security

Download Security

If you can't read please download the document

Upload: jvi07

Post on 02-Jan-2016

200 views

Category:

Documents


0 download

TRANSCRIPT

  • !" #$%&$' ()*+,$ -!'%) !

    $(./ ,$0" -/ + - ! "%,%/ '+ " "/ -/ + - ! "%,%$'

    122!"#$%$"&'#(#$)*+(#$)*,#$),-./$01

    3435)22

    !

    "#!

    126174318

    ($"((2(

    121734(!"$"'#*+-(!"$"-(!""&3/--(!""&3/4'#-((-!"5-,((!"6((,!"2(

    843169

    (-7898:2 ;

  • (,;0='''=00>==9=07=;?7/=!7(,(, $"/(,(,59+(,(,;(,(,-#(1

    :;1:&452.+ ,$0

    (00$6 ,,, +$%"(/$, ,$0 %"%*$>.+ ,$0:

    (-*$,, +$%"(/$, ,$0& %"%*$>.+ ,$0:)

    $%

    6121&

    '()%%

    :1):):)

    %*#

    &3)&)&622

    &

    )12:

  • ):1

  • ,!"6 -,-!" 'A,-,(!" 'AI(,,6/E ,

  • 1. Introduccin a la Familia ZyWALL

    Evolucin de la familia de producto ZyWALL USG

    Fig. Grfica de Equivalencias ZyWALL

    En la parte de la izquierda de la grfica encontramos los equipos de la familia ZyWALL actualmente en el mercado. Dichos dispositivos estn siendo sustituidos por la nueva familia ZyWALL USG, tal y como aparece a la derecha de la pirmide. A la hora de adquirir estos dispositivos nos tenemos que basar especialmente en el nmero de usuarios que vamos a dar cabida, as como el nmero mximo de puertos WAN y tneles VPN. Este manual est enfocado sobre la familia ZyWALL USG. La cul integra potentes tecnologas:

    - Tecnologa de Antivirus de ZyXEL - Tecnologa de Antivirus de KasperSky - Tecnologas IPSec, Antivirus y Firewall certificadas por ICSA Labs - Tecnologa de Filtrado de Contenidos de BlueCoat

  • En la siguiente tabla podemos encontrar las diferencias ms significativas entre los diferentes modelos de dispositivos ZyWALL USG: USG 20/20W USG 50 USG 100 USG 200 USG 300 USG 1000 USG 2000 CPU Flash/DRAM SecuASIC

    Freescale 8343E 255M/256M CIP1001 * 1

    Freescale 8343E 256M/256M CIP1001 * 1

    Freescale 8349E 256M/256M CIP1001 * 2

    Pentium M 1.8G 256M/1G CIP2001 * 1

    Intel E6400 256M/2G CIP3001 * 1

    Rendimiento del Sistema

    Firewall: 100M VPN: 30M UTM: N/A Session: 6k Session rate: 1k

    Firewall: 100M VPN: 50M UTM: 15M Session: 10k Session rate: 1k

    Firewall: 100M VPN: 60M UTM: 24M Session: 20k Session rate: 1k

    Firewall: 150M VPN: 75M UTM: 24M Session: 40k Session rate: 1.4k

    Firewall: 200M VPN: 100M UTM: 48M Session: 60k Session rate: 2k

    Firewall: 350M VPN: 150M UTM: 100M Session: 200k Session rate: 13k

    Firewall: 2G VPN: 500M UTM: 400M Session: 1kk Session rate: 20k

    Interfaces Gigabit Eth

    1*WAN, 4*LAN/DMZ

    Gigabit Eth 2*WAN,

    4*LAN/DMZ

    Gigabit Eth 2*WAN,

    5*LAN/DMZ

    Gigabit Eth 2*WAN, 1*OPT,

    4*LAN/DMZ

    Gigabit Eth 7 Configurable

    Gigabit Eth 5 Configurable

    Gigabit Eth 6 Configurable 2 SFP (combo)

    N Usuarios Orientados

    5 10 25 50 200 300 1000

    IPSec VPN 2 5 50 100 200 1000 2000 SSL VPN 1 5 2 -> 5 2 -> 10 2 -> 10 -> 25 5 -> 50 -> 250 5 -> 200 -> 750 USB 1 2 2 2 2 2 2 PCMCIA No No 1 (Cardbus) 1 (Cardbus) 2 (Cardbus) 1 (Cardbus) 1 (Cardbus) SFP No No No No No No S

    Para activar los servicios de seguridad (Filtrado de Contenidos, IDP, AV, SSL) hay que adquirir una licencia especfica para cada uno de ellos. Actualmente existen dos tipos de licencias: iCard y E-iCard. La E-iCard es en formato digital, en vez de papel. Por lo que su adquisicin es ms rpida que la iCard que de no tenerla en stock, haba unos plazos de espera de 3 4 semanas. Mientras que la E-iCard el plazo es inferior a una semana. En toda la familia ZyWALL USG la funcionalidad AntiSpam es gratuita.

    Fig. Part Numbers de las licencias de los servici os de seguridad

    Vamos a mostrar grficamente los diferentes dispositivos que componen la familia ZyWALL USG y sus caractersticas ms notables.

  • ZyWALL USG 20:

    Fig. Caractersticas del ZyWALL USG 20

    ZyWALL USG 20W:

    Fig. Caractersticas del ZyWALL USG 20W

  • !

    ZyWALL USG 50:

    Fig. Caractersticas del ZyWALL USG 50

    ZyWALL USG 100:

    Fig. Caractersticas del ZyWALL USG 100

  • "

    ZyWALL USG 200:

    Fig. Caractersticas del ZyWALL USG 200

    ZyWALL USG 300:

    Fig. Caractersticas del ZyWALL USG 300

  • #

    ZyWALL USG 1000:

    Fig. Caractersticas del ZyWALL USG 1000

    ZyWALL USG 2000:

    Fig. Caractersticas del ZyWALL USG 2000

  • Fig. Diferentes mdulos SEM que se pueden instala r en el ZyWALL USG 2000

    A continuacin vamos a mostrar tablas y grficas comparativas entre los modelos de la familia ZyXEL ZyWALL USG y sus competidores ms directos.

    Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 20/20W

  • Fig. Comparacin de equipos semejantes de varios

    fabricantes contra ZyWALL USG 50/100/200

  • Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 300

    Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 1000

  • Fig. Comparacin de equipos semejantes de varios fabricantes contra ZyWALL USG 2000

  • 2. Acceso al Equipo Disponemos de varias formas de acceder al ZyWALL: mediante el puerto de consola, mediante un cliente SSH, mediante un cliente Telnet, o mediante un navegador Web. Por defecto, en la serie ZyWALL USG, la direccin I P de la interfaz LAN es 192.168.1.1 y la interfaz LAN tambin se configura como un servidor DHCP, lo que significa que puede conectarse directamente a la interfaz LAN y gestionar el dispositivo. Por defecto utiliza el usuario admin y la contrasea 1234.

    2.1. Acceso mediante Puerto de Consola Utilizando un cable serie conectado a un PC y al ZyWALL podemos acceder a ste ltimo por medio de una conexin de Hyperterminal o una aplicacin similar. Debemos configurar el Terminal VT100 en dicha aplicacin con los siguientes datos:

    - 115.200 baudios - 8 bits de Datos - 1 bit de Parada - Sin Paridad - Sin Control de Flujo

    Una vez conectados accederemos al interfaz de modo de comandos de configuracin:

    Fig. Acceso por Puerto de Consola

  • 2.2. Acceso mediante cliente SSH Mediante un cliente SSH que soporte la versin 1.5 nos conectaremos al ZyWALL con los valores por defecto a la direccin I P 192.168.1.1, usando el nombre de usuario admin, y la contrasea 1234. Una vez conectados accederemos al interfaz de modo de comandos para configurar el ZyWALL.

    Fig. Acceso mediante cliente SSH

    2.3. Acceso mediante TELNET Mediante un cliente Telnet nos conectaremos al ZyWALL con los valores por defecto a la direccin IP 192.168.1.1, usando el nombre de usuario admin, y la contrasea 1234. Una vez conectados accederemos al interfaz de modo de comandos para configurar el ZyWALL.

    Fig. Acceso mediante cliente TELNET

  • 2.4. Acceso mediante Navegador WEB El interfaz GUI del ZyWALL soporta una resolucin d e pantalla de 1024 por 768 pxeles. En cuanto a navegadores, se incluye soporte para IE 7.0 o superior, Firefox 1.5.0 o superior. Es necesario activar JavaScript y la fijacin de co okies en su navegador web y tambin desactivar el bloqueo de ventanas emergentes. De lo contrario, se causar la imposibilidad de acceso de usuario o el acceso a diversas opciones del interfaz GUI del ZyWALL. El equipo soporta los protocolos HTTP y HTTPS. Mediante el Navegador Web apuntaremos a la direcci n por defecto 192.168.1.1 del ZyWALL, si no ha sido cambiada. A continuacin se nos pedir un nombre de usuario y contrasea, introduciremos como nombre de usuario admin y contrasea 1234 si no las hemos modificado.

    Fig. Acceso mediante Navegador WEB

    A continuacin nos aparecer una ventana recomendando que cambiemos la contrasea por defecto. Por motivos de seguridad, se recomienda cambiar la contrasea por defecto, siguiendo los pasos indicados en dicha pantalla. Podemos saltarnos esta peticin pulsando sobre el b otn Ignore.

    Fig. Recomendacin cambio de Contrasea

  • !

    Finalmente accederemos al men Status que es la pantalla inicial de configuracin del ZyWALL. Aqu podremos comprobar l a versin de firmware cargada en el dispositivo. Esta ventana se divide en 3 secciones:

    Fig. Men Status y sus diferentes secciones

    A Barra de Ttulos B Panel de Navegacin C Ventana Principal

  • "

    2.4.1 Barra de Ttulos La Barra de Ttulos posee varios iconos en la esquina superior derecha:

    Fig. Iconos de la Barra de Ttulos

    Logout: Pulse este icono para cerrar la sesin del config urador web. Help: Pulse este icono para abrir la pgina de ayuda para la pantalla activa. About: Pulse este icono para mostrar informacin bsica sobre el ZyWALL. Site Map: Pulse este icono para mostrar el mapa con las opciones el configurador web. Puede utilizarlo para ir directamente a cualquier men o pestaa del configurador web. Object Reference: Pulse este icono para ver las dependencias de los objetos creados. Console: Pulse este icono para abrir la consola y usar el interfaz lnea de comandos (CLI).

    2.4.1.1 Mensajes de aviso En el caso de producirse algn error de configuracin, se mostrar un mensaje de aviso del tipo:

    Fig. Mensaje de Aviso

  • #

    2.4.1.2 Site Map Esta opcin de la Barra de Ttulos permite visualiz ar y acceder a los enlaces de la pantalla del Configurador Web. Pulse sobre un enlace para acceder a la pantalla correspondiente:

    Fig - Site Map

    2.4.1.3 Referencia a Objetos Pulse Object Reference para abrir la pantalla correspondiente. Seleccione el tipo de objeto y el objeto individual y a continuacin pulse Refresh para visualizar los parmetros de configuracin del objeto en cuestin:

    Fig - Referencia a Objeto

    En la pantalla anterior se muestra el objeto de usuario ldap-users (en este caso, la primera regla de cortafuegos).

  • 2.4.1.4 Mensajes CLI Pulse CLI en la Barra de Ttulos para visualizar los comandos CLI enviados por el Configurador Web:

    Fig Mensajes CLI Pulse Clear para borrar la informacin presentada .

    2.4.2 Panel de Navegacin Si desplegamos la barra lateral de mens (Barra de Navegacin) podemos encontrar las siguientes opciones:

    Fig. Barra de Navegacin desplegada Pulse la flecha que aparece en el borde derecho del panel de navegacin para ocultar los mens del panel, o arrstrela para modificar su tamao.

  • 2.4.3 Ventana Principal La ventana principal muestra la pantalla seleccionada en el panel de navegacin:

    Fig. Ventana Principal y botones de visualizacin de widgets

    Los botones situados en la parte superior derecha (A, B, C, D y E) permiten ocultar, minimizar, cerrar o desplazar cada sub-pantalla (widgets): A: Reabre una pantalla previamente cerrada B: Oculta una pantalla C: Refresca la informacin presentada D: Actualiza la informacin inmediatamente E: Cierra la pantalla Asimismo, pulsando el botn Rear pannel/Front pann el situado a la derecha de la imagen del dispositivo virtual, se pueden visualizar los paneles anterior/posterior del equipo.

    2.4.4 Tablas y Listas Las Tablas y Listas del Configurador Web son muy flexibles y permiten diferentes opciones de visualizacin y manipulacin .

  • 2.4.4.1 Manipulacin de Tablas A continuacin se indican las diferentes maneras de manipular las tablas del Configurador Web.

    1. Pulse la cabecera de la columna para organizar las entradas de la tabla de acuerdo con el criterio de la columna:

    Fig. - Organizacin de las entradas de las tablas

    2. Pulse la fecha al lado de la cabecera de la columna para acceder a las

    diferentes opciones de visualizacin de las entrada s:

    Fig. - Opciones de visualizacin

    3. Seleccionar el borde derecho de una columna y arrastrarlo para

    modificar el tamao de la columna:

    Fig. - Modificacin del tamao de una columna

  • 4. Seleccionar una cabecera de columna y arrastrarla y soltarla para

    cambiar el orden de la columna:

    Fig. - Cambio del orden de las columnas

    5. Utilice los iconos y campos de la parte superior de la tabla para navegar

    por las diferentes pginas de las entradas y controlar cuantas entradas se muestran al mismo tiempo:

    Fig. - Pginas de navegacin de las entradas de las tablas

    2.4.4.2 Trabajando con las Entradas de las Tablas Las tablas disponen de iconos para gestionar las entradas:

    Fig. - Iconos de las tablas

    Se pueden utilizar las teclas Shift o Ctrl para seleccionar mltiples entradas y eliminarlas, activarlas o desactivarlas.

  • 2.4.4.3 Trabajando con Listas Cuando se muestra una lista de entradas disponibles a continuacin de una lista de entradas seleccionadas, se puede mover una entrada de una lista a otra mediante una doble pulsacin. En algunas lista s, se pueden usar las teclas Shift o Ctrl para seleccionar mltiples entradas y junto con las teclas de desplazamiento vertical y horizontal (teclas de flechas), moverlas de una lista a otra.

    Fig. Ejemplo de Listas

    3. Asistente de Configuracin e Instalacin

    3.1 Pantallas del Asistente de Configuracin e Inst alacin Si procede a realizar un login en el Configurador Web cuando el ZyWALL se est utilizando en su configuracin por defecto, aparecer la primera pantalla del Asistente de Configuracin e Instalacin. Este asistente le ayudar a configurar la conexin a Internet y a activar los s ervicios correspondientes:

    Fig. - Asistente de Configuracin de Instalacin

  • 3.1.1 Configuracin del Acceso a Internet Interfa z WAN Esta pantalla permite definir cuntos interfaces WAN hay que configurar y el tipo de encapsulacin y mtodo de asignacin de dir eccin IP para el primer interfaz WAN:

    Fig. - Configuracin primer interfaz WAN

    3.1.2. Acceso Internet: Ethernet Esta pantalla permite configurar los parmetros de la direccin IP. (Si en la pantalla anterior seleccion previamente la opcin Auto en el campo IP Address Assignment, no deber realizar ninguna accin):

    Fig. - Configuracin direccin IP: Encapsulacin Et hernet

  • 3.1.3. Acceso Internet: PPPoE En esta pantalla se configuran los parmetros del ISP y del interfaz WAN para el caso de encapsulacin PPPoE:

    Fig. - Encapsulacin PPPoE

    3.1.4. Acceso Internet: PPTP En esta pantalla se configuran los parmetros de acceso a Internet en el caso de utilizar encapsulacin PPTP:

    Fig. - Encapsulacin PpoE

  • !

    3.1.5. Parmetros del ISP

    - Tipo de autenticacin : Selecciona un protocolo de autenticacin para las llamadas salientes:

    - CHAP/PAP - CHAP - PAP - MSCHAP - MSCHAP-V2 - Tipo de User Name - Tipo de Password - Seleccionar Nailed-Up si no se quiere realizar una conexin

    temporizada. En caso contrario, seleccionar Idle Timeout. 3.1.5.1. Configuracin PPTP

    - Interfaz Base (Base Interface) - Tipo de Direccin IP Base ( Base IP Address)

    - Tipo de Mscara de la Subred IP (IP Subnet Mask) - Servidor IP - Tipo de Conexin IP ( Connection ID) 3.1.5.2. Asignacin de Direccin IP WAN

    - Primer Interfaz WAN - Zona - Direccin IP ( IP Address) - Primer/Segundo Servidor DNS

    3.1.2 Configuracin del Acceso a Internet Segundo Interfaz WAN Si se ha seleccionado la opcin de disponibilidad d e dos ISPs, una vez configurado el primer Interfaz WAN se puede configurar el segundo Interfaz WAN. La pantalla para esta configuracin es similar a la del primer interfaz:

  • "

    Fig. - Configuracin segundo Interfaz WAN

    3.1.3 Acceso Internet Finalizacin Una vez realizando los pasos anteriores, aparecer la siguiente pantalla con los parmetros seleccionados:

    Fig. - Parmetros de Acceso a Internet seleccionados

    Pulse Back si quiere modificar algn dato o Next para continuar con el proceso de registro (ver apartado siguiente).

  • #

    4. Registro del Dispositivo A travs de myZyXEL.com puede registrar su ZyWALL y activar pruebas de servicios, como IDP y periodos de suscripcin a pr estaciones de seguridad. Si ya se ha registrado previamente, la pantalla le mostrar su nombre de usuario y los servicios activados. A partir de aqu, puede proceder a activar/desactivar los servicios correspondientes: Nota: Para acceder al registro, se necesita tener la conexin a Internet activada.

    4.1. Registro en myZyXEL.com Al adquirir un ZyWALL USG y tras configurar la LAN, WAN y DNS tenemos que registrar el mismo sobre una cuenta de myZyXEL.com. El registro del equipo es gratuito, y es necesario para poder activar las capacidades UTM de nuestro ZyWALL. Desde el mismo equipo podemos crear la cuenta de myZyXEL.com, o usar una cuenta previamente creada. Los datos que se piden para crear una nueva cuenta en myZyXEL.com son un Nombre de Usuario, Contrasea, un E-Mail, y el Cdigo de Pas.

    Fig. Registro del Equipo creando una nueva cuenta en myZyXEL.com

  • Si disponemos de una cuenta seleccionaremos la opcin existing myZyXEL.com account e introducir el Nombre de Usuario y Contrasea de dicha cuenta.

    Fig. Registro del Equipo usando una cuenta de myZ yXEL.com

    Teniendo una cuenta en myZyXEL.com tendremos acceso a promociones, avisos de actualizaciones, y podremos gestionar algunos servicios.

    4.2. Activacin de Servicios en modo Trial Podemos activar la versin Trial (30 das) de algun os Servicios UTM de nuestro ZyWALL USG para comprobar las capacidades de los mismos, y en funcin de las necesidades proceder a adquirir una licencia para los mismos. Para ello basta con seleccionar los servicios a activar en versin Trial, y pulsar sobre el botn Apply.

    Fig. Activacin de Servicios en modo Trial

  • A continuacin el equipo se conectar con el Servidor de myZyXEL.com para actualizar los cambios, y activar dichos servicios en modo Trial. Para ello el equipo debe de estar correctamente configurado proporcionando acceso a Internet.

    Fig. Activacin con xito de los Servicios en mod o Trial

    Hay un perodo de 30 das para cada servicio a activar en el modo Trial !!!

    4.3. Activacin de Servicios por medio de Licencia Una vez registrado el dispositivo en una cuenta de myZyXEL.com y adquirida la licencia correspondiente al servicio a activar nos iremos al men Configuration > Licensing > Registration > Service

    Fig. Activacin con xito de los Servicios en mod o Trial

    En el campo License Key del apartado License Act ivation introduciremos el cdigo de la licencia a activar, y pulsaremos sobre el botn Activation para activar el servicio correspondiente a la licencia introducida.

  • Una vez activados los servicios, podemos ver el estado de los mismos, y la fecha de expiracin de la licencia tal y como se ob serva en la siguiente imagen.

    Fig. Estado de las Licencias de los Servicios

  • 4.4. Updates En la barra de mens lateral Configuration > Licensing > Signature Update se puede configurar la actualizacin manual o autom tica para las firmas del Anti-Virus, IDP/AppPatrol, y el System Protect. Dicha actualizacin se realiza con el Update Server. La actualizacin automtica se puede configurar para que se ejecute cada hora, diariamente a una hora determinada, o semanalmente a una hora determinada.

    Fig. Actualizacin de las Firmas

  • 5. Configuracin Rpida 5.1 Configuracin Rpida: Visin General El asistente de configuracin rpida le permite configurar de una manera rpida y sencilla el acceso a Internet y los parmetros de VPN. En el Configurador Web, pulsar Configuration > Quick Setup:

    Fig. - Acceso a la Configuracin Rpida

    Aparecer la siguiente pantalla:

    Fig. - Configuracin Rpida

    Seleccione una de las dos opciones disponibles: - WAN Interface: Abre el asistente de configuracin del Interfaz W AN (Acceso a Internet) - VPN Set UP: Permite la configuracin de un tnel VPN para establecer una conexin segura con otro ordenador o red.

  • 5.2 Configuracin Rpida del Interfaz WAN Pulse WAN Interface en el Men de Configuracin Rpida para abrir la pantalla de configuracin del Interfaz WAN. A conti nuacin, pulse Next:

    Fig.- Configuracin rpida del Interfaz WAN

    A continuacin, seleccione el Interfaz Ethernet que quiere configurar para la conexin WAN y pulse Next:

    Fig.- Seleccin de Interfaz Ethernet

    Seleccin del tipo de WAN: Seleccione el tipo de encapsulado de la conexin. Seleccione Ethernet cuando el puerto WAN se utiliza como un puerto Ethernet regular. En caso contrario, seleccione PPPoE o PPTP, de acuerdo a la informacin proporcionada por su proveedor:

  • Fig. - Configuracin del Interfaz WAN

    Configuracin de los parmetros WAN: Seleccione si se va a utilizar una direccin IP esttica o dinmica:

    Fig. - Seleccin tipo de direccionamiento IP

    Parmetros de la Conexin ISP y WAN: Utilice esta pantalla para configurar los parmetros del Interfaz WAN y la conexin con el ISP (si en la pantalla anterior ha elegido direccionamiento IP esttico, esta pantalla no aplicara):

  • !

    Fig. - Configuracin de la Conexin ISP y WAN

    Una vez introducidos los datos correspondientes, pulse Back si quiere corregir alguna opcin o Next para seguir adelante. Si pulsa Next, aparecer la pantalla final con el resumen de las opciones elegidas. Pulse Close para finalizar el proceso:

    Fig. - Configuracin Interfaz WAN

  • "

    5.3 Configuracin Rpida VPN Pulse VPN Setup en la pantalla Quick Setup de configuracin rpida para acceder a la pantalla del asistente de configuraci n VPN:

    Fig. - Configuracin rpida VPN

    Un tnel VPN (Virtual Private Network) permite establecer una conexin segura entre ordenadores y redes. A continuacin pu lse Next y seleccione el tipo de conexin VPN que desea configurar:

    Fig. - Seleccin tipo de Configuracin VPN

    Express: Utilice esta opcin para crear una conexin VPN c on otro ZyWALL con ZLD, utilizando una tecla pre-programada y la configuracin de seguridad por defecto. Advanced: Utilice esta opcin para configurar parmetros detallados de seguridad de la VPN. La conexin se puede realizar con otro ZyWALL con ZLD o con otro dispositivo IPSec.

  • #

    5.3.1 VPN Express- Escenario Si pulsa la opcin Express, aparecer la siguiente pantalla:

    Fig. - Configuracin VPN Express. Paso 1

    Rule Name: Tipo de nombre utilizado para identificar la conexin VPN. Se pueden utilizar de 1-31 caracteres alfanumricos, (_) y (-), pero el primero no puede ser un nmero. Seleccione el escenario que ms se adece a la conexin VPN deseada. La figura de la izquierda variar segn el escenario elegido. 5.3.1.1 VPN Express- Configuracin

    Fig. - Configuracin VPN Express. Paso 2

    Introduzca los valores adecuados de configuracin y pulse Next

  • 5.3.1.2 VPN Express Resumen Esta pantalla muestra un resumen de la configuraci n de los tneles VPN y de los comandos, que se pueden copiar y pegar en otro ZyWALL con ZLD en el interfaz de lnea de comandos, para configurarlo:

    Fig. - Configuracin VPN Express. Paso 3

    5.3.1.3 Configuracin VPN Express Finalizacin Ya se puede usar el tnel VPN:

    Fig. - Configuracin VPN Express. Paso 4

  • Nota: Si no lo ha hecho ya, utilice el enlace myZyXEL.com y registre su ZyWALL para activar pruebas de servicios como IDP. Pulse Close para salir del asistente. 5.3.2 VPN Avanzada - Escenario Pulse Advanced en la pantalla de seleccin de tipo de configuraci n VPN. Aparecer la siguiente pantalla:

    Fig. - Configuracin VPN Avanzada

    5.3.2.1 VPN Avanzada Configuracin Fase 1 Hay dos fases en cada proceso de negociacin: Fase 1 o de Autenticacin y fase 2 o de Intercambio de Claves. La Fase 1 establece una Asociacin de Seguridad:

    Fig. - VPN Avanzada Fase 1

  • 5.3.2.2 VPN Avanzada Configuracin Fase 2 La fase 2 utiliza la Asociacin de Seguridad establecida en la fase 1 para negociar asociaciones de seguridad para IPSec:

    Fig. - VPN Avanzada Fase 2

    5.3.2.3 VPN Avanzada Resumen En esta pantalla aparece un resumen de los parmetros de configuracin VPN:

    Fig. - VPN Avanzada Resumen Pulse Save para escribir la configuracin VPN en el ZyWALL.

  • 5.3.2.4 VPN Avanzada Finalizacin A partir de ahora, ya puede utilizar el tnel VPN:

    Fig. - Finalizacin Configuracin Avanzada

    Pulse Close para salir del asistente.

  • 6. Configuracin: Aspectos Bsicos Esta informacin le ayudar a configurar su ZyWALL de una manera efectiva, bien al comienzo del proceso o como referencia para configurar las diferentes prestaciones del producto.

    6.1 Configuracin basada en Objetos El ZyWALL almacena la informacin de programacin c omo Objetos. Se pueden utilizar estos objetos para configurar la mayora de las prestaciones del equipo. Una vez configurado un objeto, se puede utilizar para configurar otras prestaciones. As mismo, si se actualiza esta informacin como respuesta a determinados cambios, el ZyWALL propaga automticamente estos cambios hacia todas las prestaciones que usan este objeto. Para crear objetos antes de configurar las opciones que los usarn vaya al men Configuration > Objects. Si se est en una pantalla que utiliza objetos, puede utilizar un objeto creado previamente, o pulsar en el botn Create New Object , en la parte superior izquierda, para crear un nuevo objeto y aplicarlo en dicha regla. Tambin se puede utilizar la pantalla Object Reference para ver qu objetos se han configurado y qu parmetros de configuracin se refieren a objetos especficos. Los objetos disponibles se muestran en la siguiente tabla:

    Fig. - Tabla de objetos

  • 6.2 Interfaces, Zonas y Puertos Fsicos

    6.2.1 Interfaces Existen varios tipos de interfaces en el ZyWALL. Adems de utilizarse en varias prestaciones, los interfaces tambin describen la red que se encuentra directamente conectada al equipo:

    - Interfaces Ethernet (WAN, LAN, DMZ, WLAN) - Grupos de Puertos - Interfaces PPP - Interfaces VLAN - Interfaces Bridge - Interfaces Virtuales - Interfaces Auxiliares

    6.2.2 Zonas Una zona es un grupo de interfaces y/o tneles VPN. Los ZyWALL utilizan zonas en lugar de interfaces en muchos procesos de configuracin, como las reglas de cortafuegos, anti-X o gestin remota. Es necesario establecer zonas para configurar las polticas de seguridad y de red en los ZyWALL Las zonas no se pueden solapar. Cada interfaz ethernet, VLAN, bridge o PPPoE/PPTP, interfaz auxiliar o tnel VPN se puede asignar como mucho a una zona. Los interfaces virtuales se asignan automticamente a la misma zona que el interfaz sobre el que corren.

    Fig - Ejemplo: Zonas

  • La pantalla Zona proporciona un resumen de todas las zonas. Adems, esta pantalla permite aadir, editar y eliminar zonas. Para acceder a estar pantalla, pulsar Configuration > Network > Zone.

    Fig. - Pantalla de Zonas 6.2.3 Interfaz y Zonas por Defecto La topologa de la red por defecto es la siguiente (las letras indican direcciones IP pblicas o parte de direcciones IP privadas):

    Fig. - Topologa de Red por Defecto para el USG 100

  • !

    Fig. - Topologa de Red por Defecto para el USG 200

    Fig. - Topologa de Red por Defecto para el USG 300

  • "

    Fig. - Topologa de Red por Defecto para el USG 1000

    Fig. - Topologa de Red por Defecto para el USG 2000

  • #

    En las siguientes tablas puede consultar la asociacin por defecto entre puertos, interface, zona, direccionamiento IP, y uso sugerido por defecto de cada uno de los componentes de la familia ZyWALL USG:

    Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 100

    Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 200

    Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 300

  • Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 1000

    Fig. - Puerto por Defecto, Interfaz y Configuracin de Zona del ZyWALL 2000

    6.3. Configuracin de Interfaces Ethernet, Port Rol es y Zonas.

    En este Tutorial aprenderemos a configurar los interfaces Ethernet, port roles, y zonas siguiendo el siguiente ejemplo de configuracin. Queremos aplicar opciones de seguridad especficas para todos los tneles VPN, por lo que vamos a crear una nueva zona VPN. El interface wan1 tiene asignada la direccin IP esttica 1.2.3.4 El interface opt es utilizado para una red local protegida. Utiliza la direccin IP 192.168.4.1 y acta como servidor DHCP. Aadiremos este interface a la zona LAN, para que todas las polticas de seguridad ya aplicadas a la zona LAN tengan efecto sobre este interface. En este ejemplo no utilizaremos el interface ext-wlan (utilizado para los puntos de acceso conectados va Ethernet), por lo que eliminaremos el puerto P6 del interface ext-wlan y lo aadiremos al interface dmz.

  • Fig. - Ejemplo de Configuracin del Interfaz Ethern et, Port Roles, y Zonas

    6.3.1. Configurar un Interface WAN Ethernet

    Vamos a asignar la direccin IP 1.2.3.4 al interfac e wan1 del ZyWALL. Pulsamos sobre el men Configuration > Network > Interface > Ethernet y hacemos doble click sobre el interface wan1. Seleccionamos Use Fixed IP Address y configuramos la direccin IP, mscara de subred, y puerta de enlace y pulsamos en OK.

    Fig. - Configuration > Network > Interface > Ethernet > Edit wan1

  • 6.3.2. Configuracin de Interfaces PPP

    En este ejemplo vamos a configurar un interface WAN con encapsulacin PPPoE en una lnea ADSL de Movistar siguiendo los siguientes pasos:

    1. Pulsamos sobre el men Configuration > Network > Interface > PPP y

    hacemos click sobre el botn Add del apartado User Configuration.

    Fig. - Ejemplo de configuracin del interface PPP

    2. Habilitamos el interface, introducimos un nombre para la regla, y seleccionamos como interface base el interface wan1, y la zona WAN. Seleccionamos las opciones Nailed-Up, y Get Automatically para mantener la conexin siempre activa y que obtenga l a direccin IP pblica automticamente. Creamos nuevo Objeto de tipo ISP Account.

    Fig. - Edicin del interface PPP

  • 3. Aplicamos un nombre al perfil, seleccionamos el protocolo PPPoE, e

    introducimos los datos de autenticacin que nos hay a facilitado nuestro ISP.

    Fig. - Creacin objeto de tipo ISP Account

    4. En la configuracin del interface WAN1_PPPoE, seleccionaremos como

    Account Profile el objeto Movistar que acabamos de crear.

    Fig. - Ejemplo de configuracin del interface PPP

  • 6.3.3. Configurar el interfaz OPT como una red local

    En este ejemplo vamos a configurar el interface opt como una red local separada. El interface utiliza la direccin IP 192. 168.4.1 y acta como servidor DHCP para distribuir direcciones IP a los clientes DHCP.

    1. Nos vamos al men Configuration > Network > Interface > Ethernet y hacemos doble click sobre la entrada del interface opt.

    2. Configuramos el campo Interface Type como internal.

    3. Asignamos el IP Address a 192.168.4 y Subnet Mask a 255.255.255.0

    4. Configuramos el campo DHCP como DHCP Server y pulsamos en OK.

    Fig. - Configuration > Network > Interface > Ethernet > Edit opt

  • 6.3.4. Configurar el interfaz OPT como una red externa WAN

    En este ejemplo vamos a configurar el interface opt como una red WAN, que estar conectada a un router haciendo de servidor DHCP. Por lo que el interface opt recibir una direccin IP automticamente del router.

    1. Nos vamos al men Configuration > Network > Interface > Ethernet y hacemos doble click sobre la entrada del interface opt.

    2. Configuramos el campo Interface Type como external.

    3. Seleccionamos la zona como WAN para que al interface opt se le asignen las configuraciones asociadas a la zona WAN.

    4. Asignamos el IP Address como Get Automatically.

    Fig. - Configuration > Network > Interface > Ethernet > Edit opt

  • 6.3.5. Configuracin 3G Para configurar las opciones 3G nos vamos a la barra de mens lateral Configuration > Network > Interface > Cellular, y aadimos una regla en el Cellular Interface Summary.

    Fig. Aadir nueva regla para el interfaz Cellular

    Una vez aadimos una regla, tendremos que seleccionar sobre qu tarjeta queremos realizar la configuracin: PC Card (si est disponible) o USB.

    Fig. Seleccin del slot

    Una vez aadida la regla para el interfaz a usar, tendremos que rellenar los campos del formulario que nos aparecer con los datos que nos proporcione nuestro ISP, y la informacin de la tarjeta 3G. Vamos a ver un par de ejemplos con las configuraciones de dos diferentes ISP. El primero de ellos ser la configuracin para Vodafone, y la segunda ser la configuracin para Movistar.

  • !

    En el ejemplo siguiente se ha configurado una tarjeta 3G por USB de Vodafone:

    Fig. Configuracin del interfaz Cellular para el USB1 en Vodafone

  • "

    En el siguiente ejemplo se han utilizado los datos de Movistar:

    Fig. Configuracin del interfaz Cellular para el USB1 en Movistar

  • #

    En el siguiente ejemplo se han utilizado los datos de Orange:

    Fig. Configuracin del interfaz Cellular para el USB1 en Orange

    Una vez configurado el interface Cellular correctamente, si nos dirigimos al Dashboard podremos ver dentro de la ventana Interface Status Summary que nuestro interface celular ha obtenido la direccin IP pblica y es totalmente operativo Connected:

    Fig. Desde el Dashboard podemos ver el estado del interface cellular

  • 6.3.6. Configurar Port Roles

    Vamos a eliminar el puerto P6 del interface ext-wlan, y lo vamos a aadir al interface dmz.

    1 Hacemos click Configuration > Network > Interface > Role.

    2 Bajo el P6 seleccionamos el radio button dmz y pulsamos en Apply.

    Fig. - Ejemplo de configuracin del Rol de Puertos (Port Roles)

  • 6.3.7. Configurar Zonas Realice los siguientes pasos para crear la zona VPN:

    1 Desde el men Configuration > Network > Zone hacemos click sobre el icono Add.

    2 Introducimos como nombre VPN, y seleccionamos como miembro disponible Default_L2TP_VPN_Connection y lo movemos a la tabla Member y pulsamos en OK.

    Fig. - Configuration > Network > Zone > Add

  • 6.4 Terminologa del ZyWALL A continuacin se detallan algunas diferencias de t erminologa entre los equipos basados en ZLD y otros, particularmente los basados en ZyNOS. Terminologa ZLD ZyWALL diferente a la ZyNOS:

    Terminologa ZLD ZyWALL que podra ser diferente en otros productos:

    NAT: Diferencias entre ZLD ZyWALL y ZyNOS:

    Gestin de Ancho de Banda: Diferencias entre ZLD Zy WALL y ZyNOS:

  • 6.5 Flujo de Paquetes El orden en que ZyWALL aplica sus caractersticas y comprobaciones:

    Fig. - Flujo de Paquetes

    6.5.1 Mejoras en el Flujo de Paquetes del ZLD 2.20

    La versin ZLD 2.20 se ha mejorado para simplificar la configuracin. El flujo de paquetes se ha modificado de la siguiente manera: - Routing automtico SNAT y enlace WAN para trfico de interfaces internos a externos: El ZyWALL aade automticamente todos los interfaces externos al enlace WAN por defecto. - La poltica de rutas se deshabilita automticamente si la siguiente ruta

    est cada. - No se necesita definir poltica de rutas para el trfico IPSec.

    - La poltica de rutas puede invalidad las rutas directas.

    - No se necesita definir poltica de rutas para las entradas NAT 1:1.

    - Se pueden crear varias entradas NAT 1:1 para traducir un rango de

    direcciones de red privadas a un rango de direcciones IP pblicas.

    - Las rutas estticas y dinmicas tienen su propia categora.

  • 6.5.2 Mejoras en el Flujo de comprobacin de la Tab la de Enrutamiento

    Fig. - Mejoras en el Flujo de Comprobacin de la T. de Enrutamiento

    6.5.3 Flujo de Comprobacin de la Tabla NAT

    Fig. - Flujo de Comprobacin de la Tabla NAT

  • 6.6. Revisin Configuracin de Prestaciones

    - Caractersticas - Registro de Licencias - Actualizacin de Licencias - Interfaces - Enlaces - Poltica de Rutas - Rutas Estticas - Zonas - DDNS - NAT - HTTP Redirect - ALG - Poltica de Autenticacin - Cortafuegos - VPN IPSec - VPN SSL - VPN L2TP - Vigilancia de Aplicaciones - Anti-Virus - IDP - ADP - Filtrado de Contenidos - Anti-Spam - Device HA

  • 6.7 Sistema Esta seccin describe algunas de las prestaciones d e gestin del ZyWALL. Utilice Host Name para configurar el sistema y el nombre de dominio del ZyWALL. Utilice Date/Time para configurar la fecha, hora y zona horaria. Utilice Console Speed para programar la velocidad del puerto de consola. Utilice Language para seleccionar el idioma de las pantallas de configuracin.

    6.7.1 DNS, WWW, SSH, Telnet, FTP, SNMP, Dial-in Mgmt, Vantage CNM Utilice estas pantallas para definir qu servicios y protocolos se pueden utilizar para acceder al ZyWALL a travs de qu zona y desde qu direcciones (direcciones objeto). Utilice Dial-in Mgmt para la conexin de gestin remota a travs de un mdem externo conectado al puerto AUX.

    6.7.2 Logs e Informes

    6.7.3 Gestor de Ficheros Utilice estas pantallas para cargar, descargar, borrar o ejecutar scripts de comandos CLI.

    6.7.4 Diagnsticos El ZyWALL genera un fichero que contiene informaci n de diagnstico y configuracin:

  • !

    6.7.5 Apagado Utilice esta opcin como paso pevio a la desconexi n de la alimentacin:

    Utilice siempre Maintenance > Shutdown > Shutdown o el comando shutdown antes de apagar el ZyWALL. El no hacerlo as, puede generar problemas de corrupcin del firmware.

    6.8. Cambiar la Contrasea por Defecto

    Desde el men Configuration > Objetct > User/Group pulsamos sobre el icono Edit del usuario admin para editar su configuracin.

    Fig. Ventana con los Objetos de tipo Usuario

    En la ventana de edicin del usuario admin modifica remos los datos del Password y Retype, introduciendo el nuevo valor de la contrasea en ambos campos.

    Fig. Edicin de la contrasea por defecto del usu ario admin

  • "

    6.9. Temporizador de Desconexin Automtica de Sesin

    Para quitar o modificar el temporizador de desconexin de sesin del usuario logueado en el interfaz Web GUI del ZyWALL cuando hay un tiempo de inactividad, accedemos a la configuracin del objet o usuario a modificar, y cambiamos el tiempo de Lease Time a un valor entre 0 y 1440 minutos, siendo el valor 0 tiempo ilimitado de conexin.

    Fig. Edicin del temporizador de desconexin auto mtica de sesin

    6.10. IP/MAC Binding A travs de la configuracin del IP/MAC Binding podemos prevenir que un ordenador con una IP igual que un dispositivo de nuestra pueda tener acceso a nuestra LAN. De esta forma asignaremos en una lista la relacin entre IP y MAC de los dispositivos que se conectan a nuestra red, para que los dispositivos que no se encuentren en esta lista no puedan conectarse.

    Fig. Ejemplo del uso del IP/MAC Binding

  • #

    Las direcciones del IP/MAC bindings se agrupan por interfaz. Se puede utilizar el IP/MAC binding con los interfaces Ethernet, bridge, VLAN, y WLAN. Adems de poder habilitar o deshabilitar el IP/ MAC binding en la pantalla de configuracin propia del interfaz. Pulse sobre Configuration > Network > IP/MAC Binding para abrir la pantalla de configuracin IP/MAC Binding Summary, en donde n os aparece un listado del nmero total de asociaciones IP a MAC para cada uno de los interfaces soportados.

    Fig. Pantalla IP/MAC Binding Summary

    Para configurar la asociacin entre direccin IP y MAC de los dispositivos que se conectan a un interfaz, seleccionaremos el interface y pulsaremos sobre el icono Edit. Una vez dentro nos da la posibilidad de habilitar el IP/MAC Binding, y habilitar los logs de las violaciones de la regla introducida. Si pulsamos sobre pulsaremos sobre aadir o editar para configurar la lista de asociacin.

    Fig. Aadir o Editar una asociacin esttica entre IP y MAC

  • Nos aparecer una ventana de configuracin donde asociaremos una direccin IP y una direccin MAC para dar privilegios de cone xin a este dispositivo.

    Fig. Asignacin de direcciones IP y MAC a dar pri vilegios de conexin

    Si queremos configurar un rango de direcciones IP en la que el ZyWALL no aplique el IP/MAC binding, pulsaremos sobre Configuration > Network > IP/MAC Binding > Exempt List, pulsaremos sobre Aadir o Editar una regla, y asignaremos un nombre y un rango de direcciones IP a excluir.

    Fig. Lista de exclusin del IP/MAC binding

    Tambin podemos monitorizar en cada momento las direcciones IP que actualmente estn conectadas y forman parte de la asociacin del IP/MAC binding.

    Fig. Monitorizacin de las conexiones de equipos en IP/MAC binding

  • 6.11. Configuracin DNS Adems de la configuracin DNS que se realiza cuando configuramos el servidor DHCP del interfaz Ethernet, debemos de configurar las DNS de Sistema. Para configurar las DNS de Sistema nos vamos a la barra de mens lateral System -> DNS, y aadimos o editamos una regla en el Domain Zone Forwarder.

    Fig. Ventana principal de configuracin DNS

    Dentro de la regla a configurar, seleccionaremos la opcin Public DNS Server e introduciremos la direccin IP del servidor DNS, en este caso 80.58.0.33

    Fig. Configuracin regla del Servidor DNS

  • 6.12. Configuracin DDNS Debes de configurar una cuenta de dynamic DNS con cualquier proveedor de servicios DNS soportado antes de utilizar el servicio DDNS del ZyWALL. Cuando el proceso de registro se haya completado, el proveedor de servicios DNS te proporcionar una contrasea o clave. Despus de haberlo configurado en el ZyWALL, ste enviar la direccin IP actualizada hacia el proveedor de servicios DDNS, que actualizar sus bases de datos. Algunos de los proveedores de servicios DNS soportados son los siguientes: PROVEEDOR DE SERVICIOS DDNS

    TIPOS DE SERVICIOS SOPORTADOS P`GINA WEB

    DynDNS Dynamic DNS, Static DNS, y Custom DNS

    www.dyndns.com

    Dynu Basic, Premium www.dynu.com No-IP No-IP www.no-ip.com Peanut Hull Peanut Hull www.oray.cn 3322 3322 Dynamic DNS, 3322 Static DNS www.3322.org

    Fig. Proveedores de Servicios DDNS soportados Pulse en Configuration > Network > DDNS para abrir la pantalla con el resumen de los diferentes perfiles creados con la configuracin del DDNS. Esta pantalla te permitir aadir nuevos nombres de dominios, editar la configuracin para los nombres de dominio existente s, y borrar los nombres de dominio.

    Fig. Resumen de perfiles de configuracin DDNS

  • Si pulsamos sobre Aadir o Editar nos aparecer una ventana de configuracin para rellenar con los datos de la cuenta del nombre de dominio.

    Fig. Configuracin de un perfil DDNS

    En la pestaa DDNS Status se muestra el estado del uso de los nombres de dominios empleados en el DDNS del ZyWALL. Pulse sobre Monitor > System Status > DDNS Status para abrir la ventana siguiente.

    Fig. Estado del uso de los perfiles DDNS

  • 6.13. Aplicaciones de VoIP con USG La VoIP consiste en el transporte de trfico de voz utilizando el protocolo de Internet (IP). Es un sustituto eficiente de la PSTN (Plain Old Telephone Network o red Telefnica Bsica convencional) y actualmente se usa cada vez ms en las empresas. Sin embargo, el cliente SIP VoIP es una aplicacin NAT poco amigable. El USG con su funcin ALG, es compatible con la may ora de los dispositivos de VoIP en los diferentes escenarios.

    6.13.1. Lista de Dispositivos VoIP Soportados

    Fig. - Lista de dispositivos VoIP soportados

  • 6.13.2. Escenario VoIP en NAT El SIP VoIP es por naturaleza una aplicacin NAT po co amigable, ya que utiliza un puerto diferente para el trfico RTP (flujo de voz) del de iniciacin de sesin, que es por defecto UDP 5060. Actualmente existen las siguientes soluciones para solventar la incompatibilidad entre SIP y NAT:

    - SIP ALG en la pasarela NAT - STUN - Proxy saliente - Soluciones en los dispositivos del cliente SIP (como Use NAT en los

    clientes VoIP de ZyXEL). El USG ZyWALL soporta ALG. El administrador de red necesita validar SIP ALG en el ZyWALL. De esta manera, puede desplegar soluciones VoIP en diferentes escenarios NAT, independientemente de que el servidor SIP est en Internet o en la red local.

    6.13.3. Servidor SIP en Internet

    6.13.3.1. Escenario de Aplicacin En el escenario inferior, el servidor SIP est en Internet. Hay clientes SIP en la red local del USG y en Internet. Todos los clientes estn registrados en el servidor SIP. Queremos que todos puedan llamar a todos:

    - Los clientes locales puedan llamar a los de Internet. - Los clientes de Internet puedan llamar a los clientes locales - Los clientes locales se puedan llamar entre s.

    Fig. Servidor SIP en Internet

  • 6.13.3.2. Pasos de Configuracin Se necesita habilitar SIP ALG en el ZyWALL para que este escenario funcione. Ir a Configuration > Network > ALG, habilitar SIP ALG y SIP Transformations.

    Fig. - Habilitar SIP ALG y SIP Transformations Una vez activadas estas funciones, hay que registrar todos los clientes en el servidor SIP de Internet, de esta manera todos los clientes pueden llamarse entre ellos, independientemente de que estn en la red local o en Internet.

    6.13.4. Servidor SIP en la Red Local

    6.13.4.1. Escenario de Aplicacin En el escenario inferior, el servidor SIP est en la red local. Hay clientes SIP en la red local del USG y en Internet. Todos los clientes estn registrados en el servidor SIP. Queremos que todos puedan llamar a todos:

    - Los clientes locales puedan llamar a los de Internet. - Los clientes de Internet puedan llamar a los clientes locales - Los clientes locales se puedan llamar entre s. - Los clientes de Internet se puedan llamar entre s.

    Fig. - Servidor SIP en la red local

  • !

    6.13.4.2. Pasos de Configuracin Paso 1. Ir a Configuration > Network > NAT, aadir una regla NAT para mapear el trfico SIP al servidor SIP local.

    Fig. - Aadir regla NAT para mapear el trfico SIP Paso 2. Ir a Configuration > Firewall, aadir una regla de cortafuegos para permitir el trfico SIP desde la WAN al servidor SIP local.

    Fig. - Aadir regla de cortafuegos

  • "

    Paso 3. Ir a Configuration > Network > ALG, habilitar SIP ALG y SIP Transformations.

    Fig. - Habilitar SIP ALG y SIP Transformations Una vez realizadas estas configuraciones, todos los clientes se pueden registrar en el servidor local y se pueden llamar entre ellos, independientemente de que se encuentren en la red local o en Internet.

    6.13.5. Escenario VoIP en VPN

    6.13.5.1. Escenario de Aplicacin En el escenario inferior, la X6004 se encuentra en la red local de la sede central. Hay clientes SIP en esta red local, as como en las redes locales de las sucursales. Los clientes SIP se quieren registrar en el servidor SIP (X6004) de una manera segura a travs de tneles VPN. Para cumplir con los requerimientos exigidos, todas las sucursales deben establecer tneles IPSec VPN con el USG de la sede central. Asimismo, para permitir que los clientes SIP de las sucursales se puedan llamar entre s a travs de los tneles VPN, el administrador de red debe crear un concentrador IPSec VPN para incluir todos los tneles establecidos con las sucursales.

    Fig. - Escenario VoIP en VPN

  • !#

    6.13.5.2. Pasos de Configuracin Informacin de direcciones IP en el USG de la sede central y los USGs de las sucursales: HQ USG: WAN IP: 172.25.27.140 LAN1 subnet: 192.168.1.0/24 X6004 IP: 192.168.1.33 Branch office 1(Br1) USG: WAN IP: 172.25.27.90 LAN1 subnet: 192.168.4.0/24 Branch office 2 (Br2) USG: WAN IP: 172.25.27.39 LAN1 subnet: 192.168.5.0/24 En el USG de la sede central (HQ USG): Paso 1. Ir a Monitor > System Status > Interface Status, aadir verificar la informacin IP del interfaz.

    Fig. - Verificar informacin IP del interfaz Paso 2. Ir a Configuration > Object > Address, aadir objetos de direcciones para las subredes locales Br1 y Br2 para uso posterior en la configuracin IPSec VPN.

    Fig. - Objetos de direcciones para las subredes Br1 y Br2

  • !

    Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway, aadir reglas de fase 1 VPN para los tneles hacia Br1 y Br2: A Br1: My Address: WAN1 IP (172.25.27.140) Peer Gateway Address: Br1 WAN IP (172.25.27.90)

    Fig. - Aadir regla de fase 1 VPN hacia Br1

  • !

    A Br2: My Address: WAN1 IP (172.25.27.140) Peer Gateway Address: Br2 WAN IP (172.25.27.37)

    Fig. - Aadir regla de fase 1 VPN hacia Br2 Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir reglas de fase 2 VPN hacia Br1 y Br2: A Br1: Local policy: local LAN1 subnet (192.168.1.0/24) Remote policy: Br1 local subnet (192.168.4.0/24)

  • !

    Fig. - Aadir regla de fase 2 VPN hacia Br1

    A Br2: Local policy: local LAN1 subnet (192.168.1.0/24) Remote policy: Br2 local subnet (192.168.5.0/24)

  • !

    Fig. - Aadir regla de fase 2 VPN hacia Br2

    Paso 5. Ir a Configuration > VPN > IPSec VPN > Concentrator, crear un concentrador VPN. Este concentrador debiera incluir todos los tneles VPN IPSec hacia las sucursales.

    Fig. - Crear un concentrador VPN

  • !

    Paso 6. Ir a Configuration > Network > Zone. Por defecto, Block Intra-zone est habilitado para la zona IPSec VPN. Se debe deshabilitar.

    Fig. - Deshabilitar el trfico Block Intra-zone En ZLD v2.20, el enrutamiento para el trfico VPN se crea automticamente de acuerdo con las rutas de polica local y remota de fase 2 VPN. As, no se necesita aadir rutas de polica para el trfico desde la subred local de la sede central hacia las subredes de las sucursales. Sobre Br1: Paso 1. Ir a Monitor > System Status > Interface Status, verificar la informacin IP del interfaz para uso posterior en l a configuracin VPN IPSec.

    Fig. - Verificacin informacin IP del interfaz

  • !

    Paso 2. Ir a Configuration > Object > Address, aadir objeto de direccin de la subred local de la sede central para uso posterior de la configuracin VPN IPSec. Y un objeto de direcciones de rango para uso posterior en la configuracin de ruta de polica para enrutar el tr fico de las redes locales de las sucursales a los tneles VPN. Este objeto de rango debiera cubrir todas las subredes locales de las sucursales. En este caso, se ha creado como 192.168.1.0~192.168.5.255.

    Fig. - Aadir objeto de direccin de la subred local de la sede central

    Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway, aadir una regla de fase 1 VPN para constituir el tnel hacia la sede central. My Address: WAN1 IP (172.25.27.90) Peer Gateway Address: HQ WAN IP (172.25.27.140)

    Fig. - Aadir regla de fase 1 VPN para constituir el tnel hacia la sede central

  • !

    Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir una regla de fase 2 VPN para constituir el tnel hacia la sede central. Local policy: local LAN1 subnet (192.168.4.0/24) Remote policy: HQ local subnet (192.168.1.0/24)

    Fig. - Aadir regla de fase2 VPN para constituir el tnel hacia la sede central

    Paso 5. Ir a Configuration > Network > Routing > Policy Route, aadir una regla de ruta de polica para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN con la sede central. Incoming interface: LAN1 Source: LAN1_Subnet (192.168.4.0/24) Destination: range_br(192.168.1.0~192.168.5.255) Next Hop: VPN tunnel to_HQ

    Fig. Regla para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN con la sede central.

  • !!

    Sobre Br2: Paso 1. Ir a Monitor > System Status > Interface Status, verificar la informacin IP del interfaz para uso posterior en l a configuracin IPSec VPN.

    Fig. - Verificacin de la informacin IP del interf az Paso 2. Ir a Configuration > Object > Address, aadir objeto de direccin de la subred local de la sede central para uso posterior de la configuracin VPN IPSec. Y un objeto de direcciones de rango para uso posterior en la configuracin de ruta de polica para enrutar el tr fico de las redes locales de las sucursales a los tneles VPN. Este objeto de rango debiera cubrir todas las subredes locales de las sucursales. En este caso, se ha creado como 192.168.1.0~192.168.5.255.

    Fig. - Aadir objeto de direccin de la subred local de la sede central Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway, aadir una regla de fase 1 VPN para constituir el tnel hacia la sede central. My Address: WAN1 IP (172.25.27.37) Peer Gateway Address: HQ WAN IP (172.25.27.140)

  • !"

    Fig. - Aadir regla de fase 1 VPN para constituir el tnel hacia la sede central

    Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection, aadir regla de fase 2 VPN para constituir el tnel hacia la sede central. Local policy: local LAN1 subnet (192.168.5.0/24) Remote policy: HQ local subnet (192.168.1.0/24)

  • "#

    Fig. - Aadir regla de fase 2 VPN para constituir el tnel hacia la sede central

    Paso 5. Ir a Configuration > Network > Routing > Policy Route, aadir una regla de ruta de polica para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN IPSec con la sede central. Incoming interface: LAN1 Source: LAN1_Subnet (192.168.5.0/24) Destination: range_br(192.168.1.0~192.168.5.255) Next Hop: VPN tunnel to_HQ

    Fig. - Aadir una regla de ruta de polica para enrutar el trfico de las subredes locales de las sucursales hacia el tnel VPN con la sede central.

  • "

    Ya que los clientes SIP de las sucursales se registran en el servidor SIP a travs de tneles VPN IPSec, el trfico VoIP no pasa por el NAT y se puede dejar el SIP ALG deshabilitado en todos los ZyWALL USG.

    Fig. - Deshabilitar el SIP ALG en el ZyWALL USG Una vez realizadas todas las programaciones, tanto en la sede central como en las sucursales, establecer los tneles.

    Fig. - Establecer los tneles Todos los clientes VoIP se tienen que registrar en el servidor SIP a travs de tneles VPN para poder realizar llamadas VoIP entre ellos a travs de dichos tneles.

  • "

    7. Configuracin del Firewall Un Firewall es un dispositivo de red segura entre su Intranet y el Internet, pueden ser de tipo hardware o un software instalado en un ordenador.

    Fig. En este escenario el Firewall bloquea las pe ticiones FTP

    En cuanto a las caractersticas ms notables podemos indicar:

    - Stateful Inspection- El ZyWALL restringe el acceso de paquetes de datos definiendo reglas de acceso. Por ejemplo, el trfico de una zona no est permitido a menos que sea iniciada por un equipo de otra zona en primer lugar.

    - Zones- Una zona es un grupo de interfaces o tneles VPN. Puede agrupar los interfaces del ZyWALL en zonas diferentes basndose en sus necesidades. Puede configurar reglas para dejar pasar el trfico entre zonas o entre interfaces y/o tneles VPN en una zona.

    - Global Firewall Rules- Las reglas del Firewall con origen o destino any como direccin del paquete se denominan Globa l Firewall Rules. Esta regla es la nica regla que el firewall aplica a un Interfaz que no est incluido en una zona.

    - Firewall Rule Criteria- El ZyWALL verifica el nombre de usuario, direccin IP origen, direccin IP destino y tipo de protocolo de red en contra de las reglas del firewall. Cuando el trfico coincide con una regla, el ZyWALL realiza la accin especificada para esa r egla.

    - User Specific Firewall Rules- Puede especificar usuarios o grupos en las reglas del firewall. Por ejemplo, puede permitir a un usuario especfico desde cualquier ordenador accede a una zona logndose en el ZyWALL. Puede configurar una regla basada nicamente en el nombre de usuario.

  • "

    Fig. En este escenario el Firewall bloquea acceso s entre zonas

    La configuracin del Firewall de ZyXEL es sencilla e intuitiva. Utilice el servidor de seguridad para bloquear o permitir los servicios, protocolos o cualquier trfico entre las zonas de transmisin origen y destino. El Firewall viene pre-configurado con unas reglas por defecto con las siguientes acciones por defecto:

    Fig. Escenario con las Acciones por defecto del F irewall

    El usuario 1 puede inicializar una sesin Telnet de sde la zona LAN1 y las respuestas a esta peticin son permitidas. Sin emba rgo, el trfico Telnet iniciado desde la zona WAN o DMZ hacia la zona LAN1 est bloqueado. Las reglas del Firewall estn agrupadas basndose en la direccin en que viajan los paquetes que se apliquen. A continuacin se muestra el comportamiento por defecto del firewall para el trfico que viaja a travs del ZyWALL.

  • "

    De Zona a Zona

    Accin de la Inspeccin del

    Firewall (Stateful Packet Inspection)

    De LAN1 a LAN1 Permitido De LAN1 a WAN Permitido De LAN1 a DMZ Permitido De LAN1 a WLAN Permitido De LAN1 a LAN1 Permitido De WLAN a LAN1 Permitido De WLAN a WAN Permitido De WLAN a DMZ Permitido De WLAN a WLAN Permitido De WAN a LAN1 Bloqueado De WAN a DMZ Permitido De WAN a WLAN Permitido De WAN a WAN Bloqueado De DMZ a LAN1 Bloqueado De DMZ a WAN Permitido De DMZ a WLAN Bloqueado De DMZ a DMZ Bloqueado

    Fig. Configuracin con las Acciones por defecto d el Firewall Para acceder a la configuracin de las reglas del F irewall nos desplazaremos por el Panel de Navegacin sobre el men Configuration > Firewall. Desde aqu podemos establecer el nmero mximo de sesiones por Host, as como la configuracin de las diferentes reglas en f uncin del sentido de la comunicacin.

    Fig. Ventana principal de configuracin del Firew all

  • "

    Por ejemplo editamos la regla WAN to LAN1, y rellenamos los campos que se nos piden en funcin de un horario de aplicacin, u suario, origen, destino, servicio y permitir o no el acceso, y registrarlo en el Log del sistema.

    Fig. Edicin de regla de Firewall WAN to LAN1

    7.1. Ejemplo de configuracin de reglas de Firewall En este ejemplo vamos a hacer que el ordenador con la direccin IP 192.168.1.7 de nuestra LAN1 sea el nico que tenga acceso al servicio IRC. Por lo que vamos a crear una serie de reglas de Firewall para que suplan nuestra necesidad. La primera fila permite al ordenador de la LAN1 con direccin IP 192.168.1.7 acceder al servicio IRC en la WAN. La segunda fila bloquea el acceso desde la LAN hacia el servicio IRC en la WAN. La tercera fila es la poltica por defecto, que permite todo el trfico desde la LAN hacia la WAN.

  • "

    Fig. Ejemplo de regla de Firewall

    Para configurar estas reglas en el ZyWALL pulsaremos sobre el men Configuration > Firewall ubicado en el Panel de Navegacin. Pulsaremos sobre el icono Add para crear una nueva regla de firewall.

    Fig. Ejemplo de creacin de regla de Firewall

    En la pantalla de configuracin especificaremos el servicio a inspeccionar por el firewall, as como la accin deny para cuando se produzca la coincidencia con la regla. Si no tenemos los objetos creados los podemos crear desde esta ventana.

  • "

    Fig. Denegamos cualquier trfico con uso del servicio IRC

    Para permitir al ordenador con la IP 192.168.1.7 acceder al servicio IRC en la WAN, debemos crear otra regla de firewall. En esta regla necesitamos especificar qu host y qu protocolo estn permitidos.

    Fig. Permitimos el trfico con origen 192.168.1.7 el uso del servicio IRC

    La regla para el ordenador 192.168.1.7 debe de tener una prioridad mayor que la regla que bloquea el trfico con origen toda la LAN usar el servicio IRC en la WAN.

  • "!

    Si sta regla hubiera estado primero, la IP 192.168.1.7 podra coincidir con esta regla y el ZyWALL tirara el paquete y no verificara otras reglas de firewall.

    Fig. Verificacin del orden de prioridad de las r eglas de firewall

  • ""

    8. Configuracin del Balanceo de Carga (Trunks) El balanceo de carga (trunk) se utiliza para balancear el trfico de los interfaces WAN y as aumentar la eficacia y fiabilidad de la red, cuando se dispone de varias conexiones a Internet con diferentes anchos de banda. Asimismo, el ZyWALL puede enviar el trfico de cada ordenador local que est yendo al mismo destino, a travs de un nico interfaz WAN por un determinado periodo de tiempo (link sticking). Esto es til cuando un servidor requiere autenticacin. Por ejemplo, el ZyWALL enva el trfico de un usuario a travs de una direccin IP WAN cuando se registra en un se rvidor B. Si las siguientes sesiones proceden de diferentes direcciones IP WAN, el servidor podra rechazarlas.

    Fig. Escenario para Link Sticking

    En la figura anterior: 1. El usuario A de la LAN se registra en el servidor B en Internet. El ZyWALL utiliza la WAN 1 para enviar el requerimiento al servidor B. 2. El ZyWALL est utilizando balanceo de carga activo/activo. As, cuando el usuario A de la LAN intenta acceder a algn contenido de B, el requerimiento sale a travs de la WAN 2. 3. El servidor identifica que el requerimiento viene de la direccin IP WAN 2 en vez de la de WAN 1 y lo rechaza. Si se hubiera configurado el link sticking, el ZyWALL habra utilizado el WAN 1 para enviar el requerimiento del usuario A de la LAN al servidor y ste le habra dado acceso.

  • ##

    Para habilitar la funcin de link sticking, vaya al men Configuration > Network > Interface > Trunk

    Fig. Habilitacin del Link Sticking

    Desde esta misma pantalla, se puede aadir o editar un perfil personalizado de balanceo de carga, y seleccionar el algoritmo de balanceo de carga:

    Fig. Seleccin del modo de Balanceo

    Se pueden establecer diferentes algoritmos de balanceo segn las necesidades de cada caso:

  • #

    - Least load first. Enva los paquetes primero por la interfaz menos

    cargada. - Weighted round robin. Realiza un Round Robin ponderado enviando

    los paquetes en funcin de una relacin de velocida d entre las interfaces. - Spillover. Cuando se sobrepasa el umbral especificado se enva el

    trfico por la otra interfaz.

    8.1. Least Load First En este algoritmo se realizar una relacin entre el ancho de banda total y el utilizado, en subida y en bajada, para determinar por qu interfaz se enrutar el datagrama. Un ndice menor indicar el interfaz elegido. Es el algoritmo configurado por defecto.

    Fig. Algoritmo Least Load First

    La utilizacin del ancho de banda de salida se toma como referencia para calcular el ndice de balanceo de carga. En el ejemplo, el trfico de salida de la WAN1 es 412K y el de la WAN2 de 198 K. El ZyWALL calcula el ndice de balanceo de carga segn la tabla adjunta:

    Para configurar este algoritmo nos vamos al men Configuration > Networking > Interface > Trunk, y seleccionamos el algoritmo Least Load First y los interfaces WAN involucrados en modo Active :

  • #

    Fig. Configuracin del Least Load First

    8.2. Weighted Round Robin En este Algoritmo se realiza un Round Robin ponderado en funcin de un ratio entre interfaces.

    Fig. Algoritmo Weighted Round Robin

    Para configurar este algoritmo nos vamos al men Configuration > Networking > Interface > Trunk, y seleccionamos el algoritmo Weighted Round Robin y sobre los interfaces WAN involucrados aplicamos un valor de ponderacin a modo de ratio:

  • #

    Fig. Configuracin del Weighted Round Robin

    8.3. Spillover En este Algoritmo se configura un umbral de ancho de banda, que al ser sobrepasado se realizar un cambio para que se enve el trfico por la otra interfaz miembo del trunk.

    Fig. Algoritmo Spillover

  • #

    Para configurar este algoritmo nos vamos al men Configuration > Networking > Interface > Trunk, y seleccionamos el algoritmo Spillover y dejamos en modo Passive al interfaz secundario qu e queremos usar para enviar los datos una vez superado el umbral configurado de las interfaces Active.

    Fig. Configuracin del Spillover

    En este caso tanto la wan1 como la wan2 estn configuradas en modo Active. Sobre la wan1 se ha establecido un umbral de 8000 Kbps, que una vez superado se empezarn a enviar los datos por el segundo miembro del trunk, la interfaz wan2.

  • #

    9. Gestin del Ancho de Banda

    9.1. Desde el Policy Route La Gestin del Ancho de Banda que se realiza desde el Policy Route no requiere de una licencia, pero est limitada a la gestin del ancho de banda de subida. Para configurar el Address Mapping del NAT nos iremos a la barra lateral de men Configuration > Network > Routing > Policy Route. Dentro habilitaremos la gestin del ancho de banda Enable BMW, y podremos aadir o modificar reglas de configuracin. Por ejemplo vamos a aadir una nueva regla.

    Fig. Configuracin del Policy Route

    Al aadir una nueva regla nos aparecer un formulario para que introduzcamos un nombre para esta regla, el origen y destino de los datos, un horario de utilizacin, y el puerto del servicio a limitar. En las opciones de ancho de banda, seleccionaremos un ancho de banda mximo de subida para utilizacin de este servicio, as como un nivel de prioridad. Tambin podremos maximizar la utilizacin del ancho de banda. En la regla del ejemplo que hemos creado se va a limitar a 100Kbs la subida mxima para el usuario del PC_33 para la utilizacin del servicio ARES_tcp. Al poseer un nivel 5 de prioridad, cualquier regla que tenga un nmero inferior a prioridad, se transmitir antes que los datos del servicio limitado.

  • #

    Fig. Configuracin del Ancho de Banda en el Polic y Route

  • #

    Quedando finalmente la regla de la siguiente forma:

    Fig. Regla de Policy Route con configuracin del Ancho de Banda aplicada

    9.2. Desde el Application Patrol La Gestin del Ancho de Banda que se realiza desde el Application Patrol es ms flexible y potente que la Gestin de Ancho de banda que se realiza en las reglas del Policy Routes. Permite la gestin del an cho de banda de subida, y del ancho de banda de bajada, por lo que es ms completa que la que se realiza de forma gratuita desde el Policy Route. Por lo que requiere una licencia de utilizacin del mismo. As mismo controla trfico TCP y UDP. La Gestin del Ancho de Banda en las Policy Routes tine prioridad sobre la Gestin de Ancho de Banda del Application Patrol, p or lo que recomendamos usar el Application Patrol en vez de Policy routes para gestionar el ancho de banda de trfico TCP y UDP. La Gestin del Ancho de Banda permite realizar conf iguraciones especficas por usuario e interfaz en funcin de la configuraci n de los planificadores.

    Planificadores:

    - Inbound: Reserva Ancho de Banda de entrada - Outbound: Reserva Ancho de Banda de salida - Priority: Asigna un nivel de prioridad de 1 a 7 (1 mayor prioridad)

  • #!

    Previamente tenemos que habilitar tanto el Application Patrol como la gestin de Ancho de Banda desde el men Configuration > App Patrol > General

    Fig. Gestin del Ancho de Banda

    Para configurar la Gestin de Ancho de Banda nos ir emos a la barra de mens lateral Configuration > AppPatrol > Other. Y aadiremos una nueva regla.

    Fig. Creacin de regla de Gestin del Ancho de Ba nda

    En dicha regla de configuracin podremos elegir el puerto, horario de aplicacin, usuario, interfaces origen y destino, direccin ori gen, direccin destino, protocolo, permitir o no el paso, y el control del ancho de banda del trfico de subida y de bajada. La opcin DSCP Marking permite aadir un marcado de Calidad de Servicio (QoS) a este tipo de trfico para que otros dispositivos compatibles con DiffServ puedan interpretar dicho trfico con otra prioridad. Entre las opciones posibles podemos no marcar este trfico preserve, marcarlo con el valor 0 default, o marcarlo con diferentes tipos de clase y codificacin DSCP segn los siguientes valores de Assured Forwarding:

  • #"

    Fig. Configuracin del Ancho de Banda

    Una vez configuradas las reglas del Ancho de Banda podremos visualizar de manera grfica la utilizacin de dicho Ancho de Banda por una serie de servicios dentro de la barra de mens Monitor > AppPatrol Statistics. Podremos seleccionar todos los protocolos disponibles a examinar su utilizacin de ancho de banda, o seleccionar los qu e queramos de los disponibles.

    Fig. Representacin Grfica de utilizacin del An cho de Banda

  • #

    Del mismo modo, en la misma ventana, pero ms abajo podremos encontrar una visualizacin con los valores de paquetes trans mitidos y recibidos de la utilizacin del Ancho de Banda.

    Fig. Representacin Numrica de utilizacin del A ncho de Banda

  • 9.2.1 Ejemplo de Aplicacin Gestin de Ancho de Ban da en Application Patrol En este ejemplo vamos a suponer que disponemos de una lnea ADSL de 8Mbps de bajada y 1Mbps de subida. Vamos a hacer uso de las polticas del Application Patrol para gestionar ese ancho de banda de subida de 1 Mbps segn nuestros requisitos:

    El trfico SIP de los clientes VIP debe de salir con el menor retardo posible sin tener en cuenta que sea una llamada entrante o saliente. Los clientes VIP deben de poder realizar y recibir llamadas SIP sin importar el interface donde estn conectados.

    El trfico HTTP tendr prioridad sobre el trfico FTP. El trfico FTP desde la WAN a la DMZ debe de estar limitado para no

    interferir ni el trfico SIP, ni trfico HTTP. El trfico FTP desde la LAN1 a la DMZ puede usar ms ancho de banda

    dado que los interfaces soportan conexiones de hasta 1Gbps , pero deben ser la prioridad ms baja, y estar limitados para no interferir ni el trfico SIP, ni el trfico HTTP.

    Fig. Escenario de Ejemplo

  • 1.) Primeramente vamos a asignar la velocidad de subida del interface WAN

    a 1000Kbps. Ya que en la lnea ADSL contratada disponemos de 1Mbps. Lo asignaremos desde el men Configuration > Interface > Ethernet > wan1

    Fig. Asignacin de 1000Kbps al interface wan1

    En el men Configuration > AppPatrol, habilitaremos el Application Patrol, el BWM, y la mayor prioridad de ancho de banda para trfico SIP.

    Fig. Activacin del AppPatrol, BWM y prioridad pa ra trfico SIP

    As mismo nos moveremos a la pestaa VoIP, en la que editaremos la regla creada sobre el servicio SIP.

    Fig. Edicin de la regla del servicio SIP

  • Aadiremos dos reglas para trfico de LAN to WAN, y de DMZ to WAN, asignando un ancho de banda de salida de 200Kbps, prioridad 1, y activando el Maximize Bandwidth Usage. Y dos reglas para trfico WAN to LAN, y de WAN to DMZ, asignando un ancho de banda de entrada de 200Kbps, prioridad 1, y activando el Maximize Bandwidth Usage:

    Fig. Esquema de la gestin de ancho de banda para trfico SIP

    Fig. Ejemplo de creacin de regla de configuraci n para el servicio SIP

  • Fig. Resumen de reglas del AppPatrol para el serv icio SIP

    2.) El trfico de entrada dispondr de un ancho de banda mayor, ya que

    probablemente los usuarios locales descarguen ms trfico de lo que suben. Desde la pestaa Common editaremos la regla creada sobre el servicio HTTP. Asignaremos la prioridad 2 para el trfico HTTP, y habilitaremos el maximize bandwidth usage para que el trfico HTTP pueda hacer uso del ancho de banda excedente que no est en uso.

    Fig. Esquema de la gestin de ancho de banda para trfico HTTP

  • Fig. Ejemplo de creacin de regla de configuracin para el servicio HTTP

    Fig. Resumen de reglas del AppPatrol para el serv icio HTTP

    3.) La lnea ADSL soporta ms trfico de bajada que de subida, por lo que a los clientes remotos les permitiremos un ancho de banda de 300Kbps para subida de ficheros al servidor FTP tras la DMZ y solamente 100Kbps de bajada. Desde la pestaa Common editaremos la regla creada sobre el servicio FTP. Asignaremos la prioridad 3 para el trfico FTP, y deshabilitaremos el maximize bandwidth usage para no proveer de un an cho de banda extra a este tipo de trfico.

  • Fig. Esquema de la gestin de ancho de banda para trfico FTP

    Fig. Ejemplo de creacin de regla de configuraci n para el servicio FTP

    4.) Las zonas LAN y DMZ estn conectadas a redes Ethernet, por lo que no necesitan del ADSL para comunicarse entre s. Por lo que limitaremos un ancho de banda de 50Mbps para subida y para bajada. Asignaremos la prioridad 4 para este trfico FTP, y deshabilitaremos el maximize bandwidth usage para no proveer de un an cho de banda extra a este tipo de trfico.

    Fig. Esquema de la gestin de ancho de banda para trfico FTP

  • Fig. Resumen de reglas del AppPatrol para el serv icio FTP

  • !

    10. NAT

    10.1. Configuracin del Servidor Virtual Es una prctica bastante comn en las empresas situar los servidores corporativos detrs de los ZyWALLs USG de proteccin, y al mismo tiempo, permitir a los clientes/servidores del lado WAN el acceso a los servidores intranet. Por ejemplo, la empresa puede tener un servidor de correo al que necesitan conectarse clientes y servidores de correo internet o servidores web, servidores ftp, etc. a los que se requiere poder acceder desde Internet. Las reglas del Servidor Virtual se deben configurar para permitir todas estas aplicaciones.

    10.1.1. Escenario de Red En el escenario inferior, el administrador de red quiere que al servidor web (192.168.1.5) se pueda acceder desde WAN1 y al servidor web (192.168.1.6) se pueda acceder desde WAN2.

    Fig.- Escenario de Red

    10.1.2. Pasos de Configuracin

    1. Ir a Configuration > Network > NAT, pulsar el botn Add para aadir una regla NAT.

    Fig. - Aadir una regla NAT

  • "

    2. En la ventana de edicin de la regla, rellenar t odos los campos necesarios.

    Port Mapping Type: Seleccionar el Servidor Virtual. Incoming Interface: Seleccionar wan1 para el servidor web, ya que se quiere acceder desde WAN1. Original IP: Se puede elegir User Defined, y manualmente introducir la direccin IP de la WAN1. O se puede crear primero u n objeto de direccin desde el campo Create new Object y escoger este o bjeto desde la lista desplegable de IP Original. Mapped IP: Especifica la direccin IP del servidor. En este caso es 192.168.1.5. Se puede crear primero un objeto y seleccionar la direccin de la lista desplegable. Port Mapping: En este caso, para evitar conflictos con el puerto http del USG, establecemos como puerto original TCP 8080 y como puerto mapeado TCP 80.

    Fig. - Aadir reglas de NAT Siguiendo los pasos indicados anteriormente, aadir las reglas del servidor virtual para que el servidor de correo pueda reenviar SMTP y POP3 desde el interfaz WAN2 hacia el servidor 192.168.1.6.

  • #

    Fig. - Aadir reglas del servidor virtual

    No hay que olvidar configurar las reglas correspondientes al cortafuegos para permitir el trfico http, smtp y pop3 desde el interfaz WAN hacia los servidores LAN.

    Fig. - Configuracin reglas del cortafuegos

    Obsrvese que para la regla del cortafuegos de encaminamiento al servidor web, se usa el puerto TCP 80 en lugar del TCP 8080. Ello es debido a que en el flujo general de paquetes, el proceso DNAT precede a la comprobacin del cortafuegos.

  • 10.2. Configuracin de NAT Uno a Uno

    10.2.1. Escenario de Red El NAT Uno a Uno asegura el mapeo local IP con un nico mapeo IP global, independientemente de que el trfico sea saliente desde el entorno local hacia Internet o entrante desde Internet hacia el entorno local.

    Fig. - Escenario de NAT Uno a Uno

    En el escenario superior, se mapea la direccin IP global WAN 200.0.0.1 a la 192.168.1.5 del servidor web de la intranet. As, cuando un cliente http quiere acceder al servidor, su IP original es 200.0.0.1. Despus de que el USG reciba el trfico, mapea la direccin de destino a 192.168.1.5. Cuando el servidor responde, su IP fuente original es 192.168.1.5; cuando el USG la recibe la traducir a 200.0.0.1 y la enviar al cliente Internet. Una vez que la regla NAT Uno a Uno se ha configurado, el USG generar automticamente una regla de enrutamiento Uno a Uno en el sistema. As, cuando el servidor 192.168.1.5 inicia el trfico para acceder a Internet, si no hay ruta de polica aplicable, el USG utilizar este enrutamiento Uno a Uno, enviar el trfico a travs del interfaz WAN 200.0.0.1 y mapear la direccin origen a 200.0.0.1.

    10.2.2. Pasos de Configuracin

    1. Nos vamos al men Configuration > Network > NAT, y pulsamos el botn Add para aadir una regla NAT.

    Fig. - Aadir una regla NAT

  • 2. En la ventana de edicin de la regla, rellenar t odos los campos necesarios:

    Port Mapping Type: 1:1 NAT. Incoming Interface: Seleccionar el interfaz WAN del que se quiera que el USG reciba el trfico entrante hacia el servidor. Original IP: Se puede elegir User Defined e introducir manua lmente la IP WAN1. O se puede primero crear un objeto de direccin desde el campo Create new object y luego seleccionar este objet o desde la lista desplegable de Original IP. Mapped IP: Especifica la direccin IP del servidor. En este caso, 192.168.1.5. Se puede tambin crear primero un objeto y luego seleccionarlo desde la lista desplegable. Port Mapping: En este caso, elegimos Service como tipo de map eo y servicio http.

    Fig. - Ventana de edicin de reglas

    No hay que olvidar configurar la regla de cortafuegos correspondiente, para permitir el trfico http desde el interfaz WAN hasta el servidor LAN 192.168.1.5.

  • Fig. - Configuracin regla de cortafuegos

    10.3. Configuracin NAT Varios Uno a Uno La regla NAT Varios Uno a Uno se corresponde con la programacin de una serie de reglas NAT Uno a Uno. El nmero de direcciones IP del Rango/Subred IP original, debiera igualar al nmero de direcciones IP en el Rango/Subred mapeado. La primera IP del rango original se mapear sobre la primera IP del rango mapeado, la segunda sobre la segunda y as sucesivamente.

    10.3.1. Escenario de Aplicacin

    Fig. - Escenario de aplicacin NAT Varios Uno a Uno

  • 10.3.2. Pasos de Configuracin

    1. Ir a Configuration > Network > NAT, pulsar el botn Add para aadir una regla NAT.

    Fig. - Aadir una regla NAT

    2. En la ventana de edicin de la regla, rellenar t odos los campos

    necesarios. Port Mapping Type: Varias 1:1 NAT. Incoming Interface: Seleccionar el interfaz WAN del que se quiera que el USG reciba el trfico entrante hacia los servidores. Original IP: Se puede primero crear objetos de direcciones para los rangos IP original y mapeado desde el campo Create new object y luego seleccionar estos objetos desde la lista desplegable de Original IP. Mapped IP: Seleccionar el objeto direccin desde la lista de splegable. Port Mapping: Slo se puede configurar como any.

    Fig. - Ventana de edicin de reglas

  • Una vez terminada la configuracin de la regla NAT, quedara de la siguiente forma:

    Fig. - Estado final configuracin regla NAT

    Una vez que se ha configurado la regla NAT Varios Uno a Uno, se generar automticamente un conjunto de reglas de enrutamiento Uno a Uno en el ZyWALL USG. No hay que olvidar configurar la regla de cortafuegos correspondiente para permitir el trfico desde el interfaz WAN al rango del servidor LAN.

    Fig. - Configuracin regla de cortafuegos

    10.4. Loopback NAT Los servidores corporativos se localizan en la red local del USG ZyWALL. Se pueden crear reglas de servidor virtual o reglas NAT 1:1 para permitir a los clientes del lado WAN conectar con el servidor. Se puede tambin necesitar que el servidor sea accesible por los clientes locales a travs de la direccin IP global del servidor. Por ejemplo, los clientes locales intentan acceder al servidor corporativo por su nombre de dominio. El nombre de dominio ser resuelto a la direccin IP global mediante el DNS. Bajo esta circunstancia, se puede habilitar el Loopback NAT.

  • 10.4.1. Escenario de Red El servidor corporativo 192.168.1.5 se sita en la subred local, el cliente local 192.168.1.33, que est en la misma subred que el servidor, quiere acceder al servidor a travs de la IP global del USG. La validacin del NAT loopback permite esta aplicacin.

    Fig. - Validacin del NAT Loopback

    10.4.2. Pasos de Configuracin

    1. Ir a Configuration > Network > NAT, pulsar el botn Add para aadir una regla NAT.

    Fig. - Aadir regla NAT

    2. En la ventana de edicin de la regla, rellenar t odos los campos

    necesarios y validar el NAT loopback.

  • Fig. - Ventana de edicin de reglas

    Una vez habilitado el NAT loopback, no se requiere poltica de rutas., ya que el USG comprobar automticamente la tabla de enrutamiento. Solamente har SNAT para los clientes locales de la misma subred que el servidor. Las direcciones origen de los clientes del lado WAN y los clientes locales de las otras subredes, permanecern como en el original.

    10.5. NAT con Proxy ARP A veces el usuario puede querer utilizar alguna IP de no interfaz como IP global para algunos servidores, o querer hacer SNAT para que algn tipo de trfico local mapee la direccin origen sobre alguna IP de no interfaz. Por ejemplo, el usuario tiene 3 IP pblicas: 200.0.0.1, 200.0.0.2 y 200.0.1.1. Configura 200.0.0.1 como WAN1 IP, 200.0.1.1 como WAN2 IP y quiere que los usuarios utilicen 200.0.0.2 para acceder al servidor de intranet, p.e. en 192.168.1.5, aadiendo una regla NAT como sigue: Incoming Interface: WAN1 Original IP: 200.0.0.2 Mapped IP: 192.168.1.5

  • !

    Una vez que el usuario ha aadido la regla NAT como se ha indicado, en el ZLD v2.1x se crear automticamente un Interfaz Virtual en el Incoming Interface con una IP de no interfaz. En el ejemplo, aadir un Interfaz Virtual sobre WAN1, con la IP 200.0.0.2. Sin embargo, existe una desventaja en este mtodo: Despus de que la regla NAT se ha creado, no solamente se permitir el trfico para acceder al servidor de intranet, sino que se podr acceder al USG desde esta IP de no interfaz, lo que supone un problema de seguridad, ya que algn hacker podra utilizar esta IP para acceder al USG. Adems, no se puede mapear la IP origen del trfico saliente a la IP de no interfaz, debido a que el USG no tiene modo de saber a quin pertenece. Una vez aadida la regla NAT como se ha indicado anteriormente, el ZLD v2.20 crear automticamente una tabla ARP proxy para establecer la IP de no interfaz correspondiente a la MAC del interfaz entrante. Con esta regla NAT, slo se permitir el trfico de acceso al servidor intranet. Cualquier otro trfico ser rechazado. Asimismo, en ZLD v2.20, el USG puede mapear la IP origen del trfico saliente a una IP de no interfaz mediante la creacin de una tabla ARP proxy para mapear la IP de no interfaz a la MAC del interfaz saliente.

    10.5.1. Escenario de Aplicacin En el escenario inferior, la empresa dispone de 4 direcciones IP: 200.0.0.1, 200.0.0.2, 200.0.1.1 y 200.0.1.2. El administrador de red configura 200.0.0.1 a WAN1 y 200.0.1.1 a WAN2 y quiere que el servidor de intranet 198.162.1.5 sea accesible a travs de WAN1 por 200.0.0.2. Tambin quiere que los clientes de la subred 192.168.2.0/24 puedan salir va WAN2 y mapea la IP origen a 200.0.1.2.

    Fig.- Escenario de Aplicacin NAT con ARP Proxy

  • "

    10.5.2. Pasos de Configuracin

    1. Ir a Configuration > Network > Interface, configurar las direcciones WAN1 y WAN2.

    Fig. - Configuracin de las direcciones WAN 1 y WA N2

    2. Para cumplir con el requerimiento de que el servidor intranet pueda ser

    accesible a travs de WAN1 por la IP de no interfaz 200.0.0.2, ir a Configuration > Network > NAT, y aadir una regla como sigue: Incoming Interface: Wan1 Original IP: 200.0.0.2 Mapped IP: 192.168.1.5

    Fig. - Aadir la regla NAT anterior

  • #

    Comprubese la tabla ARP. Se ver el registro correspondiente a 200.0.0.2:

    Fig. - Tabla ARP: Registro correspondiente a 200.0.0.2

    3. Para cumplir los requerimientos de que la subred local 192.168.2.0/24

    sale por WAN2 y las direcciones origen mapeadas a la IP de no interfaz 200.0.1.2, ir al men Configuration > Network > Routing > Policy Route, aadir una regla como sigue: Source Address: 192.168.2.0/24 Destination: any Next Hop: WAN2 SNAT: Address object WAN2_SNAT (200.0.1.2)

    Fig. - Pantalla del ejemplo anterior

    Comprubese la tabla ARP. Se ver el registro correspondiente a 200.0.1.2:

    Fig. - Tabla ARP: Registro correspondiente a 200.0.1.2

  • 10.6. Ruta de Polica vs. Ruta Directa Normalmente, en la prioridad de enrutamiento del USG, la ruta directa tiene prioridad sobre la ruta de polica. A veces, puede necesitarse que sea al revs. Existe una opcin que lo permite: Ir al men Configuration > Network > Routing > Policy Route, pulsar el icono Show Advanced Settings, y habilitar la func in Use Policy Route to Override Direct Route.

    Fig. - Seleccionar Show Advanced Settings

    Fig. - Seleccionar Use Policy Route to Override Direct Route

  • 10.7. Enrutamiento para IPSec VPN En ZLD v2.20, una vez creadas las reglas VPN IPSec, ya no es necesario aadir la Ruta de Polica correspondiente para el enrutamiento del trfico VPN. El USG aadir automticamente la Ruta de Polica de acuerdo con la poltica de acceso local/remoto.

    Fig. - Creacin automtica Ruta de Polica

    Ya que la Ruta de Polica tiene prioridad ms alta, se pueden crear rutas de polica para invalidar las rutas VPN IPSec generadas automticamente por el sistema. O bien, se pueden tambin aadir rutas para permitir que otro trfico pueda utilizar este tnel VPN. Por defecto, el parmetro Use Policy Route to control dynamic IPSec rules est habilitado, por lo que las rutas VPN dinmicas se integrarn en las rutas VPN Site to Site. Si se deshabilita la opcin anter ior, las rutas dinmicas se movern para tener una prioridad mayor en la tabla de prioridad de enrutamiento.

    Fig.- Integracin de las rutas VPN dinmicas

  • 10.7.1. Escenario de Aplicacin

    Fig. - Escenario de aplicacin de enrutamiento para VPN IPSec

    El USG est situado en la Sede Central, en la subred local 192.168.1.0/24. Subred local del ZyWALL 70 remoto: 192.168.4.0/24. El USG y el ZyWALL remoto establecen un tnel VPN IPSec.

    10.7