Guía de Administración StoneGate v2

STONEGATE 5.
2
2 Gua de Administracin StoneGate
3
GUIA DEL ADMINISTRADOR
CORTAFUEGOS
SISTEMA DE PREVENCIN DE INTRUSIONES
MANAGEMENT CENTER
VIRTUAL PRIVATE NETWORKS

5
Legal Information
End-User License Agreement
The use of the products described in these materials is subject to the then current end-user license agreement, which can be found
at the Stonesoft website:
www.stonesoft.com/en/support/eula.html
Third Party Licenses

The StoneGate software includes several open source or third-party software packages. The appropriate software licensing
information for those products at the Stonesoft website:
www.stonesoft.com/en/support/third_party_licenses.html
U.S. Government Acquisitions

If Licensee is acquiring the Software, including accompanying documentation on behalf of the U.S. Government, the following
provisions apply. If the Software is supplied to the Department of Defense (DoD), the Software is subject to Restricted Rights, as
that term is defined in the DOD Supplement to the Federal Acquisition Regulations (DFAR) in paragraph 252.227-7013(c) (1). If the
Software is supplied to any unit or agency of the United States Government other than DOD, the Governments rights in the Software
will be as defined in paragraph 52.227-19(c) (2) of the Federal Acquisition Regulations (FAR). Use, duplication, reproduction or
disclosure by the Government is subject to such restrictions or successor provisions.
Product Export Restrictions

The products described in this document are subject to export control under the laws of Finland and the European Council Regulation
(EC) N:o 1334/2000 of 22 June 2000 setting up a Community regime for the control of exports of dual-use items and technology (as
amended). Thus, the export of this Stonesoft software in any manner is restricted and requires a license by the relevant authorities.
General Terms and Conditions of Support and Maintenance Services

The support and maintenance services for the products described in these materials are provided pursuant to the general terms
for support and maintenance services and the related service description, which can be found at the Stonesoft website:
www.stonesoft.com/en/support/view_support_offering/terms/
Replacement Service
The instructions for replacement service can be found at the Stonesoft website:
www.stonesoft.com/en/support/view_support_offering/return_material_authorization/
Hardware Warranty
The appliances described in these materials have a limited hardware warranty. The terms of the hardware warranty can be found at
the Stonesoft website:
www.stonesoft.com/en/support/view_support_offering/warranty_service/
Trademarks and Patents

The products described in these materials are protected by one or more of the following European and US patents: European Patent
Nos. 1065844, 1189410, 1231538, 1259028, 1271283, 1289183, 1289202, 1304849, 1313290, 1326393, 1379046, 1330095, 131711,
1317937 and 1443729 and US Patent Nos. 6,650,621; 6 856 621; 6,885,633; 6,912,200; 6,996,573; 7,099,284; 7,127,739; 7,130,266;
7,130,305; 7,146,421; 7,162,737; 7,234,166; 7,260,843; 7,280,540; 7,302,480; 7,386,525; 7,406,534; 7,461,401; 7,721,084; and
7,739,727 and may be protected by other EU, US, or other patents, or pending applications. Stonesoft, the Stonesoft logo and
StoneGate, are all trademarks or registered trademarks of Stonesoft Corporation. All other trademarks or registered trademarks are
property of their respective owners.
Disclaimer
Although every precaution has been taken to prepare these materials, THESE MATERIALS ARE PROVIDED "AS-IS" and Stonesoft makes no
warranty to the correctness of information and assumes no responsibility for errors, omissions, or resulting damages from the use of the
information contained herein. All IP addresses in these materials were chosen at random and are used for illustrative purposes only.
Copyright 2010 Stonesoft Corporation. All rights reserved. All specifications are subject to change.
Revision: SGAG_20101027
Servidor DHCP integrado en Clster ................................ 31

Contadores de Hits de Reglas para Reglas de NAT ....... 31
Otros Cambios en IPS 5.2 .......................................... 32
Versin de Software de 64 bits .......................................... 32
Imposicin de Protocolo DNS ............................................ 32
Mejoras en Huellas Digitales (Fingerprints) ..................... 32
Filtrado Web ......................................................................... 32
Tabla de contenido Notas sobre Cambios en la Edicin de Polticas para

Actualizaciones............................................................. 33
Antes de Empezar .................................... 19 Notas sobre la Nueva Lgica de Edicin de Tablas de Reglas
................................................................................................ 33
Uso de la Documentacin de StoneGate ....... 21 Notas sobre Cambios en las Reglas de Inspeccin ........ 34
Objetivos y Audiencia .................................................. 22 Uso del Management Client ............................. 35
Convenciones Tipogrficas ................................................ 22 Visin General de Management Client ..................... 36
Documentacin Disponible ......................................... 23 Reorganizar el Diseo General .................................. 40
Documentacin del Producto ............................................. 23 Marcadores de Vistas .................................................. 41
Documentacin de Soporte ................................................ 24 Gestin de Marcadores ....................................................... 41
Requisitos del Sistema ........................................................ 24 Creacin de Nuevos Marcadores ...................................... 42
Informacin de Contacto ............................................. 24 Creacin de Nuevas Carpetas de Marcadores ................ 43
Licenciamiento ..................................................................... 24 Aadir Marcadores a la Barra de Herramientas .............. 43
Soporte Tcnico ................................................................... 24 Cambio de la Vista de Inicio ....................................... 44
Sus Comentarios.................................................................. 24
Uso de las Funcionalidades de Bsqueda ............... 44
Cuestiones y Comentarios Relacionados con Seguridad25
Uso de la Bsqueda Bsica de Elementos ...................... 44
Otras Consultas.................................................................... 25
Buscar Referencias de Elementos .................................... 46
Qu Hay de Nuevo? ......................................... 27 Buscar Usuarios ................................................................... 46
Cambios Importantes ................................................... 28 Bsqueda de Direcciones IP Duplicadas.......................... 47
VPNs: Fin del Soporte para la Encapsulacin UDP Legacy Uso de la Bsqueda de DNS ............................................. 48
................................................................................................ 28 Creacin de Elementos Host en Base a Bsquedas DNS
SMC: Fin del Soporte para Clientes VPN Legacy ........... 28 ............................................................................................. 48
Otros Cambios en SMC 5.2.2 ..................................... 28 Bsqueda de Elementos No Usados ................................ 49
Autenticacin Automtica contra un Servidor Proxy para Uso de Bsqueda-mientras-escribe .......................... 49
actualizaciones ..................................................................... 28
Guardar como PDF o HTML ....................................... 50
Desactivacin de la Sincronizacin de Conexiones ........ 28
Opciones de Salida PDF..................................................... 50
Otros Cambios en SMC 5.2 ........................................ 29 Aadir Plantillas de Estilo para la Salida PDF ................. 51
Seleccin de Colores para Reglas de Comentario.......... 29 Gestin de las Plantillas de Estilo PDF ............................. 52
Snapshots de Conexiones y Listas Negras ...................... 29
Envo de Mensajes a Otros Administradores ........... 52
Importacin de Copias de Seguridad Personalizadas para
Activar/Desactivar la Mensajera entre Administradores 52
Instalaciones en Modo Demo ............................................. 29
Enviar Mensajes a Otros Administradores ....................... 53
Cambios en la Lgica de Edicin del Editor de Polticas 29
Mejoras en la Importacin de Elementos ......................... 29 Aadir Comandos Personalizados a los Mens de
Elementos ..................................................................... 53
Modificacin de la Configuracin de Reglas de Inspeccin
................................................................................................ 29 Crear un Perfil de Herramientas ........................................ 53
Herramienta de Navegacin MIB Integrada ..................... 29 Asociar un Perfil de Herramientas a un Elemento........... 54
Enlace de Logs a Reglas para Reglas de Inspeccin Y Configuracin del Sistema .............................. 55
NAT ........................................................................................ 30 Empezar con el Management Center........................ 56
Nuevas Herramientas de Bsqueda.................................. 30
Empezar con el Cortafuegos ...................................... 56
Soporte OCSP ...................................................................... 30
Empezar con el IPS ..................................................... 57
Guardar y Visualizar Logs como Archivos Zip ................. 30
Escalado de Severidad de Alertas ms Simple ............... 30 Configuracin de las Comunicaciones del
Alertas Basadas en Estadsticas ....................................... 30 Sistema................................................................ 59
Mejoras en la Monitorizacin de Dispositivos de Terceros Empezar con las Comunicaciones del Sistema ....... 60
................................................................................................ 30 Definir Localizaciones .................................................. 61
Atajos de Resolucin de Problemas VPN ........................ 30 Definir Direcciones IP de Contacto ............................ 62
Otros Cambios en el Cortafuegos/VPN 5.2 .............. 31 Definir la Localizacin de un Dispositivo .......................... 62
Versin de Software de 64 bits .......................................... 31 Definir Direcciones de Contacto para un Cortafuegos
Enlaces de Red Agregados ................................................ 31 Independiente o una Direccin IP Virtual del Clster (CVI)63
Lmites de Tasas de Conexiones Concurrentes .............. 31 Definir Direcciones de Contacto para Direcciones IP
Soporte IPv6 en Cortafuegos Independientes ................. 31 Dedicadas de un Nodo (NDI) ............................................. 65
Enrutamiento basado en Polticas IGMP .......................... 31 Definir Direcciones de Contacto para un Dispositivo IPS66
Definir Direcciones de Contacto para un Servidor .......... 67
Tabla de Contenido 7
Definir una Direccin de Contacto para una Pasarela End- Monitorizar la Ejecucin de Tareas ......................... 106
Point Externa ........................................................................ 68
Comprobar la Informacin de Contratos de
Seleccionar la Localizacin del Management Client69 Mantenimiento ............................................................ 107
Configurar las Comunicaciones en un Sistema con Activar la Comprobacin Automtica del Contrato de
Multi-Link ....................................................................... 70 Mantenimiento .................................................................... 107
Gestin de Elementos ....................................... 71 Ver la Informacin del Contrato de Mantenimiento ....... 107
Uso de Categoras ....................................................... 72 Ver la Informacin del Contrato de Mantenimiento para
Cortafuegos SOHO............................................................ 108
Visin General de la Configuracin ................................... 72
Recuperar la Informacin del Contrato de Mantenimiento108
Crear Nuevas Categoras ................................................... 72
Comprobar Cundo Expiran los Certificados o CAs
Seleccionar Categoras para Elementos .......................... 73
Internos ........................................................................ 108
Activar Categoras ............................................................... 73
Filtrado Con Varias Categoras .......................................... 74
Monitorizar Dispositivos de Terceros .......... 111
Importar, Exportar y Restaurar Elementos ............... 75 Empezar con la Monitorizacin de Dispositivos de
Terceros ...................................................................... 112
Exportar Elementos ............................................................. 75
Visin General de la Configuracin ................................. 112
Importar Elementos ............................................................. 76
Recibir Logs de Dispositivos Externos .................... 113
Restaurar Elementos desde Snapshots de Polticas
........................................................................................ 78 Crear un Elemento de Perfil de Log ................................ 114
Definir Plantillas de Logs de Campos Ordenados ......... 115
Bloquear y Desbloquear Elementos .......................... 79
Definir Plantillas de Logs de Pares Clave-Valor ............ 116
Borrar Elementos.......................................................... 79
Definir Field Resolvers ...................................................... 117
Monitorizacin .......................................... 81 Definir un Field Resolver para Mltiples Valores ........ 118
Definir un Field Resolver para Fecha y Hora............... 118
Monitorizar el Sistema ...................................... 83 Validar un Perfil de Log ..................................................... 118
Empezar con la Monitorizacin del Sistema ............. 84 Monitorizar el Estado de Dispositivos de Terceros 119
Monitorizar el Estado del Sistema.............................. 84 Importar MIBs ..................................................................... 120
Formato por Defecto de la Vista de Estado del Sistema 85 Crear un Perfil de Prueba ................................................. 121
Resumen del Sistema ......................................................... 86 Activar la Monitorizacin de un Dispositivo de Terceros
Ver el Estado del Sistema para un Elemento ...................................................................................... 123
Seleccionado ........................................................................ 86
Configurar un Dispositivo de Terceros para
Panel de Informacin........................................................... 87
Monitorizacin............................................................. 124
Comandos para la Monitorizacin de Componentes ...... 87
Cambio de los Puertos para la Monitorizacin de
Herramientas de Monitorizacin en el Men Principal .... 88
Dispositivos de Terceros ........................................... 124
Comprender el Estado de los Componentes ................... 88
Activar/Desactivar Alertas de Monitorizacin de Terceros
Iconos de Mal Funcionamiento del Hardware .................. 89 ...................................................................................... 125
Icono de Mal Funcionamiento de la Replicacin ............. 89
Examinar Datos de Logs ................................ 127
Colores de Estado de los Elementos ................................ 89
Colores de Estado de los Nodos ....................................... 90
Empezar con la Vista de Logs .................................. 128
Visin General .................................................................... 128
Colores de Estado de los NetLink ..................................... 90
Abrir la Vista de Logs ........................................................ 128
Colores de Estado de VPNs ............................................... 91
Vista por Defecto (Registros), Paneles y Herramientas 128
Colores de Estado de la Conectividad .............................. 91
Vista de Detalles ................................................................ 131
Creacin de Vistas Generales .................................... 92
Vista de Estadsticas ......................................................... 132
Crear una Nueva Vista General ......................................... 93
Aadir un Nueva Seccin de Resumen del Sistema a Una
Examinar los Datos de Log ....................................... 133
Vista General ........................................................................ 93 Ver Detalles de Entradas de Logs en el Panel Lateral . 133
Aadir una Nueva Seccin de Estadsticas a una Vista Filtrar Logs en la Vista de Logs........................................ 134
General .................................................................................. 93 Especificar Filtros en una Consulta............................... 134
Seleccin de Elementos Estadsticos ............................... 95 Ver Logs de Componentes Especficos ....................... 136
Establecer Umbrales para los Elementos Monitorizados 96 Ver Logs de Servidores y Carpetas de Archivado
Monitorizar Conexiones Abiertas y Listas Negras ... 97 Especficos ....................................................................... 136
Comprobar Conexiones Abiertas y Listas Negras ........... 97 Examinar Entradas de Log en una Lnea de Tiempos.. 137
Guardar Snapshots de Listas Negras y Conexiones ...... 99 Ver Entradas de Log Temporales .................................... 137
Exportar Snapshots de Listas Negras y Conexiones .... 100 Ordenar las Entradas de Log ........................................... 138
Abrir Snapshots de Listas Negras y Conexiones .......... 100 Comprobar Registros WHOIS para Direcciones IP en Logs
.............................................................................................. 138
Comparar Snapshots de Listas Negras y Conexiones . 101
Cambiar Cmo se Muestran las Entradas de Datos139
Monitorizar Conexiones en un Mapa ....................... 103
Aumentar y Disminuir el Tamao de Letra en las Entradas
Definir una Nueva Geolocalizacin ................................. 104 .............................................................................................. 139
Establecer una Geolocalizacin para un elemento en la
Cambiar la Zona Horaria para Examinar los Logs ........ 139
Vista de Estado del Sistema............................................. 105
Cambiar las Columnas de Datos en la Tabla de Entradas de
Monitorizar Configuraciones y Polticas .................. 105 Logs ..................................................................................... 139
Monitorizar Acciones del Administrador .................. 105
Resolver Detalle de Log a Nombres DNS o elementos de Hacer Zoom y Navegar por los Diagramas .................... 176
StoneGate ........................................................................... 140 Imprimir Diagramas.................................................... 176
Desactivar/Activar el Resaltado de Entradas de Logs .. 141
Exportar Diagramas como Imgenes ...................... 176
Exportar Datos de la Vista de Logs ......................... 141
Casos de Incidente.......................................... 177
Exportar Extractos de Datos de Logs.............................. 141
Empezar con los Casos de Incidentes .................... 178
Exportar Grabaciones de Trfico de IPS ........................ 142
Anexar Logs a Casos de Incidentes ................................ 143
Crear Reglas Desde Logs ......................................... 143 Crear un Nuevo Caso de Incidente ......................... 179
Establecer un Contexto de Incidente .............................. 179
Informes ............................................................. 145
Anexar Datos a Casos de Incidentes ...................... 180
Empezar con los Informes ........................................ 146
Anexar Logs y Entradas de Auditora a Casos de Incidentes
Visin General de la Configuracin ................................. 147 .............................................................................................. 180
Crear y Editar Diseos de Informes ......................... 148 Anexar Snapshots de Polticas a Casos de Incidentes 181
Crear un Nuevo Diseo de Informe ................................. 148 Anexar Memos a Casos de Incidentes ........................... 182
Aadir Secciones a un Diseo de Informe ..................... 150 Anexar Ficheros a Casos de Incidentes ......................... 182
Aadir Elementos a una Seccin de Informe ................. 151 Aadir Players a Casos de Incidentes .................... 183
Generar y Visualizar Informes .................................. 151 Aadir Entradas de Diario a Casos de Incidentes . 183
Generar un Informe ........................................................... 152 Trabajar con Casos de Incidentes Existentes ........ 184
Definir la Tarea de Informe............................................. 153 Abrir un Caso de Incidente para Edicin ........................ 184
Seleccionar Orgenes de Datos..................................... 154 Cambiar la Prioridad de un Caso de Incidente .............. 184
Cancelar Tareas de Informes en Ejecucin ................... 155 Cambiar el Estado de un Caso de Incidente .................. 185
Visualizar Informes ............................................................ 155 Comprobar la Historia del Incidente ................................ 185
Exportar Informes ....................................................... 156
Controlar los Dispositivos ..................... 187
Exportar un Informe como Fichero de Texto delimitado por
Tabuladores ........................................................................ 156
Controlar el Funcionamiento del Dispositivo189
Exportar un Informe como Fichero PDF ......................... 156
Enviar Informes .................................................................. 157 Controlar los Dispositivos Remotamente ................ 190
Poner Online los Dispositivos........................................... 190
Crear un Informe de Auditora del Sistema ............ 157
Poner Offline los Dispositivos........................................... 191
Filtrado de Datos .............................................. 159 Poner Nodos en Standby .................................................. 191
Empezar con el Filtrado de Datos ............................ 160 Refrescar la Poltica Actualmente Instalada................... 192
Definir Elementos Filtro ............................................. 160 Controlar los Dispositivos Localmente .................... 192
Iniciacin a la Construccin de Filtros de Datos ............ 161
Establecer la Opciones del Dispositivo ................... 192
Crear un Elemento Filtro ................................................... 162
Activar/Desactivar la Monitorizacin de Estado del Dispositivo
Aadir y Modificar Criterios de Filtrado en los Filtros.... 163 .............................................................................................. 192
Eliminar Criterios de Filtrado de Filtros ........................... 164 Activar/Desactivar los Diagnsticos de Cortafuegos/VPN193
Organizar Elementos Filtro ....................................... 164 Activar/Desactivar la Replicacin de la BBDD de Usuarios193
Crear Nuevos Tags de Filtro ............................................ 164 Activar/Desactivar la Vigilancia de Estado ..................... 193
Cambiar el Tag de un Filtro .............................................. 165 Activar/Desactivar el Acceso por SSH al Dispositivo .... 194
Aplicar Filtros .............................................................. 165 Cambiar la Contrasea del Dispositivo ........................... 194
Diagramas ......................................................... 167 Cambiar el Estado de un NetLink Manualmente ... 195
Empezar con los Diagramas ..................................... 168 Desactivar/Activar Nodos de Clster ....................... 195
Visin General de la Configuracin ................................. 168 Desactivar Nodos de un Clster Temporalmente .......... 195
Crear Diagramas ........................................................ 169 Reactivar Nodos Desactivados de un Clster................ 196
Definir el Fondo del Diagrama .................................. 169 Editar las Configuraciones de los Dispositivos ...... 196
Aadir Elementos a Diagramas ................................ 170 Parar el Trfico Manualmente ....................... 197
Insertar Nuevos Elementos Manualmente...................... 171 Terminar Conexiones Manualmente ....................... 198
Crear Diagramas desde Elementos Configurados ........ 171 Introducir Conexiones en la Lista Negra Manualmente
Aadir Comentarios de Texto a un Diagrama ................ 172 ...................................................................................... 198
Conectar Elementos en Diagramas ......................... 173 Trabajar en la Lnea de Comando del Dispositivo
Conectar Elementos Automticamente .......................... 173 ............................................................................ 201
Conectar Elementos Manualmente ................................. 173 Empezar con la Lnea de Comando del Dispositivo202
Crear Enlaces Entre Diagramas ............................... 174 Acceder a la Lnea de Comando del Dispositivo ... 202
Especificar un Diagrama Padre ....................................... 174 Reconfigurar los Parmetros Bsicos del Dispositivo203
Crear Enlaces desde un Diagrama a Otro ..................... 174 Crear Scripts en el Dispositivo ................................. 204
Visualizar Diagramas ................................................. 175 Restaurar Manualmente una Configuracin Previa205
Ajustar los Detalles de Elementos en os Diagramas .... 175
Colapsar y Expandir Grupos de Elementos en Diagramas
Configuracin del Management Center 207
.............................................................................................. 175
Puestas al Da y Actualizaciones del Desconectarse de un Dominio ................................. 250

Dispositivo Automticas................................. 209 Eliminar Dominios ...................................................... 250
Empezar con las Puestas al Da y las Actualizaciones Mover Elementos Entre Dominios ........................... 250
del Dispositivo Automticas ...................................... 210 Usar la Vista General de Dominio ........................... 252
Configurar las Puestas al Da y las Actualizaciones Configurar el Web Portal ................................ 255
del Dispositivo Automticas ...................................... 210
Empezar con el Acceso al Web Portal .................... 256
Cuentas de Administrador ............................. 213 Visin General de la Configuracin ................................. 256
Empezar con las Cuentas de Administrador .......... 214 Definir los Parmetros del Web Portal Server ....... 257
Activar HTTPS en el Web Portal Server ................. 258
Definir Roles de Administrador y Listas de Control de
Permitir Conexiones al Web Portal .......................... 259
Acceso ......................................................................... 215
Definir Roles de Administrador ........................................ 215 Definir Cuentas de Usuarios de Web Portal........... 260
Definir Listas de Control de Acceso ................................ 217 Conceder Permisos en un Dispositivo a un Usuario de Web
Portal ................................................................................... 261
Definir Cuentas de Administrador ............................ 218 Seleccionar Permisos sobre Polticas para un Usuario de
Crear un Nuevo Elemento Administrador ....................... 218 Web Portal .......................................................................... 262
Definir los Permisos de los Administradores .................. 219 Seleccionar Permisos de Exploracin de Logs para un
Definir Derechos para Cuentas de Administrador Usuario de Web Portal ...................................................... 263
Restringidas ........................................................................ 220 Seleccionar Permisos sobre los Datos de Informes para un
Restringir los Logs que Puede Ver un Administrador ... 222 Usuario de Web Portal ...................................................... 264
Personalizar los Colores de los Logs ...................... 222 Personalizar el Web Portal ....................................... 264
Definir los Parmetros de Contrasea y Login para Aadir un Nuevo Idioma al Web Portal ........................... 264
Administradores .......................................................... 223 Importar un Fichero de Idioma de Web Portal mediante el
Activar la Aplicacin de Parmetros de Contraseas ... 224 Management Client ......................................................... 264
Definir Parmetros de Poltica de Contraseas ............. 225 Importar un Fichero de Idioma de Web Portal desde Lnea
de Comando..................................................................... 265
Cambiar las Contraseas del Administrador .......... 226
Activar/Desactivar una Localizacin del Web Portal ..... 265
Autenticar Administradores usando RADIUS ......... 226 Personalizar el Aspecto del Web Portal.......................... 266
Eliminar Cuentas de Administrador ......................... 227 Escribir Mensajes a los Usuarios del Web Portal .. 266
Escalado de Alertas ......................................... 229 Distribuir Management Clients Mediante Web
Empezar con el Escalado de Alertas ....................... 230 Start ................................................................... 269
Visin General de la Configuracin ................................. 230 Empezar con la Distribucin Web Start .................. 270
Crear Alertas ............................................................... 231 Visin General de la Configuracin ................................. 270
Definir Alertas Personalizadas ......................................... 231 Activar Web Start en el Management Server ......... 271
Definir Qu Lanza una Alerta ........................................... 232
Distribuir Web Start desde Servidores Externos ... 272
Definir Cadenas de Alertas ....................................... 233
Acceder a los Clientes Web Start ............................ 273
Definir Canales de Alertas ................................................ 233
Configuracin del Log Server ....................... 275
Crear Nuevas Cadenas de Alertas .................................. 234
Modificar Cadenas de Alertas Existentes ....................... 235 Definir un Log Server ................................................. 276
Editar Cadenas de Alertas ................................................ 235 Definir un Elemento Log Server ....................................... 276
Definir la Accin Final de una Cadena de Alertas ......... 237 Seleccionar Log Servers Secundarios ............................ 277
Certificar el Log Server ..................................................... 278
Definir Polticas de Alertas ........................................ 238
Configurar un Alert Server ................................................ 278
Crear Nuevas Polticas de Alertas ................................... 238
Modificar Polticas de Alertas Existentes ........................ 239 Cambiar los Parmetros de Configuracin del Log
Server .......................................................................... 279
Editar Reglas de la Poltica de Alertas ............................ 239
Exportar Datos de Log a Syslog .............................. 282
Instalar Polticas de Alertas ...................................... 240
Definir los Parmetros Generales de Syslog ................. 282
Reconocer Alertas ...................................................... 240
Exportar Filtros de Logs para el Envo de Syslog ......... 284
Reconocer Alertas Individuales........................................ 241
Configurar los Parmetros de Filtrado de Syslog .......... 285
Reconocer Todas las Alertas Activas.............................. 241
Crear una Regla para Permitir el Trfico al Servidor de Syslog
Usar Scripts Personalizados para el Escalado de .............................................................................................. 285
Alertas .......................................................................... 242
Configuracin de un Servidor SMC Secundario
Configurar un Servidor de Alertas Dedicado .......... 243 ............................................................................ 287
Probar Alertas ............................................................. 244 Acerca de los Servidores SMC Secundarios ......... 288
Dominios ........................................................... 245 Instalar un Management Server Secundario .......... 288
Empezar con Dominios.............................................. 246 Visin General de la Configuracin ................................. 288
Visin General de la Configuracin ................................. 246 Definir un Elemento Management Server Secundario.. 289
Crear Dominios ........................................................... 247 Instalar una Licencia para un Management Server
Definir un Logotipo de Dominio ........................................ 248 Secundario .......................................................................... 290
Conectarse a un Dominio .......................................... 249
Crear Reglas de Acceso para un Management Server Activar la Configuracin de Clster Tras la Conversin329
Secundario .......................................................................... 291 Convertir un Sensor Independiente en un Clster de
Instalar el Software del Management Server Secundario Sensores ............................................................................. 329
.............................................................................................. 291 Aadir un Nodo a un Clster de Cortafuegos o Sensores330
Instalar un Log Server Secundario .......................... 293 Cambiar la Direccin IP de Control de un Dispositivo .. 331
Visin General de la Configuracin ................................. 293 Cambiar la Direccin de Control de un Dispositivo..... 331
Crear un Elemento Log Server Secundario.................... 293 Cambiar la Direccin de Control de un Cortafuegos a una
Instalar una Licencia para un Log Server Secundario .. 295 Red Diferente ................................................................... 332
Configurar un Log Server como Log Server Secundario Editar las Propiedades de un Cortafuegos Independiente
.............................................................................................. 295 ...................................................................................... 333
Crear Reglas de Acceso para un Log Server Secundario Editar las Propiedades de un Clster de Cortafuegos334
.............................................................................................. 296
Editar las Propiedades de un Cortafuegos SOHO 335
Instalar el Software de un Log Server Secundario ........ 296
Editar las Propiedades de un Analizador ................ 336
Cambiar el Management Server Activo................... 297
Editar las Propiedades de un Sensor Independiente337
Desactivar y Activar la Replicacin Automtica de
Bases de Datos .......................................................... 298 Editar las Propiedades de un Clster de Sensores338
Sincronizar las Bases de Datos de Gestin Editar las Propiedades de un Sensor-Analizador
Manualmente .............................................................. 298 Combinado .................................................................. 339
Restaurar una Copia de Seguridad de un Acerca de la Sincronizacin Horaria de los Dispositivos
Management Server Diferente ................................. 299 ...................................................................................... 340
Reconfigurar el Management Center ............ 301 Configuracin del Interfaz de Red ................ 341
Modificar un Elemento Management Server .......... 302 Empezar con la Configuracin del Interfaz............. 342
Cambiar la Contrasea de la Base de Datos de Visin General de la Configuracin ................................. 342
Gestin ......................................................................... 303 Configuracin del Interfaz de Cortafuegos ............. 343
Cambiar la Plataforma de Gestin ........................... 304 Definir Interfaces Fsicos para Dispositivos Cortafuegos344
Cambiar el Direccionamiento IP ............................... 304 Aadir Interfaces VLAN a Dispositivos Cortafuegos ..... 346
Cambiar la Direccin IP del Management Server.......... 304 Aadir Interfaces ADSL para Cortafuegos Independientes348
Configurar las Propiedades Avanzadas de Interfaz para
Cambiar la Direccin IP del Log Server .......................... 305
Cortafuegos ........................................................................ 349
Cambiar las Direcciones IP de Management/Log Servers
Combinados........................................................................ 306 Configurar Direcciones IP de Cortafuegos Independientes351
Aadir una Direccin IPv4 para un Cortafuegos
Si los Cambios de Configuracin Impiden Gestionar Independiente ..................................................................... 352
los Dispositivos ........................................................... 307
Configurar Opciones de VRRP para Cortafuegos
Configuracin de Elementos Dispositivos Independientes ................................................................... 353
...................................................................309 Configurar Opciones de PPPoE para Cortafuegos
Independientes ................................................................... 354
Aadir una Direccin IPv6 para un Cortafuegos
Crear y Modificar Elementos Dispositivos .. 311
Independiente ..................................................................... 355
Empezar con los Elementos Dispositivo ................. 312 Configurar Direcciones IP para un Clster de Cortafuegos356
Visin General de la Configuracin ................................. 312 Aadir una Direccin IPv4 para un Clster de Cortafuegos
Crear Nuevos Elementos Dispositivo ...................... 313 .............................................................................................. 357
Crear un Nuevo Elemento Cortafuegos Independiente 313 Definir Interfaces de Mdem para Cortafuegos
Crear un Nuevo Elemento Clster de Cortafuegos ....... 314 Independientes ................................................................... 358
Crear Un Nuevo Elemento Cortafuegos SOHO............. 315 Cambiar/Eliminar el Cdigo PIN de un Interfaz de Mdem360
Crear Mltiples Nuevos Elementos Cortafuegos SOHO316 Establecer Opciones de Interfaz del Cortafuegos ......... 361
Crear un Nuevo Elemento Analizador ............................. 318 Acerca de Usar una Direccin IP Dinmica en un Interfaz de
Cortafuegos ........................................................................ 362
Crear un Nuevo Elemento Sensor Independiente ......... 319
Cambiar los Parmetros de ISP para el Interfaz ADSL 363
Crear un Nuevo Elemento Clster de Sensores ............ 320
Crear un Nuevo Elemento Sensor-Analizador Combinado
Configuracin del Interfaz de Cortafuegos SOHO 364
.............................................................................................. 321 Seleccionar Tipos de Interfaz para Cortafuegos SOHO364
Crear un Nuevo Elemento Pasarela SSL VPN .............. 322 Definir Interfaces Externos para Cortafuegos SOHO ... 366
Duplicar un Elemento Dispositivo Existente ................... 323 Definir las Propiedades del Interfaz Externo Ethernet en
Cortafuegos SOHO ......................................................... 366
Modificar Elementos Dispositivo Existentes ........... 323
Definir las Propiedades del Interfaz ADSL o PPPoE en
Modificar las Propiedades de Un Elemento Dispositivo 324 Cortafuegos SOHO ......................................................... 367
Modificar las Propiedades de Varios Dispositivos a la Vez Definir Opciones Avanzadas de ADSL para Cortafuegos
.............................................................................................. 324 SOHO................................................................................ 368
Convertir un Cortafuegos Independiente en un Clster de
Definir Interfaces Corporate para Cortafuegos SOHO . 370
Cortafuegos ........................................................................ 325
Definir Interfaces Guest para Cortafuegos SOHO ........ 372
Preparar la Conversin a un Clster de Cortafuegos . 326
Definir Opciones Inalmbricas para Cortafuegos SOHO373
Convertir un Elemento de Cortafuegos Independiente a
un Clster de Cortafuegos ............................................. 326 Definir Opciones de Seguridad Inalmbrica para
Cortafuegos SOHO ......................................................... 374
Definir Opciones de Canal Inalmbrico para Seleccionar las Polticas Permitidas para un Dispositivo
Cortafuegos SOHO ......................................................... 375 ...................................................................................... 409
Completar la Configuracin del Cortafuegos SOHO ..... 376
Traducciones de Alias para Dispositivos ... 411
Completar el Asistente de Crear Mltiples Cortafuegos
SOHO ................................................................................. 376 Empezar con las Traducciones de Alias ................. 412
Configuracin del Interfaz de Sensores y Definir Valores de Traduccin de Alias ................... 412
Analizadores ............................................................... 377 Aadir Valores de Traduccin de Alias ........................... 413
Definir Interfaces de Comunicaciones del Sistema para Eliminar Valores de Traduccin de Alias ........................ 413
Dispositivos IPS ................................................................. 378 Opciones Avanzadas de Dispositivo ........... 415
Definir Interfaces de Inspeccin de Trfico para Sensores
Empezar con las Opciones Avanzadas de Dispositivo
.............................................................................................. 379
...................................................................................... 416
Definir Interfaces Logical para Sensores ..................... 380
Ajustar los Parmetros del Sistema del Cortafuegos416
Definir Interfaces Reset para Sensores ........................ 381
Definir Interfaces Capture para Sensores .................... 381
Ajustar los Parmetros de Gestin de Trfico del
Cortafuegos................................................................. 418
Definir Interfaces Inline para Sensores ........................ 383
Aadir Interfaces VLAN para Sensores ........................ 384
Ajustar los Parmetros de Clster del Cortafuegos419
Establecer Opciones de Interfaz para Dispositivos IPS 385 Ajustar las Opciones Generales del Clster................... 419
Ajustar el Filtro de Balanceo de Carga del Cortafuegos421
Configurar Parmetros ARP Manuales ................... 387
Ajustar Manualmente el Filtro de Balanceo de Carga 421
Activar el Servidor DHCP Interno en un Interfaz de
Aadir Entradas de Filtro de Balanceo de Carga ........ 422
Cortafuegos ................................................................. 388
Ajustar la Poltica de Contacto de un Cortafuegos
Conectar Dispositivos al Stonegate Independiente ............................................................. 423
Management Center ....................................... 391
Configurar las Opciones de Anti-Virus .................... 424
Empezar con la Conexin de Dispositivos al SMC 392
Configurar la Proteccin contra SYN Flood por Defecto
Visin General de la Configuracin ................................. 392 del Cortafuegos .......................................................... 425
Guardar una Configuracin Inicial para Dispositivos Configurar las Opciones de Gestin de Logs ........ 426
Cortafuegos o IPS ...................................................... 393
Ajustar las Opciones Avanzadas del Sensor-Analizador
Crear Contraseas de Un Solo Uso ................................ 393
...................................................................................... 427
Guardar los Detalles de Configuracin Inicial ................ 394
Ajustar las Opciones Avanzadas del Analizador ... 427
Guardar una Configuracin Inicial para Dispositivos
Cortafuegos SOHO .................................................... 395 Ajustar las Opciones Avanzadas del Sensor ......... 428
Ajustar las Opciones de Clster de Sensores................ 429
Conectar Pasarelas SSL VPN al SMC .................... 396
Ajustar la Conexin de Gestin del Cortafuegos SOHO
Configurar el Comprobador de Dispositivos ...................................................................................... 430
............................................................................. 397
Configurar SNMP para los Dispositivos ...... 431
Empezar con el Comprobador de Dispositivos ...... 398
Empezar con la Configuracin SNMP ..................... 432
Configurar SNMP Versin 1 o 2c ............................. 432
Especificar Opciones Globales del Comprobador de
Dispositivos ................................................................. 399 Configurar SNMP Versin 3 ..................................... 433
Aadir Pruebas de Dispositivos ............................... 400 Configurar Qu Lanza Traps SNMP........................ 434
Configurar Opciones Adicionales Especficas de la Prueba Activar el Agente SNMP en los Dispositivos .......... 435
.............................................................................................. 402
Enrutamiento ........................................... 437
Opciones Adicionales para la Prueba External ........... 402
Opciones Adicionales para la Prueba de Espacio Libre Configurar el Enrutamiento ........................... 439
del Sistema ....................................................................... 403
Empezar con el Enrutamiento .................................. 440
Opciones Adicionales para la Prueba de Espacio de
Swap Libre........................................................................ 403 Visin General de la Configuracin ................................. 440
Opciones Adicionales para la Prueba de Estado de Aadir Rutas para Cortafuegos ................................ 441
Enlaces ............................................................................. 403 Definir una Ruta de Enlace Simple para un Cortafuegos441
Opciones Adicionales para la Prueba de Multiping .... 404 Definir una Ruta Multi-Link para un Cortafuegos........... 442
Comprobar las Pruebas Configuradas .................... 404 Enrutar Mensajes DHCP................................................... 445
Eliminar Pruebas de Dispositivos ............................. 405 Enrutar el Trfico Multicast ............................................... 447
Desactivar/Activar Pruebas de Dispositivos Definir el Enrutamiento por Poltica ................................. 451
Configuradas ............................................................... 406 Aadir Rutas para Componentes IPS ..................... 453
Desactivar/Activar Pruebas Individuales de Dispositivo 406 Eliminar Rutas ............................................................ 454
Desactivar/Activar Todas las Pruebas Personalizadas de Modificar el Antispoofing para Cortafuegos ........... 454
un Dispositivo ..................................................................... 406
Desactivar el Antispoofing para un Par Direccin IP/Interfaz
Permisos en los Dispositivos ........................ 407 .............................................................................................. 455
Empezar con los Permisos en los Dispositivos...... 408 Activar el Antispoofing para Direcciones IP Enrutables 456
Visin General de la Configuracin ................................. 408 Comprobar Rutas ....................................................... 456
Definir los Permisos de Administrador en un Gestin del Trfico de Salida ........................ 459
Dispositivo ................................................................... 408
Empezar con la Gestin del Trfico de Salida ....... 460 Seguimiento de Cambios en Polticas .................... 504
Visin General de la Configuracin ................................. 461 Comprobar la Poltica Instalada Actualmente ................ 504
Configurar Opciones de Multi-Link de Salida ......... 461 Previsualizar la Poltica Instalada Actualmente ............. 504
Crear un Elemento Multi-Link de Salida ......................... 462 Comprobar y Comparar Versiones de Poltica .............. 504
Seleccionar NetLinks para un Multi-Link de Salida ....... 463 Ver Snapshots de Polticas ............................................ 505
Definir Opciones de Cach de Destino ........................... 464 Comparar Dos Snapshots de Polticas......................... 505
Crear Reglas de Balanceo de Carga NAT de Salida Comprobar Cambios en la Configuracin No Transferidos506
...................................................................................... 465 Mover la Poltica Bajo una Plantilla Diferente ........ 506
Monitorizar y Probar la Gestin del Trfico de Salida Eliminar Polticas, Plantillas y Sub-Polticas .......... 507
...................................................................................... 466 Editar Polticas ................................................. 509
Gestin del Trfico de Entrada ...................... 467 Empezar con la Edicin de Reglas en Polticas .... 510
Empezar con la Gestin del Trfico de Entrada .... 468 Usar la Vista de Edicin de Polticas ....................... 511
Visin General de la Configuracin ................................. 469 Editar Tablas de Reglas .................................................... 512
Definir un Pool de Servidores ................................... 469 Editar Celdas de Regla ..................................................... 512
Crear un Nuevo Elemento Pool de Servidores .............. 469 Aadir Comentarios a las Polticas .................................. 513
Definir las Direcciones Externas del Pool de Servidores Leer Identificadores de Regla .......................................... 513
.............................................................................................. 470
Buscar en Reglas............................................................... 514
Aadir Miembros del Pool de Servidores ....................... 471 Encontrar Reglas No Usadas en Polticas de Cortafuegos
Instalar Agentes de Monitorizacin .......................... 472 (Contadores de Hits) ......................................................... 515
Desinstalar los Agentes de Monitorizacin ............. 473 Aadir Puntos de Insercin en Plantillas de Polticas516
Configurar los Agentes de Monitorizacin .............. 474 Editar Reglas de Ethernet ......................................... 516
Editar sgagent.local.conf ................................................... 474 Definir Opciones de Logging para Reglas Ethernet ...... 517
Editar sgagent.conf ............................................................ 475 Definir una direccin MAC para Reglas de Ethernet .... 518
Editar la Seccin de Comandos de sgagent.conf ....... 476 Editar Reglas de Acceso ........................................... 518
Opciones en la Seccin de Comandos de sgagent.conf Definir con Qu Trfico coincide una Regla de Acceso 519
........................................................................................... 477
Definir Qu Accin Toman las Reglas de Acceso ......... 521
Ejemplos de Configuracin de Comandos del Agente de
Definir Opciones de Accin para Reglas de Acceso ..... 522
Monitorizacin .................................................................. 478
Definir Opciones de Accin Aplicar Lista Negra ....... 522
Editar la Seccin de Pruebas de sgagent.conf ............ 480
Definir Opciones de Accin de Salto ............................ 522
Ejemplos de Configuracin de Agentes de
Monitorizacin .................................................................. 482 Definir Opciones de Accin Permitir para Cortafuegos523
Editar las Pruebas Internas de los Agentes de Definir Opciones de Accin Continuar en Reglas de
Monitorizacin .................................................................. 483 Acceso .............................................................................. 526
Ejemplos de Pruebas Internas de los Agentes de Definir Opciones de Accin Usar VPN de Cortafuegos526
Monitorizacin .................................................................. 485 Definir Opciones de Accin Permitir para IPS .......... 527
Activar los Agentes de Monitorizacin..................... 488 Definir Opciones de Accin Continuar en Reglas de
Acceso .............................................................................. 527
Introducir las Direcciones IP del Pool de Servidores
en Su Servidor de DNS ............................................. 488 Definir Opciones de Accin Descartar IPS ................ 528
Definir Opciones de Accin Negar IPS ...................... 528
Crear Reglas de Acceso para el Balanceo de Carga
de Entrada ................................................................... 489 Definir Opciones de Logging en Reglas de Acceso ...... 528
Definir Opciones de Autenticacin en Reglas de Acceso530
Configurar Actualizaciones de DNS Dinmico ....... 490
Visin General de la Configuracin ................................. 490 Editar Reglas de Inspeccin ..................................... 531
Mejorar la Seguridad de DDNS........................................ 490 Modificar el rbol de Reglas de Inspeccin ................... 531
Definir un Servidor de DNS Externo ................................ 491 Cambiar las Opciones del rbol de Reglas de Inspeccin
........................................................................................... 532
Definir la Informacin de Actualizacin de DNS Dinmico
.............................................................................................. 492 Definir Opciones de Logging para Reglas de Inspeccin533
Definir una Regla de DNS Dinmico ............................... 493 Aadir Situaciones al rbol de Reglas ......................... 534
Eliminar Modificaciones del rbol de Reglas............... 535
Monitorizar y Probar los Agentes de Monitorizacin
...................................................................................... 493 Aadir Excepciones a las Reglas de Inspeccin ........... 535
Definir Qu Trfico Provoca una Excepcin de Regla de
Polticas de Inspeccin de Trfico ........495 Inspeccin ........................................................................ 536
Definir Qu Accin toma una Excepcin de Regla de
Crear y Gestionar Elementos de Polticas ... 497 Inspeccin ........................................................................ 537
Empezar con Polticas ............................................... 498 Definir Opciones de Accin Continuar en Excepciones de
Visin General de la Configuracin ................................. 498 Inspeccin ........................................................................ 538
Crear una Nueva Plantilla de Poltica o Poltica .... 499 Definir Opciones de Accin Permitir en un Cortafuegos538
Definir Opciones de Accin Terminar para un Cortafuegos
Crear una Nueva Sub-Poltica .................................. 500
........................................................................................... 539
Crear una Nueva Sub-Poltica Vaca .............................. 500
Definir Opciones de accin Continuar para IPS en
Convertir Reglas Existentes en una Sub-Poltica .......... 500 Excepciones de Inspeccin............................................ 541
Instalar Polticas ......................................................... 501
Definir Opciones de Accin Permitir de IPS en Definir Parmetros de Protocolo Oracle ......................... 587
Excepciones de Inspeccin............................................ 541 Definir Parmetros de Protocolo Shell (RSH) ................ 588
Definir Opciones de Accin Terminar en IPS ............ 542 Definir Parmetros de Protocolo SIP .............................. 589
Definir Opciones de Logging para Excepciones de Definir Parmetros de Protocolo SMTP .......................... 590
Inspeccin ........................................................................ 543
Definir Parmetros de Protocolo SSH............................. 590
Editar Reglas NAT...................................................... 545 Definir Opciones de Protocolo SunRPC ......................... 591
Aadir una Regla de NAT ................................................. 546 Definir Parmetros de Protocolo TCP Proxy .................. 592
Definir Qu Trfico Comprueba una Regla de NAT ...... 546 Definir Parmetros de Protocolo TFTP ........................... 593
Sobreescribir la Direccin de Origen en los Paquetes . 547
Definir Situaciones .......................................... 595
Definir Opciones de Traslacin de Origen Esttico .... 548
Definir Opciones de Traslacin de Origen Dinmico .. 549
Empezar con las Situaciones ................................... 596
Sobreescribir la Direccin de Destino en Paquetes ...... 550
Ejemplos de Reglas de NAT ............................................ 551 Crear Nuevos Elementos Situacin ......................... 597
Ejemplo de Regla de Traslacin de Origen Esttica .. 551 Definir Opciones de Contexto para Situaciones .... 599
Ejemplo de Regla de Traslacin de Origen Dinmica 552 Definir Opciones de Filtrado de URLs HTTP ................. 600
Ejemplo de Regla de Traslacin de Destino ................ 553 Definir Opciones de Deteccin de Escaneo de Puerto/Host
.............................................................................................. 600
Ejemplo de una Regla de Traslacin Combinada de
Origen y Destino .............................................................. 554 Definir Opciones de Contexto para Situaciones de
Limitar el Tiempo que una Regla est Activa ......... 555 Correlacin .................................................................. 602
Configurar Contextos Compress...................................... 603
Validar Reglas Automticamente ............................. 556
Configurar Contextos Count ............................................. 604
Obviar las Opciones de Validacin por Defecto en Reglas
.............................................................................................. 557 Configurar Contextos Group............................................. 604
Seleccionar Parmetros de Validacin de una Regla ... 558 Configurar Contextos Match ............................................. 605
Problemas de Validacin de una Poltica ....................... 558 Configurar Contextos Sequence ...................................... 606
Deshabilitar un Aviso de Validacin de una Regla ........ 559 Definir Etiquetas para Situaciones........................... 607
Excluir Reglas de la Validacin de una Poltica ............. 559 Crear una Nueva Etiqueta ................................................ 607
Aadir Comentarios a las Polticas .......................... 560 Aadir Etiquetas a Una Situacin a la Vez ..................... 607
Cambiar Reglas por Defecto..................................... 560 Aadir Etiquetas a Varias Situaciones a la Vez ............. 608
Eliminar Etiquetas de Situaciones ................................... 608
Definir Direcciones IP...................................... 561
Trabajar con Vulnerabilidades.................................. 609
Comenzar con la Definicin de Direcciones IP ...... 562
Crear Nuevos Elementos Vulnerabilidad ........................ 609
Definir Direcciones IP como Elementos .................. 563
Asociar Vulnerabilidades con Situaciones ...................... 610
Definir Elementos de Rango de Direccin ...................... 563
Definir Elementos Alias ..................................................... 564
Definir Respuestas de Usuario ..................... 611
Definir Elementos Expresin ............................................ 565 Empezar con las Respuestas de Usuario............... 612
Definir Elementos Grupo ................................................... 567 Visin General de la Configuracin ................................. 612
Definir Elementos Host...................................................... 568 Crear Respuestas de Usuario .................................. 612
Definir Elementos Red ...................................................... 569 Definir Entradas de Respuesta de Usuario ............ 613
Definir Elementos Router .................................................. 570 Calidad de Servicio (Quality of Service - QoS)615
Usar Elementos de Funcionalidades Especficas en Empezar con QoS ...................................................... 616
Polticas ....................................................................... 571 Visin General de la Configuracin ................................. 617
Definir Servicios de Red ................................. 573 Crear Clases de QoS................................................. 617
Comenzar con los Servicios ..................................... 574 Definir Polticas de QoS ............................................ 618
Vista General de la Configuracin ................................... 574 Crear Nuevas Polticas de QoS ....................................... 618
Definir Servicios .......................................................... 575 Editar Reglas de QoS ........................................................ 619
Definir un Nuevo Servicio Basado en IP ......................... 575 Comprobar las Reglas de QoS con el Trfico de Red620
Definir un Nuevo Servicio Ethernet ................................. 577 Definir la Velocidad de los Interfaces y la Poltica de
Agrupar Servicios ............................................................... 578 QoS .............................................................................. 621
Usar Elementos Protocolo ........................................ 579 Configurar la Autenticacin de Usuarios .... 623
Definir Parmetros de Protocolo ...................................... 579
Empezar con la Autenticacin de Usuarios ............ 624
Definir Parmetros de Protocolo DNS ............................ 580
Definir Parmetros de Protocolo FTP ............................. 580
Integrar Bases de Datos LDAP Externas ............... 626
Definir Parmetros de Protocolo GRE ............................ 582
Configurar los Ficheros de Esquema en Servidores LDAP
Definir Parmetros de Protocolo H323 ........................... 582 Externos .............................................................................. 627
Definir Parmetros de Protocolo HTTP/HTTPS............. 583 Definir un Elemento Servidor de Directorio Activo ........ 627
Definir Parmetros de Protocolo de Encapsulado IPv4 584 Configurar las Opciones LDAP del Servidor de Directorio
Definir Parmetros de Encapsulacin IPv6 .................... 585 Activo ................................................................................ 628
Definir Parmetros de Protocolo MSRPC....................... 585 Configurar las Opciones de Autenticacin del Servidor de
Definir Parmetros de Protocolo NetBIOS ..................... 586 Directorio Activo............................................................... 629
Definir un Elemento Servidor LDAP Genrico ............... 629
Configurar los Servicios de Usuario del Servidor LDAP Empezar con la Inspeccin Externa de Contenidos670
........................................................................................... 631 Visin General de la Configuracin ................................. 670
Aadir Clases de Objetos para el Servidor LDAP....... 632
Definir un Elemento Servidor de Inspeccin de
Definir Dominios LDAP...................................................... 633 Contenidos .................................................................. 671
Integrar Servicios de Autenticacin Externos ......... 634 Definir un Servicio para la Redireccin CIS ........... 672
Definir un Servidor de Autenticacin ............................... 635 Definir Parmetros de Protocolo para la Redireccin CIS673
Definir un Servicio de Autenticacin ................................ 637
Definir Reglas de Acceso para la Redireccin CIS 674
Definir Cuentas de Usuario para la Autenticacin . 637
Definir Reglas de NAT para la Redireccin CIS .... 675
Definir Grupos de Usuarios .............................................. 638
Lista Negra de Trfico .................................... 677
Definir Usuarios .................................................................. 640
Definir Reglas de Autenticacin ............................... 642 Empezar con la Lista Negra ..................................... 678
Gestionar la Informacin de Usuario ....................... 644
Activar la Aplicacin de Listas Negras .................... 680
Aadir/Eliminar Usuarios de Grupos de Usuarios ......... 644
Importar y Exportar la Informacin de Usuario .............. 644 Configurar la Lista Negra Automtica ..................... 681
Importar Usuarios desde un Fichero LDIF ................... 644 Definir Interfaces de Destino para la Lista Negra Automtica
.............................................................................................. 681
Exportar Usuarios a un Fichero LDIF ........................... 645
Definir Qu Trfico se Pone en la Lista Negra
Cambiar las Contraseas de los Usuarios ..................... 646 Automticamente ............................................................... 682
Eliminar las Opciones de Autenticacin del Usuario ..... 646 Aadir una Regla para Generar Entradas de Listas Negras
Reiniciar la Base de Datos de Usuarios Local ............... 646 ........................................................................................... 682
Activar/Desactivar la Replicacin de la Base de Datos a Definir Opciones de Accin de Regla de Generar Entradas
los Cortafuegos .................................................................. 647 de Lista Negra.................................................................. 683
Autenticarse contra un Cortafuegos StoneGate .... 647 Poner Trfico en Lista Negra Manualmente........... 684
Personalizar el Dilogo de Autenticacin de Usuario Redes Privadas Virtuales ...................... 685
...................................................................................... 648
Monitorizar y Probar la Autenticacin de Usuarios 649 Configuraciones de VPN Bsicas................. 687
Filtrado de Direcciones Web .......................... 651 Empezar con la Configuracin de VPNs Bsicas .. 688
Empezar con el Filtrado Web ................................... 652 Configuracin 1: VPN Bsica entre Pasarelas
Visin General de la Configuracin ................................. 652 StoneGate ................................................................... 688
Introducir Manualmente URLs Web en Listas Crear Elementos Pasarela para la Configuracin 1 ...... 689
Blancas/Negras .......................................................... 653 Crear un Elemento VPN para la Configuracin 1 .......... 690
Crear Reglas de Filtrado Web .................................. 654 Crear Reglas para la Configuracin de VPN 1 .............. 691
Configurar la Inspeccin HTTPS ................... 655 Configuracin 2: VPN Bsica con una Pasarela de un
Partner ......................................................................... 692
Empezar con la Inspeccin HTTPS ......................... 656
Crear un Elemento Pasarela Interna para la Configuracin 2
Visin General de la Configuracin ................................. 657 .............................................................................................. 693
Configurar la Proteccin de Servidor ....................... 658 Crear un Elemento Pasarela Externo para la Configuracin 2
Configurar la Proteccin de Cliente ......................... 659 .............................................................................................. 694
Crear Elementos Autoridad de Certificacin de Proteccin Definir un Sitio para la Pasarela Externa en la Configuracin
de Cliente ............................................................................ 659 2 ........................................................................................... 695
Importar una Clave Privada y un Certificado de Firma para Crear un perfil de VPN para la Configuracin 2 ............ 696
la Proteccin de Cliente HTTPS ...................................... 660 Crear un elemento VPN para la Configuracin 2 .......... 698
Generar una Clave Privada y un Certificado de Firma para Crear Reglas para la Configuracin 2 ............................. 700
la Proteccin de Cliente HTTPS ...................................... 661
Configuracin 3: VPN Bsica para Clientes Remotos701
Exportar un Certificado de Proteccin de Cliente HTTPS
Gestionar Direcciones de Clientes VPN en la Configuracin 3
.............................................................................................. 662
.............................................................................................. 701
Definir Autoridades de Certificacin de Confianza Crear Elementos Pasarela para la Configuracin 3 ...... 702
para Inspeccin HTTPS ............................................ 662
Aadir Opciones de Cliente VPN para la Configuracin 3703
Crear Elementos Autoridad de Certificacin de Confianza
Crear un Elemento VPN para la Configuracin 3 .......... 705
.............................................................................................. 663
Crear Usuarios para la Configuracin de VPN 3 ........... 706
Importar un Certificado de Autoridad de Certificacin de
Confianza para Inspeccin HTTPS ................................. 663 Crear Reglas para la Configuracin VPN 3 .................... 707
Configurar Comprobaciones de Listas de Revocacin de Configuracin 4: VPN Hub Bsico ........................... 709
Certificados para la Inspeccin HTTPS ......................... 664 Crear Elementos Pasarela para la Configuracin VPN 4709
Activar la Inspeccin HTTPS en el Dispositivo ...... 665 Crear un Elemento VPN para la Configuracin 4 .......... 710
Excluir Dominios de la Inspeccin HTTPS ............. 666 Definir Propiedades del Sitio para la Configuracin de VPN 4
Definir un Servicio HTTPS Personalizado .............. 667 .............................................................................................. 711
Crear Reglas para la Configuracin de VPN 4 .............. 712
Crear Reglas de Acceso para la Inspeccin HTTPS
...................................................................................... 668 Configurar VPNs IPsec ................................... 715
Inspeccin Externa de Contenidos ............... 669 Empezar con VPNs IPsec ......................................... 716
Configurar VPNs IPsec ..................................................... 718

Comprobar Cundo Expira una CA de VPN Interna766
Definir Perfiles de Pasarela ...................................... 718 Reconfigurar VPNs Existentes ...................... 767
Definir un Perfil de Pasarela Personalizado ................... 718 Aadir o Eliminar Tneles Dentro de una VPN...... 768
Definir Pasarelas de Seguridad ................................ 720 Configurar Opciones de NAT para una VPN Existente
Crear un Nuevo Elemento Pasarela de Seguridad ....... 721 ...................................................................................... 768
Definir Endpoints para Pasarelas de Seguridad Internas Trasladar Direcciones de Comunicaciones VPN entre
.............................................................................................. 722 Pasarelas ............................................................................ 769
Definir Endpoints para Pasarelas de Seguridad Externas Trasladar Direcciones en el Trfico Dentro de un Tnel VPN
.............................................................................................. 724 .............................................................................................. 769
Definir CAs de Confianza para una Pasarela ................ 726 Aadir Nuevas Pasarelas a una VPN Existente .... 770
Definir Opciones de Cliente VPN Especficas de la
Cambiar el Direccionamiento IP de la Pasarela en una
Pasarela .............................................................................. 727
VPN Existente............................................................. 770
Definir Sitios para Pasarelas VPN ........................... 729
Dar Acceso VPN a Hosts Adicionales ..................... 771
Desactivar/Reactivar la Gestin del Sitio VPN Automtico
.............................................................................................. 730 Enrutar el Trfico de Internet a Travs de VPNs ... 771
Ajustar la Gestin del Sitio VPN Automtico .................. 731 Reenviar Todo el Trfico Corporativo SOHO a la VPN 772
Aadir un Nuevo Sitio VPN............................................... 731 Enrutar Trfico Entre Tneles VPN ......................... 772
Definir Redes Protegidas para Sitios VPN ..................... 732 Renovar o Generar Claves Pre-Compartidas ........ 773
Ajustar Opciones de Sitio Especficas de la VPN .......... 732 Generar una Nueva Clave Pre-Compartida Automticamente
Desactivar Temporalmente un Sitio VPN en Todas las .............................................................................................. 773
VPNs.................................................................................... 733 Configurar Claves Pre-Compartidas Manualmente....... 774
Eliminar un Sitio Permanentemente de Todas las VPNs Ajuste Avanzado de VPNs ........................................ 774
.............................................................................................. 734 Definir un Elemento Opciones Personalizado de una Pasarela
Definir Perfiles de VPN .............................................. 734 .............................................................................................. 774
Crear un Nuevo Perfil de VPN ......................................... 734 Ajustar Opciones Generales de la Pasarela ................ 776
Modificar un Perfil de VPN Existente .............................. 735 Ajustar Opciones de Reintentos de Negociacin ........ 777
Definir Opciones de IKE (Fase 1) para una VPN .......... 735 Ajustar Opciones de Cach de Certificados ................ 778
Definir Opciones de IPsec (Fase 2) para una VPN ....... 737 Ajustar Opciones de Anti-Clogging ............................... 778
Definir Opciones de Cliente VPN ..................................... 740 Asignar las Opciones de Pasarela para un Dispositivo
Definir CAs de Confianza para una VPN ........................ 742 Cortafuegos/VPN ............................................................... 779
Definir un Elemento VPN .......................................... 742 Opciones de Cliente VPN ............................... 781
Crear un Nuevo Elemento VPN ....................................... 743 Empezar con las Opciones del Cliente VPN .......... 782
Modificar un Elemento VPN Existente ............................ 744 Lista de Opciones de Cliente VPN en el Management
Definir la Topologa de la VPN ......................................... 744 Client ............................................................................ 783
Definir Opciones del Tnel VPN ...................................... 746 Gestionar las Direcciones IP de Clientes VPN ...... 785
Crear Reglas de VPN ................................................ 748 Configurar NAT Pool para Clientes VPN ........................ 786
Crear Reglas Bsicas de VPN para Conexiones de Configurar Direccionamiento IP Virtual para Clientes VPN787
Pasarelas ............................................................................ 749 Configurar la Pasarela para Clientes con Direccin IP Virtual
Crear Reglas Bsicas para Conexiones de Clientes VPN .............................................................................................. 787
.............................................................................................. 750 Permitir el Reenvo DHCP en la Poltica......................... 789
Crear Reglas de Reenvo de VPN en Pasarelas Hub... 751 Exportar la Configuracin del Cliente VPN a un Fichero
Evitar que Otras Reglas Comprueben el Trfico VPN .. 752 ...................................................................................... 789
Crear Reglas de NAT para Trfico VPN ......................... 752
Mantenimiento y Actualizaciones ......... 791
Monitorizar VPNs........................................................ 753
Gestionar Certificados de VPN ...................... 755 Hacer Copias de Seguridad y Restaurar las
Empezar con Certificados de VPN .......................... 756 Configuraciones del Sistema ........................ 793
Visin General de la Configuracin ................................. 756 Empezar con las Copias de Seguridad ................... 794
Definir una Autoridad de Certificacin de VPN ...... 757 Visin General de la Configuracin ................................. 794
Crear y Firmar Certificados de VPN ........................ 759 Crear Copias de Seguridad ...................................... 795
Crear un Certificado de VPN o Peticin de Certificado Almacenar Ficheros de Copia de Seguridad ......... 796
para una Pasarela Interna ................................................ 759 Restaurar Copias de Seguridad ............................... 796
Firmar Peticiones Externas de Certificados Internamente
Restaurar una Copia de Seguridad del Management Server
.............................................................................................. 761 .............................................................................................. 797
Cargar Certificados de VPN Manualmente............. 762 Restaurar una Copia de Seguridad del Log Server ...... 797
Renovar Certificados de VPN ................................... 763 Recuperarse de un Fallo Hardware ......................... 798
Exportar el certificado de Pasarela VPN o CA de Gestionar Datos de Logs ............................... 799
VPN .............................................................................. 764
Empezar con la Gestin de Datos de Logs ............ 800
Importar un Certificado de Pasarela VPN ............... 765
Comprobar Cundo Expiran los Certificados de
Definir Cundo se Generan los Logs ...................... 801
Pasarela ....................................................................... 765
Archivar Datos de Logs ............................................. 802 Obtener los Ficheros de Actualizacin de los
Crear una Tarea de Archivado de Logs .......................... 802 Dispositivos ................................................................. 841
Seleccionar Datos de Log para el Archivado ................. 803 Actualizar Dispositivos Remotamente ..................... 841
Seleccionar Opciones de Operacin para el Archivado de Actualizaciones Dinmicas Manuales ......... 845
Datos de Log ...................................................................... 804
Empezar con las Actualizaciones Dinmicas Manuales
Eliminar Datos de Logs.............................................. 805 ...................................................................................... 846
Crear una Tarea de Borrado de Logs ............................. 805 Visin General de la Configuracin ................................. 846
Seleccionar Datos para el Borrado de Logs ................... 806
Importar un Paquete de Actualizacin .................... 846
Seleccionar Opciones de Operacin para el Borrado de
Logs ..................................................................................... 806 Activar un Paquete de Actualizacin ....................... 847
Purgar Datos de Logs ....................................................... 807 Resolucin De Problemas ...................... 849
Desactivar Filtros de Purgado .......................................... 808
Exportar Datos de Logs ............................................. 809 Consejos Generales para la Resolucin de
Crear una Tarea de Exportacin de Logs....................... 809 Problemas ......................................................... 851
Seleccionar Datos para la Exportacin de Logs ............ 810 Si Su Problema No Est Listado .............................. 852
Seleccionar Opciones de Operacin para la Exportacin Herramientas Para Ms Resolucin de Problemas852
de Logs ................................................................................ 811 Resolucin de Problemas con Cuentas y
Ver una Historia de Tareas de Logs Ejecutadas ... 812 Contraseas ..................................................... 853
Gestionar y Programar Tareas ...................... 813 Contraseas Olvidadas ............................................. 854
Empezar con Tareas .................................................. 814 Los Cambios en la Cuenta del Usuario No Tienen Efecto
Visin General de la Configuracin ................................. 814 ...................................................................................... 854
Tipos de Tareas .......................................................... 815 Crear una Cuenta de Administrador de Emergencia855
Crear Nuevas Definiciones de Tareas..................... 817 Resolucin de Problemas de Alertas, Errores y
Crear Tareas de Copia de Seguridad ............................. 817 Mensajes de Log .............................................. 857
Crear Tareas de Refresco de Polticas ........................... 818 Mensajes de Log de Alerta ....................................... 858
Crear Tareas de Carga de Polticas ................................ 818 Alertas de Autoridad de Certifiacin Expirada/en Expiracin
Crear Tareas de Actualizacin Remota .......................... 819 .............................................................................................. 858
Crear Tareas SGInfo ......................................................... 820 Alertas de Certificado Expirado/en Expiracin ............... 858
Programar Tareas ...................................................... 820 Log Spool Filling .............................................................. 858
Arrancar Tareas Manualmente ................................. 821 Status Surveillance: Inoperative Security Engines ..... 858
Pausar la Ejecucin Programada de una Tarea .... 821 System Alert ..................................................................... 859
Test Failed........................................................................ 859
Cancelar una Programacin de Tarea .................... 821
Throughput Based License Exceeded.......................... 859
Parar la Ejecucin de Tareas ................................... 822
Mensajes de Log ........................................................ 860
Gestionar Licencias ........................................ 823 Connection Closed/Reset by Client/Server .................... 860
Empezar con las Licencias ....................................... 824 Connection Removed During Connection Setup ........ 860
Generar Nuevas Licencias ........................................ 826 Connection State Might Be Too Large ......................... 860
Actualizar Licencias Manualmente .......................... 827 Connection Timeout........................................................ 861
Cambiar los Detalles de Asociacin de una Licencia Incomplete Connection Closed...................................... 862
...................................................................................... 828 NAT Balance: Remote Host Does Not Respond......... 862
Instalar Licencias ........................................................ 828 Not a Valid SYN packet .................................................. 863
Instalar una Licencia para un Componente No Licenciado Requested NAT Cannot Be Done ................................. 864
.............................................................................................. 828 Paquetes Spoofed ............................................................. 864
Sustituir la Licencia de un Componente Previamente Mensajes de Log VPN IPsec ............................................ 864
Licenciado ........................................................................... 829
Mensajes de Error ...................................................... 864
Comprobar si Todos los Componentes estn
Command Failed/Connect Timed out ............................. 864
Licenciados ................................................................. 831
PKIX Validation Failed....................................................... 865
Comprobar la Validez y Estado de la Licencia ....... 831
Policy Installation Errors.................................................... 865
Actualizar el Management Center ................. 833 Unexpected Error ............................................................... 865
Empezar con la Actualizacin del SMC .................. 834 Resolucin de Problemas con Certificados 867
Entender los Problemas Relacionados con Certificados
Obtener los Ficheros de Instalacin del SMC ........ 835 ...................................................................................... 868
Actualizar los Servidores del Management Center 836 Sustituir Certificados Expirados/Perdidos............... 870
Directorios de Instalacin por Defecto de SMC ..... 837 Renovar Certificados de Servidor SMC .......................... 870
Actualizar los Dispositivos............................. 839 Renovar Certificados de Dispositivo ............................... 871
Empezar con la Actualizacin de Dispositivos ....... 840 Tratar con Autoridades de Certificacin en Expiracin
Visin General de la Configuracin ................................. 840 ...................................................................................... 872
Resolucin de Problemas con la Operacin Resolucin de Problemas de Informes ................... 906

de Dispositivos ................................................. 875 No Se Genera Ningn Informe ................................. 906
Un Nodo no se Pone o Mantiene Online................. 876 Secciones de Informe Vacas o Datos Incompletos907
Error Enviando un Comando a un Dispositivo ....... 876 Resolucin de Problemas de Actualizaciones909
Errores con el Heartbeat y la Sincronizacin ......... 877 La Actualizacin Falla a Causa de Servicios en
Problemas Contactando con el Management Server Ejecucin ..................................................................... 910
...................................................................................... 877 StoneGate will not be installed properly ............... 910
Resolucin de Problemas de Licencias ....... 879 Resolucin de Problemas de VPNs ............. 911
Resolucin de Problemas de Licencias .................. 880 Comprobar los Resultados de la Validacin Automtica
La Licencia se Muestra como Retained ............... 880 de VPNs ...................................................................... 912
La Licencia se Muestra como Unassigned .......... 881 Leer Logs Relacionados con VPNs ......................... 912
Alertas de Throughput Based License Exceeded881 Problemas con Certificados de VPNs ..................... 913
Resolucin de Problemas de Logging ......... 883 Problemas con VPNs de Pasarela Interna a Externa913
Problemas con la Visualizacin de Logs................. 884 Problemas en la Conexin con un Cliente VPN
StoneGate ................................................................... 914
Los Logs estn Llenando el Espacio de
Almacenamiento ......................................................... 884 Apndices ................................................ 915
El Log Server no se Ejecuta ..................................... 885
Herramientas de Lnea de Comando............ 917
Resolucin de Problemas del Management
Client .................................................................. 887 Comandos del Management Center........................ 918
No Puedo Ver la Ayuda Online: Help File Not Found Comandos del Dispositivo ........................................ 926
...................................................................................... 888 Comandos del Agente de Monitorizacin de Pool de
Algunas Opciones Estn Desactivadas .................. 888 Servidores ................................................................... 931
Arranque y Funcionamiento Lentos ......................... 889 Puertos de Comunicacin por Defecto ....... 933
Problemas al Conectar con el Management Client 889 Puertos del Management Center ............................. 934
Problemas con el Diseo y Vistas............................ 890 Puertos de Dispositivos Cortafuegos/VPN ............. 936
Problemas al Visualizar Estadsticas ....................... 890 Puertos de Dispositivo IPS ....................................... 940
Problemas con la Monitorizacin de Estado .......... 890 Alias Predefinidos ........................................... 943
Problemas al instalar Web Start en un Servidor Alias de Usuario Pre-Definidos ................................ 944
Externo ......................................................................... 891 Alias del Sistema ........................................................ 944
Resolucin de Problemas de NAT ................ 893 Sintaxis de las Expresiones Regulares ....... 947
Resolucin de Problemas de Errores de NAT ....... 894 Sintaxis para las Expresiones Regulares de StoneGate
NAT No Se Aplica Correctamente ........................... 894 ...................................................................................... 948
NAT Se Aplica Cuando No Debera ........................ 895 Secuencias de Caracteres Especiales.................... 950
Resolucin de Problemas de Polticas ........ 897 Modificadores de Coincidencia de Patrones .......... 951
Resolucin de Problemas de Instalacin de Polticas Extensiones de Variables de Bit .............................. 952
de Cortafuegos ........................................................... 898 Evaluacin de Expresiones Variables ..................... 954
El Dispositivo Da Marcha Atrs en la Instalacin de la Operaciones de Flujo ........................................................ 956
Poltica ................................................................................. 898 Otras Expresiones ............................................................. 957
El Tiempo de Espera de Contacto del Management con Variables del Sistema ................................................ 958
los Nodos Se Agota ........................................................... 898
La Instalacin de la Poltica Falla por Alguna Otra Razn
Subexpresiones Independientes .............................. 959
.............................................................................................. 899 Grupos de Coincidencia en Paralelo ....................... 960
Aviso Automatic Proxy ARP Option Is Ignored ........... 899 Traps y MIBs SNMP......................................... 961
Resolucin de Problemas de Instalacin de Polticas Actualizaciones de Esquema para Servidores
de IPS .......................................................................... 900 LDAP Externos................................................. 973
Resolucin de Problemas de Reglas ...................... 900
Campos de Log ................................................ 975
Validar las Reglas .............................................................. 900
Campos de Entradas de Log .................................... 976
Una Regla que Permite Cualquier (ANY) Servicio No
Permite Todo el Trfico ..................................................... 900 Campos de Entrada de Logs No-exportables ................ 976
Las Reglas de Inspeccin Producen Falsos Positivos . 901 Campos de Entrada de Logs de Alerta Exportables ..... 980
Cmo Activar Passthrough para el Trfico PPTP.......... 901 Campos de Entrada de Logs de Traza de Alerta Exportables
.............................................................................................. 980
Trfico que se Quiere Permitir se Para en el Cortafuegos
.............................................................................................. 902 Campos de Entrada de Logs de Auditora Exportables 981
Los Paquetes se Descartan como Spoofed ................... 903 Campos de Entrada de Logs de Cortafuegos Exportables982
Definiciones No Soportadas en Reglas de Acceso IPv6 Campos de Entrada de Logs de IPS Exportables ......... 984
.............................................................................................. 903 Campos de Entrada de Logs de Grabaciones de IPS
Exportables ......................................................................... 996
Resolucin de Problemas de Informes ........ 905
Campos de Entrada de Logs de SSL VPN Exportables997

Valores del Campo Facility ....................................... 997
Valores del Campo Type (Tipo) ............................... 999
Valores del Campo Accin ...................................... 1000
Valores del Campo Evento ..................................... 1000
Mensajes de Log IPsec VPN .................................. 1005
Notificaciones de VPN..................................................... 1005
Errores de VPN ................................................................ 1007
Cdigos de Error de VPN ............................................... 1009
Tipos de Entradas de Auditora .............................. 1010
Entradas de Syslog .................................................. 1014
Campos de Log Controlados por la Opcin de
Payload Adicional ..................................................... 1015
Estados de Conexin ............................................... 1016
Atajos de Teclado .......................................... 1019
Atajos de Teclado Generales ................................. 1020
Atajos para Explorar Logs y Alertas ...................... 1021
Otros Atajos Especficos de Vista .......................... 1023
Glosario ........................................................... 1025
Indice ................................................................ 1055
19
ANTES DE EMPEZAR
En esta seccin:
Uso de la Documentacin de StoneGate - 21
Qu hay de nuevo? - 27
Uso del Management Client - 35
Configuracin del Sistema - 55
Configuracin de las Comunicaciones del Sistema - 59
Gestin de los Elementos - 71

Uso de la Documentacin de StoneGate 21
CAPTULO 1
USO DE LA DOCUMENTACIN DE
STONEGATE
Bienvenido a la familia de productos StoneGate de Stonesoft Corporation. Este captulo

describe cmo utilizar esta gua y la documentacin relacionada. Adems proporciona
direcciones para obtener soporte tcnico y aportar comentarios sobre la documentacin.
Se incluyen las siguientes secciones:
Objetivos y Audiencia (pag. 22)

Documentacin Disponible (pag. 23)
Informacin de Contacto (pag. 24)
Objetivos y Audiencia
La Gua del Administrador de StoneGate est dirigida a los administradores de cualquier
instalacin de StoneGate en tareas que incluyan el StoneGate Management Center (SMC) y
los varios componentes que controla el SMC. Esta gua describe paso a paso cmo
completar la configuracin y las tareas de gestin de StoneGate.
La gua continua donde finaliza la Gua de Instalacin. Los captulos de esta gua estn
organizados de acuerdo con las tareas administrativas de StoneGate. Cada captulo hace
foco en un rea de administracin. Como norma general, los captulos avanzan desde tareas
bsicas de configuracin a temas ms avanzados. Aunque se proporcionan visiones
generales, el nfasis de esta gua est ms en completar tareas especficas que en
desarrollar un conocimiento profundo de cmo funciona el sistema (consulte las Reference
Guides para ms informacin de fondo).
Esta gua explica las funcionalidades incluidas en las versiones de software mencionadas en
la pgina 1. Si est utilizando versiones anteriores del software no ser capaz de utilizar
todas las funcionalidades explicadas en este manual y algunas de ellas pueden no funcionar
segn aqu se explica.
Para consultar la Ayuda Online, pulse F1 en su teclado en cualquier ventana o dilogo del
Management Client.
Convenciones Tipogrficas
Usaremos las siguientes convenciones tipogrficas a lo largo de la gua:
Tabla 1.1 Convenciones tipogrficas
Formato Usos Informativos

Texto normal Esto es texto normal
Los elementos del interfaz (botones, mens, etc.) y
Texto de interfaz de cualquier otra interaccin con el interfaz de usuario se
usuario muestran en negrita
Las referencias cruzadas y los primeros usos de
Trminos de referencia acrnimos y trminos estn en cursiva
Los nombres de ficheros, directorios, y el texto mostrado
Lnea de comando en pantalla estn en monoespaciado.
Las entradas del usuario en pantalla estn en
Entrada del usuario monoespaciado negrita.
Parmetros de Los nombres de parmetros de comandos estn en
comandos monoespaciado cursiva
Utilizaremos las siguientes formas de indicar informacin importante o adicional:

Prerrequisitos: Muchas de las secciones se inician con una lista de prerrequisitos que sealan tareas que
deber llevar a cabo antes del procedimiento detallado en la seccin. Los prerrequisitos obvios (tales como
disponer de un cortafuegos instalado si quiere configurar una funcionalidad del cortafuegos) no se incluyen en
estos prerrequisitos.
Nota Las notas proporcionan informacin importante que puede ayudarle a realizar una
tarea.
Precaucin Las precauciones proporcionan informacin importante que deber tener

en cuenta antes de llevar a cabo una accin para evitar errores crticos.
Tip Los Tips proporcionan informacin que no es esencial, pero hace que trabajar con el
sistema sea ms fcil.
Ejemplo Los ejemplos clarifican los puntos tratados en el texto adyacente.
Para continuar:
Las listas de Para continuar al final de las secciones contienen las tareas que deber
o puede desear ejecutar tras completar un procedimiento. Si varios de los
procedimientos listados aplican, seleccione el primero; encontrar una nueva seccin
Para continuar cuando finalice el primer punto.
Documentacin Disponible
La documentacin tcnica de StoneGate est dividida en dos categoras: documentacin del
producto y documentacin de soporte.
Documentacin del Producto

La siguiente tabla muestra la documentacin disponible para el producto. Las guas en PDF
estn disponibles en el CD-ROM del Management Center CD-ROM y en
http://www.stonesoft.com/support/.
Tabla 2: Documentacin del Producto
Gua Descripcin
Explica la operacin y funcionalidades de StoneGate de forma
exhaustiva. El flujo de trabajo general y proporciona escenarios de
Gua de Referencia
ejemplo para cada rea de caractersticas. Disponible para
StoneGate Management Center, Cortafuegos/VPN e IPS.
Instrucciones para planificar, instalar y actualizar un sistema
Gua de Instalacin StoneGate. Disponible para StoneGate Management Center,
Cortafuegos/VPN, IPS, y cortafuegos SOHO.
Describe cmo configurar y gestionar el sistema paso a paso.
Accesible desde el men de ayuda y usando el botn de Ayuda o la
tecla F1en cualquier ventana o dilogo. Disponible en el StoneGate
Ayuda online
Management Client y StoneGate Web Portal. En el SSL VPN
Administrator est disponible un sistema basado en HTML mediante
enlaces de ayuda e iconos.
Describe cmo configurar y gestionar el sistema paso a paso.
Disponible como una gua combinada para StoneGate
Gua del Administrador
Cortafuegos/VPN y StoneGate IPS, y como guas separadas para
StoneGate SSL VPN y el cliente StoneGate IPsec VPN.
Instrucciones para usuarios finales. Disponible para el cliente
Gua del usuario
StoneGate IPsec VPN y el StoneGate Web Portal.
Tabla 3: Documentacin del Producto (Continuacin)
Gua Descripcin
Instrucciones para instalar fsicamente y mantener los dispositivos
Gua de Instalacin del
StoneGate (montaje en rack, cableado, etc.). Disponible para todos
Dispositivo
los dispositivo hardware StoneGate.
Documentacin de Soporte
La documentacin de soporte de StoneGate proporciona informacin tcnica adicional y de
ltima hora. Estos documentos tcnicos apoyan a las guas de StoneGate, por ejemplo,
proporcionando ms ejemplos sobre escenarios de configuracin especficos.
La ltima documentacin tcnica de StoneGate est disponible en el sitio Web de Stonesoft
en http://www.stonesoft.com/support/.
Requisitos del Sistema

Las plataformas certificadas para la ejecucin del software de cortafuegos StoneGate
pueden encontrarse en las pginas de producto en
http://www.stonesoft.com/en/products_and_solutions/products/ (seleccione el producto
correcto y pulse Software Solutions a la izquierda).
Los requisitos hardware y software para el Management Center y detalles especficos de la
versin para todos los productos software pueden encontrarse en las Release Notes
incluidas en el CD-ROM de Management Center y en la pgina de descarga de software en
el sitio Web de Stonesoft.
Informacin de Contacto
Para direcciones postales, nmeros de telfono e informacin general sobre StoneGate y
Stonesoft Corporation, visite nuestro sitio Web en http://www.stonesoft.com/.
Licenciamiento
Puede ver sus licencias actuales en la seccin del Centro de Licencias del sitio Web de
Stonesoft en https://my.stonesoft.com/managelicense.do.
Para consultas relacionadas con licencias, contacte por e-mail con order@stonesoft.com.
Soporte Tcnico
Stonesoft ofrece servicios de soporte tcnico globales para las familias de productos de
Stonesoft. Para ms informacin sobre el soporte tcnico, visite la seccin de Soporte en el
sitio Web de Stonesoft en http://www.stonesoft.com/support/.
Sus Comentarios
Queremos que nuestros productos cubran sus necesidades en lo posible. Siempre estamos
encantados de recibir cualquier sugerencia que pueda usted tener para mejorar.
Para comentarios sobre productos software y hardware, enve un e-mail a
feedback@stonesoft.com.
Para comentarios sobre la documentacin, enve un e-mail a
documentation@stonesoft.com.
Cuestiones y Comentarios Relacionados con Seguridad

Puede enviar cualquier cuestin o comentario relacionado con StoneGate IPS y la seguridad
en red a security-alert@stonesoft.com.
Otras Consultas
Para consultas sobre otros temas, enve un e-mail a info@stonesoft.com.
Qu Hay de Nuevo? 27
CAPTULO 2
QU HAY DE NUEVO?
Esta seccin lista los cambios principales desde la versin previa. La mayor parte de
funcionalidades nuevas o modificadas se listan aqu. Los cambios que no afectan
significativamente a la forma de configurar StoneGate no son listados. Para una lista
completa de cambios en el software e informacin detallada especfica de la versin,
consulte las Release Notes.
Cambios Importantes (pg. 28)

Otros Cambios en SMC 5.2.2 (pg. 28)
Otros Cambios en SMC 5.2 (pg. 29)
Otros Cambios en el Cortafuegos/VPN 5.2 (pg. 31)
Otros Cambios en IPS 5.2 (pg. 32)
Notas sobre Cambios en la Edicin de Polticas para Actualizaciones (pg. 33)
Cambios Importantes
Los cambios listados aqu o bien cambian automticamente las configuraciones existentes o
requieren que usted compruebe de forma manual las configuraciones existentes en su
sistema.
VPNs: Fin del Soporte para la Encapsulacin UDP Legacy

La versin 5.2 del Cortafuegos/VPN no soporta ya el mtodo propietario de StoneGate de
encapsulacin UDP para NAT transversal. Si se requiere NAT transversal, reconfigure sus
VPNs para utilizar encapsulacin NAT-T. Desactive la opcin antes de actualizar sus
pasarelas cortafuegos/VPN a la versin 5.2. Eliminar la encapsulacin UDP no requiere
ningn cambio en las configuraciones de pasarelas VPN de terceros, puesto que el mtodo
es propietario de StoneGate (la opcin nunca ha forzado la encapsulacin con componentes
no soportados).
Para ms detalles, vea Definir Endpoints para Pasarelas de Seguridad Internas (pg. 723).
SMC: Fin del Soporte para Clientes VPN Legacy

La versin 5.2 de SMC ya no contiene opciones para clientes VPN de versiones 2.6 o
anteriores. Los clientes VPN antiguos no podrn conectar a travs de cortafuegos
gestionados con SMC 5.2 independientemente de la versin del software de los cortafuegos.
Otros Cambios en SMC 5.2.2
Autenticacin Automtica contra un Servidor Proxy para

actualizaciones
Ahora puede establecer un usuario y contrasea para un servidor proxy HTTPS utilizado
para descargar actualizaciones. Esto le permite mostrar la informacin del contrato de
mantenimiento e importar actualizaciones dinmicas, actualizaciones del software y/o
actualizar las licencias automticamente cuando su proxy requiere autenticacin.
Para ms detalles, vea Configurar las Puestas al Da y las Actualizaciones del Dispositivo
Automticas (pg. 210).
Desactivacin de la Sincronizacin de Conexiones

En cada regla de Acceso del cortafuegos (opciones Action Accin), ahora puede elegir que
las conexiones no sean sincronizadas entre cortafuegos en clster cuando las conexiones
estn permitidas por la regla. Esto reduce la sobrecarga, pero evita el failover de las
conexiones a otros nodos del clster. Esta opcin requiere versiones del software de
cortafuegos 5.2.1 o superiores en todos los nodos del clster.
Para ms detalles, vea Definir Opciones de Accin Permitir para Cortafuegos (pg. 523).
Qu Hay de Nuevo? 29
Otros Cambios en SMC 5.2

Vea tambin Cambios Importantes!
Seleccin de Colores para Reglas de Comentario

Ahora puede establecer el color de las reglas de comentarios en las polticas mediante el
men de botn derecho de la regla de comentario.
Snapshots de Conexiones y Listas Negras

Ahora puede salvar snapshots (instantneas) de las entradas activas de listas negras y de
las conexiones activas.
Para ms detalles, vea Guardar Snapshots de Listas Negras y Conexiones (pg. 99).
Importacin de Copias de Seguridad Personalizadas para

Instalaciones en Modo Demo
Cuando instala SMC en el entorno demo, ahora puede importar su propia copia de seguridad
para crear una simulacin de su entorno real. La instalacin demo no es completamente
realista; los cortafuegos en la demo son solamente simulaciones locales, y los log de datos
se generan aleatoriamente.
Para ms detalles, vea la Gua Management Center Installation Guide.
Cambios en la Lgica de Edicin del Editor de Polticas

Varios cambios en el modo de edicin de reglas hacen el editor de polticas ms consistente
de usar.
Para ms detalles, vea Notas sobre la Nueva Lgica de Edicin de Tablas de Reglas (pg.
33).
Mejoras en la Importacin de Elementos

Ahora puede restaurar elementos desde Snapshots de Polticas e importar elementos desde
ficheros planos o CSV. Ahora puede pre visualizar y comparar el contenido de los elementos
antes de importarlos.
Para ms detalles, vea Restaurar de Elementos desde Snapshots de Polticas (pg. 78).
Modificacin de la Configuracin de Reglas de Inspeccin

Las herramientas para configurar reglas de Inspeccin en las Polticas de Cortafuegos e IPS
han sido modificadas ampliamente para permitirle activar y desactivar los chequeos de
inspeccin de un modo mucho ms simple que antes. Este cambio no se aplica
automticamente en sus configuraciones, pero pone a su disposicin nuevas herramientas
en las polticas existentes. En la mayora de los casos, este cambio permite leer de forma
mucho ms fcil la poltica, pero deber editarla manualmente para conseguir los beneficios
explicados.
Para ms detalles, vea Notas sobre Cambios en las Reglas de Inspeccin (pg. 34).
Herramienta de Navegacin MIB Integrada

Puede importar MIBs SNMP para la recepcin de datos de logs de terceros y navegar por los
contenidos de los ficheros MIB en el Management Client.
Para ms detalles, vea Importar MIBs (pg. 120).

Enlace de Logs a Reglas para Reglas de Inspeccin Y NAT

Adems de las reglas de Acceso, la vista de Logs permite ahora abrir las reglas de
Inspeccin y NAT que han generado la informacin mostrada en los logs.
Nuevas Herramientas de Bsqueda

La nueva Bsqueda-mientras-escribe permite filtrar rpidamente cualquier lista larga de
elementos escribiendo algn detalle identificativo. Una nueva bsqueda de direcciones IP
duplicadas le permite encontrar elementos redundantes en el sistema. Una nueva bsqueda
DNS le permite buscar elementos existentes y crear nuevos elementos escribiendo en un
nombre DNS (que sus servidores de DNS sean capaces de resolver).
Para ms detalles, vea Uso de las Funcionalidades de Bsqueda (pg. 44).
Soporte OCSP
Los cortafuegos pueden ahora comprobar la validez de certificados IPsec VPN usando el
protocolo OCSP.
Para ms detalles, vea Definir una Autoridad de Certificacin de VPN (pg. 757).
Guardar y Visualizar Logs como Archivos Zip

Ahora puede guardar los log en un archivo zip y visualizarlos directamente desde el archivo
en cualquier ordenador que tenga instalado el Management Client.
Escalado de Severidad de Alertas ms Simple

Las severidades de alertas mostradas en la mayor parte del interfaz de usuario son ahora
Info, Low (Baja), High (Alta), y Critical (Crtica). Internamente el sistema usa los mismos diez
identificadores numricos que anteriormente (por ejemplo en los ficheros de datos de log en
crudo).
Alertas Basadas en Estadsticas

Ahora es posible definir un umbral para el seguimiento automtico de elementos
monitorizados en las Vistas Generales (Overviews). Una alerta se enviar si se excede el
umbral.
Para ms detalles, vea Establecer Umbrales para Elementos Monitorizados (pg. 96).
Mejoras en la Monitorizacin de Dispositivos de Terceros

El nmero mximo de componentes de terceros que un Servidor de Logs puede monitorizar
se ha aumentado de 50 a 200. El editor de Perfiles de Logging (Logging Profile) y el editor de
Parseo de Campos (Field Resolver) han sido mejorados y su uso se ha hecho ms simple.
Para ms detalles, vea Recibir Logs de Dispositivos Externos (pg. 113) and Definir Field
Resolvers (pg. 117).
Atajos de Resolucin de Problemas VPN

Los diagramas de monitorizacin de VPNs ahora contienen atajos a los logs relacionados en
los mens de botn derecho de los tneles, pasarelas y end-points mostrados.
Qu Hay de Nuevo? 31
Otros Cambios en el Cortafuegos/VPN 5.2

Vea tambin Cambios Importantes (pg. 28)
Versin de Software de 64 bits

Para soportar los requisitos crecientes de memoria, ahora est disponible una versin del
software de 64-bit. Se proporcionan versiones separadas del software de cortafuegos para
instalaciones de 32-bit y de 64-bit. No es posible actualizar desde una instalacin de 32-bit a
otra de 64-bit. Si ejecuta los cortafuegos en su propio hardware, puede instalar la versin de 64-
bit como una nueva instalacin en hardware existente. Los dispositivos StoneGate no soportan
el cambio entre instalaciones de 32-bit y de 64-bit. En clster, no es posible mantener online
sistemas de 32-bit y de 64-bit a la vez.
Enlaces de Red Agregados

Los cortafuegos ahora soportan el estndar de agregacin de enlaces IEEE 802.3ad para el
balanceo de carga y la alta disponibilidad de enlaces de red en routers configurados para la
agregacin de enlaces.
Para ms detalles, vea Definir Interfaces Fsicos para Cortafuegos (pg. 344).
Lmites de Tasas de Conexiones Concurrentes

Ahora puede establecer lmites al nmero de conexiones que pueden abrirse entre cada pareja
de direcciones en las reglas de Acceso del cortafuegos.
Para ms detalles, vea Definicin de Opciones de Accin Permitir para Cortafuegos (pg.
523).
Soporte IPv6 en Cortafuegos Independientes

Los cortafuegos independientes pueden filtrar ahora trfico IPv6 y pueden configurarse con
direcciones IPv6 en sus interfaces de red. Algunas caractersticas no funcionan con trfico IPv6
por el momento. Las reglas de NAT (incluyendo funcionalidades que se basan en NAT, como
Multi-Link de entrada y salida, y la redireccin CIS), todas las caractersticas de inspeccin
profunda de paquetes, y las VPNs no estn soportadas por el momento para el trfico IPv6.
Enrutamiento basado en Polticas IGMP

Los cortafuegos ahora soportan el reenvo multicast basado en IGMP (IGMP proxying).
Para ms detalles, vea Enrutar el Trfico Multicast (pg. 449).
Servidor DHCP integrado en Clster

Adems de en los cortafuegos independientes, tambin los clster pueden funcionar como
servidores DHCP para las redes locales.
Para ms detalles, vea Activar el Servidor DHCP Interno en un Interfaz de Cortafuegos (pg.
390).
Contadores de Hits de Reglas para Reglas de NAT

Adems de en las reglas de Acceso, los cortafuegos ahora proporcionan contadores acerca de
cuntas conexiones pasan por las reglas de NAT.
Para ms detalles, vea Encontrar Reglas no Usadas en las Polticas de Cortafuegos

(Contadores de Hits) (pg. 515).
Otros Cambios en IPS 5.2

Vea tambin Cambios Importantes (pg. 28)!
Versin de Software de 64 bits

Para soportar los requisitos crecientes de memoria, ahora est disponible una versin del
software de 64-bit. Se proporcionan versiones separadas del software de IPS para
instalaciones de 32-bit y de 64-bit. No es posible actualizar desde una instalacin de 32-bit a
otra de 64-bit. Si ejecuta los IPSs en su propio hardware, puede instalar la versin de 64-bit
como una nueva instalacin en hardware existente. Los dispositivos StoneGate no soportan
el cambio entre instalaciones de 32-bit y de 64-bit. En clster, no es posible mantener online
sistemas de 32-bit y de 64-bit a la vez.
Imposicin de Protocolo DNS

Los sensores disponen ahora de comprobaciones adicionales a nivel de aplicacin capaces
de reconocer trfico DNS. Puede imponer el uso del protocolo DNS para evitar que otras
aplicaciones, como aplicaciones de comparticin de ficheros peer-to-peer, enmascaren las
peticiones de DNS.
Para ms detalles, vea Definir Parmetros de Protocolo DNS (pg. 580).
Mejoras en Huellas Digitales (Fingerprints)

La sintaxis de expresiones regulares para la definicin de contextos en Situations
(Situaciones) ha sido mejorada para permitir definiciones de variables ms flexibles.
Para ms detalles, vea Sintaxis de las Expresiones Regulares (pg. 947).
Filtrado Web
Los sensores IPS ahora soportan listas de URLs y filtrado Web basado en categoras
introducidas a mano. Los controles de filtrado basados en categoras usan clasificaciones
generales de contenido Web. Por ejemplo, puede evitar que los usuarios accedan a sitios de
juegos. El filtrado Web basado en categoras es una funcionalidad que se licencia aparte.
Para ms detalles, vea Empezar con el Filtrado Web (pg. 652).
Qu Hay de Nuevo? 33
Notas sobre Cambios en la Edicin de Polticas para Actualizaciones
Notas sobre la Nueva Lgica de Edicin de Tablas de Reglas

La lgica de edicin de tablas de reglas en polticas de cortafuegos e IPS ha cambiado. La
siguiente tabla detalla los cambios principales.
Tabla 4: Cambios en la Lgica de Edicin
Comportamiento Versin 5.1 Comportamiento Versin 5.2
El botn izquierdo sobre la celda Action activa

El botn derecho sobre la celda Action activa
una lista que deber pulsar de nuevo para abrir
un men que permite seleccionar la accin.
y seleccionar la accin.
El botn izquierdo solamente selecciona la
El botn derecho abre un men de elementos
celda.
generales de edicin de reglas.
Si pulsa el botn derecho en una celda con

El men del botn derecho en todas las celdas acciones especficas de la celda, estas
contiene elementos generales especficos de acciones estarn en un sub-men Regla.
reglas (como Aadir regla antes) al nivel Si pulsa el botn derecho en una celda sin
principal junto con acciones especficas de la acciones especficas (ID o Tag) las acciones
celda (como Activar para CUALQUIERA). especficas de la regla se muestran
directamente.
Las reglas tienen una celda Logging para las

Las reglas tienen una celda Opciones para
opciones de log.
opciones adicionales sobre Acciones o log. Las
La celda Accin contiene las opciones
opciones para todas las Acciones se muestran
especficas para la Accin. El dilogo solo
independientemente de la Accin seleccionada
muestra las opciones especficas soportadas
para la regla.
por esa Accin. El dilogo se abre
Algunas acciones tienen opciones adicionales
automticamente si selecciona una Accin que
requeridas en la celda Accin. El dilogo se
siempre requiera opciones adicionales.
abre automticamente si selecciona una Accin
Puede pulsar doble clic en las celdas Accin o
que siempre requiera opciones adicionales.
Logging para ajustar las opciones
.
Notas sobre Cambios en las Reglas de Inspeccin

Ilustracin 1: Las Nuevas Reglas de Inspeccin
La pestaa de Inspeccin en las Polticas de Cortafuegos e IPS est ahora dividida en dos
partes:
En la parte superior, el panel de Exceptions (Excepciones) contiene la tabla de reglas,
que funcionalmente no ha cambiado.
Ms abajo, el panel Rules (Reglas) contiene un rbol de comprobaciones de
inspecciones, el rbol de reglas.
Las Situaciones (Situations) estn organizadas en el rbol de Reglas bajo un nuevo tipo
de categorizacin llamado Situation Type (Tipo de Situacin). Los Tipos de Situacin
funcionan como las Tags de Situacin, excepto que solamente se puede seleccionar un
Tipo de Situacin para cada Situacin y en que todas las Situaciones que tienen un Tipo
de Situacin estn incluidas en el rbol de Reglas en todas las polticas.
El rbol de Reglas es la principal herramienta de configuracin. Permite seccionar una
accin (Allow Permitir o Terminate Terminar) y las opciones de logging por Situacin o
Tipo de Situacin. Ambos, la accin y opciones de log, pueden establecerse en una
configuracin por defecto, que significa que la configuracin se heredar del elemento padre
y cambiar cuando cambie la configuracin del mismo, permitiendo cambiar rpidamente la
configuracin para mltiples Situaciones.
De cualquier modo, el rbol de Reglas no permite otras configuraciones que las discutidas
ms arriba. Por ejemplo, no pueden aadirse direcciones IP en las reglas principales. Para
un control ms detallado y para algunas funcionalidades adicionales (como las listas negras)
puede usar la tabla de reglas de Excepciones. Algunas opciones adicionales, como las
Respuestas de Usuario (User Responses), pueden configurarse desde el rbol de Reglas en
una regla de Continuar (Continue) creada como una Excepcin (Exception). Si usa Polticas
de Plantilla para delegar y restringir los derechos de edicin de un administrador, tenga en
cuenta que el rbol de Reglas puede ser editado libremente en todas las polticas
independientemente de las definiciones de la Plantilla de ms alto nivel. Las Excepciones
siguen an la lgica antigua.
Aunque el rbol de Reglas ahora no se muestra en todas las polticas, las configuraciones
en sus polticas de IPS existentes permanecen sin modificar. Sus reglas actuales de
Inspeccin se muestran en la tabla de Excepciones.
La nueva lgica de edicin es utilizar el rbol de Reglas siempre que sea posible y solo
crear Excepciones cuando el rbol de Reglas no disponga de todas las opciones necesarias
para su uso previsto. Con las polticas existentes, la mayora de las reglas que no necesitan
aplicarse a determinados Origen, Destino o Interfaz Lgico de un Sensor son candidatas a
ser eliminadas y sustituidas por el rbol de Reglas. Si se toma un tiempo para limpiar las
polticas existentes de este modo, ser ms sencillo de gestionar en el futuro.
Para ms informacin, vea Editar Reglas de Inspeccin (pg. 531).
Tip Vea la IPS Reference Guide para ms informacin sobre las nuevas herramientas de
configuracin del IPS e nueva informacin sobre las consideraciones de diseo de reglas.
Uso del Management Client 35
CAPTULO 3
USO DEL MANAGEMENT CLIENT
Las secciones listadas ms abajo proporcionan una introduccin al StoneGate

Management Client.
Visin General del Management Client (pg. 36)

Reorganizar el Diseo General (pg. 40)
Marcadores de Vistas (pg. 41)
Cambio de la Vista de Inicio (pg. 44)
Uso de las Funcionalidades de Bsqueda (pg. 44)
Uso de Bsqueda-mientras-escribe (pg. 49)
Guardar como PDF o HTML (pg. 50)
Envo de Mensajes a Otros Administradores (pg. 52)
Aadir Comandos Personalizados a los Mens de Elementos (pg. 53)
Visin General de Management Client

Prerrequisitos: Ninguno
Esta seccin presenta una visin general del Management Client. Para informacin
detallada sobre el uso de estas vistas, vea las Tareas Relacionadas al final de esta seccin.
El Management Client ofrece varias vistas especficas de tareas. Hay formas alternativas de
cambiar entre diferentes vistas:
El men principal y los iconos de la barra de herramientas siempre estn disponibles.
Se proporcionan enlaces adicionales, por ejemplo, en los mens del botn derecho de
elementos y log. Tambin puede crear favoritos de sus vistas ms frecuentemente
usadas.
Dispone de varias opciones para abrir una nueva vista.
Hacer Clic sustituye la vista actual con la nueva.
Ctrl-clic abre la nueva vista en una nueva pestaa.
Maysculas-clic abre la nueva vista en una nueva ventana.
Puede abrir una nueva pestaa vaca en cualquier vista, usando el atajo de teclado Ctrl+T.
Tambin puede hacerlo pulsando el icono + a la derecha de la pestaa anterior. Desde la
lista de vistas que se abre, seleccione la vista a mostrar en la nueva pestaa.
La Vista de Estado del Sistema (System Status)
Ilustracin 2: Vista de Estado del Sistema
Diagrama de
conectividad
automtico
para el
elemento
seleccionado
y sus
asociados
Estado de
elementos
del
sistema
Detalles del
elemento
solicitado
Notificacin
Mensajes informativos de alerta
del propio activa
Management Client
Por defecto, cuando lanza el Management Client, ver la vista de Estado del Sistema. Esta vista
proporciona el estado operativo y de conectividad de los componentes del sistema y de terceros
configurados para monitorizarse mediante el StoneGate Management Center. Los mens de
botn derecho de los elementos ofrecen atajos a muchas tareas de configuracin y
mantenimiento.
Las Vistas de Configuracin
Ilustracin 3: Vista de Configuracin del Cortafuegos
Elementos del tipo

seleccionado en el rbol
rbol de tipos de
elementos
Hay vistas de configuracin separadas para las tareas de configuracin de Cortafuegos, IPS,
VPN, Administracin y Monitorizacin. Estas vistas pueden abrirse tanto desde el men principal
como desde los botones de la barra de herramientas. Adicionalmente, hay una vista de
Configuracin combinada que lista todos los elementos.
La vista de Configuracin le permite establecer y modificar todas las funcionalidades del

sistema. Las configuraciones se guardan como elementos, que son mostrados en una estructura
de rbol. Los elementos se crean y modifican con los mens de botn derecho que se abren al
pulsar el botn derecho del ratn en una rama del rbol o un elemento.
Vistas Generales (Overviews)

Ilustracin 4: Ejemplo de Vista General
Un panel lateral puede abrirse con

La informacin se el men View para editar el
muestra en paneles contenido y apariencia del panel
reescalables izquierdo seleccionado.
Las vistas generales (Overviews) pueden contener informacin sobre el estado del sistema,
marcadores a vistas que use a menudo (como log filtrados con un criterio especfico), y
grficos estadsticos sobre la operacin del sistema (como carga de los dispositivos) y el
flujo de trfico. Puede crear varias vistas generales con propsitos diferentes. Se
proporcionan varias vistas como plantillas.
Vista de Logs
Ilustracin 5: Vista de Logs en Formato Registros
El panel deQuery panel

bsquedas
selecciona los datos a
mostrar
This d. por defecto

La vista
muestra los logs como
una tabla
Tareas Relacionadas
Marcadores de Vistas (pg. 41)
Cambio de la Vista de Inicio (pg. 44)
Gestin de Elementos (pg. 71)
Empezar con la Monitorizacin del Sistema (pg. 84)
Creacin de Vistas Generales (pg. 92)
Empezar con la Vista de Logs (pg. 128)
Reorganizar el Diseo General

Puede seleccionar diferentes paneles y opciones de visualizacin mediante el men View.

Algunas opciones de formato son especficas para la vista activa, y algunas son globales.
Puede arrastrar y soltar los paneles a varios lugares preconfigurados dentro de cada vista
especfica. El formato se guarda segn sus preferencias para usos futuros, pero puede
restaurarlo mediante la opcin ViewLayoutReset Layout (VistaFormatoRestaurar
Formato) del men principal.
Para cambiar el tamao (resize) de un panel, arrastre por el borde del panel.
Para mover un panel, arrastre por la barra de ttulo arriba como cuando mueve una
ventana (vea la ilustracin inferior).
Ilustracin 6: Posicionar un Panel
Puede mover los paneles a

ciertas posiciones que se
iluminan cuando arrastra el
panel cerca de ellas. Suelte
el panel donde desee.
Si el rea iluminada cubre
completamente otro panel, el
segundo panel aade una
pestaa nueva.
Tambin puede crear marcadores con formatos alternativos para volver rpidamente a una vista y
formato especficos ms tarde. Vea Marcadores de Vistas.
Marcadores de Vistas
Las acciones relacionadas con marcadores en la vista de Configuracin de Administracin

pueden encontrarse en el men Bookmark (Marcadores). Los marcadores tambin pueden
aadirse a la barra de herramientas. Los marcadores pueden almacenar muchas de las
opciones que ha seleccionado en las vistas. Por ejemplo, puede crear un marcador de la vista
de Logs con un filtrado particular. Se pueden almacenar varias ventanas y pestaas tras un
simple clic cuando combina los Marcadores en Carpetas de Marcadores (Bookmarks Folders).
Los Marcadores en la carpeta por defecto Shared Bookmarks (Marcadores Compartidos) se
muestran a todos los administradores que se conectan al mismo Management Server. El resto
de Marcadores son privados a los Management Clients de cada administrador.
Gestin de Marcadores
Los Marcadores se gestionan en la vista de Configuracin de Administracin, en la rama
Bookmarks. Hay un atajo a esta vista: seleccione BookmarkManage Bookmarks
(MarcadoresGestionar Marcadores) en el men principal.
Puede, por ejemplo, copiar los Marcadores y Carpetas de Marcadores de un grupo a otro. Todas las
acciones estn disponibles desde el men de botn derecho para Marcadores y Carpetas de
Marcadores.
Ilustracin 7: Marcadores
Creacin de Nuevos Marcadores

Puede crear un marcador para la pestaa activa y otros elementos a nivel de ventana en la
configuracin que seleccione. Algunas opciones especficas de la vista tambin se guardan
en los marcadores, como son el filtro activo en la vista de Logs, o el tipo de elementos
mostrados en la vista de Configuracin en el momento de crear el marcador.
Crear un marcador es una accin a nivel de ventana principal, de forma que los dilogos de
propiedades de cada elemento nunca se incluyen en el marcador.
Para crear un marcador de la vista activa

1. Ordene la vista segn desee verla cuando abra el marcador.
2. Seleccione BookmarkAdd Bookmark (MarcadorAadir Marcador) desde el men.
Se abrir el dilogo de Propiedades del Marcador.
Ilustracin 8: Propiedades del Marcador
3. (Opcional) Cambie el nombre (Name) y aada un comentario (Comment) para su

referencia.
El nombre por defecto se toma del ttulo de la vista marcada.
4. (Opcional) En el campo In Folder (En Carpeta), pulse el botn Select (Seleccionar) y
seleccione la carpeta donde incluir el marcador.
El valor por defecto Bookmarks crea la carpeta en el nivel principal del rbol de
marcadores.
Seleccione la carpeta Shared Bookmarks (Marcadores Compartidos) si desea que
otros administradores vean este marcador. Todas las dems carpetas son privadas
para su Management Client.
Seleccione la carpeta Toolbar (Barra de Herramientas) o una de sus subcarpetas para
aadir la carpeta de marcadores a la barra de herramientas. Si la carpeta Toolbar no
est disponible, active esta caracterstica segn se explica en Aadir Marcadores a la
Barra de Herramientas (pg. 43).
5. (Opcional) Deseleccione Window Layout (Formato de la Ventana) si prefiere que el
marcador no cambie el formato de la ventana cuando lo abra, sino que en su lugar use
el formato que tena la vista la ltima vez que se us.
6. Pulse OK.
Para marcar todas las pestaas de una ventana
1. Abra las pestaas que desee marcar en la misma ventana (y cierre aquellas que no
desee marcar).
2. Seleccione BookmarkBookmark All Tabs (MarcarMarcar Todas las Pestaas)
desde el men. Se abrir el dilogo de Propiedades de carpeta de Marcadores.
3. Rellene las propiedades de la Carpeta de marcadores (vea Creacin de Nuevas

Carpetas de Marcadores a continuacin) y pulse OK. Se crear una nueva Carpeta de
Marcadores, conteniendo un marcador para cada pestaa que estaba abierta.
Tareas Relacionadas
Para editar y organizar los Marcadores, vea Gestin de Marcadores (pg. 41).
Creacin de Nuevas Carpetas de Marcadores

Las Carpetas de Marcadores organizan los Marcadores y facilitan el abrir varios marcadores
a la vez. Las carpetas que cree tambin se aaden como elementos en el men Bookmark
(Marcadores).
Como alternativa a los pasos explicados a continuacin, puede marcar todas las pestaas
abiertas en la vista actual en una carpeta de marcadores que se crea automticamente para
contener los nuevos marcadores. Vea Para marcar todas las pestaas de una ventana (pg.
42) para instrucciones detalladas.
Para crear una nueva carpeta de marcadores

1. Seleccione BookmarkManage Bookmarks (MarcadoresGestionar Marcadores)
desde el men. Se mostrar el rbol de Marcadores.
2. Pulse con el botn derecho en la categora Bookmarks en el rbol y seleccione New
Bookmark Folder (Nueva Carpeta de Marcadores). Se abrir el dilogo de Propiedades
de Carpeta de Marcadores.
3. Introduzca un nombre (Name) y aada un comentario (Comment) para su referencia.
4. (Opcional) En el campo In Folder (En Carpeta), pulse el botn Select (Seleccionar) y
seleccione la carpeta donde incluir el marcador.
El valor por defecto Bookmarks crea la carpeta en el nivel principal del rbol de
marcadores.
Seleccione la carpeta Shared Bookmarks (Marcadores Compartidos) si desea que
otros administradores vean este marcador. Todas las dems carpetas son privadas
para su Management Client.
Seleccione la carpeta Toolbar (Barra de Herramientas) o una de sus subcarpetas para
aadir la carpeta de marcadores a la barra de herramientas. Si la carpeta Toolbar no
est disponible, active esta caracterstica segn se explica en Aadir Marcadores a la
Barra de Herramientas (pg. 43).
5. Pulse OK.
Aadir Marcadores a la Barra de Herramientas

Puede aadir marcadores a la barra de herramientas debajo de los iconos de atajos. Una vez
active la barra de herramientas de marcadores segn se explica ms abajo, puede aadir
cualquier marcador nuevo a la barra almacenndolo en la carpeta Toolbar o una de sus
subcarpetas. Tambin puede mover un marcador existente en la barra de herramientas
arrastrando y soltando el marcador o la carpeta de marcadores a la carpeta Toolbar en el
rbol BookmarkManage Bookmarks.
Para activar la barra de marcadores

1. Seleccione ViewLayoutBookmark Toolbar (VerFormatoBarra de Marcadores)
desde el men. La barra de marcadores se mostrar bajo los iconos de la barra de
herramientas.
Ilustracin 9: Barra de Marcadores en el Estado por Defecto
Barra de Marcadores
2. Pulse sobre el elemento por defecto New Toolbar Folder (Nueva Carpeta Barra de
Herramientas). Se abrir el dilogo de Propiedades de carpeta de barra de
Herramientas.
3. Introduzca el nombre para la primera carpeta a aadir a la barra y pulse OK. La primera
carpeta aparecer en la barra y la carpeta Toolbar se aadir a la jerarqua de
marcadores, permitindole aadir, eliminar y editar los marcadores de la barra.
Cambio de la Vista de Inicio

Puede elegir qu vista abrir cuando se conecte al Management Client, sustituyendo la vista
por defecto de Estado del Sistema.
Para cambiar la vista de inicio

1. Ordene la pantalla segn las ventanas, pestaas y vistas que quiere abrir en cada
conexin.
2. Seleccione BookmarkSave as Startup Session (MarcadorGuardar como Sesin
de Inicio) desde el men.
Uso de las Funcionalidades de Bsqueda

Uso de la Bsqueda Bsica de Elementos

Puede usar la bsqueda bsica para encontrar rpidamente elementos por una simple
propiedad del mismo, tal como nombre, comentario o direccin IP.
Para buscar elementos

1. Seleccione ViewSearch (VistaBuscar) desde el men. Se abrir la bsqueda
bsica de elementos.
Ilustracin 10: Vista de Bsqueda
Ver todos los tipos

de bsqueda
Criterio de
bsqueda
Resultados de Bsqueda
2. Introduzca los criterios de bsqueda (nombre, direccin IP, comentario, referencia de

vulnerabilidad, etc.) en el campo Search for (Buscar por).
Puede usar comodines en la bsqueda (por ejemplo, win*, o 192.168*100).
Puede usar el smbolo + para especificar criterios requeridos.
Puede usar el smbolo para especificar criterios de exclusin.
3. (Opcional) Seleccione opciones para limitar la bsqueda:
Tabla 5: Opciones de Bsqueda
Opcin Explicacin
Limitar por tipo Restringir la bsqueda a un tipo de elemento.
Restringe la bsqueda a elementos modificados por un administrador
en particular. Seleccione el administrador de la lista de elementos
Modificado por
recientes o pulse Other (Otro) para ver todos los elementos
Administrador.
Buscar elementos que fueron modificados por ltima vez entre ciertas
Modificado entre
fechas. Puede escribir las fechas o seleccionarlas en un calendario.
Buscar dentro de todos los Dominios administrativos configurados.
Buscar entre Dominios Estas opciones slo son visibles si se han configurado los elementos
Dominio.
Ilustracin 11: Panel de Bsqueda
Seleccione
opciones
para limitar
la bsqueda
4. Pulse el botn Search (Buscar) para lanzar la bsqueda. Se mostrarn los resultados.
Tip Si el elemento buscado no existe, puede pulsar el botn derecho en los resultados vacos y crear
una nueva mquina (Host) o red (Network) con el Nombre o la Direccin IP configurada de acuerdo
con sus criterios de bsqueda.
Tareas Relacionadas
Buscar Referencias de Elementos (pg. 46)
Buscar Usuarios (pg. 46)
Bsqueda de Direcciones IP Duplicadas (pg. 47)
Uso de la Bsqueda de DNS (pg. 48)
Bsqueda de Elementos No Usados (pg. 49)
Buscar Referencias de Elementos

Si necesita comprobar dnde se est usando un elemento, puede hacer una bsqueda
rpida de referencias al mismo. Esto es til, por ejemplo, cuando desea borrar un elemento
(puesto que los elementos referenciados no pueden eliminarse hasta que se han borrado
todas las referencias a ellos).
Para buscar referencias a elementos

1. Pulse con el botn derecho en el elemento y seleccione ToolsReferences
(HerramientasReferencias). Se abrir una vista de referencias mostrando los
elementos que referencian al que ha seleccionado.
2. (Opcional) Seleccione Show References (Mostrar Referencias) en el panel de
Bsqueda si quiere ver ms referencias para los elementos encontrados y pulse el
botn Search para relanzar la bsqueda. Los resultados se muestran ahora como un
rbol que le permite seguir la pista de las referencias.
Tip Pulse el icono Arriba en la barra de herramientas para ver una lista de bsquedas disponibles.
Buscar Usuarios
Para buscar usuarios
1. Seleccione ViewSearch desde el men. Se abrir la Vista de Bsquedas.
2. Pulse el icono Arriba en la parte superior del panel de bsquedas. Se abrir una lista
con los diferentes tipos de bsquedas disponibles.
3. Seleccione Users search (Usuarios buscar). Se abrir la vista de Usuarios
4. Seleccione el Dominio LDAP en el cual quiere buscar al o los usuarios.
5. Seleccione los atributos de usuario para la bsqueda segn describe la siguiente tabla:
Tabla 6: Opciones de Atributos de Usuario
Opcin Explicacin
UserID Nombre de login del usuario.
Nombre Nombre del usuario en las Propiedades del Usuario
Servicio de
El mtodo de autenticacin configurado para el usuario.
Autenticacin
Fecha de Primer da (aaaa-mm-dd) en el que el usuario tiene permiso para hacer logon a
Activacin travs del cortafuegos.
Fecha de ltimo da (aaaa-mm-dd) en el que el usuario tiene permiso para hacer logon a
Expiracin travs del cortafuegos.
Retardo de El nmero de das que el usuario puede hacer logon a travs del cortafuegos
Expiracin (desde la Fecha de Activacin hasta la Fecha de Expiracin).
6. Especifique el tipo de bsqueda segn la siguiente tabla:
Tabla 7: Opciones de Tipo de Bsqueda
Opcin Explicacin
Contiene La informacin del usuario contiene el valor (por ejemplo, un nombre) buscado.
La Fecha de Activacin o de Expiracin del usuario es igual o ms tarda que la
Mayor que
fecha introducida (aaaa-mm-dd)
La Fecha de Activacin o de Expiracin del usuario es igual o ms temprana que la

Menor que
fecha introducida (aaaa-mm-dd)
Devuelve todas las cuentas de usuario que tienen algn valor en el atributo
Est Definido
seleccionado
7. (Dependiendo del atributo seleccionado) Introduzca el valor requerido (por ejemplo, un

nombre o una fecha) que quiere buscar entre la informacin del usuario.
8. Pulse Search (Buscar). Se mostrar una lista de usuarios que cumplen los criterios de
bsqueda.
Bsqueda de Direcciones IP Duplicadas

Para buscar direcciones IP duplicadas
1. Seleccione ViewSearch (VistaBuscar) desde el men. Se abre la vista de
Bsqueda.
2. Pulse el icono Arriba en la parte superior del panel de bsqueda. Se abrir una lista de
los diferentes tipos de bsquedas disponibles.
3. Seleccione Duplicate IPs search (IPs Duplicadas Buscar). Se abrir la vista de IPs
Duplicadas.
4. Selecciones el criterio de bsqueda segn la siguiente tabla:
Tabla 8: Opciones de Criterios de Bsqueda
Opcin Explicacin
Limitar por tipo Restringir la bsqueda al tipo de elemento seleccionado.
Restringe la bsqueda a los elementos modificados por un administrador
Modificado por determinado. Seleccione el administrador de la lista o elija Other para seleccionar
un administrador en el dilogo que se abre.
Restringir la bsqueda a elementos modificados entre ciertas fechas. Introduzca la
Modificado
informacin de fecha o pulse el botn a continuacin de los campos de fecha para
entre
seleccionar la fecha de un calendario.
Buscar entre Hacer la bsqueda entre los Dominios administrativos configurados. Esta opcin
Dominios solamente es visible si se han configurado elementos Dominio.
5. Pulse el botn Search para lanzar la bsqueda. Se mostrarn los resultados.

Uso de la Bsqueda de DNS

Puede utilizar la bsqueda de DNS para encontrar mquinas por nombre. El Management
Server debe tener permisos de Transferencia de Zonas para poder hacer consultas contra el
servidor de DNS.
Para usar la bsqueda de DNS

1. Seleccione ViewSearch (VistaBuscar) desde el men. Se abrir la vista de
bsquedas.
2. Pulse el icono Arriba en la parte superior del panel de bsquedas. Se abrir una lista de
posibles tipos de bsquedas.
3. Seleccione DNS search (DNS buscar). Se abrir la vista de bsquedas por DNS.
4. Introduzca la Direccin IP DNS (DNS IP Address) y el Dominio DNS (DNS Domain).
5. Pulse el botn Search para lanzar la bsqueda. Los resultados mostrarn una lista de
nombres de mquina y direcciones IP disponibles.
Si un elemento Host con un nombre coincidente ya existe en el sistema, el elemento
Host se muestra en la columna Network Element (Elemento de Red).
Para continuar:
Si la bsqueda no encontr elementos, puede aadirlos en base a la bsqueda segn
se explica en Creacin de Elementos Host en Base a Bsquedas DNS.
Creacin de Elementos Host en Base a Bsquedas DNS

Si la columna Network Element (Elemento de red) en los resultados de la bsqueda DNS no
muestra un elemento Host existente para un nombre determinado, puede crear un elemento
nuevo basado en el nombre de mquina y su direccin IP.
Para crear un elemento Host en base al resultado de una consulta de DNS

1. Pulse con el botn derecho en una o ms direcciones IP en la vista de Bsqueda DNS y
seleccione Create Network Element (Crear Elemento de Red). Se abre el dilogo de
Creacin de Host.
Use Ctrl-clic o Shift-clic para seleccionar mltiples direcciones IP si quiere crear
elementos Hosts para todos ellos.
2. (Opcional) Si quiere aadir los nuevos elementos Host en un Grupo, seleccione Group
(Grupo) e introduzca el Group Name (Nombre del Grupo).
Si el elemento Grupo no existe en el sistema, se crea automticamente un nuevo
elemento Grupo.
3. Defina un nombre para los nuevos elementos Host:
Full Name (nombre completo): el nombre de Host es el nombre completo recuperado
del DNS.
Name without Domain (Nombre sin dominio): el nombre de Host se crea eliminando la
parte de dominio del nombre recuperado del DNS.
Specify Name (especificar nombre): Introduzca un nombre para el Host.
Prefix + IP Address (prefijo + direccin IP): Introduzca un prefijo que se aadir a la
direccin IP para formar el o los nombres de Host.
4. Pulse OK. El o los Hosts creados se muestran en la columna Network Element
(Elementos de Red).
Bsqueda de Elementos No Usados

La bsqueda de elementos no usados le ayuda a encontrar elementos que pueden no ser
necesarios. La bsqueda revisa las referencias a elementos y lista aquellos no referenciados
por ningn otro elemento. Deber usar su propio juicio para determinar cules de los
elementos listados pueden ser eliminados sin problemas.
Para buscar elementos no usados
1. Seleccione ViewSearch (VistaBuscar) desde el men. Se abrir la Vista de
Bsquedas.
2. Pulse el icono Arriba en la parte superior del panel de bsquedas. Se abrir una lista de
posibles tipos de bsquedas.
3. Seleccione Unused elements search (elementos no usados - buscar). Se abrir la
vista de Elementos No Usados.
4. Seleccione los criterios de bsqueda segn la siguiente tabla:
Tabla 9: Opciones de Criterios de Bsqueda
Opcin Explicacin
Limitar por tipo Restringir la bsqueda al tipo de elemento seleccionado.
Restringe la bsqueda a los elementos modificados por un administrador
Modificado por determinado. Seleccione el administrador de la lista o elija Other para seleccionar
un administrador en el dilogo que se abre.
Restringir la bsqueda a elementos modificados entre ciertas fechas. Introduzca la
Modificado
informacin de fecha o pulse el botn a continuacin de los campos de fecha para
entre
seleccionar la fecha de un calendario.
Buscar entre Hacer la bsqueda entre los Dominios administrativos configurados. Esta opcin
Dominios solamente es visible si se han configurado elementos Dominio.
5. Pulse el botn Search para lanzar la bsqueda. Se mostrar una lista de elementos no
usados en ninguna configuracin ni dentro de otros elementos y el nmero de
elementos encontrados se muestra abajo del panel de Bsquedas.
Uso de Bsqueda-mientras-escribe
La Bsqueda-mientras-escribe (Type-Ahead Search) le permite filtrar elementos

rpidamente. Puede usar la Bsqueda-mientras-escribe en todas las vistas en las que se
muestren listas de elementos, tablas o rboles.
Cuando comienza a escribir, el sistema inmediatamente limita lo que se muestra a los
elementos que incluyen lo que ha tecleado en los detalles bsicos del elemento, por ejemplo:
Nombre del elemento.
Direccin IP.
Comentario.
Puerto TCP/UDP.
Ilustracin 12: Bsqueda-mientras-escribe (Type-Ahead-Search)
Guardar como PDF o HTML

Puede guardar listas de elementos, datos de log, informes y estadsticas con formato PDF o
HTML seleccionando FilePrint (ArchivoImprimir) desde el men. Guardar como PDF le
permite usar una plantilla de fondo. Los detalles especficos de la impresin en PDF se
describen a continuacin.
Opciones de Salida PDF

Los datos de log, informes y estadsticas pueden guardarse como ficheros PDF. Las
opciones asociadas se explican en la siguiente tabla.
Tabla 10: Opciones de Impresin a PDF
Pestaa Seccin Opciones Descripcin

Abre el fichero de salida en la aplicacin de visualizacin
Imprimir a de PDFs del ordenador
Opciones de Lector PDF
Impresin
Imprimir a
Le permite guardar la salida como fichero PDF
Fichero
Plantilla de Define el fondo para el PDF generado. Vea Aadir

Estilo Plantillas de Estilo para la Salida PDF (pg. 51).
Configuracin
General Tamao de Define el tamao de papel del fondo. Los tamaos
de Pgina
papel disponibles son A3, A4, A5, y Letter.
Le permite seleccionar una pgina horizontal

Orientacin
(landscape) o vertical (portrait).
Registros Imprime solamente los registros seleccionados en la

Seleccionados vista de log actual
Registros
(Solo en
Registros
vistas de log) Imprime todos los registros que cumplen la consulta
filtrados
actual.
desde
Tabla 11: Opciones de Impresin a PDF (Continuacin)
Pestaa Seccin Opciones Descripcin

Imprime una tabla con un registro por fila. Introduzca el
Tabla
nmero de columnas a incluir
Formato Imprime una tabla en la cual cada registro ocupa varias
(Solo
vistas filas en formato columnas. Introduzca el nmero de
Registros
de columnas que desea incluir (contando de izquierda a
Logs) derecha).
Imprime todos los datos relevantes de acuerdo con su
Detalles
seleccin usando una pgina por registro.
Aadir Plantillas de Estilo para la Salida PDF

Pueden utilizarse plantillas de estilo de fondo cuando se guarda como PDF. Las plantillas se
pueden usar en el Management Client y en el Web Portal segn los permisos de la cuenta y
los lmites de los dominios.
La plantilla de estilo es un fichero PDF estndar que puede crear con alguno o todos de los
siguientes elementos:
Una o ms pginas de portada que se aaden al PDF impreso antes de las pginas de
contenidos.
Un fondo de pgina de contenidos con cabecera y/o pie de pgina. Se puede ajustar la altura
de la cabecera y del pie de pgina. La misma pgina se utiliza como fondo para todas las
pginas de contenidos.
Una o ms pginas finales que se aaden al PDF impreso tras las pginas de contenidos.
Su plantilla PDF puede contener pginas adicionales que no desee utilizar: stas sern
ignoradas.
Un fichero PDF de una pgina se usar como pgina de contenidos. Su plantilla PDF
deber contener al menos dos pginas si quiere aadir portada y pginas finales.
Puede crear la plantilla, por ejemplo, creando un documento en un procesador de texto y
guardndolo como PDF. Para unos mejores resultados, disee plantillas separadas para los
diferentes tamaos de pgina (A3, A4, A5, o Letter) y orientaciones (vertical y horizontal).
Para aadir una nueva Plantilla de Estilo
1. Cree un fichero PDF que contenga una pgina de plantilla para el contenido y
opcionalmente una o ms pginas de portada y finales.
2. Abra el dilogo Print to PDF (Imprimir a PDF), por ejemplo, pulsando el botn derecho
en una entrada de log y seleccionando Print (Imprimir). Se abrir el dilogo de
impresin.
3. Bajo Page Setup (Configuracin de la Pgina), seleccione New (Nuevo) desde la lista
Style Template (Plantillas de Estilo). Se abrir el dilogo de Propiedades de la Plantilla.
4. Introduzca un nombre nico (Name) para la nueva Plantilla de Estilo.
5. Pulse Browse (Examinar) y seleccione el fichero PDF que quiere usar como plantilla.
6. Seleccione cmo se usarn las pginas:
(Opcional) Las Front Pages from (Pginas de Portada desde) se insertan antes de las
pginas de contenidos sin modificacin. Rellene solamente el primer campo para una
nica pgina de cubierta.
La Content Page (Pgina de Contenido) se usa como fondo para todas las pginas
con contenidos generados por el sistema.
Los valores Header Height y Footer Height (Altura de la Cabecera y del Pie de
Pgina) definen cunto espacio se deja (en milmetros) entre los bordes superior e
inferior de la pgina y la primera/ltima lnea del contenido generado por el sistema.
Esto evita que el contenido generado se superponga al texto/grficos de su pgina de

contenido.
7. (Opcional) Las Back Pages from (Pginas Traseras desde) se insertan tras las pginas
de contenidos sin modificaciones. Rellene solamente el primer campo para una nica
hoja final.
Tip Puede usar las mismas pginas para roles diferentes. Por ejemplo, puede seleccionar la misma
pgina como pgina de contenidos y pgina final para aadir una pgina en blanco al final de los
PDFs generados. La plantilla PDF debe contener al menos dos pginas para hacer esto, incluso
aunque solo use una de las pginas.
8. Pulse OK.
Gestin de las Plantillas de Estilo PDF

Para gestionar las plantillas de estilo
1. Abra el dilogo Print to (Imprimir en), por ejemplo, pulsando sobre una entrada de log y
seleccionado Print (Imprimir).
2. Bajo Page Setup (Configuracin de pgina), seleccione Other (otro) desde la lista
Style Template (Plantilla de Estilo). Se abrir el dilogo de seleccin.
3. Pulse con el botn derecho sobre una Plantilla de Estilo y seleccione una accin del
men del botn derecho. Puede borrar (Delete) la Plantilla de Estilo seleccionada o
seleccionar Properties (Propiedades) para ajustar la configuracin de la plantilla (vea
Aadir Plantillas de Estilo para la Salida PDF (pg. 51) para ms informacin sobre las
opciones).
Envo de Mensajes a Otros Administradores

La funcionalidad de mensajera entre administradores le permite comunicarse con otros

administradores que estn conectados con el Management Client. Por ejemplo, puede
informar a los administradores sobre cadas del servicio antes de actualizar el Management
Center. La mensajera entre administradores est activada por defecto.
Para continuar:
Si quiera activar/desactivar la mensajera entre administradores, proceda a
Activar/Desactivar la Mensajera entre Administradores (pg. 52).
Para enviar mensajes a administradores, proceda a Enviar Mensajes a Otros
Administradores (pg. 53).
Activar/Desactivar la Mensajera entre Administradores

Solo un administrador con permisos ilimitados puede activar/desactivar la mensajera entre
administradores. Si los elementos de Dominio han sido configurados, la configuracin se
aplicar a todos los dominios.
Para activar/desactivar la mensajera entre administradores
1. Seleccione ConfigurationConfigurationAdministration
(ConfiguracinConfiguracinAdministracin) desde el men. Se abrir la vista de
Configuracin de Administracin.
2. Expanda la rama Access Rights (Derechos de Acceso) en el rbol de Administracin.
3. Pulse con el botn derecho sobre Administrators y seleccione/Deseleccione
Administrator Messaging Enabled (Mensajera entre Administradores Activada).
Enviar Mensajes a Otros Administradores

Los administradores conectados pueden enviar mensajes a todos los dems
administradores. Solo los administradores que tienen permiso de gestin de
administradores (manage administrators) pueden mandar mensajes a administradores
individuales. Cada administrador debe estar conectado en una cuenta de administrador nica
para que se le enven mensajes individuales.
Para enviar un Nuevo mensaje a todos los administradores

1. Pulse Send Message (Enviar Mensaje) abajo en la ventana del Management Client. Se
abrir el dilogo de Mensajera de Administradores.
2. Seleccione los Administrators (Administradores) que recibirn el mensaje:
(Administradores con el permiso manage administrators) Pulse el icono Select
(Seleccionar) (el icono con la flecha negra) para seleccionar administradores
individuales.
Pulse el icono Set All Administrators (Seleccionar todos los Administradores) para
enviar el mensaje a todos los administradores.
3. Escriba su mensaje (campo Message) y pulse Send (Enviar). El mensaje se enviar a
todos los administradores seleccionados. El dilogo de Mensajera entre
Administradores se abre automticamente para cada administrador de forma que puede
contestar al mensaje.
Aadir Comandos Personalizados a los Mens de Elementos

Puede aadir comandos (por ejemplo, tracert, SSH, o ping) al men de los elementos con los
Perfiles de Herramientas (Tools Profiles). Los comandos se aaden en el submen Tools
(Herramientas).
Para continuar:
Para definir nuevos comandos, proceda a Crear un Perfil de Herramientas (pg. 53).
Para reutilizar un Perfil de Herramientas existente sin modificaciones, proceda a
Asociar un Perfil de Herramientas a un Elemento (pg. 54).
Crear un Perfil de Herramientas

Los Perfiles de Herramientas (Tools Profiles) aaden comandos a los mens de los
elementos. Puede incluir informacin dinmicamente desde la definicin del elemento en el
comando.
Solo puede seleccionarse un Perfil de Herramientas para cada elemento, pero cada Perfil
puede incluir varios comandos.
Los comandos se lanzan desde el equipo que est ejecutando el Management Client. Los
comandos son especficos de cada sistema operativo, de forma que deber aadir un
comando separado para cada sistema operativo que use. Los administradores ven los
comandos de acuerdo con el sistema operativo que usen (por ejemplo, un comando de Linux
no se muestra si el Management Client se est ejecutando en Windows).
Para crear un perfil de herramientas

2. Pulse con el botn derecho Tools Profile (Perfil de herramientas) y elija New Tools
Profile (Nuevo Perfil de Herramientas). Se abrir el dilogo de Propiedades del Perfil.
Ilustracin 13: Propiedades del Perfil de Herramientas
3. Introduzca el nombre (Name) para el Nuevo Perfil. ste se aadir como un elemento
en el submen Tools (Herramientas) de los elementos a los que est asociado el Perfil.
4. Pulse Add (Aadir) y seleccione el sistema operativo. Se aadir una fila a la tabla.
5. Haga doble clic sobre la celda Name (Nombre), e introduzca el elemento que quiere
aadir.
6. (Opcional) Seleccione Run in Console (Ejecutar en Consola) si quiere que el comando
se ejecute en una aplicacin de consola, como la lnea de comando de Windows o un
terminal en Linux.
7. Haga doble clic en la celda Command (Comando) e introduzca el comando o el path
completo de la aplicacin.
8. (Opcional) Haga Doble clic en la celda Parameters (Parmetros) e introduzca los
parmetros para el comando. Adems de parmetros estticos, se pueden utilizar las
dos siguientes variables:
${IP}: la direccin IP primaria del elemento sobre el que se ha pulsado el botn
derecho.
${NAME}: el nombre del elemento sobre el que se ha pulsado el botn derecho
9. Pulse OK.
Para continuar
Proceda a Asociar un Perfil de Herramientas a un Elemento.
Asociar un Perfil de Herramientas a un Elemento

Puede asociar un Perfil de Herramientas a los Elementos de Red que tengan una nica
direccin IP Primaria.
Para aadir un perfil de herramientas a un elemento

1. Pulse con el botn derecho sobre un elemento y seleccione Properties (Propiedades).
Se abrir el dilogo de propiedades del elemento.
2. Pulse Select para abrir el dilogo de Seleccin de Elemento para buscar el Perfil.
3. Pulse el Perfil de Herramientas a asociar y pulse Select.
4. Pulse OK. Los comandos definidos en el Perfil de Herramientas se aaden al men de
botn derecho del elemento en el submen Tools.
Configuracin del Sistema 55
CAPTULO 4
CONFIGURACIN DEL SISTEMA
Las secciones listadas a continuacin proporcionan una introduccin a StoneGate y

las instrucciones especficas de cada funcionalidad.
Empezar con el Management Center (pg. 56)

Empezar con el Cortafuegos (pg. 46)
Empezar con el IPS (pg. 57)
Empezar con el Management Center

Prerrequisitos: Instalacin del Management Center (cubierta en una Gua de Instalacin separada)
Esta seccin est dirigida a ayudarle a empezar tras completar la instalacin del
Management Center.
Para familiarizarse con el Management Client, vea Visin General del Management Client
(pg. 36).
Las tareas bsicas de administracin que debe completar tras la instalacin son las
siguientes:
Planificar tareas de copia de seguridad automticas para mantener segura la informacin
esencial de configuracin almacenada en el Management Server segn se indica en
Hacer Copias de Seguridad y Restaurar las Configuraciones del Sistema (pg. 793).
Configurar tareas automatizadas para gestionar los datos de log recuperados y evitar que el
espacio en el Servidor de Logs se llene con log segn se explica en Gestionar Datos de Logs
(pg. 799).
Adicionalmente, le recomendamos que configure las siguientes funcionalidades:
Definir cuentas de administrador adicionales y delegar tareas administrativas segn se
indica en Cuentas de Administrador (pg. 213).
Revisar configuraciones para actualizaciones automticas y garantizar que esta
caracterstica funciona para asegurar que el sistema se mantiene actualizado. Vea
Empezar con las Puestas al Da y las Actualizaciones del Dispositivo Automticas (pg.
210).
Definir alertas personalizadas y polticas de escalado de alertas segn se explica en
Escalado de Alertas (pg. 229).
Para gestionar eficientemente el sistema, debera familiarizarse tambin con las siguientes
tareas bsicas:
Monitorizar la operacin del sistema segn se indica en Monitorizar el Sistema (pg. 83) y
Examinar Datos de Logs (pg. 127).
Empezar con el Cortafuegos

Prerrequisitos: Instalacin del Management Center y el Cortafuegos (cubiertas en Guas de Instalacin
separadas)
Esta seccin est orientada a ayudarle a empezar tras haber completado la instalacin,
instalado una poltica bsica, y puesto online los cortafuegos segn se explica en la Gua de
Instalacin. Si tambin ha instalado un nuevo Management Center, vea en primer lugar
Empezar con el Management Center (pg. 56).
Nota La informacin de configuracin se almacena en el Management Server, y la

mayora de los cambios se transfieren a los cortafuegos solamente cuando se instala o
refresca la poltica del cortafuegos tras hacer los cambios.
Las tareas bsicas de administracin que debe aprender o completar a continuacin

incluyen lo siguiente:
Visualizar y comprobar el estado operativo del cortafuegos segn se explica en Controlar
el Funcionamiento del Dispositivo (pg. 189).
Ajustar el chequeo automtico que monitoriza la operacin del cortafuegos y la red que lo
rodea segn se detalla en Configurar el Comprobador de Dispositivos (pg. 397).
Desarrollar sus Polticas de Cortafuegos segn se explica en Empezar con Polticas (pg.
498).
Configuracin del Sistema 57
Los pasos ms comunes en la personalizacin incluyen:

Configurar mltiples conexiones de red para balanceo de carga y alta disponibilidad segn
se detalla en Empezar con la Gestin del Trfico de Salida (pg. 460).
Configurar la gestin del trfico para las conexiones entrantes a grupos de servidores
segn se detalla en Empezar con la Gestin del Trfico de Entrada (pg. 468).
Configurar la gestin del ancho de banda y polticas de priorizacin del trfico segn se
indica en Empezar con QoS (pg. 616).
Configurar el cortafuegos para utilizar servidores de inspeccin de contenidos externos,
segn se explica en Empezar con la Inspeccin Externa de Contenidos (pg. 670).
Configurar la conectividad segura entre diferentes localizaciones y para usuarios mviles
segn se detalla en Empezar con VPNs IPsec (pg. 716).
Consulte tambin las Guas de Referencia especficas del producto, contienen informacin
en profundidad que le ayudar a comprender mejor el sistema y sus funcionalidades.
Empezar con el IPS

Prerrequisitos: Instalacin del Management Center e IPS (cubiertas en Guas de Instalacin separadas)
Esta seccin est orientada a ayudarle a empezar una vez haya completado la instalacin,
instalado una poltica bsica y puesto online el sistema IPS segn se explica en la Gua de
Instalacin. Si tambin ha instalado un nuevo Management Center, vea en primer lugar
Empezar con el Management Center (pg. 56).
Nota La informacin de configuracin se almacena en el Management Server, y la

mayora de los cambios se transfieren al IPS solamente cuando instala o refresca la
poltica de IPS tras hacer los cambios.
Las tareas bsicas de administracin que debe aprender o completar a continuacin incluyen
lo siguiente:
Visualizar y comprobar el estado operativo del cortafuegos segn se explica en Controlar
el Funcionamiento del Dispositivo (pg. 189).
Ajustar el chequeo automtico que monitoriza la operacin del IPS y la red que lo rodea
segn se detalla en Configurar el Comprobador de Dispositivos (pg. 397).
Una vez haya instalado su primera poltica de IPS, su siguiente tarea es recopilar informacin
sobre los eventos detectados en sus redes durante un periodo de ajuste (vea Examinar
Datos de Logs (pg. 127)). Una vez disponga de suficiente informacin sobre el tipo de
trfico malicioso e inofensivo que puede ver en su red, puede modificar las polticas para
mejorar la precisin de la deteccin y evitar las falsas alarmas. Los pasos ms tpicos de la
personalizacin incluyen:
Crear su propia poltica o plantilla de poltica segn se explica en Crear y Gestionar
Elementos de Polticas (pg. 497).
Modificar las reglas Ethernet, reglas de Acceso y reglas de Inspeccin segn se explica en
Editar Reglas de Ethernet (pg. 516), Editar Reglas de Acceso (pg. 518), y Editar Reglas
de Inspeccin (pg. 531).
Crear sus propias situaciones personalizadas segn se explica en Definir Situaciones
(pg. 595).
Consulte tambin las Guas de Referencia especficas del producto, que contienen
informacin en profundidad que le ayudar a comprender mejor el sistema y sus
funcionalidades.
Configuracin de las Comunicaciones del Sistema 59
CAPTULO 5
CONFIGURACIN DE LAS
COMUNICACIONES DEL SISTEMA
Esta seccin proporciona una visin general sobre las comunicaciones del sistema en
StoneGate.
Empezar con las Comunicaciones del Sistema (pg. 60)

Definir Localizaciones (pg. 61)
Definir Direcciones IP de Contacto (pg. 62)
Seleccionar la Localizacin del Management Client (pg. 69)
Configurar las Comunicaciones en un Sistema con Multi-Link (pg. 70)
Empezar con las Comunicaciones del Sistema

Las comunicaciones del sistema incluyen el trfico entre los componentes de StoneGate y
entre los componentes de StoneGate y los externos que forman parte de la configuracin
del sistema.
Los cortafuegos no permiten automticamente ninguna comunicacin del sistema, La
Plantilla de Poltica de Cortafuegos por Defecto contiene reglas que permiten la mayor parte
de tipos de comunicaciones del sistema entre el propio cortafuegos y los componentes con
los que interacta. Deber crear reglas adicionales para permitir otras comunicaciones a
travs del cortafuegos, tales como las comunicaciones de algn otro componente del
sistema que pasen a travs de dicho cortafuegos. Se presenta una lista de los puertos
usados en las comunicaciones del sistema en Puertos de Comunicacin por Defecto (pg.
933).
Comunicaciones del Sistema a Travs de un Dispositivo NAT
Si se aplica NAT (Network Address Translation Traduccin de Direcciones de Red) entre
dos componentes del sistema, deber definir las direcciones IP trasladadas como
direcciones de contacto. Un nico componente puede tener varias direcciones de contacto.
Solamente se usan direcciones IPv4 para las comunicaciones del sistema.
Los elementos Location (Localizacin) definen cundo se usa una direccin de contacto y
cul de las direcciones de contacto definidas se usar. Cuando se aplica NAT entre dos
componentes del sistema que se comunican, debe separarlos en Localizaciones diferentes.
Los componentes que estn en la misma Localizacin usan la direccin IP primaria cuando
se comunican entre ellos e ignora todas las direcciones de contacto. Cuando un
componente contacta con otro de diferente Localizacin, usan las direcciones de contacto
definidas.
Hay un elemento del sistema relacionado con las direcciones de contacto, la Localizacin
Default (Por defecto). Si no selecciona una Localizacin para un elemento que tiene la
opcin Localizacin, la Localizacin del elemento se establece en Default.
Puede definir una direccin de contacto Default (Por defecto) para contactar un
componente (definida en el dilogo Principal de propiedades de un elemento). La direccin
de contacto por Defecto del elemento se usa en comunicaciones cuando los componentes
que pertenecen a otra Localizacin contactan el elemento y ste no tiene direccin de
contacto definida para la Localizacin de aquellos.
Ejemplo de Uso de Direcciones de Contacto y Localizaciones
Ilustracin 14: Red de Ejemplo con Localizaciones
En el escenario de ejemplo superior, un Management Server y un Log Server gestionan

componentes de StoneGate tanto en las oficinas centrales como remotas.
Los servidores SMC y el cortafuegos central estn en la Localizacin Oficinas Centrales.

Los cortafuegos remotos estn todos en la Localizacin Oficinas Remotas.
En este escenario, las direcciones de contacto se necesitan tpicamente segn sigue:
El cortafuegos en Oficinas Centrales o un router externo puede proporcionar a los
servidores SMC direcciones IP externas en Internet. Las direcciones externas de los
servidores SMC deben ser definidas como direcciones de contacto para la localizacin
Oficinas Remotas, de forma que los componentes en las oficinas remotas puedan
contactar con los servidores a travs de Internet.
El cortafuegos de la oficina remota o un router externo puede proporcionar direcciones
externas para los componentes StoneGate en la oficina remota. Las direcciones IP
externas de los dispositivos deben definirse como direcciones de contacto para la
localizacin Oficinas Centrales de forma que el Management Server pueda contactar con
los componentes.
Alternativamente, la direccin externa de cada componente puede definirse como
direccin de contacto por Defecto sin aadir una entrada especfica para Oficinas
Centrales u Oficinas Remotas. La direccin de contacto por Defecto se usa cuando un
componente no tienen una definicin de direccin de contacto especfica para la
Localizacin de los componentes que le contactan. Tenga en cuenta que los componentes
an deben separarse en Localizaciones diferentes para que se usen las direcciones de
contacto.
Si se van a utilizar Management Clients en cualquiera de las oficinas remotas, cada
administrador deber seleccionar tambin Oficinas Remotas como su Localizacin en el
Management Client para ser capaz de ver log desde el Log Server remoto situado tras el
dispositivo NAT.
Para continuar:
Proceda a Definir Localizaciones para empezar a definir direcciones de contacto.
Proceda a Definir Direcciones IP de Contacto (pg. 62) para aadir una nueva
direccin de contacto a una Localizacin existente.
Tareas Relacionadas
Definir Direcciones IP (pg. 561)
Configuracin del Interfaz de Red (pg. 341)
Seleccionar la Localizacin del Management Client (pg. 69)
Definir Localizaciones
Si se aplica NAT (Network Address Translation) entre componentes del sistema que se
comunican, debe asignarse a los componentes diferentes Localizaciones en la configuracin.
Debe crear las Localizaciones y aadirles elementos en base a cmo est configurada la red.
Ejemplo Si un sistema tiene diferentes Localizaciones, pero cada componente tiene la misma direccin IP
externa, independientemente de dnde se realiza el contacto, cada elemento slo necesita una
nica direccin de contacto: la direccin de contacto por Defecto. Cuando se aaden nuevos
elementos, deben ser asignados a una Localizacin especfica, pero slo necesitan una direccin
de contacto por Defecto.
Para crear una nueva Localizacin

1. Seleccione ConfigurationConfigurationAdministration desde el men. Se abrir
la vista de Configuracin de Administracin.
2. Expanda la rama Other Elements (Otros Elementos) en el rbol de Administracin.
3. Pulse con el botn derecho en Locations (Localizaciones) y seleccione NewLocation

(NuevaLocalizacin) desde el men. Se abrir el dilogo de Propiedades de la
Localizacin.
4. Introduzca un Nombre (Name) y un Comentario (Comment) opcional.
5. Navegue al tipo de elementos que quiere aadir a la Localizacin en el panel de
Recursos (Resources) de la izquierda.
6. Seleccione el o los elementos que quiere aadir a la Localizacin y pulse Add (Aadir).
Los elementos elegidos se aaden al panel de Contenidos de la derecha.
7. Pulse OK.
Para continuar:
Contine en Definir Direcciones IP de Contacto.
Definir Direcciones IP de Contacto

Prerrequisitos: Definir Localizaciones
Puede definir direcciones de contacto para elementos cortafuegos (excluyendo cortafuegos

SOHO), elementos IPS y la mayor parte de tipos de servidores. Las direcciones de contacto
se definen directamente en las propiedades del elemento. Las direcciones de contacto se
basan en elementos Localizacin.
Tambin puede definir una direccin de contacto por Defecto que se usar siempre que no
exista una direccin de contacto definida para una Localizacin especfica.
Para continuar:
Si necesita definir una direccin de contacto para un dispositivo, empiece por Definir
la Localizacin de un Dispositivo (pg. 62).
Si necesita definir la direccin de contacto para un servidor, proceda a Definir
Direcciones de Contacto para un Servidor (pg. 67).
Si necesita definir una direccin de contacto para una pasarela VPN externa, vea
Definir una Direccin de Contacto para una Pasarela End-Point Externa (pg. 68).
Si necesita definir una direccin de contacto para una pasarela VPN interna, vea
Definir Endpoints para Pasarelas de Seguridad Internas (pg. 722).
Definir la Localizacin de un Dispositivo

Debe definir la Localizacin y la direccin de contacto de un dispositivo si se aplica NAT a las
comunicaciones entre el dispositivo y algn otro componente que necesite contactar con el
dispositivo. Si utiliza Multi-Link, recuerde aadir direcciones de contacto para cada NetLink.
Para definir una Localizacin para un cortafuegos o IPS

1. Pulse con el botn derecho en el elemento y seleccione Properties (Propiedades)
desde el men. Se abrir el dilogo de Propiedades.
Ilustracin 15: Propiedades del Cortafuegos
2. Seleccione la Localizacin (Location) para este elemento.

El resto de las instrucciones de esta seccin no aplican a cortafuegos SOHO. Contine
editando las propiedades del cortafuegos SOHO segn sea necesario.
3. Cambie a la pestaa Interfaces en las propiedades del elemento.
Ilustracin 16: Pestaa Interfaces
4. En la vista de rbol, expanda el rbol y haga doble clic sobre el Clster Virtual IP Address
(CVI), Node Dedicated IP Address (NDI), o la direccin IP para la cual desea definir la
direccin de contacto. Se abrir el dilogo de Propiedades de la Direccin IP.
En los clster, la direccin de contacto de CVI se usa para las VPNs y las direcciones de
contacto de NDI para otras comunicaciones del sistema.
Proceda a uno de los siguientes dependiendo del interfaz o tipo de dispositivo:
Definir Direcciones de Contacto para un Cortafuegos Independiente o una Direccin IP Virtual
del Clster (CVI) (pg. 63)
Definir Direcciones de Contacto para Direcciones IP Dedicadas de un Nodo (NDI) (pg. 65)
Definir Direcciones de Contacto para un Dispositivo IPS (pg. 66)
Definir Direcciones de Contacto para un Cortafuegos Independiente

o una Direccin IP Virtual del Clster (CVI)
Para definir Direcciones de Contacto para un cortafuegos independiente o una Direccin IP
Virtual del Clster (CVI)
5. En el dilogo de Propiedades de la Direccin IP, defina la direccin de contacto por Defecto
(Default). La direccin de contacto por Defecto se usar siempre que no exista una
direccin de contacto definida para una Localizacin especfica.
Si el interfaz tiene una direccin de contacto por Defecto esttica, introduzca la direccin
de contacto por Defecto en el campo Default. Si el interfaz tiene una direccin IP dinmica,
desactive Dynamic (junto al campo IPv4 Address) antes de introducir la direccin de
contacto por Defecto.
Si el interfaz tiene una direccin de contacto por Defecto dinmica, seleccione Dynamic (al
lado del campo Default).
Ilustracin 17: Propiedades de la Direccin IP - Cortafuegos Independiente
6. Si los componentes de algunas Localizaciones no pueden usar las direcciones de

contacto por Defecto para conectar con el interfaz, pulse Exceptions (Excepciones)
para definir direcciones de contacto especficas para la Localizacin. Se abrir el
dilogo de Excepciones.
Ilustracin 18: Direcciones de Contacto para Localizaciones Especficas - Cortafuegos Independiente o CVI
7. Pulse Add (Aadir) y seleccione la Localizacin. Se aadir una nueva fila a la tabla.
8. Pulse en la columna Contact Address (Direccin de Contacto) e introduzca la direccin
IP que los componentes de esta Localizacin deben usar cuando contacten el interfaz o
elija Dynamic si el interfaz tiene una direccin de contacto dinmica.
Nota Los elementos que pertenecen a la misma Localizacin siempre usan la direccin
IP primaria (definida en las propiedades principales del elemento) cuando contactan
entre ellos. Todos los elementos no situados en una cierta Localizacin se tratan como si
pertenecieran a la misma Localizacin, la Localizacin por Defecto.
9. Pulse OK para cerrar el dilogo de Excepciones.
Para continuar:
Si quiere definir direcciones de contacto para nodos de un clster de cortafuegos,
contine en Definir Direcciones de Contacto para Direcciones IP Dedicadas de un
Nodo (NDI) (pg. 65).
En otro caso, pulse OK para cerrar el dilogo de Propiedades de la Direccin IP.
Definir Direcciones de Contacto para Direcciones IP Dedicadas de

un Nodo (NDI)
Para definir Direcciones de Contacto para Direcciones IP Dedicadas de un Nodo
1. En el dilogo de Propiedades de la Direccin IP, defina la direccin IP de contacto para
cada nodo en la seccin de Direccin IP Dedicada del Nodo haciendo doble clic en la
celda Contact Address de cada nodo. Se abrir el dilogo de excepciones.
Ilustracin 19: Direcciones de Contacto para Localizaciones Especficas - NDIs
2. Introduzca la direccin de contacto por Defecto (Default) en la parte superior del

dilogo. La direccin de contacto por Defecto se usa por defecto cuando un componente
de otra Localizacin conecta a este interfaz.
3. Si los componentes de algunas Localizaciones no pueden usar la direccin de contacto
por Defecto, pulse Add (aadir) para definir direcciones de contacto especficas por
Localizacin. Se aadir una nueva fila a la tabla.
4. Pulse en la columna Contact Address e introduzca la direccin IP que los
componentes que pertenezcan a esta Localizacin deben usar cuando contacten con el
nodo.

6. Una vez haya definido las direcciones de contacto para cada nodo, pulse OK para
cerrar el dilogo de Propiedades de la Direccin IP.
Definir Direcciones de Contacto para un Dispositivo IPS

Para aadir direcciones de contacto para un dispositivo IPS
1. En el dilogo de Propiedades de la Direccin IP, haga doble clic en la celda Contact
Address. Se abrir el dilogo de Excepciones.
Ilustracin 20: Direcciones de Contacto parra Localizaciones Especficas - Dispositivo IPS
2. Introduzca la direccin de contacto por Defecto (Default) en la parte superior del

dilogo. Se usa por defecto cuando un componente de otra Localizacin conecta a este
interfaz.
3. Si los componentes de algunas Localizaciones no pueden usar la direccin de contacto
por Defecto, pulse Add (aadir) para definir direcciones de contacto especficas por
Localizacin. Se aadir una nueva fila a la tabla.
4. Pulse en la columna Contact Address e introduzca la direccin IP que los
componentes que pertenezcan a esta Localizacin deben usar cuando contacten con el
nodo.

6. Pulse OK para cerrar el dilogo de Propiedades de la Direccin IP.
Definir Direcciones de Contacto para un Servidor

Las direcciones de contacto de los Servidores, adems de en situaciones en las que se usa
NAT entre los elementos StoneGate, tambin son necesarias para servidores externos, como
LDAP y servidores de autenticacin, si proporcionan servicios a componentes StoneGate.
Puede configurar mltiples direcciones de contacto para cada Management Server y Log
Server. Si usa Multi-Link, se recomienda que el Management Server y el Log Server tengan
una direccin de contacto separada para cada NetLink de forma que si un NetLink se cae, los
dispositivos todava puedan ser gestionados (en caso de monitorizacin inversa entre el
Management Server y los dispositivos) y los dispositivos puedan seguir enviando datos de
estatus y log al Log Server.
Para definir direcciones de contacto para un servidor

1. En la vista de configuracin del cortafuegos o IPS, navegue a Network
ElementsServers (Elementos de RedServidores).
2. Pulse con el botn derecho el elemento servidor para el cual quiere definir una direccin
de contacto y seleccione Properties (Propiedades) desde el men. Se abrir el dilogo
de Propiedades del elemento.
Ilustracin 21: Propiedades del Servidor
3. Seleccione la Localizacin (Location) de este servidor.

4. Introduzca la direccin de contacto por Defecto (Default). Si el servidor tiene mltiples
direcciones de contacto por Defecto, separe las direcciones con una coma.
5. (Opcional) Pulse Exceptions (Excepciones) para definir ms direcciones de contacto
para contactar con el servidor desde Localizaciones especficas. Se abre el dilogo de
Excepciones.
Ilustracin 22: Direcciones de Contacto del Servidor para Localizaciones Especficas
6. Pulse Add (Aadir) y seleccione una Localizacin. Se aadir una nueva fila a la tabla.
7. Pulse en la columna Contact Address e introduzca las direcciones IP que los

componentes que pertenezcan a esta Localizacin debern usar cuando contacten con
el Servidor.
Puede introducir varias direcciones de contacto por Localizacin para Management y
Log Servers. Separe las direcciones de contacto con comas.

9. Pulse OK para cerrar el dilogo de propiedades del Servidor.
Definir una Direccin de Contacto para una Pasarela End-Point

Externa
Debe definir una direccin de contacto para el End-Point de una pasarela de Seguridad
Externa si la direccin IP para contactar con la Pasarela es diferente de la direccin IP que
tiene la pasarela en su interfaz (por ejemplo, a causa de NAT).
Para definir direcciones de contacto de un end-point

1. En las propiedades de la Pasarela Externa, cambie a la pestaa End-Points.
2. Pulse con el botn derecho en un End-Point y seleccione Properties. Se abrir el
dilogo de Propiedades del End-Point.
Ilustracin 23: Propiedades del End-Point Externo
3. Introduzca la direccin de contacto por Defecto Default o seleccione Dynamic si la

direccin de contacto por defecto es Dinmica.
La direccin de contacto por Defecto se usa siempre que un componente que
pertenece a otra Localizacin contacta con este end-point.
4. (Opcional) Si los componentes pertenecientes a alguna Localizacin no pueden usar la

direccin de contacto por Defecto, pulse en Exceptions para definir direcciones de
contacto que los componentes pertenecientes a Localizaciones especficas usen para
conectar con este end-point. Se abrir el dilogo de Excepciones.
Ilustracin 24: Direcciones de Contacto del End-Point para Localizaciones

Especficas
5. Pulse Add (Aadir) y selecciones una Localizacin. Se aadir una nueva fila a la tabla.
6. Pulse la columna Contact Address e introduzca la direccin IP que los componentes de
esta Localizacin deben usar cuando contacten al end-point o seleccione Dynamic si el
end-point tiene una direccin de contacto dinmica.
8. Pulse OK para cerrar el dilogo de Propiedades del End-Point.
Seleccionar la Localizacin del Management Client

Prerrequisitos: Definir Localizaciones, Definir Direcciones de Contacto para un Servidor
Si se utiliza NAT entre el Management Client y un Log Server, puede necesitar cambiar la
Localizacin del Management Client para poder visualizar los log. Cul sea la Localizacin a
elegir depender de la configuracin del sistema. La seleccin Default (por Defecto) es
adecuada si el Log Server tiene asignada una Localizacin especfica y la direccin de contacto
por Defecto del Log Server es correcta para su conexin de red.
Para seleccionar la Localizacin del Management Client

Pulse en el nombre de la Localizacin en la barra de estado en la esquina inferior derecha de la
ventana del Management Client y seleccione la Localizacin de la lista que se abrir.
Ilustracin 25: Ventana del Management Client - Esquina Inferior Derecha
Si no hay disponibles configuraciones adecuadas, puede necesitar aadir una nueva

Localizacin y definir una direccin de contacto para esta Localizacin especfica en las
propiedades del Log Server.
Tareas Relacionadas
Definir Localizaciones (pg. 61)
Definir Direcciones IP de Contacto (pg. 62)
Configurar las Comunicaciones en un Sistema con Multi-Link

Prerrequisitos: Definir una Ruta Multi-Link para un Cortafuegos
Si un cortafuegos gestionado remotamente dispone de Multi-Link, se recomienda que aada

un interfaz de gestin primario y uno secundario para diferentes conexiones de ISP para
garantizar la conectividad si una de las conexiones locales al ISP falla. Asegrese de que
configura estas direcciones de forma consistente para las direcciones actuales del interfaz
en el cortafuegos, para las direcciones de contacto externas (si aplica), y en las reglas de
NAT del cortafuegos que protege a los servidores SMC (segn sea necesario).
Si el Management Server o Log Server estn localizados tras una conexin Multi-Link en
relacin a los componentes que contactan con ellos, defina una direccin de contacto para
cada conexin de red y asegrese de que sus reglas de NAT trasladan cada direccin
externa a la direccin interna correcta del servidor SMC.
Tareas Relacionadas
Establecer Opciones de Interfaz del Cortafuegos (pg. 361)
Gestin de Elementos 71
CAPTULO 6
GESTIN DE ELEMENTOS
Hay ciertas tareas que son comunes a la mayora de elementos. Algunas de estas
tareas no son obligatorias para definir un elemento, pero pueden ser de ayuda para
configurar y poner en marcha su sistema.
Uso de Categoras (pg. 72)

Importar, Exportar y Restaurar Elementos (pg. 75)
Restaurar Elementos desde Snapshots de Polticas (pg. 78)
Bloquear y Desbloquear Elementos (pg. 79)
Borrar Elementos (pg. 79)
Uso de Categoras
Las categoras le permiten filtrar por conjuntos de elementos para visualizar en el

Management Center. Cuando activa un filtro de Categora, los elementos que no pertenecen
a una de las Categoras seleccionadas no se mostrarn en la vista.
Las categoras le ayudan a manejar redes grandes filtrando los elementos que se muestran.
Puede, por ejemplo, crear Categoras separadas para elementos que correspondan a un
cortafuegos y a una configuracin de IPS y seleccionar la categora correcta cuando quiere
concentrarse en configurar solamente uno de los productos. Puede seleccionar libremente cmo
asignar las Categoras y cambiar de forma rpida y flexible qu combinaciones de Categoras se
muestran de acuerdo a sus tareas.
Visin General de la Configuracin

El flujo de trabajo general para usar Categoras es el siguiente:
Crear una nueva Categora. Vea Crear Nuevas Categoras (pg. 72).
Asociar elementos con la Categora. Vea Seleccionar Categoras para Elementos (pg.
73).
Seleccionar la Categora definida como el Filtro de Categora activo. Vea Activar
Categoras (pg. 73).
Cambiar la seleccin de Categora segn sea necesario en la lista de la barra de
herramientas. Vea Activar Categoras (pg. 73).
Crear Nuevas Categoras

Puede crear tantas Categoras como necesite. Puede basar su categorizacin en cualquier
criterio que desee. Un elemento puede pertenecer a varias Categoras.
Por defecto, el filtro de Categora incluye tambin un elemento No Categorizado que puede
seleccionar de forma independiente o en combinacin con una Categora definida en su
sistema.
Para definir una nueva Categora

2. Expanda la rama Other Elements (Otros Elementos) del rbol de Administracin.
3. Pulse con el botn derecho en Categories (Categoras) y seleccione NewCategory
(NuevaCategora). Se abrir el dilogo de Propiedades de la Categora.
4. Introduzca un nombre (Name) nico para la nueva categora.
5. (Opcional) Introduzca un Comentario (Comment) para su propia referencia.
6. Pulse OK. Se crea la categora y aparece en la rama Other ElementsCategories
(Otros ElementosCategoras) del rbol. Las Categoras se guardan como elementos
en el sistema y se muestran tambin a los dems administradores.
Para Continuar:
Seleccionar Categoras para Elementos
Tareas Relacionadas
Activar Categoras (pg. 73)
Seleccionar Categoras para Elementos

Puede seleccionar una o ms Categoras para todos los tipos de elementos. Si ha activado
un filtro de Categora, todos los elementos que cree sern aadidos por defecto en las
Categoras actualmente seleccionadas, pero puede obviar esta seleccin.
Si quiere ver solamente los elementos existentes que no estn an categorizados, seleccione
el elemento Not Categorized (No Categorizado) en la Barra de Herramientas de Filtros de
Categora. Vea Activar Categoras (pg. 73) para ms informacin.
Para seleccionar categoras para un elemento

1. Pulse Categories (Categoras) en las propiedades de un elemento nuevo o existente.
Se abrir el dilogo de Seleccin de Categora para el elemento.
Ilustracin 26: Dilogo de Seleccin de Categora
2. Aada o elimine Categoras segn sea necesario.

3. Pulse OK.
Tip Alternativamente, pulse con el botn derecho en un elemento existente y seleccione Add
Category (Aadir Categora) o Remove CategoryRemove (Eliminar CategoraEliminar)
para abrir un dilogo para aadir o eliminar Categoras.
Activar Categoras
En la mayora de las vistas, puede seleccionar Categoras para restringir qu elementos son
mostrados. Tambin puede mostrar los elementos que no pertenecen a ninguna Categora
seleccionando el filtro No Categorizado (Not Categorized). Tambin puede seleccionar ms
de una Categora a la vez (vea Filtrado Con Varias Categoras (pg. 74)).
Nota La Categora Seleccionada se aplica en todas las vistas hasta que seleccione
otra Categora o deseleccione el botn de Usar Filtro de Categoras.
Para activar una categora

1. Si la seleccin de Categora no es visible en la barra de herramientas, seleccione
ViewLayoutCategory Filter Toolbar (VerDiseoBarra de Herramientas de
Filtros de Categora) desde el men. La seleccin de Categora aparecer en la barra
de herramientas.
Ilustracin 27: Barra de Herramientas de Filtros de Categoras
Seleccione una Categora
Combine Active la seleccin de Categoras

Categoras para ver slo los elementos que
pertenecen a la Categora
2. Seleccione una de las Categoras existentes.

3. Pulse el botn Use Category Filter (Usar Filtros de Categoras) a la derecha de la
seleccin de Categoras. Slo se mostrarn los elementos que pertenezcan a la
Categora seleccionada.
Para mostrar de nuevo todos los elementos, deseleccione el botn Use Category Filter.
Filtrado Con Varias Categoras

Puede seleccionar ms de una Categora a la vez para mostrar los elementos que estn en
cualquiera de las Categoras seleccionadas.
Para crear filtros combinados

1. Pulse el botn Filter (Filtro) en la barra de Filtros de Categoras. Se abrir el dilogo de
Filtros de Categoras.
Ilustracin 28: Seleccin de Filtros de Categoras
2. Seleccione las Categoras que quiere aadir (May-Clic o Ctrl-Clic para seleccionar
mltiples Categoras) y pulse Add (Aadir). Las Categoras elegidas se aadirn a la
lista de Categoras Seleccionadas a la derecha.
3. (Opcional) Si quiere ver los elementos que no tienen una Categora (pertenecen a la
Categora No Categorizados), seleccione Show Not Categorized abajo.
4. (Opcional) Si quiere ver los elementos que existen por defecto en el sistema
(pertenecen a la Categora System) marque Show System Elements abajo.
5. Pulse OK. La lista combinada de Categoras se muestra como Filtro de Categoras

actual en la seleccin de Categoras.
6. Pulse el botn Use Category Filter (Usar Filtro de Categoras) en la barra de
herramientas. Solamente se muestran los elementos asignados a las categoras
seleccionadas.
Tareas Relacionadas
Crear Nuevas Categoras (pg. 72)
Activar Categoras (pg. 73)
Importar, Exportar y Restaurar Elementos

Puede importar y exportar la mayora de tipos de elementos. Esto le permite usar los mismos
elementos en un sistema diferente sin tener que crear los elementos de nuevo.
Tambin puede importar versiones antiguas de elementos o elementos eliminados,
restaurndolos desde un Snapshot de la Poltica.
Para continuar:
Exportar Elementos (pg. 75)
Importar Elementos (pg. 76)
Restaurar Elementos desde Snapshots de Polticas (pg. 78)
Tareas Relacionadas
Importar Usuarios desde un Fichero LDIF (pg. 644)
Exportar Usuarios a un Fichero LDIF (pg. 645)
Exportar Elementos
Esta seccin explica cmo exportar elementos usando el Management Client. Para exportar
desde la lnea de comando, vea el comando SgExport en Herramientas de Lnea de
Comando (pg. 917). Para salida PDF o HTML, vea Guardar como PDF o HTML (pg. 50).
Nota El fichero exportado est pensado para importar elementos en la base de datos
de un Management Server. No est orientado a ser visto o editado por aplicaciones
externas.
Para exportar elementos basndose en una seleccin

1. Lance la exportacin de elementos:
Para exportar una seleccin de elementos, seleccione FileExportExport
Elements (ArchivoExportarExportar Elementos). Se abrir el dilogo de
Exportacin.
Para exportar todos los elementos de el Dominio administrativo al cual se encuentre
conectado, seleccione FileSystem ToolsExport All Elements
(ArchivoHerramientas del SistemaExportar Todos los Elementos). Cuando elija
esta opcin, habr un retardo antes de que el dilogo de Exportacin se abra con todos
los elementos pre-seleccionados.
Ilustracin 29: Dilogo de Exportacin
Tipo de Elemento
2. Introduzca un nombre para el fichero de exportacin (Export file) o pulse en Browse

para seleccionar la carpeta donde quiere crear el fichero.
3. Seleccione el tipo de elementos que quiere exportar.
Puede exportar la mayora pero no todos los elementos. Los elementos que no puede
exportar son aquellos que contienen informacin especialmente sensible (por ejemplo
cuentas de administrador y certificados). Para importar un elemento que se refiera a un
elemento que no puede ser exportado, deber crear manualmente antes de la
importacin un elemento correspondiente con el mismo nombre que el elemento
original referenciado. De otro modo, la importacin fallar.
4. Aada los elementos que desee exportar a la lista de Contenidos (Content) de la
derecha o elimine los que no quiera exportar seleccionando los elementos y pulsando
Add (aadir) o Remove (Eliminar).
5. Cuando haya finalizado de aadir elementos a la lista de Contenidos, pulse Export
(Exportar). Se abrir una nueva pestaa para mostrar el progreso de la exportacin.
Importar Elementos
Esta seccin explica cmo importar elementos usando el Management Client. Para importar
desde la lnea de comando, vea el comando sgImport en Herramientas de Lnea de
Comando (pg. 917).
Para importar elementos
1. Seleccione FileImportImport Elements (ArchivoImportarImportar Elementos).
Se abrir el dilogo de Importacin de Fichero.
2. Seleccione los ficheros que desea importar y pulse Import. StoneGate comprueba
automticamente si algn elemento del fichero a importar ya existe en el sistema. Se
abrir una nueva pestaa.
Ilustracin 30: Vista de Importacin de Elementos - Ejemplo con Conflicto de Elementos
3. Si el fichero a importar contiene elementos que ya existen en el sistema, resuelva los

Conflictos de elementos seleccionando una Accin (Action):
Do Not Import: (No Importar) El elemento no se importa.
Import: (Importar) El elemento que ya existe en el sistema se sobrescribe con el
elemento del fichero de importacin.
Rename: (Renombrar) El elemento del fichero de importacin es importado como
elemento nuevo en el sistema y renombrado.
4. Si el fichero a importar contiene Nuevos Elementos (New Elements) que no entran en
conflicto con los elementos existentes, seleccione la Accin (Action):
Do Not Import: (No Importar) El elemento no se importa.
Import: (Importar) El elemento que ya existe en el sistema se sobrescribe con el
elemento del fichero de importacin.
5. Para Elementos Idnticos (Identical Elements) que entran en conflicto con elementos
existentes, pero no causan cambios, la opcin Do Not Import (No Importar) se
selecciona automticamente.
6. Si no hay elementos similares en el sistema o cuando ya haya seleccionado la Accin
para los elementos conflictivos, pulse Continue para iniciar la importacin.
Restaurar Elementos desde Snapshots de Polticas

Esta seccin explica cmo restaurar elementos desde Snapshots (Instantneas) de Polticas
usando el Management Client. Puede restaurar todos los elementos de un snapshot o
seleccionar los elementos a restaurar.
Para restaurar todos los elementos de un Snapshot de una Poltica
1. Seleccione ConfigurationConfigurationFirewall
(ConfiguracinConfiguracinCortafuegos) o ConfigurationConfigurationIPS
(ConfiguracinConfiguracinIPS) desde el men principal. Se abrir la pestaa de
Polticas del Cortafuegos o IPS.
2. Navegue a Other ElementsPolicy Snapshots (Otros ElementosSnapshots de
Polticas). Se abrir la lista de Snapshots de Polticas.
3. Pulse con el botn derecho sobre el Snapshot que quiere restaurar y seleccione
Restore (Restaurar). Se iniciar la restauracin de elementos.
4. Si hay conflictos durante el proceso de restauracin, resulvalos seleccionando la
Accin (Action):
5. Do Not Import: (No Importar) El elemento no se importa.
6. Overwrite: (Sobrescribir) El elemento que ya existe se sobrescribe con el elemento en
el fichero de importacin.
7. Rename: (Renombrar) El elemento del fichero de importacin se importa como
elemento nuevo en el sistema y es renombrado.
8. Pulse OK.
Para restaurar elementos seleccionados de un Snapshot de Poltica
(ConfiguracinConfiguracinIPS) desde el men principal. Se abrir la pestaa de
Polticas del Cortafuegos o IPS.
Polticas). Se abrir la lista de Snapshots de Polticas.
3. Pulse con el botn derecho sobre el snapshot de la poltica del cual desea restaurar
elementos y seleccione Preview Policy Snapshot (Vista Previa del Snapshot de
Poltica). Se abrir la vista previa del Snapshot de la poltica seleccionada.
4. Elija uno o varios elementos del Snapshot a restaurar, pulse con el botn derecho y
seleccione Restore (Restaurar). Se iniciar la restauracin de los elementos.
5. Si hay conflictos durante el proceso de restauracin, resulvalos seleccionando la
Accin (Action):
6. Do Not Import: (No Importar) El elemento no se importa.
7. Overwrite: (Sobrescribir) El elemento que ya existe se sobrescribe con el elemento en
el fichero de importacin.
8. Rename: (Renombrar) El elemento del fichero de importacin se importa como
elemento nuevo en el sistema y es renombrado.
9. Pulse OK.
Bloquear y Desbloquear Elementos

Un administrador con permisos para editar un elemento puede bloquear el elemento y aadir
un comentario para explicar la razn del bloqueo. Un elemento bloqueado debe ser
desbloqueado antes de poder ser modificado o eliminado. Cualquier administrador con
permiso para editar el elemento bloqueado puede eliminar el bloqueo. Todos los elementos
personalizados para los cuales existen datos de Historial en el panel de Informacin pueden
ser bloqueados. No se pueden bloquear los elementos por defecto del sistema.
Para bloquear un elemento

1. Pulse con el botn derecho en el elemento que desea bloquear en la vista de
Cortafuegos, IPS o de Configuracin de Administracin y seleccione ToolsLock
(HerramientasBloquear). Se abrir el dilogo de Propiedades de Bloqueo.
2. Escriba un comentario explicando la razn de bloquear el elemento en el campo
Comment.
3. Pulse OK. El elemento est ahora bloqueado y el smbolo de bloqueo se muestra en su
icono.
Para desbloquear un elemento
1. Pulse con el botn derecho en el elemento que quiere desbloquear en la vista de
Cortafuegos, IPS o de Configuracin de Administracin y seleccione ToolsUnlock
(HerramientasDesbloquear).
2. Pulse Yes en el dilogo que se abre para confirmar la eliminacin del bloqueo.
Borrar Elementos
Un elemento slo puede ser borrado por administradores que tengan suficientes privilegios, y
si el elemento no es usado en ninguna configuracin, por ejemplo en una poltica.
Precaucin El borrado es permanente. No hay deshacer. Para recuperar un elemento

eliminado, deber recrearlo, o restaurarlo desde una copia de seguridad creada
previamente o un fichero de exportacin XML que contenga el elemento.
Para eliminar un elemento

1. Pulse con el botn derecho sobre el elemento y seleccione Delete (Borrar). Se abrir un
dilogo de confirmacin.
Si el elemento que est intentado borrar est siendo usado en alguna configuracin, el
dilogo de confirmacin adems mostrar una lista de todas las referencias al
elemento. Pulse Open References (Abrir Referencias) para abrir una lista de los
elementos en la vista de Bsquedas. Para eliminar las referencias, edite cada elemento
pulsando con el botn derecho sobre el mismo y seleccionando Edit (Editar).
Si est eliminando la cuenta de un administrador que ha modificado elementos en el
Management Center, recibir un mensaje de advertencia. Si borra la cuenta del
administrador, toda la informacin histrica sobre los cambios que el administrador ha
realizado se perder. Si no desea perder la informacin histrica, pulse Disable para
Desactivar la cuenta.
2. Pulse Yes. El elemento es eliminado de forma permanente del sistema.
Tareas Relacionadas
Buscar Referencias de Elementos (pg. 46)
Eliminar Cuentas de Administrador (pg. 227)
Eliminar Dominios (pg. 250)
81
MONITORIZACIN
En esta seccin:
Monitorizar el Sistema - 83
Monitorizar Dispositivos de Terceros - 111
Examinar Datos de Logs - 127
Informes - 145
Filtrado de Datos - 159
Diagramas - 167
Casos de Incidente - 177

Monitorizar el Sistema 83
CAPTULO 7
MONITORIZAR EL SISTEMA
Todos los componentes del sistema de StoneGate pueden ser monitorizados desde el
StoneGate Management Client.

Monitorizar el Estado del Sistema (pg. 84)
Monitorizar Conexiones Abiertas y Listas Negras (pg. 97)
Monitorizar Conexiones en un Mapa (pg. 103)
Monitorizar Configuraciones y Polticas (pg. 105)
Monitorizar Acciones del Administrador (pg. 105)
Monitorizar la Ejecucin de Tareas (pg. 106)
Comprobar la Informacin de Contratos de Mantenimiento (pg. 107)
Comprobar Cundo Expiran los Certificados o CAs Internos (pg. 108)
Empezar con la Monitorizacin del Sistema

Hay varias formas de monitorizar el sistema en el Management Client. Usted puede:

Monitorizar el estado de componentes individuales y ver un resumen del estado del
sistema. Vea Monitorizar el Estado del Sistema (pg. 84).
Crear grficos personalizables del sistema. Vea Creacin de Vistas Generales (pg. 92).
Monitorizar conexiones abiertas y conexiones en listas negras. Vea Monitorizar
Conexiones Abiertas y Listas Negras (pg. 97).
Ver informacin de conexiones en un mapa. Vea Monitorizar Conexiones en un Mapa
(pg. 103).
Comprobar qu configuraciones y polticas estn aplicadas actualmente en el sistema.
Vea Monitorizar Configuraciones y Polticas (pg. 105).
Comprobar qu acciones ejecutan los administradores. Vea Monitorizar Acciones del
Administrador (pg. 105).
Comprobar el estado de las Tareas (por ejemplo, actualizaciones). Vea Monitorizar la
Ejecucin de Tareas (page 106).
Monitorizar el estado del contrato de mantenimiento de StoneGate. Comprobar la
Informacin de Contratos de Mantenimiento (pg. 107).
Monitorizar el estado de los certificados y autoridades de certificacin internos. Vea
Comprobar Cundo Expiran los Certificados o CAs Internos (pg. 108).
Tareas Relacionadas
Empezar con los Informes (pg. 146)
Monitorizar el Estado del Sistema

El Management Server mantiene un seguimiento automtico de los componentes StoneGate

que pertenecen al sistema. Puede comprobar el estado del sistema y los componentes
individuales en la vista de Estado del Sistema.
Tambin puede monitorizar el estado de dispositivos de terceros en el Management Client.
Vea Crear un Perfil de Prueba (pg. 121) para ms informacin.
Hay varias formas de abrir la vista de Estado del Sistema. Por ejemplo:
Seleccione MonitoringSystem Status (MonitorizarEstado del Sistema) desde el
men o pulse el correspondientes icono de la barra de herramientas.
Pulse con el botn derecho cobre un elemento monitorizado (un Cortafuegos/VPN o un
elemento IPS, un elemento Geolocalizacin, un elemento Multi-Link, elemento Servidor, o
pasarela SSL/VPN) y seleccione System Status desde el men que se abre.
Para continuar:
Para una visin general de la Vista de Estado del Sistema, comience en Formato por
Defecto de la Vista de Estado del Sistema.
Formato por Defecto de la Vista de Estado del Sistema

Cuando abre la vista de Estado del Sistema, puede ver los elementos monitorizados en el rbol de
Estado con iconos que muestran su estado. El Resumen del Sistema (System Summary)
proporciona informacin ms detallada. Los estados son actualizados constantemente, de forma
que pueda comprobar rpidamente qu componentes del sistema necesitan su atencin en un
momento dado. Adicionalmente, cuando un clster deja de estar operativo, se enva una alerta.
Para informacin sobre los diferentes estados, vea Comprender el Estado de los Componentes (pg.
88).
Ilustracin 31: Vista de Estado del Sistema - Formato por Defecto
Para comprobar el estado de un componente en el rbol de estados, expanda el rbol y site

el puntero del ratn sobre cualquier elemento mostrado para ver su direccin IP y estado
como texto en un globo informativo.
Resumen del Sistema

El Resumen del Sistema proporciona una visin general sobre el estado operativo de los
componentes monitorizados y muestra si hay alertas activas en el sistema. Puede verlo en la
vista de Estado del Sistema o insertarlo como un panel ms en sus vistas de monitorizacin
personalizadas (Vistas Generales). Haga doble clic sobre la informacin de estado para ver
ms detalles.
Ilustracin 32: Resumen del Sistema en la Vista de Estado del Sistema
Ver el Estado del Sistema para un Elemento Seleccionado

Cuando selecciona un elemento en el rbol de Estado, la vista de Estado del Sistema
automticamente muestra el estado del elemento como un Diagrama de Conectividad (esto
se controla por la opcin ViewDraw Diagram on Selection (VistaDibujar Diagrama al
Seleccionar) del men principal). El Panel de Informacin tambin muestra informacin
detallada sobre el elemento seleccionado.
Cuando la opcin ViewFilter Diagram Content (VistaFiltrar el Contenido del Diagrama)
est seleccionada (valor por defecto), puede ver los elementos seleccionados y las
conexiones relacionadas en el diagrama automticamente generado. En otro caso, se
muestran todos los elementos y conexiones del sistema.
Ilustracin 33: Informacin de Estado del Sistema para un Elemento Seleccionado
Panel de Informacin
El Panel de Informacin muestra informacin detallada sobre el componente que usted
seleccione. Por ejemplo, la pestaa Interfaces muestra informacin sobre los puertos de red
del dispositivo seleccionado (tales como velocidad/dplex). La pestaa de Estado del
Dispositivo muestra el estado del hardware del dispositivo seleccionado. La visualizacin del
Panel de Informacin se controla desde ViewInfo en el men principal.
Ilustracin 34: Estado de un Nodo en el Panel de Informacin
Comandos para la Monitorizacin de Componentes

Las acciones para monitorizar un componente seleccionado estn disponibles en el submen
Monitorization que se abre al pulsar el botn derecho sobre un elemento que represente a un
componente monitorizado. Las acciones disponibles dependen del tipo de componente.
Ilustracin 35: Men de Monitorizacin para Componentes - Cortafuegos/VPN

Ver estado del componente
Ver datos de log para el componente
Ver conexiones actualmente abiertas

(Solo Cortafuegos).
Crear/ver Vista General detallada o Vista
General de Tercero
Seleccionar Plantilla de Visin General
Herramientas de Monitorizacin en el Men Principal

Todas las principales acciones para monitorizar el sistema estn disponibles en el Men de
Monitorizacin.
Ilustracin 36: Men de Monitorizacin
Examinar log y alertas

Ver el estado de los
Seleccionar la vista general a componentes del sistema.
mostrar/nueva vista general.
Ver las conexiones
Crear y/o ver Informes. activas actualmente.
Ver el estado resumido de
Ver las entradas todos los Dominios que
de lista negra activas. tiene permiso para ver.
Tareas Relacionadas
Comprender el Estado de los Componentes (pg. 88)
Usar la Vista General de Dominio (pg. 252)
Comprender el Estado de los Componentes

El estado operativo de los componentes del sistema y de componentes de terceros
monitorizados se indica mediante colores en la mayora de las vistas donde se muestran los
elementos. Tambin se muestra mediante colores el estado de varias comunicaciones del
sistema en diagramas de monitorizacin y en el Panel de Informacin. Un mal
funcionamiento hardware se indica con iconos especiales (con un smbolo de exclamacin)
en el rbol de Estado del Sistema. Si existen indicaciones de problemas. Compruebe
siempre los log y alertas creados por el sistema para conseguir una visin detallada de qu
puede estar causando los problemas.
Los colores de estado se explican en las siguientes tablas:
Iconos de Mal Funcionamiento del Hardware (pg. 89)
Icono de Mal Funcionamiento de la Replicacin (pg. 89)
Colores de Estado de los Elementos (pg. 89)
Colores de Estado de los Nodos (pg. 90)
Colores de Estado de los NetLink (pg. 90)
Colores de Estado de VPNs (pg. 91)
Colores de Estado de la Conectividad (pg. 91)
Iconos de Mal Funcionamiento del Hardware

Un mal funcionamiento del hardware de un dispositivo se indica mediante un icono especial
sobre el icono del dispositivo en el rbol de Estado y en todas las ramas padre del rbol de
Estado. Para ms informacin sobre el mal funcionamiento del hardware, seleccione el
dispositivo en el rbol de Estado y cambe a la pestaa de Estado del Dispositivo en el Panel
de informacin.
Ilustracin 37: Iconos de Mal Funcionamiento del Hardware
Icono Estado del Descripcin

Hardware
Smbolo de
Se ha alcanzado un nivel de advertencia pre-definido en la
Exclamacin en un
monitorizacin del hardware (por ejemplo, la capacidad de los
tringulo amarillo Advertencia
sistemas de archivos restante es menor del 15%). El sistema
tambin genera una entrada de log
Smbolo de
Se ha alcanzado un nivel de Alerta pre-definido en la
Exclamacin en un
monitorizacin del hardware (por ejemplo, la capacidad restante
crculo rojo Alerta
en el sistema de archivos es menor de un 5%). El sistema
tambin genera una entrada de alerta
Icono de Mal Funcionamiento de la Replicacin

Si la replicacin de los datos de configuracin desde el Management Server primario a un
Management Server secundario ha fallado, un icono que muestra un smbolo de exclamacin
en un tringulo amarillo se muestra sobre el icono del Management Server secundario en el
rbol de Estado.
Colores de Estado de los Elementos

El estado a nivel de elemento proporciona una visin general del estado de todos los
dispositivos que estn representados por el elemento (tenga en cuenta que se muestra para
componentes de un solo nodo).
Tabla 12: Estado a Nivel de Elemento
Estado del
Color Descripcin
Elemento
Verde Todo OK Todos los nodos tienen un estado normal (online o en espera).
Algunos de los nodos tienen un estado no normal o han sido puestos
Amarillo Advertencia offline por una orden del administrador, pero an envan actualizaciones
de estado normalmente.
Todos los nodos estn en estado no normal, hay uno o ms nodos que
Rojo Alerta no han enviado las actualizaciones de estado esperadas, o todos los
nodos han sido puestos offline.
Estado
Gris No se ha instalado una poltica en ninguno de los nodos del clster.
desconocido
No
Blanco Un administrador a configurado todos los nodos como no monitorizados.
monitorizado
Colores de Estado de los Nodos

El estado de los nodos proporciona informacin ms detallada sobre dispositivos individuales.
Tabla 13: Estado a Nivel de Nodo
Color Estado del Nodo Descripcin

Nodo o Servidor
Verde El nodo o servidor est online y procesando trfico.
online
El nodo est bloqueado online para prevenir un cambio

Verde (con franja) Bloqueado online automtico de estado. El nodo no cambiar su estado a
menos que as se lo ordene un administrador.
Usado con dispositivos en clster cuando el clster est en

espera. El nodo est en espera. Uno de los nodos en
Cian En espera.
espera se pondr online cuando el nodo previamente online
pase a un estado en el cual no procese trfico.
Azul Nodo offline El nodo est offline y no procesa trfico
El nodo est bloqueado para prevenir transiciones

Azul (con franja) Bloqueado offline automticas entre estados. El nodo no cambiar su estado
a menos que se lo ordene u administrador.
Tiempo de espera
Gris agotado o estado El Management Server no conoce el estado del nodo.
desconocido
Un administrador a configurado el nodo para que no sea
Blanco No monitorizado
monitorizado
Colores de Estado de los NetLink

El estado de los NetLink muestra el estado de los enlaces de red en una configuracin
MultiLink.
Nota El estado se comprueba y muestra slo si las Opciones de Prueba se han

configurado en los elementos NetLink y el elemento Multi-Link de Salida est incluido en
la configuracin del dispositivo (la regla de balanceo de NAT est en la poltica).
Tabla 14: Iconos de Estado de los NetLinks
Color Estado del NetLink Descripcin
Verde OK El NetLink est levantado
Gris Estado desconocido El Management Server no conoce el estado del NetLink.
Un administrador ha configurado el NetLink para no ser

Blanco No monitorizado
monitorizado.
Colores de Estado de VPNs

El estado de la VPN muestra la salud de los tneles VPN.
Tabla 15: Estado de las VPNs
Color Estado del Clster Descripcin
Todos los tneles estn en estado normal (online o en espera) y

Verde Tneles levantados
hay trfico
Se ha detectado algn error, al menos para algn trfico, pero los
Amarillo Advertencia tneles son usables en principio, y algn otro trfico puede estar
pasando.
Rojo Error Alguno o todos los tneles estn cados.
Los tneles son vlidos, pero no ha habido trfico a travs de

Azul Parado
ellos en algn tiempo.
La VPN no tiene tneles vlidos, porque la configuracin de la

Blanco No configurado
VPN no est completa o no permite ningn tnel vlido
Colores de Estado de la Conectividad

Los diagramas de elementos y la pestaa de Conectividad en el Panel de Informacin muestran
el estado actual de la conectividad entre los elementos del sistema. Vea el globo de ayuda
(tooltip) para el color del estado para ms detalles.
Tabla 16: Estado de la Conectividad
Color Estado Descripcin
La conexin est activa (ha habido comunicaciones en los ltimos dos

Verde OK
minutos) y no se han reportado problemas
El Management Server ha recibido un informe de que los intentos de

Rojo Error
conexin han fallado.
La conexin entre los componentes est an abierta, pero hay una

Cian Parado
pausa en las comunicaciones
Hay problemas con el heartbeat o la sincronizacin de estado entre
nodos de un clster de cortafuegos. Slo uno de los interfaces usados
Amarillo Advertencia
para el heartbeat o la sincronizacin de estado funciona
correctamente. Esto no afecta al funcionamiento del clster.
Azul Cerrado La conexin ha sido cerrada por uno de los componentes
Tiempo de
espera El Management Server no conoce el estado de la conexin. La
Gris
agotado, conexin puede estar o no funcionando.
desconocido
Creacin de Vistas Generales

Las Vistas Generales personalizables pueden contener informacin sobre el estado del
sistema, enlaces a vistas que use a menudo (tal como log filtrados con unos criterios
especficos) y grficos estadsticos sobre la operacin del sistema (tal como carga del
dispositivo), y el flujo de trfico.
Puede crear nuevas Vistas Generales con una plantilla vaca o iniciar su personalizacin en
base a las plantillas de Vistas por defecto del sistema.
Ilustracin 38: Vista General Ejemplo con Resumen del Sistema y Estadsticas
Tenga en cuenta que puede hacer que su vista favorita se abra cada vez que se conecte
establecindola como su vista de inicio (vea Cambio de la Vista de Inicio (pg. 44)).
Para continuar:
Crear una Nueva Vista General (pg. 93)
Tareas Relacionadas
Aadir un Nueva Seccin de Resumen del Sistema a Una Vista General (pg. 93)
Aadir una Nueva Seccin de Estadsticas a una Vista General (pg. 93)
Crear una Nueva Vista General

Para crear una vista general
1. Seleccione MonitoringOverviews (MonitorizacinVistas Generales) desde el
men.
2. Pulse con el botn derecho en Overview y seleccione New Overview (Nueva Vista
General). Se abrir el dilogo de Propiedades de la Vista General.
3. Seleccione su plantilla de Vista General preferida:
Si desea aadir sus propias secciones de Vista a una rejilla vaca, seleccione Empty
Overview (Vista Vaca) y pulse OK.
Para usar una de las Plantillas de Vista predefinidas, seleccione la plantilla de la lista y
pulse OK. Se abrir la plantilla de Vista seleccionada.
Para continuar:
Para aadir un resumen del estado del sistema a la Vista, vea Aadir un Nueva
Seccin de Resumen del Sistema a Una Vista General (pg. 93).
Para aadir estadsticas a la Vista, vea Aadir una Nueva Seccin de Estadsticas a
una Vista General (pg. 93).
Aadir un Nueva Seccin de Resumen del Sistema a Una Vista

General
El resumen del sistema se muestra en la vista de inicio por defecto (vea Resumen del
Sistema (pg. 86)), pero tambin puede aadirlo a sus propias Vistas Generales.
Para crear una nueva Seccin de Resumen del Sistema

1. Abra la Vista a la que quiere aadir una nueva Seccin de Resumen del Sistema.
2. Pulse el icono Nuevo en la barra de herramientas especfica de la vista y seleccione
System Summary Section (Seccin de Resumen del Sistema). La nueva Seccin se
aadir a la Vista.
3. (Opcional) Ajuste la situacin y el tamao de la nueva seccin arrastrando y soltando la
seccin o sus bordes. Tenga en cuenta que el cambio del tamao est basado en
posiciones preajustadas de la rejilla y deber arrastrar el borde hasta que encaje en la
siguiente posicin de pantalla para que funcione.
Es posible aadir ms de una informacin de resumen del sistema a la misma vista, pero la
informacin mostrada es siempre la misma.
Para continuar:
Si desea aadir estadsticas a la vista, vea Aadir una Nueva Seccin de Estadsticas
a una Vista General (pg. 93).
Si ha terminado de trabajar con su Vista, pulse el icono de Guardar o seleccione
FileSave as (ArchivoGuardar como) para guardar la vista con otro nombre.
Aadir una Nueva Seccin de Estadsticas a una Vista General

Para crear una nueva Seccin de Estadsticas
1. Abra la Vista a la cual quiere aadir una nueva Seccin de Estadsticas.
2. Pulse el icono Nuevo en la barra de herramientas especfica de la vista y seleccione
Statistics Section (Seccin de Estadsticas).
3. La ventana No Item (Sin elementos) (con el texto Select item for section (Seleccione el
elemento para la seccin)) se aade a la vista. El panel de Propiedades de la Seccin
se abre a la derecha.
4. Defina las propiedades bsicas de la Seccin segn se explica en la siguiente tabla:
Opcin Explicacin
Comentario
Un comentario para su propia referencia
(Opcional)
Produce una grfica y/o tabla que muestra el progreso de elementos

Progreso
con el paso del tiempo.
Tipo de Produce una grfica y/o tabla resaltando los valores con el mayor
Estadsticas Top Rate
nmero de ocurrencias.
Tabla Produce una tabla con todos los valores de los elementos incluidos en
Resumen el informe.
Seleccione el Tipo de Diagrama pulsando en el icono apropiado
(Barras, Tarta, Curva, o Mapa).
Los tipos de diagramas disponibles dependen del tipo de estadsticas
Tipo de Diagrama que haya seleccionado.
Las estadsticas tipo Tabla Resumen siempre se muestran como una
tabla, de forma que esta opcin est desactivada para ese Tipo de
Diagrama.
Lmite Superior
(Slo si el Tipo de
Define el nmero (mximo) de fuentes mostradas en el grfico.
Estadsticas es Progreso o
Top Rate)
Periodo Define la escala de tiempo para la muestra de informacin.
Si se selecciona, se muestra un grfico separado para cada sistema
Grfico por Remitente remitente.
(Opcional) En otro caso, el grfico muestra un nico grfico combinado con los
datos medios de todos los remitentes.
Le permite definir un lmite para el seguimiento automtico de
elementos monitorizados.
Umbral de Alerta
Vea Establecer Umbrales para los Elementos Monitorizados
(pg. 96).
5. Pulse Add (Aadir) para aadir un elemento a la Vista. Se abrir el dilogo de

Seleccin de Elemento.
6. Seleccione los elementos. Vea Seleccin de Elementos Estadsticos (pg. 95) para
informacin detallada.
7. (Opcional) Cambie a la pestaa Senders (Remitentes) y elija los elementos a mostrar en la
Vista.
8. (Opcional) Ajuste la situacin y el tamao de la nueva seccin arrastrando y soltando la
seccin o sus bordes. Tenga en cuenta que el cambio del tamao est basado en
posiciones preajustadas de la rejilla y deber arrastrar el borde hasta que encaje en la
siguiente posicin de pantalla para que funcione.
Puede aadir ms secciones de estadsticas del mismo modo.
Para continuar:
Seleccin de Elementos Estadsticos

Las Estadsticas procesan y visualizan datos. Le ayudan a focalizarse en la informacin ms
relevante del sistema (por ejemplo, cantidades notables y tendencias en el trfico de red) y
tambin a encontrar cambios y anomalas en el trfico de red. Puede utilizar las estadsticas en
Vistas e Informes, y tambin cuando examine Logs o Conexiones. Hay filtros disponibles para
ayudarle a encontrar informacin.
Los elementos estadsticos cuentan entradas de log (referidas como registros en los nombres de
los elementos), resmenes de algn campo de log incluido en esas entradas (como volmenes
de trfico en datos de log que incluyen informacin contable), o especficamente observar datos
estadsticas (conteo de elementos). Los elementos estn organizados en base a tipos de
componentes, dado que los datos de log que producen son diferentes.
Tabla 17: Seleccin de Elementos Estadsticos
Opcin Explicacin
Datos de Logs Elementos que usan datos de log
Fuente de
Informacin Elementos que usan datos estadsticos pre-contados. Los datos
Estadsticas de
(No disponible ms antiguos de una hora son consolidados para una precisin
Contadores
en Vistas de una hora.
Generales) Estado Actual del Elementos que recopilan informacin sobre el estado operativo
Sistema del sistema.
Disponible si los Datos de Logs son la fuente de informacin.
Tipos de Datos de Logs Elementos que filtran por distintos tipos de datos de log o
componentes que envan datos.
Cualquiera Elementos que pertenecen a cualquier contexto.
Recomendados Elementos estadsticos ms comunes
Elementos relacionados con datos de log generados por reglas
Acceso
de Acceso del Cortafuegos.
Elementos relacionados con datos de log generados por reglas
de Inspeccin. Cuanto ms limitados sean los protocolos de
Inspeccin
inspeccin en el cortafuegos ms difcil ser que muchos
elementos puedan encontrar datos en los log del cortafuegos.
Elementos que cuentan los volmenes de trfico. Estos
Volmenes de elementos no tienen datos a procesar a menos que sus reglas
Contexto Trfico de Acceso estn configuradas para incluir informacin contable
en las entradas de log generadas.
VPN Elementos relacionados con VPNs
Auditora (No
disponible en Elementos relacionados con datos de log de auditora
Vistas)
Disponible si el Estado Actual del Sistema se selecciona como
Fuente de informacin. Elementos que recogen informacin
Otro sobre el sistema StoneGate (ejecute el informe de Sistema por
defecto para ver la informacin que estos elementos producen
en los datos de log).
Ranking La base para ordenar los elementos en el resumen.
El valor que se cuenta para un periodo especfico en una
Conteo grfica de curvas o por sector en una grfica de tarta (por
ejemplo el nmero de conexiones o bytes).
Tabla 18: Seleccin de Elementos Estadsticos (Cont.)
Opcin Explicacin
Permite buscar un elemento especfico. Introduzca el nombre del
Bsqueda elemento o una parte del mismo para limitar la seleccin de
elementos mostrados. Puede utilizar comodines (por ejemplo, *).
Elemento Elementos disponibles que cumplen con las opciones seleccionadas.
Establecer Umbrales para los Elementos Monitorizados

Los umbrales activan el seguimiento automtico de los elementos monitorizados en las
Vistas Generales. Los valores de los elementos monitorizados se comprueban una vez por
hora.
Para elementos de Progreso, el total de los valores se compara con el lmite del umbral. El
umbral se considera excedido si el nivel medio de la curva est por encima del lmite del
umbral durante el periodo de seguimiento.
Para los elementos Top Rate y Curva Top Rate, el valor ms alto se compara con el lmite
del umbral. El umbral se considera excedido si el valor ms alto est por encima del lmite
del umbral durante el periodo de seguimiento. Si se excede el lmite del umbral, se enva una
alerta.
Para establecer un umbral para un elemento monitorizado

1. Seleccione la seccin de la Vista para la cual desea establecer el umbral. Se mostrarn
las Propiedades de Seccin de la seccin seleccionada.
2. Seleccione Enable alert threshold (Activar umbral de alerta).

3. Especifique el lmite de umbral de una de las siguientes formas:
Arrastre y suelte la lnea de umbral en la seccin de la Vista
Introduzca el Lmite (Limit) como nmero en el panel de Propiedades de la Seccin.
4. (Opcional) Seleccione el periodo de seguimiento durante el cual los elementos
monitorizados sern comparados con el lmite de umbral en la lista For (Durante). Por
defecto este valor es de una hora.
5. (Opcional) Seleccione la Severidad (Severity) de la alerta que se enviar cuando se

supere el umbral. Por defecto est seleccionado Low (Baja).
Para continuar:
Monitorizar Conexiones Abiertas y Listas Negras

Los cortafuegos mantienen un seguimiento de las conexiones activas. Puede monitorizar las
conexiones abiertas en la vista de Monitorizacin. Los cortafuegos y sensores tambin
mantienen seguimiento de las combinaciones de direcciones IP, puertos y protocolos
actualmente incluidos en las listas negras de cortafuegos y sensores. Puede monitorizar las
conexiones de lista negra en la vista de Lista Negra (Blacklist).
Puede monitorizar las conexiones y listas negras de los siguientes modos:
Puede ver las conexiones activas y las entradas de lista negra forzadas. Vea Comprobar
Puede guardar snapshots (instantneas) de las conexiones activas y listas negras. Vea
Guardar Snapshots de Listas Negras y Conexiones (pg. 99).
Puede comparar dos snapshots de conexiones o listas negras o el estado actual de
entradas de conexiones o listas negras con las conexiones o listas negras de un snapshot.
Vea Comparar Snapshots de Listas Negras y Conexiones (pg. 101).
Comprobar Conexiones Abiertas y Listas Negras

La vista de Conexiones y la vista de Listas Negras muestran las actuales conexiones y las entradas
de listas negras activas. Las listas de entradas de conexiones y listas negras se actualizan
automticamente en el modo de Eventos Actuales. Las entradas de Lista Negra se aaden y
eliminan de acuerdo con su tiempo de vida.
La vista de Lista Negra no muestra si las conexiones que coinciden con las entradas estn
actualmente bloqueadas por el cortafuegos o el sensor, ni puede ver ninguna historia de las
entradas que ya han expirado. Use la vista de Logs para ver informacin sobre las conexiones
actuales permitidas y denegadas, as como log sobre la creacin pasada de entradas de listas
negras (dependiendo de las opciones de log seleccionadas en la poltica. Vea Empezar con la Vista
de Logs (pg. 128)).
Para comprobar conexiones abiertas o listas negras
1. Seleccione MonitoringConnections (MonitorizacinConexiones) o
MonitoringBlacklist (MonitorizacinListas Negras) desde el men. Se abrir el
dilogo de Seleccin de Elemento.
2. Seleccione el cortafuegos para el cual quiere ver las conexiones o el cortafuegos o
sensor para el cual quiere ver la lista negra, y pulse Select. La vista de Conexiones o de
Lista Negra se abrir.
Ilustracin 39: Barra de Herramientas y Panel de Consultas en Vistas de Conexiones y Lista Negra
Hay muchas formas de explorar los datos:

Puede ajustar la vista y los datos mostrados de forma similar a como se hace en la vista
de Logs. Vea Explorar los Datos de Logs (pg. 133).
Para combinar entradas en base a entradas que tienen el mismo valor para un tipo de
columna dado, pulse con el botn derecho en la cabecera de la columna correspondiente
y seleccione Aggregate by <nombre de columna> (Agregar por). Repita la accin si
quiere agregar entradas de acuerdo con otros tipos de columnas.
Para ver los datos como grficas, pulse el botn Statistics en la barra de herramientas y
seleccione uno de los elementos de estadsticas predefinidos, o seleccione Custom
(Personalizado) para seleccionar el o los elementos de una ms amplia lista de elementos
disponibles. Vea Seleccin de Elementos Estadsticos (pg. 95).
Seleccione una o ms entradas en la tabla (May-Clic o Ctrl-Clic para seleccionar ms de
un elemento) y pulse con el botn derecho para un men de las acciones que puede
ejecutar. Por ejemplo:
Para ver ms informacin sobre eventos de log relacionados, pulse con el botn
derecho y seleccione Show Referenced Events (Mostrar Eventos Referenciados).
Para poner en la lista negra conexiones manualmente, pulse con el botn derecho y
seleccione New Blacklist Entry (Nueva Entrada de Lista Negra) o New Entry (Nueva
Entrada). Vea Introducir Conexiones en la Lista Negra Manualmente (pg. 198).
Para terminar una conexin en la vista de Conexiones, pulse con el botn derecho y
seleccione Terminate (Terminar).
Para eliminar una entrada de la lista negra en la vista de Lista Negra, pulse con el
botn derecho y seleccione Remove (Eliminar).
Tareas Relacionadas
Guardar Snapshots de Listas Negras y Conexiones (pg. 99)
Comparar Snapshots de Listas Negras y Conexiones (pg. 101)
Empezar con la Lista Negra (pg. 678)
Guardar Snapshots de Listas Negras y Conexiones

Puede guardar snapshots (instantneas) de las conexiones abiertas en la vista de
Conexiones y de las entradas de lista negra en la vista de Lista Negra. Los snapshots
guardados se listan en las siguientes ramas de la vista de Monitorizacin:
Other ElementsBlacklist SnapshotsLog Server
Other ElementsConnections SnapshotsLog Server
Other ElementsConnections SnapshotsManagement Server (snapshots
guardados para cortafuegos versin 5.1 o anteriores).
Los snapshots de listas negras se guardan en la carpeta <directorio de
instalacin>/data/storage/ snapshots/blacklist en el Log Server. Los snapshots
de conexiones se almacenan en la carpeta <directorio de
instalacin>/data/storage/snapshots/connections bien en el Log Server
(cortafuegos versin 5.2 o superior) o en el Management Server (todas las versiones anteriores
del cortafuegos).
Para guardar un snapshot de una lista negra o de conexiones
1. Seleccione MonitoringConnections (MonitorizacinConexiones) o
MonitoringBlacklist (MonitorizacinLista Negra) desde el men. Se abrir la vista
de Conexiones o de Lista Negra.
2. Pulse el icono de Pausa en la barra de herramientas para seleccionar las entradas para
el snapshot.
Cuando pulsa Pausa, el sistema crea automticamente un snapshot temporal de las
entradas actualmente mostradas. El nombre del snapshot temporal se muestra en la
pestaa Snapshots del Panel de Consultas. El snapshot temporal se borra
automticamente al cabo de unas horas.
3. Pulse el icono Guardar en la barra de herramientas para guardar el snapshot para su
uso posterior. Se abrir el dilogo de Propiedades del Snapshot.
4. Introduzca un nombre (Name) para el snapshot y pulse OK. El nombre del snapshot se
muestra en la pestaa Snapshots del panel de Consultas.
Tareas relacionadas
Exportar Snapshots de Listas Negras y Conexiones (pg. 100)
Abrir Snapshots de Listas Negras y Conexiones (pg. 100)
Exportar Snapshots de Listas Negras y Conexiones

Puede usar la accin Export (Exportar) en la vista de Monitorizacin para guardar los
snapshots almacenados en otro sitio (por ejemplo, en la mquina local). Los snapshots
guardados se listan en las siguientes ramas de la vista de Monitorizacin:
guardadas para cortafuegos versin 5.1 o anteriores).
Para exportar snapshots
1. Seleccione ConfigurationConfigurationMonitoring
(ConfiguracinConfiguracinMonitorizacin) desde el men. Se abrir la vista de
Monitorizacin.
2. Navegue a la rama correcta del rbol de Monitorizacin.
3. Pulse con el botn derecho sobre un snapshot y seleccione Export (Exportar) del men.
4. Seleccione la localizacin para salvar el snapshot y pulse Select.
Tareas Relacionadas
Abrir Snapshots de Listas Negras y Conexiones

Los snapshots de listas negras y los snapshots de conexiones que ha guardado en el Log
Server o el Management Server se listan en las siguientes ramas de la vista de
Monitorizacin:
guardados para cortafuegos versin 5.1 o anterior).
Para abrir un snapshot guardado en el Log Server o el Management Server
Monitorizacin.
2. Navegue a la rama correcta del rbol de Monitorizacin.
3. Pulse con el botn derecho en un snapshot y seleccione Open (Abrir). Se abrir el
snapshot para su visualizacin.
Para abrir un snapshot desde su estacin de trabajo
Monitorizacin.
2. Expanda el rbol Other Elements (Otros Elementos).
3. Pulse con el botn derecho en Blacklist Snapshots o Connections Snapshots, y
seleccione Open Local Snapshot (Abrir Snapshot Local). Se abrir el dilogo de
Seleccionar Fichero de Snapshot.
4. Seleccione el snapshot y pulse Open. Se abrir el snapshot para su visualizacin.
Tareas Relacionadas
Comparar Snapshots de Listas Negras y Conexiones

Puede comparar un snapshot de lista negra o conexiones con otro snapshot del mismo tipo.
Tambin puede comparar un snapshot con las actuales entradas de lista negra o conexiones.
Los snapshots guardados se listan en las siguientes ramas de la vista de Monitorizacin:
Other ElementsConnectionsSnapshotsManagement Server (si el snapshot fue
guardado con una versin 5.1 o anterior del cortafuegos).
Para comparar snapshots
1. Abra la vista de Lista Negra o de Conexiones segn se explica en Monitorizar
2. Cambie a la pestaa Snapshots en el panel de consultas.
Ilustracin 40: Pestaa de Snapshots en el panel de Consultas
3
4 Snapshot 1
5
Snapshot 2
3. Seleccione el primer snapshot para la comparacin::

Si quiere comparar las entradas actuales con un snapshot, asegrese de que la vista
est en modo Eventos Actuales (Current Events) y de que Current (Actual) se muestra
en el primer campo de seleccin de snapshot.
Si quiere comparar un snapshot temporal de las entradas actuales con un snapshot
guardado, pulse Pausa en la barra de herramientas para crear el snapshot temporal. El
nombre del snapshot temporal se muestra en el primer campo de seleccin de
snapshot.
En otro caso, pulse Select (Seleccionar) al lado del campo de seleccin de snapshot
superior y navegue a la rama correcta para elegir el primer snapshot para la
comparacin.
4. Seleccione Compare with (Comparar con) para activar la comparacin de snapshots.
5. Pulse Select al lado del campo inferior de seleccin de snapshots y navegue a la rama
correspondiente para elegir el segundo snapshot a comparar.
Puede usar Arrastrar y Soltar para cambiar el orden de los snapshots en la
comparacin.
6. Pulse Apply (Aplicar) para iniciar la comparacin. Los resultados se resaltan en la lista
de entradas.
Ilustracin 41: Resultados de Comparacin de Snapshots entre los snapshots 1 y 2
La entrada solo existe en el

snapshot 2
La entrada existe en ambos

snapshots
La entrada slo existe en el

snapshot 1
Ilustracin 42: Ejemplo de Comparacin de Snapshots con Entradas Agregadas - Agregadas por Servicio
Las entradas que coinciden Criterio de

con la seleccin de Agregacin
Aggregate by <nombre de
columna> se incluyen en
ambos snapshots, pero las
entradas son por lo dems
diferentes.
(Sin icono) Hay ms de 100 entradas que coinciden con la seleccin Aggregate
by <nombre de columna> en los snapshots. No se pueden hacer ms
comparaciones.
Alternativamente puede abrir un snapshot para comparacin directamente en la vista de

monitorizacin pulsando con el botn derecho en los snapshots elegidos y seleccionando
Compare to Current (Comparar con la Actual) o Compare (Comparar) desde el men que
se abre. El ms reciente de los snapshots seleccionados se usa como punto de inicio de la
comparacin.
Tareas Relacionadas
Examinar los Datos de Log (pg. 133)
Monitorizar Conexiones en un Mapa

Con las Geolocalizaciones (Geolocations) puede ver en un mapa mundial donde se localizan
los Hosts (p.ej. atacantes) y ver cunto trfico pueden crear.
La informacin de localizacin para direcciones IP pblicas se muestra basada en la base de
datos de Geolocalizaciones interna del Management Server. La base de datos se actualiza
cuando se actualiza el Management Server.
Los mapas de Geolocalizacin estn disponibles en Informes, Estadsticas y Vistas Generales,
y en la vista de Estado del Sistema para monitorizar el estado de los elementos de
Geolocalizacin. En la Vista de Estado del Sistema las Geolocalizaciones estn listadas en el
rbol de Estado (System Status Geolocations). Una Geolocalizacin se muestra en el rbol
de estado slo si la Geolocalizacin se ha configurado para algn elemento.
Con la opcin Show in Google Maps (Mostrar en Google Maps) es posible ver la localizacin
actual desde el mapa en ms detalle en Google Maps. La opcin Show in Google Maps puede
usarse en el panel de Campos (Fields) de la Vista de Logs, en mapas de Geolocalizacin, y en
la ventana de resultados de Whois.
Ilustracin 43: Geolocalizaciones
Tambin puede definir Geolocalizaciones para sus redes privadas. Las direcciones IP internas
tienen que configurarse manualmente, puesto que la base de datos de IPs pblicas no las
conoce. Para instrucciones sobre cmo definir una nueva Geolocalizacin, vea Definir una
Nueva Geolocalizacin (pg. 104).
Definir una Nueva Geolocalizacin

Para definir una nueva Geolocalizacin
2. Expanda Other Elements (Otros Elementos).
3. Pulse con el botn derecho sobre Geolocations y seleccione New Geolocation
(Nueva Geolocalizacin). Se abrir el dilogo de Propiedades de la Geolocalizacin.
Ilustracin 44: Propiedades de la Geolocalizacin - General
4. Introduzca el Nombre (Name) y la informacin de Direccin (Address) para la

Geolocalizacin.
5. Defina las Coordenadas de una de las siguientes formas:
Pulse Resolve from Address (Resolver desde Direccin) para resolver de forma
automtica las coordenadas de la Geolocalizacin.
Introduzca la Latitud (Latitude) y Longitud (Longitude) en Grados Decimales (por
ejemplo, latitud 49.5000 y longitud -123.5000).
6. Cambie a la pestaa Content (Contenido) para definir cuales elementos pertenecen a
la Geolocalizacin.
Ilustracin 45: Propiedades de la Geolocalizacin - Contenido
7. Seleccione Elementos desde la lista de Recursos (Resources) y pulse Add (Aadir).

8. Pulse OK para guardar la Geolocalizacin.
Establecer una Geolocalizacin para un elemento en la Vista de

Estado del Sistema
Para establecer una Geolocalizacin para un elemento en la Vista de Estado del Sistema
1. Abra la Vista de Estado del Sistema y seleccione el elemento para el cual quiere
establecer una Geolocalizacin.
2. Pulse con el botn derecho sobre el elemento y seleccione ToolsSet Geolocation
(HerramientasEstablecer Geolocalizacin). Se abre el dilogo Seleccionar
Geolocalizacin.
3. Si la Geolocalizacin an no ha sido definida, defnala segn se describe en Definir una
Nueva Geolocalizacin (pg. 104).
4. Seleccione la Geolocalizacin y pulse Select.
Tareas Relacionadas
Monitorizar Configuraciones y Polticas

Los dispositivos reciben sus configuraciones en la instalacin de la poltica. Puede

monitorizar las polticas y configuraciones instaladas en los dispositivos de las siguientes
formas:
Puede comprobar qu poltica est aplicada actualmente y cundo se instal por ltima
vez segn se explica en Comprobar la Poltica Instalada Actualmente (pg. 504).
Puede ver rpidamente la versin ms reciente de la poltica instalada segn se detalla en
Previsualizar la Poltica Instalada Actualmente (pg. 504).
Puede ver las configuraciones que se transfirieron en cada instalacin previa de la poltica
y compararlas entre ellas o con la poltica actual almacenada en el Management Server,
segn se explica en Comprobar y Comparar Versiones de Poltica (pg. 504).
Puede comprobar rpidamente si hay cambios en las configuraciones en el Management
Server que no se hayan transferido todava segn se explica en Comprobar Cambios en la
Configuracin No Transferidos (pg. 506).
Tareas Relacionadas
Crear y Gestionar Elementos de Polticas (pg. 497).
Monitorizar Acciones del Administrador

Se mantiene un registro de las acciones del Administrador en el sistema. Los registros

pueden solamente ser vistos por administradores con permiso para ver log de Auditora.
Pueden ser visualizados como cualquier otro log en la vista de Logs. Los log de Auditora no
estn disponibles para cortafuegos SOHO.
Para ver registros de auditora
5. Seleccione FileSystem ToolsAudit (ArchivoHerramientas del
SistemaAuditora) desde el men principal. El navegador de log se abre con los log de
Auditora seleccionados para su visualizacin.
6. Examine y filtre los log segn se explica en la seccin Examinar Datos de Logs (pg.
127).
Monitorizar la Ejecucin de Tareas

Prerrequisitos: Crear Nuevas Definiciones de Tareas, Programar Tareas, Arrancar Tareas Manualmente
Puede comprobar el estado de las tareas en ejecucin y ejecutadas (por ejemplo, tareas de
actualizacin y del sistema) en la rama Tasks (Tareas) de la vista de Administracin.
Para comprobar el estado de las tareas
2. Navegue a TasksRunning Tasks (TareasTareas en Ejecucin) o
TasksExecuted Tasks (TareasTareas Ejecutadas). Se abrir la lista de tareas.
3. Compruebe los detalles de la Tarea en el panel derecho. Las siguientes columnas
pueden ser las ms interesantes:
La columna Progress (Progreso) muestra el progreso de una Tarea en ejecucin.
La columna Info muestra detalles adicionales sobre la ejecucin de una Tarea.
La columna State (Estado) muestra el estado de la Tarea. La siguiente tabla explica los
diferentes estados.
Tabla 19: Estados de tareas
Tarea Estado Explicacin

El proceso de tarea ha sido creado, pero an no ha comenzado su
Tarea en Creada
ejecucin.
Ejecucin
Iniciada La Tarea ha comenzado e ejecutarse
Abortada Se orden parar a la Tarea y par correctamente.
Fallida Un error caus la parada de la Tarea.
Finalizada La Tarea se complet con xito.
Tarea Parte de la Tarea se complet con xito, pero otras partes fallaron. Esto
Ejecutada Parcial puede ocurrir, por ejemplo, cuando una tarea tiene muchas subtareas y
alguna de las subtareas falla.
Tiempo de
Espera La tarea se par porque no se complet antes del lmite de tiempo fijado.
Agotado
Tareas Relacionadas
Parar la Ejecucin de Tareas (pg. 822)
Comprobar la Informacin de Contratos de Mantenimiento

Puede ver la informacin del contrato de mantenimiento y nivel de soporte para sus licencias en
el Management Client permitiendo a su Management Server contactar con los servidores de
Stonesoft. Esta informacin est disponible para cada licencia bajo la carpeta Licenses
(Licencias) si el Management Server puede contactar con los servidores de Stonesoft. Vea:
Activar la Comprobacin Automtica del Contrato de Mantenimiento (pg. 107)
Ver la Informacin del Contrato de Mantenimiento (pg. 107)
Ver la Informacin del Contrato de Mantenimiento para Cortafuegos SOHO (pg. 108)
Recuperar la Informacin del Contrato de Mantenimiento (pg. 108)
Activar la Comprobacin Automtica del Contrato de Mantenimiento

Para permitir ver la informacin del contrato de mantenimiento y el nivel de soporte
permanentemente para sus licencias, necesita permitir que el Management Server se conecte a
los servidores de Stonesoft en el dilogo Automatic Updates and Upgrades (Actualizaciones y
Mejoras Automticas). Vea Empezar con las Puestas al Da y las Actualizaciones del Dispositivo
Automticas (pg. 210).
Ver la Informacin del Contrato de Mantenimiento

Cuando se activa la comprobacin de contrato, puede ver la informacin sobre su contrato de
soporte en la tabla de Licencias en el Management Client.
Para ver la informacin del contrato de mantenimiento
1. Seleccione ConfigurationConfigurationAdministration desde el men.
2. Expanda el rbol Licenses (Licencias).
3. Seleccione la licencia cuya informacin desea ver en la carpeta Licenses (Licencias). Si la
informacin no est disponible en las columnas Maintenance Contract Expires (El
Contrato de Mantenimiento Expira) y Support Level (Nivel de Soporte):
Proceda a Recuperar la informacin del Contrato de Mantenimiento (pg. 108) para
comprobar la informacin.
O si desea que la informacin est disponible permanentemente, proceda a activar la
Comprobacin Automtica del Contrato de Mantenimiento (pg. 107).
Tareas Relacionadas
Empezar con las Puestas al Da y las Actualizaciones del Dispositivo Automticas (pg. 210)
Ver la Informacin del Contrato de Mantenimiento para Cortafuegos SOHO (pg. 108)
Ver la Informacin del Contrato de Mantenimiento para

Cortafuegos SOHO
Cuando la comprobacin del contrato est activada, puede ver la informacin sobre el
soporte de su cortafuegos SOHO en el Management Client como sigue.
Para ver la informacin del contrato de mantenimiento para cortafuegos SOHO
1. Seleccione ConfigurationConfigurationFirewall desde el men.
2. Seleccione SOHO Firewalls (Cortafuegos SOHO).
3. Vea la informacin del Contrato de Mantenimiento en la columna Maintenance
Contract Expires (El Contrato de mantenimiento Expira) del cortafuegos SOHO a
comprobar.
Recuperar la Informacin del Contrato de Mantenimiento

Si el contacto con los servidores de Stonesoft est permitido, el SMC comprueba la
informacin del contrato de mantenimiento para las licencias automticamente. Vea Empezar
con las Puestas al Da y las Actualizaciones del Dispositivo Automticas (pg. 210). En otro
caso, puede recuperar la informacin manualmente.
Para recuperar manualmente la informacin del contrato de mantenimiento para
licencias
2. Pulse Licenses.
3. Pulse con el botn derecho una de las licencias en la carpeta de Licencias y seleccione
Check Maintenance Contract (Comprobar Contrato de Mantenimiento).
4. Pulse Yes en el dilogo de confirmacin para permitir las conexiones desde el
Management Server a los servidores de Stonesoft.
Si el Management Server es capaz de conectar con los servidores de Stonesoft, el
Management Client muestra la informacin del contrato de mantenimiento y nivel de soporte
para las licencias. La informacin est disponible en el Management Client hasta que se
reinicia el Management Server.
Comprobar Cundo Expiran los Certificados o CAs Internos

Puede comprobar el estado de los certificados internos usados en las comunicaciones del
sistema y el estado de la Autoridad de Certificacin Interna de StoneGate que firma
automticamente los certificados internos. La Autoridad de certificacin Interna es vlida
durante diez aos. Se renueva automticamente. StoneGate no acepta certificados firmados
por una Autoridad de Certificacin Interna expirada. Todos los componentes deben recibir
nuevos certificados firmados por la nueva Autoridad de Certificacin Interna antes de que la
antigua Autoridad de Certificacin Interna expire. Por defecto, los certificados internos se
renuevan automticamente para dispositivos y pasarelas internas. Para todos los dems
componentes, deber generar los certificados manualmente. Vea Sustituir Certificados
Expirados/Perdidos (pg. 870).
Para comprobar cundo expiran los certificados internos o las Autoridades de
Certificacin Internas
1. Seleccione ConfigurationConfigurationAdministration desde el men para
cambiar a la vista de Configuracin de Administracin.
2. Expanda la rama Other ElementsInternal Certificates (Otros
ElementosCertificados Internos) u Other ElementsInternal Certificate Authorities
(Otros ElementosAutoridades de certificacin Internas) en el rbol de elementos. Los
certificados internos existentes o las Autoridades de Certificacin Internas se muestran
en el otro panel.
3. Vea la columna Expiration Date (Fecha de Expiracin) para informacin sobre la

expiracin de los certificados o a Autoridad de Certificacin Interna.
4. Para ver informacin detallada, pulse con el botn derecho en un certificado o Autoridad
de Certificacin Interna y seleccione Properties (Propiedades). Se abrir el dilogo de
Propiedades para el certificado o Autoridad de Certificacin Interna.
El dilogo de propiedades para una Autoridad de Certificacin Interna muestra, entre otra
informacin, el estado de la Autoridad de Certificacin Interna:
Active (Activa): Todos los componentes del sistema usan certificados firmados por esta
Autoridad de Certificacin Interna.
Renewal Started (Renovacin Iniciada): sta es una nueva Autoridad de Certificacin
Interna que el sistema ha creado automticamente. El proceso de renovacin de
certificados internos para los componentes del sistema se ha iniciado.
Expires Soon (Expira Pronto): Se ha creado una nueva Autoridad de Certificacin Interna
pero algunos componentes todava pueden usar certificados firmados por esta Autoridad
de Certificacin Interna.
Inactive (Inactiva): Esta Autoridad de Certificacin Interna ha expirado o ningn
componente del sistema utiliza un certificado firmado por esta Autoridad de Certificacin
Interna.
Tareas Relacionadas
Resolucin de Problemas con Certificados (pg. 867)
Comprobar Cundo Expiran los Certificados de Pasarela (pg. 765)
Comprobar Cundo Expira una CA de VPN Interna (pg. 766)
Monitorizar Dispositivos de Terceros 111
CAPTULO 8
MONITORIZAR DISPOSITIVOS DE
TERCEROS
El StoneGate Management Center puede ser configurado para recoger log y

monitorizar dispositivos de otros fabricantes de un modo muy similar a cmo monitoriza
los componentes del sistema de StoneGate.
Empezar con la Monitorizacin de Dispositivos de Terceros (pg. 112)

Recibir Logs de Dispositivos Externos (pg. 113)
Monitorizar el Estado de Dispositivos de Terceros (pg. 119)
Activar la Monitorizacin de un Dispositivo de Terceros (pg. 123)
Configurar un Dispositivo de Terceros para Monitorizacin (pg. 124)
Cambio de los Puertos para la Monitorizacin de Dispositivos de Terceros (pg. 124)
Activar/Desactivar Alertas de Monitorizacin de Terceros (pg. 125)
Empezar con la Monitorizacin de Dispositivos de Terceros

Qu Hace la Funcionalidad de Monitorizacin de Dispositivos de Terceros

Puede configurar los Log Servers para un completo rango de capacidades de monitorizacin
de dispositivos de terceros:
Los Log Servers pueden recibir un flujo syslog y almacenar la informacin en formato
StoneGate. Los log almacenados pueden entonces ser procesados igual que los log
generados por StoneGate, por ejemplo, los datos pueden ser incluidos en los informes
que puede generar.
Los Log Servers pueden recibir informacin de estadsticas SNMP desde dispositivos de
terceros. Puede visualizar esta informacin como parte de las Vistas de StoneGate.
Los Log Servers pueden probar dispositivos mediante varios mtodos alternativos. Puede
monitorizar el estado del dispositivo en el Management Client del mismo modo que para
los componentes de StoneGate.
Limitaciones
Cada Log Server puede monitorizar un mximo de 200 dispositivos de terceros. Este lmite
se aplica automticamente.
Las estadsticas para dispositivos de terceros estn limitadas por la cantidad de memoria
libre y usada, la carga de la CPU y las estadsticas de interfaces.
Su licencia de Management Server puede limitar el nmero de componentes gestionados.
Cada dispositivo de terceros monitorizados se cuenta como un quinto de una unidad
gestionada.

1. (Opcional) Defina los parmetros de recepcin de syslog para cada tipo particular de
dispositivo de terceros. Vea Recibir Logs de Dispositivos Externos (pg. 113).
2. (Opcional) Defina los parmetros de monitorizacin de estado y estadsticas para cada tipo de
dispositivo de terceros. Vea Monitorizar el Estado de Dispositivos de Terceros (pg. 119).
3. Active la monitorizacin aadiendo los parmetros de monitorizacin en las propiedades de los
elementos Host y Router. Vea Activar la Monitorizacin de un Dispositivo de
TercerosDependiendo de las funcionalidades usadas, configure el dispositivo de terceros para
su monitorizacin. Vea Configurar un Dispositivo de Terceros para Monitorizacin (pg. 124).
Tareas Relacionadas
Activar/Desactivar Alertas de Monitorizacin de Terceros (pg. 125)
Recibir Logs de Dispositivos Externos

Puede configurar la mayora de dispositivos externos para que enven sus log a otros
dispositivos en formato syslog. El Log Server puede convertir estos datos entrantes de syslog
en entradas de log de StoneGate. Deber definir cmo se extraen los valores de los datos de
syslog y cmo esos valores se insertan en una entrada de log de StoneGate. Esto se hace
en un elemento Logging Profile (Perfil de Log). Un Logging profile consiste en una o ms
plantillas de log (logging patterns) que cada una parsea y codifica los campos de una
entrada de log de un dispositivo de terceros y mapea los valores a campos de log en una
entrada de log de StoneGate.
Puede definir las plantillas de log de dos maneras alternativas:
Como campos ordenados, de forma que cada entrada de syslog recibida se lea y mapee
en secuencia. Si los log entrantes varan en estructura, deber definir una plantilla
diferente para cada tipo de estructura. Puede definir varias de estas plantillas en cada
Logging Profile.
Como pares clave-valor, de forma que cada entrada de syslog recibida sea parseada
tomando los valores en base a las palabras clave introducidas. Puede definir las palabras
clave en cualquier orden, de forma que con este mtodo, una nica definicin es suficiente
incluso cuando los log varan su estructura.
Los pares clave-valor son ms fciles de configurar, de modo que es la mejor opcin si el
dispositivo externo formatea los datos originales de syslog (en partes relevantes) como pares
clave-valor. El mtodo de campos ordenados puede usarse con todos los datos de syslog.
Una coincidencia bsica simplemente transfiere el valor de la entrada de syslog a un campo
de log de StoneGate. Esto es apropiado para la mayora de datos, pero en algunos casos
pueden ser necesarias operaciones ms avanzadas. Puede definir Field Resolvers
(Resolutores de Campos) para las operaciones complejas.
Para continuar:
Crear un Elemento de Perfil de Log (pg. 114).
Tareas Relacionadas
Definir Field Resolvers (pg. 117).
Hay disponibles algunos Perfiles de Logs en http://stoneblog.stonesoft.com/stoneblog-
community/. Puede importarlos como elementos (FileImportImport Elements).
Crear un Elemento de Perfil de Log

Los mensajes de syslog tienen el siguiente formato: <PRI> CABECERA MSG. Estas
secciones se usan segn se explica a continuacin.
Tabla 20: Secciones de Datos de Syslog
Seccin Descripcin
Informacin de facilidad y prioridad.
El Log Server extrae automticamente el valor de facilidad de la seccin <PRI> y la
<PRI>
codifica en el campo Syslog Facility en los log StoneGate. Usted no define esta
seccin.
Una marca de tiempo y el nombre de host o la direccin IP del dispositivo. Puede
mapear esta seccin separadamente de la parte principal del mensaje syslog actual.
CABECERA
Esta seccin es opcional en los mensajes syslog, de forma que no todos los
dispositivos envan estos datos.
El mensaje syslog. Estos son los datos que deber mapear en la parte principal del
MSG
dilogo del Perfil de log.
Para crear un elemento de Perfil de Log (Logging Profile)

1. Seleccione ConfigurationConfigurationMonitoring desde el men.
2. Pulse con el botn derecho en Third Party Devices (Dispositivos de Terceros) y
seleccione New Logging Profile (Nuevo Perfil de Log). Se abrir el dilogo de
Propiedades del Perfil de log.
Tabla 21: Propiedades del Perfil de Log - Pestaa General
3. Introduzca un Nombre (Name) nico para el Perfil de Log.

4. (Opcional) Aada campos a la Cabecera (Header). Los campos de cabecera se usan

para todas las plantillas de log que defina en este Perfil de Log. Esto se define usando
el mtodo de campos ordenados.
Escriba o copie y pegue los caracteres que aparecen alrededor de los valores que
quiere extraer de los datos de log entrantes. Los espacios aparecen como puntos
negros segn muestra la ilustracin.
En lugar de los valores, introduzca los campos de log de StoneGate en los que quiere
almacenar cada valor cuando la entrad de syslog sea convertida a una entrada de log
de StoneGate o el campo Ignore (Ignorar), que descarta los datos coincidentes.
Ejemplo En la ilustracin de ejemplo de arriba, la cabecera de la entrada syslog es <Source IP
address><space><Destination IP address><space>, de forma que la cabecera contiene
datos como 192.168.1.101 192.168.1.102 (sin las comillas).
5. Seleccione el modo Patterns (Plantillas) basado en el tipo de datos que gestiona este
Perfil de Logs:
Ordered Fields (Campos Ordenados): seleccinelo si los datos de syslog no contienen
pares clave-valor para la informacin que quiere extraer.
Key-Value Pairs (Pares Clave-Valor): seleccinelo si los datos de syslog definen los
valores que quiere extraer como pares clave-valor.
Para continuar:
Definir Plantillas de Logs de Campos Ordenados (pg. 115).
Definir Plantillas de Logs de Pares Clave-Valor (page 116).
Definir Plantillas de Logs de Campos Ordenados

Cada entrada de syslog recibida es parseada y codificada en orden de principio a fin. La
extraccin bsica copia el valor extrado tal y como est en un campo de log de StoneGate,
pero tambin puede crear Field Resolvers que mapeen valores especficos en los datos de
origen a un valor especfico en los log de StoneGate.
Toda la plantilla debe coincidir exactamente con los datos de syslog entrantes. Si los log
entrantes varan en su estructura, puede necesitar definir una plantilla diferente para cada
tipo de entrada. Si varias plantillas son coincidencias exactas, la plantilla que coincida ms
ser elegida. Si una entrada no coincide con ninguna de las plantillas definidas, puede aadir
los datos en un nico campo de log de StoneGate o descartarlo.
Para definir Plantillas de Log de campos ordenados
1. Defina una plantilla que coincida con los datos en el mismo orden exacto en que aparecen
en la entrada segn se explica ms abajo. La plantilla que defina debe tener una
coincidencia exacta
Tabla 22: Propiedades del perfil de Logs - Definir Campos Ordenados
Escriba o copie y pegue cualquier nmero de caracteres estticos que aparezcan antes y
despus de los valores que quiere extraer de las entradas de syslog. Los espacios se
muestran como puntos negros en la ilustracin superior. Los datos variables que no
quiera incluir en los log de StoneGate se manejan usando el campo Ignore (explicado a
continuacin).
Puede aadir el campo Ignore (Ctrl+i) para descartar una parte de los datos.
Para insertar valores en los campos de log de StoneGate, arrastre y suelte los campos
desde la pestaa Fields (Campos), o pulse Ctrl+Espacio para activar una bsqueda
mientras escribe en la posicin actual del cursor.
Para operaciones ms avanzadas, defina un Field Resolver y adalo a la plantilla en
lugar de un campo de log. Para ms informacin vea Definir Field Resolvers (pg. 117).
Puede hacer que una plantilla se comporte como un comentario (til cuando se prueban
diferentes plantillas) mediante el interruptor de la barra de herramientas o escribiendo
dos barras al principio de la plantilla (//).
2. (Opcional) Si algunas de las entradas tienen diferente formato, pulse Enter y defina una
nueva plantilla en la nueva lnea que se aade.
3. Seleccione de la lista Unmatched Log Event (Evento de Log no Reconocido) cmo
gestionar los datos en la seccin <MSG> si no coinciden con ninguna plantilla de log.
Stored in 'Syslog message' field (Almacenados en un campo Mensaje syslog): Se
crea una entrada de log y todos los datos se guardan en el campo Syslog Message.
Displayed in 'Syslog message' field (Mostrados en un campo Syslog Message): Se
crea una entrada de log y todos los datos se guardan en el campo Syslog Message.
Ignored (Ignorado): Los datos se descartan.
Para continuar:
Para probar el Perfil de Log, proceda a Validar un Perfil de Log (pg. 118).
Para activar el Perfil de Log, vea Activar la Monitorizacin de un Dispositivo de
Terceros (pg. 123).
Definir Plantillas de Logs de Pares Clave-Valor

Usando este mtodo, el Log Server parsea cada entrada de syslog recibida extrayendo los
valores en base a las palabras clave introducidas. El dispositivo externo debe formatear los
datos originales de syslog (en partes relevantes) como pares clave-valor. Si desea parsear
datos no formateados como pares clave-valor, vea Definir Plantillas de Logs de Campos
Ordenados (pg. 115).
Si una entrada recibida no coincide con ninguna de las plantillas definidas, puede aadir los
datos en un nico campo de los de StoneGate o descartarla.
Para definir plantillas de log como pares clave-valor
1. Aada un campo de log de StoneGate que quiera rellenar con algn valor.
Arrastre y suelte campos de la pestaa Fields (Campos) al rea vaca para aadir una
fila.
Arrastre y suelte campos desde la pestaa Fields (Campos) a un campo seleccionado
para sustituir el campo.
Para operaciones ms avanzadas, defina un Field Resolver y adalo a la plantilla en
lugar de un campo. Para ms informacin, vea Definir Field Resolvers (pg. 117).
Puede aadir el campo Ignore (Ignorar) pulsando Add (Aadir) abajo en el panel
principal. El campo Ignore descarta los datos coincidentes.
2. Haga doble clic sobre la celda clave para el campo de log aadido y escriba la clave, por
ejemplo hora (sin las comillas).
3. Aada otras claves del mismo modo. El orden de las claves en la lista y las entradas syslog
no importa. La coincidencia se hace clave a clave basndose nicamente en la clave.
4. Seleccione de la lista Unmatched Log Event (Evento de Log no Reconocido) cmo gestionar
los datos en la seccin <MSG> si no coinciden con ninguna plantilla de log.
Stored in 'Syslog message' field (Almacenados en un campo Mensaje syslog): Se crea
una entrada de log y todos los datos se guardan en el campo Syslog Message.
Displayed in 'Syslog message' field (Mostrados en un campo Syslog Message): Se crea
una entrada de log y todos los datos se guardan en el campo Syslog Message.
Ignored (Ignorado): Los datos se descartan. .
Para continuar:
Para probar el Perfil de Log, proceda a Validar un Perfil de Log (pg. 118).
Para activar el Perfil de Log, vea Activar la Monitorizacin de un Dispositivo de Terceros
(pg. 123).
Definir Field Resolvers

Los Field Resolvers convierten valores en campos de log entrantes a valores diferentes en
StoneGate. Esto es til en tres tipos de casos:
Convertir marcas de tiempo: Diferentes dispositivos externos usan diferentes formatos de fecha
y hora. Un Field resolver para cada formato entrante diferente puede mapear las horas y fechas
correctamente al formato de StoneGate. La sintaxis de fecha y hora en los Field Resolvers
utiliza el estndar de Java
Mapear valores especficos del producto: Algunos conceptos en los datos de log tienen un
rango de valores preestablecido en los dispositivos externos y en StoneGate, pero los valores
posibles son diferentes. Un Field Resolver puede convertir estos datos. Por ejemplo, puede
mapear un rango de severidades de alerta en los datos originales a sus severidades de alerta
ms aproximadas en los log de StoneGate (Info/Low/High/Critical).
Mapear un valor en varios campos de log: En algunos casos, un nico valor puede tener varios
campos de log correspondientes en StoneGate. Un Field resolver puede crear mltiples
campos de log de StoneGate desde un nico valor. Por ejemplo, los componentes de
StoneGate establecen una Accin, una Situacin y un Evento para las decisiones de filtrado de
trfico. Si el componente externo notifica una accin permit (permitir), el Field Resolver puede
establecer los valores correspondientes de StoneGate para los tres campos de log asociados.
Para definir un Field Resolver
1. Cambie a la pestaa Field Resolvers.
2. Pulse con el botn derecho en el panel de Field Resolvers y seleccione New Field Resolver. Se
abrir el dilogo de propiedades del Field Resolver.
3. Introduzca un Nombre (Name) para el nuevo Field Resolver.
4. Seleccione el Tipo de Campo (Field Type) para el mapeo del nuevo Field Resolver.
Seleccione Multi-valued (MultiValuado) para definir claves para varios tipos de campo.
Seleccione Date (Fecha) para convertir una marca de tiempo a un campo de log timestamp
en el formato de StoneGate.
Para continuar:
Definir un Field Resolver para Mltiples Valores (pg. 118).
Definir un Field Resolver para Fecha y Hora (pg. 118).
Definir un Field Resolver para Mltiples Valores

Para definir un field resolver multivaluado
1. En Fields (Campos), aada el o los campos de log de StoneGate log field(s) en los cuales
se insertarn los datos de syslog mediante el botn Add (Aadir) a la derecha del panel de
seleccin.
2. Pulse Add (bajo Value (Valor)) para aadir una nueva fila en el panel de valores (Values).
Ilustracin 46: Definir las Propiedades del Field Resolver - MultiValuado
3 4
3. Introduzca el nombre del valor en el dispositivo externo en la celda Value (Valor).

4. Dependiendo del campo de log, introduzca o seleccione el valor que quiere usar para cada
uno de los campos de log de StoneGate en su seleccin.
5. Defina ms claves (ms filas) segn sea necesario.
6. Cuando haya terminado, pulse OK. Ahora puede insertar el Field Resolver en su perfil
personalizado.
Definir un Field Resolver para Fecha y Hora

Para definir un resolver para fecha
1. Pulse Select (Seleccionar) para Time Field (Campo de Hora) y seleccione el campo de log
cuya marca de tiempo quiere definir.
2. Introduzca el Formato de Hora (Time Format) para especificar el formato que usa el
dispositivo externo para la marca de tiempo. Escriba el formato de acuerdo con los
estndares Java. Para la sintaxis, vea
http://java.sun.com/j2se/1.5.0/docs/api/java/text/SimpleDateFormat.html.
Ejemplo La marca de tiempo Jan 30 13:23:12 se introduce como MMM dd HH:mm:ss.
3. Pulse OK. Ahora puede insertar el Field Resolver en su Perfil de Log personalizado..
Validar un Perfil de Log

Puede probar un Perfil de Log que haya creado contra datos reales de syslog para verificar sus
plantillas.
Para validar el Perfil de Log
1. Cambie a la pestaa Validation (Validacin).
2. Pulse Browse para encontrar y abrir un fichero de log fuente del dispositivo externo para su
validacin.
Ilustracin 47: Propiedades del Perfil de Log - Pestaa de Validacin

2
Datos
Importados
Resultados
de la
Conversin
3. Pulse Validate (Validar). Se mostrar el panel con los Resultados de la Validacin

(Validation Results). La primera columna de los resultados muestra qu plantilla de log ha
coincidido con cada entrada de syslog importada.
4. Cuando haya terminado de definir las Propiedades del Perfil de Log, pulse OK.
Para continuar:
Para crear un nuevo Perfil de Prueba, vea Crear un Perfil de Prueba (pg. 121).
Para activar el Perfil de Log, vea Activar la Monitorizacin de un Dispositivo de
Terceros (pg. 123).
Monitorizar el Estado de Dispositivos de Terceros

El Log Server puede comprobar activamente el estado de componentes de terceros usando un

de varios mtodos alternativos:
SNMPv1.
SNMPv2c.
SNMPv3.
Pings.
Pruebas de conexin TCP.
Cuando se usa uno de los mtodos de prueba de estado SNMP, puede adems configurar la
recepcin de estadsticas del dispositivo. La recepcin de estadsticas se basa en traps SNMPv1
enviadas por el dispositivo externo. StoneGate soporta la monitorizacin estadstica de los
siguientes detalles:
Cantidad de memoria libre y usada.
Carga de CPU.
Estadsticas de Interfaz.
Para continuar:
Si quiere recibir estadsticas de un nuevo tipo de dispositivo, proceda a Importar
MIBs (pg. 120).
Para configurar la monitorizacin de estado sin estadsticas para un nuevo tipo de
dispositivo, proceda a Crear un Perfil de Prueba (pg. 121).
Para activar la monitorizacin de estado y estadsticas para un tipo de dispositivo
previamente configurado, proceda a Activar la Monitorizacin de un Dispositivo de
Terceros (pg. 123).
Tareas Relacionadas
Cambio de los Puertos para la Monitorizacin de Dispositivos de Terceros (pg. 124).
Importar MIBs
Puede importar MIBs (Management Information Bases) de terceros para soportar la
monitorizacin SNMP de terceros. Los OIDs (Object Identifiers) permiten resolver los traps
SNMP cuando aparecen en las entradas de log. Si los OIDs no se resuelven, aparecen en
los log usando una notacin con puntos de ms difcil lectura. Solamente se soporta la
Recepcin de Traps SNMPv1.
Para importar una MIB
Configuracin de Monitorizacin.
2. Expanda la rama Third Party Devices (Dispositivos de Terceros).
3. Pulse con el botn derecho sobre MIBs y seleccione Import MIB (Importar MIB). Se abrir
la ventana de Importacin de Ficheros MIB.
4. Examine el fichero MIB a importar y pulse Import. Se abrir una nueva vista mostrando el
progreso de la importacin.
5. (Opcional) Pulse Close (Cerrar) cuando finalice la importacin.
6. Navegue a MIBsAll MIBs (MIBsTodas las MIBs) o MIBsBy Vendor (MIBsPor
fabricante) en la vista de Monitorizacin para ver la MIB que ha importado.
7. Para ver los contenidos de la MIB, pulse sobre ella con el botn derecho y seleccione
Properties (Propiedades). Se abrir el Navegador de MIB.
La pestaa General muestra el contenido del fichero MIB en su formato original.
Cambie a la pestaa OID Tree (rbol OID) para ver los objetos que define el fichero
MIB: Los identificadores de objeto, sus OIDs en notacin de puntos, y posiblemente una
descripcin del objeto.
Ilustracin 48: Pestaa del rbol de OID
8. Si el MIB es correcto, pulse OK.
Para continuar:
Crear un Perfil de Prueba (pg. 121)
Crear un Perfil de Prueba

Un Perfil de Prueba define la monitorizacin del estado de los dispositivos de terceros (usando
SNMPv1/SNMPv2c/ SNMPv3/Ping/TCP) y la recepcin de informacin de estadsticas de los mismos
(usando SNMPv1).
Para crear un Perfil de Prueba
Configuracin de la Monitorizacin.
2. Pulse con el botn derecho en Third Party Devices (Dispositivos de Terceros) y seleccione
New Probing Profile (Nuevo Perfil de Prueba). Se abrir el dilogo de Propiedades del Perfil
de Prueba.
Ilustracin 49: Propiedades del Perfil de Prueba - Pestaa General

3. Defina la configuracin general del perfil de prueba en la pestaa General:
Opcin Explicacin
Name (Nombre) Nombre del Perfil de Prueba
Probing Interval
(Intervalo de Prueba) Define cada cunto se hace la prueba.
Retry Count (Nmero de
Reintentos) Define cuntas veces se intentar la prueba si no se establece la conexin.
Timeout (Tiempo de
Respuesta) Define durante cunto tiempo se prueba el dispositivo de terceros.
4. Defina las opciones de estado del Perfil de Prueba en la pestaa Status:
Opcin Explicacin
Probing Method (Mtodo
de Prueba) Define el mtodo de prueba a utilizar.
Define el puerto a probar (solo visible cuando se ha definido como mtodo
Port (Puerto) de prueba SNMP (puerto por defecto 161) o TCP (puerto por defecto 80)).
SNMP Community Define la comunidad SNMP (solo con los mtodos de prueba SNMP y
(Comunidad SNMP) SNMPv2c).
5. Adicionalmente, si se selecciona SNMPv3 como mtodo de prueba, las siguientes opciones

de seguridad especficas de SNMPv3 debern establecerse:
Opcin Explicacin
Security Name (Nombre Define el nombre de seguridad por defecto usado para las peticiones
de Seguridad) SNMPv3.
Context Name (Nombre Define el nombre de contexto por defecto usado para las peticiones
del Contexto) SNMPv3.
Define el protocolo de autenticacin y protocolo de privacidad a usar.
Security Level (Nivel de NoAuthNoPriv: No se usan protocolos de autenticacin ni de privacidad
Seguridad) AuthNoPriv: Se usa protocolo de autenticacin pero no de privacidad.
AuthPriv: Se usan tanto protocolo de autenticacin como de privacidad.
Authentication Protocol
Define si el protocolo de autenticacin usado es MD5 o SHA. Introduzca la
(Protocolo de
contrasea a utilizar en el campo Password.
Autenticacin)
Privacy Protocol
Define el protocolo de privacidad a usar (DES, AES, AES192, ARS256,
(Protocolo de
3DES). Introduzca la contrasea a utilizar en el campo Password.
Privacidad)
6. (Opcional, slo junto con pruebas SNMP/SNMPv2c/SNMPv3) Cambie a la pestaa

Statistics (Estadsticas) y defina las opciones para la recepcin de estadsticas usando
traps SNMPv1:
Opcin Explicacin
Activa las estadsticas para la cantidad de memoria usada. Introduzca el OID
Memory Used del dispositivo de terceros o pulse Select (Seleccionar) para elegir el OID de
(Memoria Usada) una lista de MIBs importados.
Opcin Explicacin
Activa las estadsticas para la cantidad de memoria libre. Introduzca el OID del
Memory Free
dispositivo externo o pulse Select para elegir el OID de una lista de MIBs
(Memoria Libre)
importados.
Activa las estadsticas para la carga del procesador. Introduzca el OID del
CPU Usage (Uso
dispositivo externo o pulse Select para elegir el OID de una lista de MIBs
de CPU)
importados.
Interface
Statistics
Activa la recepcin de estadsticas del interfaz.
(Estadsticas de
Interfaz)
Introduzca la direccin IP del dispositivo externo. Pulse Test para lanzar una
IP Address consulta SNMP y mostrar el resultado en el panel de abajo. Tenga en cuenta que
(Direccin IP) la recepcin de estadsticas requiere que el dispositivo externo enve traps
SNMP. El Log Server no solicita automticamente las estadsticas al dispositivo.
7. Pulse OK para guardar el Perfil de Prueba.
Para continuar:
Activar la Monitorizacin de un Dispositivo de Terceros (pg. 123)
Activar la Monitorizacin de un Dispositivo de Terceros

Prerrequisitos: Recibir Logs de Dispositivos Externos, Crear un Perfil de Prueba
Para activar la monitorizacin de estado y/o recepcin de log de un dispositivo de

terceros
1. Abra el dilogo Properties (Propiedades) para el elemento que representa el dispositivo de
terceros (Router o elemento Host).
Para ms informacin sobre la creacin de estos elementos, vea Comenzar con la
Definicin de Direcciones IP (pg. 562).
2. Cambie la pestaa Monitoring (Monitorizacin).
Ilustracin 50: Propiedades de Host - Pestaa Monitorizacin
3. Seleccione el Log Server al cual se enviarn los log del dispositivo externo.
4. (Opcional) Para recibir la informacin de estado, seleccione la opcin Status Monitoring
(Monitorizacin de Estado) y elija el Perfil de Prueba (Probing Profile). Vea Crear un Perfil
de Prueba) (pg. 121).
5. (Opcional) Para recibir informacin de log, selecciones la opcin Logs Reception
(Recepcin de Logs) y seleccione el Perfil de Log (Logging Profile). Vea Recibir Logs de
Dispositivos Externos (pg. 113).
6. (Opcional) Seleccione SNMP Trap Reception (Recepcin de Traps SNMP) si quiere recibir
traps SNMP de dispositivos de terceros.
7. Pulse OK.
Para continuar:
Configurar un Dispositivo de Terceros para Monitorizacin (pg. 124).
Tareas Relacionadas
Monitorizar el Sistema (pg. 83)
Examinar Datos de Logs (pg. 127)
Configurar un Dispositivo de Terceros para Monitorizacin

Prerrequisitos: Activar la Monitorizacin de un Dispositivo de Terceros
Para cualquier tipo de monitorizacin, asegrese de que las conexiones entre el componente de
terceros y el Log Server estn permitidas a travs de cualquier filtrado de trfico de su red.
La monitorizacin de estado mediante Ping y TCP normalmente no requiere configuracin
adicional en el dispositivo objetivo.
Las consultas basadas en SNMP normalmente requieren que el dispositivo objetivo est
especficamente configurado para responder a las consultas del Log Servers SNMP.
El envo de estadsticas (como traps SNMPv1) siempre debe ser configurado especficamente en
el dispositivo de terceros. Para instrucciones sobre estas tareas, consulte la documentacin del
dispositivo de terceros.
Si es necesario, puede cambiar los puertos que usa el Log Server para escuchar transmisiones
syslog y SNMP segn se explica en Cambio de los Puertos para la Monitorizacin de Dispositivos
de Terceros (pg. 124).
Cambio de los Puertos para la Monitorizacin de Dispositivos de

Terceros
Los puertos de escucha por defecto son:

En Windows, el Log Server escucha syslog en el puerto 514 y los traps SNMP en el 162.
En Linux, el Log Server escucha syslog en el puerto 5514 y traps SNMP en el 5162.
Si es necesario, puede cambiar los puertos, pero el nmero de puerto en Linux debe ser
siempre mayor de 1024 segn se explica en Cambiar los Parmetros de Configuracin del Log
Server (pg. 279).
Si no fuera posible reconfigurar el dispositivo externo para enviar datos al puerto correcto, puede
o bien redirigir el trfico a un puerto diferente usando un dispositivo intermedio o en el Log Server,
por ejemplo, usando iptables en Linux:
iptables -t nat -A PREROUTING -p udp -m udp --dport 514 -j REDIRECT --to-ports
5514.
Activar/Desactivar Alertas de Monitorizacin de Terceros

Prerrequisitos: Activar la Monitorizacin de un Dispositivo de Terceros
Opcionalmente puede activar la funcionalidad de vigilancia de estado, que genera una alerta si
el estado de un componente monitorizado permanece como desconocido durante 15 minutos.
Para activar/desactivar la vigilancia de estado de dispositivos de terceros
1. Seleccione MonitoringSystem Status (MonitorizacinEstado del Sistema) desde el
men.
2. Expanda la rama Third Party Devices (Dispositivos de Terceros).
3. Pulse con el botn derecho sobre un elemento y seleccione/deseleccione OptionsStatus
Surveillance (OpcionesVigilancia de Estado).
Examinar Datos de Logs 127
CAPTULO 9
EXAMINAR DATOS DE LOGS
Puede visualizar entradas de log, alertas y auditora mediante la misma herramienta

unificada. Puede ver los datos de los servidores del Management Center, todo tipo de
dispositivos StoneGate, y de componentes de terceros configurados para enviar datos al
StoneGate Management Center.

Examinar los Datos de Log (pg. 133)
Cambiar Cmo se Muestran las Entradas de Datos (pg. 139)
Exportar Datos de la Vista de Logs (pg. 141)
Crear Reglas Desde Logs (pg. 143)
Empezar con la Vista de Logs

La vista de log muestra todas las entradas de log, alertas y auditora para todo el sistema. Puede ver
todo tipo de entradas desde cualquier nmero de componentes juntos o individualmente.
Visin General
Para una visin general, empiece por Abrir la Vista de Logs segn se explica a continuacin y
proceda en orden a travs de las instrucciones para las diferentes vistas. stas incluyen:
1. Vista por Defecto (Registros), Paneles y Herramientas (pg. 128)
2. Vista de Detalles (pg. 131)
3. Vista de Estadsticas (pg. 132)
Abrir la Vista de Logs

Hay varias formas de acceder a la vista de Logs, por ejemplo:
Seleccione MonitoringLogs (MonitorizacinLogs) desde el men o pulse sobre el icono
correspondiente de la barra de herramientas.
Pulse con el botn derecho sobre un elemento que produzca log y seleccione un elemento
relacionado con los log en el submen Monitoring (Monitorizacin) para ver los log generados
por ese elemento.
Pulse el indicador de alertas en la esquina inferior derecha (para ver las alertas activas).
Pueden crearse diferentes favoritos para abrir la vista de Logs con diferentes criterios de filtrado.
Vista por Defecto (Registros), Paneles y Herramientas

La vista por defecto de Registros (Records) est optimizada para examinar eficientemente muchas
entradas.
Ilustracin 51: Vista de Logs en Vista de Registros
Ilustracin 53: Barra de Herramientas en la Vista de Registro
Ilustracin 52: Opciones de la Barra de Estado para la Navegacin de Logs
Nota Si se aplica NAT entre su Management Client y el Log Server, debe seleccionar la
Localizacin correcta para que su Management Client pueda ver los log. Vea
Configuracin de las Comunicaciones del Sistema (pg. 59) para ms informacin.
Paneles de la Vista de Logs

Puede seleccionar y deseleccionar paneles mediante ViewPanels (VistaPaneles) en el men
principal.
Los siguientes paneles estn disponibles en las vistas tanto de Registros como de Detalles:
Panel Query (Consulta): La herramienta ms importante en la vista de log. La Consulta le permite
filtrar las entradas de log de forma que encuentre la informacin que necesita.
Panel Fields (Campos): Proporciona acceso rpido a detalles de entrada de log categorizados.
Panel Event Visualization (Visualizacin de Eventos): Un grfico mostrando la informacin principal
sobre el evento.
Panel Hex (Hexadecimal): Muestra las grabaciones de trfico generadas por la opcin de log
Except de una regla de Inspeccin (otras grabaciones se ven utilizando un visor externo).
Panel Summary (Resumen): Explicacin textual del evento que gener el registro.
Panel Alert Events (Eventos de Alertas): Detalles sobre la recepcin y escalado de alertas.
Adicionalmente, un panel Task status (Estado de la tarea) slo est disponible en la vista de Registros.
Muestra eI estado de las tareas relacionadas con log, tal como exportaciones de log lanzadas desde la
vista de Logs.
Lnea de Tiempo (Disponible en todas las Vistas)
La Lnea de Tiempo es una herramienta de navegacin visual sobre los datos de log. Tambin le
proporciona un punto de referencia acerca de cmo la vista actual se relaciona con la Consulta general
que est examinando y le permite moverse rpidamente en el rango de tiempo.
En las vistas por defecto de Registros y Detalles, el grfico en la lnea de tiempo est oculto. Puede verlo
expandiendo el panel hacia arriba. Vea Examinar Entradas de Log en una Lnea de Tiempos (pg. 137)
para ms informacin.
Ilustracin 54: Lnea de Tiempo Expandida
Arrastre el borde
La zona inferior hacia arriba para
muestra el progreso mostrar el grfico
de la navegacin.
Tabla de Entradas de Log (Vista de Registros)

La tabla de entrada de log (log entry table) en la vista de Registros por defecto es la vista
primaria de log. Puede seleccionar libremente qu detalles se muestran y el orden de las
columnas. Diferentes tipos de entradas contienen diferentes tipos de informacin, de forma
que ninguna entrada usa todas las columnas.
Cuando pulsa el botn derecho sobre una celda de una entrada de log, el men que se abre
le permite tomar varias acciones relacionadas con la entrada de log. Las acciones varan
ligeramente dependiendo de la informacin que contenga la celda. Por ejemplo, pulsar el
botn derecho sobre un elemento aade acciones generales especficas del elemento (tal
como Propiedades). Las acciones incluyen, entre otras, las siguientes:
Copy (Copiar): Copiar los detalles de la entrada al clipboard.
View Rule (Ver Regla): Ver la regla que gener la entrada de log (si es aplicable).
Create Rule (Crear Regla): Crear una nueva regla basada en la entrada. Vea Crear
Reglas Desde Logs (pg. 143).
Whois: Buscar la direccin IP seleccionada en la base de datos online WHOIS.
Comprobar Registros WHOIS para Direcciones IP en Logs (pg. 138).
Export (Exportar): Exportar registros o anexar registros a un caso de Incidente. Vea
Exportar Extractos de Datos de Logs (pg. 141), Exportar Grabaciones de Trfico de IPS
(pg. 142), o Anexar Logs a Casos de Incidentes (pg. 143).
Filter Connections (Filtrar Conexiones): Aadir los detalles bsicos de la seleccin actual
al panel de Bsquedas. Vea Filtrar Logs en la Vista de Logs (pg. 134).
Show Connection (Mostrar Conexin): Aadir los detalles bsicos de la conexin actual
al panel de Bsquedas.
Search Related Events (Mostrar Eventos Relacionados): Algunos eventos especiales son
parte de una ms amplia cadena de eventos. Esta opcin muestra otros eventos
relacionados con la entrada de log seleccionada.
New Blacklist Entry (Nueva Entrada de Lista Negra): Aadir a la Lista Negra las
conexiones que coincidan con los detalles de la entrada. Vea Empezar con la Lista Negra
(pg. 678) para ms informacin sobre las listas negras.
Add Filter (Aadir Filtro): Aadir el detalle seleccionado al filtro del panel de Bsquedas.
Vea Especificar Filtros en una Consulta (pg. 134).
New Filter (Nuevo Filtro): Crear un nuevo filtro basado en los detalles seleccionados. Vea
Especificar Filtros en una Consulta (pg. 134).
Vista de Detalles
La Vista de Detalles (Details) de la vista de Logs proporciona una visin general de un evento
individual. Es particularmente til para alertas y registros generados por eventos de reglas de
inspeccin.
Ilustracin 55: Vista de Detalles en la vista de Logs
Panel de Referencias
Panel de
Resumen
Panel de
Visualizacin
de Eventos Panel de
Tareas
Panel
Hexadecimal
Ilustracin 56: Barra de Herramientas en Vista de Detalle
La vista de Detalle tiene los siguientes paneles adicionales adems de los ya disponibles en las
vistas tanto de Registro como de Detalle.
Panel de Referencias (References) (mostrado por defecto): Muestra una lista de los
elementos StoneGate que corresponden a los detalles del registro y posiblemente
informacin adicional sobre registros relacionados para algunos registros que son parte de
un evento ms amplio.
Panel de Tareas (Tasks): Atajos a tareas de configuracin que puede lanzar en base a la
entrada mostrada (como el botn derecho para las entradas en la vista de registros).
Vista de Estadsticas
La vista de Estadsticas (Statistics) en la vista de Logs dibuja grficas partiendo de mltiples
eventos de forma interactiva. Puede crear un informe rpido de los log que cumplen con la
bsqueda activa y despus refinar la consulta viendo los log que corresponden a un
segmento de la grfica.
Ilustracin 57: Vista de Estadsticas en la vista de Logs
rea de Panel de
Grficos Consultas
Pulse el botn
derecho en un
sector para el
men
Lnea de
Tiempo
El panel de Consulta contiene ms pestaas en la vista de Estadsticas. Las pestaas

adicionales le permiten controlar la visualizacin de las estadsticas. Los datos tambin
pueden ser filtrados del mismo modo que en las otras vistas de la vista de Logs.
Tambin puede aadir elementos estadsticos a la vista de Estadsticas. Para ello, pulse el
botn Add (Aadir) en la pestaa de consultas, y elija los nuevos elementos en el dilogo
Select Element (Seleccionar Elemento). Pulse Apply (Aplicar) para actualizar la vista.
Ilustracin 58: Barra de Herramientas en la Vista de Estadsticas
Cambiar a vista Atajos a algunos

Refrescar de Registros Elementos estadsticos.
Hay otros disponibles en
el panel de Consultas.
Parar la Operacin
en marcha Generar una nueva grfica
con un tiempo ms amplio.
Guardar la grfica actual
Como Diseo de Informe.
Atajos a mostrar/ocultar
paneles.
El rea de grficas en la vista de Estadsticas puede contener un grfico de tartas, un grfico

de barras, un grfico de lneas o un grfico de mapa (basado en la base de datos de
geolocalizacin interna. Las opciones disponibles dependen del tipo de grfico elegido:
Las grficas Top rate pueden mostrarse como grficas de tarta, de barras o como un mapa. Una
grfica top rate muestra el nmero total de registros que cumplen con la consulta.
Las grficas de Progreso (Progress) pueden mostrarse como grficas de lneas o de barras.
Una grfica de progreso ilustra el nmero de registros capturados en el tiempo (similar a la lnea
de tiempo pero con ms detalles).
Cuando se ha generado una grfica, puede pulsar el botn derecho para mostrar un men de
acciones relacionadas con la seccin y posiblemente el elemento a que corresponde la seccin.
Las opciones especficas de seccin son:
Show Records (Mostrar Registros), que abre la vista de Registros filtrada para mostrar las
entradas incluidas en la seccin seleccionada.
Atajos a elementos de Estadsticas (Statistics), que inspeccionan en detalle para crear una
nueva grfica con datos que coincidan con la seccin anterior de la grfica.
Tambin puede seleccionar nuevos elementos para mostrar mediante el botn Add (Aadir)
del panel de Consultas. Vea Seleccin de Elementos Estadsticos (pg. 95) para ms
informacin.
Para continuar:
Esto concluye la visin general. Para ms informacin sobre cmo usar la
vista de Logs, vea Examinar los Datos de Log. Para ver cmo personalizar
la vista de Logs, vea Cambiar Cmo se Muestran las Entradas de Datos
Examinar los Datos de Log

Esta seccin explica cmo encontrar y navegar a travs de los datos en la vista de Logs.
Ver Detalles de Entradas de Logs en el Panel Lateral

El panel de Campos (Fields) proporciona varias vistas alternativas a la entrada de log seleccionada.
El panel de Campos es ms til en la vista de registros. Muestra un subconjunto de los campos y la
informacin contenida en el campo seleccionado, de forma que puede examinar rpidamente la
tabla de log en busca de los detalles exactos sin tener que desplazarse lateralmente o reorganizar
las columnas.
Si el panel de Campos no est visible en su Vista de log, seleccione ViewPanelsFields
(VistaPanelesCampos).
Ilustracin 59: Vista de Campos
Elija los tipos de

campos que
desea ver.
Si la entrada
seleccionada contiene
informacin de los
campos incluidos, se
Pulse con el botn muestran los detalles
derecho sobre un
campo para un men Cuando selecciona un
de acciones. campo, se muestra debajo
como texto, permitindole
copiar parte de la
informacin
El elemento Watchlist (Lista de Vigilancia) le permite crear una lista personalizada de

campos para su propio uso. La Watchlist es especfica de cada Management Client.
Para editar su propia Watchlist de campos de log

1. En el panel de campos, seleccione Watchlist en el desplegable de arriba.
2. Cambie la seleccin a los campos que desee:
Para eliminar campos, pulse con el botn derecho en el campo y seleccione Remove
(Eliminar para eliminar un campo) o Clear (Limpiar para eliminar todos los campos).
Para aadir campos adicionales arrastre y suelte las celdas de la tabla de entradas de
log en el panel de Campos (el valor del campo es irrelevante en este caso).
Para aadir un campo a Watchlist desde otras vistas en el panel de Campos, pulse con
el botn derecho en el campo en el panel de Campos y seleccione Add to Watchlist
(Aadir a Watchlist).
Filtrar Logs en la Vista de Logs

El uso eficiente de los log requiere que filtre los registros mostrados en la vista de Logs.
Esto se hace usando el panel de Consultas, que contiene las siguientes pestaas para filtrar
los datos:
La pestaa Filter (Filtro) le permite filtrar entradas basndose en cualquier informacin de
las entradas.
La pestaa Senders (Emisores) le permite filtrar entradas de acuerdo con el componente
que cre la entrada. Filtrar por emisor acelera el examen de los log cuando hay muchos
elementos enviando log, pero slo est interesado en un conjunto limitado de ellos.
La pestaa Storage (Almacenamiento) le permite filtrar entradas de acuerdo con los
servidores en los cuales estn almacenadas las entradas.
Ilustracin 60: Panel de Consulta en la Vista de Logs

Opciones en las tres pestaas
Tipo general para permiten configurar criterios de
los datos incluidos. filtrado adicionales.
Especificar Filtros en una Consulta

La pestaa Filter (Filtro) en el panel de Propiedades de la Consulta de la vista de Logs le
permite:
crear filtros temporales rpidos arrastrando y soltando detalles de entradas existentes (de
la tabla de log, panel de Campos o secciones de una grfica estadstica)
filtrar los log segn el tiempo
aplicar criterios de filtrado almacenados en elementos Filtro.
Si el panel de Consultas no es visible, seleccione ViewPanelsQuery
(VistaPanelesConsulta).
Ilustracin 61: Panel de Consulta con Diferentes Tipos de Criterios de Filtrado Seleccionados
Iconos de izquierda a derecha: Arrastre y suelte detalles de los datos
1) Guardar los contenidos como para crear filtros rpidos. Suelte en un
Filtro permanente. espacio vaco para aadir una fila.
2) Aadir elemento Filtro. Edite segn sea necesario.
3) Aadir criterio de filtro a
especificar. Las filas con varios detalles pueden
4) Aadir una nueva fila vaca. coincidir con cualquier detalle (or) o
slo cuando todos los detalles se
Negar la fila para excluir del
encuentran en la misma entrada
filtro las entradas que coincidan.
(and). Pulse la celda and/or para
Rango de tiempo para recuperar cambiar.
entradas de log: elija un rango
Empezar a examinar desde el
especfico o sin rango de tiempo principio/final del rango de tiempo
fijo. elegido.
Pulse Apply (Aplicar) tras hacer Seleccionar la fecha de un
sus cambios. calendario.
Nota La seleccin de tiempo se refiere a la marca de tiempo de creacin de la entrada

(no el tiempo de recepcin en el Log Server, que tambin se incluye en muchas
entradas). Internamente el sistema siempre usa tiempo universal UTC. Los tiempos se
muestran de acuerdo con la zona horaria que haya seleccionado en la barra de estado
de su Management Client.
Puede arrastrar y soltar cualquier campo desde las entradas de log a la pestaa de Filtros
para crear un Filtro, elegir elementos de Filtro existentes o aadir un nuevo criterio usando la
barra de herramientas y escribiendo los detalles. Puede modificarlos posteriormente y usar
los filtros que ha creado:
Haga doble clic sobre un detalle (p.ej. direccin IP) para abrir el dilogo de Propiedades
del Filtro, en el cual puede cambiar los detalles manualmente escribiendo un nuevo valor.
Pulse con el botn derecho un campo de la tabla de entradas de log o en el panel de
Campos y seleccione Add Filter: <nombre del campo> (Aadir Filtro) para aadir el
elemento y su valor como nueva fila de filtro.
Pulse con el botn derecho un elemento de la tabla de entrada de log o en el panel de
Filtros y seleccione New Filter: <nombre del elemento> (Nuevo Filtro) para definir un
valor para el elemento y aadirlo como una nueva fila de filtro.
Puede aadir una nueva fila vaca pulsando el botn derecho sobre otra fila o en el
espacio vaco y seleccionando Add Row (Aadir Fila) adems de usando el icono de
Aadir Fila en la barra de tareas del Panel de Consultas.
Para usar un Filtro de Bsquedas, p.ej. para hacer una bsqueda por texto libre, pulse
botn derecho en el panel de Consultas, elija NewNew Search Filter (NuevoNuevo
Filtro de Bsqueda) y escriba la cadena a buscar en las Propiedades del Filtro.
Para eliminar un detalle, pulse botn derecho y elija Remove <descripcin de detalle>.
Para eliminar toda una fila, pulse con el botn derecho en cualquier parte que no sea un
detalle de la fila que quiere eliminar y seleccione Remove.
Desactive temporalmente una fila de filtro pulsando el botn derecho y seleccionando
Disable (Desactivar) desde el men.
Puede guardar los actuales criterios de filtrado como elemento de Filtro permanente
pulsando el botn guardar arriba en la pestaa de Filtros del panel de Consultas (Vea la
Ilustracin anterior).
Recuerde pulsar Apply (Aplicar) tras hacer cualquier cambio para re-filtrar los log.
Tareas Relacionadas
Para informacin sobre crear elementos de Filtro, vea Filtrado de Datos (pg. 159).
Ver Logs de Componentes Especficos

Puede filtrar los log en base a los componentes que crean las entradas. Si la pestaa
Senders (Emisores) est vaca, se muestran los datos de todos los componentes en la vista
de Logs. La pestaa Senders le permite mantener el filtrado de emisor independientemente
de los cambios en la pestaa Filtros. Restringir los emisores incluidos hace ms rpido
examinar los log cuando hay muchos componentes en el sistema.
Para especificar emisores
1. Seleccione la pestaa Senders (Emisores) en el panel de Consultas.
2. Pulse el botn Select (Seleccionar) (flecha) arriba en la pestaa Senders. Se abrir el
dilogo de Seleccionar Elemento.
3. Elija los elementos que quiere usar como emisores y pulse Select.
4. Pulse Apply. Los datos de log se refrescan y slo se mostrarn los log de los emisores
elegidos.
Ver Logs de Servidores y Carpetas de Archivado Especficos

Por defecto, la vista de Logs recupera datos desde la carpeta de almacenamiento de log de
todos los servidores de almacenamiento, exceptuando los Log Servers en cuyas
propiedades se haya excluido el mostrar log. Usted ve los log de archivos almacenados en
Logs Servers o archivos almacenados localmente en el ordenador donde est usando el
Management Client. Los Management Servers slo guardan datos de auditora. Los Log
Servers guardan todos los log y alertas adems de datos de auditora acerca de su propia
operacin.
Para especificar el almacenamiento
1. Seleccione la pestaa Storage (Almacenamiento) en el panel de Consultas.
2. En la lista de servidores, elija los Log Servers y carpetas de almacenamiento que quiere
incluir.
3. Pulse Apply. Los datos de log se refrescan y filtran de acuerdo con los servidores y
carpetas seleccionados.
Tareas Relacionadas
Cambiar los Parmetros de Configuracin del Log Server (pg. 279)
Archivar Datos de Logs (pg. 802)
Examinar Entradas de Log en una Lnea de Tiempos

Puede navegar por los log en el tiempo usando la Timeline (Lnea de Tiempos). En las vistas
de Registros y Detalles, parte de la Lnea de Tiempos est oculta por defecto. Puede ver la
Lnea completa arrastrando su borde superior. Dependiendo de su seleccin, la lnea le permite
navegar libremente (la opcin Automatic) o para cuando se alcanza la primera o ltima entrada
dentro del rango de tiempo especificado.
Ilustracin 62: Lnea de Tiempo minimizada
Cuando est navegando dentro de un rango de tiempo establecido, no Arrastre la flecha para navegar. La
puede navegar accidentalmente fuera del rango establecido en el panel flecha tambin indica la posicin
de Consultas. Los corchetes se muestran en cada extremo para inicial elegida (desde el principio o el
sealar esto. final del rango de tiempo).
Ilustracin 63: lnea de Tiempo expandida
La grfica muestra el nmero de
entradas coincidentes en el tiempo.
Ver Entradas de Log Temporales

La vista de Logs tiene dos modos de operacin. En el modo normal, puede examinar
entradas libremente desde cualquier periodo de tiempo. Cuando activa el modo Current
Events (Eventos Actuales) pulsando el icono play en la barra de herramientas, las entradas
de log se actualizan automticamente para mostrar el flujo de entradas de log segn llegan al
Log Server. Normalmente, debe filtrar algunas entradas para mantener el ritmo del modo de
Eventos Actuales lo bastante lento para poder observar las entradas.
El modo de Eventos Actuales tambin muestra entradas temporales que no se almacenan en
el Log Server (entradas de log transitorias y entradas que se eliminan antes del
almacenamiento permanente) de forma que puede ver ms log que en el modo normal. Las
entradas temporales slo existen en la vista actual y se pierden permanentemente cuando la
vista se refresca o se cierra. Las actualizaciones en el modo de Eventos Actuales son
desactivadas automticamente cuando selecciona una entrada o comienza a navegar
manualmente.
Nota Bajo algunas condiciones de operacin, una pequea parte de entradas de log
pueden llegar en modo mixto. Puesto que la vista de Eventos Actuales intenta mostrar un
flujo lgico de eventos, las entradas fuera de secuencia no se muestran. Puede ver un
mensaje pop-up de notificacin cuando esto ocurre.
Ordenar las Entradas de Log

Por defecto, las entradas de log se ordenan de acuerdo con su fecha de creacin. Puede
alternativamente ordenarlas de acuerdo con cualquier columna. Dado que un nmero
elevado de log puede requerir recursos significativos para ser ordenado, la vista de Logs
puede acortar su rango de tiempos seleccionado si su Consulta actual devuelve demasiados
registros para ordenarlos eficientemente.
Para ordenar las entradas de log de acuerdo con una columna
Pulse la cabecera de la columna segn la cual quiere ordenar los log. La tabla de entradas
de log se refresca con los log ordenados segn la columna seleccionada. Esto puede llevar
un tiempo.
Nota La vista de Eventos Actuales siempre se ordena por la fecha de creacin. La

ordenacin slo puede usar datos almacenados, de forma que cualquier dato temporal
visible en la vista de Eventos Actuales se pierde permanentemente al ordenar.
Comprobar Registros WHOIS para Direcciones IP en Logs

Para obtener ms informacin sobre el origen del trfico que caus una entrada de log,
puede buscar el registro WHOIS de direcciones IP en las entradas de log. El registro
WHOIS contiene informacin de registro y los detalles de contacto relacionados
proporcionados en el momento del registro del dominio. Los contenidos del registro WHOIS
varan dependiendo de la informacin proporcionada por el propietario del dominio o
segmento de red. En el caso de direcciones IP usadas por clientes de un ISP, la informacin
mostrada en el registro WHOIS normalmente es la informacin del ISP.
La informacin de WHOIS se consulta del Regional Internet Registry (RIR Registro
Regional de Internet) relevante. Estos incluyen, pero no se limitan a, el ARIN (American
Registry for Internet Numbers), el RIPE NCC (Rseaux IP Europens Network Coordination
Centre), y el APNIC (Asia Pacific Network Information Centre). Puede encontrar ms
informacin sobre los RIRs principales en los siguientes enlaces externos:
ARIN at a Glance: https://www.arin.net/about_us/overview.html.
RIPE Database: http://www.ripe.net/db/index.html.
About APNIC: http://www.apnic.net/about-APNIC/organization.
Para comprobar el registro WHOIS de una direccin IP en una entrada de log
Pulse con el botn derecho en una direccin IP y seleccione Whois. Se mostrar el
registro WHOIS para la direccin IP.
Cambiar Cmo se Muestran las Entradas de Datos

Aumentar y Disminuir el Tamao de Letra en las Entradas

Puede aumentar, disminuir o restaurar el tamao del texto en la tabla de entradas de log desde el men
ViewText Size (VerTamao del Texto).
Cambiar la Zona Horaria para Examinar los Logs

El sistema siempre usa la hora universal (UTC) internamente. Las horas en la vista de Logs se
convierten a su zona horaria seleccionada al mostrarlas. Por defecto, esta es la zona horaria local
del ordenador que est usando. Cambiar la zona horaria no afecta a las marcas de tiempo actuales
en las entradas de log.
Si las horas en las entradas de log parecen errneas, asegrese de que tanto la hora como la zona
horaria estn correctamente configuradas en su sistema operativo, en el Management Server, y en
todos los Log Servers.
Ilustracin 64: Seleccin de Zona Horaria en la Vista de Logs
Cambiar la zona horaria para navegar.
Cambiar las Columnas de Datos en la Tabla de Entradas de Logs

Puede personalizar las columnas mostradas en la vista de Logs segn sus necesidades. Puede
aadir y eliminar columnas y cambiar el orden en que se muestran. Tenga en cuenta que el panel de
Campos tambin muestra subconjuntos de las columnas de los log, vea Ver Detalles de Entradas de
Logs en el Panel Lateral (pg. 133).
Adems de seleccionar qu columnas se muestran, puede colocar las columnas de las
siguientes formas:
Arrastre la cabecera de la columna a una localizacin diferente para cambiar el orden de las
columnas.
Haga doble clic en la cabecera de la columna para expandir la columna a la anchura de sus
contenidos.
Pulse con el botn derecho en la cabecera de una columna para un men de acciones para ajustar
la anchura de las columnas.
Para seleccionar las columnas que se muestran en la tabla de registros de log
1. Abra la vista de Logs.
2. Seleccione ViewColumn Selection (VerSeleccin de Columnas) desde el men. Se abre
el dilogo de Seleccin de Columnas.
Ilustracin 65: Seleccin de Columnas
3. Use los botones Add (Aadir) y Remove (Eliminar) para incluir y excluir los campos
seleccionados. La lista Columns to Display (Columnas a Mostrar) muestra sus
selecciones. Vea Campos de Entradas de Log (pg. 976) para descripciones cortas de
todos los campos de log.
4. Use los botones Up (Arriba) y Down (Abajo) para organizar los campos elegidos en la lista
de Columnas a Mostrar. Los campos de arriba se muestran a la izquierda de la tabla de
registros de log.
5. Pulse OK.
Resolver Detalle de Log a Nombres DNS o elementos de

StoneGate
Para facilitar la lectura de los log, puede ver las direcciones IP, protocolos y puertos como
nombres DNS o elementos StoneGate. La resolucin es solamente para la visualizacin y no
afecta a los datos de log almacenados.
Nota La resolucin de direcciones IP y puertos funciona comparando la informacin de

los log con fuentes de informacin externas e internas. Si la informacin disponible es
incorrecta o ambigua, el resultado puede no reflejar los hosts y servicios actuales
involucrados en las comunicaciones. Por ejemplo, si un detalle coincide con dos
elementos StoneGate, se usa el primero para mostrarlo incluso si el otro elemento se
us en la regla correspondiente.
Para activar/desactivar la resolucin del Sender (Emisor)

Seleccione OptionsResolve Senders (OpcionesResolver Emisor) desde el men.
Cuando est activado, las direcciones IP de los cortafuegos y servidores SMC se resuelven
usando las definiciones de los elementos.
Para activar/desactivar la resolucin de direcciones IP
Seleccione OptionsResolve Addresses (OpcionesResolver Direcciones) desde el
men. Cuando se activa, las direcciones IP se resuelven usando DNS (si est disponible) y
las definiciones de elementos de StoneGate.
Para activar/desactivar la resolucin de puertos
Seleccione OptionsResolve Ports (OpcionesResolver puertos) desde el men. Al
activarse, los puertos se resuelven usando las definiciones de elementos Servicio.
Para activar/desactivar la visualizacin de iconos

Seleccione OptionsShow Icons (OpcionesMostrar Iconos) desde el men. Al
activarse, los datos se muestran con los iconos de los elementos relacionados, donde
aplique.
Desactivar/Activar el Resaltado de Entradas de Logs

Diferentes tipos de log pueden ser resaltados con diferentes colores. Hay un esquema de
colores por defecto instalado, pero los filtros de color de log pueden ser personalizados para
todos los administradores o incluso individualmente en las propiedades de los elementos de
cada Administrador.
Para activar/desactivar los colores de las entradas de log
Seleccione/deseleccione OptionsUse Color Filters (OpcionesUsar Filtros de Color) en
el men principal. Vea Personalizar los Colores de los Logs (pg. 222) para ms
informacin sobre cmo cambiar los colores.
Exportar Datos de la Vista de Logs

Exportar Extractos de Datos de Logs

Los datos de log, alertas y auditora pueden ser exportados directamente desde la vista de Logs,
pero tenga en cuenta lo siguiente:
Puede utilizar alternativamente la herramienta de Tareas de Datos de Logs para exportar log,
permitindole programar las tareas de exportacin que se ejecutan automticamente. Vea
Empezar con la Gestin de Datos de Logs (pg. 800).
Si quiere una salida legible y no necesita un posterior procesado de los datos exportador, le
recomendamos guardar las entradas como PDF o HTML. Vea Guardar como PDF o HTML (pg.
50).
Si quiere exportar grabaciones de trfico, vea Exportar Grabaciones de Trfico de IPS (pg. 142).
Para un nmero limitado de entradas un simple copiar y pegar es el mtodo de exportacin ms
rpido.
Para copiar un nmero limitado de log en formato CSV
Seleccione las entradas de datos, cpielas y pguelas en la otra aplicacin, por ejemplo una
hoja de clculo. Las entradas se copian con los ttulos de columnas en formato CSV
(comma-separated values valores separados por comas).
Para un gran nmero de entradas y otros formatos de exportacin, use el comando export (exportar)
en su lugar.
Para exportar entradas de datos desde la vista de Logs
1. (Opcional) Para exportar slo algunas de las entradas que cumplen su consulta actual,
seleccione algunas entradas en la vista de Registros. Use Ctrl-clic o Shift-clic para
seleccionar varias entradas.
2. Pulse con el botn derecho sobre una de las entradas y seleccione ExportExport Log
Events (ExportarExportar Eventos de Logs). Se abrir el dilogo de Exportar Logs.
3. Seleccione el formato de exportacin (File Export Format) ms adecuado.
Los log XML son adecuados para la conversin a diferentes formatos, tal como HTML,
usando herramientas de conversin externas (deber desarrollar sus propias
conversiones para producir los resultados deseados).
Los log CSV son adecuados para su lectura y proceso en hojas de clculo y otros usos
similares.
Los formatos Archive ZIP y Archive guardan los log en el formato interno del sistema
para un posible uso posterior en ste u otro StoneGate Management Center.
4. En Export, seleccione si slo quiere exportar las entradas seleccionadas o todas las
entradas que cumplan los criterios especificados en el panel de Consultas.
5. Seleccione el Fichero de Destino (Destination File):
Para un Archivo (Archive), puede seleccionar los directorios de archivo definidos en el
fichero de configuracin del Log Server (vea Cambiar los Parmetros de Configuracin
del Log Server (pg. 279)).
Para el resto de formatos, debe especificar un nombre de fichero y seleccionar si
exportar el fichero al directorio de exportacin del Servidor Server export Directory
(<directorio de instalacin>/data/export/ en el Log o Management Server) o a
otra localizacin de su eleccin en su ordenador (Local Workstation).
6. Para otros formatos diferentes de Archive, especifique qu hacer si el fichero ya existe.
(Solo CSV) Seleccione Append (Aadir) para aadir los nuevos log al final del fichero
existente.
Seleccione Overwrite (Sobrescribir) para sustituir el fichero existente con el nuevo.
Seleccione Use Number in File Name (Usar Nmero en Nombre de Fichero) para
aadir un nmero al fichero para distinguirlo del ya existente.
Seleccione Fail Task (Abortar Tarea) para abortar la exportacin si el fichero ya existe.
7. (Exportacin al Ordenador Local solamente) Seleccione la opcin Open File After Export
(Abrir Fichero Tras Exportacin) para ver el fichero exportado en la aplicacin asociada en
el sistema operativo.
8. Pulse OK. El panel de Estado de tareas se abre para mostrar el progreso de la exportacin.
Tareas Relacionadas
Empezar con la Gestin de Datos de Logs (pg. 800)
Exportar Grabaciones de Trfico de IPS

Puede establecer reglas de Inspeccin IPS para grabar el trfico de red como opcin de
registro tanto en el rbol de Excepciones como el de Reglas segn se explica en Editar Reglas
de Inspeccin (pg. 531). Estas grabaciones se almacenan en los Log Servers. Las grabaciones
generadas por la opcin Excerpt (Extracto) se muestran directamente en la vista de Logs (en
el panel Hex disponible mediante ViewPanels (VerPaneles)). Las grabaciones ms largas,
sin embargo, estn orientadas a ser visualizadas en una aplicacin externa y por tanto no son
visualizadas directamente.
Para ver la grabacin, puede recuperar la grabacin mediante la entrada de log segn se explica a
continuacin o definir una Tarea (Task) para exportarlas, por ejemplo, desde un rango de tiempo
especfico segn se explica en Exportar Grabaciones de Trfico de IPS (pg. 142).
Para recuperar grabaciones de trfico para entradas de log seleccionadas
1. Seleccione las entradas de log asociadas con las grabaciones.
Para buscar ms entradas que dispongan de una grabacin, cambie la seleccin en el
panel de Campos a Full Capture (Captura Completa, disponible cuando una entrada
que tiene disponible una grabacin asociada est seleccionada). El campo Record ID
(ID de Registro) se muestra con un nmero de identificacin para las entradas asociadas
a una grabacin.
2. Pulse el botn derecho sobre una entrada seleccionada y seleccione ExportExport IPS
Recordings (ExportarExportar Grabaciones IPS). Se abre el dilogo de Exportacin de
Grabaciones IPS.
3. Seleccione el formato (File Export Format) que se adece a sus necesidades (PCAP o
SNOOP).
4. Seleccione el Fichero de Destino (Destination File):
Seleccione Server export Directory para exportar a un fichero en el Log Server
(<directorio de instalacin>/data/export/)
Seleccione Local Workstation para guardarlo en su ordenador local.
Debe especificar el nombre del fichero en ambos casos.
5. Especifique qu hacer si el fichero ya existe (la opcin Append no est soportada para
grabaciones de trfico).
Seleccione Overwrite (Sobrescribir) para sustituir el fichero existente con el nuevo.
Seleccione Use Number in File Name (Usar Nmero en Nombre de Fichero) para aadir
un nmero al fichero para distinguirlo del ya existente.
Seleccione Fail Task (Abortar Tarea) para abortar la exportacin si el fichero ya existe.
6. Pulse OK. El panel de Estado de tareas se abre para mostrar el progreso de la exportacin.
Anexar Logs a Casos de Incidentes

Puede anexar log, entradas de alertas o de auditora a casos de incidentes directamente desde la
vista de log. Puede anexar log independientes, un grupo de log o todos los log que cumplan su
criterio de filtrado. Puede anexar log a un Caso de Incidente existente, o puede crear un nuevo
Caso de Incidente y anexarle los log. Vea Anexar Logs y Entradas de Auditora a Casos de
Incidentes (pg. 180) para ms informacin sobre anexar log a casos de incidentes. Para ms
informacin sobre crear nuevos Casos de Incidentes, vea Crear un Nuevo Caso de Incidente (pg.
179).
Crear Reglas Desde Logs

Puede usar los detalles de una entrada de log para generar nuevas reglas. Para convertir una
entrada de log en una regla, la entrada debe estar generada en base a una regla (la entrada
contiene un tag de regla). Crear una regla de este modo le permite hacer excepciones rpidas en
la poltica actual.
Puede generar los siguientes tipos de reglas:
Una regla que permita una conexin desde una entrada de log de trfico bloqueado.
Una regla que pare una conexin desde una entrada que hace log del trfico permitido.
Una regla que cambie el nivel de log o pare los log de las conexiones que coincidan con ella.
Para crear una regla basada en una o ms entradas de log
1. Seleccione las entradas de log que quiere incluir en la operacin. Puede seleccionar
mltiples entradas para crear varias reglas en la misma operacin. No incluya entradas
incompatibles en la seleccin:
Si selecciona mltiples entradas de log, el Emisor (Sender) de todas las entradas debe
ser el mismo componente.
Todas las entradas seleccionadas deben tener un valor en el campo Rule Tag (Tag de
Regla) (las entradas deben haber sido creadas por reglas de una poltica).
2. Pulse el botn derecho sobre una entrada de log y elija una de las opciones bajo Create
Rule (Crear Regla) en el men que se abre. La seleccin determina cmo cambia el manejo
de las conexiones que coincidan. Se abrir el dilogo de Propiedades de Nueva Regla.
3. (Opcional) Pulse Select y cambie la poltica a la cual se aade la nueva regla (por ejemplo,
para insertar la regla en una Sub-Poltica en lugar de en la poltica principal).
4. (Opcional) Edite el Comentario (Comment se aade a la celda Comment de la regla).
5. Seleccione la Accin (Action). Todas las acciones crean las reglas mostradas al principio
del primer punto de insercin de la poltica seleccionada. Opcionalmente puede instalar la
poltica con la nueva regla o abrirla para su edicin (con la nueva regla resaltada).
Nota No puede editar la regla en este dilogo. Seccione la opcin Add Rules and Edit
the Policy (Aadir Reglas y Editar la Poltica) para editarla.
6. Pulse OK.
Para continuar
Si selecciona refrescar la poltica, se abrir el dilogo de instalacin de
poltica, vea Instalar Polticas (pg. 501) para ms instrucciones.
Si elige editar la poltica, la poltica se abre para la edicin, vea Usar la Vista
de Edicin de Polticas (pg. 511) para ms instrucciones.
Informes 145
CAPTULO 10
INFORMES
Puede procesar los datos de sus log de StoneGate y estadsticas de los dispositivos en
diagramas, grficas y tablas de fcil comprensin. Los informes que genere siempre
estarn basados en un Diseo de Informe (Report Design), que puede ser uno de los
diseos predefinidos, una versin modificada de ellos, o un diseo personalizado que
usted construya.

Crear y Editar Diseos de Informes (pg. 148)
Generar y Visualizar Informes (pg. 151)
Exportar Informes (pg. 156)
Crear un Informe de Auditora del Sistema (pg. 157)
Empezar con los Informes

Los informes le permiten reunir y visualizar los datos que ms le interesen en un formato de fcil
lectura para proporcionar una visin global de qu est ocurriendo en la red. Los informes se
generan en la vista de monitorizacin.
Qu Puede Hacer con los Informes
Puede utilizar log y datos estadsticos en el almacenamiento activo para generar grficas, tablas
y mapas de geolocalizacin. Puede ver los informes en el Management Client y en el Web Portal.
Para exportar sus informes, puede:
imprimir los informes generados en documentos PDF para compartirlos e imprimirlos
convenientemente.
guardar los informes como texto delimitado por tabuladores para posteriormente procesarlos
en una hoja de clculo o alguna otra herramienta.
Tambin puede generar informes especiales del Sistema sobre su configuracin y eventos para
ayudarle a proporcionar informacin de auditora en cumplimiento de los estndares regulatorios.
Puede generar informes basados en Diseo de Informe predefinidos o Diseos de Informe que
haya creado usted mismo. Puede usar su propia Plantilla de Estilo para la creacin de los
documentos PDF para dar a los informes un estilo corporativo unificado.
Adems de generar informes en la vista del Diseador de informes, puede crear informes simples
en la vista de Logs (vea Examinar Datos de Logs (pg. 127)).
Limitaciones
Solo los datos en el almacenamiento activo de los Log Servers pueden incluirse en los informes.
Los datos archivados no pueden usarse en informes.
Si quiere generar un informe basado en un Diseo de Informe existente, proceda a Generar y
Visualizar Informes (pg. 151).
Informes 147

Informe
Esta visin general describe al configuracin de los nuevos Diseos de Informe.

1. Cree un nuevo Diseo de informe. Vea Crear y Editar Diseos de Informes (pg. 148).
2. Elija secciones y elementos del informe. Representan valores (por ejemplo el nmero de
conexiones permitidas) en los log y la informacin de monitorizacin estadstica. Vea Aadir
Secciones a un Diseo de Informe (pg. 150).
3. Genere un informe. Vea Generar y Visualizar Informes (pg. 151).
Para continuar
Si quiere crear un nuevo Diseo de Informe, proceda a Crear y Editar
Diseos de Informes (pg. 148).
Crear y Editar Diseos de Informes

Los Diseos de Informe determinan cmo quiere procesar los datos y cmo mostrar los resultados.
Tambin determinan qu plantillas usar para la exportacin a PDF y qu grficas aparecen en
ellos. El Diseo de Informe se crea en dos pasos: primero crea un Diseo de informes y despus
le aade elementos.
Tip Los Diseos de informe predefinidos sirven como gua til para construir sus propios Diseos. Para
ver cmo se construyen los Diseos de Informes predefinidos, explrelos desde el Diseador de
Informes (Report Designer).
Ilustracin 66: Diseador de informes
Para continuar
Crear un Nuevo Diseo de Informe
Crear un Nuevo Diseo de Informe

Para crear un nuevo Diseo de informe
2. Expanda Reports (Informes).
3. Pulse con el botn derecho sobre Report Designs (Diseos de informes) y seleccione New
Report Design (Nuevo Diseo de Informe). Se abrir el dilogo de Propiedades del Diseo
de Informe.
4. Seleccione una plantilla para el nuevo Diseo de Informe y pulse OK. Se abrir el
Diseador de Informes.
5. Escriba un Nombre (Name) para el nuevo diseo y un comentario (Comment) opcional.
Informes 149
6. (Opcional) Seleccione un Filtro (Filter).

Tambin puede crear un nuevo filtro pulsando el icono de Nuevo Filtro en el dilogo de
seleccin de filtro. Para instrucciones sobre cmo crear un nuevo filtro ve Filtrado de
Datos (pg. 159).
Nota Los datos se filtran de arriba hacia abajo: primero, se aplica el filtro definido en las
propiedades del Diseo de Informe, despus el filtro definido por las secciones del
informe, y finalmente el filtro definido para elementos individuales del informe. Cuando
comienza una tarea de informe, tiene la opcin de elegir un filtro especfico para la tarea,
que se aplicar antes que los otros filtros.
7. Ajuste las otras propiedades segn sea necesario.
Opcin Explicacin
Define el rango de tiempo por defecto del informe. Esto afecta a las fechas
ofrecidas por defecto al crear un informe con este diseo. Cuanto ms largo sea
el periodo elegido ms datos se incluyen en el informe. El nivel de detalle de las
Periodo (Period) grficas puede tener que reducirse para mantenerlas legibles ajustando la
resolucin temporal. Esto se hace automticamente, pero tambin se puede
cambiar a mano. No todos los elementos del informe son compatibles con el
periodo de tiempo ms corto.
Comparar Con Con estos campos, puede incluir datos de un periodo previo de la misma longitud
(Compare With) para facilitar la comparacin.
El nivel de detalle de las grficas y tablas de progreso. Una resolucin de tiempo

Resolucin de
pequea aumenta el nivel de detalle, pero tener demasiado detalle puede hacer
Tiempo (Time
que las grficas sean difciles de leer. La resolucin de tiempo y las opciones
Resolution)
disponibles se ajustan automticamente cuando se cambia el Periodo.
Resolucin IP Activa la resolucin de direcciones IP en los informes, usando los Elementos de

(IP Resolving) Red o consultas DNS.
Define el nmero de das tras los que los informes generados por este Diseo
Expiracin expiran (son borrados automticamente). Never Expire (No Expiran Nunca),
(Expiration) deber borrar manualmente todos los informes generados con este Diseo
cuando ya no los necesite.
Permite filtrar los datos incluidos en elementos de informe basados en log por
Tipo de Logs
tipo de log (alerta, log de auditora, log de cortafuegos, log de IPS, log de SSL
(Log Type)
VPN, log de dispositivo de terceros).
Plantilla de Estilo Selecciona la Plantilla de Estilo a usar en la impresin como PDF del nuevo
(Style Template) Informe.
Para continuar
Aadir Secciones a un Diseo de Informe (pg. 150)
Aadir Secciones a un Diseo de Informe

Tras haber creado un nuevo Diseo de Informe, deber aadirle secciones y elementos.
Para aadir secciones a un Diseo de Informe
1. Pulse con el botn derecho en el Diseo de Informe y elija New Section (Nueva Seccin).
Se aadir una nueva seccin vaca al Diseo y se resaltar el fondo de la nueva seccin.
Se abrir el panel de Propiedades de la Seccin.
Ilustracin 67: Panel de Propiedades de la Seccin
2. Defina un Nombre (Name) y un Comentario (Comment) a mostrar en el informe creado.

3. (Opcional) Seleccione el Filtro (Filter) a utilizar.
4. Seleccione los Parmetros del Diagrama (Diagram Settings):
Progress (Progreso) produce una grfica y/o tabla que muestra el progreso de
elementos con el paso del tiempo.
Top Rate (Mximos) produce una grfica y/o tabla resaltando los valores con mayor
nmero de ocurrencias.
Drill-down Top Rate (Mximos procesados) preprocesa los datos y produce una grfica
y/o tabla con ellos.
Summary Table (Tabla Resumen) produce una tabla con todos los valores de los
elementos incluidos en el informe.
System Information (Informacin del Sistema) produce una tabla con informacin sobre
el estado actual del sistema.
5. Seleccione el Tipo de Grfica Preferido (Preferred Chart Type) usando los botones. Puede
cambiar esta seleccin manualmente cuando lance la tarea del informe. Las opciones
disponibles dependen de los Parmetros del Diagrama elegidos en el paso anterior.
Si seleccion Top Rate como Tipo de Seccin (Section Type), introduzca el nmero de
elementos a incluir en el campo Top Limit (Lmite Superior).
6. Defina los tipos de log a incluir en Log Type (Tipo de Logs).
7. Defina el formato en que se exportarn los datos en Export.
8. Defina la Unidad de Trfico (Traffic Unit) para los datos de grficas y tablas.
Informes 151
9. Para aadir nuevas secciones, repita los pasos anteriores segn sea necesario.
10. Cambie el orden de las Secciones en el Diseo de Informe arrastrndolas y soltndolas
encima de las dems.
Nota Evite situar elementos top rate con direcciones IP bajo secciones del tipo
seccin de Progreso. Generar informes con tales diseos puede producir mensajes de
error out of memory (sin memoria) y/o too many counters (demasiados contadores).
Si esto ocurre, cambie el tipo de seccin a Drill-down Top Rate, o reduzca la cantidad
de datos del informe.
Para continuar
Aadir Elementos a una Seccin de Informe
Aadir Elementos a una Seccin de Informe

Tras haber creado una nueva Seccin de informe, deber aadirle elementos.
Para aadir elementos a una Seccin de informe
1. Abra el Diseo de Informe al que quiere aadir Elementos.
2. Seleccione la Seccin de Informe al que quiere aadir los elementos.
3. Pulse el enlace Add Item (Aadir Elemento). Se abrir el dilogo de seleccin de Elemento.
4. Use una o ms de las opciones del dilogo para restringir la bsqueda del elemento. Vea
Seleccin de Elementos Estadsticos (pg. 95).
5. Elija el elemento que quiere aadir y pulse Select. Alternativamente, tambin puede hacer
doble clic en el mismo.
6. Para aadir nuevos elementos, repita desde el Paso 3 segn sea necesario.
7. Cambie el orden de los elementos arrastrndolos y soltndolos sobre los dems.
Para continuar
Para guardar el Diseo de Informe, elija Save o Save as del men.
Generar y Visualizar Informes

Prerrequisitos: Crear un Nuevo Diseo de Informe
Los informes se generan desde los Diseos de Informes (Report Designs) que se muestran en
el rbol Reports de la vista de Configuracin de la Monitorizacin. Hay varios Diseos de
Informes predefinidos disponibles.
Para continuar
Generar un Informe (pg. 152)
Tareas Relacionadas
Crear y Editar Diseos de Informes (pg. 148)
Generar un Informe
Para generar un informe
2. Navegue a ReportsReport Designs (InformesDiseos de Informe). Se abrir la lista de
Diseos de informe.
Ilustracin 68: Iniciar una Tarea de Informe
3. 3. Pulse con el botn derecho sobre un Diseo y seleccione Start (Iniciar). Se abrir el
dilogo de Propiedades de Operacin de Informe (Report Operation Properties).
Ilustracin 69: Propiedades de Operacin de informe - Pestaa general
4. Seleccione las fechas de inicio (Period Beginning) y fin (Period End) para el informe.
Introduzca la fecha segn se indica, e introduzca la hora usando el reloj de 24 horas en el
tiempo del ordenador que est usando para el Management Client.
La opcin 1 Day Period (Periodo de 1 Das) (opcin por defecto) define el da anterior
como periodo del informe, comenzando a las 00:00:00 de ese da y finalizando
exactamente 24 horas ms tarde.
5. (Opcional) Introduzca el retardo en minutos tras la fecha de fin en el campo Start Earliest
(comenzar ms pronto).
La generacin del informe empieza tras pasar el retardo introducido. El retardo es para
garantizar que el sistema tiene datos relevantes disponibles.
Si la fecha y hora de Period End estn en el futuro, el informe se generar en la fecha
especificada una vez que el retardo de Start Earliest ha pasado.
6. (Opcional) Si quiere restringir los datos incluidos en el informe, seleccione un filtro.
7. (Mostrado slo cuando se ha conectado a un Dominio Compartido) Si quiere generar un
informe que contenga toda la informacin de todos los dominios, seleccione Report over
All Domains (Informe sobre Todos los Dominios).
Informes 153
8. (Opcional) Seleccione Notify when ready (Notificar cuando est listo) para recibir una
notificacin en el Management Client cuando la generacin del informe est completa.
Para continuar
Si quiere seleccionar cada cuanto quiere repetir la generacin del informe,
proceda a Definir la Tarea de Informe (pg. 153).
Tareas relacionadas
Seleccionar Orgenes de Datos (pg. 154)
Definir la Tarea de Informe

Para definir la Tarea de Informe
1. (Opcional) Seleccione cada cunto quiere repetir (Repeat) la generacin del informe (el
Diseo del Informe determina las opciones disponibles).
Ilustracin 70: Propiedades de Operacin del informe - Pestaa de Tareas
2. Seleccione una o ms salidas a producir directamente, o deje seleccionado Store Report

(Almacenar Informe) para verlo antes de decidir si quiere seguir procesndolo:
Text Export (Exportar Texto): El informe se almacena como un fichero de texto en el
Management Server, en el directorio home de StoneGate en la carpeta <directorio de
instalacin>/data/reports/files/[nombre del Diseo de Informe]/. El informe
se llamar de acuerdo con el rango de tiempo elegido.
PDF Export/HTML Export (Exportacin PDF/HTML): El informe se almacena como un
fichero PDF/HTML en el Management Server (en la misma carpeta de arriba).
Post Process (Post Procesado): El informe se genera de acuerdo con las opciones
escogidas y luego se lanzar un script, por defecto SgPostProcessReport.bat situado
en el Management Server en el directorio home de StoneGate en la carpeta
<directorio de instalacin>/data/reports/ bin. Vea la Reference Guide para ms
informacin.
3. (Opcional) Introduzca la direccin de correo electrnico (Mail Address) a la cual se enviar

directamente el informe completado como correo. Para aadir varias direcciones, seprelas
con una coma.
Nota El servidor de correo (SMTP) para enviar los informes debe ser definido en las
propiedades del Management Server. Vea Modificar un Elemento Management Server
(pg. 302). Esta es una opcin diferente de la utilizada para enviar alertas por e-mail.
4. (Slo para exportaciones PDF) Defina las opciones de Configuracin de Pgina

seleccionando una Plantilla de Estilo (Style Template), Tamao de Papel (Paper Size) y
(Orientacin) Orientation) cuando exporte el informe a formato PDF. Para informacin
sobre cmo crear nuevas Plantillas de Estilo, vea Aadir Plantillas de Estilo para la Salida
PDF (pg. 51).
Para continuar
Si quiere seleccionar los Management y Log Servers desde los cuales se
usan los datos para generar el informe, proceda a Seleccionar Orgenes de
Datos (pg. 154).
En otro caso, pulse OK para empezar a generar el informe. Mientras el
informe est siendo generado, la tarea de informe aparece bajo la seleccin
Today (Hoy) en Informes Almacenados en el panel derecho.
Seleccionar Orgenes de Datos

Por defecto, el Management Server y el Log Server primario se seleccionan como orgenes
de datos.
Para seleccionar orgenes de datos
1. Para seleccionar orgenes de datos, cambie a la pestaa Storage (Almacenamiento).
Ilustracin 71: Propiedades de Operacin del Informe - Pestaa Almacenamiento
2. Seleccione los Management Servers y Log Servers para los cuales quiere incluir datos en el
informe.
3. Puede excluir un servidor de los informes por defecto, seleccionando la opcin Exclude
from Log Browsing, Statistics and Reporting (Excluir de Navegacin de Logs,
Estadsticas e Informes) en la pestaa General del dilogo de propiedades del servidor.
Para continuar
Pulse OK para empezar a generar el informe. Mientras el informe est siendo
generado, la tarea de informe aparece bajo la seleccin Today (Hoy) en Informes
Almacenados en el panel derecho.
Informes 155
Cancelar Tareas de Informes en Ejecucin

Si el informe que est generando incluye grandes cantidades de datos, la generacin puede
llevar mucho tiempo (este puede ser el caso cuando, por ejemplo, el rango de tiempo es muy
amplio y el filtro de datos en uso no restringe los orgenes de datos).
Para cancelar una tarea de informe en ejecucin
2. Expanda Reports (Informes) y elija Stored Reports (Informes Almacenados).
3. Pulse Today (Hoy) para ver la lista de informes en ejecucin an no finalizados.
4. Pulse con el botn derecho en la tarea que quiere cancelar y elija Abort (Abortar) o Delete
(Eliminar).
Las tareas abortadas pueden ser editadas y reiniciadas haciendo doble clic en ellas.
Las tareas eliminadas son suprimidas permanentemente.
Visualizar Informes
Tras generar un informe, est disponible para visualizarlo en el rbol Stored Reports
(Informes Almacenados). Un informe puede ser borrado automticamente tras un cierto
nmero de das, de acuerdo con la expiracin configurada en el Diseo de Informe. Si quiere
mantenerlo permanentemente, se recomienda exportar el informe, segn se explica en
Exportar Informes (pg. 156).
Para visualizar un informe
2. Seleccione ReportsStored Reports (InformesInformes Almacenados). Los informes
creados se sitan bajo las ramas por su fecha de creacin (Today, Yesterday, Week, Month
Hoy, Ayer, Semana, Mes), y en una rama que lista todos los informes creados.
Ilustracin 72: El rbol de Informes
Icono de
herramientas
3. (Opcional) Para mostrar los informes creados usando un diseo en particular, pulse el botn
de herramientas y seleccione By Design (Por Diseo).
4. Haga doble clic sobre el informe que desea ver. Se mostrarn los contenidos del mismo.
5. (Opcional) Si quiere ver los datos de la seccin del informe en formato tabla, pulse el botn
derecho sobre la seccin y elija Show Table (Mostrar tabla). La tabla se aadir a la
seccin.
Exportar Informes
Prerrequisitos: Generar un Informe
Tras haber generado un informe, puede querer compartirlo o procesar ms los datos. Hay dos
formas de exportar un informe: como fichero de texto plano (.txt), o como fichero PDF. Las
Plantillas del Sistema slo pueden usarse cuando se exporta a fichero PDF.
Para continuar
Para exportar un informe previamente generado para un posterior procesado, proceda
a Exportar un Informe como Fichero de Texto delimitado por Tabuladores (pg. 156).
Para exportar un informe previamente generado a un fichero PDF para verlo o
imprimirlo, proceda a Exportar un Informe como Fichero PDF (pg. 156).
Para enviar directamente un informe como e-mail, proceda a Enviar Informes (pg. 157).
Exportar un Informe como Fichero de Texto delimitado por

Tabuladores
Los informes generados pueden ser exportados como ficheros de texto delimitado por
tabuladores (.txt) que pueden ser importados y procesados en otras aplicaciones. Si quiere usar
una plantilla o el informe contiene adems grficos, vea Exportar un Informe como Fichero PDF
(pg. 156).
Para exportar un informe como fichero de texto delimitado por tabuladores
2. Expanda Reports (Informes) y elija Stored Reports (Informes Almacenados).
3. Pulse con el botn derecho sobre el ttulo del informe que quiera exportar y seleccione
Properties (propiedades). Se abrir el dilogo de Propiedades.
4. Seleccione Export (Exportar) desde el dilogo de Propiedades. Se abrir el dilogo de
Nombre de Fichero de Exportacin.
5. Elija la carpeta donde quiere guardar el fichero.
6. Escriba un Nombre de Fichero (File Name).
7. Seleccione Plain text (Texto plano) como tipo de Fichero (File Type).
8. Pulse Save (Guardar). El informe se exportar como fichero de texto delimitado por
tabuladores.
Exportar un Informe como Fichero PDF

Cuando exporta un informe a PDF, se usa automticamente una plantilla como fondo del informe
(si la plantilla por defecto est disponible) Opcionalmente se puede usar una Plantilla de Estilo
como fondo.
Para continuar
Si quiere usar la plantilla por defecto, proceda a Imprimir un Informe
Generado a PDF (pg. 156).
Imprimir un Informe Generado a PDF

Si quiere usar una Plantilla de Estilo para el informe que va a exportar (en lugar de la plantilla por
defecto), deber tener una plantilla preparada en el ordenador que est usando.
Informes 157
Para imprimir un informe a un fichero PDF

2. Expanda Reports (Informes) y seleccione Stored Reports (Informes Almacenados).
3. Haga doble clic para abrir el informe que quiera imprimir a PDF.
4. (Opcional) Para imprimir todo el informe a PDF, seleccione FilePrint. Se abrir el dilogo
de impresin.
5. (Opcional) Para imprimir una seccin del informe a PDF, pulse con el botn derecho en la
seccin que quiera imprimir y elija Print. Se abrir el dilogo de impresin.
6. Seleccione la opcin de impresin:
Seleccione Print to PDF Reader (Imprimir a Lector de PDF) para enviar el informe
generado a su lector de PDF por defecto.
Seleccione Print to File (Imprimir a Fichero) y navegue a la localizacin donde desee
guardar el PDF generado.
7. (Opcional) Seleccione las opciones de Configuracin de Pgina para el PDF (Style
Template Plantilla de Estilo, Paper Size Tamao de papel y Paper Orientation
Orientacin del Papel). Para ms informacin sobre el uso de Plantillas de Estilo, vea Aadir
Plantillas de Estilo para la Salida PDF (pg. 51).
8. Pulse OK. Se generar el PDF.
Compruebe la salida. Podra tener que ajustar las cabeceras y pies de pgina en su plantilla, si el
texto o las grficas del informe estn situadas sobre el fondo de su plantilla (vea Aadir Plantillas
de Estilo para la Salida PDF (pg. 51) para instrucciones sobre la configuracin de los valores de
cabeceras y pies de pgina).
Enviar Informes
Los informes pueden ser enviados directamente por correo electrnico al ser generados. Debe
definir el servidor de correo (SMTP) en las propiedades del Management Servers antes de poder
enviarlos. Vea Modificar un Elemento Management Server (pg. 302).
Tras definir los parmetros de SMTP, simplemente introduzca la direccin de e-mail en la tarea del
informe para enviar la salida escogida (p.ej. PDF) como un mensaje de correo. Para aadir varias
direcciones, seprelas con comas.
Crear un Informe de Auditora del Sistema

El Informe del Sistema contiene informacin sobre el propio sistema StoneGate. Incluye detalles de
la actividad del Administrador y usuarios del Web Client y configuraciones de acceso,
configuraciones del sistema, cambios a los dispositivos cortafuegos e IPS, y la configuracin del
Management Server. El informe del Sistema est orientado a ayudarle a proporcionar los datos
requeridos de auditora en el cumplimiento normativo. El Informe del Sistema se genera, exporta y
edita del mismo modo que otros tipos de informes: la nica diferencia es su contenido.
Para continuar
Para generar Informes del Sistema, proceda a Generar y Visualizar Informes
(pg. 151).
Filtrado de Datos 159
CAPTULO 11
FILTRADO DE DATOS
Los filtros le permiten seleccionar entradas de datos basadas en los valores que contienen.
Frecuentemente necesitar filtros cuando visualice log, pero los filtros tambin pueden
usarse para otras tareas, como exportar log y seleccionar datos para informes.
Empezar con el Filtrado de Datos (pg. 160)

Definir Elementos Filtro (pg. 160)
Organizar Elementos Filtro (pg. 164)
Aplicar Filtros (pg. 165)
Empezar con el Filtrado de Datos

Qu Hacen los Filtros

Los filtros pueden usarse para seleccionar entradas de datos para operaciones como filtrar
entradas de log para ver la vista de Logs o incluir en un informe estadstico particular. Los
filtros le permiten gestionar eficientemente las grandes cantidades de datos que genera el
sistema. Los filtros seleccionan entradas comparando los valores definidos en el filtro con
cada entrada de datos incluida en la operacin de filtrado. La operacin puede usar el filtro
para incluir o excluir los datos coincidentes..
Cmo se Crean los Filtros
Puede crear filtros de tres formas bsicas:
Basndose en criterios que usted defina: puede crear un nuevo filtro y definir cualquier
combinacin de criterios de filtrado en las propiedades del Filtro, construyendo el filtro
completamente usted mismo
Basndose en otros filtros: puede duplicar un filtro o copiar y pegar partes de contenidos
de elementos Filtro a otros elementos Filtros para crear una variacin de criterios de
filtrado previamente definidos.
Basndose en entradas de log existentes: puede crear filtros temporales en la vista de
Logs y guardarlos como elementos Filtro permanentes. Vea Filtrar Logs en la Vista de
Logs (pg. 134).
Partes de un Filtro
Los Filtros se construyen con las siguientes partes (vea Iniciacin a la Construccin de
Filtros de Datos (pg. 161) para informacin ms detallada):
Los campos que quiere comprobar en los datos (por ejemplo, hay campos separados
para direccin IP y puerto de origen en los log). Puede filtrar datos de acuerdo con
cualquier campo.
Los valores en esos campos que quiere comprobar (por ejemplo, el nmero exacto del
puerto o la direccin IP en que est interesado).
Las Operaciones definen la forma en que los campos y valores se hacen coincidir con las
entradas de datos (especialmente si hay varios campos incluidos como criterios de
filtrado).
Tareas Relacionadas
Organizar Elementos Filtro (pg. 164)
Aplicar Filtros (pg. 165)
Definir Elementos Filtro

Los Filtros se almacenan como elementos en el sistema y puede crearlos y editarlos de

forma similar a otros elementos. De cualquier modo, tambin puede crear nuevos Filtros
rpidamente en la vista de Logs definiendo criterios de filtrado de log en la pestaa Filter
(Filtro) del panel de Propiedades de la Consulta y guardando la consulta as definida como
un elemento Filtro: Hay algunos Filtros predefinidos en el Sistema.
Iniciacin a la Construccin de Filtros de Datos

Los Filtros se construyen con campos, que definen el tipo para un detalle que quiere buscar
en los datos, por ejemplo que quiere filtrar con direcciones IP. Los campos normalmente
tienen un valor especfico que hacer coincidir (tal como una direccin IP en particular). Una
operacin define cmo los campos y valores del filtro se comprueban contra campos y
valores de los datos.
Cada campo en un Filtro est asociado a una operacin de Comparacin (por ejemplo, igual
que, mayor que, menor que).
Ejemplo Un Filtro que coincide con una nica direccin IP de origen:
Src Addr equal to 192.168.1.101
Donde Src Addr es un campo, equal to es la operacin y la direccin IP es un valor.
Como en estos ejemplos, las operaciones se muestran en negrita en los Filtros.
Tambin puede hacer coincidir varios valores a la vez, como se muestra a continuacin.
Ejemplo Un Filtro que coincide con cualquier valor no vaco para el puerto de destino:
Dst Port is defined
Ejemplo Un Filtro que coincide con todos los puertos de destino entre 1024 y 49152:
Dst Port between 1024 and 49152
Ejemplo Un Filtro que coincide cualquiera de tres puertos de destino alternativos:
Dst Port in 51111, 52222, 53333
Para crear filtros ms complejos, puede aadir las operaciones lgicas NOT, AND, y OR. La
operacin NOT niega los criterios establecidos.
Ejemplo Un Filtro que coincide con todos los puertos de destino excepto aquellos entre 1024 y 49152:
NOT
Dst Port between 1024 and 49152
Cuando aade ms de un campo a un filtro, debe definir cmo se relacionan los campos
entre ellos con AND (todos los valores de los campos deben estar presentes en la misma
entrada) o OR (una entrada de datos coincide con el filtro si se encuentra cualquiera de los
valores de los campos).
Ejemplo Un Filtro que coincide si el puerto de destino es menor de 1024 y la direccin de destino en una
direccin IP en particular:
AND
Src Addr equal to 192.168.1.101
Dst Port smaller than 1024
Ejemplo Un Filtro que coincide con uno de dos puertos de destino:
OR
Dst Port equal to 80 Dst
Port equal to 8080
Puede aplicar las operaciones AND y OR a otras sentencias AND y OR para crear
sentencias ms complejas. Tambin puede negar secciones completas AND y OR con NOT.
Para continuar
Para crear Filtros desde log, vea Filtrar Logs en la Vista de Logs (pg. 134).
Para crear un nuevo Filtro sin usar datos existentes como base, proceda a
Crear un Elemento Filtro (pg. 162).
Crear un Elemento Filtro

El dilogo de Propiedades de Filtro le permite crear Filtros detallados que coincidan con
cualquier detalle de cualquier tipo de filtrado de datos.
Para definir un Filtro
2. Expanda la rama Other Elements (Otros Elementos).
3. Pulse con el botn derecho en Filters (Filtros) en el rbol de elementos y elija New Filter
(Nuevo Filtro) en el men. Se abrir la ventana de Propiedades del Filtro.
Ilustracin 73: Propiedades del Filtro
Fields (Campos) Atajos.

lista todos los
posibles campos
en las entradas
de datos de
varias formas
alternativas
Panel de
edicin
de Filtros
4. Introduzca un Nombre (Name) para el nuevo Filtro y un Comentario (Comment) opcional.

5. (Opcional) Seleccione la configuracin para Undefined Value Policy (Poltica para Valores
Indefinidos). Este parmetro define como coinciden las entradas de datos cuando se incluye
un campo en el Filtro pero no est presente en la entrada (por ejemplo, si un Filtro define un
rango de puertos de destino, pero la operacin encuentra una entrada de log de trfico de
un protocolo que no usa puertos, como ICMP).
False by comparison (Falso por comparacin opcin por defecto): Si un campo usado
en el Filtro no aparece en los datos de log, la comparacin es falsa. Los datos de log
pueden an coincidir con el filtro, dependiendo de la estructura del Filtro.
False by filter (Falso por filtro): Si la operacin global del Filtro es indefinida a causa de
un campo no existente en el dato de log, el dato de log no coincide con el Filtro.
True by filter (Verdadero por filtro): Si la operacin global del Filtro es indefinida a causa
de un campo no existente en el dato de log, el dato de log coincide con el Filtro.
Undefined (Indefinido): Si la operacin global del Filtro es indefinida a causa de un
campo no existente en el dato de log, el resultado indefinido se pasa al componente
software que usa el Filtro. Si el dato de log coincide o no depende del componente que
usa el filtro.
Para continuar
Defina los criterios de filtrado segn se explica en Aadir y Modificar
Criterios de Filtrado en los Filtros.
Aadir y Modificar Criterios de Filtrado en los Filtros

Los siguientes pasos explican el flujo general para construir filtros. Tambin puede modificar
los criterios existentes usando las herramientas explicadas en este flujo. A menudo, puede
usar definiciones existentes en filtros nuevos, por ejemplo, puede copiar y pegar criterios de
otros filtros existentes o guardar una Consulta de la vista de Logs como un elemento Filtro.
Para aadir criterios a un Filtro
1. Si no hay operacin de comparacin (AND o OR) al nivel correcto, aada una usando
los botones de atajos sobre el panel de edicin. No puede aadir un criterio son una
comparacin que defina la relacin entre los criterios que aada.
Puede anidar comparaciones para crear filtros ms complejos, por ejemplo, puede
crear dos secciones AND bajo una condicin OR para coincidir con cualquiera de dos
conjuntos de criterios.
2. Arrastre y suelte un campo de log desde la pestaa Fields (Campos) en el panel
izquierdo de la expresin. El Campo tambin aade la operacin y el valor por defecto
para ese campo.
Los filtros se organizan en diferentes categoras. Por ejemplo, Access Control (Control
de Acceso) contiene campos relevantes para reglas de Acceso, e Inspection
(Inspeccin) contiene campos relevantes para reglas de Inspeccin. Cada campo est
incluido en varias categoras.
Debe soltar el campo en la operacin de comparacin (la palabra AND o OR) en la que
quiere incluir el campo, a menos que la expresin est vaca (aparecer <Add
expression> - <Aadir expresin>).
Vea Campos de Entradas de Log (pg. 976) para una tabla descriptiva de los campos.
3. (Opcional) Para cambiar la operacin especfica de campo, pulse el botn derecho
sobre el campo aadido y elija la operacin del submen Change to (Cambiar a).
Si el campo contienen uno o ms valores (tal como una direccin IP especfica),
primero tendr que borrar los valores para poder cambiar la operacin.
La seleccin disponible depende del campo seleccionado y de si el campo ya contiene
uno o ms valores. Las ms comunes son (vea la Management Center Reference
Guide para ms informacin):
Equal to (Igual a) coincide con un valor nico (por ejemplo, una direccin IP).
Between (Entre) coincide con un rango (p. ej., un rango de puertos TCP/UDP).
Is Defined (Est Definido) coincide con cualquier valor no vaco del campo.
In (En) coincide con uno de varios valores alternativos (por ejemplo, una red
completa o tanto una direccin IPv4 como una direccin IPv6).
4. Para cambiar el tipo del valor incluido o aadir valores adicionales (para campos y
operaciones que acepten cambios/aadidos), pulse el botn derecho sobre el criterio
que est definiendo y elija un tipo de valor del submen Add (Aadir).
Esto le permite, por ejemplo, hacer que un campo de direccin IP origen acepte una red
completa en lugar de una nica direccin IP, y aadir valores adicionales en una
operacin In.
5. Dependiendo de la operacin y el tipo de campo, defina los valores que quiere que
coincidan en el filtro escribiendo la informacin, seleccionando una opcin de la lista
(p.ej. una accin de una regla) o arrastrando y soltando un elemento en el campo.
La operacin Is Defined no incluye un valor especfico.
6. Contine aadiendo campos del mismo modo hasta que su criterio deseado est
definido. Si comete un error, puede usar Undo (Deshacer) sobre el panel de edicin o
eliminar elementos segn se explica en Eliminar Criterios de Filtrado de Filtros (pg.
164).
7. Pulse OK. El Filtro que ha creado est disponible para su uso.
Eliminar Criterios de Filtrado de Filtros

Los siguientes pasos explican los pasos y opciones para eliminar valores o filas completas
de elementos Filtro. Tenga en cuenta que si quiere sustituir un valor de un campo por otro
valor del mismo tipo (p.ej. sustituir una direccin IPv4 por otra direccin IPv4 diferente),
puede simplemente editar el valor existente sin eliminar antes el valor previo.
Para eliminar criterios de filtrado de un Filtro
1. Pulse con el botn derecho el campo/valor/seccin exacto que quiere borrar y
seleccione Remove (Eliminar).
Si pulsa el botn derecho sobre un campo sin un valor especfico definido, se elimina el
campo sin pedir confirmacin.
Si pulsa el botn derecho sobre un valor especfico (o el emplazamiento de un valor), el
valor y su emplazamiento se eliminan sin pedir confirmacin.
Si pulsa el botn derecho sobre un campo con un valor especfico o con varios valores
(o varios emplazamientos vacos para valores), se abrir el dilogo de Eliminar.
2. Si se abre el dilogo de Eliminar (Remove) elija qu parte de la definicin de criterios
quiere eliminar y pulse OK.
Remove whole sub-expression (Eliminar toda la sub-expresin) elimina toda la
seccin (la fila sobre la que puls el botn derecho y todas sus filas subordinadas).
Remove one value (Eliminar un valor) elimina el valor seleccionado en la lista (incluyendo
el emplazamiento). La lista incluye todos los valores de la fila sobre la que puls el botn
derecho (incluyendo emplazamientos vacos).
Remove all values (Eliminar todos los valores) elimina todos los valores (incluyendo
emplazamientos) en la fila sobre la que puls el botn derecho.
Remove selected expression only (Eliminar slo la expresin seleccionada) elimina
los criterios (toda la fila) pero deja intactas las filas seleccionadas. Si cualquiera de las
filas subordinadas no es vlida al subirla un nivel, la operacin falla.
Si elimina accidentalmente ms criterios de los deseados, pulse el botn Undo (Deshacer)
sobre el panel de edicin para restaurar las definiciones eliminadas.
Organizar Elementos Filtro

Prerrequisitos: Crear un Elemento Filtro
Los Filtros pueden ser organizados usando Tags de Filtros. Los Tags de Filtros que cree se
aaden como sub-ramas a la rama By Filter Tag (Por Tag de Filtro) del listado de filtros.
Aadir Tags de Filtros a los elementos Filtro simplifica el encontrar Filtros cuando quiere
aplicarlos a una operacin. Puede seleccionar varios Tags de Filtro para cada Filtro que cree
as como para cualquiera de los filtros por defecto que ya estn en el sistema.
Crear Nuevos Tags de Filtro

Para crear un Tag de Filtro
2. Expanda la rama Other Elements (Otros Elementos) en el rbol.
3. Pulse botn derecho sobre Filters (Filtros) en el rbol y elija New Filter Tag (Nuevo
Tag de Filtro). Se abrir el dilogo de Propiedades del Tag de Filtro.
4. Escriba un Nombre (Name) para el tag de Filtro.
5. (Opcional) Introduzca un Comentario (Comment) para su referencia.
6. Pulse OK.
Para continuar
Asocie los elementos Filtro con este Tag de Filtro. Vea Cambiar el Tag de
un Filtro (pg. 165).
Cambiar el Tag de un Filtro

Los Filtros se ordenan de acuerdo con el tag de Filtro en la rama By Filter Tag. Puede
elegir cualquier nmero de tags de Filtro para Filtros que haya creado para organizar el rbol.
Para aadir o eliminar Tags de Filtro para Filtros
2. Expanda Other ElementsFilters (Otros ElementosFiltros) en el rbol y elija uno o
ms elementos Filtro que quiera categorizar de forma diferente.
Tip Si est eliminando las referencias de Tags de Filtros en Filtros para poder eliminar un Tag de Filtro,
elija todos los filtros en la rama All Filters (Todos los Filtros). La seleccin permite incluir filtros que
no se refieran al Tag de Filtro que quiere eliminar.
3. Pulse el botn derecho sobre un Filtro seleccionado para un men y elija una de las
siguientes opciones:
Seleccione Add TagFilter Tag (Aadir TagTag de Filtro) y elija el Tag de Filtro que
quiere aadir en el dilogo que se abre. Le recomendamos que no asigne el Tag de
Filtro por defecto System a ningn elemento Filtro por su cuenta.
Seleccione el Tag de Filtro que quiere eliminar del submen Remove Tag (Eliminar
tag). Tenga en cuenta que no puede eliminar los Tags de Filtro System o Correlations
de los elementos del sistema por defecto.
Alternativamente, puede editar los Tags de Filtro de los elementos Filtro creados en su
sistema en la pestaa de Tags del dilogo de propiedades de cada elemento Filtro.
Aplicar Filtros
Los filtros pueden usarse para seleccionar datos en las siguientes tareas:
Examinar log, alertas y datos de auditora, vea Examinar Datos de Logs (pg. 127).
Examinar las conexiones actualmente abiertas en el cortafuegos, vea Monitorizar
Crear informes, vea Informes (pg. 145).
Seleccionar qu log pueden ver administradores con cuentas restringidas o las cuentas de
usuarios del Web Portal, vea Cuentas de Administrador (pg. 213).
Definir cmo resaltar los log en la vista de log, vea Personalizar los Colores de los Logs
(pg. 222).
Exportar log a un servidor de Syslog externo, vea Exportar Datos de Log a Syslog (pg.
282).
Examinar qu direcciones IP, puertos y protocolos estn en las listas negras de los
cortafuegos, vea Comprobar Conexiones Abiertas y Listas Negras (pg. 97).
Depurar los datos de log, vea Purgar Datos de Logs (pg. 807).
Exportar y eliminar datos de log y alertas, vea Exportar Datos de Logs (pg. 809) y
Eliminar Datos de Logs (pg. 805).
Diagramas 167
CAPTULO 12
DIAGRAMAS
Los Diagramas le permiten visualizar sus entornos de seguridad de red.
Empezar con los Diagramas (pg. 168)

Crear Diagramas (pg. 169)
Definir el Fondo del Diagrama (pg. 169)
Aadir Elementos a Diagramas (pg. 170)
Ordenar los Elementos en Diagramas (pg. 172)
Conectar Elementos en Diagramas (pg. 173)
Crear Enlaces Entre Diagramas (pg. 174)
Visualizar Diagramas (pg. 175)
Imprimir Diagramas (pg. 176)
Exportar Diagramas como Imgenes (pg. 176)
Empezar con los Diagramas

Los Diagramas le permiten generar un modelo de los elementos que ya ha configurado, o

disear un modelo de su red y configurar los elementos StoneGate a la vez. Tambin puede
usar los diagramas para ver y monitorizar el estado de los elementos de su sistema.
Qu Puede Hacer con los Diagramas
Los Diagramas le permiten:
Mantener y comprender la estructura de la red.
Monitorizar el estado de su red grficamente.
Ilustrar su topologa de red.
Configurar StoneGate y otros dispositivos de red mientras disea su red.
Guardar e imprimir topologas de red.
Qu Debera Saber Antes de Empezar
Hay tres tipos de diagramas en StoneGate: los Diagramas de Conectividad que muestran
el estado de las conexiones entre elementos que pertenecen a la misma configuracin,
Diagramas VPN que muestran el estado de las conexiones VPN, y Diagramas IP que son
diagramas de la red IP.
Adems de crear diagramas manualmente, puede crear diagramas automticamente
desde elementos que sean monitorizados en la vista de Estado del Sistema. La vista de
Estado del Sistema tambin muestra automticamente un Diagrama de Conectividad o
VPN para mostrar el estado de la conectividad del dispositivo que seleccione.

1. Cree un nuevo diagrama (vea Crear Diagramas (pg. 169)).
2. Defina el color y la imagen del fondo del diagrama (vea Definir el Fondo del Diagrama
(pg. 169)).
3. Inserte elementos en los diagramas manual o automticamente (vea Aadir Elementos a
Diagramas (pg. 170)).
4. Personalice el formato del diagrama (vea Ordenar los Elementos en Diagramas (pg.
172)).
5. Establezca conexiones de forma manual o automtica entre los elementos del
diagrama (vea Conectar Elementos en Diagramas (pg. 173)).
6. Cree relaciones entre diagramas (vea Crear Enlaces Entre Diagramas (pg.
174)).
Tareas Relacionadas
Visualizar Diagramas (pg. 175).
Imprimir Diagramas (pg. 176).
Exportar Diagramas como Imgenes (pg. 176).
Diagramas 169
Crear Diagramas
Los diagramas se crean y modifican en el Editor de Diagramas.

Hay dos mtodos para crear diagramas. Puede crear un diagrama partir de elementos
configurados previamente o aadir nuevos elementos al Management Center y dibujar el
diagrama simultneamente. Cuando crea elementos de red segn dibuja el diagrama, los
elementos se aaden a la configuracin del sistema junto a los otros elementos. Si hace
cambios a los elementos configurados (tal como un cambio de direccin IP), los cambios se
actualizan automticamente en el diagrama. Esto reduce la necesidad de actualizar su
documentacin.
Ilustracin 74: Barra de Herramientas de Edicin de Diagramas en el Editor de Diagramas

Colapsar y juntar los elementos seleccionados
Zoom Ordenar elementos seleccionados
Conectar Aadir texto

elementos Crear nuevos elementos
Para crear un nuevo diagrama

2. Pulse botn derecho sobre Diagrams (Diagramas) y seleccione NewConnectivity
Diagram (NuevoDiagrama de Conectividad), NewVPN Diagram
(NuevoDiagrama VPN), or NewIP Diagram (NuevoDiagrama IP) de acuerdo con
qu tipo de diagrama quiera crear. Se abrir un diagrama en blanco.
Para continuar
Para definir las propiedades del Fondo, proceda a Definir el Fondo del Diagrama.
Definir el Fondo del Diagrama

Las imgenes y colores de fondo mejoran la apariencia de sus diagramas y hacen ms
sencillo definir el formato. Por ejemplo, puede usar un mapa como imagen de fondo y
ordenar los elementos en el diagrama de acuerdo con su localizacin geogrfica.
Para definir el fondo del diagrama
1. Pulse botn derecho sobre el diagrama y seleccione Edit (Editar). El diagrama se abre
para la edicin.
2. Pulse botn derecho sobre el fondo del diagrama y seleccione Properties
(Propiedades). Se abrir el dilogo de Propiedades del Fondo del Diagrama.
3. Defina las propiedades del fondo segn se explica en la siguiente tabla:
Opcin Explicacin
Color
El color del fondo
(Opcional)
Background Seleccione si quiere usar una imagen, un mapa o un fondo vaco.

(Fondo) Pulse Select (Seleccionar) para elegir la imagen.
Watermark
Seleccione esta opcin si quiere que los elementos en el diagrama se distingan
(Marca de Agua)
mejor de la imagen del fondo.
(Opcional)
Keep Aspect
Ratio
(Mantener Relacin Si se selecciona esta opcin la relacin altura anchura se mantiene en la
de Aspecto) imagen de fondo.
(Solamente con
Imagen de Fondo)
Width
(Anchura)
La anchura de la imagen de fondo en pixel/pulgada.
(Solamente con
Imagen de Fondo)
Height
(Altura)
La altura de la imagen de fondo en pixel/pulgada.
(Solamente con
Imagen de Fondo)
4. Pulse OK.
Para continuar
Para seguir definiendo un nuevo diagrama, proceda a Aadir Elementos a
Diagramas (pg. 170).
Aadir Elementos a Diagramas

Prerrequisitos: Crear Diagramas
Esta seccin le mostrar cmo aadir nuevos elementos a diagramas tanto de forma manual
como automtica.
Para continuar
Si quiere insertar nuevos elementos en Diagramas manualmente, proceda a Insertar
Nuevos Elementos Manualmente (pg. 171).
Si quiere crear Diagramas desde Elementos Configurados manual o automticamente,
proceda a Crear Diagramas desde Elementos Configurados (pg. 171).
Tareas Relacionadas
Aadir Comentarios de Texto a un Diagrama (pg. 172).
Diagramas 171
Insertar Nuevos Elementos Manualmente

Para insertar un nuevo elemento a un diagrama manualmente
1. Seleccione el tipo de elemento que quiere crear en la barra de herramientas y pulse el
diagrama en el lugar donde quiere aadir el elemento. El nuevo elemento aparece
desactivado (gris) porque an no ha sido configurado.
2. Haga doble clic sobre el elemento. Se abrir el dilogo de propiedades del elemento.
3. Defina las propiedades del elemento. Para ms informacin, vea Definir Direcciones IP
(pg. 561).
4. Pulse OK. El elemento recin configurado ya no estar desactivado, y se aade a la
categora apropiada en la lista de elementos All Elements.
Para continuar
Para cambiar el diseo del diagrama, vea Ordenar los Elementos en Diagramas
(pg. 172).
Crear Diagramas desde Elementos Configurados

Adems de crear Diagramas IP, Diagramas VPN y Diagramas de Conectividad manualmente
con elementos configurados, tambin puede generar todo tipo de diagramas
automticamente desde los elementos monitorizados en StoneGate. Los elementos
monitorizados se muestran en la vista de Estado del Sistema.
Los Diagramas IP y VPN generados automticamente se basan en la informacin de
enrutamiento, de forma que muestran elementos que pertenecen a la misma configuracin
de enrutamiento. Los Diagramas de Conectividad generados automticamente contienen
elementos que pertenecen a la misma configuracin segn se ha definido en las propiedades
del servidor, cortafuegos o IPS.
Para crear un diagrama desde elementos configurados
1. Pulse el botn derecho sobre Diagrams (Diagramas) y seleccione NewConnectivity
Diagram (NuevoDiagrama de Conectividad), NewVPN Diagram
(NuevoDiagrama VPN), o NewIP Diagram (NuevoDiagrama IP). Se abrir un
diagrama en blanco.
2. Navegue hasta el tipo de elemento que quiere aadir al diagrama.
3. (En creacin automtica de diagramas) Seleccione un elemento monitorizado desde la
lista en el panel de Recursos (Resources) y arrstrelo y sultelo en el diagrama.
4. Aada los elementos al diagrama.
5. (En creacin automtica de diagramas) Pulse el botn derecho sobre el icono del
elemento y seleccione Auto GenerateAdd from Configuration
(AutoGenerarAadir desde Configuracin) o Auto GenerateAdd from Routing
(AutoGenerarAadir desde Enrutamiento). Los elementos que pertenecen a la misma
configuracin o configuracin de enrutamiento se aaden al diagrama. Los enlaces
entre elementos se aaden tambin automticamente.
6. (En creacin manual de diagramas) Arrastre los elementos existentes desde la lista en
el panel de Recursos y sultelos en el diagrama.
7. Pulse el botn Save (Guardar). Se abrir el dilogo de Propiedades de Diagrama de
Red.
8. Asigne un Nombre (Name) al diagrama y un comentario para su referencia (opcional).
9. (Opcional) Seleccione un diagrama padre para el nuevo diagrama.
10. Pulse OK.
Puede editar el diagrama generado automticamente del mismo modo que cualquier otro
diagrama. Por ejemplo, puede aadir ms elementos al diagrama arrastrando y soltando
elementos configurados desde la lista en el panel de Recursos. Esto puede ser til para
documentar su sistema aunque los elementos no pertenezcan a la misma configuracin.
Para continuar
(pg. 172).
Aadir Comentarios de Texto a un Diagrama

Para aadir comentarios de texto a un diagrama
1. Pulse el botn Text Tool (Herramienta de Texto) en la barra de herramientas.
2. Pulse en el diagrama donde quiera aadir el comentario. Se abrir el dilogo de
Propiedades de Texto.
3. Seleccione las propiedades de la fuente deseada y escriba el comentario.
4. Pulse OK. El comentario aparecer en el diagrama.
5. Si es necesario, seleccione el comentario y muvalos sobre el diagrama para cambiar
su posicin.
Para continuar
(pg. 172).
Ordenar los Elementos en Diagramas

Para mover los elementos, pulse el botn de la Herramienta Mano (Hand Tool) en la barra de
herramientas y arrastre y suelte los elementos en su lugar. Adems de mover elementos
individuales arrastrando y soltando, puede usar la Herramienta Mano para mover todos los
elementos en el diagrama.
Alternativamente, puede cambiar el diseo de su diagrama seleccionando una de las opciones de
diseo automtico..
Para cambiar el diseo automticamente
1. Pulse el botn de la herramienta Select Components (Seleccionar Componentes) (botn
flecha) en la barra de herramientas.
2. Seleccione los elementos que quiere ordenar.
3. Seleccione ToolsLayout (HerramientasDiseo) y una de las opciones. Los elementos
seleccionados en el diagrama son ordenados en el diseo que haya elegido.
Diagramas 173
Conectar Elementos en Diagramas

Tras aadir elementos al diagrama, puede conectarlos automtica o manualmente. Las conexiones
automticas se basan en las direcciones IP de los elementos en la configuracin de Enrutamiento.
Para ayudarle a mantener la claridad de sus diagramas, tambin puede utilizar puntos de giro. Los
puntos de giro son tiles, por ejemplo, en diagramas complejos donde las conexiones, de otro modo,
se cruzaran entre ellas.
Un punto de giro se crea pulsando sobre el botn Add Turning Point (Aadir Punto de Giro) en la
barra de herramientas, pulsando en el medio de la conexin entre dos elementos y arrastrando el
punto de giro en la direccin que desee para crear un ngulo.
Conectar Elementos Automticamente

Para conectar elementos automticamente en un Diagrama IP
1. Pulse el botn Select Components (Elegir Componentes) en la barra de herramientas.
2. Elija los elementos que desea conectar.
3. Seleccione ToolsAuto Connect by Routing (HerramientasAutoConectar por
Enrutamiento) o ToolsAuto Connect by Addresses (HerramientasAutoConectar por
Direcciones) desde el men. Aparecern las conexiones entre los elementos.
Tareas Relacionadas
Crear Enlaces Entre Diagramas (pg. 174).
Conectar Elementos Manualmente

Para conectar elementos manualmente
1. Pulse el botn Connection Tool (Herramienta de Conexin) en la barra de herramientas.
2. Pulse sobre el primer elemento a enlazar.
3. Arrastre el puntero al segundo elemento, y suelte el botn izquierdo del ratn. Los
elementos estarn conectados a menos que la conexin no est permitida. Puede tener
que insertar un elemento de Red entre dos elementos antes de poder conectarlos.
Si la conexin est en color rojo, con un crculo con una cruz sobre ella, la conexin no es
vlida. Esto puede ocurrir, por ejemplo, si conecta un elemento a una red con un rango de
direcciones que no incluya la direccin IP de ese elemento. Tales conexiones se permiten de
forma que pueda planificar un cambio de configuracin sin editar de hecho los elementos hasta
que haya finalizado.
Tareas Relacionadas
Crear Enlaces Entre Diagramas (pg. 174)
Crear Enlaces Entre Diagramas

Puede especificar un diagrama padre para organizar los diagramas en una jerarqua. Tambin
puede crear enlaces entre diagramas que compartan el mismo diagrama padre.
Para continuar
Para seleccionar un diagrama padre, vea Especificar un Diagrama Padre.
Para crear enlaces entre diagramas, vea Crear Enlaces desde un Diagrama a Otro
(pg. 174).
Especificar un Diagrama Padre

Los diagramas padres le permiten organizar los diagramas en una jerarqua. Para cada diagrama,
puede especificar otro diagrama como su diagrama padre. Todos los diagramas con el mismo
padre se muestran como ramas bajo el diagrama padre en el rbol.
Para especificar un diagrama padre
1. Pulse con el botn derecho el diagrama para el cual quiere especificar el diagrama
padre y seleccione Properties (Propiedades). Se abrir el dilogo de Propiedades.
2. Pulse Select (Seleccionar). Se abrir el dilogo de Seleccin de Elemento.
3. Seleccione un diagrama padre de la lista de diagramas y pulse Select.
4. Pulse OK.
Su diagrama se mostrar ahora como una rama bajo el diagrama padre seleccionado en el rbol.
Para continuar
Crear Enlaces desde un Diagrama a Otro (pg. 174)
Crear Enlaces desde un Diagrama a Otro

Puede asociar enlaces a cualquiera de los elementos del diagrama. Cuando se hace un doble clic
sobre un enlace, se abre otro diagrama. Cuando tiene una red grande, los enlaces le permiten usar
simplemente un icono de red para representar segmentos individuales de red en un diagrama de
alto nivel, y crear enlaces desde ellos a diagramas ms detallados.
Antes de poder aadir un enlace, deber tener al menos dos diagramas bajo el mismo diagrama padre.
Nota No puede crear enlaces entre diagramas con diferentes diagramas padre.
Para aadir un enlace de diagrama a un elemento

1. Pulse el botn derecho sobre el elemento que quiere hacer funcionar como un enlace, y
seleccione Link To (Enlazar a). Se abrir el dilogo de Seleccionar Destino del Enlace.
2. Seleccione en diagrama a enlazar y pulse Select.
3. Pulse el botn Save (Guardar) en la barra de herramientas para guardar el diagrama.
Diagramas 175
Visualizar Diagramas
Para abrir un diagrama para visualizarlo

Pulse el botn derecho sobre el diagrama que quiere abrir y seleccione Preview Connectivity
Diagram (Pre visualizar Diagrama de Conectividad), Preview VPN Diagram (Pre visualizar
Diagrama VPN) o Preview IP Diagram (Pre visualizar Diagrama IP) desde el men. El
diagrama seleccionado se abre para su visualizacin.
Ajustar los Detalles de Elementos en os Diagramas

Los detalles de los elementos (nombre, direccin IP, tipo, etc.) pueden mostrarse como texto bajo
los elementos en el diagrama como texto emergente (tooltips) que slo aparece cuando se sita el
cursor del ratn sobre un elemento del diagrama.
Para elegir los detalles a mostrar bajo los elementos
1. Seleccione ViewDiagram Attribute Level (VerNivel de Atributos del Diagrama)
desde el men.
2. Seleccione uno de los elementos para ajustar qu detalles (No Labels Sin Etiquetas,
Names Only Slo Nombres, Main Details Detalles Principales, All Details Todos
los Detalles) se muestran bajo cada elemento del diagrama.
Para seleccionar los detalles mostrados como texto emergente
1. Seleccione ViewTooltip Attribute Level (VerNivel de Atributos del texto
Emergente) desde el men.
2. Seleccione uno de los elementos para ajustar qu detalles (No Labels Sin Etiquetas,
Names Only Slo Nombres, Main Details Detalles Principales, All Details Todos
los Detalles) se muestran como texto emergente para cada elemento cuando site el
puntero del ratn sobre ellos en el diagrama.
Colapsar y Expandir Grupos de Elementos en Diagramas

Puede colapsar y expandir elementos de clster (por ejemplo un clster de cortafuegos o
sensores) o grupos de elementos (cualquier grupo de elementos que seleccione) para ocultar los
nodos o elementos individuales. Esto puede hacer un diagrama complicado mucho ms simple, ya
que los elementos individuales pueden verse slo cuando se necesiten. Esto puede hacerse al
visualizar y al editar los diagramas.
Para colapsar elementos
1. Pulse el botn Select Components (Seleccionar Componentes) (botn flecha) y
seleccione dos o ms elementos, o al menos uno de los nodos de un clster expandido.
2. Pulse el botn Collapse Selected Component(s) (Colapsar Componentes
Seleccionado) en la barra de herramientas. Si se seleccionaron varios elementos, ahora
se muestran como una nica nube con el texto Collapsed Area (rea Colapsada). Los
elementos de clster se colapsan en un icono de clster apropiado.
Para expandir elementos
1. Seleccione un elemento clster o un grupo de elementos colapsado pulsando su icono.
2. Pulse el botn Expand Selected Component(s) (Expandir Componentes
Seleccionado) en la barra de herramientas. Se mostrarn los nodos individuales o
elementos. Los nodos se muestran con un smbolo amarillo con un signo menos para
ilustrar su asociacin con un clster expandido.
Hacer Zoom y Navegar por los Diagramas

Adems de las varias herramientas para hacer zoom sobre el diagrama (Zoom In, Zoom Out, etc.),
puede usar tambin la herramienta de Navegacin de Diagramas que le ofrece una forma rpida
de hacer zoom sobre partes seleccionadas del diagrama
Para usar la herramienta de Navegacin de Diagramas
1. Si el panel de Navegacin de Diagramas no se muestra, seleccione ViewDiagram
Navigation (VerNavegacin de Diagramas) para activar la herramienta.
2. Pulse y arrastre en el rea fuera del rectngulo negro para hacer zoom in y out.
3. Pulse dentro del rectngulo negro para ajustar qu parte del diagrama se muestra.
4. Seleccione ViewZoomDefault Zoom (VerZoomZoom por Defecto) para ver la
vista por defecto de nuevo.
Imprimir Diagramas
Puede imprimir directamente los diagramas con su impresora.

Para imprimir un diagrama
1. Abra el diagrama que quiere imprimir (vea Visualizar Diagramas (pg. 175)).
2. (Opcional) Seleccione FilePrint Preview (ArchivoVista Preliminar). Se abrir la
vista preliminar.
3. (Opcional) Seleccione el rea de impresin arrastrando la caja blanca a la parte del
diagrama que quiere imprimir.
4. (Opcional) Ajuste el tamao del rea de impresin arrastrando el borde de la caja
blanca.
5. Pulse el botn Print (Imprimir) en la barra de herramientas.
Exportar Diagramas como Imgenes

Puede exportar los diagramas que ha creado. Puede guardar los diagramas en varios formatos de
fichero de grficos o como documento PDF.
Para exportar un diagrama
1. Abra el diagrama que quiere exportar (vea Visualizar Diagramas (pg. 175)).
2. Seleccione FileExport (ArchivoExportar). Se abrir el dilogo de Exportacin.
Nota Para exportar el diagrama como una imagen, seleccione el elemento Export
(Exportar) en el nivel principal del men de Archivo (File). Exportar mediante el submen
Export crea un fichero de exportacin XML.
3. Seleccione la carpeta donde quiere guardar el diagrama.

4. Introduzca un Nombre de Fichero (File name).
5. Seleccione el formato de la lista de Tipos de Archivo (Files of Type).
6. Pulse Export. El diagrama se guarda con el nombre y formato especificados.
Casos de Incidente 177
CAPTULO 13
CASOS DE INCIDENTE
Cuando se detecta actividad sospechosa, es importante recoger toda la informacin

acerca del incidente y actuar rpidamente. El elemento Casos de Incidente (Incident
cases) es una herramienta para investigar incidentes de actividad sospechosa.
Empezar con los Casos de Incidentes (pg. 178)

Crear un Nuevo Caso de Incidente (pg. 179)
Establecer un Contexto de Incidente (pg. 179)
Anexar Datos a Casos de Incidentes (pg. 180)
Aadir Players a Casos de Incidentes (pg. 183)
Aadir Entradas de Diario a Casos de incidentes (pg. 183)
Trabajar con Casos de Incidentes Existentes (pg. 184)
Empezar con los Casos de Incidentes

Qu Hacen los Casos de Incidente

El elemento Caso de Incidente le permiten agrupar todos los datos, acciones, informacin de
configuracin del sistema, y los ficheros relacionados con un incidente especfico. Esta informacin
es til para una investigacin efectiva del incidente, y tambin ayuda a proporcionar evidencias en
caso de acciones legales.
Limitaciones de los Casos de Incidente
Cuando escribe un Memo en un caso de incidente, el texto no se ajusta automticamente en el
dilogo de Propiedades del Memo del Incidente. Puede pulsar Enter al final de cada lnea si
quiere que su texto comience en una nueva lnea.
Los Memos se eliminan permanentemente cuando se quitan de un caso de incidente. Otros tipos de
anexos pueden aadirse otra vez si los elimina por error. Vea Anexar Datos a Casos de Incidentes
(pg. 180).

Ilustracin 75: Elementos en la Configuracin de Casos de Incidentes
Pestaa Recoleccin de Datos Pestaa Lista de Players
1. Cree un caso de incidente. Vea Crear un Nuevo Caso de Incidente (pg. 179).
2. Anexe los log relevantes, Snapshots de Polticas, Memos y ficheros al caso de incidente.
Vea Anexar Datos a Casos de Incidentes (pg. 180).
3. Aada los elementos de red implicados en el incidente al caso. Vea Aadir Players a Casos de
Incidentes (pg. 183).
4. Aada entradas de diario al caso de incidente. Vea Aadir Entradas de Diario a Casos de
incidentes (pg. 183).
Para continuar
Para comenzar la configuracin, proceda a Crear un Nuevo Caso de Incidente (pg.
179).
Crear un Nuevo Caso de Incidente

Para crear un nuevo caso de incidente

(ConfiguracinConfiguracinMonitorizacin) desde el men.
2. Pulse el botn derecho sobre Incident Cases (Casos de Incidente) y seleccione New
Incident Case (Nuevo Caso de Incidente). Se abrir el dilogo de Propiedades del
Caso.
Ilustracin 76: Propiedades del Caso de Incidente
3. Introduzca un nombre (Name) nico, (opcional) Comentario (Comment), y (opcional)

Prioridad (Priority).
4. La informacin de prioridad es para su referencia, y no es usada por el sistema.
5. El Estado (State) no puede cambiarse durante la creacin del nuevo caso de incidente.
Para cambiar el estado, vea Cambiar el Estado de un Caso de Incidente (pg. 185).
6. Pulse OK. El nuevo caso de incidente se abrir para edicin.
Establecer un Contexto de Incidente

Para establecer el contexto del incidente
1. Seleccionar ViewLayout (VerDiseo) desde el men, y seleccione Incident
Context Toolbar (Barra de Herramientas de Contexto de Incidente). Aparecer la
seleccin de Contexto de Incidente en la barra de herramientas.
2. Seleccione el caso de Incidente al cual quiere aadir informacin. La barra de estado
cambia a naranja cuando se selecciona un Caso de Incidente.
Para continuar
Anexe Logs, Snapshots de Polticas, Memos y ficheros al Caso de Incidente segn se
indica en Anexar Datos a Casos de Incidentes (pg. 180).
Aada Players al Caso de Incidente segn se explica en Aadir Players a Casos de
Escriba Entradas de Diario segn se indica en Aadir Entradas de Diario a Casos de
Anexar Datos a Casos de Incidentes

Prerrequisitos: Crear un Nuevo Caso de Incidente, Abrir un Caso de Incidente para Edicin
Puede usar la pestaa de Recoleccin de Datos para anexar informacin necesaria para
investigar el incidente.
Los tipos de datos que pueden anexarse a un caso de incidente son Logs, Snapshots de
Polticas, Memos y Ficheros.
Para continuar
Para anexar Logs, vea Anexar Logs y Entradas de Auditora a Casos de Incidentes (pg.
180).
Para anexar Snapshots de Polticas, vea Anexar Snapshots de Polticas a Casos de
Para escribir y anexar Memos, vea Anexar Memos a Casos de Incidentes (pg. 182).
Para anexar otros tipos de ficheros, vea Anexar Ficheros a Casos de Incidentes (pag.
182).
Anexar Logs y Entradas de Auditora a Casos de Incidentes

Puede anexar log o entradas de auditora individuales, grupos o todos los log y entradas de
auditora que cumplan con su criterio de bsqueda a un caso de incidente. Tambin es
posible anexar datos de log o auditora a casos de incidentes directamente desde la vista de
Logs.
Para anexar logs o entradas de auditora
1. Seleccione FileAttach Logs (ArchivoAnexar Logs) en la pestaa de recoleccin de
Datos del caso de incidente. Se abrir la vista de Logs.
2. (Opcional) Para restringir los datos mostrados, especifique su criterio de bsqueda en el
panel de Consultas. Vea Filtrar Logs en la Vista de Logs (pg. 134) para ms detalles.
3. Para anexar un log individual o un grupo de log seleccionados, seleccione el o los log
que quiere anexar, pulse botn derecho sobre la seleccin y seleccione
ExportAttach Log Events to Incident (ExportarAnexar Eventos de Log a
Incidente). Para anexar todos los log que coinciden con su criterio de filtrado, pulse el
botn derecho sobre cualquier entrada de log y seleccione ExportAttach Log
Events to Incident (ExportarAnexar Eventos de Log a Incidente). Se abrir el dilogo
de Anexar Logs a Caso de Incidente.
Ilustracin 77: Anexar Logs a Caso de Incidente
4. Introduzca una Descripcin (Description) para los log. Esto se usar como nombre de
los datos en el Caso de incidente.
5. Seleccione Other (Otro) de la lista Incident Case Target (Objetivo del Caso de
Incidente). Se abrir el dilogo de Seleccin.
6. Seleccione el Caso de Incidente al que quiere anexar los log y pulse Select.
7. Especifique qu log quiere Anexar (Attach):
Seleccione Selected log (Logs Seleccionados) para aadir slo las entradas
especficas seleccionadas.
Seleccione Filtered log from (Logs Filtrados desde) para aadir todos los log que
cumplen con su criterio de bsqueda.
8. (Opcional) Seleccione Create Link Only (Slo Crear Enlace) si quiere crear una
referencia a los log sin duplicar los ficheros de log.
9. (Opcional) Seleccione Create also Players based on the following log fields (Crear
tambin Players basados en los siguientes campos de log) y elija los campos si quiere
recuperar automticamente la informacin del Player relacionada con estos log.
10. (Opcional) Seleccione Time out (Tiempo de espera agotado) para parar
automticamente la exportacin si lleva demasiado tiempo.
11. Pulse OK. Los log seleccionados son anexados al caso de incidente y aparecen en la
pestaa de Recoleccin de Datos.
Para continuar
Para aadir Snapshots de Polticas, vea Anexar Snapshots de Polticas a Casos
de Incidentes (pg. 181).
Para escribir y anexar Memos, vea Anexar Memos a Casos de Incidentes (pg.
182).
Para anexar otros tipos de ficheros, vea Anexar Ficheros a Casos de Incidentes
(pg. 182).
Si ha terminado de trabajar con anexos de datos, aada Players segn se indica
en Aadir Players a Casos de Incidentes (pg. 183) o aada entradas de diario
segn se explica en Aadir Entradas de Diario a Casos de Incidentes (pg. 183).
Anexar Snapshots de Polticas a Casos de Incidentes

Los Snapshots de Polticas ayudan a establecer qu polticas estaban activas en el momento
del incidente.
Para anexar un snapshot de polticas
1. Seleccione FileAttach Policy Snapshot (ArchivoAnexar Snapshot de Poltica) en
la pestaa de Recoleccin de Datos. Se abrir el dilogo de Seleccin de Snapshot de
Poltica.
2. Seleccione el snapshot que quiere anexar y pulse Select. El snapshot se anexar al
caso de incidente y aparece en la pestaa de Recoleccin de Datos.
Para continuar
Para escribir y anexar Memos, vea Anexar Memos a Casos de Incidentes (pg.
182).
Para anexar otros tipos de ficheros, vea Anexar Ficheros a Casos de Incidentes
(pg. 182).
Si ha terminado de trabajar con anexos de datos, aada Players segn se indica
en Aadir Players a Casos de Incidentes (pg. 183) o aada entradas de diario
segn se explica en Aadir Entradas de Diario a Casos de Incidentes (pg. 183).
Anexar Memos a Casos de Incidentes

Los Memos le permiten tomar notas sobre el incidente. Puede copiar y pegar datos en el
memo. Los Memos pueden ser editados y eliminados tras aadirlos al caso de incidente. Si
quiere aadir comentarios y notas permanentes de slo lectura sobre el incidente, vea Aadir
Entradas de Diario a Casos de Incidentes (pg. 183).
Para anexar un Memo
1. Seleccione FileAttach Memo (ArchivoAnexar Memo) en la pestaa de Recoleccin
de Datos. Se abrir el dilogo de Propiedades de Memo de Incidente.
2. Proporcione un Nombre (Name) descriptivo. Este se usar como nombre del elemento
de datos en el caso de incidente.
3. Escriba o pegue el texto del Memo en el campo Text (Texto).
4. Pulse OK. El memo se aade a la lista de Recoleccin de Datos.
Para continuar
Para anexar otros tipos de ficheros, vea Anexar Ficheros a Casos de Incidentes (pg.
182).
Si ha terminado de trabajar con anexos de datos, aada Players segn se indica en
Aadir Players a Casos de Incidentes (pg. 183) o aada entradas de diario segn se
explica en Aadir Entradas de Diario a Casos de Incidentes (pg. 183).
Anexar Ficheros a Casos de Incidentes

Puede anexar cualquier tipo de fichero, tal como informes guardados, ficheros de texto,
mensajes de correo guardados, ficheros de captura de paquetes o capturas de pantallas a
casos de incidentes. Si quiere aadir una nueva versin de un fichero, deber primero
eliminar el anexo existente del caso de incidente.
Para anexar un fichero
1. Seleccione FileAttachFile (ArchivoAnexarArchivo) en la pestaa de
recoleccin de datos. Se abrir el dilogo de Abrir fichero.
2. Navegue hasta el fichero que quiere anexar. Seleccione el fichero y pulse Open (Abrir).
El fichero se aadir a la lista de Recoleccin de Datos.
Para continuar
Si ha terminado de trabajar con anexos de datos, aada Players segn se indica en
Aadir Players a Casos de Incidentes (pg. 183) o aada entradas de diario segn se
Aadir Players a Casos de Incidentes

Prerrequisitos: Crear un Nuevo Caso de Incidente
Un Player es cualquier elemento que estuviera involucrado en el incidente. Los Players

relacionados pueden obtenerse automticamente cuando se anexan log o entradas de auditora
(vea Anexar Logs y Entradas de Auditora a Casos de Incidentes (pg. 180)), o puede aadir
Players manualmente. Alternativamente, puede copiar y pegar elementos en la pestaa de Lista
de players de un caso de incidente.
Para aadir un player
1. Seleccione FileNew Player (ArchivoNuevo Player) en la pestaa de Lista de
players. Se abre el dilogo de Propiedades del Player.
2. Proporcione un Nombre (Name) nico para el Player. Este nombre se usa en la Lista de
Players.
3. Introduzca la Direccin IPv4 (IPv4 Address) del Player o su nombre DNS (DNS Name)
y pulse Resolve para resolver el nombre DNS a una direccin IP. Elements
(Elementos) muestra una lista de elementos Player.
4. (Opcional) Aada un Comentario (Comment).
5. Pulse OK. El Player se aade a la Lista de Players.
Para continuar
Si ha terminado de trabajar con la Lista de players, aada datos segn se indica en
Anexar Datos a Casos de Incidentes (pg. 180) o aada entradas de diario segn se
Aadir Entradas de Diario a Casos de Incidentes

El diario le permite garbar sus observaciones y comentarios sobre las acciones del administrador
durante la investigacin del incidente. Esto es especialmente til cuando ms de un administrador
investiga el incidente simultneamente. Las entradas de diario se marcan automticamente con
una marca de tiempo, y una vez son aadidas, no pueden ser eliminadas.
Para aadir una entrada de diario
Escriba la entrada de diario en el campo Additional Comment (Comentario Adicional) y pulse
Commit (Aceptar). La entrada de diario se aade a la lista.
Trabajar con Casos de Incidentes Existentes

Tras haber creado un caso de incidente, puede editar sus contenidos y propiedades segn sea
necesario.
Para continuar
Para abrir un caso de incidente existente, vea Abrir un Caso de Incidente para
Edicin (pg. 184).
Para cambiar la prioridad del caso de incidente, vea Cambiar la Prioridad de un
Caso de Incidente (pg. 184).
Para cambiar el estado del caso de incidente, vea Cambiar el Estado de un Caso
de Incidente (pg. 185).
Para comprobar la historia del incidente, vea Comprobar la Historia del Incidente
(pg. 185).
Abrir un Caso de Incidente para Edicin

Para abrir un caso de incidente para su edicin
2. Seleccione Incident Cases (Casos de Incidentes) en la vista de rbol.
3. Pulse el botn derecho sobre el caso de incidente que quiere abrir y seleccione Edit
Incident Case (Editar Caso de Incidente). La vista de Caso de Incidente se abre para
edicin.
4. Edite el Caso de incidente segn sea necesario:
Anexar datos (vea Anexar Datos a Casos de Incidentes (pg. 180)).
Aadir Players (vea Aadir Players a Casos de Incidentes (pg. 183)).
Escribir entradas de diario (vea Aadir Entradas de Diario a Casos de Incidentes (pg.
183)).
Cambiar la Prioridad de un Caso de Incidente

La Prioridad por defecto de un caso de incidente es Low (Baja) cuando se crea el caso. La
informacin de Prioridad es slo para su referencia, y no es usada por el sistema. Segn avance la
investigacin del incidente, puede cambiar su prioridad segn sea necesario.
Para cambiar la prioridad de un caso de incidente
1. Pulse el botn derecho sobre el Caso de Incidente cuya prioridad quiere cambiar y
seleccione Properties (Propiedades). Se abrir el dilogo de Propiedades.
2. Seleccione la nueva Prioridad y pulse OK.
Para continuar
Para cambiar el estado del caso de incidente, vea Cambiar el Estado de un
Caso de Incidente (pg. 185).
Para comprobar la historia del incidente, vea Comprobar la Historia del
Incidente (pg. 185).
Cambiar el Estado de un Caso de Incidente

El Estado (State) por defecto de un caso de incidente cuando se crea es Open (Abierto). La
informacin de Estado es slo para su referencia, y no es usada por el sistema. Segn
avance la investigacin del incidente, puede modificar su Estado convenientemente.
Para cambiar el estado de un Caso de incidente
1. Pulse el botn derecho sobre el Caso de Incidente cuyo estado quiere cambiar y
seleccione Properties (Propiedades). Se abrir el dilogo de Propiedades.
2. Seleccione el nuevo Estado (State):
Open (Abierto): El caso de incidente ha sido creado, pero su investigacin an no ha
comenzado.
Under Investigation (Bajo Investigacin): El caso de incidente est siendo investigado
activamente.
False Positive (Falso Positivo): Una actividad legtima fue incorrectamente interpretada
como sospechosa. No existe ningn incidente actualmente.
Closed (Cerrado): La investigacin ha terminado.
3. Pulse OK. El estado del caso de incidente se cambia.
Para continuar
Para comprobar la historia del incidente, vea Comprobar la Historia del Incidente
(pg. 185).
Comprobar la Historia del Incidente

La pestaa de Historia del incidente muestra todas las entradas de log y de auditora que
siguen acciones llevadas a cabo en la vista de este Caso de Incidente.
Para comprobar la historia del incidente
Seleccione ViewIncident History (VerHistoria del Incidente). Se abrir la pestaa de
Historia del Incidente.
187
CONTROLAR LOS DISPOSITIVOS

En esta seccin:
Cambiar el Estado de un Caso de Incidente - 189
Parar el Trfico Manualmente - 197
Trabajar en la Lnea de Comando del Dispositivo - 201

Controlar el Funcionamiento del Dispositivo 189
CAPTULO 14
CONTROLAR EL FUNCIONAMIENTO DEL

DISPOSITIVO
Esta seccin explica los comandos y opciones disponibles para dispositivos cortafuegos
e IPS, as como algunas tareas comunes relacionadas con cambiar su configuracin.
Controlar los Dispositivos Remotamente (pg. 190)

Controlar los Dispositivos Localmente (pg. 192)
Establecer la Opciones del Dispositivo (pg. 192)
Cambiar el Estado de un NetLink Manualmente (pg. 195)
Desactivar/Activar Nodos de Clster (pg. 195)
Editar las Configuraciones de los Dispositivos (pg. 196)
Controlar los Dispositivos Remotamente

Prerrequisitos: Los dispositivos deben tener una configuracin de trabajo vlida
Puede controlar todos los dispositivos remotamente desde el Management Client mediante el
men de botn derecho del elemento correspondiente. Los comandos disponibles dependen
del tipo de componente. En un clster, los comandos que afectan al estado operativo de los
dispositivos solamente pueden aplicarse a los nodos individuales uno a uno, no a todo el
clster.
Puede proporcionar comandos y establecer opciones para ms de un dispositivo a la vez
seleccionando los elementos con Shift- o Ctrl-..
Este tema se cubre en los siguientes apartados:
Poner Online los Dispositivos (pg. 190)
Poner Offline los Dispositivos (pg. 191)
Poner Nodos en Standby (pg. 191)
Reiniciar Nodos (pg. 191)
Refrescar la Poltica Actualmente Instalada (pg. 192)
Poner Online los Dispositivos

Los dispositivos en estado offline (el icono de estado est azul y el texto de estado muestra offline)
pueden ser puestos online mediante el men de botn derecho si no hay problemas de
configuracin que evitaran que el nodo/clster funcionara normalmente. Los problemas tpicos que
pueden evitar que un nodo se ponga online incluyen una configuracin de trabajo (poltica)
incorrecta, fallos en los chequeos automticos, o problemas en la conexin de heartbeat entre
nodos en los clster (vea Un Nodo no se Pone o Mantiene Online (pg. 876) para ms
informacin).
Nota Tambin puede ser capaz de enviar comandos a nodos en estado desconocido
(icono gris), pero no ver un cambio de estado. Pues que el actual estado operacional no
est disponible, el nodo puede estar ya online, en cuyo caso recibir un error si intenta
ponerlo online nuevamente.
Para ordenar a un dispositivo cortafuegos o sensor ponerse Online

1. Seleccione MonitoringSystem Status (MonitorizacinEstado del Sistema) desde
el men.
2. Expanda el rbol hasta que vea los nodos de dispositivo individuales.
3. Pulse el botn derecho sobre el nodo offline y seleccione una de las siguientes
opciones:
CommandsGo Online (ComandosPoner Online): El nodo seleccionado se pondr
en estado online y comenzar a procesar trfico de acuerdo con la poltica instalada.
CommandsLock Online (ComandosBloquear Online): El nodo se pone online y
se mantiene as incluso si un proceso trata de cambiar su estado. Condiciones serias
de error todava pueden forzar al nodo a ponerse offline.
4. Pulse OK para confirmar su comando. El estado se actualizar en breve.
Nota Si el clster est en modo standby, slo un nodo a la vez puede estar online.
Ordenar a un nodo en standby ponerse online cambia el nodo online a standby. Vea
Ajustar los Parmetros de Clster del Cortafuegos (pg. 419).
Poner Offline los Dispositivos

En el estado offline, los dispositivos paran de procesar trfico, pero permanecen
operacionales y listos para ser puestos otra vez online bien automticamente o por orden del
administrador, dependiendo de la configuracin seleccionada.
Precaucin Cuando pone un nodo offline, deja de procesar trfico. En los cortafuegos,
el trfico se para a menos que otros nodos del clster puedan asumirlo.
Para ordenar a un dispositivo cortafuegos o sensor ponerse Offline

men.
3. Pulse el botn derecho sobre el nodo online o en standby y seleccione una de las
siguientes opciones:
CommandsGo Offline (ComandosPoner Offline): el nodo seleccionado se pone
offline y deja de procesar trfico.
CommandsLock Offline (ComandosBloquear Offline): el nodo se pone offline y se
mantiene as incluso si un proceso trata de cambiar su estado.
Poner Nodos en Standby

Cuando un clster se ejecuta en modo standby, slo un nodo a la vez est procesando
trfico; los otros nodos en ejecucin estn en espera (standby). Los nodos en standby
mantienen un seguimiento del trfico de modo que puedan tomar el control si el nodo activo
falla. Slo un nodo a la vez est en estado online, y el resto estn en modo standby u offline.
Cuando ordena a un nodo ponerse en standby, un nodo en standby del clster (si hay
alguno) automticamente pasa a online para controlar el trfico.
Para ordenar a un dispositivo cortafuegos o sensor ponerse en Standby
men.
3. Pulse el botn derecho sobre un nodo Offline u Online y seleccione
CommandsStandby (ComandosStandby) desde el men que se abre. Se mostrar
un dilogo de confirmacin.
Reiniciar Nodos
Precaucin Si est reiniciando un clster, reinicie los nodos uno a uno para evitar
cortes de servicio. Si ordena a todos los nodos reiniciarse, se reiniciarn a la vez.
Para reiniciar un nodo

men.
3. Pulse botn derecho sobre el nodo y seleccione CommandsReboot
(ComandosReiniciar). Se mostrar un dilogo de confirmacin.
4. Pulse OK para confirmar su comando. Puede monitorizar el proceso de reinicio
siguiendo los cambios en el estado del elemento.
Refrescar la Poltica Actualmente Instalada

Puede reinstalar la poltica actualmente instalada de uno o ms componente para transferir
cualquier cambio de configuracin que haya hecho en el sistema o en la propia poltica
desde la ltima instalacin de la misma. La poltica de IPS solamente se instale en los
Sensores. El Analyzer recibe automticamente su poltica cuando la poltica de IPS se
refresca en el Sensor.
Nota En los clster, todos los nodos deben estar operacionales o explcitamente
desactivados para que la instalacin de la poltica sea exitosa (vea Desactivar Nodos de
un Clster Temporalmente (pg. 195)).
Refrescar la poltica actualmente instalada

el men.
3. Pulse el botn derecho sobre el dispositivo y seleccione Current Policy Refresh
(Refrescar Poltica Actual). Se abrir el dilogo de Propiedades de la Tarea.
Pulse el icono de clster de nivel superior, no los nodos individuales bajo el icono
principal.
Los cortafuegos SOHO no tienen polticas. Seleccione ConfigurationApply
Configuration (ConfiguracinAplicar Configuracin) en su lugar para un cortafuegos
SOHO.
4. Pulse OK.
Tareas Relacionadas
Crear y Gestionar Elementos de Polticas (pg. 497).
Controlar los Dispositivos Localmente

En circunstancias normales, debera controlar los dispositivos mediante el Management

Client. Para situaciones anormales, hay herramientas limitadas para proporcionar algunas
rdenes bsicas (como poner online/offline) a travs del interfaz de lnea de comando del
dispositivo:
Las herramientas disponibles se listan en Comandos del Dispositivo (pg. 926).
Para informacin acerca de cmo acceder a la lnea de comando del dispositivo, vea
Empezar con la Lnea de Comando del Dispositivo (pg. 202).
Establecer la Opciones del Dispositivo

Activar/Desactivar la Monitorizacin de Estado del Dispositivo

Por defecto, la monitorizacin se activa automticamente para todos los dispositivos, pero
puede desactivarse si es necesario.
Para desactivar/reactivar la monitorizacin de Cortafuegos o Sensores
el men.
3. Pulse el botn derecho sobre un dispositivo y seleccione Options en el men.
4. Pulse el icono de alto nivel, no los nodos individuales bajo el icono principal.
5. Deseleccione/seleccione Monitored (Monitorizado). En breve, el estado cambiar a Not

Monitored (No Monitorizado) y los iconos asociados con el elemento cambiarn a color
blanco.
Activar/Desactivar los Diagnsticos de Cortafuegos/VPN

El modo de Diagnsticos proporciona datos de log ms detallados para la resolucin de
problemas. Los diagnsticos slo estn disponibles para cortafuegos, excluyendo los
cortafuegos SOHO.
Nota Desactive los diagnsticos tras resolver el problema para evitar sobrecargar el
Log Server con datos de logs.
Para activar/desactivar los diagnsticos

men.
3. Pulse el botn derecho sobre el elemento Cortafuegos/Clster de Cortafuegos al cual
quiera aplicar los diagnsticos y seleccione OptionsDiagnostics
(OpcionesDiagnsticos). Se abrir el dilogo de diagnsticos.
Pulse el icono de alto nivel, no los nodos individuales bajo el icono principal.
4. Seleccione/deseleccione la opcin Diagnostic arriba.
5. Seleccione los modos de diagnstico que quiere aplicar al Cortafuegos/Clster de
Cortafuegos seleccionado cuando se activen los diagnsticos.
6. Pulse OK. Los cambios se aplican inmediatamente.
Activar/Desactivar la Replicacin de la BBDD de Usuarios

Los cortafuegos tienen una rplica local de la base de datos LDAP interna del Management
Server, que puede almacenar cuentas para usuarios finales para propsitos de autenticacin.
Por defecto, todos los cambios se replican inmediatamente desde la base de datos del
Management Server a las rplicas locales de los cortafuegos, pero dispone de la opcin de
desactivar la replicacin.
Para desactivar/reactivar la replicacin de la base de datos de usuarios
men.
4. Deseleccione/Seleccione User DB Replication (Replicacin de BBDD de Usuarios).
Activar/Desactivar la Vigilancia de Estado

Por defecto, no hay avisos a los administradores si el estado de los dispositivos cambia a un
estado desconocido. Puede opcionalmente activar la vigilancia de estado, que genera una
alerta si un dispositivo o ninguno de los dispositivos de un clster no envan una
actualizacin de estado durante 15 minutos.
Para activar/desactivar la vigilancia de estado
men.
4. Seleccione/deseleccione Status Surveillance (Vigilancia de Estado).
Para continuar
Asegrese de que las Alertas del Sistema son escaladas para que la notificacin se
enve si la vigilancia de estado detecta un fallo. Vea Empezar con el Escalado de
Alertas (pg. 230).
Activar/Desactivar el Acceso por SSH al Dispositivo

El acceso remoto seguro a los dispositivos lo proporciona el proceso demonio SSH. Este
proceso puede ser iniciado y parado remotamente segn se explica en esta seccin. Para
mxima seguridad, le recomendamos desactivar el acceso por SSH cuando no se use.
Alternativamente, puede activar y desactivar el acceso por SSH cuando est conectado al
nodo segn se explica en Reconfigurar los Parmetros Bsicos del Dispositivo (pg. 203).
SSH usa el puerto TCP 22. Asegrese de que las conexiones estn permitidas en las
polticas de cualquier cortafuegos involucrado en las comunicaciones (incluyendo el
cortafuegos con el que intenta contactar).
Para activar/desactivar el acceso por SSH
el men.
3. Pulse el botn derecho sobre un nodo y seleccione CommandsEnable SSH
(ComandosActivar SSH) o CommandsDisable SSH (ComandosDesactivar
SSH). El proceso SSH se iniciar o parar en el dispositivo.
Cambiar la Contrasea del Dispositivo

La contrasea para acceder a la lnea de comando del dispositivo puede cambiarse
remotamente desde el Management Client segn se explica en esta seccin. La cuenta de
usuario para el acceso por lnea de comando siempre es root.
Alternativamente, si recuerda la contrasea antigua, puede cambiarla cuando est conectado
en el nodo segn se explica en Reconfigurar los Parmetros Bsicos del Dispositivo (pg.
203).
Para cambiar la contrasea de la lnea de comando remotamente
el men.
3. Pulse el botn derecho sobre un nodo y seleccione CommandsChange Password
(ComandosCambiar Contrasea). Se abrir el dilogo de Cambio de Contrasea.
4. Escriba la nueva contrasea en ambos campos y pulse OK. La nueva contrasea es
efectiva inmediatamente.
Cambiar el Estado de un NetLink Manualmente

Prerrequisitos: Crear NetLinks, Crear un Elemento Multi-Link de Salida
Para cambiar el estado de un NetLink, debe estar operacional. Los NetLinks con estado
desconocido (color gris) no pueden recibir rdenes.
Para cambiar el estado de un NetLink manualmente
men.
2. Expanda la rama Multi-Link y el cortafuegos correspondiente para ver los NetLinks del
cortafuegos.
3. Pulse botn derecho sobre el NetLink cuyo estado quiere cambiar y seleccione::
CommandsForce NetLink Enable (ComandosForzar NetLink Activo) para poner el
NetLink en estado activo permanentemente independientemente de los resultados de los
chequeos.
CommandsForce NetLink Disable (ComandosForzar NetLink Inactivo) para poner
el NetLink en estado inactivo permanentemente independientemente de los resultados
de los chequeos.
CommandsReset to Auto (ComandosRestaurar a Automtico) para volver a poner
el NetLink en un estado automtico en el cual el NetLink se usa en base a los resultados
de los chequeos.
Desactivar/Activar Nodos de Clster

Desactivar Nodos de un Clster Temporalmente

Desactivar un nodo es requerido para permitir la gestin continua de los otros miembros del clster
si un nodo se queda fuera de operacin. Cuando desactiva un nodo, puede eliminarlo fsicamente
del clster sin eliminar su definicin del sistema.
Desactivar el nodo avisa a los otros nodos y el Management Server que no es necesario intentar
contactar con l, evitando intentos de comunicaciones innecesarias, alertas, fallos en chequeos,
etc. Desactivar un nodo tambin permite instalaciones de poltica en los otros nodos cuando un
nodo est apagado o presenta un funcionamiento incorrecto. No se pueden enviar comandos a un
nodo desactivado y no est disponible informacin de monitorizacin del mismo.
Para desactivar un nodo de un clster
men.
3. Si el nodo est online, pulse el botn derecho sobre el nodo que quiere desactivar y
seleccione CommandsLock Offline (ComandosBloquear Offline).
4. Haga doble clic sobre el elemento clster. Se abrir el dilogo de propiedades del
clster.
5. En la tabla de Nodos (Nodes) en la pestaa Cluster, seleccione la opcin Disabled
(Desactivado) para los nodos que desee desactivar y pulse OK.
6. Refresque la poltica del clster.
Cuando reactive el nodo, siga el procedimiento explicado en Reactivar Nodos Desactivados de
un Clster (pg. 196).
Reactivar Nodos Desactivados de un Clster

Cuando un nodo de clster ha sido desactivado, su configuracin tpicamente queda
obsoleta por las instalaciones de polticas hechas en los otros miembros. Esto evita que el
nodo funcione normalmente y puede en algunos casos perturbar la operacin de todo el
clster. Siga el siguiente procedimiento para poner el nodo operacional.
Para activar un nodo de un clster
1. (Recomendado) Antes de conectar el nodo desactivado (el mismo dispositivo fsico o un
sustituto) en las redes operativas, ponga el nodo en el estado inicial de configuracin
usando el comando sg-reconfigure desde la lnea de comando del dispositivo. Vea
Reconfigurar los Parmetros Bsicos del Dispositivo (pg. 203).
Precaucin Si reintroduce un nodo desactivado con una configuracin operativa, el

nodo debe recibir el trfico de heartbeat de otros nodos y aceptarlo (basndose en
certificados), o el nodo se considerar a s mismo el nico miembro disponible del clster
y se pondr online. Esto puede evitar que todo el clster procese trfico.
2. Haga doble clic sobre el elemento clster. Se abrir el dilogo de propiedades del
clster.
3. En la tabla de Nodos (Nodes) en la pestaa Clster, deseleccione la opcin Disabled
(Desactivado) para los nodos que quiere reactivar y pulse OK.
4. Refresque la poltica de seguridad para asegurarse de que todos los nodos tengan la
misma configuracin.
Si la instalacin de la poltica no fue correcta, vuelva a poner el nodo previamente
desactivado en su estado inicial, vea Reconfigurar los Parmetros Bsicos del
Dispositivo (pg. 203).
5. (Opcional) Pulse el botn derecho sobre el nodo y seleccione CommandsGo Online
(ComandosPoner Online) o CommandsStandby (ComandosPoner en Standby)
para volver a poner el nodo en operacin.
Editar las Configuraciones de los Dispositivos

Los dispositivos pueden configurarse de las siguientes formas:

Los drivers de tarjetas de red, mapeado de interfaces fsicos en las tarjetas de red a IDs
de Interfaz, y configuracin de velocidad/dplex se definen usando el asistente de
configuracin en la lnea de comando del dispositivo. Vea Reconfigurar los Parmetros
Bsicos del Dispositivo (pg. 203).
Otros parmetros especficos del dispositivo se definen en las propiedades del elemento
dispositivo en el Management Client. Vea Modificar Elementos Dispositivo Existentes
(pg. 323).
La informacin de enrutamiento se define en su mayora en la vista de Enrutamiento (vea
Configurar el Enrutamiento (pg. 439)). Sin embargo, las entradas ARP estticas,
enrutamiento multicast y enrutamiento por poltica se definen en las propiedades del
elemento dispositivo. Vea Modificar Elementos Dispositivo Existentes (pg. 323).
Parar el Trfico Manualmente 197
CAPTULO 15
PARAR EL TRFICO MANUALMENTE
Las reglas de Acceso determinan principalmente qu trfico se para, pero tambin

puede terminar conexiones manualmente o introducirlas en la lista negra cuando quiera
que la accin sea temporal.
Terminar Conexiones Manualmente (pg. 198)

Introducir Conexiones en la Lista Negra Manualmente (pg. 198)
Terminar Conexiones Manualmente

En los cortafuegos, puede terminar cualquier conexin actual, por ejemplo, para eliminar una
conexin inactiva que no se ha cerrado adecuadamente. Terminar una conexin abierta en s no
previene que cualquier nueva conexin se abra inmediatamente o ms tarde. Esta accin no est
disponible para cortafuegos SOHO o dispositivos IPS.
Para terminar una conexin manualmente
1. Seleccione MonitoringConnections (MonitorizacinConexiones) desde el men.
2. Seleccione un cortafuegos de la lista. La vista de Conexiones para el cortafuegos
seleccionado se abrir.
3. Seleccione una o ms conexiones de la tabla (use Shift-seleccionar o Ctrl-seleccionar
para seleccionar ms de una).
4. Pulse el botn derecho sobre una fila seleccionada y seleccione Terminate (Terminar).
Para cada conexin seleccionada, aparecer un mensaje de confirmacin con
informacin sobre la conexin. Cuando pulse Yes, el cortafuegos terminar la conexin.
Tareas Relacionadas
Introducir Conexiones en la Lista Negra Manualmente

Prerrequisitos: Activar la Aplicacin de Listas Negras
Puede introducir trfico en la lista negra manualmente tanto en cortafuegos como en sensores, por
ejemplo, para bloquear temporalmente una fuente de comunicaciones sospechosa o problemtica
mientras procede a investigarla. Puede crear entradas de lista negra en las vistas de Lista Negra,
Conexiones, Monitorizacin y Logs. La Lista Negra no es necesariamente aplicada a todo el
trfico; las reglas de Acceso determinan cmo se usa la lista negra. Esta accin no est disponible
para cortafuegos SOHO.
Introducir entradas manualmente en la lista negra desde el Management Client requiere que
las reglas de Acceso IPv4 tengan una regla Apply Blacklist (Aplicar Lista Negra) con el
Management Server como Allowed Blacklister (Blacklister Introductor en la Lista Negra
Permitido).
Nota Si una conexin es permitida por una regla situada encima de la regla de lista
negra en las reglas de Acceso, la conexin se permitir sin tener en cuenta la lista negra.
Compruebe los logs para ver qu conexiones se descartan en base a listas negras.
Para crear una entrada manual de lista negra

1. Cree una nueva entrada de lista negra en una de las siguientes formas:
En la vista de Lista Negra, de Conexiones o de Logs: Pulse botn derecho sobre una
fila de la tabla y seleccione New Blacklist Entry (Nueva Entrada de Lista Negra) o
New Entry (Nueva Entrada).
Para crear una entrada de lista negra para un cortafuegos o sensor especfico: pulse
botn derecho sobre el elemento Cortafuegos o Sensor en las vistas de Conexiones,
monitorizacin o Logs y seleccione New Blacklist Entry (Nueva Entrada de Lista
Negra) o New Entry (Nueva Entrada).
Parar el Trfico Manualmente 199
Ilustracin 78: Propiedades de Entrada de Lista Negra
Dejar Duration en 0 corta slo

las conexiones actuales.
Los rangos de puertos estn

disponibles slo si el protocolo
es TCP o UDP.
Slo se pueden usar

direcciones IPv4 en las listas
negras.
2. Seleccione la Duracin (Duration) durante la cual se mantendr esta entrada.

Si deja el valor en 0, la entrada slo corta las conexiones actuales. De otro modo, la
entrada se aplica durante el periodo de tiempo especificado.
3. Seleccione la Direccin (Address) a introducir en la lista negra para los Endpoint 1 y
Endpoint 2.
Any (Cualquiera): Coincide con cualquier direccin IP.
Predefined (Predefinida): Coincide con la direccin IP especfica que introduzca en el
campo a la derecha de la lista de tipo de Direccin (Address).
4. Seleccione el puerto (Port) a introducir en la lista negra para el Endpoint 1 y Endpoint 2.
Ignored (Ignorado): Coincide con cualquier puerto.
Predefined TCP (TCP Predefinido) y Predefined UDP (UDP Predefinido): Coincide
con los puertos especficos de origen y destino que introduzca en los campos a la
derecha de la lista de tipos de Puerto.
5. (Opcional) Cambie la Mscara de Red (Netmask) para los Endpoint 1 y Endpoint 2 para
definir el rango de direcciones IP a introducir en la lista negra.
Por ejemplo, la mscara 255.255.255.0 introduce en la lista negra todas las direcciones
de la misma red de clase C.
La mscara por defecto 255.255.255.255 introduce en la lista negra slo la direccin IP
especfica que introduzca.
6. Seleccione los Blacklist Executors (Ejecutores de Lista Negra) que imponen la entrada
de lista negra. Los ejecutores deben estar configurados para aceptar peticiones de lista
negra desde el Management Server.
7. Pulse OK. La entrada de lista negra se enva al ejecutor y el trfico es bloqueado.
Tareas Relacionadas
Activar la Aplicacin de Listas Negras (pg. 680)
Configurar la Lista Negra Automtica (pg. 681)
Editar Reglas de Acceso (pg. 518)
Trabajar en la Lnea de Comando del Dispositivo 201
CAPTULO 16
TRABAJAR EN LA LNEA DE COMANDO DEL

DISPOSITIVO
Esta seccin incluye instrucciones para usar la lnea de comando del dispositivo.
Empezar con la Lnea de Comando del Dispositivo (pag. 202)

Acceder a la Lnea de Comando del Dispositivo (pag. 202)
Reconfigurar los Parmetros Bsicos del Dispositivo (pag. 203)
Crear Scripts en el Dispositivo (pag. 204)
Restaurar Manualmente una Configuracin Previa (pag. 205)
Empezar con la Lnea de Comando del Dispositivo

Casi todos los aspectos de la configuracin del dispositivo se realizan mediante el

Management Client, pero algunos parmetros y opciones del mismo deben ser definidos y
configurados desde la lnea de comando. Las herramientas de lnea de comando le permiten
definir y configurar estos parmetros y opciones.
Qu Puede Hacer en la Lnea de Comando
Reconfigurar la disposicin del teclado, zona horaria, parmetros de las tarjetas de red y
mapeo de tarjetas de red a ID de Interfaz.
Crear scripts que se ejecuten cuando el dispositivo cambie su estado.
(Re-)establecer contacto entre el dispositivo y el Management Server.
Revertir manualmente a la configuracin previa.
Ejecutar varias herramientas generales y especficas de StoneGate para asistirle en la
resolucin de problemas.
Limitaciones de la Lnea de Comando del Dispositivo
Los cambios hechos en la lnea de comando del dispositivo aplican slo al nodo donde se
han realizado. Si quiere aplicar los cambios a otros dispositivos, como por ejemplo a todos
los nodos de un clster, deber hacer los mismos cambios separadamente en la lnea de
comando de cada dispositivo.
Algunas opciones de configuracin, como los parmetros de los interfaces de red, no pueden
cambiarse con una consola SSH. Para poder cambiar estos parmetros, deber conectarse
usando un cable serie o con un monitor y un teclado directamente a la mquina del
dispositivo.
Las configuraciones de contacto del Management Server que se muestran en el asistente de
configuracin del dispositivo (sg-reconfigure) no muestran la actual configuracin de trabajo
del mismo (transferidas cuando se instala o refresca la poltica), sino que muestran los
valores configurados cuando se inicializ el nodo.
Acceder a la Lnea de Comando del Dispositivo

Para acceder a la lnea de comando en los dispositivos

1. Conctese al dispositivo de una de las siguientes formas:
Fsicamente mediante una consola serie usando un cable null-modem (9600bps, 8 bits
de datos, 1 bit de parada, sin paridad).
Fsicamente usando un monitor y un teclado conectados directamente a la mquina del
dispositivo.
Remotamente usando un cliente SSH. El acceso por SSH al dispositivo puede ser
activado y desactivado mediante el Management Client segn se explica en
Activar/Desactivar el Acceso por SSH al Dispositivo (pag. 194).
2. Conctese como root e introduzca la contrasea del dispositivo.

Si olvida la contrasea, puede cambiarla en el Management Client segn se explica en
Cambiar la Contrasea del Dispositivo (pag. 194).
Para continuar:
Si quiere reconfigurar los parmetros bsicos del dispositivo o restablecer la
relacin de confianza entre el dispositivo y el Management Server, proceda a
Reconfigurar los Parmetros Bsicos del Dispositivo (pag. 203).
Si quiere crear scripts que se ejecuten cuando el dispositivo cambie su estado,
proceda a Crear Scripts en el Dispositivo (pag. 204).
Si quiere revertir a la configuracin previa del dispositivo, proceda a Restaurar
Manualmente una Configuracin Previa (pag. 205).
Reconfigurar los Parmetros Bsicos del Dispositivo

Prerrequisitos: Acceder a la Lnea de Comando del Dispositivo
Durante la instalacin del dispositivo se deifinieron la disposicin del teclado del dispositivo
(para el uso de la lnea de comando), la zona horaria (para la lnea de comando), los
parmetros de las tarjetas de red, y el mapeo de tarjetas de red a IDs de Interfaz. El
comando sg-reconfigure le permite cambiar estos parmetros. El procedimiento tambin le
permite restablecer la relacin de confianza entre el dispositivo y el Management Server si
esta relacin se ha roto. En los dispositivos que estn totalmente configurados, cada
operacin puede hacerse individualmente sin cambiar las dems opciones.
Para reconfigurar los parmetros del dispositivo
1. Lance el Asistente de Configuracin usando uno de los siguientes comandos:
sg-reconfigure --no-shutdown: El Asistente de Configuracin se inicia sin apagar el
dispositivo. Los parmetros de las tarjetas de red no pueden cambiarse en este modo.
sg-reconfigure: El dispositivo se apaga y se inicia el Asistente de Configuracin.
Todas las opciones estn disponibles si cuenta con una conexin local. Si tiene una
conexin remota por SSH, no puede cambiar los parmetros de las tarjetas de red (el
dispositivo usa el modo no-shutdown).
2. Use el Asistente de Configuracin para cambiar los parmetros. Las descripciones
detalladas de las opciones estn en la Gua de Instalacin del Cortafuegos/VPN y la
Gua de Instalacin del IPS.
Los detalles de contacto del Management Server no son usados por el dispositivo tras
una instalacin de una poltica desde el Management Server. Se muestran slo para su
referencia.
Si selecciona la opcin Switch to Initial Configuration (Cambiar a la Configuracin
Inicial), toda la informacin de configuracin y polticas que haya sido transferida al
dispositivo ser eliminada. Deber instalar una poltica en el dispositivo antes de que
est operacional de nuevo.
Precaucin No seleccione la opcin Switch to Initial Configuration en la pantalla

Prepare for Management Contact (Preparar para Contacto con Gestin) a menos que
quiera restaurar el dispositivo al estado de post-instalacin (incluyendo una poltica que
slo permite comuncaciones entre el dispositivo y el Management Server).
3. Si selecciona Contact Management Server (Contactar con el Management Server) e

introduce una nueva contrasea de un solo uso, el Management Server y el dispositivo
restablecen su relacin de confianza. Elija esta opcin cuando quiera sustitutir un
certificado perdido o expirado o si el contacto con el Management Server se ha
perdido por cualquier otra razn, tal como cambiar la direccin IP del Management
Server.
Nota Si hay un cortafuegos entre un dispositivo remoto y el Management Server, debe

permitir la conexin en las reglas de Acceso IPv4 del cortafuegos. Si hay un dispositivo
NAT entre ellos, tambin deber configurar las reglas de NAT para la conexin. De otro
modo, el dispositivo remoto no podr contactar con el Management Server.
Tareas Relacionadas
Comandos del Dispositivo (pag. 926)
Crear Scripts en el Dispositivo

Los scripts se ejecutan cuando el dispositivo cambia su estado. Se pueden crear los
siguientes scripts:
Tabla 23: Posibles Scripts en los Dispositivos
Evento que lo Lanza Situacin y Nombre del Script

El dispositivo arranca /data/run-at-boot
El Administrador refresca o instala una poltica /data/run-at-policy-apply
El dispositivo pasa a estado Online /data/run-at-online
El Administrador manda un comando Lock Online /data/run-at-locked-online
El dispositivo pasa a estado Offline /data/run-at-offline
El Administrador manda un comando Lock Offline /data/run-at-locked-offline
El dispositivo pasa a estado Standby /data/run-at-standby
Los nombres y localizaciones de los scripts no pueden cambiarse. Si no se encuentran los

scripts, la operacin del dispositivo sigue normalmente. Si se encuentra un script, se ejecuta
y se crea una entrada de log. Para evita que esto suceda, deber eliminar o mover el script.
Nota Si quiere usar un script en un clster, recuerde crear el script en todos los nodos
del clster o copiarlo a todos ellos, de forma que todos los nodos funcionen del mismo
modo cuando cambie su estado.
Para crear el script

1. Cree un fichero de texto con los comandos que quiere que ejecute el dispositivo (la
primera lnea del script debe ser #!/bin/sh) de una de las siguientes formas:
Cree y edite el script en la lnea de comando del dispositivo usando el editor de texto
vi.
Cree y edite el script en una mquina diferente y transfiralo al dispositivo usando, por
ejemplo SSH.
2. Guarde el script en la carpeta adecuada del dispositivo (vea la Tabla anterior).
3. Haga el fichero ejecutable escribiendo el siguiente comando: chmod a+x
/data/<nombre_del_script>
El script se ejecutar siempre que el dispositivo encuentre el evento que lanza el script.
Tareas Relacionadas
Restaurar Manualmente una Configuracin Previa

Si el dispositivo pierde la conectividad con la gestin debido a una configuracin inadecuada,

la configuracin previa puede ser restaurada manualmente desde la lnea de comando.
Nota Debe restaurar las configuraciones separadamente para cada nodo del clster.
Todos los nodos de un clster deben tener exactamente la misma configuracin (segn
indica un cdigo de identificacin generado en la instalacin de cada poltica).
Para revertir manualmente a la configuracin previa

Introduzca el siguiente comando:
/usr/lib/stonegate/bin/sgcfg -a -d /data/config/policy/previous apply
Tareas Relacionadas
CONFIGURACIN DEL
MANAGEMENT CENTER
En esta seccin:
Puestas al Da y Actualizaciones del Dispositivo Automticas - 209
Cuentas de Administrador - 213
Escalado de Alertas - 229
Dominios - 245
Configurar el Web Portal - 255
Distribuir Management Clients Mediante Web Start - 269
Configuracin del Log Server - 275
Configuracin de un Servidor SMC Secundario - 287
Reconfigurar el Management Center - 301

Puestas al Da y Actualizaciones del Dispositivo Automticas 209
CAPTULO 17
PUESTAS AL DA Y ACTUALIZACIONES
DEL DISPOSITIVO AUTOMTICAS
Puede configurar las puestas al da automticas para los paquetes dinmicos de

actualizacin, actualizaciones remotas de dispositivos y nuevas versiones de licencias.
Empezar con las Puestas al Da y las Actualizaciones del Dispositivo Automticas (pag. 210)
Configurar las Puestas al Da y las Actualizaciones del Dispositivo Automticas (pag. 210)
Empezar con las Puestas al Da y las Actualizaciones del Dispositivo

Automticas
Las Actualizaciones automticas estn disponibles para la puesta al da dinmica de

paquetes, actualizaciones remotas para dispositivos y licencias. En los cortafuegos, las
firmas de Anti-virus siempre son actualizadas automticamente cuando el anti-virus est
activo..
Qu Hacen las Puestas al Da y Actualizaciones del Dispositivo Automticas?
El Management Server puede llevar a cabo automticamente las siguientes tareas:
Comprobar la existencia de nuevos paquetes de puesta al da dinmicos y
automticamente descargarlos e instalarlos de acuerdo con su seleccin.
Comprobar la existencia de nuevos paquetes de actualizacin de los dispositivos. Las
actiualizaciones de los dispositivos tambin pueden ser descargadas automticamente,
pero siempre deben ser instaladas manualmente.
Actualizar las licencias.
Cuando las puestas al da y actualizaciones del dispositivo automticas estn activas,
tambin puede ver informacin sobre el contrato de mantenimiento y el nivel de soporte de
sus licencias en el Management Client (vea Comprobar la Informacin de Contratos de
Mantenimiento (pag. 107).
Limitaciones
No hay actualizaciones automticas para el Management Center.
Nuevas versiones del software del dispositivo pueden requerir una versin actualizada del
Management Center. Compruebe las Notas de la Versin para informacin de
compatibilidad ante de actualizar los dispositivos.
Las actualizaciones (tanto automticas como manuales) requieren un contrato de
mantenimiento/soporte activo con Stonesoft.
Si selecciona solamente recibir una notificacin cuando las actualizaciones estn
disponibles, deber descargarlas manualmente.
Para continuar:
Proceda a Configurar las Puestas al Da y las Actualizaciones del Dispositivo
Automticas.
Configurar las Puestas al Da y las Actualizaciones del Dispositivo

Automticas
El Management Server puede comprobar peridicamente en el sitio Web de Stonesoft la

existencia de nuevos paquetes de actualizaciones dinmicas, actualizciones de dispositivos y
licencias. Esta funcionalidad est activa por defecto.
Hay varias opciones diferentes para cmo se gestionarn las nuevas actualizaciones
disponibles. Las actualizaciones automticas requieren que el Management Server sea
capaz de conectar con los servidores de Stonesoft (al menos a https://update.stonesoft.com y
https://smc.stonesoft.com) bien directamente (usando HTTPS en el puerto 443) o mendiante
un proxy HTTP. Adicionalmente, debe disponer de un contrato de mantenimiento/soporte con
Stonesoft.
Puestas al Da y Actualizaciones del Dispositivo Automticas 211
Para configurar las puestas al da y actualizaciones automticas

1. Seleccione FileSystem ToolsConfigure Updates and Upgrades
(ArchivoHerramientas del SistemaConfigurar Actualizaciones).
2. Seleccione Enable sending proof of license codes to Stonesoft servers (Activar el

envo de cdigos de prueba de licencia a servidores Stonesoft). Esto le permite
seleccionar las opciones para actualizaciones dinmicas y de dispositivos. Tambin le
permite ver la informacin de contrato de mantenimiento y de nivel de soporte para sus
licencias en el Management Client.
3. Configure las copciones de Dynamic Updates (Actualizaciones Dinmicas):
Opcin Descripcin
Do not check for updates (No
No se le notifica acerca de actualizaciones dinmicas
comprobar actualizaciones)
Notify me when updates
become available
Recibe una alerta cuando una nueva actualizacin dinmica est
(Notificarme cuando las
disponible. Debe descargar y activar la actualizacin manualmente.
actualizaciones estn
disponibles)
Notify me and download Recibe una alerta cuando una nueva actualizacin dinmica est
Updates (Notificarme y disponible. StoneGate tambin descarga automticamente la
descargar actualizaciones) actualizacin. Deber activarla manualmente
Automatically download and

activate updates (Descargar y StoneGate descarga y activa automticamente las nuevas
activar actualizaciones actualizaciones dinmicas.
automticamente)
(Opcional) StoneGate refresca automticamente las polticas tras
Refresh policies after update
activar las actualizaciones dinmicas. Esta opcin est disponible
Activation (Refrescar polticas
cuando se selecciona Automatically download and activate
tras activar la actualizacin)
updates (Descargar y activar actualizaciones automticamente).
Nota Puesto que los paquetes de actualizacin pueden cambiar elementos del sistema,
las polticas pueden requerir ser editadas antes de activar la actualizacin.
4. Seleccione una o ms de las opciones de Remote Upgrades for Engines

(Actualizaciones Remotas para Dispositivos):
Opcin Descripcin
Do not check for engine upgrades
(No comprobar actualizaciones No se le notificar de nuevas actualizaciones del dispositivo.
remotas)
Notify me when engine upgrades
Recibe una alerta cuando una nueva actualizacin est
become available (Notificarme
disponible para un dispositivo. Deber descargarla e instalarla
cuando estn disponibles nuevas
manualmente.
actualizaciones de dispositivos)
Notify me and automatically
Recibe una alerta cuando una nueva actualizacin est
download engine upgrades
disponible para un dispositivo. StoneGate descarga
(Notificarme y descargar
automticamente la nueva actualizacin de dispositivo. Deber
automticamente actualizaciones de
instalarla manualmente.
dispositivos)
5. (Opcional) Seleccione Generate and Install New Licenses Automatically (Generar e

Instalar Nuevas Licencias Automticamente) para regenerar e instalar automticamente
las licencias requeridas para actualizar StoneGate a una nueva versin mayor..
6. (Opcional) Cambie a la pestaa Connection (Conexin) y seleccione Check Interval

(Intervalo de Comprobacin) para definir cada cunto comprobar el sistema la
existencia de nuevas actualizaciones.
7. (Opcional) Si la conexin desde el Management Server a los servidores de Stonesoft
requiere un proxy, seleccione Use proxy server for HTTPS connection (Usar servidor
proxy para conexin HTTPS) e introduzca la direccin del Proxy (Proxy Address) y su
puerto (Proxy Port).
8. (Opcional) Si el servidor proxy requiere autenticacin de usuario, seleccione
Authenticate to the proxy server (Autenticar con servidor proxy) e introduzca el
nombre de usuario (User Name) y contrasea (Password).
9. Pulse OK.
Tareas Relacionadas
Comprobar la Informacin de Contratos de Mantenimiento (pag. 107)
Programar Tareas (pag. 820)
Empezar con las Licencias (pag. 824)
Empezar con la Actualizacin del SMC (pag. 834)
Empezar con la Actualizacin de Dispositivos (pag. 840)
Actualizaciones Dinmicas Manuales (pag. 845)
Cuentas de Administrador 213
CAPTULO 18
CUENTAS DE ADMINISTRADOR
Los derechos y privillegios de los administradores de StoneGate se definen flexiblemente

con las cuentas de administrador.
Empezar con las Cuentas de Administrador (pag. 214)

Definir Roles de Administrador y Listas de Control de Acceso (pag. 215)
Definir Cuentas de Administrador (pag. 218)
Personalizar los Colores de los Logs (pag. 222)
Definir los Parmetros de Contrasea y Login para Administradores (pag. 223)
Cambiar las Contraseas del Administrador (pag. 226)
Autenticar Administradores usando RADIUS (pag. 226)
Eliminar Cuentas de Administrador
Empezar con las Cuentas de Administrador

Una cuenta de administrador especifica que clase de acciones puede ejecutar el administrador
(crear nuevos elementos, examinar logs, etc.).
Cmo Pueden Configurarse las Cuentas de Administrador
Los conjuntos de privilegios de administrador se definen como listas reutilizables.
Cada lista de privilegios se aplica a un grupo especfico de elementos.
Varios pares diferentes de privilegios y elementos pueden aplicarse a una nica cuenta de
administrador, por ejemplo, para dar acceso de lectura a algunos elementos y acceso de
edicin para otros elementos.
Tambin puede crear cuentas sin restricciones para superusuarios que pueden tomar
cualquier accin sobre cualquier elemento. Algunas tareas de mantenimiento requieren
una cuenta sin restricciones.
Qu Necesito Saber Antes De Empezar
Las cuentas del Management Client son vlidas en el Web Portal tambin, pero las cuentas se
crean de hecho separadamente. Vea Definir Cuentas de Usuarios de Web Portal (pag. 260).

1. (Opcional) Defina listas reutilizables personalizadas de tareas permitidas a los administradores
con permisos restringidos. Vea Definir Roles de Administrador (pag. 215).
2. (Opcional) Defina listas reutilizables personalizadas de elementos para definir derechos de
acceso para cuentas restringidas. Vea Definir Listas de Control de Acceso (pag. 217).
3. Cree cuentas de administrador para cada administrador. Vea Definir Cuentas de
Administrador (pag. 218).
4. (Opcional) Configure requisitos de fortaleza e intervalos de expiracin para las contraseas
de los administradores. Vea Definir los Parmetros de Contrasea y Login para
Administradores (pag. 223).
Precaucin No use cuentas compartidas. Usar cuentas compartidas dificulta la auditora

y puede evitar descubrir a tiempo una posible brecha en la seguridad.
Definir Roles de Administrador y Listas de Control de Acceso

Puede usar Roles de Administrador y Listas de Control de Acceso en cuentas que definen permisos
de administrador restringidos. Puede usar los Roles de Administrador y Listas de Control de Acceso
predefinidos o crear nuevos.
Para continuar:
Definir Roles de Administrador (pag. 215)
Definir Listas de Control de Acceso (pag. 217)
Definir Roles de Administrador

Los Roles de Administrador especifican un conjunto de permisos, por ejemplo, derecho a crear,
modificar y eliminar elementos. Hay varios Roles de Administrador predefinidos para elegir
(almacenados en AdministrationAccess RightsAdministrator Roles -
AdministracinDerechos de AccesoRoles de Administracin) .
Precaucin Cualquier cambio que haga a un Rol de Administrador se aplica

inmediatamente a toda cuenta de administrador que use el rol (posiblemente incluido
usted mismo). Tenga especial cuidado de que la seleccin sea correcta antes de aplicar
los cambios a Roles de Administrador que estn en uso.
Para crear un nuevo Rol de Administracin

2. Pulse el botn derecho sobre Access Rights (Derechos de Acceso) y seleccione New
Administrator Role (Nuevo Rol de Administrador). Se abrir el dilogo de Propiedades de
Rol de Administrador.
Ilustracin 79: Propiedades de Rol de Administracin
3. Proporcione un nombre (Name) nico para el Rol de Administrador y un comentario

(Comment) opcional en texto libre para su propia referencia.
4. Elija los permisos que aplican a los elementos seleccionados para el rol:
Edit Element Properties (Editar Propiedades de Elementos): permite editar las
propiedades de los elementos.
Delete Elements (Eliminar Elementos): permite borrar los elementos.
View Element Contents (Ver Contenidos de Elementos): permite visualizar los
contenidos de los elementos.
Create Elements (Crear Elementos): permite crear nuevos elementos.
Refresh Policies (Refrescar Polticas): Permite refrescar polticas en dispositivos si
tanto los dispositivos como las polticas estn seleccionados para el rol y las polticas
estn permitidas para los dispositivos. Tambin permite crear y ejecutar Tareas de
Refresco de Polticas.
Send Commands (Enviar Comandos): Permite enviar comandos a los dispositivos
seleccionados. El administrador tambien puede ejecutar tareas SgInfo y de
Actualizacin Remota. Si el rol incluye permisos para Examinar Logs y Alertas desde
Elementos Autorizados, el administrador tambin puede terminar conexiones de los
elementos seleccionados y explorar y crear entradas de listas negras para ellos.
Upload Policies (Cargar Polticas): Permite cargar polticas a los dispositivos si tanto
dispositivos como polticas estn seleccionados para el rol y las polticas estn
permitidas para los dispositivos. Tambin permite la creacin de Tareas de Carga de
Polticas.
Browse Audit Logs (Examinar Logs de Auditora): Permite examinar logs sobre
acciones y eventos del administrador en StoneGate.
Browse Logs and Alerts from Granted Elements (Examinar Logs y Alertas de
Elementos Autorizados): Permite examinar logs de elementos seleccionados y
reconocer alertas sobre ellos. Si el rol incluye este permiso y el de Enviar Comandos, el
administrador puede terminar conexiones de los elementos selccionados y examinar y
crear entradas de lista negra para ellos.
Manage Administrators (Gestionar Administradores): permite ver y gestionar
elementos Administrador, Rol de Administrador y Listas de Control de Acceso.
Manage Alerts (Gestionar Alertas): Permite ver y gestionar elementos Alertas,
Cadenas de Alertas, Polticas de Alertas e instalar Polticas de Alertas.
Manage Backups (Gestionar Copias de Seguridad): Permite ver y gestionar copias de
seguridad y crear y ejecutar Tareas de Copias de Seguridad.
Manage Licenses (Gestionar Licencias): Permite ver, instalar, enlazar, desenlazar y
eliminar licencias.
Manage Logs (Gestionar Logs): Permite crear y ejecutar tareas de datos de logs
(Tareas de Exportar, Archivar y Eliminar Log).
Manage Log Pruning (Gestionar Limpieza de Logs): Permite limpiar logs con filtros de
Descartar Inmediatamente y Descartar Antes de Almacenar.
Manage Reports (Gestionar Informes): Permite visualizar y gestionar informes.
Manage Updates and Upgrades (Gestionar Actualizaciones): Permite descargar,
importar, activar y eliminar paquetes de actualizacin dinmica. Tambin permite
descargar, importar y eliminar actualizaciones de dispositivos.
Manage VPNs (Gestionar VPNs): permite ver y gestionar elementos relacionados con
VPNs.
View System Alerts (Ver Alertas del Sistema): Permite examinar y reconocer Alertas
del Sistema, que son alertas sobre la operacin interna de StoneGate.
5. Pulse OK.
Para continuar:
Si quiere definir Listas de Control de Acceso para crear grupos reutilizables de
elementos, proceda a Definir Listas de Control de Acceso.
En otro caso, el nuevo Rol de Administrador est listo para usarse al definir cuentas
de Administrador. Vea Definir Cuentas de Administrador (pag. 218).
Definir Listas de Control de Acceso

Una Lista de Control de Acceso define un grupo de elementos. Hay varias Listas predefinidas
para elegir (almacenadas en An Access Control List defines a group of elements. There are
several predefined Access Control Lists to choose from (stored in AdministrationAccess
RightsAccess Control Lists - AdministracinDerechos de AccesoListas de Control
de Acceso).
Para crear una Lista de Control de Acceso
(ConfiguracinConfiguracinAdministracin) from the menu. Se abrir la vista de
2. Pulse botn derecho sobre Access Rights (Derechos de Acceso) y seleccione select
New Access Control List (Nueva Lista de Control de Acceso) desde el men. Se abrir
el dilogo de Propiedades de la Lista de Control de Acceso.
Ilustracin 80: Propiedades de la Lista de Control de Acceso
3. Proporcione un Nombre (Name) nico a la Lista de Control de Acceso y un comentario

(Comment) opcional para su propia referencia.
4. Seleccione los elementos Cortafuegos, IPS, Cortafuegos SOHO, Poltica de
Cortafuegos, Poltica de IPS o Pasarela SSL/VPN que quiere aadir a la Lista de
Control de Acceso desde Resources (Recursos) y pulse Add (Aadir). Los elementos
seleccionados se aaden a la lista Granted Elements (Elementos Autorizados) en el
panel derecho.
5. Pulse OK.
Para continuar:
Para definir nuevas cuentas de administrador que usen esta nueva Lista de Control de
Acceso, proceda a Definir Cuentas de Administrador (pag. 218).
Para asignar la Lista de Control de Acceso a una cuenta restringida existente, proceda
a Definir Derechos para Cuentas de Administrador Restringidas (pag. 220).
Tareas Relacionadas
Definir los Permisos de Administrador en un Dispositivo (pag. 408)
Definir Cuentas de Administrador

Prerrequisitos: (Opcional) Definir Roles de Administrador y Listas de Control de Acceso
Una cuenta con permisos no restringidos se crea automticamente durante la isntalacin para
garantizar que existe una cuenta superusuario disponible en el sistema. Con esta primera cuenta,
puede crear el nmero necesario de cuentas de administrador para las tareas de administracin
diarias.
Las cuentas de administrador para los usuarios del StoneGate Web Portal opcional se definen con
elementos Usuario de Web Portal (Web Portal User). Todas las otras cuentas de administrador se
definen con elementos Administrador (vea Definir Cuentas de Usuarios de Web Portal (pag. 260)).
Puede autenticar a los administradores con una simple contrasea almacenada en la base de
datos interna de StoneGate o utilizar un servidor RADIUS externa (vea Autenticar
Administradores usando RADIUS (pag. 226)).
Para continuar:
Crear un Nuevo Elemento Administrador (pag. 218)
Crear un Nuevo Elemento Administrador

Para crear un elemento administrador
(ConfiguracinConfiguracinAdministracin) from the menu. Se abrir la vista de
2. Pulse botn derecho sobre Access Rights (Derechos de Acceso) y seleccione New
Administrator (Nuevo Administrador) desde el men. Se abrir el dilogo de Propiedades
del Administrador.
Ilustracin 81: Propiedades del Administrador - Pestaa General
3. Proporcione un nombre (Name) nico para el administrador y un Comentario (Comment)

opcional para su referencia. ste es el nombre de usuario que usar el administrador para
conectarse al Management Client.
4. Seleccione el mtodo de autenticacin: Internal Authentication (Autenticacin Interna) o
RADIUS Authentication (Autenticacin RADIUS).
Si quiere usar un servidor externo de autenticacin, seleccione la opcin RADIUS
Authentication y un servidor RADIUS o Active Directory de la lista. Vea Autenticar
Administradores usando RADIUS (pag. 226) para ms informacin.
Si eligi Internal Authentication, escriba una Contrasea (Password) y confrmela en el
campo de abajo, o pulse Generate Password (Generar Contrasea) para generar una
contrasea aleatoria alfanumrica de 7 caracteres.
(Opcional) Seleccione Password Never Expires (La Contrasea Nunca Caduca) si
quiere que la contrasea sea siempre vlida. Seleccionar esta opcin hace que no
apliquen los parmetros de expiracin de contraseas en la Poltica de Contraseas de
Administrador. Vea Definir los Parmetros de Contrasea y Login para Administradores
(pag. 223) para ms informacin.
Seleccione si la cuenta est Siempre Activa (Always Active) o introduzca una Fecha de
Expiracin (Expiration Date).
Nota Se recomienda que las contraseas sean de al menos ocho caracteres y

contengan una combinacin de nmeros, letras y caracateres especiales. Las
contraseas seguras nunca se basan en informacin personal como nombres,
cumpleaos, DNIs, nmeros de telfono, nombres de calles o matrculas.
Para continuar:
Contine en Definir los Permisos de los Administradores.
Tareas Relacionadas
Definir los Permisos de los Administradores

Para definir los permisos de un administrador
1. Cambie a la pestaa Permissions (Permisos) en las propiedades del elemento
Administrador.
Ilustracin 82: Propiedades del Administrador - Pestaa Permisos
2. En los Permisos del Administrador, seleccione el nivel de acceso general:

Unrestricted Permissions (Superuser) (Permisos Sin Restriccion Superusuario): El
administrador puede gestionar todos los elementos y llevar a cabo todas las tareas sin
restricciones.
Restricted Permissions (Permisos Restringidos): El administrador tiene un nmero
limitado de permisos que aplican slo a los elementos autorizados para l.
Precaucin Conceda permisos ilimitados slo a los administradores que lo necesiten.
Para continuar:
Si eligi permisos Restringidos (Restricted) para este administrador, proceda a
Definir Derechos para Cuentas de Administrador Restringidas.
Si eligi permisos Sin Restriccin (Unrestricted Permissions) para este
administrador y quiere limitar las entradas de log visibles por esta cuenta, proceda a
Restringir los Logs que Puede Ver un Administrador (pag. 222).
Si eligi permisos Sin Restriccin (Unrestricted Permissions) para este
administrador y quiere ajustar los colores de las entradas de log individualmente para
esta cuenta, proceda a Personalizar los Colores de los Logs (pag. 222).
En otro caso, pulse OK. La cuenta de administrador est lista para su uso.
Tareas Relacionadas
Definir Derechos para Cuentas de Administrador Restringidas

Para definir los permisos en detalle segn se explica a continuacin, el elemento
Administrador debe tener Permisos Restringidos (Restricted Permissions) como nivel de
permiso general.
Para definir los derechos de administrador para una cuenta restringida
1. Cambie a la pestaa Permissions (Permisos) en las propiedades del elemento
Administrador.
Ilustracin 83: Propiedades del Administrador - Pestaa Permisos
2. Pulse Add Role (Aadir Rol). Un nuevo Rol de Administrador

aparece en la lista superior.
3. Pulse la celda Role (Rol) para la fila recin aadida y seleccione el Rol de Administrador
que define los derechos que quiere establecer. Adems de los roles personalizados, hay
cuatro Roles de Administrador predefinidos:
Editor: Puede crear, editar y borrar elementos seleccionados. Puede enviar comandos a
dispositivos, refrescar y cargar polticas y examinar logs y alertas de los elementos
seleccionados.
Operator (Operador): Puede ver las propiedades de elementos seleccionados. Tambin
puede enviar comandos a dispositivos seleccionados, refrescar y cargar polticas y
examinar logs y alertas de los elementos seleccionados.
Owner (Propietario): Puede ver las propiedades de los elementos seleccionados y editar
y eliminar estos elementos.
Viewer (Observador): Puede ver las propiedades de los elementos seleccionados.
4. Haga doble click sobre la celda Granted Elements (Elementos Autorizados) en la misma
fila y elija los elementos cubiertos por el Rol de Administrador correspondiente en el dilogo
que se abre.
La accin Set to ALL (Establecer a TODOS) tambin depende de la seleccin de la
izquierda. Por ejemplo, si navega a los Cortafuegos y pulsa Set to ALL, se aadir el
elemento All Firewalls (Todos los Cortafuegos).
Tambin puede seleccionar una o ms Listas de Control de Acceso predefinidas o
creadas por usted. Simple elements (Elementos Simples) incluye todos los elementos
excepto los Casos de Incidentes y elementos con una Lista de Control de Acceso
dedicada (Cortafuegos, Cortafuegos SOHO, dispositivos IPS, polticas de Cortafuegos e
IPS, pasarelas SSL/VPN, Administradores y Usuarios del Web Portal).
5. (Opcional) Si se han configurado los elementos de Dominio (Domain), pulse en la celda
Domain en la misma fila para seleccionar el o los Dominios en los que aplican los derechos
concedidos por el Rol de Administrador y los elementos seleccionados.
O deje seleccionado el dominio por defecto Shared Domain (Dominio Compartido) en la
celda Domains. Todos los elementos pertenecen automticamente al dominio predefinido
Shared Domain si los elementos de Dominio no se han definido. Vea Dominios (pag.
245) para ms informacin sobre los Dominios.
Tambin puede seleccionar la Lista de Control de Acceso ALL Domains (Todos los
Dominios) para conceder permiso sobre todos los Dominios que existan en el sistema.
6. (Opcional) Repita los pasos 2 al 7 para aadir ms mapeos Rol de Administrador
Elemento - Dominio.
7. (Opcional) Si se han configurado los elementos Dominio, deje seleccionado Allow Login to
Shared Domain (Permitir Login en el Dominio Compartido) si quiere conceder al
administrador permiso para conectarse al Dominio Compartido.
Adems de los privilegios que establezca explcitamente, los administradores con permisos
para crear y eliminar elementos tienen concedidos automticamente privilegios para ver,
editar y eliminar los elementos que ellos mismos creen, incluso si no pueden ver, editar o
borrar ningn otro elemento.
Para continuar:
Si el administrador tiene permiso para ver logs, puede restringir qu logs puede ver
este administrador segn se explica en Restringir los Logs que Puede Ver un
Administrador (pag. 222).
Si quiere ajustar individualmente los colores de las entradas de log para esta cuenta,
proceda a Personalizar los Colores de los Logs (pag. 222).
Tareas Relacionadas
Restringir los Logs que Puede Ver un Administrador

Si un administrador tiene permiso para ver logs y alertas, usted puede seleccionar filtros a
aplicar a los datos de logs antes de que se muestren al administrador.
Esta seccin explica cmo puede seleccionar filtros de logs en loos elementos
Administradores. Vea Seleccionar Permisos de Exploracin de Logs para un Usuario de Web
Portal (pag. 263) para ms informacin sobre seleccionar permisos de examen de loogs y
filtros para usuarios del Web Portal.
Para seleccionar filtros de log en un elemento Administrador
1. Cambie a la pestaa Permissions en las propiedades del elemento Administrador.
2. Bajo Log Filters (Filtros de Log), pulse Select. Se abrir el dilogo de Seleccionar
Elemento.
3. Pulse All Filters (Todos los Filtros) para seleccionar uno o ms Filtros de la lista de todos
los Filtros o pulse Filter Type (Tipo de Filtro) para seleccionarlo segn su tipo.
Para continuar:
Si quiere ajustar individualmente los colores de las entradas de log para esta cuenta,
proceda a Personalizar los Colores de los Logs.
Tareas Relacionadas
Filtrado de Datos (pag. 159)
Personalizar los Colores de los Logs

Por defecto, ciertos logs se muestran con un fondo de color en la vista de Logs. Los colores se
determinan por los Filtros de Colores de Logs. Puede personalizar los colores de log por defecto
usados en todas las cuentas de administrador o definir colores de log especficos para un
administrador en las propiedades del elemento Administrador. Para usar colores personalizados
para los logs, debe crear tambin los Filtros que coincidan con esos logs. Slo los administradores
con derecho a gestionar cuentas de administrador pueden personalizar loc colores de los logs.
Para personalizar los colores por defecto de los logs
1. En la vista de Configuracin de Administracin, empiece de una de las iguientes formas:
Si quiere personalizar los colores por defecto de los logs, expanda la rama Access
Rights (Permisos de Acceso), pulse botn derecho sobre Administrators, y seleccione
Edit Default Color Settings (Editar Parmetros de Colores por Defecto). Se abrir el
dilogo Administrator Default Color Settings (Parmetros de Colores por Defecto del
Administrador).
Si quiere personalizar los colores para un administrador en particular, abra las
propiedades del elemento Administrador adecuado y cambie a la pestaa Log Filters
(Filtros de Logs).
Ilustracin 84: Parmetros de Colores de Logs
2. Arriba, seleccione el tipo de log cuyos filtros de color quiere modificar:

Log and Alert (Logs y Alertas) para modificar los colores de logs y alertas motradose en la
vista de Logs.
Connections (Conexiones) para modificar los colores de las conexiones actualmente
abiertas mostradas en la vista de Conexiones.
Blacklist (Lista Negra) para modificar los colores de las entradas de lista negra en la vista
de Lista Negra.
3. (Opcional) Para definir un nuevo filtro, pulse Add (Aadir) y haga doble click sobre la celda
Filter (Filtro) en la nueva fila de filtro de color para seleccionar el filtro.
4. Haga doble click sobre la celda Color del filtro cuyo color quiere modificar. Se abrir una paleta
de colores.
5. Seleccione un color de la paleta o pulse More Colors (Ms Colores) para seleccionar un color
personalizado. Los colores seleccionados se asignan a los filtros y se usarn siempre que los
logs coincidan con los filtros.
6. Pulse OK.
Definir los Parmetros de Contrasea y Login para Administradores

Puede definir los parmetros de fortaleza de la contrasea, expiracin de la misma, logins fallidos y
acciones relacionadas con inactividad temporal y a largo plazo en la Poltica de Contraseas del
Administrador. La Poltica de Contraseas del Administrador se aplica a todas las cuent6as de
administrador definidas con los elementos Administrador y Usuario del Web Portal. La Poltica de
Contraseas del Administrador no se aplica por defecto.
Nota La opcin Password Never Expires (La Contrasea Nunca Caduca) en las
propiedades del Administrador o Usuario del Web Portal hace que se ignoren etos
parmetros. Si la opcin es seleccionada, los parmetros de expiracin de contraseas
no se aplican a la cuenta.
Para continuar:
Empezar la configuracin en Activar la Aplicacin de Parmetros de Contraseas (pag.
224).
Tareas Relacionadas
Definir Parmetros de Poltica de Contraseas (pag. 225)
Activar la Aplicacin de Parmetros de Contraseas

Para activar la aplicacin de los parmetros de contraseas
1. Seleccione FileSystem ToolsEnforce Password Settings (ArchivoHerramientas del
SistemaAplicar Parmetros de Contraseas) desde el men principal. Se abrir un
dilogo de confirmacin mostrando los parmetros de contraseas actuales.
Ilustracin 85: Poltica de Contraseas del Administrador - Dilogo de Confirmacin
History of Obsolete Passwords (Historia de Contraseas Obsoletas): El nmero de

contraseas previas que un administrador no puede reutilizar.
Inactivity Delay before Screen Lock (Retardo de Inactividad antes del Bloqueo de
Pantalla): El nmero de minutos tras el cual un administrador inactivo es desconectado
automticamente.
Single GUI Connection (Conexin con un nico GUI): Define si un administrador puede
abrir slo una nica sesin a la vez en el Management Client o el Web Portal.
Inactivity Delay before Disabling Account (Retardo de Inactividad antes de Desactivar
la Cuenta): Nmero mximo de das que una cuenta de administrador puede estar
inactiva antes de ser desactivada.
Minimum Number of Characters in Password (Nmero Mnimo de Caracteres en la
Contrasea): Nmero mnimo de caracteres que debe contener una contrasea de
administrador.
Password Validity (Validez de la Contrasea): Nmero de das tras los cuales una
contrasea de administrador expira y debe ser cambiada.
Maximum Number of Failed Login Attempts before Lock-Out (Nmero Mximo de
Logins Fallidos antes del Bloqueo): Nmero mximo de intentos de login fallidos antes
de que la cuenta de administrador se bloquee.
Lock-Out Duration (Duracin del Bloqueo): Tiempo (en minutos) durante el cual la
cuenta de administrador es bloqueada cuando se alcanza el mximo de intentos de login
fallidos.
Both Letters and Numbers Required in Password (Requerir Tanto Nmeros como
Letras en la Contrasea): Define si las contraseas de administrador deben contener
tanto letras como nmeros.
2. Pulse Yes. Las contraseas de administrador se comprobarn contra los parmetros de
poltica de contraseas.
Para continuar:
Si quiere modificar los parmteros de poltica de contraseas actuales, contine en
Definir Parmetros de Poltica de Contraseas (pag. 225).
Definir Parmetros de Poltica de Contraseas

La poltica de contraseas de administrador se define en el fichero SGConfiguration.txt que
se almacena en el Management Server. Puede usar los valores por defecto para cada
parmetro o modificarlos segn sea necesario.
Para definir la poltica de contraseas del administrador
1. Navegue a la carpeta <directorio_de_instalacin>/data en el Management Server.
2. Abra SGConfiguration.txt y configure los siguientes parmetros segn sea necesario:
Tabla 24: Parmetros de Poltica de Contraseas
Nombre del Parmetro Descripcin

Introduzca un nmero para evitar la reutilizacin del nmero
OBSOLETE_PASSWORD_QUEUE_ especificado de contraseas previas. EL nmero por defecto
LENGTH es 4.
Nmero de minutos tras el cual los administradores inactivos

GUI_INACTIVITY_MAX_IN_ son descaonectados del Management Client. El valor por
MINUTES defecto es 15 minutos.
Define (como True Veradero o False Falso ) si la
misma cuenta de administrador puede usarse para
conectarse al Management Client slo una vez
simultneamente.
El valor por defecto es True (Verdadero). Cuando el valor es
SINGLE_GUI_SESSION True, slo se permite un login por cuenta.
Introduzca el nmero mximo de das que una cuenta de
DAYS_OF_ACCOUNT_INACTIVITY_ administrador puede estar inactiva antes de bloquearse. El
MAX valor por deefcto es 90 das.
Introduzca el nmero mnimo de caracteres que deben
PASSWORD_CHARACTER_NUMBER_ contener las contraseas de administrador. El valor por
MINIMUM defecto es 7 caracteres.
Introduzca el nmero de das tras el cual la contrasea de
PASSWORD_EXPIRATION administrador debe ser cambiada. Por defecto es 90 das.
Introduzca el mxmio nmero de intentos fallidos de login tras
los cuales se bloquear la cuenta de administrador. El valor
FAILED_AUTH_ATTEMPT_MAX por defecto es 6 intentos.
Introduzca el nmero de minutos por los que se bloquear la
cuenta de administrador tras alcanzarse el mximo nmero
de intentos de conexin fallidos. El valor por defecto es 30
minutos.
Debe definir un valor para FAILED_AUTH_ATTEMPT_MAX
TIME_LOGIN_LOCKED para usar este parmetro.
Define (como True Veradero o False Falso ) si las
PASSWORD_BOTH_LETTER_AND_ contraseas de administrador deben contener tanto letras
NUM_REQUIRED como nmeros. El valor por defecto es True (Veradero).
3. Guarde los cambios que haya hecho en el fichero.
Tareas Relacionadas
Activar la Aplicacin de Parmetros de Contraseas (pag. 224)
Cambiar las Contraseas del Administrador

Si no ha configurado las contraseas del administrador para que expiren automticamente, le

recomendamos que las cambie regularmente. Un administrador con permisos para gestionar
cuentas de administrador puede cambiar la contrasea de cualquier otro administrador. Todos los
administradores pueden cambiar sus propias contraseas una vez conectados al Management
Client o al StoneGate Web Portal.
Para cambiar la contrasea de cualquier administrador
1. En la vista de Configuracin de Administracin, navegue a AdministrationAccess
RightsAdministrators (AdministracinDerechos de AccesoAdministradores) o
AdministrationAccess RightsWeb Portal Users (AdministracinDerechos de
AccesoUsuarios del Web Portal).
2. Haga doble click sobre el elemento Administrator o Web Portal User para abrir sus
propiedades.
3. Escriba la nueva contrasea en el campo Password y confrmela en el campo siguiente.
4. Pulse OK.
Para cambiar su propia contrasea de administrador
1. Seleccione FileSystem ToolsChange Password (ArchivoHerramientas del
SistemaCambiar Contrasea). Aparecer el dilogo de Cambiar Contrasea.
2. Introduzca su contrasea actual en el campo Old Password (Contrasea Antigua).
3. Introduzca una nueva contrasea en el campo New Password (Nueva Contrasea).
4. Confirme la nueva contrasea en el campo Confirm New Password (Confirmar Nueva
Contrasea).
5. Pulse OK.
Tareas Relacionadas
Autenticar Administradores usando RADIUS

Prerrequisitos: Debe disponer de un servidor de autenticacin externo que soporte el protocolo RADIUS
Puede autenticar las conexiones de los administradores y usuarios del Web Portal contra un
servidor de autenticacin externo que soporte el protocolo RADIUS. Esto permite conectarse
al Management Client o Web Portal usando cualquier mtodo de autenticacin soportado por
su servidor RADIUS. Puede activar la autenticacin RADIUS para cada administrador
individualmente.
La base de datos de usuarios interna de StoneGate no permite que servidores de
autenticacin externos consulten la informacin de las cuentas de administrador, de forma
que tiene que mantener ambas cuentas de forma separada tanto en StoneGate como en una
base de datos externa que pueda ser accedida por el servidor RADIUS. El nombre del
administrador debe ser el mismo en ambas bases de datos.
Para establecer la autenticacin RADIUS para cuentas de administrador
1. Defina un elemento servidor de autenticacin RADIUS (vea Definir un Servidor de
Autenticacin (pag. 635)) o Servidor de Directorio Activo (vea Definir un Elemento
Servidor de Directorio Activo (pag. 627)).
La clave compartida (shared secret) usada en las comunicaciones se define en el
Servidor RADIUS o en el elemento Servidor de Directorio Activo.
2. Cree una regla en su Poltica para permitir el trfico desde su Management Server al
servidor RADIUS externo.
3. Pulse botn derecho sobre el Management Server y seleccione Properties
(Propiedades).
4. Seleccione el Mtodo RADIUS (RADIUS Method) para el mtodo de seguriudad que
quiere usar para autenticar las comunicaciones del Management Server con su servidor
RADIUS externo. Tiene la eleccin de:
PAP (Password Authentication Protocol), que no se recomienda puesto que
intercambia la contrasea en texto claro.
CHAP (Challenge-Handshake Authentication Protocol)
MSCHAP, MSCHAP 2 (Versiones de Microsoft de los protocolos anteriores), de los cuales
se recomienda MS-CHAP 2 sobre MS-CHAP si est soportado por el servidor RADIUS.
EAP-MD5 (Extensible Authentication Protocol con Hash MD5)
Precaucin La seguridad del sistema requiere que estas comunicaciones se

mantengan confidenciales. Cualquiera que sea el mtodo de seguridad que elija le
recomendamos que las comunicaciones entre el Management Server y el servidor
RADIUS se realicen slo a travs de redes seguras.
5. Configure el servidor RADIUS externo para su uso con StoneGate.

Defina el StoneGate Management Server como cliente RADIUS en su servidor.
Defina en su servidor RADIUS el mismo mtodo de seguridad para la autenticacin que
eligi en las propiedades del Management Server en el paso anterior.
6. Seleccione la opcin RADIUS Authentication para cuentas de administrador (segn se
explica en Definir Cuentas de Administrador (pag. 218)). El nombre del elemento
Administrador en la base de datos de usuarios debe ser el mismo que use el servidor
RADIUS.
Eliminar Cuentas de Administrador

Prerrequisitos: Crear un Nuevo Elemento Administrador
Cuando elimina una cuenta de administrador, todas las referencias al administrador son eliminadas
(por ejemplo, de la historia de modificaciones de elementos).
Nota Debe haber al menos una cuenta con privilegios ilimitados en el sistema. No es
posible borrar la ltima cuentta sin restricciones que exista.
Si elimina un elemento Administrador que representa la cuenta de un administrador que ha

modificado elementos en el Management Center, toda la historia de los cambios que ha hecho el
administrador se pierde. En lugar de borrar la cuenta permanentemente, puede desactivarla
pulsando el botn derecho en el elemento Administrador correcto y seleccionando Disable
(Deshabilitar). Vea Borrar Elementos (pag. 79) para informacin general acerca de la eliminacin
de elementos.
Escalado de Alertas 229
CAPTULO 19
ESCALADO DE ALERTAS
El sistema de alertas puede ser configurado para escalar las alertas generadas de forma
que las notificaciones se enven a los administradores a travs de mltiples canales.
Empezar con el Escalado de Alertas (pag. 230)

Crear Alertas (pag. 231)
Definir Cadenas de Alertas (pag. 233)
Definir Polticas de Alertas (pag. 238)
Instalar Polticas de Alertas (pag. 240)
Reconocer Alertas (pag. 240)
Usar Scripts Personalizados para el Escalado de Alertas (pag. 242)
Configurar un Servidor de Alertas Dedicado (pag. 243)
Probar Alertas (pag. 244)
Empezar con el Escalado de Alertas

Las alertas le notifican en caso de que suceda algo inesperado o sospechoso. Es vital para la
salud del sistem que las alertas no pasen inadvertidas.
Qu Hace el Escalado de Alertas
El proceso de escalado de alerta se inicia cuando una alerta es disparada por un aviso o un error
del sistema, o porque el trfico coincide con una regla configurada para lanzar una alerta. EL Log
Server puede enviar diferentes tipos de notificaciones a cualquier nmero de administradores. El
escalado de una alerta para cuando un administrador reconoce la alerta lanzada o cuando todas
las notificaciones de alerta configuradas han sido enviadas.
Limitaciones
Los cortafuegos SOHO no envan alertas.
El escalado de alertas para la SSL VPN se configura en el interfaz del Administrador de SSL
VPN.
Slo se puede configurar un receptor de correo electrnico para cada notificacin. Para enviar
un correo a varias personas a la vez, deber configurar un grupo de correo en el servidor de
correo o configurar varias notificaciones consecutivas sin retardos.
Las alertas de prueba no pueden enviarse con los cortafuegos o dispositivos IPS como
remitentes, y siempre tienen la informacin de Severidad y Situacin por defecto.

Ilustracin 86: Elementos en la Configuracin
Cadenas de Alertas Poltica de Alertas Log Server
Alertas (Personalizadas)
Polticas y Dispositivos
1. (Opcional) Cree nuevos elementos de Alertas Personalizadas para permitir unas

coincidencias ms granulares en la Poltica de Alertas. Vea Definir Alertas Personalizadas
(pag. 231).
2. Asegrese de que se generan alertas para todos los eventos necesarios. Vea Definir Qu
Lanza una Alerta (pag. 232).
3. Cree listas de acciones a tomar cuando se escala una alerta. Vea Definir Cadenas de
Alertas (pag. 233).
4. Defina qu alertas se comprueban contra qu Cadena de Alertas. Vea Definir Polticas de
Alertas (pag. 238).
Crear Alertas
Hay tres elementos Alerta predefinidos en el sistema:

la alerta del Sistema (System alert), reservada para alertas sobre la operacin del sistema.
la alerta por Defecto (Default alert), elemento preparado para que lo use segn desee.
la alerta de Prueba (Test alert), usada en Polticas de Alertas para Situaciones de Prueba.
Adicionalmente, puede definir elementos Alerta personalizados, que son tiles si quiere
configurar notificaciones de alerta diferentes para diferentes tipos de eventos.
Puede crear nuevos elementos de Alerta para trfico y fallos de chequeos, y crear reglas de
manejo especializadas para ellas en u Poltica de Alertas. Los eventos del sistema siempre estn
asociados con el elemento Alerta del Sistema..
Para continuar:
Para crear o modificar una alerta personalizada, proceda a Definir Alertas
Personalizadas.
Para configurar cules eventos generan alertas, proceda a Definir Qu Lanza una
Alerta (pag. 232).
Para mandar una alerta de prueba, vea Probar Alertas (pag. 244).
Definir Alertas Personalizadas

Para definir una alerta personalizada
2. Pulse botn derecho sobre Alert Configuration (Configuracin de Alertas) y seleccione
NewCustom Alert (NuevaAlerta Personalizada). Se abrir el dilogo de
Propiedades de la Alerta Personalizada.
Ilustracin 87: Propiedades de la Alerta Personalizada
3. Proporcione un Nombre (Name) nico para la definicin de alerta. ste es el nombre

que se mostrar en la vista de Logsw.
4. (Opcional) Escriba un mensaje para la alerta. Esto tambin se mostrar en los logs.
5. (Opcional) Si est usando traps SNMP para enviar alertas, defina el cdigo especfico
del trap SNMP en el campo SNMP Trap Specific Code. Esto se incluye en los
mensajes SNMP enviados. El valor depende de cmo est configurado el sistema
receptor y el propsito que haya panificado para esta alerta.
6. Pulse OK. El nuevo elemento de Alerta personalizado aparece en la carpeta de Alertas.
Si ha editado una alerta personalizada que ya est en uso por alguna Poltica de Alertas, los
cambios que haya hecho slo tendrn efecto tras recargar la Poltica de Alertas en los Log
Servers.
Para continuar:
Use la Alerta personalizada segn Definir Qu Lanza una Alerta.
Definir Qu Lanza una Alerta

Las Alertas del Sistema o Personalizadas siempre se lanzan por una situacin que sucede
en el sistema. La Situacin puede ser un aviso o un error en la operacin del sistema
StoneGate, un fallo de chequeo, una coincidencia en una regla o una coincidencia con un
patrn definido en uno de los elementos Situacin en una inspeccin profunda de paquetes.
Adems de las alertas del Sistema lanzadas por eventos internos en el sistema StoneGate,
puede configurar alertas de acuerdo con lo siguiente:
Puede definir que una cierta regla de su Poltica de Cortafuegos o IPS lance una alerta.
Vea Definir Opciones de Logging en Reglas de Acceso (pag. 528).
Puede activar que la Vigilancia de Estado en dispositivos lance una alerta cuando el
Management Server no reciba actualizaciones de estado durnate un tiempo, vea
Activar/Desactivar los Diagnsticos de Cortafuegos/VPN (pag. 192).
Puede configurar el comprobador para mandar una alerta siempre que falle un chequeo
(por ejemplo, cuando un enlace de red se caiga). Algunos chequeos son ejecutados por el
sistema pordefecto. Vea Empezar con el Comprobador de Dispositivos (pag. 398).
Los Agentes de Monitorizacin de Pools de Servidores pueden lanzar alertas cuando
detectan problemas con los servidores. Vea Empezar con la Gestin del Trfico de
Entrada (pag. 468).
Puede establecer umbrales para elementos monitorizados en las Vistas Generales
(Overviews) para lanzar alertas cuando se alcance el umbral. Vea Establecer Umbrales
para los Elementos Monitorizados (pag. 96).
Para continuar:
Para definir cmo se notifica a los administradores de nuevas alertas en el sistema,
proceda a Definir Cadenas de Alertas (pag. 233).
Definir Cadenas de Alertas

Las Cadenas de Alertas definen qu canales de notificacin se usan para enviar notificaciones de
alerta a los administradores. Las Cadenas de Alertas se usan en Polticas de Alertas. La Poltica
de Alertas define qu Cadenas de Alertas son lanzadas por cules alertas.
Para continuar:
Si quiere enviar alertas a travs de cualquier canal excepto como notificaciones al
Management Client, y no ha definido canales de Alertas, empiece en Definir Canales
de Alertas.
En otro caso, empiece en Crear Nuevas Cadenas de Alertas (pag. 234) o Modificar
Cadenas de Alertas Existentes (pag. 235).
Definir Canales de Alertas

Los Canales de Alertas son formas de enviar notificaciones a los administradores. Si quiere enviar
alertas por correo electrnico, como mensajes de etxto SMS, a travs de un script a medida, o como
traps SNMP, deber configurar los canales de alerta que quiera usar para coda Log Server que
gestione el escalado de alertas.
Para definir canales de alertas
2. Navegue a Servers (Servidores), pulse el botn derecho sobre el Log Server correcto y
seleccione Properties (Propiedades).
3. Cambie a la pestaa Alert Channels (Canales de Alertas).
Ilustracin 88: Canales de Alertas
4. (Opcional) Si quiere enviar alertas como e-mails, rellene:

SMTP Server (Servidor SMTP): nombre del host o direccin IP del servidor SMTP al cual
se enviarn las notificaciones de alerta como e-mail.
Mail Sender Name (Nombre del Remitente): nombre del remitente del mensaje.
Mail Sender Address (Direccin del Remitente): direccin de correo electrnico del
remitente del mensaje.
5. (Opcional) Si quiere mandar notificaciones de alertas como mensajes de texto SMS,
rellene:
GSM COM Port (Puerto COM GSM): el puerto COM desde el que se enviarn los
mensajes SMS. Escriba el puerto al cual est conectado el mdem GSM (por ejemplo,
COM1 en Windows, /dev/ttyS0 en Linux)
(Opcional) PIN Code (Cdigo PIN): Escriba el cdigo PIN, si el mdem GSM lo requiere.
6. (Opcional) Si quiere enviar alertas como traps SNMP, rellene:

SNMP Gateways (Pasarelas SNMP): los nombres de host o direcciones IP de la
pasarela SNMP a la cual se enviarn las alertas como traps SNMP.
Puede especificar una lista de pasarelas separndolas por ; (por ejemplo, snmp-gw1;
snmp-gw2).
En caso de que el puerto de su pasarela SNMP sea diferente del puerto por defecto
162, especifique el nmero de puerto escribiendo : y el puerto tras el nombre del host
(por ejemplo, snmp-gw:4390).
7. (Opcional) Si quiere enviar notificaciones de alerta que sern procesadas por un script
personalizado, rellene:
Script Root Path (Path Raiz del Script): el path donde los scripts que manejen las
alertas se almacenan en este Log Server. La localizacin por defecto es <directorio
de instalacin >/data/notification en el Log Server.
No defina aqu el nombre del script; lo aadir en la cadena de alertas en cada lugar
donde quiera invocar un script particular. Puede usar mltiples scripts.
Para informacin sobre la creacin del script, vea Usar Scripts Personalizados para el
Escalado de Alertas (pag. 242).
8. Pulse OK.
Repita los pasos anteriores para todos los Log Servers que planee usar para el Escalado de
Alertas.
Para continuar:
Contine en Crear Nuevas Cadenas de Alertas.
Crear Nuevas Cadenas de Alertas

Puede crear varias Cadenas de Alertas. Las Cadenas de Alertas se usan en Polticas de
Alertas, que puede escalar diferentes alertas a diferentes Cadenas de Alertas de acuerdo
con reglas establecidas en la Poltica de Alertas.
Para crear una nueva cadena de alertas
2. Pulse el botn derecho sobre Alert Configuration (Configuracin de Alertas) y
seleccione NewAlert Chain (NuevaCadena de Alertas). Se abrir el dilogo de
Propiedades de Cadena de Alertas.
Ilustracin 89: Propiedades de Cadena de Alertas
3. Proporcione un Nombre (Name) nico para la Cadena de Alertas.

4. Pulse OK. La nueva cadena de alerta se crea y se abre para su edicin.
Para continuar:
Contine definiendo la cadena de escalado de alertas segn se explica en Editar
Cadenas de Alertas (pag. 235).
Modificar Cadenas de Alertas Existentes

Para modificar una cadena de alerta existente
2. Navegue a Alert ConfigurationAlert Chains (Configuracin de AlertasCadenas de
Alertas).
3. Pulse el botn derecho sobre la cadena de alertas que quiere modificar y elija uno de los
siguientes:
Properties (Propiedades): modificar la informacin de las propiedades (como el nombre).
Edit Alert Chain (Editar Cadena de Alertas): modificar las reglas para escalar alertas y
modificar la Cadena de Alertas segn se explica en Editar Cadenas de Alertas (pag. 235).
Editar Cadenas de Alertas

Una Cadena de Alertas se define en filas que se leen de arriba abajo. Cada fila representa un
receptor diferente o un canal de alerta diferente a un receptor dado.
Tip No es obligatorio aadir ninguna fila a una Cadena de Alertas, por ejemplo, si quiere crear una cadena
que simplemente use la Accin Final (Final Action) para reconocer o parar el escalado
automticamente de entradas de alertas que la Poltica de Alertas dirija a la cadena.
Para editar una cadena de alertas
1. Aadir una fila:
En una Cadena de Alertas vaca, pulse el botn derecho sobre la fila Final Action (Accin
Final) y elija RuleAdd Rule (ReglaAadir Regla).
En una Cadena de Alertas con reglas existentes, pulse el botn derecho sobre una regla y
elija RuleAdd Rule Before (ReglaAadir Regla Antes) o RuleAdd Rule After
(ReglaAadir Regla Despus).
Ilustracin 90: Cadena de Alertas
2. Seleccione la celda Channel (Canal) de la Alerta. Las opciones son:

Custom Script (Script Personalizado): las alertas se envan a un script creado por
usted para su proceso. Vea Usar Scripts Personalizados para el Escalado de Alertas
(pag. 242).
Delay (Retardo): el proceso se pausa durante el tiempo especificado antes de aplicar la
siguiente regla.
SMS: se enva un mensaje de texto SMS.
SMTP: se enva un mensaje de correo electrnico.
SNMP: se enva un trap SNMP.
User Notification (Notificacin de usuario): aparece un icono parpadeante en
laesquina inferior derecha del Management Client del administrador seleccionado. El
icono funciona como un acceso directo a la vista de Logs pre-filtrada para mostrar las
alertas actualmente activas.
3. Especificar el Destino (Destination) de la notificacin de alerta. La informacin del
destino vara de acuerdo con el canal de alerta seleccionado:
Custom script (Script personalizado): Introduzca el nombre (o path completo) del
fichero de script (tenga en cuenta que el path raiz del script se define en las
propiedades del Logs Server).
SMS: Introduzca el nmero de telfono mvil del receptor de la alerta.
SMTP: Introduzca la direccin de correo electrnico del receptor. Solamente se permite
una direccin de correo. Use una direccin de correo de grupo o cree filas adicionales
sin retardos para enviar el correo electrnico a mltiples destinatarios a la vez.
SNMP: No editable, puesto que el servidor SNMP se define en las propiedades del Log
Server (el trap SNMP que se enva depende el evento de alerta).
4. (Opcional) Para establecer a cuntas alertas se envan a un determinado destinatario,
haga doble click sobre la celda Threshold to Block (Lmite a Bloquear) y use el dilogo
que se abre para establecer las siguientes opciones:
Pass on Max (Ignorar tras Mximo): Introduzca el nmero mximo nmero de alertas
que el destinatario puede recibir. Tras alcanzar este umbral, cualquier fila con este
destinatario es ignorada.
During (Duracin): Introduzca el priodo de tiempo en horas (h) y minutes (min) para
contar el nmero de alertas hacia el destinatario.
Notify first blocking (Notificar primer bloqueo): seleccione esta opcin si quiere que el
sistema notifique al destinatario de la alerta una vez el bloqueo de la alerta comience.
No moderation (Sin moderacin): seleccione esta opcin si no quiere establecer
ningn umbral para el bloqueo.
Nota Si deja la celda de Threshold to Block (Lmite a Bloquear) vaca, no hay umbral
de bloqueo para las alertas mandadas al destinatario.
5. (Obligatorio para el canal de Retardo, opcional para los otros canales) Introduzca el
Retardo (Delay), defina una pausa (en minutos) antes de que la siguiente fila en la
cadena de alertas se procese.
El propsito del retardo es proporcionar al destinatario de la notificacin tiempo para
reconocer la alerta antes de enviar la siguiente notificacin.
Si el envo de la notificacin a travs de los canales seleccionados falla, el retardo
introducido aqu se ignora. Si quiere aadir retardos que sean siempre vlidos, aada
una fila con Delay (Retardo) como canal de alerta y establezca el retardo en esa fila.
6. Siga aadiendo nuevas filas hasta que la cadena de Alertas est completa.
Para continuar:
Si no ha definido lo que ocurre cuando se alcanza el final de la Cadena de Alertas,
proceda a Definir la Accin Final de una Cadena de Alertas (pag. 237).
Si ha definido qu ocurre cuando se alcanza el final de la Cadena de Alertas, guarde
la Cadena de Alertas terminada. Si no est incluida en sus Polticas de Alertas an,
proceda segn se explcia en Definir Polticas de Alertas (pag. 238).
En otro caso, recargue las Polticas de Alertas que usen esta Cadena de Alertas (vea
Instalar Polticas de Alertas (pag. 240)).
Definir la Accin Final de una Cadena de Alertas

La fila de Accin Final (Final Action) en una Cadena de Alertas determina qu ocurre cuando
todos los Canales de Alerta en la Cadena de Alerta se han intentado, pero ningn
Administrador ha reconocido la alerta.
Para definir la accin final
1. Seleccione la Accin Final (Final Action) que toma el sistema si se alcanza la ltima fila
de la cadena de alertas:
None (Ninguna): El escalado de alertas finaliza. No se enviarn posteriores
notificaciones, pero la alerta permanece en la lista de de alertas activas.
Acknowledge (Reconocer): El escalado de alertas finaliza aqu y el sistema
automticamente reconoce la alerta (la elimina de la lista de alertas activas).
Redirect (Redirigir): El escalado de alertas contina en la Cadena de Alertas que
seleccione en la otra caja de seleccin.
Return (Devolver): Devuelve el procesado a la Poltica de Alertas. La comprobacin de
la Poltica de Alertas contina desde la siguiente fila. Si hay otra regla que coincida en
la Poltica de Alertas, continuar el escalado de alertas. Si no se producen ms
coincidencias, el escalado finaliza y la alerta permanece en la lista de alertas activas.
2. Pulse el icono de Guardar en la barra de herramientas.
Para continuar:
Si la Cadena de Alertas no est incluida en su Poltica de Alertas todava, proceda
segn se explica en Definir Polticas de Alertas (pag. 238).
En otro caso, recargue las Polticas de Alertas que usen esta Cadena de Alertas (vea
Instalar Polticas de Alertas (pag. 240)).
Definir Polticas de Alertas

Prerrequisitos: Definir Cadenas de Alertas
Las Polticas de Alertas determinan los criterios para seleccionar qu alertas generadas por las
diferentes fuentes son escaladas a qu Cadenas de Alertas.
Los cortafuegos, analizadores y servidores SMC son posibles fuentes de alertas. Los sensores
envan sus alertas a travs de analizadores y los cortafuegso SOHO no generan entradas de alerta
en absoluto. Si los elementos Dominio han sido configurados en el sistema, puede seleccionar un
Dominio como Emisor en una Poltica de Alertas en el Dominio Compartido. Adicionalmente, los
eventos de alertas pueden ser dirigidos a diferentes Cadenas de Alertas dependiendo de la hora
del da o el elemento Alerta (Personalizada en su caso) usado en la configuracin de lanzamiento
de alertas.
Para continuar:
Proceda a Crear Nuevas Polticas de Alertas (pag. 238) o Modificar Polticas de
Alertas Existentes (pag. 239).
Crear Nuevas Polticas de Alertas

Para crear una nueva poltica de alertas
2. Pulse botn derecho sobre Alert Configuration (Configuracin de Alertas) y seleccione
NewAlert Policy (NuevaPoltica de Alertas) desde el men. Se abrir el dilogo de
Propiedades de la Poltica de Alertas.
Ilustracin 91: Propiedades de las Polticas de Alertas
3. Proporcione un Nombre (Name) nico a la Poltica.

4. Pulse OK. La nueva poltica de alertas se abre para su edicin.
Para continuar:
Proceda a definir las regals de la poltica de alertas segn se explica en Editar Reglas
de la Poltica de Alertas (pag. 239).
Modificar Polticas de Alertas Existentes

Para editar una poltica de alertas
2. Navegue a Alert ConfigurationAlert Policies en el rbol de elementos. Se
mostrarn las polticas de alertas existentes.
3. Pulse el botn derecho sobre la poltica de alertas adecuada y seleccione uno de los
siguientes:
Seleccione Properties (Propiedades) para cambiar la informacin de las propiedades
(tales como el nombre).
Seleccione Edit Alert Policy (Editar Poltica de Alertas) para modificar las reglas de la
poltica de alertas actual y proceda segn se explica en Editar Reglas de la Poltica de
Alertas.
Editar Reglas de la Poltica de Alertas

Para editar las reglas de la poltica de alertas
1. Aada una regla en la Poltica de Alertas:
En una Poltica de Alertas vaca, pulse el botn derecho sobre la tabla de reglas y
seleccione RuleAdd Rule (ReglaAadir Regla).
En una Poltica de Reglas con reglas existentes, pulse el botn derecho sobre una
regla y selecciones RuleAdd Rule After (ReglaAadir Regla Despus) o
RuleAdd Rule Before (ReglaAadir Regla Antes).
Ilustracin 92: Poltica de Alertas
2
2. Seleccione el Log Server al que aplica esta Poltica de Alertas.

3. (Opcional) Especifique el dispositivo Emisor (Sender) con que coincide esta alerta:
Puede aadir Analizadores, Cortafuegos, Grupos o Servidores o pulsar con el botn
derecho y seleccionar Set to ANY (Establecer a Cualquiera).
Nota Si dispone de un Analizador de respaldo, recuerde aadir tanto el primario como el

de respaldo como Emisores. El Analizador de respaldo no se incluye automticamente.
4. (Opcional) Especifique la Alerta y Situacin (Alert and Situation) con que coincide
esta regla.
5. (Opcional) Haga doble clic sobre la celda Time y elija los das y horas cuando quiere
que se aplique esta regla. Pulse OK.
Si no especifica ningn tiempo de validez, la regla ser siempre aplicable.
La hora se introduce como tiempo UTC (GMT). Deber calcular por s mismo los
efectos de la diferencia horaria con su hora local. Tambin debe tener en cuenta que
UTC no se ajusta al horario de verano.
6. (Opcional) Haga doble clic sobre la celda Severity (Severidad) y especifique el valor de
Severidad (Severity) que se aplica en esta regla.
Para definir un nico valor de Severidad, seleccione Severity y una de las opciones de
Severidad.
Si quiere que la regla coincida con un rango de Severidades, seleccione Severity
Range (Rango de Severidad) y defina el rango en las listas From (Desde) y To
(Hasta).
7. Seleccione que Cadena de Alertas (Alert Chain) se procesa cuando un evento de alerta
coincide con esta regla.
240
8. Repita estos pasos para aadir ms reglas, despus pulse el icono Guardar en la barra
de herramientas.
Para continuar:
Active la Poltica de Alertas en su Log Server segn Instalar Polticas de Alertas.
Instalar Polticas de Alertas

Los cambios hechos a las polticas de alertas tienen efecto cuando se instala la Poltica de Alertas
en el Log Server.
Para instalar una poltica de alertas
2. Navegue a Alert ConfigurationAlert Policies (Configuracin de AlertasPolticas
de Alertas).
3. Pulse botn derecho sobre la Poltica de Alertas que quiere instalar y seleccione Install
Policy (Instalar Poltica). Se abrir la Ventana de Propiedades de la Tarea.
4. Seleccione los Log Servers en los que quiere instalar la Poltica de Alertas y pulse Add
(Aadir).
5. Pulse OK.
Tras instalar una poltica en un Log Server, puede simplemente pulsar el botn derecho en el
elemento Log Server y elegir Current Alert PolicyRefresh (Poltica de Alertas
ActualRefrescar) para transmitir cualquier cambio que haya hecho en la Poltica de Alertas al
Log Server.
Reconocer Alertas
Prerrequisitos: Debe haber al menos una alerta activa en el sistema
Una vez su sistema empieza a generar entradas de alerta stas se envan al Log Server. Las
entradas de alerta se muestran junto con otros tipos de entradas de log en la vista de Logs. Las
entradas de alerta se marcan con in icono a su izquierda para destacarlas de las otras entradas de
log. Las alertas que todava no han sido reconocidas se marcan coun icono de Alerta No
Reconocida (un tringulo amarillo con un signo de exclamacin y un asterisco).
Las entradas de alerta pueden ser reconocidas en la vista de Logs y el Web Portal. Vea la Ayuda
Online del Web Portal para ms informacin sobre reconocer alertas a travs del Web Portal. Una
vez una entrada de alerta es reconocida por un administrador, se elimina de la lista de alertas
activas y todo el procesado de la Cadena de Alertas para esa entrada de alertas se para. Las
entradas de alerta pueden reconocerse individualmente , o puede reconocer todas las entradas de
alerta activas a la vez.
Las entradas de alerta pueden gestionarse como otras entradas de log. Para instrucciones sobre el
uso de las herramientas de gestin de logs, vea Empezar con la Gestin de Datos de Logs (pag.
800).
Para continuar:
Reconozca alertas bien en Reconocer Alertas Individuales (pag. 241) o en
Reconocer Todas las Alertas Activas (pag. 241).
Reconocer Alertas Individuales

Nota Cuando reconoce una entrada de alerta, el escalado de alertas para para esa
alerta y no se enviarn nuevas notificaciones desde el Log Server a los administradores.
Para reconocer una o varias alertas seleccionadas

1. Seleccione MonitoringLogs (MonitorizacinLogs) desde el men. Se abrir la vista
de Logs.
2. Seleccione que se muestren solo las Alertas (Alerts) desde la lista desplegable en el
panel de Propiedades de la Bsqueda. Opcionalmente, tambin puede seleccionar
MonitoringSystem Status (MonitorizacinEstado del Sistema) en el men y pulsar
el nmero que indica el total de alertas para abrir la vista de Logs que muestra todas las
alertas activas.
3. (Opcional) Defina criterios adicionales de filtrado para encontrar las alertas deseadas.
4. Pulse Apply (Aplicar) en el panel de Consultas para filtrar la vista.
5. Seleccione una o ms entradas de alerta en la tabla de entradas de logs.
6. Seleccione DataAcknowledge (DatosReconocer) desde el men. Se abrir un
dilogo de confirmacin.
7. Seleccione Yes para reconocer las alertas.
Reconocer Todas las Alertas Activas

Nota Cuando reconoce una entrada de alerta, el escalado de alertas para esa entrada
y no se mandarn nuevas notificaciones desde el Log Server a los Administradores.
Para reconocer todas las alertas mostradas

1. En la vista de Estado del Sistema, pulse el nmero que indica el nmero totl de alertas
de su sistema. La vista de Logs se abre pre-filtrada para mostrar todas las alertas
activas.
2. Seleccione DataAcknowledge All (DatosReconcoer Todas) desde el men. Se
abrir un dilogo de confirmacin.
3. Seleccione Yes para reconocer las alertas.
Usar Scripts Personalizados para el Escalado de Alertas

Todos los scripts personalizados deben almacenarse en el mismo path raiz, que se define para
cada Log Server en las propiedades del elemento Log Server (vea Definir Canales de Alertas (pag.
233)). Si el Log Server est instalado en el directorio de instalacin por defecto, el path es:
En Windows: C:\Stonesoft\StoneGate\data\notification\.
En Linux: /usr/local/stonegate/data/notification/.
Hay un script de notificacin por defecto en este directorio llamado notify.bat en Windows y
notify.sh en Linux que puede ser modificado para su propio uso. En Linux, el usuario sgadmin
necesita permisos de lectura, escritura y ejecucin en el directorio del script.
La informacin de alertas se proporciona al script como argumentos de comando segn se describe
en la siguiente tabla.
Tabla 25: Argumentos Pasados a los Scripts Personalizados
Nmero de
Contenido Descripcin
Argumentos
Alert ID
1 Identifica la alerta unvocamente ante el sistema.
(ID de Alerta)
Alert Name
2 (Nombre de El nombre definido en las propiedades de la alerta.
Alerta)
Alert Originator La direccin IP del Sensor, Analizador, Cortafuegos u otro
3 (Originador de la componente del sistema que gener esta alerta
alerta) .
Alert Date
4 (Fecha de la La fecha en que la alerta se geneeer originalmente.
Alerta)
Alert Message
5 (Mensaje de Una descripcin corta de la alerta.
Alerta)
El valor Severidad de la alerta de 1 a 10 donde 1 es la menos
Alert Severity
severa y 10 la ms severa. El valor numrico de la Severidad
6 (Severidad de la
corresponde al siguiente valor de Severidad en la alerta generada:
Alerta)
1= Info, 2-4=Baja, 5-7=Alta, y 8-10=Crtica.
Alert Short
Description Los contenidos del campo Comment (Comentario) en las
7
(Descripcin Corta propiedades de la alerta.
de la Alerta)
Event ID
8 Slo para el IPS: referencia al ID de evento que lanz la alerta.
(ID de Evento)
Situation
Description
9 Descripcin larga de la situacin que lanz la alerta.
(Descripcin de la
Situacin)
Cuando se ejecuta el script de alerta, la salida estndar (stdout) se aade al fichero notify.out
en el directorio del script. La salida de error (stderr) se aade al fichero notify.err en el directorio
del script.
El script de Linux script de la siguiente ilustracin es un ejemplo de cmo crear una entrada de
log del sistema operativo usando la notificacin de alerta de script personalizado.
Ilustracin 93: Ejemplo de Script de Alerta Personalizado
Para continuar:
Los scripts de alerta almacenados en el directorio adecuado (segn se define en las
propiedades del elemento Log Server) pueden ser llamados desde las Cadenas de
Alerta por su nombre. Vea Editar Cadenas de Alertas (pag. 235).
Configurar un Servidor de Alertas Dedicado

Prerrequisitos: Debe tener al menos dos Log Servers
Las caractersticas del Servidor de Alertas son parte de toda instalacin de Log Server. De
cualquier modo, tambin puede reenviar todas las alertas de un Log Server a otro. Puede, por
ejemplo, usar un Log Server slo para manejar las alertas y hacer que todos los dems Log
Servers enven las alertas que generan y reciben al Log Server dedicado a gestionar las alertas.
Como resultado, las Cadenas de Alertas y Polticas de Alertas no necesitan ser gestionadas para
cada servidor, lo cual puede simplificar la gestin de alertas. Por otra parte, debe considerar que la
prdida de ese Log Server puede entonces significar que no se reciban alertas de ningn lugar del
sistema.
Para configurar un servidor de alertas dedicado
1. Pulse el botn derecho sobre un Log Server que ya no quiera que maneje alertas, y
selecione Properties (Propiedades). Se abrir el dilogo de propiedades para ese Log
Server.
2. Seleccione la opcin Forward all Alerts to (Reenviar todas las Alertas a).
3. Seleccione el Log Server que quiere usar como servidor de Alertas dedicado.
4. Pulse OK para cerrar el dilogo. El Log Server empieza a reenviar las alertas
inmediatamente. Repita segn sea necesario para otros Log Servers.
Probar Alertas
Puede probar el correcto funcionamiento de las alertas enviando una alerta de prueba. Se trata del
mismo modo que cualquier otra alerta. Las alertas de prueba tienen el valor ms bajo de severidad
posible (Low) y no disponen de Situacin propia especfica. El Emisor siempre es un servidor
SMC, de forma que no es posible probar cmo se gestionan alertas provenientes de otro
componentes, usando la alerta de prueba.
Nota Una alerta de prueba se escala slo si las reglas de la Poltica de Alertas
coinciden con la alerta de prueba.
Para probar una alerta

2. Navegue a Alert ConfigurationAlerts (Configuracin de AlertasAlertas).
3. Pulse el botn derecho sobre la alerta a probar y seleccione Test Alert (Probar Alerta).
Se abrir el dilogo de Seleccin de Servidor de Alertas.
4. Seleccione el servidor que enviar la alerta y pulse Select (Seleccionar).
5. Compruebe que la entrada de alerta aparece en la vista de Logs.
Para continuar:
Reconozca la alerta segn se explica en Reconocer Alertas (pag. 240).
Dominios 245
CAPTULO 20
DOMINIOS
Los elementos Domain (Dominio) permiten restringir qu elementos se muestran a los

administradores en el Management Client y en el StoneGate Web Portal opcional. Tambin
le permiten definir sobre qu Dominios administrativos tiene permisos un administrador.
Configurar Domnios requiere una licencia especial.
Empezar con Dominios (pag. 246)

Crear Dominios (pag. 247)
Conectarse a un Dominio (pag. 249)
Desconectarse de un Dominio (pag. 250)
Eliminar Dominios (pag. 250)
Mover Elementos Entre Dominios (pag. 250)
Usar la Vista General de Dominio (pag. 252)
Empezar con Dominios

Los elementos Dominio le ayudan a gestionar redes grandes y a definir los permisos de los
adminsitradores.
Cmo Pueden Configurarse los Dominios
Los elementos Dominio le permiten agrupar elementos que pertenecen a configuraciones
especficas (por ejemplo, elementos que pertenecen a un cliente o sitio especfico).
Puede usar los Dominios para dividir responsabilidades entre administradores, de forma
que los administradores slo tienen acceso a elementos en Dominios especficos.
Qu Necesito Saber Antes de Empezar
Debe disponer de una licencia especial para poder configurar elementos Dominio. EL
nmero de Dominios que puede crear depende de la licencia.
El Dominio Compartido (Shared Domain) predefinido est previsto para todos los
elementos ue no pertenecen a un cliente o sitio en particular. Todos los elementos del
sistema pertenecen al Dominio Compartido. Si no hay licencia de Dominio en StoneGate o
an no se han configurado Dominios, todos los elementos pertenecen al DOminio
Compartido.
Los elementos en el Dominio Compartido se muestran a todos los administradores cuando
se conectan a cualqueir Dominio en el Management Client.
Los Dominios, Management Servers, Management Servers Secundarios, Filtros de
Limpieza de Logs y ceuntas de Administrador con permisos ilimitados son elementos que
pertenecen automticamente al Dominio Compartido. Estos elementos slo pueden
crearse en el Dominio Compartido, y no pueden moverse a ningn otro Dominio.

1. Genere e instale su licencia adquirida para Dominios, vea Generar Nuevas Licencias (pag.
826).
2. Defina los elementos Dominio en el Dominio Compartido. Vea Crear Dominios (pag. 247).
Si ya tienen configurados elementos Dominio, debe conectarse al Dominio Compartido para
crear ms Dominios. Vea Conectarse a un Dominio (pag. 249).
3. Conctese a cada Dominio y defina los elementos que le pertenecen. Vea Conectarse a un
Dominio (pag. 249).
Si quiere mover elementos existentes de un Dominio a otro, primero deber conectarse al
Dominio en el cual estn los elementos y despus moverlos al Dominio correcto. Vea Mover
Elementos Entre Dominios (pag. 250).
Precaucin Los elementos del Dominio Compartido se muestran a todos los

administradores cuando se conectan a cualquier Dominio en el Management Client.
Asegrese de que cada elemento especfico de un Dominio est asignado al Dominio
correcto.
Dominios 247
Crear Dominios
Prerrequisitos: Debe tener instalada una licencia para Dominios y debe estar conectado al Dominio Compartido
Su licencia de Dominios define cuntos Dominios puede crear. Slo un administrador con permisos
ilimitados puede crear Dominios.
Para crear un Dominio
3. Pulse el botn derecho en Domains y seleccione New Domain (Nuevo Dominio). Se
abrir el dilogo de Propiedades del Dominio.
Ilustracin 94: Propiedades del Dominio - Pestaa General
4. Proporcione un Nombre (Name) nico para el Dominio e introduzca un Comentario

(Comment) opcional con cualquier informacin para su propia referencia.
5. (Opcional) Rellene los campos E-mail Address (Direccin de Correo Electrnico) y
Phone Number (Nmero de Telfono) con la informacin que quiera mostrar en la Vista
General del Dominio.
Puede definir en las propiedades del Dominio una advertencia que se mostrar a los usuarios
en el StoneGate Web Portal opcional. Vea Escribir Mensajes a los Usuarios del Web Portal
(pag. 266).
Para continuar:
Si quiere definir un logotipo para el Dominio, contine en Definir un Logotipo de
Dominio (pag. 248).
En otro caso, pulse OK. El Dominio est preparado para usarse. Si quiere mover
elementos existentes al DOminio, vea Mover Elementos Entre Dominios (pag. 250).
Para crear nuevos elementos en el Dominio, contine en Conectarse a un Dominio
(pag. 249).
Definir un Logotipo de Dominio

Puede definir un logotipo para cada Dominio. El logotipo del Dominio se muestra en la
esquina superior derecha de la ventana del Management Client y al lado del nombre de
Dominio en la Vista General de Dominio (vea Usar la Vista General de Dominio (pag. 252)
para ms informacin). Tambin se muestra en el StoneGate Web Portal.
Para definir un logotipo de Dominio
1. Cambie a la pestaa Logo en las propiedades del elemento Dominio.
Ilustracin 95: Propiedades del Dominio - Pestaa Logo
2. Selecione la opcin de logotipo de la lista:

Seleccione None (Ninguno) si no quiere especificar un logotipo para el Dominio.
Seleccione un logotipo existente de la lista o elija Other (Otro) y seleccione un logotipo
del dilogo que aparece.
O seleccione New (Nuevo) para importar un nuevo Logotipo en el dilogo de
Propiedades de Logotipo que aparece.
3. Pulse OK. La pestaa Logo muestra una vista previa del Logo seleccionado.
Puede definir en las propiedades del Dominio una avertencia que se mostrar a los usuarios
del StoneGate Web Portal opcional. Vea Escribir Mensajes a los Usuarios del Web Portal
(pag. 266).
Para continuar:
Pulse OK. El Dominio est listo para su uso. Si quiere mover elementos existentes al
Dominio, vea Mover Elementos Entre Dominios (pag. 250). Para crear nuevos
elementos en el Dominio, contine en Conectarse a un Dominio (pag. 249).
Dominios 249
Conectarse a un Dominio
Prerrequisitos: Crear Dominios
Si slo tiene permisos sobre un nico Dominio, automticamente se conectar al Dominio

cuando se conecte al Management Client. Si tiene permisos en ms de un Dominio, deber
conectarse al Dominio correcto antes de gestionar elementos que pertenezcan al Dominio.
Puede estar conectado a ms de un Dominio a la vez.
Hay varias formas alternativas de conectarse a un Dominio:
En el dilogo de conexin del Management Client
El la Vista General de Dominio que se abre automticamente tras la conexin con el
Management Client cuando tiene permisos en ms de un nico Dominio
En la vista de Configuracin de Administracin
Cuando se conecta a un Dominio, el Management Client muestra por defecto la vista de Estado
del Sistema que muestra el estado de los elementos del Dominio.
Para conectarse a un Dominio en el dilogo de conexin del Management Client
1. Para conectarse a un Dominio en el dilogo de conexin del Management Client,
introduzca Nombre de Usuario (User Name) y Contrasea (Password) como siempre.
2. En el campo Server Address (Dierccin del Servidor), elija o introduzca la direccin IP

del servidor e introduzca el nombre del Dominio separado por / o \ despus de la
direccin IP.
Ejemplo 192.168.200.31/Dominio Ejemplo o 192.168.200.31\Dominio Ejemplo.
Si la opcin Remember Server Address (Recordar Direccin del Servidor) est

seleccionada, tambin se guardar la informacin de Dominio en la lista de Direcciones
de Servidor para conexiones posteriores.
3. Pulse Login.
Para conectarse a un Dominio en la Vista General de Dominio
1. Si la Vista General de Dominio no est abierta, seleccione MonitoringDomain
Overview (MonitorizacinVisin General de Dominio) desde el men.
2. En la Vista General de Dominio, haga doble click sobre la seccin donde se muestra la
informacin del Dominio (vea Usar la Vista General de Dominio (pag. 252)).
Para conectarse a un Dominio en la vista de Configuracin de Administracin
1. En la vista de Configuracin de Administracin, navegue a Other ElementsDomains
(Otros ElementosDominios) en el rbol de Administracin.
2. Pulse el botn derecho sobre un Dominio y elija Login (Conectar).
Desconectarse de un Dominio
Si tiene permisos en ms de un Dominio, puede desconectarse de Dominios sin cerrar el

Management Client bien en la vista de Configuracin de Administracin o en la Vista General de
Dominio. Desconectarse mediante la Vista General de Dominio es particularmente til si est
conectado en mltiples Dominios.
Para desconectarse de un Dominio en la vista de Configuracin de Administracin
1. En la vista de Configuracin de Administracin, navegue a Other ElementsDomains
en el rbol de Administracin.
2. Pulse botn derecho sobre un Dominio y elija Logout (Desconectar).
Para desconectarse de todos los Dominios en la Vista General de Dominio
1. Si la Vista General de Dominio no est abierta, elija MonitoringDomain Overview
(MonitorizacinVista General de Dominio) desde el men.
2. Para desconectarse de todos los Dominios en los que est actualmente conectado,
seleccione FileLogout from All Domains (ArchivoDesconectar de Todos los
Dominios) desde el men.
Tareas Relacionadas
Conectarse a un Dominio (pag. 249)
Eliminar Dominios
Slo los administradores que tienen permisos ilimitados pueden editar y eliminar Dominios. No
puede borrar el Dominio Compartido (Shared Domain) predefinido. Si borra un Dominio, todos los
elementos que pertenecen al Dominio tambin se borran. Si hay elentos que no quiere eliminar,
debe moverlos a otro Dominio antes de eliminar el Dominio (vea Mover Elementos Entre Dominios
(pag. 250)).
Mover Elementos Entre Dominios

La mayora de elementos pueden moverse a un Dominio diferente. Sin embargo, agunos

elementos siempre pertenecen al Dominio Compartido (elementos predefinidos del sistema,
Dominios, Management Servers, Management Servers Secundarios, Filtros de Limpieza de Logs y
cuentas de Administrador con permisos ilimitados) y no pueden moverse del Dominio Compartido.
Para mover elementos entre Dominios
1. Conctese al Dominio desde el cual quiere mover elementos. Vea Conectarse a un
Dominio (pag. 249).
2. Seleccione los elementos que quiere mover a otro Dominio (Shift- o Ctrl-click para
seleccionar mltiples elementos).
Tip Para ver slo los elementos del Dominio actual, pulse el icono de Herramientas y elija Show
Only Current Domain (Mostrar Slo el Dominio Actual).
3. Pulse el botn derecho sobre uno de los elementos seleccionados y elija ToolsMove
to Domain (HerramientasMover a Dominio). Se abrir el dilogo de Mover a Dominio.
Dominios 251
Ilustracin 96: Dilogo Mover a Dominio
4. Pulse Select para el Dominio Objetivo (Target Domain).

5. (Opcional) Seleccione ms elementos que desea mover en el panel de Elementos
(Elements) y pulse Add (Aadir). Los elementos seleccionados se aadirn a la lista de
elementos del panel Content (Contenido).
6. Pulse Move (Mover). StoneGate comprueba automticamente si hay referencias
de/hacia los elementos seleccionados en el Dominio actual. Se abrir una nueva vista
mostrando el estado de las referencias.
Ilustracin 97: Vista de Referencias Elementos a mover
Elementos
Referidos o
Referentes
Ms informacin
sobre
referencias
7. Compruebe la informacin en el panel Element References (Referencias de

Elementos).
8. Si el panel muestra Referring (Referentes) o Referenced Elements (Elementos

Referenciados), expanda las ramas para ver los elementos referidos/referentes y
resuelva las referencias:
Seleccione el elemento y pulse Add (Aadir) para mover tambin el elemento o pulse
el botn derecho sobre el elemento y use los comandos del men que se abre para
resolver las referencias (por ejemplo, abrir la poltica que contiene el elemento que
quiere mover y eliminar el elemento de la poltica).
Pulse Refresh (Refrescar) cuando haya resuelto una referencia para ver el estado de
las referencias de los elementos. Debe resolver todas las referencias a elementos
antes de mover los elementos seleccionados.
9. Si el panel de Referencias a Elementos (Element References) est vaco, no hay
referencias a elementos. Pulse Continue para mover los elementos al dominio
seleccionado.
Para continuar:
Si quiere ver o modificar los elementos movidos, conctese al Dominio donde los movi.
Vea Conectarse a un Dominio (pag. 249).
Tareas Relacionadas
Usar la Vista General de Dominio

La Vista General de Dominio le permite ver de un vistazo si hay problemas con algunos Dominios y
sus elementos, de forma que no necesite comprobar su estado separadamente para cada Dominio.
La Vista General de Dominio est disponible solamente para administradores con permisos en
ms de un Dominio. La informacin en la Vista General de Dominio depende de los permisos del
administrador. Slo muestra informacin para aquellos dominios en los que el administrador tiene
permisos. Por defecto, la Vista General de Dominio muestra el estado de todos los Dominios slo a
administradores con permisos ilimitados.
Para abrir la Vista General de Dominio en el Management Client, seleccione MonitoringDomain
Overview (MonitorizacinVista General de Dominio) desde el men. Si los elementos Dominio
han sido configurados, la Vista General de Dominio tambin se abre automticamente cuando un
administrador con permisos en ms de un Dominio se conecta al Management Client sin
especificar el Dominio en el dilogo de conexin.
Ilustracin 98: Vista General de Dominio
Informacin de Login
Para conectarse a un
Dominio, haga doble click
sobre la informacin del
Dominio.
Puede enviar un correo

electrnico mediante el
acceso directo.
Dominios 253
La Vista General de Dominio muestra los nombres y logotipos de los Dominios en los cuales cuenta
con permisos. Tambin muestra cualquier otra informacin (por ejemplo, direcciones de correo
electrnico y nmeros de telfono) definidos en las propiedades del Dominio. Adems, la Vista General
de Dominio muestra el estado de los elementos y el nmero de alertas activas en cada Dominio.
Puede conectarse a un Dominio haciendo doble click sobre la informacin del Dominio en la Vista
General de Dominio. Puede desconectarse de todos los Dominios a los que est conectado actualmente
selecionando FileLogout from All Domains (ArchivoDesconectar de Todos los Dominios) desde el
men en la Vista General de Dominio.
Tareas Relacionadas
Eliminar Dominios (pag. 250)
Configurar el Web Portal 255
CAPTULO 21
CONFIGURAR EL WEB PORTAL
El Web Portal proporciona acceso basado en un navegador Werb a logs, informes y

snapshots de polticas para usuarios autorizados especficos. El Web Portal es
proporcionado por el Web Portal Server, que es un componente opcional que puede
adquirir para su Management Center.
Empezar con el Acceso al Web Portal (pag. 256)

Definir los Parmetros del Web Portal Server (pag. 257)
Activar HTTPS en el Web Portal Server (pag. 258)
Permitir Conexiones al Web Portal (pag. 259)
Definir Cuentas de Usuarios de Web Portal (pag. 260)
Personalizar el Web Portal (pag. 264)
Escribir Mensajes a los Usuarios del Web Portal (pag. 266)
Empezar con el Acceso al Web Portal

Prerrequisitos: Debe disponer de licencias para ejecutar un Web Portal Server y crear Usuarios de Web Portal
Qu Hace el Web Portal

El Web Portal proporciona acceso restringido sin necesidad de cliente a logs, informes y
snapshots de polticas. Es particularmente til para proveedores de servicios gestionados
para proporcionar a los clientes informacin sobre su sistema. No es necesario que el
usuario final instale ningn software; puede acceder a la informacin usando un navegador
Web.
Limitaciones del Web Portal
Si se han configurado Dominios en su sistema, cada Usuario del Web Portal siempre est
restringido a trabajar dentro de un nico Dominio. Los administradores con cuentas sin
restricciones pueden seleccionar entre dominios despus de conectar en el portal si el
elemento Web portal Server est en el Dominio Compartido.
Adems del lmite por licencias en el nmero de cuentas que puede crear, cada Web Portal
Server tambin tiene un lmite fijo en el nmero mximo de usuarios concurrentes.

1. Defina un elemento Web Portal Server. Vea Definir los Parmetros del Web Portal Server
(pag. 257).
2. Si va a proporcionar acceso por HTTPS al Web Portal, genere un certificado para el servidor.
Vea Activar HTTPS en el Web Portal Server (pag. 258).
3. Permita las conexiones necesarias en las reglas de Acceso del Cortafuegos. Vea Permitir
Conexiones al Web Portal (pag. 259).
4. Instalar el Web Portal Server. Vea la Gua de Instalacin para instrucciones.
Le recomendamos colocar el Web Portal Server en una red DMZ si ofrece acceso a
usuarios externos.
Debe generar e instar una Licencia para el Web Portal Server.
5. Cree cuentas de Usuario de Web Portal para los usuarios finales. Vea Definir Cuentas
de Usuarios de Web Portal (pag. 260).
El nmero de usuarios del Web Portal que puede configurar est limitado por la
licencia. Debe generar e instalar un fichero de Licencia separado para los Usuarios
del Web Portal.
Las cuentas de administrador de Management Client tambin son vlidas en el Web Portal.
6. (Opcional) Haga los cambios especficos de su instalacin en su portal. Vea Personalizar el
Web Portal (pag. 264).
Para continuar:
Para iniciar la configuracin, proceda a Definir los Parmetros del Web Portal Server
(page 257).
Tareas Relacionadas
Definir los Parmetros del Web Portal Server

El Web Portal Server es un servidor Web que ofrece acceso a los usuarios finales bien a travs de
simple HTTP o mediante el protocolo seguro HTTPS. El Web Portal Server recupera datos de otros
servidores del Management Center, los filtra y presenta los datos resultantes a los usuarios.
Precaucin Use siempre HTTPS si las conexiones no estn securizadas de otro modo.
Para definir un nuevo elemento Web Portal Server

men.
2. Pulse el botn derecho sobre Servers (Servidores) y seleccione NewWeb Portal
Server (NuevoWeb Portal Server). Se abrir el dilogo de Propiedades de Web Portal
Server.
Ilustracin 99: Propiedades de Web Portal Server
3. Introduzca un Nombre (Name) nico y la direccin IP (IP Address) correcta para el Web
Portal Server.
4. Seleccione la Localizacin (Location) correcta si es necesario para su entorno. Vea
Empezar con las Comunicaciones del Sistema (pag. 60).
5. Seleccione el Log Server que se use como Alert Server para enviar las alertas
generadas por este Web Portal Server.
6. Cambie a la pestaa Web Portal y seleccione Enable (Activar) para activar el Web
Portal.
7. (Opcional) Introduzca el Host Name (Nombre del Host) que use el Web Portal.
8. (Opcional) Cambie el Nmero de Puerto (Port Number) (TCP) en que escucha el
servicio. Por defecto se usa el puerto 8080.
Nota Asegrese de que el puerto de escucha no est ya usado en este servidor. Para
los puertos reservados para servicios Stonegate, vea Puertos de Comunicacin por
Defecto (pag. 933).
9. (Opcional) Introduzca la direccin IP a usar en el campo Listen Only on Address

(Escuchar Slo en la Direccin) si el servidor tiene varias direcciones y quiere restringir
el acceso a una nica direccin. Asegrese de que el Host Name (Nombre del Host)
introducido se resuelve a esta direccin.
10. (Opcional) Seleccione Generate Server Logs (Generar Logs de Servidor) si quiere que
se generen ficheros de log en el sistema de ficheros cuando se accede al Web Portal.
Para continuar:
(Recomendado) Para cifrar las comunicaciones entre los clientes y el servidor,
contine en Activar HTTPS en el Web Portal Server.
Para usar simple HTTP que enva la informacin en texto claro, pulse OK y contine
en Permitir Conexiones al Web Portal (pag. 259).
Activar HTTPS en el Web Portal Server

Prerrequisitos: Definir los Parmetros del Web Portal Server
Para proteger la informacin transportada de miradas indeseadas, puede cifrar las

comunicaciones activando HTTPS en el Web Portal Server. Si securiza las conexiones del Web
Portal usando HTTPS, el Web Portal Server requiere un certificado. Puede bien autofirmar el
certificado directamente en el dilogo o usar un certificado firmado externamente:
Si autofirma el certificado directamente, los navegadores Web mostrarn un aviso a los
usuarios y les requerirn que acepten el certificado. El certificado es vlido por un ao. La
renovacin se hace recreando el certificado del mismo modo que se crea un nuevo
certificado (explicado ms abajo).
Alternativamente, puede firmar el certificado usando una autoridad de certificacin externa
en la cual los clientes ya confen (tal como una de las grandes autoridades de certificacin
comerciales o una autoridad de certificacin interna de la organizacin que todos los
clientes estn configurados para confiar en ella).
Los certificados tienen un tiempo de validez fijo (desde una cierta fecha y hora hasta una cierta
fecha y hora). Asegrese que la fecha, hora y configuraciones de zona horaria sean correctos
tanto en la mquina del Management Server como en la del Web Portal Server, puesto que los
errore pueden evitar el uso del Web Portal. Los clientes tambin comprueban la validez del
certificado, pero configuraciones errneas de tiempo en los ordenadores clientes tpicamente no
evitan el uso del Web Portal. En su lugar los navegadores normalmente muestran un aviso que los
usuarios pueden ignorar.
Para activar HTTPS en el Web Portal
1. Seleccione Enable HTTPS (Activar HTTPS) en la pestaa Web Portal del elemento
Portal Server.
2. Pulse Generate (Generar) en la seccin Pending Certificate Request (Peticin de
Certificado Pendiente). Se abrir el dilogo de Peticin de Certificado de Web Portal
Server.
Ilustracin 100: Peticin de Certificado de Web Portal Server
3. Firme la peticin de certificado:

Para firmar el certificado en este dilogo, simplemente pulse Self-Sign (AutoFirmado).
Esta opcin est principalmente orientada a propsitos de prueba.
Para firmar usando una autoridad de certificacin externa, pulse Export (Exportar) para
guardar la peticin de certificado en un fichero. Tras firmarlo, puede Importar (Import)
el fichero de certificado firmado mediante el mismo dilogo de Propiedades del Web
Portal Server. Este mtodo est recomendado cuando se configura un sistema para
uso diario, de forma que use una autoridad de certificacin que los clientes ya estn
configurados para confiar en ella.
4. Cuando el certificado est firmado, pulse OK en el mensaje emergente que se abre para
borrar la peticin de certificado. La peticin de certificado no es necesaria cuando el
certificado firmado est presente.
5. Pulse OK.
Para continuar:
Modifique las reglas de Acceso para permitir las conexiones al Web Portal segn se indica
en Permitir Conexiones al Web Portal (pag. 259).
Permitir Conexiones al Web Portal

Prerrequisitos: Definir los Parmetros del Web Portal Server
Si las conexiones estn enrutadas a travs de un cortafuegos, debe modificar las reglas de
acceso IPv4 en su poltica de seguridad para permitir las conexiones desde el Web Portal Server
al Management Server y el Log Server, y las conexiones de usuarios finales al Web Portal Server.
Para configurar las reglas de Acceso para el Web Portal
Permita las siguientes conexiones en las reglas de Acceso IPv4 segn sea necesario:
Ilustracin 101: Reglas de Acceso para el Web Portal Server
Origen Destino Puerto/Servicio Accin
Puerto definido en el
Redes (o mquinas) de los usuarios del
Web Portal Server dilogo de Propiedades del Permitir
Web Portal
Web Portal Server.
Management SG Control
Web Portal Server Permitir
Server (8902-8913/TCP)
SG Data Browsing (Web

Web Portal Server Log Server(s) Portal Server) Permitir
(8916-8917/TCP)
Nota Recuerde ajustar las reglas de NAT tambin si es necesario en su red.

Para continuar:
Instale la licencia del Web Portal Server y el Web Portal Server segn se explica en la
Gua de Instalacin del Management Center.
Cree cuentas de Usuario del Web Portal para los usuarios finales. Vea Definir
Cuentas de Usuarios de Web Portal (pag. 260).
Para cambiar la apariencia del portal, vea Personalizar el Web Portal (pag. 264).
Definir Cuentas de Usuarios de Web Portal

Prerrequisitos: El nmero de cuentas de usuario del Web Portal en el sistema no debe excede su lmite
licenciado
Los usuarios finales se definen usando cuentas especiales de Usuario de Web Portal. Las cuentas
de administrador de Management Client tambin son vlidas en el Web Portal para permitir
pruebas y otros usos internos.
Si se han configurado elementos Dominio, cada cuenta de usuario del Web Portal siempre
pertenecer a un Dominio especfico y slo tendr permisos sobre el Dominio en el cual el
elemento usuario del Web Portal se ha creado.
Para crear una cuenta de usuario del Web Portal
2. Pulse el botn derecho sobre Access Rights (Derechos de Acceso) y elija NewWeb
Portal User (NuevoUsuario de Web Portal) desde el men. Se abrir el dilogo de
Propiedades del Usuario de Web Portal.
Ilustracin 102: Propiedades del Usuario de Web Portal - Pestaa General
3. Introduzca un Nombre (Name) de usuario del Web Portal nico. Este es el nombre de
usuario que utilizar el usuario de Web Portal para conectarse al StoneGate Web
Portal.
4. Para Internal Authentication (Autenticacin Interna), configure los parmetros segn
sigue:
Escriba una Contrasea (Password) y confrmela en el campo siguiente, o pulse
Generate Password (Generar Contrasea) para generar una contrasea alfanumrica
aleatoria de 7 dgitos.
Seleccione si la cuenta estar Siempre Activa (Always Active) o introduzca una Fecha
de Expiracin (Expiration Date).
5. Para RADIUS Authentication, seleccione un servidor RADIUS de la lista.

Vea Autenticar Administradores Usando RADIUS (pag. 226) para ms informacin.
Precaucin Le recomendamos que las contraseas sean al menos de ocho caracteres

de longitud y contengan una combinacin de nmeros, letras y caracteres especiales.
Las contraseas seguras nunca se basan en informacin personal como nombres,
cumpleaos, DNIs, nmeros de telfono, nombres de calles o matrculas.
Para continuar:
Contine en Conceder Permisos en un Dispositivo a un Usuario de Web Portal.
Conceder Permisos en un Dispositivo a un Usuario de Web Portal

Para definir los permisos de un usuario de Web Portal, primero debe seleccionar los
dispositivos.
Para seleccionar los dispositivos permitidos para un Usuario del Web Portal
1. Cambie a la pestaa Engines (Dispositivos) en las propiedades del elemento Usuario
del Web Portal.
Ilustracin 103: Propiedades del Usuario e Web Portal - Pestaa Dispositivos (Engines)
2. Seleccione los dispositivos permitdos:

Pulse Allow ANY (Permitir CUALQUIERA) si quiere permitir todos los dispositivos al
usuario del Web Portal. Si se han configurado los elementos Dominio slo los
dispositivos en el Dominio actual estn permitidos para el usuario del Web Portal.
O pulse Add (Aadir) para seleccionar los dispositivos. Se abrir el dilogo de
Seleccionar Dispositivo.
3. Seleccione el o los dispositivos de los cuales el administrador puede ver logs y/o
snapshots de polticas y pulse Select.
Para continuar:
Contine en Seleccionar Permisos sobre Polticas para un Usuario de Web Portal
(pag. 262).
Tareas Relacionadas
Seleccionar Permisos sobre los Datos de Informes para un Usuario de Web Portal (pag. 264)
Seleccionar Permisos de Exploracin de Logs para un Usuario de Web Portal (pag. 263)
Seleccionar Permisos sobre Polticas para un Usuario de Web

Portal
Puede seleccionar una o ms polticas sobre las cuales el usuario del Web Portal tiene permitido
ver snapshots de polticas. Slo puede seleccionar polticas que estn instaladas en dispositivos
permitidos al usuario del Web Portal (vea Conceder Permisos en un Dispositivo a un Usuario de
Web Portal (page 261)). Puede definir ms en detalle qu partes de las polticas se muestran en
los snapshots de polticas.
Para seleccionar permisos en polticas para un usuario del Web Portal
1. Cambie a la pestaa Policies (Polticas) en las propiedades del elemento Usuario de
Web Portal.
Ilustracin 104: Propiedades del usuario de Web Portal - Pestaa Polticas (Policies)
2. Defina si el usuario de Web Portal tiene acceso a snapshots de polticas:

Deseleccione Show Policy Snapshots from Granted Engines (Mostrar Snapshots de
Polticas de Dispositivos Permitidos) si quiere denegar al usuario ed Web Portal el
acceso a snapshots de polticas. Proceda a Seleccionar Permisos de Exploracin de
Logs para un Usuario de Web Portal (pag. 263) para definir los permisos de logs para
el usuario de Web Portal.
En otro caso, asegrese de que la opcin est seleccionada.
3. (Opcional) Deseleccione Show Main Policies (Mostrar Polticas Principales) si el
usuario del Web Portal no tiene permitido ver las reglas de las polticas de niveles
superiores.
4. (Opcional) Seleccione Show Inherited Rules (Mostrar Reglas Heredadas) si el usuario
del Web Portal tiene permitido ver las reglas heredadas de plantillas de polticas.
Si quiere seleccionar de qu plantillas se muestran las reglas heredadas, pulse Add
(Aadir) y selecione las plantillas en el dilogo que se abrir.
5. (Opcional) Deseleccione Show Sub-Policies (Mostrar Sub-Polticas) si el usuario del
Web Portal no tiene permitido ver informacin de sub-polticas.
Si quiere seleccionar las sub-polticas de las cuales se muestran las reglas, pulse Add
(Aadir) y seleccione una o ms sub-polticas en el dilogo que se abrir.
6. (Opcional) Deseleccione Show Policy Upload History (Mostrar Historia de Cargas de
Polticas) si el usuario del Web Portal no tiene permitido ver y comparar todos los
snapshots de polticas de los dispositivos permitidos.
Si esta opcin es seleccionada, el usuario del Web Portal puede ver y comparar
snapshots de cualquier poltica que haya sido instalada en los dispositivos permitidos
(no slo los snapshots de polticas permitidos al usuario del Web Portal).
7. (Opcional) Deseleccione Show Policy Upload Comments (Mostrar Comentarios de

Carga de Polticas) si el usuario del Web Portal no tiene permitido ver los comentarios
que los administradores han aadido en la carga de la poltica.
Para continuar:
Contine en Seleccionar Permisos de Exploracin de Logs para un Usuario de Web
Portal.
Seleccionar Permisos de Exploracin de Logs para un Usuario de

Web Portal
Para seleccionar los permisos de exploracin de logs apra un usuario de Web Portal
1. Cambie a la pestaa Logs en las propiedades del Usuario de Web Portal.
Ilustracin 105: Propiedades del Usuario de Web Portal - Pestaa Logs
2. Defina si el usuario del Web Portal tiene permitido ver logs en el Web Portal:
Deseleccione Show Logs from Granted Engines (Mostrar Logs de Dispositivos
Permitidos) para denegar al usuario del Web Portal el acceso a los logs. Proceda a
Seleccionar Permisos sobre los Datos de Informes para un Usuario de Web Portal (pag.
264).
De otro modo, asegrese de que la opcin est seleccionada.
3. (Opcional) Pulse Select (Seleccionar) junto a Log Filter Selection (Seleccin de Filtro
de Logs) para definir un Filtro que se aplique a los datos de log antes de que se
muestren los datos al usuario del Web Portal.
4. (Opcional) Pulse Add (Aadir) junto a Log Browsing Filters (Filtros de Exploracin de
Logs) para seleccionar uno o ms Tipos de Filtros que definan los grupos de Filtros que
el usuario del Web Portal puede usar cuando explore los datos de logs en el Web Portal.
Para continuar:
Contine en Seleccionar Permisos sobre los Datos de Informes para un Usuario de
Web Portal (pag. 264).
Seleccionar Permisos sobre los Datos de Informes para un

Usuario de Web Portal
Para seleccionar permisos sobre los datos de informes para un Usuario de Web Portal
1. Cambie a la pestaa Reports (Informes) en las propiedades del Usuario de Web Portal.
Ilustracin 106: Propiedades del Usuario de Web Portal - Pestaa Informes (Reports)
2. Defina si el usuario del Web Portal tiene permiso para ver informes en el Web Portal.
Deseleccione Show Reports (Mostrar Informes) para denegar al usuario del Web
Portal acceso a los informes.
En otro caso, asegrese de que Show Reports (Mostrar informes) est seleccionado.
3. Pulse Add (Aadir) si quiere seleccionar los Diseos de Informes (Reports Designs)
base sobre los cuales el usuario del Web Portal tiene permiso para ver informes. El
usuario del Web Portal puede ver todos los informes basados en los Diseos de
Informes permitidos (independientemente del Dominio en que se hayan creado los
informes si se han configurado los elementos Dominio).
4. Pulse OK para guardar el elemento del Usuario de Web Portal. La cuenta de usuario de
Web Portal est lista para usar.
Tareas Relacionadas
Informes (pag. 145)
Personalizar el Web Portal

Prerrequisitos: Vea Empezar con el Acceso al Web Portal
Aadir un Nuevo Idioma al Web Portal

Puede aadir nuevas traducciones de las etiquetas del interfaz del Web Portal adems de los
idiomas ofrecidos por defecto. Cuando modifique los ficheros de idioma, guarde el fichero usando
codificacin de caracteres UTF-8 o UTF-16. Visite la comunidad de usuarios StoneGate en
http://stoneblog.stonesoft.com/stoneblog-community/ para algunos ejemplos de ficheros traducidos.
Importar un Fichero de Idioma de Web Portal mediante el Management Client

Para importar un fichero de idioma mediante el Management Client
2. Navegue a Other ElementsWeb Portal Localizations (Otros

ElementosLocalizaciones del Web Portal). Se abrir una lista de Localizaciones del
Web Portal existentes.
3. Pulse el botn derecho sobre la lista y seleccione New Web Portal Localization (Nueva
Localizacin del Portal Web). Se abrir el dilogo del Propiedades de la Localizacin del
Web Portal.
4. Pulse Import (Importar) y navegue a la localizacin del fichero de idioma. Se le pedir
confirmacin para confirmar el cambio de Localizacion (Locale).
5. Pulse Yes. Los contenidos del fichero de idioma importado se muestran en el dilogo.
6. Pulse OK para guardar los cambios.
Importar un Fichero de Idioma de Web Portal desde Lnea de Comando

Los ficheros de idioma pueden importarse desde la lnea de comando usando el script
<directorio_de_instalacin>/bin/sgImportWebPortalLanguage en el servidor de Web
Portal. Vea Comandos del Management Center (pag. 918) para ms informacin.
Activar/Desactivar una Localizacin del Web Portal

Los idiomas de localizacin del Web Portal pueden ser activados y desactivados desde el
Management Client. Las Localizaciones del Web Portal desactivadas se marcan con un
icono.
Para activar/desactivar un idioma del Web Portal
2. Navegue a Other ElementsWeb Portal Localizations (Otros
ElementosLocalizaciones del Web Portal). Se abrir una lista de Localizaciones del
Web Portal.
3. Pulse el botn derecho sobre la Localizacin del Web Portal y elija Enable/Disable
(Activar/Desactivar). El idioma se muestra/oculta en las opciones de seleccin del
idioma de Web Portal.
Personalizar el Aspecto del Web Portal

Las pginas del Web Portal mostradas a los usuarios se generan dinmicamente en base a
ficheros de configuracin. Los siguientes aspectos de la presentacin pueden ser ajustados:
Si se usan Dominios, el icono del Web Portal se extrae del icono definido para el Dominio
en el Management Client. Vea Definir un Logotipo de Dominio (pag. 248).
Puede aadir nuevos idiomas segn se explica en Aadir un Nuevo Idioma al Web Portal
(pag. 264).
Adems de los dos puntos listados ms arriba, es posible personalizar los ficheros fuente del Web
Portal ms extensamente, pero con algunas limitaciones importantes:
Cualquier cambio en los ficheros se sobreescribe en la actualizacin.
Puede que no sea posible reutilizar los ficheros personalizados tras una actualizacin.
Puede necesitar re-personalizar los nuevos ficheros correspondientes tras la
actualizacin.
La personalizacin requiere cierto conocimiento previo de programacin HTML and CSS.
Con las limitaciones previas en mente, los siguientes ficheros locales en el Servidor de Web Portal
controlan cmo se muestra el contenido a los usuarios y su edicin es segura (aunque le
recomendamos que cree copias de los ficheros antes de editarlos):
Los ficheros CSS que se almacenan en <directorio de
instalacin>/webserver/webapps/webclient/ resources/css/.
Los ficheros de plantillas de pginas que se almacenan en <directorio de
instalacin>/webserver/ webapps/webclient/ como varios ficheros .jsp.
Las pginas de ayuda que se guardan en <directorio de
instalacin>/webserver/webapps/ webclient/help/ como varios ficheros .jsp.
Escribir Mensajes a los Usuarios del Web Portal

Prerrequisitos: Vea Empezar con el Acceso al Web Portal
Puede mostrar mensajes a los administradores que se conectan al StoneGate Web Portal. Esto es
til, por ejemplo, para notificaciones de interrupcin de servicio.
Para definir un mensaje para los usuarios del Web PortalTo define an announcement for
Web Portal users
1. Abra las propiedades del elemento correcto:
Los mensajes en el elemento Web Portal Server se muestran a todos los usuarios que
se conectan a ese Servidor de Web Portal.
Los mensajes en las propiedades del Management Server se muestran a todos los
usuarios.
Si tiene Dominios administrativos, los mensajes en las propiedades de los elementos
Dominio se muestran a los usuarios que existan en ese Dominio especfico (o a todos
los usuarios si se definen en las propiedades del Dominio Compartido).
Puede definir un mensaje en cualquier combinacin de los elementos listados arriba.
Cada tipo de mensaje aade un punto de bullet para los usuarios que pueden ver
varios anuncios.
2. Cambie a la pestaa Announcement (Anuncio).
3. Seleccione Display Announcement to Web Portal Users (Mostrar Anuncio a Usuarios
del Web Portal), e introduzca el mensaje en el campo siguiente. La longitud est
limitada a 160 caracteres. Puede aadir formato al mensaje con tags estndar HTML
(que tambin se incluyen en el conteo de caracteres).
Ejemplo Esto produce texto <b>en negrita</b>.
Ejemplo Esto produce texto <u>subrayado</u>.
Ejemplo Este texto se muestra en el bullet aadido automticamente.

</li><li>Pero este texto se muestra en un segundo bullet.
Ejemplo Esto es un <a href="policies/policies.jsf">enlace</a> interno.
Ejemplo Esto es un <a href="http://www.example.com">enlace</a> externo.
Ejemplo Aqu hay una pequea imagen escalada para ser aproximadamente proporcional al
texto de alrededor <img height=20px
src="http://www.example.com/images/note_icon.jpg">
Nota Si deja fuera el protocolo (parte HTTP:// o HTTPS://) de una URL, el protocolo se
aade automticamente en base al protoclo que est usando el Web Portal Server. Esto
puede hacer que un enlace de otro modo vlido deje de funcionar.
4. Pulse OK. El mensaje se muestra en la pgina inicial del Web Portal (Pgina de Servicios -
Services) a los usuarios afectados la prxima vez que (re)carguen la pgina.
El mensaje puede ser eliminado del Web Portal desactivando la opcin Display Announcement
to Web Portal Users (Mostrar Mensaje a Usuarios del Web Portal). El mensaje que haya
introducido no se elimina, de forma que puede mostrar el mensaje posteriormente sin tener que
volver a escribirlo.
Tareas Relacionadas
Definir Cuentas de Usuarios de Web Portal (pag. 260)
Distribuir Management Clients Mediante Web Start 269
CAPTULO 22
DISTRIBUIR MANAGEMENT CLIENTS

MEDIANTE WEB START
El Management Client puede distribuirse mediante Web Start. Esto elimina la necesidad
de que cada administrador actualice su cliente cuando se actualiza el SMC a una nueva
versin (la versin del cliente debe siempre coincidir con la versin del Management
Server).
Empezar con la Distribucin Web Start (pag. 270)

Activar Web Start en el Management Server (pag. 271)
Distribuir Web Start desde Servidores Externos (pag. 272)
Acceder a los Clientes Web Start (pag. 273)
Empezar con la Distribucin Web Start

Qu Hace la Distribucin Web Start

Distribuir Management Clients mediante Web Start permite a los usuarios conectarse al
Management Client mediante un navegador Web.
El Management Server puede configurarse para servir una pgina Web que lance el Management
Client. Cuando se actualiza el Management Center, los ficheros de Web Start tambin son
actualizados, y Web Start automticamente descarga la versin actualizada cuando el usuario se
conecta. Alternativamente, puede hacer que los clientes estn disponibles en algn otro servidor,
con las limitaciones descritas a continuacin.
Limitaciones de la Distribucin Web Start
La nueva versin del Management Client est disponible automticamente para los usuarios de
Web Start cuando el Management Center se actualiza slo si usa el Management Server como
servidor de Web Start. Si instala el paquete de Web Start en otro servidor, debe eliminar los ficheros
existentes e instalar un unevo paquete de Web Start de acuerdo con las instrucciones en Distribuir
Web Start desde Servidores Externos (pag. 272) cada vez que actualice el Management Center.
Cuando se instala el paquete Web Start en un disco de red compartido, el path a la red, incluyendo
la letra de unidad, debe ser el mismo para todos los administradores que usen esa versin
particular del paquete Web Start. Si el path del disco de red vara, considere situar el paquete en un
servidor Web en su lugar, por ejemplo, en la Intranet de su Organizacin.
Qu Debo Saber Antes de Empezar?
En cada ordenador donde se vaya a usar una instalacin de Web Start debe estar instalada un
versin actual del Java Runtime Environment (JRE). Puede ser descargada de forma gratuita desde
www.java.com o desde java.sun.com.

1. Active el acceso Web Start de una de las siguientes formas dependiendo de cmo accedern
los usuarios al login de Web Start:
Active el acceso Web Start en el Management Server segn se indica en Activar Web Start
en el Management Server (pag. 271)
Configure el acceso a Web Start en un servidor Web separado o un disco de red
compartido segn se indica en Distribuir Web Start desde Servidores Externos (pag.
272).
2. Pruebe la distribucin Web Start segn se explica en Acceder a los Clientes Web Start
(pag. 273).
Para continuar:
Si quiere usar el Management Server como servidor de Web Start, proceda a Activar
Web Start en el Management Server (pag. 271).
En otro caso, proceda a Distribuir Web Start desde Servidores Externos (pag. 272).
Activar Web Start en el Management Server

Cuando instala el Management Server, los ficheros necesarios para distribuir los Management
Clients estn incluidos en la instalacin. Puede simplemente activar el acceso Web Start a estos
ficheros en el Management Server. Esto activa una pgina Web que los administradores pueden
contactar usando un Navegador Web para lanzar en Management Client.
Para activar un servidor de Web Start
1. Pulse el botn derecho sobre el Management Server que quiera usar como servidor de
Web Start y selecione Properties (Propiedades). Se abrir el dilogo de Propiedades
del Management Server.
2. Cambie a la pestaa Web Start.
Ilustracin 107: Propiedades del Management Server - Pestaa Web Start
3. Seleccione Enable (activar). Se activar el servicio Web Start.

4. (Opcional) Introduzca el Nombre de Host (Host Name que usa el servicio Web Start).
5. (Opcional) Introduzca el Nmero de Puerto (Port Number) (TCP) en que escucha el
servicio. Por defecto se usa el puerto estndar HTTP, 80.
Nota Asegrese de que el puerto de escucha no se usa en el servidor. Para los

puertos reservados para servicios de StoneGate, vea Puertos de Comunicacin por
Defecto (pag. 933).
6. (Opcional) Introduzca la direccin IP a usar en el campo Listen Only on Address

(Escuchar Slo en la Direccin) si el servidor tiene varias direcciones y queire restringir
el acceso a una nica direccin. Asegrese de que el Nombre de Host que introdujo se
resuelve a esta direccin.
7. (Opcional) Seleccione Generate Server Logs (Generar Logs de Servidor) si quiere
registrar todos los eventos de carga de ficheros para posteriores anlisis con software
de estadsticas web externo.
8. Pulse OK.
Si deja vacos los campos Host Name y Listen Only on Address, los usuarios pueden acceder a
los ficheros Web Start en cualquier direccin que tenga el Management Server.
Para continuar:
Pruebe la instalacin de Web Start siguiendo la instrucciones en Acceder a los
Clientes Web Start (pag. 273).
Distribuir Web Start desde Servidores Externos

Puede usar Web Start incluso si no quiere usar el Management Server como servidor de Web
Start. En este caso, puede poner el paquete de Web Start en cualquier Servidor Web.
El paquete Web Start tambin puede ponerse en un disco de red compartido. Hay una limitacin a
esto: el path a la red, incluyendo la letra de unidad, debe ser el mismo para todos los
administradores que usen esa versin particular del paquete Web Start.
Nota Debe borrar los ficheros existentes e instalar un nuevo paquete de Web Start de
acuerdo con estas instrucciones cada vez que actualice. En otro caso, cualquier
administrador que use Management Clients instalados desde Web Start no sern capaces
de conectar.
Para instalar el paquete Web Start

1. Navegue a StoneGate_SW_InstallerWebstart en el CD-ROM de instalacin.
Precaucin La instalacin de Web Start crea un fichero index.html. Cualquier fichero

index.html existente ser sobrescrito. Le recomendamos encarecidamente que cree un
nuevo directorio para los ficheros de Web Start.
2. Copie todos los ficheros y todos los directorios del directorio Web Start del CD-ROM de
instalacin al directorio en el servidor Web o disco de red desde donde quiere que se
sirvan los ficheros de Web Start.
3. Desde la lnea de comando, cambie al directorio en su servidor donde estn situados
los ficheros de Web Start.
4. Ejecute el script de instalacin de Web Start y proporcione una URL o el path del
directorio en su servidor donde estn localizados los ficheros de Web Start como
parmetro:
Windows: cscript webstart_setup.vbs <directorio de web start>
Linux: ./webstart_setup.sh <directorio de web start>
Tabla 26: Paths Ejemplo de Web Start
Instalacin en Directorio Web Start Ejemplo
Web server http://www.example.com/webstart/
Network drive file://localhost/C:/support/webstart/
5. Si es necesario, modifique la configuracin del servidor Web para devolver el tipo MIME
apropiado para los ficheros.jnlp (application/x-java-jnlp-file). Consulte el
manual de su servidor Web para instrucciones cobre cmo configurar el tipo MIME.
6. Elimine los ficheros webstart_setup.vbs y webstart_setup.sh del directorio.

Por razones de seguridad, los ficheros de script webstart_setup.vbs y
webstart_setup.sh no deberan estar en el mismo directorio que los ficheros Web Start
generados y otros ficheros compartidos de cliente.
Para continuar:
Pruebe la instalacin de Web Start siguiendo las instrucciones en Acceder a los
Clientes Web Start.
Acceder a los Clientes Web Start

Prerrequisitos: Distribuir Web Start desde Servidores Externos/Distribuir Web Start desde Servidores Externos
Una vez el paquete de Web Start est instalado en el servidor Web o un disco de red o el
Management Server haya sido activado como Servidor de Web Start, los administradores pueden
instalar el Management Client usando el paquete Web Start.
Para ser capaz de usar el Management Client de Web Start, debe haber instalada una versin
actual del Java Runtime Environment (JRE) (la versin requerida se muestra en la pgina de login
de ejemplo proporcionada).
Nota Si el acceso Web Start es necesario a travs del cortafuegos, deber permitir
esas conexiones en su poltica de cortafuegos. No estn permitidas por defecto.
Para acceder a los Clientes Web Start

1. Introduzca la direccin de la pgina de descarga de Web Start en su navegador Web
http://<direccin del servidor>:<puerto>
:<puerto> slo se necesita si el servidor est configurado para ejecutarse en un
puerto diferente del puerto estndar HTTP (80).
2. Pulse el enlace para el cliente Web Start.
Web Start comprueba automticamente si la versin del servidor ya est instalada en
su ordenador local. Si no es as, el nuevo cliente se instala automticamente en su
ordenador. Esto se hace cada vez que el cliente se inicia de esta manera, actualizando
automticamente su instalacin de cliente simpre que se necesite sin ninguna accin
por su parte.
El cliente se inicia y muestra el dilogo de conexin.
3. Conctese con las credenciales de su cuenta.
Tareas Relacionadas
Vea Cuentas de Administrador (pag. 213) para informacin sobre cmo configurar cuentas de
usuario para Management Clients.
Configuracin del Log Server 275
CAPTULO 23
CONFIGURACIN DEL LOG SERVER
Las secciones que siguen contienen informacin sobre cmo definir los Log Servers, cmo
cambiar los parmetros de configuracin de los Log Servers, y cmo exportar datos de
logs de un Log Server a un servidor externo de syslog.
Definir un Log Server (pag. 276)

Cambiar los Parmetros de Configuracin del Log Server (pag. 279)
Exportar Datos de Log a Syslog (pag. 282)
Definir un Log Server

Usualmente, el elemento StoneGate Log Server se crea durante la instalacin del Log Server. Sin
embargo, tambin puede definirse manualmente un elemento Log Server diferente. Para ms
informacin sobre cmo definir un elemento Log Server durante la instalacin, vea la gua
StoneGate Management Center Installation Guide o StoneGate IPS Installation Guide.
La instalacin del Log Server siempre incluye el Alert Server. Puede dejar que el Log Server
funcione con ambos roles, o puede reenviar todas las alertas de un Log Server a otro, por ejemplo
para usarlo como Alert Server central dedicado (vea Configurar un Servidor de Alertas Dedicado
(pag. 243)).
Tareas Relacionadas
Definir un Elemento Log Server (pag. 276)
Certificar el Log Server (pag. 278)
Configurar un Alert Server (pag. 278)
Definir un Elemento Log Server

Para definir un nuevo elemento Log Server
2. Pulse el botn derecho sobre Servers (Servidores) y seleccione NewLog Server
(NuevoLog Server). Se abrir el dilogo de Propiedades del Log Server.
Ilustracin 108: Propiedades del Log Server
3. Especifique el Nombre (Name) y Direccin IP (IP Address) del servidor.

4. Se necesitan una Localizacin (Location) y Direccin de Contacto (Contact Address)
si hay un dispositivo de NAT entre un cortafuegos/sensor/analizador y el Log Server.
Para instrucciones, vea Definir Direcciones IP de Contacto (pag. 62).
5. (Opcional) Defina el Nmero de Puerto (Port Number) TCP del Log Server. Le
recomendamos que siempre use el puerto por defecto 302 si es posible.
Nota Si quiere usar un puerto no estndar para el Log Server, deber aadir
manualmente reglas para permitir las comunicaciones usando el nuevo puerto desde los
dispositivos de cortafuegos al Log Server incluso usando la plantilla por defecto.
6. (Opcional) Si quiere que el Log Server enve sus propias alertas y reenve todas las
alertas que reciba a un Log Server diferente, seleccione la opcin Forward all Alerts to
(Reenviar Todas las Alertas a) y despus seleccione el Log Server correcto de la caja
de seleccin.
7. (Opcional) Si quiere usar comandos adicionales con el nuevo Log Server, seleccione un
Perfil de Herramientas (Tools Profile) para aadir los nuevos comandos.
8. (Opcional) Seleccione Exclude from Log Browsing, Statistics and Reporting (Excluir
de Exploracin de Logs, Estadsticas e Informes) si no quiere que el Log Server recoja
informacin estadstica para monitorizacin y no quiere que sus datos de logs se
incluyan en Informes. En la mayora de situaciones, es mejor dejar esta opcin sin
seleccionar (para ms informacin sobre Informes, vea Informes (pag. 145)).
Precaucin Sea muy cuidadoso al excluir Log Servers de los informes. Si elige esta
opcin para un Log Server que est en uso, no hay advertencia de que en los informes
generados haya partes de los datos de logs perdidas.
9. Pulse OK.
Para continuar:
Si quiere configurar uno o varios Log Servers secundarios para el Log Server, seleccione
los Log Servers secundarios segn se describe en Seleccionar Log Servers Secundarios
(pag. 277).
Si planea usar este Log Server para el Escalado de Alertas, contine con la configuracin
del escalado de alertas segn se detalla en Empezar con el Escalado de Alertas (pag. 230).
En otro caso, compruebe que el Log Server est licenciado y certificado (vea Generar
Nuevas Licencias (pag. 826) y Certificar el Log Server (pag. 278)).
Seleccionar Log Servers Secundarios

Puede seleccionar varios Log Servers secundarios para un Log Server en las propiedades
del Log Server. El mismo Log Server puede ser a la vez un Log Server primario para algunos
componentes y Log Server secundario para componentes que usan otro Log Server como
primario. Tambin puede configurar Log Servers que sean secundarios unos de otros, de
forma que cuando uno se caiga, se use el otro Log Server. Si no ha definido Log Servers
secundarios, vea Instalar un Log Server Secundario (pag. 293).
Precaucin Si el volumen de logs es muy alto, asegrese de que el Log Server

secundario puede gestionar la carga de trfico en situaciones de fail-over.
Para seleccionar un Log Server secundario

2. Seleccione Servers (Servidores).
3. Haga doble click para abrir las propiedades del Log Server para el cual quiera
seleccionar un Log Server secundario.
4. Cambie a la pestaa High Availability (Alta Disponibilidad).
Ilustracin 109: Propiedades del Log Server - Pestaa Alta Disponibilidad (High Availability)
5. Pulse Add (Aadir). Se abrir el dilogo de Seleccin de Elemento.

6. Seleccione uno o ms Log Servers y pulse Select (Seleccionar).
7. Pulse OK.
Certificar el Log Server

Si el Log Server no fue certificado durante la instalacin, o si necesita un nuevo certificado,
certifquelo segn se explica a continuacin.
Para certificar el Log Server
1. Pare el Log Server:
Si ejecuta el Log Server como un servicio en Windows, puede pararlo en la lista de
Servicios del Panel de Control de Windows.
En otro caso, ejecute el script <directorio de
instalacin>/bin/sgStopLogSrv.bat (en Windows) o <directorio de
instalacin>/bin/sgStopLogSrv.sh (en Linux).
2. Solicite el certificado:
En Windows, ejecute <directorio de instalacin>/bin/sgCertifyLogSrv.bat.
En Linux, ejecute <directorio de instalacin>/bin/sgCertifyLogSrv.sh.
3. Conctese usando una cuenta de administrador de StoneGate de nivel Superusuario.
4. Si se han configurado Dominios en el sistema y el Log Server no pertenece al Dominio
Compartido, introduzca el nombre del Dominio.
5. Espere a que termine la certificacin e inicie el Log Server de nuevo mediante la lista de
Servicios de Windows o usando el script sgStartLogSrv.
Configurar un Alert Server

El Alert Server siempre est incluido en toda instalacin del Log Server, de forma que tiene
un Alert Server funcionando si ha configurado adecuadamente un Log Server. Si no lo ha
hecho todava, defina un Alert Server para cada Management Server de que disponga, vea
Modificar un Elemento Management Server (pag. 302).
Si quiere configurar un Alert Server dedicado que no gestione logs, refirase a Configurar un
Servidor de Alertas Dedicado (pag. 243).
Tareas Relacionadas
Empezar con el Escalado de Alertas (pag. 230)
Cambiar los Parmetros de Configuracin del Log Server

Para configurar el Log Server en detalle, puede editar el fichero de configuracin del Log
Server LogServerConfiguration.txt segn se explica en esta seccin. El fichero est
localizado en la mquina del Log Server en la carpeta <directorio de
instalacin>/data/.
Normalmente, no es necesario configurar el Log Server ms de lo que es posible mediante el
elemento Log Server en el Management Client. Sin embargo, bajo circunstancias especiales,
puede querer ms control sobre el comportamiento del Log Server.
Para cambiar los parmetros de configuracin del Log Server
1. Pare el Log Server.
2. Abra el fichero LogServerConfiguration.txt con un editor de textos.
3. Modifique los valores de los parmetros segn se explica en la siguiente tabla.
4. Guarde los cambios.
5. Reinicie el Log Server.
Todos los parmetros de configuracin se listan en la siguiente tabla. Tenga en cuenta que no
todos los parmetros se listan en el fichero de configuracin por defecto y deben ser aadidos a
mano si son necesarios.
Tabla 27: Parmetros de Configuracin del Log Server en el fichero LogServerConfiguration.txt

Directorio que se usa para almacenar los logs archivados por las
tareas de Datos de Logs. Por defecto,
ARCHIVE_DIR_0
ARCHIVE_DIR_0=${SG_ROOT_DIR}/data/archive. Puede definir
hasta 32 directorios: ARCHIVE_DIR_0 ARCHIVE_DIR_31.
Directorio usado para archivar logs de auditora. Por defecto
AUDIT_ARCHIVE_DIR
${SG_ROOT_DIR}/data/audit/archive.
El umbral de mnimo espacio disponible en disco para logs de
auditora. Si el espacio libre en disco baja de este lmite, el Log
AUDIT_DISK_LIMIT
Server considera lleno el disco y para de almacenar logs de
auditora.
Directorio usado para logs de auditora. Por defecto,
AUDIT_LOG_DIR
${SG_ROOT_DIR}/data/audit/log.
El nmero de alertas que son reconocidas automticamente si la
lista de alertas activas est llena (5000 por defecto). Las alertas de
AUTO_ACK_ALERT_NB
menor severidad y marca de tiempos ms antigua se reconocen
primero.
El umbral de mnimo espacio en disco disponible (en kilobytes). Si
el espacio libre en disco baja de este lmite, el Log Server
DISK_THRESHOLD_IN_KBYTES
considera que el disco est lleno y para de almacenar registros de
log (100000 por defecto).
Directorio usado para Alertas. Por defecto,
FILESTORAGE_ALERT_DIR
${FILESTORAGE_DIR}/Alerts.
FILESTORAGE_ALERT_EVENT_TRACES_ Directorio usado para trazas de eventos de Alertas. Por defecto,
DIR ${FILESTORAGE_DIR}/AlertEvent.
Tabla 28: Parmetros de Configuracin del Log Server en el fichero LogServerConfiguration.txt (Continuacin)

Directorio usado para los logs del IPS. Por defecto,
FILESTORAGE_IPS_DIR
${FILESTORAGE_DIR}/IPS.
Directorio usado para los ficheros de grabacin de eventos de
FILESTORAGE_IPS_RECORDINGS_DIR StoneGate IPS event. Por defecto,
${FILESTORAGE_DIR}/IPS_Recordings.
Directorio usado para los logs del cortafuegos. Por defecto,
FILESTORAGE_STONEGATE_DIR
${FILESTORAGE_DIR}/Firewall.
Cadena de comunidad SNMP usada para enviar mensajes SNMP

SNMP_COMMUNITY
desde el Log Server (public por defecto).
SNMP Enterprise Object Identifier (OID) usado para los mensajes
SNMP_ENTERPRISE_OID SNMP enviados desde el Log Server (.1.3.6.1.4.1.1369 por
defecto).
Directorio usado para los ficheros de copia de seguridad del Log
Server. Por defecto, ${SG_ROOT_DIR}/backups. Los ficheros de
LOG_BACKUP_DIR
copia deben moverse a otro medio separado tras crear la copia de
seguridad.
Directorio usado para almacenar los ficheros exportados por
LOG_EXPORT_DIR tareas de Datos de Logs. Por defecto,
${SG_ROOT_DIR}/data/export.
Puerto en el Log Server que escucha conexiones desde los
LOG_FW_PORT dispositivos Cortafuegos/VPN eIPS (3020 por defecto). Cambiar
este puerto requiere reinstalar el software del Log Server.
Directorio usado para almacenar el fichero logfile.txt que registra
LOG_LOGFILE_DIR las operaciones del programador de tareas. Por defecto,
${SG_ROOT_DIR}/data.
Tiempo mximo de respuesta (en milisegundos) para consultas en
LOG_QUERY_TIMEOUT
la vista de Logs (30.000 por defecto).
Directorio para los scripts usados en tareas de Datos de Logs. Por

LOG_SCRIPT_DIR
defecto, ${SG_ROOT_DIR}/data/script.
Direccin IP del Log Server. Cambiar este valor requiere reinstalar

LOG_SERVER_ADD
el software del Log Server.
Nmero mximo de alertas activas. Si hay ms alertas, sern

MAX_ACTIVE_ALERT_NB
automticamente reconocidas (50.000 por defecto).
Direccin IP del Management Server. No cambie este parmetro

directamente en el fichero. En su lugar, use el script
MGT_SERVER_ADD
sgChangeMgtIPOnLogSrv.bat (o .sh) para cvambiar el valor de
este parmetro.
El script utilizado para arrancar la base de datos del Log Server
PHY_EXE database. Por defecto bin\\sgStartLogDatabase.bat o
bin/sgStartLogDatabase.sh.
Localizacin de la base de datos del Log Server database. Por
PHY_LOC
defecto, ${SG_ROOT_DIR}/data/db/logserver.
Puerto de la base de datos del Log Server al que se conecta el log

PHY_PORT
server (1314 por defecto).
Nmbre del parmetro Descripcin

Define el puerto usado para recibir traps SNMP. El puerto por
SNMP_TRAP_RECEPTION_PORT defecto es UDP 162 en Windows y UDP 5162 en Linux. Tenga en
cuenta que slo se soporta la recepcin de traps SNMPv1.
Fichero de configuracin para datos de syslog. Por defecto el
fichero se almacena en
${SG_ROOT_DIR}/data/fields/syslog_templates.
SYSLOG_CONF_FILE Este parmetro slo se necesita actualmente cuando StoneGate
IPS est configurado para enviar datos de syslog a Bradford
Networks NAC Director o Campus Manager. El fichero
bradford_syslog_conf.xml se utiliza en ese caso como fichero de
configuracin.
Formato del fichero usado para la exportacin de syslog. O bien
SYSLOG_EXPORT_FORMAT
CSV o XML.
SYSLOG_EXPORT_ALERT Define si se exportan las Alertas de StoneGate syslog. Bien YES

o NO.
SYSLOG_EXPORT_FW Define si se exportan los logs del Cortafuegos/VPN StoneGate a

syslog. Bien YES o NO.
SYSLOG_EXPORT_IPS Define si se exportan los logs del IPS StoneGate a syslog. Bien
YES o NO.
Define con cuntos de los filtros definidos debe coincidir un evento
de log para reenviarlo al servidor de syslog. El valor ALL
(TODOS) enva slo los eventos que cumplen con todos los filtros
SYSLOG_FILTER_MATCH
definido. E valor ONE (UNO) enva todos los eventos que
cumplen cualquiera de los filtros definidos. El valor NONE
(NINGUNO) slo enva los eventos que no cumplen con ninguno
de los filtros definidos.
Define cmo se usan los filtros definidos para enviar eventos al
SYSLOG_FILTER_TYPE servidor de syslog. El valor KEEP (GUARDAR) enva todos los
eventos que coinciden. El valor DISCARD enva slo los eventos
que no coinciden.
SYSLOG_MESSAGE_PRIORITY La prioridad (0191) del mensaje syslog se incluye al principio de

cada paquete UDP (por defecto es 6). Vea RFC 3164.
El puerto de destino UDP para enviar syslog. EL puerto por
SYSLOG_PORT
defecto es el 514.
El puerto UDP de recepcin de syslog. Si este parmetro no se ha

definidio, se usar el puerto por defecto (514 para Windows o
SYSLOG_RECEPTION_PORT 5514 para Linux).
Nota - En Linux el valor de este parmetro debe siempre ser >
1024.
El puerto TCP de recepcin de syslog. Si este parmetro no se ha

definido, se usar el puerto por defecto (514 para Windows o 5514
SYSLOG_RECEPTION_TCP_PORT para Linux).
Nota - En Linux el valor de este parmetro debe siempre ser >
1024.
SYSLOG_SERVER_ADDRESS Direccin IP del servidor syslog usado para enviar eventos de log
usando el protocolo syslog.

Direccin IP del servidor syslog usada para enviar eventos de log
usando el protocolo TCP.
SYSLOG_TCP_SERVER_ADDRESS
Puerto de destino TCP para enviar syslog. El puerto por defecto es
SYSLOG_TCP_PORT el 514.
Define si se usarn comillas dobles () en los mensajes de syslog
para delimitar los valores de los campos. La opcin mpor defecto
ALWAYS_EXCEPT_NULL usa dobles comillas slo para campos
no vacios. NEVER (NUNCA) no usa delimitadores. ALWAYS
(SIEMPRE) usa comillas para todos los valores vacos y no
SYSLOG_USE_DELIMITER vacos.
Exportar Datos de Log a Syslog

Los Log Servers de StoneGate pueden configurarse para enviar datos de logs a servidores de
syslog externos. Los datos de logs a transmitir pueden seleccionarse usando filtros como en
cualquier otro dato de log de StoneGate.
Los logs que se eliminan por los filtros de limpieza de logs Immediate Discard (Descartar
inmediatamente) no se envan al servidor de syslog. La limpieza Discard Before Storing
(Descartar Antes de Almacenar) no afecta a exportaciones syslog. Las entradas de auditora no
pueden ser exportadas a un servidor de syslog.
Para continuar:
Para configurar los parmetros de syslog del Log Server, primero ajuste
segn Definir los Parmetros Generales de Syslog.
Definir los Parmetros Generales de Syslog

Para definir los parmetros generales de syslog
1. Pare el Log Server.
Si ha definido el Log Server como un servicio en Windows puede pararlo en la lista de
Servicios de Windows. Alternativamente, puede ejecutar <directorio de
instalacin>/bin/sgStopLogSrv.bat.
En Linux, ejecute <directorio de instalacin>/bin/sgStopLogSrv.sh.
2. Cree un fichero de texto en el Log Server que liste los campos a exportar en el orden
correcto.
El directorio <directorio de instalacin>/data/fields/syslog_templates/
contiene ficheros de configuracin de ejemplo, que le muestran la sintaxis correcta a
utilizar.
Vea Campos de Entradas de Log (pag. 976) para listados de los nombres de
exportacin de syslog para los campos de logs.
3. Modifique el fichero LogServerConfiguration.txt segn se muestra en la siguiente

tabla. El fichero est localizado en <directorio de instalacin>/data/. Para una
lista de las categoras de mensajes de entradas de syslog, vea Entradas de Syslog
(pag. 1014).
Tabla 31: Configuracin del Log Server
Parmetro Valor Descripcin

Path al fichero que haya creado en el Paso
SYSLOG_CONF_FILE <Nombre de fichero> 2, que define los campos a exportar y su
orden.
YES Define si se exportan las entradas de Alerta
SYSLOG_EXPORT_ALERT
NO a syslog.
CSV Define el formato de fichero usado para la
SYSLOG_EXPORT_FORMAT
XML exportacin syslog. Bien CSV o XML.
YES Define si se exportan los logs del
SYSLOG_EXPORT_FW
NO Cortafuegos/VPN StoneGate a syslog.
YES Define si se exportan los logs del IPS
SYSLOG__EXPORT_IPS
NO StoneGate a syslog.
El log se exporta si coincide con todos los
ALL
filtros.
El log se exporta si coincide con al menos
SYSLOG_FILTER_MATCH ONE
un filtro.
El log se exporta si no coincide con ninguno
NONE
de los filtros.
Los logs que coinciden se envan al
KEEP
servidor de syslog.
SYSLOG_FILTER_TYPE
Los logs que coinciden no se envan al
DISCARD
servidor de syslog.
La prioridad del mensaje syslog se incluye
al principio de cada paquete UDP (por
a
SYSLOG_MESSAGE_PRIORITY 0 191 defecto es 6).
a) Segn se define en la RFC 3164 (http://
www.ietf.org/rfc/rfc3164.txt).
El puerto de destino UDP para enviar
SYSLOG_PORT [puerto UDP]
syslog. EL puerto por defecto es 514.
La direccin IP del servidor syslog para
SYSLOG_SERVER_ADDRESS [direccin IPv4] enviar syslog por UDP. Si se deja en
blanco, no se realizarn las transferencias.
La direccin IP del servidor syslog para
SYSLOG_TCP_SERVER_ADDR enviar syslog por UDP. Este parmetro no
[direccin IPv4]
ESS se lista por defecto. Si se deja en blanco,
no se realizarn las transferencias.
Tabla 32: Configuracin del Log Server (Continuacin)
Parmetro Valor Descripcin
El puerto TCP de destino para enviar

SYSLOG_TCP_PORT [puerto TCP] syslog. El puerto por defecto es 514.
Este parmetro no se lista por defecto.
Define si se usan comillas dobles () en
los mensajes syslog para delimitar los
valores de los campos. El valor por
defecto
ALWAYS_EXCEPT_NULL
ALWAYS_EXCEPT_NULL usa comillas
SYSLOG_USE_DELIMITER NEVER
dobles slo para campos no vacos.
ALWAYS
NEVER no usa delimitadores.
ALWAYS usa comillas dobles como
delimitadores para todos los valores de
campos vacos y no vacos.
4. Guarde el fichero y reinicie el Log Server.
Para continuar:
Si quiere filtrar los datos enviados al servidor de syslog, contine en Exportar Filtros
de Logs para el Envo de Syslog.
Si no quiere usar filtros, contine en Crear una Regla para Permitir el Trfico al
Servidor de Syslog (pag. 285).
Exportar Filtros de Logs para el Envo de Syslog

Puede usar filtros para seleccionar los datos enviados desde el Log Server al servidor de syslog.
Primero cree los filtros segn se indica en Filtrado de Datos (pag. 159). As podr exportar y aplicar
los filtros a logs del cortafuegos e IPS separadamente.
Para exportar filtros de logs para el envo de syslog
2. Expanda el rbol Other Elements (Otros Elementos).
3. Navegue a FiltersAll Filters (FiltrosTodos los Filtros) o FiltersBy Filter Tag
(FiltrosPor Tag de Filtro) en el panel izquierdo.
4. Pulse con el botn derecho sobre el filtro que quiera exportar y seleccione ToolsSave
for Command Line Tools (HerramientasGuardar para Herramientas de Lnea de
Comando) desde el men. Se abrir el dilogo de Guardar Filtro.
5. Seleccione Local Workstation (Ordenador Local) y pulse el botn Browse (Explorar)
para seleccioanr dnde exportar el filtro. Se abrir el dilogo de Exportar Datos.
Para usar el filtro para filtrar logs del cortafuegos, seleccione <directorio de
instalacin>/data/syslog/Firewall como directorio.
Para usar el filtro para filtrar logs de IPS, seleccione <directorio de
instalacin>/data/syslog/IPS como directorio.
Nota Si no puede exportar el filtro directamente a estos directorios, exporte el filtro

(fichero .flp) a otra localizacin y cpielo manualmente al directorio <directorio de
instalacin>/data/syslog/Firewall o <directorio de
instalacin>/data/syslog/IPS.
6. Proporcione un nombre al fichero de exportacin y pulse OK para exportar el filtro.
Para continuar:
Contine en Configurar los Parmetros de Filtrado de Syslog.
Configurar los Parmetros de Filtrado de Syslog

Una vez ha exportado los filtros para filtrar los datos de log enviados al servidor de syslog, puede
definir cmo se hacen coincidir los datos de log con los filtros. Aada los parmetros de filtrados al
fichero LogServerConfiguration.txt estableciendo los valores para los parmetros
SYSLOG_FILTER_TYPE= y SYSLOG_FILTER_MATCH=. La edicin del fichero se explica en Definir los
Parmetros Generales de Syslog (pag. 282). Los parmetros y sus valores se explican en la tabla
anterior.
La siguiente tabla muestra un ejemplo de parmetros de filtrado.
SYSLOG_FILTER_TYPE= SYSLOG_FILTER_MATCH= Efecto

Los logs que coinciden con todos
KEEP ALL los filtros que se envan al servidor
de syslog.
Los logs que coinciden con al
KEEP ONE menos un filtro se envan al servidor
de syslog.
Los logs que no coinciden con
KEEP NONE ningn filtro se envan al servidor de
syslog.
Nota Si no usa filtros para los datos a mandar, elimine los parmetros
SYSLOG_FILTER_TYPE= y SYSLOG_FILTER_MATCH= del fichero <directorio de
instalacin>/data/ LogServerConfiguration.txt.
Para continuar:
Contine en Crear una Regla para Permitir el Trfico al Servidor de Syslog.
Crear una Regla para Permitir el Trfico al Servidor de Syslog

Si el servidor de syslog y el Log Server estn situados en redes diferentes separadas por un
cortafuegos, necesitar modificar su poltica para permitir el trfico a travs del cortafuegos.
Esto puede requerir tambin definir una regla de NAT apropiada.
Para crear una regla que permita el trfico al servidor de syslog
(ConfiguracinConfiguracinIPS). Se abrir la vista de Configuracin del
Cortafuegos o el IPS.
2. Seleccione Firewall Policies (Polticas de Cortafuegos) (o IPS Policies Polticas de
IPS), pulse el botn derecho sobre la poltica y seleccione Edit Firewall Policy (Editar
Poltica de Cortafuegos).
3. Aada una regla de acceso IPv4 con los siguientes valores:

Origen: su Log Server
Destino: el servidor de syslog
Servicio: Syslog (UDP) o Syslog (TCP) dependiendo del protocolo utilizado.
Accin: Permitir
Logging: En la mayora de los casos, se recomienda establecer el valor de logging a
Ninguno, puesto que hacer log de las conexiones de syslog puede crear un bucle (se
enva una entrada de log al servidor de syslog, creando una entrada de log que se
enva al servidor de syslog, creando una nueva entrada, y as continuamente). Si
quiere registrar las conexiones syslog, asegrese que se descartan en el envo de
syslog segn se explica en Configurar los Parmetros de Filtrado de Syslog (pag.
285). Asegrese de que el filtro tiene en cuenta las condiciones de error, por ejemplo,
los mensajes ICMP Destination unreachable (Host de destino inalcanzable) que se
generan si el servidor de syslog se cae.
Configuracin de un Servidor SMC Secundario 287
CAPTULO 24
CONFIGURACIN DE UN SERVIDOR SMC

SECUNDARIO
Puede instalar varios Management Servers y Log Servers secundarios para proporcionar
un sistema de alta disponibilidad para el StoneGate Management Center (SMC).
Acerca de los Servidores SMC Secundarios (pag. 288)

Instalar un Management Server Secundario (pag. 288)
Instalar un Log Server Secundario (pag. 293)
Cambiar el Management Server Activo (pag. 297)
Desactivar y Activar la Replicacin Automtica de Bases de Datos (pag. 298)
Sincronizar las Bases de Datos de Gestin Manualmente (pag. 298)
Restaurar una Copia de Seguridad de un Management Server Diferente (pag. 299)
Acerca de los Servidores SMC Secundarios

Prerrequisitos: La alta disponibilidad del Management Server es una funcionalidad licenciada aparte
Aunque los dispositivos cortafuegos e IPS siempre funcionan independientemente sin el SMC de
acuerdo con su configuracin instalada, los cambios de configuracin y la monitroizacin del
sistema no son posibles sin un Management Server y un Log Server. El Management Server en
particular es un componente crtico, puesto que es el nico lugar donde se almacena la
informacin de configuracin completa.
Los Management Server y Log Servers secundarios pueden instalarse como respaldo que
puede ser activado si fallan los componentes activos. La solucin de alta disponibilidad (HA
High Availability) incluye la replicacin automtica de los datos de configuracin almacenados en
el Management Server. De este modo, la intervencin manual se minimiza, y el sistema puede
ser completamente gestionado y monitorizado sin necesidad de un proceso de reinstalacin
manual y restauracin de copia de seguridad.
Para continuar:
Instalar un Management Server Secundario (pag. 288)
Instalar un Log Server Secundario (pag. 293)
Tareas Relacionadas
Cambiar el Management Server Activo (pag. 297)
Desactivar y Activar la Replicacin Automtica de Bases de Datos (pag. 298)
Sincronizar las Bases de Datos de Gestin Manualmente (pag. 298)
Instalar un Management Server Secundario

Prerrequisitos: Deber haber adquirido una licencia que permita activar esta funcionalidad
Para usar un Management Server secundario, debe disponer de una licencia especial de
Management Server que incluya las caractersticas de alta disponibilidad. La licencia es una
licencia combinada para todos los Management Servers y debe listar las direcciones IP de todos
los Management Servers.
Hasta cinco Management Servers secundarios pueden replicar automticamente los datos de
configuracin del Management Server primario. Si el Management Server primario queda
inutilizable, puede activar manualmente un Management Server secundario, que le permitir
trabajar normalmente.
Nota Los Management Servers secundarios estn pensados para propsitos de

copias de seguridad y recuperacin ante desastres. Slo un Management Server a la
vez puede usarse para configurar y gestionar el sistema.

1. Cree el elemento segn se explica en Definir un Elemento Management Server Secundario
(pag. 289).
2. Licencie los servidores segn se detalla en Instalar una Licencia para un Management
Server Secundario (pag. 290).
3. Permita las comunicaciones hacia el nuevo servidor a travs de los cortafuegos si es
necesario segn se explica en Crear Reglas de Acceso para un Management Server
Secundario (pag. 291).
4. Instale el software en el servidor destino segn se explica en Instalar el Software del
Management Server Secundario (pag. 291).
Definir un Elemento Management Server Secundario

Cualquier nuevo elemento Management Server que aada a un Management Center existente
se considera un Management Server secundario. Puede configurar varios Management
Servers secundarios.
Para definir un elemento Management Server secundario
(ConfiguracinConfiguracin IPS) desde el men. Se abrir la vista de configuracin del
cortafuegos o IPS.
2. Navegue a Network ElementsServers (Elementos de RedServidores).
3. Pulse botn derecho sobre Servers (Servidores) y elija NewManagement Server
(NuevoManagement Server). Se abrir el dilogo de propiedades del Management
Server.
Ilustracin 110: Propiedades del Management Server
4. Escriba el Nombre (Name) y la Direccin IP (IP Address).

5. Si se usa NAT para trasladar las direcciones en las comunicaciones entre este servidor y
otros componentes StoneGate, defina la Localizacin (Location) y Direccin de Contacto
(Contact Address). Vea Definir Localizaciones (pag. 61) y Definir Direcciones IP de
Contacto (pag. 62) para ms informacin.
6. Seleccione el Alert Server al cual se enviar cualquier alerta generada por este
Management Server.
7. Si usa un servidor RADIUS para autenticar a los administradores, defina el mtodo que use
StoneGate para contactar con el servidor RADIUS en la lista RADIUS Method.
8. (Opcional) Si quiere enviar informes directamente como correos electrnicos desde el
Management Server, escriba la direccin del servidor de correo en el campo SMTP Server
y una direccin que se aadir a estos correos en el campo Sender Address.
9. (Opcional) Si no quiere que los cambios en las configuraciones se repliquen

automticamente al Management Server secundario desde el primario, seleccione la
opcin Disable Database Replication (Desactivar Replicacin de Bases de Datos).
La replicacin automtica transfiere los cambios peridicamente, reduciendo en gran
medida la posibilidad de prdida de cambios de configuracin cuando se pierde el
Management Server primario. La opcin de desactivar la replicacin automtica est
pensada para un uso temporal.
Tambin puede sincronizar manualmente las bases de datos (vea Sincronizar las
Bases de Datos de Gestin Manualmente (pag. 298)).
10. (Opcional) Si quiere activar el acceso de los usuarios de Web Start a los ficheros de
Web Start mediante un navegador Web en la direccin usada por el Management
Server secundario, cambie a la pestaa Web Start y configure las opciones (vea Activar
Web Start en el Management Server (pag. 271)).
11. Pulse OK.
Para continuar:
Contine en Instalar una Licencia para un Management Server Secundario.
Tareas Relacionadas
Aadir Comandos Personalizados a los Mens de Elementos (pag. 53)
Instalar una Licencia para un Management Server Secundario

El uso de un Management Server secundario requiere una licencia especial combinada que lista
las direcciones IP de todos los Management Servers dentro del mismo SMC. Tras recibir el cdigo
proof-of-license (POL Prueba de Licencia) de Stonesoft, genere el fichero de licencia en el sitio
Web de Stonesoft en https://my.stonesoft.com/managelicense.do. Para ms informacin sobre la
generacin de licencias, vea Generar Nuevas Licencias (pag. 826).
Para instalar una licencia para un Management Server Secundario
1. Seleccione FileSystem ToolsInstall Licenses (ArchivoHerramientas del
SistemaInstalar Licencias) desde el men. Se abrir el dilogo de Instalar Licencias.
2. Navegue hasta el fichero de Licencia en su ordenador local y pulse Install (Instalar).
4. Navegue a LicensesUnlicensed ComponentsServers (LicenciasComponentes
Sin LicenciarServidores) y asegrese que el Management Server secundario no est
listado aqu.
Si el servidor est listado, compruebe que la informacin de direccin IP es la misma
en la licencia que en el elemento Management Server secundario.
Para continuar:
Contine en Crear Reglas de Acceso para un Management Server Secundario.
Crear Reglas de Acceso para un Management Server Secundario

Las reglas de la plantilla por Defecto permiten conexiones entre el cortafuegos y todos los
Management y Log Servers a los que se conecte el cortafuegos. Sin embargo, si otros
componentes necesitan conectarse a travs del cortafuegos al Management Server secundario,
deber aadir reglas para permitir este trfico en la poltica del cortafuegos, junto con las posibles
reglas de NAT si son necesarias.
Las reglas son reglas normales de Acceso IPv4 que permiten las comunicaciones necesarias para
el sistema. Vea Puertos de Comunicacin por Defecto (pag. 933) para informacin sobre los
puertos y elementos de Servicio por defecto para las comunicaciones del sistema StoneGate. Para
ms informacin sobre aadir reglas de Acceso, vea Editar Reglas de Acceso (pag. 518).
Para continuar:
Tras aadir las reglas de Acceso, contine en Instalar el Software del Management
Server Secundario.
Instalar el Software del Management Server Secundario

Los Management Servers secundarios se instalan usando el asistente de instalacin normal del
Management Center. Para instalar el software, necesita los ficheros de instalacin del Management
Center, vea Obtener los Ficheros de Instalacin del SMC (pag. 835).
Para instalar el software del Management Server secundario
1. Si est instalando desde un fichero .zip, descomprima el fichero y ejecute setup.exe
en Windows o setup.sh en Linux. Alternativamente, inserte el CD-ROM de instalacin
de StoneGate y abra el ejecutable setup desde el CD-ROM:
En Windows, ejecute \StoneGate_SW_Installer\Windows\setup.exe
En Linux, ejecute /StoneGate_SW_Installer/Linux/setup.sh
Nota Si el CD-ROM no se monta automticamente en Linux, monte el CD-ROM con

mount /dev/cdrom /mnt/cdrom.
2. Proceda de acuerdo con las instrucciones en el Asistente de Instalacin hasta que se le

solicite seleccionar los componentes que desea instalar.
Si tambin quiere instalar un Log Server y un Management Client local en este
ordenador, deje Typical (Tpica) seleccionado y pulse Next (Siguiente).
En otro caso, seleccione Custom (Personalizado), elija los componentes que quiere
instalar y pulse Next.
3. Seleccione la direccin IP del Management Server de la lista o escrbala.
sta debe ser la direccin IP definida para el correspondiente elemento del
Management Server.
4. Escriba la direccin IP del Log Server para enviar alertas.
5. Seleccione Install as a Secondary Management Server for High Availability (instalar
como un Management Server Secundario para Alta Disponibilidad).
6. Pulse Next y siga las instrucciones para iniciar la instalacin. Se abrir un prompt de
conexin para Replicacin.
7. Conctese usando una cuenta de administrador no restringida. Se abrir el dilogo de
Seleccin de Management Server.
Ilustracin 111: Seleccin de Management Server
8. Seleccione el Management Server correcto de la lista y pulse OK. Las bases de datos
se sincronizarn.
Nota Si la sincronizacin falla por cualquier motivo (como un problema de conexin), el

Management Server secundario no se instala correctamente. Ejecute el Asistente de
Instalacin otra vez cuando se recupere la conectividad. Tambin puede seguir el
procedimiento para Restaurar una Copia de Seguridad de un Management Server
Diferente (pag. 299) para configurar el servidor como un servidor de respaldo vlido.
Para continuar:
La configuracin del Management Server Secundario est completa. Puede ver la
informacin de replicacin en el panel Info cuando seleccione el Management Server.
Instalar un Log Server Secundario

Un Log Server secundario puede utilizarse para permitir una monitorizacin continua del sistema si
falla un Log Server: el escalado de alertas contina normalmente, los nuevos logs pueden ser
examinados, y el estado del dispositivo y las estadsticas pueden ser comprobados. Sin embargo, los
datos de logs no se replican automticamente antre los Log Servers primario y secundario, de forma
que algunos datos de logs siempre estn indisponibles durante las cadas.
Cualquier Log Server puede usarse como un Log Server normal para algunos componentes y como
Log Server secundario para uno o ms Log Servers adicionales. Sin embargo, debe considerar la
carga de los Log Servers antes de configurar un Log Server activo como Log Server secundario, para
evitar sobrecargas si se produce un fallo del primario.
Puede configurar Log Servers secundarios con licencias normales de Log Server. Se requiere una
licencia separada para cada Log Server, incluso si slo se usa como respaldo.
El siguiente esquema puede usarse para instalar un nuevo Log Server que funcione como respaldo de
otro Log Server. De cualquier modo, puede alternativamente definir cualquier Log Server existente
como respaldo de otro Log Server simplemente completando el Paso 3 y refrescando las polticas de
los dispositivos que envan sus datos al Log Server primario.

1. Aada un elemento para el Log Server secundario segn se explica en Crear un Elemento Log
2. Licencie el Log Server secundario segn se explica en Instalar una Licencia para un Log Server
3. Defina el Log Server como un Log Server secundario para algn otro Log Server segn se explica
en Configurar un Log Server como Log Server Secundario (pag. 295).
4. Asegrese de que las comunicaciones entre los componentes del sistema y el Log Server
secundario estn permitidas segn se detalla en Crear Reglas de Acceso para un Log Server
5. Instale el Log Server segn se explica en Instalar el Software de un Log Server
Crear un Elemento Log Server Secundario

Puede configurar varios Log Servers secundarios para cada log Server primario.
Para crear un elemento Log Server secundario
(ConfiguracinConfiguracinIPS) desde el men. Se abrir la vista de configuracin del
cortafuegos o IPS.
3. Pulse botn derecho sobre Servers (Servidores) y selecione NewLog Server
(NuevoLog Server). Se abrir el dilogo de Propiedades del Log Server.
Ilustracin 112: Propiedades del Log Server
4. Especifique el Nombre (Name) y Direccin IP (IP Address) del servidor.

5. Si se usa NAT para trasladar direcciones en las comunicaciones entre este servidor y
otros componentes de StoneGate, defina la Localizacin (Location) y Direccin de
Contacto (Contact Address). Vea Definir Localizaciones (pag. 61) y Definir Direcciones
IP de Contacto (pag. 62) para ms informacin.
6. (Opcional) Defina el puerto TCP (Port Number) del Log Server de StoneGate. Lo
recomendamos que siempre use el puerto por defecto 3020 si es posible.
Nota Si quieres usar un puerto no estndar para el Log Server, deber aadir
manualmente reglas para permitir las comunicaciones usando el nuevo puerto desde los
dispositivos cortafuegos al Log Server incluso aunque use la plantilla por defecto.
7. (Opcional) Si quiere usar el Log Server para enviar sus propias alertas y reenviar todas
las alertas que reciba a otro Log Server diferente, seleccione Forward all Alerts to
(Reenviar Todas las Alertas a) y despus seleccione el Log Server correcto.
8. (Opcional) Seleccione Exclude from Log Browsing, Statistics and Reporting (Excluir
de Exploracin de Logs, Estadsticas e Informes) si no quiere que el Log Server
recupere informacin estadstica para monitorizacin e informes.
Para continuar:
Contine en Instalar una Licencia para un Log Server Secundario (pag. 295).
Tareas Relacionadas
Instalar una Licencia para un Log Server Secundario

Cada Log Server secundario requiere una licencia separada, incluso si slo va a usarse como respaldo
de otro Log Server. Tras recibir el cdigo proof-of-license (POL Prueba de licencia) de Stonesoft,
genere el fichero de Licencia en el sitio Web de Stonesoft en
https://my.stonesoft.com/managelicense.do. Para ms informacin sobre la generacin de licencias,
vea Generar Nuevas Licencias (pag. 826).
Para instalar una licencia para un Log Server secundario
SistemaInstalar Licencias) desde el men. Se abrir el dilogo de Instalar Ficheros de
Licencias.
2. Navegue al fichero de Licencia en su ordenador local y pulse Install (Instalar).
4. Navegue a LicensesUnlicensed ComponentsServers (LicenciasComponentes Sin
LicenciarServidores) y asegrese de que el Log Server secundario no est listado aqu.
Si el servidor est listado, compruebe que la informacin de la direccin IP es la misma en
la licencia y en el elemento Log Server secundario.
Para continuar:
Contine en Configurar un Log Server como Log Server Secundario.
Configurar un Log Server como Log Server Secundario

Puede seleccionar varios Log Servers secundarios para un Log Server en las propiedades del Log
Server. El mismo Log Server puede ser Log Server primario para algunos componente y secundario
para otros a la vez. Tambin puede configurar varios Log Servers para que sean secundarios los
unos de los otros, de forma que cuando un Log Server falle, se use el otro Log Server. Vea
Seleccionar Log Servers Secundarios (pag. 277).
Si se han configurado elementos Dominio, un Log Server y sus Log Servers secundarios deben
pertenecer al mismo Dominio.
Precaucin Si los volmenes de logs son muy altos, asegrese de que el Log Server
secundario puede manejar la carga de trfico en situaciones de cada del primario.
Para continuar:
Contine en Crear Reglas de Acceso para un Log Server Secundario (pag. 296).
Crear Reglas de Acceso para un Log Server Secundario

Las reglas de la plantilla por defecto permiten conexiones entre un cortafuegos y todos los
Management y Log Servers a los que se conecte el cortafuegos. Sin embargo, si otros
componentes necesitan conectarse a travs del cortafuegos al Log Server secundario, deber
aadir reglas que permitan este trfico en la poltica del cortafuegos, junto con las posibles reglas
de NAT si son necesarias.
Las reglas son reglas de Acceso normales IPv4 que permiten las comunicaciones del sistema
necesarias. Vea Puertos de Comunicacin por Defecto (pag. 933) para informacin sobre los
puertos y elementos de Servicio por defecto para las comunicaciones del sistema StoneGate. Para
ms informacin sobre aadir Reglas de Acceso, vea Editar Reglas de Acceso (pag. 518).
Para continuar:
Tras aadir las reglas de Acceso, contine con la instalacin de un nuevo Log Server
secundario en Instalar el Software de un Log Server Secundario (pag. 296).
Instalar el Software de un Log Server Secundario

Los Log Servers secundarios se instalan usando el asistente de instalacin normal del
Management Center exactamente del mismo mo0do que cualquier otro Log Server. Esta seccin
presenta un esquema de la instalacin. Si necesita ms ayuda, vea la Gua Management Center
Installation Guide para instrucciones de instalacin ms completas.
Para instalar el software, necesitar los ficheros de instalacin del Management Center, vea
Obtener los Ficheros de Instalacin del SMC (pag. 835).
Para instalr el software de un Log Server secundario
1. Si est instalando desde un fichero .zip, descomprima el fichero y ejecute setup.exe
en Windows o setup.sh en Linux. Alternativamente, inserte el CD-ROM de instalacin
de StoneGate y abra el ejecutable setup desde el CD-ROM:
En Windows, ejecute \StoneGate_SW_Installer\Windows\setup.exe
En Linux, ejecute /StoneGate_SW_Installer/Linux/setup.sh
Nota Si el CD-ROM no se monta automticamente en in Linux, monte el CD-ROM con

mount /dev/cdrom /mnt/cdrom.
2. Proceda de acuerdo con las instrucciones en el Asistente de Instalacin hasta que se le

solicite elegir qu componentes quiere instalar.
3. Seleccione Custom (Personalizado), y elija Log Server.
4. Finalice la instalacin de acuerdo con las instrucciones del Asistente de Instalacin.
Deber certificar el Log Server durante o despus de la instalacin antes de que el Log
Server pueda conectar con el Management Server.
El Log Server secundario est instalado y debera mostrarse en color verde (monitorizando) en la
vista de Estado del Sistema.
Para continuar:
Los logs no se copian automticamente entre los Log Servers por defecto, puesto que los
volmenes pueden ser bastante grandes. Puede configurar tareas programadas o ejecutarlas
manualmente si quiere copiar los logs entre los servidores. Puede usar filtros de logs para
reducir los volmenes sin perder los logs ms importantes. Vea Empezar con la Gestin de
Datos de Logs (pag. 800).
En otro caso, la instalacin del Log Server secundario est completa.
Cambiar el Management Server Activo

Prerrequisitos: Instalar un Management Server Secundario
Slo un Management Server a la vez puede ser el Management Server activo. Los Management
Servers de respaldo no pueden utilizarse para la configuracin y monitorizacin del da a da del
sistema. Los Management Servers de respaldo replican los cambios hechos en el Management Server
activo una vez por hora (o cuando se les ordena hacerlo, vea Sincronizar las Bases de Datos de
Gestin Manualmente (pag. 298)) de forma que tengan disponible la informacin de configuracin
actualizada.
Cuando necesite cambiar a un Management Server diferente, deber cambiar manualmente el
Management Server activo. Los dispositivos seguirn operando normalmente incluso aunque no
haya ningn Management Server alcanzable, de forma que no habr interrupcin alguna en los
servicios de red.
Esta caracterstica est orientada principalmente a la recuperacin ante desastres. No se recomienda
cambiar el Management Server activo innecesariamente.
Para cambiar el Management Server activo
1. Proceda de acuerdo con el estado actual del Management Server primario:
Si el Management Server primario est operativo, acceda a la lnea de comando del
Management Server primario.
Si el Management Server est fuera de servicio, acceda a la lnea de comando del
Management Server secundario.
2. Cambie a la carpeta <directorio de instalacin>/bin.
Por defecto, el directorio de instalacin es /Stonesoft/StoneGate.
3. Proceda de acuerdo con el estado actual del Management Server primario:
Si el Management Server primario est operativo, ejecute:
sgHA[.bat|.sh] -host <direccin del Management Server secundario> -login
<nombre de usuario administrador> -password <contrasea> -set-active. La
operacin contacta al servidor secundario, sincroniza la base de datos y cambia el estado
de activo/respaldo de ambos servidores.
Si el Management Server primario est fuera de servicio, ejecute:
sgHA[.bat|.sh] -login <nombre de usuario administrador> -password
<contrasea> -force-active. La operacin hace de este servidor el Management
Server activo.
4. Ejecute el comando sgStartMgtSrv[.bat|.sh] para arrancar el Management Server.

Los administradores podrn ahora conectarse a este Management Server.
Precaucin Si el Management Server primario est cado cuando haga el cambio, pero
podra posiblemente recuperarse, desconecte el anterior Management Server primario
de la red. Esto evita tener dos Management Servers activos a la vez. Configure el
anterior Management Server primario como secundario y sincronice las bases de datos
antes de volver a la operacin normal.
Desactivar y Activar la Replicacin Automtica de Bases de Datos

Por defecto, los cambios en la informacin de configuracin guardada en el Management Server

activo actualmente se copian automticamente a todos los Management Servers de respaldo. Si
tiene una razn especfica para parar esta replicacin, puede hacerlo. Tambin puede sincronizar
la informacin manualmente segn se explica en Sincronizar las Bases de Datos de Gestin
Manualmente (pag. 298).
Para activar o desactivar la replicacin automtica de las bases de datos
1. Haga doble click sobre un Management Server secundario. Se abrir el dilogo de
propiedades del Management Server.
2. Seleccione Disable Database Replication (Desactivar Replicacin de Bases de Datos)
para desactivar la replicacin automtica o deseleccione la opcin para reactivar la
replicacin automtica.
Tip Puede ver el estado de las tareas en ejecucin y previamente ejecutadas bajo la rama Tasks
(Tareas) de la vista de Configuracin de Administracin. Tambin puede ver la informacin de
replicacin para el Management Server seleccionado en la pestaa General del panel Info.
Sincronizar las Bases de Datos de Gestin Manualmente

Puede sincronizar la informacin de configuracin manualmente entre todos los Management

Servers desde el Management Client. Esta sincronizacin siempre se hace desde el
Management Server actualmente activo a los Management Servers de respaldo.
Para sincronizar las bases de datos manualmente
3. Conecte con el Management Server activo usando el Management Client.
4. Abra las propiedades de cada Management Server de respaldo y asegrese de que
Disable Database Replication (Desactivar Replicacin de Bases de Datos) no est
seleccionado a menos que desee excluir los servidores de la sincronizacin.
5. Seleccione FileSystem ToolsManagement HASynchronize
(ArchivoHerramientas del SistemaGestin HASincronizar) desde el men.
6. Pulse OK para confirmar la sincronizacin. Todas las configuraciones existentes en los
servidores de respaldo se sobreescriben.
Tip Si no hay conectividad de red entre los servidores, la replicacin de un nico Management Server
secundario puede hacerse alternativamente segn se explica en Restaurar una Copia de
Seguridad de un Management Server Diferente (pag. 299). Esto requiere una copia de seguridad
actual del Management Server primario.
Restaurar una Copia de Seguridad de un Management Server Diferente

Prerrequisitos: El Management Server en el cual se va a restaurar debe existir como un elemento en la copia de
seguridad
Si la sincronizacin normal (automtica o manual) entre Management Servers redundantes no

es posible, las configuraciones todava pueden ser actualizadas en un servidor secundario
restaurando una copia de seguridad.
Tpicamente, el Management Server primario es el nico servidor del cual se hace copia de
seguridad, puesto que siempre contiene los ltimos cambios. Puede restaurar esta copia en
cualquiera de los servidores secundarios, pero esto requiere un procedimiento especial. La
restauracin normal de una copia siempre conecta la instalacin local al elemento de la
instalacin que cre la copia (para soportar la sustitucin del hardware). Si esto es lo que quiere
que ocurra, ejecute una restauracin de copia normal. Para conectar el servidor secundario a un
elemento existente, siga el procedimiento especial que sigue.
Precaucin Restaurar una copia borra todos los datos de configuracin almacenados en el
Management Server en el cual ejecute la operacin.
Para restaurar una copia tomada de un Management Server diferente

1. Copie el fichero de copia de seguridad a la carpeta <directorio de instalacin>/backups/
en el Management Server en el cual quiere restaurar la copia.
2. Navegue a <directorio de instalacin>/bin/.
3. Ejecute el script sgStopMgtSrv[.bat|.sh]para parar el Management Server.
4. Ejecute el script sgReplicate[.bat|.sh] -backup <path y nombre del fichero de copia de
seguridad > - standby-server <nombre del elemento Management Server que corresponde
al servidor fsico en el que est trabajando >.
A pesar del nombre de la opcin, el actual estado Primario/Respaldo de este servidor no
es relevante para la operacin. Simplemente debe asegurarse de que est parado.
Para otras opciones, ejecute el script sgReplicate con la opcin --help.
5. Ejecute el script sgStartMgtSrv[.bat|.sh] para iniciar el Management Server.
El servidor se iniciar como servidor secundario en este caso. Vea Cambiar el
Management Server Activo (pag. 297) para cambiar su rol a primario.
Tareas Relacionadas
Restaurar Copias de Seguridad (pag. 796).
Reconfigurar el Management Center 301
CAPTULO 25
RECONFIGURAR EL MANAGEMENT
CENTER
Esta seccin incluye tareas relacionadas con la configuracin de parmetros adicionales

para los Management Servers, as como cambiar la plataforma hardware de su
Management Center o las direcciones IP usadas en las comunicaciones del sistema.
Modificar un Elemento Management Server (pag. 302)

Cambiar la Contrasea de la Base de Datos de Gestin (pag. 303)
Cambiar la Plataforma de Gestin (pag. 304)
Cambiar el Direccionamiento IP (pag. 304)
Si los Cambios de Configuracin Impiden Gestionar los Dispositivos (pag. 307)
Modificar un Elemento Management Server

El elemento Management Server se crea automticamente durante la instalacin. Compruebe y

modifique los parmetros si es necesario. Puede renombrar el elemento Management Server
libremente, pero no puede eliminar el Management Server al que est conectado el SMC. Para
definir Management Servers secundarios para alta disponibilidad, vea Instalar un Management
Para cambiar la contrasea de la base de datos de gestin que se crea automticamente durante la
instalacin, vea Cambiar la Contrasea de la Base de Datos de Gestin (pag. 303).
Para modificar un elemento Management Server
2. Seleccione Servers (Servidores).
3. Haga doble click sobre su elemento Management Server. Se abrir el dilogo de
Propiedades del Management Server Properties.
Ilustracin 113: Propiedades del Management Server
4. (Opcional) Cambie el Nombre (Name) del Management Server.

5. (Opcional) Aada una Localizacin (Location) y una Direccin de Contacto (Contact
Address) si hay un dispositivo de NAT entre un cortafuegos/Sensor/Analizador y el
Management Server, de forma que no pueden contactar directamente a la direccin IP
definida para el interfaz. Vea Definir Direcciones IP de Contacto (pag. 62) para ms
informacin.
6. Seleccione el Alert Server al cual se enviarn las alertas generadas por este
Management Server.
7. Si usa un servidor RADIUS para autenticar a los administradores, defina el Mtodo
RADIUS (RADIUS Method) que use StoneGate para contactar con el servidor RADIUS.
8. Si quiere enviar los informes generados como correo electrnico directamente desde el
Management Server, escriba la direccin del servidor de correo en el campo SMTP
Server y una direccin que se mostrar como el remitente del correo en el campo
Sender Address. Recuerde permitir estas conexiones en la poltica del cortafuegos si
es necesario. Vea Enviar Informes (pag. 157) para ms informacin.
9. (Opcional) Si este Management Server se usa como Management Server secundario y

no quiere que los cambios en las configuraciones sean replicados automticamente en
l desde el Management Server primario, seleccione la opcin Disable Database
Replication (Desactivar Replicacin de Base de Datos).
La replicacin automtica transfiere los cambios peridicamente, reduciendo en gran
medida la posibilidad de que cualquier cambio en la configuracin se pierda si cae el
Management Server primario. La opcin de desactivar la replicacin automtica est
pensada para un uso temporal.
Tambin puede sincronizar manualmente las bases de datos (Sincronizar las Bases de
Datos de Gestin Manualmente (pag. 298)).
10. (Opcional) Si quiere activar el que los usuarios de Web Start accedan a los ficheros de
Web Start desde un navegador Web en la direccin que usa el Management Server,
cambie a la pestaa Web Start y proceda segn se describe en Activar Web Start en el
Management Server (pag. 271).
11. (Opcional) Si quiere usar un Perfil de Herramientas con el nuevo Management Server,
pulse Select para Tools Profile (Perfil de Herramientas).
12. Pulse OK para aplicar los cambios.
Cambiar la Contrasea de la Base de Datos de Gestin

El Management Server contiene una base de datos para almacenar la informacin de

configuracin. La contrasea para la base de datos se crea automticamente durante la
instalacin del Sistema de Gestin (Management System). En algunos casos particulares, puede
necesitar esta contrasea para completar una operacin, en cuyo caso puede simplemente
cambiarla.
Para cambiar la contrasea de la base de datos
1. Seleccione FileSystem ToolsChange Database Password
(ArchivoHerramientas del SistemaCambiar Contrasea de Base de Datos) en el
men. Se abrir el dilogo de Cambiar Contrasea de Base de Datos.
Ilustracin 114: Cambiar la Contrasea de la Base de Datos
2. Introduzca la nueva contrasea en los campos New Password y Confirm New

Password.
3. Pulse OK para confirmar el cambio.
Cambiar la Plataforma de Gestin

Si quiere cambiar el hardware o el sistema operativo sobre el cual se ejecutan los componentes
del Management Server, Log Server, o Web Portal Server, puede seguir el siguiente
procedimiento.
Para cambiar la Plataforma de Gestin
1. Haga copias de seguridad de sus Management Servers y sus Log Servers segn se
indica en Crear Copias de Seguridad (pag. 795).
El Web Portal Server no tiene informacin de la cual hacer copia de seguridad.
2. Instale los nuevos Management Servers y Log Servers en las nuevas plataformas. Vea
la Gua StoneGate Management Center Installation Guide para instrucciones.
3. Restaure las copias de seguridad del Management Server y el Log Server desde el
entorno antiguo a la nueva instalacin. Vea Restaurar Copias de Seguridad (pag. 796).
Para cualquier Web Portal Server, instale el nuevo Web Portal Server como una instalacin limpia
segn se explica en StoneGate Management Center Installation Guide.
Cambiar el Direccionamiento IP
Las siguientes instrucciones explican cmo puede cambiar las direcciones IP sin perder la
conectividad de gestin. Cuando cambia el direccionamiento IP, otras conexiones entre los
diferentes componente pueden perderse temporalmente. Debe asegurarse de que las conexiones
vuelven a su estado normal tras el cambio de direcciones IP.
Para continuar:
Si quiere cambiar las direcciones IP y el Management Server y el Log Server estn en
la misma mquina, proceda a Cambiar las Direcciones IP de Management/Log
Servers Combinados (pag. 306).
En otro caso, proceda a Cambiar la Direccin IP del Management Server o Cambiar la
Direccin IP del Log Server (pag. 305) dependiendo del componente cuya direccin
IP quiera cambiar.
Cambiar la Direccin IP del Management Server

Esta seccin explica cmo cambiar la direccin IP del Management Server si el Management
Server y el Log Server estn en diferentes mquinas. Si su Management Server y Log Server
estn en la misma mquina, Cambiar las Direcciones IP de Management/Log Servers Combinados
(pag. 306).
Antes de cambiar la direccin IP del Management Server, le recomendamos hacer una copia de
seguridad del Management Server y el Log Server segn se indica en Crear Copias de Seguridad
(pag. 795).
Nota Si sus polticas de cortafuegos no usan la plantilla por Defecto, compruebe que
permiten todas las conexiones necesarias.
Para cambiar la direccin IP del Management Server

1. Solicite un cambio de direccin IP para la licencia del Management Server (en el Centro
de Licencias online de Stonesoft en www.stonesoft.com/license/).
2. (Para cortafuegos StoneGate) Aada reglas de Acceso IPv4 (y posiblemente reglas de
NAT) que permitan las conexiones de carga de polticas desde la nueva direccin IP del
Management Server al cortafuegos (vea Editar Reglas de Acceso (pag. 518)).
Los servicios necesarios para las comunicaciones entre los diferentes componentes
StoneGate se explican en Puertos de Comunicacin por Defecto (pag. 933).
3. (Para cortafuegos StoneGate) Refresque las polticas del cortafuegos.
4. Pare los servicios del Management Server y de todos los Log Servers.
5. En el Management Server, ejecute el comando sgChangeMgtIPOnMgtSrv <nueva
direccin IP del Management Server>.
6. En todos los Log Servers, ejecute el comando sgChangeMgtIPOnLogSrv <nueva
direccin IP del Management Server>.
7. Inicie los servicios del Management Server y de todos los Log Servers y conctese
usando el Management Client.
8. Importe la nueva licencia del Management Servercuando se le solicite.
9. (Para cortafuegos StoneGate) Elimine las reglas que cre en el Paso 2. Tras ejecutar
los scripts de cambio de direccin IP, los elementos Alias de las reglas heredadas
apuntan a las direcciones IP correctas.
10. Refresque las polticas de todos los componentes dispositivos.
Cambiar la Direccin IP del Log Server

Cuando cambia la direccin IP del Log Server, el trfico entre el Log Server y los dispositivos
se interrumpe y los logs se almacenan temporalmente en los dispositivos. Cambiar la
direccin IP puede significar tambin que la transferencia del estado del dispositivo y la
informacin de estadsticas se interrumpa temporalmente.
Antes de cambiar la direccin IP del Log Server, le recomendamos hacer una copia de
seguridad del Management Server y del Log Server segn se explica en Crear Copias de
Seguridad (pag. 795).
Para cambiar la direccin IP del Log Server
1. Solicite un cambio de asociacin de licencia para el Log Server si la licencia est
asociada a la direccin IP del Log Server (en el Centro de Licencias online de Stonesoft
en www.stonesoft.com/license/) e importe la nueva licencia.
2. Edite el fichero <directorio de instalacin>/data/LogServerConfiguration.txt
en el Log Server y actualice la direccin IP del Log Server (vea Cambiar los Parmetros
de Configuracin del Log Server (pag. 279)).
3. En el Management Client, abra las propiedades del Log Server y actualice la direccin
IP del Log Server.
4. Pare y reinicie el servicio del Log Server.
5. Refresque las polticas del todos los componentes dispositivos que enven datos al Log
Server.
Cambiar las Direcciones IP de Management/Log Servers

Combinados
Esta seccin explica cmo cambiar la direccin IP del Management Server si el Management
Server y el Log Server estn en la misma mquina. Si su Management Server y Log Server estn
en mquinas separadas, vea Cambiar la Direccin IP del Management Server (pag. 304) y
Cambiar la Direccin IP del Log Server (pag. 305).
Cuando cambia la direccin IP del Log Server, el trfico entre el Log Server y los dispositivos se
interrumpe y los logs se almacenan temporalmente en los dispositivos. Cambiar la direccin IP
puede significar tambin que la transferencia de la informacin sobre el estado del dispositivo y
estadsticas se interrumpa temporalmente.
Antes de cambiar las direcciones IP, le recomendamos hacer una copia de seguridad del
Management Server y el Log Server segn se indica en Crear Copias de Seguridad (pag. 795).
Nota Si sus polticas de cortafuegos no usan la plantilla por Defecto, compruebe que permiten
todas las conexiones necesarias.
Para cambiar la direccin IP de un Management Server y Log Server combinado

1. Solicite un cambio de asociacin de licencia a la nueva direccin IP para la licencia del
Management Server, y tambin para el Log Server si su licencia est sociada a una
direccin IP (en el Centro de Licencias online de Stonesoft en
www.stonesoft.com/license/).
2. (Para cortafuegos StoneGate) Aada reglas de acceso IPv4 (y posiblemente reglas de
NAT) que permitan las conexiones de carga de polticas desde las nuevas direcciones
IP al cortafuegos (vea Editar Reglas de Acceso (pag. 518)).
Los servicios necesarios para las comunicaciones entre componentes StoneGate se
explican en Puertos de Comunicacin por Defecto (pag. 933).
3. (Para cortafuegos StoneGate) Refresque las polticas de los cortafuegos.
4. Pare los servicios del Management Server y Log Server.
5. Cambie la direccin IP del servidor en el sistema operativo.
6. Ejecute el script sgChangeMgtIPOnMgtSrv en el Management Server (vea Herramientas
de Lnea de Comando (pag. 917)).
7. Ejecute el script sgChangeMgtIPOnLogSrv en el Log Server ((vea Herramientas de
Lnea de Comando (pag. 917))).
8. Edite el fichero <directorio de instalacin>/data/LogServerConfiguration.txt
en el Log Server y actualice la direccin Ip del Log Server (vea Cambiar los Parmetros
de Configuracin del Log Server (pag. 279)).
9. Inicie el servicio del Management Server y conctese usando el Management Client.
10. Importe las nuevas licencias cuando se le solicite.
11. Abra las propiedades del Log Server y actualice la direccin IP.
12. Inicie el servicio del Log Server.
13. (Para cortafuegos StoneGate) Elimine las reglas que cre en el Paso 2. Tras ejecutar
los scripts de cambio de IP, los elementos Alias en las reglas heredadas apuntan a las
direcciones IP correctas.
14. Refresque las polticas de todos los componentes dispositivos.
Si los Cambios de Configuracin Impiden Gestionar los Dispositivos

Si un dispositivo no puede conectar con el Management Server a causa de los cambios en la

configuracin del sistema, puede restaurar el contacto generando una nueva configuracin inicial
para el dispositivo (mediante el men de botn derecho del dispositivo) y ejecutando despus el
comando sg-reconfigure en la lnea de comando del dispositivo. Si adems sospecha que la
configuracin del dispositivo no est actualizada, seleccione tambin la opcin de devolver el
dispositivo al estado de configuracin inicial. Vea las instrucciones en Reconfigurar los Parmetros
Bsicos del Dispositivo (pag. 203).
Precaucin Devolver el dispositivo al estado de configuracin inicial elimina la

configuracin del dispositivo. Slo se permiten las comunicaciones de gestin y no se
permite trfico a travs del cortafuegos.
309
CONFIGURACIN DE
ELEMENTOS DISPOSITIVOS
En esta seccin:
Crear y Modificar Elementos Dispositivos 311
Configuracin del Interfaz de Red 341
Conectar Dispositivos al Stonegate Management Center 391
Configurar el Comprobador de Dispositivos 397
Permisos en los Dispositivos 407
Traducciones de Alias para Dispositivos 411
Opciones Avanzadas de Dispositivo 415
Configurar SNMP para los Dispositivos 431

CAPTULO 26
CREAR Y MODIFICAR ELEMENTOS

DISPOSITIVOS
Los elementos dispositivos contienen la informacin de configuracin que est relacionada

directamente con los cortafuegos, sensores y analizadores tales como definiciones de
interfaz, seleccin del modo de clster, parmetros de chequeo y otras opciones
especficas del dispsoitivo. Esta seccin explica cmo crear y modificar estos elementos y
lista las tareas que puede hacer en las propiedades del elemento dispositivo (en las
secciones Editar... ms abajo).
Empezar con los Elementos Dispositivo (pag. 312)

Crear Nuevos Elementos Dispositivo (pag. 313)
Modificar Elementos Dispositivo Existentes (pag. 323)
Editar las Propiedades de un Cortafuegos Independiente (pag. 333)
Editar las Propiedades de un Clster de Cortafuegos (pag. 334)
Editar las Propiedades de un Cortafuegos SOHO (pag. 335)
Editar las Propiedades de un Analizador (pag. 336)
Editar las Propiedades de un Sensor Independiente (pag. 337)
Editar las Propiedades de un Clster de Sensores (pag. 338)
Editar las Propiedades de un Sensor-Analizador Combinado (pag. 339)
Acerca de la Sincronizacin Horaria de los Dispositivos (pag. 340)
Empezar con los Elementos Dispositivo

Qu Hacen los Elementos Dispositivo

Los elementos dispositivo son el punto central de todas las tareas de configuracin y gestin
relacionadas con sus cortafuegos, sensores y analizadores. Contienen parmetros que no pueden
reutilizarse en la configuracin de otros componentes, como la configuracin de interfaces de red.
El elemento dispositivo tambin determina cul de los elementos reutilizables incluye la
configuracin de un elemento particular (por ejemplo, el Log Server al cual el componente enva
sus datos de logs). Todos los dispositivos se configuran y controlan centralizadamente desde el
Management Server.
Qu Necesito Saber Antes de Empezar?
Si est configurando nuevos elementos dispositivos por primera vez, le recomendamos que siga
las instrucciones en las guas Firewall/VPN Installation Guide o IPS Installation Guide en lugar de
estas instrucciones. Para informacin de fondo acerca del funcionamiento del sistema, vea las
guas Firewall/VPN Reference Guide o IPS Reference Guide.
Nota Los dispositivos siempre se configuran mediante el StoneGate Management Center

(SMC). Si no tiene un SMC instalado, vea la gua Management Center Installation Guide.

El siguiente esquema no cubre el producto StoneGate SSL VPN. Vea Crear un Nuevo Elemento
Pasarela SSL VPN (pag. 322). Para informacin sobre configurar StoneGate SSL VPN, vea la
gua SSL VPN Administrators Guide.
1. Instale una licencia para el dispositivo. Vea Empezar con las Licencias (pag. 824).
2. Cree un nuevo elemento dispositivo y defina las propiedades bsicas. Vea Crear Nuevos
Elementos Dispositivo (pag. 313).
3. Configure los interfaces del dispositivo. Vea Empezar con la Configuracin del Interfaz
(pag. 342).
4. (No aplicable a cortafuegos SOHO) Configure el enrutamiento. Vea Empezar con el
Enrutamiento (pag. 440).
5. Genere la configuracin inicial para el dispositivo y sela para establecer una conexin entre el
dispositivo y el Management Server. Vea Conectar Dispositivos al Stonegate Management
Center (pag. 391).
6. (No aplicable a cortafuegos SOHO) Instale una poltica en el dispositivo. Vea Instalar
Polticas (pag. 501).
Tareas Relacionadas
Crear Nuevos Elementos Dispositivo

Puede crear un nuevo elemento dispositivo bien definiendo un nuevo elemento en blanco bien
duplicando las propiedades de un elemento existente. Antes de definir un nuevo elemento dispositivo,
asegrese de que tiene una licencia para l. El elemento puede configurarse sin una licencia, pero
debe disponer de una licencia para ponerlo operativo.
Puede crear el nuevo elemento segn se explica en las secciones listadas a continuacin o puede
copiar y modificar un elemento existente segn se explica en Duplicar un Elemento de Dispositivo
Existente (pag. 323).
Para continuar:
Crear un Nuevo Elemento Cortafuegos Independiente (pag. 313)
Crear un Nuevo Elemento Clster de Cortafuegos (pag. 314)
Crear Un Nuevo Elemento Cortafuegos SOHO (pag. 315)
Crear Mltiples Nuevos Elementos Cortafuegos SOHO (pag. 316)
Crear un Nuevo Elemento Analizador (pag. 318)
Crear un Nuevo Elemento Sensor Independiente (pag. 319)
Crear un Nuevo Elemento Clster de Sensores (pag. 320)
Crear un Nuevo Elemento Sensor-Analizador Combinado (pag. 321)
Crear un Nuevo Elemento Pasarela SSL VPN (pag. 322)
Crear un Nuevo Elemento Cortafuegos Independiente

Los elementos Cortafuegos Independientes representan cortafuegos que consisten en un dispositivo
fsico. Tambin pueden convertirse en elementos de Clster de Cortafuegos.
Para crear un nuevo elemento Cortafuegos Independiente
(ConfiguracinConfiguracinCortafuegos) desde el men. Se abrir la vista de
Configuracin del Cortafuegos.
2. Pulse el botn derecho sobre Firewalls (Cortafuegos) en el rbol de Cortafuegos y
seleccione NewSingle Firewall (NuevoCortafuegos Independiente) desde el men. Se
abrir el dilogo de Propiedades de Cortafuegos Independiente.
Ilustracin 115: Propiedades de Cortafuegos Independiente
3. Proporcione un Nombre (Name) nico para el elemento.

4. Seleccione el Log Server que se usar para enviar los logs creados por este dispositivo.
5. Seleccione la Localizacin (Location) correcta para este dispositivo si hay un

dispositivo NAT entre los componentes del sistema que afecten a las comunicaciones
de este cortafuegos. Vea Definir Localizaciones (pag. 61) para ms informacin.
Para continuar:
Contine la configuracin en Configuracin del Interfaz de Cortafuegos (pag. 343).
Crear un Nuevo Elemento Clster de Cortafuegos

Los elementos Cluster de Cortafuegos consisten en 2 a 16 dispositivos cortafuegos fsicos que
funcionan juntos como una nica entidad.
Para crear un nuevo elemento Clster de Cortafuegos
2. Pulse el botn derecho sobre Firewalls (Cortafuegos) en el rbol de Cortafuegos y
seleccione NewFirewall Clster (NuevoClster de Cortafuegos) desde el men.
Se abrir el dilogo de Propiedades de Clster de Cortafuegos.
Ilustracin 116: Propiedades de Clster de Cortafuegos

4. Seleccione el Log Server que se usar para enviar los logs creados por este
dispositivo.
Para continuar:
Contine la configuracin en Configuracin del Interfaz de Cortafuegos (pag. 343).
Crear Un Nuevo Elemento Cortafuegos SOHO

Los cortafuegos SOHO son un tipo especfico de dispositivos StoneGate. Disponen de capacidades
inalmbricas pero por lo dems un conjunto reducido de funcionalidades en comparacin con otros
dispositivos Cortafuegos/VPN StoneGate.
Las instrucciones que siguen son para crear un nico elemento cortafuegos SOHO. Puede
alternativamente usar un asistente para crear configuraciones para varios cortafuegos SOHO a la vez.
Vea Crear Mltiples Nuevos Elementos Cortafuegos SOHO (pag. 316).
Para crear un nuevo elemento cortafuegos SOHO
2. Navegue a Network ElementsSOHO Firewalls (Elementos de RedCortafuegos
SOHO) en el rbol de Cortafuegos.
3. Pulse botn derecho cobre SOHO Firewalls (Cortafuegos SOHO) y seleccione
NewSOHO Firewall (NuevoCortafuegos SOHO) desde el men. Se abrir el dilogo
de Propiedades del Cortafuegos SOHO.
Ilustracin 117: Propiedades del Cortafuegos SOHO

5. Seleccione el Log Server que se usar para enviar los logs creados por este dispositivo.
6. Seleccione la Localizacin (Location) correcta para este dispositivo si hay un dispositivo
NAT entre los componentes del sistema que afecten a las comunicaciones de este
cortafuegos. Vea Definir Localizaciones (pag. 61) para ms informacin.
7. Introduzca la direccin IP o nombre del host de un servidor NTP en al menos el campo
Primary Time Server (Servidor de Tiempos Primario).
Stonesoft mantiene servidores NTP que estn disponibles libremente para todos los
usuarios de Cortafuegos SOHO en las siguientes direcciones: soho-ntp-1.stonesoft.net:
192.89.38.174 (Primary Time Server por defecto) y soho-ntp-2.stonesoft.net:
84.34.144.104 (Secondary Time Server por defecto).
Si usa un servidor NTP privado, asegrese de que es alcanzable desde el cortafuegos
SOHO. Si el servidor de tiempos tiene una direccin IP privada, deber configurar NAT e
introducir la direccin IP externa en la configuracin del cortafuegos SOHO de forma que
ste pueda alcanzar el servidor a travs de las redes pblicas.
Use el mismo servidor NTP para sincronizar el tiempo del Management Server y el Log
Server. Si el cortafuegos SOHO, el Management Server y el Log Server no disponen
del mismo tiempo, puede haber problemas con la monitorizacin y el registro de logs.
Precaucin Al menos uno de los servidores NTP debe ser alcanzable en el

momento de la instalacin o la instalacin fallar.
Para continuar:
Contine en Configuracin de Interfaz de Cortafuegos SOHO (pag. 364).
Crear Mltiples Nuevos Elementos Cortafuegos SOHO

Los cortafuegos SOHO son un tipo especfico de dispositivos StoneGate. Disponen de capacidades
inalmbricas pero por lo dems un conjunto reducido de funcionalidades en comparacin con otros
dispositivos Cortafuegos/VPN StoneGate.
Las siguientes instrucciones son para crear mltiples elementos cortafuegos SOHO usando un
asistente. Alternativamente puede crear configuraciones para cortafuegos SOHO individualmente.
Vea Crear Un Nuevo Elemento Cortafuegos SOHO (pag. 315). Tenga en cuenta que tambin
puede duplicar elementos cortafuegos SOHO (vea Duplicar un Elemento Dispositivo Existente (pag.
323)).
Tras completar el asistente, puede cambiar cualquiera de los parmetros mediante el dilogo de
propiedades de los elementos individuales que se han generado.
Para crear mltiples nuevos elementos cortafuegos SOHO
SOHO) en el rbol de Cortafuegos.
3. Pulse botn derecho sobre SOHO Firewalls (Cortafuegos SOHO) y seleccione
NewMultiple SOHO Firewalls (NuevoMltiples Cortafuegos SOHO) desde el
men. Se abrir el dilogo (asistente) de Creacin de Mltiples Cortafuegos SOHO.
Ilustracin 118: Crear Mltiples Cortafuegos SOHO
4. Introduzca el Prefijo de Nombre (Name Prefix). El sistema aade un nmero a esto

para generar nombres nicos para los cortafuegos SOHO individuales.
5. Introduzca el Rango de IPs Corporativas Globales (Global Corporate IP Range). Este
espacio de direcciones se usa para generar el espacio de direcciones local para las redes
Corporativas internas que protegen los cortafuegos SOHO.
6. Introduzca el nmero de Cortafuegos SOHO que desde crear en el campo No. of SOHO
Firewalls (Nmero de Cortafuegos SOHO).
7. Seleccione las opciones deDHCP Server (Servidor DHCP):

Puede desactivar completamente el servidor DHCP interno deseleccionando la opcin
DHCP Server.
En otro caso, introduzca el nmero de direcciones estticas a reservar desde el
principio del rango de direcciones IP en cada cortafuegos en el campo No. of Static IP
Addresses (Nmero de Direcciones IP Estticas). El mnimo es una direccin IP
esttica (para el propio cortafuegos SOHO).
8. Pulse Generate (Generar) para crear los nombres e informacin de direccionamiento IP
para los elementos cortafuegos SOHO (mostrados en la tabla en la parte inferior del
dilogo). La tabla no es editable: si quiere modificar la informacin, cambie los valores
que introdujo y regenere la tabla. Son posibles modificaciones ms detalladas una vez
el asistente ha finalizado.
9. Pulse Next (Siguiente). Se abrir la pestaa General (las pestaas mostradas en el
asistente corresponden a las pestaas del dilogo de propiedades de los cortafuegos
SOHO individuales).
Ilustracin 119: Propiedades Generales de Mltiples Cortafuegos SOHO
10. Seleccione un Log Server para almacenar los logs de los cortafuegos.
12. Introduzca la direccin IP o nombre del host de un servidor NTP en al menos el campo
Primary Time Server (Servidor de Tiempos Primario).
Si usa un servidor NTP privado, asegrese de que es alcanzable desde el cortafuegos
SOHO. Si el servidor de tiempos tiene una direccin IP privada, deber configurar NAT
e introducir la direccin IP externa en la configuracin del cortafuegos SOHO de forma
que ste pueda alcanzar el servidor a travs de las redes pblicas.
Use el mismo servidor NTP para sincronizar el tiempo del Management Server y el Log
Server. Si el cortafuegos SOHO, el Management Server y el Log Server no disponen
del mismo tiempo, puede haber problemas con la monitorizacin y el registro de logs.
Precaucin Al menos uno de los servidores NTP debe ser alcanzable en el momento
de la instalacin o la instalacin fallar.
Para continuar:
La creacin de interfaces para mltiples cortafuegos SOHO difiere slo ligeramente
de la creacin para un nico cortafuegos SOHO. De aqu en adelante, las
instrucciones estn combinadas para ambos procedimientos. Contine en
Configuracin de Interfaz de Cortafuegos SOHO (pag. 364).
Crear un Nuevo Elemento Analizador

Los analizadores IPS no inspeccionan los datos de la red directamente, sino que recoleccionan
datos de los sensores y llevan a cabo una posterior inspeccin y correlacin antes de que los
datos de eventos se pasen a un Log Server. Debe definir un elemento Analizador antes de crear
los elementos Sensores para poder completar la configuracin de los sensores.
Para crear un nuevo elemento analizador
1. Seleccione ConfigurationConfigurationIPS (ConfiguracinConfiguracinIPS)
desde el men. Se abrir la vista de Configuracin de IPS.
2. Pulse con el botn derecho IPS Engines (Dispositivos IPS) en el rbol IPS y seleccione
New Analyzer (Nuevo Analizador) desde el men. Se abrir el dilogo de Propiedades
del Analizador.
Ilustracin 120: Propiedades del Analizador

4. Seleccione el Log Server que se usar para enviar los logs creados por este
dispositivo.
5. Seleccione el Log Server para Alertas (Log Server for Alerts). ste puede ser el
mismo Log Server que seleccion en el paso anterior.
6. Seleccione el Analizador de Respaldo (Backup Analyzer) para que lo usen los
sensores cuando este analizador no est disponible.
Si ste es el primer o nico analizador en su sistema, deje la seleccin en None
(Ninguno) por ahora. Puede aadir esta informacin una vez que tenga ms elementos
Analizador definidos.
Nota No hay sincronizacin de datos entre los analizadores. Incluso si define un

analizador de respaldo, no ponga los analizadores offline innecesariamente para
garantizar los mejores resultados posibles en la inspeccin del trfico.

Para continuar:
Contine en Configuracin del Interfaz de Sensores y Analizadores (pag. 377).
Crear un Nuevo Elemento Sensor Independiente

Los sensores IPS buscan patrones dainos en el trfico y producen datos en crudo para los
analizadores. Los elementos Sensor Independiente representan sensores que consisten en un
dispositivo sensor fsico. Pueden ser convertidos en clusters posteriormente.
Para crear un nuevo elemento Sensor
2. Pulse botn derecho sobre IPS Engines (Dispositivos IPS) en el rbol IPS y seleccione
NewSingle Sensor (NuevoSensor Independiente) desde el men. Se abrir el dilogo
de Propiedades de Sensor Independiente.
Ilustracin 121: Propiedades de Sensor Independiente

4. Seleccione el Analizador (Analyzer) al cual el sensor enva sus datos de eventos. Si quiere
definir un analizador de respaldo, configrelo en las propiedades del elemento Analizador
que seleccione aqu. Slo los elementos Analizadores independientes son aceptados (no
Sensores-Analizadores combinados).
5. Seleccione el Log Server for Recordings (Log Server para Grabaciones) para definir
dnde almacenar las capturas automticas de trfico lanzadas por sus reglas de IPS.
Para continuar:
Crear un Nuevo Elemento Clster de Sensores

Los sensores IPS buscan patrones dainos en el trfico y producen datos en crudo para los
analizadores. Los elementos Clster de Sensores combinan de 2 a 16 dispositivos sensores fsicos
en una nica entidad.
Para crear un nuevo elemento Clster de Sensores
NewSensor Cluster (NuevoClster de Sensores) desde el men. Se abrir el
dilogo de Propiedades de Clster de Sensores.
Ilustracin 122: Propiedades de Clster de Sensores

4. Seleccione el Analizador (Analyzer) al cual el sensor enva sus datos de eventos. Si
quiere definir un analizador de respaldo, configrelo en las propiedades del elemento
Analizador que seleccione aqu. Slo los elementos Analizadores independientes son
aceptados (no Sensores-Analizadores combinados).
dnde almacenar las capturas automticas de trfico lanzadas por sus reglas de IPS.
Para continuar:
Crear un Nuevo Elemento Sensor-Analizador Combinado

Los Sensores-Analizadores combinan la inspeccin de trfico IPS con el anlisis posterior y la
correlacin de eventos en un nico dispositivo.
Para crear un nuevo elemento Sensor-Analizador
NewCombined Sensor-Analyzer (NuevoSensor-Analizador Combinado) desde el
men. Se abrir el dilogo de Propiedades de Sensor-Analizador Combinado.
Ilustracin 123: Propiedades de Sensor-Analizador Combinado

4. Seleccione el Log Server que se usar para enviar los logs que cree este dispositivo.
5. Seleccione el Log Server para Alertas (Log Server for Alerts). ste puede ser el mismo
Log Server que seleccion en el paso anterior.
dnde almacenar las capturas automticas de trfico lanzadas por sus reglas de IPS . ste
tambin puede ser el mismo Log Server que seleccion en el paso anterior .
Para continuar:
Crear un Nuevo Elemento Pasarela SSL VPN

Los dispositivos StoneGate SSL VPN pueden ser moitorizados desde el Management Center. Para
recibir logs desde la pasarela SSL VPN, el dispositivo SSL VPN debe estar configurado poara
enviar logs como un flujo Syslog al Log Server. Para informacin sobre configurar StoneGate SSL
VPN, vea la Gua Appliance Installation Guide suministrada con el dispositivo y la Gua SSL VPN
Administrators Guide.
Nota No puede cambiar ningn parmetro de la pasarela SSL VPN en el Management

Client. La configuracin en el Management Client es slo para establecer contacto entre
el Management Center y la pasarela SSL VPN.
Para crear un nuevo elemento Pasarela SSL VPN

2. Navegue a Network ElementsSSL VPN Gateways (Elementos de RedPasarelas
SSL VPN) en el rbol de Cortafuegos.
3. Pulse botn derecho sobre SSL VPN Gateways (Pasarelas SSL VPN) y seleccione
New SSL VPN Gateway (Nueva Pasarela SSL VPN) desde el men. Se abrir el
dilogo de Propiedades de la Pasarela SSL VPN.
Ilustracin 124: Propiedades de la Pasarela SSL VPN

5. Seleccione el Log Server que se usar para enviar los logs que cree este dispositivo.
6. Seleccione la Localizacin (Location) correcta para este dispositivo si hay un elemento
NAT entre los componentes del sistema que afecte a las comunicaciones de este
dispositivo SSL VPN. Vea Configuracin de las Comunicaciones del Sistema (pag. 59)
para ms informacin.
7. Si tiene una pareja en espejo de dispositivos SSL VPN, seleccione Mirrored Pair
(Pareja en Espejo) encima de la tabla de Nodos. En este elemento, no importa cul de
los nodos es el dispositivo primario.
8. Haga doble click sobre un nodo para abrir sus propiedades.
9. Rellene el Nombre (Name), direccin IP local (IP Address), y (opcionalmente) la URL
del Portal de Aplicacin (Application Portal URL) para el nodo y pulse OK.
La URL del Portal de Aplicacin se usa cuando abre el portal a travs del men de
botn derecho del elemento Pasarela SSL VPN en el Management Client.
Aqu es donde se define tambin la informacin de Direccin de Contacto (Contact
Address) si es necesaria (Vea Configuracin de las Comunicaciones del Sistema (pag.
59) para ms informacin).
10. Si se trata de una Pareja en Espejo repita los pasos anteriores para el otro nodo.
11. Pulse OK.
Para continuar:
Contine en Conectar Pasarelas SSL VPN al SMC (pag. 396).
Duplicar un Elemento Dispositivo Existente

Si tiene configuraciones similares en varios sitios, puede crear un duplicado de un elemento dispositivo
independiente o en clster para reducir la necesidad de configuracin manual.
Para duplicar un elemento dispositivo existente
1. Pulse el botn derecho sobre el elemento dispositivo existente y elija NewDuplicate
(NuevoDuplciado) desde el men. Se abrir el dilogo de propiedades del nuevo
dispositivo.
2. Proporcione al elemento dispositivo un Nombre (Name) nico.
3. Ajuste el resto de propiedades segn sea necesario (vea Modificar Elementos Dispositivo
Existentes (pag. 323)). Para todos los elementos dispositivo excepto las Pasarelas SSL
VPN, deber cambiar al menos la direccin IP del interfaz de control (o configurar el
duplicado para que use un interfaz de control diferente). El interfaz de control debe ser
nico para cada dispositivo. Vea Empezar con la Configuracin del Interfaz (pag. 342).
4. Pulse OK. El nuevo elemento dispositivo se aade al rbol de elementos.
Modificar Elementos Dispositivo Existentes

Prerrequisitos: Crear Nuevos Elementos Dispositivo
Los elementos dispositivo existentes se muestran, dependiendo de su tipo, en la vista de Estado del
Sistema bajo ramas especficas del dispositivo. Los elementos Cortafuegos y Pasarelas SSL VPN se
muestran en la vista de Configuracin de Cortafuegos bajo las ramas Cortafuegos y Network
ElementsSSL VPN Gateways (Elementos de RedPasarelas SSL VPN). Puede modificar las
propiedades de un elemento dispositivo individual o las propiedades comunes compartidas por varios
elementos dispositivos. Tambin puede convertir un cortafuegos independiente o sensor en un clster.
Tareas Relacionadas
Modificar las Propiedades de Un Elemento Dispositivo (pag. 324).
Modificar las Propiedades de Varios Dispositivos a la Vez (pag. 324).
Convertir un Cortafuegos Independiente en un Clster de Cortafuegos (pag. 325).
Convertir un Sensor Independiente en un Clster de Sensores (pag. 329)
Aadir un Nodo a un Clster de Cortafuegos o Sensores (pag. 330).
Cambiar la Direccin IP de Control de un Dispositivo (pag. 331)
Modificar las Propiedades de Un Elemento Dispositivo

Cuando abre el dilogo de propiedades de un elemento, puede modificar cualquiera de sus
propiedades. Tambin puede cambiar las propiedades de varios elementos dispositivo
simultneamente, pero esto le restringe a las acciones y valores que son aplicables a todos ellos a
la vez (vea Modificar las Propiedades de Varios Dispositivos a la Vez (pag. 324)).
Para ver o modificar las propiedades de un elemento
1. Pulse botn derecho sobre un elemento dispositivo y seleccione Properties
(Propiedades) desde el men. Se abrir el dilogo de propiedades del elemento.
2. Proceda a una de las siguientes secciones dependiendo del tipo de elemento:
Modificar las Propiedades de Varios Dispositivos a la Vez

Puede seleccionar varios elementos dispositivo para cambiar propiedades que sean comunes
a todos los elementos. Las opciones disponibles estn limitadas como sigue:
Las propiedades especficas a un elemento dispositivo individual, tales como definiciones
de direcciones IP, nunca estn disponibles en las propiedades comunes.
Si selecciona elementos dispositivo tanto individuales como en clster, las opciones
especficas de clster no estn disponibles.
Si selecciona elementos de diferentes tipos, solamente puede cambiar las opciones Log
Server, Localizacin y Comentario.
Para modificar las propiedades comunes de varios Cotafuegos, Analizadores o Sensores
1. Seleccione (con Shift- o Ctrl- y click) los elementos dispositivo que quiere modificar.
2. Pulse el botn derecho sobre uno de los elementos seleccionados y elija Common
Properties (Propiedades Comunes) del men. Se abrir el dilogo de Propiedades
Comunes de los Dispositivos.
3. Seleccione las opciones que quiere establecer para todos los dispositivos
seleccionados. Las opciones que ve dependen de cmo de similares en tipo sean los
dispositivos seleccionados:
4. Pulse OK. Todos los dispositivos seleccionados usan ahora los mismos nuevos
parmetros para las opciones que haya cambiado.
Convertir un Cortafuegos Independiente en un Clster de

Cortafuegos
Cuando cambie de un cortafuegos independiente a un clster de cortafuegos. El procedimiento
recomendado es ejecutar una herramienta de conversin en el sistema que convierte el elemento
Cortafuegos Independiente en un elemento Clster de Cortafuegos. Esto mantiene la relacin del
elemento dispositivo con otras configuraciones en el sistema (por ejemplo, VPNs), le permite mantener
algunas de las configuraciones de interfaces (tal como VLANs definidas en los interfaces), y minimiza
las interrupciones del servicio. La conversin requiere que seleccione un elemento Cortafuegos
Independiente que convertir en un clster. No es posible agrupar dos elementos Cortafuegos
Independientes en un Clster de Cortafuegos.
Si el cortafuegos independiente se gestiona remotamente, asegrese de que hay suficientes
direcciones IP disponibles. Cada nodo de un dispositivo en clster necesita una direccin IP dedicada
para sus comunicaciones de gestin (en uno o dos enlaces de ISP dependiendo del nivel deseado de
redundancia). Adicionalmente, el trfico que los nodos inspeccionan requiere una direccin IP
dedicada por clster (para cada enlace de ISP).
Debido a diferencias en las configuraciones soportadas, hay algunas configuraciones que impiden
cambiar de un cortafuegos independiente a un clster de cortafuegos. Ests se listan en la siguiente
tabla.
Tabla 33: Configuraciones No Soportadas en Clsters de Cortafuegos
Configuracin Notas
Los clsters de cortafuegos no soportan mdems ADSL
integrados. Para convertir a un clster, debe cambiar a un mdem
Interfaces ADSL
ADSL externo al que los dispositivos cortafuegos accedan a travs
de una conexin Ethernet.
Servidor DHCP interno Los clsters de cortafuegos soportan un servidor DHCP interno
en versiones antiguas desde la versin de software 5.2. Actualice el dispositivo si es
de dispositivos necesario antes de la conversin.
Los clsters de cortafuegos solo pueden tener direcciones IP
Direcciones IP estticas en sus interfaces.
dinmicas Los clsters no pueden usar direcciones IP asignadas
dinmicamente (DHCP or PPPoE) en sus interfaces.
Los clsters de cortafuegos slo pueden tener direcciones IPv4 en
sus interfaces y slo pueden procesar trfico IPv4. Posponga la
Direcciones IPv6
conversin a clster hasta que se libere una versin del software
con soporte mejorado IPv6 para clsters si es necesario.
Los clsters de cortafuegos no soportan mdems 3G integrados.
Para convertir a un clster, debe cambiar a un mdem 3G externo
Interfaces de mdem
al que los dispositivos cortafuegos accedan a travs de una
conexin Ethernet.
Preparar la Conversin a un Clster de Cortafuegos

Cuando convierta de una instalacin de dispositivo independiente a un clster, los dispositivos
deben estar preparados para la clusterizacin segn se explica a continuacin.
Para preparar la conversin a un clster de cortafuegos
1. Si no est usando un hardware idntico, compruebe que los niveles de rendimeitno
cubren sus necesidades. Equipamiento con diferentes niveles de rendimiento puede
usarse para balancear la carga entre los dispositivos del clster. Para alta disponibilidad
cuando un dispositivo est offline, el otro dispositivo debe ser capaz de gestionar todo
el trfico en solitario.
2. Asegrese de que ambos dispositivos cortafuegos tinen su propia licencia. Todas las
actuales licencias de cortafuegos permiten clusterizar los nodos, de forma que no se
necesitan cambios de licencia para activar el clster.
Para ms informacin, vea Empezar con las Licencias (pag. 824).
3. Asegrese de que los dispositivos estn ejecutando versiones de software compatibles
con el SMC, y preferiblemente que ambos dispositivos estn ejecutando exactamente la
misma versin. Aunque el clster puede ser instalado con los dispositivos ejecutando
diferentes versiones de software (a menos que se especifique otra cosa en las Release
Notes), el uso a largo plazo con versiones diferentes no est soportado.
Para ms informacin, vea Actualizar Dispositivos Remotamente (pag. 841) o las
instrucciones de actualizacin local en la Gua de Instalacin.
4. Si el nuevo dispositivo que quiere aadir al clster ya tiene una configuracin operativa
de un uso previo, devulvalo al estado de configuracin inicial en el men de arranque
(Factory reset) o mediante el asistente sg-reconfigure en la lnea de comando. No
establezca una conexin con el Management Server antes de que el elemento Clster
de Cortafuegos est preparado.
Para ms informacin, vea Empezar con la Lnea de Comando del Dispositivo (pag.
202).
Precaucin Si el dispositivo tiene una configuracin operativa, se activar y procesar

trfico cuando lo encienda para configurarlo para el clster.
5. Conecte los cables de red al dispositivo y encindalo.
Convertir un Elemento de Cortafuegos Independiente a un Clster de

Cortafuegos
Los clsters de cortafuegos tienen requisitos adicionales de direccionamiento IP comparados con
los cortafuegos independientes. Los requisitos son debidos a los dos tipos de direcciones IP que
los clsters necesitan para funcionar (NDIs necesarias para las comunicaciones propieas del nodo
y las CVIs compartidas necesarias para procesar trfico). La herramienta de conversin requiere
que convierta las direcciones IP usadas para estas caractersticas en los tipos correctos. Debe
cambiar una caracterstica para usar direcciones IP diferentes antes de iniciar la conversin si sus
tipos de interfaces elegidos entran en conflicto con alguna caracterstica que use las direcciones IP.
Los requisitos de direcciones IP y consideraciones importantes relacionadas se listan en la siguiente

tabla.
Tabla 34: Requerimientos de Tipo de Interfaz por Funcionalidad en Clsters de Cortafuegos
Caracterstica Tipo Requerido Notas

Cada nodo requiere su propia direccin NDI. A menudo, la
direccin IP del cortafuegos independiente se usa tanto
para las comunicaciones propias del dispositivo como para
Interfaz de
el trfico general que ste procesa. En tales casos, puede
Control
NDI convertir la direccin IP en una CVI para evitar reconfigurar
(Conexiones
el equipamiento externo e introducir nuevas direcciones
de Gestin)
NDI para los nodos
Si el cortafuegos se gestiona remotamente, asegrese de
que hay suficientes direcciones IP disponibles.
Relay DHCP CVI Configurado en las propiedades del Interfaz Fsico.
Relay DHCP
para clientes NDI Configurado en las propiedades de la pasarela VPN
VPN
Comunicaciones de heartbeat y sincronizacin de estado
entre dispositivos clusterizados.
Use un interfaz dedicado para el heartbeat, ya que las
Interfaz de
NDI transmisiones fiables son absolutamente crticas para la
Heartbeat
operacin del clster. Si conecta el heartbeat a travs de
un switch, asegrese de que el switch no regula o bloquea
el trfico multicast entre los dispositivos del clster.
Los dispositivos no permiten ningn trfico enviado a una
direccin NDI, pero con otro destino.
Los dispositivos de red que rodean al cortafuegos y lo usan
como pasarela por defecto deben referirse a una CVI.
Enrutamiento CVI Si el servidor DHCP interno se usa y est configurado para
asignar el propio cortafuegos como pasarela por defecto a
los clientes, la direccin IP de la pasarela por defecto debe
ser una CVI (configurada en las propiedades del Interfaz
Fsico).
VPN
CVI Configurado en las propiedades de la pasarela VPN
endpoints
Para modificar un elemento Cortafuegos Independiente para la conversin

1. Si planea convertir la actual direccin IP para las conexiones de gestin en una CVI:
1a. Aada la nueva direccin IP (a ser NDI) como un Interfaz de Control de respaldo en el
elemento Cortafuegos Independiente.
1b. Ajuste las reglas de Acceso y NAT de cualquier cortafuegos en el camino de
comunicaciones para permitir que sean usadas tanto la actual como la nueva
direcciones IP de control y refresque las polticas en esos cortafuegos.
1c. Refresque la poltica el Cortafuegos Independiente que planea convertir.
1d. Elimine la seleccin del Interfaz de Control de Respaldo (Backup Control Interface) y
confiugure la nueva direccin IP de control (a ser NDI) como la direccin del Interfaz
de Control Primario.
2. Aada cualquier nueva direccin IP que sea requerida para soportar las caractersticas
activas (vea la siguiente tabla) y configure las caractersticas para usar esas direcciones IP.
3. Si estn configurados, elimine las direcciones IP dinmicas, direcciones IPv6, interfaces

de Mdem y ADSL. Estas configuraciones no estn soportadas en los clsters.
Para ejecutar la herramienta de conversin y mapear los tipos de interfaces
1. Pulse botn derecho sobre el elemento Cortafuegos Independiente que quiere atualizar
a un clster y seleccione ConfigurationUpgrade to Cluster
(ConfiguracinActualizar a Clster). Se abrir un dilogo de mapeo de interfaces.
Ilustracin 125: Dilogo de Mapeo de Interfaces
2. Pulse la celda de la columna Upgrade to (Actualizar a) para acada interfaz y seleccione

el tipo o tipos de direcciones IP para los interfaces.
Una NDI (Node Dedicated IP Address Direccin IP Dedicada del Nodo) se usa para
las comunicaciones entre el propio dispositivo y alguna otra mquina de la red, tal como
los otros nodos del clster, el Management Server, mquinas a las que haga ping
desde la lnea de comando, etc.
Una CVI (Cluster Virtual IP Address Direccin IP Virtual del Clster) se usa para
gestionar el trfico que examina el clster. Si otros dispositivos de red apuntan a la
direccin IP del cortafuegos (como pasarela por defecto o endpoint VPN, por ejemplo),
convertir la direccin IP a una CVI permitir que esas configuraciones externas se
mantengan sin cambios.
Puede seleccionar que se cree tanto una CVI como una NDI para el mismo interfaz
fsico. Esta es la configuracin de trabajo recomendada para todos los interfaces, pero
puede no ser apropiada para todos ellos en esta fase, puesto que no puede seleccionar
qu rol asumir la actual direccin IP. Se generan automticamente direcciones IP
adicionales para crear las CVIs y NDIs.
Cada seleccin se valida y puede que no sea posible seleccionar un tipo si es
incompatible con alguna funcionalidad. Vea la tabla anterior para un resumen de
requisitos.
3. Pulse OK. Se abrir el dilogo de Propiedades del Clster para el nuevo elemento
Clster de Cortafuegos.
4. En las propiedades del elemento clster, compruebe y cambie los parmetros si es
necesario. Para ayuda en la definicin de los interfaces, vea Empezar con la
Configuracin del Interfaz (pag. 342).
4a. Cambie a la pestaa Interfaces.
4b. Aada los interfaces Fsicos y direcciones IP que se necesiten adems de aquellos
usados en el cortafuegos independiente. Compruebe que las direcciones IP en
todos los interfaces son correctas y cmbielas si es necesario.
4c. Seleccione Packet Dispatch (Despacho de Paquetes) como modo CVI e introduzca
la direccin MAC unicast relacionada en las propiedades de todos los interfaces
Fsicos que tengan definiciones CVI.
4d. Pulse Options (Opciones) y elija los interfaces correctos para los diferentes roles.
4e. Si se usa el servidor DHCP interno y est configurado para asignar el propio
cortafuegos como pasarela por defecto para los clientes, asegrese de que la
direccin IP de esta pasarela es una CVI (Propiedades del Interfaz Fsico, pestaa
DHCP).
5. Pulse OK. El elemento Cortafuegos Independiente se convierte a Clster de

Cortafuegos. Tenga en cuenta que todava puede pulsar Cancel para volver a la
configuracin previa y deshacer la conversin.
Activar la Configuracin de Clster Tras la Conversin

Para activar la configuracin de Clster de Cortafuegos
1. Si algn dispositivo externo usa el cortafuegos como pasarela por defecto o endpoint
VPN y la direccin IP previamente usada se ha convertido a una NDI, cambie las
configuraciones del equipamiento externo para referirse a una CVI en su lugar.
2. Ejecute el comando sg-reconfigure en el nuevo dispositivo, asegrese de que los IDs de
interfaz estn correctamente mapeados a puertos de red de acuerdo con el cableado
del dispositivo, y conecte el nuevo nodo de dispositivo al Management Center con una
contrasea de un solo uso creada para ese nodo del clster.
Para ms informacin, vea Guardar una Configuracin Inicial para Dispositivos
Cortafuegos o IPS (pag. 393). Cualquier nuevo nodo de dispositivo es instalado y
configurado como parte del clster como en una instalacin completamente nueva.
3. Instale la poltica en el clster.
Si quiere refrescar la poltica del nodo existente antes de que los nuevos nodos sean
inicializados, debe marcar los nodos inactivos en las propiedades del elemento clster
como desactivados (en la pestaa Cluster). De otro modo, la instalacin de la poltica
fallar porque no todos los nodos han podido ser contactados.
Si surgen problemas, puede poner un nodo offline mediante el men del botn derecho o mediante
la lnea de comando para volver a la operacin con un nico nodo.
Convertir un Sensor Independiente en un Clster de Sensores

Cuando cambia a una configuracin de clster, el procedimiento recomendado es ejecutar la
herramienta de conversin de forma que la conexin entre el elemento Sensor y otras
configuraciones se preserve. La conversin requiere que seleccione un elemento Sensor
Independiente que convertir a Cluster. No es posible combinar dos Sensores Independientes en
uno.
Para ms informacin sobre cmo los sensores en cluster encajan en la arquitectura de red, vea la
Gua IPS Reference Guide.
Precaucin Si cambia la direccin Ip de control del nodo existente en este proceso, al

conexin entre ste y el SMC se perder. Vea Cambiar la Direccin IP de Control de un
Dispositivo (pag. 331) para cambiar la direccin IP de control sin perder el contacto.
Para convertir un Sensor Independiente en un Clster de Sensores

1. Asegrese de que ambos dispositivos estn licenciados. El licenciamiento de los nodos
de dispositivos de clster se hace del mismo modo que el de dos Sensores
Independientes. Todas las actuales licencias de dispositivo sensor permiten clusterizar
los nodos, de forma que no se necesitan cambios en la licencia para activar la
funcionalidad.
Para ms informacin, vea Empezar con las Licencias (pag. 824).
2. Asegrese de que los dispositivos estn ejecutando versiones de software compatibles
con el SMC, y preferiblemente que ambos dispositivos estn ejecutando exactamente la
misma versin. Aunque el clster puede ser instalado con dispositivos ejecutando
versiones diferentes del software (a menos que se indique lo contrario en las Release
Notes), el uso a largo plazo con versiones diferentes no est soportado.
Para ms informacin, vea Actualizar Dispositivos Remotamente (pag. 841) o las
instrucciones de actualizacin local en la Gua de Instalacin.
3. Si el nuevo dispositivo que quiere aadir al clster ya dispone de una configuracin

operativa de un uso previo, devulvalo al estado de configuracin inicial en el men de
arranque (factory reset) o mediante el asistente sg-reconfigure en la lnea de
comando. No establezca una conexin con el Management Server antes de que el
elemento Clster de Sensores est preparado.
Para ms informacin, vea Empezar con la Lnea de Comando del Dispositivo (pag.
202).
4. Conecte los cables de red al nuevo nodo y encindalo.
5. Pulse botn derecho sobre el elemento Sensor Independiente que quiere actualizar a
clster y elija ConfigurationUpgrade to Cluster (ConfiguracinActualizar a
Clster). Se abrir el dilogo de propiedades del Clster de Sensores.
6. En las propiedades del elemento Clster de Sensores, cambie a la pestaa Interfaces.
7. Pulse Options (Opciones) y elija los interfaces correctos para los diferentes roles.
Para ms ayuda en la definicin de interfaces, vea Empezar con la Configuracin del
Interfaz (pag. 342).
8. Pulse OK. El Sensor Independiente se convierte a un elemento Clster de Sensores.
Tenga en cuenta que todava puede pulsar Cancel para volver a la configuracin previa
y deshacer la conversin.
9. Conecte el nuevo nodo de dispositivo al Management Center con una contrasea de un
solo uso creada para ese nodo del clster.
Para ms informacin, vea Guardar una Configuracin Inicial para Dispositivos
Cortafuegos o IPS (pag. 393). Cualquier nuevo nodo de dispositivo es instalado y
configurado como parte del clster como en una instalacin completamente nueva.
10. Instale la poltica en el clster.
Si quiere refrescar la poltica del nodo existente antes de que los nuevos nodos sean
inicializados, debe marcar los nodos inactivos en las propiedades del elemento clster
como desactivados (en la pestaa Cluster). De otro modo, la instalacin de la poltica
fallar porque no todos los nodos han podido ser contactados.
Aadir un Nodo a un Clster de Cortafuegos o Sensores

Los nodos representan los dispositivos fsicos de cortafuegos o sensores. Por defecto, el dilogo
de Propiedades del Clster muestar dos nodos en la pestaa Cluster. Puede aadir nuevos nodos
al clster segn se describe a continuacin. StoneGate soporta hasta 16 nodos en un clster.
Antes de aadir un nodo a la configuracin, instale el dispositivo fsico adicional y conecte los
cables para al menos el interfaz de control y el de comunicaciones entre los dispositivos del clster.
Si el dispositivo ya tiene una configuracin operativa de un uso previo, devulvalo al estado de
configuracin inicial con el asistente sg-reconfigure en la lnea de comando antes de conectarlo
a la red en su nueva posicin. No es necesario establecer una conexin con el Management Server
en este punto, puesto que tendra que ser rehecha tras completar la configuracin.
Para aadir un nodo a un clster
1. Pulse botn derecho sobre el clster y elija Properties (Propiedades) desde el men.
Se abrir el dilogo de Propiedades del Clster.
2. Pulse el botn Add Node (Aadir Nodo) en la esquina inferior izquiera del dilogo. Se
abrir el dilogo de Propiedades de Nodo de Dispositivo.
3. Proporcione un Nombre (Name) nico al nodo.
4. En la tabla de abajo, compruebe y modifique la informacin en las columnas IP Address
(Direccin IP), Contact IP Address (Direccin IP de Contacto), y Comment
(Comentario) para cada NDI (haga doble click sobre el valor que quiera cambiar). Los
detalles del CVI del cortafuegos son idnticos entre nodos, de forma que esta operacin
no requiere cambiar la configuracin de CVI de ningn modo.
5. Pulse OK en ambos dilogos abiertos.

6. Guarde la configuracin inicial para el nuevo nodo de dispositivo para crear una contrasea
de un solo uso (vea Guardar una Configuracin Inicial para Dispositivos Cortafuegos o IPS
(pag. 393)).
7. Conecte el nuevo dispositivo al Management Server usando la nueva contrasea de un
solo uso (vea la Gua de Instalacin del Cortafuegos/VPN o la Gua de Instalacin del IPS).
Los cambios de configuracin se transfieren a los dispositivos la prxima vez que instale o refresque la
poltica. Si quiere refrescar la poltica de los nodos existentes antes de que los nuevos nodos sean
inicializados, debe deshabilitar los nodos inactivos en las propiedades del elemento clster (en la
pestaa Cluster).
Cambiar la Direccin IP de Control de un Dispositivo

Las siguientes instrucciones explican cmo puede cambiar la direccin IP de control de in dispositivo
sin perder la conectividad de gestin. Los cortafuegos SOHO no tiene una direccin IP de control.
Cuando cambia el direccionamiento IP, otras conexiones entre los diferentes componentes pueden
perderse temporalmente. Debe asegurarse de que las conexiones vuelven a la situacin normal tras el
cambio de direccin IP.
Proceda a uno de los siguientes:
Cambiar la Direccin de Control de un Dispositivo (pag. 331)
Cambiar la Direccin de Control de un Cortafuegos a una Red Diferente (pag. 332)
Cambiar la Direccin de Control de un Dispositivo

Esta seccin explica cmo puede cambiar la direccin IP de control de un dispositivo si la nueva
direccin IP de control pertenece a la misma red que la antigua. Si la nueva direccin IP de control de
un dispositivo cortafuegos pertenece a una red diferente que la direccin IP de control antigua, vea
Cambiar la Direccin de Control de un Cortafuegos a una Red Diferente (pag. 332).
Si no le importa perder la conectividad de gestin, puede alternativamente simplemente cambiar la
direccin IP de control en el SMC y despus reinicializar el dispositivo desde la lnea de comando
usando una nueva contrasea de un solo uso (vea Conectar Dispositivos al Stonegate Management
Center (pag. 391)).
Si su dispositivo no puede usar tanto la direccin IP de control antigua como la nueva simultneamente,
salte el Paso 5.
Para cambiar la direccin IP de control a una direccin IP de la misma red
1. Si tiene una licencia asociada a la direccin IP para el dispositivo, solicite una nueva
licencia en el centro de Licencias de Stonesoft e importe y asocie la nueva licencia al
dispositivo.
Debe cambiar a una licencia asociada al cdigo POL del Management Server, puesto que
las licencias asociadas a direcciones IP no estn ya soportadas. Vea Empezar con las
Licencias (pag. 824).
2. En las propiedades del dispositivo, cree un nuevo interfaz para la nueva direccin IP y
establezca la direccin como direccin IP de control de respaldo (backup control IP
address) (vea Empezar con la Configuracin del Interfaz (pag. 342)).
3. Instale la poltica en el dispositivo.
De aqu en adelante, puede empezar a usar la nueva direccin en la red.
4. En las propiedades del dispositivo, establezca la antigua direccin IP de control como
direccin IP de contro, de resplado y la nueva como direccin IP de control primaria.
5. Refresque la poltica.
6. Elimine la antigua direccin IP de control de las propiedades del dispositivo y la red

correspondiente de la vista de Enrutamiento (vea Empezar con el Enrutamiento (pag.
440)).
Nota Si la conexin con el Management Server se pierde cuando est intentando

cambiar el direccionamiento IP, ejecute el comando sg-reconfigure desde la lnea de
comando del dispositivo para devolverlo al estado de configuracin inicial y restablecer
el contacto inicial entre el dispositivo y el Management Server. Vea Conectar
Dispositivos al Stonegate Management Center (pag. 391).
Cambiar la Direccin de Control de un Cortafuegos a una Red Diferente

Esta seccin le explica cmo puede cambiar la direccin IP de control de un dispositivo
cortafuegos cuando la nueva direccin IP est en una red diferente de la antigua. Si la nueva
direccin IP de control pertenece a la misma red que la antigua, vea Cambiar la Direccin IP de
Control de un Dispositivo (pag. 331).
Si no le importa perder la conectividad de gestin, puede alternativamente simplemente cambiar la
direccin IP de control en el SMC y despus reinicializar el dispositivo desde la lnea de comando
usando una nueva contrasea de un solo uso (vea Conectar Dispositivos al Stonegate
Management Center (pag. 391)).
Si su dispositivo no puede usar tanto la direccin IP de control antigua como la nueva
simultneamente, salte el Paso 6.
Para cambiar la direccin IP de control de un dispositivo cortafuegos a una direccin de

una red diferente
1. Si tiene una licencia asociada a la direccin IP para el dispositivo, solicite una nueva
licencia en el centro de Licencias de Stonesoft e importe y asocie la nueva licencia al
dispositivo.
Debe cambiar a una licencia asociada al cdigo POL del Management Server, puesto
que las licencias asociadas a direcciones IP no estn ya soportadas. Vea Empezar con
las Licencias (pag. 824).
2. Edite las propiedades del cortafuegos y aada un nuevo interfaz (vea Modificar
Elementos Dispositivo Existentes (pag. 323)).
Defina la nueva direccin de control primaria como direccin IP de control de respaldo.
Si su cortafuegos es un clster y no quiere perder ninguna conexin, defina tambin
una nueva CVI para el clster (vea Configurar Direcciones IP para un Clster de
Cortafuegos (pag. 356)).
3. Cree dos NetLinks (uno para la antigua direccin IP de control y otro para la nueva) y
un Multi-Link de salida (vea Gestin del Trfico de Salida (pag. 459)).
4. Instale la poltica en el cortafuegos.
De aqu en adelante, puede empezar a usar la nueva direccin en la red.
5. Edite las propiedades del cortafuegos y establezca la nueva direccin IP de control
como direccin de control primaria y la antigua como direccin de control de respaldo.
7. Elimine el interfaz con la antigua direccin IP de control de las propiedades del
cortafuegos.
8. Elimine la configuracin Multi-Link que cre en el Paso 3.
Nota Si la conexin con el Management Server se pierde cuando est intentando

combiar el direccionamiento IP, ejecute el comando sg-reconfigure desde la lnea de
comando del dispositivo para devolverlo al estado de configuracin inicial y restablecer el
contacto inicial entre el dispositivo y el Management Server. Vea Conectar Dispositivos
al Stonegate Management Center (pag. 391).
Editar las Propiedades de un Cortafuegos Independiente

Si est creando un nuevo Cortafuegos Independiente, proceda sen se explica en Crear un Nuevo
Elemento Cortafuegos Independiente (pag. 313).
Tabla 35: Tareas a Hacer en el Dilogo de Propiedades de Cortafuegos Independiente
Pestaa Tareas
Para definir las propiedades bsicas, vea Crear un Nuevo Elemento Cortafuegos
Independiente (pag. 313).
Para definir Localizaciones y Direcciones de Contacto, vea Definir la Localizacin
de un Dispositivo (pag. 62).
Single Node
Para elegir un agente SNMP, vea Activar el Agente SNMP en los Dispositivos
(Nodo nico)
(page 435).
Para seleccionar Categoras, vea Uso de Categoras (pag. 72).
Para definir un Perfil de Herramientas, vea Aadir Comandos Personalizados a
los Mens de Elementos (page 53).
Para aadir o modificar interfaces, vea Configuracin del Interfaz de Cortafuegos

(pag. 343).
Para definir opciones de los interfaces, vea Establecer Opciones de Interfaz del
Cortafuegos (pag. 361).
Interfaces
Para aadir o modificar entradas ARP, vea Configurar Parmetros ARP Manuales
(pag. 387).
Para configurar el enrutamiento multicast, vea Enrutar el Trfico Multicast (pag.
447).
Tester
Vea Empezar con el Comprobador de Dispositivos (pag. 398).
(Comprobador)
Vea Empezar con los Permisos en los Dispositivos (pag. 408).
Permissions
Para ms informacin sobre los niveles de privilegio del Administrador, vea
(Permisos)
Empezar con las Cuentas de Administrador (pag. 214).
Alias Vea Empezar con las Traducciones de Alias (pag. 412).

HTTPS Inspection
(Inspeccin Vea Activar la Inspeccin HTTPS en el Dispositivo (pag. 665).
HTTPS)
Advanced Vea Ajustar los Parmetros del Sistema del Cortafuegos (pag. 416), y Ajustar los
(Avanzado) Parmetros de Gestin de Trfico del Cortafuegos (pag. 418).
Editar las Propiedades de un Clster de Cortafuegos

Si est creando un nuevo Clster de Cortafuegos, proceda segn se explica en Crear un

Nuevo Elemento Clster de Cortafuegos (pag. 314).
Tabla 36: Tareas a Hacer en el Dilogo de Propiedades de Clster de Cortafuegos
Pestaa Tareas
Para definir las propiedades bsicas, vea Crear un Nuevo Elemento Clster de
Para seleccionar un agente SNMP, vea Activar el Agente SNMP en los
Cluster Dispositivos (pag. 435).
los Mens de Elementos (pag. 53).
Para aadir un nodo al clster, vea Aadir un Nodo a un Clster de Cortafuegos o
Sensores (pag. 330).
Para aadir o modificar interfaces, vea Configuracin del Interfaz de Cortafuegos
(pag. 343).
Para definir opciones de interfaz, vea Establecer Opciones de Interfaz del
Interfaces
(pag. 387).
Para configurar el enrutamiento multicast, vea Enrutar el Trfico Multicast (pag.
447).
Tester
(Comprobador)
Permissions
(Permisos)
HTTPS Inspection
HTTPS)
Advanced Vea Ajustar los Parmetros del Sistema del Cortafuegos (pag. 416), y Ajustar los
(Avanzado) Parmetros de Gestin de Trfico del Cortafuegos (pag. 418).
Editar las Propiedades de un Cortafuegos SOHO

Si est creando un nuevo cortafuegos SOHO, proceda segn se explica en Crear Un Nuevo
Elemento Cortafuegos SOHO (pag. 315) o Crear Mltiples Nuevos Elementos Cortafuegos SOHO
(pag. 316).
Tabla 37: Tareas a Hacer en el Dilogo de Propiedades de Cortafegos SOHO
Pestaa Tareas
Para definir las propiedades bsicas, vea Crear Un Nuevo Elemento Cortafuegos
SOHO (pag. 315).
Para informacin sobre definir localizaciones, vea Configuracin de las
General Comunicaciones del Sistema (pag. 59).
Para definir las propiedades del interfaz Externo, vea Definir Interfaces Externos
External (Externo)
para Cortafuegos SOHO (pag. 366).
Corporate Para definir las propiedades del interfaz Corporativo, vea Definir Interfaces
(Corporativo) Corporate para Cortafuegos SOHO (pag. 370).
Para definir las propiedades de los interfaces opcionales de Invitados, vea Definir
Guest (Invitados)
Interfaces Guest para Cortafuegos SOHO (pag. 372).
Wireless Channel Vea Definir Opciones de Canal Inalmbrico para Cortafuegos SOHO (pag. 375).
(Canal Para opciones inalmbricas adicionales, vea tambin Definir Opciones de
Inalmbrico) Seguridad Inalmbrica para Cortafuegos SOHO (pag. 374).
Permissions Vea Ajustar los Parmetros del Sistema del Cortafuegos (pag. 416), y Ajustar los
(Permisos) Parmetros de Gestin de Trfico del Cortafuegos (pag. 418).
Tareas Relacionadas
Ajustar la Conexin de Gestin del Cortafuegos SOHO (pag. 430)
Editar las Propiedades de un Analizador

Si est creando un nuevo analizador, proceda segn se explica en Crear un Nuevo Elemento
Analizador (pag. 318).
Tabla 38: Tareas a Hacer en el Dilogo de Propiedades del Analizador
Pestaa Tareas
Para definir las propiedades bsicas, vea Crear un Nuevo Elemento Analizador
(pag. 318).
Single Node de un Dispositivo (pag. 62).
(Nodo Para seleccionar un Agente SNMP, vea Activar el Agente SNMP en los
Independiente) Dispositivos (pag. 435).
Para aadir o modificar interfaces, vea Configuracin del Interfaz de Sensores y
Analizadores (pag. 377).
Para definir opciones de interfaz, vea Establecer Opciones de Interfaz para
Interfaces
Dispositivos IPS (pag. 385).
(pag. 387).
Tester
(Comprobador)
Permissions
(Permisos)
Para definir a qu Cortafuegos enva el Analizador las peticiones de Listas
Blacklisting (Listas
Negras, vea Definir Interfaces de Destino para la Lista Negra Automtica (pag.
negras)
681).
Advanced
Vea Ajustar las Opciones Avanzadas del Analizador (pag. 427).
(Avanzado)
Editar las Propiedades de un Sensor Independiente

Si est creando un nuevo Sensor Independiente, proceda segn se explica en Crear un Nuevo
Elemento Sensor Independiente (pag. 319).
Tabla 39: Tareas a Hacer en el Dilogo de Propiedades de Sensor Independiente
Pestaa Tareas
Para definir las propiedades bsicas, vea Crear un Nuevo Elemento Sensor
Independiente (pag. 319).
(Nodo Para seleccionar un Agente SNMP, vea Activar el Agente SNMP en los
Indpendiente) Dispositivos (pag. 435).
Interfaces
(pag. 387).
Tester
(Comprobador)
Permissions
(Permisos)
HTTPS Inspection
HTTPS)
Advanced
Vea Ajustar las Opciones Avanzadas del Sensor (pag. 428).
(Avanzado)
Editar las Propiedades de un Clster de Sensores

Si est creando un nuevo Cluster de Sensores, proceda segn se explica en Crear un Nuevo
Elemento Clster de Sensores (pag. 320).
Tabla 40: Tareas a Hacer en el Dilogo de Propiedades del Clster de Sensores
Pestaa Tareas
Para definir las propiedades bsicas, vea Crear un Nuevo Elemento Clster de
Para seleccionar un agente SNMP, vea Activar el Agente SNMP en los
Cluster Dispositivos (pag. 435).
Para aadir un nodo al clster, vea Aadir un Nodo a un Clster de Cortafuegos o
Interfaces
(pag. 387).
Tester
(Comprobador)
Permissions
(Permisos)
HTTPS Inspection
HTTPS)
Advanced
Vea Ajustar las Opciones Avanzadas del Sensor (pag. 428).
(Avanzado)
Editar las Propiedades de un Sensor-Analizador Combinado

Si est creando un nuevo Sensor-Analizador Combinado, proceda segn se explica en Crear un

Nuevo Elemento Sensor-Analizador Combinado (pag. 321)
Tabla 41: Tareas a Hacer en el Dilogo de Propiedades de un Sensor-Analizador Combinado
Pestaa Tareas
Para definir las propiedades bsicas, vea Crear un Nuevo Elemento Sensor-
Analizador Combinado (pag. 321).
(Nodo Para seleccionar un agente SNMP, vea Activar el Agente SNMP en los
Independiente) Dispositivos (pag. 435).
Interfaces
(pag. 387).
Tester
(Comprobador)
Permissions
(Permisos)
HTTPS Inspection
(Inspecin Vea Activar la Inspeccin HTTPS en el Dispositivo (pag. 665).
HTTPS)
Para definir a qu Cortafuegos enva el Analizador las peticiones de Listas
Blacklisting (Listas
Negras, vea Definir Interfaces de Destino para la Lista Negra Automtica (pag.
Negras)
681).
Advanced
Vea Ajustar las Opciones Avanzadas del Sensor-Analizador (pag. 427).
(Avanzado)
Acerca de la Sincronizacin Horaria de los Dispositivos

Solamente los cortafuegos SOHO contactan servidores NTP (Network Time Protocol)
directamente. Por lo dems, los tiempos de los dispositivos se sincronizan automticamente para
coincidir con el tiempo del Management Server. Si quiere usar un servidor NTP para sincronizar
los tiempos de los dispositivos, debe configurar el ordenador donde est instalado el Management
Server para sincronizarse con el servidor NTP. Si el Log Server se ejecuta en un ordenador
diferente, configrelo para usar el mismo servidor NTP.
Si el Management Server, Log Server, y los dispositivos no tienen el mismo tiempo, puede haber
problemas con el registro de logs y la monitorizacin. Adems, asegrese de que el ordenador
que use para el acceso con el Management Client tiene la hora y zona horaria configuradas
correctamente para evitar problemas con la sincronizacin horaria cuando visualiza estadsticas o
logs, genera informes o programa tareas de mantenimiento automticas.
CAPTULO 27
CONFIGURACIN DEL INTERFAZ DE RED
La configuracin del interfaz de red para todos los dispositivos se almacena en el

Management Server en las propiedades de los elementos Cortafuegos Independiente,
Clster de Cortafuegos, Cortafuegos SOHO, Sensor, Clster de Sensores, Analizador y
Sensor-Analizador.
Empezar con la Configuracin del Interfaz (pag. 342)

Configuracin del Interfaz de Cortafuegos (pag. 343)
Configuracin del Interfaz de Cortafuegos SOHO (pag. 364)
Configuracin del Interfaz de Sensores y Analizadores (pag. 377)
Configurar Parmetros ARP Manuales (pag. 387)
Activar el Servidor DHCP Interno en un Interfaz de Cortafuegos (pag. 388)
Empezar con la Configuracin del Interfaz

Prerrequisitos: Crear Nuevos Elementos Dispositivo / Modificar Elementos Dispositivo Existentes
La configuracin del Interfaz se hace usando el Management Client.

Qu incluye la Configuracin del interfaz
La configuracin del interfaz almacenada en el Management Server contiene todos los parmetros
relacionados con todos los tipos de interfaces de red soportados excepto la seleccin del driver de
tarjeta de red, el mapeo de los nmeros de puertos del sistema operativo a los nmeros usados en
el Management Client, y la configuracin de velocidad/dplex de la tarjeta de red.
La configuracin transferida desde el Management Server sobreescribe las opciones que pueden
ser definidas mediante la lnea de comando del dispositivo (los detalles para el contacto inicial con
el Management Server para establecer un canal de comunicaciones de confianza).
Limitaciones
Los clsters no pueden tener direcciones IP dinmicas.
Las direcciones IPv6 se soportan slo en cortafuegos independientes. Slo se soportan
direcciones IPv4 en las siguientes configuraciones de interfaz:
Como interfaces de comunicacin del sistema.
En Entradas ARP Manuales.
Para Relay DHCP.
Para VRRP.
Como direcciones IP dinmicas en interfaces de cortafuegos.
Un interfaz ADSL slo se soporta en dispositivos cortafuegos independientes que se
ejecutan en dispositivos especficos preinstalados StoneGate que disponen de una tarjeta
de interfaz de red ADSL.
Los cortafuegos SOHO, interfaces de Mdem e interfaces ADSL no soportan VLAN
tagging.

La configuracin de interfaz de componentes dispositivo se produce como sigue:
1. Aada los interfaces de red que quiera usar en el dispositivo.
2. Defina las VLANs.
3. Defina los parmetros de las direcciones IP.
4. Configure parmetros adicionales relacionados dependiendo de las funcionalidades que quiera
usar.
Para continuar:
Configuracin del Interfaz de Cortafuegos (pag. 343)
Configuracin del Interfaz de Cortafuegos SOHO (pag. 364).
Configuracin del Interfaz de Sensores y Analizadores (pag. 377).
Tareas Relacionadas
Activar el Servidor DHCP Interno en un Interfaz de Cortafuegos (page 388)
Configuracin del Interfaz de Cortafuegos

La configuracin de Interfaz para Cortafuegos/VPN StoneGate consiste en los siguientes pasos

principales:
1. Aada el nmero requerido de conexiones de red:
Defina enlaces Ethernet segn se explica en Definir Interfaces Fsicos para Dispositivos
(Slo Cortafuegos Independientes) Defina los mdems ADSL integrados segn se explica
en Aadir Interfaces ADSL para Cortafuegos Independientes (pag. 348).
(Slo Cortafuegos Independientes) Defina los mdems 3G integrados segn se detalla en
Definir Interfaces de Mdem para Cortafuegos Independientes (pag. 358).
2. (Slo Interfaces Fsicos) Aada el nmero requerido de VLANs segn se explica en Aadir
Interfaces VLAN a Dispositivos Cortafuegos (pag. 346).
3. (No aplicable a Interfaces de Mdem) Configure los parmetros de direcciones IP segn se
explica en Configurar Direcciones IP de Cortafuegos Independientes (pag. 351) o Configurar
Direcciones IP para un Clster de Cortafuegos (pag. 356).
4. Seleccione los interfaces que se usarn para las comunicaciones del sistema segn se explica
en Establecer Opciones de Interfaz del Cortafuegos (pag. 361).
Tareas Relacionadas
Configuracin del Interfaz de Cortafuegos SOHO (pag. 364)
Enrutar el Trfico Multicast (pag. 447)
Definir Interfaces Fsicos para Dispositivos Cortafuegos

El elemento Interfaz Fsico activa un puerto de red en el cortafuegos. Por defecto, la numeracin
de los Interfaces Fsicos en el Management Client corresponde a la numeracin de interfaces del
sistema operativo en el dispositivo (es decir, el ID de Interfaz 0 se mapea a eth0, ID1 a eth1, etc.).
De cualquier modo, el mapeo no es fijo y puede cambiarlo libremente mediante la lnea de
comando del dispositivo.
Para las opciones de la pestaa DHCP, vea Activar el Servidor DHCP Interno en un Interfaz de
Cortafuegos (pag. 388) o (para Relay DHCP) Enrutar Mensajes DHCP (pag. 445).
Para las opciones en la pestaa Advanced (Avanzado), vea Configurar las Propiedades
Avanzadas de Interfaz para Cortafuegos (pag. 349).
Para definir un Interfaz Fsico
1. En el dilogo de propiedades del cortafuegos, cambie a la pestaa Interfaces.
2. Pulse botn derecho en el espacio vaco y seleccione NewPhysical Interface
(NuevoInterfaz Fsico) o New Physical Interface (Nuevo Interfaz Fsico). Se abrir el
dilogo de Propiedades del interfaz Fsico.
Ilustracin 126: Propiedades del Interfaz Fsico (Clster de Cortafuegos)
3. Defina las propiedades del interfaz Fsico segn se explica en la siguiente tabla.
Opciones Explicacin
El ID de Interfaz automticamente se mapea a un interfaz
fsico del mismo nmero durante la configuracin inicial del
Interface ID (ID de Interfaz)
dispositivo, pero el mapeo puede cambiarse si es necesario
mediante la lnea de comando del dispositivo.
Opciones Explicacin
Normal Interface Corresponde a un nico interfaz normal en el dispositivo
(Interfaz Normal) cortafuegos.
Representa dos interfaces en el dispositivo cortafuegos. Slo
Aggregated Link in
el primer interfaz en el enlace agreagdo se usa activamente.
High-Availability
El segundo interfaz se activa nicamente si el primer interfaz
Mode (Enlace
falla. Si configura un Enlace Agregado en modo Alta-
agregado en Modo
Disponibilidad, conecte el primer interfaz a un switch y el
Alta-Disponibilidad)
segundo a otro switch.
Representa dos interfaces en el dispositivo cortafuegos.
Type (Tipo) Ambos interfaces en el enlace agregado son usados
acivamente y las conexiones se balancean automticamente
Aggregated Link in
entre los dos interfaces.
Load-Balancing
La agregacin de enlaces en el modo de balanceo de carga
Mode (Enlace
se implementa en base al estndar IEEE 802.3ad de
agregado en Modo
Agregacin de Enlaces. Si configura un Enlace Agregado en
Balanceo de
Modo de Balanceo de Carga, conecte ambos interfaces a un
Carga)
nico switch. Asegrese de que el switch soporta el protocolo
Link Aggregation Control Protocol (LACP) y que LACP est
configurado en el switch.
Second Interface ID
(Only if interface type is Aggregated
Link) El segundo interfaz es el Enlace Agregado
(Segundo ID de Interfaz Slo si el
tipo de interfaz es Enlace Agregado)
CVI Mode A menos que tenga una razn especfica para sar otra
(Optional, opcin, use la opcin por defecto de Despacho de Paquetes
Firewall Clusters only) (Packet Dispatch), El modo de Despacho de Paquetes es la
(Modo CVI Opcional slo para mejor opcin en la mayora de los entornos. Vea la Gua
clsters) Firewall/VPN Reference Guide para ms informacin.
La direccin MAC para la Direccin IP Virtual del Clster). No
use la direccin MAC de ninguna tarjeta de red actual de
ninguno de los nodos.
Modos de Despacho de Paquetes y Unicast MAC: Introduzca
MAC Address una direccin MAC unicast (nmero par como primer octeto).
(Firewall Clusters only) address (even number as the first octet).
(Direccin MAC Slo Clsters de Modo Multicast MAC: introduzca una direccin MAC multicast
Cortafuegos) (nmero impar como primer octeto).
MAC Multicast con IGMP: introduzca una Direccin Multicast,
es decir, una direccin IP del rango 224.0.0.0-
239.255.255.255. La direccin se usa para calcular
automticamente una direccin MAC.
QoS Policy
La Poltica de Calidad de Servicio (QoS Quality of Service)
(Optional)
para el enlace en el interfaz. Para ms informacin, vea
(Poltica de Calidad de Servicio
Empezar con QoS (pag. 616).
Opcional)
Opciones Explicacin
El throughput para el enlace en este interfaz.
El throughput es para la velocidad del uplink (trfico saliente)
y tpicamente debe corresponder a la velocidad de un enlace
Internet (tal como una lnea ADSL), o las velocidades
combinadas de varios de esos enlaces cuando estn
conectados a un nico interfaz fsico.
Throughput
El throughput en kilobits por segundo (por ejemplo, escriba
(Optional,
300). Tambin puede usar las abreviaturas M o G para
only if QoS Policy is selected)
introducir el valor en megabits o gigabits respectivamente (por
(Trhoughput Opcional, slo si la
ejemplo, escriba 3M para tres megabits).
Poltica de QoS est seleccionada)
Precaucin! Asegrese de que establece correctamente la
velocidad del interfaz. Cuando se configura el ancho de
banda, el cortafuegos siempre escala la cantidad de trfico en
este interfaz al ancho de banda que haya definido. Esto
sucede incluso si no hay lmites o garantas de ancho de
banda definidas para ningn trfico.
El tamao de la MTU (maximum transmission unit unidad
mxima de transmisin) en el enlace conectado. Escriba un
valor entre 400-65535 o seleccione un valor comn de MTU
MTU de la lista.
(Opcional) El valor por defecto (tambin el mximo MTU estndar en
Ethernet) es 1500. No establezca un valor mayor que el MTU
estndar a menos que sepa que todos los dispositivos en el
camino de comunicaciones lo soportan.
4. Pulse OK. El Interfaz Fsico se aade a la lista de interfaces.

5. Repita desde el Paso 2 para aadir ms Interfaces Fsicos.
Para continuar:
Aadir Interfaces VLAN a Dispositivos Cortafuegos (pag. 346).
Configurar Direcciones IP de Cortafuegos Independientes (pag. 351).
Configurar Direcciones IP para un Clster de Cortafuegos (pag. 356).
Tareas Relacionadas
Activar el Servidor DHCP Interno en un Interfaz de Cortafuegos (pag. 388)
Para relay DHCP, vea Enrutar Mensajes DHCP (pag. 445).
Configurar las Propiedades Avanzadas de Interfaz para Cortafuegos (pag. 349)
Aadir Interfaces VLAN a Dispositivos Cortafuegos

Las VLANs dividen un nico enlace fsico de red en varios enlaces virtuales. Las VLANs
pueden ser definidas tanto para cortafuegos independientes como en clster. El nmero
mximo de VLANs para un nico Interfaz Fsico es 4094. Las VLANs deben ser definidas
tambin en la configuracin del switch/router al cual el interfaz est conectado.
Note que puede arrastrar y soltar tags de VLAN a Interfaces Fsicos diferentes si es
necesario.
Para las opciones en la pestaa DHCP, vea Activar el Servidor DHCP Interno en un Interfaz
de Cortafuegos (pag. 388) o (para relay DHCP) Enrutar Mensajes DHCP (pag. 445).
Para las opciones de la pestaa Advanced (Avanzado), vea Configurar las Propiedades
Para aadir un interfaz VLAN a un cortafuegos independiente o en clster
2. Pulse el botn derecho sobre un Interfaz Fsico y seleccione New VLAN Interface
(Nuevo Interfaz VLAN). Se abrir el Dilogo de Propiedades del Interfaz VLAN.
Ilustracin 127: Propiedades del Interfaz VLAN
3. Defina las propiedades del interfaz VLAN segn se explica en la siguiente tabla.
Opcin Explicacin
Introduzca el ID de VLAN (1-4094). Los IDs de VLAN que aada deben ser los
VLAN ID
mismos que los IDs de VLAN usados en el switch al otro lado del trunk VLAN.
QoS Policy
(Optional)
La Poltica de QoS (Calidad de Servicio) para el enlace en el interfaz. Para ms
(Poltica de Calidad
informacin, vea Empezar con QoS (pag. 616).
de Servicio
Opcional)
El throughput para el enlace en este interfaz.
El throughput es para la velocidad de uplink (trfico saliente) y tpicamente debe
corresponder a la velocidad de un enlace Internet (tal como una lnea ADSL), o
Throughput
las velocidades combinadas de varios de esos enlaces cuando estn conectados
(Optional, only if
a un nico Interfaz Fsico. Introduzca el troughput en kilobits por segundo (por
QoS Policy is
ejemplo, escriba 300). Tambin puede usar las abreviaturas M o G para introducir
selected)
el valor en megabits o gigabits respectivamente (por ejemplo, escriba 3M para
Throughput
tres megabits).
(Opcional, slo si la
Precaucin! Asegrese de que establece correctamente la velocidad del
Poltica de QoS
interfaz. Cuando se configura el ancho de banda, el cortafuegos siempre escala
est seleccionada)
la cantidad de trfico en est interfaz al ancho de banda que haya definido. Esto
sucede incluso si no hay lmites o garantas de ancho de banda definidas para
ningn trfico.
El tamao de la MTU (maximum transmission unit unidad mxima de
transmisin) en el enlace conectado. Escriba un valor entre 400-65535 o
MTU seleccione un valor comn de MTU de la lista.
(Opcional) El valor por defecto (tambin el mximo MTU estndar en Ethernet) es 1500. No
establezca un valor mayor que el MTU estndar a menos que sepa que todos los
dispositivos en el camino de comunicaciones lo soportan.
4. Pulse OK. El ID de VLAN especificado se aade al Interfaz Fsico.

5. Repita desde el Paso 2 para aadir ms VLANs en el mismo u otro Interfaz Fsico.
Cada interfaz VLAN se identifica como ID-de-Interfaz.ID-VLAN, por ejemplo 2.100 para el ID de
Interfaz 2 y el ID de VLAN 100.
Para continuar:
Configurar Direcciones IP de Cortafuegos Independientes (pag. 351).
Configurar Direcciones IP para un Clster de Cortafuegos (pag. 356).
Tareas Relacionadas
Activar el Servidor DHCP Interno en un Interfaz de Cortafuegos (pag. 388).
Para relay DHCP, vea Enrutar Mensajes DHCP (pag. 445).
Configurar las Propiedades Avanzadas de Interfaz para Cortafuegos (pag. 349).
Aadir Interfaces ADSL para Cortafuegos Independientes

Puede configurar un interfaz ADSL en un cortafuegos independiente. Los estndares de ADSL
soportados son ANSI T1.413 i2, G. Lite, y Annex A. ADSL slo se soporta en dispositivos
especficos StoneGate que dispongan de una tarjeta de interfaz de red integrada ADSL. Los
interfaces ADSL no se soportan en clsters de cortafuegos.
Para las opciones en la pestaa Advanced (Avanzado), vea Configurar las Propiedades
Para definir un interfaz ADSL
1. En el dilogo de propiedades para el cortafuegos, cambie a la pestaa Interfaces.
2. Pulse el botn derecho en el espacio vaco y seleccione New ADSL Interface (Nuevo
Interfaz ADSL). Se abrir el dilogo de Propiedades del interfaz ADSL.
Ilustracin 128: Propiedades del Interfaz ADSL
3. Defina las propiedades del Interfaz ADSL segn se explica en la siguiente tabla.
Opcin Explicacin
Seleccione el nmero del puerto ADSL en el dispositivo como ID de Interfaz. Se

Interface ID mapea automticamente al puerto ADSL en la tarjeta ADSL del dispositivo durante la
configuracin inicial del dispositivo.
Opcin Explicacin
Pulse Select (Seleccionar) para Service Provider (Proveedor de Servicio) y elija su
proveedor de servicio de la lista. El ISP que utilice para la lnea ADSL debe soportar
Ethernet sobre ATM como mtodo de encapsulacin.
Service
Si su proveedor no est listado, cree un nuevo elemento ISP mediante el icono
Provider
Nuevo en la parte superior. Aparte del nombre y pas del elemento (que son slo
(Proveedor de
para su propia referencia), debe solicitar los parmetros correctos a usar a su
Servicio)
proveedor de servicios. Si el proveedor requiere el uso de PPPoE, puede activar
PPPoE en las propiedades de la direccin IP del interfaz ADSL (vea Configurar
Opciones de PPPoE para Cortafuegos Independientes (pag. 354)).
El tamao de la MTU (maximum transmission unit unidad mxima de transmisin)
en el enlace conectado. Escriba un valor entre 400-65535 o seleccione un valor
MTU comn de MTU de la lista.
(Opcional) El valor por defecto (tambin el mximo MTU estndar en Ethernet) es 1500. No
establezca un valor mayor que el MTU estndar a menos que sepa que todos los
dispositivos en el camino de comunicaiones lo soportan.
4. Pulse OK. El Interfaz ADSL se aade a la lista de interfaces.
Para continuar:
Configurar Direcciones IP de Cortafuegos Independientes (pag. 351)
Tareas Relacionadas
Configurar las Propiedades Avanzadas de Interfaz para Cortafuegos (pag. 349).
Configurar las Propiedades Avanzadas de Interfaz para Cortafuegos

Las propiedades avanzadas le permiten configurar la Proteccin contra ataques SYN Flood y la
Compresin de Logs en los interfaces. La Compresin de Logs es til cuando la configuracin de
enrutamiento genera muchos logs de antispoofing o el nmero de logs de Discard (conexiones
Descartadas) se hace elevado (por ejemplo, como resultado de un ataque de SYN flood).
Las opciones de Proteccin de SYN Flood y Compresin de Logs en las propiedades del interfaz se
definen en la pestaa Advanced (Avanzado) en las propiedades del Cortafuegos o del Clster de
Cortafuegos. Vea Configurar la Proteccin contra SYN Flood por Defecto del Cortafuegos (pag. 425) y
Configurar las Opciones de Gestin de Logs (pag. 426).
Para configurar las propiedades avanzadas de interfaz para cortafuegos
2. Pulse botn derecho sobre un Interfaz Fsico (Interface...), una VLAN, un un Interfaz ADSL
y selecccione Edit Physical Interface (Editar Interfaz Fsico), Edit VLAN Interface (Editar
Interfaz VLAN), o Edit ADSL Interface (Editar Interfaz ADSL). Se abrir el dilogo de
propiedades para el interfaz.
3. Cambie a la pestaa Advanced (Avanzado).
Ilustracin 129: Propiedades de Interfaz Fsico/Interfaz VLAN/Interfaz ADSL - Pestaa Avanzado
4. Seleccione Override Firewalls Default Settings (Ignorar Opciones por Defecto del
Cortafuegos). Las opciones para Prteccin de SYN Flood y Compresin de Logs se
activan.
5. Defina el Modo de Proteccin de SYN Flood (SYN Flood Protection Mode) .
Opcin Explicacin
El interfaz usa las opciones de Proteccin de SYN Flood Protection definidas en la
Default (Por
pestaa Advanced en las propiedades del cortafuegos (vea Configurar la Proteccin
defecto)
contra SYN Flood por Defecto del Cortafuegos (pag. 425)).
Off
La Proteccin de SYN Flood est desactivada en el interfaz.
(Desactivado)
ste es el modo recomendado si quiere ignorar las opciones de Proteccin de SYN
Flood definidas en las propiedades del cortafuegos. El cortafuegos calcula
Automatic automticamente el nmero de Allowed SYNs per Second (Paquetes SYN
(Automtico) Permitidos ppor Segundo) y el Burst Size (Tamao de Rfaga nmero de SYNs
permitidos antes de que el cortafuegos comience a limitar el nmero de SYNs) para
el interfaz basndose en la capacidad del dispositivo y el tamao de la memoria.
Introduzca los valores deseados para Allowed SYNs per Second y
Burst Size. Se recomienda que el Burst Size sea al menos una dcima parte del
Custom
valor de Allowed SYNs per Second. Si el Burst Size es demasiado pequeo, la
(Personalizado)
Proteccin de SYN Flood no funciona. Por ejemplo, si el valor de Allowed SYNs per
Second es 10000, el de Burst Size debe ser al menos 1000.
Precaucin Los valores recomendados para las opciones de SYN Flood dependen de
su entorno de red. Si los valores personalizados no estn cuidadosamente configurados,
la capacidad del cortafuegos puede sufrir o la Proteccin de SYN Flood puede no
funcionar correctamente.
6. (Opcional) Active/Desactive Log Compression (Compresin de Logs) e introduzca los

valores deseados para las entradas de Antispoofing y (opcionalmente) para las entradas
Discard.
Opcin Explicacin
Log Rate (Entries/s) Mximo nmero de entradas por segundo. El valor por defecto de entradas
(Velocidad de Logs de antispoofing es 100 entradas/s. Por defecto, las entradas de log Discard
Entradas/Seg) no se comprimen.
Burst Size (Entries) El nmero mximo de entradas coincidentes en una nica rfaga. El valor
(Tamao de Rfaga por defecto para entradas de antispoofing es 100 entradas. Por defecto, las
Entradas) entradas de log Discard no se comprimen.
No active la Compresin de Logs si quiere que todas las entradas de antispoofing y

Discard sean registradas como entradas de log separadas (por ejemplo para informes o
estadsticas del cortafuegos).
Por defecto, cada entrada de log de Antispoofing y Discard generada se registra
separadamente y se muestra como una entrada separada en la vsta de Logs. Las
opciones de Compresin de Logs le permiten definir el nmero mximo de entradas de
log separadas registradas. Cuando el lmite definido se alcanza, se registra una nica
entrada de log de antispoofing o de Discard. Tras esto, el registro vuelve al
funcionamiento normal y todas las entradas generadas se registran y muestran de
nuevo separadamente.
7. Pulse OK.
Para continuar:
Cierre el dilogo de Propiedades del cortafuegos y refresque la poltica del
cortafuegos para transferir los cambios en la configuracin.
Configurar Direcciones IP de Cortafuegos Independientes

Los Interfaces Fsicos, Interfaces VLAN e Interfaz ADSL de un cortafuegos independiente pueden
tener una o ms direcciones IP estticas o dinmicas. Slo se soportan direcciones IPv4 como
direcciones IP dinmicas. Un Interfaz Fsico puede tener mltiples direcciones IP dinmicas slo si
aade interfaces VLAN en el Interfaz Fsico y los Interfaces VLAN tienen direcciones IP dinmicas.
En otro caso, un Interfaz Fsico slo puede tener una nica direccin IP dinmica. Un Interfaz de
Mdem siempre tiene una direccin IP dinmica asignada automticamente por un demonio PPP.
Puede necesitar definir una direccin de contacto si introduce una direccin esttica privada y se
usa NAT para trasladarla a una direccin IP externa diferente. La direccin IP externa debe ser
configurada como dirccin de contacto si otros componentes StoneGate necesitan usar la direccin
IP externa para contactar con este cortafuegos o si la direccin IP se usa como endpoint VPN. Slo
se usan direcciones IPv4 en las comunicaciones del sistema. Refirase a Definir Direcciones IP de
Contacto (pag. 62) para ms informacin.
Para continuar:
Para aadir una direccin IPv4 a un Interfaz Fsico, VLAN o ADSL, proceda a Aadir
una Direccin IPv4 para un Cortafuegos Independiente (pag. 352).
Para aadir una direccin IPv4 a un Interfaz Fsico o VLAN, proceda a Aadir una
Direccin IPv6 para un Cortafuegos Independiente (pag. 355).
Aadir una Direccin IPv4 para un Cortafuegos Independiente

Para aadir una direccin IPv4 a un cortafuegos independinte
2. Pulse botn derecho sobre un Interfaz Fsico o VLAN y seleccione NewIPv4 Address
(NuevoDireccin IPv4), o pulse botn derecho sobre un Interfaz ADSL y seleccione
New IPv4 Address (nueva Direccin IPv4). Se abrir el dilogo de Propiedades de la
Direccin IP.
Ilustracin 130: Propiedades de Direccin IPv4
3. Configure la informacin de la direccin IP:

Introduzca la Direccin IPv4 (IPv4 Address) y Mscara de Red (Netmask) para definir
una direccin IPv4 esttica.
Seleccione la opcin Dynamic (Dinmica Arriba a la derecha) y el ndice DHCP
(DHCP index) si el interfaz consigue su direccin IP de un servidor DHCP. El ndice
DHCP es un nmero arbitrario que distingue diferentes interfaces DHCP entre s.
4. Si es necesario, defina la informacin de direccin de contacto (vea Definir Direcciones
de Contacto para un Cortafuegos Independiente o una Direccin IP Virtual del Clster
(CVI) (pag. 63) para instrucciones detalladas).
Introduzca la direccin de contacto por Defecto (Default) o seleccione Dynamic (al
lado del campo Default) si el interfaz tiene una direccin de contacto dinmica. La
direccin de contacto por Defecto se usa por defecto siempre que un componente que
pertenece a otra Localizacin conecta a este interfaz.
Si componentes de otras Localizaciones no pueden usar la direccin de contacto por
Defecto, pulse Exceptions (Excepciones) para definir direcciones de contacto
especficas por Localizacin.
5. (Opcional) Configure funconalidades adicionales para este interfaz:
(Slo Direcciones IP estticas) Si quiere usar VRRP en el Interfaz Fsico o VLAN,
proceda a Configurar Opciones de VRRP para Cortafuegos Independientes (pag. 353).
(Slo Direcciones IP dinmicas) Si el interfaz requiere soporte PPPoE, proceda a
Configurar Opciones de PPPoE para Cortafuegos Independientes (pag. 354).
6. Pulse OK.
7. Repita desde el Paso 2 para aadir ms direcciones IP al mismo u otro interfaz.
Para continuar:
Para aadir direcciones IPv6 a un Interfaz Fsico o VLAN, proceda a Aadir una
Direccin IPv6 para un Cortafuegos Independiente (pag. 355).
Para definir Interfaces de Mdem, proceda a Definir Interfaces de Mdem para
Cortafuegos Independientes (pag. 358).
Si est creando un nuevo cortafuegos, o si quiere cambiar los roles que tienen los
diferentes interfaces en la configuracin, proceda a Establecer Opciones de Interfaz
del Cortafuegos (page 361).
En otro caso, cierre el dilogo de Propiedades del cortafuegos y refresque la poltica
del cortafuegos para transferir los cambios de la configuracin.
Tareas Relacionadas
Acerca de Usar una Direccin IP Dinmica en un Interfaz de Cortafuegos (pag. 362)
Configurar Parmetros ARP Manuales (pag, 387)
Configurar Opciones de VRRP para Cortafuegos Independientes

El protocolo Virtual Router Redundancy Protocol (VRRP) permite configuraciones de routers en alta
disponibilidad. El soporte VRRP slo est disponible ein Interfaces Fsicos y VLAN en cortafuegos
independientes. Se puede configurar un router virtual por Interfaz Fsico o VLAN. El router virtual
puede tener estado de respaldo o activo. El router virtual configurado para un interfaz no tiene en
cuenta el estado de posibles routers virtuales configurados en otros interfaces.
Slo se pueden usar direcciones IPv4 para VRRP.
Para configurar VRRP
1. Pulse el botn VRRP Settings (Opciones VRRP) en las propiedades de la Direccin IP.
Se abre el dilogo de Opciones VRRP.
Ilustracin 131: Opciones VRRP
2. Seleccione Enable VRRP (Activar VRRP).

3. Introduzca ID, Priority (Prioridad), y Direccin IPv4 (IPv4 Address) de acuerdo con la
configuracin del router virtual.
4. Pulse OK para cerrar el dilogo de Opciones de VRRP.
Para continuar:
Para aadir ms direcciones IP en el mismo o diferente interfaz, repita los pasos
en Aadir una Direccin IPv4 para un Cortafuegos Independiente (pag. 352) o
Aadir una Direccin IPv6 para un Cortafuegos Independiente (pag. 355).
Si est aadiendo un nuevo cortafuegos, o si quiere cambiar los roles que tienen
los diferentes interfaces en la configuracin, proceda a Establecer Opciones de
Interfaz del Cortafuegos (page 361).
En otro caso, cierre el dilogo de Propiedades del cortafuegos y refresque la
poltica del cortafuegos para transferir los cambios de la configuracin.
Configurar Opciones de PPPoE para Cortafuegos Independientes

El soporte de Point-to-Point Protocol over Ethernet (PPPoE) en StoneGate simplifica la instalacin
de un dispositivo cortafuegos cuando se usa PPPoE (normalmente una conexin ADSL con
Inetrnet). Activar el cliente PPPoE en el cortafuegos permite conectar el cortafuegos a un mdem
ADSL externo sin tener que configurar opciones de enrutamiento y NAT en el mdem ADSL (el
mdem est en modo bridge transparente). Debe activar el cliente PPPoE en el cortafuegos
tambin si tiene un dispositivo cortafuegos especfico que dispone de un puerto ADSL y el ISP de
la conexin ADSL requiere PPPoE. El cliente PPPoE se soporta slo para direcciones IPv4 en
cortafuegos independientes.
Para configurar las opciones del cliente PPPoE
1. Pulse el botn PPPoE Settings (Opciones PPPoE) en las propiedades de la direccin
IP. Se abrir el dilogo de Opciones PPPoE.
Ilustracin 132: Opciones PPPoE
2. Seleccione Enable PPPoE (Activar PPPoE).

3. Introduzca el Nombre de Usuario (User Name) y Contrasea (Password), y
opcionalmente el Nombre de Servicio (Service Name), de acuerdo con la configuracin
PPPoE local, y deseleccione Hide (Ocultar) si quiere ver la Contrasea en texto claro
en el dilogo.
4. Pulse OK para cerrar el dilogo de Opciones PPPoE.
Para continuar:
Para aadir ms direcciones IP en un interfaz diferente, repita los pasos en Aadir
una Direccin IPv4 para un Cortafuegos Independiente (pag. 352).
Si est aadiendo un nuevo cortafuegos, o si quiere cambiar los roles que tienen los
diferentes interfaces en la configuracin, proceda a Establecer Opciones de Interfaz
del Cortafuegos (page 361).
Aadir una Direccin IPv6 para un Cortafuegos Independiente

Las direcciones IPv6 slo estn soportadas en Interfaces Fsicos y VLAN.
Para aadir una direccin IPv6 para un cortafuegos independiente
2. Pulse botn derecho en un Interfaz Fsico o una VLAN y seleccione NewIPv6
Address (NuevoDireccin IPv6). Se abrir el dilogo de Propiedades del interfaz.
Ilustracin 133: Propiedades de Direccin IPv6
3. Introduzca la direccin IPv6 (IPv6 Address) y la Longitud del Prefijo (Prefix Length) (0-
128).
4. Pulse OK.
5. Repita desde el Paso 2 para aadir ms direcciones IPv6 al mismo u otro Interfaz Fsico
o VLAN.
Para continuar:
Si est aadiendo un nuevo cortafuegos, o si quiere cambiar los roles que tienen
los diferentes interfaces en la configuracin, proceda a Establecer Opciones de
En otro caso, cierre el dilogo de Propiedades del cortafuegos y refresque la
poltica del cortafuegos para transferir los cambios de la configuracin.
Tareas Relacionadas
Aadir Rutas para Componentes IPS (pag. 453)
Aadir una Direccin IPv4 para un Cortafuegos Independiente (pag. 352)
Configurar Direcciones IP para un Clster de Cortafuegos

Puede configurar varias direcciones IP en cada Interfaz Fsico de un clster de cortafuegos. Slo
se soportan direcciones IPv4 en clsters de cortafuegos.
Cuando aade una direccin IP a un Interfaz Fsico, debe seleccionar tambin el propsito de la
direccin IP. Hay dos tipos de direcciones IP en interfaces de clster de cortafuegos:
Una Cluster Virtual IP Address (CVI Direccin IP Virtual del Clster) es una direccin IP
comn a todos los nodos del clster. Se usa para manejar todo el trfico general de la red
(trfico que quiere filtrar en el cortafuegos) enrutado desde/hacia el clster.
Una Node Dedicated IP Address (NDI Direccin IP Dedicada del Nodo) es para
gestionar el trfico que se origina en o se destina al nodo del clster (por ejemplo, para las
conexiones de heartbeat entre los nodos). Cada nodo tiene una direccin IP nica que se
usa como Direccin IP Dedicada del Nodo.
Tambin puede necesitar definir una direccin de contacto si la CVI o NDI es privada y se usa
NAT para trasladar la direccin IP a una direccin IP externa diferente. La direccin IP externa
debe ser configurada como direccin de contacto si otros componentes StoneGate necesitan
usar la direccin IP externa para contactar con este cortafuegos (Direccin IP Dedicada del
Nodo) o si esta direccin IP es un endpoint VPN (Direccin IP Virtual del Clster). Refirase a
Definir Direcciones IP de Contacto (pag. 62) para ms informacin e instrucciones de
configuracin para todos los componentes.
Para continuar:
Aadir una Direccin IPv4 para un Clster de Cortafuegos (pag. 357)
Aadir una Direccin IPv4 para un Clster de Cortafuegos

Para aadir direcciones IPv4 a un clster de cortafuegos
2. Pulse botn derecho sobre un Interfaz Fsico o VLAN y elija NewIPv4 Address
(NuevoDireccin IPv4) o New IPv4 Address (Nueva Direccin IPv4). Se abrir el
dilogo de Propiedades de Direccin IP.
Ilustracin 134: Propiedades de Direccin IP de Clster
3. Seleccione los tipos de direcciones IP que quiere aadir usando las opciones Cluster
Virtual IP Address y Node Dedicated IP Address. Por defecto, ambas estn
seleccionadas.
Si el interfaz no recibe o enva trfico que examine el cortafuegos, no hay necesidad de
definir una Cluster Virtual IP Address.
Se recomienda que aada una Node Dedicated IP Address para cada (sub)red que
est localizada tras el interfaz fsico.
4. Si est aadiendo una Cluster Virtual IP Address, introduzca una Direccin IPv4 (IPv4
Address) que se use como Cluster Virtual IP Address.
5. Si est aadiendo una Node Dedicated IP Address para los nodos, establezca la
Direccin IPv4 (IPv4 Address) para cada nodo haciendo doble click sobre el campo.
6. Compruebe la Mscara de Red (Netmask) completada automticamente y ajstela si es
necesario.
7. Si es necesario, defina las direcciones de contacto para la Cluster Virtual IP Address
(vea Definir Direcciones de Contacto para un Cortafuegos Independiente o una
Direccin IP Virtual del Clster (CVI) (pag. 63) para instrucciones detalladas):
Introduzca la direccin de contacto por defecto (Default) o elija Dynamic si el interfaz
tiene una dreccin de contacto dinmica. La direccin de contacto por defecto se usa
por defecto siempre que un componente que pertenece a otra Localizacin conecte a
este interfaz.
Si componentes de otras localizaciones no pueden usar la direccin de contacto por
defecto, pulse Exceptions (Excepciones) para definir direcciones de contacto
especficas por Localizacin.
8. Si es necesario, defina la direccin IP de contacto para cada nodo en la tabla Node
Dedicated IP Address haciendo doble click en la celda de Direccin de Contacto.
Se abrir el dilogo de Excepciones (vea Definir Direcciones de Contacto para

Direcciones IP Dedicadas de un Nodo (NDI) (pag. 65) para instrucciones detalladas).
Introduzca la direccin de contacto por Defecto (Default) arriba en el dilogo. La
direccin de contacto por Defecto se usa por defecto siempre que un componente que
pertenece a otra Localizacin conecta con este interfaz.
Si componentes de alguna otra Localizacin no puede usar la direccin de contacto por
Defecto, pulse Add (Aadir) para definir direcciones de contacto especficas por
Localizacin.
9. Pulse OK.
10. Repita desde el Paso 2 para aadir ms direcciones IPv4 al mismo u otro interfaz.
Para continuar:
Si est configurando un nuevo cortafuegos, o si quiere cambiar los roles que los
diferentes interfaces tienen en la configuracin, proceda a Establecer Opciones de
Tareas Relacionadas
Configurar Direcciones IP de Cortafuegos Independientes (pag. 351)
Definir Interfaces de Mdem para Cortafuegos Independientes

Un Interfaz de Mdem define los parmetros de un mdem 3G que proporciona un enlace
inalmbrico hacia el exterior para un Cortafuegos Independiente. La numeracin de un Interfaz de
Mdem en el Management Client (el nmero del mdem) se mapea al nmero IMEI (International
Mobile Equipment Identity) del mdem, y a cada mdem se le asigna un ID nico cuando conecta
el mdem al dispositivo. Puede cambiar el mapeo entre el nmero de IMEI del mdem y el ID del
mdem mediante la lnea de comando del dispositivo, si es necesario.
Para definir un Interfaz de Mdem
2. Pulse botn derecho sobre el espacio vaco y seleccione NewModem Interface
(NuevoInterfaz de Mdem). Se abrir el dilogo de Propiedades del Mdem.
Ilustracin 135: Propiedades del Interfaz de Mdem
3. Defina las propiedades bsicas del Interfaz de Mdem segn se explica en la siguiente
tabla.
Opcin Explicacin
Modem Number
(Nmero de Seleccione el Nmero de Mdem para representar el mdem en la configuracin.
Mdem)
DHCP Index Seleccione el ndice DHCP. Es un nmero arbitrario de su eleccin que distingue los
(ndice DHCP) diferentes interfaces DHCP entre s.
Introduzca el cdigo PIN si es necesario para la tarjeta SIM del mdem.

PIN Code
Si el cdigo PIN est incluido en la configuracin y cambia la tarjeta SIM del mdem
(Cdigo PIN -
3G tras configurar el cortafuegos, deber cambiar el cdigo PIN segn se describe
Opcional)
en Cambiar/Eliminar el Cdigo PIN de un Interfaz de Mdem (pag. 360).
Phone Number
(Nmero de Introduzca el Nmero de Telfono del mdem si es diferente del nmero de telfono
Telfono - por defecto.
Opcional)
4. Introduzca el resto de informacin (Access Point Name Nombre del Punto de

Acceso, Username Usuario y Password Contrasea, y Service Name Nombre
del Servicio) de acuerdo con las instrucciones que haya recibido de su proveedor de
servicios.
5. Pulse OK.
Para continuar:
Si est configurando un nuevo cortafuegos, o si quiere cambiar los roles que los
diferentes interfaces tienen en la configuracin, proceda a Establecer Opciones de
En otro caso, cierre el dilogo de Propiedades del Cortafuegos y ajuste la
configuracin de enrutamiento si es necesario segn se explica en Aadir Rutas para
Tareas Relacionadas
Cambiar/Eliminar el Cdigo PIN de un Interfaz de Mdem (pag. 360)
Cambiar/Eliminar el Cdigo PIN de un Interfaz de Mdem

Si cambia la tarjeta SIM de un mdem 3G conectado a un cortafuegos independiente y el cdigo
PIN est activado en la nueva tarjeta SIM, deber cambiar el cdigo PIN en el Interfaz de Mdem
asociado. Deber eliminar el cdigo PIN si el cdigo PIN estaba activado en la antigua tarjeta SIM
pero no lo est en la nueva tarjeta SIM.
Tambin deber cambiar el cdigo PIN si ha recibidio el mensaje PIN code differs from initial
contact settings (El cdigo PIN difiere de los parmetros iniciales de contacto) en la instalacin
de la poltica tras haber terminado de configurar el cortafuegos. Este mensaje significa que el
cdigo PIN en las propiedades del Interfaz de Mdem no coincide con el cdigo PIN que introdujo
para el mdem 3G en la lnea de comando del dispositivo. Si hay otros problemas con el cdigo
PIN, puede comprobar desde la lnea de comando del dispositivo el cdigo PIN usado en la
configuracin inicial y cambiar esta informacin si es necesario.
Para cambiar o eliminar el cdigo PIN de un interfaz de mdem
1. Ejecute la herramienta sg-reconfigure en la lnea de comando y cambie la
informacin de cdigo PIN del mdem 3G en la lnea de comando del dispositivo. Vea
la Gua de Instalacin del Cortafuegos para ms informacin.
2. Abra las propiedades del cortafuegos independiente en el Management Client y cambie
a la pestaa Interfaces.
3. Pulse botn derecho sobre el Interfaz de Mdem y seleccione Properties
(Propiedades). Se abrir el dilogo de Propiedades del interfaz de mdem.
4. Cambie la informacin del cdigo PIN y pulse OK.
Para continuar:
cortafuegos para transferir los cambios de configuracin.
Tareas Relacionadas
Definir Interfaces de Mdem para Cortafuegos Independientes (pag. 358)
Establecer Opciones de Interfaz del Cortafuegos

El dilogo de Opciones de Interfaz contiene las opciones para seleccionar qu direcciones IP se usan
en roles particulares en las comunicaciones del sistema (por ejemplo, en comunicaciones entre el
cortafuegos y el Management Server). Slo se usan direcciones IPv4 en las comunicaciones del
sistema.
Para establecer las opciones de interfaz
2. Pulse Options. Se abrir el dilogo de Opciones del Interfaz.
Ilustracin 136: Opciones de Interfaz de Clster de Cortafuegos
3. Seleccione las opciones de interfaz segn se explica en la siguiente tabla.
Opcin Explicacin
Seleccione el Interfaz de Control Primario (Primary) para el contacto con el
Management Server. Este interfaz se usar para las comunicaciones con el
Control Interface Management Server.
(Interfaz de Control)
(Opcional) Seleccione un Interfaz de Control de Respaldo (Backup) que se
usar si el Primario no est disponible.
Seleccione la opcin de Contacto con el Management Server Iniciado desde
el Nodo si el cortafuegos est tras un dispositivo que aplica NAT dinmico a
Node-Initiated contact las conexiones de gestin etrantes o las bloquea.
to Management Server Esta opcin se usa siempre con una direccin IP de control dinmica, de
(Contacto con el forma que siempre est fijada al estado seleccionado si la direccin IP es
Management Server dinmica,
Iniciado desde el Nodo Cuando se selecciona esta opcin, el dispositivo abre una conexin al
Slo para Cortafuegos Management Server y mantiene la conectividad.
Independientes) Si la conexin no est abierta cuando enva una orden al dispositivo desde
el Management Client, el comando se deja pendiente hasta que el
dispositivo abre de nuevo la conexin.
Opcin Explicacin
Seleccione el Interfaz de Heartbeat Primario (Primary) para las
comunicaciones entre los nodos. Se recomienda que use in Interfaz Fsico,
no un Interfaz VLAN. Se recomienda encarecidamente que no dirija ningn
otro trfico a travs de este interfaz. Una red dedicada ayuda a garantizar
una operacin segura y fiable.
Precaucin! Las redes de Heartbeat Primaria y de Respaldo intercambian
informacin confidencial. Si no es posible usar redes dedicadas, configure
el clster para cifrar la informacin intercambiada. Vea Ajustar las
Heartbeat Interface Opciones Generales del Clster (pag. 419).
(Slo Clsters de Seleccione un Interfaz de Heartbeat de Respaldo (Backup) que se usar si
Cortafuegos) el Interfaz de Heartbeat Primario no est disponible. No es obligatorio
configurar un heartbeat de respaldo, pero es altamente recomendable. Si el
trfico de heartbeat no se intercambia, el clster no puede operar y el
trfico se ver perturbado. Se recomienda encarecidamente qie use un
interfaz dedicado tambin para el heartbeat de respaldo.
Precaucin! Las redes de Heartbeat Primaria y de Respaldo intercambian
informacin confidencial. Si no es posible usar redes dedicadas, configure
el clster para cifrar la informacin intercambiada. Vea Ajustar las
Opciones Generales del Clster (pag. 419).
La direccin IP del interfaz seleccionado se usar cuando un dispositivo
Identity for contacte un aservidor de autenticacin externo y tambin se mostrar (por
Authentication defecto) a los usuarios finales en la autenticacin basada en Telnet.
Requests (Identidad para Esta opcin no afecta el enrutamiento de la conexin con el servidor de
Solicitudes de autenticacin. La direccin IP se usa slo como un parmetro dentro de los
Autenticacin) datos de la peticin de autenticacin para dar un nombre al remitente de la
peticin.
Default IP for Outgoing
Esta opcin define la direccin IP que usan los nodos si tienen que iniciar
Traffic
conexiones (comunicaciones del sistema, ping, etc.) a travs de un interfaz
(IP por Defecto para
que no tiene Node Dedicated IP Address. Deber seleccionar un interfaz
Trfico Saliente Slo
que tenga una direccin IP definida para todos los nodos.
Clusters de Cortafuegos)
4. Pulse OK.
Para continuar:
Si ste es un nuevo Cortafuegos, cierre el dilogo de Propiedades del Cortafuegos.
Configure el enrutamiento segn se explica en Aadir Rutas para Cortafuegos (pag.
441), e inicialice los dispositivos segn se explica en Guardar una Configuracin
Inicial para Dispositivos Cortafuegos o IPS (pag. 393).
Acerca de Usar una Direccin IP Dinmica en un Interfaz de

Cortafuegos
Puede configurar un cortafuegos independiente para recibir su direccin IPv4 mediante DHCP.
Slo se soportan direcciones dinmicas IPv4. Tpicamente, la direccin dinmica es asignada por
el servicio de DHCP del ISP. Los Interfaces de Mdem siempre tienen direcciones IP dinmicas
proporcionadas mediante PPPoE (vea Definir Interfaces de Mdem para Cortafuegos
Independientes (pag. 358)).
Puesto que la asignacin de direccin IP dinmica incluye la direccin de la pasarela por defecto,
el enrutamiento para los interfaces con una direccin dinmica se define usando elementos
especiales Router y NetLink. Vea Aadir Rutas para Cortafuegos (pag. 441).
Las direcciones dinmicas afectan a las comunicaciones del sistema: si la direccin que usa el
dispositivo para las comunicaciones del sistema es dinmica, el dispositivo abre un canal de
comunicaciones al Management Server y el Management Server nunca intenta contactar al
dispositivo fuera de esta conexin. Cualquier comando enviado cuando la conexin no est
disponible se deja pendiente en el Management Server hasa que el dispositivo abre la conexin.
Las direcciones dinmicas IPv4 tambin afectan a las VPNs: otras pasarelas VPN no pueden abrir
conexiones VPN con la pasarela si la direccin es dinmica. En su lugar, la pasarela con el
endpoint dinmico debe siempre iniciar la VPN, despus de lo cual la VPN puede ser usada
normalmente en ambas direcciones.
Si el trfico de gestin fluye a travs de un interfaz con direccin dinmica, puede ajustar los
tiempos de respuesta y otras opciones asociadas a estas comunicaciones en la pestaa Advanced
(Avanzado) en las propiedades del cortafuegos independiente (vea Ajustar la Poltica de Contacto
de un Cortafuegos Independiente (pag. 423)).
Hay elementos Alias por defecto en el sistema que se pueden usar en la poltica del cortafuegos
para representar su propia direccin dinmica. Estos elementos se distinguen entre s por el
nmero de ndice DHCP en el nombre. Para cada interfaz con direccin dinmica hay 4 elementos
Alias (X = el ndice DHCP seleccionado):
$$ DHCP Interface X.ip: la actual direccin IP dinmica asignada a este interfaz.
$$ DHCP Interface X.gateways: la direccin IP recibida para la pasarela por defecto.
$$ DHCP Interface X.dns: la direccin IP recibida del servidor DNS.
$$ DHCP Interface X.net: la red tras el interfaz dinmico.
Nota Estos Aliases estn pensados para usarse en las polticas del cortafuegos que
tiene la direccin IP dinmica. Se trasladan a los valores del cortafuegos donde se
instala la poltica, de forma que no pueden usarse en polticas de otros componentes.
Cambiar los Parmetros de ISP para el Interfaz ADSL

Normalmente puede cambiar todos los parmetros relaionados con el interfaz ADSL de un
cortafuegos independiente directamente desde el Management Client. Sin embargo, si usa el
interfaz ADSL como interfaz de gestin y necesita modificar las opciones de Virtual Path ID (VPID)
y Virtual Channel ID (VCID) del ISP que proporciona la conexin ADSL, no puede cambiarlos
directamente desde el Management Client. En su lugar deber completar los siguientes pasos. En
otro caso, el dispositivo cortafuegos puede perder la conexin de gestin y volver a la poltica
previamente instalada.
Nota Si el Interfaz ADSL no es el interfaz de gestin, puede cambiar todos los

parmetros del ISP para el interfaz ADSL directamente desde el Management Client.
Para cambiar los parmetros de VPID y VCID del interfaz ADSL

1. Ejecute la herramienta sg-reconfigure en la lnea de comando y cambie los
parmetros de VPID y VCID desde la lnea de comando del dispositivo. Vea la Gua de
Instalacin del Dispositivo del cortafuegos para ms informacin.
2. Abra las propiedades del cortafuegos independiente en el Management Client y cambie
a la pestaa Interfaces.
3. Pulse botn derecho sobre el Interfaz ADSL y seleccione Edit (Editar). Se abrir el
dilogo de Propiedades del Interfaz ADSL.
4. Pulse botn derecho sobre la informacin del Proveedor de Servicio (Service Provider)
y seleccione Properties (Propiedades). Se abrir el dilogo de Propiedades del
proveedor de servicio.
5. Modifique los parmetros de Virtual Path ID (VPID) y Virtual Channel ID (VCID) segn
las instrucciones de su proveedor de servicios.
Aparte del nombre (name) del elemento y el pas (country) (que son slo para su
referencia), deber solicitar las opciones correctas de ISP a usar a su proveedor de
servicios.
6. Pulse OK.
Para continuar:
cortafuegos para transferir los cambios de configuracin.
Configuracin del Interfaz de Cortafuegos SOHO

Prerrequisitos: Crear Un Nuevo Elemento Cortafuegos SOHO / Crear Mltiples Nuevos Elementos Cortafuegos
SOHO
En la configuracin de interfaz para cortafuegos SOHO, seleccione el uso pretendido par cada
interfaz fsico, defina las opciones correctas de direccin IP por tipo de interfaz, y opcionalmente
active al LAN inalmbrica para el acceso interno y/o de visitantes. Slo se soportan direcciones
IPv4 en los cortafuegos SOHO.
Para continuar:
Si est creando nuevos cortafuegos SOHO, proceda a Seleccionar Tipos de Interfaz
para Cortafuegos SOHO (pag. 364).
Vea los enlaces siguientes si est editando un elemento previamente creado.
Tareas Relacionadas
Definir Interfaces Externos para Cortafuegos SOHO (pag. 366)
Definir Interfaces Corporate para Cortafuegos SOHO (pag. 370)
Definir Interfaces Guest para Cortafuegos SOHO (pag. 372)
Definir Opciones Inalmbricas para Cortafuegos SOHO (pag. 373)
Seleccionar Tipos de Interfaz para Cortafuegos SOHO

Las definiciones de tipo de interfaz asignan los puertos LAN, definen qu tipos de trfico se
permiten a/desde los interfaces, y cmo se enruta el trfico permitido.
Una configuracin mnima incluye un interfaz para acceso a Internet (External - Externo). Todos
los otros interfaces pueden ser desactivados si es necesario.
Para seleccionar los tipos de interfaz
1. Abra las propiedades del elemento Cortafuegos SOHO.
Ilustracin 137; Propiedades de Cortafuegos SOHO - Pestaa General
2. Seleccione el interfaz Externo (External) usando los radio buttons: o ADSL o uno de
los interfaces Ethernet. Slo puede tener un interfaz externo: no se soporta Multi-Link en
Cortafuegos SOHO.
Se recomienda que no designe el Interfaz 1 como Externo. El Interfaz Externo no
permite conexiones entrantes, y el interfaz local de administracin basado en Web se
accede desde este puerto. El acceso a este interfaz puede a veces ayudar en
determinar y corregir problemas.
3. Pulse la columna Mode (Modo) para seleccionar el modo de interfaz correcto para los
otros interfaces.
Un interfaz Corporate (Corporativo) es para mquinas internas protegidas. Debe tener
al menos un interfaz Corporate. Los interfaces corporativos permiten conexiones
hacia/desde la VPN y el trfico local hacia/Desde los otros interfaces Corporate. El
acceso directo a Internet (slo conexiones salientes) puede ser activado y desactivado
segn se requiera.
Un interfaz Guest (Invitado) proporciona acceso directo a Internet (slo conexiones
salientes). No es obligatorio definir ningn interfaz Guest.
Tambin puede permitir acceso inalmbrico mediante un interfaz Corporate o Guest sin
asignar un interfaz fsico para este propsito en el dispositivo. En este caso, no
seleccione el modo Corporate o guest para ningn interfaz.
Tambin puede marcar un interfaz como Disabled (Desactivado) si no quiere
proporcionar ningn acceso a travs de l.
Para continuar:
Si est creando uno o ms elementos Cortafuegos SOHO, proceda a Definir
Interfaces Externos para Cortafuegos SOHO (pag. 366).
Si ha terminado de editar las propiedades de un elemento Cortafuegos SOHO que ha
sido creado antes, pulse OK. Recuerde aplicar los cambios de configuracin a travs
del men del botn derecho.
Definir Interfaces Externos para Cortafuegos SOHO

El Interfaz Externo se usa para el trfico hacia Internet y es por esto tambin el endpoint para las
comunicaciones VPN. El Interfaz Externo no permite ninguna otra conexin entrante excepto las
conexiones VPN a la red tras los interfaces Corporate.
El Cortafuegos SOHO tiene un mdem ADSL integrado, o puede conectar uno de los puertos
Ethernet a un mdem externo. Si el mdem externo est en modo bridge transparente, se puede
activar PPPoE en el cortafuegos SOHO de forma que pueda comunicarse con el equipamiento
del ISP.
La conexin externa puede ser tambin una conexin estndar Ethernet, por ejemplo, si el
cortafuegos SOHO est conectado a un router ADSL configurado para mantener la conectividad
ADSL independientemente.
Las opciones de la pestaa External dependen del tipo de configuracin que seleccione para el
interfaz Externo.
Para continuar:
Si su interfaz Externo es uno de los puertos Ethernet, proceda a Definir las
Propiedades del Interfaz Externo Ethernet en Cortafuegos SOHO (pag. 366).
Si su interfaz Externo es el puerto ADSL o un puerto Ethernet que usa PPPoE,
proceda a Definir las Propiedades del Interfaz ADSL o PPPoE en Cortafuegos SOHO
(pag. 367).
Definir las Propiedades del Interfaz Externo Ethernet en Cortafuegos SOHO

Para configurar los parmetros de la direccin IP para el interfaz Externo
1. Abra las propiedades del cortafuegos SOHO y cambie a la pestaa External.
Ilustracin 138: Propiedades de Cortafuegos SOHO - Pestaa External con Direccin IP Esttica
2. Seleccione la Configuracin para la Direccin IP:

Seleccione DHCP para una direccin IP dinmica normal y proceda al Paso 5.
Seleccione Static para una direccin IP esttica.
Para PPP over Ethernet, vea Definir las Propiedades del Interfaz ADSL o PPPoE en
Cortafuegos SOHO (pag. 367).
3. (Slo Direccin IP esttica) Introduzca la Direccin IP (IP Address) para el cortafuegos
SOHO y su Mscara de Red (Netmask) asociada. Esta opcin no est disponible en el
asistente de Creacin de Mltiples Cortafuegos SOHO.
4. (Slo direccin IP esttica) Pulse Select (Seleccionar) para Gateway (Pasarela) y

selecciones el elemento Router correcto para la pasarela por defecto. Esta opcin no
est disponible en el asistente de Creacin de Mltiples Cortafuegos SOHO.
Puede aadir un nuevo elemento Router a la lista mediante el icono Nuevo en la parte
superior del dilogo que se abre.
5. (Opcional) Si quiere establecer un tamao de paquete mximo (MTU) especfico,
seleccione Manual y escriba el MTU.
El mximo MTU estndar en Ethernet es 1500.
En modo Automtico (Automatic), el MTU se detecta dinmicamente en base a los
mensajes ICMP relacionados con la fragmentacin.
6. (Opcional) Seleccione las opciones de DNS Esttico (Static DNS):
Si la opcin de DNS Esttico est desactivada, las peticiones de DNS se gestionan de
acuerdo con la configuracin local de la red.
Si quiere definir usted los servidores de DNS, seleccione al menos un servidor de DNS
primario. Puede aadir opcionalmente un servidor de DNS secundario de acuerdo con
sus necesidades. Si no ha definido los elementos Servidor de DNS Externos
requeridos, puede crearlos mediante el icono Nuevo en el dilogo de Seleccionar
Elemento. Introduzca un Nombre (Name) y una Direccin IP (IP Address) para los
elementos Servidor de DNS Externo.
Las opciones de DNS definidas en la pestaa External se usan por defecto para todos
los interaces SOHO (interfaces External, Corporate y Guest). De cualquier modo,
puede definir las opciones de DNS separadamente para el interfaz Corporate en la
pestaa Corporate.
Para continuar:
Si est creando uno o ms elementos Cortafuegos SOHO, contine en Definir
Interfaces Corporate para Cortafuegos SOHO (pag. 370).
sido creado antes, pulse OK. Recuerde aplicar los cambios de configuracin
mediante el men de botn derecho del men.
Definir las Propiedades del Interfaz ADSL o PPPoE en Cortafuegos SOHO

Las opciones de ADSL son idnticas independientemente de si la conexin ADSL es directa o
mediante PPPoE. Algunos proveedores de servicios Internet requieren un nobre de usuario y una
contrasea, que puede introducirse en la configuracin en el Management Server o directamente
desde el Interfaz Web de los Cortafuegos SOHO ldurante la configuracin inicial del dispositivo.
Cuando se crean mltiples Cortafuegos SOHO simultneamente usando el asistente, no puede
introducir la informacin del nombre de usuario y la contrasea. Introduzca la informacin en las
propiedades de cada elemento Cortafuegos SOHO despus de que hayan sido creados o durante
la configuracin inicial de los dispositivos.
Para configurar las opciones de ADSL
1. Abra las propiedades del cortafuegos SOHO y cambie a la pestaa External.
2. Si est configurando un interfaz PPPoE, seleccione PPPoE over Ethernet como
Configuracin.
Ilustracin 139: Propiedades de Cortafuegos SOHO - Pestaa External para

ADSL
3. Pulse Select (Seleccionar) para Service Provider (Proveedor de Servicio) y seleccione

su proveedor de servicio de la lista.
Si su proveedor no est listado, primero cree un nuevo elemento ISP mediante el icono
Nuevo arriba.
Aparte del nombre y pas del elemento (que son slo para su referencia), deber
solicitar los parmetros correctos a usar de su proveedor de servicios.
4. (Opcional) Introduzca el Nombre de Usuario (Username) y Contrasea (Password)
para el acceso ADSL si su ISP se los ha proporcionado. Use la opcin Hide (Ocultar)
para evitar que se muestre la Contrasea en texto claro en las propiedades del
cortafuegos SOHO.
Si los detalles son necesarios, pero no estn disponibles todava, puede proporcionar
esta informacin ms tarde cuando instale e inicialice el dispositivo SOHO.
5. (Opcional) Seleccione las opciones de Static DNS (DNS Esttico):
acuerdo con la configuracin de la red local.
Si quiere definir los servidores de DNS usted mismo, seleccione al menos un servidor
de DNS primario. Opcionalmente puede aadir un servidor de DNS secundario de
acuerdo con sus necesidades. Si no ha definido los elementos Servidor de DNS
Externos requeridos, puede crearlos mediante el icono Nuevo en el dilogo de
Seleccionar Elemento. Introduzca un Nombre (Name) y una Direccin IP (IP Address)
para los elementos Servidor de DNS Externo.
pestaa Corporate.
Para continuar:
Si est creando uno o ms elementos Cortafuegos SOHO nuevos, contine en
Definir Opciones Avanzadas de ADSL para Cortafuegos SOHO (pag. 368).
Definir Opciones Avanzadas de ADSL para Cortafuegos SOHO

Las opciones Avanzadas de ADSL proporcionan opciones relacionadas con establecer conexiones
ADSL. Las opciones por defecto funcionan bien en la mayora de instalaciones, pero le
recomendamos que compruebe estas opciones siguiendo las instrucciones a continuacin.
Para definir opciones avanzadas de ADSL

1. Abra las propiedades del Cortafuegos SOHO y cambie a la pestaa External.
Ilustracin 140: Propiedades de Cortafuegos SOHO - Pestaa External - Opciones
Avanzadas de ADSL
2. Pulse Advanced ADSL Settings. Aparecern las Opciones Avanzadas.

3. Defina las Opciones Avanzadas de ADSL (incluyendo el protocolo de autenticacin para
autenticar el cortafuegos SOHO para conexiones ADSL si se usan usuario y
contrasea) segn se explica en la siguiente tabla.
Opciones Explicacin
Password Authentication Protocol: si se usa una
PAP
contrasea, se transfiere sin cifrar.
Challenge Handshake Authentication Protocol: si
CHAP
se usa una contrasea, se transfiere cifrada.
PPP Authentication
Primeramente se usa CHAP, pero tambin
(Autenticacin PPP PAP/CHAP
puede usarse PAP.
Slo si se usan
Microsoft Challenge Handshake Authentication
usuario/contrasea) MS-CHAPv1
Protocol: se usa slo MS-CHAPv1.
Primeramente se usa CHAP. MS-CHAPv1 o
PAP/CHAP/MS-CHAP
MS-CHAPv2 tambin pueden usarse.
MS-CHAPv2 Slo se usa MS-CHAPv2.
Introduzca la longitud del tiempo de espera
antes de que se haga un nuevo intento de
Block After Connection Failure for
conectar con la pasarela despus de una
(Bloquear Tras Fallo de Conexin Durante)
conexin fallida. El tiempo de espera por defecto
es de 60 segundos.
Opciones Explicacin
Si la opcin est activada, el Cortafuegos SOHO
inicia las negociaciones DNS y las direcciones IP de
DNS Negotiation los servidores DNS se reciben del proveedor de
(Negociacin DNS) servicio. Si la opcin est desactivada, se utiliza la
configuracin del servidor DNS esttico (definida
ms abajo en las opciones de DNS).
Prioritize TCP/ACK Packets Si la opcin est activada, las desacargas TCP son
(Prioirzar Paquetes TCP/ACK) favorecidas sobre las subidas TCP.
Si la opcin est activada las peticiones de echo
LCP/Alive Check
LCP son enviadas al proveedor de servicio para
(Comprobacin LCP/Alive)
comprobar la disponibilidad del servicio.
4. (Opcional) Seleccione las opciones de Static DNS (DNS Esttico):

acuerdo con la configuracin de la red local.
Si quiere definir los servidores de DNS usted mismo, seleccione al menos un servidor
de DNS primario. Opcionalmente puede aadir un servidor de DNS secundario de
acuerdo con sus necesidades. Si no ha definido los elementos Servidor de DNS
Externos requeridos, puede crearlos mediante el icono Nuevo en el dilogo de
Seleccionar Elemento. Introduzca un Nombre (Name) y una Direccin IP (IP Address)
para los elementos Servidor de DNS Externo.
pestaa Corporate.
Para continuar:
Si est creando uno o ms elementos Cortafuegos SOHO nuevos, contine en
Definir Interfaces Corporate para Cortafuegos SOHO (pag. 370).
Definir Interfaces Corporate para Cortafuegos SOHO

No hay separacin entre las redes tras los diferentes interfaces Corporate; se tratan como
una nica red. El cortafuegos SOHO solamente puede tener una direccin IP para la red
Corporate, no importa cuntos de los puertos se utilicen para el acceso corporativo.
El Cortafuegos SOHO puede establecer una VPN con una pasarela StoneGate
Cortafuegos/VPN para permitir conexiones entre la red tras los interfaces Corporate y las
redes internas en un sitio centrla. Un elemento Grupo de Pasarelas SOHO se utiliza para
representar uno o ms dispositivos cortafuegos SOHO en la VPN. Cuando crea un elemento
Cortafuegos SOHO, debe seleccionar en cul Grupo de Pasarelas SOHO se incluye. Para
ms informacin sobre configurar VPNs, vea Configurar VPNs IPsec (pag. 715).
Puede permitir acceso inalmbrico a travs de un interfaz Corporate sin asignar ningn
interfaz fsico para este propsito en el dispositivo. En ese caso, no seleccione el modo
Corporate para ningn interfaz en la pestaa General (vea Seleccionar Tipos de Interfaz
para Cortafuegos SOHO (pag. 364)).
Si quiere aadir opciones inalmbricas a un interfaz ya configurado, vea Definir Opciones

Inalmbricas para Cortafuegos SOHO (pag. 373).
Para definir interfaces Corporate
1. Abra las propiedades del Cortafuegos SOHO y cambie a la pestaa Corporate.
Ilustracin 141: Propiedades de Cortafuegos SOHO - Pestaa Corporate
2. Introduzca la Direccin IP Local (Local IP Address) y Mscara de Red (Netmask) del

Cortafuegos SOHO en la red Corporativa (Corporate). Si est creando mltiples
Cortafuegos SOHO usando el asistente, no puede introducir la informacin de direccin
IP local aqu, puesto que estas direcciones IP se definen en la primera pantalla del
asistente (pulse Previous (Anterior) para ver la informacin de los varios elementos
Cortafuegos SOHO).
3. (Opcional) Pulse Select (Seleccionar) en SOHO Gateway Group (Grupo de Pasarelas
SOHO) y elija el elemento Grupo correcto. Puede crear un nuevo elemento usando el
botn Nuevo arriba en el dilogo si no hay un Grupo de Pasarelas SOHO adecuado
(vea Definir Pasarelas de Seguridad (pag. 720) para ms detalles).
4. Compruebe la Clave Pre-Compartida (Pre-Shared Key) usada para la VPN.
Puede usar la clave pre-compartida proporcionada automticamente en el campo Pre-
Shared Key, introducir manualmente una clave, o pulsar Generate para cear una nueva
clave pre-compartida automticamente.
Active/desactive la opcin Hide (Ocultar) para definir si la Clave Pre-Compartida se
muestra en texto claro en las propiedades del Cortafuegos SOHO.
Precaucin La clave pre-compartida debe ser larga y aleatoria para proporcionar una
VPN segura. Cambie la clave pre-compartida peridicamente (por ejemplo
mensualmente). Asegrese de que no es posible para extraos obtener la clave.
5. (Opcional) Seleccione la opcin Keep-alive VPN tunnel (Mantener vivo el tnel VPN) si
quiere que el cortafuegos SOHO mantenga los tneles VPN con el sitio central abiertos
incluso cuando no hay trfico. Esto permite que se abra una conexin bidireccional a
travs de la VPN incluso si el cortafuegos SOHO tiene una direccin IP dinmica, que
evita que los tneles se abran desde el sitio central al cortafuegos SOHO.
6. Si quiere que el Cortafuegos SOHO acte como servidor DHCP ara la red interna,
seleccione DHCP Service (Servicio DHCP) y rellene el rango de direcciones para
distribuir direcciones IP. Si est creando mtliples Cortafuegos SOHO usando el
asistente, no puede introducir la informacin de direcciones IP aqu, puesto que estos
rangos de direcciones IP se definen en la primera pantalla del asistente (pulse
Previous (Anterior) para ver la informacin de los varios elementos Cortafuegos
SOHO).
7. (Opcional) Seleccione las opciones de Servidores DNS:
Por defecto, el Cortafuegos SOHO usa las opciones de servidor DNS definidas en la
pestaa External para todos sus interfaces. Si la opcin de DNS Esttico est
desactivada en la pestaa External, las peticiones de DNS se gestionan de acuerdo
con la configuracin de la red local.
Alternativamente puede definir los servidores DNS separadamente para el interfaz
Corporate. Si quiere usar las opciones de DNS de los servidores de DNS locales (ISP)
como primera opcin, deje el campo Corporate Primary DNS Server (Servidor DNS
Primario Corporativo) en su valor por defecto. En otro caso, pulse Select para al menos
Corporate Primary DNS Server y elija el elemento Servidor DNS Externo correcto. Si
no ha definido los elementos Servidor DNS Externo requeridos, puede cearlos
mediante el icono Nuevo en el dilogo de Seleccionar Elemento. Slo necesita
introducir un Nombre (Name) y una Direccin IP (IP Address) para los elementos
Servidor DNS Externo.
8. (Opcional) Bajo Security Policy (Poltica de Seguridaad bajo las opciones
inalmbricas), seleccione Allow Only Traffic to VPN (Permitir Slo Trfico a la VPN) si
quiere evitar que las mquinas de la red Corporativa abran conexiones directas con
Interner (las conexiones entrantes desde Internet no estn permitidas en ningn caso).
Esto permite tanto prevenir todas las conexiones a Internet como enrutarlas a travs de
una localizacin central, por ejemplo, para utilizar un filtrado de contenidos disponible
en la localizacin central.
Para continuar:
Si est creando uno o ms elementos Cortafuegos SOHO que tienen configurado un
interfaz Guest, proceda a Definir Interfaces Guest para Cortafuegos SOHO (pag. 372).
En otro caso, si quiere configurar acceso inalmbrico con la poltica de acceso del interfaz
Corporate, proceda a Definir Opciones de Seguridad Inalmbrica para Cortafuegos SOHO
(pag. 374).
En otro caso, si est creando uno o ms elementos Cortafuegos SOHO, proceda a
Completar la Configuracin del Cortafuegos SOHO (pag. 376), o Completar el Asistente de
Crear Mltiples Cortafuegos SOHO (pag. 376).
Si ha terminado de editar las propiedades de un elemento Cortafuegos SOHO que ha sido
creado antes, pulse OK. Recuerde aplicar los cambios de configuracin mediante el men
de botn derecho del men.
Definir Interfaces Guest para Cortafuegos SOHO

Los interfaces Guest son opcionales. Estn pensados para permitir a los visitantes acceso a
Internet. Los interfaces Guest slo permiten conexiones desde el interfaz Guest hacia Internet; no
permiten conexiones entrantes desde Internet, conexiones hacia/Desde los interfaces Corporate, ni
conexiones hacia/desde la VPN.
Puede permitir acceso inalmbrico a travs del interfaz Guest sin asignar ningn interfaz fsico
para este propsito en el dispositivo. En ese caso, no seleccione el modo Guest para ningn
interfaz en la pestaa General (vea Seleccionar Tipos de Interfaz para Cortafuegos SOHO (pag.
364)).
Si quiere aadir opciones inalmbricas a un interfaz ya configurado, vea Definir Opciones

Inalmbricas para Cortafuegos SOHO (pag. 373).
Para definir interfaces Guest
1. Abra las propiedades del Cortafuegos SOHO y cambie a la pestaa Guest.
Ilustracin 142: Propiedades de Cortafuegos SOHO - Pestaa Guest
2. Introduzca la Direccin IP Local (Local IP Address) del cortafuegos SOHO en la red de

Invitados (Guest) y su Mscara de Red (Netmask).
3.
4. Si quiere que el Cortafuegos SOHO acte como un servidor DHCP para la red de
Invitados, seleccione DHCP Service (Servicio DHCP) y rellene el rango de direcciones
para distribuir direcciones IP.
Para continuar:
Si quiere configurar acceso inalmbrico con la poltica de acceso del interfaz Corporate,
proceda a Definir Opciones de Seguridad Inalmbrica para Cortafuegos SOHO (pag. 374).
En otro caso, si est creando uno o ms elementos Cortafuegos SOHO, proceda a
Completar la Configuracin del Cortafuegos SOHO (pag. 376), o Completar el Asistente de
Crear Mltiples Cortafuegos SOHO (pag. 376).
Si ha terminado de editar las propiedades de un elemento Cortafuegos SOHO que ha sido
creado antes, pulse OK. Recuerde aplicar los cambios de configuracin mediante el men
de botn derecho del men.
Definir Opciones Inalmbricas para Cortafuegos SOHO

Puede permitir acceso inalmbrico a la red Corporativa, la VPN, e Internet a travs de un interfaz
Corporate y a Internet a travs de un interfaz Guest. Ambos perfiles de acceso pueden estar
activos al mismo tiempo y puede definir diferentes opciones de seguridad inalmbrica para los
interfaces Corporate y Guest.
Para continuar:
Empiece en Definir Opciones de Seguridad Inalmbrica para Cortafuegos SOHO (pag.
374).
Tareas Relacionadas
Definir Opciones de Canal Inalmbrico para Cortafuegos SOHO (pag. 375)
Definir Opciones de Seguridad Inalmbrica para Cortafuegos SOHO

Las opciones de seguridad inalmbrica se definen separadamente para los perfiles de interfaz
Corporate y, pero las opciones disponibles son idnticas y por ello se explican juntas.
Para definir opciones de seguridad para el acceso inalmbrico
1. Abra las propiedades del Cortafuegos SOHO y cambie a la pestaa Corporate o
Guest.
2. Seleccione Wireless. Se activarn las opciones para conexiones inalmbricas.
3. Defina las opciones para el Nombre de Red Inalmbrica (Wireless Network Name -
SSID) segn se explica en la siguiente tabla.
Opciones Explicacin
Introduzca el Nombre de Red Inalmbrica (Wireless Network
Wireless Network Name (SSID) Name - SSID). Esto identifica la red ante los usuarios finales.
(Nombre de Red Inalmbrica) Tenga en cuenta que el nomre puede ser fcilmente visto por
cualquiera en el alcance de la red.
Los usuarios finales (y cualquiera dentro de alcance) puede ver
Enabled
el Nombre de la Red inalmbrica (SSID) en su lista de redes
(Activado)
Wireless SSID disponibles sin ejecutar ninguna accin.
Broadcast Los usuarios finales tienen que escribir el Nombre de la Red
(Difundir SSID (SSID) para conectarse. Incluso si desactiva la difusin de SSID,
Disabled
Inalmbrico) cualquiera dentro del alcance puede descubrir su red
(Desactivado)
inalmbrica con herramientas de deteccin ampliamente
disponibles en Internet.
4. Seleccione el Modo de Seguridad (Security Mode). Cuando selecciona el Modo de

Seguridad, las opciones particulares para ese modo se activan ms abajo. Le
recomendamos usar uno de los modos de seguridad WPA, especialmente para el
acceso Corporativo.
Opcin Explicacin
Disabled El trfico inalmbrico no se cifra. Cualquiera dentro del alcance puede usar
(Desactivado) libremente esta red inalmbrica. No se recomienda usar esta opcin.
El trfico inalmbrico se cifra con una clave de 40 bits usando el rotocolo WEP.
WEP 40 No se recomienda usar esta opcin, a menos que sea necesario por razones de
compatibilidad.
El trfico inalmbrico se cifra con una clave de 104 bits usando el protocolo
WEP 104 WEP. Si no puede usar WPA por razones de compatibilidad, se recomienda usar
esta opcin.
El trfico inalmbrico se cifra esando protocolos WPA o WPA2. Hay disponibles
WPA-PSK dos modos para WPA. El modo WPA usa cifrado TKIP y el modo WPA2 usa
cifrado AES. WPA2 es el modo ms seguro.
Igual que arriba, pero se usa un servidor RADIUS externo para autenticar a los
WPA Enterprise usuarios. Esta es la opcin ms segura disponible, y se recomienda para el
acceso Corporativo si hay disponible un servicio RADIUS externo.
Para ms informacin sobre los modos de Seguridad y sus opciones, vea la Gua
Firewall/VPN Reference Guide.
5. Rellene las opciones para el modo de seguridad seleccionado

Para WEP, seleccione la Clave por Defecto (Default Key) e introduzca de 1 a 4 claves
de cifrado. WEP 40 requiere claves de 5 caracteres, WEP 104 requiere claves de 13
caracteres.
Para WPA-PSK, seleccione el Modo WPA (WPA Mode) e introduzca una Clave Pre-
Compartida (Pre-Shared Key) de 8 a 64 caracteres ASCII.
Para WPA Enterprise, seleccione el Modo WPA (WPA Mode) y pulse Select para
elegir el Servidor RADIUS que autenticar a los usuarios (vea Definir un Servidor de
Autenticacin (pag. 635) para ms informacin).
Si quiere configurar el acceso inalmbrico para los perfiles tanto Corporate como Guest, configure
las opciones en ambas pestaas segn se explca ms arriba.
Para continuar:
Contine en Definir Opciones de Canal Inalmbrico para Cortafuegos SOHO (pag.
375).
Definir Opciones de Canal Inalmbrico para Cortafuegos SOHO

Las opciones de Canal Inalmbrico se usan tanto para acceso Corporate como Guest.
Para definir las opciones inalmbircas generales
1. Abra las propiedades del Cortafuegos SOHO y cambie a la pestaa Wireless Channel.
Ilustracin 143: Propiedades de Cortafuegos SOHO - Pestaa Canal

Inalmbrico
2. Seleccione el rea de Uso (Usage Area) de acuerdo con dnde vayan a estar sus
usuarios. Esto afecta a cmo la seal se transmite y afecta a la calidad de la seal.
Tenga en cuenta que esto no es una medida de seguridad y seleccionar la opcin
Indoor (Interior) por s slo no puede evitar que la seal escape al exterior.
3. Seleccione el Canal (Channel). Si hay cerca otros puntos de acceso, use canales que
estn lo ms alejados posible para evitar intefrerencias.
4. Seleccione la Potencia de Emisin (Transmit Power) para la seal. Seleccionar la
potencia de emisin correcta puede requerir algo de experimentacin en la localizacin.
Establecer la Potencia de Emisin ms baja reduce las posibilidades de accesos no
autorizados y puede aliviar problemas de interferencias entre puntos de acceso.
5. Seleccione el Modo Inalmbrico (Wireless Mode) de acuerdo con las capacidades de

los clientes que se conecten.
802 11b: modo slo wireless-b 11 Mbit.
802 11g: modo slo wireless-g 54 Mbit.
802 11 mixed: Modo mixto wireless-b/g con prembulo corto (igual que el siguiente).
802 11 mixed short: igual que el anterior.
802 11 mixed long: Modo mixto wireless-b/g con prembulo largo.
Para continuar:
Si est creando uno o ms nuevos Cortafuegos SOHO, proceda a Completar la
Configuracin del Cortafuegos SOHO (pag. 376), o Completar el Asistente de Crear
Mltiples Cortafuegos SOHO (pag. 376).
Completar la Configuracin del Cortafuegos SOHO

El procedimiento siguiente es para crear un nico elemento Cortafuegos SOHO. Si est creando
varios Cortafuegos SOHO simultneamente, vea Completar el Asistente de Crear Mltiples
Cortafuegos SOHO (pag. 376).
Para completar la configuracin del Cortafuegos SOHO
1. (Opcional) Cambie a la pestaa Permissions (Permisos) para aadir el elemento
Cortafuegos SOHO a una Lista de Control de Acceso (Access Control List) que haya
creado y para dar permisos a administradores individuales sobre este elemento.
Por defecto, los Cortafuegos SOHO pertenencen a una Lista de Control de Acceso
llamada ALL SOHO Firewalls (TODOS los Cortafuegos SOHO) (adems de a ALL
Elements TODOS los Elementos).
Vea Empezar con las Cuentas de Administrador (pag. 214) para ms informacin sobre
los permisos de administrador.
2. Pulse OK.
Para continuar:
Si quiere ofrecer conectividad VPN justo tras importar la configuracin, configure
primero la VPN entre un sitio central y los cortafuegos SOHO. Vea Empezar con
VPNs IPsec (pag. 716).
En otro caso, conecte el dispositivo cortafuegos SOHO al Management Server. Vea
Guardar una Configuracin Inicial para Dispositivos Cortafuegos SOHO (pag. 395).
Completar el Asistente de Crear Mltiples Cortafuegos SOHO

Tras configurar los interfaces, est preparado para continuar con el asistente.
Para completar la configuracin de mltiples cortafuegos SOHO
1. Pulse Next (Siguiente). Se mostrar una pgina resumen con detealles de los nuevos
elementos.
2. Compruebe la informacin y pulse Create (Crear) para aadir los elementos a su
sistema.
3. Haga doble click sobre uno de los elementos recin creados y complete su
configuracin:
Si seleccion una direccin IP esttica para el interfaz Externo, debe introducir la
direccin IP y la pasarela por defecto para cada Cortafuegos SOHO individual (vea
Definir Interfaces Externos para Cortafuegos SOHO (pag. 366)).
Si su ISP requiere un usuario y contrasea, puede introducir la informacin ahora o a
travs del Interfaz Web local del Cortafuegos SOHO cuando instale el dipositivo (vea
Definir Interfaces Externos para Cortafuegos SOHO (pag. 366)).
(Opcional) Cambie a la pestaa Permissions (Permisos) para aadir el elemento
Cortafuegos SOHO a una Lista de Control de Acceso (Access Control List) que haya
creado y para dar permisos a administradores individuales sobre este elemento (vea
Completar la Configuracin del Cortafuegos SOHO (pag. 376)). Por defecto, los
Cortafuegos SOHO pertenencen a una Lista de Control de Acceso llamada ALL SOHO
Firewalls (TODOS los Cortafuegos SOHO) (adems de a ALL Elements TODOS los
Elementos).
4. Pulse OK. Repita desde el Paso 3 para completar la configuracin de cada elemento
creado.
Para continuar:
Si quiere ofrecer conectividad VPN justo tras importar la configuracin, configure
primero la VPN entre un sitio central y los cortafuegos SOHO. Vea Empezar con
VPNs IPsec (pag. 716).
En otro caso, conecte el dispositivo cortafuegos SOHO al Management Server. Vea
Guardar una Configuracin Inicial para Dispositivos Cortafuegos SOHO (pag. 395).
Configuracin del Interfaz de Sensores y Analizadores

La configuracin de interfaz para StoneGate IPS consiste en definir el nmero requerido de

Interfaces Fsicos, aadir el nmero requerido de VLANs (si se necesita), y aadir direcciones IP o
un rol de inspeccin de trfico al interfaz. Las Direcciones IP se requieren para interfaces usados en
las comunicaciones del sistema. Los interfaces que tienen un rol de inspeccin de trfico funcionan
transparentemente en la red y no tienen direcciones IP.
Un elemento Interfaz Fsico se usa para activar un puerto de red en el dispositivo IPS. Por defecto,
la numeracin de los Interfaces Fsicos en el Management Client corresponde a la numeracin del
interfaz en el sistema operativo del dispositivo (es decir, el ID de Interfaz 0 se mapea a eth0, el ID1
a eth1, etc.). De cualquier modo, el mapeo no es fijo y puede cambiarlo mediante la lnea de
comando del dispositivo.
Antes de cambiar la configuracin de interfaz de sensor y analizador, le recomendamos hacer
una copia de seguridad del Management Server. Vea Crear Copias de Seguridad (pag. 795)
para ms informacin.
Para continuar:
Empiece por Definir Interfaces de Comunicaciones del Sistema para Dispositivos IPS
(pag. 378).
Tareas Relacionadas
Definir Interfaces de Inspeccin de Trfico para Sensores (pag. 379)
Establecer Opciones de Interfaz para Dispositivos IPS (pag. 385)
Definir Interfaces de Comunicaciones del Sistema para

Dispositivos IPS
Cada dispositivo IPS necesita al menos un interfaz para comunicarse con otros componentes del
sistema. Puede definir ms de un interfaz de comunicaciones con el sistema si es necesario en su
entorno de red.
Para definir un interfaz de comunicaciones con el sistema para dispositivos IPS
1. Abra las propiedades del dispositivo IPS y cambie a la pestaa Interfaces.
2. Pulse botn derecho sobre el espacio vaco y seleccione New Physical Interface
(Nuevo Interfaz Fsico). Se abrir el dilogo de Propiedades del Interfaz Fsico.
Ilustracin 144: Propiedades del Interfaz Fsico
3. Seleccione un ID de Interfaz (Interface ID). Automticamente se mapea a un interfaz

fsico del mismo nmero durante la configuracin inicial del dispositivo, pero el mapeo
se puede cambiar si es necesario mediante la lnea de comando del dispositivo.
4. (No aplicable a Analizadores) Seleccione Normal Interface como Tipo (Type).
5. Pulse OK. El interfaz fsico se aade a la lista de interfaces.
6. (No aplicable a Analizadores) Si las comunicaciones del sistema deben usar una VLAN
particular en el segmento de red conectado directamente:
6a. Pulse botn derecho sobre el Interfaz Fsico que acaba de aadir y seleccione New
VLAN Interface (Nuevo Interfaz VLAN). Se abrir el dilogo de Propiedades de
VLAN.
6b. Escriba el ID de VLAN (VLAN ID) adecuado (1-4094) y pulse OK.
7. Pulse botn derecho sobre el Interfaz Fsico o VLAN que acaba de aadir y seleccione
NewIPv4 Address (NuevoDireccin IPv4) o New IPv4 Address (Nueva Direccin
IPv4). Se abrir el dilogo de Propiedades de Direccin IP.
8. Haga doble click sobre la celda IPv4 Address en la tabla e introduzca la direccin IP.
Repita para cada nodo si es un elemento Clster de Sensores.
9. Si es necesario, defina la direccin de contacto para el interfaz o para cada nodo si es
un elemento clster de sensores haciendo doble click sobre la celda Contact Address
(Direccin de Contacto). Se abrir el dilogo de Excepciones (vea Definir Direcciones
de Contacto para un Dispositivo IPS (pag. 66) para instrucciones detalladas).
Introduzca la direccin de contacto por Defecto (Default) arriba en el dilogo. La
direccin de contacto por defecto se usa por defecto siempre que un componente que
pertenece a otra Localizacin se conecta a este interfaz.
Si componentes de alguna otra Localizacin no pueden usar la direccin de contacto
por Defecto, pulse Add (Aadir) para definir direcciones de contacto especficas por
Localizacin.
11. Repita los pasos anteriores segn sea necesario para aadir ms Interfaces Fsicos, o
ms VLANs y/o direcciones IP al mismo Interfaz Fsico.
Para continuar:
Si est definiendo un nuevo elemento Sensor, proceda a Definir Interfaces de
Inspeccin de Trfico para Sensores (pag. 379).
Si est definiendo un elemento Analizador o editando un elemento Sensor existente,
proceda a Establecer Opciones de Interfaz para Dispositivos IPS (pag. 385).
Definir Interfaces de Inspeccin de Trfico para Sensores

En StoneGate IPS, los sensores son los componentes que recogen el trfico de la red para su
inspeccin. El sensor puede instalarse bien en una configuracin tipo IDS en la cual el trfico slo
es capturado para su inspeccin (mediante mirroring) o en una configuracin completa de IPS
donde el sensor se instala inline, directamente en el camino del trfico de forma que ele trfico
debe pasar siempre a travs del sensor para alcanzar su destino. Slo el trfico que intenta pasar a
travs de Interfaces Inline puede ser activamente filtrado. De cualquier modo, las conexiones
capturadas a travs de Interfaces Capture pueden ser reseteadas mediante Reset Interfaces
especialmente configurados. Tanto los Interfaces Inline como Capture pueden definirse en el
mismo sensor y usarse simultneamente.
Cul interfaz use el trfico para entrar en el sensor es a menudo relevante para la inspeccin y el
manejo del trfico, de modo que puede ser necesario hacer que el sensor conozca el segmento de
red en el cual apareci el trfico. Adems los Interfaces Capture e Inline deben ser diferenciados
unos de otros en la configuracin debido a sus diferentes roles. Los elementos Logical Interface le
permiten agrupar interfaces de acuerdo con el segmento de red y el tipo de interfaz. Puede usar los
elementos Interfaz Logical como criterios de bsqueda cuando edite las reglas en sus polticas de
IPS.
Para continuar:
En el sistema hay un Interfaz Logical (llamado Default) por defecto. Si quiere crear
tanto Interfaces Capture como Inline en el mismo sensor, debe aadir al menos un
Interfaz Logical ms: proceda a Definir Interfaces Logical para Sensores (pag. 380).
Para definir un Interfaz Capture, debe disponer de un Interfaz Reset para l, vea
Definir Interfaces Reset para Sensores (pag. 381).
Definir Interfaces Capture para Sensores (pag. 381).
Definir Interfaces Inline para Sensores (pag. 383).
Definir Interfaces Logical para Sensores

Un Interfaz Logical se usa en las polticas de IPS y en el proceso de inspeccin de trfico para
representar un segmento de red. Ayudan a limitar el alcance de sus reglas de IPS. El mismo
Interfaz Logical no puede usarse para representar tanto Interfaces Capture como Inline en el
mismo sensor.
En otro caso, un Interfaz Logical puede representar cualquier combinacin de interfaces. Todas las
reglas en la plantilla de poltica de IPS por defecto se aplican en todos los Interfaces Logical.
Para definir un nuevo elemento Interfaz Logical
Si actualmente est creando un nuevo elemento Sensor, deje el dilogo de
Propiedades del Sensor abierto en segundo plano.
2. Expanda la rama Other Elements (Otros Elementos) en el rbol IPS.
3. Pulse botn derecho sobre Logical Interfaces y seleccione New Logical Interface
(Nuevo Interfaz Logical). Se abre el dilogo de Propiedades del Interfaz Logical.
Ilustracin 145: Propiedades del Interfaz Logical
4. Escriba un Nombre (Name) para el nuevo elemento.

5. (Opcional) Si se usa VLAN tagging en los Interfaces Capture, puede seleccionar la
opcin View interface as one LAN (Ver Interfaz como una LAN) para hacer que
StoneGate trate las VLANs asociadas como una nica LAN. Esto evita que el sensor
vea una nica conexin como mtiples conexiones cuando un switch pasa trfico entre
diferentes VLANs y todo el trfico es copiado (mirrored) al sensor mediante un puerto
de SPAN.
6. Pulse OK.
Para continuar:
Definir Interfaces Reset para Sensores (pag. 381).
Definir Interfaces Reset para Sensores

Los Interfaces Reset pueden enviar resets TCP y mensajes ICMP destination unreachable
(destino inalcanzable) para interrumpir las comunicaciones capturadas mediante Interfaces
Capture cuando las comunicaciones provocan una respuesta.
Los resets se envan usando las direcciones origen y destino y direcciones MAC de los hosts de
comunicaciones, de forma que una direccin IP no es obligatoria para un Interfaz Reset. Puede
aadir una direccin IP si quiere usar este interfaz tambin para las comunicaciones del sistema.
Las VLANs se soportan para enviar resets, pero la VLAN correcta se selecciona automticamente y
un interfaz que quiera usar como Interfaz Reset no debe tener ninguna configuracin de VLAN
aadida manualmente.
Tambin puede usar un interfaz de comunicaciones con el sistema para enviar resets si los resets
se enrutan correctamente a travs de ese interfaz (vea Definir Interfaces de Comunicaciones del
Sistema para Dispositivos IPS (pag. 378)) y si no hay VLANs definidas en el interfaz.
Para aadir un Interfaz Reset
1. Abra las propiedades del elemento Sensor y cambie a la pestaa Interfaces.
3. Seleccione un ID de Interfaz (Interface ID). Automticamente se mapea a un interfaz
fsico del mismo nmero durante la configuracin inicial del dispositivo, pero el mapeo
puede cambiarse si es necesario mediante la lnea de comando del dispositivo.
4. Seleccione Normal Interface como Tipo (Type) de Interfaz.
5. Pulse OK. El Interfaz Fsico se aade a la lista de Interfaces.
Este interfaz ya puede usarse como Interfaz Reset. Cuando configure la red fsica, asegrese de
que el Interfaz Reset conecta a las mismas redes que los Interfaces Capture.
Para continuar:
Configure los Interfaces Capture que usan este Interfaz Reset segn se explica en
Definir Interfaces Capture para Sensores

Los Interfaces Capture escuchan trfico que no se enruta a travs del Sensor. Puede tener tantos
Interfaces Capture Interfaces como puertos fsicos haya disponibles en el sensor (no hay
restricciones de licencia acerca de este tipo de interfaz). Deber configurarse equipamiento externo
para copiar (mirror) el trfico al Interfaz Capture.
Para definir un Interfaz Capture
Ilustracin 146: Propiedades del Interfaz Fsico - Interfaz Capture
3. Defina las propiedades del interfaz segn se explica en la siguiente tabla.
Opcin Explicacin
Seleccione un ID de Interfaz. Automticamente se mapea a un interfaz fsico del
Interface ID
mismo nmero durante la configuracin inicial del dispositivo, pero el mapeo puede
(ID de Interfaz)
cambiarse si es necesario mediante la lnea de comando del dispositivo.
Type (Tipo) Seleccione Capture Interface como Tipo (Type) de Interfaz.
Reset
Seleccione el Reset Interface para especificar el interfaz a travs del cual los resets
Interface
de conexin TCP se envan cuando se usan respuestas Reset en su poltica de IPS.
(Interfaz Reset
Para ms informacin, vea Definir Interfaces Reset para Sensores (pag. 381).
- Opcional)
Seleccione el Logical Interface. Para ms informacin, vea Definir Interfaces
Logical Logical para Sensores (pag, 380).
Interface No puede usar el mismo elemento Interfaz Logical tanto para los Interfaces Inline
como Capture en el mismo Sensor.
Inspect
Unspecified
Deseleccione esta opcin para hacer que el sensor ignore el trfico de VLANs que
VLANs
no estn incluidas en la configuracin de interfaces del sensor. Se recomienda que
(Inspecccionar
mantenga esta opcin seleccionada si no tiene una razn especfica para
VLANs no
deseleccionarla.
Especificadas -
Opcional)
4. Pulse OK para salvar los parmetros del interfaz.
Para continuar:
Aadir Interfaces VLAN para Sensores (pag. 384).
Si est creando un nuevo elemento o aadi direcciones IP a uno existente, proceda
a Establecer Opciones de Interfaz para Dispositivos IPS (pag. 385).
Si aadi un nuevo Interfaz a un elemento existente, pulse OK y refresque la poltica
del sensor para activar la nueva configuracin de interfaz.
Definir Interfaces Inline para Sensores

Los Interfaces Inline permiten que el trfico fluya por el Sensor, de forma que el trfico que se
considera daino puede ser activamente filtrado. El nmero de Interfaces Inline que puede
configurar est limitado por la licencia del sensor.
Un Interfaz Inline difiere de los otros interfaces: consiste en dos Interfaces Fsicos diferentes. De
este modo, el sensor puede inspeccionar el trfico que entra por un interfaz y o bien pararlo o bien
enviarlo al otro interfaz. Los dos interfaces son iguales en la configuracin y el trfico que se
permite pasar siempre es reenviado de un interfaz al otro (no hay decisiones de enrutamiento
envueltas en este proceso).
Nota Las tarjetas de red Fail-open tienen parejas de puertos fijos. Tenga particular
cuidado de mapear estos puertos sorrectamente. De otro modo, las tarjetas de red no
pasarn a fail open cuando el sensor est offline.
Para definir un interfaz Inline

2. Pulse el botn derecho sobre el espacio vaco y seleccione New Physical Interface
Ilustracin 147: Propiedades del Interfaz Fsico - Interfaz Inline
3. Defina las propiedades del interfaz segn la siguiente tabla.
Opcin Explicacin
Seleccione el ID de Interfaz. Automticamente se mapea a un interfaz fsico del
Interface ID
mismo nmero durante la configuracin inicial del dispositivo, pero el mapeo se
(ID de Interfaz)
puede cambiar si es necesario mediante la lnea de comando del dispositivo.
Type (Tipo) Seleccione Inline Interface como Tipo (Type) de Interfaz.
Second
Interface ID Seleccione un Segundo ID de Interfaz. Automticamente se mapea a un interfaz
(Segundo ID de fsico durante la configuracin inicial del dispositivo.
Interfaz)
Seleccione el Interfaz Logical. Para ms informacin, vea Definir Interfaces Logical
Logical para Sensores (pag. 380).
Interface No puede usar el mismo elemento Interfaz Logical tanto para los Interfaces Inline
como Capture en el mismo Sensor.
Opcin Explicacin
Inspect
Unspecified Deseleccione esta opcin para hacer que el sensor ignore el trfico de
VLANs VLANs no incluidas en la configuracin de interfaz del sensor. Se recomienda
(Inspeccionar VLANs que mantenga esta opcin seleccionada si no tiene una razn especfica para
no Especificadas - deseleccionarla.
Optional)
4. Pulse OK para salvar las opciones de interfaz.
Para continuar:
Aadir Interfaces VLAN para Sensores (pag. 384).
Si est creando un nuevo elemento o aadi direcciones IP a uno existente,
proceda a Establecer Opciones de Interfaz para Dispositivos IPS (pag. 385).
Si aadi un nuevo Interfaz a un elemento existente, pulse OK y refresque la
poltica del sensor para activar la nueva configuracin de interfaz.
Aadir Interfaces VLAN para Sensores

Las VLANs dividen un nico enlace de red fsico en varios enlaces virtuales. Las VLANs no se
pueden definir para Analizadores (esto incluye analizadores que son parte de un sensor-analizador
combinado). En los sensores, se pueden configurar hasta 4094 VLANs por interfaz.
El trfico capturado de un interfaz VLAN tagged puede ser inspeccionado sin configurar VLAN
tagging en el sensor. De cualquier modo, debe configurar las VLANs en el sensor si quiere crear
diferentes reglas de inspeccin de trfico para VLANs diferentes. Incluso en ese caso, no todas las
VLANs necesitan estar especificadas en el sensor. Las VLANs pueden usarse opcionalmente para
enviar las conexiones de gestin y logs del sensor a travs de un segmento VLAN conectado
directamente. Los identificadores de VLAN que configure en el sensor deben coincidir con los de la
configuracin del switch/router.
Si el sensor encuentra VLANs desconocidas, puede inspeccionar o no el trfico; esto se controla
con la opcin Inspect Unspecified VLANs (Inspeccionar VLANs no Especificadas) en la definicin
de los Interfaces Inline y Capture (por defecto, la opcin est activada de forma que se inspeccione
todo el trfico).
Precaucin No aada ninguna definicin manual de VLANs a un interfaz que desee

usar para enviar resets. Aadir VLANs evita poder seleccionar el interfaz como Reset y
elimina el Interfaz de Reset de cualquier seleccin existente. El sensor automticamente
usa la VLAN correcta cuando enva resets.
Para definir un Interfaz VLAN

2. Pulse botn derecho sobre un Interfaz Fsico y seleccione New VLAN Interface (Nuevo
Interfaz VLAN). Se abrir el dilogo de Propiedades de Interfaz VLAN.
Ilustracin 148: Propiedades de Interfaz VLAN
3. Introduzca el ID de VLAN (VLAN ID) (1-4094). ste se usa en ambos interfaces en el

par inline.
Nota El ID de VLAN (VLAN ID) debe ser el mismo que el ID usado en los switches
que forman el trunk de VLAN.
4. Pulse OK. El ID de VLAN especificado se aade al Interfaz Fsico.

5. Repita desde el Paso 2 para aadir ms VLANs (hasta 4094 de acuerdo con la
configuracin del dispositivo al otro extremo del enlace).
El nuevo Interfaz VLAN ya est listo. El Interfaz VLAN se identifica como ID-de-Interfaz.ID-
VLAN, por ejemplo 2.100 para el ID de Interfaz 2 e ID de VLAN 100.
Para continuar:
Si est creando un nuevo elemento o aadi direcciones IP a uno existente, proceda
a Establecer Opciones de Interfaz para Dispositivos IPS (pag. 385).
Si aadi un nuevo Interfaz a un elemento existente, pulse OK y refresque la poltica
del sensor para activar la nueva configuracin de interfaz.
Establecer Opciones de Interfaz para Dispositivos IPS

Las opciones de Interfaz le permiten seleccionar qu interfaces se usan segn qu tipos de
comunicaciones del sistema.
Para establecer las opciones de interfaz
1. Abra las propiedades del dispositivo IPS y cambie a la pestaa Interfaces.
2. Pulse el botn Options (Opciones) bajo la tabla de interfaces. Se abrir el dilogo de
Opciones de Interfaz.
Ilustracin 149: Opciones de Interfaz - Clster de Sensores
3. Defina las propiedades del interfaz segn se explica en la siguiente tabla.
Opcin Explicacin
Seleccione el Interfaz de Control Primarios. Los Interfaces de
Primary (Control Interface)
Control se usan para las comunicaciones con el Management
(Primario Interfaz de Control)
Server.
Backup (Control Interface)
Seleccione un Interfaz de Control de Respaldo que se usar si el
Respaldo (Interfaz de Control)
interfaz Primario no est disponible.
(Opcional)
Seleccione el Interfaz de Heartbeat Primario para las
comunicaciones entre los nodos del clster. Este no debe ser un
Primary (Heartbeat Interface) interfaz VLAN.
Primario (Interfaz de Heartbeat) Es muy recomendable una red dedicada (sin otro trfico) por
(Slo Clusters de Sensores) seguridad y fiabilidad de las comunicaciones de heartbeat.
En un clster de dos nodos se recomienda un cable cruzado sin
dispositivos intermedios adicionales para el enlace de heartbeat.
Backup (Heartbeat Interface) Seleccione un Interfaz de Heartbeat Secundario que se usar si el
(Respaldo - Interfaz de Primario no est disponible. No es obligatorio configurar un interfaz
Heartbeat) de respaldo para el trfico de heartbeat, pero s muy recomendable.
(Slo Clsters de Sensores - Si el trfico de heartbeat no fluye, el clster puede funcionar
opcional) incorrectamente.
Log/Analyzer Communication
En los Sensores, esto es para reenviar la informacin acerca del
Source IP Address
trfico procesador al Analizador para procesado posterior.
(Direccin IP de Origen para
En los Analizadores y Sensores-Analizadores, esto es para reenviar
Comunicaciones de
los logs y alertas al Log Server.
Log/Analizador)
4. Pulse OK.
Para continuar:
Si est creando un nuevo elemento, configure el enrutamiento segn se explica en
Aadir Rutas para Componentes IPS (pag. 453), y conecte el dispositivo al
Management Server segn se explica en Guardar una Configuracin Inicial para
Dispositivos Cortafuegos o IPS (pag. 393).
En otro caso, pulse OK y refresque la poltica del sensor para activar la nueva
configuracin de interfaz.
Configurar Parmetros ARP Manuales

Prerrequisitos: Vea Crear y Modificar Elementos Dispositivos y Configuracin del Interfaz de Red
Las entradas ARP normalmente se gestionan automticamente en base a la configuracin de

enrutamiento. No es necesario aadir entradas ARP manuales a menos que haya problemas
relacionados con ARP (tal como dispositivos que no responden a peticiones de ARP gratuitas, o
que imponen un retardo significativo a tales operaciones). Slo se soportan direcciones IPv4 en
entradas ARP.
Puede definir entradas de ARP (Address Resolution Protocol) estticas y Proxy que sean
generadas por los dispositivos cortafuegos o IPS independientemente de la poltica instalad en
los nodos. Las entradas ARP aadidas manualmente pueden ser editadas o eliminadas en el
dilogo de Propiedades de los elementos dispositivos.
Para aadir o suprimir una entrada ARP
1. Pulse botn derecho en el dispositivo y sleccione Properties. Se abrir el dilogo de
Propiedades del elemento.
2. Cambie a la pestaa Interfaces.
3. Pulse el botn ARP Entries (Entradas ARP) bajo la tabla de interfaces. Se abrir el dilogo
de Propiedades de Entrada ARP.
Ilustracin 150: Propiedades de Entrada ARP (Cortafuegos)
4. Modifique las entradas ARP:

Para eliminar una netrada, seleccione la entrada y pulse Remove ARP Entry (Eliminar
Entrada ARP).
Para aadir una entrada, pulse el botn Add Entry (Aadir Entrada). Se aadir una
nueva entrada a la tabla.
5. (Slo Cortafuegos) Pulse la celda Type (Tipo) de la nueva entrada y seleccione el tipo de
entrada ARP que quiere aadir:
Una entrada ARP Esttica (Static) proporciona al dispositivo una referencia permanente a
un par direccin IP/direccin MAC. Todas las entradas son de este tipo en dispositivos IPS.
Una entrada ARP Proxy proporciona al cortafuegos una referencia a un par direccin
IP/direccin MAC para el cual el cortafuegos deber ejecutar proxy ARP. Proxy ARP slo
es posible para mquinas localizadas en redes conectadas directamente al cortafuegos.
6. (Slo Cortafuegos) Seleccione el ID de Interfaz (Interface ID) para el interfaz en el cual
desea aplicar esta entrada ARP.
7. Haga doble click en la celda IP Address para introducir la Direccin IP. Slo se soportan
direcciones IPv4.
8. Haga doble click en la celda MAC Address para introducir la direccin MAC.
9. Pulse OK.
Para continuar:
Refresque la poltica para transferir la nueva configuracin a los dispositivos.
Activar el Servidor DHCP Interno en un Interfaz de Cortafuegos

Prerrequisitos: Vea Empezar con la Configuracin del Interfaz
Los Cortafuegos Independientes y en Clster disponen de un servidor DHCP integrado que

puede configurarse independientemente en varios Interfaces Fsicos y VLANs. Cuando se
configuran VLANs, el servidor DHCP debe ser configurado separadamente para cada VLAN.
Slo se soportan direcciones IPv4. Para usar esta funcionalidad, el interfaz del cortafuegos
debe tener el menos una direccin IPv4.
Nota No puede usar el servidor DHCP interno para proporcionar direcciones IP al

Adaptador Virtual del Cliente VPN.
Para activar el servidor DHCP interno en un interfaz de cortafuegos

1. Pulse botn derecho en el elemento Cortafuegos Independiente o en Clster y
seleccione Properties. Se abrir el dilogo de Propiedades del Cortafuegos.
3. Pulse botn derecho cobre un Interfaz Fsico o VLAN y seleccione Edit Physical
Interface (Editar Interfaz Fsico) o Edit VLAN Interface (Editar Interfaz VLAN). Se
abrir el dilogo de Propiedades.
4. Cambie a la pestaa DHCP.
Ilustracin 151: Propiedades de Interfaz Fsico - Pestaa Servidor DHCP
10
5. Seleccione DHCP Server (Servidor DHCP) en DHCP Mode (Modo DHCP). Aparecern
las Opciones del Servidor DHCP.
6. Introduzca la direccin inicial y final del Rango de Direcciones DHCP (DHCP Address
Range) que el cortafuegos asignar a los clientes. En Clsters de Cortafuegos, el rango
se divide automticamente entre los nodos.
Nota El rango DHCP debe estar en el mismo espacio de red definido para el Interfaz
Fsico- El rango no debe contener las direcciones NDI/CVI del cortafuegos o direcciones
IP de bradcast de redes situadas tras el cortafuegos.
7. (Opcional) Introduzca las direcciones IP de los servidores DNS Primario (Primary DNS
Server) y Secundario (Secondary DNS Server) que usarn los clientes para resolver
nombres de dominio.
8. (Opcional) Introduzca las direcciones IP de los servidores WINS Primario (Primary
WINS Server) y Secundario (Secondary WINS Server) que usarn los clientes para
resolver nombres de ordenador NetBIOS.
9. Introduzca la direccin IP de la Pasarela por Defecto (Default Gateway) a travs de la
cual se enrutar el trfico de los clientes.
10. (Opcional, slo clsters) Seleccione Override DHCP Ranges per Node (Anular Rangos
de DHCP por Nodo) e introduzca el Rango DHCP (DHCP Address Range)para cada de
Nodo.
Precaucin Introduzca rangos nico para cada nodo. Rangos superpuestos pueden
causar la duplicacin de direcciones IP.
11. Pulse OK y repita los pasos para todos los interfaces en los cuales quiera activar el
servidor DHCP.
12. Permita el trfico relacionado con DHCP en las reglas de Acceso IPv4 del cortafuegos:
Permita mensajes de broadcast DHCP. Use el elemento de Servicio BOOTPS (UDP).
Permita mensajes del rango DHCP definido en el Paso 6 a las direcciones que el
cortafuegos use hacia los clientes. Use el elemento de servicio BOOTPS (UDP).
Permita mensajes de las direcciones IP que el cortafuegos use hacia los clientes desde
el rango DHCP definido en el Paso 6. Use el elemento de servicio BOOTPC (UDP).
Para continuar:
Tareas Relacionadas
Para reenviar los mensajes DHCP de los clientes hacia/desde un servidor DHCP externo, vea
Enrutar Mensajes DHCP (pag. 445).
Editar Reglas de Acceso (pag. 518)
CAPTULO 28
CONECTAR DISPOSITIVOS AL
STONEGATE MANAGEMENT CENTER
Para mantener la seguridad de su sistema, los dispositivos establecen una

conexin autenticada y cifrada con los Log Servers y Management Servers.
Empezar con la Conexin de Dispositivos al SMC (pag. 392)

Guardar una Configuracin Inicial para Dispositivos Cortafuegos o IPS (pag. 393)
Guardar una Configuracin Inicial para Dispositivos Cortafuegos SOHO (pag. 395)
Conectar Pasarelas SSL VPN al SMC (pag. 396)
Empezar con la Conexin de Dispositivos al SMC

Prerrequisitos: Vea Empezar con los Elementos Dispositivo
Qu Hace el Conectar los Dispositivos al SMC

Cuando conecta los dispositivos al SMC, los dispositivos contactan con el Management Server
de acuerdo con un procedimiento de contacto inicial especial, durante el cual reciben un
certificado. El certificado permite al dispositivo autenticarse l mismo ante otros componentes en
todas las comunicaciones posteriores. Cuando los componentes contactan unos con otros,
comprueban si el certificado del otro componente est firmado por la misma autoridad de
certificacin interna que su propio certificado. La autoridad de certificacin se ejecuta en el
Management Server, pero est separada del propio Management Server. EL procedimiento
inicial de contacto se securiza usando una contrasea de un solo uso.
Si el certificado del dispositivo se pierde o expira, el procedimiento inicial de contacto debe ser
repetido para reconectar el dispositivo a los otros componentes.
Limitaciones
Los certificados de dispositivo expiran a los tres aos de la fecha de emisin. Si la opcin de
renovacin automtica de certificados est activa para el dispositivo, el certificado se renueva
automticamente antes de que expire. La renovacin automtica de certificados no est soportada
para cortafuegos SOHO.
La autoridad de certificacin interna que firma los certificados de dispositivos es vlida para diez
aos. La autoridad de certificacin interna se renueva automticamente seis meses antes de la
fecha de expiracin y se crean automticamente nuevos certificados firmados por la nueva
autoridad de certificacin interna para los dispositivos. Si la renovacin automtica de certificados
falla, deber ejecutar el contacto inicial de nuevo con el Management Server de forma que el
dispositivo reciba un nuevo certificado.

1. Guarde una configuracin inicial para el dispositivo en el Management Server. Esto produce
la creacin de una contrasea de un solo uso que el dispositivo puede usar para conectar
con el Management Server.
2. Haga que el dispositivo contactes con el Management Server.
Para dispositivos Cortafuegos/VPN o IPS, vea Reconfigurar los Parmetros Bsicos del
Dispositivo (pag. 203).
Para Cortafuegos SOHO, vea la Gua Appliance Installation Guide suministrada con el
dispositivo.
Para pasarelas SSL VPN gateways, vea Conectar Pasarelas SSL VPN al SMC (pag. 396).
3. (No aplicable a pasarelas SSL VPN) Instale una poltica en el dispositivo para transferir la
configuracin de trabajo completa desde el Management Server al dispositivo.
Para dispositivos Cortafuegos/VPN o IPS, vea Instalar Polticas (pag. 501).
Para Cortafuegos SOHO, vea la Gua Appliance Installation Guide suministrada con el
dispositivo.
Para continuar:
Guardar una Configuracin Inicial para Dispositivos Cortafuegos o IPS (pag. 393)
Guardar una Configuracin Inicial para Dispositivos Cortafuegos SOHO (pag. 395)
Conectar Pasarelas SSL VPN al SMC (pag. 396)
Guardar una Configuracin Inicial para Dispositivos Cortafuegos o

IPS
Esta operacin le permite establecer una conexin de gestin para nuevos dispositivos por primera
vez. Tambin le permite reconectar dispositivos previamente configurados que han perdido la
conexin debido a un certificado perdido o expirado o porque la autoridad de certificacin interna
que firma el certificado del dispositivo ha sido renovada y los dispositivos todava no han recibido un
nuevo certificado firmado por la nueva autoridad de certificacin interna.
Si est instalando un nuevo dispositivo o quiere sustituir la configuracin de trabajo previa del
dispositivo, esta operacin tambin le permite guardar partes relevantes de la configuracin en un
diskette o memoria USB e importarla durante la instalacin del dispositivo.
Para continuar:
Empiece por Crear Contraseas de Un Solo Uso.
Crear Contraseas de Un Solo Uso

La contrasea de un solo uso que se crea es especfica para cada dispositivo. Mantenga
seguimiento que qu dispositivo tiene cul contrasea. Si las mezcla o las pierde, puede repetir el
procedimiento y crear nuevas configuraciones iniciales para esos dispositivos.
Para crear un contrasea de un solo uso
1. Guarde la informacin de configuracin inicial:
Para un dispositivo individual: pulse botn derecho sobre el elemento nodo de nivel
inferior y seleccione Save Initial Configuration (Guardar Configuracin Inicial).
Para todos los dispositivos de un clster: pulse botn derecho sobre el elemento clster
de ms alto nivel y seleccione ConfigurationSave Initial Configuration
(ConfiguracinGuardar Configuracin Inicial).
Ilustracin 152: Dilogo de Configuracin Inicial
Huella digital de la autoridad

de certificacin interna del
Management Server
Contrasea de un solo uso para
cada nodo incluido
Se muestran la huella digital del Management Server (Management SSL Fingerprint) y la

contrasea de un solo uso generada (One-Time Generated Password). La contrasea de
un solo uso es obligatoria y se usa para autenticar el dispositivo ante el Management Server.
La huella digital puede ser usada opcionalmente para hacer que el dispositivo verifique la
identidad del Management Server.
Nota Si hay un cortafuegos entre el dispositivo y el Management Server, debe permitir la

conexin en las reglas de acceso IPv4 del cortafuegos. Si hay un dispositivo NAT entre el
dispositivo y el Management Server, debe configurar tambin las reglas de NAT para la
conexin. En otro caso el dispositivo no puede contactar con el Management Server.
Para continuar:
Si quiere introducir manualmente los detalles en el Asistente de Configuracin del
dispositivo o ste ya tiene la configuracin correcta, tome nota de la contrasea de un
solo uso y sela para el contacto inicial desde el dispositivo (puede copiar la
contrasea desde el men de botn derecho).
Si quiere llevar a cabo una instalacin automtica con una memoria USB o importar
los detalles de configuracin inicial en el Asistente de Configuracin del dispositivo,
contine en Guardar los Detalles de Configuracin Inicial.
Guardar los Detalles de Configuracin Inicial

Guardar los detalles de configuracin inicial en una memoria USB permite una configuracin
automtica arrancando el dispositivo con la memoria USB introducida.
Alternativamente puede importar los detalles de la memoria USB o un diskette en el
Asistente de Configuracin manual.
Precaucin Dado que los ficheros de configuracin inicial incluyen la contrasea de un

solo uso para establecer la relacin de confianza entre el Management Server y el
dispositivo, esta informacin debe manejarse con seguridad.
Para guardar los detalles de configuracin inicial

1. (Opcional) Seleccione Enable SSH Daemon (Activar Demonio SSH) para permitir el
acceso remoto a la lnea de comando del dispositivo. SSH puede ser til para la
resolucin de problemas.
Puede activar y desactivar el acceso remoto a la lnea de comando del dispositvo en
cualquier momento tras el establecimiento del contacto de gestin mediante el men de
botn derecho del dispositivo. Se recomienda que desactive el acceso por SSH cuando
no sea necesario y que se asegure de que sus reglas de Acceso permiten el acceso
por SSH a los dispositivos slo desde las direcciones IP de los administradores.
La plantilla de poltica por Defecto no permite estas conexiones, pero la poltica
temporal activada justo tras la configuracin inicial del dispositivo (en aplicacin hasta
que se instala la poltica de trabajo) permite el acceso por SSH desde la direccin IP
del Management Server.
Precaucin Si activa SSH, establezca la contrasea para el acceso por la lnea de

comando tras la configuracin inicial bien desde el Management Client o conectndose
por lnea de comando. Cuando la contrasea no est establecida, cualquiera con acceso
por SSH al dispositivo puede cambiar la contrasea.
2. (Opcional) Seleccione la Zona Horaria (Local Time Zone) y la Disposicin del Teclado
(Keyboard Layout) para usar en la lnea de comando. Tenga en cuenta que la zona
horaria slo es para mostrar la hora en la consola local; el dispositivo siempre usa
tiempo UTC (GMT) internamente. El reloj se sincroniza automticamente para coinicidir
con el tiempo del Management Server.
3. Guarde la informacin de configuracin:

Pulse Save As (Guardar Como) para guardar la contrasea directamente como un
fichero de texto.
Seleccione Copy to Clipboard (Copiar al Clipboard) o escriba la contrasea en algn
sitio para introducirla manualmente durante la configuracin del dispositivo.
4. Pulse Close.
Para continuar:
Inicialize el nodo: bien encienda el dispositivo con la memoria USB insertada o
encindalo e importe la configuracin en el asistente. Vea Reconfigurar los
Parmetros Bsicos del Dispositivo (pag. 203) para instrucciomnes detalladas.
Guardar una Configuracin Inicial para Dispositivos Cortafuegos

SOHO
Debe transferir la configuracin de interfaz de un elemento Cortafuegos SOHO al dispositivo

cuando haya creado un nuevo cortafuegos SOHO o editado las propiedades de un cortafuegos
SOHO existente.
Para crear un fichero de configuracin inicial para un cortafuegos SOHO
1. Pulse botn derecho sobre el elemento Cortafuegos SOHO y seleccione Create Initial
Configuration (Crear Configuracin Inicial). Se abrir el dilogo de Configuracin
Inicial.
2. Seleccione dnde quiere guardar el Fichero de Configuracin Inicial (Initial
Configuration File).
3. Introduzca una contrasea para el acceso de administrador al cortafuegos SOHO en
ambos campos.
4. (Opcional) Proteja la configuracin aadiendo una Contrasea de Cifrado de la
Configuracin (Configuration Encryption Password) escribindola o pulsando el
botn Generate (Generar).
5. Pulse Save (Guardar). La configuracin se escribe a un fichero.
Nota Si hay un cortafuegos entre el Cortafuegos SOHO y el Management Server, debe

NAT entre el cortafuegos SOHO y el Management Server, tambin deber configurar las
reglas de NAT para la conexin. En otro caso, el cortafuegos SOHO no podr contactar
6. Importe el fichero de configuracin en el interfaz Web del Cortafuegos SOHO segn se

indica en la Gua Appliance Installation Guide suministrada con el dispositivo.
Conectar Pasarelas SSL VPN al SMC

Prerrequisitos: Crear un Nuevo Elemento Pasarela SSL VPN
Para conectar una Pasarela SSL VPN al SMC

1. Pulse botn derecho sobre el elemento Pasarela SSL VPN seleccione
ConfigurationSave Initial Configuration (ConfiguracinGuardar Configuracin
Inicial). El dilogo de Configuracin Inicial se abrir y se mostrarn la Huella Digital de
Gestin (Management SSL Fingerprint) y la Contrasea de un Solo Uso Generada
(One-Time Generated Password) (una para cada nodo en una pareja espejada).
La contrasea de un solo uso es obligatoria y se usa para autenticar el dispositivo ante
el Management Server.
La Huella puede ser usada opcionalmente para hacer que tambin el dispositivo
verifique la identidad del Management Server.
2. Tome nota de la contrasea de un solo uso (tambin puede copiar la contrasea
pulsando botn derecho y seleccionando Copy - Copiar).
3. Conctese a la Consola Web SSL VPN y use la contrasea de un solo uso para llevar a
cabo el contacto inicial mediante System Initial Contact (Contacto Inicial del Sistema).
En caso de una pareja espejada, haga esto para ambos nodos (usando contraseas
diferentes).
Nota Si hay un cortafuegos entre la pasarela SSL VPN y el Management Server, debe
NAT entre la pasarela VPN SSL y el Management Server, tambin deber configurar las
reglas de NAT para la conexin. En otro caso, la pasarela VPN SSL no podr contactar
La pasarela VPN SSL est ya configurada para monitorizarse a travs del Management Client y
puede ver su estado directamente. En cualquier caso, debe configurar el dispositivo SSL VPN
separadamente para enviar mensajes syslog al Log Server para poder ver los logs desde el
dispositivo SSL VPN.
CAPTULO 29
CONFIGURAR EL COMPROBADOR DE
DISPOSITIVOS
El Comprobador ejecuta varias pruebas sobre los dispositivos e inicia respuestas basadas
en el xito o fallo de estas pruebas.
Empezar con el Comprobador de Dispositivos (pag. 398)

Especificar Opciones Globales del Comprobador de Dispositivos (pag. 399)
Aadir Pruebas de Dispositivos (pag. 400)
Comprobar las Pruebas Configuradas (pag. 404)
Eliminar Pruebas de Dispositivos (pag. 405)
Desactivar/Activar Pruebas de Dispositivos Configuradas (pag. 406)
Empezar con el Comprobador de Dispositivos

Los dispositivos pueden configurarse con autochequeos peridicos para garantizar el correcto
funcionamiento de cada dispositivo Cortafuegos, Sensor y Analizador. Los Cortafuegos SOHO
no tienen un comprobador configurable.
Qu Hace el Comprobador
El comprobador ejecuta pruebas a ciertos intervalos dependiendo del estado del dispositivo
(online/ offline). Dependiendo del resultado, las acciones bsicas que el comprobador puede
ejecutar son cambiar el estado del dispositivo online/offline y/o enviar alertas y/o traps SNMP.
Limitaciones
El comprobador en los dispositivos tambin ejecuta chequeos internos del sistema que no
pueden ser editados o desactivados. Estos estn pensados para reconocer ciertos problemas de
configuracin y condiciones de error internas, tales como nodos del clster con polticas
diferentes.

1. Configure las opciones globales del comprobador comunes a todas las pruebas. Vea
Especificar Opciones Globales del Comprobador de Dispositivos (pag. 399).
2. Configure las entradas de prueba (opciones para ejecutar pruebas individuales). Vea Aadir
Pruebas de Dispositivos (pag. 400).
Para continuar:
Proceda a Especificar Opciones Globales del Comprobador de Dispositivos (pag. 399).
Tareas Relacionadas
Eliminar Pruebas de Dispositivos (page 405)
Desactivar/Activar Pruebas de Dispositivos Configuradas (pag. 406)
Especificar Opciones Globales del Comprobador de Dispositivos

Las opciones globales del comprobador tienen valores por defecto que puede modificar para cubrir
sus necesidades.
Para configurar las opciones globales del comprobador
1. Pulse botn derecho en el elemento Cortafuegos, Sensor, o Analizador y seleccione
Properties (Propiedades) desde el men. Se abrir el dilogo de Propiedades del
elemento seleccionado.
Ilustracin 153: Propiedades de Clster de Cortafuegos - Pestaa Comprobador
2. Cambie a la pestaa Tester (Comprobador). Se mostrarn las opciones globales del

comprobador y las entradas de prueba configuradas actualmente.
3. (Opcional) Ajuste el Intervalo de Alerta (Alert Interval) para especificar cunto eiempo
esperar el sistema antes de enviar una nueva alerta cuando las mismas pruebas
siguen fallando repetidamente
Si el intervalo es muy corto, las alertas pueden potencialmente sobrecargar el sistema o
al receptor de las alertas.
El valor por defecto es 60 minutos.
4. (Opcional) Configure el valor en segundos de Delay After (Retraso Despus de). ste
es el tiempo que el dispositivo espera antes de continuar ejecutando las pruebas
despus de los eventos listados. Los retardos evitan falsos fallos en las pruebas que
pueden ocurrir debido a variaciones en cmo pueden arrancar y parar diferentes
procesos y subsistemas.
Boot (Arranque): el valor por defecto es 30 segundos (mximo: 1800 s)
Reconfiguration (Reconfiguracin): por derfecto es 5 segundos (mximo: 1800 s)
Status Change (Cambio de Estado): por defecto es 5 segundos (mximo: 1800 s)
5. (Opcional) Seleccione activar o desactivar Auto Recovery (Auto Recuperacin). Esto
determina si el dispositivo vuelve a estado online cuando un test previamente fallido se
completa con xito. Asegrese de ejecutar la prueba tanto en estado online como offline
si activa esta opcin.
6. (Opcional) Selecione activar o desactivar Boot Recovery (Recuperacin de Arranque).
Esto determina si el dispositivo vuelve a estado online tras un reinicio (o eventos tales
como un fallo de alimentacin o fallo global del sistema) si todas las pruebas offline han
sido exitosas.
Para continuar:
Configure las opciones de entrada de pruebas segn se explica en Aadir Pruebas de
Dispositivos (pag. 400).
Aadir Pruebas de Dispositivos

Prerrequisitos: Especificar Opciones Globales del Comprobador de Dispositivos
Algunas opciones son casi idnticas para todas las pruebas. Estas opciones comunes se explican a
continuacin. Algunas pruebas tienen opciones especficas de la prueba adems de las opciones
comunes, que se explican separadamente para cada prueba (vea el listado tras los pasos).
Estn disponibles las siguientes pruebas:
La prueba External (Externa) ejecuta un script personalizado almacenado en el
dispositivo. Si el script devuelve el cdigo cero (0), la prueba se considera exitosa, en otro
caso se considera fallida.
La prueba File System Space (Espacio en el Sistema de Ficheros) comprueba el espacio
libre en una particin del disco duro.
La prueba de Firewall Policy (Poltica de Cortafuegos) (slo cortafuegos) comprueba si
hay una nueva poltica activa en el dispositivo. Est pensado para enviar notificaciones
SNMP principalmente.
La prueba Free Swap Space (Espacio de Swap Libre) comprueba el espacio de swap
disponible en el disco duro.
La prueba Link Status (Estado del Enlace) comprueba si un puerto de red retorna el
enlace como levantado o cado.
El enlace de un Interfaz de Mdem (slo cortafuegos independientes) est levantado si
el mdem reporta que hay una llamada en proceso.
El enlace de in interfaz ADSL (slo cortafuegos independientes) est levantado cuando
el mdem ADSL est conectado a un Digital Subscriber Line Access Multiplexer
(DSLM), y el mdem ADSL reporta que la conexin est funcionando.
El estado de Enlaces Agregados (slo cortafuegos) depende del modo de enlace. Un
Enlace Agregado en Modo Alta Disponibilidad est levantado si uno de los interfaces
que pertenecen al Enlace Agregado est levantado. Un Enlace Agregado en Modo
Balanceo de Carga est levantado si ambos interfcaes que pertencen al Enlace
Agregado estn levantados.
La prueba Multiping enva una serie de peticiones de ping para determinar si hay
conectividad a travs de un enlace de red. Slo se soportan direcciones IPv4 como
direcciones de destino para la prueba Multiping.
La prueba Inline Pair Link Speed (Velocidad del Enlace del Par Inline) (slo sensores
inline) comprueba si los parmetros de red (velocidad/ dplex) coinciden en los dos
puertos que forman el par inline y puede forzar a que los dos puertos usen los mismos
parmetros.
Los fallos en las pruebas pueden ser notificados a los administradores como Alertas o traps SNMP
(requiere que SNMP est configurado segn se explica en Empezar con la Configuracin SNMP
(pag. 432)). Adicionalmente, una prueba puede cambiar el estado de los nodos offline/online en
base a los resultados.
Para determinar las opciones comunes
1. Abra el dilogo de propiedades del dispositivo y cambie a la pestaa Tester.
2. Pulse el botn Add (Aadir) bajo la tabla de Entradas de Prueba. Se abrir el dilogo de
Opciones de Entrada de Prueba.
Ilustracin 154: Opciones de Entrada de Prueba
3. Seleccione el tipo de Prueba (Test) que quiere configurar (vea la introduccin ms

arriba para ms informacin). Las opciones que apliquen a la presente prueba estarn
activadas.
Nota No seleccione las pruebas File System Space o Free Swap Space para
dispositivos StoneGate que usen una tarjeta flash en lugar de un disco duro.
4. (Slo Clsters) Seleccione el ID de Nodo (Node ID) en el cual se ejecuta la prueba:

ALL (todos los nodos).
Un nico nodo.
5. Especifique el estado de los nodos a comprobar. Puede usar una o ms de las
siguientes opciones de estado:
Online: la prueba se ejecuta cuando el nodo est online.
Offline: la prueba se ejecuta cuando el nodo est offline.
Standby (slo clsters): la prueba se ejecuta cuando el nodo est en Standby (Espera).
6. Introduzca el Intervalo de Prueba (Test Interval) como tiempo en segundos que
especifica cada cunto se ejecutar la prueba.
El intervalo mnimo es 4 segundos y el mximo 86.400 segundos (un da).
Ejecutar una prueba demasiado frecuentemente puede aumentar la carga (overhead).
7. En la seccin Failure (Fallo) de la derecha del dilogo, seleccione la Accin (Action)
que iniciar el comprobador en caso de fallo de la prueba (las opciones pueden variar
por prueba):
None (Nada): no se ejecuta transicin de estado.
Offline: la prueba cambia el nodo a offline. De cualquier modo, el comprobador no
pone offline el ltimo nodo activo de un clster o nodos que estn en estado Locked
Online.
Force Offline: se fuerza al nodo a pasar a modo offline, incluso si es el ltimo nodo
online de un clster o est en modo Locked Online. Utilcelo en casos en los cuales un
corte completo del trfico es mejor opcin que un cortafuegos funcionado parcialmente.
Force Speed (slo prueba de Velocidad de Enlace de Par Inline): si la prueba detecta
que el par de puerto inline tiene diferentes opciones de velocidad/dplex, la
velocidad/dplex del enlace de mayor velocidad/full dplex se hace coincidir con la del
otro puerto. Una operacin correcta y fiable requiere parmetros idnticos.
8. (Opcional, recomendado) Seleccione los mtodos de Notificacin (Notification) que

quiere usar para permitir a los administradores saber que una prueba ha fallado.
Alert: el fallo en una prueba provoca una alerta.
SNMP: se enva un trap SNMP. Para usar la notificacin SNMP, SNMP debe estar
configurado para el dispositivo (vea Empezar con la Configuracin SNMP (pag. 432)).
Para continuar:
Si est configurando una prueba External, configure Opciones Adicionales para la
Prueba External (pag. 402).
Si est configurando una prueba de Espacio del Sistema, configure Opciones
Adicionales para la Prueba de Espacio Libre del Sistema (pag. 403).
Si est configurando una prueba de Espacio de Swap, configure Opciones
Adicionales para la Prueba de Espacio de Swap Libre (pag. 403).
Si est configurando una prueba de Estado de Enlaces, configure Opciones
Adicionales para la Prueba de Estado de Enlaces (pag. 403).
Si est configurando una prueba Multiping, configure Opciones Adicionales para la
Prueba de Multiping (pag. 404).
En otro caso, pulse OK y refresque la poltica para transferir la nueva configuracin a
los dispositivos.
Configurar Opciones Adicionales Especficas de la Prueba

Opciones Adicionales para la Prueba External
Para definir opciones para la prueba External
1. Para configurar el nmero de veces que el Comprobador intentar ejecutar la prueba,
introduzca el nmero de intentos de comprobacin en el campo Retry Count (Cuenta
de Reintentos). Se recomienda que siempre establezca este valor a ms de1 para
evitar crear pruebas excesivamente sensibles que sobrecarguen innecesariamente el
sistema.
2. Introduzca el tiempo de espera en segundos en el campo Test Timeout (Tiempo de
Espera de Prueba). Si la prueba en ejecucin no devuelve una respuesta en el tiempo
especificado en este campo, la prueba se considera fallida. Evite valores de tiempo de
espera excesivamente cortos. 500 1000 ms es normalmente un tiempo de espera
correcto, pero por supuesto esto depende de qu se est comprobando.
3. Introduzca el path del script en el campo Command Line (Lnea de Comando).
Ejemplo /usr/local/bin/connectivity.sh
4. Pulse OK.
Nota El script externo debe devolver un cdigo de salida 0 (cero) si tiene xito.
Cualquier valor diferente de cero se considera un fallo.
Para continuar:
Opciones Adicionales para la Prueba de Espacio Libre del Sistema

Para definir las opciones para la prueba de Espacio Libre del Sistema
1. Introduzca la mnima cantidad de espacio libre en disco en kilobytes el campo Free
Space (Espacio Libre). Cuando la cantidad de espacio libre caiga por debajo de la
cantidad que ha introducido, el dispositivo ejecuta la accin elegida.
2. Especifique la particin en el campo Partition.
3. Pulse OK.
Para continuar:
Opciones Adicionales para la Prueba de Espacio de Swap Libre

Para definir las opciones para la prueba de Espacio de Swap Libre
1. Introduzca la mnima cantidad de espacio libre en disco en kilobytes el campo Free
Space (Espacio Libre). Cuando la cantidad de espacio libre caiga por debajo de la
cantidad que ha introducido, el dispositivo ejecuta la accin elegida.
2. Pulse OK.
Para continuar:
Opciones Adicionales para la Prueba de Estado de Enlaces

Para definir las opciones para la Prueba de Estado de Enlaces
1. Seleccione el Interfaz (Interface) en el cual se ejecutar la prueba:
ALL (Todos) Interfaces Fsicos, Interfaces de Mdem (slo cortafuegos
independientes) e Interfaces ADSL (slo cortafuegos independientes).
(Slo Clsters) ALL with CVI (Todos los que tengan una CVI).
Un nico Interfaz Fsico, un Interfaz de Mdem (slo cortafuegos independientes) o un
Interfaz ADSL (slo cortafuegos independientes).
Nota (Slo Cortafuegos) Slo el primer interfaz que pertenece a un Enlace Agregado
se muestra en la lista de interfaces. De cualquier modo, la prueba de Estado de Enlace
comprueba el estado de ambos interfaces del Enlace Agregado.
2. Pulse OK.
Para continuar:
Opciones Adicionales para la Prueba de Multiping

Para definir opciones para la prueba de Multiping
1. Seleccione la Direccin Origen (Source Address) para la prueba:
DEFAULT (Por defecto): no se fuerza una direccin origen en la prueba. La direccin
IP de origen se selecciona automticamente en base a las reglas de enrutamiento
estndar.
En un clster, si el Interfaz Fsico que enruta el paquete ping hacia afuera tiene una
NDI (Node Dedicated IP Address), esta direccin se usar como direccin de origen.
En otro caso, se usar la NDI seleccionada como IP por Defecto para Trfico Saliente.
Un nico Interfaz Fsico, un Interfaz de Mdem (slo cortafuegos independientes) o un
Interfaz ADSL (slo cortafuegos independientes). Si la seleccin en Node ID es ALL,
cada nodo usa la direccin IP del Interfaz Fsico o ADSL (slo cortafuegos
independientes) seleccionado, o la direccin IP dinmica del Interfaz de Mdem
seleccionado (slo cortafuegos independientes) como la direccin IP de origen para la
prueba. Si se selecciona un nico nodo en Node ID en un clster, la direccin de
origen y la propia prueba de multiping se aplican slo a ese nodo.
2. Establezca el nmero de veces que el Comprobador intentar ejecutar la prueba
introduciendo un nmero en el campo Retry Count (Cuenta de Reintentos). Se
recomienda que siempre establezca este valor a ms de 1 para evitar crear pruebas
excesivamente sensibles que sobrecarguen innecesariamente el sistema.
3. Introduzca el tiempo de espera en segundos en el campo Test Timeout (Tiempo de
Espera de Prueba). Si la prueba en ejecucin no devuelve una respuesta en el tiempo
especificado en este campo, la prueba se considera fallida. Evite valores de tiempo de
espera excesivamente cortos.
4. Especifique las direcciones de destino de las peticiones ICMP en el campo Target
Addresses. Slo se soportan direcciones IPv4 como direcciones de destino.
Puede aadir o eliminar direcciones de destino con los botones correspondientes.
La prueba se considera fallida si ninguna de las direcciones de destino responde.
5. Pulse OK.
Para continuar:
Comprobar las Pruebas Configuradas

Prerrequisitos: Aadir Pruebas de Dispositivos
Las entradas de pruebas que ha configurado con el comprobador se muestran en la tabla de

Entradas de Prueba en las propiedades del dispositivo. Puede desactivar, activar y eliminar
pruebas directamente en la tabla de Entradas de Pruebas.
Para comprobar las pruebas configuradas
1. Pulse el botn derecho sobre el elemento Cortafuegos, Sensor o Analizador y
seleccione Properties (Propiedades) desde el men. Se abrir el dilogo de
Propiedades del elemento.
2. Cambie a la pestaa Tester. Todas las entradas de prueba configuradas se mostrarn

en la tabla de Entradas de Prueba. Los estados y acciones seleccionados para las
pruebas se indican con letras segn se resume en la siguiente tabla.
Tabla 42: Visualizacin de Acciones y Estado Seleccionados en las Entradas de Prueba
Tipos Visualizacin en la Tabla Description

N Online
Estados a Comprobar O Offline
S Standby
A Alerta
O+A Offline + Alerta
FO+A Force Offline + Alerta

Accin en Caso de
Fallo A+S Alerta + SNMP
O+A+S Offline + Alerta + SNMP
FO+A+S Force Offline + Alerta + SNMP
Para continuar:
Si quiere eliminar una prueba permanentemente, proceda a Eliminar Pruebas de
Dispositivos (pag. 405).
Si slo quiere activar o reactivar una prueba, proceda a Desactivar/Activar
Pruebas de Dispositivos Configuradas (pag. 406).
En otro caso, pulse OK para cerrar las propiedades del dispositivo.
Eliminar Pruebas de Dispositivos

Eliminar una prueba permanentemente elimina los parmetros de la prueba del dispositivo
seleccionado. Si quiere hacer que una prueba deje de ejecutarse sin eliminarla, vea
Desactivar/Activar Pruebas de Dispositivos Configuradas (pag. 406).
Para eliminar una prueba
1. Pulse botn derecho sobre el elemento Cortafuegos, Sensor o Analizador y seleccione
Properties desde el men. Se abrir el dilogo de propiedades para ese elemento.
2. Cambie a la pestaa Tester.
3. Seleccione la entrada de prueba que quiere eliminar en la lista Test Entries (Entradas
de Prueba).
4. Pulse el botn Remove (Eliminar). La prueba se elimina permanentemente del
dispositivo seleccionado.
5. Pulse OK.
Para continuar:
Desactivar/Activar Pruebas de Dispositivos Configuradas

Prerrequisitos: Hay una o ms pruebas personalizables activadas/desactivadas
Todas las entradas de prueba que configure se activan automticamente y estn disponibles para
el comprobador tras un refresco o instalacin de la poltica. Puede decidir desactivar cualquier
prueba individual en la tabla de Entradas de Prueba o todas las pruebas aplicables a un nodo
especfico.
Para continuar:
Desactivar/Activar Pruebas Individuales de Dispositivo (pag. 406)
Desactivar/Activar Todas las Pruebas Personalizadas de un Dispositivo (pag. 406)
Desactivar/Activar Pruebas Individuales de Dispositivo

Para desactivar o activar una prueba individual
Properties en el men. Se abrir el dilogo de propiedades para el elemento.
3. Encuentre la prueba que desea desactivar/activar en la tabla de Entradas de Prueba y
deseleccione/seleccione la opcin en la columna Active para activar/desactivar la
prueba.
4. Pulse OK.
Para continuar:
Desactivar/Activar Todas las Pruebas Personalizadas de un

Dispositivo
Para desactivar o activar todas las pruebas personalizadas en un nodo especfico
Properties en el men. Se abrir el dilogo de propiedades para el elemento.
3. En la seccin Global Settings (Opciones Globales), deseleccione/seleccione la opcin
en la columna Test de los nodos para los cuales quiere desactivar/activar las pruebas.
4. Pulse OK.
Para continuar:
CAPTULO 30
PERMISOS EN LOS DISPOSITIVOS
El control de permisos puede usarse para restringir la administracin del dispositivo.
Empezar con los Permisos en los Dispositivos (pag. 408)

Seleccionar las Polticas Permitidas para un Dispositivo (pag. 409)
Empezar con los Permisos en los Dispositivos

Prerrequisitos: Su cuenta de administrador debe disponer de privilegios de edicin en el elemento dispositivo
Qu Hacen los Permisos en el Dispositivo

El control de permisos en el dispositivo puede usarse de dos formas:
Para evitar que algunos administradores editen y vean las propiedades de un dispositivo
para evitar modificaciones no autorizadas y proteger detalles confidenciales.
Para restringir las polticas que pueden instalarse en el dispositivo para evitar prdidas de
servicio causadas por la instalacin de polticas errneas en el dispositivo por accidente.
Vea Empezar con las Cuentas de Administrador (pag. 214) para ms informacin sobre el
control de acceso en StoneGate.

1. Defina qu administradores tienen permiso para editar y ver el elemento. Vea Definir los
Permisos de Administrador en un Dispositivo (pag. 408).
2. Defina qu polticas pueden instalarse en el dispositivo. Vea Seleccionar las Polticas
Permitidas para un Dispositivo (pag. 409).
Definir los Permisos de Administrador en un Dispositivo

Puede o bien aadir una Lista de Control de Acceso (Access Control List) o un par individual
Administrador-Rol de Administradors segn lo permita el dispositivo. Los derechos que la Lista de
Control de Acceso proporciona a los administradores se definen en las propiedades de las cuentas
de administrador (definidas con los elementos administrador).
Un administrador con una cuenta restringida puede refrescar o cargar una poltica en un
dispositivo slo si tanto el dispositivo como la poltica tienen al administrador en la lista de
administradores permitidos. Los dispositivos pueden no aceptar todas las polticas. Esto se
puede ajustar segn se explica en Seleccionar las Polticas Permitidas para un Dispositivo (pag.
409).
Para aadir o modificar los permisos de administrador de un dispositivo
1. Pulse botn derecho sobre el dispositivo o poltica y seleccione Properties para abrir
sus propiedades. Cambie a la pestaa Permissions (Permisos).
2. Para aadir un permiso, pulse el botn Add Permission (Aadir Permiso) bajo
Permissions. Aparecer una nueva fila en la lista de administradores.
3. Pulse la celda Administrator y seleccione al Administrador.
4. Pulse botn derecho sobre la celda Administrator Role (Rol de Administrador) y
seleccione Edit Administrator Role (Editar Rol de Administrador). Se abrir el dilogo
de Seleccin de Elemento.
5. Seleccione un rol y pulse Add (Aadir).
6. Pulse OK para cerrar el dilogo de Seleccin de Elemento.
7. Si es necesario, repita desde el Paso 2 para definir otros permisos de administrador.
8. Pulse OK.
Nota Los cambios en los permisos de administrador se distribuyen inmediatamente y se

tienen en cuenta en todos los elementos relacionados.
Tareas Relacionadas
Seleccionar las Polticas Permitidas para un Dispositivo

Por defecto, cualquier poltica puede ser instalada en cualquier componente mientras la poltica sea
del tipo apropiado para el tipo de dispositivo. Para evitar instalaciones accidentales de polticas
errneas, puede seleccionar la poltica permitida para cada Cortafuegos, Analizador, Sensor o Sensor-
Analizador en las propiedades del elemento correspondiente. La seleccin de poltica se aplica
independientemente del los privilegios de administrador de que disponga el administrador que la
instala.
Para autorizar que una poltica sea instalada en un dispositivo
1. Pulse botn derecho sobre el elemento Cortafuegos, Analizador, Sensor o Sensor-
Analizador correcto y seleccione Properties en el men. Se abrir el dilogo de
propiedades para el elemento.
2. Cambie a la pestaa Permissions (Permisos).
3. En la seccin Policies (Polticas) abajo, seleccione la Poltica:
Para permitir la instalacin de cualquier poltica, pulse Set to Any (establecer a
Cualquiera).
En otro caso, pulse Add (Aadir). Se abrir el dilogo de Seleccionar Elemento.
4. Seleccione la Poltica o Plantilla de Poltica correcta.
Si selecciona una Plantilla de Poltica, cualquier poltica basada en la plantilla podr ser
instalada.
5. Pulse OK.
CAPTULO 31
TRADUCCIONES DE ALIAS PARA

DISPOSITIVOS
Los Alias pueden usarse para representar otros elementos de red en las configuraciones.
El valor que toma un Alias en una configuracin puede ser diferente en cada dispositivo
donde se use el Alias.
Empezar con las Traducciones de Alias (pag. 412)

Definir Valores de Traduccin de Alias (pag. 412)
Empezar con las Traducciones de Alias

Qu Hacen los Alias

Puede usar elementos Alias en sus polticas para representar direcciones IP. Los Alias difieren de
los elementos Grupo en que no representan todos los elementos a la vez. Los elementos Alias no
contienen ninguna informacin de direcciones IP en s mismos. Los valores que los Alias reciben
cuando aparecen en una poltica dependen del valor de traduccin que establezca para cada Alias
en las propiedades del elemento dispositivo. De este modo, la misma poltica puede aplicarse en
varios dispositivos, y la informacin de direccin IP se rellena correctamente de acuerdo con los
valores de traduccin para cada dispositivo. Los elementos Alias son especialmente tiles en
plantillas de polticas y sub-polticas.
Qu Necesito Saber AAntes de Empezar?
Los Alias se configuran para cortafuegos y sensores. La configuracin del analizador se
construye en base a los valores traducidos que configure en los sensores que envan datos al
analizador.
Hay algunos Alias predefinidos incluidos en el sistema y tambin puede crear nuevos Alias. Los
nombres de los Alias del sistema no modificables empiezan con dos smbolos $$, mientras que
los alias modificables y los creados por el usuario empiezn con un smbolo $. Para un listado de
los Alias por defecto disponibles en el sistema, vea Alias Predefinidos (pag. 943). Los Alias del
sistema no modificables reciben sus valores de traduccin automticamente en base a la
configuracin del dispositivo. Los Alias por defecto modificables no reciben sus valores de
traduccin automticamente.
Para continuar:
Definir Valores de Traduccin de Alias
Definir Valores de Traduccin de Alias

Los valores de traduccin de Alias se configuran para cada dispositivo. Puede editar los valores de
traduccin mediante las propiedades del dispositivo (segn se explica aqu) o en las propiedades
del elemento Alias en s mismo.
Para continuar:
Aadir Valores de Traduccin de Alias (pag. 413)
Eliminar Valores de Traduccin de Alias (pag. 413)
Aadir Valores de Traduccin de Alias

Para aadir elementos a los valores de traduccin de Alias
1. Pulse botn derecho en un elemento dispositivo y seleccione Properties. Se abrir el
dilogo de Propiedades.
2. Cambie a la pestaa Aliases. Se abrir la tabla con los Alias y sus valores.
3. Seleccione el Alias cuyo valor quiere editar.
4. Defina el valor para el Alias:
Si quiere que el Alias se traduzca a cualquier direccin IP en este dispositivo, pulse botn
derecho sobre la celda Value (Valor) para el Alias y seleccione Set to Any (Establecer a
Cualquiera). Salte al Paso 8.
En otro caso, pulse botn derecho sobre la celda Value (Valor) y seleccione Edit Value
(Editar Valor). Se abrir el dilogo de Propiedades de Valor de Alias.
5. Seleccione en el panel de Recursos un elemento que quiera usar como valor de traduccin
en este dispositivo.
Si el elemento no existe an, puede crear uno nuevo mediante el men de botn derecho
para el tipo de elemento correcto.
6. Seleccione los elementos correctos y pulse Add (Aadir). Los elementos se aadirn al
panel de Valores de Alias.
7. Pulse OK para cerrar el dilogo de Propiedades de Valor de Alias.
8. Pulse OK para cerrar las propiedades del dispositivo.
Eliminar Valores de Traduccin de Alias

Si no hay valores de traduccin para un Alias particular para un dispositivo, el Valor de Traduccin es
None (Ninguno). Si se usan Alias con el valor None como nico valor de coincidencia en una regla en
una Poltica de Cortafuegos o IPS, la regla nunca se cumplir para ningn trfico.
Para eliminar valores de traduccin de Alias
1. Pulse botn derecho en un elemento dispositivo y seleccione Properties. Se abrir el
2. Cambie a la pestaa Aliases. Se abrir la tabla con los Alias y sus valores.
3. Pulse botn derecho en la celda Value (Valor) del Alias cuyo valor quiere modificar y
seleccione Edit Value (Editar Valor). Se abrir el dilogo de Propiedades de Valor de Alias.
4. Seleccione los elementos a eliminar en el panel de Valores de Alias y pulse Remove
(Eliminar).
5. Pulse OK para cerrar el dilogo de Propiedades de Valor de Alias.
6. Pulse OK para cerrar las propiedades del dispositivo.
CAPTULO 32
OPCIONES AVANZADAS DE DISPOSITIVO
Esta seccin explica las opciones en la pestaa Advanced (Avanzado) en las propiedades
de los elementos de dispositivo Cortafuegos/VPN e IPS, y cmo ajustar la conexin de
gestin en los Cortafuegos SOHO.
Empezar con las Opciones Avanzadas de Dispositivo (pag. 416)

Ajustar los Parmetros del Sistema del Cortafuegos (pag. 416)
Ajustar los Parmetros de Gestin de Trfico del Cortafuegos (pag. 418)
Ajustar los Parmetros de Clster del Cortafuegos (pag. 419)
Ajustar la Poltica de Contacto de un Cortafuegos Independiente (pag. 423)
Configurar las Opciones de Anti-Virus (pag. 424)
Configurar la Proteccin contra SYN Flood por Defecto del Cortafuegos (pag. 425)
Configurar las Opciones de Gestin de Logs (pag. 426)
Ajustar las Opciones Avanzadas del Sensor-Analizador (pag. 427)
Ajustar las Opciones Avanzadas del Analizador (pag. 427)
Ajustar las Opciones Avanzadas del Sensor (pag. 428)
Empezar con las Opciones Avanzadas de Dispositivo

Las Opciones Avanzadas (Advanced settings) cubren varios parmetros del sistema
relacionados con diferentes funcionalidades. Estos parmetros generalmente tienen valores
por defecto apropiados para la mayora de instalaciones sin necesidad de ajuste, o valores
que pueden ser modificados en polticas regla-a-regla cuando se necesitan excepciones.
Precaucin Los ajustes inadecuados de algunas de las opciones avanzadas pueden

degradar seriamente el rendimiento del sistema.
Para abrir las opciones avanzadas

1. Pulse botn derecho sobre un elemento dispositivo y seleccione Properties. Se abrir
el dilogo de Propiedades de ese elemento.
2. Cambie a la pestaa Advanced y ajuste las opciones segn se explica en las
secciones detalladas a continuacin.
Ajustar los Parmetros del Sistema del Cortafuegos (pag. 416)
Ajustar los Parmetros de Gestin de Trfico del Cortafuegos (pag. 418)
Ajustar los Parmetros de Clster del Cortafuegos (pag. 419)
Ajustar la Poltica de Contacto de un Cortafuegos Independiente (pag. 423)
Configurar las Opciones de Anti-Virus (pag. 424)
Configurar las Opciones de Gestin de Logs (pag. 426)
Ajustar las Opciones Avanzadas del Sensor-Analizador (pag. 427)
Ajustar las Opciones Avanzadas del Analizador (pag. 427)
Ajustar las Opciones Avanzadas del Sensor (pag. 428)
Tareas Relacionadas
Ajustar los Parmetros del Sistema del Cortafuegos

Prerrequisitos: Vea Empezar con las Opciones Avanzadas de Dispositivo
La seccin de Parmetros del Sistema en la pestaa de Opciones Avanzadas (Advanced

Settings) de un elemento Cortafuegos contiene opciones relacionadas con cmo se
comporta el cortafuegos independiente o en clster bajo determinadas condiciones. La
siguiente tabla explica las opciones disponibles.
Tabla 43: Opciones Avanzadas del Cortafuegos - Seccin de Parmetros del Sistema
Opcin Descripcin Notas

Usado cuando se abre cualquier tipo de comunicacin Establecer este tiempo de espera
Contact Node
entre el Management Server y los dispositivos demasiado corto o demasiado largo
Timeout (Tiempo
cortafuegos. Una conexin de red consistentemente puede retrasar o evitar el contacto
de Espera de
lenta puede requerir el incremento de este valor. El entre el Management y los
Contacto del nodo)
valor por defecto es de 60 segundos. dispositivos.
Tabla 2: Opciones Avanzadas del Cortafuegos - Seccin de Parmetros del Sistema (Continuacin)

Automatic Reboot
Timeout
(Tiempo de Espera Usado cuando se detecta una situacin de error no
de Reinicio recuperable para reiniciar automticamente el Ponga este valor a 0 para
Automtico) dispositivo. El valor por defecto es 10 segundos. desactivar.
Cuando la funcionalidad de Handshake de poltica est
activada, los nodos automticamente vuelven a utilizar
la poltica previamente instalada si se pierde la Le recomendamos ajustar el tiempo
conectividad tras instalar una nueva poltica. Sin esta de espera (siguiente opcin ms
Policy Handshake funcionalidad, deber cambiar a la configuracin abajo) en lugar de desactivar esta
(Handshake de previa menualmente mediante el men de arranque funcionalidad completamente si
poltica) del dispositivo. necesita hacer cambios.
El tiempo que el dispositivo espera antes de volver a la
Rollback Timeout poltica previamente instalada cuando la opcin de
(Tiempo de Espera Policy Handshake est activa. El valor por defecto es
de Rollback) 60 segundos.
Encrypt La configuracin del cortafuegos por defecto se
Configuration almacena en un formato cifrado. El cifrado puede
Data (Cifrar Datos desactivarse si tiene la necesidad especfica de
de Configuracin) hacerlo.
Con esta opcin seleccionada, el certificado del No renueva certificados VPN.
Automated Node dispositivo para las comunicaciones del sistema se La renovacin automtica de
Certificate renueva automticamente antes de que expire. En otro certificados para certificados VPN
Renewal caso, el certificado debe renovarse manualmente. firmados internamente se configura
(Renovacin Cada cerificado de comunicaciones del sistema es separadamente en las propiedades
Automtica del vlido por tres aos. Si el certificado expira, otros del elemento Internal
Certificado del componentes rechazarn comunicarse con el Security Gateway. Vea Definir
Nodo) dispositivo. Pasarelas de Seguridad (pag. 720).
FIPS-Compatible
Operating Mode
(Modo de
Operacin Activa un modo que cumple con el estndar Federal Vea la Gua Common Criteria
Compatible FIPS) Information Processing Standard FIPS 140-2. Users Guide para ms informacin.
Separe las direcciones IP con
Los servidores de DNS que usa el dispositivo para comas si quiere introducir varias
DNS IP Address resolver los repositorios de firmas de virus y servicios direcciones de servidores DNS.
(Direccin IP del de categorizacin de filtrado web (que estn definidos Slo se soportan direcciones IPv4
DNS) como URLs). en este campo.
Anti-Virus Opciones relacionadas con el anti-virus integrado
Settings (Opciones (funcionalidad licenciada separadamente). Vea
de Anti-Virus) Configurar las Opciones de Anti-Virus (pag. 424).
Puede configurar la proteccin
contra SYN Flood tambin para
SYN Flood interfaces especficos. Vea
Protection Opciones para configurar la proteccin contra ataques Configurar las Propiedades
(Proteccin contra SYN Flood. Vea Configurar la Proteccin contra SYN Avanzadas de Interfaz para
SYN Flood) Flood por Defecto del Cortafuegos (pag. 425). Cortafuegos (pag. 349).
Tabla 2: Opciones Avanzadas del Cortafuegos - Seccin de Parmetros del Sistema

Puede ajustar el registro de logs de
Opciones relacionadas con ajustar los logs cuando el
Antispoofing y Discard tambin para
espacio para logs en el dispositivo se llena o cuando el
Log Handling interfaces especficos. Vea
nmero de logs de Antispoofing o Discard crece
(Gestin de Logs) Configurar las Propiedades
demasiado. Vea Configurar las Opciones de Gestin
Avanzadas de Interfaz para
de Logs (pag. 426).
Ajustar los Parmetros de Gestin de Trfico del Cortafuegos

La seccin de Parmetros de Gestin del Trfico en la pestaa Advanced de un elemento

Cortafuegos contienen opciones relacionadas con cmo el cortafuegos independiente o en
clster trata ciertas condiciones de trfico. La siguiente tabla explica las opciones
disponibles.
Tabla 44: Opciones Avanzadas del Cortafuegos - Seccin de Parmetros de Gestin del Trfico

Esta opcin siempre est activa
cuando el cortafuegos est en
modo operativo compatible FIPS.
Strict Connection Cuando est seleccionado, el cortafuegos no permite
Puede modificar este parmetro
Tracking que el trfico TCP pase antes de ejecutar un
general y configurar el seguimiento
(Seguimiento handshake TCP vlido y completo. Deje este
de conexiones para trfico TCP,
Estricto de parmetro deseleccionado a menos que tenga una
UDP e ICMP en las reglas de
Conexiones) necesidad especfica de activarlo.
Acceso. Vea Definir Opciones de
Accin Permitir para Cortafuegos
(pag. 523).
Cuando el cortafuegos recibe paquetes fragmentados,
los defragmenta para su inspeccin. Los fragmentos
originales se mantienen en el cortafuegos hasta que
finaliza la inspeccin. Esta opcin define cmo se
Virtual
envan los paquetes fragmentados tras la inspeccin si
Defragmenting
los paquetes estn permitidos. Si esta opcin est
Defragmentacin
seleccionada, los paquetes fragmentados se envan
Virtual)
usando la misma fragmentacin que cuando llegaron
al cortafuegos. Si la opcin no est seleccionada, los
paquetes se envan como si hubieran llegado sin
fragmentar.
Opciones relacionadas con las comunicaciones entre
Clustering
los miembros del clster Settings y el balanceo de
(Slo Clusters de
carga entre los nodos. Vea Ajustar los Parmetros de
Cortafuegos)
Clster del Cortafuegos (pag. 419).
Parmetros relacionados con ajustar las VPNs IPSec
con vistas al rendimiento (vea Ajuste Avanzado de
VPN Settings
VPNs (pag. 774)), y opciones relacionadas con la
(Opciones de
gestin de las direcciones de los clientes VPN (vea
VPN)
Gestionar las Direcciones IP de Clientes VPN (pag.
785)).
Policy Routing
Opciones de Enrutamiento por Polticas. Vea Definir el
(Enrutamiento por
Enrutamiento por Poltica (pag. 451).
Polticas)
Tabla 3: Opciones Avanzadas del Cortafuegos - Seccin de Parmetros de Gestin del Trfico

Firewall Contact
Policy Opciones sobre cmo un cortafuegos con una
(Poltica de conexin de gestin invertida (el canal siempre se abre
Contacto del desde el nodo al Management Server) contacta con el
Cortafuegos Management Server. Vea Ajustar la Poltica de
Slo Cortafuegos Contacto de un Cortafuegos Independiente (pag. 423).
Independientes)
Establece los tiempos de espera generales para
eliminar conexiones inactivas de la tabla de estados,
incluyendo comunicaciones no TCP que se tratan
como conexiones. El tiempo de espera evita
malgastara recursos del cortafuegos en almacenar
Establecer tiempos de espera
informacin sobre conexiones abandonadas. Los
excesivos para un grna nmero de
tiempos de espera son una forma normal de eliminar
conexiones consume excesivos
informacin de trfico con protocolos que no tienen
Idle Timeouts recursos y puede perturbar la
mecanismos de cierre. Los tiempos de espera pueden
(Tiempos de operacin del cortafuegos.
establecerse por protocolo y por estado de conexin
Espera Inactivo) El cliente y el servidor que se
TCP. Los tiempos de espera inactivos establecidos en
comunican tambin tienen tiempos
las reglas de Acceso se imponen a los definidos en
de espera para cerrar las
estos parmetros globales.
conexiones inactivas.
Los tiempos de espera no afectan a las conexiones
activas. Las conexiones se mantienen en la tabla de
estado mientras el intervalo de paquetes dentro de una
conexin se ms corto que los tiempos de espera
establecidos.
Ajustar los Parmetros de Clster del Cortafuegos

Puede comprobar y ajustar algunos de los parmetros relacionados con cmo se comporta el
clster de cortafuegos y cmo intercambia informacin de nodo a nodo segn se explica en
Ajustar las Opciones Generales del Clster (pag. 419).
Si es un usuario avanzado, tambin es posible ajustar los parmetros relacionados con cmo se
reparte la carga entre varios nodos online segn se detalla en Ajustar el Filtro de Balanceo de
Carga del Cortafuegos (pag. 421). De cualquier forma, se desaconseja encarecidamente
modificar los parmetros de balanceo de carga a menos que el soporte tcnico de Stonesoft le
indique hacer cambios especficos.
Ajustar las Opciones Generales del Clster

Un clster de cortafuegos tiene las siguientes opciones generales del clster:
El cluster mode (modo del clster) determina si los dispositivos en clster estn todos online
balanceando el trfico o si un nodo est online a la vez y los otros dispositivos se usan como
nodos de respaldo.
Las opciones de Heartbeat se usan para mantener el estado entre los nodos de forma que los
otros nodos puedan, por ejemplo, determinar cundo ha fallado un nodo.
Las opciones de Node synchronization (sincronizacin de nodos) determinan cmo
intercambian informacin los nodos acerca del trfico que procesan.
Para ajustar las opciones bsicas del clster
1. Pulse botn derecho sobre un elemento Clster de Cortafuegos y seleccione Properties.
Se abrir el dilogo de Propiedades del Clster de Cortafuegos.
2. Cambie a la pestaa Advanced (Avanzado) y pulse el botn Clustering. Se abrir el

dilogo de Propiedades del Cluster en la pestaa Cluster.
3. Seleccione el Cluster Mode (Modo de Clster) que quiere usar:
Balancing (Balanceo): Varios nodos estn online simultneamente proporcionando alta
dispoibilidad y rendimiento mejorado en caso de un fallo en un nodo y rendimiento
mejorado del cortafuegos. El balanceo es el modo por defecto.
Standby (En Espera): Slo un nodo puede estar online a la vez. Se recomienda tener
al menos otro nodo en espera para permitir la conmutacin automtica en caso de fallo.
Varios nodos pueden estar en espera a la vez. Cuando un nodo online falla un nodo
seleccionado aleatoriamente pasar a estado online.
4. (Opcional) Ajuste el Heartbeat Message Period (Periodo de Mensaje de Heartbeat)
para establecer cada cunto envan los dispositivos en clster los mensajes de
heartbeat unos a otros (notificando que estn levantados y en ejecucin). Introduzca el
valor en milisegundos. El valor por defecto es 1000 milliseconds (i.e., un segundo).
5. (Opcional) Ajuste el Heartbeat Failover Time (Tiempo de Fallo de Heartbeat) para
establecer el tiempo desde el mensaje anterior de heartbeat tras el cual el nodo se
sonsidera en fallo. Introduzca el valor en milisegundos. El tiempo de failover debe ser al
menos el doble que el Heartbeat Message Period. El valor por defecto es 5000
milisegundos.
Precaucin Establecer los valores de Heartbeat demasiado bajos puede resultar en

fallos de heartbeat innecesarios. Establecerlos demasiado altos puede causar
innecesarias prdidas de servicio cuando ocurre un fallo.
6. (Opcional) Pulse State Sync (Sincronizacin de Estado) y elija el tipo de sincronizacin:

All (Todos): Se envan tanto mensajes de sincronizacin completos como
incrementales (por defecto, opcin recomendada). Esto permite actualizaciones
frecuentes sin consumir recursos excesivos. La sincronizacin completa regular
garantiza que todos los nodos se mantienen sincronizados incluso si algunos mensajes
incrementales no son entregados.
Full Only (Slo Completos): Slo se envan mensajes de sincronizacin completos. Las
actualizaciones incrementales no se envan entre medias, de forma que los nodos
pueden no tener la misma informacin sobre las conexiones, a menos que el intervalo
de sincronizacin completa se reduzca significativamente (no recomendado).
Nota Es muy recomendable usar las opciones de reglas de Acceso para desactivar la
sincronizacin de estado para trfico especfico en lugar de ajustar las opciones de
State Sync del clster. Vea Definir Opciones de Accin para Reglas de Acceso (pag.
522) para ms informacin.
7. (Opcional) Ajuste el Full Sync Interval (Intervalo de Sincronizacin Completa) e Incr

Sync Interval (Intervalo de Sincronizacin Incremental) para determinar la frecuencia
con que se realizan las sincronizaciones completas e incrementales. No establezca
valores mucho mayores o menores que los de por defecto (5000 ms para completa, 50
ms para incremental)
Precaucin Ajustar los Intervalos de Sincronizacin tiene un impacto significativo en el

rendimiento del clster. Opciones inapropiadas pueden degradar seriamente el
rendimiento del cortafuegos.
8. Seleccione el Sync Security Level (Nivel de Seguridad de la Sincronizacin):

None (Ninguno): sin seguridad. No elija esta opcin a menos que el canal sea dedicado
y separado fsicamente de otro trfico. Esta opcin ofrece un ligero beneficio de
rendimiento sobre las otras opciones.
Sign (Firmado por defecto): las transmisiones son autenticadas para prevenir
inyecciones externas de informacin de estado de conexin.
Encrypt and Sign (Cifrar y Firmar): las trasnmisiones son autenticadas y cifradas. Esta
opcin aumenta la sobrecarga comparada con la opcin por defecto, pero se
recomienda
si las comunicaciones nodo-a-nodo se envan mediante redes inseguras (por ejemplo,

si el heartbeat de respaldo se configura en un interfaz que gestiona otro trfico).
9. (Opcional) Si quiere cambiar las direcciones IP multicast usadas para las
comunicaciones nodo-a-nodo, escriba una direccin IP entre 224.0.0.0 y
239.255.255.255 en las celdas Heartbeat IP (por defecto: 225.1.1.1) o Synchronization
IP (por defecto: 225.1.1.2). Esta direccin IP multicast no debe ser usada para otros
propsitos en ninguno de los interfaces de red.
Para continuar:
Si su clster est en modo de balanceo de carga y quiere cambiar las opciones
relacionadas con cmo se balancea el trfico, vea Ajustar el Filtro de Balanceo de
Carga del Cortafuegos (pag. 421).
En otro caso, refresque la poltica del cortafuegos para transferir los cambios.
Ajustar el Filtro de Balanceo de Carga del Cortafuegos
Precaucin No ajuste manualmente el filtro de balanceo de carga a menos que est

absolutamente seguro de que es necesario. Normalmente, no hay necesidad de ajustar
este filtro, puesto que StoneGate genera todas las entradas requeridas automticamente.
Un ajuste innecesario puede afectar adversamente la operacin del filtro.
El filtro de balanceo de carga del clster de cortafuegos puede ajustarse modificando algunos
parmetros y entradas de filtro. Puede definir las conexiones donde los paquetes son
pasados o bloqueados por el filtro. Puede seleccionar que ciertas conexiones pasen a travs
de un nodo mientras que seran bloqueadas en otro nodo. Tambin puede configurar los
nmeros de puertos a ignorar en el balanceo de carga. Las entradas de filtro se especifican
en la tabla Filter Entries (Entradas de Filtro). Slo se soportan direcciones IPv4 en los filtros
de balanceo de carga.
Para continuar:
Ajustar Manualmente el Filtro de Balanceo de Carga
Ajustar Manualmente el Filtro de Balanceo de Carga

Para ajustar el filtro de balanceo de carga manualmente
1. Pulse botn derecho sobre un clster de cortafuegos y seleccione Properties. Se abrir
el dilogo de Propiedades para el clster de cortafuegos.
2. Cambie a la pestaa Advanced y pulse el botn Clustering. Se abrir el dilogo de
Propiedades del Clster.
3. Cambie a la pestaa Manual LB Filters (Filtros de Balanceo de Carga Manuales).
4. Seleccione el Modo de Filtro (Filter Mode):
Static (Esttico): la propiedad del paquete (es decir, a qu nodo pertenece la
conexin/paquete) puede cambiar slo cuando se aaden o eliminan nodos del clster,
o cuando cambian de estado offline a online o viceversa.
Dynamic (Dinmico): el trfico se balancea para evitar sobrecargas en los nodos y las
conexiones se mueven entre nodos cuando se detecta sobrecarga.
5. (Opcional) Seleccione la opcin Load Balancing Filter Uses Ports (el Filtro de Balanceo
de Carga Usa Puertos) para incluir valores de puertos a seleccionar entre los nodos.
Esta opcin disminuye la granularidad del balanceo de carga VPN, e incrementa la
granularidad del balanceo de otro trfico. En redes tpicas, el trfico se balancea en base
slo a la informacin IP. Si hay un par dominante de direcciones IP, aplique la opcin Use
Ports (Usar Puertos) en el filtro de balanceo de carga slo a su trfico y no globalmente.
Precaucin Activar la opcin Load Balancing Filter Uses Ports no es compatible con
algunas funcionalidades, como las VPNs cliente-a-pasarela.
Para continuar:
Si es necesario, contine con la definicin de entradas de filtro en Aadir Entradas de
Filtro de Balanceo de Carga.
Aadir Entradas de Filtro de Balanceo de Carga

Para definir entradas de filtro de balanceo de carga
1. Pulse Add (Aadir) para generar una nueva fila de entrada de filtro.
2. Haga doble click sobre el campo IP Address (Direccin IP). Se abrir el dilogo de Entrada
de IP de Filtro de Balanceo de Carga.
3. Seleccione si quiere filtrar bien una nica (Single) direccin IP o un rango (Range) de
direcciones IP.
4. Introduzca la direccin o el rango de direcciones IP y la mscara de red y pulse OK. Se
cerrar el dilogo de Entrada de IP de Filtro de Balanceo de Carga.
5. Pulse la celda Action y seleccione una de las siguientes acciones:
None (Ninguna): no se ejecuta ninguna accin para la direccin IP especificada en esta
entrada (usada con las opcione Replacement IP, Use Ports, NAT Enforce, Use IPsec, o
Ignore Other).
Replace by (Susituir Por): la direccin IP original se sustituye por la direccin IP en la
celda Replacement IP. sta es la accin por defecto.
Pass on All Nodes (Pasar en Todos los Nodos): la entrada de filtro permite los paquetes
en todos los nodos.
Block on All Nodes (Bloquear en Todos los Nodos): la entrada de filtro bloquea los
paquetes en todos los nodos.
Pass on Node [n] (Pasar en el Nodo [n]): la entrada de filtro fuerza al nodo [n] (donde n es
el nmero de ID del nodo) a manejar todos los paquetes perteneceientes a la conexin
especificada en esta entrada.
6. Si selecciona la accin Replace by, pulse el campo Replacement IP e introduzca la
direccin IP de sustitucin.
7. (Opcional) Seleccione Use Ports (Usar Puertos) para ignorar la opcin global Load Balancing
Filter Uses Ports.
Si dos mquinas envan el grueso de todo el trfico a travs del cortafuegos, puede
establecer la opcin Use Port a una de ellas para dividir el trfico entre los nodos del
clster, mejorando as la granularidad.
Usar esta opcin para direcciones IP en un sitio VPN puede reducir la granularidad del
balanceo de carga VPN y evitar conexiones de cliente VPN relacionadas con esas
direcciones IP.
8. (Opcional) Seleccione NAT Enforce (Forzar NAT) para el filtro actual si se requiere. No es
recomendable ajustar esta opcin sin consejo del soporte tcnico de Stonesoft puesto que
la opcin activa un proceso especfico relacionado con NAT en el filtro.
9. (Opcional) Seleccione Use IPsec (Usar IPSec) para la entrada de filtro actual para
especificar direcciones que reciben trfico IPSec para el propio nodo. No es recomendable
ajustar esta opcin sin consejo del soporte tcnico de Stonesoft puesto que la opcin activa
un proceso especfico de balanceo de carga para todo el trfico IPsec dirigido a la direccin
IP especificada en la entrada de filtro.
10. (Opcional) Seleccione Ignore Other (Ignorar Otros) para la entrada de filtro actual para
aplicar la gestin de paquetes. Esta opcin puede usarse para forzar la gestin de
paquetes por un nodo a la vez hacia y desde una direccin IP especificada.
11. Pulse OK.
Para continuar:
Refresque la poltica del cortafuegos para transferir los cambios.
Ajustar la Poltica de Contacto de un Cortafuegos Independiente

Prerrequisitos: Un cortafuegos independiente con una Direccin IP de Control dinmica
La comunicacin entre el Management Center y un cortafuegos independiente puede ser invertida de

forma que el cortafuegos abra la conexin al Management Server y la mantenga abierta para cualquier
comando. Esto puede ser necesario si el cortafuegos no tiene una direccin IP esttica que el
Management Server pueda contactar (direccin IP dinmica en el interfaz o NAT dinmica intermedia)
o si las conexiones del Management Server son bloqueadas por un dispositivo de filtrado de trfico
entre los componentes. La frecuencia de los contactos y los tiempos de espera usados se establecen
en las propiedades del cortafuegos.
Para definir las opciones de poltica de contacto para un cortafuegos independiente
1. Pulse botn derecho en un cortafuegos independiente y seleccione Properties. Se abrir el
dilogo de Propiedades de Cortafugos Independiente.
2. Cambie a la pestaa Advanced y pulse el botn Firewall Contact Policy (Poltica de
Contacto del Cortafuegos) en la seccin Traffic Handling Parameters (Parmetros de
Gestin de Trfico) a la derecha. Se abrir el dilogo de Poltica de Contacto del
Cortafuegos.
3. Modifique las opciones de tiempo de la poltica de contacto segn desee:
Initial Delay (Retardo Inicial): Tiempo (en segundos) a esperar tras la inicializacin antes
del primer intento de conexin con el Management Server. El valor por defecto es 10
segundos.
Connection Interval (intervalode Conexin): Tiempo (en segundos) a esperar antes de
conectar con el Management Server tras una conexin exitosa. El valor por defecto es 600
segundos (10 minutos).
Retry interval (Intervalo de Reintento): Tiempo (en segundos) a esperar antes de conectar
de nuevo con el Management Server tras un intento de conexin fallido. El valor por
defecto es 600 segundos (10 minutos).
Idle timeout (Tiempo de Espera de Inactividad): Tiempo (en segundos) antes de cerrar
una conexin inactiva. El valor por defecto es 300 segundos (5 minutos).
4. Pulse OK.
Para continuar:
Tareas Relacionadas
Para la opcin de cambiar la direccin del contacto de gestin, vea Establecer Opciones de
Interfaz del Cortafuegos (pag. 361).
Configurar las Opciones de Anti-Virus

El Anti-virus est disponible como funcionalidad licenciada separadamente en plataformas

seleccionadas. Las reglas de Acceso IPv4 de la Poltica de Cortafuegos definen qu trfico
se inspecciona con la base de datos de firmas de virus (vea Editar Reglas de Acceso (pag.
518)). Se recomienda que use las reglas de Inspeccin por Defecto en la Poltica de
Cortafuegos cuando se usa el anti-virus.
Para configurar las opciones de anti-virus
1. Pulse botn derecho sobre un elemento Cortafuegos y seleccione Properties. Se abrir
el dilogo de Propiedades para el cortafuegos.
2. Cambie a la pestaa Advanced.
3. Introduzca al menos una Direccin IP de DNS (DNS IP Address) en la seccin de
Parmetros del Sistema a la izquierda. Los dispositivos consultan a los servidores DNS
para resolver los repositorios de firmas de virus, que estn definidos como URLs.
Separe las direcciones con comas si quiere introducir varias. Slo se soportan
direcciones IPv4.
4. Pulse el botn Anti-Virus en la misma seccin. Se abrir el dilogo de Opciones de
Anti-Virus.
5. Seleccione Enable (Activar) para activar las opciones de anti-virus.
6. (Opcional) Introduzca las direcciones de los Virus Signature Mirrors (Repositorios de
Firmas de Virus) que quiera usar. Los dispositivos contactan con los repositorios para
actualizar sus firmas de virus. Separe las direcciones con comas si quiere introducir
varias.
7. Seleccione Virus Log Level (Nivel de Logs de Virus) de acuerdo con el tipo de
notificacin que quiere recibir cuando se encuentra un virus. Los niveles de log son los
mismos que en las reglas de Acceso (vea Definir Opciones de Logging en Reglas de
Acceso (pag. 528)).
8. (Opcional) Si selecciona Alerta como nivel de log de virus, pulse Select (Seleccionar)
para seleccionar el elemento asociado con la alerta. Los elemento Alert pueden usarse
como criterios de coincidencia en las polticas de escalado de alertas.
9. Pulse OK.
Para continuar:
Si no ha definido qu trfico se ha seleccionado para la inspeccin de anti-virus,
modifique las reglas de Acceso IPv4 en la Poltica del Cortafuegos. Proceda a Editar
Reglas de Acceso (pag. 518).
Configurar la Proteccin contra SYN Flood por Defecto del

Cortafuegos
Puede configurar la Proteccin contra SYN Flood para proteger el cortafuegos contra ataques
SYN flood.
Las opciones globales de Proteccin contra SYN Flood que defina en las propiedades del
cortafuegos segn se explica a continuacin se aplican como opciones por defecto a todos los
interfaces. Tambin puede definir la Proteccin contra SYN Flood e ignorar las opciones
globales en las propiedades de cada interfaz (vea Configurar las Propiedades Avanzadas de
Interfaz para Cortafuegos (pag. 349)).
Para configurar las opciones por defecto de la Proteccin contra SYN Flood
1. Pulse botn derecho sobre un elemento Cortafuegos y seleccione Properties. Se abrir el
dilogo de Propiedades del cortafuegos.
3. Pulse el botn SYN Flood Protection en la seccin System Parameters (Parmetros del
Sistema) a la izquierda. Se abrir el dilogo de Opciones de Proteccin contra SYN Flood
por Defecto.
4. Seleccione el SYN Flood Protection Mode (Modo de Proteccin contra SYN Flood):
Off (Apagado): La Proteccin contra SYN Flood est desactivada por defecto.
Automatic (Automtica): Este es el modo recomendado. El cortafuegos automticamente
calcula el nmero de Allowed SYNs per Second (SYNs Permitidos por Segundo) y el
Burst Size (Tamao de Rfaga) para el interfaz en base a la capacidad del dispositivo y el
tamao de memoria.
Custom (Personalizado): Introduzca los valores deseados para Allowed SYNs per
Second (el nmero de paquetes SUN permitidos por segundo) y Burst Size (el nmero de
SYNs permitidos antes de que el cortafuegos empiece a limitar el flujo de SYN). Se
recomienda que Burst Size sea al menos la dcima parte del valor de Allowed SYNs per
Second. Si Burst Size es demasiado pequeo, la Proteccin contra SYN Flood no
funciona. Por ejemplo, si el valor para Allowed SYNs per Second es 10000, el de Burst
Size debe ser al menos 1000.
Precaucin Los valores recomendados para las Opciones de SYN Flood dependen de
su entorno de red. Si las opciones personalizadas no se configuran con cuidado, la
capacidad del cortafuegos puede sufrir o la Proteccin contra SYN Flood no funcionar
adecuadamente.
5. Pulse OK.
Para continuar:
Tareas Relacionadas
Configurar las Opciones de Gestin de Logs
Configurar las Opciones de Gestin de Logs

Las opciones de Gestin de Logs le permiten ajustar los logs cuando el almacenamiento de logs
de los dispositivos se llena. Los Logs se guardan localmente cuando el Log Server no est
disponible.
Tambin puede configurar la Compresin de Logs (Log Compression) para ahorrar recursos en el
dispositivo. Esto es til en situaciones en las cuales la configuracin de enrutamiento genera
muchos logs de antispoofing o el nmero de logs de Discard se hace muy alto (por ejemplo, como
resultado de una ataque de SYN flood).
Las opciones generales de Compresin de Logs que defina en las propiedades del cortafuegos se
aplican por defecto a todos los interfaces. Tambin puede definir la Compresin de Logs e ignorar
las opciones globales en las propiedades de cada interfaz (vea Configurar las Propiedades
Avanzadas de Interfaz para Cortafuegos (pag. 349)).
Para configurar las opciones de gestin de logs
1. Pulse botn derecho sobre un elemento Cortafuegos y seleccione Properties. Se abrir
el dilogo de Propiedades del cortafuegos.
3. Pulse Log Handling (Gestin de Logs) en la seccin de Parmetros del Sistema
(System Parameters) a la izquierda. Se abrir el dilogo de Opciones de gestin de
Logs.
4. Seleccione la Poltica de Almacenamiento de Logs (Log Spooling Policy) para definir
qu ocurre cuando el almacenamiento temporal del dispositivo se llena:
Stop Traffic (Parar el Trfico): El nodo se pone offline. Si el nodo es parte de un
clster de cortafuegos, los otros nodos del clster toman el control de las conexiones.
Discard Log (Descartar Logs): Las entradas de log se descartan en cuatro fases, de
acuerdo con el espacio disponible. Los datos de monitorizacin se descartan primero,
seguidos de entradas de log marcadas como Transient (Transitorias) y Stored
(Almacenadas), y finalmente las entradas de log marcadas como Essential (Esencial).
Mientras tanto, el dispositivo sigue procesadno el trfico. sta es la opcin por defecto.
5. (Opcional) Defina Log Compression (Compresin de Logs) e introduzca los valores
deseados para las entradas de Antispoofing y (opcinalmente) para las entradas Discard.
No active la Compresin de Logs si quiere que todas las entradas de antispoofing y
Discard se registren como entradas de log separadas (por ejemplo para informes o
estadsticas del cortafuegos).
Por defecto, cada entrada de log de antispoofing y Discard se registra separadamente
y se muestra como entrada separada en la vista de Logs. Las opciones de Compresin
de Logs le permiten definir el nmero mximo de entradas separadas registradas.
Cuando se alcanza el lmite definido, se registra una nica entrada de los de
antispoofing o Discard. La entrada nica contiene informacin sobre el nmero total de
entradas de log de antispoofing o Discard generadas. Despus, el registro vuelve al
estado normal y una vez ms se registran y muestran todas las entradas generadas
separadamente.
Log Rate (Entries/s) (Velocidad de logs Entradas/Seg): el nmero mximo de
entradas por segundo. El valor por defecto para entradas de antispoofing es 100
entradas/seg. Por defecto, las entradas de log de Discard no se comprimen.
Burst Size (Entries) (Tamao de Rfaga Entradas): el nmero mximo de entradas
coincidentes en una nica rfaga. El valor por defecto para entradas de antispoofing es
1000 entradas. Por defecto, las entradas de log de Discard no se comprimen.
6. Pulse OK.
Para continuar:
Tareas Relacionadas
Ajustar las Opciones Avanzadas del Sensor-Analizador

Las Opciones Avanzadas para Sensores-Analizadores son una combinacin de las opciones
encontradas en las propiedades de los elementos Analizador y Sensor. Siga los pasos para
aquellos componentes en las partes relevantes.
Ajustar las Opciones Avanzadas del Analizador

La siguiente tabla explica las opciones disponibles en la pestaa Advanced de las Propiedades
del Analizador.
Tabla 45: Opciones Avanzadas del Analizador

Automated Node Con la opcin seleccionada, el certificado del dispositivo
Certificate para las comunciaciones del sistema se renueva
Renewal automticamente antes de que expire. En otro caso, el
(Renovacin certificado debe ser renovado manualmente.
Automtica del Cada certificado para comunicaciones del sistema es
Certificado del vlido por tres aos. Si el certificado expira, otros
Nodo) componentes rehsan comunicarse con el dispositivo.
Los sensores almacenan datos
Define lo rpidamente que los sensores cambian al
Timeout for localmente si el analizador no
analizador de respaldo si el analizador no responde. El
Failover to Backup responde y los envan al
valor por defecto es 120 segundos.
Analyzer analizador de resplado tras el
Asegrese de que el tiempo de espera es apropiado
(Tiempo de Espera failover.
para su entorno. Los analizadores no sincronizan datos
para Cambio al De cualquier modo, segn fluye el
entre ellos, de modo que un failover causa un lapso
Analizador de trfico, comandos como el trfico
momentneo en el proceso de correlacin de eventos, y
Respaldo) de listas negras puede entonces
no desea que los failovers ocurran innecesariamente.
lanzarse muy tarde.
Ajustar las Opciones Avanzadas del Sensor

La siguiente tabla explica las opciones disponibles en la pestaa Advanced de las

propiedades del Sensor y Clster de Sensores.
Tabla 46: Opciones Avanzadas del Sensor

Terminate and log connection (Terminar y registrar la
First Continue conexin) para de comprobar las conexiones si viajan a
Rule for travs de un interfaz inline. Opcin por defecto.
Esta opcin funciona como una
Connection Just log termination could have occurred (Registrar log
regla normal de Continuar, de
Termination de que la terminacin podra haber ocurrido) para de
forma que cualquier regla
(Primera Regla de comprobar conexiones, pero crea una entrada especial
individual y Continue en la poltica
Continuar para la de log Terminate (pasiva), que le permite filtrar los logs
de IPS puede ignorar esta opcin.
Terminacin de la para ver qu tipo de conexiones pararan cuando
Conexin) cambie la opcin para parar realmente el trfico. Esto
es til para pruebas.
Automated Node Con la opcin seleccionada, el certificado del dispositivo
Certificate para las comunciaciones del sistema se renueva
Renewal automticamente antes de que expire. En otro caso, el
(Renovacin certificado debe ser renovado manualmente.
Automtica del Cada certificado para comunicaciones del sistema es
Certificado del vlido por tres aos. Si el certificado expira, otros
Nodo) componentes rehsan comunicarse con el dispositivo.
Cuando los sensores inline estn conectados a un
Clster de Cortafuegos se pueden generar entradas de
Silent Drop for log duplicadas. Seleccione esta opcin si quiere que
Duplicate Log slo se muestre el primer evento de log en la vista de
Events logs cuando se generan eventos duplicados.
(Ignorar en Si se usan varios Sensores inline con un Clster de
Silencio para Cortafuegos y quiere ignorar los eventos de log
Eventos del Log duplicados, debe seleccionar el mismo Analizador para
Duplicados) todos los Sensores en las propiedades del Sensor.
Si no se selecciona esta opcin, todos los eventos
duplicados se muestran en la vista de Logs.
Esta opcin mantiene la conectividad cuando un sensor
inline est cerca de su lmite de rendimiento. Cuando se
selecciona esta opcin, el sensor reduce
dinmicamente el nmero de conexiones
inspeccionadas si la carga es muy alta. Algn trfico
Bypass Traffic on
puede pasar sin control de acceso ni inspeccin si se
Overload
selecciona esta opcin.
(Hacer bypass del
El trfico as ignorado no se cuenta cuando hay un
Trfico en
posible lmite de troughput por licencia aplicado. El
Sobrecarga)
bypass no afecta al trfico sujeto a inspeccin HTTPS.
Si no se selecciona esta opcin, el sensor inspecciona
todas las conexiones. Algunas conexiones pueden no
establecerse si el sensor inline se sobrecarga. Esta es
la opcin por defecto.
Opciones Avanzadas de Dispositivo429
Tabla 5: Opciones Avanzadas del Sensor (Continuacin)

Si un Sensor inspecciona trfico en un tnel usando IP
sobre Generic Routing Encapsulation (GRE), los
contenidos del paquete en el tnel pueden ser
Limit for comprobados contr las reglas de Acceso IPv6 y/o IPv4
Rematching varias veces de acuerdo con el nmero y tipo de capas
Tunneled Traffic del tnel.
(Lmite para Esta opcin define cuntas veces pueden ser
Trfico en Tnel recomprobados los contenidos de los paquetes en el
Recomprobado) tnel contra las reglas de Acceso IPv4 y/o IPv6 cuando
se encuentran varias capas de tneles. El valor por
defecto es 1. Cuando se alcanza el lmite, se toma la
accin definida en la siguiente opcin ms abajo.
Determina si los paquetes encapsulados restantes
Action if Limit is dentro del paquete en el tnel se permiten sin ms
Exceeded inspeccin o son descartados. Por defecto se descartan
(Accin si se los paquetes restantes. Cuando se lanza est accin,
Excede el Lmite) se le notifica de acuerdo con la siguiente opcin ms
abajo.
Define si se le notifica mediante una entrada de log
normal (stored) o una Alerta cuando el lmite para el
Log Level trfico en tnel recomprobado se alcanza. Si selecciona
(Nivel de Logs) Alert como Nivel de Logs elija el elmento Alerta a
utilizar. Los elementos Alerta pueden ser usados para la
comprobacin en Polticas de Alertas.
Separe las direcciones IP con una
DNS IP Address Los servidores de DNS que usa el dispositivo para coma si quiere introducir varoas
(Direccin IP de resolver los servicios de categorizacin de filtrado Web direcciones IP de servidores DNS.
DNS) (que se definen como URLs). Slo se soportan direcciones IPv4
en este campo.
Opciones para ajustar cmo se comporta un Clster de
Slo se muestra para Clsters de
Clustering Sensores. Vea Ajustar las Opciones de Clster de
Sensores.
Ajustar las Opciones de Clster de Sensores

Los Clsters de Sensores StoneGate operan por defecto en modo de balanceo de carga. Esto
significa que todos los sensores configurados estn online simultneamente y el trfico se
distribuye entre los nodos operativos. El balanceo de carga intenta mantener la carga de trfico
distribuida en lo posible.
Alternativamente, el clster puede funcionar en modo standby. En ese caso, slo un sensor a la vez
est activo y procesando trfico, mientras que el resto est en espera. Slo en caso de que el nodo
online falle, uno de los nodos en espera tomar el control instantneamente sobre el trabajo del
nodo cado.
Para establecer el mdo de clster del clster de Sensores
1. Pulse botn derecho sobre un elemento Clster de Sensores y seleccione Properties.
Se abrir el dilogo de Propiedades del clster.
3. Pulse el botn Clustering. Se abrir el dilogo de Propiedades del Clster.
430Gua de Administracin StoneGate
4. Seleccione el Modo de Clster (Cluster Mode):

Balancing (Balanceo): varios nodos estn online simultneamente proporcionado alta
disponibilidad y rendimiento mejorado en caso de fallo de un nodo y rendimiento
mejorado del Sensor. ste es el valor por defecto.
Standby (Espera): slo un nodo puede estar online a la vez. Se recomienda tener al
menos otro nodo en espera para cambiar en caso de fallo. Puede haber varios nodos
en espera a la vez. En esta situacin, uno de los nodos en espera pasa a online
cuando el nodo online falla.
5. Seleccione el Modo de Filtro (Filter Mode):
Static (Esttico): la propiedad del paquete (es decir, a qu nodo pertenece la
conexin/paquete) slo puede cambiar cuando se aaden o eliminan nodos del clster,
o cuando cambian de estado offline a online o viceversa.
Dynamic (Dinmico): el trfico se balancea para evitar sobrecargas en los nodos y las
conexiones existentes se mueven entre nodos cuando se detecta sobrecarga.
6. Pulse OK para confirmar su seleccin y cerrar el dilogo.
Para continuar:
Ajustar la Conexin de Gestin del Cortafuegos SOHO

Por defecto, la conexin entre un dispositivo cortafuegos SOHO y el Management Server

siempre est abierta. El cortafuegos SOHO reabre la conexin inmediatamente si sta se
corta. Alternativamente, puede elegir hacer que la conexin se cierre automticamente tras
un periodo de inactividad y que el cortafuegos SOHO compruebe preidicamente si el
Management Server tiene comandos pendientes para l.
Si la conexin est cerrada en el momento en que se envan comandos, los comandos
quedan pendientes en una cola del Management Server. Cuando el Cortafuegos SOHO
reconecta con el Management Server la prxima vez, el Management Server enva los
comandos pendientes. Tras el envo de los comandos, la conexin entre el Cortafuegos
SOHO y el Management Server se cierra de nuevo.
Para establecer el retardo para reabrir la conexin de gestin
(ConfiguracinConfiguracinCortafuegos). Se abrir la vista de Configuracin del
Cortafuegos.
SOHO).
3. Pulse botn derecho sobre SOHO Firewalls y seleccione Configure SOHO Firewalls.
Se abrir el dilogo de Configurar Cortafuegos SOHO.
4. Seleccione la opcin Reopen Delay (Retardo de Reapertura) si quiere permitir que la
conexin con el Management Server se cierre sin reapertura inmediata.
5. Introduzca el tiempo de retardo en horas en el campo proporcionado para definir el
tiempo antes de reabrir una conexin con el Management Server tras un contacto
exitoso.
6. Pulse OK.
Para continuar:
Aplique el cambio de configuracin en los cortafuegos SOHO mediante el men de
botn derecho.
CAPTULO 33
CONFIGURAR SNMP PARA LOS

DISPOSITIVOS
SNMP es un protocolo estndar que equipamientos diferentes pueden usar para enviarse
informacin relacionada con la gestin de la red entre ellos. Los dispositivos StoneGate
pueden configurarse para enviar traps SNMP a equipamiento externo.
Empezar con la Configuracin SNMP (pag. 432)

Configurar SNMP Versin 1 o 2c (pag. 432)
Configurar SNMP Versin 3 (pag. 433)
Configurar Qu Lanza Traps SNMP (pag. 434)
Activar el Agente SNMP en los Dispositivos (pag. 435)
Empezar con la Configuracin SNMP

Los dispositivos cortafuegos e IPS StoneGate pueden enviar traps SNMP ante eventos del
sistema como fallos en pruebas (dependiendo de su configuracin), por ejemplo, a un
sistema de monitorizacin de red centralizado.Un elemento Agente SNMP es un contenedor
reutilizable para las opciones de acuerdo con las cuales los dispositivos envan mensajes
traps SNMP a software externo compatible. Un Agente SNMP nico puede crearse una vez y
utilizarse en mltiples dispositivos seleccionando el Agente SNMP correcto en las
propiedades del dispositivo.
Qu Necesito Saber Antes De Empezar?
El agente SNMP de StoneGate soporta SNMPv1 (RFC1157), SNMPv2c (RFCs 1901 y 3416), y
SNMPv3 (RFC 3414). Compruebe la documentacin del software receptor para informacin sobre
qu versin usar.
Las MIBs de StoneGate se incluyen en el CD-ROM del Management Center. Para ms informacin
sobre los traps enviados por StoneGate, vea Traps y MIBs SNMP (pag. 961).
Limitaciones
No se pueden configurar traps SNMP para cortafuegos SOHO.
Para continuar:
Configurar SNMP Versin 1 o 2c
Configurar SNMP Versin 3 (pag. 433)
Configurar SNMP Versin 1 o 2c

Si quiere usar SNMPv3, configure el agente segn se explica en Configurar SNMP Versin 3
(pag. 433). En otro caso, siga las instrucciones a continuacin.
Para configurar las opciones de monitorizacin para SNMPv1 y v2c
(ConfiguracinConfiguracinIPS) desde el men. Se abrir la vista de
Configuracin de Cortafuegos o IPS.
2. Navegue a Other ElementsFirewall PropertiesSNMP Agents (Otros
ElementosPropiedades del CortafuegosAgentes SNMP) o Other ElementsIPS
PropertiesSNMP Agents (Otros ElementosPropiedades del IPSAgentes SNMP).
3. Pulse botn derecho sobre SNMP Agents (Agentes SNMP) y seleccione New SNMP
Agent (Nuevo Agente SNMP). Se abrir el dilogo de Propiedades de Agente SNMP.
4. Introduzca un Nombre (Name) nico para el Agente SNMP y seleccione v1 o v2 como
Version.
5. (Opcional) Pulse Add (Aadir) en la seccin de Monitorizacin e introduzca la cadena
de comunidad en el dilogo que se abre. La cadena de comunidad se usa para la
autenticacin en la monitorizacin.
6. (Opcional) Introduzca el nmero de puerto UDP en que escucha el agente SNMP en el
campo Listening Port. El puerto por defecto es el 161.
7. Introduzca la informacin de Contacto (Contact) para la persona responsable de los

dispositivos. Esta cadena se devuelve a consultas del objeto SNMPv2-MIB.
Para continuar:
Configurar SNMP Versin 3

SNMP v3 usa una autenticacin diferente a v1 y v2c.

Para configurar las opciones de monitorizacin para SNMPv3
(ConfiguracinConfiguracinIPS) desde el men. Se abrir la vista de Configuracin de
Cortafuegos o IPS.
2. Navegue a Other ElementsFirewall PropertiesSNMP Agents (Otros
ElementosPropiedades del CortafuegosAgentes SNMP) o Other ElementsIPS
PropertiesSNMP Agents (Otros ElementosPropiedades del IPSAgentes SNMP).
3. Pulse botn derecho sobre SNMP Agents (Agentes SNMP) y seleccione New SNMP
Agent (Nuevo Agente SNMP). Se abrir el dilogo de Propiedades de Agente SNMP.
4. Introduzca un Nombre (Name) nico para el Agente SNMP y seleccione v3 como Version.
5. Pulse Add (Aadir) en la seccin User Names (Nombres de Usuario) para aadir un
usuario. Se abrir el dilogo de Propiedades de Usuario SNMP.
6. Introduzca el Nombre de Usuario User Name, seleccione las opciones de Autenticacin
(Authentication) y Privacidad (Privacy) de acuerdo con la configuracin deseada, y pulse
OK.
7. Repita desde el Paso 5 para aadir ms usuarios si es necesario.
8. Pulse Add en la seccin Monitoring y seleccione el usuario para monitorizacin en el
dilogo que se abre. Repita si es necesario para seleccionar ms usuarios para
monitorizacin.
9. (Opcional) Introduzca el nmero de puerto UDP en que escucha el agente SNMP en el
campo Listening Port. El puerto por defecto es el 161.
10. Introduzca la informacin de Contacto (Contact) para la persona responsable de los
dispositivos. Esta cadena se devuelve a consultas del objeto SNMPv2-MIB.
Para continuar:
Configurar Qu Lanza Traps SNMP

Prerrequisitos: Configurar SNMP Versin 1 o 2c / Configurar SNMP Versin 3
Los parmetros de trap controlan dnde y cmo se envan los traps SNMP. El campo
Destinos (Destinations) es importante. Si se deja vaco, no se envan traps, y los otros
parmetros de trap son ignorados. Si el campo Destinos tiene un valor, el resto de los
parmetros de trap debe tener tambin un valor.
Para activar un trap especfico
1. Especifique una comunidad o nombre de usuario en la seccin Traps:
En SNMPv1 o SNMPv2c, introduzca la cadena Community (Comunidad).
En SNMPv3, seleccione un Nombre de Usuario (User Name).
2. Pulse Add (Aadir) en la seccin Traps e introduzca la dip y puerto UDP donde se
envan los traps. El puerto por defecto es el 162.
3. Seleccione los eventos para los cuales quiere establecer el trap en la seccin Active
Traps (Traps Activos). Los posibles eventos son:
Boot (Arranque) (por ejemplo, inicio del proceso agente por minit)
Shutdown (Apagado)
Going Online (Paso a Online)
Going Offline (Paso a Offline)
Policy Applied (Poltica Aplicada)
User Login (Conexin de Usuario) (va consola o con SSH)
Hardware Alerts (Alertas Hardware) (para dispositivos StoneGate que soporten
monitorizacin del hardware).
4. Pulse OK. Se crear el Agente SNMP.
Adems de estos eventos generales, el Comprobador en cada dispositivo puede enviar traps
SNMP cuando una prueba falla.
Para continuar:
Activar el Agente SNMP en los Dispositivos (pag. 435)
Activar el Agente SNMP en los Dispositivos

Prerrequisitos: Vea Empezar con la Configuracin SNMP
El Agente SNMP es responsable de las tareas relacionadas con SNMP en los dispositivos.
Para activar el agente SNMP
1. Abra las propiedades del elemento Cortafuegos, Sensor o Analizador.
2. En la primera pestaa, seleccione el Agente SNMP (SNMP Agent) que quiera activar.
3. Defina la cadena que se devuelve en consultas al objeto SNMPv2-MIB o SNMPv2-MIB-
sysLocation en el campo SNMP Location (Localizacin SNMP).
4. Pulse OK.
Para continuar:
Si quiere crear una Entrada de Prueba que enve un aviso usando el Agente SNMP,
proceda a Aadir Pruebas de Dispositivos (pag. 400).
En otro caso, refresque la poltica del dispositivo para transferir los cambios. Para ms
informacin sobre los traps que enva StoneGate, vea Traps y MIBs SNMP (pag. 961).
437 C
ENRUTAMIENTO
En esta seccin:
Configurar el Enrutamiento 439
Gestin del Trfico de Salida 459
Gestin del Trfico de Entrada 467

CAPTULO 34
CONFIGURAR EL ENRUTAMIENTO
El enrutamiento y la configuracin de antispoofing relacionada se hacen completamente

desde el Management Client. En su mayor parte, esta informacin se rellena
automticamente de acuerdo con los interfaces definidos para cada dispositivo.
Empezar con el Enrutamiento (pag. 440)

Aadir Rutas para Cortafuegos (pag. 441)
Aadir Rutas para Componentes IPS (pag. 453)
Eliminar Rutas (pag. 454)
Modificar el Antispoofing para Cortafuegos (pag. 454)
Comprobar Rutas (pag. 456)
Empezar con el Enrutamiento

Cmo Funciona el Enrutamiento

El Enrutamiento se configura completamente desde el Management Client, principalmente
en el rbol mostrado en la vista de Enrutamiento (Routing view). La informacin bsica de
enrutamiento para las redes directamente conectadas se aade automticamente tanto para
enrutamiento como antispoofing en base a las direcciones IP que ha definido para los
interfaces de los dispositivos. Los componentes IPS no enrutan trfico. Puede necesitar
definir una ruta por defecto para los componentes IPS si otros componentes del sistema no
estn localizados en una red conectada directamente.
El Antispoofing se utiliza slo en el cortafuegos. La configuracin de Antispoofing se aade
y actualiza automticamente eb base a la configuracin de enrutamiento. Los cortafuegos
siempre aplican antispoofing, el cual por defecto permite que una conexin se origine
nicamente desde el interfaz que tiene una entrada de enrutamiento para la direccin IP
origen de la conexin.
Limitaciones
La seleccin de qu trfico se enruta a travs de las VPNs no se determina por la
configuracin bsica de enrutamiento; el enrutamiento se comprueba una vez el trfico
est encapsulado en paquetes cifrados con diferente informacin de direcciones IP de
origen y desstino.
Las direcciones IPv6 slo estn soportadas en cortafuegos independientes. Las
direcciones IPv6 no estn soportadas en relay DHCP, enrutamiento multicast y
enrutamiento por polticas.

1. Aada la ruta por defecto. Vea Aadir Rutas para Cortafuegos (pag. 441) o Aadir Rutas
para Componentes IPS (pag. 453).
2. Aada rutas a redes que no estn directamente conectadas, pero requieran una pasarela.
Vea Aadir Rutas para Cortafuegos (pag. 441).
Tareas Relacionadas
Para configurar el cortafuegos para reenviar mensajes DHCP, proceda a Enrutar Mensajes
DHCP (pag. 445).
Para definir una ruta para el trfico multicast, proceda a Enrutar el Trfico Multicast (pag. 447).
Para definir una ruta que enve conexiones a diferentes destinos en base tanto al origen como
al destino, proceda a Definir el Enrutamiento por Polticas (pag. 451).
Aadir Rutas para Cortafuegos

Los cortafuegos enrutan el trfico de red. Debe aadir una ruta por defecto y cualquier ruta a
travs de pasarelas a redes que no estn directamente conectadas a los cortafuegos. En
clsters de cortafuegos, la informacin de enrutamiento se configura simultneamente en
todos los nodos del clster y todos los nodos siempre tienen tablas de enrutamiento
idnticas.
Para continuar:
Para definir slo una ruta al mismo destino o definir una nica ruta para interfaces
que pertenecen a un enlace agregado, proceda a Definir una Ruta de Enlace Simple
para un Cortafuegos.
Para definir dos o ms rutas alternativas al mismo destino, proceda a Definir una Ruta
Multi-Link para un Cortafuegos (pag. 442).
Definir una Ruta de Enlace Simple para un Cortafuegos

Puede seguir estas mismas instrucciones para aadir una ruta por defecto o rutas estticas a
una red particular. Si hay dos o ms rutas alternativas al mismo destino, cree una ruta Multi-
Link en su lugar. Vea Definir una Ruta Multi-Link para un Cortafuegos (pag. 442).
Las decisiones de enrutamiento se hacen por paquete comprobando desde la ruta ms
especfica a la ms general. De cualquier modo, cualquier entrada de enrutamiento por
poltica que defina se considera antes que la otra informacin de enrutamiento. Para
paquetes sujetos a traslacin de direcciones, el enrutamiento se hace siempre tras el NAT
usando la direccin trasladada.
Para definir una ruta de enlace simple
1. Seleccione ConfigurationRouting (ConfiguracinEnrutamiento) desde el men. Se
abrir la vista de Enrutamiento.
2. Seleccione el cortafuegos para el cual quiere configurar el enrutamiento de la lista sobre
el rbol de Enrutamiento.
3. Expanda el rbol de interfaz correcto de forma que el elemento Red se muestre bajo el
interfaz correcto.
4. Aada un Router al elemento Red.
Si el elemento Router que quiere aadir ya existe, arrstrelo y sultelo desde el panel
de Recursos sobre la Red en el rbol de Enrutamiento.
Si el elemento Router no existe, cree un nuevo elemento Router pulsando botn
derecho sobre el elemento Red bajo el interfaz correcto en el rbol de Enrutamiento y
seleccione New Router (Nuevo Router). El elemento Router para interfaces dinmicos
est marcado como DHCP Assigned (Asignado por DHCP).
5. Aada el elemento que contiene las direcciones IP que se enrutan a travs de este
interfaz:
Para aadir una ruta por defecto, pulse botn derecho sobre el elemento Router que
acaba de aadir en el rbol de Enrutamiento y seleccione NewAny Network
(NuevoCualquier Red). El elemento (existente) por defecto Any Network se aade
bajo el Router en el rbol de Enrutamiento.
Para aadir una ruta usando algn elemento ya configurado, arrastre y suelte el
elemento desde el panel de Recursos.
Para crear un nuevo elemento Host o Red, use el men de botn derecho para el
elemento Router que acaba de aadir en el rbol de Enrutamiento.
Nota Situar el elemento Any network tras dos elementos bsicos router diferentes no
crea una verdadera redundancia de routers ni balanceo de carga. Use elementos
NetLink sn su lugar. Vea Definir una Ruta Multi-Link para un Cortafuegos.
Para continuar:
Instale la poltica para transferir los cambios de configuracin al cortafuegos.
Definir una Ruta Multi-Link para un Cortafuegos

Cuando usa enrutamiento Multi-Link, el trfico se enruta a travs deconexiones de red
diferentes (NetLinks) de acuerdo con las condiciones del trfico, la disponibilidad de los
diferentes enlaces, y preferencias explcitamente configuradas que ested establece.
Normalmente, Multi-Link se usa para conexiones con Internet, pero Multi-Link puede usarse
para proporcionar rutas alternativas a cualquier otra red tambin.
Cree un NetLink para cada ruta alternativa segn se indica en Crear NetLinks (pag. 443).
Aada Redes bajo los NetLinks en el rbol de Enrutamiento para definir una ruta segn
se explica en Aadir una Ruta Multi-Link (pag. 444).
Para continuar:
Crear NetLinks (pag. 443)
Crear NetLinks
Los elementos NetLink se usan para representar rutas alternativas que llevan a las mismas
direcciones IP de destino. Los NetLinks normalmente representan conexiones con Internet, pero
pueden ser usados tambin para otros enlaces de comunicaciones.
Aunque el Management Client puede no requerir que se rellenen todos los parmetros en este
momento, se recomienda que rellene todos los parmetros segn se indica aqu para conseguir
una configuracin totalmente funcional y evitar tener que reajustar los parmetros ms
adelante. Para monitorizar el estado de los enlaces de red, debe definir las direcciones IP de
prueba en las propiedades del NetLink.
Nota Slo los NetLinks que se usan en un elemento Multi-Link de Salida se prueban.
La monitorizacin de estado no est disponible para NetLinks que slo se usan en el
Enrutamiento. Vea Empezar con la Gestin del Trfico de Salida (pag. 460) para ms
informacin sobre la configuracin de Multi-Link de Salida.
Para definir un elemento NetLink

3. Expanda el rbol bajo el interfaz bajo el cual quiere crear el NetLink.
4. Pulse botn derecho sobre la red a la cual pertenece el NetLink y seleccione
NewStatic NetLink (NuevoNetLink Esttico) o NewDynamic NetLink (Nuevo
NetLink Dinmico). Se abrir el dilogo de Propiedades del NetLink.
Ilustracin 155: Propiedades del Elemento NetLink
5. Proporcione un Nombre (Name) nico para el NetLink.

6. (Slo NetLink esttico) Seleccione la Pasarela (Gateway) que usa el NetLink.

El botn Select abre un dilogo que permite crear un nuevo elemento si es necesario.
La Pasarela normalmente se aade como un elemento Router, pero puede tambin
elegir otro Cortafuegos StoneGate de acuerdo con su configuracin de red.
7. (Slo NetLink esttico) Defina las direcciones pblicas (asignadas por su ISP) que
estn incluidas en el NetLink (y enrutadas por tanto hacia el router del proveedor de
Internet) usando el botn Select (Seleccionar) al lado del campo Network (Red).
8. (Opcional) Introduzca el Nombre de Proveedor (Provider Name) de su ISP.
9. (Opcional) Introduzca o ajuste las Opciones de Prueba:
Opcin Descripcin
Introduzca una direccin IP y pulse Add (Aadir). Son las direcciones IP que se prueba
IP Address con peticiones de eco ICMP (pings) para determinar si el enlace est levantado. Repita
(Direccin IP) esto para cada direccin IP que quiera aadir. Se recomienda introducir ms de una
direccin para evitar excluir el enlace en caso de que el host probado est cado.
Defina cada cunto se prueba el NetLink cuando est en modo Activ/Espera. Deje el
Period parmetro para Modo de Espera (Standby) a 0 si prefiere no comprobar este enlace
(Periodo) cuando est en espera (esto est pensado para reducir costes para enlaces que se
pagan en base al uso en lugar de a tarifa fija).
Timeout Defina cunto espera el cortafuegos antes de considerar que la prueba ha fallado.
(Tiempo de Cambie este parmetro para Modo de Espera (Standby) a 0 se prefiere no comprobar
Espera) este enlace cuando est en espera.
Nota Seleccione direcciones IP que proporcionen resultados fiables de la conectividad

punto-a-punto a los destinos qie necesitan ser alcanzados a travs del enlace (tal como
un servidor remoto a travs de Internet en lugar de un router interno o servidor de su ISP
en caso de una conexin con Internet).
10. (Opcional) Si planea usar el mtodo de balanceo de carga basado en ratio, rellene la
Velocidad de Entrada (Input Speed) y Velocidad de Salida (Output Speed) basadas
en el ancho de banda real que proporciona esta conexin dered. Estos valores se usan
para calcular cunto trfico recibe cada enlace en relacin a los otros enlaces.
11. Pulse OK.
Para continuar:
Repita estos pasos para aadir otros NetLinks al rbol de Enrutamiento.
Si ha terminado de aadir NetLinks, defina una ruta a travs de los NetLinks segn
se explica en Aadir una Ruta Multi-Link (pag. 444).
Aadir una Ruta Multi-Link
Nota Los interfaces de red para los NetLinks deben tener una Direccin IP Dedicada
del Nodo (NDI) definida para todos los nodos de los clsters. En otro caso, se usar la
direccin IP del interfaz marcado como la direccin IP por defecto para conexiones
salientes, lo cual puede llevar a un balanceo de carga incorrecto. Vea Configurar
Direcciones IP para un Clster de Cortafuegos (pag. 356).
Para aadir una ruta Multi-Link

3. Navegue al NetLink a travs del cual quiere enrutar trfico en el rbol de Enrutamiento.
4. Aada el elemento que contiene las direcciones IP que se enrutan a travs de este
interfaz:
Para aadir una ruta por defecto, pulse botn derecho sobre el elemento NetLink que
acaba de aadir en el rbol de Enrutamiento y seleccione NewAny Network
(NuevoCualquier Red). El elemento (existente) por defecto Any Network se aade
bajo el Router en el rbol de Enrutamiento.
Para aadir una ruta usando algn elemento ya configurado, arrastre y suelte el
elemento desde el panel de Recursos.
Precaucin Si usa Multi-Link con enrutamiento multicast con IGMP, asegrese de que
no crea bucles de enrutamiento. Si aade un NetLink al interfaz upstream, no aada un
NetLink a ningn interfaz downstream.
Para continuar:
Repita estos pasos para cualquier NetLink adicional.
En otro caso, la configuracin de Enrutamiento Multi-link est completa.
Tareas Relacionadas
Para usar Multi-Link para balancear trfico de salida, vea Empezar con la Gestin del Trfico
de Salida (pag. 460)
Enrutar Mensajes DHCP

El cortafuegos puede reenviar mensajes DHCP. Si los mensajes DHCP se enrutan a travs del
cortafuegos (desde un segmento de red a otro segmento aislado), debe habilitar el DHCP relay en
las propiedades del interafz de cortafuegos para el interfaz desde el cual se generan las peticiones
(red de clientes).
Slo se soportan direcciones IPv4 en DHCP relay. Puede activar DHCP relay slo en interfaces
del cortafuegos que tengan al menos una direccin IPv4.
Esta configuracin de DHCP relay no reenva mensajes DHCP del cliente VPN. Vea
Gestionar las Direcciones IP de Clientes VPN (pag. 785).
Para continuar:
Si ya ha configurado el servidor DHCP que quiere usar para reenviar mensajes
DHCP, empiece por Activar el Reenvo DHCP (pag. 447).
En otro caso, empiece en Definir un Servidor DHCP.
Definir un Servidor DHCP

Un servidor DHCP asigna dinmicamente direcciones IP.
Para definir un elemento Servidor DHCP
(ConfiguracinConfiguracinCortafuegos) desde el men. Se abrir la Vista de
2. Navegue a Network Elements (Elementos de Red) en el rbol de Cortafuegos.
3. Pulse botn derecho sobre Servers (Servidores) y seleccione NewDHCP Server
(NuevoServidor DHCP). Se abrir el dilogo de Propiedades del Servidor DHCP.
Ilustracin 156: Servidor DHCP
4. Introduzca un Nombre (Name) nico y Direccin IP (IP Address).
Nota Slo se soportan direcciones IPv4 para Relay DHCP en el Management Center.
5. Se necesitan una Localizacin (Location) y Direccin de Contacto (Contact Address)

si hay un dispositivo NAT entre un cortafuegos y el servidor, de forma que el
cortafuegos no puede conectar directamente a la direccin IP definida para el interfaz.
Vea Definir Localizaciones (pag. 61) y Definir Direcciones IP de Contacto (pag. 62) para
ms informacin.
6. Pulse OK para aplicar los cambios a las propiedades del Servidor DHCP.
Para continuar:
Configure el cortafuegos para reenviar los mensajes DHCP segn se explica en
Activar el Reenvo DHCP (pag. 447).
Tareas Relacionadas
Para usar el servidor DHCP para asignar direcciones IP virtuales a los clientes VPN, vea
Configurar la Pasarela para Clientes con Direccin IP Virtual (pag. 787).
Activar el Reenvo DHCP

Debe seleccionar qu interfaces del cortafuegos llevan a cabao el reenvo DHCP. Active el reenvo
DHCP en el interfaz del cortafuegos conectado hacia los clientes DHCP segn se explica en Activar
el Servidor DHCP Interno en un Interfaz de Cortafuegos (pag. 388).
Para continuar:
Para permitir el reenvo DHCP en las reglas de Acceso, proceda a Activar la Sub-
poltica de Reenvo DHCP (pag. 447).
Activar la Sub-poltica de Reenvo DHCP

El reenvo DHCP no est premitido en la plantilla por defecto. De todos modos, hay una sub-
poltica de reenvo DHCP preparada a la cual se puede referir desde su poltica de cortafuegos.
Nota La sub-poltica contiene reglas tanto para el reenvo DHCP local entre redes
internas como para reenvo DHCP para clientes VPN. Si slo una de estas
funcionalidades est activa, las reglas para la otra son invlidas y se ignoran cuando se
instala la poltica.
Para activar la sub-poltica de reenvo DHCP
1. Abra la poltica o plantilla de poltica de cortafuegos para su edicin.
2. Aada una nueva regla de Acceso IPv4 con las siguientes propiedades:
Origen Destino Servicio Accin

BOOTPC (UDP)
CUALQUIERA CUALQUIERA Jump DHCP Relay
BOOTPS (UDP)
Para continuar:
Refresque las polticas de todos los dispositivos afectados para transferir la
configuracin modificada.
Tareas Relacionadas
Para monitorizar el renvo DHCP ms cuidadosamente durante las pruebas, puede activar el
registro de diagnstico del reenvo DHCP en el cortafuegos. Vea Activar/Desactivar los
Diagnsticos de Cortafuegos/VPN (pag. 193).
Enrutar el Trfico Multicast

StoneGate soporta el reenvo multicast esttico y basado en IGMP (IGMP proxying). El reenvo
multicast basado en IGMP slo se soporta en redes con topologa de rbol. Slo se soportan
direcciones IPv4 en el enrutamiento multicast.
El multicast esttico le permite configurar rutas estticas para el trfico multicast entre una
direccin IP de origen y un par de interfaces del cortafuegos y una direccin IP (multicast) de
destino y par de interfaces del cortafuegos. El multicast esttico se usa a menudo para soportar
comunicaciones, tal como trfico multicast de mutuo acuerdo entre organizaciones (por ejemplo,
feeds de noticias multicast y video conferencias).
En el reenvo multicast basado en IGMP, el cortafuegos mantiene una lista de hosts que
estn suscritos al grupo de hosts multicast. Reenva el trfico enviado a la direccin IP
multicast slo a los hosts actualmente subscritos.
Nota Adems de configurar StoneGate, los routers y otros dispositivos de red deben
configurarse para permitir multicasting IP a lo largo del camino hacia los clientes.
Para continuar:
Para definir entradas IP multicast estticas, contine en Definir Multicast Esttico
(pag. 448).
Para configurar el enrutamiento IGMP Proxy multicast, contine en Definir el Reenvo
Multicast Basado en IGMP (pag. 449).
Definir Multicast Esttico
Nota Asegrese de que sus reglas de Acceso IPv4 permiten que el trfico multicast
esttico atraviese el cortafuegos (vea Editar Reglas de Acceso (pag. 518)).
Para definir multicast esttico

1. Abra las propiedades del elemento Cortafuegos para el cual quiere definir el
enrutamiento multicast esttico.
3. Pulse el botn Multicast Routing (Enrutamiento Multicast) bajo la tabla de interfaces.
Se abrir el dilogo de Propiedades de Enrutamiento Multicast.
4. Seleccione Static (Esttico) como Modo e Enrutamiento Multicast (Multicast Routing
Mode). Se activarn las opciones para este modo.
Ilustracin 157: Enrutamiento Multicast Esttico
5. Pulse Add (Aadir). Aparecer una nueva entrada en la tabla.

6. Configure los valores para la entrada:
Celda Cmo Configurar

Source Interface
Seleccione el interfaz de Cortafuegos a usar para el enrutamiento multicast.
(Interfaz Origen)
Celda Cmo Configurar

Source IP Address
Introduzca la direccin IP unicast del origen multicast.
(Direccin IP Origen)
Destination IP Address Introduzca la direccin IP multicast de destino. La direccin de destino debe
(Direccin IP Destino) estar en el rango multicast 224.0.0.0 a 239.255.255.255.
Pulse botn derecho sobre el Interfaz Destination (Destino) y seleccione
Destination Interface
Edit Destination (Editar Interfaz de Destino) para seleccionar los interfaces
(Interfaz de Destino)
donde quiere reenviar este trfico multicast.
7. Repita desde el Paso 5 para definir cualquier entrada IP adicional multicast esttica.
8. Pulse OK.
Para continuar:
Definir el Reenvo Multicast Basado en IGMP

El reenvo multicast basado en IGMP (IGMP proxying) se implementa en StoneGate en base a la
RFC 4605. El reenvo multicast basado en IGMP slo se soporta en redes con topologa de rbol.
La RFC 4605 incluye soporte para source-specific multicast (SSM Multicast Especfico de
Origen) con IGMP versin 3. SSM no est soportado en StoneGate. De cualquier modo, puede
configurar reglas de Acceso que filtren multicast en base al origen.
El cortafuegos mantiene una base de datos de miembros de las suscripciones de las redes de
bajada y enva informes no solicitados o deja el interfaz de subida cuando la base de datos
cambia. Tambin enva informes de miembros IGMP cuando se le solicita en el interfaz de subida.
Para definir el reenvo multicast basado en IGMP
1. Pulse botn derecho en el elemento Cortafuegos para el cual quiere definir reenvo
multicast basado en IGMP y seleccione Properties. Se abrir el dilogo de
Propiedades.
3. Pulse el botn Multicast Routing (Enrutamiento Multicast) bajo la tabla de interfaces.
Se abre el dilogo de Propiedades del Enrutamiento Multicast.
4. Seleccione IGMP Proxy como Modo de Enrutamiento Multicast (Multicast Routing
Mode). Se activarn las opciones para este modo.
Ilustracin 158: Multicast IGMP Proxy
5. (Opcional) Seleccione el Upstream Interface (Interfaz de Subida) y la IGMP Version

para l.
Si los servidores y hosts multicast estn en las redes locales, o si quiere limitar
multicast a las redes locales, no es necesario definir un Interfaz de Subida. En ese
caso, deje seleccionado Not Set (No Establecido) para Upstream Interface.
(Slo Clsters de Cortafuegos) Slo puede seleccionar como Interfaz de Subida un
interfaz que tenga una Cluster Virtual IP Address (CVI). No puede seleccionar un
Interfaz de Heartbeat como Interfaz de Subida.
La versin por defecto de IGMP es la 3. Puede necesitar seleccionar otra versin de
IGMP, por ejemplo, para resolver problemas de accesibilidad multicast en hosts, o si
algunos hosts usan una versin inferior de IGMP.
6. Pulse Add (Aadir) para definir Interfaces de bajada (Downstream Interfaces).
Aparecer una nueva entrada en la tabla.
El cortafuegos preidicamente consulta las redes de bajada acerca de hosts que
quieran unirse o abandonar el grupo de hosts multicast.
7. Pulse la celda Interface y seleccione el Interfaz de Bajada de la lista.
Puede usar el mismo Interfaz Fsico, VLAN o (slo en cortafuegos indeoendientes)
Mdem slo una vez en la configuracin del proxy IGMP.
(Slo Clsters de Cortafuegos) El Interfaz que seleccione como Interfaz de bajada
debe tener direcciones Node Dedicated IP Addresses (NDIs). No puede ser un Interfaz
de Heartbeat. Se recomienda que las direcciones Node Dedicated IP Addresses se
incrementen en el mismo orden en cada nodo: por ejemplo, 192.168.1.10 y
192.168.2.10 para el nodo A, y 192.168.1.11 y 192.168.2.11 para el nodo B.
Nota Los interfaces de bajada deben tener las direcciones IP ms bajas entre todos los
hosts que consultan IGMP en las redes locales.
8. Pulse la celda IGMP Version y seleccione la versin de IGMP para el interfaz de

bajada. La versin por defecto es IGMP versin 3. Puede necesitar seleccionar otra
versin de IGMP, por ejemplo, para resolver problemas de accesibilidad multicast en
hosts, o si algunos hosts usan una versin inferior de IGMP.
9. Repita desde el Paso 6 para definir ms Interfaces de Bajada.
10. Pulse OK.
Nota Asegrese de que sus reglas re Acceso IPv4 permiten que este trfico pase a
travs del cortafuegos (vea Editar Reglas de Acceso (pag. 518)).
Para continuar:
Definir el Enrutamiento por Poltica

El enrutamiento por poltica se usa para resolver problemas con direcciones IP duplicadas. El
enrutamiento por poltica le permite enrutar el trfico en base tanto a la direccin IP de origen como
a la de deestino. El enrutamiento por poltica es til si la misma direccin IP est en uso en ms de
un host fsico en diferentes redes y no es posible resolver la situacin cambiando la direccin IP o
usando NAT. En la mayora de los sistemas, no hay necesidad de aadir ninguna entrada de
enrutamiento por poltica.
Nota El enrutamiento por poltica slo se usa si se usan direcciones IP duplicadas en

redes diferentes. Para configurar rutas alternativas al mismo destino, use enrutamiento
Multi-Link (vea Definir una Ruta Multi-Link para un Cortafuegos (pag. 442)).
Las entradas de enrutamiento por poltica se aplican antes de las rutas normales definidas en el
rbol de Enrutamiento (obviando aquellas configuraciones si se encuentran coincidencias), y se
procesan exactamente en el orden especificado en la ventana de Enrutamiento por Polticas; la
primera entrada que coincida se aplica a la conexin y entradas posteriores se ignoran.
Slo se soportan direcciones IPv4 en el enrutamiento por polticas.
Para configurar el enrutamiento por polticas
1. Pulse botn derecho sobre ele elemento cortafuegos para el cual quiere definir el
enrutamiento por politicas y seleccione Properties. Se abrir el dilogo de Propiedades.
2. Cambie a la pestaa Advanced (Avanzado).
Ilustracin 159: Propiedades del Cortafuegos - Pestaa Avanzado
3. Pulse el botn Policy Routing (Enrutamiento por Polticas). Se abrir el dilogo de

Enrutamiento por Polticas.
Ilustracin 160: Dilogo de Enrutamiento por Polticas (Policy Routing)
4. Pulse Add (Aadir). Aparecer una nueva entrada en la tabla.

5. Pulse doble click sobre las celdas e introduzca la informacin de enrutamiento
requerida (tenga en cuenta que el enrutamiento se hace despus del NAT):
Opcin Descripcin
sta deber ser siempre diferente de la por defecto 0.0.0.0 que coincide
Source IP Address con cualquier direccin (tales configuraciones pueden gestionarse ms
(Direccin IP de Origen) fcilmente con las herramientas de enrutamiento normales en la vista
de Enrutamiento).
Source Netmask
(Mscara de Red de Introduzca la mscara de red para la direccin IP de origen.
Origen)
Destination IP Address
Introduzca la direccin IP de destino.
(Direccin IP de Destino)
Destination Netmask
(Mscara de Red de Introduzca la mscara de red para la direccin IP de destino.
Destino)
Gateway IP Address
La direccin IP del dispositivo al cual se enviarn los paquetes que
(Direccin IP de la
coincidan con el par origen/destino.
Pasarela)
6. Repita desde el Paso 4 para crear cualquier entrada adicional de enrutamiento por
polticas, y pulse OK. Se cerrar el dilogo de Enrutamiento por Polticas.
7. Pulse OK. Se cerrar el dilogo de Propiedades.
Para continuar:
Tareas Relacionadas
Las entradas de enrutamiento por polticas no se aaden automticamente a la vista de
Antispoofing, de forma que puede tener que actualizar la informacin de antispoofing
manualmente. Vea Modificar el Antispoofing para Cortafuegos (pag. 454).
Aadir Rutas para Componentes IPS

Los componentes IPS no enrutan trfico. Los interfaces del sensor que capturan el trfico para
su inspeccin no necesitan ninguna configuracin de enrutamiento manual. Puede necesitar
definir una ruta por defecto si el Management Center (Management Servers y Log Servers) y
otros componentes del sistema no estn localizados en una red conectada directamente. Otras
rutas pueden necesitarse adems de la ruta por defecto si uno o ms componentes del sistema
no estn conectados directamente y no pueden ser alcanzados mediante la pasarela por
defecto. Las comunicaciones del sistema IPS incluyen:
conexiones de gestin (todos los componentes StoneGate IPS)
comunicaciones con el Analizador (slo Sensores)
comunicaciones con el Log Server (todos los componentes StoneGate IPS)
comandos de listas negras a cortafuegos y sensores Stonegate (slo Analizadores).
Para aadir una ruta para un componente StoneGate IPS
2. Seleccione el elemento IPS correcto de la lista sobre el rbol de Enrutamiento.
3. Expanda el rbol y navegue al interfaz desde/hacia el cual debe ser enrutado el trfico. Se
mostrar un elemento de red correspondiente a la direccin IP del interfaz.
4. Aada un Router al elemento de red.
Si el elemento Router que quiere aadir ya existe, arrstrelo y sultelo sobre la Red en el
rbol de Enrutamiento.
Si el elemento Router no existe, cree un nuevo elemento Router pulsando botn derecho
sobre el elemento de red bajo el interfaz correcto y seleccionando NewRouter (Nuevo
Router).
5. Aada el elemento que contenga las direcciones IP enrutadas a travs de este interfaz:
Para aadir una ruta por defecto, pulse botn derecho sobre el elemento Router que acaba
de aadir en la vista de Enrutamiento y seleccione NewAny Network
(NuevoCualquier Red). El elemento Any Network (existente) por defecto se aade bajo
el Router en el rbol de Enrutamiento.
Para aadir una ruta usando algn elemento ya configurado, arrastre y suelte el elemento
desde el panel de Recursos.
Para continuar:
Refresque la poltica de IPS en el Sensor para transferir la configuracin modificada.
Tareas Relacionadas
Puede desear realizar una prueba rpida con algunas direcciones IP para comprobar su
configuracin de enrutamiento. Vea Comprobar Rutas (pag. 456).
Eliminar Rutas
Prerrequisitos: Aadir Rutas para Cortafuegos / Aadir Rutas para Componentes IPS
Puede eliminar cualquier elemento que haya aadido al rbol de enrutamiento usted mismo en
cualquier momento. Los elementos que se aaden automticamente en base al direccionamiento
IP de los interfaces no pueden eliminarse cuando estn an en uso. Use las reglas de Acceso para
controlar el acceso hacia/desde esas direcciones (vea Editar Reglas de Acceso (pag. 518)).
Los elementos aadidos automticamente correspondientes a una configuracin previa no se
eliminan automticamente cuando cambia la direccin IP de un interfaz para evitar el borrado
accidental de posibles definiciones manuales de rutas. En su lugar, los elementos que pertenecen
a la configuracin antigua se muestran como invlidos y debe eliminar los elementos obsoletos
manualmente.
Eliminar los elementos del enrutamiento no los borra del sistema.
Para eliminar un elemento del rbol de Enrutamiento
Pulse botn derecho sobre el elemento en la vista de Enrutamiento y seleccione Remove
(Eliminar). El elemento se elimina del enrutamiento.
Modificar el Antispoofing para Cortafuegos

Prerrequisitos: Aadir Rutas para Cortafuegos
El Antispoofing es una importante medida de seguridad. El Antispoofing est pensado para

evitar intentos maliciosos de usar una direccin IP interna legtima para conseguir acceso
desde redes con menor seguridad a redes con mayor seguridad. El Antispoofing determina
qu direcciones son direcciones de origen vlidas para las redes conectadas a cada
interfaz. Si un interfaz recibe un paquete con una direccin de origen que no es una
direccin de origen vlida para las redes conectadas a ese interfaz, el paquete se considera
que proviene de una direccin IP spoofed.
Los cortafuegos determinan automticamente las reglas de antispoofing en base a la
configuracin de enrutamiento. En la mayora de los casos, no hay necesidad de cambiar la
configuracin de antispoofing de ningn modo.
Para continuar:
Si quiere que el antispoofing permita conexiones que en otro caso seran cortadas,
vea Desactivar el Antispoofing para un Par Direccin IP/Interfaz (pag. 455).
Si quiere que el antispoofing corte conexiones que actualmente permite, vea Activar
el Antispoofing para Direcciones IP Enrutables (pag. 456).
Desactivar el Antispoofing para un Par Direccin IP/Interfaz

En raros puede necesitar modificar las definiciones de antispoofing por defecto para hacer
excepciones a las reglas de antispoofing (por ejemplo, si ha definido el enrutamiento por polticas
manualmente). Las entradas modificadas manualmente se marcan con un signo ms (+) (entradas
activas) o menos () (entradas desactivadas) en la vista de Antispoofing para distinguirlas de las
entradas de antispoofing generadas automticamente.
Nota Los errores en la configuracin de enrutamiento (en StoneGate o en la red que lo

rodea) pueden causar que paquetes legtimos sean identificados incorrectamente como
procedentes de una direccin IP spoofed. Compruebe siempre que el enrutamiento
est configurado correctamente antes de modificar el antispoofing. Por ejemplo, los
bucles de enrutamiento generan mensajes de log sobre paquetes spoofed packets, que
no pueden ser eliminados por ningn cambio en el antispoofing.
Por defecto, el cortafuegos interpreta el rbol de antispoofing eligiendo la entrada ms especfica

definida en la vista (por ejemplo, una definicin de una direccin IP nica se escoge sobre una
definicin de toda una red). En el modo por defecto, si a alguna direccin IP se le debe permitir el
acceso a travs de dos o ms interfaces diferentes, la definicin para cada interfaz debe estar al
mismo nivel de detalle para la direccin IP en cuestin.
Ejemplo Si el Interfaz A contiene el elemento Host para 192.168.10.101 y el interfaz B contiene un elemento
Red para 192.168.10.0/24, las conexiones desde 192.168.10.101 se consideran por defecto
spoofed si entran a travs del Interfaz B, incluso aunque la direccin est incluida en el elemento
red. La configuracin de antispoofing debe ser modificada para permitir la direccin tambin desde
el Interfaz B.
Para configurar antispoofing
1. Seleccione ConfigurationAntispoofing (ConfiguracinAntispoofing) desde el
men. Se abrir la vista de Antispoofing.
2. Seleccione el elemento Cortafuegos correcto desde la lista sobre el rbol de
Antispoofing.
3. Aada el elemento que representa las direcciones IP para las cuales quiere crear una
excepcin al rbol de Antispoofing de una de las siguientes formas:
Arrastre y suelte un elemento existente sobre el interfaz a travs del cual quiere que las
direcciones IP del elemento estn disponibles.
Cree un nuevo elemento pulsando botn derecho sobre el elemento Red bajo el
interfaz correcto y seleccionando New (Nuevo) (tipo de elemento).
4. (Opcional) Si quiere permitir todas las conexiones de una red desde un interfaz
especfico, pulse botn derecho en la red bajo el interfaz correcto y seleccione
Absolute. Todas las direcciones IP que pertenezcan a esa red estn ahora permitidas
para el interfaz, aunque definiciones de antispoofing ms especficas para algunas
direcciones de la red pueden ser definidas para otros interfaces.
Precaucin Nunca marque el elemento Any Network (Cualquier Red) como Absolute.
Desactivar el antispoofing de este modo es un riesgo de seguridad. Resuelva conflictos
de antispoofing a gran escala con definiciones especficas o cambiando el enrutamiento.
Para continuar:
Activar el Antispoofing para Direcciones IP Enrutables

La vista de Antispoofing muestra las direcciones permitidas para cada interfaz. Slo el primer
interfaz seleccionado para un enlace agreagado se muestra en la vista de Antispoofing. Las
entradas modificadas manualmente se marcan con un signo ms (+) (entradas activas) o un signo
menos () (entradas desactivadas) en la vista de Antispoofing para distinguirlas de las entradas
generadas automticamente.
Es raramente necesario cambiar las entradas aadidas automticamente. La forma preferida de
evitar el enrutamiento para direcciones IP es cambiar en su lugar la vista de Enrutamiento.
Nota Desactivar o borrar elementos en la vista de Antispoofing evita el acceso. Las

direcciones IP que representa un elemento desactivado o eliminado se consideran
direcciones spoofed.
Para eliminar un elemento del rbol de Antispoofing
Pulse botn derecho sobre el elemento y seleccione Remove (Eliminar).
Para desactivar un elemento en la vista de Antispoofing
Pulse botn derecho sobre el elemento y seleccione Disable (Desactivar). Puede reactivar el
elemento del mismo modo cuando lo necesite.
Para continuar:
Comprobar Rutas
La vista de Enrutamiento incluye una herramienta de Consulta de Rutas que puede usar para
comprobar hacia dnde se enrutan paquetes con una determinada direccin IP de acuerdo
con las condiciones actuales. La herramienta le ayuda a comprobar que la ruta es correcta y
a encontrar rpidamente una rama particular en el rbol de Enrutamiento.
El enrutamiento por polticas no se considera en esta consulta. La consulta de rutas usa la
configuracin almacenada actualmente en el Management Server (mostrada en el
Management Client). Deber refrescar la poltica de los dispositivos afectados tras completar
la configuracin para transferir la informacin de enrutamiento modificada.
Para comprobar rutas con una Consulta de rutas
abrir la vista e Enrutamiento.
2. Seleccione el elemento dispositivo correcto de la lista sobre el rbol de Enrutamiento.
3. Pulse botn derecho sobre el elemento dispositivo y seleccione Query Route (Consultar
Ruta). Se abrir el dilogo de Consultar Ruta.
Ilustracin 161: Consulta de Ruta
4. Introduzca una direccin IP (IP address) y pulse Query (Consultar). La ruta

se muestra en el espacio inferior.
CAPTULO 35
GESTIN DEL TRFICO DE SALIDA
La funcionalidad Multi-Link de los cortafuegos StoneGate le permite distribuir el trfico de salida

entre dos o ms conexiones con Internet para proporcionar alta disponibilidad y balanceo de
carga para el trfico saliente.
Empezar con la Gestin del Trfico de Salida (pag. 460)

Configurar Opciones de Multi-Link de Salida (pag. 461)
Crear Reglas de Balanceo de Carga NAT de Salida (pag. 465)
Monitorizar y Probar la Gestin del Trfico de Salida (pag. 466)
Empezar con la Gestin del Trfico de Salida

Prerrequisitos: Vea la Visin General de la Configuracin ms abajo
Qu Hace la Gestin del Trfico de Salida

Los cortafuegos Stonegate pueden balancear el trfico saliente entre dos o ms enlaces de
red (NetLinks) usando la funcionalidad Multi-Link. Los NetLinks se combinan en elementos
Multi-Link. Los NetLinks pueden ser de tipos diferentes y pueden tener diferentes
velocidades. Tambin puede usar Multi-Link con enlaces agregados.
Multi-Link le permite:
Balancear el trfico de salida entre dos o ms enlaces de red alternativos para aumentar el
ancho de banda disponible.
Garantizar que la conectividad de red saliente sigue disponible incluso si falla un enlace de
red. Cuando un enlace de red falla, el cortafuegos lo detecta y deja de enviar trfico a
travs del enlace en fallo.
Limitaciones
El trfico VPN se balancea independientemente de las opciones cubiertas en etsa
configuracin (cuando el cortafuegos es el endpoint de la VPN).
Si configura el enrutamiento multicast con IGMP proxy y usa un NetLink en un interfaz de
subida de un cortafuegos, no puede usar NetLinks en ninguno de los interfaces de bajada
del cortafuegos.
Para una configuracin realmente redundante, le recomendamos conectar cada enlace a
travs de equipamiento fsico diferente (tal como routers).

Router
Red NetLink
Poltica de
Cortafuegos
Multi-Link
De Salida
Clase de Qos
1. Configure el enrutamiento con al menos dos NetLinks. Vea Definir una Ruta Multi-Link para
un Cortafuegos (pag. 442).
2. Si quiere que el cortafuegos seleccione el NetLink en base al tipo de trfico, cree Clases
de QoS y asgnelas al trfico. Vea Empezar con QoS (page 616).
3. Cree un elemento Multi-Link de Salida para agrupar sus NetLinks y defina las opciones de
gestin del trfico. Vea Configurar Opciones de Multi-Link de Salida (pag. 461).
4. En la Poltica del Cortafuegos, cree una regla de NAT para el balanceo de carga de salida.
Vea Para definir reglas de NAT para el balanceo del trfico de salida (pag. 465).
Configurar Opciones de Multi-Link de Salida

Prerrequisitos: Definir una Ruta Multi-Link para un Cortafuegos, (opcional) Crear Clases de QoS
Los elementos Multi-Link de Salida se usan para combinar NetLinks y para establecer las
opciones para las funcionalidades de alta disponibilidad y balanceo de carga.
Hay dos mtodos para la seleccin de enlaces. Si la seleccin de enlace se basa en el Round
Trip Time (Tiempo de Ida y Vuelta), los dispositivos envan una conexin a todos los enlaces, y
seleccionan el enlace que devuelve la respuesta ms rpido. La seleccin de enlace tambin
puede estar basada en una Ratio (Proporcin) del ancho de banda relativo de cada NetLink.
Deber configurar las opciones bsicas para estos mtodos en las propiedades de cada
NetLink (vea Crear NetLinks (pag. 443)).
Para continuar:
Combine sus NetLinks en elementos Multi-Link de Salida. Proceda a Crear un
Elemento Multi-Link de Salida (pag. 462).
Crear un Elemento Multi-Link de Salida

El elemento Multi-Link de Salida rene los NetLinks y establece opciones para el balanceo de
carga. Los elementos Multi-Link de Salida que cree no funcionan por su cuenta; debe usarlos en
las reglas de NAT de la Poltica del Cortafuegos para seleccionar el trfico para el balanceo de
carga de salida.
Para definir un elemento Multi-Link de Salida
(ConfiguracinConfiguracinCortafuegos) desde el men. Se abre la vista de
2. Navegue a Network ElementsTraffic Handlers (Elementos de RedGestores de
Trfico).
3. Pulse botn derecho sobre Traffic Handlers (Gestores de Trfico) y seleccione
NewOutbound Multi-Link (NuevoMulti-Link de Salida) del men. Se abrir el
dialogo de Propiedades del Multi-Link de Salida.
Ilustracin 163: Propiedades del Multi-Link de Salida
4. Proporcione al elemento Multi-Link de Salida un Nombre (Name) nico.

5. (Opcional) Aada un Comentario (Comment) para su propia referencia.
6. Especifique el Mtodo (Method) para la seleccin de enlace:
Round Trip Time (Tiempo de ida y Vuelta): El cortafuegos peridicamente prueba los
NetLinks para comprobar su velocidad y elige el NetLink activo disponible ms rpido
para cada nueva conexin de salida.
Ratio (Proporcin): El trfico se distribuye entre todos los NetLinks activos disponibles
ed acuerdo con el ancho de banda relativo de cada NetLink. Al NetLink con el ancho de
banda ms alto se le asigna la mayor porcin de trfico.
Para continuar:
Contine en Seleccionar NetLinks para un Multi-Link de Salida (pag. 463).
Seleccionar NetLinks para un Multi-Link de Salida

Para aadir un NetLink a un elemento Multi-Link de Salida
1. Pulse el botn Add (Aadir). Se abrir el dilogo de Miembro de Multi-Link.
Ilustracin 164: Dilogo de Miembro de Multi-Link
2. Seleccione un NetLink.
3. Seleccione el elemento de Red (Network) que representa el espacio de direcciones IP en
la red externa directamente conectada a este enlace de red.
4. En los campos Selected Range (Rango Seleccionado), especifique el rango de direcciones
IP para la traslacin dinmica de direcciones de origen (NAT) para las direcciones IP de
origen internas en este NetLink. Para definir una nica direccin IP, introduzca la misma
direccin en ambos campos.
Puesto que Multi-Link funciona sin cambios externos, la traslacin de direcciones es
necesaria para el correcto enrutamiento de los paquetes.
5. Seleccione el Tipo (Type):
Active (Activo): el trfico se enruta a travs del NetLink de acuerdo con el Mtodo que
especifique en las propiedades del elemento Multi-Link de Salida.
Standby (Espera): el trfico slo se enruta a travs del NetLink si todos los NetLinks
primarios (activos) estn indisponibles.
6. (Opcional) Seleccione las Clases de QoS para el trfico gestionado por este NetLink y
pulse Add (Aadir). Puede usar las clases de QoS para asignar el NetLink con o sin activar
las funcionalidades de QoS. Para ms informacin, vea Empezar con QoS (pag. 616).
Puede seleccionar la misma clase de QoS para varios NetLinks para balancear el trfico
entre ellos. Si ninguno de los NetLinks con la clase de QoS apropiada est disponible, o si
al trfico no se le ha asignado una clase de QoS, el trfico se distribuye entre los NetLinks
de acuerdo con el Mtodo que especifique en las propiedades del elemento Multi-Link de
Salida.
Las clases de QoS se asignan en base a los cdigos ToS en el trfico de red o en las
reglas de Acceso. El trfico al que se ha asignado la clase de QoS seleccionada usa este
NetLink si el NetLink est disponible.
7. Pulse OK. Se cerrar el dilogo de Miembro de Multi-Link Member, y el Netlink se listar en
la lista de Miembros del Multi-Link.
8. Repita estos pasos para cada NetLink que quiera aadir al elemento Multi-Link de
Salida. Cuando haya terminado, pulse OK en el dilogo de propiedades de Multi-Link.
Para continuar:
Si quiere definir cmo se cachea la informacin del rendimiento del NetLink, contine en
Definir Opciones de Cach de Destino (pag. 464).
En otro caso, proceda a Crear Reglas de Balanceo de Carga NAT de Salida (pag. 465).
Tareas Relacionadas
Cambiar el Estado de un NetLink Manualmente (pag. 195)
Definir Opciones de Cach de Destino

La informacin acerca del rendimiento de cada NetLink se cachea. No se hacen nuevas
mediciones si se abre una conexin al mismo destino en un corto periodo de tiempo. Puede
definir la duracin de la informacin cacheada.
Para definir las opciones de cach de destino
1. Cambie a la pestaa Advanced (Avanzado) en las Propiedades de Multi-Link de Salida.
Ilustracin 165: Propiedades de Multi-Link de Salida - Pestaa Advanced
2. Deseleccione Default (Por defecto).

3. Introduzca el Tiempo de Espera (Timeout) (en segundos) tras el cual se har una
nueva medicin del rendimiento del NetLink. El valor por defecto es 3600 segundos.
4. Introduzca el nmero de Reintentos Mximos (Maximum Retries) para comprobar cada
NetLink. Por defecto es 2.
5. Pulse OK.
Para continuar:
Continue en Crear Reglas de Balanceo de Carga NAT de Salida (pag. 465).
Crear Reglas de Balanceo de Carga NAT de Salida

Prerrequisitos: Definir una Ruta Multi-Link para un Cortafuegos, Configurar Opciones de Multi-Link de Salida
Para balancear las conexiones de salida entre NetLinks, debe definir las reglas de NAT usando
el direccionamiento NAT de origen definido en el elemento Multi-Link de Salida.
Puede crear varios elementos Multi-Link de Salida para balancear diferentes tipos de trfico de
forma diferente. Si hay algn trfico que no quiere balancear en absoluto, puede dirigir el trfico
a travs de un NetLink especfico con una regla de NAT normal que traslade el origen usando un
espacio de direcciones particular del NetLink y coincida con las conexiones deseadas antes de
la regla de balanceo.
Para definir reglas de NAT para el balanceo del trfico de salida
1. Pulse botn derecho sobre la poltica y seleccione Edit (Editar) desde el men. La poltica
se abrir para su edicin.
2. Cambie a la pestaa IPv4 NAT.
3. Aada una nueva regla y especifique Source (Origen), Destination (Destino), y Service
(Servicio) de acuerdo con el trfico que quiera balancear usando un elemento particular
Multi-Link de Salida.
4. Haga doble click sobre la celda NAT. Se abrir el dilogo de Traslacin de Direcciones de
Red en la pestaa Traslacin de Origen.
5. Seleccione Dynamic (Dinmica) como Tipo de Traslacin (Translation Type).
6. Pulse el botn Select al lado del campo IP Address Pool (Pool de Direcciones IP). Se abrir el
dilogo de Seleccin de Elemento.
Trfico) y seleccione el elemento Multi-Link de Salida.
8. (Opcional) Especifique un rango de puertos para la traslacin del puerto de origen
introduciendo nmeros de puerto en los campos First Port to Use (Primer Puerto a Usar) y
Last Port to Use (ltimo Puerto a Usar). Por defecto se usan todos los puertos altos
libres desde el 1024 al 65535.
Nota Asegrese de que el pool de direcciones IP y el rango de puertos son

suficientemente grandes para trasladar el nmero de conexiones simultneas que
coincidan con esta regla de NAT.
9. Seleccione/deseleccione Automatic Proxy ARP (Proxy ARP Automtico):

Asegrese de que esta opcin est seleccionada si quiere que se generen entradas de
proxy ARP.
Para que proxy ARP funcione, la direccin IP sin trasladar de todos los hosts cuya
direccin IP se traslade debe estar incluida enla configuracin de enrutamiento en la vista
de enrutamiento (es decir, hay una CVI con una direccin de la misma red definida en las
propiedades del elemento Cortafuegos o la Red o Host se han aadido manualmente a la
vista de Enrutamiento).
Deseleccione la opcin para desactivar proxy ARP.
10. Pulse OK.
Ilustracin 166: Regla de NAT de Balanceo de Carga de Salida - Ejemplo
Esto completa la configuracin mostrada en la Visin General de la Configuracin (pag.

461). Guarde e instale la poltica para transferir los cambios a los dispositivos.
Para continuar:
Para comprobar cmo funciona su configuracin de Multi-Link, vea Monitorizar y
Probar la Gestin del Trfico de Salida (pag. 466).
Para configurar la gestin del trfico de entrada, vea Empezar con la Gestin del
Trfico de Entrada (pag. 468).
Las VPNs tienen una seleccin de enlaces independiente. Para configurar enlaces
(tneles) activos y en espera, vea Definir Opciones del Tnel VPN (pag. 746).
Monitorizar y Probar la Gestin del Trfico de Salida

Prerrequisitos: Vea Empezar con la Gestin del Trfico de Salida
El estado de los diferentes NetLinks puede monitorizarse en la vista de Estado del Sistema.
Vea Empezar con la Monitorizacin del Sistema (pag. 84). El estado se muestra en base a
los resultados de las pruebas de estado a las direcciones de prueba configuradas en los
elementos the NetLink.
Puede comprobar que la configuracin de la gestin del trfico de salida funciona como se
desea generando trfico y despus desactivando las conexiones de red, por ejemplo,
desconectando cables (en un clster, desactive el mismo enlace en todos los nodos activos
para simular un fallo del ISP).
Nota Por defecto, si desconecta un cable de un nodo de un clster, el comprobador

automtico de dispositivos reconoce esto como un fallo y pasa el nodo a offline (a
menos que sea el nico nodo que est online). Para ignorar esta prueba automtica,
ponga todos los nodos en Lock Online durante la prueba.
La mayora de las conexiones actualmente abiertas en el enlace que se cae se cortan y

deben ser reabiertas por las aplicaciones, puesto que la direccin IP externa usada en las
comunciaciones cambia a una direccin del nuevo enlace. Cualquier tipo de trfico puede
cambiar a usar un enlace diferente de forma completamente transparente si se transporta a
travs de una VPN Multi-Link entre dos dispositivos cortafuegos/VPN Multi-Link.
Si el mtodo de balanceo de carga basado en Ratio, se usa un enlace hasta que se detecta
un fallo basado en las pruebas de estado del enlace hacia las direcciones de Prueba
configuradas en los elementos NetLink. Con el mtodo Round Trip Time, las nuevas
conexiones se dirigen a los enlaces en funcionamiento (puesto que el enlace que responde
ms rpido es el elegido) incluso si las pruebas no estn configuradas o funcionando.
Tareas Relacionadas
Empezar con el Comprobador de Dispositivos (pag. 398).
CAPTULO 36
GESTIN DEL TRFICO DE ENTRADA
Los cortafuegos le permiten establecer un pool de servidores que distribuya la carga del
trfico entrante entre un grupo de servidores y/o permiten controlar el uso del NetLink del
trfico entrante en una configuracin de Multi-Link. Esto garantiza que los servicios siguen
disponibles incluso cuando uno o ms servidores o NetLinks fallan, y balancea la carga de
trfico entrante ms eficientemente entre un grupo de servidores.
Empezar con la Gestin del Trfico de Entrada (pag. 468)

Definir un Pool de Servidores (pag. 469)
Instalar Agentes de Monitorizacin (pag. 472)
Desinstalar los Agentes de Monitorizacin (pag. 473)
Configurar los Agentes de Monitorizacin (pag. 474)
Activar los Agentes de Monitorizacin (pag. 488)
Introducir las Direcciones IP del Pool de Servidores en Su Servidor de DNS (pag.
488)
Crear Reglas de Acceso para el Balanceo de Carga de Entrada (pag. 489)
Configurar Actualizaciones de DNS Dinmico (pag. 490)
Monitorizar y Probar los Agentes de Monitorizacin (pag. 493)
Empezar con la Gestin del Trfico de Entrada

El trfico de entrada en un cortafuegos puede gestionarse con un pool de servidores.

Qu Hace la Gestin del Trfico de Entrada
El primer y principal uso para un pool de servidores es ofrecer balanceo de carga y alta
disponibilidad para dos o ms servidores que ofrecen el mismo servicio a usuarios. Un
segundo uso es controlar qu NetLink usa el trfico de entrada. La gestin del trfico de
entrada puede:
Distribuir la carga de trfico entrante entre varios servidores para equilibrar su carga de
trabajo
Monitorizar el estado del servidor de forma que el trfico no se dirija a servidores no
disponibles o sobrecargados (si se han instalado en cada servidor los Agentes de
Monitorizacin opcionales)
Enviar actualizaciones de DNS dinmico (DDNS) a un servidor de DNS para evitar que el
trfico entrante use un NetLink no funcional en una configuracin Multi-Link (con o sin las
otras funcionalidades de los Pools de Servidores).
Limitaciones
Las actualizaciones de DDNS no tienen control de acceso, de modo que las
comunicaciones deben securizarse de otra forma.
No pueden definirse servidores en espera (standby) para un pool de servidores. Slo se
soporta balanceo de carga entre los servidores en un pool de servidores.
Slo se soportan protocolos TCP y UDP para los pools de servidores.
La traslacin de direcciones origen no est soportada para los pools de sevidores.
Cada pool de servidores debera ofrecer slo un tipo de servicio. Si los mismos
servidores proporcionan ms de un servicio (por ejemplo, HTTP y HTTPS), cree Pools de
Servidores separados para cada servicio.

Hosts Pool de Poltica de

Servidores Cortafuegos
1. Cree elementos Host para todos los servidores que quiera incluir en el pool de servidores
(a menos que ya estn definidos).
2. Defina un elemento Pool de Servidores (Server Pool) y defina las opciones para el reparto
de carga entre los servidores y la gestin del trfico entrante (vea Definir un Pool de
Servidores (pag. 469)).
3. Compruebe que las direcciones IP definidas como direcciones externas pblicas de los
servidores en las propiedades del Pool de Servidores corresponden a las entradas para
ellas en el servidor de DNS (vea Introducir las Direcciones IP del Pool de Servidores en Su
Servidor de DNS (pag. 488)).
4. Modifique su poltica para incluir la gestin del trfico de entrada (vea Crear Reglas de
Acceso para el Balanceo de Carga de Entrada (pag. 489)).
5. (Opcional) Si quiere usar Agentes de Monitorizacin del Pool de Servidores, instlelos,
configrelos y actvelos (vea Instalar Agentes de Monitorizacin (pag. 472)).
6. (Opcional) Si quiere enviar actualizaciones de DNS Dinmico (DDNS) a un servidor DNS
cuando los NetLinks se caigan, configure las actualizaciones (vea Configurar
Actualizaciones de DNS Dinmico (pag. 490)).
Definir un Pool de Servidores

El elemento Pool de Servidores rene a servidores que porporcionan un servicio particular en un

elemnto nico y define las opciones para gestionar el trfico de entrada.
Para continuar:
Empiece por Crear un Nuevo Elemento Pool de Servidores.
Crear un Nuevo Elemento Pool de Servidores

Aada servidores en Pools de Servidores en base a los servicios que proporcionan los
servidores. El Pool de Servidores considera todos los servidores incluidos como iguales. Si los
mismos servidores proporcionan ms de un servicio, cree Pools de Servidores separados para
los diferentes servicios incluso si los mismos servicios se ejecutan en todos los servidores (cada
Pool de Servidores reserva una direccin IP adicional).
Para crear un nuevo elemento Pool de Servidores
(ConfiguracinConfiguracinIPS) desde el men. Se abrir la vista de Configuracin
del Cortafuegos o IPS.
2. Navegue a Network Elements (Elementos de Red).
3. Pulse botn derecho sobre Traffic Handlers (Gestores de Trfico) y seleccione New
Server Pool (Nuevo Pool de Servidores) desde el men. Se abrir el dilogo de
Porpiedades del Pool de Servidores.
4. Introduzca un Nombre (Name) nico para el Pool de Servidores.
Para continuar:
Contine en Definir las Direcciones Externas del Pool de Servidores.
Definir las Direcciones Externas del Pool de Servidores

Los clientes hacen sus conexiones entrantes a la direccin del pool de Servidores. El
cortafuegos entonces decide cul servidor va a manejar la conexin y traslada (en una
operacin NAT) la direccin pblica a la direccin IP privada de ese servidor. La direccin o
direcciones externas del Pool de Servidores se definen como propiedades del elemento Pool
de Servidores.
Nota Asegrese de que sus reglas de NAT no se superponen con el Nat del Pool.
Para aadir Direcciones Externas

1. Pulse el botn Add (Aadir) en la seccin External Addresses (Direcciones Externas)
del dilogo de Propiedades del Pool de Servidores. Se abrir el dilogo de Direcciones
Externas.
Ilustracin 168: Direcciones Externas
2. Seleccione el NetLink que quiere usar, o si quiere configurar reparto de carga para los
servidores pero no balanceo de trfico entre NetLinks, seleccione Not Specified (No
Especificado).
3. Para la red (Network), seleccione el elemento de Red que se usa para las direcciones
externas trasladadas del Pool de Servidores.
4. Defina la Direccin IP (IP Address) externa de destino trasladada para el Pool de
Servidores. sta es la direccin que contactan las mquinas clientes cuando acceden al
servicio ofrecido por los servidores del pool.
Nota La direccin IP que introduzca aqu debe ser reservada para NAT y no debe ser
usada por ningn otro equipo en su red. Recuerde actualizar su servidor DNS con
cualquier cambio en el direccionamiento IP.
5. En Status, seleccione Enabled (Activado) para usar el NetLink para el Pool de

Servidores.
6. (Recomendado) Seleccione Proxy ARP Entry Generation (Generacin de Entrada
Proxy ARP) para generar automticamente una entrada Proxy ARP para la direccin
trasladada en la red seleccionada. En otro caso, deber definir manualmente la entrada
ARP en las propiedades del elemento cortafuegos.
7. Pulse OK para aadir la direccin externa. Repita estos pasos para cualquier otro
NetLinks que gestione trfico para este Pool de Servidores.
Para continuar:
Contine en Aadir Miembros del Pool de Servidores.
Aadir Miembros del Pool de Servidores

Debe aadir un elemento Host para la direccin IP interna de cada miembro del pool. El
cortafuegos usa estas direcciones para seleccionar cul servidor gestiona qu trfico del que
llega a la direccin externa del Pool de Servidores.
El Pool de Servidores puede tener cualquier nmero de miembros. Tambin puede crear un
Pool de Servidores con un solo servidor para permitir las actualizaciones de DDNS para un
nico servidor cuando los enlaces del ISP se caen si el servidor no necesita las otras
funcionalidades del Pool de Servidores.
Para aadir miembros al Pool de Servidores
1. Pulse Select en la seccin de Miembros del Pool de Servidores (Server Pool Members)
del dilogo de Propiedades del Pool de Servidores. Se abrir el dilogo de Seleccin de
Elemento.
2. Seleccione los elementos para los miembros del pool.
Puede usar tanto elementos Servidor (para servidores que tengan algn rol especial en
la configuracin de StoneGate) el elementos Host (para otros servidores).
Para crear nuevos elementos para representar a los miembros del Pool de Servidores,
navegue a Network Elements (Elementos de Red) y use el icono Nuevo sobre la lista
de elementos.
3. En Allocate Traffic to Servers by (Asignar Trfico a los Servidores por), seleccione la
granularidad de la seleccin de servidor (define cmo de persistente es la seleccin).
Mornalmente es mejor elegir la opcin menos granular que an produzca una
distribucin aceptable del trfico. Las opciones son (de menos granular a ms granular):
Source Network (Red de Origen) dirige el trfico que viene de la misma red de clase C
al mismo servidor. sta es una buena opcin cuando las conexiones provienen de
muchas redes diferentes. La opcin Not Defined (No Definido) tiene el mismo efecto.
Host dirige el trfico que viene de la misma direccin IP al mismo servidor. Es una
buena opcin cuando una gran parte de las conexiones vienen de diferentes hosts en la
misma red de clase C.
Connection (Conexin) toma una nueva decisin de gestin de trfico para cada conexin
nueva. Esta eleccin puede ser necesaria si una gran parte de las conexiones proviene de
la misma direccin IP.
Nota Considere el tipo de trfico cuando elija el mtodo de asignacin. Usar la opcin
Host (si la direccin IP del host que aparece para StoneGate puede cambiar) o
Connection (en todos los casos) implica que conexiones con el mismo origen pueden
ser dirigidas a servidores diferentes. Dependiendo de los servicios ofrecidos, esto puede
deteriorar la calidad del servicio.
4. Defina el modo de Monitorizacin (Monitoring) para la disponibilidad de los servidores

del Pool.
Seleccione Ping si quiere que StoneGate monitorice la disponibilidad de los servidores
usando mensajes peridicos ICMP echo request (ping).
Seleccione Agent si quiere usar la funcionalidad de Agente de Monitorizacin del Pool.
El puerto por defecto en el que escuchan los servidores es UDP 7777, pero puede
seleccionar un puerto diferente en el campo Port.
5. Pulse OK.
Para continuar:
Si est usando Agentes de Monitorizacin, contine en Instalar Agentes de
Monitorizacin (pag. 472).
En otro caso, contine en Introducir las Direcciones IP del Pool de Servidores en Su
Servidor de DNS (pag. 488).
Instalar Agentes de Monitorizacin

Prerrequisitos: Definir un Pool de Servidores
Los Agentes de Monitorizacin del Pool de Servidores se instalan en los servidores que
forman el pol para informar sobre la salud y la carga de los servidores. El cortafuegos usa la
informacin para enviar trfico al servidor que mejor puede gestionar la carga adicional y no
enviar nuevas conexiones a un servidor que est inoperativo.
Debe instalar los Agentes de Monitorizacin en todos los miembros del Pool de Servidores.
Para instalar en Windows
1. Copie el directorio ServerPool_Monitoring_Agent_Installer\Windows\ del CD de
instalacin del StoneGate Management Center al miembro del Pool de Servidores en el
cual quiere instalar el Agente de Monitorizacin.
2. Ejecute el programa de instalacin autoextrable sgagent.exe.
3. Repita estos pasos en todos los miembros del Pool de Servidores.
Para continuar:
Proceda a Configurar los Agentes de Monitorizacin (pag. 474).
Para instalar en Linux

1. Copie el directorio ServerPool_Monitoring_Agent_Installer/Linux/ del CD de
2. Vaya a la localizacin donde se copi el directorio, y extraiga el paquete SGFWagent.
Ejecute el comando rpm. Por ejemplo, puede usar los siguientes comandos. El nombre
del fichero.rpm puede variar dependiendo de la versin que est usando.
cp SGFWagent.tar /var/spool/pkg
cd /var/spool/pkg
tar -xf SGFWagent.tar
rpm -i sgagent-4.0.0.build403-1.i386.rpm
Para continuar:
Para instalar en Solaris

1. Copie el directorio ServerPool_Monitoring_Agent_Installer/Solaris/ del CD de
2. Vaya a la localizacin donde se copi el directorio. Extraiga (mediante tar) el paquete
SGFWagent y ejecute el comando de aadir paquete ( pkgadd). Por ejemplo, puede usar los
siguientes comandos:
cp SGFWagent.tar /var/spool/pkg
cd /var/spool/pkg
tar -xf SGFWagent.tar
pkgadd
3. Seleccione SGFWagent para su instalacin.

Para continuar:
Desinstalar los Agentes de Monitorizacin

Prerrequisitos: Si planea eliminar todos los Agentes de monitorizacin, reconfigure el Pool de Servidores para no
usarlos
Para eliminar el Agente de Monitorizacin en Windows

1. Abra el Panel de Control de Windows.
2. Pulse en Add/Remove Programs (Aadir o Elimiar Programas).
3. Seleccione StoneGate Monitoring Agent y siga las instrucciones.
Para eliminar el Agente de Monitorizacin en Linux
Ejecute el siguiente comando:
rpm -e sgagent
Para eliminar el Agente de Monitorizacin en Solaris
Ejecute el siguiente comando:
pkgrm SGFWagent
Configurar los Agentes de Monitorizacin

Prerrequisitos: Instalar Agentes de Monitorizacin
Los Agentes de Monitorizacin se configuran en dos ficheros: sgagent.local.conf y

sgagent.conf. Ambos ficheros se encuentran en el siguiente directorio en cada servidor:
Solaris: /opt/sgagent/etc/
Linux: /etc/stonegate/
Windows: Program Files\Stonesoft\StoneGate Monitoring Agent\
El fichero sgagent.local.conf contiene informacin especfica del servidor, y es diferente
para cada servidor. Si no quiere cambiar los valores por defecto, no necesita editar este
fichero.
El fichero sgagent.conf contiene informacin referida al Pool de Servidores completo.
Para continuar:
Para definir opciones especficas de servidores individuales, proceda a Editar
sgagent.local.conf (pag. 474).
Si slo quiere configurar las opciones globales para todos los servidores, proceda a
Editar sgagent.conf (pag. 475).
Editar sgagent.local.conf
El fichero especfico del servidor sgagent.local.conf incluye informacin para identificar el
miembro del Pool de Servidores si no se usan los valores por defecto. Si no se configura el
fichero, el Agente de Monitorizacin usa el nombre de host del sistema como valor por
defecto para identificar al miembro. Si se edita, este fichero debe ser diferente en cada
miembro del Pool de Servidores.
Tabla 47: Comandos en sgagent.conf
Comando Descripcin
host Especifica el nombre_de_host del servidor. Si no se define ningn valor, se
nombre_de_host usa el nombre de host del sistema.
set alias Define el valor de un alias que puede usarse como variable en la
valor configuracin global sgagent.conf.
Por ejemplo, para configurar el miembro del pool donde reside sgagent.local.conf para
usar server1 como su nombre de host, y establecer el alias hostip a 192.168.1.1:
host server1
set hostip 192.168.1.1
Para continuar:
Proceda a Editar sgagent.conf (pag. 475).
Editar sgagent.conf
El fichero comn para todos los miembros del Pool de Servidores se llama sgagent.conf. En este
fichero, se definen atributos para todo el Pool de Servidores. En la mayora de los casos, los
miembros del Pool de Servidores son similares en configuracin y funcin, de forma que las pruebas
ejecutadas sobre cada miembro son tambin similares. Normalmente, se usa el mismo fichero
sgagent.conf en todos los servidores. El fichero sgagent.conf contiene dos secciones: la seccin
de comandos (statement) y la seccin de pruebas. Vea la siguiente ilustracin.
Ilustracin 169: Fichero de ejemplo sgagent.conf
Para continuar:
Proceda a Editar la Seccin de Comandos de sgagent.conf (pag. 476).
Editar la Seccin de Comandos de sgagent.conf

En la seccin de comandos, puede definir comandos generales para las pruebas que
ejecutan los Agentes de Monitorizacin. Un comando puede aplicar a todos o slo algunos
de los miembros del Pool de Servidores.
Ilustracin 170: Comandos en la Seccin de Comandos de sgagent.conf
Comando Descripcin
Si quiere que un comando aplique slo a ciertos miembros del Pool de
Servidores, el comando debe empezar con la orden begin host seguida del
nombre del miembro del pool.
La orden begin host puede ir seguida de los nombres de los servidores o una
exclusin. En una exclusin, begin host va seguida de not y el nombre del
begin host servidor, en lugar de solo el nombre del servidor. Esto indica que la opcin debe
nombre_de_host aplicarse a todos los servidores excepto al especificado.
Por ejemplo, el siguiente comando aplicara a todos los miembros del pool
excepto
server1:
begin host not server1
config settings
end
config
[port nmero_de_puerto]
[boot-delay teimpo]
[alert-interval tiempo]
[alert-script path]
[startup-script path] Define la opcin en cuestin. Vea Opciones en la Seccin de Comandos de
[overload-script path] sgagent.conf (pag. 477) para ms informacin sobre las opciones. Si un
[listen direccin_IP comando aplica a todos los miembros del pool, puede introducir la opcin en una
[:puerto]] nica lnea sin usar begin o end.
[load-index umbral
nombre_de_ndice
[index-parameter]]
[load-index-action
exclude umbral]
end Finaliza el comando cuando se usa begin.
Para continuar:
Proceda a Opciones en la Seccin de Comandos de sgagent.conf (pag. 477).
Opciones en la Seccin de Comandos de sgagent.conf

Cuando se quiera configurar un parmetro en particular, la sintaxis debe comenzar con el
comando config. Se muestran a continuacin las opciones disponibles.
Tabla 48: Opciones en la Seccin de Comandos de sgagent.conf
Opcin Descripcin
Especifica el puerto que usa el Pool de Servidores para la comunicacin con los
dispositivos. Todos los miembros del Pool deben usar el mismo nmero de
puerto; el comando de puerto no puede empezar con la orden begin host. El
port nmero_de_puerto nmero de puerto puede estar entre 0-65535.
Por defecto, el puerto es el 7777. Si quiere usar otro puerto en lugar del por
defecto, debe modificar sus reglas de Acceso IPv4 para permitir conexiones al
nuevo puerto.
Define cunto espera el comprobador antes de iniciar las pruebas despus de
boot-delay tiempo que el sistema haya sido arrancado o reiniciado para garantizar que todos los
procesos necesarios han completado su arranque. El tiempo se introduce en el
formato [(hh:)mm:]ss. El valor por defecto es 30 segundos.
Define cunto espera el sistema antes de enviar una nueva alerta en respuesta a
alert-interval tiempo un fallo en una prueba para evitar enviar excesivas alertas. El tiempo se
introduce en formato [(hh:)mm:]ss. Por defecto es 1 hora.
Especifica el path a un script de alerta personalizado. Debe usar comillas si el
alert-script path path contiene espacios. Esto slo se necesita cuando quiere usar un script de
alerta personalizado. No hay valor por defecto.
startup-script path Especifica el path del script personalizado a usar cuando arranca el Agente de
Monitorizacin. Debe usar comillas si el path contiene espacios.
Especifica el path del script personalizado a usar cuando el ndice de carga
overload-script path excede el valor umbral definido con la orden load-index. Debe usar comillas si
el path contiene espacios.
listen direccin_IP Especifica la direccin IP donde escucha el Agente de Monitrizacin. Si no se
[:puerto] especifica direccin IP, se usar por defecto la primera direccin IP del interfaz.
Si no se especifica puerto, se usa el puerto por defecto (7777).
Define el mtodo a usar para medir la carga. Se recomienda isar el mismo
mtodo de medida para todos los miembros del Pool de Servidores. Si la medida
load-index umbral de carga excede el umbral definido, se generan un mensaje de log y una alerta.
nombre_de_ndice El nombre_de_ndice puede ser una expresin compleja combinando
[parmetro-ndice] mtliples mtodos con operaciones aritmticas bsicas (+ - * /), tal como
nombre-ndice + nombre-ndice. Las opciones para nombre_de_ndice se
explican en la siguiente tabla.
Escluye al servidor de gestionar trfico durante el tiempo especificado (en
load-index-action segundos) cuando se alcanza el valor del umbral del load-index. Cuando el
exclude servidor ha cambiado al estado Excluido, el servidor no vuelve al estado normal
[tiempo] hasta que ha pasado el tiempo especificado, incluso aunque la carga del servidor
haya cado a un nivel normal.
Tabla 49: Opciones para nombre_de_ndice
Opcin Descripcin
Mide la carga media del procesador durante el periodo de tiempo especificado. El
processor-load tiempo tiempo se introduce en el formato [(hh:)mm:]ss. El valor devuelto es un valor de
porcentaje entre 0 y 100.
processor-kernel-load Mide el tiempo medio de procesador consumido en modo kernel durante el
tiempo periodo de tiempo especificado. El tiempo se introduce en formato [(hh:)mm:]ss.
El valor devuelto es un valor de porcentaje entre 0 y 100.
Mide el nmero medio de procesos esperando en la cola de ejecucin debido a
recursos reservados durante el nmero especificado de minutos. Las opciones
load-average-minutos
para el valor de minutos son 1, 5, o 15. El valor devuelto es la media de carga
para el periodo de tiempo especificado multiplicada por 100.
Para continuar:
Para ver algunos ejemplos que ilustran la configuracin de comandos explicada
hasta aqu, siga en Ejemplos de Configuracin de Comandos del Agente de
Monitorizacin.
Para saltar los ejemplos y ver cmo configurar la seccin de Pruebas, proceda a
Editar la Seccin de Pruebas de sgagent.conf (pag. 480).
Ejemplos de Configuracin de Comandos del Agente de Monitorizacin

Ejemplo de la Opcin Port Option
Para usar el puerto 5555 para la comunicacin entre los dispositivos y los miembros del Pool
de Servidores en lugar del puerto por defecto:
config port 5555
Ejemplo de la Opcin Boot-delay

Para establecer un retardo de arranque de 20 segundos en server1:
begin host server1 config

boot-delay 20
end
Ejemplo de la Opcin Alert-interval

Para establecer un intervalo de alerta de 1 hora en los servidores 1 y 2:
begin host server1 server2 config

alert-interval 1:00:00
end
Ejemplo de la Opcin Alert-script

Para ejecutar alertscript.sh cada vez que se genera una alerta:
config alert-script /etc/test/alertscript.sh
Ejemplo de la Opcin Startup-script

Para ejecutar startup.sh cuando el Agente de Monitorizacin arranca en server1:
begin host server1

config startup-script /etc/test/startup.sh
end
Ejemplo de la Opcin Overload-script

Para ejecutar el script overload.sh cuando se alcanza el valor del umbral del ndice de carga en
server2:
begin host server2

config overload-script /etc/test/overload.sh
end
Ejemplo de la Opcin Listen

Para hacer que el Agente de Monitorizacin de server2 escuche en la direccin IP 192.168.10.31
usando el puerto por defecto 7777:
begin host server2

config listen 192.168.10.31
end
Ejemplo de la Opcin Load-index

Este ejemplo demuestra cmo se usa la medida de load-average-5 en todos los servidores excepto
server1 para comparar contra el valor de umbral 4. Cuando load-average es mayor que 4, se genera
un mensaje de log.
begin host not server1

config load-index 400 load-average-5
end
Dado que server1 se ignora en el comando anterior, tpicamente tendra si propio comando con
diferentes opciones, como el siguiente:
begin host server1

config load-index 400 load-average-1
end
Ejemplo de la Opcin Load-Index-Action

Para establecer el estado del servidor a Excluido cuando se alcanza el valor del umbral del ndice
de carga en server2:
begin host server2

config load-index-action exclude 10
end
Para continuar:
Proceda a Editar la Seccin de Pruebas de sgagent.conf (pag. 480).
Editar la Seccin de Pruebas de sgagent.conf

La segunda parte del fichero sgagent.conf especifica qu pruebas ejecutan los Agentes de
monitorizacin sobre los servidores que monitorizan. Una prueba empieza con la definicin
de la prueba (test), seguida de lneas de parmetros opcionales, y termina con la definicin
del comando (command). Los parmetros test y command son siempre obligatorios. Los
parmetros interval, action, host, script, y recovery son opcionales y tienen sus
valores por defecto si no se especifican para la prueba.
Tabla 50: Parmetros en la Seccin de Pruebas de sgagent.conf
Parametro Descripcin
Comienza la definicin de la prueba. Especifica el nombre de la prueba. El
nombre aparece en los logs y alertas en caso de fallo, de forma que
test nombre debera ser descriptivo para dar al administrador informacin suficiente
sobre qu ha ocurrido. El nombre de la prueba puede ser cualquier
cadena. Debe usar comillas si el nombre contiene espacios.
Este parmetro es obligatorio y no tiene valor por defecto.
Define cada cunto se ejecuta la prueba. El tiempo se introduce en
interval tiempo formato [(hh:)mm:]ss. El intervalo mnimo es 3 segundos y el mximo 1
da. Si no se define el intervalo, el valor por defecto es 60 segundos.
Define qu hacer si falla la prueba.
alert crea una entrada de alerta y ejecuta el script de alerta si se ha
definido uno para la prueba.
action alert|exclude exclude pone el estado del servidor a Excluido y crea una alerta. No se
dirigen nuevas conexiones al servidor excluido y las conexiones actuales
se mueven a otros miembros del pool.
Si no se especifica accin para la prueba, alert la accin por defecto.
Define el servidor a probar. Si el nombre del servidor est especificado
en el campo host de sgagent.local.conf, ese mismo nombre debe usarse
aqu.
host servidor En otro caso, debe usarse el nombre de host por defecto del servidor. Vea
Editar sgagent.local.conf (pag. 474) para ms informacin.
Tambin puede listar mtliples nombres de servidores, separados por
espacios. Si no se define un servidor especfico, la prueba se ejecuta por
defecto sobre todos los miembros del Pool de Servidores.
Tabla 9: Parmetros en la Seccin de Pruebas de sgagent.conf (Continuacin)
Parametro Descripcin
Especifica cuntas veces se ejecuta el cript tras fallar la prueba, y el
path al fichero de script. Debe usar comillas si el path contiene espacios.
Hay dos opciones para cuntas veces ejecutar el script tras el fallo de la
prueba:
script [always|repetir] repetir define el nmero de fallos tras los cuales el script no se vuelve
path a ejecutar. El contador se reinicia cada vez que cambia el estado del
servidor, o la prueba es exitosa.
always ejecuta el script sin restricciones en el nmero de fallos.
Si no se proporciona argumento, el script se ejecuta por defecto slo tras
el primer fallo.
Determina cuanto se reejcuta una prueba fallida para ver si tiene xito en
el siguiente intento.
Hay dos opciones para especificar el periodo de tiempo:
always: no hay lmites en el tiempo en cunto espera el comprobador
para que la prueba vuelva a tener xito. El estado del servidor se cambia
recovery always|tiempo de Excluido a OK cuando la prueba tiene xito.
tiempo: Si la prueba tiene xito en el periodo de tiempo definido tras un
fallo, el estado del servidor se cambia de Excluido a OK. El tiempo se
introduce en formato[(hh:)mm:]ss.
Si no se especifican opciones de recuperacin, la prueba no se vuelve a
ejecutar nunca tras un fallo, y el estado del servidor queda en Excluido.
Especifica qu script de prueba usar, y las opciones para ejecutar la
prueba.
Este parmetro es obligatorio y no tiene valor por defecto.
Hay dos opciones para especificar el script de prueba:
external: indica que se usa una prueba externa. Las pruebas externas
pueden crearse combinando pruebas predefinidas con operadores AND,
OR, y NOT, o puede escribir su propio script. Tenga en cuenta que las
pruebas externas deben devolver un cdigo de salida 0 (cero) para indicar
xito. Cualquier valor de retorno distinto de cero se interpreta como un
command fallo.
external|expresin_prueba
Expresin_prueba: especifica la prueba interana a ejecutar. Para ms
[reintentos]
informacin sobre las pruebas internas, vea Editar las Pruebas Internas de
[timeout]
los Agentes de Monitorizacin (pag. 483).
[path]
Las otras opciones se usan como sigue:
[parmetros]
reintentos: especifica cuntas veces se ejecuta el script antes de
considerar la prueba fallida.
timeout: especifica cunto tiempo (en milisegundos) espera el
comprobador por el resultado de la prueba.
path: especifica el path al script de prueba externo. Debe usar comillas si
el path contiene espacios. El path es obligatorio para pruebas externas, y
no se usa para pruebas internas.
parmetros: especifica cualesquiera posibles parmetros que una
prueba especfica pueda necesitar.
Para continuar:
Para ver algunos ejemplos que ilustran la configuracin de pruebas explicada hasta
aqu, proceda a Ejemplos de Configuracin de Agentes de Monitorizacin (pag. 482).
Para saltar los ejemplos y ver qu pruebas internas estn disponibles, proceda a
Editar las Pruebas Internas de los Agentes de Monitorizacin (pag. 483).
Tareas Relacionadas
Ejemplos de Configuracin de Agentes de Monitorizacin

Ejemplo de Prueba Interna
En este ejemplo, la prueba comprueba que server1 est esuchando el trfico en el puerto
80. En este ejemplo, la informacin de puerto y direccin IP del servidor se requieren en la
definicin de command. La prueba se ejecuta cada dos minutos y, en caso de fallo, el
servidor se excluye del Pool de Servidores. Si la prueba falla, se ejecuta el script
/etc/init.d/port start. Si las subsiguientes pruebas son exitosas dentro de los 10
minutos siguientes al fallo, se produce la recuperacin y el servidor vuelve a estado OK.
test port listening test

interval 2:00
action exclude host
server1
script /etc/init.d/port start
recovery 10:00
command portlistening 80 192.168.1.1
Ejemplo de Prueba Externa

En este ejemplo, se ejecuta el script de prueba externo test.sh. Hay tres intentos de
ejecutar la prueba antes de considerarla fallida, y el comprobador esperar un segundo por
los resultados. La prueba se ejecuta cada 10 minutos, y en caso de fallo se genera una
alerta.
test multiple_services
interval 10:00
action alert
command external 3 1000 /usr/lib/server/test.sh 192.168.1.1
Para continuar:
Proceda a Editar las Pruebas Internas de los Agentes de Monitorizacin (pag. 483).
Tareas Relacionadas
Editar las Pruebas Internas de los Agentes de Monitorizacin

Todas las pruebas internas disponibles para la monitorizacin del pool de Servidores se listan a
continuacin. La sintaxis para usar las pruebas en la definicin command se describe en Editar la
Seccin de Pruebas de sgagent.conf (pag. 480).
Nota Algunas de las pruebas internas pueden no funcionar en la plataforma VMware.
Tabla 51: Pruebas Internas
Prueba Descripcin
Comprueba el espacio de swap disponible. Si la cantidad de espacio
swapfree lmite de swap libre cae por debajo de lmite (dado en kilobytes), la
prueba se considera fallida.
Comprueba cuntos procesos hay en ejecucin. Si el nmero de
processcount cuenta
procesos excede cuenta, la prueba se considera fallida.
Enva mensajes ICMP Echo Request (ping) a las direcciones IP
definidas y espera las respuestas. La prueba falla si ninguna de las
multi-ping reintentos
direcciones IP responde al ping.
timeout
reintentos especifica cuntos paquetes ICMP Echo Request se
direccin_IP
[direccin_IP [...]] envan a cada direccin IP.
timeout define cunto tiempo (en milisegundos)
espera la respuesta el comprobador.
Comprueba su hay suficiente espacio libre en una particin
determinada. La pruba falla si la cantidad de espacio_libre (en
filesystem particin kilobytes) es menor que el espacio libre en la particin. La particin
espacio_libre pude identificarse tambin por su path.
Las pruebas de sistemas de ficheros cargan bastante el sistema
operativo. Se recomienda que establezca un intervalo de al menos 15
minutos cuando use esta prueba.
Comprueba si el servicio se est ejecutando en el servidor. La prueba
falla si el servicio/proceso especificado no est en ejecucin. En
plataformas Windows, la prueba comprueba si el servicio
servicerunning nombre_servicio
nombre_servicio est en ejecucin. En entornos UNIX, se
comprueba si el proceso llamado nombre_servicio se est
ejecutando.
Comprueba si la direccin_IP especificada est escuchando en
ip-listening direccin_IP el servidor.
La prueba falla si el host no tiene la direccin especificada.
Comprueba si el puerto est escuchando en el servidor. La prueba
portlistening puerto falla si el puerto no est en estado de escucha (listen).
[direccin_IP [protocolo]] Opcionalmente puede especificar la direccin_IP en la cual
comprobar el puerto. El protocolo puede ser TCP o UDP.
Tabla 10: Pruebas Internas (Continuacin)
Prueba Descripcin
Comprueba si el puerto TCP responde a una consulta TCP con la
respuesta esperada. La prueba falla si el puerto no contesta, o la
repuesta difiere de la esperada.
Tenga en cuenta que el protoclo Telnet ejecuta procedimientos de
handshake antes de iniciar la conexin. Si usa portanswer para
comprobar un servicio Telnet, compruebe el procedimiento de
handshake, no el prompt de Telnet.
portanswer reintentos reintentos especifica cuntos intentos se hacen antes de
timeout considerar fallida la prueba.
consulta
timeout especifica cunto espera el comprobador tras lanzar la
respuesta
consulta al puerto. El timeout se introduce en milisegundos. Si no se
puerto
[direccin_IP] recibe respuesta en este periodo de tiempo, la prueba falla.
query especifica la consulta TCP a enviar. Debe usar comillas si la
consulta contiene espacios. Si no se especifica el parmetro query,
no se enva nada al puerto.
respuesta especifica la respuesta esperada a la consulta TCP.
Debe usar comillas si la respuesta contiene espacios.
puerto especifica el puerto al que se enva la consulta.
direccin_IP es la direccin IP a la que se enva la consulta.
Comprueba si el servidor responde a una peticin HTTP de la URL
especificada con el fichero esperado. La prueba falla si el servidor
no responde a la peticin HTTP, o si la respuesta no contiene los
contenidos del fichero especificado.
httpanswer reintentos
puerto especifica el puerto al que se manda la peticin.
timeout
reintentos especifica cuntos intentos se hacen antes de
URL
fichero considerar fallida la prueba.
puerto timeout especifica cunto espera el comprobador tras enviar una
[direccin_IP] peticin al puerto: El timeout se introduce en milisegundos. Si no se
recibe respuesta en el tiempo especificado, la prueba falla..
direccin_IP es la direccin IP a la cual se manda la peticin. Si
no se especifica direccin_IP, el comprobador enva la consulta a
la direccin de localhost por defecto.
Comprueba que el interfaz especificado est levantado. La prueba
networkinterface-up interfaz falla si el interfaz de red especificado no existe o est cado. En
Windows, esta prueba se comporta de modo similar a la prueba
networkinterface-linkstatus descrita a continuacin.
networkinterface-linkstatus Comprueba el estado anivel de enlace del interfaz especificado.
interfaz La prueba falla si el interfaz de red especificado no tiene enlace.
Comprueba si existe un fichero en el servidor. La prueba falla si no se
file-exists path
encuentra el fichero en el path especificado.
Para continuar:
Para ver algunos ejemplos que ilustran la configuracin de pruebas internas, proceda
a Ejemplos de Pruebas Internas de los Agentes de Monitorizacin (pag. 485).
Para saltar los ejemplos y ver cmo activar los Agentes de Monitorizacin, proceda a
Activar los Agentes de Monitorizacin (pag. 488).
Ejemplos de Pruebas Internas de los Agentes de Monitorizacin

Cada prueba tiene una configuracin de ejemplo, que puede diferir de lo que usted configure en su
propio entorno.
Ejemplo de Prueba de Swapfree
Este ejemplo comprueba que haya al menos 1500 kilobytes de espacio libre en server 2. La prueba
se ejecuta a intervalos de 1 hora y enva una alerta si falla.
test swapfree test

interval 1:00:00
host server2
action alert
command swapfree 1500
Ejemplo de Prueba de Processcount

Este ejemplo comprueba que hay un mximo de 2500 procesos en ejecucin en server2. La prueba se
ejecuta a intervalos de 60 segundos y enva una alerta si falla.
test process_count
interval 60
host server2
action alert
command prosesscount 2500
Ejemplo de Prueba de Multi-ping

Este ejemplo comproueba la conectividad de server2. El comprobador ena tres ICMP Echo requests a
las direccin IP 192.168.1.2 y 192.168.1.254, y espera 1000 milisegundos por una respuesta. La
prueba se ejecuta a intervalos de 30 segundos. Si la prueba falla, server2 se excluye del Pool de
Servidores.
test multi-ping test

interval 30
host server2
action exclude
command multi-ping 3 1000 192.168.1.2 192.168.1.254
Ejemplo de Prueba de Filesystem

Este ejemplo comprueba que haya al menos 1000 kilobytes de espacio libre en la particin /var/tmp en
server2. La prueba se ejecuta a intervalos de 15 segundos y enva una alerta si falla.
test free space in filesystem

interval 15
host server2
action alert
command filesystem /var/tmp 1000
Ejemplo de Prueba de Servicerunning

Este ejemplo comprueba qie el servicio ntpd est en ejecucin. La prueba se ejecuta a intervalos de
15 segundos. Si falla, se ejecuta el script ntpd start. Si la prueba tiene xito de nuevo en el minuto
siguiente al fallo, se produce la recuperacin y el servidor se devuelve a estado OK. En otro caso, el
servidor es excluido del Pool de Servidores.
test is ntp running -test

interval 15
script /etc/init.d/ntpd start
action exclude
recovery 1:00
command servicerunning ntpd
Ejemplo de Prueba de Ip-listening

Este ejemplo comprueba que server2 est escuchando en la direccin IP 192.168.1.1. La prueba se
ejecuta a intervalos de 30 segundos, y si falla, el servidor es excluido del Pool de Servidores.
test ip-listening
interval 30
host server2
action exclude
command iplistening 192.168.1.1
Ejemplo de Prueba de Port-listening

Este ejemplo comprueba que server2 y server3 estn escuchando en el puerto 80. La prueba se
ejecuta a intervalos de 30 segundos y el servidor se excluye del Pool de Servidores si la prueba falla.
test port-listening
interval 30
host server2 server3
action exclude
command portlistening 80
Ejemplo de Prueba de Httpanswer

Este ejemplo comprueba que el servidor enva los contenidos del fichero /web/file.html como parte
de su respuesta a la peticin de URL de http://www.example.com/index.html en el puerto 80. La
peticin se intenta cuatro veces, y el comprobador espera la respuesta 3500 milisegundos antes de
reintentar. La prueba se ejecuta a intervalos de 30 segundos, y el servidor se excluye del Pool de
Servidores si la prueba falla.
test http_answering
interval 30
action exclude
command httpanswer 4 3500 /www.example.com/index.html /web/file.html 80
Ejemplo de Prueba de Networkinterface-up

Este ejemplo comprueba que el interfaz eth0 est levantado. La prueba se ejecuta a intervalos de 30
segundos y se enva una alerta en caso de fallo.
test etc0_up
interval 45
action alert
command networkinterface-up eth0
Ejemplo de Prueba de Networkinterface-linkstatus

Este ejemplo comprueba que el interfaz eth0 tiene enlace. La prueba se ejecuta a intervalos de 45
segundos y se enva una alerta en caso de fallo.
test link status on eth0

interval 45
action alert
command networkinterface-linkstatus eth0
Ejemplo de Prueba de File-exists

Este ejemplo comprueba que existe el fichero /important/index.html. La prueba se ejecuta a
intervalos de 2 minutos y se enva una alerta si la prueba falla.
test index -file exists

interval 2:00
action alert
command file-exists /important/index.html
Para continuar:
Proceda a Activar los Agentes de Monitorizacin (pag. 488).
Activar los Agentes de Monitorizacin

Prerrequisitos: Definir un Pool de Servidores, Instalar Agentes de Monitorizacin, Configurar los Agentes de
Monitorizacin
Precaucin No active los Agentes de Monitorizacin antes de configurarlos (vea

Configurar los Agentes de Monitorizacin (pag. 474)).
Para activar los Agentes de Monitorizacin

1. Pulse botn derecho sobre el elemento Pool de Servidores para el cual quiere activar
los Agentes de monitorizacin y seleccione Properties desde el men. Se abrir el
2. Seleccione Agent (Agente) en la seccin de Monitorizacin (Monitoring).
3. (Opcional) Introduzca el Puerto (Port) si quiere usar uno diferente del por defecto
(7777).
Nota Recuerde modificar las correspondientes reglas de Acceso IPv4 para permitir
conexiones al nuevo puerto.
4. Pulse OK.
Para continuar:
Si est usando entradas de DNS estticas, contine en Introducir las Direcciones IP
del Pool de Servidores en Su Servidor de DNS (pag. 488).
En otro caso, contine en Crear Reglas de Acceso para el Balanceo de Carga de
Entrada (pag. 489).
Introducir las Direcciones IP del Pool de Servidores en Su Servidor

de DNS
Cuando se usan entradas de DNS estticas (recomendado), debe asegurarse de que las
direcciones IP para sus servidores, segn estn especificadas en las propiedades del Pool
de Servidores, estn correctamente introducidas en los registros de su servidor de DNS.
Si los servidores tienen mltiples direcciones IP, asegrese de que todas ellas estn
definidas en el servidor DNS para garantizar la operacin segn se pretende.
Consulte la documentacin del software de su servidor DNS para instrucciones sobre cmo
introducir las dips.
Para continuar:
Contine la configuracin en Crear Reglas de Acceso para el Balanceo de Carga de
Entrada (pag. 489).
Crear Reglas de Acceso para el Balanceo de Carga de Entrada

Las reglas de Acceso IPv4 especifican qu trfico se dirige al pool de servidores.

Tenga en cuenta lo siguiente:
El Pool de Servidores hace NAT automticamente para las direcciones externas que
configure en el elemento Pool de Servidores, de forma que debe asegurarse de que no
hay reglas de NAT que se solapen en la poltica. Puede aadir una regla de NAT que
desactive un NAT posterior para las conexiones que coincidan (celda NAT vaca), si es
necesario.
Si quiere balancear el trfico que llega a travs de una VPN usando un Pool de
Servidores, NAT debe estar activado en las propiedades del elemento VPN (NAT est
desactivado por defecto para el trfico que usa una VPN).
Debe crear una regla separada para cada Pool de Servidores.
Si el mismo Pool de Servidores proporciona ms de un servicio, debe crear una regla para
cada Servicio.
Debe activar Connection Tracking (Seguimiento de Conexiones) para la regla que dirige el
trfico al Pool de Servidores. El Pool de Servidores usa NAT, que no funciona sin
Connection Tracking.
Para crear una regla de acceso para el balanceo de trfico de entrada
1. Abra la Poltica de Cortafuegos para edicin y aada una regla de Acceso IPv4.
2. Configure la regla para que contempl el Origen (Source), Destino (Destination), u
Servicio (Service) del trfico que quiere dirigir al pool de servidores.
Nota Cada regla debe contener slo un Servicio.
3. Establezca la Accin (Action) a Allow (Permitir) y active Connection Tracking en las

Opciones de Accin (Action Options).
Ejemplo Las siguientes reglas de ejemplo dirigen el trfico de redes externas al Pool de Servidores HTTP y
al Pool HTTPS.

Expresin NOT Pool de Servidores Permitir
HTTP
Internal HTTP Connection tracking: normal
Expresin NOT Pool de Servidores Permitir
HTTPS
Internal HTTPS Connection tracking: normal
Para continuar:
Si est usando entradas de DNS Dinmico, contin la configuracin en Definir una
Regla de DNS Dinmico (pag. 493).
Si est usando entradas de DNS estticas, la configuracin est completa. Guarde e
instale la Poltica de Cortafuegos para transferir los cambios.
Configurar Actualizaciones de DNS Dinmico

Prerrequisitos: Vea Empezar con la Gestin del Trfico de Entrada
StoneGate soporta el protocolo DNS Dinmico y es capaz de enviar actualizaciones de

DDNS a un servidor de DNS especificado. Si una conexin de red especificada por un
elemento NetLink falla, las actualizaciones de DNS dinmicas notifican al DNS, que elimina
la direccin IP correspondiente de sus registros.
Para configurar actualizaciones de DDNS, debe haber definido ya los NetLinks necesarios y
el elemento Pool de Servidores. Para usar actualizaciones de DDNS, debe configurar un
servidor de DNS compatible DDNS en su red. El servidor de DNS debe estar configurado
como servidor de DNS primario para el dominio.
El uso de actualizaciones dinmicas de DNS es un riesgo de seguridad. Antes de empezar
a usar actualizaciones dinmicas de DNS, lea la seccin Mejorar la Seguridad de DDNS.

1. Implementar DDNS puede ser un riesgo de seguridad. Lea la informacin en Mejorar la
Seguridad de DDNS (pag. 490) antes de proceder con la configuracin.
2. Para activar la monitorizacin de estado de sus NetLinks, debe aadir direcciones IP de
prueba en las propiedades de los NetLinks segn se indica en Crear NetLinks (pag. 443).
3. Defina el elemento Servidor de DNS (Definir un Servidor de DNS Externo (pag. 491)).
4. Modifique el elemento Pool de Servidores para incluir informacin sobre cmo se actualiza el
servidor de DNS (vea Definir la Informacin de Actualizacin de DNS Dinmico (pag. 492)).
5. Modifique la poltica activa para permitir actualizaciones de DDNS (vea Definir una
Regla de DNS Dinmico (pag. 493)).
Mejorar la Seguridad de DDNS
Precaucin Aunque StoneGate sorta actualizaciones dinmicas de DNS, el propio

protocolo implica un riesgo de seguridad puesto que no hay control de acceso. Si debe
usar actualizaciones dinmicas de DNS, hgalo slo tras un estudio, planificacin y
pruebas cuidadosos.
Esta seccin presenta algunos pasos bsicos que puede tomar para mejorar la seguridad
de las actualizaciones dinmicas de DNS:
Site siempre los servidores de DNS tras el cortafuegos para protegerlos de IP spoofing.
Use BIND o un servidor de DNS equivalente qie le permita definir qu hosts tienen
permiso para enviar actualizaciones dinmicas.
Considere siempre usar entradas estticas de DNS en su lugar, puesto que DDNS no es
necesario obligatoriamente para el balanceo de carga de entrada. Obviamente, en ese
caso las entradas de DNS no se eliminan automticamente del servidor DNS si falla un
ISP, pero estos problemas pueden solucionarse a veces de otro modo: por ejemplo,
algunos navegadores Web pueden intentar automticamente otra direccin IP si una
direccin no responde.
Para continuar:
Para empezar a usar DDNS con la gestin del trfico de entrada, contine en Definir
un Servidor de DNS Externo (pag. 491).
Definir un Servidor de DNS Externo

Para usar actualizaciones de DDNS con Multi-Link, debe configurar un elemento Servidor de
DNS Externo. Los elementos Servidor de DNS Externo se usan tambin en la configuracin
de cortafuegos SOHO para definir las direcciones de servidores DNS.
Para definir un elemento Servidor de DNS Externo
de Cortafuegos o IPS.
3. Pulse botn derecho sobre Servers (Servidores) y seleccione NewExternal DNS
Server (NuevoServidor de DNS Externo) en el men. Se abrir el dilogo de
Propiedades de Servidor DNS Externo:
Ilustracin 171: Propiedades de Servidor DNS Externo
4. Introduzca un Nombre (Name) nico y una direccin IP (IP address) para el servidor.
5. Introduzca un intervalo Time to Live (TTL Tiempo de Vida) en segundos. Define
cunto tiempo puede ser cacheada una entrada de DNS antes de consultar de nuevo al
servidor de DNS. El valor por defecto es 1 segundo.
6. Introduzca un Intervalo de Actualizacin (Update Interval) en segundos. Define cada cunto
pueden actualizarse las entradas de DNS al servidor de DNS si el estado del enlace cambia
constantemente. El valor por defecto es 10 segundos.
7. (Opcional) Si el dispositivo tiene direcciones IP adicionales, puede introducirlas como
Direcciones IP Secundarioas (Secondary IP Addresses) en lugar de crear elementos
adicionales. De cualquier modos, las direcciones IP secundarias slo se usan en las
celdas Origen (Source) y Destino (Destination) en reglas. En otro caso se ignoran.
8. Pulse OK.
Para continuar:
Contine la configuracin de DDNS en Definir la Informacin de Actualizacin de
DNS Dinmico (pag. 492).
Tareas Relacionadas
Definir la Informacin de Actualizacin de DNS Dinmico

A continuacin, debe definir las opciones para las actualizaciones de DNS Dinmico
enviadas desde su cortafuegos al servidor DNS. Estos datos se configuran en el elemento
Pool de Servidores.
Para definir la informacin de actualizacin de DDNS
(ConfiguracinConfiguracinIPS) desde el men. Se abrir la vista de
Configuracin de Cortafuegos o IPS.
Trfico).
3. Pulse botn derecho sobre el Pool de Servidores y seleccione Properties. Se abrir el
Ilustracin 172: Propiedades del Pool de Servidores
4. Seleccione Enable Dynamic DNS Updates (Activar Actualizaciones Dinmicas de

DNS).
5. Seleccione el elemento DNS Server al cual se mandarn las actualizaciones DDNS.
6. Introduzca el Fully Qualified Domain Name para el servicio del Pool de Servidores
(por ejemplo, www.example.com).
7. Pulse OK.
Para continuar:
Contine en Definir una Regla de DNS Dinmico (pag. 493).
Definir una Regla de DNS Dinmico

Adems de crear una regla para el balanceo de carga de entrada (segn se explica en Crear
Reglas de Acceso para el Balanceo de Carga de Entrada (pag. 489)), tambin puede
necesitar aadir una regla que permita las actualizaciones de DNS Dinmico desde su
cortafuegos al servidor DNS especificado. La plantilla por Defecto permite este trfico por
defecto, de forma que si su poltica se basa en una plantilla por Defecto sin modificar, no
necesita aadir la reglas descrita a continuacin.
Para aadir una regla que permita actualizaciones de DNS Dinmico
1. Pulse botn derecho sobre la Poltica de Cortafuegos y seleccione Edit (Editar). Se
abrir la poltica para su edicin.
2. Aada la siguiente regla de Acceso:
Source (Origen): la direccin (hacia el servidor DNS) del cortafuegos o NDIs de todos
los nodos del clster de cortafuegos.
Destination (Destino): el servidor DNS.
Service (Servicio): el Grupo de Servicios DNS.
Action (Accin): Allow (Permitir).
3. Guarde e instale la poltica.
Monitorizar y Probar los Agentes de Monitorizacin

Prerrequisitos: Instalar Agentes de Monitorizacin, Configurar los Agentes de Monitorizacin
Puede probar y monitorizar los Agentes de Monitoizacin del Pool de Servidores desde la
lnea de comando. La herramienta de monitorizacin le permite consultar a los agentes local
o remotamente para comprobar su estado. Las herramientas de lnea de comando del
Agente de Monitorizacin se describen en Comandos del Agente de Monitorizacin de Pool
de Servidores (pag. 931).
Para probar un Agente de Monitorizacin
1. En la lnea de comando, cambie a la carpeta donde est instalado el Agente de
Monitorizacin.
2. Ejecute sgagentd -d test [fichero], donde el fichero es un fichero de configuracin
que quiera probar. Proporcionar el nombre de fichero es opcional, pero si lo omite, la
prueba se ejecuta con la configuracin activa.
Ejecute sgagentd -h para ms instrucciones de uso.
Para monitorizar un Agente de Monitorizacin
1. Desde la lnea de comando, cambie a la carpeta donde est instalada la herramienta de
monitorizacin del Agente de Monitorizacin:
En Windows, es la misma carpeta donde est instalado el propio cambie a la carpeta
donde est instalado el Agente de Monitorizacin.
En Linux y Solaris, el programa se instala en usr/bin.
2. (Opcional) Copie el programa sgmon a un host remoto que quiera usar para probar los
Agentes de mnitorizacin.
3. Ejecute sgmon -h para ver instrucciones de uso y ejecute sus comandos de
monitorizacin de acuerdo con la sintaxis mostrada.
El argumento host es obligatorio. Para obtener localmente el estado en el servidor
donde est instalado el cambie a la carpeta donde est instalado el Agente de
Monitorizacin, use localhost como argumento host.
495
POLTICAS DE INSPECCIN
DE TRFICO
En esta seccin:
Crear y Gestionar Elementos de Polticas - 497
Editar Polticas - 509
Definir Direcciones IP - 561
Definir Servicios de Red - 573
Definir Situaciones - 595
Definir Respuestas de Usuario - 611
Calidad de Servicio (Quality of Service - QoS) - 615
Configurar la Autenticacin de Usuarios - 623
Filtrado de Direcciones Web - 651
Configurar la Inspeccin HTTPs - 655
Inspeccin Externa de Contenidos - 669
Lista Negra de Trfico - 677

Crear y Gestionar Elementos de Polticas 497
CAPTULO 37
CREAR Y GESTIONAR ELEMENTOS

DE POLTICAS
Los elementos de Polticas con contenedores para las reglas que determinan
cmo se filtra e inspecciona el trfico.
Empezar con Polticas (pag. 498)

Crear una Nueva Plantilla de Poltica o Poltica (pag. 499)
Crear una Nueva Sub-Poltica (pag. 500)
Instalar Polticas (pag. 501)
Seguimiento de Cambios en Polticas (pag. 504)
Mover la Poltica Bajo una Plantilla Diferente (pag. 506)
Eliminar Polticas, Plantillas y Sub-Polticas (pag. 507)
Empezar con Polticas

Qu Hacen los Elementos Poltica

Las polticas organizan las reglas de procesado de trfico jerrquicamente para hacer ms
sencilla la administracin y optimizar el rendimiento de la inspeccin del trfico:
Las Polticas de Cortafuegos e IPS contienen las reglas de acuerdo con las cuales los
cortafuegos, sensores y analizadores isnpeccionan el trfico. Cada poltica siempre debe
estar basada en una Plantilla de Poltica.
Las Plantillas de Poltica contienen reglas que se heredan en cualquier plantilla o poltica
por debajo de ella en la jerarqua de polticas. Debe aadir puntos de insercin a las
plantillas para todo tipo de reglas para marcar los lugares donde pueden ser insertadas en
las Polticas (o Plantillas de Polticas) que usen la plantilla. Las Plantillas de Poltica
pueden forzar lmites administrativos y evitar modificaciones que cambien de forma no
intencionada el diseo principal de sus reglas.
Tambin pude insertar Sub-Polticas en sus polticas. Una Sub-Poltica es un conjunto de
reglas de Acceso IPv4 que pueden coincidir de forma condicional con una parte restringida
del trfico y por tanto mejoran el rendimiento del procesado. Las Sub-Polticas tambin
pueden forzar lmites administrativos.
La misma Poltica puede ser compartida por varios dispositivos cortafuegos o IPS, y varias
Polticas tambin pueden compartir Plantillas de Polticas o Sub-Polticas. En las reglas
compartidas, los elementos Alias pueden marcar aquellas direcciones IP que dependen del
entorno, de forma que los valores efectivos se definan separadamente para cada
componente.
Limitaciones
Los cortafuegos SOHO no tienen polticas; su configuracin se basa en las clasificaciones
de interfaces y opciones definidas en las propiedades del elemento Cortafuegos SOHO.
Las Sub-Polticas slo pueden contener reglas de Acceso IPv4.
Qu Debo Saber Antes De Empezar?
Vea las Guas Firewall/VPN Reference Guide y IPS Reference Guide para ms informacin
de base y ejemplos sobre el uso de las polticas, plantillas de polticas, sub-polticas y las
erglas en las polticas.

1. (Opcional) Cree una plantilla personalizada segn se explica en Crear una Nueva Plantilla de
Poltica o Poltica (pag. 499) y aada las reglas y puntos de insercin.
2. Cree una poltica personalizada segn se explica en Crear una Nueva Plantilla de
Poltica o Poltica (pag. 499) y aada las reglas.
3. (Opcional) Cree sub-polticas de acuerdo a sus necesidades segn se explica en Crear una
Nueva Sub-Poltica (pag. 500) y aada las reglas de Acceso IPv4.
Tareas Relacionadas
Instalar Polticas (pag. 501)
Mover la Poltica Bajo una Plantilla Diferente (pag. 506)
Eliminar Polticas, Plantillas y Sub-Polticas (pag. 507)
Empezar con la Edicin de Reglas en Polticas (pag. 510)
Crear una Nueva Plantilla de Poltica o Poltica

Todas las nuevas Polticas se basan en una Plantilla de Poltica. Las reglas de la plantilla se
heredan a niveles inferiores en la jerarqua de polticas.
En los cortafuegos, debe construir siempre la jerarqua de polticas sobre la plantilla
suministrada Default Template Policy (Plantilla de Poltica por Defecto) o una copia de ella. La
Plantilla de Poltica por Defecto contiene las entradas necesarias para permitir las
comunicaciones propias del sistema.
Es altamente recomendable que base su jerarqua de polticas de IPS en una de las plantillas
suministradas, la Plantilla de Sistema IPS (IPS System Template) o la Plantilla Estricta de IPS
(IPS Strict Template).
Para crear una nueva Poltica o Plantilla de Poltica
(ConfiguracinConfiguracinIPS) desde el men. Se abrir la vista de Configuracin de
Cortafuegos o IPS.
2. Pulse botn derecho sobre la rama Firewall Policies (Polticas de Cortafuegos) o la rama
IPS Policies (Polticas de IPS).
3. Seleccione New (Nueva) y el tipo de poltica que desea crear desde el men. Se abrir el
dilogo de Propiedades del elemento poltica.
Ilustracin 173: Propiedades de la Plantilla de Poltica de Cortafuegos
4. Proporcione un Nombre (Name) al elemento.

5. Seleccione la Plantilla (Template) sobre la que quiere basar esta plantilla o poltica.
6. (Opcional) Cambie a la pestaa Permissions (Permisos) y conceda derechos sobre la
plantilla o poltica.
Para aadir un permiso, pulse Add Permission (Aadir Permiso). Aparecer una nueva
fila en la lista de administradores.
Pulse la celda Administrator y seleccione al administrador.
Haga doble click sobre la celda Administrator Role para seleccionar el rol correcto.
7. Pulse OK. La nueva Plantilla de Poltica o Poltica se abrir en la vista de Edicin de
Poltica.
Si modific los permisos de administrador para la poltica, los cambios se aplican
inmediatamente. Los permisos tambin se actualizan automticamente en las propiedades de la
cuenta de administrador.
Para continuar:
Aadir Puntos de Insercin en Plantillas de Polticas (pag. 516)
Tareas Relacionadas
Crear una Nueva Sub-Poltica

Una Sub-Poltica es un conjunto de reglas de Acceso IPv4 que puede reutilizar en diferentes
lugares y en diferentes Polticas de Cortafuegos e IPS.
El principal objetivo de las Sub-Polticas es hacer que una porcin significativa del trfico se
salte toda la subpoltica. Para conseguir este beneficio, las reglas en una sub-poltica tienen
al menos algunos criterios de coincidencia idnticos (origen, destino, servicio, VPN de origen
y/o detalles de la autenticacin de usuario) que pueden usarse para seleccionar slo una
parte del trfico para que lo compruebe la sub-poltica.
Las Sub-Polticas tambin pueden usarse para organizar las polticas y delegar privilegios de
administrador para editar/aadir/eliminar reglas dentro de una seccin limitada de las reglas
de Acceso IPv4 (lo cual es ms restrictivo que dar acceso a una plantilla o poltica).
Hay dos formas de crear Sub-Polticas: crear una Sub-Poltica y aadirle Reglas de Acceso
manualmente o seleccionar reglas de Acceso en una poltica y convertirlas en una Sub-
Poltica.
Para continuar:
Para empezar desde cero, proceda a Crear una Nueva Sub-Poltica Vaca (pag. 500).
Para usar reglas existentes, proceda a Convertir Reglas Existentes en una Sub-
Poltica (pag. 500).
Crear una Nueva Sub-Poltica Vaca

Para crear una nueva sub-poltica vaca
de Cortafuegos o IPS.
2. En la vista de configuracin del Cortafuegos o IPS, pulse botn derecho sobre la rama
Firewall Policies (Polticas de Cortafuegos) o IPS Policies (Polticas de IPS) y
seleccione NewFirewall Sub-Policy (NuevoSub-Poltica de Cortafuegos) o
NewIPS Sub-Policy (NuevoSub-Poltica de IPS). Se abrir el dilogo de
propiedades de la Sub-Poltica.
3. Escriba un Nombre (Name) y un Comentario (Comment) opcional.
4. (Opcional) Cambie a la pestaa Permissions (Permisos) y ajuste las Listas de Control
de Acceso en la parte de arriba del dilogo para incluir la Sub-Poltica en una o varias.
5. Pulse OK. La nueva sub-poltica se abre en la vista de Edicin de Poltica.
Para continuar:
Aada las reglas. Vea Editar Reglas de Acceso (pag. 518).
Convertir Reglas Existentes en una Sub-Poltica

Puede convertir reglas de Acceso IPv4 de una poltica existente en una Sub-Poltica. Las
reglas no necesitan ser consecutivas, pero si aade varias referencias a una sub-poltica en
la misma poltica, todas las reglas de la sub-poltica se comprueban en cada punto de
referencia incluso si esas reglas ya fueron comprobadas en un punto de referencia previo.
Esto puede evitarse, por ejemplo, aadiendo una regla al final de la Sub-Poltica que pare
todas las conexiones que no coincidieron con las otras reglas.
Para crear una sub-poltica desde reglas de Acceso existentes
1. Pulse botn derecho sobre la poltica o plantilla y seleccione Edit Firewall Policy
(Editar Poltica de Cortafuegos) o Edit IPS Policy (Editar Poltica de IPS).
2. Cambiar a la pestaa IPv4 Access (Acceso IPv4).

3. Seleccionar las reglas de Acceso que quiere aadir a la sub-poltica.
4. Pulse botn derecho sobre una de las reglas seleccionadas y elija Create Sub-Pollicy
(Crear Sub-Poltica) del men. El cuadro de dilogo de Sub-Poltica aparecer.
5. Introduza un nombre (Name) para la Sub-Poltica y pulse OK. El elemento Sub-Poltica
se crea, se aade automticamente a la poltica una nueva regla de salto que hace
referencia a la Sub-Poltica, y las reglas seleccionadas se mueven a la Sub-Poltica.
6. Edite las celdas de la regla Jump de manera tan especfica como sea posible, de forma
que el trfico no cumpla innecesariamente con la sub-poltica. Si es necesario, puede
aadir ms referencias a la Sub-Poltica, por ejemplo, copiando y pegando la regla
Jump.
7. (Opcional) Aada la Sub-Poltica a una Lista de Control de Acceso personalizada:
7a. Pulse botn derecho en la celda Action (Accin) en la regla Jump y seleccione
Properties (Propiedades). Se mostrar el cuadro de dilogo de Propiedades para la
Sub-Poltica.
7b. Cambie a la pestaa Permissions y ajuste las listas de Control de Acceso en la
parte de arriba del cuadro de dilogo.
7c. Pulse OK.
Tareas Relacionadas
Instalar Polticas
Prerrequisitos: La poltica que se quiere instalar debe estar permitida en la configuracin del dispositivo
Los cambios en las reglas del dispositivo y la mayora de las configuraciones (enrutamientos
etc.) estn activados en la poltica de instalacin. Slo pueden ser instalados elementos
Poltica; la Plantilla de Poltica y las reglas de la Sub-Poltica son instaladas como parte de la
Poltica principal. Una copia snapshot de la poltica se crea automticamente cada vez que
se instala o refresca una poltica.
Puede iniciar la instalacin de una poltica a travs del elemento Poltica o a travs del
elemento dispositivo. El siguiente procedimiento explica el primer mtodo.
Instalar una Poltica
(ConfiguracinConfiguracinIPS) del men. La vista de Configuracin del
Cortafuegos o Configuracin de IPS se abre con la rama de Polticas seleccionada en la
vista de rbol.
2. Pulse botn derecho sobre la poltica que quiera instalar y seleccione Install Policy
(Instalar Poltica) desde el men. Aparecer el cuadro de dilogo de Propiedades.
Ilustracin 174: Propiedades de la Tarea de Carga de Poltica
3. Seleccione los dispositivos sobre los que quiere instalar la misma poltica y pulse Add
(Aadir). Puede instalar la misma poltica en diferentes dispositivos en una sola
operacin.
El sistema mantiene un seguimiento de las polticas instaladas en los dispositivos y
preinstala en el destino cuando es posible.
No es posible seleccionar elementos Analizadores. La poltica de Analizador se
refresca automticamente cuando una poltica se instala en el sensor.
4. (Opcional) Deje Keep Previous Configuration Definitions (Conservar Definiciones de
Configuracin Previas) seleccionado para permitir que las conexiones establecidas
continen usando configuraciones existentes (como reglas de NAT) hasta que terminen.
Si la configuracin previa se borra, las conexiones que estn en uso se cortan.
Todas las conexiones previas que no estn permitidas por la nueva poltica instalada
son cortadas independientemente de esta opcin.
5. (Opcional) Deje Validate Policy before Upload (Validar Poltica antes de Cargar)
seleccionado para validar las reglas de la poltica. Vea Validar Reglas Automticamente
(pag. 556) para ms informacin sobre las opciones relacionadas.
Nota No puede validar la poltica si est instalando la poltica en diferentes dispositivos.
6. (Opcional) Aada un Upload Comment (Comentario de Carga). El comentario

proporciona informacin histrica a los administradores y usuarios del Portal Web
cuando ven Snapshots de las Polticas.
7. Pulse OK para validar e instalar la poltica. El progreso se muestra en una nueva
pestaa.
Ilustracin 175: Progreso de Instalacin de Polticas
Lista de
dispositivos
Detalle del progreso para el

dispositivo seleccionado
Problemas encontrados en
la validacin de las polticas;
avisos y errores durante la
instalacin de la poltica
8. Si se encuentran problemas en la validacin, vea la pestaa de Problemas en el panel

de informacin y ejecute una accin:
Haga doble click sobre un problema para ver la configuracin correspondiente o pulse
Continue (Continuar).
Para ms informacin, incluyendo pasos para deshabilitar los avisos, vea Problemas de
Validacin de una Poltica (pag. 558).
9. Monitorice la instalacin y asegrese de que es correcta. Con mltiples dispositivos, el
progreso se indica a travs de iconos de colores a la izquierda (pulse en el icono para
ver los detalles):
Amarillo: instalacin en curso.
Azul: esperando que la instalacin en otros componentes acabe.
Rojo: fallo
Verde: xito
Tareas Relacionadas
Seleccionar las Polticas Permitidas para un Dispositivo (pag. 409)
Seguimiento de Cambios en Polticas

Comprobar la Poltica Instalada Actualmente

Para comprobar la poltica instalada actualmente
1. Pulse botn derecho sobre el icono del clster de Sensores o Cortafuegos (no en un
nodo) y seleccione Current Policy Info (Informacin de la Poltica Actual).
2. Aparecer un mensaje en pantalla con la siguiente informacin:
Nombre de la poltica instalada
Nombre del administrador que instal la poltica
Fecha (ao-mes-da) y hora de instalacin de la poltica.
Ilustracin 176: Cuadro de Mensaje de la Actual Poltica de Seguridad
Formato de Fecha:
ao-mes-da
3. Pulse OK para cerrar el mensaje.
Previsualizar la Poltica Instalada Actualmente

Para previsualizar la poltica instalada actualmente
Pulse botn derecho en el icono del clster de Sensores o de cortafuegos (no sobre un nodo) y
seleccione Current PolicyPreview (Poltica ActualPrevisualizar). Una vista de la poltica
en su formato actual se abre en el Management Server.
Nota La poltica en el Management Server debe ser diferente de la poltica que

actualmente est instalada si la poltica ha sido modificada despus de su instalacin.
Comprobar y Comparar Versiones de Poltica

Cada vez que una poltica es instalada satisfactoriamente, una copia de esa configuracin se
almacena en el histrico de carga. Esto permite comprobar qu polticas fueron cargadas y
cundo, y le permite ejecutar una comprobacin automtica en polticas que necesitan ser
refrescadas. Por ejemplo, puede comparar dos snapshots de polticas, o comprobar qu
poltica estaba instalada en un determinado momento.
Nota El snapshot de una poltica se almacena nicamente cuando la poltica se ha

instalado satisfactoriamente.
Para continuar:
Ver Snapshots de Polticas (pag. 505)
Comparar Dos Snapshots de Polticas (pag. 505)
Ver Snapshots de Polticas

Para ver una snapshot de una poltica
(ConfiguracinConfiguracinIPS) del men principal dependiendo del tipo de
componente que le interese.
Polticas). Aparece una lista de snapshots de polticas con las actualizaciones y fechas.
3. Pulse doble click sobre el snapshot de poltica que quiere visualizar. Los detalles del
snapshot de poltica aparecen.
Tip Puede ver el snapshot en formato HTML: Pulse botn derecho en un snapshot y seleccione
ToolsSave as HTML File (HerramientasGuardar como Fichero HTML).
4. Seleccione elementos en el otro panel para ver sus detalles. Estos estn organizados en
los siguientes grupos:
Policy: la poltica cuya instalacin cre el snapshot.
Target: propiedades del dispositivo donde se ha guardado la poltica.
Elements: elementos incluidos en la poltica.
Tip Seleccione ViewShow XML (VerMostrar XML) para ver el snapshot de polticas en formato
XML.
Comparar Dos Snapshots de Polticas

Puede comparar dos snapshots de polticas de la lista para comprobar los cambios entre las
instalaciones de las polticas.
Para comparar snapshots de polticas
1. Abra la comparacin de una de las siguientes maneras:
Seleccione dos snapshots de polticas que quiera comparar, Pulse botn derecho y
seleccione Compare Snapshots para comparar cualquiera de los dos snapshots con el
otro.
Pulse botn derecho en el snapshot de la poltica que quiere comparar y seleccione
CompareCompare to Engines Current Policy (CompararComparar con la Poltica
Actual del Dispositivo) para compararlo con el snapshot de poltica ms reciente.
Pulse botn derecho en el snapshot de la poltica que quiere comparar y seleccione
CompareCompare to Latest Saved Version (CompararComparar con la ltima
Versin Salvada) para compararlo con la ltima versin almacenada en el Management
Server.
2. Compruebe los cambios que estn marcados en la poltica en colores como en el resumen
de abajo.
3. Seleccione objetos en el resumen para fijarse en ellos. Por ejemplo, si selecciona un
elemento de red, sus propiedades se mostrarn. Los objetos estn organizados en los
siguientes grupos:
Targets: El dispositivo donde la poltica se ha salvado.
New Elements: Elementos aadidos a la poltica.
Removed Elements: Elementos que han sido eliminados de la poltica.
Modified Elements: Elementos que existen en ambas polticas pero han sido modificados.
Comprobar Cambios en la Configuracin No Transferidos

La mayora de los cambios hechos en alguna parte de la configuracin son transferidos a los
dispositivos cuando la poltica de seguridad se refresca. Puede ver una lista de los
Cortafuegos y Sensores cuya poltica de seguridad no ha sido refrescada despus de los
ltimos cambios que han afectado a dichos dispositivos. Puede ver tambin una lista de Logs
de los Servidores cuya poltica de alerta necesita ser refrescada.
Comprobando necesidades de refrescar polticas
1. En la vista del Estado del Sistema, seleccione los elementos que quiere incluir en la
comprobacin.
2. Pulse botn derecho sobre la categora y seleccione ConfigurationPolicy Refresh
Check (ConfiguracinComprobar Refresco de Poltica). El cuadro de dilogo para
refrescar la poltica se abre y la comprobacin comienza (la duracin depender de los
elementos que haya seleccionado).
Ilustracin 177 Comprobar Refresco de Poltica
3. Si se muestran varios elementos, seleccione aqullos cuyas polticas quiera refrescar

(todos los elementos aparecen seleccionados por defecto).
4. Pulse Refresh (Refrescar). La actualizacin de la poltica para los elementos
seleccionados comenzar.
Mover la Poltica Bajo una Plantilla Diferente

Prerrequisitos: Crear una Nueva Plantilla de Poltica o Poltica (pag. 499)
Puede cambiar la plantilla de una poltica de Cortafuegos o de un IPS. Por ejemplo, si crea
una poltica A basada en una plantilla X, despus puede modificar la poltica A para heredar
reglas de una plantilla Y.
Para cambiar la plantilla de una poltica
(ConfiguracinConfiguracinIPS) del men. La vista de Configuracin del
Cortafuegos o IPS aparece.
2. Seleccione Firewall Policies (Polticas de Cortafuegos) o IPS Policies (Polticas de
IPS) en la vista que se despliega.
3. Pulse botn derecho en la poltica correcta y seleccione Properties (Propiedades) del
men. El dilogo de propiedades para la poltica se abre mostrando la vista de la
poltica.
4. Seleccione la nueva plantilla padre en la vista de la poltica. La plantilla padre debe
disponer de puntos de insercin para los tipos de reglas que contiene la poltica.
5. Pulse OK. La poltica se mueve bajo la plantilla elegida en la vista, y empieza a usar las
reglas de la nueva plantilla.
Eliminar Polticas, Plantillas y Sub-Polticas

Prerrequisitos: Debe haber creado una poltica, una plantilla de poltica o una sub-poltica
Para eliminar una plantilla, no debe haber polticas basadas en esta plantilla. Su eliminacin no
est permitida hasta que se eliminen las polticas o se asignen a una plantilla diferente. Vea
Mover la Poltica Bajo una Plantilla Diferente (pag 506).
Para eliminar una sub-poltica, no debe haber polticas que tengas reglas de salto a la sub-
poltica. Su eliminacin no est permitida hasta que edite o elimine las reglas de salto en las
polticas.
Vea Borrar Elementos (pag 79) para informacin general sobre eliminar elementos.
Editar Polticas 509
CAPTULO 38
EDITAR POLTICAS
Las reglas en Polticas de Cortafuegos e IPS le permiten controlar cmo los dispositivos
inspeccionan y filtran el trfico de red y cmo el NAT (Network Address Translation
Traslacin de Direcciones de Red) se aplica sobre los Cortafuegos.

Usar la Vista de Edicin de Polticas (pag. 511)
Editar Reglas de Ethernet (pag. 516)
Editar Reglas de Inspeccin (pag. 531)
Editar Reglas NAT (pag. 545)
Limitar el Tiempo que una Regla est Activa (pag. 555)
Validar Reglas Automticamente (pag. 556)
Aadir Comentarios a las Polticas (pag. 560)
Cambiar Reglas por Defecto (pag. 560)
Empezar con la Edicin de Reglas en Polticas

Prerrequisitos: Crear una Nueva Plantilla de Poltica o Poltica
Qu Hacen las Reglas

Las reglas son instrucciones para los dispositivos para el manejo del trfico. Hay cuatro tipos
principales de reglas.
Reglas de Ethernet (IPS slo) filtra el trfico basado en direcciones MAC y protocolos de red
de nivel bajo. Estas reglas pueden ser usadas para segmentar la red.
Reglas de Acceso filtran el trfico basdo en direcciones IP y protocolos IP. Estas reglas
controlan el acceso a los recursos. Hay reglas de acceso diferentes para trfico IPv4 e IPv6.
Reglas de Inspeccin filtran el trfico basado en diseos de la informacin transferida. Estas
reglas registran el uso de diseos complejos y encuentran ataques de red, gusanos de red,
y otros trficos preocupantes o no deseados como el uso de aplicaciones de transferencia
de archives peer to peer.
Reglas NAT (Cortafuegos slo) cambian la fuente y/o el destino de las direcciones IP en
trfico que est permitido a pasar por el Cortafuegos. NAT (network address translation)
puede ocultar la estructura de red y permitir que varios equipos usen la misma direccin IP
en Internet.
Los dispositivos procesan las reglas de un tipo de una vez en el orden que aparecen abajo. El
trfico IPv4 e IPv6 en IPS deben cumplir las reglas de acceso si el trfico es tunelado (por
ejemplo, IPv6 tunelado en IPv4 o IPv4 tunelado en IPv6).
Consideraciones Bsicas para el Diseo de Reglas
Las tablas de reglas se leen de arriba a abajo, de manera que el orden de las reglas es tan
importante como su contenido. De manera lgica se ordenan las reglas ms especficas arriba
y ms generales abajo.
Ejemplo Una regla que niega el acceso a su servidor desde una red particular debe situarse sobre una regla
ms general que permita el acceso a ese mismo servidor desde cualquier direccin.
Dos reglas cualesquiera que se estn solapando son redundantes y deben fundirse. La
validacin automtica de reglas puede usarse para encontrar errores.
Cuando las reglas se comparan con el trfico, cada regla se compara con el trfico hasta que
se encuentra una coincidencia. Lo que ocurra cuando se llega al final de la tabla de reglas sin
encontrar igualdades vara dependiendo del componente y el tipo de reglas.
Limitaciones
El soporte actual de IPv6 en Cortafuegos es limitado. IPv6 se soporta nicamente en
Cortafuegos simples. NAT, la inspeccin de paquetes y el antivirus slo se soportan en trfico
IPv4.
Para continuar
Usar la Vista de Edicin de Polticas (pag. 511)
Tareas Relacionadas
Cambiar Reglas por Defecto (pag. 560
Editar Polticas 511
Usar la Vista de Edicin de Polticas

Puede abrir una poltica para editarla a travs del men de botn derecho en la poltica o a
travs del modo de previsualizacin. Slo un administrador puede editar una poltica a la vez,
as que debe asegurarse de salvar los cambios y cerrar el editor de poltica cuando termine.
Ilustracin 178: Vista de Edicin de Poltica (Pestaa de Acceso IPv4)
Leyenda: 1 Barra de herramientas de Poltica. 2 Tabla de Reglas. 3 Herramienta de

Bsqueda. 4 Cambio histrico para la regla seleccionada.
Ilustracin 179: Reglas de Inspeccin
Leyenda: 1 Tabla de reglas para excepciones detalladas. 2 El rbol de reglas principal.

Ilustracin 180: Barra de Herramientas de Reglas
Editar Tablas de Reglas

Puede editar la tabla de reglas de las siguientes maneras:
Use las acciones del menu de botn derecho (aadir, cortar, copiar, pegar, mover, etc.)
Si pulsa el botn derecho en una celda que tiene acciones especficas, las acciones
especficas de la regla se mueven al submen de Regla.
Arrastre y suelte todas las reglas por el ID de las reglas o el nmero de la etiqueta.
Ilustracin 181: Ejemplo del men de una Regla
Las acciones de
celda estn en el
nivel principal.
Acciones de edicin
Las acciones de standard estn
regla estn en un disponibles aqu.
submen.
Las reglas seleccionadas pueden Puede deshabilitar
ser convertidas a sub-polticas. temporalmente las
Lock impide editar hasta que la reglas sin
regla est desbloqueada. eliminarlas.
Comentarios de reglas
crean segmentos El identificador de
desplegables. regla puede ser
usado como un filtro
de log.
Editar Celdas de Regla

La mayora de las celdas de una regla requiere insertar elementos de tipos especficos:
Cuando hace click en la celda, el panel de recursos que aparece a la izquierda muestra
los tipos de elementos que puede insertar en la celda.
Arrastre y suelte los elementos correctos dentro de la celda desde el panel de recursos,
desde otra celda o entre etiquetas.
Puede crear nuevos elementos en el panel de recursos (de los tipos que parecen)
Editar Polticas 513
Para modificar las celdas de regla que no aceptan elementos, pulse botn derecho en la celda y
seleccionar el elemento desde el men.
Ilustracin 182: Men para la Celda de Accin en una regla de Acceso de Cortafuegos
Abre un dilogo de para

establecer opciones
En la celda Accin, el
dilogo contiene
Principales herramientas adicionales
opciones para la para la accin
celda Accin. seleccionada.
Aadir Comentarios a las Polticas

Puede aadir dos tipos de comentarios a las polticas:
La celda Comment (Comentario) en cada regla permite escribir comentarios especficos, por
ejemplo, para grabar qu regla fue aadida o cambiada. En el Histrico del panel de
Informacin muestra cuando la regla fue aadida o el ultimo cambio y quin lo realiz.
En las tablas de reglas, puede insertar comentarios para visualizar la estructura de la poltica.
Leer Identificadores de Regla

Cada regla tiene dos identificadores (no modificables):
La celda ID muestra el orden de las reglas. Por ejemplo, 14.1.2 muestra que la regla es la
segunda en la poltica, es la primera regla en la plantilla padre y la regla catorce en el nivel
ms alto de la plantilla padre. El nmero cambia cuando se aade, elimina y se mueven
reglas.
Tag es el nico identificador de la regla en la poltica. Contiene una parte esttica que no
cambia cuando se aaden, elminan o se mueven reglas. Por ejemplo, en Tag @274.12,
274 es la parte que no cambia y 12 indica que la regla est actualmente en su edicin
nmero doce. Tag se usa, por ejemplo, para proporcionar enlaces desde los logs a las
reglas.
Tareas Relacionadas
Buscar en Reglas (pag. 514)
Encontrar Reglas No Usadas en Polticas de Cortafuegos (Contadores de Hits) (pag. 515)
Buscar en Reglas
En las tablas de reglas, puede buscar reglas basadas en la mayora de las celdas. Haga
click en el icono de herramientas en la poltica especfica y seleccione Search Rules
(Buscar en Reglas) para mostrar la bsqueda debajo de la tabla de reglas (Vea la siguiente
ilustracin).
En el rbol desplegado de reglas sobre la barra de Inspeccin, puede buscar las situaciones
a travs del tipo de bsqueda. Cuando escribe una parte del nombre de la situacin, el rbol
filtra el contenido mostrando nicamente las situaciones encontradas. El tipo que est activo
en ese momento en la bsqueda se muestra en la parte superior del panel.
La ilustracin siguiente muestra la bsqueda de regla en las tablas de reglas.
Ilustracin 183: Bsqueda de Regla en las tablas de relgas
Puede aadir valores de diferentes maneras:

Arrastre y suelte elementos desde la table de reglas de arriba.
Haga Pulse botn derecho en una celda y eliga Select para desglosar los elementos.
En el Origen y Destino de bsqueda de celdas, puede escribir manualmente las
direcciones IPv4 o IPv6, redes, o rangos de direcciones. Use notificaciones standard (por
ejemplo, 192.168.1.0/16, or 192.168.10.0 - 192.168.10.101 para redes IPv4, o
2001:0db8:1234::/48, or 2001:0db8:1234:: - 2001:0db8:1234::100 para redes IPv6.
Rellene las celdas en las que est interesado. Las celdas que deje vacas sern ignoradas
en la bsqueda. La primera regla que cumpla la bsqueda se mostrar en verde oscuro y
todas las dems aparecern sealadas en verde. Haga click en la flecha de Next
(Siguiente) o Previous (Anterior) para subir o bajar desde la regla seleccionada.
Tareas Relacionadas
Editar Polticas 515
Encontrar Reglas No Usadas en Polticas de Cortafuegos

(Contadores de Hits)
Las reglas de Acceso IPv4 e IPv6 del cortafuegos as como las reglas NAT contienen una celda
de hits que muestran cuantas veces esa regla ha coincidido con el trfico de red actual. Por
defecto, las celdas hits estn vacas y tiene que rellenarlas con la herramienta Contador de
Regla.
El principal propsito de visualizar los hits de reglas es encontrar reglas vlidas que coincidan
con trfico que el Cortafuegos no es capaz de encontrar en la red. Esta herramienta
complementa la regla de validacin, que puede encontrar errores en el diseo de la regla. Las
versiones actuales de Cortafuegos cuentan de manera automtica los hits de las reglas para
todas las reglas soportadas. Los hits son almacenados como datos estadsticos de contadores
en los Log Servers.
Para ejecutar un anlisis de Contador de Reglas
1. Abra la poltica para previsualizar o editar y seleccione los tipos de reglas que quiere
examinar (Acceso IPv4, Acceso IPv6, o NAT).
2. Seleccione un dispositivo usando la barra de herramientas especfica de la poltica.
Ilustracin 184: Barra de Herramientas de Poltica
3. Pulse sobre el icono de herramientas en la barra de tareas de la poltica y seleccione Rule

Counters. El dilogo de anlisis de contador de reglas se abre.
Ilustracin 185 Anlisis de contador de reglas
4. Seleccione Period (Periodo) durante el cual quiere comprobar las reglas encontradas; bien
los periodos que aparecen o Custom si quiere definir el periodo en detalle.
5. (Opcional) Para excluir los servidores de Log de esta operacin o incluir datos archivados,
cambie a la pestaa Storage (Almacenamiento) y cambie la seleccin. Asegrese de incluir
los servidores de Logs y carpetas que contengan datos para el dispositivo marcado y el
periodo que ha seleccionado.
6. Pulse OK para visualizar los hits de la regla. La informacin aparece hasta que se cierre la
vista.
La celda Hit en cada regla se rellena con el nmero de conexiones que coinciden con la
regla durante el periodo elegido.
Si no hay informacin estadstica sobre la regla con el criterio seleccionado, la celda Hit
muestra N/A (por ejemplo, para reglas aadidas despus del periodo de anlisis).
Tareas Relacionadas
Aadir Puntos de Insercin en Plantillas de Polticas

Los Puntos de Insercin marcan las posiciones donde pueden aadirse reglas. Cuando se
edita una plantilla de poltica,se debe aadir al menos un nuevo Punto de Insercin amarillo
en todas las pestaas de todas plantillas si quiere que la Poltica o Plantilla de Polticas sea
editable en cada pestaa. Los Puntos de Insercin verdes se heredan desde el nivel previo y
no se heredan hacia ms abajo en la jerarqua. Solamente muestran dnde podemos aadir
reglas y en el momento que aadimos una regla o un nuevo punto de insercin (amarillo) en
esa posicin, desaparecen.
Para aadir un punto de insercin en una Plantilla de Poltica
1. Abra la plantilla en modo edicin.
2. Pulse botn derecho en el punto verde y seleccione Add Insert Point o una regla que
sea editable en esa plantilla y seleccione RuleAdd Insert Point Before
(ReglaAadir Punto de Insercin Antes) o Add Insert Point After (Aadir punto de
Insercin Despus).
3. Proporcione un nombre descriptivo para el punto en el dilogo que aparece y pulse OK.
Se aadir un punto de insercin heredable (amarillo) a la plantilla.
Puede aadir tantos puntos en una plantilla como permita su estructura de reglas.
Editar Reglas de Ethernet

Prerrequisitos: Debe tener privilegios para editar el elemento Poltica
Las reglas de Ethernet son usadas por los sensores IPS. Estas reglas definen si el trfico
Ethernet puede continuar o se deniega inmediatamente. Los interfaces Inline de los
sensores IPS pueden parar directamente cualqueir trfico cuando se usa la accin Discard.
Si est usando una de las plantillas por defecto de IPS para sus polticas, las reglas de
Ethernet dirigen el trfico de IPv4 e IPv6 a las reglas de Inspeccin para su anlisis posterior,
y dejan pasar el trfico ARP, RARP, y STP. Puede usar el primer Punto de Insercin en la
plantilla para hacer excepciones a este comprotamiento para ciertas direcciones MAC y/o
Interfaces Lgicas. Se recomienda insertar cualquier otro cambio en el segundo punto de
insercin.
Asegrese de que sus reglas de Ethernet dirijan el trfico IP para ser inspeccionado contra
las reglas de Acceso (aplicando los Servicios IPv4 e IPv6 por defecto al trfico). Cuando el
trfico no coincide con ninguna regla Ethernet, el trfico se deja pasar sin posteriores
inspecciones.
Para aadir una regla Ethernet
1. Seleccione ConfigurationConfigurationIPS del menu. La vista de configuracin
IPS se abre con los elementos seleccionados de la poltica.
2. Pulse botn derecho en la Plantilla de Poltica o en la Poltica y seleccione la accin
Edit correspondiente del men que se abre. La poltica se abre para su edicin.
3. Seleccione la pestaa Ethernet.
4. Aada la regla de una de las siguientes maneras:
Pulse botn derecho en la celda ID de una regla existente y seleccione Add Rule
Before (Aadir Regla Antes) o Add Rule After (Aadir Regla Despus).
Copie y pegue alguna regla existente.
Editar Polticas 517
5. Especifique la parte del trfico que quiere controlar y seleccione qu ocurre con el
trfico que cumpla la regla como se explica en la siguiente tabla.
Tabla 52: Coincidencia entre celdas y acciones de las reglas de Ethernet
Celda Opcin Explicacin

Si su sensor tiene ms de un Interfaz Lgico definido, puede aadir
opcionalmente elementos de Interfaz Lgico en esta celda para
Interfaz Lgica seleccionar qu reglas aplican a los Interfaces Lgicos. Las reglas
de las plantillas IPS por defecto cumplen con cualquier Interfaz
Lgico.
Fuente Cumplen con la regla una o ms direcciones MAC
Destino No cumplen con nada por defecto (la regla se ignora)
Cumple con la regla un Servicio Ethernet
Servicio
No cumplen con nada por defecto (la regla se ignora)
El trfico que coincide se permite. Si la celda Servicio contiene los
elementos por defecto del servicio IPv4 o IPv6, se sigue con las
Accin Permitido
reglas de Acceso. Adems, el trfico se permite sin otra
(Pulse botn examinacin.
derecho para
seleccionar) Si se pasa a travs de interfaces de Sensor, el trfico se descarta.
Descartado Esta accin no se puede aplicar cuando el trfico pasa a travs de
Interfaces de Captura.
Definir Opciones de Logging para Reglas Ethernet

Para crear un log o alerta de entrada cuando coincide la regla
1. Haga doble click sobre la celda Logging de la regla.
2. Defina las opciones segn se explica en la siguiente tabla.
Precaucin Las reglas de Ethernet se aplican a cada paquete, y si el logging est

activo para una regla, se genera una nueva entrada de log para cada paquete. Un
excesivo logging puede saturar las herramientas de logs.
Tabla 53: Opciones de Logging en Reglas de Ethernet
Opciones Explicacin
No se crea entrada en el log. Recomendado para la mayora de
Ninguno
reglas de Ethernet.
Con cada paquete que coincide se almacena una entrada de log en
Nivel de Log Almacenado
el servidor de Log Server.
Cada paquete que coincide activa la alerta que se haya aadido en
Alerta
el campo Alerta
Tabla 54: Opciones de Logging en Reglas de Ethernet (Continuacin)
Opciones Explicacin
Si el nivel de log establece una Alerta, define qu alerta se enva.
Alerta Seleccionando diferentes Alertas para diferentes tipos de reglas se
permiten polticas de escalado ms granulares.
Si el nivel de Log establece una Alerta, le permite anular la
Severidad
severidad definida en el elemento Alerta.
Definir una direccin MAC para Reglas de Ethernet

El elemento direccin de MAC define la direccin MAC de una red. Los elementos de
direcciones MAC son usados para comprobar ciertas fuentes o destinos en las reglas de
Ethernet.
Para definir un elemento Direccin MAC
1. Despliegue Other Elements (Otros Elementos) en la vista de configuracin de IPS.
2. Haga Pulse botn derecho en MAC Addresses (Direcciones MAC) y seleccione New
MAC Address (Nueva Dierccin MAC). Se abre el cuadro de dilogo de Propiedades
de direcciones MAC.
3. Asigne un nombre (Name) al elemento.
4. Introduzca la direccin MAC. Puede introducir cualquier direccin MAC vlida
incluyendo, por ejemplo, la direccin Broadcast (ff:ff:ff:ff:ff:ff).
Editar Reglas de Acceso

Prerrequisitos: Debe tener una poltica personalizada y privilegios para editar
Las reglas de Acceso filtran el trfico definiendo criterios y acciones que se aplican a los
paquetes que cumplen con los criterios. Las reglas de acceso son usadas por Cortafuegos y
sensores:
En Polticas de Cortafuegos, las Reglas de Acceso son las ms importantes. El criterio
definido en las Reglas de Acceso determina que conexiones se van a permitir. Por
defecto, las Reglas de Acceso de Cortafuegos detienen el trfico que no se especifica
como permitido.
En Polticas de IPS, las Reglas de Acceso pueden ser usadas de manera opcional para
filtrar algn trfico y excluir otro trfico de inspecciones. Slo el trfico de Interfaces Inline
puede filtrarse con Reglas de Acceso. Los sensores permiten todo el trfico que no se
especifica como denegado. Si la poltica est basada en una plantilla IPS por defecto, todo
el trfico permitido se inspecciona por defecto contra las Reglas de Inspeccin.
Para aadir una regla de Acceso
1. Seleccione ConfigurationConfigurationFirewall o
ConfigurationConfigurationIPS del men. La vista de configuracin del
Cortafuegos o de configuracin IPS se abre con los elementos seleccionados para dicha
vista.
2. Pulse botn derecho en una plantilla de poltica, poltica o sub-poltica y seleccione la
accin Edit action del men. La poltica se abre para ser editada.
3. Cambie a la pestaa IPv4 Access o a la de IPv6 Access.
5. Pulse botn derecho en la celda ID de una regla existente y seleccione Add Rule
6. Copie y pegue alguna regla existente.
Editar Polticas 519
7. Especifique la parte de trfico que quiere controlar como se explica en Definir con Qu
Trfico coincide una Regla de Acceso (pag 519).
8. Defina qu ocurre con el trfico que coincide con una regla como se explica en Definir
Qu Accin Toman las Reglas de Acceso (pag 521).
9. (Opcional) Defina opciones para activar logs y alertas como se explica en Definir
Opciones de Logging en Reglas de Acceso (pag 528).
Definir con Qu Trfico coincide una Regla de Acceso

Las reglas de Acceso de IPv4 e IPv6 se configuran de la misma manera. Los sensores IPS y
los Cortafuegos independientes usan ambos tipos de reglas de Acceso en todas sus
operaciones. Los clsters de cortafuegos no soportan IPv6. Los analizadores IPS no usan
reglas de Acceso para sus operaciones.
Cuando el trfico no coincide con ninguna regla y se alcanza el final de la tabla de reglas de
Acceso, los Cortafuegos detienen el trfico y los sensores dejan pasar todo el trfico.
Adems de criterios de coincidencia ms especficos, las celdas pueden configurarse con
dos valores adicionales:
ANY (disponible al pulsar botn derecho sobre la celda y seleccionando Set to ANY)
coincide con todos los valores vlidos para la celda, por ejemplo, todas las direcciones
IPv4.
NONE es el valor por defecto para las celdas que no tienen criterio. Cuando una celda
contiene NONE, la regla es invlida y se ignora.
Para definir cmo una regla de acceso coincide con el trfico, rellena las celdas con los
elementos que se explican a continuacin.
Tabla 55: Correspondencia de Celdas en Reglas de Acceso
Celda Explicacin
Si su sensor tiene ms de una Interfaz Lgico definido, puede aadir elementos de
interfaz lgico en esta celda para seleccionar qu reglas aplican a sus Interfaces
Lgicos. Las reglas en las plantillas por defecto coinciden con cualquier interfaz
Interfaz Lgico
lgico.
(slo IPS)
Para ms informacin, vea Definir Interfaces de Inspeccin de Trfico para
Sensores (pag 379).
Por defecto, coincide con cualquier interfaz lgico.
La regla se corresponde con una o ms direcciones IP. Pueden insertarse
Origen elementos en estas celdas de la categora de Red.
Si tiene redes IPv4 e IPv6, los elementos deben tener el tipo de direccin IP
correcto para la regla o el elemento se ignorar.
Para ms informacin, vea Comenzar con la Definicin de Direcciones IP (pag
Destino 562).
No coincide con nada por defecto (la regla completa se ignora)
La regla se corresponde con un protocolo de red y (si aplica) con un Puerto TCP o
UDP.
Servicio
Para ms informacin, vea Comenzar con los Servicios (pag 574).
No coincide con nada por defecto (la regla completa se ignora)
Tabla 56: Correspondencia de Celdas en Reglas de Acceso (Continuacin)
Celda Explicacin
Si est definido, la regla comprueba la Autenticacin de usuarios o grupos de
usuarios que haya definido en esta celda.
Usuarios Si el origen de la conexin no est autentificada o la Autenticacin de usuario no
(Cortafuegos est incluida en esta regla, la regla no coincide y se sigue con la siguiente regla.
slo, No es posible poner ANY en esta celda.
IPv4 slo, Si rellena esta celda, debe rellenar tambin la celda de Autenticacin.
Opcional) Para ms informacin, vea Empezar con la Autenticacin de Usuarios (pag 624).
Coincide tanto con usuarios autenticados como no autenticados por defecto (la
celda est vaca).
Si est definido, la regla comprueba los Servicios de Autenticacin que se han
aadido a esta celda
Si el origen de la conexin no est autenticado o la autenticacin se ha hecho con
Autenticacin un mtodo no incluido en esta regla, la regla no comprueba y se continua con la
(Cortafuegos siguiente regla.
slo, Si rellena esta celda, debe rellenar tambin la celda de Usuarios.
IPv4 slo, Haga doble click en la celda para ms opciones, vea Definir Opciones de
Opcional) Autenticacin en Reglas de Acceso (pag 530).
Para ms informacin, vea Empezar con la Autenticacin de Usuario (pag 624).
Coincide tanto con usuarios autenticados como no autenticados por defecto (la
celda est vaca).
Haga doble click para limitar el periodo de tiempo en el que la regla es vlida.
Durante el periodo de tiempo especificado las reglas se comprueban.
Tiempo Fuera de esta periodo de tiempo la regla no se comprueba y la comprobacin sigue
(Opcional) con la siguiente regla.
El tiempo se introduce en tiempo UTC.
Para ms informacin, vea Limitar el Tiempo que una Regla est Activa (pag 555).
Comprueba la regla basndose en el trfico recibido a travs de VPN. Haga doble
Origen VPN click para especificar que la regla compruebe slo trfico VPN, no VPN, trfico
(Solo desde una VPN especfica o de un cliente VPN especfico. Esto permite, por
Cortafuegos, ejemplo, restringir servicios a los que los clientes VPN pueden acceder de manera
IPv4 solo, remota.
Opcional) Para ms informacin, vea Crear Reglas de VPN (pag 748).
Por defecto coincide con todo el trfico (la celda est vaca)
Editar Polticas 521
Definir Qu Accin Toman las Reglas de Acceso

Para definir qu hace una regla de Acceso para comprobar el trfico
Pulse botn derecho en la celda de Accin y seleccione la Accin como se explica en la siguiente
tabla.
Tabla 57: Acciones de Reglas de Acceso
Accin Opciones Explicacin

El trfico se verifica contra la regla para ver si puede pasar a travs
del Cortafuegos o del sensor.
El trfico an puede estar sujeto a varias formas de inspeccin
dependiendo del componente y las opciones establecidas.
Permitir Si
Estn disponibles ms opciones para la gestin del trfico en las
Opciones de Accin. Vea Definir Opciones de Accin Permitir para
Cortafuegos (pag 523) o Definir Opciones de Accin Permitir IPS
(pag 527).
Las opciones especificadas en una regla con esta accin se
almacenan en memoria mientras el contine el proceso de bsqueda
del paquete. Las opciones especificadas se aplican a cualquier regla
que encuentre el mismo paquete si las reglas no tienen definiciones
especficas para las mismas opciones.
Continuar Si
Hay ms opciones para el manejo del trfico en las Opciones de
Accin. Vea Definir Opciones de Accin Permitir para Cortafuegos
(pag 523) o Definir Opciones de Accin Permitir IPS (pag 527).
Para ms informacin, vea la Gua de Referencia de
Cortafuegos/VPN.
El trfico es descartado sin informar al creador de la conexin. Esta
Descartar No accin nunca se aplica al trfico recogido a travs de interfaces de
captura en un sensor.
El trfico es descartado y se enva un mensaje de error ICMP o un
reset TCP (para conexiones TCP) como respuesta al origen. Esta
Negar No
accin nunca se aplica al trfico recogido a travs de interfaces de
captura en un sensor.
El procesamiento se contina en una sub-poltica (seleccionada en
Opciones de Accin). Si ninguna de las reglas de la sub-poltica
coincide, el procesamiento contina a la siguiente regla de la poltica
Salto Si principal. Tenga en cuenta que las opciones establecidas en valores
especficos de una regla de Salto anulan a las caractersticas
correspondientes de las sub-reglas.
Vea Definir Opciones de Accin de Salto(pag 522).
Incluye una configuracin especfica IPsec VPN en la poltica
Usa IPsec VPN (seleccionada en las opciones de Accin).
(Solo Dirige el trfico saliente dentro de una VPN especfica y/o permite el
Si
Cortafuegos,o trfico entrante desde una vPN especfica.
IPv4) Vea Definir Opciones de Accin Usar VPN de Cortafuegos (pag
526)
Tabla 58: Acciones de Reglas de Acceso (Continuacin)
Accin Opciones Explicacin

El dispositivo chequea el trfico contra las entradas actuales de la
lista negra. Si el trfico coincide con una entrada, se descarta. En
caso contrario, el proceso contina con la siguiente regla de la
Applicar Lista poltica principal.
Negra (solo Si Solo hay una lista negra por Cortafuegos o sensor, pero usted
IPv4) puede aadir varias reglas que hagan referencia a la lista negra.
Usted puede limitar los componentes que se permiten aadir a llas
entradas de la lista negra en las Opciones de Accin.
Vea Definir Opciones de Accin Aplicar Lista Negra(pag 522).
Se abre un dilogo que le permite modificar las opciones de accin
Opciones de
(N/A) especficas en el caso de que la accin disponga de ellas.
Accin
Vea las explicaciones de arriba para ms informacin.
Definir Opciones de Accin para Reglas de Acceso

Definir Opciones de Accin Aplicar Lista Negra
Las opciones para la accin Aplicar Lista Negra en reglas de acceso para IPv4 afectan a la
recepcin de listas negras en Cortafuegos y sensores. Para informacin sobre establecer
listas negras y generar listas negras, vea Empezar con la Lista Negra (pag 678).
Para establecer la accin Aplicar Lista Negra en reglas de Acceso IPv4
1. Pulse botn derecho en la celda Action en una regla de acceso IPv4 y seleccione
Apply Blacklist.
2. Doble click en la celda Action. El cuadro de dilogo de las opciones especficas se
abre.
Establezca las opciones como se explica en la siguiente table.
Tabla 59: Opciones de Accin Aplicar Lista Negra
Opcin Explicacin
Las entradas de la Lista Negra se aceptan desde los servidores de
Gestin del StoneGate y los analizadores definidos en el sistema
Cualquiera
Permite Listas (los comandos listados en la lista negra de los sensores se
Negras para la transmiten a travs de los analizadores).
regla Las entradas de la lista Negra solo se aceptan desde los
Restringido componentes que usted especifique (y desde el comando lnea del
dispositivo).
Para permitir el listado manual, aada el servidor de Gestin
Listados Negros Permitidos Para permitir el listado dinmico de componentes IPS de
StoneGate, seleccione un elemento analizador.
Definir Opciones de Accin de Salto

La accin Jump (salto) en reglas de acceso IPv4 de Cortafuegos e IPS aaden una condicin
a la poltica de reglas. Si una conexin coincide con el criterio de una regla de salto, se
comprueba de Nuevo contra las reglas de la sub-poltica
Editar Polticas 523
Para establecer las opciones de Action para la accin Jump en reglas de Acceso IPv4
1. Pulse botn derecho en la celda Action en la regla de Acceso IPv4 y seleccione Jump.
El cuadro de dilogo de las opciones especficas para la accin se abre.
2. Establezca las opciones como se explica en la siguiente tabla.
Tabla 60: Opciones de Accin de Salto
Pestaa Opciones Explicacin

Seleccione una Sub-Poltica. Las conexiones que compruebe la
regla de salto se verifican contra la sub-poltica seleccionada. Si las
Salto Sub-Poltica
reglas de la sub-poltica no encuentran nada, el proceso retrocede a
la siguiente regla de la poltica principal.
Si selecciona opciones especficas de seguimiento de conexiones
Seguimiento de Opciones en una regla de Salto, las opciones que seleccione se usan para
estndar de
Conexiones todas las reglas de la sub-poltica independientemente de las
seguimiento
(Cortafuegos de opciones usadas en esas reglas.
Solo) conexiones Vea Definir Opciones de Accin Permitir para Cortafuegos (pag
523).
Definir Opciones de Accin Permitir para Cortafuegos

Las opciones de Seguimiento de la Conexin controlan los siguientes aspectos del trfico en
un Cortafuegos:
Puede controlar la inspeccin estableciendo opciones para el seguimiento de la conexin,
incluyendo tiempos, tamao de segmentos TCP y lmites de conexiones concurrentes.
(Dependiente de la Licencia) Puede activar la inspeccin para verificar el trfico contra las
reglas de Inspeccin y/o virus estableciendo opciones de antivirus.
Para establecer opciones de Accin para la accin permitie en reglas de Acceso de
Cortafuegos
1. Pulse botn derecho en la celda Action (Accin)en la regla de Acceso de un
Cortafuegos y seleccione Allow (Permitir).
2. Haga doble click en la celda Action. Se abre el dilogo de opciones especficas de la
accin.
3. Configure las opciones segn se explica en la siguiente tabla.
Tabla 61 Opciones de Accin Permitidas para el Cortafuegos
Opcin Explicacin
Override Collected Seleccione esta opcin para activar las opciones de Seguimiento de Conexin e
Values Set with ignorar cualquier opcin de Seguimiento establecida en una regla de Continuar
Continue Rules anterior que coincida con las mismas conexiones.
(Obviar Valores La inspeccin profunda y el antivirus no pueden configurarse en una accin de
establecidos con Continuar, de modo que esas opciones no se ven afectadas y pueden activarse
Reglas Continuar) sin seleccionar esta opcin.
Habilita el seguimiento de la conexin. El Cortafuegos permite o descarta
paquetes de acuerdo al modo de seguimiento seleccionado. Los paquetes de
respuesta se permiten como parte de la conexin permitida sin una regla de
Acceso explcita. Los protocolos que usan una asignacin de puertos dinmica
On (Recomendado)
deben permitirse usando un servicio con el agente de Protocolo adecuado para
ese protocolo (en reglas de Acceso y reglas NAT). Las opciones adicionales
disponibles cuando el seguimiento de la conexin est habilitado se explican en
la siguiente tabla.
Tabla 62: Opciones de Accin Permitidas para el Cortafuegos (Continuacin)
Opcin Explicacin
Deshabilita el seguimiento de conexin. El Cortafuegos opera como un filtro de
paquetes simple, permitiendo los paquetes en base a sus orgenes, destinos y
puertos usados. Deber aadir reglas de Acceso separadas que permitan
explcitamente los paquetes de respuesta. NAT no se puede aplicar al trfico
Off permitido sin seguimiento de conexin.
Desactive el logging en la regla si deshabilita el seguimiento de conexin.
Cuando el seguimiento de conexin est deshabilitado, se genera una entrada
de log para cada paquete y esto puede afectar al rendimiento del Cortafuegos,
la red y el Log Server.
Inspecciona el trfico que verifica la regla contra las reglas de inspeccin de la
Deep Inspection
poltica.
(Inspeccin
Para usar esta opcin, el Servicio en la regla debe incluir uno de los protocolos
Profunda)
soportados por la inspeccin profunda en un Cortafuegos (HTTP, HTTPS, IMAP,
(IPv4 solo)
POP3, SIP, SMTP, o SNMP).
Inspecciona el trfico contra la firma de virus de la base de datos.
Para usar esta opcin, el anti-virus debe estar activado en las propiedades del
elemento Cortafuegos como se explica en Configurar las Opciones de Anti-Virus
Antivirus (pag 424) y el servicio en la regla debe incluir uno de los protocolos soportados
(IPv4 Solo) para la inspeccin de anti-virus (HTTP, HTTPS, IMAP, POP3, o SMTP).
Seleccionar esta opcin tambin activa la opcin de Inspeccin. Puede adems,
ajustar el escaneo de virus usando las reglas de Inspeccin. Vea Definir
Opciones de Accin Permitir en un Cortafuegos (pag 538) para ms detalles.
Tabla 63: Opciones Adicionales cuando el Seguimiento de la Conexin est Activado
Opcin Explicacin
El trfico TCP se maneja como en el modo Normal o modo Estricto
Default (Por dependiendo de si el seguimiento estricto de conexin ha sido activado en
Defecto) las propiedades del Cortafuegos. El trfico ICMP y UDP se maneja como
en el modo Normal.
El Cortafuegos omite los mensajes de error ICMP relacionados con las
conexiones actualmente no activas en el seguimiento de la conexin (a
menos que estn explcitamente permitidas en una regla de la poltica). Se
requiere un Handshake TCP completo para el trfico TCP. El Cortafuegos
Normal comprueba la direccin del trfico y los parmetros de Puerto del trfico
UDP. Si la celda Servicio de la regla contiene un servicio que usa un
Connection agente de protocolo, el Cortafuegos valida tambin el trfico TCP y UDP
Tracking en la capa de aplicacin. Si se produce una violacin del protocolo, la
Mode (Modo conexin se descarta.
de Permite solo el trfico TCP que cumple estrictamente el estndar TCP
Seguimiento definido en la RFC 793. El Cortafuegos tambin comprueba la secuencia
de Conexin) de nmeros de los paquetes establecidos en la pre-conexin y para
Strict paquetes RST y FIN, y descarta los paquetes fuera de secuencia. Si la
(Estricto) celda servicio de la regla contiene un servicio que usa un agente de
protocolo, el Cortafuegos tambin valida el trfico en la capa de
aplicacin. Si se produce una violacin de protocolo, la conexin se
descarta.
Permite algunos patrones de conexin y operaciones de traslacin de
direccin que no estn permitidas en el modo normal. Puede ser usado,
Loose
por ejemplo, si el enrutamiento es asimtrico o si el uso de protocolos de
(Amplio)
enrutamiento dinmico hace que el Cortafuegos reciba patrones de trfico
no estndar.
Editar Polticas 525
Tabla 64: Opciones Adicionales cuando el Seguimiento de la Conexin est Activado (Continuacin)
Opcin Explicacin
Deshabilita la sincronizacin de la informacin de conexin entre los
Do Not Synchronize nodos del clster del Cortafuegos. Esto reduce el volumen de trfico de
Connections (No la interfaz activa, pero tambin evita la cada de las conexiones de otros
sincronizar conexiones) nodos. Esta opcin se soporta desde la versin 5.2.1 de
Cortafuegos/VPN.
El timeout (en segundos) despus del cual se cierran las conexiones
inactivas. Este timeout aplica solo a conexiones inactivas. Las
conexiones no se cortan por timeout mientras que los hosts se estn
comunicando.
Este tiempo de espera ignora el valor por defecto configurado en el
Idle Timeout (Tiempo de
cortafuegos.
Espera de Inactividad)
Precaucin! No establezca timeouts muy largos para muchas
conexiones. Cada conexin activa consume recursos en el Cortafuegos.
Establecer excesivos timeouts para un gran nmero de conexiones
puede producir serios problemas de rendimiento. Generalmente, no
debe ser mayor de unos pocos minutos.
Permite introducir el valor mximo y mnimo para el MSS en bytes.
Las cabeceras no se incluyen en el valor del MSS; MSS incluye solo la
parte del payload del paquete. En la mayora de los casos, el
equipamiento de red prefiere enviar paquetes al tamao de MTU
(mxima unidad de transmisin) estndar Ethernet de 1500 (incluyendo
carga y encabezados).
Mximo valor: Si un paquete TCP tiene un valor de MSS ms largo que
el mximo, el Cortafuegos sobreescribe el MSS del paquete con el
mximo valor que haya establecido. Establecer el tamao mximo de
MSS es necesario para evitar fragmentacin. Tpicamente, el valor que
Enforce TCP MSS
se introduce es ms bajo que el del estndar Ethernet MTU (1500),
(Imponer TCP MSS)
considerando los encabezados de los paquetes que son aadidos al
MSS.
Mnimo valor: Si un paquete TCP tiene un valor de MSS ms pequeo
que el mnimo que haya establecido, el paquete se omite. Cuanto menor
es el dato contenido, menos la eficiencia en las comunicaciones debido
a los encabezados fijos. Limitar el tamao mnimo ayuda en ciertos tipos
de ataques de red. Tpicamente, el valor mnimo que introduce es ms
pequeo que el mnimo estndar de MSS (536).
Si un paquete TCP no incluye un valor MSS, el Cortafuegos no aade
valor MSS al paquete, pero cumple el mnimo MSS.
Concurrent connection Caractersticas para proteccin del ataque DoS (Negacin del servicio).
limit per source IP (Lmite Le permite establecer un lmite mximo para el nmero de conexiones
de conexiones concurrentes abiertas totales desde/a una nica direccin IP en cualquier momento.
por IP de origen) Puede seleccionar entre Descartar (omitir en silencio) y Rechazar (con
mensaje de error ICMP) como la Accin que se aplica a las nuevas
conexiones si el lmite se alcanza.
Concurrent connection
Estos lmites son impuestos por las reglas que tienen su Accin en
limit per destination IP
Permitir, Continuar o Usar IPsec VPN (todas las accin
(Lmite de conexiones
Aplicar/Imponer/Mandar incluidas).
concurrentes por IP de
Sea cuidadoso al aplicar los lmites de conexin concurrente para los
destino)
tipos de comunicacin gestionados por esta regla para evitar cortar
conexiones de forma innecesaria.
Definir Opciones de Accin Continuar en Reglas de Acceso

Las opciones especificadas se aplican a cualquier regla que comprueba el mismo paquete si
las reglas no tienen definiciones de regla especficas para esas opciones.
Para establecer opciones de accin para la accin Continuar en reglas de Acceso en
Cortafuegos
1. Pulse botn derecho en la celda Action en una regla de Acceso del Cortafuegos y
seleccione Continue.
2. Haga doble click en la celda Action. Se abrir el dilogo de opciones especficas de la
Accin.
3. Configure las opciones segn se explica en la tabla Definir Opciones de Accin
Permitir para Cortafuegos (pag 523).
Definir Opciones de Accin Usar VPN de Cortafuegos

Para ms informacin sobre casos especficos, vea Crear Reglas de VPN (pag 748).
Para establecer opciones de Accin para la accin Usar VPN en reglas de Acceso de
Cortafuegos
1. Pulse botn derecho en la celda Action en una regla de Acceso del Cortafuegos y
seleccione Use IPsec VPN (Usar VPN IPsec).
2. Configure las opciones como se explica en la tabla siguiente.
Tabla 65: Opciones de Accin Usar VPN IPSec
Opciones Explicacin
Conexiones entrantes: El trfico se permite si llega a travs de una VPN
especificada. Si no, la regla no se comprueba y el proceso contina con la
Apply (Aplicar) siguiente regla.
Conexiones salientes: El trfico se enva a travs de una VPN especificada. Si la
conexin no est permitida en la configuracin de la VPN, se descarta.
Conexiones entrantes: El trfico se permite si se est usando la VPN
especificada. Si no, la conexin se descarta.
Enforce (Imponer)
Conexiones salientes: El trfico se enva a travs de una VPN especificada. Si el
trfico no est permitido en la configuracin de la VPN, se descarta.
Trfico VPN: El dispositivo manda el trfico desde una VPN a otra. Si el trfico no
est permitido en la configuracin de la VPN, se descarta. Para ms informacin,
Forward (Reenviar) vea Enrutar Trfico Entre Tneles VPN (pag 772).
Otro Trfico: El trfico se enva a travs de una VPN especificada. Si el trfico no
est permitido en la configuracin de la VPN, se descarta.
The Selected IPsec
VPN (La VPN
La accin se aplica a una VPN especfica.
IPsec
seleccionada)
$ Client to Gateway
La accin se aplica al trfico de cliente VPN IPsec en cualquier VPN.
IPsec VPNs
3. (Opcional) Pulse en la pestaa Connection Tracking y establezca las opciones como se

explica en Definir Opciones de Accin Permitir para Cortafuegos (pag 523).
Editar Polticas 527
Definir Opciones de Accin Permitir para IPS

Puede usar las reglas de Acceso IPS para activar/desactivar la inspeccin del trfico
coincidente. Si se deshabilita la inspeccin profunda de paquetes, el trfico no se
comprobar contra ninguna regla de Inspeccin.
Si usa una de las plantillas por defecto como base para la poltica, la Inspeccin se habilita
por defecto para todos los protocolos soportados (con reglas de Continuacin), y puede
deshabilitarse para una regla especfica si es necesario. An as, debe asegurarse de que su
poltica personalizada enva todos los protocolos para ser inspeccionados.
Para establecer opciones de Accin para la accin Permitir en reglas de Acceso IPS
1. Pulse botn derecho en la celda Action (Accin) en una regla de Acceso IPS y
seleccione Allow (Permitir).
2. Haga doble click en la celda Action
3. Configure las opciones cmo se explican en la siguiente tabla.
Tabla 66: Opciones de Accin Permitir
Pestaa Opcin Explicacin

Deep Inspection Selecciona el trfico que cumple la regla para su comprobacin
Inspection (Inspeccin contra las reglas de Inspeccin de la poltica. El trfico se
(Inspeccin) Profunda de inspecciona segn el protocolo asociado al elemento Servicio en
Paquetes) la regla.
Definir Opciones de Accin Continuar en Reglas de Acceso

Las opciones especificadas se aplican a cualquier regla que comprueba el mismo paquete si
las reglas no tienen definiciones de regla especficas para esas opciones.
Para establecer opciones de Accin para la accin Continuar en las reglas de Acceso
IPS
1. Pulse botn derecho en la celda Action (Accin) en una regla de Acceso IPS y
seleccione Continue (Continuar).
2. Haga doble click en la celda Action.
3. Configure las opciones como se explica en la siguiente tabla.
Tabla 67: Opciones de Accin Continuar IPS

Deep Inspection Selecciona el trfico que cumple la regla para su comprobacin
Inspection (Inspeccin contra las reglas de Inspeccin de la poltica. El trfico se
(Inspeccin) Profunda de inspecciona segn el protocolo asociado al elemento Servicio en
Paquetes) la regla.
Override Collected
Values Set with
Seleccione esta opcin para activar las caractersticas en esta
Continue Rules
pestaa y anular cualquier opcin establecida en una regla
(Anular valores
Continuar anterior que compruebe las mismas conexiones.
Response establecidos con
(Respuesta) reglas Continuar)
Define qu respuesta automtica se muestra al Usuario cuando
User Response
una conexin http se rechaza o se pone en la lista negra. Para
(Respuesta de
ms informacin, vea Empezar con las Respuestas de Usuario
Usuario)
(pag 612).
Definir Opciones de Accin Descartar IPS

Para establecer opciones de Accin para la accin Descartar en reglas de Acceso IPS
1. Pulse botn derecho en la celda Action en una regla de acceso IPS y seleccione
Discard.
2. Doble click en la celda Action.
Tabla 68: Opciones de Accin Descartar IPS
Opcin Explcacin
Override Collected
Seleccionar la opcin para activar las caractersticas y anular
Values Set with
cualquier opcin establecida en una regla Continuar anterior que
Continue Rules (Anular valores
comprueba las mismas conexiones.
establecidos con reglas Continuar)
User Response (Respuesta de una conexin http se rechaza o se pone en la lista negra. Para
Usuario) ms informacin, vea Empezar con las Respuestas de Usuario
(pag 612).
Definir Opciones de Accin Negar IPS

Para establecer opciones de Accin para la accin Descartar en reglas de Acceso IPS
1. Pulse botn derecho en la celda Action en una regla de Acceso IPS y seleccione
Refuse.
2. Haga doble click en la celda Action.
3. Configure las opciones como se explican en la siguiente tabla.
Tabla 69: Opciones de Accin Negar IPS
Opcin Explicacin
Override Collected
Seleccionar la opcin para activar las caractersticas y anular
Values Set with
cualquier opcin establecida en una regla Continuar anterior que
comprueba las mismas conexiones.
User Response (Respuesta de una conexin http se rechaza o se pone en la lista negra. Para
Usuario) ms informacin, vea Empezar con las Respuestas de Usuario
(pag 612).
Definir Opciones de Logging en Reglas de Acceso

Las reglas pueden crear una entrada de log o una alerta cada vez que se cumplen. Por
defecto, se usan las opciones de logging establecidas en una regla previa de Continuar. Si
no existe, los Cortafuegos registran las conexiones, no as los sensores. Cada regla
individual puede configurarse para obviar los valores por defecto.
Nota El purgado de Logs puede ignorar las opciones de log borrando cualquier nmero
de entradas de logs generadas cuando se reciben en el Log Server.
Editar Polticas 529
Para establecer opciones de Logging en reglas de Acceso

1. Haga doble click sobre la celda Logging.
Tabla 70: Opciones de Logging en Reglas de Acceso
Opcin Explicacin
Seleccione la opcin para activar las caractersticas y
Override Collected Values Set with
anular cualquier opcin establecida en una regla
Continuar anterior que comprueba las mismas
conexiones.
Ninguno No se crea una entrada en el log.
Genera una entrada en el log que se muestra en el modo
Transitorio
Actual de Eventos en la vista de Logs pero no se
(Cortafuegos solo)
almacena.
Crea una entrada de log que se almacena en el servidor
Almacenado
de Log.
Nivel de Log
Genera una entrada de log que se muestra en la vista de
Esencial Logs, se salva para su uso, y se maneja como alta
(Cortafuegos solo) prioridad si la transferencia de log desde los Cortafuegos
al servidor de Log se interrumpe.
Dispara la alerta que usted haya aadido en el campo
Alerta
alerta.
Define la Alerta que se enva cuando se cumple la regla
(la alerta por defecto o personalidad creada en su
Alerta sistema). Seleccionando diferentes Alertas para diferentes
tipos de reglas se permite mayor escalabilidad en las
polticas.
Severidad Permite anular la severidad definida en el elemento Alerta.
No se crean entradas de log cuando las conexiones estn
No log
cerradas.
Tanto las conexiones abiertas como cerradas se loguean,
Log normal
pero la informacin no se recoge en el volumen del trfico.
Conexin Cerrada Tanto las conexiones abiertas como cerradas son logadas
(Cortafuegos solo) y se recogen en el volumen de trfico. Esta opcin no est
disponible para reglas que usen Alertas. Si quiere crear
Informacin de log
informes basados en el volumen de trfico, debe
seleccionar esta opcin para todas las reglas que
permiten el trfico que quiera incluir en su informe.
Definir Opciones de Autenticacin en Reglas de Acceso

Para establecer Opciones de Autenticacin para reglas de Acceso IPv4 en Cortafuegos
1. Haga doble click en la celda Authentication. El dilogo de Parmetros de Autenticacin
se abre.
Tabla 71: Parmetros de Autenticacin
Opcin Explicacin
Require Authentication
Los usuarios tienen que autentificarse. La respuesta se enva al
(Requiere
servicio apropiado de Autenticacin y se evala.
Autenticacin)
Method El Cortafuegos establece una conexin al sistema remoto y el
Firewall-Initiated
(Mtodo) software cliente, da un mensaje al usuario con su ID y
Authentication
contrasea. La respuesta se enva al servicio apropiado de
(Autenticacin iniciada
Autenticacin y se evala. Este mtodo requiere que el software
por el cortafuegos)
de cliente VPN se instale en el sistema remoto.
La autorizacin se concede para una nica conexin. Cada
conexin requiere que los usuarios introduzcan sus credenciales
Connection (Conexin) de nuevo. Esta opcin es til para garantizar el acceso
restringido a un servicio particular que no abre muchas
conexiones separadas.
Authorize
Permite conexiones desde la direccion IP del cliente hasta que
(Autorizar)
se alcanza el tiempo de Timeout. Elija esta opcin si quiere
Client IP (IP de cliente)
garantizar el acceso a varios servicios o a un servicio que abre
muchas conexiones durante una nica sesin.
Timeout (Tiempo de Tiempo hasta que la autorizacin del cliente IP expira. Por
espera) defecto el timeout se establece en 3.600 segundos.
Editar Polticas 531
Editar Reglas de Inspeccin

Prerrequisitos: Debe disponer de un elemento Poltica personalizado y privilegios para editarlo
Las reglas de Inspeccin activan el control para patrones de trfico especficos y definen qu
accin tomar el sistema cuando se encuentren. Las reglas de Inspeccin examinan toda la
carga del paquete a travs de toda la conexin, y actan cuando se descubre alguna amenaza.
Las reglas de acceso se aplican a aquellas conexiones que estn seleccionadas en las reglas
de Acceso. Las plantillas de IPS por defecto dirigen todo el trfico IP a dicha inspeccin.
La poltica de IPS contiene reglas tanto para el sensor como para el analizador al que el sensor
enva los datos. Los sensores examinan el trfico IPv4 e IPv6 contra los criterios definidos en los
elementos de Situacin. Los analizadores procesan los eventos detectados por el sensor
usando criterios de Situacin de Correlacin.
Los Cortafuegos trabajan de manera similar a los sensores, pero no envan nada a los
analizadores, de modo que no hay disponible correlacin de eventos. En los Cortafuegos la
inspeccin est disponible para conexiones IPv4 sobre protocolos HTTP, HTTPS, IMAP, POP3,
SIP, SMTP o SNMP.
Para aadir una regla de Inspeccin
ConfigurationConfigurationIPS desde el men.
2. Pulse botn derecho en una plantilla de Poltica, Poltica, o Sub-Poltica y seleccione la
accin Edit correspondiente del men. La poltica se abre para su edicin.
3. Seleccione la pestaa Inspection.
4. Ajuste las reglas que se aplican a la mayora del trfico. Vea Modificar el rbol de Reglas
de Inspeccin (pag 531).
5. Defina Excepciones detalladas a las Reglas principales. Los principales usos para las
excepciones son eliminar falsos positivos y activar la lista negra o Respuestas de Usuario
para patrones de trfico especficos. Vea Aadir Excepciones a las Reglas de Inspeccin
(pag 535).
Modificar el rbol de Reglas de Inspeccin

El rbol de Reglas en la pestaa Inspeccin del Cortafuegos y de las polticas de IPS permite
definir qu tipo de accin tomar el sistema cuando la Situacin coincida con el trfico y cmo
se va a registrar. Las excepciones de la tabla de abajo son comprobadas antes que el rbol de
Reglas.
En el rbol, los campos que tienen subcampos son elementos del Tipo de Situacin. Los
campos que no tienen subcampos son la situacin individual y elementos de Situacin de
Correlacin. El rbol de Reglas contiene todos los tipos de Situaciones asociadas a ellas.
Para Continuar
Cambiar las Opciones del rbol de Reglas de Inspeccin (pag. 532)
Tareas Relacionadas
Definir Opciones de Logging para Reglas de Inspeccin (pag. 533)
Aadir Situaciones al rbol de Reglas (pag. 534)
Eliminar Modificaciones del rbol de Reglas (pag. 535)
Cambiar las Opciones del rbol de Reglas de Inspeccin

La pestaa de Inspeccin en las polticas de Cortafuegos e IPS es la herramienta principal
para controlar la profundidad del paquete de inspeccin. Para editar estas reglas,
simplemente haga click y seleccione una Accin o Logging.
Todos los niveles del rbol son editables. Los Subelementos heredan los valores de sus
padres por defecto. Cualquier opcin que sea diferente de la de por defecto se considera
anulada. Si cambia el valor de un elemento que tiene subelementos, todos los subelementos
que estn establecidos para usar el valor por defecto, heredan este cambio. Todos los
subelementos que estn establecidos a una anulacin (override), continan igual.
Ejemplo El elemento padre y diez de los subelementos tienen la accin Permitir (Por defecto). A dos de los
subelementos se les establece la accin Permitir. Usted cambia el padre a la accin Terminar.
Diez subelementos cambian a Terminar (Por defecto). Dos subelementos continan usando
Permitir.
La imagen de abajo muestra cmo la accin anular est sealada en el rbol.
Ilustracin 186: Valores por Defecto y Anulaciones en el rbol
Anulaciones
Valores por defecto
En las listas de opciones, la opcin por defecto tambin est etiquetada, por ejemplo,
Permitir (por defecto).
Independientemente de las opciones en el rbol de reglas de una plantilla de alto nivel, es
posible cambiar cualquiera de las reglas del rbol en la poltica heredada. Para aadir reglas
de plantilla que no puedan ser modificadas con la herencia, aada las reglas como
Excepciones.
Tabla 72: Pestaa de Inspeccin - Panel de Reglas - Columna Accin
Opcin Explicacin
La definicin se ignora. Si las situaciones incluidas no estn referidas en las
Do Not Inspect Excepcin, los patrones de trficos contenidos en estas Situaciones no se
(No transfieren a los dispositivos y por lo tanto, no se comprueban con el trfico de red.
inspeccionar) Esto reduce la carga de trabajo del dispositivo. Esta accin solo est disponible en
el nivel ms alto del rbol.
Se permite continuar a las conexiones incluso cuando un patrn incluido se
encuentra en el trfico. Esta accin es til si quiere registrar o grabar conexiones sin
Permit (Permitir)
pararlas. La inspeccin contina, as otras Situaciones pueden comprobar la misma
conexin y ejecutar una accin diferente.
En los Cortafuegos, se para la conexin.
En los sensores, se para la conexin si es posible en la configuracin fsica - solo el
trfico que viaja a travs de una interfaz inline puede pararse directamente. El
trfico que se recoge a travs de una interfaz de captura puede terminarse cerrando
la conexin a travs de la interfaz Reset. Cuando esta accin se lanza, el trfico
encontrado no se sigue inspeccionando. Los sensores tienen un modo de
terminacin pasivo para tareas de pruebas donde las conexiones no se paran, pero
Terminate
creen una entrada de log fcilmente distinguible en su lugar. Este modo puede
(Terminar)
establecerse en el elemento Sensor o regla a regla en las opciones de
Excepciones.
Los analizadores no pueden parar directamente una conexin, y sus acciones se
restringen a poner en la lista negra el trfico en un Cortafuegos StoneGate o
sensor, y/o enviar una alerta. La accin Terminate lanza una advertencia en la
instalacin de la politica y se convierte en una Alerta si se usa con Situaciones de
Correlacin (las definiciones especficas del Analizador).
Editar Polticas 533
Tabla 73: Pestaa Inspeccin - Panel de Reglas - Columna Logging
Opcin Explicacin
Transitorio
Genera una entrada en el log que se muestra en el modo de Eventos Activos en la
(Cortafuegos
vista de Logs pero no se almacena.
solo)
Almacenado Crea una entrada en el log que se almacena en el Log Server.
Esencial Genera una entrada de log que se muestra en la vista de Logs, se salva para su
(Cortafuegos uso, y se maneja como alta prioridad si la transferencia de log desde los
solo) Cortafuegos al servidor de Log se interrumpe.
Alerta Dispara la alerta que se haya aadido en el campo alerta.
Opciones de Le permite grabar trfico y seleccionar una Alerta personalizada. Vea Definir
Logging Opciones de Logging para Reglas de Inspeccin (pag 533).
Tareas Relacionadas
Aadir Situaciones al rbol de Reglas (pag 534)
Eliminar Modificaciones del rbol de Reglas (pag 535)
Aadir Excepciones a las Reglas de Inspeccin (pag 535)
Definir Opciones de Logging para Reglas de Inspeccin

Las opciones de Logging en el rbol de Reglas contienen opciones adicionales en comparacin
con la lista principal que apareceal pulsar en la opcin Logging de un elemento. Las
capacidades son muy similares en Cortafuegos e IPS, pero los sensores IPS tienen
posibilidades adicionales para grabar el trfico (tenga en cuenta que los analizadores no
gestionan directamente el trfico de red, por lo cual no pueden grabarlo).
Para establecer opciones de logging
1. Pulse en la opcin Logging y seleccione Logging Options. Se abrir el dilogo de
pociones de Logging.
Tabla 74: Reglas de Inspeccin - Opciones de Logging
Opcin Explicacin
Override default value (Anular
Activa las opciones siguientes y pone la Regla en modo anular.
valores por defecto)
Tabla 75: Reglas de Inspeccin - Opciones de Logging (Continuacin)
Opcin Explicacin
Transitorio
Genera una entrada en el log que se muestra en el modo de
(Cortafuegos
Eventos Actuales en la vista de Logs pero no se almacena.
solo)
Crea una entrada en el log que se almacena en el Servidor de
Logging Almacenado
Logs.
Genera una entrada de log que se muestra en la vista de Logs,
Esencial
se salva para su uso posterior, y se maneja como de alta
(Cortafuegos
prioridad si la transferencia de log desde los Cortafuegos al
solo)
servidor de Log se interrumpe.
Alerta Lanza la alerta que se haya aadido en el campo alerta.
Pulse para elegiruna Alerta personalizada para el escalado de
alertas. Seleccionar diferentes alertas para diferentes tipos de
Alerta Seleccionar
reglas permite una mayor granularidad en las polticas de
escalado de alertas.
Almacena un extracto del paquete que se verifica. El tamao
Extracto
mximo de un extracto grabado es de 4 KB. Esto permite una
(Sensores solo)
vista rpida del payload en la vista de Logs.
Additonal Almacena el payload de los paquetes extrados del trfico. El
Payload (Carga payload recogido da informacin de algunos de los campos de
Registrar Adicional) log adicionales nombrados en Campos de Log Controlados por la
(Sensores y Opcin de Payload Adicional (pag 1015) dependiendo del tipo de
Cortafuegos) trfico.
Registra el trfico hasta el lmite establecido como longitud de
Registrar
registro. Esto permite almacenar ms datos que la opcin
(Sensores solo)
Extracto.
Longitud de Registro Establece la longitud del registro para la opcin Registro en
(IPS solo) bytes.
Nota Almacenar o ver el payload de los paquetes es ilegal en algunas jurisdicciones

debido a las leyes relacionadas con la privacidad de las comunicaciones
Aadir Situaciones al rbol de Reglas

Para aadir Situaciones personalizadas al rbol
Seleccione el Tipo de Situacin (ya incluidos en algn lugar del rbol) ms apropiado como
Situation Type en las propiedades de un elemento Situacin personalizado.
Tareas Relacionadas
Crear Nuevos Elementos Situacin (pag 597)
Editar Polticas 535
Eliminar Modificaciones del rbol de Reglas

Para eliminar modificaciones
Pulse botn derecho en un elemento del rbol y seleccione Reset Branch. El elemento sobre el
que ha hecho click y todos sus subelementos vuelven al valor por defecto.
Aadir Excepciones a las Reglas de Inspeccin

Las excepciones de inspeccin le permiten hacer cambios que no apliquen a todas las
conexiones y establecer algunas opciones (usando la accin Continuar) para Excepciones y
Reglas. Las excepciones tambin tienen opciones adicionales que no estn disponibles en el
rbol de Reglas.
Puede comprobar conexiones especficas basadas en direcciones IP de las mquinas en
comunicacin, el servicio usado y los interfaces lgicos de los sensores. Por ejemplo, se
necesita una excepcin para eliminar un falso positivo en el trfico entre dos hosts internos
sin deshabilitar la inspeccin completamente.
Puede establecer reacciones adicionales a coincidencias encontradas. Puede poner en la
lista negra conexiones en Cortafuegos o sensores StoneGate, y puede aadir respuestas de
usuario como notificaciones para algunos tipos de eventos.
Para definir una regla de Excepcin en Reglas de Inspeccin
Pulse botn derecho en una entrada de log y seleccione una de las opciones en el
submen Create Rule (Crear Regla). La regla se crea como una excepcin con los
detalles de coincidencia de la entrada de log.
Pulse botn derecho en la celda ID en una excepcin existente y seleccione Add Rule
Copie y pegue alguna regla de excepcin existente.
Copie y pegue una regla del rbol de reglas a la tabla de excepciones para comprobar las
mismas situaciones y opciones.
Copie y pegue una regla de acceso para comprobar la regla con el mismo origen, destino y
servicio.
2. Compruebe la regla con el trfico como se explica en Definir Qu Trfico Provoca una
Excepcin de Regla de Inspeccin (pag. 536).
3. Defina la excepcin que quiere aplicar como se explica en Definir Qu Accin toma una
Excepcin de Regla de Inspeccin (pag. 537).
4. (Opcional) Defina las opciones para crear logs y alertas como se explica en Definir
Opciones de Logging para Excepciones de Inspeccin (pag. 543).
Definir Qu Trfico Provoca una Excepcin de Regla de Inspeccin

Las reglas de inspeccin se comprueban en base a unos patrones definidos en elementos
de Situacin. El trfico se chequea contra todos los patrones de la poltica, y cuando
coincide con alguno, el elemento situacin se usa para determinar qu ocurre con el trfico.
Si ninguno coincide, se contina con las reglas del rbol.
Para definir cmo una regla de Inspeccin comprueba el trfico
Rellene las celdas como se explica en la siguiente tabla. La celda Time (Tiempo) es opcional;
las dems celdas siempre deben contener un valor.
Tabla 76: Celdas de Comprobacin en Reglas de Inspeccin
Celda Explicacin
Patrones de trfico que quiere que la regla verifique. La celda Situacin acepta
Situacin, Tipo de Situacin, Tag, y elementos de vulnerabilidad. Los tipos de
situacin, tags y vulnerabilidades se muestran como ramas del rbol de
Situation situaciones, Bajo las ramas, pueden verse situaciones individuales. Cada situacin
(Situacin) normalmente se lista ms de una vez porque hay formas alternativas de categorizar
las situaciones. El rbol de tipo de situacin contiene cada situacin solo una vez.
Las situaciones de Correlacin slo son usadas por los analizadores IPS. Los
sensores y Cortafuegos no correlan, as que ignoran las situaciones de Correlacin.
Hace que la regla coincida slo con las situaciones con la severidad especificada.
Por ejemplo, si su regla es general y comprueba un amplio rango de situaciones,
Severity
puede querer crear dos reglas similares: una para situaciones menos severas y
(Severidad)
otra para situaciones de mayor severidad. Es til en reglas que contienen Tags en
la celda de Situacin.
Si el sensor tiene ms de un interfaz lgico definido, puede aadir elementos de
Interfaz logico adicionales en esta celda para seleccionar qu reglas aplican a qu
Logical Interface
interfaces lgicos. Las reglas en las plantillas por defecto comprueban cualquier
(Interfaz Lgico)
interfaz lgica.
(IPS solo)
Para ms informacin, vea Definir Interfaces de Inspeccin de Trfico para
Sensores (pag 379).
Source (Origen) Hace coincidir la regla con una o ms direcciones IP. Cualquier elemento de la
categora de Elementos de Red se puede introducir en estas celdas. Tanto
Destination direcciones IPv4 como IPv6 son vlidas en estas celdas.
(Destino) Para ms informacin, vea Comenzar con la Definicin de Direcciones IP (pag
562).
Puede de manera opcional restringir el alcance de las reglas de Inspeccin usando
Protocol
el protocolo de comunicaciones como criterio de bsqueda. til en reglas que
(Protocolo)
contengan Tags en la celda Situacin.
Editar Polticas 537
Tabla 77: Celdas de Comprobacin en Reglas de Inspeccin (Continuacin)
Celda Explicacin
Limita la validez de la regla a un tiempo concreto. Durante este tiempo, la regla se
Time (Tiempo) comprueba. Fuera de este tiempo, la regla no se comprueba y se contina con la
(Opcional) siguiente regla. El tiempo se introduce en UTC. Para ms informacin, vea Limitar
el Tiempo que una Regla est Activa(pag 555).
Definir Qu Accin toma una Excepcin de Regla de Inspeccin

Para definir qu hace una regla de Inspeccin para comprobar el trfico
Pulse botn derecho en la celda Action y seleccione una de las opciones explicadas en la
siguiente tabla.
Tabla 78: Acciones de las Excepciones en Reglas de Inspeccin
Accin Explicacin
Las situaciones incluidas se deshabilitan para las conexiones coincidentes y la
inspeccin contina. Las situaciones incluidas en la regla Permitir se ignoran si
estn incluidas en reglas posteriores. Otras situaciones pueden todava coincidir
con la misma conexin y tomar una accin diferente.
Permit (Permitir)
Otras opciones para el manejo del trfico estn disponibles en las Opciones de
Accin. Vea Definir Opciones de Accin Permitir para Cortafuegos (pag 538) y
Definir Opciones de Accin Permitir de IPS en Excepciones de Inspeccin (pag
541).
Las opciones especificadas en una regla con esta accin se almacenan en
memoria mientras dure el proceso de comprobacin. Las opciones especificadas
se aplican a otras reglas que comprueben el mismo trfico, si la regla no tiene
definiciones de regla especficas para las mismas opciones.
Todas las caractersticas en la celda Opciones y en la accin Terminar pueden
establecerse usando reglas Continuar para Excepciones y el rbol de Reglas. Sin
Continue
embargo, el rbol de Reglas ignora las opciones de logging establecidas con las
(Continuar)
reglas Continuar, porque tienen un sistema de herencia separado para estas
opciones.
Otras opciones para el manejo del trfico estn disponibles en las Opciones de
Accin. Vea Definir Opciones de Accin Permitir para Cortafuegos (pag 538) y
Definir Opciones de Accin Permitir de IPS en Excepciones de Inspeccin (pag
541).
Tabla 79: Acciones de las Excepciones en Reglas de Inspeccin (Continuacin)
Accin Explicacin
En Cortafuegos, se para la conexin.
En sensores, se para la conexin si es posible en la configuracin fsica - slo el
trfico que viaja a travs de un interfaz inline puede pararse directamente. El trfico
que se recoge a travs de una interfaz de captura puede terminarse cerrando la
conexin a travs de la interfaz Reset. Cuando esta accin se lanza, el trfico
encontrado no se contina inspeccionando. Los sensores tienen un modo de
terminacin pasivo para propsitos de pruebas donde las conexiones no se paran,
sino que se crea una entrada de log fcilmente distinguible en su lugar. Este modo
puede establecerse en el elemento Sensor o regla a regla en las opciones de
Terminate
Excepciones.
(Terminar)
Los analizadores no pueden parar directamente una conexin, y sus acciones se
restringen a introducir el trfico en la lista negra de un Cortafuegos o Sensor
StoneGate, y/o enviar una alerta.
La accin Terminate lanza un aviso de instalacin de poltica y se convierte en una
Alerta si se usa con Situaciones de Correlacin (las definiciones especficas del
Analizador).
Hay ms opciones de gestin de trfico disponibles en las Opciones de Accin. Vea
Definir Opciones de Accin Terminar para un Cortafuegos (pag. 539) y Definir
Opciones de Accin Terminar en IPS (pag. 542).
Action Options
(Opciones de Abre un dilogo que le permite modificar las opciones especficas de la accin.
Accin) Vea las explicaciones de arriba para ms informacin.
Definir Opciones de Accin Continuar en Excepciones de Inspeccin

La accin Continuar puede establecer opciones para las acciones Permitir y Terminar en
reglas posteriores.
Para establecer opciones de Accin para la accin Continuar en reglas de Expecin de
Cortafuegos
1. Pulse botn derecho en la celda Action en una regla de Excepcin de un Cortafuegos y
seleccione Continue.
2. Haga doble click en la celda Action. Las opciones para esta accin aparecen.
3. Establezca las opciones como se explica en Definir Opciones de Accin Permitir para
Cortafuegos (pag 538) y Definir Opciones de Accin Terminar para un Cortafuegos
(pag 539).
Definir Opciones de Accin Permitir en un Cortafuegos

Las opciones para la accin Permitir en las reglas de Excepcin de un Cortafuegos permiten
controlar el escaneo de virus en detalle y establecer una Respuesta de Usuario para
coincidencias de escaneo de virus o Situaciones.
Para establecer opciones de Accin para la accin Permitir en reglas de Excepcin de
un Cortafuegos
seleccione Permit.
2. Haga doble click sobre la celda Action. Las opciones especficas de la accin
aparecen.
Editar Polticas 539
Tabla 80: Reglas de Excepcin - Opciones de Accin Permit

Override
Collected
Values Set with
Continue Seleccione la opcin para activar las caractersticas en la
Rules (Anular pestaa y anular cualquier opcin establecida anteriormente con
valores una regla Continue que compruebe las mismas conexiones.
establecidos con
reglas
Anti-Virus Continuar)
Define si el trfico que comprueba la situaciones es escaneado
en busca de virus. Por ejemplo, puede desactivar el escaneo de
virus para una URL especfica.
Esta opcin solo afecta al trfico ya seleccionado para el
Anti-Virus
escaneo anti-virus en las reglas de Acceso. Por defecto, todo el
trfico seleccionado para el escaneo anti-virus en las reglas de
Acceso se escanea a menos que se haga una excepcin
especfica.
Override
Collected
Values Set with
Continue Seleccione la opcin para activar las caractersticas en la
Rules (Anular pestaa y anular cualquier opcin establecida anteriormente con
valores una regla Continue que compruebe las mismas conexiones.
establecidos con
reglas
Continuar)
Define qu respuesta automatica se va a enviar al usuario
Response cuando se termine una conexin http debido a una coincidencia
(Respuesta) de situacin. Las opciones de respuesta son siempre especficas
de la situacin usada.
Cuando la regla coincide con la situacin Anti-Virus_Virus-
User Response Found, puede definir una respuesta para Virus Found.
(Respuesta de Cuando coincide con las Situaciones especiales de filtrado de
Usuario) URLs, puede definir una respuesta para URL not allowed.
Cuando coincide con otras Situaciones basadas en HTTP, puede
definir una respuesta para Connection terminated by inspection
rule.
Para ms informacin, vea Empezar con las Respuestas de
Usuario (pag 612).
Definir Opciones de Accin Terminar para un Cortafuegos

Las opciones de accin Terminar controlan la terminacin de una conexin y las notificaciones.
Para establecer opciones de Accin para la accin Terminar en Excepciones de
Inspeccin de un Cortafuegos
seleccione Terminate.
2. Haga doble click sobre la celda Action. Aparecern las opciones especficas de la accin.
3. Configure las opciones como se explica en las siguientes tablas.
Tabla 81: Reglas de Excepcin - Opciones de Accin Terminate - Pestaa Terminate
Opcin Explicacin
Seleccione la opcin para activar las caractersticas en la pestaa
y anular cualquier opcin establecida anteriormente con una regla
establecidos con reglas
Continue que compruebe las mismas conexiones.
Continuar)
Si selecciona SI, el trfico se para.
Si selecciona No, se crea una entrada de log especial Terminate
(passive) (Terminado(Pasivo)), pero el trfico contina. Esta
Terminates the connection
opcin es til para pruebas para asegurar que una regla
(Termina la conexin)
Terminate no coincide con trfico que no se desea terminar. La
entrada de log se genera independientemente de las opciones de
Logging de la regla.
Un reset TCP se enva a ambas partes de la comunicacin, as se
Notifies client and server with a les comunica que la conexin no ha tenido xito (como la accin
Reset (Informa al cliente y servidor Rechazar en reglas de Acceso). Se pueden establecer ms
con un reset) opciones en la pestaa Reset para terminar trfico que no sea
una conexin TCP.
Tabla 82: Reglas de Excepcin - Opciones de Accin Terminar - Pestaa Reset
Opcin Explicacin
Seleccione la opcin para activar las caractersticas en la
pestaa y anular cualquier opcin establecida anteriormente con
una regla Continue que compruebe las mismas conexiones.
Continuar)
Enva un
Esta opcin se usa solo si las opciones Terminar se establecen
mensaje de
para comunicar a las partes de la comunicacin un Reset TCP.
destino ICMP
Reset Action Cuando selecciona S, el dispositivo enva una notificacin ICMP
inalcanzable si
(Accin Reset) a las partes de la comunicacin cuando el trfico que no es TCP
no es una
termina. Cuando selecciona No, no se enva notificacin.
conexin TCP
Tabla 83: Reglas de Excepcin - Opciones de Accin Terminar - Pestaa Response
Opcin Explicacin
Continuar)
Editar Polticas 541
Tabla 84: Reglas de Excepcin - Opciones de Accin Terminar - Pestaa Respuesta (Continuacin)
Opcin Explicacin
cuando se termine una conexin http debido a una coincidencia
de situacin. Las opciones de respuesta son siempre especficas
Found, puede definir una respuesta para Virus Found.
User Response (Respuesta de
Cuando coincide con las Situaciones especiales de filtrado de
Usuario)
URLs, puede definir una respuesta para URL not allowed.
rule.
Usuario (pag 612).
Definir Opciones de accin Continuar para IPS en Excepciones de

Inspeccin
La accin Continuar puede establecer opciones para las acciones Permitir y Terminar en
reglas subsiguientes.
Para establecer opciones de Accin para la accin Continuar en Excepciones de IPS
1. Pulse botn derecho en la celda Action en una regla de Excepcin IPS y seleccione
Continue.
2. Haga doble click en la celda Action. Las opciones especficas de la accin aparecen.
3. Establezca las opciones segn se explica en Definir Opciones de Accin Permitir de
IPS en Excepciones de Inspeccin (pag 541) y Definir Opciones de Accin Terminar
en IPS (pag 542).
Definir Opciones de Accin Permitir de IPS en Excepciones de Inspeccin

Las opciones para la accin Permitir en Excepciones de inspeccin de IPS le permiten poner
trfica en la lista negra.
Para establecer opciones de Accin para la accin Permitir en Excepciones IPS
Permit.
2. Haga doble click sobre la celda Action. Las opciones de la accin aparecen.
3. Establezca las opciones como se explican en la siguiente table.
Tabla 85: Reglas de Excepcin - Pestaa Blacklist Scope
Opcin Explicacin
Continue Rules (Anular valores Seleccione la opcin para activar las caractersticas en la
establecidos con reglas pestaa y anular cualquier opcin establecida anteriormente con
Continuar) una regla Continue que compruebe las mismas conexiones.
Terminate the single connection Crea entradas que paran la comprobacin de las conexiones,
(Terminar nicamente la conexin) pero no se almacenan.
Block traffic between endpoints Crea entradas que paran la comprobacin de las conexiones y
(Bloquear el trfico entre bloquea el trfico entre direcciones IP durante el tiempo
endpoints) establecido.
Los Cortafuegos y sensores a los cuales se les envan las
Blacklist executors (Ejecutores de peticiones de la lista negra.
Lista Negra) Los componentes deben configurarse para recibir e implementar
las peticiones.
Definir Opciones de Accin Terminar en IPS

Las opciones de la accin Terminate (Terminar) controlan la terminacin de la conexin,
notificaciones, y la creacin de entradas en la lista negra que pueden enviarse desde los
sensores y analizadores a los Cortafuegos y Sensores StoneGate, para as bloquear el
trfico durante un periodo de tiempo determinado.
Para establecer opciones de Accin para la accin Terminar en Excepciones de IPS
Terminate.
2. Haga doble click sobre la celda Action. Las opciones especficas de la accin
aparecen.
3. Configure las opciones segn se explica en las siguientes tablas.
Tabla 86: Reglas de Excepcin - Opciones de Accin Terminar - Pestaa Terminate
Opcin Explicacin
Continue Rules (Anular valores Seleccione la opcin para activar las caractersticas en la pestaa
establecidos con reglas y anular cualquier opcin establecida anteriormente con una regla
Continuar) Continue que compruebe las mismas conexiones.
Si selecciona SI, el trfico se para.
Si selecciona No, se crea una entrada de log especial Terminate
(passive) (Terminado(Pasivo)), pero el trfico contina. Esta
Terminates the connection
opcin es til para pruebas para asegurar que una regla
(Termina la conexin)
Terminate no coincide con trfico que no se desea terminar. La
entrada de log se genera independientemente de las opciones de
Logging de la regla.
Un reset TCP se enva a ambas partes de la comunicacin, as se
Notifies client and server with a les comunica que la conexin no ha tenido xito (como la accin
Reset (Informa al cliente y servidor Rechazar en reglas de Acceso). Se pueden establecer ms
con un reset) opciones en la pestaa Reset para terminar trfico que no sea
una conexin TCP.
Tabla 87: Reglas de Excepcin - Opciones de Accin Terminar - Pestaa Reset
Opcin Explicacin
Continuar)
Enva un
Esta opcin se usa solo si las opciones Terminar se establecen
mensaje de
para comunicar a las partes de la comunicacin un Reset TCP.
Reset Action destino ICMP
Cuando selecciona S, el dispositivo enva una notificacin ICMP
(Accin Reset) inalcanzable si
a las partes de la comunicacin cuando el trfico que no es TCP
no es una
termina. Cuando selecciona No, no se enva notificacin.
conexin TCP
Editar Polticas 543
Tabla 88: Reglas de Excepcin - Opciones de Accin Terminar - Pestaa de Blacklist Scope
Opcin Explicacin
Continuar)
Terminate the single connection Crea entradas que paran la comprobacin de las conexiones,
(Terminar nicamente la conexin) pero no se almacenan.
Block traffic between endpoints Crea entradas que paran la comprobacin de las conexiones y
(Bloquear el trfico entre bloquea el trfico entre direcciones IP durante el tiempo
endpoints) establecido.
Los Cortafuegos y sensores a los cuales se les envan las
Blacklist executors (Ejecutores de peticiones de la lista negra.
Lista Negra) Los componentes deben configurarse para recibir e implementar
las peticiones.
Tabla 89: Reglas de Excepcin - Opciones de Accin Terminar - Pestaa Respuesta
Opcin Explicacin
Continuar)
cuando se termine una conexin http debido a una coincidencia
de situacin. Las opciones de respuesta son siempre especficas
Found, puede definir una respuesta para Virus Found.
User Response (Respuesta de
Cuando coincide con las Situaciones especiales de filtrado de
Usuario)
URLs, puede definir una respuesta para URL not allowed.
rule.
Usuario (pag 612).
Definir Opciones de Logging para Excepciones de Inspeccin

Las opciones de logging son muy similares en las polticas de Cortafuegos e IPS, pero las
polticas de IPS tienen opciones adicionales para el registro del trfico en los sensores.
Para establecer opciones de logging

1. Haga doble click en la celda Logging. Se abrir el dilogo de opciones de logging.
Tabla 90: Reglas de Excepcin - Opciones de Logging
Opcin Explicacin
Override default value (Anula el Activa las opciones a continuacin y configura la regla en modo
valor por defecto) de ignorar opciones preconfiguradas.
Tabla 91: Reglas de Excepcin - Opciones de Logging (Continuacin)
Opcin Explicacin
None (Ninguno) No se crea una entrada en el log.
Transient
(Transitorio) Genera una entrada en el log que se muestra en el modo de
(Slo Eventos Actuales en la vista de Logs pero no se almacena.
Cortafuegos)
Logging Stored Crea una entrada en el log que se almacena en el Servidor de
(Almacenado) Log.
Essential Genera una entrada de log que se muestra en la vista de Logs,
(Esencial) se salva para su uso, y se maneja como de alta prioridad si la
(Slo transferencia de log desde los Cortafuegos al servidor de Log se
Cortafuegos) interrumpe.
Alert (Alerta) Dispara la alerta que se haya aadido en el campo alerta.
Elija una Alerta personalizada para el escalado de alertas.
Select Seleccionando diferentes alertas para diferentes tipos de reglas
Alert (Alerta)
(Seleccionar) se permite una mayor granularidad en las polticas de escalado
de alertas.
Almacena un extracto del paquete coincidente. El tamao
Extracto
mximo de un extracto grabado es de 4 KB. Esto permite una
(Sensores solo)
vista rpida de la carga en la vista de Logs.
Additional Almacena carga de paquetes extrados del trfico. La carga
Payload (Carga recogida da informacin de algunos de los campos del log
Recording
Adicional) adicionales nombrados en Campos de Log Controlados por la
(Grabacin)
(Sensores y Opcin de Payload Adicional (pag 1015) dependiendo del tipo de
Cortafuegos) trfico.
Record Registra el trfico en el lmite que haya establecido como longitud
(Grabacin) de registro. Esto permite almacenar ms datos que la opcin
(Slo Sensores) Extracto.
Recording Length (Longitud de Establece la longitud de la grabacin para la opcin Grbacin en
Grabacin)(Slo IPS) bytes.
Nota Almacenar o ver la carga de los paquetes puede ser ilegal en algunas
jurisdicciones debido a las leyes de privacidad de las comunicaciones.
Editar Polticas 545
Editar Reglas NAT

Prerrequisitos: Debe tener un elemento Poltica personalizado y privilegios para editarlo
Los Cortafuegos pueden trabajar con NAT (traslacin de direcciones de red) para direcciones IPv4.
NAT reemplaza el origen y/o el destino de las direcciones IP en los paquetes con las direcciones
que elija. Las reglas NAT se comprueban para permitir las conexiones despus de comprobar las
reglas de Acceso. NAT se aplica antes de tomar una decisin de enrutamiento, de modo que la
traslacin de direcciones puede afectar cmo se enruta el trfico.
Operaciones Disponibles para NAT
Puede definir los siguientes tipos de NAT:
NAT Esttico de Origen, usado para traducir la direccin interna IP (real) de un host interno a
una direccin IP de la red externa.
NAT Esttico de Destino, usado para traducir la direccin IP pblica de un host interno a la
direccin IP privada, de forma que el host (servidor) puede recibir nuevas conexiones desde los
hosts externos. Permite traslacin de direcciones IP o de puertos (PAT), o ambos.
Una combinacin de los dos puntos anteriores permite traducir tanto origen como destino en la
misma conexin, por ejemplo, para permitir a hosts internos acceder a los servidores pblicos
de su organizacin usando direcciones IP pblicas.
NAT Dinmico de Origen, usado para traducir direcciones internas IP de varios hosts internos
en una o ms direcciones IP externas para mantener la estructura interna de la red y evitar
adquirir direcciones IP pblicas separadas para cada uno de los hosts.
NAT Dinmico de Destino, puede ser configurado para el trfico IPv4 como parte de la
funcionalidad de Pool de Servidores (no en reglas NAT). Vea Gestin del Trfico de Entrada
(pag 467).
Directrices
Directrices generales para aadir reglas de NAT:
Las reglas de NAT slo aplican a las conexiones que se gestionan en base a estados (se ha
seleccionado la opcin de Seguimiento de Conexiones en la regla de Acceso que permite la
conexin).
Las reglas de NAT se aplican a todas las conexiones; la traslacin NAT inversa para los
paquetes de respuesta es automtica, as que no se necesita definir reglas para esta conexin
de respuesta.
Las reglas de NAT se comprueban con las conexiones con los mismos criterios que las otras
reglas. La primera regla de NAT que verifique se aplica y las dems se ignoran.
Para impedir que una regla de NAT compruebe algunas conexiones, cree una regla para esas
conexiones que especifique no traducir y colquela sobre la regla anterior.
Por defecto, las reglas de NAT ignoran el trfico que entra o sale de un tnel VPN. Para
comprobar el trfico con las reglas de NAT, habilite NAT en las propiedades del elemento
Gateway.
Las decisiones de enrutamiento se hacen despus de la traslacin NAT, as que tenga en
cuenta que la traslacin de las direcciones de destino afectan a cmo el trfico se enruta. Si no
est incluido en las definiciones existentes, se deben aadir las direcciones traducidas en la
vista de enrutado.
Si se instala la poltica de Cortafuegos con la opcin Keep Previous Configuration
Definitions (Mantener Definiciones Previas de Configuracin) seleccionada, las reglas previas
de NAT se mantienen hasta que todas las conexiones abiertas que usen esas reglas se
cierren. En algunos casos, las viejas y nuevas reglas entran en conflicto, impidiendo la poltica
de instalacin, hasta que esa opcin se desactiva.
Para ms informacin, consulte la Gua de Referencia StoneGate Firewall/VPN Reference
Guide.
Tareas Relacionadas
Ejemplos de Regla NAT (pag 551)
Aadir una Regla de NAT

Para definir una regla de NAT
1. Aada la regla de una de las siguientes formas:
Pulse botn derecho en la celda ID de una regla NAT existente y seleccione Add Rule
Before or Add Rule After.
Copie y pegue alguna regla NAT existente.
Copie y pegue una regla de Acceso para poner a la regla el mismo Origen, Destino y
Servicio.
2. Compruebe la regla con el trfico como se explica en Definir Qu Trfico Comprueba
una Regla NAT (pag. 546).
3. Defina la traslacin que quiere aplicar como se explica en las siguientes secciones:
Sobreescribir la Direccin de Origen en Paquetes (pag. 547).
Sobreescribir la Direccin de Destino en Paquetes (pag. 550).
Definir Qu Trfico Comprueba una Regla de NAT

Las reglas de NAT se comprueban en base a direcciones IP y servicios, pero cada operacin
de traslacin de una direccin presenta restricciones especficas sobre lo que se puede
escribir en en las celdas (como se explica en la siguiente tabla). Considere el diseo de sus
reglas de NAT y de Acceso de manera separada, porque tratar de comprobar diferentes tipos
de reglas de una en una no es efectivo en la mayora de los casos, y no siempre es posible.
Para sobreescribir tanto el origen como el destino de direcciones IP en el mismo paquete
(por ejemplo, para logar el llamado NAT en horquilla), configure ambas traducciones de
direcciones en la misma regla de NAT.
Para definir cmo una regla de NAT comprueba el trfico
Rellene las celdas como se explica en la siguiente tabla.
Tabla 92: Celdas de Comprobacin en Reglas NAT
Celda Explicacin
Define las direcciones que quiere trasladar en las reglas de traslacin de direccin
origen. Se requiere un espacio de direccin continuo para la traslacin de
direcciones de origen IP estticas. ANY no es vlido como definicin de traslacin
de direccin esttica. Cualquier combinacin de direcciones IP es vlida en la
traslacin de una direccin de origen dinmico.
Source (Origen)
Slo se usa en las reglas de traslacin de direccin cuando la regla se verifica en
direcciones Destino. As cualquier combinacin de direcciones IP (incluyendo ANY)
es vlido en este caso.
Los elementos deben contener direcciones IPv4 para ser vlidos en reglas NAT.
No coincide con nada por defecto (se ignora la regla completa).
Define las direcciones que quiere traducir en las reglas de traslacin de direccin
destino. Se requiere un espacio de direccin continuo para la traslacin de
direcciones de destino IP estticas. ANY no es vlido como definicin de traslacin
de direccin esttica.
Destination
Slo se usa en las reglas de traslacin de direccin cuando la regla se verifica en
(Destino)
direcciones Origen. As cualquier combinacin de direcciones IP (incluyendo ANY)
es vlido en este caso.
Los elementos deben contener direcciones IPv4 para ser vlidos en reglas NAT.
Editar Polticas 547
Tabla 93: Comprobando Celdas en Reglas NAT (Continuacin)
Celda Explicacin
Define los puertos TCP o UDP que quiere trasladar para la traslacin de puertos de
destino. Un rango de puertos continuo es necesario para la traslacin del Puerto.
ANY no es vlido como definicin de traslacin de Puerto.
Slo se usa para la comprobacin de reglas en reglas de traslacin de direccin IP,
as cualquier combinacin de puertos (incluyendo ANY) es vlida en este caso.
Service (Servicio)
Los protocolos con modelos de conexin complejos (como FTP) requieren una
asignacin de direccin dinmica. Para aplicar NAT a tales protocolos, use un
Servicio que contenga el Agente de Protocolo correcto. El Agente de Protocolo
traduce el puerto o la informacin de la direccin que es enviada como paquete
entre el cliente y el servidor (en la capa de aplicacin).
Si la poltica es compartida por varios Cortafuegos, puede aadir elementos
Used On (Usado Cortafuegos en esta celda para restringir la validez de la regla NAT en los
En) Cortafuegos seleccionados.
(Opcional) Por defecto, se aplica en todos los cortafuegos que reciben la regla (la celda est
vaca).
Sobreescribir la Direccin de Origen en los Paquetes

Para traducir direcciones origen
1. Haga doble click en la celda de la regla NAT. El cuadro de dilogo de Traslacin de
Direccin de Red se abre.
2. Seleccione el tipo de traslacin como se explica en la siguiente tabla.
Tabla 94: Opciones de Reglas NAT - Tipos de Traslacin de Origen
Tipo de Traslacin Explicacin

Las direcciones origen en las conexiones coincidentes no se traducen. Los
None (Ninguna)
paquetes se envan con la direccin origen intacta.
Las direcciones origen en las conexiones coincidentes se traducen usando
un pool de direcciones IP ms pequeo que el nmero de direcciones IP de
origen incluido en la regla. Muchos hosts pueden usar la misma direccin IP,
y las conexiones se distinguen asignando un puerto TCP o UDP diferente
para cada conexin.
Tambin se usa para activar una configuracin Multi-Link de Salida (solo
Dynamic (Dinmica)
IPv4).
Dado que se necesitan puertos para mantener el seguimiento de las
conexiones, NAT dinmico solo trabaja con protocolos TCP y UDP. Si el
protocolo usado en las comunicaciones no se transporta sobre TCP o UDP,
las aplicaciones de comunicaciones deben encapsular los paquetes en TCP
o UDP (NAT traversal) para comunicarse mediante NAT dinmico.
Las direcciones origen en las conexiones coincidentes se traducen usando el
mismo nmero de direcciones IP como posibles direcciones de origen
Static (Esttica)
originales existan. Cada direccin IP traducida se corresponde con una
direccin IP original.
3. Si selecciona una operacin de traslacin de direccin, configure las opciones

adicionales de acuerdo al tipo de operacin:
Definir Opciones de Traslacin de Origen Esttico (pag 548).
Definir Opciones de Traslacin de Origen Dinmico (pag 549).
Definir Opciones de Traslacin de Origen Esttico

Ilustracin 187: Traslacin de Direccin de Red - Pestaa Origen con Traslacin Esttica Seleccionada
Tabla 95: Opciones de Reglas NAT - Opciones de Traslacin de Origen Esttico
Opcin Explicacin
Las direcciones IP que quiere cambiar con esta traslacin de direccin. Se
Original definen en la celda Origen de la regla NAT y se muestran solo para su
referencia; no es posible editar las direcciones Originales desde aqu.
Las direcciones IP que quiere que NAT escriba en los paquetes. El espacio de
direcciones traducido debe tener exactamente el mismo nmero de direcciones
IP que el espacio de direcciones original, ya que cada direccin original tiene
Translated una correspondencia fija en el espacio de direcciones traducido.
(Traducida) Haga click en Select (Seleccionar) para usar un elemento de red existente para
definir las direcciones IP.
Haga click en Address (Direccin) para escribir manualmente la direccin IP o
(sub)red que quiere usar para la traslacin de direcciones.
Permite al Cortafuegos contestar las consultas de direcciones relacionadas con
las direcciones traducidas. Para que esto funcione, la direccin IP original de
Use Proxy ARP todos los hosts cuya direccin IP se traduce debe incluirse en las definiciones
(Usar Proxy ARP) de direccin (por ejemplo, un elemento de Red) bajo la interfaz correcta en la
(Slo IPv4) vista de Enrutamiento. Esta opcin se requiere en la mayora de los casos, pero
no debe activarse para direcciones IP que ya estn en uso por cualquier
equipamiento en las redes conectadas directamente.
Editar Polticas 549
Definir Opciones de Traslacin de Origen Dinmico

Ilustracin 188: Traslacin de Direccin de Red - Pestaa Origen con Traslacin Dinmica
Seleccionada
Tabla 96: Opciones de Regla NAT - Opciones de Traslacin de Origen Dinmico
Opcin Explicacin
El pool de direcciones IP usadas para la traslacin. El tamao mnimo para el
pool es de una direccin IP. El nmero de direcciones IP requeridas depende de
cuntos puertos permita que use la traslacin de direcciones y cuntas
conexiones concurrentes sean manejadas por la traslacin de direcciones
dinmica en periodos de tiempo pico. Si los pares direccin/puerto IP se agotan,
no pueden abrirse nuevas conexiones antes de que otras se cierren.
Las direcciones IP usadas para NAT no deben estar en uso en la red, ya que
IP Address Pool
esto creara un conflicto de direccionamiento IP. De cualquier modo, la direccin
(Pool de Direcciones
IP propia del cortafuegos (la CVI en los clsters) puede usarse oara la traslacin
IP)
de direcciones si no hay direcciones IP libres disponibles (asegrese de que su
rango de puertos seleccionado no se solapa con los puertos de comunicaciones
que el cortafuegos utiliza en estas direcciones).
Haga click en Select para usar un elemento de red existente para definir la
direccin IP.
Haga click en Address para escribir manualmente la direccin IP o (sub)red
que quiere usar para la traslacin de direcciones.
First Port To Use
El comienzo del rango de puerto para la traslacin de direccin IP. Por defecto
(Primer Puerto a
el principio del rango de Puertos libres es 1024.
Usar)
Last Port To Use
El final del rango de Puerto para la traslacin de direccin IP. Por defecto, el
(Ultimo Puerto a
valor ms alto posible es el 65535.
Usar)
Permite al Cortafuegos contestar las consultas de direcciones relacionadas con
las direcciones traducidas. Para que esto funcione, la direccin IP original de
Use Proxy ARP todos los hosts cuya direccin IP se traduce debe incluirse en las definiciones
(Usar Proxy ARP) de direccin (por ejemplo, un elemento de Red) bajo la interfaz correcta en la
(Slo IPv4) vista de Enrutamiento. Esta opcin se requiere en la mayora de los casos, pero
no debe activarse para direcciones IP que ya estn en uso por cualquier
equipamiento en las redes conectadas directamente.
Sobreescribir la Direccin de Destino en Paquetes

Para trasladar direcciones de Destino
1. Haga doble click sobre la celda NAT en la regla de NAT. Se abrir el cuadro de dilogo
de Traslacin de Direcciones de Red.
Ilustracin 189: Traslacin de Direcciones de Red - Pestaa Destino
2. Seleccione el tipo de traslacin segn se explica en la siguiente tabla
Tabla 97: Opciones de Regla NAT - Pestaa Destino
Opcin Explicacin
Translate Destination (Traducir Seleccione si quiere traducir direcciones IP destino. Si no
Destino) selecciona esta opcin, las direcciones IP no se traducen, de modo
(Opcional) que los paquetes se envan con sus direcciones destino intactas.
Las direcciones IP que quiere cambiar con esta traslacin de
direccin. Se definen en la celda Origen de la regla NAT y se
Original
muestran aqu slo para su referencia; no es posible editar las
direcciones Originales desde aqu.
Las direcciones IP que quiere que la traslacin de direcciones
IP Addresses escriba en los paquetes. El espacio de direcciones traducido debe
(Direcciones tener exactamente el mismo nmero de direcciones IP que el
IP) espacio de direcciones original, ya que cada direccin original tiene
Translated
una correspondencia fija en el espacio de direcciones traducido.
(Traducida)
Haga click en Select (Seleccionar) para usar un elemento de red
existente para definir las direcciones IP.
Haga click en Address (Direccin) para escribir manualmente la
direccin IP o (sub)red que quiere usar para la traslacin de red.
Editar Polticas 551
Tabla 98: Opciones de Regla NAT - Pestaa Destino (Continuacin)
Opcin Explicacin
Permite al Cortafuegos contestar las consultas de direcciones
relacionadas con las direcciones traducidas. Para que esto
funcione, la direccin IP original de todos los hosts cuya direccin
IP se traduce debe incluirse en las definiciones de direccin (por
Automatic proxy ARP (Proxy
ejemplo, un elemento de Red) bajo la interfaz correcta en la vista
ARP Automtico) (solo IPv4)
de Enrutamiento. Esta opcin se requiere en la mayora de los
casos, pero no debe activarse para direcciones IP que ya estn en
uso por cualquier equipamiento en las redes conectadas
directamente.
Seleccione si quiere traducir puertos destino. Si no selecciona esta
Translate Destination Port
opcin, los puertos no se traducen, as que los paquetes se envan
(Traducir Puerto Destino)
con el puerto de destino intacto.
Los puertos que quiere cambiar con la traslacin de direccin. Se
definen en el elemento Servicio en la celda Servicio de la regla NAT
Original
y se muestran solo para su referencia; no es posible editar los
puertos originales aqu.
IP Ports (Puertos
El puerto o rango de puertos que quiere que la traslacin de
IP)
direccin escriba en los paquetes. Si introduce un rango de
Translated
puertos, debe tener exactamente el mismo nmero de puertos que
(Traducido)
haya en el Original (por ejemplo, 1-1023 se podra traducir a 50001-
51023).
Ejemplos de Reglas de NAT

Ejemplo de Regla de Traslacin de Origen Esttica
Este ejemplo muestra una traslacin de direccin esttica que traduce las direcciones de
una red a direcciones IP de otra red. En este ejemplo, el NAT se utiliza para acceder a un
servidor particular de Internet.
Ilustracin 190: Escenario Ejemplo
Tabla 99: Celdas de Coincidencia de la Regla NAT de Ejemplo
Origen Destino Servicio

192.168.1.0/24 213.28.200.140 HTTP
Tabla 100: Opciones de NAT del Ejemplo
En la traslacin de una direccin esttica usando redes completas, cada direccin IP origen
original tiene un par traducido esttico. Por ejemplo aqu, el host 192.168.1.6 siempre se
traduce a 193.25.25.6 y el host 192.168.1.11 siempre se traduce a 193.25.25.11.
Ejemplo de Regla de Traslacin de Origen Dinmica

Este ejemplo muestra la traslacin de una direccin dinmica que traduce las direcciones de
una red interna a una nica direccin externa para prosito de navegacin web general.

192.168.1.0/24 213.28.200.140 HTTP
Editar Polticas 553
Ilustracin 192: Ejemplo de Configuraciones de NAT
En la traslacin de direcciones dinmicas, varias direcciones IP de origen se traducen usando

un pequeo pool de direcciones traducidas con ayuda de la traslacin de puertos. Cada
conexin de cliente usa un puerto diferente de una direccin IP que se comparte entre
diferentes conexiones. Puesto que cada cliente reserva un puerto, el nmero mximo de
conexiones simultneas para una operacin NAT dinmica se puede calcular multiplicando el
nmero de direcciones IP por el nmero de puertos del rango. Cada puerto y direccin IP debe
estar libre de cualquier otro uso (las conexiones duplicadas no pueden cruzar el cortafuegos de
manera satisfactoria).
Ejemplo de Regla de Traslacin de Destino

Este ejemplo muestra una traslacin de direccin esttica que traduce la direccin IP externa
(213.28.200.140) de un servidor web a la direccin interna del servidor (192.168.1.201).

ANY 213.28.200.140 HTTP
Ilustracin 194: Ejemplo de Parmetros de NAT
Ejemplo de una Regla de Traslacin Combinada de Origen y Destino

En este ejemplo, se configurar el llamado hairpin NAT (NAT en horquilla). Los clientes de
la red interna (192.168.1.0/24) contactan con el servidor web pblico de la organizacin
usando la IP pblica (213.28.200.140). La direccin del servidor externo se traduce a una
direccin interna (192.168.1.201) que pertenece a la misma red interna que los clientes que
estn en contacto. La traslacin de la direccin origen se usa para evitar respuestas del
servidor a la direccin IP original del cliente, dado que las respuestas son enrutadas
directamente en la red local en lugar de atravesar el cortafuegos, y las conexiones no
funcionan sin el NAT inverso que proporciona el cortafuegos.

192.168.1.0/24 213.28.200.140 HTTP
Editar Polticas 555
Ilustracin 196: Ejemplo de Parmetros de NAT
Los parmetros de NAT de cada pestaa no cambian en absoluto de los usados cuando se
aplica traslacin de origen o de destino a las conexiones que coinciden. La clave es que ambas
definiciones deben estar definidas en la misma regla de NAT, ya que no se considerar ninguna
otra regla NAT despus de que se cumple la primera.
Limitar el Tiempo que una Regla est Activa

Se puede especificar si las reglas de Acceso y de Excepcin de Inspeccin son efectivas

durante ciertos das o perodos del da nicamente. Si no especifica cuando est activa una
regla (la celda Time est vaca), la regla siempre estar activa.
Para especificar el tiempo de validez de una regla

1. Pulse doble click sobre la celda Time de una regla. El dilogo de validez del tiempo de la
regla (Rule Validity Time) se abre.
Ilustracin 197 Tiempo de validez de una regla
2. Seleccione el Mes (Month) durante el cual la regla ser efectiva.

3. Seleccione uno de los siguientes:
Days of Week (Das de la Semana): crea un esquema semanal.
Days of Month (Das del Mes): crea un esquema mensual.
4. En Day (Da), seleccione el principio y el final del perodo durante el cual la regla se
aplicar.
5. En Time (Tiempo), especifique las horas del da durante el cual la regla se aplicar.
Nota El tiempo se introduce en UTC, as que debe calcular qu da y hora en UTC se

corresponden con la hora que quiere establecer. Recuerde que UTC no se ajusta al
horario de verano.
6. Haga click en OK.
Validar Reglas Automticamente

Puede validar las reglas de una poltica automticamente en cualquier momento cuando vea
o edite una poltica en la vista de editar polticas. Tambin puede validar la poltica cuando
instale o actualice la poltica. En ambos casos, debe seleccionar qu casos se van a
chequear en la poltica.
Para validar una poltica

1. Comience la validacin de la poltica de una de las siguientes maneras:
Si la poltica est abierta en la vista de Edicin de Polticas, pulse sobre el icono de
herramientas y seleccione Validate (Validar).
Si est instalando o actualizando la poltica y abre el dilogo de Propiedades de Tarea,
asegrese de que la opcin Validate Policy before Upload (Validar Poltica Antes de
Cargarla) est seleccionada y haga click en Select Settings (Seleccionar Opciones).
Ilustracin 198 Dilogo de Validacin de Poltica
2. (Opcional; disponible en la vista de Edicin de Poltica) Seleccione el dispositivo sobre

el cual quiere instalar la poltica para obtener resultados ms exactos.
La seleccin del dispositivo objetivo se usa para resolver los Alias de los elementos
cuando se valida una poltica.
Si no hay ningn objetivo seleccionado, todos los problemas relativos a la configuracin
de dispositivo no se comprobarn (por ejemplo, las partes de la configuracin de VPN).
3. (Opcional) Modifique los Validation Settings (Parmetros de Validacin) (los tipos de
problemas que se ccomprueban). Vea Seleccionar Parmetros de Validacin de una
Regla (pag 558).
Editar Polticas 557
4. (Opcional) Haga click en Save as Default (Salvar como Valores por Defecto) si quiere
salvar los parmetros seleccionados para establecerlos por defecto en futuras validaciones
de polticas.
Tareas Relacionadas
Obviar las Opciones de Validacin por Defecto en Reglas

Las propiedades de regla le permiten ver informacin sobre la regla especfica y seleccionar los
parmetros que se aplican a dicha regla cuando la poltica se valida. Los parmetros
especficos de la regla anulan a las opciones de validacin por defecto de su administrador.
Para seleccionar los Parmetros de Validacin de una Regla

1. Haga doble click sobre la celda ID de la regla.
2. Cambie a la pestaa Validate (Validar).
Ilustracin 199 Dilogo de Propiedades de Regla - Pestaa Validate
3. Modifique los Parmetros de Validacin. Vea Seleccionar Parmetros de Validacin de

una Regla (pag 558).
Los parmetros de Validacin seleccionados se aplicarn a esta regla la prxima vez que se
valide la poltica. Se aade una marca verde a la celda ID de la regla para indicar que los
parmetros de validacin de la regla son diferentes a los de toda la poltica.
Seleccionar Parmetros de Validacin de una Regla

Tabla 104: Opciones de Validacin de una Regla
Opcin Explicacin
General Checks
Encuentra combinaciones de opciones generales no vlidas.
(Comprobaciones Generales)
Invalid Settings
(Parmetros Encuentra definiciones incorrectas o incompletas.
Invlidos)
Missing Definitions
Comprueba que haya una definicin en todas las celdas de
(Definiciones No
comprobacin obligatorias (Origen, Destino y celdas de Servicio)
Encontradas)
Routing Definitions
Check (Definiciones de
Configuration Comprueba definiciones de enrutamiento.
Enrutamiento) (Slo
/Configuracin de IPS)
comprobacin) NAT and Routing
Definitions
(Definiciones NAT y Comprueba definiciones de NAT y enrutamiento.
Enrutamiento) (Slo
Cortafuegos)
VPN Definitions
(Definiciones VPN) Comprueba las configuraciones VPN en la regla.
(Slo Cortafuegos)
Duplicate Rules
Comprueba si hay reglas idnticas en la poltica.
(Reglas Duplicadas)
Analyze Rules
Unreachable Rules
(Reglas de Anlisis) Encuentra reglas que estn en una posicin en la que nunca se
(Reglas No
comprobarn.
Alcanzables)
Tareas Relacionadas
Validar Reglas Automticamente (pag 556)
Problemas de Validacin de una Poltica

Si la validacin de la poltica encuentra algn problema, los problemas detectados aparecen
en el panel de Problemas de la vista de Edicin de la Poltica o en la pestaa que muestra el
progreso de instalacin de la poltica.
Ilustracin 200: Panel de Problemas Encontrados

Editar Polticas 559
Para ver una configuracin en la que se encontr un problema de validacin

Haga doble click en el problema. Se muestra la parte relevante de la configuracin.
En las reglas, la celda ID muestra el estado de los problemas de validacin. Si se encuentran
problemas para la regla, en la celda ID aparece un tringulo amarillo con una exclamacin. Si
los Parmetros de Validacin anulan a los de Validacin de toda la poltica, aparecer en la
celda ID una marca verde (vea Anular Opciones de Validacin por Defecto en Reglas (pag
557) para ms informacin).
Ilustracin 201 Reglas con Casos de Validacin o Parmetros de Validacin de Reglas Especficos
Regla en la que se ha
Encontrado un problema de
validacin
Regla con parmetros

de Validacin modificados
Para continuar:
Solucione los problemas indicados.
Tareas Relacionadas
Deshabilitar un Aviso de Validacin de una Regla (pag 559).
Excluir Reglas de la Validacin de una Poltica (pag 559).
Anular Opciones de Validacin por Defecto en Reglas (pag 557).
Deshabilitar un Aviso de Validacin de una Regla

Puede elegir que un problema listado en el panel de problemas no se vuelva a comprobar
para una regla.
Para excluir un problema de validacin en una regla

Haga click derecho en la regla en el panel de problemas y seleccione Ignore Issue Type for a
Rule (Ignorar Tipo de Problema para una Regla).
El tipo de problema no se volver a comprobar para la regla. Una marca verde se aade a la
celda ID de la regla para mostrar que los Parmetros de Validacin no son los mismos que
los de la poltica.
Puede cambiar la seleccin general de validacin de casos para una regla en las propiedades de
regla. Vea Anular Opciones de Validacin por Defecto en Reglas (pag 557).
Excluir Reglas de la Validacin de una Poltica

Si no quiere validar una regla en la poltica, puede excluirla.
Para excluir una regla de la validacin de una poltica

Pulse botn derecho en la regla en el panel de problemas y seleccione Disable All Issues for
the Rule (Deshabilitar todos los casos para la Regla).
La regla no se comprobar cuando se valide la poltica. Una marca verde se aade a la celda
ID de la regla mostrando que los parmetros de validacin de la regla no son los mismos que
los de la poltica.
Aadir Comentarios a las Polticas

Puede aadir dos tipos de comentarios a las polticas de cortafuegos e IPS:

La celda comentario en cada regla le permite escribir comentarios en la regla concreta,
por ejemplo, para registrar por qu se aadi la regla. Haga doble click en la celda para
editar el texto.
En las tablas de reglas puede insertar reglas de comentarios entre reglas a travs del
men de botn derecho de las reglas. Las reglas entre comentarios se pueden convertir
en secciones desplegables bajo los comentarios para estructurar visualmente la poltica.
Haga doble click en la fila para editar el texto. Puede establecer el color de cada regla de
comentario a travs del submen Colores en el men de botn derecho de la regla de
comentario.
La longitud mxima de ambos tipos de comentarios es de 249 caracteres.
Cambiar Reglas por Defecto

En la mayora de los casos, las plantillas y las polticas se heredan de las plantillas por
defecto del sistema. De cualquier modo, no es posible modificar estos elementos. Si
necesita modificar las plantillas por defecto, puede crear una copia.
Las actualizaciones de version y las actualizaciones dinmicas pueden requerir cambios en
las reglas de las plantillas por defecto. Estos cambios no se aplican a ninguna copia de las
plantillas. Debe modificar las copias manualmente para asegurarse de que las
comunicaciones en el sistema continan estando permitidas (cortafuegos) y la inspeccin
contina llevndose a cabo (IPS).
Para crear una versin personalizada de una plantilla por defecto

1. Pulse botn derecho en la plantilla y seleccione NewDuplicate (NuevoDuplicado).
2. Guarde la copia de la plantilla con un nombre diferente.
3. Pulse botn derecho en las polticas existentes que deban usar la plantilla modificada y
seleccione Properties (Propiedades).
4. Seleccione su copia de la plantilla en el panel Template (Plantilla) y pulse OK.
Precaucin La operacin de los dispositivos puede verse seriamente afectada si las

modificaciones de las reglas por defecto son incorrectas.
Definir Direcciones IP 561
CAPTULO 39
DEFINIR DIRECCIONES IP
Las direcciones IP se definen como elementos en un sistema para permitir la reutilizacin

de las mismas definiciones en cualquier nmero de configuraciones para cualquier tipo de
componente en el sistema. Cualquier elemento que represente al menos una direccin IP
es un Elemento de Red y puede ser usado para definir direcciones IP en polticas (con
algunas restricciones).
Comenzar con la Definicin de Direcciones IP (pag. 562)

Definir Direcciones IP como Elementos (pag. 563)
Usar Elementos de Funcionalidades Especficas en Polticas (pag. 571)
Comenzar con la Definicin de Direcciones IP

Los elementos que puede usar para definir direcciones IP se llaman Elementos de Red (no
debe confundirse con el elemento Red, el cual define una red IP). Cada elemento puede
insertarse en varios lugares en las reglas de Acceso, Inspeccin y NAT (como origen y
destino del trfico) y en muchos otros lugares donde necesite definir direcciones IP, por
ejemplo, en enrutamiento y filtro de logs.
Hay elementos en el sistema cuya nica misin es la de definir una direccin IP. Los
elementos creados para configurar una herramienta en el sistema tambin pueden usarse en
polticas (con algunas limitaciones) si representan una direccin IP.
Para acceder a los elementos de red, seleccione ConfiguracinConfiguracinFirewall
o ConfiguracinConfiguracinIPS del men y expanda los Elementos de Red del
rbol de elementos.
Para crear/modificar elementos:
Pulse el icono New (Nuevo) en una vista que muestre los Elementos de Red.
Pulse botn derecho en la categora Elementos de Red o en una sub-categora en la vista
de rbol y seleccione New (Nuevo) del men que aparece.
Para crear una copia de un elemento existente, haga click derecho y seleccione
NewDuplicate (NuevoDuplicado).
Para modificar un elemento existente, pulse botn derecho en un elemento y seleccione
Properties (Propiedades). Tenga en cuenta que los elementos por defecto del sistema no
se pueden editar.
Para continuar
Las herramientas principales para la definicin de direcciones IP son los elementos
que slo existen para representar una o ms direcciones IP. Se explica en Definir
Direcciones IP como Elementos (pag 563).
Muchos elementos que se configuran como parte de alguna funcionalidad tambin se
pueden usar para representar direcciones IP. Los casos especiales relacionados con
estos elementos se explican en Usar Elementos de Funcionalidades Especficas en
Polticas (pag 571).
Definir Direcciones IP como Elementos

Los diferentes tipos de elementos le permiten definir de manera flexible cualquier conjunto de
direcciones IP:
Los Rangos de Direcciones le permiten definir cualquier rango contnuo de direcciones IP.
Vea Definir Elementos de Rango de Direccin (pag 563).
Los Alias representan un valor variable en las polticas. El valor de las direcciones IP se
rellena en base al dispositivo sobre el cual est instalada la poltica. Los Alias usan la misma
poltica en diferentes dispositivos. Vea Definir Elementos Alias (pag 564).
Las Expresiones le permiten definir cualquier conjunto de direcciones IP en un elemento
simple. Estn especialmente indicadas para excluir algunas direcciones IP de rangos por lo
dems continuos. Vea Definir Elementos de Expresin (pag 565).
Los Hosts representan un nico dispositivo en la red. Cada Host puede representar una o
ms direcciones IP individuales en las polticas. Vea Definir Elementos Host (pag 568).
Las Redes representan segmentos completes de red. Vea Definir Elementos Red (pag 569).
Los Routers representan un dispositivo pasarela en una red y se utilizan para configurar el
enrutamiento. Cada Router puede representar una o ms direcciones IP en las polticas. Vea
Definir Elementos Router (pag 570).
Algunos elementos que estn principalmente pensados para configurar ciertas caractersticas
tambin definen una direccin IP. Estos elementos pueden usarse en polticas, pero con algunas
consideraciones adicionales. Vea Usar Elementos de Funcionalidades Especficas en Polticas
(pag 571).
Definir Elementos de Rango de Direccin

Un elemento Rango de Direccin puede especificar cualquier rango continuo de direcciones IP.
Tabla 105: Propiedades de Rango de Direccin
Propiedad Descripcin
Name El nombre del elemento en el Management Center. Usado, por ejemplo, para resolver
(Nombre) direcciones IP a nombres de mquinas en los logs.
Cualesquiera dos direcciones vlidas IPv4 o dos direcciones vlidas IPv6. Debe
IP Range introducir el mismo tipo de direccin en ambos campos.
(Rango IP) El valor de la direccin a la izquierda (comienzo del rango) debe ser ms bajo que el
valor de la direccin a la derecha (final del rango).
Category
Las categoras le permiten filtrar la vista del Management Client. Vea Uso de
(Categora -
Categoras (pag 72).
Opcional)
Comment
Comentarios libres. Los comentarios se muestran en el dilogo de propiedades de los
(Comentario -
elementos y en la vista de informacin.
Opcional)
Definir Elementos Alias

Los Alias son como variables: pueden tener valores de direcciones IP diferentes en la
poltica dependiendo del dispositivo donde se vaya a instalar dicha poltica. Esto hace
posible crear reglas que son vlidas en varios dispositivos sin incluir todas las direcciones IP
en las polticas de los elementos. Los elementos Alias son especialmente tiles en Plantillas
de Poltica.
Tip Puede ver las direcciones IP que representan los Alias en la poltica de cada componente: cambie
la vista de la poltica al modo de detalles de red mediante el icono de Herramientas y seleccione
un componente de la lista que se aade a la barra de herramientas.
Algunos de los Alias por defecto del sistema reciben siempre sus valores directamente de
otras partes de la configuracin de cada dispositivo y no pueden ser modificados; estos Alias
empiezan con dos smbolos $$. Hay algunos Alias por defecto en el sistema que no reciben
ningn valor sin una accin previa, o le permiten aadir y cambiar valores por defecto. Estos
empiezan con un smbolo $, como todos los elementos que cree usted mismo. Para
descripciones de los alias por defecto, vea Alias Predefinidos (pag 943).
Tabla 106: Propiedades de los Alias
Name El nombre del elemento en el Management Center. Usado, por ejemplo, para
(Nombre) resolver direcciones IP a nombres de mquina en los logs.
Category
Las categoras le dan flexiblidad para filtrar la vista del Management Client. Vea Uso
(Categora -
de Categoras (pag 72).
Opcional)
Comment
Comentarios libres. Los comentarios se muestran en el dilogo de propiedades de
(Comentario -
los elementos y en la vista de informacin.
Opcional)
El valor que se usa cuando la poltica se instala sobre un component y no tiene un
Default Value
valor ms especfico para el Alias.
(Valor por
Si no hay valor por defecto, la traslacin por defecto devuelve un valor vaco.
defecto -
Si el Alias es el nico elemento en la celda de regla, la regla es invlida e ignorada
Opcional)
cuando la poltica est instalada (si ocurre aparece un aviso)
Component-
Specific
Los valores que sustituyen al Alias cuando se usa en polticas de los componentes
Values (Valores
mencionados. Si no hay un valor de traslacin especfico para un component, se
Especficos del
usa el valor por defecto.
Componente -
Opcional)
Definir Elementos Expresin

Los elementos Expresin le permiten combinar otros elementos de Red con operadores lgicos
para representar conjuntos complejos de direcciones IP.
Si desconoce los conceptos presentados aqu, le recomendamos leer el captulo de expresiones
en la Gua de Referencia Management Center Reference Guide antes de empezar a crear
elementos Expresin.
Las principales partes de las propiedades de Expresin se explican en la siguiente imagen.
Ilustracin 202: Propiedades del elemento Expresin
Los Operadores Lgicos en las Expresiones se resuelven en el siguiente orden (sin embargo,
los elementos dentro de los parntesis se evalan antes que los que estn fuera):
1. Negaciones.
2. Intersecciones.
3. Uniones.
Para editar la expresin

1. Seleccione el primer elemento en el panel de la izquierda.
2. Haga click en Add (Aadir).
3. Seleccione un operador lgico.
4. Seleccione el segundo elemento del panel izquierdo.
5. Haga click en Add (Aadir).
Repita los pasos para crear un expresin ms compleja. Las Expresiones pueden comenzar con
una operacin de negacin o una seccin con parntesis. Los operadores lgicos AND y OR
deben tener un elemento (o una seccin entre parntesis) a ambos lados del operador.
Puede tambin:
Pulsar con el ratn en la expresion para ver el cursor. Hacer click de nuevo o usar las flechas
para mover el cursor.
Cuando el cursor es visible, puede presionar Borrar o Espacio para eliminar un elemento (no
hay opcin de deshacer).
Tip Puede ver las direcciones IP reales que el elemento aade a la poltica: insertar la expresin en
una regla y activar el modo detalles de red a travs del icono de Herramientas.
Tabla 107: Propiedades de Expresin
Name El nombre del elemento en el Management Center. Usado, por ejmplo, para resolver
(Nombre) direcciones IP a nombres de mquinas en los logs.
Comment Comentario en texto libre para us referencia. El comentario se muestra en el dilogo de
(Comentario - Optional) Propiedades del element y en la vista de Informacin.
Category Las Categoras le permiten filtrar de forma flexible la vista de su Management Client.
(Categora - Optional) Vea Uso de Categoras (pag. 72).
Add Aade el element del panel superior izquierdo en la expression de abajo en la posicin
(Aadir) del cursor.
Si el element seleccionado en el panel derecho es un element Expresin, el botn
Expand/Compact
cambia la vista entre mostrar el element y mostrar la expression definida en el
(Expandir/Comprimir)
elemento.
Unin. Incluye todas las direcciones IP definidas en ambos elementos combinados por
la union.
Interseccin. Incluyo solo aquellas direcciones IP que tienen en comn los dos
elementos combinados por la interseccin.
Negacin. Incluye todas las direcciones IP except aquellas definidas en el element que
~
sigue a la negacin.
( Los parntesis agrupan partes de la expression. Los elementos dentro de los parntesis
) se evalan antes de compararlos con elementos fuera de los parntesis.
Ejemplo - Expresin que define cualquier otra red excepto una red interna (172.16.2.0/24): [negacin] net-
172.16.2.0/24.
Ejemplo - Expresin para seleccionar Hosts en la Red 172.17.1.0/24 de un elemento Grupo que
contiene Hosts de muchas redes diferentes: net-172.17.1.0/24 [interseccin] Intranet Hosts
Grupo.
Definir Elementos Grupo

El elemento Grupo puede ser usado en combinacin con cualquier nmero de elementos definidos
previamente dentro de un elemento simple. Los elementos pueden ser de diferentes tipos. Los
elementos Grupo hacen las polticas ms legibles y simplifican la edicin de configuraciones donde los
mismos elementos aparecen siempre juntos.
Ejemplo - Los elementos Host para servidores de ficheros pueden juntarse todos en un elemento Grupo, el cual
se usar en varias reglas en polticas tanto de cortafuegos como de IPS. Cuando se introduce un
nuevo servidor de ficheros, se aade al Grupo. Este cambio se propaga a todas las reglas de las
polticas que est usando el Grupo.
Tabla 108: Propiedades de Grupo
El nombre del elemento en el Management Center. Usado, por ejemplo, para
Name (Nombre)
resolver direcciones IP a nombres de mquina en los logs.
Comment
Comentarios libres. Los comentarios se muestran en el dilogo de propiedades de
(Comentario -
los elementos y en la vista de informacin.
Opcional)
Category
Las Categoras le permiten filtrar la vista en el Management Client. Vea Uso de
(Categora -
Categoras (pag. 72).
Opcional)
Resources
Selecciona elementos que quiere aadir al Grupo en este panel.
(Recursos)
Content
Los elementos que estn incluidos en el Grupo.
(Contenido)
Use for status
monitoring
Cuando se selecciona, aade el Grupo al rbol de Estado del Sistema si el grupo
(Usar para
contiene elementos que pueden ser monitorizados.
monitorizacin
de estado)
Definir Elementos Host

Un elemento Host representa la(s) direcciones IP de un dispositivo. Los elementos Host se
usan para representar dispositivos individuales que no tienen un rol adicional especial en la
configuracin del sistema (como por ejemplo, un servidor de autenticacin externo).
Tabla 109: Propiedades de Host - Pestaa General
(Nombre) resolver direcciones IP a nombres de mquinas en los logs.
IPv4 Address
(Direccin IPv4
- Opcional*) Direccin vlida nica IPv4 o IPv6. Puede introduce ambas direcciones o una sola.
IPv6 Address (*Es obligatorio introducir al menos una direccin IPv4 o IPv6.)
(Direccin IPv6
- Optional*)
Secondary IP
Si el dispositivo tiene direcciones IP adicionales, puede introducirlas en vez de crear
Addresses
elementos adicionales para otras direcciones IP.
(Direcciones
Las direcciones IP secundarias son vlidas en polticas y en enrutamiento. Puede
secundarias IP
aadir varias direcciones IPv4 e IPv6 (una a una)
- Opcional)
Category
Las categoras le permiten filtrar la vista de Gestin del Cliente. Vea Uso de
(Categora -
Categoras (pag. 72).
Opcional)
Tools Profile
(Perfil de Le permite aadir comandos al menu del elemento. Vea Aadir Comandos
Herramientas - Personalizados a los Mens de Elementos (pag 53).
Opcional)
Comentario Comentarios libres para referencias. El comentario se muestra en el dilogo de las
(Opcional) propiedades del elemento y en la vista Informacin.
Tabla 110: Propiedades de Host Pestaa de Monitorizacin
Selecciona el Servidor de Log que monitoriza este dispositivo (monitorizacin de
Servidor de Log terceros). Debe seleccionar un Servidor de Log para activar otras opciones. Vea
Empezar con la Monitorizacin de Dispositivos de Terceros (pag 112).
Activa el estado de Monitorizacin para este dispositivo. Debe seleccionar el Perfil
Monitorizacin de Prueba que contiene las definiciones para la monitorizacin. Cuando seleccione
de Estado esta opcin, el elemento se aade al rbol en la vista del Estado del Sistema. Vea
Crear un Perfil de Prueba (pag 121).
Activa la Recepcin de Logs para este dispositivo. Debe tambin seleccionar el
Recepcin de
Perfil de Log que contenga las definiciones para convertir las entradas de syslog a
Logs
entradas de log de StoneGate. Vea Recibir Logs de Dispositivos Externos (pag 113).
Activa la recepcin de Traps SNMP para este dispositivo. El dato que el dispositivo
Recepcin de
enva debe estar formado de acuerdo a las definiciones de MIB que estn activas en
Traps SNMP
el sistema. Vea Importar MIBs (pag 120).
Definir Elementos Red

Un elemento Red representa el espacio de direcciones IP para una red o subred completa.
Tabla 111: Propiedades de Red
El nombre del elemento en el Management Center. Usado, por ejemplo, para
Nombre
resolver direcciones IP a nombres de mquina en los logs.
Direccin
y Mscara
IPv4
Una direccin vlida IPv4 y s mascara de red y/o una direccin vlida IPv6 y su
(Opcional*)
longitud de prefijo. Puede introducir cualquiera de ellas o ambas.
Direccin IPv6
(*Es obligatorio o una direccin IPv4 y mascara de red o una direccin IPv6 y
y Longitud de
longitud de prefijo)
Prefijo
(Opcional*)
Categora Las Categoras le permiten filtrar flexiblemente la vista del Management Client. Vea
(Opcional) Uso de Categoras (pag. 72).
Comentario Comentarios libres para su referencia. El comentario se muestra en el dilogo de las
(Opcional) propiedades del elemento y en la vista de Informacin.
Broadcast y Incluye la direccin broadcast y la direccin de red en la definicin. Esta opcin solo
Direcciones de se usa en las celdas Origen y Destino de las reglas. En otros casos, las direcciones
Red Incluido broadcast y de red se incluyen siempre en la definicin.
Definir Elementos Router

Un elemento Router representa la direccin IP de una pasarela de siguiente salto en las
configuraciones de enrutamiento cuando el Router tiene una direccin IP fija. El elemento
tambin puede usarse para representar direcciones IP en reglas y en otras configuraciones.
Nota Si la interfaz hacia la pasarela de siguiente salto tiene una direccin IP dinmica,
debe aadirse un elemento especial Gateway (DHCP Assigned) directamente a travs
del men del elemento aadido automticamente Network (DHCP assigned) en la vista
de enrutamiento. El elemento Gateway (DHCP Assigned) no es vlido en polticas; en
su lugar use un elemento Alias correspondiente, vea Alias Predefinidos (pag 943).
Tabla 112: Propiedades de Router - Pestaa General
(Nombre) resolver direcciones IP a nombres en los logs.
IPv4 Address
(Direccin IPv4
- Opcional*) Direcciones vlidas nicas IPv4 o IPv6. Puede introduce ambas direcciones o slo
IPv6 Address una (*es obligatoria al menos una direccin IPv4 o IPv6.)
(Direccin IPv6
- Opcional*)
Secondary IP
Si el dispositivo tiene direcciones IP adicionales, puede introducirlas en vez de crear
Addresses
elementos adicionales para otras direcciones IP.
(Direcciones IP
Las direcciones IP secundarias son vlidas en polticas y en enrutamientos. Puede
secundarias -
aadir varias direcciones IPv4 e IPv6 (una a una)
Opcional)
Category
Las categoras le permiten filtrar flexiblemente la vista en el Management Client. Vea
(Categora -
Uso de Categoras (pag 72).
Opcional)
Herramientas
de Perfil Le permiten aadir comandos al menu del elemento. Vea Aadir Comandos
(Opcional) Personalizados a los Mens de Elementos (pag 53).
Comment Comentarios libres para su referencia. El comentario se muestra en el dilogo de las
(Comentario) propiedades del elemento y en la vista Informacin.
Tabla 113: Propiedades de Router Pestaa Monitorizacin
Log Server Selecciona el Servidor de Log que monitoriza este dispositivo (monitorizacin de
(Servidor de terceros). Debe seleccionar un Servidor de Log para activar otras opciones. Vea
Log) Empezar con la Monitorizacin de Dispositivos de Terceros (pag 112).
Status Activa el estado de Monitorizacin para este dispositivo. Debe seleccionar el Perfil
Monitoring de Prueba que contiene las definiciones para la monitorizacin. Cuando seleccione
(Estado esta opcin, el elemento se aade al rbol en la vista del Estado del Sistema. Vea
Monitorizacin) Crear un Perfil de Prueba (pag 121).
Tabla 114: Propiedades de Router - Pestaa Monitorizacin (Continuacin)
Logs Reception Activa la Recepcin de Log para este dispositivo. Debe seleccionar el Perfil de
(Recepcin de Logging que contenga las definiciones para convertir las entradas de syslog a
Logs) entradas de log de StoneGate. Vea Recibir Logs de Dispositivos Externos (pag 113).
SNMP Trap
Activa la recepcin de traps SNMP desde este dispositivo. El dato que el dispositivo
Reception
enva debe estar formateado de acuerdo a las definiciones MIB activas en el
(Recepcin de
sistema. Vea Importar MIBs (pag. 120).
Traps SNMP)
Tareas Relacionadas
Configurar el Enrutamiento (pag. 439)
Usar Elementos de Funcionalidades Especficas en Polticas

La mayora de los elementos se crean como parte de la configuracin de una caracterstica

particular. Cuando tales elementos definen una direccin IP para un dispositivo, el elemento
tambin puede ser usado para representar la direccin IP en las polticas. Sin embargo, hay
algunos casos especiales que deben considerarse dependiendo del tipo de elemento.
Tip Para ver las direcciones IP reales que el elemento aade a la poltica, inserte el elemento en una
regla y active el modo detalles de red a travs del icono de herramientas.
Componentes del Sistema
Usar elementos que representan componentes de un sistema StoneGate como una direccin
origen o destino en polticas puede producir resultados inesperados. Sea especialmente
cuidadoso cuando use elementos dispositivo como direcciones IP origen y destino en polticas:
Cortafuegos, Cortafuegos SOHO, Sensor, Sensor Clster, Analizador, y Sensor-Analizador:
Estos elementos representan todas las direcciones IP estticas definidas para todos las
interfaces. Cree elementos Host separados para representar direcciones IP individuales.
Clster de Cortafuegos: Representa todas las direcciones IP CVI de todos las interfaces,
pero no las direcciones NDI. Cree elementos Host separados para representar direcciones
CVI individuales y direcciones NDI.
Cortafuegos con direcciones IP dinmicas: el elemento Cortafuegos no representa ninguna
direccin IP dinmica. Hay Alias por defecto que pueden usarse para representar las
direcciones dinmicas propias de los Cortafuegos en la propia poltica de los cortafuegos. Se
necesitan definiciones de direccin IP fija para las direcciones IP asignadas dinmicamente
cuando necesitan ser definidas en polticas de cualquier otro componente.
Pasarela SSL VPN: el elemento representa la direccin IP nica que es la direccin origen
para la monitorizacin centralizada e informacin de logs.
Servidores de Management Center: representan la direccin IP primaria definida para el
elemento.
Las Direcciones de Contacto no se considerac cuando el elemento se usa en una poltica.
Considere qu direccin IP tiene que aadirse a la regla y cree elementos Host separados
para las direcciones de contacto.
Servidores Externos
Varios tipos de servidores externos se pueden integrar con StoneGate configurando
diferentes caractersticas. En general, cada servidor representa simplemente la direccin IP
primaria definida en el elemento cuando se usa en una poltica. Algunos elementos tienen
consideraciones adicionales cuando se usan en polticas:
Direcciones IP secundarias: Muchos elementos de servidor pueden contener una o ms
direcciones IP secundarias adems de la direccin primaria que presenta el elemento. Las
direcciones secundarias son igualmente vlidas en las polticas.
Direcciones de contacto: Algunos elementos servidor pueden tener una direccin de
contacto. Las direcciones de contacto no se consideran cuando el elemento es usado en
una poltica. Considere que direccin IP tiene que aadirse a la regla y cree elementos
Host separados para las direcciones de contacto.
Pools de servidores: El elemento Pool de Servidor representa las direcciones o direccin
externa con la que contacta el cliente. Use un Pool de Servidores en reglas que permitan
el trfico de los clientes a los servidores siempre que quiera usar las caractersticas del
Pool de Servidores. Los elementos que representan a los miembros individuales del pool
pueden usarse para permitir las conexiones a miembros individuales del pool (por
ejemplo, para permitir la administracin remota de cada servidor).
Gestores de Trfico
Los gestores de Trfico son necesarios en polticas cuando se configure el Multi-Link en los
cortafuegos. Se pueden usar en reglas como se explica a continuacin:
En las celdas Origen y Destino: Un elemento Netlink representa el espacio de direcciones
de toda la red que est asociado con el elemento Netlink. Un elemento de Salida Multi-
Link representa los espacios de direcciones de red de todos los Netlinks incluidos. Los
gestores de trfico raras veces se usan de este modo.
En la celda NAT de reglas de NAT: Cuando la direccin origen se traduce usando un
elemento Multi-Link de salida, el trfico se balancea entre los Netlinks incluidos de
acuerdo con las opciones seleccionadas para el Multi-Link de salida.
Tareas Relacionadas
Crear un Elemento Multi-Link de Salida (pag. 462)
Definir un Pool de Servidores (pag. 469)
Definir Servicios de Red 573
CAPTULO 40
DEFINIR SERVICIOS DE RED
Los elementos Servicio comparan el trfico en base al protocolo o puerto y establecen

opciones para la inspeccin avanzada del trfico. Los Servicios se usan tanto en polticas
de Cortafuegos como de IPS.
Comenzar con los Servicios (pag. 574)

Definir Servicios (pag. 574)
Usar Elementos de Protocolo (pag 579)
Definir Parmetros de Protocolo (pag 579)
Comenzar con los Servicios

Qu Hacen los Servicios

Los elementos Servicio especifican un protocolo de red, as como los puertos origen y/o
destino para el trfico TCP y UDP.
Los servicios pueden usarse para comparar las reglas con el trfico en reglas de Ethernet
(Servicios de Ethernet), reglas de Acceso y reglas de NAT.
Los servicios pueden hacer referencia a elementos Protocolo, los cuales activan
posteriores chequeos de inspeccin y gestin avanzada del trfico. Algunos protocolos
tienen opciones adicionales que puede configurar en las propiedades de los elementos
Servicio.
Qu Debo Saber Antes de Empezar?
Normalmente puede usar los servicios por defecto que estn disponibles en el sistema para
puertos y protocolos estndar. Sin embargo, ocasionalmente se necesita crear un servicio
nuevo:
Si ninguno de los Servicios por defecto coincide con el tipo de trfico que usted quiere
permitir, por ejemplo, si algn servicio TCP o UDP de su red usa un puerto que no es
estndar.
Si quiere establecer opciones para el manejo de trfico complejo, por ejemplo, reglas de
Acceso en un cortafuegos para CIS (servidor de inspeccin de contenido), redireccin,
reglas de Acceso de cortafuegos/sensor que no permitan el uso del modo de conexin
FTP ni activo ni pasivo, o reglas de NAT y de Acceso de cortafuegos para protocolos que
asignen puertos de manera dinmica dentro del payoad del paquete.
Vista General de la Configuracin

Ilustracin 203 Elementos de la Configuracin de Servicios
1. Cree un Nuevo Servicio que coincida con el nmero de protocolo y el nmero de puerto
(si aplica) correctos, vea Definir Servicios (pag 575).
2. (Opcional) Seleccione uno de los elementos de Protocolo por defecto si quiere que el
trfico sea inspeccionado o si quiere usar un Agente de Protocolo. Vea Usar Elementos
de Protocolo (pag 579) y Definir Parmetros de Protocolo (pag 579).
3. (Opcional) Aada el Servicio a un Grupo de Servicios para hacer ms fcil insertar varios
Servicios relacionados en las configuraciones, vea Agrupar Servicios (pag 578).
Definir Servicios
Hay elementos Servicio predefinidos en el sistema que se corresponden con puertos y

protocolos reservados y utilizados comunmente. Adems de stos, puede aadir sus
elementos Servicio personalizados al sistema para cualquier puerto no estndar que utilice o
si quiere definir opciones para la gestin avanzada del trfico (Agentes de Protocolo).
Para continuar
Para definir Servicios para reglas de Acceso, Inspeccin, o NAT, vea Definir un
Nuevo Servicio Basado en IP (pag 575).
Para definir un Servicio para reglas de Ethernet, vea Definir un Nuevo Servicio de
Ethernet (pag 577).
Definir un Nuevo Servicio Basado en IP

Los servicios basados en IP se usan en reglas de Acceso y NAT. Asegrese de tener claro
qu protocolo usa el trfico que quiere permitir, y de si debe definir un nmero de protocolo o
de puerto. Normalmente, los Servicios que defina estarn basados en TCP o UDP y se
identificarn por el nmero de puerto que usen. Sin embargo, hay muchos protocolos que no
estn basados en TCP ni en UDP (por ejemplo, ICMP y RPC) y se identifican mediante otra
informacin.
Ejemplo Por ejemplo, el protocolo GRE se transporta directamente sobre IP como protocolo nmero 47
sobre la misma capa que TCP (#6) y UDP (#17). Por lo tanto, un Servicio personalizado creado
para los puertos 47 de TCP y UDP no permite a GRE atravesar el cortafuegos.
Para definir un nuevo servicio personalizado

ConfigurationConfigurationIPS del men. La vista de Configuracin del
Cortafuegos o IPS se abre.
2. Expanda la rama Other ElementsServices.
3. Cree el nuevo elemento Servicio:
Para crear un nuevo elemento sin caractersticas predefinidas, pulse botn derecho en
el tipo de elemento que desea crear y seleccione New[Tipo de Servicio] Service. El
cuadro de dilogo de Propiedades del Servicio se abre sin opciones configuradas.
Para crear un nuevo servicio basado en otro elemento Servicio, haga click derecho en
el servicio existente y seleccione NewDuplicate (NuevoDuplicado). El cuadro de
dilogo de las Propiedades del Servicio se abre con una copia de las opciones del
servicio existente.
Ilustracin 204: Propiedades del Servicio TCP
4. Proporcione un Nombre (Name) nico para el nuevo Servicio y escriba un Comentario

(Comment) de manera opcional.
5. Identifique el trfico que este elemento Servicio debe comprobar dependiendo del tipo
de servicio como se explica en la siguiente table (IANA asigna los cdigos de protocolo;
visite http://www.iana.org para consultar la lista actualizada).
Tabla 115: Opciones de Identificacin de Trfico en Elementos de Servicio Basados en IP
Protocolo Opcin Explicacin

Un Puerto destino o un rango de puertos. Para comprobar un
Dst. Ports (Puertos
nico Puerto, introdzcalo en el primer campo y deje el otro
de Destino)
vaco. Para introducir un rango, introduzca un valor en ambos
(Opcional*)
TCP & campos. (*al menos una de las dos opciones es obligatoria).
UDP Un puerto origen o un rango de puertos. Para verificar un nico
Src Ports (Puertos
puerto, introdzcalo en el primer campo y deje el otro vaco. Para
de Origen)
introducir un rango, introduzca un valor en ambos campos. (*al
(Opcional*)
menos una de las dos opciones es obligatoria).
Type (Tipo) El nmero de tipo ICMP que usa el trfico.
El cdigo ICMP que usa el trfico. Si el campo Cdigo est vaco,
Code (Cdigo) el Servicio comprueba el trfico independientemente del cdigo
(Opcional) ICMP. Si introduce un 0 como cdigo, el Servicio solo comprueba
ICMP
paquetes que no contienen cdigo ICMP.
Program Number
(Nmero de El nmero de programa.
Programa)
El nmero de version del programa remoto. Si no introduce una
Version
version del programa, el elemento comprueba el trfico de
(Opcional)
cualquier versin.
SUN RPC Allow TCP (Permitir
Permite el mensaje RPC cuando es transportado sobre TCP.
TCP)(Optional)
Allow UDP (Permitir
Permite el mensaje RPC cuando es transportado sobre UDP.
UDP)(Opcional)
IP Code (Cdigo) El cdigo del protocolo numrico que usa el trfico.
6. (Opcional) Si quiere asociar el Servicio con un Protocolo, haga click en el botn Select
(Seleccionar) para el campo Protocol (Protocolo) y seleccione el protocolo correcto.
Seleccionar el Protocolo es obligatorio si el servicio se inserta en una regla de Acceso
que dirige los paquetes a la inspeccin prfunda contra las reglas de inspeccin.
Algunos tipos de trfico pueden requerir un Protocolo del tipo Agente de Protocolo.
Para continuar
Algunos protocolos tienen ms opciones que puede configurar en la pestaa
Protocol Parameters (Parmetros de Protocolo), vea Usar Elementos Protocolo
(pag. 579).
En otro caso, pulse OK para crear el nuevo elemento Servicio.
Tareas Relacionadas
Agrupar Servicios (pag. 578).
Definir con Qu Trfico coincide una Regla de Acceso (pag. 519).
Definir Qu Trfico Comprueba una Regla NAT (pag. 546)
Definir un Nuevo Servicio Ethernet

Hay elementos de Servicio Ethernet predefinidos en el sistema que corresponden a servicios
Ethernet usados comunmente. Los Servicios predefinidos de Ethernet deberan cubrir la
mayora de sus necesidades, pero puede aadir Servicios de Ethernet adicionales al sistema
si quiere filtrar otro trfico a nivel de Ethernet, usar diferentes nombres o aadir sus propios
comentarios a los Servicios.
Precaucin Compruebe cualquier trfico IP que permita en reglas Ethernet con los
servicios por defecto IPv4 e IPv6. Estos servicios comprueban el trfico usando el
elemento Protocolo correcto. Slo el trfico IP que coincida con el elemento Protocolo
correcto se revisa con las reglas de Acceso. El trfico no IP no se sigue inspeccionando.
Para definir un nuevo Servicio Ethernet

1. Seleccione ConfigurationConfigurationIPS del men. La vista de Configuracin
de IPS se abre.
3. Pulse botn derecho en Ethernet Services (Servicios Ethernet) y seleccione
NewEthernet Service (NuevoServicio Ethernet).
4. Proporcione un nombre (Name) nico para el nuevo Servicio Ethernet.
5. Seleccione el protocolo de nivel Ethernet e introduzca los detalles como se explica en la
siguiente tabla (IEEE asigna los cdigos de protocolo).
Tabla 116: Opciones de Identificacin de Trfico en Elementos de Servicio Ethernet

Ethernet 2 Introduzca el cdigo de tipo de Ethernet (EtherType) del protocolo
Tipo de MAC
(DIX) usado por el trfico.
Raw IPX
(ninguna) Comprueba el trfico IPX.
(Novell)
Tabla 117: Opciones de Identificacin de Trfico en Elementos de Servicio de Ethernet (Continuacin)

La direccin SSAP (punto acceso del origen del servicio) que el trfico
SSAP
usa.
LLC
La direccin DSAP (punto de acceso del destino del servicio) que usa
DSAP
el trfico.
Vendor El OUI (Identificador nico Organizativo) usado por el trfico.
SNAP
Tipo El tipo que usa el trfico.
No editable. Presente en los servicios por defecto IPv4 e IPv6 para
dirigir el trfico a posteriores filtrado e inspeccin.
Protocolo N/A
No est presente en los elementos de Servicio personalizados que
usted cree.
6. Haga click en OK
Para continuar
Para agrupar Servicios de Ethernet similares, vea Agrupar Servicios.
Tareas Relacionadas
Editar Reglas de Ethernet (pag 516)
Agrupar Servicios
Agrupar varios servicios dentro de un Grupo de Servicios simplifica sus polticas, as puede
insertar el grupo en vez de varios elementos individuales. Puede agrupar los servicios por
defecto as como los personalizados.
Para crear un nuevo Grupo de Servicio

ConfigurationConfigurationIPS del men.
2. Expanda la rama Other Elements.
3. Pulse botn derecho en la rama Services (Servicios) o (IPS) Ethernet Services
(Servicios de Ethernet) de acuerdo al tipo de grupo de servicios que quiera crear:
New tipo de servicio] Service Group para crear un Grupo de Servicio bajo la rama
para los tipos de servicios seleccionados (por ejemplo, TCP).
O seleccione NewService Group para crear un Grupo de Servicio bajo la rama del
Grupo (no disponible si ha pulsado el botn derecho sobre Servicios de Ethernet).
4. Proporcione un nombre (Name) nico al Grupo de Servicio.
5. Seleccione los servicios requeridos en la lista y pulse Add (Aadir).
6. Pulse OK.
Usar Elementos Protocolo

Prerrequisitos: Definir un Nuevo Servicio Basado en IP
Los elementos Protocolo se pueden insertar directamente en excepciones de reglas de

Inspeccin. En las reglas de Acceso, los elementos Protocolo estn contenidos siempre en un
elemento de Servicio, el cual puede ser insertado en la casilla Servicio de las reglas. Algunos
protocolos aaden opciones que se pueden ajustar en elementos de Servicio personalizados
que puede crear. Los elementos Protocolo no se pueden aadir o modificar directamente.
Todos los Elementos Protocolo identifican el trfico de un cierto protocolo de red. Un elemento
Protocolo en las reglas de Acceso identifica el protocolo para su inspeccin contra las reglas de
Inspeccin. En las reglas de Inspeccin, el protocolo puede ser usado para limitar el alcance de
las reglas de excepcin de acuerdo con el protocolo (como se identifica en las reglas de
Acceso) en reglas que en otro caso coincidiran con un gran nmero de protocolos.
Adicionalmente, los protocolos pueden activar algunos mdulos de software adicional en los
dispositivos. Esto depende del tipo de elemento de Protocolo:
Protocol Tag (Etiqueta de protocolo): un elemento Protocolo que no active mdulos
adicionales.
Protocol Agent (Agente de Protocolo): un elemento Protocolo que activa un modulo
adicional en los dispositivos para proveer herramientas avanzadas en la capa de aplicacin.
Algunos elementos de Protocolo disponen de parmetros adicionales. Vea Definir Parmetros
de Protocolo.
Definir Parmetros de Protocolo

Muchos protocolos proporcionan opciones para configurarlas en el Servicio que los usa. Alguno
de los parmetros solo son usados por algn tipo de componente especfico (cortafuegos o
sensor). Para configurar opciones para un protocolo, debe asociarlo a un elemento Servicio
personalizado: bien abra las propiedades de un servicio personalizado que haya creado
previamente o cree un nuevo servicio.
Vea las siguientes secciones para ms informacin:
Definir Parmetros de Protocolo DNS (pag 580).
Definir Parmetros de Protocolo FTP (pag 580)
Definir Parmetros de Protocolo GRE (pag 582)
Definir Parmetros de Protocolo H323 (pag 582)
Definir Parmetros de Protocolo HTTP/HTTPS (pag 583)
Definir Parmetros de Protocolo de Encapsulacin IPv4 (pag 584)
Definir Parmetros de Protocolo MSRPC (pag 585)
Definir Parmetros de Protocolo NetBIOS (pag 586)
Definir Parmetros de Protocolo Oracle (pag 587)
Definir Parmetros de Protocolo Shell (RSH) (pag 588)
Definir Parmetros de Protocolo SIP (pag 589)
Definir Parmetros de Protocolo SMTP (pag 590)
Definir Parmetros de Protocolo SSH (pag 590)
Definir Opciones de Protocolo SunRPC (pag 591)
Definir Parmetros de Protocolo TCP Proxy (pag 592)
Definir Parmetros de Protocolo TFTP (pag 593)
Definir Parmetros de Protocolo DNS

Los parmetros de protocolo DNS controlan la aplicacin del protocolo DNS en los sensores
IPS. Cuando activa esta funcionalidad, los sensores pueden determinar si el trfico en el
puerto DNS es un trfico DNS real o alguna otra aplicacin que hace un uso incorrecto de
este puerto (por ejemplo, aplicaciones de transferencia de ficheros peer-to-peer usan este
puerto).
Los parmetros de este protocolo son solo para sensores.
Para configurar las opciones de Protocolo de DNS

1. En las propiedades de un servicio personalizado que haya creado, pulse el botn
Select (Seleccionar) para el campo Protocol (Protocolo) y seleccione DNS.
2. (Solo para sensores) Cambie a la pestaa Protocol Parameters (Parmetros de
Protocolo) y configure los parmetros para el protocolo:
Tabla 118: Parmetros de Protocolo DNS
Opcin Explicacin
Cuando se establece en On, el sensor termina los mensajes de
Deny DDNS updates (Denegar actualizacin DDNS.
actualizaciones de DDNS) Cuando se establece en Off, el sensor permite mensajes de
actualizacin DDNS.
Cuando se establece en On, el sensor termina los mensajes de
Deny DNS zone transfers
transferencia de zona de DNS.
(Denegar transferencias de zona
Cuando se establece en Off, el sensor permite los mensajes de
de DNS)
transferencia de zona de DNS.
Cuando se establece en On, el sensor termina el trfico que no
Enforce DNS protocol usage est usando el protocolo DNS.
(Forzar el uso del protocolo DNS) Cuando se establece en Off, el sensor permite pasar el trfico
aunque no se relacione con el DNS.
3. Pulse OK.
Definir Parmetros de Protocolo FTP

Una sesin del protocolo de transferencia de archivos (FTP) comienza con una conexin de
control (por defecto, TCP Puerto 21), y las comunicaciones continan usando un Puerto
asignado dinmicamente. El agente de protocolo FTP mantiene un seguimiento de los
puertos usados, por ejemplo, para abrirlos cuando es necesario de forma que no sea
necesario permitir todo el rango de puertos dinmicos posibles en la poltica.
Para configurar opciones de Protocolo FTP

Select (Seleccionar) del campo Protocol (Protocolo) y seleccione FTP.
2. Cambie a la pestaa Protocol Parameters (Parmetros de Protocolo).
3. Configure los parmetros del protocolo. En las opciones marcadas como Solo
Cortafuegos no deben cambiarse los valores por defecto cuando se usen en
dispositivos IPS:
Tabla 119: Parmetros de Protocolo FTP
Opcin Explicacin
Se permite al servidor abrir conexiones hacia el cliente (de
Allow Active
Si acuerdo a la informacin intercambiada en la conexin de
Mode (Permitir
control).
modo Activo)
No Se prohiben las conexiones inciadas desde el servidor.
El cliente puede abrir conexiones de datos hacia el servidor (de
Allow Passive
Si acuerdo a la informacin intercambiada en la conexin de
Mode (Permitir
control).
Modo Pasivo)
No Se prohiben las conexiones iniciadas desde el cliente.
Allow Related Permiten que se abran conexiones de control con la conexin de
On
Connections datos.
(Permitir
conexiones Off Deshabilita el Agente de Protocolo.
Relacionadas)
Control data Si se usan commandos que no cumplen con el estandar RFC 959
Estricto
inspection FTP la conexin se cancela.
mode (Modo de
inspeccin de El Agente de Protocolo trata de identificar la informacin para
datos de abrir la conexin de datos aunque las comunicaciones no sigan
Amplio
Control) de manera estricta los estndares FTP.
(solo Necesario a veces para configuraciones no estndar de FTP.
Cortafuegos)
Highest allowed source port for
active data connection (Puerto de
Introduzca un valor de puerto para limitar el rango de puertos de
origen ms alto permitido para la
origen permitidos para la conexin de datos en el servidor.
conexin activa de datos) (solo
El valor 0 para el puerto bajo indica que el servidor siempre usa el
Cortafuegos)
nmero de puerto que precede inmediatamente al puerto de
Lowest allowed source port for
destino.
active data connection (Puerto de
Si el servidor usa un puerto estndar, tanto el nmero de puerto
origen ms bajo permitido para la
bajo como el alto debe ser 0 .
conexin activa de datos) (solo
Cortafuegos)
Redirect connections to CIS Selecciona el Servidor de Inspeccin de Contenido (CIS) al cual
(Redireccionar conexiones a CIS) se redirigen las conexiones. Para ms informacin, vea
(solo Cortafuegos) Inspeccin Externa de Contenidos (pag 669).
4. Pulse OK.
Definir Parmetros de Protocolo GRE

El protocol de encapsulacin de ruta genrica (GRE) es un protocol que permite la
encapsulacin de los paquetes de capa de red dentro de los paquetes IP.
Para configurar opciones de Protocolo GRE

Select (Seleccionar) del campo Protocol (Protocolo) y seleccione GRE.
3. Configure los parmetros para el protocolo:
Tabla 120: Parmetros de Protocolo GRE
Opcin Explicacin
Hace recoincidir el payload encapsulado dentro del paquete
Apply Tunnel
On tunelado hasta que se alcanza el contador de recoincidencias
Rematch (Aplicar
definido en las propiedades del Sensor.
Recoincidencia de Tnel)
Off Los paquetes encapsulados no se hacen recoincidir.
Tunnel IPv4 On Permite entunelado sobre IPv4.
Protocol (Protocolo de
Off Detiene las conexiones que estn entuneladas sobre IPv4.
Tunel IPv4)
Tunnel IPv6 On Permite entunelado sobre IPv6.
Protocol (Protocolo de
Off Detiene las conexiones que estn entuneladas sobre IPv6.
Tunel IPv6)
4. Pulse OK.
Definir Parmetros de Protocolo H323

H.323 consiste en una serie de tipos diferentes de estndares relacionados con servicios de
video y audio, transporte en tiempo real, canales de control, seguridad, etc. El agente de
protocolo H323 hace un seguimiento de las conexiones H323, por ejemplo, para permitir el
trfico H323 a travs de un cortafuegos cuando se emplea NAT.
Nota Las conexiones T.120, usadas por ejemplo para transferencia de archivos y
dibujos en pizarras electrnicas, no se permiten por el Agente de Protocolo H323. Para
permitir T120, use el grupo de servicios H323 o el elemento de servicio T120.
Para configurar las opciones de Protocolo H323

1. En las propiedades del servicio personalizado que haya creado, pulse el botn Select
(Seleccionar) para el campo Protocol (Protocolo) y seleccione H323.
Tabla 121: Parmetros de Protocolo H323
Opcin Explicacin
Allow related El Agente de Protocolo monitoriza la conexin H.323 y permite
On
connections las conexiones relacionadas en reglas de Acceso y NAT.
(Permitir
conexiones Off Deshabilita el Agente de Protocolo.
relacionadas)
Allow special Permite a los clientes H.323 abrir un canal lgico especial para
Yes
logical audio y video sin NAT.
channels
through
(Permite
No No se permiten canales lgicos especiales.
canales lgicos
especiales) (No
NAT)
4. Pulse OK.
Definir Parmetros de Protocolo HTTP/HTTPS

Hay tres elementos de protocolo HTTP:
El elemento HTTP puede usarse para redirigir el trfico a un servidor de contenido de
inspeccin externo y registrar las URLs de las peticiones HTTP. Este agente tiene parmetros
que usted puede establecer en las propiedades del servicio.
El elemento HTTP Proxy puede usarse para redirigir el trfico a cualquier software de tipo
proxy as la aplicacin del cliente no necesita ser configurada para usar un proxy. Este
protocolo no tiene parmetros.
El Protocolo HTTPS es para HTTP cifrado con SSL. Este protocolo tiene los mismos
parmetros que el agente HTTP.
Para configurar opciones de Protocolo HTTP o HTTPS
1. En las propiedades del servicio customizado que ha creado, haga click en el botn Select
del campo Protocol y seleccione HTTP o HTTPS.
2. Cambie a la pestaa Protocol Parameters.
3. Configure los parmetros para el Protocolo (vea las tablas siguientes):
Tabla 122: Parmetros de Protocolo HTTP
Opcin Explicacin
Logging of Las URLs de los sitios accedidos por los usuarios se incluyen en
Si
Accessed las entradas de log generadas.
URLs (Registro
de URLs No Las URLs no se incluyen en las entradas de log generadas.
Accedidas)
Optimized Cuando se comprueban las conexiones con las reglas de
server stream Si Inspeccin, se comprueba sel flujo del servidor solo para los
fingerprinting patrones vlidos para el tipo de navegador de cliente y versin.
(Optimizado de
huella del flujo No Se comprueban todos los patrones del flujo del servidor
del servidor)
Tabla 123: Parmetros de Protocolo HTTP (Continuacin)
Opcin Explicacin
Redirect Connections to CIS Selecciona el servidor de Inspeccin de Contenido (CIS) al cual
(Redirigir las Conexiones a CIS) se redirigen las conexiones. Vea Empezar con la Inspeccin
(solo Cortafuegos) Externa de Contenidos (pag 670).
Tabla 124: Parmetros de Protocolo HTTPS
Opcin Explicacin
Especifica las Excepciones de Inspeccin HTTPS de acuerdo al
HTTPS Inspection Exceptions
trfico que es decodificado e inspeccionado o permitido a pasar
(Excepciones de Inspeccin
sin decodificacin. Vea Empezar con la Inspeccin HTTPS (pag
HTTPS)
656).
HTTPS
Decryption and Si Habilita el descifrado e Inspeccin de HTTPS.
Inspection
(Descifrado e
Inspeccin No El trfico HTTPS no se descifra para la inspeccin.
HTTPS)
Logging of Las URLs de los sitios accedidos por los usuarios se incluyen en
Accessed las entradas de log generadas. Con trfico HTTPS, se require
Si
URLs (Registro que el trfico sea descifrado (vea Empezar con la Inspeccin
de URLs HTTPS (pag 656)).
accedidas) No Las URLs no se incluyen en las entradas de log generadas.
Optimized Cuando se comprueban las conexiones con las reglas de
server stream Si Inspeccin, se comprueba sel flujo del servidor solo para los
fingerprinting patrones vlidos para el tipo de navegador de cliente y versin.
(Optimizado de
huella del flujo No Se comprueban todos los patrones del flujo del servidor
del servidor)
4. Pulse OK.
Definir Parmetros de Protocolo de Encapsulado IPv4

El Agente de Encapsulado IPv4 provee inspeccin de protocolo para el trfico de tnel IPv4.
Los parmetros definen si los paquetes IPv4 encapsulados en paquetes IPv6 se vuelven a
comprobar con la poltica.
Para configurar opciones de Protocolo de Encapsulado IPv4
1. En las propiedades de un servicio personalizado que haya creado, haga click en el
botn Select del campo Protocol y seleccione IPv4 Encapsulation.
Tabla 125: Parmetros de Protocolo Encapsulacin IPv4
Opcin Explicacin
Hace recoincidir el payload encapsulado dentro del paquete
Apply Tunnel
On tunelado hasta que se alcanza el contador de recoincidencias
Rematch (Aplicar
definido en las propiedades del Sensor.
recoincidencia de tnel)
Off No comprueba la carga de trabajo (payload) encapsulada.
Next Ethernet Type (Prximo tipo Slo para informacin. Muestra el tipo de Ethernet usado por el
de Ethernet) paquete examinado encapsulado.
4. Pulse OK.
Definir Parmetros de Encapsulacin IPv6

El Agente de Encapsulado IPv6 provee inspeccin de protocolo para el trfico de tneles IPv6.
Para configurar las opciones de Protocolo de Encapsulacin IPv6
1. En las propiedades de un servicio personalizado que haya creado, haga click en el botn
Select del campo Protocol y seleccione IPv6 Encapsulation.
3. Establezca los parmetros para el protocolo:
Tabla 126: Parmetros de Protocolo
Opcin Explicacin
Apply Tunnel Hace recoincidir el payload encapsulado dentro del paquete
Rematch On tunelado hasta que se alcanza el contador de recoincidencias
(Aplicar definido en las propiedades del Sensor.
recoincidencia
Off No comprueba la carga de trabajo (payload) encapsulada.
de tnel)
Next Ethernet Type (Prximo tipo Solo para informacin. Muestra el tipo de Ethernet usado por el
de Ethernet) paquete examinado encapsulado.
4. Pulse OK.
Definir Parmetros de Protocolo MSRPC

El Agente de Protocolo MSRPC (Microsoft RPC) permite conexiones relacionadas con
aplicaciones MSRPC, y trata tambin las modificaciones NAT para las comunicaciones entre
clientes de Microsoft Outlook y servidores de Microsoft Exchange.
El mtodo de conexin del mapeador de end-point soportado (EPM End Point Mapper) es
TCP. Por defecto, el servicio de Microsoft RPC/EPM est disponible en el puerto 135/tcp y
las comunicaciones continan usando un puerto asignado dinmicamente. El Agente de
Protocolo mantiene el seguimiento de los puertos reales usados para permitir dinmicamente
las conexiones basadas en la asignacin de puerto. Esto elimina la necesidad de permitir el
rango completo de puertos.
Para configurar las opciones de Protocolo MSRPC

1. En las propiedades del servicio personalizado que haya creado, haga click en el botn
Select del campo Protocol y seleccione MSRPC.
2. (Solo Cortafuegos) Cambie a la pestaa Protocol Parameters y establezca los
parmetros para el protocolo:
Tabla 127: Parmetros de Protocolo MSRPC
Opcin Explicacin
Allow MS Permite la administracin remota del servidor de Microsoft
Si
Exchange Exchange a travs del servicio Exchange System Attendant.
Remote
administration
service (Permitir el
No Impide la administracin remota.
servicio de
administracin remota
de MS Exchange)
Allow MS Exchange Permite el uso normal del cliente Microsoft Outlook; el Agente de
User Services Protocolo permite el uso del servicio de Base de datos Exchange,
Si
(Permitir servicios de servicio de Directorio, servicio de Almacenamiento de
usuario MS Informacin, servicio MTA y servicio de almacenamiento.
Exchange) No Impide los servicios de usuario final.
Allow Related Permite las respuestas enviadas por el servicio de mapeador de
On
Connections (Permitir endpoint (EPM).
conexiones
Off Deshabilita el Agente de Protocolo.
relacionadas)
Allow any UUID Permite otras solicitudes MSRPC adems de Outlook/Exchange.
in endpoint On El servicio se puede usar en reglas de Acceso para permitir
mapping (Permitir conexiones relacionadas. NAT no est soportado.
cualquier UUID en
Off El servicio solo permite el trfico de Outlook/Exchange.
mapeo de endpoints)
Allow Permite que los tipos de mensaje que no estn soportados por el
Yes
unsupported Agente de Protocolo salten la conexin de control.
MS RPC
message
Permite solo los tipos de mensajes soportados (bind, bind ack,
types (Permitir tipos No
request y response).
de mensaje MS RPC
no soportados)
3. Pulse OK.
Definir Parmetros de Protocolo NetBIOS

Este Agente de Protocolo se puede usar para hacer modificaciones NAT en direcciones IP
transportadas en el Servicio Datagrama de Windows NetBIOS a travs del cortafuegos, o en
la inspeccin profunda en los Sensores.
Para configurar opciones de Protocolo NetBIOS

1. En las propiedades de un servicio UDP personalizado que haya creado, haga click en el
botn Select del campo Protocol y seleccione NetBIOS (UDP).
3. Establezca los parmetros para el Agente de Protocolo:
Tabla 128: Parmetros de Protocolo NetBIOS
Opcin Explicacin
Make corresponding Si se inserta en una regla de NAT, las direcciones reenviadas
NAT modifications to On en las Comunicaciones NetBIOS se trasladan de acuerdo con
payload la regla.
(Hacer las
correspondientes Slo se trasladan las direcciones IP de las cabeceras de los
modificaciones de NAT Off
paquetes si se inserta en una regla de NAT.
al payload)
4. Pulse OK.
Definir Parmetros de Protocolo Oracle

Precaucin El Agente de Protocolo de Oracle se refiere a los casos en los que se usa
el Puerto TCP 1521 slo para negociar el nmero de Puerto de las conexiones en la
base de datos Oracle, y el nmero de puerto para las conexiones reales se asigna
dinmicamente.
Este Agente de Protocolo gestiona las conexiones SQL*Net, Net7, y Net8 basadas en el
protocolo Oracle Transparent Network Substrate (TNS). Est orientado solo a conexiones no
SSL donde el nmero de puertos se asigna dinmicamente. Si el puerto 1521 TCP se usa
para la conexin actual de la base de datos, no use un servicio que contenga este elemento
Protocolo, porque esto puede consumir excesivos recursos en el cortafuegos y generar
problemas de rendimiento (en su lugar use un Servicio que corresponda al puerto TCP 1521
sin ningn elemento protocolo).
Si va a usar NAT para conexiones Oracle, debe configurar el Oracle Listener de forma que el
listener comunique al cliente su direccin original no trasladada. Esto, y el Agente de
protocolo, es necesario solo si la base de datos est situada en un ordenador diferente al del
Listener de Oracle. El Agente de Protocolo de Oracle no modifica la carga de datos porque
las conexiones de servicio de la base de datos pueden ir a travs de una ruta diferente a la
de la conexin del listener.
Para configurar opciones de Protocolo Oracle

botn Select del campo Protocol y seleccione Oracle.
Tabla 129: Parmetros de Protocolo Oracle
Opcin Explicacin
Allow related Permitir conexiones a la base de datos en base a la informacin
Activado
connections de la conexin del listener.
(Permitir
conexiones Desactivado Desactiva el Agente de Protocolo
relacionadas)
Max. length allowed for one TNS
packet (Longitud mxima Introduzca la mxima cantidad de datos de payload TCP que se
permitida para un paquete de permite que transporte cada paquete de TNS de Oracle.
TNS)
Introduzca una mscara de red para limitar el trfico permitido. El
Netmask for allowed server
valor 255.255.255.255 permite la conexin con la base de datos
addresses (Mscara de red para
slo a la direccin donde est localizado el servicio de Oracle
direcciones de servidor
Listener. El valor 0.0.0.0 permite conexiones a la base de datos
permitidas)
desde todas las direcciones.
Set checksum Reinicia los checksums de cabecera y paquete a cero cuando el
S
to zero for Agente de Protocolo modifica los datos de payload del paquete.
modified TNS
packets
(Establecer el
checksum a cero No Los checksums se mantienen incluso aunque cambie el paquete.
para los
paquetes de TNS
modificados)
4. Pulse OK.
Definir Parmetros de Protocolo Shell (RSH)

Shell Remoto (RSH) es un protocolo de gestin ampliamente usado. Este Agente de
Protocolo gestiona las conexiones remotas de Shell y permite modificaciones NAT al flujo de
salida estndar (stdout). Tambin gestiona conexiones RExec.
Para configurar opciones de Protocolo Shell

botn Select del campo Protocol y seleccione Shell.
Tabla 130: Parmetros del Agente de Protocolo Shell (RSH)
Option Explanation
Allow Related La salida de error estndar (stderr) se permite a travs del
Activado
Connections cortafuegos como respuesta a un commando RSH.
(Permite
conexiones Desactivado Se desactiva el Agente de Protocolo.
relacionadas)
4. Pulse OK.
Definir Parmetros de Protocolo SIP

El Agente de Protocolo de Iniciacin de Sesin (SIP) puede usarse para mantener
conexiones multimedia que usen SIP como protocolo de transferencia.
Usar el agente permite usar SIP a travs de un cortafuegos que use NAT. SIP usa el Puerto
5060 TCP o UDP para iniciar la conexin, y posteriormente al trfico se le asigna un puerto
dinmicamente. El Agente de Protocolo mantiene un seguimiento de los puertos reales
usados, de modo que no se necesita permitir todo el rango de puertos en una poltica de
cortafuegos.
El agente SIP puede ser configurar para forzar que la direccin del cliente y/o servidor usada
en la capa de transporte SIP se use tambin para el flujo de media transportado sobre SIP
(por defecto, establecido tanto en el cliente como en el servidor).
Nota Las conexiones usadas para transferencia de ficheros no se permiten con el

Agente de Protocolo SIP. Es necesario permitirlas en una regla diferente.
Para configurar opciones de Protocolo SIP

botn Select en el campo Protocol Protocol y seleccione SIP.
Tabla 131: Parmetros de Protocolo SIP
Opcin Explicacin
Allow Related Permite conexiones de medios SIP en base a la sealizacin de
Activado
Connections la conexin.
(Permitir
Conexiones
Desactivado Desactiva el Agente de Protocolo.
relacionadas) (solo
Cortafuegos)
Enforce client Requiere que el flujo de medios use la misma direccin del lado
S
side media (Forzar del cliente que la capa de transporte.
medios del lado de
No El flujo de medios puede usar cualquier direccin.
cliente)
Enforce server Requiere que el flujo de medios use la misma direccin del lado
S
side media (Forzar del servidor que la capa de transporte.
medios del lado de
No El flujo de medios puede usar cualquier direccin.
servidor)
El nmero mximo de llamadas permitido por la regla de Acceso.
Maximum number of calls
Si el valor es 0, no se establece un lmite para el nmero de
(Nmero mximo de llamadas)
llamadas.
4. Pulse OK.
Definir Parmetros de Protocolo SMTP

En los Cortafuegos, el Agente de Protocolo SMTP redirecciona las conexiones a un servidor
de inspeccin de contenido externo (CIS) para revisarlo. El cliente SMTP y el servidor de
inspeccin de contenido externo tienen que trabajar en redes diferentes para asegurar que
siempre se comunican a travs del cortafuegos.
En los sensores, este agente provee inspeccin de protocolo e inspeccin.
Para configurar las opciones de Redireccin de SMTP

botn Select del campo Protocol y seleccione SMTP.
2. (Solo para cortafuegos) Cambie a la pestaa Protocol Parameters y establezca los
parmetros para el Agente de Protocolo:
Tabla 132: Parmetros del Agente de Protocolo SMTP
Opcin Explicacin
Selecciona el Content Inspection Server (CIS Servidor de
Redirect Connections to CIS
Inspeccin de Contenidos) al que se redirigen las conexiones.
(Redirigir conexiones a CIS -
Vea Empezar con la Inspeccin Externa de Contenidos (pag.
Content Inspection Server)
670).
3. Pulse OK.
Definir Parmetros de Protocolo SSH

Shell Seguro (SSH) es un protocol cifrado de conexin remoto. Este Agente de Protocolo
valida las comunicaciones para asegurarse de que el protocolo usado es SSH. Usted puede
crear agentes SSH personalizados con diferentes caractersticas. El Agente SSH valida solo
SSHv1. Este Agente de Protocolo est disponible en cortafuegos y sensores.
Para configurar opciones de Protocolo SSH

botn Select del campo Protocol y seleccione SSH.
2. (Solo para cortafuegos) Cambie a la pestaa Protocol Parameters y establezca los
parmetros para el Protocolo:
Tabla 133: Parmetros del Agente de Protocolo SSH
Opcin Explicacin
Bytes allowed from client before
Cantidad de datos que el cliente est autorizado a enviar al
Server ID (Bytes permitidos
servidor antes de que el servidor enve su propia cadena de
desde el cliente antes de la ID
identificacin.
del Servidor)
Bytes allowed from server before
Client ID (Bytes permitidos desde Cantidad de datos que el servidor puede enviar al cliente antes
el servidor antes que la ID del de que el cliente enve su propia cadena de identificacin.
Cliente)
Bytes allowed from server before
Server ID (Bytes permitidos Cantidad de datos que el servidor puede enviar al cliente antes
desde el servidor antes que la ID de que el servidor enve su propia cadena de identificacin.
del Servidor ID)
Tabla 134: Parmetros del Agente de Protocolo SSH (Continuacin)
Opcin Explicacin
Make protocol Valida las transferencias SSH de acuerdo a los parmetros
On
validation definidos en este dilogo.
(Hacer
validacin de Off El Agente de Protocolo se deshabilita.
protocolo)
3. Pulse OK.
Definir Opciones de Protocolo SunRPC

Hay agentes de protocolo basados en UDP y TCP para el protocolo de Remote Procedure Call
(RPC). En el cortafuegos, estos agentes solo asisten al cortafuegos en las conexiones del
Portmapper (mapeo de puertos). Hacen ms rpida la gestin de los nmeros de programa
RPC usados en las reglas de Acceso. En el sensor, estos agentes de protocolo proporcionan
inspeccin profunda.
Nota El Agente de Protocolo solo se emplea en conexiones de mapeo de puertos.

Permite a otros servicios RPC usar elementos de servicio sin Agente de Protocolo.
Los Agentes de Protocolo de mapeo de puertos recogen informacin sobre los servicios RPC
interpretando las peticiones GET PORTS y DUMP PORTS y sus correspondientes respuestas.
Toda la informacin recolectada se almacena en la cach del Portmapper.
Cuando el filtro del paquete necesita evaluar las coincidencias de RPC, consulta la cach del
Portmapper para comprobar si el destino del paquete tiene definido en la regla el servicio
correspondiente. Si la cach no tiene esa informacin disponible, el paquete bajo evaluacin se
detiene y se enva una peticin al host destino sobre la informacin RPC. La informacin
recibida se almacena en cach.
Cuando una poltica de seguridad contiene una regla referida al nmero de programa RPC, es
importante poner atencin a la estructura de la poltica de seguridad. Se recomienda seguir
estas precauciones con el protocolo RPC:
Asocie el Agente de Protocolo de Portmapper slo a las conexiones de Portmapper que
pasan a travs del cortafuegos.
Permita al dispositivo cortafuegos enviar peticiones RPC como se explica ms abajo.
Optimice la estructura de su poltica de seguridad, (vea http://www.stonesoft.com/support/ y
busque el documento nmero 1313 del tipo FAQ bajo StoneGate Technical Documentation
para ms informacin).
Las peticiones RPC se envan al cortafuegos por el Puerto TCP 111 del host externo. Puede
usar tanto los servicios sunrpc configurados para TCP y UDP, o el servicio combinado
Portmapper con ambos servicios sunrpc. Se recomienda insertar la siguiente regla que permite
las conexiones sin Agente de Protocolo sobre otras reglas de Portmapper:
Tabla 135: Regla para Solicitudes RPC

Direccin IP del
SunRPC (TCP)
Cortafuegos (NDIs en Cualquiera Permitir
SunRPC (UDP)
clusters)
Para configurar opciones de Proxy SunRPC

botn Select del campo Protocol y seleccione SunRPC ([TCP|UDP]).
Tabla 136: Parmetros de Protocolo SunRPC
Opcin Explicacin
Learn RPC
program S El Agente de Protocolo se habilita.
number to port
mapping for
future RPC
service
matches (Aprender
el nmero de No El Agente de Protocolo se deshabilita.
programa RPC de
mapeo de puertos
para comprobacin
futura del servicio
RPC)
3. Pulse OK.
Definir Parmetros de Protocolo TCP Proxy

El Agente de Protocolo TCP es un agente de proxy que permite cerrar conexiones despus de un
tiempo determinado.
Ciertas aplicaciones basadas en TCP no cierran las conexiones y las mantienen abiertas
innecesariamente, consumiendo recursos. Para estas situaciones, se puede usar el agente de proxy
TCP para activar el cierre de las conexiones despus de un tiempo de inactividad.
Aplique este Agente de Protocolo estrictamente a las conexiones TCP que lo requieran. Las
operaciones de Proxy usan ms recursos que una conexin normal TCP y por lo tanto,
incrementan la carga del cortafuegos.
Para configurar opciones de Proxy TCP

botn Select del campo Protocol y seleccione TCP Proxy.
Tabla 137: Parmetros de Protocolo TCP Proxy
Opcin Explicacin
El tiempo en segundos para abortar una conexin se cuenta
desde que se inicia el cierre de la conexin por una de las partes.
Abort on close (Abortar al cerrar)
La conexin se aborta enviando paquetes TCP Reset el endpoint
que no responde. Establecer este valor a 0 deshabilita el timeout.
Tabla 138: Parmetros de Protocolo TCP Proxy (Continuacin)
Opcin Explicacin
Tiempo en segundos para cerrar una conexin despus de la
Timeout ltima transmisin. Establecer este valor a 0 deshabilita este
tiempo de espera
Use Proxy Activado El Agente de Protocolo se habilita.
(Usar Proxy) Desactivado El Agente de Protocolo se deshabilita.
3. Pulse OK.
Definir Parmetros de Protocolo TFTP

El Agente de Protocolo Trivial File Transfer Protocol (TFTP) transfiere datos usando puertos
asignados dinmicamente. El protocolo TFTP (RFC 1350) no limita el rango de puertos que se
pueden usar. Este Agente de Protocolo est disponible en cortafuegos y sensores. El Agente de
Protocolo TFTP soporta operaciones NAT (solo en cortafuegos).
Un Agente TFTP se asocia a una conexin UDP establecida entre el cliente y el servidor. El
cliente abre la conexin de control desde un puerto origen seleccionado dinmicamente a un
destino fijo en el servidor, puerto 69/udp. Se establece una conexin de datos UDP separada
entre el cliente y el servidor despus de que el cliente haya enviado un comando leer o
escribir al servidor. El servidor abre la conexin de datos desde un puerto dinmico de origen
al puerto destino del cliente, el cual es el mismo que se ha usado como puerto origen de la
conexin de control.
Los parmetros de este protocolo son slo para cortafuegos.
Para configurar opciones de Protocolo TFTP
1. En las propiedades de un servicio personalizado que haya creado, haga click en el botn
Select del campo Protocol y seleccione TFTP.
2. (Solo Cortafuegos) Cambie a la pestaa Protocol Parameters y establezca los parmetros
para el Protocolo:
Tabla 139: Parmetros de Protocolo TFTP
Opcin Explicacin
Permite la transferencia de ficheros desde el servidor al cliente
Allow Read Si
(descargas)
(Permitir leer)
No Las descargas no estn permitidas.
Allow Related Permite que las conexiones de control se abran con la conexin
Activado
Connections de datos.
(Permitir
Conexiones Desactivado El Agente de Protocolo se deshabilita.
Relacionadas)
Allow Write Permite la transferencia de fichero desde el cliente al servidor
Si
(Permitir (subidas).
escribir) No Las subidas no estn permitidas.
Tabla 140: Parmetros de Protocolo TFTP (Continuacin)
Opcin Explicacin
Log filenames Los nombres de los ficheros transferidos y sus rutas se incluyen
S
and paths en las entradas de log generadas.
(Registrar
nombres de
No La informacin de fichero y ruta no est disponible en los logs.
ficheros y
rutas)
3. Pulse OK.
Definir Situaciones 595
CAPTULO 41
DEFINIR SITUACIONES
Las situaciones son el elemento central en reglas de Inspeccin en las polticas de

Cortafuegos e IPS. Las situaciones definen los patrones que reconocen eventos
interesantes en el trfico.
Empezar con las Situaciones

Crear Nuevos Elementos Situacin (pag. 597)
Definir Opciones de Contexto para Situaciones (pag. 599)
Definir Opciones de Contexto para Situaciones de Correlacin (pag. 602)
Definir Etiquetas para Situaciones (pag. 607)
Trabajar con Vulnerabilidades (pag. 609)
Empezar con las Situaciones

Las Situaciones son elementos que definen patrones de inspeccin.

Qu Hacen las Situaciones
Las situaciones definen un patrn en el trfico que el sistema debe buscar. El patrn se
define seleccionando un Contexto para la situacin y rellenando los parmetros requeridos,
por ejemplo, una expresin regular de StoneGate.
Las reglas de Inspeccin en las polticas de cortafuegos e IPS definen cmo se comprueban
las situaciones contra el trfico y qu tipo de accin toma el sistema cuando se encuentra
una coincidencia.
Las Situaciones de Correlacin son situaciones que los analizadores IPS usan para
examinar el flujo de datos de eventos en crudo enviado por los sensores. Las Situaciones
de Correlacin no buscan patrones en el trfico, buscan patrones en los eventos (logs) que
los sensores envan al analizador en base a los patrones que los sensores detectan en el
trfico.
Las situaciones enlazan con informacin externa (CVE/BID/MS/TA) en forma de un
elemento Vulnerabilidad anexado a la situacin.
Las situaciones usan un sistema de agrupacin especial llamado Etiquetas (Tags). Los
elementos Etiqueta se muestran como una rama el el rbol de Situaciones y se pueden usar
en polticas para representar todas las Situaciones que estn asociadas con la Etiqueta.
Ejemplo Usar la Etiqueta Windows en una regla quiere decir que la regla comprueba todas las situaciones
del sistema que estn clasificadas como que afectan a sistemas Windows.
Asociar una Situacin con un Tipo de Situacin incluye la Situacin en el arbol de reglas
en las reglas de Inspeccin, que se agrupan de acuerdo al tipo de Situacin.
Limitaciones
La inspeccin de Cortafuegos actualmente soporte los protocolos IMAP, HTTP, POP3, SIP,
y SMTP. La inspeccin de otros protocolos requiere StoneGate IPS.

Etiquetas
Tipo de Situacin
Contexto Poltica IPS

Situacin
Vulnerabilidad
Cree un nuevo elemento de Situacin segn se explica en Crear Nuevos Elementos

Situacin (pag. 597)).
Proporcione a la Situacin un Contexto, y rellene el contexto con informacin de acuerdo a
los patrones de trfico que quiera comprobar segn se explica en Definir Opciones de
Contexto para Situaciones (pag. 599)
(Opcional) Asocie la Situacin con las Etiquetas relevantes segn se explica en Definir
Etiquetas para Situaciones (pag. 607)
(Opcional) Asocie la descripcin de la situacin personalizada con una Vulnerabilidad
relevante segn se explica en Trabajar con Vulnerabilidades (pag. 609).
Crear Nuevos Elementos Situacin

Los elementos de Situacin predefinidos en su sistema se actualizan mediante paquetes de

actualizacin dinmica que debera activar frecuentemente en su sistema (automtica o
manualmente). Puede crear un elemento Situacin para sensores y cortafuegos o una
Situacin de Correlacin para Analizadores.
Nota Crear Situaciones personalizadas require que tenga un conocimiento bsico de los
protocolos involucrados y una visin clara de los patrones de trfico que quiere buscar.
Para crear una nueva Situacin

ConfigurationConfigurationIPS del men.
2. Expanda la pestaa Other Elements y haga click derecho en Situations.
3. Seleccione bien NewSituation (NuevoSituacin) o NewCorrelation Situation
(NuevoSituacin de Correlacin).
Ilustracin 206: Propiedades de Situacin - General
4. Proporcione un nombre (Name) nico para la situacin, y pcionalmente escriba un

comentario (Comment) para describir el elemento.
Con la excepcin de la lista blanca de URLs en el Filtrado de URLs, las situaciones se
identifican en el sistema solo por el nombre del elemento. Crear multiples situaciones
que coincidan con el mismo patron puede hacer difcil de leer y gestionar la poltica.
El comentario solo se muestra en las propiedades del elemento y en el panel de
Informacin.
5. (Opcional) Pulse Select y seleccione el Tipo de Situacin al cual asociar la Situacin.
Solamente puede asociar un Tipo de Situacin a cada Situacin. El Tipo de Situacin
especifica la rama del rbol de Reglas bajo el cual se incluye la Situacin.
6. Use el campo Description para describir el patrn del trfico que representa la
situacin. Esta descripcin se muestra, por ejemplo, en entradas de logs.
7. Seleccione una Severity (Severidad) para la Situacin. La severidad se muestra en los
logs y se puede usar en Polticas de Alerta como criterio para el escalado de alertas.
8. (Opcional) Seleccione cmo Attacker (Atacante) y Victim (Vctima) se determinan
cuando la Situacin se verifica. Esta informacin se usa para la lista negra y en
entradas de logs.
None (Ninguno) no define informacin del Atacante y Vctima, as que las entradas en
la lista negra no se pueden crear usando las opciones de Atacante y Vctima.
IP Origen e IP Destino son las direcciones IP del (ltimo) paquete que provoc la
situacin. Como el paquete puede ser una peticin o una respuesta, asegrese de
elegir la opcin correcta basndose en el patrn que la situacin detecta para evitar un
etiquetado inverso.
Las direcciones IP de Connection Source (Origen de la Conexin) y Connection
Destination (Destino de la Conexin) dependen de qu host abriera la conexin y
proporcionan un punto de referencia constante para el cliente y servidor en las
comunicaciones.
Para Continuar
Dependiendo del tipo de elemento de Situacin, vaya a Definir Opciones de Contexto
para Situaciones (pag 599) o Definir Opciones de Contexto para Situaciones de
Correlacin (pag 602).
Definir Opciones de Contexto para Situaciones

Prerrequisitos: Crear Nuevos Elementos Situacin
La informacin de Contexto da informacin sobre qu clase de patrones quiere que busque

en el trfico, por ejemplo si quiere buscar una cierta secuencia de caracteres en un flujo
HTTP desde el cliente al servidor.
El Contexto le proporciona una serie de opciones o un campo para introducir una expresin
regular que puede usar para definir el patron que quiere buscar en el trfico (vea Sintaxis de
las Expresiones Regulares (pag. 947)).
Nota Con la excepcin de la lista blanca de URLs en el Filtrado de URLs, las

Situaciones se identifican en el sistema slo mediante el nombre. Evite buscar el mismo
patrn en diferentes elementos de Situacin. Las situaciones con patrones duplicados
pueden dificultar leer y gestionar la poltica.
Estas instrucciones son para Situaciones de Cortafuegos y Sensor. Para Situaciones de

Analizador, vea Definir Opciones de Contexto para Situaciones de Correlacin (pag 602).
Para definir opciones de Contexto para una Situacin

1. En las propiedades de Situacin, cambie a la pestaa Context.
2. Pulse Select. Aparecern las categoras de Contexto disponibles.
3. Seleccione el Contexto que quiere asociar con esta situacin. Las opciones para ese
contexto se aaden a las propiedades de situacin.
Pulse el botn derecho en cualquier Contexto en el dilogo y seleccione Properties
para ver una descripcin y/o instrucciones de uso para el contexto.
Los contextos pueden ser actualizados en paquetes de actualizacin dinmicos, de
modo que las propiedades del contexto contienen la informacin ms actual disponible.
Para Continuar
Para rellenar las opciones de Filtrado de URLs HTTP, vea Definir Opciones
de Filtrado de URLs HTTP (pag 600).
Para rellenar opciones de deteccin de escaneos, vea Definir Opciones de
Deteccin de Escaneo de Puerto/Host (pag 600).
Para muchos Contextos, debe escribir una expresin regular, vea Sintaxis
de las Expresiones Regulares (pag 947).
En otros casos, abra el dilogo de Propiedades para el element Conexto
para ms informacin. Cuando haya configurado la informacin necesaria,
proceda a Aadir Etiquetas a Una Situacin a la Vez (pag. 607).
Tareas Relacionadas
Definir Opciones de Contexto para Situaciones de Correlacin (pag 602)
Definir Opciones de Filtrado de URLs HTTP

Las Situaciones de Filtrado de URLs HTTP le permiten definir listas de URLs que bloquean
(blacklist) el acceso a dichas URLs. Cuando se usan en combinacin con el filtrado Web basado
en categoras, estos tipos de listas pueden ser usados para pemitir (whitelist) URLs individuales
que estn incluidas en una categora de por s bloqueada. Las listas blancas de URLs slo
afectan al filtrado basado en URL y no excluyen el trfico de otro tipo de inspecciones.
Nota Para poder filtrar URLs HTTPS, debe descifrar primero el trfico (vea Empezar
con la Inspeccin HTTPS (pag. 656)).
Para configurar un Control de Acceso Web

1. Cree un nuevo elemento Situacin con las propiedades adecuadas (vea Crear Nuevos
Elementos Situacin (pag. 597) para ms informacin).
2. Pulse sobre la pestaa Context y seleccione el Contexto: Application
ProtocolshttpHTTP URL Filter.
3. Pulse el botn Add (Aadir) bajo el panel de entrada. Puede aadir hasta 20 URLs por
situacin.
4. Haga doble click sobre la fila recin aadida e introduzca la URL sin especificar el
protocolo, por ejemplo, www.ejemplo.com.
Cada URL puede tener un mximo de 64 caracteres de longitud.
Para bloquear o permitir el acceso a una URL extacta, escriba:
www.ejemplo.com/index.html
Para bloquear o permitir el acceso a un dominio, ponga: ejemplo.com
Puede utilizar un asterisco (*) al principio de la URL, por ejemplo: *.ejemplo.com
(comprueba las peticiones para www.ejemplo.com y extranet.ejemplo.com pero
no para la variante cortas ejemplo.com).
5. Aada Etiquetas si lo considera necesario para organizar esta Situacin y pulse OK.
Para Continuar
Aadir Etiquetas a Una Situacin a la Vez (pag. 607)
Definir Opciones de Deteccin de Escaneo de Puerto/Host

Las opciones del Contexto Evento de Comienzo de Escaneo se pueden usar para definir los
lmites para el trfico normal, permitiendo tomar acciones cuando los valores se exceden. Para
ms informacin , vea la Gua de Referencia IPS Reference Guide.
La siguiente tabla explica las opciones para el Contexto de Evento de Comienzo de Escaneo.
Tabla 141: Parmetros de Deteccin de Escaneo
Parmetro Descripcin
Port scan start period (Periodo de
Se informa de un escaneo de puertos si se sobrepasa cualquiera
comienzo del escaneo de
de los umbrales dentro de este lmite de tiempo.
puertos) (segundos)
Port scan idle timeout (Tiempo de
El escaneo de puertos se asume como finalizado si el origen no
inactividad del escaneo de
hace intentos de escaneo en este lmite de tiempo.
puertos) (segundos)
Port scan status delay (Retardo
Define cada cunto tiempo se reporta el estado provisional del
del estado del escaneo de
escaneo de puertos.
puertos) (segundos)
Tabla 142: Parmetros de Deteccin de Escaneo (Continuacin)
Parmetro Descripcin
Define cuntas conexiones TCP que proceden normalmente de
Maximum normal TCP connections
acuerdo con las definiciones del protocolo se permiten antes de
(Mximas conexiones normales TCP)
tomar la accin.
Maximum allowed open TCP ports
Nmero de respuestas SYN+ACK que se permiten durante el
(Mximo nmero de puertos TCP abiertos
seguimiento antes de tomar la accin.
permitidos)
Maximum unreplied TCP connections Nmero de conexiones TCP sin contestar que se permiten durante el
(Mximas conexiones TCP sin rplica) seguimiento antes de tomar la accin.
Maximum allowed closed TCP Ports
Nmero de rplicas RST que se permiten durante el seguimiento
(Mximo nmero de puertos TCP
antes de tomar la accin.
cerrados permitido)
Maximum TCP segments with no SYN or
ACK Nmero de segmentos TCP sin flag SYN ni ACK que se permiten
(Nmero mximo de segmentos sin SYN antes de tomar la accin.
o ACK)
Wait time for TCP connections
Retardo para juzgar si una conexin TCP es un escaneo de puertos
(Tiempo de espera para las conexiones
exitoso o un intento de conexin no contestado.
TCP)
Maximum UDP packet destinations Nmero de destinos UDP permitidos por host durante el seguimiento
(Mximo de destinos UDP) antes de tomar la accin.
Maximum bidirectional UDP transfers
Nmero de transferencias bidireccionales UDP permitidas por host
(Mximas transferencias bidireccionales
durante el seguimiento antes de tomar la accin.
UDP)
Maximum unidirectional UDP transfers Nmero permitido de destinos UDP que no han contestado o han
(Mximas transferencias UDP contestado con error ICMP durante el periodo de seguimiento antes
unidireccionales) de tomar la accin.
Maximum allowed closed UDP ports
Nmero de rplicas ICMP Port Unreachable permitidas por host
(Mximos puertos UDP cerrados
durante el seguimiento antes de tomar la accin.
permitidos)
Maximum ICMP requests per host Nmero de destinos de peticiones ICMP permitidos por host durante
(Mximas peticiones IMP por host) el seguimiento antes de tomar la accin.
Maximum unreplied ICMP request
destinations Nmero de destinos de peticiones ICMP que no han contestado
(Mximos destinos de peticiones ICMP sin durante el seguimiento antes de tomar la accin.
respuesta)
Maximum ICMP Echo Request
destinations Nmero de destinos de peticiones ICMP Echo Request (ping)
(Mximos destinos de peticiones de Echo permitidos durante el seguimiento antes de tomar la accin.
ICMP)
Maximum unreplied ICMP Echo Requests Nmero de destinos de peticiones ICMP Echo Request (ping) que
(Mximas peticiones ICMP Echo Request) no han contestado durante el seguimiento antes de tomar la accin.
Maximum ICMP Timestamp Request
destinations Nmero de destinos de peticiones ICMP Timestamp Request
(Mximos destinos de peticiones ICMP permitidos por host durante el seguimiento antes de tomar la accin.
Timestamp Request)
Maximum unreplied ICMP Timestamp
Requests Nmero de destinos de peticiones ICMP Timestamp Request que
(Mximas peticiones ICMP Timesatamp no han contestado durante el seguimiento antes de tomar la accin.
Request sin contestar)
Maximum ICMP Netmask Request
destinations Nmero de destinos de peticiones ICMP Netmask Request
(Mximos destinos ICMP Netmask permitidos por host durante el seguimiento antes de tomar la accin.
Request)
Tabla 143: Parmetros de Deteccin de Escaneo (Continuacin)
Parmetro Descripcin
Maximum unreplied ICMP
Nmero de destinos de peticiones ICMP Netmask Request que
Netmask Requests
no han contestado permitidos por host durante el seguimiento
(Mximas peticiones ICMP Netmask
antes de tomar la accin.
Request no contestadas)
Para continuar:
Definir Opciones de Contexto para Situaciones de Correlacin

Las situaciones de correlacin son usadas por los Analizadores para conducir anlisis
posteriores sobre los eventos detectados por los sensores. Las Situaciones de Correlacin
no gestionan trfico directamente, sino que analizan los eventos generados por los Sensores
(concidencias con Situaciones encontradas en el trfico).
To set Context information for Correlation Situations
1. En las propiedades de la Situacin, cambie a la pestaa Context (Contexto).
2. Pulse el botn Select (Seleccionar) y pulse sobre Correlations (Correlaciones) en el
dilogo que se abre.
3. Si todos los elementos estn desactivados (en color gris), la Situacin que est editando
no es una Situacin de Correlacin.
4. Pulse sobre Select, y seleccione el Contexto que quiere asociar con esta Situacin:
Compress (Comprimir) combina eventos similares repetidos en la misma entrada de
log, reduciendo el nmero de entradas de log. Si elge este contexto, contine en
Configurar Contextos Compress (pag. 603).
Count (Contar) encuentra patrones recurrentes en el trfico contando las veces que
ocurren ciertas Situaciones dentro de un periodo definido. La Situacin se cumple si se
exceden los valores de umbral definidos. Si elige este contexto, contine en Configurar
Contextos Count (pag. 604).
Group (Agrupar) encuentra patrones en el trfico comprobando si todos los eventos en
el conjunto definido de Situaciones suceden al menos una vez en cualquier orden
dentro del periodo de tiempo definido. Si elige este contexto, contine en Configurar
Contextos Group (pag. 604).
Match (Coincidir) le permite filtrar los datos de eventos usando Filtros de Logs. Si elige
este contexto, contine en Configurar Contextos Match (pag. 605).
Sequence (Secuencia) encuentra patrones en el trfico comprobando si todos los
eventos en el conjunto de Situaciones definido se cumplen en un orden determinado en
el periodo de tiempo definido. Si elige este contexto, contine en Configurar Contextos
Sequence (pag. 606).
Tareas Relacionadas
Si desea configurar las opciones para una Situacin de Cortafuegos o de Sensor en lugar de
stas, vea Definir Opciones de Contexto para Situaciones (pag. 599).
Configurar Contextos Compress

Tip Se muestran Tooltips cuando sita el cursor del ratn sobre un campo o nombre de campo y lo
mantiene all por un tiempo.
Precaucin Tenga cuidado cuando defina las opciones del Contexto Compress. Debe
asegurarse de que todos los datos de eventos que comprima son realmente partes del
mismo evento, o se arriesga a perder informacin valiosa sobre los eventos.
Para configurar los parmetros del contexto Compress

1. Explore las Situaciones que quiere contar en el panel izquierdo del dilogo y arrastre y
sultelas en el campo Correlated Situations (Situaciones Correladas).
2. Escriba la Ventana de Tiempo (Time Window) en segundos. Las coincidencias con las
Situaciones seleccionadas se combinan en una nica entrada de log comn cuando se
detectan en menos del tiempo definido unas de otras.
3. Escriba los Eventos por Ventana (Events per Window). Esto define el mximo nmero
de eventos que se reenvan dentro de la Ventana de Tiempo definida.
4. Seleccione una opcin para Log Fields Enabled (Campos de Logs Activados):
Select (Seleccionar) significa incluir los elementos que coinciden: los eventos
provocados por las situaciones seleccionadas se consideran los mismos cuando los
avlores son idnticos en los Campos de Log que coloque en Log names (Nombres de
log).
Ignore (Ignorar) significa excluir los elementos coincidentes: los eventos provocados
por las Situaciones seleccionadas se consideran iguales excepto cuando los valore son
idnticos en los Campos de Log colocados en Log names.
5. Pulse sobre el campo Log names (Nombres de log) para mostrar los elementos
correctos en el panel izquierdo y arrastre y suelte los campos de logs deseados. Los
campos de log seleccionados son usados por la opcin de coincidencai que seleccion
en el paso anterior.
6. Seleccione una opcin para Location (Localizacin) para determinar el orden de
ejecucin de la opcracin Compress que defina aqu en relacin con otras operaciones
Compress. Las operaciones que comparten la misma Localizacin se ejecutan en
paralelo; cada operacin de compresin recibe los mismos eventos que las otrs
operaciones de compresin en la misma Localizacin. La siguiente Localizacin recibe
slo aquellos eventos que quedan tras la compresin. Las posibles Localizaciones son:
Very Early: antes de Early.
Early: antes de cualesquiera otras operaciones de correlacin (no compresin). Tras
esta localizacin, los eventos restantes son procesados por otras operaciones de
correlacin antes de que el analizador contine con posteriores operaciones de
Compresin.
Late: despus de todas las dems operaciones de correlacin (no compresin).
Very Late: despus de Late.
Precaucin Tenga cuidado cuando use las Localizaciones Early o Very Early, dado
que la compresin puede afectar a otros tipos de tareas de correlacin. Usar Early y Very
Early puede mejorar el rendimiento si la carga del Analizador es constantemente alta.
7. Seleccione un Filtro de Compresin (Compress Filter) para filtrar los datos incluidos en
la compresin.
Para continuar:
Proceda a Aadir Etiquetas a Una Situacin a la Vez (pag. 607).
Configurar Contextos Count

Para configurar los parmetros del contexto Count
1. Navegue a las Situaciones que quiere contar en el panel izquierdo del dilogo y arrastre y
sultelas en el campo Correlated Situations (Situaciones Correladas).
2. Escriba la Ventana de Tiempo (Time Window) en segundos. ste es el periodo de tiempo
dentro del cual las coincidencias con la Situacin deben ocurrir el nmero de veces
especificado.
3. Escriba el nmero para el Umbral de Alarma (Alarm Threshold). ste es el nmero de
veces que debe ocurrir la Situacin.
4. Elija una opcin para Log Fields Enabled (Campos de Logs Activados):
Select (Seleccionar) significa incluir los elementos que coinciden: los eventos provocados
por las situaciones seleccionadas se consideran los mismos cuando los avlores son
idnticos en los Campos de Log que coloque en Log names (Nombres de log).
Ignore (Ignorar) significa excluir los elementos coincidentes: los eventos provocados por
las Situaciones seleccionadas se consideran iguales excepto cuando los valore son
idnticos en los Campos de Log colocados en Log names.
5. Pulse en el campo Log names para mostrar los elementos correctos en el panel izquierdo
y arrastre y suelte los campos de log deseados. Los campoos de log seleccionados son
usados por la opcin de coincidencia que seleccion en el paso anterior.
Para continuar:
Configurar Contextos Group

El contexto Group tiene una tabla que le permite definir filtros de log y campos de log para seleccionar
qu detalles se consideran cuando se agrupan los eventos. En este contexto, el orden en el que
ocurren los eventos no se considera. Si le gustara tener en cuenta el orden de los eventos, use el
contexto Sequence en su lugar (vea Configurar Contextos Sequence (pag. 606)).
Para configurar los parmetros del contexto Group
1. Arrastre y suelte un Filtro (Filter) desde el panel izquierdo a las celdas Event Match
(Coincidencia de Evento) para cada Miembro (Member). Esto selecciona los eventos para
su exmen. Puede aadir y eliminar miembros usando los botones de la derecha (para
eliminar un miembro, primero elija una celda dentro de la columna de ese miembro).
2. Escriba el Nmero Necesario (Needed Number) para cada Miembro para definir cuntas
ocurrencias de la Coincidencia de Evento (Event Match) se requieren para que los eventos
sean agrupados.
3. Arrastre y suelte un campo de log desde el panel izquierdo a la celda Binding (Asociacin).
Puede aadir y eliminar Asociaciones usando los botones de la derecha.
Debe seleccionar los campos de log que pueden recibir el mismo tipo de valor para cada
fila Binding. El agrupamiento se hace por fila de Binding si los eventos seleccionados
tienen valores idnticos en los Campos de Log que seleccione.
Ejemplo Es posible un agrupamiento si el Miembro #1 incluye un campo direccin IP de origen para la

Asociacin #1 y el Miembro #2 incluye un campo direccin IP de destino para la Asociacin #1, puesto
que ambos campos pueden recibir una direccin IP como valor.
4. Arrastre y suelte las Situaciones relevantes en el campo Correlated Situations
(Situaciones Correladas).
5. Seleccione si quiere Guardar y Reenviar los Eventos (Keep and Forward Events):
Seleccionar Yes hace que la Situacin examine los eventos y provoque la respuesta
deseada definida en la regla de inspeccin pero no combine los eventos coincidentes en
un nico evento. Todos los eventos individuales estn an disponibles para su inspeccin
posterior, incluso aunque ya han provocado una respuesta.
Seleccionar No hace que la Situacin agrupe los eventos coincidentes, de forma que slo
la respuesta definida para la regla de Inspeccin que se cumple se lanza, y no hay un
procesado posterior de los eventos individuales.
6. Escriba el Tamao de la Ventana de Tiempo (Time Window Size) en segundos. ste es el
periodo de tiempo en que los eventos deben ocurrir para considerar que coinciden con la
regla.
7. Seleccione si quiere lanzar Respuestas Continuas (Continuous Responses):
Seleccionar Yes hace que el analizador responda segn se define en la regla de
Inspeccin a cada ocurrencia del evento definidio dentro de la Ventana de Tiempo
seleccionada (varias veces si el evento ocurre frecuentemente).
Seleccionar No hace que el analizador responda slo a la primera ocurrencia del evento
definido dentro de la Ventana de Tiempo seleccionada (slo una vez por cada periodo de
tiempo, incluso aunque los eventos ocurran ms frecuentemente).
Para continuar:
Configurar Contextos Match

Para configurar los parmetros del contexto Match
1. Navegue a las Situaciones que quiere contar en el panel izquierdo del dilogo y arrstrelas
y sultelas en el campo Correlated Situations.
2. Pulse sobre el campo Filter para mostrar los filtros en el panel izquierdo y arrastre y suelte
el Filtro para encontrar patrones en los datos de eventos.
Para continuar:
Configurar Contextos Sequence

El contexto Sequence tiene una tabla que puede usar para definir, en orden de izquierda a
derecha, los eventos que comprenden una secuencia. Esto le permite detectar eventos tales
como cuando una peticin de un cliente incluye un patrn y la respuesta del servidor incluye
un segundo patrn.
La tabla tiene celdas grises y blancas; las celdas blancas deben rellenarse, las grises se
dejan vacas. Si le gustara comprobar eventos independientemente del orden en que
sucedan, use en su lugar el contexto Group (vea Configurar Contextos Group (pag. 604)).
Para configurar los parmetros del contexto Group
1. Arrastre y suelte u filtro del panel izquierdo a la celda Event Match (Coincidencia de
Evento) para la columna Entry to #1 (Entrada al #1) para definir el primer evento de la
secuencia.
2. Arrastre y suelte un campo de log desde el panel izquierdo a la celda Binding #1
(Asociacin #1) en la columna Exit from #1 (Salida del #1). Puede aadir y eliminar
Asociaciones usando los botones de la derecha.
Debe seleccionar campos de log que puedan recibir el mismo tipo de valor para cada
fila de Asociacin. El secuenciamiento se hace por fila de Asociacin si los eventos
seleccionados tienen valores idnticos en los Campos de log que defina.
Ejemplo Una secuencia puede detectarse si la secuencia de Exit from #1 (Salida de #1) incluye un campo
direccin IP de origen para la Asociacin # 1 (Binding #1) y Entry to #2 (Entrada a #2) incluye un
campo direccin IP de destino para la Asociacin #1 (Binding #1) puesto que ambos campos
pueden recibir una direccin IP como valor.
3. Tras aadir el nmero necesario de filas de Asociacin (Binding), defina el campo Event
Match para Entry to #2 (Entrada a #2) del mismo modo que para Entry to #1.
4. Defina las filas Binding (Asociacin) para la columna Entry to #2 (Entrada a #2). Segn se
explic arriba, el tipo de valor que puede contener este campo debe ser el mismo que en
otras columnas de la misma fila de Binding.
5. (Opcional) Para crear una secuencia ms compleja, aada una fase usando los botones
de la derecha. Una fase aade las columnas Exit necesarias para la fase previa y una
columna Entry para un nuevo evento que puede aadir a la secuencia. Las posteriores
secuencias se rellenan de la misma forma descrita arriba.
6. Cuando haya terminado de definir la secuencia, arrastre y suelte las Situaciones relevantes
en el campo Correlated Situations (Situaciones Correladas) bajo la tabla.
7. Seleccione si quiere Guardar y Reenviar los Eventos (Keep and Forward Events):
Seleccionar Yes hace que la Situacin examine los eventos y provoque la respuesta
deseada definida en la regla de inspeccin pero no combine los eventos coincidentes
en un nico evento. Todos los eventos individuales estn an disponibles para su
inspeccin posterior, incluso aunque ya han provocado una respuesta.
Seleccionar No hace que la Situacin agrupe los eventos coincidentes, de forma que
slo la respuesta definida para la regla de Inspeccin que se cumple se lanza, y no hay
un procesado posterior de los eventos individuales.
8. Escriba el Tamao de la Ventana de Tiempo (Time Window Size) en segundos. ste
es el periodo de tiempo en que los eventos deben ocurrir.
Para continuar:
Definir Etiquetas para Situaciones

Proceda a uno de los siguientes temas:

Crear una Nueva Etiqueta (pag. 607)
Aadir Etiquetas a Varias Situaciones a la Vez (pag. 608)
Eliminar Etiquetas de Situaciones (pag. 608)
Crear una Nueva Etiqueta

Los elementos Tag (Etiquetas) recopilan varias Situaciones que tienen algo en comn (por
ejemplo, Situaciones que detectan amenazas contra un Sistema Operativo en particular). Las
Etiquetas se muestran como ramas del rbol de Situaciones. Los elementos Etiqueta le
ayudan a organizar el rbol, y puede usar las Etiquetas en reglas de Inspeccin para
comprobar la regla fcilmente con todas las Situaciones que referencian a la Etiqueta.
Para crear una nueva Etiqueta
2. Expanda la rama Other ElementsSituations (Otros ElementosSituaciones) del
arbol de elementos.
3. Pulse botn derecho sobre la rama By Tag (Por Etiqueta) bajo Situations y seleccione
una de los siguientes opciones del men que se abre:
NewApplication (NuevoAplicacin).
NewHardware (NuevoHardware).
NewOperating System (NuevoSistema Operativo).
NewSituation Tag (NuevoEtiqueta de Situacin).
4. Escriba un Nombre (Name) y opcionalmente un Comentario (Comment) para la nueva
Etiqueta y pulse OK. La nueva Etiqueta se aade al rbol bajo la categora principal que
seleccin en el paso anterior.
Para continuar:
Para usar esta Etiqueta para organizar Situaciones, contine en Aadir Etiquetas a
Una Situacin a la Vez (pag. 607) o Aadir Etiquetas a Varias Situaciones a la Vez
(pag. 608).
Aadir Etiquetas a Una Situacin a la Vez

Cuando edita las propiedades de una Situacin, puede aadir etiquetas segn se explica
ms abajo. Tambin puede aadir etiquetas mediante el men de botn derecho de una
Situacin, permitindole aadir las mismas etiquetas a varias situaciones a la vez, vea Aadir
Etiquetas a Varias Situaciones a la Vez (pag. 608).
Para aadir Etiquetas en las propiedades de la Situacin
1. En las propiedades de la Situacin, cambie a la pestaa Tags (Etiquetas).
2. Pulse Add Tags (Aadir Etiquetas) y elija el tipo de Etiqueta de la lista que se abre. Se
abrir el dilogo de Aadir.
3. Seleccione las Etiquetas que quiere usar con esta Situacin y pulse Select
(Seleccionar).
4. Repita los pasos para aadir ms etiquetas de cualquier tipo.
5. Pulse OK para confirmar el cambio de las propiedades de la Situacin.
Si acaba de crear una nueva Situacin, puede querer asociarle la apropiada informacin de
Vulnerabilidad, vea Trabajar con Vulnerabilidades (pag. 609).
Aadir Etiquetas a Varias Situaciones a la Vez

Puede aadir cualquier nmero de Etiquetas de diferentes tipos a cada Situacin.
Para aadir etiquetas desde el rbol de elementos
rbol de elementos y una de las ramas siguientes que contenga las Situaciones que
quiere editar.
3. Seleccione con Ctrl- o Shift- las Situaciones que quiere etiquetar.
4. Pulse botn derecho sobre una de las Situaciones seleccionadas y seleccione Add Tag
(Aadir Etiqueta). Los tipos de etiquetas se muestran en un submenu.
Ilustracin 207: Aadir Etiquetas a Varias Situaciones a la Vez
5. Seleccione el tipo de Etiqueta que quiere aadir desde el submen y seleccione las
Etiquetas que quiere adjuntar a las Situaciones en el dilogo de Aadir que se abre.
Eliminar Etiquetas de Situaciones

Las Etiquetas por defecto de las Situaciones del Sistema (proporcionadas en los Paquetes
de Actualizacin) no pueden eliminarse. Slo puede eliminar aquellas etiquetas que los
Administradores han aadido en su sistema.
Para eliminar una asociacin de Etiqueta de una Situacin
rbol de elementos y una de las ramas siguientes que contenga las Situaciones que
quiere editar.
3. Pulse botn derecho sobre la Situacin correcta y seleccione Properties (Propiedades).
4. Cambie a la pestaa Tags.
5. Pulse botn derecho sobre la etiqueta que quiere eliminar y selecione Remove
(Eliminar).
6. Pulse OK.
Trabajar con Vulnerabilidades

Las vulnerabilidades proporcionan una descripcin corta del evento que se ha detectado y una
referencia a informacin externa sobre la vulnerabilidad (CVE/BID/MS/TA). Cuando un elemento
Situacin se refiere a una Vulnerabilidad, la informacin de vulnerabilidad se incluye en las
entradas de log cuando la Situacin coincide con algn trfico. Tambin puede usar los cdigos
de vulnerabilidad en la bsqueda de elementos para encontrar elementos Situacin y
Vulnerabilidad en el sistema que se refieran al cdigo.
La informacin de vulnerabilidad se incluye en los paquetes de actualizacin dinmica, de forma que
las Situaciones proporcionadas por Stonesoft ya estn enlazadas con una Vulnerabilidad donde
corresponde. Puede asociar Situaciones con una Vulnerabilidad existente o aadir un elemento
Vulnerabilidad personalizado.
Tareas Relacionadas
Crear Nuevos Elementos Vulnerabilidad (pag. 609)
Asociar Vulnerabilidades con Situaciones (pag. 610).
Crear Nuevos Elementos Vulnerabilidad

Para crear un nuevo elemento Vulnerabilidad
2. Expanda la rama Other ElementsSituations (Otros ElementosSituaciones) del rbol
de elementos.
3. Pulse botn derecho sobre la rama By Vulnerability (Por Vulnerabilidad) en la vista de
rbol y seleccione NewVulnerability (NuevoVulnerabilidad) desde el men. Se abrir
el dilogo de Propiedades de la Vulnerabilidad.
4. Proporcione un nombre descriptivo para la vulnerabilidad y opcionalmente un comentario.
El Comentario no se muestra en la vista de logs. Use el campo Description (Descripcin)
para escribir informacin que se muestre en los logs.
5. Para crear una referencia a informacin externa sobre la vulnerabilidad, seleccione uno o
ms sistemas de referencia en la seccin Reference System y escriba el ID que tiene esta
vulnerabilidad en ese sistema:
Mitre: el formato de ID de la vulnerabilidad es CVE-YYYY-XXXX
SecurityFocus: el formato de ID de la vulnerabilidad es BID-XXXXX
Microsoft: el formato de ID de la vulnerabilidad es MSYY-XXX
Us-Cert: el formato de ID de la vulnerabilidad es TAYY-XXXX
6. Tras introducir el ID de vulnerabilidad, pulse Show (Mostrar) al lado del campo ID para ver
la informacin sobre la vulnerabilidad en el sistema de referencia.
7. Escriba o copie y pegue una descripcin corta acerca de la vulnerabilidad en el campo
Description.
8. Bajo Situations, navegue a los elementos Situacin correctos, seleccinelos (uno o varios
a la vez) y pulse el botn Add (Aadir) para asociarlos con esta Vulnerabilidad. Las
Situaciones seleccionadas se aaden al campo Content (Contenido) a la derecha.
9. Cuando haya terminado de aadir Situaciones, pulse OK. Las Situaciones seleccionadas
estn ahora asociadas con esta Vulnerabilidad, y un enlace a esta Vulnerabilidad se aade
al dilogo de propiedades de las Situaciones.
Asociar Vulnerabilidades con Situaciones

Para aadir/eliminar una Vulnerabilidad de elementos Situaciones
2. Expanda la rama Other ElementsSituationsBy Vulnerability (Otros
ElementosSituacionesPor Vulnerabilidad).
3. Pulse botn derecho sobre la Vulnerabilidad correcta en el rbol y seleccione
Properties (Propiedades) desde el men. Se abrir el dilogo de Propiedades de la
Vulnerabilidad.
4. Seleccione los elementos Situacin (uno o varios a la vez) y pulse el botn Add
(Aadir) o Remove (Eliminar) para cambiar la seleccin en el campo Content
(Contenido) de la derecha.
5. Cuando haya terminado de aadir o eliminar Situaciones, pulse OK. Las Situaciones
seleccionadas estn ahora asociadas con esta Vulnerabilidad, y un enlace a esta
Vulnerabilidad se aade (o elimina) en el dilogo de propiedades de las Situaciones.
Definir Respuestas de Usuario 611
CAPTULO 42
DEFINIR RESPUESTAS DE USUARIO
El elemento User Response (Respuesta de Usuario) le permite enviar una respuesta

personalizada al usuario en lugar de simplemente terminar la conexin cuando se rechaza,
termina o se aplica la lista negra en una conexin HTTP. Las Respuestas de Usuario pueden
usarse en Reglas de Acceso de IPS y en reglas de Inspeccin de Cortafuegos e IPS.
Empezar con las Respuestas de Usuario (pag. 612)

Crear Respuestas de Usuario (pag. 612)
Definir Entradas de Respuesta de Usuario (pag. 613)
Empezar con las Respuestas de Usuario

Qu Hacen las Respuestas de Usuario

Las Respuestas de Usuario le permiten definir respuestas personalizadas que se envan al
usuario cuando no se permite continuar a una conexin HTTP o HTTPS. Esto posibilita
explicar al usuario por qu se par la conexin, en lugar de simplemente cerrarla sin
notificacin alguna. Las Respuestas de Usuario ayudan a los administradores a diferenciar
casos donde una conexin fue bloqueada por el IPS de casos donde un problema tcnico
impidi que la conexin se realizara.
Limitaciones de las Respuestas de Usuario
En los cortafuegos, las Respuestas de Usuario slo pueden usarse en las reglas de
Inspeccin. Por esta razn, los cortafuegos no pueden usar Respuestas de Usuario cuando
una conexin est en la lista negra o se rechaza por una regla de Acceso.

1. Cree un elemento Respuesta de Usuario segn se explica en Crear Respuestas de Usuario
(pag. 612).
2. Defina las respuestas que se enviarn a los usuarios cuando no se permita continuar a
una conexin. Vea Definir Entradas de Respuesta de Usuario (pag. 613).
3. Use el elemento respuesta de Usuario en las reglas de Acceso y de Inspeccin segn se
requiera. Vea Editar Reglas de Acceso (pag. 518) y Editar Reglas de Inspeccin (pag. 531).
Crear Respuestas de Usuario

Para crear una Respuesta de Usuario

ConfigurationConfigurationIPS desde el men. Se abrir la vista de
Configuracin.
2. Navegue a Other ElementsIPS Properties o Firewall PropertiesUser
Responses (Otros EmsPropiedades de IPS o Propiedades de
CortafuegosRespuestas de Usuario).
3. Pulse botn derecho sobre User Responses (Respuestas de Usuario) y seleccione
New User Response (Nueva Respuesta de Usuario). Se abrir el dilogo de
Propiedades de Respuesta de Usuario.
4. Introduzca un Nombre (Name) nico.
Para continuar:
Personalice las respuestas que se envan a los usuarios. Proceda a Definir Entradas
de Respuesta de Usuario (pag. 613).
Definir Respuestas de Usuario 613
Definir Entradas de Respuesta de Usuario

Prerrequisitos: Crear Respuestas de Usuario
Puede definir una entrada de respuesta de Usuario diferente para cada uno de los siguientes
casos en los que no se permite continuar una conexin HTTP o HTTPS:
Connection blacklisted (Conexin en lista negra): la conexoin se descart de acuerdo con
una regla con la accin Apply Blacklist (Aplicar Lista Negra). Vea Empezar con la Lista Negra
Connection refused by Access rule (Conexin rechazada por regla de Acceso): la conexin
se descart de acuerdo con una regla de Acceso con la accin Refuse (Rechazar).
Connection terminated by inspection rule (Conexin rechazada por regla de Inspeccin):
la conexin fue terminada de acuerdo con una regla de Inspeccin con la accin Terminate.
URL not allowed (URL no permitida): la conexin fue terminada por una de las situaciones
especiales de filtrado de URLs. Vea Empezar con el Filtrado Web (pag. 652)para ms
informacin.
Virus found (Firewall) (Virus encontrado Cortafuegos): la funcionalidad de antivirus del
cortafuegos encontr un virus en la pgina Web. Vea Configurar las Opciones de Anti-Virus
Para definir una entrada de Respuesta de usuario

1. Cambie a la pestaa HTTP(S) del dilogo de Propiedades de la Respuesta de Usuario.
Ilustracin 208: Propiedades de la Respuesta de Usuario - Pestaa HTTP(S)
2. Pulse Edit (Editar) para la entrada que quiera cambiar. Se abrir el dilogo de Propiedades
de Entrada de Respuesta de Usuario.
Ilustracin 209: Propiedades de Entrada de Respuesta de Usuario
3. Elija una de las siguientes respuestas:

TCP Close (Cierre TCP): Se cierra la conexin. No se enva respuesta al usuario.
URL Redirecting (Redireccin URL): Introduzca la URL a la que se redirigir la
conexin. La URL debe empezar por http://
HTML Page (Pagina HTML): Introduzca el cdigo fuente HTML a mostrar al usuario.
El cdigo fuente HTML debe ser una pgina HTML completa, incluyendo las
etiquetas <html> y <body>.
4. Pulse OK.
Para continuar:
Seleccione el elemento Respuesta de Usuario en las opciones de la Accin de las
reglas de Acceso y de Inspeccin segn se requiera. Vea Editar Reglas de Acceso
(pag. 518) y Editar Reglas de Inspeccin (pag. 531).
Calidad de Servicio (Quality of Service - QoS) 615
CAPTULO 43
CALIDAD DE SERVICIO (QUALITY OF

SERVICE - QOS)
Las funcionalidades de Calidad de Servicio (Quality of Service - QoS) le permiten

gestionar el ancho de banda y priorizar conexiones en el cortafuegos. Las
funcionalidades de QoS estn disponibles en los cortafuegos.
Empezar con QoS (pag. 616)

Crear Clases de QoS (pag. 617)
Definir Polticas de QoS (pag. 618)
Comprobar las Reglas de QoS con el Trfico de Red (pag. 620)
Definir la Velocidad de los Interfaces y la Poltica de QoS (pag. 621)
Empezar con QoS

QoS (Quality of Service Calidad de Servicio) le permite gestionar el ancho de banda

disponible y garantizar que a los servicios de red importantes se les da prioridad sobre
trfico menos importante.
Qu Hace QoS
Las funcionalidades de QoS del cortafuegos le ayudan de las siguientes formas:
Puede configurar una Garanta (Guarantee) para el ancho de banda mnimo para un tipo
de trfico que siempre debe dejarse pasar rpidamente.
Puede establecer un Lmite (Limit) de ancho de banda mximo para un tipo de trfico que
nunca debe usar ms de una cierta parte del ancho de banda disponible.
Puede establecer un valor de Prioridad (Priority) para el trfico. El trfico de prioridad ms
alta se enva a su destino antes que el trfico de baja prioridad si el cortafuegos necesita
encolar paquetes debido a una congestin.
Tambin puede crear reglas de QoS o escribir las prioridades en los campos DiffServ
Code Point (DSCP) y tipo de servicio (ToS), de forma que StoneGate obedezca las
prioridades establecidas por otro equipamiento de red y otro equipamiento conozca las
prioridades establecidas en StoneGate.
Limitaciones
Las funcionalidades de QoS tienen las siguientes limitaciones notables:
QoS est disponible en los interfaces Fsicos, VLAN y ADSL solamente. QoS no est
disponible en los interfaces de Mdem.
No es posible aplicar una garanta de ancho de banda al trfico Internet entrante en su
enlace con Internet. En el momento en que el cortafuegos ve el trfico, el ancho de banda
ya ha sido usado. Si quiere un ancho de banda garantizado para una porcin especfica
de su trfico de Internet entrante, contacte con su ISP y consulte si pueden aplicar esta
garanta para usted.
Si quiere crear reglas de QoS tanto para el trfico entrante como saliente, debe asignar
una poltica de QoS al menos para dos interfaces. El trfico entrante se procesa de
acuerdo con la poltica de cortafuegos y despus se aplica la poltica de QoS al trfico
permitido en el interfa de salida.
Debe tener claro en qu punto se aplican las reglass de QoS:
Todas las prioridades, lmites y agrantas se aplican, y los cdigos DSCP se escriben a
los paquetes salientes en el interfaz que el trfico usa para salir del cortafuegos de
acuerdo con la poltica de QoS y la velocidad del interfaz definida para ese interfaz.
Para los paquetes que entran en el cortafuegos, la poltica de QoS en ese interfaz slo se
usa para leer los cdigos DSCP y compararlos con las Clases de QoS para usos futuros.
Esta es la nica operacin de QoS que se hace en el interfaz que usa el trfico para
entrar en el cortafuegos.
Ejemplo Si un nuevo paquete entra en el cortafuegos a travs del interfaz A y lo abandona por el interfaz B,
cualquier prioridad, garanta y lmite se configura y aplica en el interfaz B. Las prioridades,
garantas y lmites configurados en el interfaz A se ignoran para paquetes en esta direccin. Si el
paquete contiene un cdigo DSCP cuando entra en el cortafuegos, el cdigo DSCP se lee y se
compara con una Clase de QoS de StoneGate en el interfaz A, pero si un nuevo cdigo DSCP se
escribe en el paquete, el nuevo cdigo se escribe en el interfaz B.

Poltica QoS Cortafuegos
Clase QoS
Poltica de
Cortafuegos
Cree una elemento Clase de Qos para cada tipo de trfico que quiera manejar de forma
diferente en cualquier interfaz de red. Vea Crear Clases de QoS (pag. 617).
Cree una o ms Polticas de QoS para definir cmo se gestiona cada tipo de trfico en los
interfaces. Vea Definir Polticas de QoS (pag. 618).
Asigne Clases de QoS a diferentes tipos de trfico en sus reglas de Acceso. Vea Comprobar
las Reglas de QoS con el Trfico de Red (pag. 620).
Defina la velocidad de cada interfaz y la Poltica de QoS que usa cada interfaz. Vea Definir la
Velocidad de los Interfaces y la Poltica de QoS (pag. 621).
Para continuar:
Para crear su propio esquema de QoS, proceda a Crear Clases de QoS (pag. 617).
Si la poltica de QoS por defecto es suficiente para usted, proceda a Comprobar las
Reglas de QoS con el Trfico de Red (pag. 620).
Crear Clases de QoS

Las clases de QoS enlazan las reglas de QoS con las reglas de Acceso en las polticas de
cortafuegos. Tambin pueden usarse en los elementos Multi-Link de Salida para ajustar el
balanceo de carga de diferentes tipos de conexiones.
Deber crear una clase de QoS para cada regla que piense aadir en cualquier Poltica de
QoS nica, puesto que la poltica de QoS no puede contener reglas que se solapen.
Hay una Poltica de QoS y tres Clases de QoS por defecto en el sistema que pueden usarse
tal cual para establecer prioridades para trfico de alta, media y baja priridad sin garantas o
lmites de ancho de banda.
Tip Tambin puede crear nuevas Clases de QoS desde dentro de la Poltica de QoS de forma similar
a como se describe a continuacin.
Para crear una clas de QoS
1. Seleccione ConfigurationConfigurationFirewall desde el men. Se abrir la vista
de Configuracin del Cortafuegos.
2. Expanda la rama Other Elements del rbol.
3. Pulse botn derecho sobre QoS Classes (Clases de QoS) y seleccione New QoS
Class (Nueva Clase de QoS). Se abrir el dilogo de Propiedades de Clase de QoS.
4. Proporcione un Nombre (Name) para la Clase de QoS.

5. Pulse OK. La nueva Clase de QoS se aadir a los recursos y ya puede ser usada en
polticas. Cree una clase de QoS para cada regla que piense aadir en la Poltica de
QoS.
Definir Polticas de QoS

Prerrequisitos: Crear Clases de QoS
Las polticas de QoS determinan las reglas que sigue el cortafuegos cuando decide a qu
trfico se le da prioridad y cmo se divide el ancho de banda disponible. Se puede asignar
una poltica de QoS a cada interfaz fsico o VLAN. Puede asignar la misma poltica de QoS a
varios interfaces. Para poder usar la misma poltica en interfaces con diferentes velocidades,
introduzca los lmites y garantas de ancho de banda como porcentajes del ancho de banda
total disponible.
La mayora de las definiciones en la Poltica de QoS slo se aplican cuando el trfico
necesita ser encolado, de forma que se aplica en cada interfaz a los paquetes que
abandonan el cortafuegos. La excepcin a esto es el mapeo de cdigos DSCP presentes en
el trfico a Clases de QoS en StoneGate, que se hace cuando los paquetes entran en el
cortafuegos.
Crear Nuevas Polticas de QoS

Para crear una nueva Poltica de QoS
2. Expanda la rama Other Elements del rbol.
3. Pulse botn derecho sobre QoS Policies (Polticas de QoS) en el rbol y seleccione
New QoS Policy (Nueva Poltica de QoS). Se abrir el dilogo de propiedades de la
Poltica.
4. Escriba un Nombre (Name) y pulse OK. Se abrir la nueva poltica de QoS.
Para continuar:
Rellene la poltica segn se explica en Editar Reglas de QoS (pag. 619).
Editar Reglas de QoS

Siga estas directrices generales cuando edite reglas de QoS:
El orden de las reglas en una poltica de QoS no afecta a cmo se gestiona el trfico, ya que la
coincidencia se basa slo en la Clase de QoS.
Use porcentajes en lugar de valores de velocidad absolutos si quiere compartir la misma Poltica
de QoS entre interfaces con diferentes velocidades.
Una operacin de Coincidencia DSCP siempre se hace de acuerdo con la regla de coincidencia en
la Poltica de QoS que est asignada al interfaz usado por el trfico para entrar en el cortafuegos.
Todas las dems operaciones siempre se realizan de acuerdo con la regla de coincidencia en la
poltica de QoS que est asignada al interfaz usado por el trfico para abandonar el cortafuegos.
Las reglas no necesitan cubrir todo el trfico. Al trfico no cubierto se le asigan una prioridad de 8
sin lmites ni garantas.
Para editar una regla de QoS
1. Para aadir una nueva regla de QoS, pulse botn derecho sobre una regla existente (o la
regla por defecto de Procesado Normal) y seleccione Add Rule Before (Aadir regla
Antes) o Add Rule After (Aadir Regla Despus). Se aadir una nueva regla en blanco.
2. Pulse en la celda QoS Class y seleccione la Clase de QoS.
3. Defina cmo gestiona StoneGate el trfico en esta Clase de QoS usando cualquier
combinacin de las siguientes opciones (cada una es opcional):
Guarantee (Garanta): Establece el mnimo ancho de banda asignado a este tipo de trfico
bajo cualquier condicin. Introduzca un nmero en kilobits por segundo (por ejemplo, 300)
o como un porcentaje del ancho de banda disponible (por ejemplo, 10%). Tambin puede
usar las abreviaturas M o G para introducir el valor en megabits o gigabits respectivamente
(por ejemplo, 3M para tres megabits).
Limit (Lmite): Establece el mximo ancho de banda que este tipo de trfico tiene permitido
consumir en cualquier momento. Sets the maximum bandwidth that this type of traffic is
allowed to consume at any one time. Introduzca un nmero en kilobits por segundo (por
ejemplo, 300) o como un porcentaje del ancho de banda disponible (por ejemplo, 10%).
Tambin puede usar las abreviaturas M o G para introducir el valor en megabits o gigabits
respectivamente (por ejemplo, 1G para un gigabit).
Priority (Prioridad): Asigna a este tipo de trfico un nmero que se usa para determinar el
orden en el que el cortafuegos enva los paquetes encolados hacia fuera o los descarta si
la cola se llena. Introduzca un nmero entre 1 (prioridad ms alta) y 16 (ms baja).
4. (Opcional) En DSCP Mark (Marcado DSCP), defina el cdigo DSCP que quiere dar al
trfico que coincide con esta regla (campo ToS Tipo de Servicio). Esto le permite:
Comunicar la prioridad de este trfico a otrs dispositivos que soporten QoS.
Convertir el paquete para usar un esquema de clasificacin diferente si la Clase de QoS se
asign originalmente al trfico coincidente por una coincidencia de DSCP en la Poltica de
QoS del interfaz de origen.
Borrar la clasificacin DSCP establecida por otros dispositivos introduciendo 0 como su
valor (mostrado en la poltica como 0x00).
El cdigo DSCP se aplica al paquete ms externo en trfico encapsulado (como VPN).
5. Guarde la Poltica de QoS.
Para continuar:
Si ha aadido nuevas reglas de QoS, inserte las correspondientes Clases de QoS en las reglas
de Acceso del cortafuegos segn Comprobar las Reglas de QoS con el Trfico de Red.
Si las Clases de QoS necesarias ya estn en las reglas de Acceso del cortafuegos, pero no ha
definido an la Poltica de QoS y velocidades para todos los interfaces fsicos o VLAN, proceda
a Definir la Velocidad de los Interfaces y la Poltica de QoS (pag. 621).
En otro caso, ya ha terminado. Refresque la poltica del cortafuegos para transferir los cambios.
Comprobar las Reglas de QoS con el Trfico de Red

Prerrequisitos: Crear Clases de QoS, Definir Polticas de QoS
Las reglas de QoS se enlazan con diferentes tipos de trfico usando las clases de QoS. Las Clases
de QoS se comprueban con el trfico en las reglas de Acceso del Cortafuegos usando las siguientes
acciones:
Reglas con la accin Allow para asociar una clase de QoS al trfico que cumpla esa regla.
Reglas con la accin Continue para asociar una clase de QoS para todas las reglas
coincidentes subsiguientes que no tengar clase de QoS especfica definida.
Reglas con la accin Use VPN para asociar una clase de QoS para el trfico VPN. El trfico
VPN entrante tambin puede coincidir con una regla normal Allow tras el descifrado. Tenga en
cuenta que QoS no se aplica a trfico encapsulado. Para el trfico saliente, el cifrado se hace
antes de comprobar la Poltica de QoS. Para el trfico entrante, el descifrado se hace despus
de comprobar la Poltica de QoS.
Sin embargo, si quiere leer y usar los marcadores DSCP asignados por otros dispositivos, la Clase
de QoS se asigna usando la Poltica de QoS.
Nota Si se asigna una Clase de QoS al trfico usando una regla de Coincidencia
DSCP, el mismo trfico no debe coincidir con ninguna regla de Acceso que asigne una
Clase de QoS diferente al mismo trfico. Tales reglas de Acceso se superponen a la
Clase de QoS asignada usando una coincidencia DSCP.
Para comprobar una regla de QoS con el trfico de red

1. Abra la Poltica de Cortafuegos para edicin.
2. Pulse la celda QoS Class de una regla que permita trfico a travs del cortafuegos (o
una regla Continue) y arrastre y suelte un elemento Clase de QoS en la celda.
La Clasede QoS enlaza conexiones a una regla de QoS. Puede haber diferenets reglas
en diferentes Polticas de QoS para la misma Clase de QoS.
A los paquetes en ambos sentidos de una conexin se les asigna la misma Clase de
QoS (cuando la conexin se maneja en base a estados, es decir, el seguimiento de
conexiones est activo para la regla).
La Clase de QoS aplicada se muestra en los logs, y tambin pueden generarse
informes basados en esta informacin.
Para continuar:
Si acaba de crear una nueva poltica de QoS, definna las velocidades de los
interfaces y elija esta poltica de QoS para los interfaces relevantes. Vea Definir la
Velocidad de los Interfaces y la Poltica de QoS(pag. 621).
En otro caso, ya ha terminado. Refresque la poltica del cortafuegos para transferir
los cambios.
Tareas Relacionadas
Definir la Velocidad de los Interfaces y la Poltica de QoS

Prerrequisitos: Crear Clases de QoS, Definir Polticas de QoS
Para implementar sus reglas de QoS, defina qu Poltica de QoS usa cada interfaz fsico o
VLAN. Si quiere aplicar lmites y garantas de ancho de banda en su poltica, defina tambin el
ancho de banda que proporciona coda interfaz. Cada interfaz fsico o VLAN tiene dos
parmetros de QoS separados:
Las operaciones de lectura DSCP se hacen en el interfaz por el cual los paquetes entran en el
cortafuegos.
Todas las dems operaciones de QoS se hacen en el interfaz que los paquetes usan para
salir del cortafuegos..
Ejemplo El trfico desde la red interna a Internet (subidas) coincide con la Poltica de QoS del interfaz que
conecta con su ISP. El trfico desde Internet a una red interna (descargas) coincide con la poltica
del interfaz que conecta con su router interno.
Si quiere usar cualquier opcin relacionada con QoS en un interfaz, debe adems definir el
ancho de banda para el interfaz.
Para establecer el ancho de banda y poltica de QoS para un interfaz fsico o VLAN
1. Haga doble click sobre un elemento cortafuegos. Se abrir el dilogo de propiedades para
ese cortafuegos.
3. Haga doble click sobre un interfaz fsico o VLAN. Se abrir el dilogo de propiedades para
ese interfaz.
Si hay VLANs en un interfaz fsico, las opciones slo estn disponibles en las propiedades
de cada VLAN.
4. Establezca la Poltica de QoS (QoS Policy) que usa este interfaz.
5. Introduzca el Throughput en kilobits por segundo.
Tambin puede usar las abreviaturas M o G para introducir el valor en megabits o gigabits
respectivamente (por ejemplo, 3M para un throughput de 3 megabits).
En una configuracin Multi-Link con ms de un enlace de ISP tras un nico interfaz fsico
del cortafuegos, introduzca el ancho de banda total de todos los enlaces de ISP activos
(NetLinks) en el mismo interfaz.
Precaucin Asegrese de que configura correctamente el Throughput. Cuando se

configura el throughput, el cortafuegos siempre escala la cantidad total de trfico a la
velocidad de Interfaz definida. Esto es independiente de si ha establecido cualquier lmite
o garanta de ancho de banda para cualquier trfico.
6. Pulse OK. Repita segn sea necesario para otros interfaces. Los interface con QoS en uso
estn marcados con una Q en la columna Mode de la tabla de Interfaces.
7. Pulse OK para cerrar las propiedades del cortafuegos.
Para continuar:
La configuracin est terminada. Refresque la poltica del cortafuegos para transferir
los cambios.
Configurar la Autenticacin de Usuarios 623
CAPTULO 44
CONFIGURAR LA AUTENTICACIN DE
USUARIOS
Puede implementar autenticacin de usuarios para controlar a qu recursos pueden

acceder diferentes usaurios finales. La autenticacin puede usarse como un requisito
adicional de acceso en reglas de Acceso IPv4 en las polticas de Cortafuegos. Los
componentes IPS no llevan a cabo autenticacin de usuarios. Pueden usarse repositorios
de usuarios tanto internos como externos y servidores de autenticacin de usuarios.
Empezar con la Autenticacin de Usuarios (pag. 624)

Integrar Bases de Datos LDAP Externas (pag. 626)
Integrar Servicios de Autenticacin Externos (pag. 634)
Definir Cuentas de Usuario para la Autenticacin (pag. 637)
Definir Reglas de Autenticacin (pag. 642)
Gestionar la Informacin de Usuario (pag. 644)
Autenticarse contra un Cortafuegos StoneGate (pag. 647)
Personalizar el Dilogo de Autenticacin de Usuario (pag. 648)
Monitorizar y Probar la Autenticacin de Usuarios (pag. 649)
Empezar con la Autenticacin de Usuarios

La autenticacin significa requerir a los usuarios que prueben su identidad antes de darles acceso
a un recurso de red. La autenticacin es obligatoria con VPNs cliente-a-pasarela. Puede requerir
autenticacin tambin para cualquier conexin no VPN.
Qu Hace la Autenticacin de Usuarios
Con la autenticacin de usuarios, usted puede:
Mantener la separacin de las redes internas con diferentes niveles de seguridad en casos
donde la confidencialidad de la informacin a la que se accede no necesita ser aplicada de
forma estricta (por ejemplo, como una medida adicional de control para aplicaciones que
intercambian informacin de forma segura).
Permitir un acceso seguro y confidencial desde cualquier localizacin a cualquier recurso
interno para usuarios con clientes VPN.
Limitaciones
A los usuarios se les solicita automticamente que se autentiquen si tienen el cliente VPN
IPsec Stonegate instalado. La autenticacin no VPN no soporta la solicitud de autenticacin
automtica.
La autenticacin sin establecer una VPN cliente-a-pasarela usa Telnet, que transfiere los
nombres de usuarios y contraseas en claro. Se requiere un esquema de contraseas de un
solo uso para una solucin segura, y esto requiere configurar un servidor de autenticacin
externo. Una vez los usuarios se han autenticado, sus comunicaciones tambin se realizan en
claro en este caso.
La base de datos de usuarios LDAP interna no permite que servidores de autenticacin
externa pidan informacin de usuarios. Siempre se requiere una base de datos de usuarios
externa si quiere usar servidores de autenticacin externos con StoneGate.
La base de datos de usuarios LDAP interna limita la longitud del Dn del Usuario y Grupo del
Usuario (Distinguished Name) a un mximo de 254 caracteres. Compruebe las restricciones
de los servidores LDAP externos en su documentacin.
Si se han configurado dominios administrativos, la base de datos de usuarios interna siempre
est en el Dominio Compartid y las cuentas de usuario almacenadas en la base de datos
interna estn tambin siempre en rl Dominio Compartido. Si quiere limitar la visibilidad de las
cuentas de usuarios finales, debe configurar bases de datos LDAP externas separadamente
para cada Dominio.
La autenticacin de usuarios slo es posible con direcciones IPv4. Todos los elementos
usados en la Autenticacin de Usuario deben disponer de una direccin IPv4. La autenticacin
de usuarios slo puede configurarse en reglas de Acceso IPv4.
La autenticacin requierre una base de datos de usuarios que almacene la informacin del usuario
y un servicio de autenticacin que compruebe las credenciales y conceda o deniegue el acceso.
StoneGate tiene una base de datos de usuarios interna y mtodos de autenticacin internos.
Alternativamente, puede usar bases de datos LDAP externas y/o servidores de autenticacin
compatibles RADIUS o TACACS+ tales como IAS, RSA Authentication Manager (SecurID), o
dispositivos StoneGate SSL VPN.
Vea la Gua Firewall/VPN Reference Guide para ms informacin sobre las diferentes opciones de
configuracin.

Servidor de Usuario
Autenticacin
Servicio de Autenticacin
Poltica de Grupo de
Cortafuegos Usuarios
1. (Opcional) Integre una base de datos de usuarios externa:

1a. Defina un elemento Servidor LDAP o Servidor de Directorio Activo. Vea Integrar Bases de
Datos LDAP Externas (pag. 626). El elemento Servidor de Directorio Activo tambin
contiene las opciones para la autenticacin con IAS; los elementos Servidor LDAP slo
definen un almacenamiento de usuarios.
1b. (Opcional) Defina un Dominio LDAP. Vea Definir Dominios LDAP (pag. 633).
2. (Opcional, no aplicable a Microsoft AD/IAS) Integre servidores de autenticacin externos:
2a. Defina un elemento Servidor de Autenticacin para cada servidor de autenticacin externo.
Vea Definir un Servidor de Autenticacin (pag. 635).
2b. Defina un nuevo Servicio de Autenticacin para cada mtodo de autenticacin (puede
incluir varios servidores de autenticacin). Vea Definir un Servicio de Autenticacin (pag.
637).
3. Defina la informacin de Grupo de Usuarios y Usuarios:
3a. Para importar informacin de usuarios existente desde otro Management Server, vea
Importar y Exportar la Informacin de Usuario (pag. 644).
3b. Para crear nuevas cuentas o modificar cuentas almacenadas en una base de datos LDAP
externa, vea Definir Cuentas de Usuario para la Autenticacin (pag. 637).
4. Aada un requisito de autenticacin a las reglas de Acceso IPv4 relevantes. Vea Definir Reglas
de Autenticacin (pag. 642).
4a. Aada Usuarios o Grupos de Usuarios especficos a la regla.
4b. Defina qu Servicios de Autenticacin acepta la regla (de entre los Servicios de
Autenticacin definidos para los usuarios incluidos).
5. (Opcional) Instale el software de cliente VPN en los ordenadores de los usuarios. Vea la Gua
VPN Client Administrators Guide.
6. (Opcional) Personalice el dilogo de autenticacin que ven los usuarios cuando se autentican
usando un cliente Telnet. Vea Personalizar el Dilogo de Autenticacin de Usuario (pag. 648).
Tareas Relacionadas
Autenticarse contra un Cortafuegos StoneGate (pag. 647).
Integrar Bases de Datos LDAP Externas

Puede usar una base de datos externa LDAP para almacenar la informacin de grupos de
usuarios y usuarios en lugar de o adems de la base de datos de usuarios interna.
Adicionalmente, puede usar un servidor LDAP externo para ejecutar una simple
autenticacin por contraseas para cuentas de usuario almacenadas externamente.
Tanto el Management Server como los dispositivos cortafuegos tienen un cliente LDAP
integrado que puede consultar el directorio de usuarios externo. Para sacar todo el partido a
las funcionalidades de autenticacin de usuarios, debera configurar el acceso a la base de
datos LDAP tanto para el Management Server como para el cortafuegos.
Configurar el acceso al directorio LDAP externo tanto para el cortafuegos como para el
Management Server permite lo siguiente:
No hay necesidad de duplicar manualmente la informacin de cuentas de usuarios. Los
elementos Usuario y Grupo de Usuarios se aaden automticamente al SMC desde la
base de datos LDAP.
Las cuentas de usuario almacenadas externamente se muestran en el Management Client
y pueden usarse para crear reglas diferentes para usuarios diferentes.
En la mayora de los casos, los usuarios pueden aadirse, eliminarse y modificarse
mediante el Management Client.
Los mtodos de autenticacin internos pueden usarse para autenticar usuarios
almacenados externamente.
Configurar el acceso a LDAP externo slo para el cortafuegos sin configurar el acceso apra
el Management Server permite lo siguiente:
Puede autenticar usuarios almacenados externamente contra un servicio de autenticacin
externo. En este caso, los mtodos de autenticacin externos no estn disponibels para
usuarios almacenados externamente.
Se usa un nico elemento (elemento usuario llamado *external*) para representar a todos
los usuarios almacenados externamente en la poltica del cortafuegos, de forma que no es
posible crear diferentes reglas para diferentes usuarios almacenados externamente.
Puede ver la informacin del usuario y usarla para la autenticacin contra un servicio de
autenticacin externo simplemente permitiendo a los componentes de StoneGate conectar
con la base de datos LDAP. Para poder autenticar a los usuarios con una contrasea LDAP
o poder modificar la ifnormacin en el directorio LDAP desde el Management Client, debe
aadir parmetros para StoneGate en el servidor LDAP configurando los ficheros de
esquema.
Para continuar:
Para usar las funcionalidades relacionadas con LDAP, proceda a Configurar los
Ficheros de Esquema en Servidores LDAP Externos (pag. 627).
Para configurar acceso de slo lectura a la informacin de usuarios y/o usar la base
de datos LDAP slo con un servicio de autenticacin externo, proceda a Definir un
Elemento Servidor LDAP Genrico (pag. 629).
Configurar los Ficheros de Esquema en Servidores LDAP

Externos
El fichero de esquema define los atributos (trozos de datos individuales) que puede contener
una ceunta. Extender el esquema del servidor externo con atributos especficos de
StoneGate es opcional si est usando un Servidor de Directorio Activo de Microsoft; puede
ver la informacin sin hacer esto, per extender el esquema le permite adems aadir
informacin especfica de StoneGate a Usuarios y Grupos de Usuarios mediante el
Management Client. Con otros tipos de servidores LDAP, siempre debe extender el esquema
si quiere integrar la base de datos con el Management Server.
Esta tarea vara dependiendo de qu Servidor LDAP est usando y se hace desde fuera del
Management Client. En general, la actualizacin de esquema significa que aade atributos
especficos de StoneGate a la informacin de usuario existente en el servidor LDAP. Estos
incluyen atributos para el nombre de usuario y contrasea especficos de StoneGate y los
servicios de autenticacin permitidos para el usuario. Estos se documentan en ms detalle
en Actualizaciones de Esquema para Servidores LDAP Externos (pag. 973).
Para continuar:
Si su base de datos de usuarios externa es un Servidor de Directorio Activo de
Microsoft, contine en Definir un Elemento Servidor de Directorio Activo (pag. 627).
Para otros tipos de servidores LDAP, vea Definir un Elemento Servidor de Directorio
Activo (pag. 627) o Definir un Elemento Servidor LDAP Genrico (pag. 629).
Definir un Elemento Servidor de Directorio Activo

El elemento Servidor de Directorio Activo contiene tanto las opciones de directorio de
usuarios como las del servicio de autenticacin necesarias para usar un servidor de
Directorio Activo de Microsoft para almacenar y autenticar usuarios.
Para definir un elemento Servidor de Directorio Activo
2. Navegue a Other ElementsUser Authentication en la vista de rbol.
3. Pulse botn derecho sobre LDAP Servers (Servidores LDAP) y seleccione
NewActive Directory Server (NuevoServidor de Directorio Activo) desde el men.
Se abrir el dilogo de Propiedades de Servidor de Directorio Activo.
4. Especifique un Nombre (Name) nico y una direccin IP (IP Address) para el servidor.
Slo se soportan direcciones IPv4.
5. Se necesitan una Localizacin (Location) y Direcciones de Contacto (Contact
Addresses) si hay un dispositivo NAT entre un cortafuegos y el servidor de Directorio
Activo, de forma que el cortafuegos no puede conectar directamente con la direccin IP
definida para el servidor de Directorio Activo en el paso previo. Para ms informacin,
vea Definir Localizaciones (pag. 61) y Definir Direcciones IP de Contacto (pag. 62).
6. Defina el Tiempo de Espera (Timeout) que deben esperar los componentes StoneGate
por la respuesta del servidor. El tiempo por defecto es 10 segundos.
Para continuar:
Contine configurando las opciones de LDAP segn se indica en Configurar las
Opciones LDAP del Servidor de Directorio Activo.
Tareas Relacionadas
Configurar las Opciones LDAP del Servidor de Directorio Activo

Las opciones de LDAP del elemento Servidor de Directorio Activo incluyen una cuenta que
Stonegate usa para conectar con el servidor de Directorio Activo. El Management Server y los
dispositivos cortafuegos consultan al Directorio Activo en base a esta cuenta, que debe existir en el
Directorio Activo. Asegrese de que la cuenta que use tiene los privilegios para gestionar otras
cuentas de usuario.
Tambin hay valores para algunos atributos que StoneGate busca en el Directorio Activo que puede
necesitar cambiar o completar de acuerdo con la configuracin del Directorio Activo.
Se recomienda que no use caracteres especiales o letras acentuadas en los Distinguished Names o
IDs de usuaroi. Actualmente, el Directorio Activo tiene un lmite de 24 caracteres para un UID (user
ID ID de usuario) y 64 caracteres para la OU (organizational unit unidad organizativa).
Para configurar los servicios de usuario de LDAP
1. Cambie a la pestaa LDAP del dilogo de Propiedades del Servidor de Directorio
Activo.
2. En Base DN, introduzca el dominio bajo el cual se almacenan las cuentas de los
usuarios a autenticar.Actualmente, el Directorio Activo tiene un lmite de 160 caracteres
para este campo.
Ejemplo - ou=ExampleInc,dc=example,dc=com
3. En el campo Bind User ID, defina el Distinguished Name del ID de Usuario que
cortafuegos y Management Servers usan para conectar con el Servidor de Directorio
Activo.
Ejemplo - cn=StoneGate,ou=Administrators,dc=example,dc=com
4. En Bind Password, introduzca la contrasea para la cuenta de usuario que defini en
el paso anterior. Deseleccione Hide (Ocultar) si quiere ver la contrasea en este
dilogo.
5. Seleccione la opcin correcta para Schema (Esquema) de acuerdo con si ha decidido
actualizar el fichero de esquema del servidor de Directorio Activo con los atributos
especficos de StoneGate (vea Configurar los Ficheros de Esquema en Servidores
LDAP Externos (pag. 627)):
Standard: seleccione esta opcin si no ha actualizado el esquema.
Updated with sg Object Classes (Actualizado con las Clases de Objetos sg):
seleccione esta opcin si ha actualizado el esquema.
6. Si los atributos UserId Attribute y Group Member Attribute se han cambiado en el
esquema de su servidor de Directorio Activo para usar atributos no por defecto,
introduzca los nombres de atributos personalizados.
7. Si los usuarios se identifican por su direccin de correo electrnico en la autenticacin
con certificados, introduzca el nombbre del atributo de Directorio Activo para la
direccin de correo del usuario en el campo Email Attribute. El nombre por defecto
para este atributo en Directorio Activo es mail.
8. (Opcional) Defina el nmero de puerto LDAP (LDAP on Port) si quiere usar otro
diferente del por defecto (puesrto TCP 389).
Nota La plantilla de cortafuegos por Defecto permite a los dispositivos conectar al puerto
por defecto. Si lo cambia, deber aadir una Regla de Acceso para permitir el trfico.
9. (Recomendado, requiere versin 5.1 o supeerior del cortafuegos) Seleccione LDAP

StartTLS para activar Transport Layer Security (TLS) en conexiones al servidor.
Para continuar:
Contine en Configurar las Opciones de Autenticacin del Servidor de Directorio
Activo (pag. 629).
Tareas Relacionadas
Para ms informacin sobre configurar el Directorio Activo, consulte la documentacin de
Microsoft en http://technet.microsoft.com/.
Configurar las Opciones de Autenticacin del Servidor de Directorio Activo

Los cortafuegos pueden usar el servicio Internet Authentication Service (IAS) de versiones previas de
Windows Server o el Network Policy Server (NPS) en Windows Server 2008 para autenticar a los
usuarios finales.
La autenticacin de Directorio Activo usa el protocolo RADIUS. El IAS/NPS se configura como un
servidor RADIUS, y debe definir cada dispositivo cortafuegos que contacten los usuarios para la
autenticacin como un cliente RADIUS separado para el IAS/NPS (use las direcciones NDI en un
clster). StoneGate no soporta la opcin de atributo Message-Authenticator disponible en el IAS/NPS y
no entiende NAP (opcin disponible en NPS). Slo se soporta autenticacin PAP.
Para poder funcionar en este rol, el IAS/NPS debe tener acceso a la informacin de usuario en el
Directorio Activo. Las cuentas de usuario deben tener permisos de Acceso Remoto. Configure el
IAS/NPS segn se explica en la documentacin del Microsoft Server (vea los enlaces de Tareas
Relacionadas ms abajo).
Para configurar las opciones de autenticacin
1. En el dilogo de propiedades del servidor de Directorio Activo, cambie a la pestaa
Authentication.
2. Asegrese de que el Nmero de Puerto (Port Number) es correcta para el IAS/NPS de su
servidor Windows.
3. Introduzca la contrasea que ha definido para los clientes RADIUS StoneGate en el
servidor Windows en Shared Secret. Deseleccione Hide si quiere ver la contrasea en
este dilogo.
4. Especifique el Nmero de Reintentos (Number of Retries). Si un intento de conexin de un
componente StoneGate con el servidor de autenticacin falla, intentar conectar de nuevo
el nmero de veces especificadas antes de abandonar la autenticacin.
5. Pulse OK.
Para continuar:
Contine en Definir Dominios LDAP (pag. 633).
Tareas Relacionadas
Para ms informacin sobre configurar IAS, consulte la documentacin de Microsoft en
http://technet.microsoft.com/en-us/library/cc783725%28WS.10%29.aspx.
Para ms informacin sobre configurar NPS, consulte la documentacin de Microsoft en
http://technet.microsoft.com/en-us/library/cc753394%28WS.10%29.aspx.
Definir un Elemento Servidor LDAP Genrico

El elemento Servidor LDAP puede usarse para configurar el acceso a cualquier servidor LDAP como
base de datos de usuarios para los cortafuegos y/o el Management Server. Los servidores de
Directorio Activo de Microsoft tienen su propio elemento que combina funcionalidades de directorio de
usuarios y autenticacin. Vea Definir un Elemento Servidor de Directorio Activo (pag. 627).
Para definir un elemento Servidor LDAP
1. Seleccione ConfigurationConfigurationFirewall desde el men. Se abrir el dilogo
2. Navegue a Other ElementsUser Authentication en la vista de rbol.

3. Pulse botn derecho sobre LDAP Servers y seleccione NewLDAP Server desde el
men. Se abrir el dilogo de Propiedades del Servidor LDAP.
Ilustracin 212: Propiedades del Servidor LDAP - Pestaa General
4. Introduzca un Nombre (Name) nico y una Direccin IP (IP Address) para el servidor.
Activo, de forma que el cortafuegos no puede conectar directamente con la direccin IP
6. (Opcional) Defina el nmero de puerto LDAP (LDAP on Port) si quiere usar otro
diferente del por defecto (puesrto TCP 389).
7. (Recomendado, requiere versin 5.1 o superior del cortafuegos) Seleccione LDAP

StartTLS para activar Transport Layer Security (TLS) en conexiones al servidor.
8. Use el campo Timeout para definir cunto tiempo deben esperar los componentes
StoneGate la respuesta del servidor. Por defecto es 10 segundos.
9. (Opcional) Cambie a la pestaa Secondary IP Addresses (Direcciones IP
Secundarias) y aada una o ms direcciones IP secundarias para el servidor. Estas se
incluyen cuando se usan en reglas de polticas, pero los componentes StoneGate
nunca usan las direcciones cuando inician contacto con el servidor.
Para continuar:
Contine en Configurar los Servicios de Usuario del Servidor LDAP.
Configurar los Servicios de Usuario del Servidor LDAP

Asegrese de que no introduce valoers que excedan la longitud permitida para los valores
correspondientes en el servidor LDAP (compruebe la documentacin de su servidor LDAP). Se
recomienda que no use caracteres especiales ni letras acentuadas en los Distinguished Names
o IDs de usuario. Los atributos se introducen segn se define en el fichero de esquema del
Servidor LDAP.
Para Configurar los Servicios de Usuario del Servidor LDAP
1. Cambie a la pestaa User Services (Servicios de Usuario) del dilogo de Propiedades del
Servidor LDAP:
Ilustracin 213: Servicios de Usuario del Servidor LDAP
2. En Base DN, introduzca el rbol LDAP bajo el cual se almacenan las cuentas de usuarios a
autenticar.
Ejemplo (rbol basado en DNS)
dc=example,dc=com
Ejemplo (rbol O-based usado, por ejemplo, en Novell eDirectory)
ou=astronauts,o=goverment,st=Florida,c=US
3. En el campo Bind User ID, defina el Distinguished Name del ID de Usuario que usarn
cortafuegos y Management Servers para conectar con el servidor LDAP.
Ejemplo (rbol basado en DNS)
uid=StoneGate,ou=Administrators,dc=example,dc=com
Ejemplo (rbol O-based usado, por ejemplo, en Novell eDirectory)
uid=StoneGate,ou=Administrators,ou=astronauts,o=goverment,st=Florida,c=US
4. En Bind Password, introduzca la contrasea para la cuenta de usuario que defini en el
paso anterior. Deseleccione Hide si quiere ver la contrasea en este dilogo.
5. Si es necesario, cambie el nombre que usa el servidor para el atributo UserID Attribute.
Por defecto, el atributo est configurado como cn (common name).
6. Si es necesario, cambie el nombre que usa el servidor para el atributo Group Member
Attribute. Por defecto, el atributo est configurado como member.
7. Si los usuarios se identifican por su direccin de correo electrnico en la autenticacin con
certificados, introduzca el nombre del atributo para la direccin de correo del usuario en el
campo Email Attribute. El nombre por defecto para este atributo en Directorio Activo es
mail.
8. Si es necesario, cambie el Atributo de Autenticacin (Authentication Attribute) (para

almacenar la informacin de servicio de autenticacin). Por defecto, el atributo est
configurado como sgauth (parte del esquema especfico de StoneGate, vea Configurar
los Ficheros de Esquema en Servidores LDAP Externos (pag. 627)).
Para continuar:
Si no quiere aadir clases de objetos, pulse OK y habr terminado.
En otro caso, contine en Aadir Clases de Objetos para el Servidor LDAP.
Aadir Clases de Objetos para el Servidor LDAP

Si su servidor LDAP tiene clases de objetos (para usuarios o grupos) que no estn definidas
en StoneGate por defecto, deber adir esas clases de objetos a la lista en StoneGate. De
este modo, las clases existentes en el servidor LDAP podrn usarse tambin para la
autenticacin.
Para aadir una UserObjectClass o GroupObjectClass
1. Cambie a la pestaa User ObjectClass o Group ObjectClass.
Ilustracin 214: UserObjectClass del Servidor LDAP
2. Introduzca el nombre de la clase de objetos y pulse Add (Aadir). La clase de ocjetos

aparece en la lista.
3. Repita los pasos anteriores para aadir ms clases de objetos.
4. Pulse OK.
Para continuar:
Para integrar el Management Server con el servidor LDAP, contine en Definir
Dominios LDAP (pag. 633).
Si quiere saltar la integracin con el Management Server, contine en Integrar
Servicios de Autenticacin Externos (pag. 634) o (si ya tiene la autenticacin externa
configurada) en Definir Cuentas de Usuario para la Autenticacin (pag. 637).
Definir Dominios LDAP

Cada servidor LDAP tiene su propio dominio LDAP en StoneGate. Un dominio LDAP puede ser
seleccionado como dominio LDAP por defecto, de forma que los usuarios pueden ignorar esta
informacin cuando se autentican (pueden escribir usuario en lugar de usuario@dominio).
Los usuarios almacenados bajo dominios LDAP diferentes del por defecto siempre deben incluir
el dominio en su nombre de usuario.
Si se han configurado Dominios administrativos, puede crear Dominios LDAP separados para
cada Dominio administrativo y seleccionar un Dominio LDAP por defecto en cada Dominio
administrativo. Alternativamente, puede elegir uno de los Dominios LDAP en el Dominico
Compartido como Dominio LDAP por Defecto para todos los Dominios administrativos.
Para definir un nuevo Dominio LDAP
1. Seleccione ConfigurationConfigurationFirewall desde el men. Se abrir la vista de
2. Navegue a Other ElementsUser AuthenticationUsers (Otros
ElementosAutenticacin de UsuariosUsuarios) en la vista de rbol.
3. Pulse botn derecho sobre Users (Usuarios) y seleccione New LDAP Domain (Nuevo
Dominio LDAP) desde el men. Se abrir el dilogo de Propiedades de Dominio LDAP.
Ilustracin 215: Propiedades de Dominio LDAP
4. Introduzca el Nombre (Name) para el nuevo Dominio LDAP.

Si el Dominio LDAP que est creando no va a ser el Dominio LDAP por defecto, los
usuarios deben escribir el nombre de dominio cuando se autentiquen.
5. Seleccione Default LDAP Domain si este Dominio LDAP se usar para todas o la mayora
de autenticaciones.
Slo un Dominio LDAP puede ser el Dominio LDAP por deefecto, de forma que la
seleccin se desactiva del Dominio LDAP por defecto previo, si exista.
6. Los Servidores LDAP definidos que no tienen Dominio LDAP todava se muestran a la
izquierda. Elija el servidor correcto y pluse Add (Aadir) para asociar el Servidor LDAP al
Dominio LDAP.
7. (Opcional) Cambie a la pestaad Default Authentication (Autenticacin por Defecto) y

pulse Select (Seleccionar) para definir los Servicios de Autenticacin permitidos para
todas las cuentas de este Dominio LDAP.
Puede obviar la opcin por defecto seleccionando diferentes Servicios de Autnticacin
en las propiedades de Grupo de Usuarios o Usuario.
Se recomienda que establezca un mtodo de autenticacin por defecto. Si el Servicio de
Autenticacin que planea usar no est an definido, puede volver a este dilogo para
completar la informacin una vez haya creado su Servicio de Autenticacin
personalizado.
8. PulseOK.
Ya ha completado todos los pasos requeridos para configurar su servidor LDAP externo en
StoneGate.
Para continuar:
Si piensa usar un servicio de autenticacin externo (Servidor de Directorio Activo o
algn servidor RADIUS o TACACS+) proceda a Integrar Servicios de Autenticacin
Externos (pag. 634).
Si piensa usar los servicios de autenticacin internos de StoneGate, contine la
configuracin en Definir Cuentas de Usuario para la Autenticacin (pag. 637).
Integrar Servicios de Autenticacin Externos

Los servidores de autenticacin externos se integran con la ayuda de los elementos Servidor
de Autenticacin y Servicio de Autenticacin. Los elementos Servidor de Autenticacin
definen las opciones necesarias para conectar con un servidor de autenticacin externo. Los
elementos Servicio de Autenticacin definen un mtodo de autenticacin, y pueden incluir
varios Servidores de Autenticacin que soporten el mtodo y pueden usarse como respaldo
unos de los otros.
Para continuar:
Si est usando un Servidor de Directorio Activo previamente definido con opciones de
IAS y cuentas de usuario configuradas correctamente, contine en Definir Reglas de
Autenticacin (pag. 642).
Si quiere configurar un nuevo elemento Servidor de Directorio Activo o reconfigurar
las opciones de IAS de un elemento existente, coninte en Definir un Elemento
Servidor de Directorio Activo (pag. 627).
En otro caso, empiece por Definir un Servidor de Autenticacin (pag. 635).
Definir un Servidor de Autenticacin

Puede autenticar el acceso de usuarios finales a travs de los cortafuegos y los logins de
administrador al SMC contra servidores de autenticacin externos que soporten los
protocolos RADIUS o TACACS+. Estos son protocolos de comunicaciones genricos para la
autenticacin de usuarios, de forma que los mtodos de autenticacin actuales que
proporcionen los servidores son normalmente irrelevantes.
Puede usar muchos tipos diferentes de servicios de autenticacin mediante los protocolos de
autenticacin RADIUS y TACACS+, por ejemplo autenticacin RSA SecurID (vea las Tareas
Relacionadas para ms informacin).
Si usa el servicio IAS/NPS de un Servidor Windows para la autenticacin, vea Definir un
Elemento Servidor de Directorio Activo (pag. 627) en lugar de los pasos siguientes.
Para definir un elemento Servidor de Autenticacin
2. Navegue a Other ElementsUser Authentication (Otros ElementosAutenticacin
de Usuarios) en la vista de rbol.
3. Pulse botn derecho sobre Authentication Servers (Servidores de Autenticacin) y
seleccione NewRADIUS Authentication Server o NewTACACS+ Authentication
Server. Se abrir el dilogo de Propiedades de Servidor de Autenticacin.
Ilustracin 216: Propiedades de Servidores de Autenticacin RADIUS y TACACS+
4. Introduzca un Nombre (Name) nico y una Direccin IP (IP Address) para el servidor.
activo, de forma que el cortafuegos no puede conectar directamente con la direccin IP

6. El campo Port Number (Nmero de Puerto) tiene los puertos por defecto predefinidos.
Si el servidor usa un puerto diferente, introdzcalo aqu.
7. Introduzca la claves secreta (para la comunicacin con el servidor de autenticacin) en

el campo Shared Secret. Deseleccione Hide (Ocultar) si quiere ver la contrasea en
este dilogo.
8. Use el campo Number of Retries (Nmero de Reintentos) para definir el nmero de
veces que los cortafuegos intentan conectar con el servidor si falla la conexin.
9. Defina el Tiempo de Espera (Timeout) que los cortafuegos esperarn una respuesta
del servidor. El valor por defecto es 15 segundos.
10. (Servidores TACACS+, opcional) Seleccione la opcin Clear Text Replies (Respuestas
en Claro) para hacer que el cortafuegos acepte respuestas no cifradas desde el
servidor de autenticacin..
11. (Opcional) Cambie a la pestaa Secondary IP Addresses (Direcciones IP
Secundarias) y defina direcciones IP adicionales. Estas se incluyen cuando se usan en
reglas de polticas, pero los componentes StoneGate nunca usan las direcciones
cuando inician contacto con el servidor. Slo se soportan direcciones IPv4.
12. Pulse OK.
13. Configure el servidor de autenticacin externo para aceptar conexiones desde sus
dispositivos cortafuegos StoneGate:
Tenga especial cuidado en asegurarse de que la contrasea se introduzca
idnticamente en StoneGate y en el servidor externo.
La identidad que el cortafuegos anuncia al servidor es igual que la direccin IP del
interfaz seleccionado como valor para la opcin Identity for Authentication Requests
(Identidad para Peticiones de Autenticacin) en las propiedades de las opciones de
interfaz del elemento Cortafuegos.
Nota La direccin IP usada como identidad es slo un nombre. El interfaz y la

direccin IP usadas para conexiones relacionadas con autenticacin se elige en base a
la informacin de enrutamiento del cortafuegos como cualquier otra conexin.
Las conexiones al servidor de autenticacin estn permitidas en la plantilla de poltica de

cortafuegos por defecto. Asegrese de que sus reglas de Acceso IPv4 y de NAT estn
correctamente configuradas para estas conexiones.
Para continuar:
Para usar el Servidor de Autenticacin para la Autenticacin de Usuarios, contine en
Definir un Servicio de Autenticacin (pag. 637).
Si quiere usar el servidor para autenticar las conexiones de administradores al
Management Client, vea Autenticar Administradores usando RADIUS (pag. 226).
Tareas Relacionadas
Configurar la Autenticacin de Usuarios (pag. 623)
Para informacin sobre integrar StoneGate con la autenticacin RSA, vea
http://www.rsa.com/rsasecured/product.aspx?id=1850.
Definir un Servicio de Autenticacin

Un Servicio de Autenticacin representa un mtodo de autenticacin. Cada elemento Servicio de
Autenticacin incluye uno o ms elementos Servidor de Autenticacin. Si varios servidores estn
incluidos, los dispositivos cortafuegos pueden probar con un servidor diferente si un servidor no
contesta. Los servidores alternativos se usan slo si un servidor no responde: los cortafuegos no
prueban servidores alternativos cuando el servidor informa de que la autenticacin ha fallado.
Los mtodos de autenticacin internos y la autenticacin IAS tienen Servicios de Autenticacin
por defecto ya disponibles en el sistema. Use el elemento por defecto si est configurando un
mtodo de autenticacin que dispone de un Servicio de Autenticacin por defecto.
Para definir un nuvo Servicio de Autenticacin
2. Navegue a Other ElementsUser AuthenticationAuthentication Services (Otros
ElementosAutenticacin de UsuariosServicios de Autenticacin) en la vista de rbol.
3. Pulse botn derecho sobre Authentication Services (Servicios de Autenticacin) y
seleccione New Authentication Service (Nuevo Servicio de Autenticacin) desde el men.
Se abrir el dilogo de Servicio de Autenticacin.
4. Introduzca el Nombre (Name) del nuevo Servicio de Autenticacin.
5. Seleccione el Tipo (Type) de Servicio de Autenticacin usando los botones de radio. El tipo
de servicio Internal (Interno) no est disponible; los servicios internos disponibles estn
todos predefinidos.
6. Pulse Add (Aadir) para seleccionar un Servidor de Autenticacin para este Servicio de
Autenticacin. Puede aadir varios servidores del mismo tipo.
Nota Si selecciona ms de un Servidor de Autenticacin, todos los servidores elegidos

deben proporcionar un servicio udntico (las mismas credenciales exactas deben ser
vlidas en todos los servidores incluidos).
Para continuar:
Asigne el nuevo Servicio de Autenticacin a usuarios (requerido incluso si la
informacin del usuario no est disponible para StoneGate). Vea Definir Cuentas de
Usuario para la Autenticacin.
Definir Cuentas de Usuario para la Autenticacin

Prerrequisitos: Vea Visin General de la Configuracin para ms informacin
Los elementos Usuario y Grupo de Usuarios definen la informacin de la cuenta de usuario para
usuarios finales. Pueden ser insertados en reglas de Acceso IPv4 para aadir un requisito para
la autenticacin como condicin para comprobar reglas con las conexiones de los usuarios.
Opciones para Aadir Cuentas de Usuario
Si est usando la base de datos de usuarios interna del Management Server:
Si tiene cuentas de usuario existentes almacenadas en otra base de datos de usuarios
StoneGate, puede exportar/importar la informacin entre bases de datos (vea Importar y
Exportar la Informacin de Usuario (pag. 644)).
En otro caso, cree los Grupos de Usuarios y Usuarios individualmente.
Si est usando una base de datos de usuarios externa:
Si la base de datos LDAP est integrada con el Management Server, puede ver la
informacin de usuarios en el Management Client. Sin embargo, para que las cuentas
sean vlidas en las reglas de Acceso, debe configurar al menos un Servicio de
Autenticacin como permitido para los usuarios. Esto puede hacerse como una opcin por
defecto para el Dominio LDAP (vea Definir Dominios LDAP (pag. 633)) y/o (si la
configuracin permite modificaciones en las cuentas) para los Grupos de Usuarios y
Usuarios.
Si la base de datos LDAP no est integrada con el Management Server, las cuentas de
usuario no se muestran en el Management Client y no estn disponibles para su
configuracin. Para poder aadir un requisito de autenticacin a las reglas, debe crear un
elemento Usuario especial par representar a todos los usuarios autenticados
externamente. Este Usuario debe llamarse *external* y debe ser parte de algn Grupo de
Usuarios (tal como el grupo por defecto stonegate), puesto que no puede usar el Usuario
*external* directamente en las reglas de Acceso IPv4. Tambin debe definir los mtodos
de autenticacin externos correctos para el Usuario *external*.
Para continuar:
Si quiere crear Grupos de Usuario para organizar los usuarios individuales, vea
Definir Grupos de Usuarios.
Si no necesita nuevos Grupos de Usuarios o su base de datos de usuarios no est
integrada con StoneGate, puede ir directamente a Definir Usuarios (pag. 640).
Definir Grupos de Usuarios

Si tiene muchos usuarios, puede querer organizarlos en varios Grupos de usuarios diferentes.
Puede organizar los grupos, por ejemplo, de acuerdo con diferentes servicios. Un nico usuario
puede pertenecer a varios grupos a la vez.
Debe crear al menos un Grupo de Usuarios.
Para crear un Grupo de Usuarios
3. Expanda la rama en el Dominio LDAP que represente la base de datos de usuarios
correcta. La base de datos interna est representada por el Dominio LDAP por defecto
InternalDomain.
Ilustracin 217: Definir un Nuevo Grupo de Usuarios
4. Pulse botn derecho sobre el grupo padre bajo el Dominio LDAP (ste se llama
stonegate para la base de datos interna) y elija NewUser Group (NuevoGrupo de
Usuarios) desde el men. Se abrir el dilogo de Propiedades de Grupo de Usuarios.
Ilustracin 218: Propiedades de Grupo de Usuarios - Pestaa General
5. Escriba un Nombre (Name) y un Comentario (Comment) opcional para el Grupo de

Usuarios.
El nombre se usa como common name (CN) para el grupo.
El distinguished name (DN) se hereda del Dominio LDAP al cual pertenece el Grupo de
Usuarios.
6. (Opcional) Introduzca un nmero de das tras los cuales el Grupo de Usuarios expira en el
campo Expiration After. Cuando el grupo de Usuarios expire, se mantiene en el sistema
pero es invlido y no permite autenticacin hasta que es reactivado.
7. Cambie a la pestaa Authentication (Autenticacin).
Ilustracin 219: Propiedades de Grupo de Usuarios - Pestaa Authentication
8. Pulse Add (Aadir) para seleccionar uno o ms Servicios de Autenticacin (Authentication

Services) en el dilogo de seleccin de Elemento que se abre.
9. Si elige varios Servicios de Autenticacin para el grupo de Usuario, pude restrignir
posteriormente los Servicios de Autenticacin permitidos en el elemento Usuario y en cada
regla de Acceso que requiera autenticacin..
10. Pulse OK.
Para continuar:
Contine en Definir Usuarios (pag. 640).
Definir Usuarios
El elemento Usuario es una forma de decirle a StoneGate quin son sus usuarios y cmo
pueden identificarse a s mismos para conseguir acceso a ciertas redes y servicios definidos
en sus reglas de Acceso IPv4. Cuando usa la base de datos de usuarios interna, puede crear
a los usuarios de uno en uno o importarlos desde un fichero .ldif para transferir la informacin
de usuarios desde otra base de datos interna de StoneGate (vea Importar Usuarios desde un
Fichero LDIF) (pag. 644)).
Si utiliza una base de datos de usuarios externa que no est integrada con StoneGate, cree
un usuario llamado *external* en algn Grupo de Usuarios y use el Grupo de Usuarios en las
reglas para representar a todos los usuarios. Tambin debe definir el mtodo de
autenticacin correcto para el Usuario *external*.
Para definir un nuevo Usuario
3. Pulse botn derecho sobre un Grupo de Usuarios (para aadir el Usuario a ese grupo)
o un Doliminio LDAP (para crear un Usuario que no est en ningn Grupo de Usuarios)
y seleccione NewUser o New User. Se abrir el dilogo de Propiedades de Usuario.
Nota Aunque no puede editar la pertenencia a Grupos de Usuarios desde las

propiedades del elemento Usuario, el usuario puede pertenecer a varios grupos de
Usuarios. Tras crear el elemento Usuario, arrastre y sultelo en otros Grupos de
Usuarios para aadirle a los mismos.
Ilustracin 220: Propiedades de Usuario - Pestaa General
4. Escriba un Nombre (Name) y un Comentario (Comment) opcional para el Usuario.

El nombre se usa como common name (CN) para el grupo.
El distinguished name (DN) se hereda del Dominio LDAP al cual pertenece el Grupo
de Usuarios.
5. (Opcional) En las opciones de Activacin (Activation), deseleccione Always Active
(Seimpre Activo) para definir cundo se activa la cuenta y/o cundo expira:
5a. (Opcional) Seleccione la Fecha de Activacin (Activation Date).
5b. (Opcional) Defina cundo al cuenta pasar a inactiva de una de las siguientes formas:
Seleccione Inherit Expiration Period (Heredar Periodo de Expiracin) para usar la
configuracin definida en el Grupo de Usuarios.
Seleccione Expiration After (Expiracin Despus de) para definir el nmero de das
que la cuenta es vlida empezando en la Fecha de Activacin.
Seleccione Expiration Date (Fecha de Expiracin) para definir una fecha especfica.
6. Cambie a la pestaa Authentication (Autenticacin).
Ilustracin 221: Propiedades de Usuario - Pestaa Autenticacin
7. Pulse Add (Aadir) para seleccionar los Servicios de Autenticacin (Authentication

Services) para el usuario.
Puede aadir ms de un mtodo de autenticacin para cada usuario. De este modo,
puede poner al Usuario en ms de un Grupo de Usuarios donde los Grupos de usuarios
tengan diferentes mtodos de autenticacin.
8. Defina las propiedades para el Servicio de Autenticacin seleccionado:
Si eligi un servicio de autenticacin externo para el usuario, no hay opciones que
configurar.
Para usar autenticacin con Certificados IPsec (IPsec Certificate), complete el campo
Alternative Subject Name or CN (Nombre de Sujeto Alternativo o CN) (por ejemplo,
fred.stone@stonesoft.com o 192.168.42.103). El valor que introduzca debe coincidir con
el vlor introducido en el cmpo correspondiente de la peticin de certificado.
Para usar autenticacin Usuario/Contrasea (User Password), escriba y confirme la
contrasea del usuario en los campos apropiados.
Precaucin Use contraseas fuertes que tengan al menos ochoc caracteres y contengan
nmeros, letras y caracteres especiales. No base las contraseas en informacin personal
como nombres, cumpleaos, DNIs, telfonos, calles, matrculas o nombres de parientes,
aunque estn deletrados al revs o parcialmente.
Para usar autenticacin con Claves Pre-Compartidas (Pre-Shared Key Method) con
clientes VPN de terceros, escriba y confirme la clave pre-compartida.
9. Pulse OK.
La nueva cuenta de usuario est creada. Si el usuario est almacenado en la base de datos LDAP
interna, la informacin se sincroniza automticamente a la basee de datos local de los cortafuegos
sin necesidad de acciones posteriores, a menos que la replicacin de la base de datos de usuarios
est desactivada en su sistema.
Para continuar:
Inserte los elementos Grupos de Usuarios o Usuarios individuales en reglas de
Acceso IPv4 para forzar la autenticacin de usuario. Vea Definir Reglas de
Autenticacin (pag. 642).
Tareas Relacionadas
Integrar Servicios de Autenticacin Externos (pag. 634)
Definir Reglas de Autenticacin

Prerrequisitos: Definir Cuentas de Usuario para la Autenticacin o Definir un Elemento Servidor de Directorio
Activo
La autenticacin de usuario envuelve dos tipos de conexiones: la conexin que hacen los usuarios
para autenticarse y las subsiguientes conexiones que lanzan para acceder a los servicios. En las
reglas de Acceso IPv4 de los Cortafuegos, las celdas Users y Authentication se usan como criterio
de coincidencia para acceder a un servicio particular y para establecer las opciones de
autenticacin. Las conexiones de usuarios que no se han autenticado exitosamente o cuya
autenticacin ha expirado no cumplen con las reglas con requisitos de autenticacin (la
comprobacin de conexiones contina con las siguientes reglas de la poltica). La parte de
autenticacin de una regla se configura del mismo modo independientemente de si hay cifrado VPN.
Precaucin Slo una VPN garantiza un intercambio de informacin confidencial. Un

requisito de autenticacin sin una VPN no aumenta significativamente la seguridad de
acceso externo-a-interno.
Para informacin sobre cmo crear reglas de Cliente VPN, vea Crear Reglas Bsicas para
Conexiones de Clientes VPN (pag. 750).
Para definir una regla de autenticacin
1. Abra la Poltica de Cortafuegos para su edicin.
2. Aada una regla de Acceso IPv4 y defina Origen, Destino y Servicio como de
costumbre.
3. Pulse botn derecho sobre la celda Action (Accin) y elija Allow (Permitir) (o Use VPN
si quiere redirigir las conexiones a una VPN).
4. Pulse la celda User (Usuario) par mostrar los elementos correctos en la vista de rbol y
arrastre y suelte elementos Usuario o Grupo de Usuarios en la celda.
Si est autenticndo usuarios que no son conocidos para StoneGate, aada el Grupo de
Usuarios que ha creado (el Grupo de Usuarios que contiene al Usuario *external*).
5. Pulse en la celda Authentication y arrastre y suelte un Servicio de Autenticacin desde

la vista de rbol en la celda, o pulse botn derecho y seleccione Set to ANY para
permitir cualquier mtodo de autenticacin definido en el sistema.
Hay elementos por defecto para los mtodos de autenticacin internos e IAS. Otros
mtodos de autenticacin se representan por elementos Servicio de Autenticacin
personalizados.
Nota Si permite ms de un Servicio de Autenticacin para cualquier usuario, las

credenciales aportadas por el usuario deben ser idnticas en todos los casos.
Incluso si la celda Authentication se establece a ANY, slo los Servicios de

Autenticacin permitidos para los Usuarios incluidos en la regla son vlidos (segn se
defina en los elementos Dominio LDAP, Grupo de Usuarios y/o Usuario individual).
6. Pulse doble click sobre la celda Authentication. Se abrir el dilogo de Parmetros de
Autenticacin.
Ilustracin 222: Parmetros de Autenticacin
7. Seleccione los Mtodos de Autenticacin:

Require Authentication (Requerir Autenticacin): Se requiere a los usuarios que se
autentiquen. La peticin se enva al servicio de autenticacin apropiado y se evala.
Firewall-initiated Authentication (Autenticacin iniciada por el Cortafuegos): El
cortafuegos establece una conexin con el sistema remoto, y el software de cliente
solicita al usuario su ID y contrasea. La peticin se enva al servicio de autenticacin
apropiado y se evala. Este mtodo requiere que el software de cliente VPN est
instalado en el sistema remoto.
8. Seleccione uno de de los tipos de autorizacin:
Connection (Conexin) la autorizacin se concede para una nica conexin. Cada
conexin requiere que el usuario escriba sus credenciales de nuevo. Esta opcin es til
para conceder acceso restringido a un servicio particular que no abre muchas
conexiones separadas.
Client IP (IP del Cliente) la autorizacin permite conexiones desde la direccin IP del
cliente durante tanto tiempo como se indique en la opcin Timeout en segundos. El
tiempo de validez por defecto es de 3600 segundos. Esta opcin es mejor si quiere
conceder acceso a varios servicios o a un servicio que abra muchas conexiones
durante una nica sesin.
9. Pulse OK para cerrar el dilogo de Parmetros de autenticacin. La regla est
terminada.
Esto concluye la configuracin de la Autenticacin de Usuario. Instale la poltica para

transferir los cambios al cortafuegos.
Para continuar:
Vea Autenticarse contra un Cortafuegos StoneGate (pag. 647) para una explicacin
de lo que necesitan hacer los usuarios en la autenticacin no VPN.
Vea Personalizar el Dilogo de Autenticacin de Usuario (pag. 648) si quiere cambiar
el texto que ven los usuarios cuando se autentican usando Telnet.
Gestionar la Informacin de Usuario

Aadir/Eliminar Usuarios de Grupos de Usuarios

Para aadir nuevos Usuarios a Grupos de Usuarios
Arrastre y suelte el elemento Usuario a un Grupo de Usuarios en el rbol de elementos. El
Usuario sigue como miembro del actual Grupo de Usuarios y se hace miembro del nuevo
grupo.
Para eliminar Usuarios de Grupos de Usuarios
1. Navegue al Grupo de Usuarios del cual quiere eliminar al Usuario.
2. Pulse botn derecho sobre el elemento Usuario y seleccione ToolsRemove
Eliminar). Se mostrar un mensaje de confirmacin.
3. Pulse Yes para eliminar al usuario del Grupo de Usuarios.
Importar y Exportar la Informacin de Usuario

Las operaciones de importacin y exportacin le permiten transferir informacin de usuarios
y grupos de usuarios desde una base de datos LDAP interna de StoneGate a otra base de
datos LDAP interna de StoneGate. La base de datos LDAP interna de StoneGate es
representada por el Dominio LDAP por defecto InternalDomain.
Importar Usuarios desde un Fichero LDIF

Para poder importar informacin de usuario con xito, la informacin debe cumplir dos condiciones:
El distinguished name (DN) siempre debe ser del tipo dn: cn=cn-del-usuario-o-
grupo,dc=stonegate.
Todos los grupos de usuarios deben estar colocados directamente debajo del grupo de
mximo nivel dc=stonegate.
La funcionalidad de importacin est orientada a importar usuarios exportados desde otra
base de datos LDAP interna de StoneGate. La importacin no est pensada para trabajar
con otros ficheros LDIF.
Para importar usuarios desde un fcihero LDIF
1. Seleccione FileImportImport Users (ArchivoImportarImporatr Usuarios) desde
el men. Se abrir el dilogo de Explorador de Fichero de Importacin.
2. Seleccione el fichero correcto y pulse Import (Importar). Se abrir una nueva pestaa
mostrando el progreso de la importacin.
3. Cuando haya acabado la importacin, compruebe los mensajes en bsqueda de avisos
antes de cerrar la pestaa.
Si se han mostrado avisos, seleccione ConfigurationConfigurationFirewall para
abrir la vista de Configuracin del Cortafuegos y navegue a Other ElementsUser
AuthenticationUsersInternalDomain (Otros ElementosAutenticacin de

UsuariosUsuariosInternalDomain) para comporbar las propiedades de esos
Usuarios/Grupos de Usuarios.
Tareas Relacionadas
Importar Elementos (pag. 76)
Exportar Usuarios a un Fichero LDIF

Puede exportar la informacin de usuario almacenada en una base de datos de usuarios interna
de StoneGate a un fichero .ldif para transferirla a otra base de datos de usuarios interna de
StoneGate.
Para exportar usuarios a un fichero LDIF
2. Navegue a Other ElementsUser AuthenticationUsersInternalDomain (Otros
ElementosAutenticacin de UsuariosUsuariosInternalDomain).
Ilustracin 223: Exportar Usuarios desde el Directorio de Usuarios Interno
3. Pulse botn derecho sobre el grupo de usuarios correcto bajo InternalDomain y seleccione
ToolsExport StoneGate Users (HerramientasExportar Usuarios de StoneGate) desde
el men. Se abrir el dilogo de Explorador de Fichero de Exportacin.
4. Seleccione la localizacin correcta, escriba el nombre de archivo y pulse Export. Se abrir
una nueva ppestaa mostrando el progreso de la exportacin.
5. Cuando haya terminado la exportacin, compruebe que no hay avisos en los mensajes antes de
cerrar la pestaa.
Tareas Relacionadas
Exportar Elementos (pag. 75)
Cambiar las Contraseas de los Usuarios

Si usa autenticacin por contraseas LDAP, puede reinicializar una contrasea de usuario si
es necesario desde el Management Client.
Para cambiar una contrasea de usuario
ElementosAutenticacin de UsuariosUsuarios).
3. Pulse botn derecho sobre el elemento Usuario y seleccione ToolsChange
Password (HerramientasCambiar Contrasea). Se abrir el dilogo de Cambiar
Contrasea.
4. Escriba la nueva contrasea en ambos campos y pulse OK. La nueva contrasea es
vlida inmediatamente.
Eliminar las Opciones de Autenticacin del Usuario

Puede eliminar rpidamente todas las opciones de autenticacin de un usuario sin eliminar al
usuario del sistema. Esto es til, por ejemplo, cuando se sabe que una cuenta de usuario ha
sido comprometida y es necesario revocar los derechos de acceso muy rpidamente.
Para eliminar los atributos de autenticacin de un usuario
ElementosAutenticacin de UsuariosUsuarios) y despus al Dominio LDAP y
Grupo de Usuarios correcto.
3. Pulse botn derecho sobre el elemento Usuario y seleccione ToolsClear
Authentication Attributes (HerramientasBorrar Atributos de Autenticacin).
4. Pulse Yes en el mensaje de Confirmacin.
Reiniciar la Base de Datos de Usuarios Local

Si usa la base de datos de usuarios interna de StoneGate, la informacin de usuario se guarda
centralmente en el Management Server. Cuando se hacen cambios, son replicados
incrementalmente a cada nodo de cortafuegos para garantizar una autenticacin tolerante a fallos si
la replicacin de la base de datos est activada en el Cortafuegos (vea Activar/Desactivar la
Replicacin de la Base de Datos a los Cortafuegos (pag. 647)). Si es necesario, puede ejecutar una
sincronizacin completa manualmente segn se indica a continuacin.
Para reiniciar la base de datos local de usuarios de un dispositivo cortafuegos
1. Pulse botn derecho sobre un cortafuegos independiente o un nodo individual de un
clster de cortafuegos y seleccione CommandsReset User Database
(ComandosReiniciar Base de Datos de Usuarios).
2. Pulse Yes en el mensaje de Confirmacin. La copia local de la base de datos de
usuarios del dispositivo se sustituye por una nueva copia de la base de datos LDAP
principal del Management Server.
Activar/Desactivar la Replicacin de la Base de Datos a los

Cortafuegos
Por defecto, la base de datos de usuario interna de StoneGate (para la autenticacin de usuarios) se
replica automticamente a los dispositivos cortafuegos, de forma que los dispositivos pueden autenticar
sin una conexin con el Management Server. Si tiene alguna necesidad especial para ello, puede
desactivar la replicacin segn se explica ms abajo.
Precaucin Si quiere evitar que los usuarios se autentiquen, siga las instrucciones en
Eliminar las Opciones de Autenticacin del Usuario (pag. 646) en lugar de desactivar la
replicacin. Desactivar la replicacin evita que nuevos usuarios que aada tras la
operacin se autentiquen, pero puede no evitar que los usuarios existentes lo hagan.
Para activar o desactivar la replicacin de la base de datos de usuarios para un cortafuegos

Pulse botn derecho sobre un cortafuegos independiente o un clster de cortafuegos y
seleccione/deseleccione OptionsUser DB Replication (OpcionesReplicacin BD Usuarios).
Autenticarse contra un Cortafuegos StoneGate

Prerrequisitos: Definir Cuentas de Usuario para la Autenticacin, Definir Reglas de Autenticacin
Los usuarios pueden autenticarse bien usando el cliente VPN IPsec StoneGate o conectndose
a la pasarela StoneGate usando un cliente Telnet estndar. Si los usuarios se autentican para
acceso VPN, deben hacerlo usando el cliente VPN IPsec; la opcin de Telnet no es vlida en
ese caso. Vea la Gua StoneGate IPsec VPN Client Users Guide para informacin sobre cmo
autenticarse usando el cliente VPN IPsec StoneGate.
Precaucin Cuando usa Telnet, usuario y contrasea se envan como texto claro, legible
por cualquiera que pueda interceptar la transmisin. Use un esquema de contraseas de
un solo uso para reducir el riesgo de accesos no autorizados.
El mensaje que se muestra a los usuarios que se conectan mediante Telnet puede ser
personalizado, vea Personalizar el Dilogo de Autenticacin de Usuario (pag. 648).
Para autenticarse usando Telnet
1. Conctese a la pasarela StoneGate usando un cliente Telnet al puerto 2543 (TCP). Se
abrir un dilogo de autenticacin solicitando un Login.
Este procedimiento depende de su configuracin, pero en la mayora de entornos, puede
simplemente escribir en la lnea de comando (o ejecutar un script que contenga):
telnet <direccin IP del cortafuegos> 2543
2. Escriba el nombre de Usuario cuando se le solicite el Login. Si slo se introduce el
Usuario, se asume el Dominio LDAP por defecto. Si este usuario no pertenece al Dominio
LDAP por defecto, aada tambin el Dominio LDAP al Usuario con un carcter @ como
seprarador.
Por ejemplo, escriba fred@mobileusers para el usuario fred en el Dominio LDAP
mobileusers.
3. Pulse Enter para confirmar el usuario (y Dominio LDAP). El dilogo de autenticacin
solicitar una contrasea.
4. Escriba el cdigo de paso (contrasea, cdigo SecurID, etc.) y pulse Enter. Un mensaje
mostrar si se concede o deniega el acceso y se cerrar la conexin Telnet.
Personalizar el Dilogo de Autenticacin de Usuario

Cualquiera que tenga permiso para conectar al cortafuegos con un cliente Telnet en el puerto 2543
(TCP) ser recibido con un mensaje de autenticacin. Si usa una plantilla de mximo nivel
personalizada, asegrese de que el acceso a este puerto est permitido para todas las direcciones
de origen deseadas. Slo se soportan direcciones IPv4 como direcciones de origen.
Nota La plantilla de poltica de cortafuegos por Defecto permite el acceso desde

cualquier origen al puerto 2543 del cortafuegos. Las reglas de Acceso que usen el
requisito de autenticacin como criterio de acceso siempre deben tener definiciones
especficas de Origen y Destino que limiten el acceso.
Por defecto, el dilogo de autenticacin muestra StoneGate firewall <direccin IP>. La

direccin IP mostrada es la direccin IP del interfaz que tiene la opcin Identity for
Authentication Requests (Identidad para Peticiones de Autenticacin) marcada. Puede
sustituir el mensaje creando un simple fichero de texto en el nodo de cortafuegos segn se
explica ms abajo. Tambin puede crear el fichero de texto y transferirlo (por ejemplo,
usando una memoria USB, SSH, etc.) a todos los nodos de cortafuegos que manejen la
autenticacin de usuarios si tiene muchos nodos as (vea las siguientes instrucciones para
informacin sobre los contenidos y localizacin del fichero).
Para personalizar el mensaje de autenticacin
1. Conctese al nodo de cortafuegos usando SSH o un cable serie.
El acceso por SSH puede activarse y desactivarse y cambiar la contrasea del usuario
Root mediante el men de botn derecho de cada nodo bajo Commands.
2. Cree un fichero de texto para el mensaje escribiendo vi /data/config/base/auth-
message y pulsando Enter. Esto lanza un editor de texto.
3. Escriba a para cambiar al modo de edicin.
4. Escriba el mensaje que quiere mostrar a sus usuarios.
Slo se usa como mensaje la primera lnea del fichero de texto (excluyendo el carcter
newline).
Tiene que haber algn texto en la primera lnea para que se use el fichero.
El mensaje puede contener la cadena de formato %IP, que se sustituir por la
direccin IP (como en el mensaje por defecto) cuando se muestre a los usuarios.
5. Cuando haya terminado, pulse la tecla Esc (Escape) en su teclado y escriba ZZ para
guardar los cambios y salir del editor de texto.
6. Reinicie el nodo de cortafuegos para empezar a usar el nuevo mensaje (para
instrucciones, ver Reiniciar Nodos (pag. 191)).
7. Repita el procedimiento completo para todos los nodos de un clster.
Si borra el fichero auth-message de /data/config/base/auth-message, se usar el
mensaje por defecto StoneGate firewall (%IP).
Vea Autenticarse contra un Cortafuegos StoneGate (pag. 647) para una explicacin de lo
que necesitan hacer los usuarios para autenticarse.
Tareas Relacionadas
Monitorizar y Probar la Autenticacin de Usuarios

Prerrequisitos: Vea Visin General de la Configuracin
Los intentos exitosos y fallidos a autenticacin de usuario as como las propias conexiones de
StoneGate con servidores de autenticacin externos pueden seguirse en los logs y puede crear
informes basados en estos datos. No hay un visor separado para comprobar los usuarios
autenticados activos actualmente.
Si hay problemas con la integracin de componentes externos, puede activar un registro ms
detallado de diagnsticos para la Autenticacin. Vea Activar/Desactivar los Diagnsticos de
Cortafuegos/VPN (pag. 193).
Filtrado de Direcciones Web 651
CAPTULO 45
FILTRADO DE DIRECCIONES WEB
El filtrado Web le permite filtrar el acceso web en base a categoras de contenidos y/o
listas de sitios web individuales. El filtrado Web se soporta en dispositivos
Cortafuegos/VPN licenciados para la inspeccin profunda de paquetes (deep packet
inspection) y en sinsores IPS. El filtrado Web basado en categoras es una funcionalidad
licenciada separadamente.
Empezar con el Filtrado Web (pag. 652)

Introducir Manualmente URLs Web en Listas Blancas/Negras (pag. 653)
Crear Reglas de Filtrado Web (pag. 654)
Empezar con el Filtrado Web

Qu Hace el Filtrado Web

El filtrado Web impide que los usuarios accedan intecionada o accidentalmente a la mayora
de sitios web que proporcionan contenidos censurables (por ejemplo, imgenes
pornogrficas o violentas), potencialmente daino (por ejemplo, varios sitios fraudulentos) u
orientados al ocio (por ejemplo, noticias de entretenimiento). Este tipo de filtrado de
contenidos puede aumentar la seguridad de la red y aplicar la poltica corporativa sobre el
uso aceptable de los recursos.
El filtrado Web compara las URLs vistas en las peticiones de los clientes con llistas de URLs
que quiere cotejar. Las listas de URLs pueden definirse como listas negras manuales y/o
categoras de contenidos compiladas dinmicamente proporcionadas por un servicio de
categorizacin. Actualmente, puede usar categorizaciones proporcionadas por el servicio
BrightCloud para el filtrado basado en categoras. Cuando el filtrado basado en categoras
est activo, puede usar adicionalmente las listas de URL manuales como listas blancas de
direccoines individuales que no deben ser bloqueadas por el filtrado basado en categoras.
Puede comprobar la categora que ha asignado BrightCloud a una URL en
http://www.brightcloud.com/support/lookup.php.
Limitaciones
El filtrado web basado en categoras (BrightCloud) es una funcionalidad licenciada
separadamente.
No pueden hacerse a la vez el filtrado Web y la redireccin CIS (Content Inspection
Server) para el mismo trfico. Vea Empezar con la Inspeccin Externa de Contenidos
(pag. 670) para ms informacin sobre la redireccin CIS.
El filtrado web basado en categoras es basa en las clasificaciones del servicio externo,
de modo que no es posible aadir manualmente o editar directamente las categoras de
filtrado web. Use la funcionalidad de listas negras y blancas manuales en las reglas de
inspeccin para hacer sus ajustes.

Ilustracin 224: Elementos de la Configuracin
Situaciones Reglas de Inspeccin Cortafuegos
1. (Para filtrado basado en categoras) Asegrese de que el dispositivo y la red estn configurados
de forma que el dispositivo pueda recuperar las listas de URLs directamente desde los
servidores de BrightCloud.
Asegrese de que los servidores de DNS estn definidos en la pestaa Advanced
de las propiedades del dispositivo. Vea tab in the engines properties. See Empezar
con las Opciones Avanzadas de Dispositivo (pag. 416).
Asegrese de que los dispositivos tienen acceso a servidor de DNS (puerto UDP 53,
elemento Servicio DNS (UDP)), y a los servidores de BrightCloud (puerto TCP
2316, elemento Servicio BrightCloud update). La plantilla de poltica por Defecto
permite estas conexiones al dispositivo cortafuegos en el cual se instala la poltica,
pero no desde otros componentes.
2. (Opcional) Cree Respuestas de Usuario para notificar a los Usuarios sobre las
coincidencias encontradas. Vea Empezar con las Respuestas de Usuario (pag. 612).
3. (Opcional cuando se usa filtrado basado en categoras) Defina listas de URLs individuales que
quiere filtrar. Vea Introducir Manualmente URLs Web en Listas Blancas/Negras (pag. 653).
4. Aada reglas de inspeccin. Vea Crear Reglas de Filtrado Web (pag. 654).
Filtrado de Direcciones Web 653
Introducir Manualmente URLs Web en Listas Blancas/Negras

Prerrequisitos: Para usar en un cortafuegos, compruebe que el cortafuegos est licenciado para la inspeccin
profunda de paquetes
Las Situaciones de Filtrado de URLs HTTP le permiten definir listas de URLs que bloqueen
(listas negras) el acceso a las URLs especificadas. Cuando se usan en combinacin con filtrado
web basado en categoras, estos tipos de listas pueden usarse adems para permitir (listas
blancas) URLs individuales que estn en una categora por lo dems bloqueada. Las listas
blancas de URLs slo afectan al filtrado basado en URLs. No excluyen al trfico de otras
comprobaciones de inspeccin.
Nota Para poder filtrar URLs HTTPS, debe descifrar el trfico. Vea Empezar con la
Inspeccin HTTPS (pag. 656).
Para configurar el Control de Acceso de Sitios Web

1. Cree un nuevo elemento Situacin con las propiedades bsicas adecuadas (vea Crear
Nuevos Elementos Situacin (pag. 597) para ms informacin). Deje el Tipo de Situacin
(Situation Type) vaci si est creando una lista blanca.
2. Cambie a la pestaa Context (Contexto) y seleccione el Contexto: Application
ProtocolsHTTPHTTP URL Filter (Protocolos de AplicacinHTTPFiltro de URLs
HTTP).
3. Pulse el botn Add (Aadir) bajo el panel de entrada. Puede aadir hasta 20 URLs por
Situacin.
4. Pulse doble click sobre la fila recin aadida e introduzca la URL sin especificar el
protocolo, por ejemplo, www.ejemplo.com.
Cada URL puede tener hasta 60 caracteres.
Para bloquear o permitir el acceso a un dominio, escriba: ejemplo.com
Para bloquear o permitir el acceso a una URL exacta, escriba:
www.ejemplo.com/index.html. Los usuarios todava podrn acceder a otras pgunas
tales como www.ejemplo.com/main.html.
Se puede usar un asterisco (*) al principio de la URL. Por ejemplo: *.ejemplo.com
(coincide con una peticin de www.ejemplo.com pero no con la variante corta
ejemplo.com).
5. Aada Etiquetas (Tags) segn crea necesario para organizar esta Situacin y pulse OK.
Para continuar:
Crear Reglas de Filtrado Web (pag. 654)
Crear Reglas de Filtrado Web

Prerrequisitos: El filtrado web basado en categoras es una funcionalidad licenciada separadamente
Los cortafuegos no inspeccionan en profundidad el trfico por deefcto, as que asegrese de

que hay una regla de Acceso que compruebe el trfico HTTP y tenga la opcin Deep
Inspection (Inspeccin Profunda) seleccionada en las opciones de la Accin.
El actual filtrado de URLs se configura en las reglas de Inspeccin. Las Situaciones de
filtrado basado en categoras se listan en el rbol de Reglas bajo Web Filtering (Filtrado
Web). Las categoras se actualizan mediante paquetes de actualizacin dinmica.
Aada su lista blanca a la tabla de Excepciones configurada para usar la accin Permit
(Permitir). Sus listas de URLs manuales pueden encontrarse bajo SituationsCustom
Situations (SituacionesSituaciones Personalizadas). La lista blanca debe estar en la tabla
de Excepciones para poder superponerse a las opciones del filtrado basado en categoras
en el rbol de Reglas (que es el propsito de las listas blancas).
Las listas negras pueden incluirse como una Excepcin o aadirse al rbol de Reglas
(seleccionando un Tipo de Situacin para la Situacin).
Tambin puede incluir una Respuesta de Usuario en la regla para mostrar avisos o notas en
los navegadores de los usuarios cuando el Filtrado Web impida el acceso. Vea Editar
Reglas de Inspeccin (pag. 531) y Empezar con las Respuestas de Usuario (pag. 612) para
ms informacin.
Para continuar:
Refresque la poltica del cortafuegos o sensor para activar la configuracin.
Configurar la Inspeccin HTTPS 655
CAPTULO 46
CONFIGURAR LA INSPECCIN HTTPS
La funcionalidad de inspeccin HTTPS le permite descifrar las conexiones HTTPS de

forma que puedan ser inspeccionadas en busca de trfico malicioso. La inspeccin
HTTPS est disponible en cortafuegos y sensores.
Empezar con la Inspeccin HTTPS (pag. 656)

Configurar la Proteccin de Servidor (pag. 658)
Configurar la Proteccin de Cliente (pag. 659)
Definir Autoridades de Certificacin de Confianza para Inspeccin HTTPS (pag.
662)
Activar la Inspeccin HTTPS en el Dispositivo (pag. 665)
Excluir Dominios de la Inspeccin HTTPS (pag. 666)
Definir un Servicio HTTPS Personalizado (pag. 667)
Crear Reglas de Acceso para la Inspeccin HTTPS (pag. 668)
Empezar con la Inspeccin HTTPS

Qu Hace la inspeccin HTTPS

HTTPS se usa para securizar las conexiones HTTP. Sin embargo, la conexin cifrada
HTTPS tambin puede ser usada para ocultar ataques basados en Web. La funcionalidad
de Inspeccin HTTPS descifra el trfico HTTPS de forma que pueda ser inspeccionado de
la misma forma que el trfico HTTP no cifrado, y despus re-cifra el trfico nates de enviarlo
a su destino.
La funcionalidad de Inspeccin HTTPS le ayuda de los siguientes modos:
La proteccin de servidor le permite inspeccionar conexiones HTTPS entrantes hacia
servidores en la red protegida.
La proteccin de cliente le permite inspeccionar conexiones HTTP salientes iniciadas por
usuarios en la red protegida.
Puede usar slo la proteccin de servidor, slo la proteccin de cliente o ambas
protecciones juntas.
Limitaciones
La Inspeccin HTTPS tiene las siguientes limitaciones notables:
HTTPS est disponible en cortafuegos y sensores empezando en la versin 5.0.
Los sensores deben estar desplegados en modo inline para usar la Inspeccin HTTPS.
La Inspeccin HTTPS no puede hacerse para trfico capturado usando interfaces
Capture.
La Inspeccin HTTPS no puede usarse en sensores inline independientes redundantes
desplegados junto a un clster de cortafuegos usando clster en modo de despacho de
paquetes.
No puede hacerse Inspeccin HTTPS y Redireccin CIS para el mismo trfico. Vea
Empezar con la Inspeccin Externa de Contenidos (pag. 670) para ms informacin
sobre la redireccin CIS.
Los elementos Autoridad de Certificacin de Confianza por Defecto son aadidos
automticamente desde los paquetes de actualizacin dinmica y no pueden ser editados
ni eliminados

El trfico que usa HTTPS puede estar protegido por leyes relativas a la privacidad de las
comunicaciones. Descifrar e inspeccionar este trfico puede ser ilegal en algunas
jurisdicciones.
Dado que las comunicaciones HTTPS interceptadas por el dispositivo se descifran para
su inspeccin, y puesto que las claves privadas de los servidores se almacenan
descifradas en los elementos Credenciales de Proteccin de Servidor en el Management
Server y en el dispositivo, debe considerar cuidadosamente precauciones de seguridad
cuando use Inpesccin HTTPS. Las iguientes recomendaciones son pautas generales
para garantizar la seguridad del dispositivo y el Management Center:
Ejecute el Management Server sobre un Sistema Operativo bastionado.
Desactive el acceso por SSH a la lnea de comando del dispositivo si no se necesita
regularmente.
Asegrese de que el interfaz de Control del dispositivo est en una red controlada.
Guarde las copias de seguridad del Management Server como ficheros cifrados.

Ilustracin 225: Elementos de la Configuracin
1. Si quiere configurar la proteccin de servidor, cree elementos Credenciales de Proteccin de

Servidor. Vea Configurar la Proteccin de Servidor (pag. 658).
2. Si quiere configurar la proteccin de cliente, cree elementos Autoridad de Certificacin de
Proteccin de Cliente. Vea Configurar la Proteccin de Cliente (pag. 659).
3. (Opcional) Defina elementos Autoridad de Certificacin de Confianza adems de los elementos
por defecto del sistema. Vea Definir Autoridades de Certificacin de Confianza para Inspeccin
HTTPS (pag. 662).
4. Active la proteccin de cliente y/o la proteccin de servidor en las propiedades del
cortafuegos o sensor. Vea Activar la Inspeccin HTTPS en el Dispositivo (pag. 665).
5. (Opcional) Defina un elemento Excepciones de Inspeccin HTTPS para excluir ciertos
dominios del descifrado y la inspeccin. Vea Excluir Dominios de la Inspeccin HTTPS (pag.
666).
6. Cree un Servicio HTTPS personalizado que active la Inspeccin HTTPS. Vea Definir un
Servicio HTTPS Personalizado (pag. 667).
7. Cree reglas de Acceso para seleccionar el trfico para la Inspeccin HTTPS. Vea Crear Reglas
de Acceso para la Inspeccin HTTPS (pag. 668).
Para continuar:
Si quiere configurar la proteccin de servidor, proceda a Configurar la Proteccin de
Servidor (pag. 658).
En otro caso, proceda a Configurar la Proteccin de Cliente (pag. 659).
Configurar la Proteccin de Servidor

El elemento Credenciales de Proteccin de Servidor almacena la clave privada y el

certificado de un servidor HTTPS interno. La clave privada y el certificado permiten al
cortafuegos o sensor descifrar el trfico HTTPS cuyo destino es el servidor interno de forma
que pueda inspeccionarse. El certificado y la clave privada asociada deben ser compatibles
con SSL y estar en formato PEM. Asegrese de que la clave privada del servidor y el
certificado estn accesibles desde el ordenador donde usa el Management Client.
Para definir un elemento Credenciales de Proteccin de Servidor
Configuracin del Cortafuegos o IPS.
2. Navegue a Other ElementsFirewall Properties (Otros ElementosPropiedades del
Cortafuegos) o Other ElementsIPS Properties (Otros ElementosPropiedades del
IPS).
3. Pulse botn derecho sobre Server Protection Credentials (Credenciales de Proteccin
de Servidor) y seleccione New Server Protection Credentials (Nuevas Credenciales
de Proteccin de Servidor). Se abrir el dilogo de Credenciales de Proteccin de
Servidor.
Ilustracin 226: Credenciales de Proteccin de Servidor

5. Pulse el botn Import (Importar) para el campo Private Key (Clave Privada) y navegue
a la clave privada del servidor.
Si la clave privada est cifrada, se le solicitar la contrasea.
6. Pulse el botn Import para el campo Certificate (Certificado) y navegue al certificado
del servidor.
7. Pulse OK.
Para continuar:
Si quiere inspeccionar cnexiones entre clientes internos y servidores HTTPS
externos, proceda a Configurar la Proteccin de Cliente (pag. 659).
En otro caso, proceda a Activar la Inspeccin HTTPS en el Dispositivo (pag. 665).
Configurar la Proteccin de Cliente

Cuando un cliente interno abre una conexin con un servidor HTTPS externo, el dispositivo
genera un certificado sustitutivo que le permite establecer una conexin segura con el cliente
interno. El dispositivo aade un Comentario de Certificado Netscape a las Extensiones en el
certificado sustitutivo para indicar que el certificado es un certificado creado dinmicamente
para la inspeccin profunda SSL/TLS de StoneGate. El elemento Autoridad de Certificacin
de Proteccin de Cliente contiene las credenciales que usa el dispositivo para firmar el
certificado sustitutivo que genera. Si el dispositivo no usa un certificado de firma que ya es de
confianza para los navegadores web de los usuarios para firmar el certificado sustitutivo que
genera, los usuarios reciben advertencias sobre certificados invlidos. Para evitar estas
advertencias, debe bien importar un certificado de firma ya confiable o configurar los
navegadores web de los usuarios para que confen en el certificado de firma del dispositivo.
Nota El trfico que usa HTTPS puede estar protegido por leyes relacionadas con la
privacidad de las comunicaciones. Descifrar e inspeccionar este trfico puede ser ilegal
en algunas jurisdicciones.
Crear Elementos Autoridad de Certificacin de Proteccin de

Cliente
Para crear un elemento Autoridad de Certificacin de Proteccin de Cliente
2. Navegue a Other ElementsFirewall Properties o Other ElementsIPS Properties.
3. Pulse botn derecho sobre Client Protection Certificate Authorities (Autoridad de
Certificacin de Proteccin de Cliente) y selecciones New Client Protection Certificate
Authority (Nueva Autoridad de Certificacin de Proteccin de Cliente). Se abrir el
dilogo de Propiedades de Autoridad de Certificacin de Proteccin de Cliente.
Ilustracin 227: Propiedades de Autoridad de Certificacin de Proteccin de Cliente

5. (Opcional) Introduzca el Tiempo de Validez (Validity time) (en minutos) para los
certificados sustitutivos que cree el dispositivo.
Cada certificado sustitutivo expira al final del tiempo de valodez, y el dispositivo genera
automticamente un nuevo certificado. Esto puede producir avisos o mensajes de error
en los navegadores web de los usuarios. Para evitar avisos excesivos, defina un tiempo
de validez suficientemente largo, por ejemplo varias horas.
Nota Todos los campos excepto Name y Validity time en la pestaa General estn
desactivados. Los campos en gris se rellenan automticamente en base a la informacin
contenida en el certificado que genere o importe, y no pueden cambiarse.
Para continuar:
Si quiere importar un certificado existente, proceda a Importar una Clave Privada y
un Certificado de Firma para la Proteccin de Cliente HTTPS (pag. 660).
Si quiere generar un nuevo certificado para la Autoridad de Certificacin de
Proteccin de Cliente, proceda a Generar una Clave Privada y un Certificado de
Firma para la Proteccin de Cliente HTTPS (pag. 661).
Importar una Clave Privada y un Certificado de Firma para la

Proteccin de Cliente HTTPS
Si ya tiene una autoridad de certificacin de confianza para los navegadores web de los
usuarios, puede importar su clave privada y certificado de firma para el dispositivo para
usarlos cuando firme el certificado sustitutivo que crea. Esto elimina la necesidad de
configurar separadamente los navegadores web de los usuarios para que confen en el
certificado de firma del dispositivo. Tambin puede importar una clave privada y un
certificado de firma que haya generado fuera de StoneGate incluso si no tiene ya una
autoridad de certificacin de confianza para los navegadores web de los usuarios. El
certificado y la clave privada asociada deben ser compatibles con OpenSSL y estar en
formato PEM. Asegrese de que la clave privada y el certificado son accesibles desde el
ordenador donde usa el Management Client.
Para importar una clave privada y certificado de firma para la proteccin de cliente
HTTPS
1. Cambie a la pestaa Certificate (Certificado).
Ilustracin 228: Propiedades de Autoridad de Certificacin de Proteccin de Cliente - Pestaa Certificate
2. Pulse el botn Import (Importar) para el campo Private Key (Clave Privada) y navegue
a la clave privada.
3. Pulse el botn Import (Importar) para el campo Certificate (Certificado) y navegue al
certificado.
Si los navegadores web de los usuarios no estn an configurados para confiar en la
autoridad de certificacin cuyo certificado de firma acaba de importar, deber aadirlo a la
lista de autoridades de certificacin confiables para los navegadores web de los usuarios
cuando haya terminado de configurar la Inspeccin HTTPS en StoneGate.
Para continuar:
Proceda a Activar la Inspeccin HTTPS en el Dispositivo (pag. 665).
Generar una Clave Privada y un Certificado de Firma para la

Proteccin de Cliente HTTPS
Si no dispone an de una clave privada y certificado de firma para el dispositivo, puede
generar una clave privada y un certificado de firma en las propiedades de la Autoridad de
Certificacin de Proteccin de Cliente. Cuando genera una clave privada y un certificado de
firma, debe exportar el certificado y aadirlo a la lista de autoridades de certificacin de
confianza para los navegadores web de los usuarios.
Para generar una clave privada y un certificado de firma para la proteccin de cliente
HTTPS
2. Pulse Generate (Generar). Se abrir el dilogo de Detalles del Certificado de Firma.
Ilustracin 230: Detalles del Certificado de Firma
3. Introduzca el Common Name de la Autoridad de Certificacin.

4. (Opcional) Seleccione la Longitud de la Clave Pblica (Public Key Length).
5. Especifique la fecha y hora hasta las cuales es vlido el certificado de firma (Valid
Until).
6. Pulse OK. Se cerrar el dilogo de Detalles del Certificado de Firma, y se generarn
una clave privada y un certificado de firma.
Para continuar:
Exporte el certificado de firma del dispositivo de forma que pueda aadirse a la lista de
autoridades de certificacin de confianza para los navegadores web de los usuarios.
Proceda a Exportar un Certificado de Proteccin de Cliente HTTPS (pag. 662).
Exportar un Certificado de Proteccin de Cliente HTTPS

Si los navegadores web de los usuarios no estn configurados para confiar en el certificado
de firma del dispositivo, los usuarios reciben advertencias acerca de certificados invlidos. Si
gener el certificado de firma para proteccin de cliente en StoneGate, debe exportar el
certificado y aadirlo a la lista de autoridades de certificacin de confianza para los
navegadores web de los usuarios.
Estas instrucciones asumen que ya tiene abierto el dilogo de Propiedades de la Autoridad
de Certificacin de Proteccin de Cliente.
Para exportar un certificado de proteccin de cliente HTTPS
2. Pulse el botn Export (Exportar) para el campo Certificate (Certificado) y navegue a la

localizacin donde quiere guardar el fichero.
Cuando haya terminado de configurar la Inspeccin HTTPS en StoneGate, aada el
certificado exportado a la lista de autoridades de certificacin de confianza para los
navegadores web de los usuarios.
Para continuar:
Definir Autoridades de Certificacin de Confianza para Inspeccin

HTTPS
Prerrequisitos: Configurar la Proteccin de Cliente
Los elementos Autoridad de Certificacin de Confianza representan los certificados que

identifican a autoridades de certificacin. Hay elementos Autoridad de Certificacin de
Confianza por defecto para muchas de las principales autoridades de ceritifacin. Cuando un
cliente en la red protegida conecta con un servidor HTTPS, el dispositivo comprueba si la
autoridad de certificacin que firm el certificado del servidor es una de las Autoridades de
Certificacin de Confianza. Si el certificado est firmado por una de las Autoridades de
Certificacin de Confianza, el dispositivo crea un certificado sustitutivo que coincide con el
certificado del servidor y lo firma con el certificado de firma de la Autoridad de Certificacin
de Proteccin de Cliente. Si el certificado del servidor no est firmado por una Autoridad de
Certifiacin de Confianza, el dispositivo crea un nuevo certificado auto-firmado, y los
usuarios reciben una advertencia de que el emisor del certificado no es de confianza. En
ambos casos, la proteccin de cliente contina funcionando normalmente.
Si est usando proteccin de cliente para conectar a dominios cuyos certificados no estn
firmados por una de las Autoridades de Certificacin de Confianza, puede definir un
elemento Autoridad de Certificacin de Confianza para representarla. Cuando define una CA
como confiable, todos los certificados firmados por esa CA se consideran vlidos hasta su
fecha de expiracin.
Crear Elementos Autoridad de Certificacin de Confianza

Para crear un elemento Autoridad de Certificacin de Confianza
ConfigurationConfigurationIPS desde el men. Se abrir la vista de Configuracin
del Cortafuegos o IPS.
2. Navegue a Other ElementsFirewall Properties (Otros ElementosPropiedades del
Cortafuegos) o Other ElementsIPS Properties (Otros ElementosPropiedades del
IPS).
3. Pulse botn derecho sobre Trusted Certificate Authorities (Autoridades de Certificacin
de Confianza) y seleccione New Trusted Certificate Authority (Nueva Autoridad de
Certificacin de Confianza). Se abrir el dilogo de Propiedades de Autoridad de
Certificacin de Confianza.
Ilustracin 232: Propiedades de Autoridad de Certificacin de Confianza
Nota Todos los campos excepto Name en la pestaa General estn desactivados. Los
campos en gris siempre se rellenan automticamente en base a la informacin contenida
en el certificado que importe y no pueden cambiarse.
Importar un Certificado de Autoridad de Certificacin de Confianza

para Inspeccin HTTPS
Asegrese de que el certificado de la autoridad de certificacin es accesible desde el ordenador
donde use el Management Client.
Para importar un certificado de Autoridad de Certificacin de Confianza
Ilustracin 233: Propiedades de la Autoridad de Certificacin de Confianza - Pestaa

General
2. Pulse Import (Importar). Se abrir un dilogo de explorador de ficheros.

3. Navegue al certificado y pulse Open (Abrir).
Para continuar:
Si quiere configurar comprobaciones de CRL (lista de revocacin de certificados) para
esta autoridad de certificacin, proceda a Configurar Comprobaciones de Listas de
Revocacin de Certificados para la Inspeccin HTTPS (pag. 664).
En otro caso, pulse OK para cerrar el dilogo de Propiedades de la Autoridad de
Certificacin de Confianza y proceda Activar la Inspeccin HTTPS en el Dispositivo
(pag. 665).
Configurar Comprobaciones de Listas de Revocacin de

Certificados para la Inspeccin HTTPS
Opcionalmente puede configurar StoneGate para que consulte listas de revocacin de certificados
(CRLs) en las cuales la autoridad de certificacin lista los certificados que se cancelan, por ejemplo,
porque han sido comprometidos. Por defecto, la Tarea de Refrescar Listas de Revocacin de
Certificados del sistema se ejecuta diariamente. El Management Server conecta con los servidores
de CRLs especificados, comprueba la informacin de CRLs y transfiere las CRLs actualizadas a los
dispositivos. El Management Server debe tener una conexin con Internet para conectar con los
servidores de CRLs externos.
Para configurar comprobaciones de listas de revocacin de certificados
1. Cambie a la pestaa Validation (Validacin).
Ilustracin 234: Propiedades de la Autoridad de Certificacin de Confianza - Pestaa Validation
2. Seleccione Check Validity on Certificate-Specified CRLs (Comprobar Validez en

CRLs Especificadas en el Certificado).
3. Pulse Add (Aadir) y seleccione Manual Server Address (Direccin de Servidor
Manual). Se abrir el dilogo de Aadir Servidor de CRLs.
Ilustracin 235: Aadir Servidor de CRLs
4. Introduzca la URL del servidor de CRLs y pulse OK.

Ejemplo http://ejemplo.com
5. Aada cualquier otro servidor de CRLs del mismo modo, y pulse OK para cerrar el
dilogo de Propiedades de la Autoridad de Certificacin de Confianza.
Para continuar:
Activar la Inspeccin HTTPS en el Dispositivo

Prerrequisitos: Configurar la Proteccin de Servidor, Configurar la Proteccin de Cliente
Dependiendo de los elementos que seleccione en las propiedades del dispositivo, puede
activar slo la funcionalidad de proteccin de cliente, slo la de proteccin de servidor, o
proteccin de cliente y servidor conjuntamente.
Para especificar las opciones de inspeccin HTTP en las propiedades del dispositivo
2. Pulse Firewalls (Cortafuegos) o IPS Engines (Dispositivos IPS). Se abrir una lista de
dispositivos a la derecha.
3. Pulse botn derecho sobre el dispositivo y seleccione Properties (Propiedades). Se
abrir el dilogo de Propiedades del Dispositivo.
4. Cambie a la pestaa HTTPS Inspection (Inspeccin HTTPS).
Ilustracin 236: Propiedades de Dispositivo - Pestaa HTTPS Inspection
5. (Para proteccin de cliente) Pulse Select (Seleccionar) y seleccine el elemento

Autoridad de Certificacin de Proteccin de Cliente.
6. (Para proteccin de servidor) Seleccione los elementos Credenciales de Proteccin de
Servidor y pulse Add (Aadir). Los elementos seleccionados se aaden a la lista.
7. Puls OK para cerrar el dilogo de propiedades del dispositivo.
Para continuar:
Si quiere excluir ciertos dominios del descifrado e inspeccin HTTPS, proceda a
Excluir Dominios de la Inspeccin HTTPS (pag. 666).
En otro caso, proceda a Definir un Servicio HTTPS Personalizado (pag. 667).
Excluir Dominios de la Inspeccin HTTPS

El elemento Excepciones de Inspeccin HTTPS es una lista de dominios que se excluyen del
descifrado y la inspeccin. El trfico desde y hacia los dominios especificados se comprueba
contra las reglas de Acceso e Inspeccin como trfico HTTPS cifrado.
Para excluir dominios de la inspeccin HTTPS
2. Navegue a Other ElementsHTTPS Inspection Policies (Otros ElementosPolticas
de Inspeccin HTTPS).
3. Pulse botn derecho sobre HTTPS Inspection Exceptions (Excepciones a la
Inspeccin HTTPS) y seleccione New HTTPS Inspection Exceptions (Nuevas
Excepciones a la Inspeccin HTTPS). Se abrir el dilogo de Propiedades de
Excepciones a la Inspeccin HTTPS.
Ilustracin 237: Propiedades de Excepciones a la Inspeccin HTTPS
4. Pulse Add (Aadir). Se abrir el dilogo de Aadir Dominio No Descifrado.

5. Introduzca el nombre de dominio o nombre NetBIOS y pulse OK. El dominio se aade a
la lista de dominios no descifrados.
Precaucin El nombre de dominio o de NetBIOS debe coincidir exactamente con los

campos DNSName o IPAddress en el Nombre Alternativo de Sujeto o Common Name
en el certificado del servidor que quiere excluir del descifrado. En otro caso, el dominio
no se excluye de descifrado e inspeccin.
6. Repita estos pasos para dominios adicionales y pulse OK.
Para continuar:
Cree un Servicio HTTP Personalizado que active la inspeccin HTTPS y seleccione
las Excepciones de Inspeccin HTTPS en los Parmetros de Protocolo. Proceda a
Definir un Servicio HTTPS Personalizado (pag. 667).
Definir un Servicio HTTPS Personalizado

Prerrequisitos: (Opcional) Excluir Dominios de la Inspeccin HTTPS
Por defecto, la Inspeccin HTTPS no est activada en el Servicio HTTPS. Para acttivar la
Inspeccin HTTPS, debe crear un Servicio HTTPS personalizado. Opcionalmente tambin
puede especificar las Excepciones de Inspeccin HTTPS para excluir dominios del
descifrado y la inspeccin.
Para definir un Servicio HTTPS personalizado
2. Navegue a Other ElementsServicesTCP (Otros ElementosServiciosTCP). Se
abrir una lista de Servicios TCP a la derecha.
3. Pulse botn derecho sobre el Servicio HTTPS por defecto y seleccione NewDuplicate
(NuevoDuplicado). El dilogo de Propiedades de Servicio TCP se abre con las
propiedades del Servicio HTTPS.
4. Introduzca un Nombre (Name) nico para el servicio personalizado.
Ilustracin 238: Propiedades de Servicio TCP - Pestaa Protocol Parameters
6. (Opcional) Pulse el botn Select (Seleccionar) para el campo HTTPS Inspection

Exceptions y seleccione el elemento Excepciones de Inspeccin HTTPS en el dilogo
que se abre.
7. Seleccione Yes para HTTPS Decryption and Inspection (Descifrado e Inspeccin
HTTPS).
8. Pulse OK.
Para continuar:
Use el Servicio HTTPS personalizado en una regla de Acceso para seleccionar el
trfico HTTPS para inspeccin. Proceda a Crear Reglas de Acceso para la Inspeccin
HTTPS (pag. 668).
Crear Reglas de Acceso para la Inspeccin HTTPS

Prerrequisitos: Activar la Inspeccin HTTPS en el Dispositivo, Definir un Servicio HTTPS Personalizado
Para seleccionar el trfico HTTPS para su inspeccin, debe crear reglas de Acceso que usen
el Servicio HTTPS personalizado que ha creado. Debe seleccionar Deep Inspection
(Inspeccion Profunda) en las opciones de Accin de las reglas de Acceso del Cortafuegos
para activar la inspeccin del trfico coincidente. Deep Inspection est activado por defecto
en las reglas de Acceso de IPS. El trfico que coincide con las reglas de Acceso para la
Inspeccin HTTPS se descifra y se comprueba contra las Situaciones HTTP en las reglas de
Inspeccin del mismo modo que el trfico no cifrado. Cualquier trfico que una reglas de
Inspeccin permite pasar es re-cifrado y enviado a su destino.
Para crear reglas de Acceso para la inspeccin HTTPS
1. (Proteccin de Cliente) Aada una regla con las siguientes propiedades para elegir el
trfico desde clientes en la red interna para su inspeccin:
Tabla 144: Reglas de Acceso para Proteccin de Cliente

Permitir
Los elementos que representen Deep
El elemento que representa a Su servicio
los servidores HTTPS a los que Inspection
los clientes en su red interna HTTPS
se conectan los clientes internos o seleccionado
o ANY. personalizado.
ANY. en las opciones
de Accin.
2. (Proteccin de Servidor) Aada una regla con las siguientes propiedades para elegir el
trfico hacia los servidores internos para su inspeccin:
Tabla 145: Reglas de Acceso para Proteccin de Servidor

Permitir
Los elementos que Deep
Su servicio
representan los clientes que El elemento que representa sus Inspection
HTTPS
conectan a sus servidores servidores HTTPS internos. seleccionado
personalizado.
HTTPS o ANY. en las opciones
de Accin.
Para continuar:
Defina reglas de Inspeccin para comprobar el trfico descifrado contra Situaciones
HTTP. Proceda a Editar Reglas de Inspeccin (pag. 531).
En otro caso, ha terminado de editar la poltica, guarde e instale la poltica para
empezar a usar la nueva configuracin.
Tareas Relacionadas
Inspeccin Externa de Contenidos 669
CAPTULO 47
INSPECCIN EXTERNA DE CONTENIDOS
La inspeccin de contenidos, igual que el escaneo de virus o el filtrado de URLs, puede

hacerse integrando un Servidor de Inspeccin de Contenidos (Content Inspection
Server CIS) en el proceso de inspecccin del trfico. Cualquier cortafuegos
independiente o en clster puede configurarse para reenviar el trafico a un CIS externo
Empezar con la Inspeccin Externa de Contenidos (pag. 670)

Definir un Elemento Servidor de Inspeccin de Contenidos (pag. 671)
Definir un Servicio para la Redireccin CIS (pag. 672)
Definir Reglas de Acceso para la Redireccin CIS (pag. 674)
Definir Reglas de NAT para la Redireccin CIS (pag. 675)
Empezar con la Inspeccin Externa de Contenidos

Prerrequisitos: Instale y configure el servidor CIS antes de configurar la redireccin CIS en StoneGate
Puede redirigir el trfico a un servidor de inspeccin de contenidos (Content Inspection Server

CIS) externo, tal como un servidor de antivirus, para comprobar su contenido antes de que el
trfico contine hacia su destino final.
Qu Hace la Redireccin CIS
Las conexiones que llegan al cortafuegos pueden ser redirigidas (usando NAT) a un servidor de
inspeccin de contenidos que funcione como un proxy. El servidor de inspeccin de contenidos
filtra el trfico no deseado antes de que el trfico inspeccionado se reenve a travs del
cortafuegos a su destino original (posiblemente con una segunda operacin de NAT).
Limitaciones
Slo pueden usarse Agentes de Protocolo FTP, HTTP, y SMTP para redirigir el trfico a
un servidor de inspeccin de contenidos.
Puede aplicar bien inspeccin de contenidos externa (redireccin CIS) o inspeccin de
contenidos interna (inpesccin HTTPS, Filtrado Web, escaneo de virus interno,
inspeccin profunda) sobre el trfico. No es posible usar ambas formas de inspeccin de
contenidos simultneamente sobre la misma conexin.
Slo se soportan direcciones IPv4 en la redireccin CIS.

1. Defina el elemento Servidor CIS para definir la direccin IP y los servicios que inspecciona el
servidor. Vea Definir un Elemento Servidor de Inspeccin de Contenidos (pag. 671).
2. Cree un elemento Servicio personalizado que incluya al Servidor CIS. Vea Definir un Servicio
para la Redireccin CIS (pag. 672).
3. Defina las reglas de Acceso que seleccionan el trfico para la redireccin CIS. Vea Definir
Reglas de Acceso para la Redireccin CIS (pag. 674).
4. Defina las reglas de NAT para la redireccin CIS. Vea Definir Reglas de NAT para la
Redireccin CIS (pag. 675).
Definir un Elemento Servidor de Inspeccin de Contenidos

Prerrequisitos: Instale y configure el servidor CIS antes de configurar la redireccin CIS en StoneGate
El elemento servidor CIS define la direccin IP y los puertos para los servicios en el servidor.
Para definir un elemento servidor CIS
3. Pulse botn derecho sobre Servers (Servidores) y seleccione New CIS Server
(NuevoServidor CIS). Se abrir el dilogo de propiedades de Servidor CIS.
Ilustracin 240: Propiedades de Servidor de Inspeccin de Contenidos - Pestaa

General
4. Especifique un Nombre (Name) nico y la direccin IP (IP Address) del servidor.

5. (Opcional) Especifique la Localizacin (Location) y direcciones NAT para este servidor.
Las direcciones de Localizacin y NAT necesitan especificarse si hay un dispositivo NAT
entre un cortafuegos y el servidor, de forma que el cortafuegos no puede conectar
directamente a la direccin IP definida para el interfaz. Para ms informacin, Definir
Localizaciones (pag. 61) y Definir Direcciones IP de Contacto (pag. 62).
6. (Opcional) Introduzca una Direccin IP Secundaria (Secondary IP Address) para el
servidor.
StoneGate asocia la direccin IP secundaria al elemento correcto cuando la direccin IP se
usa como direccin de origen o de destino en comunicaciones pass-through, pero la
direccin IP secundaria nunca se usa como direccin de destino cuando StoneGate inicia
las comunicaciones.
7. Cambie a la pestaa Services (Servicios).
Ilustracin 241: Propiedades de Servidor CIS - Pestaa Servicios
8. Seleccione el protocolo a inspeccionar e introduzca el Nmero de Puerto (Port

Number) que usa el servidor para el servicio.
9. Pulse OK.
Para continuar:
Contine la configuracin en Definir un Servicio para la Redireccin CIS (pag. 672).
Definir un Servicio para la Redireccin CIS

Prerrequisitos: Definir un Elemento Servidor de Inspeccin de Contenidos
Crear un Servicio para la Redireccin CIS

Para definir un servicio para la redireccin CIS
2. Navegue a Other Elements (Otros Elementos) y expanda la rama Services (Servicios).
3. Pulse botn derecho sobre la rama TCP y seleccione NewTCP Service
(NuevoServicio TCP). Se abrir el dilogo de Propiedades de Servicio TCP.
Ilustracin 242: Propiedades de Servicio TCP

5. Introduzca el puerto o rango de puertos de destino en Dst. Ports y/o el puerto o rango
de puertos de origen en Src. Ports. Deje vacis campos segn sea necesario.
6. Pulse el botn Select (Seleccionar) para el campo Protocol (Protocolo) y seleccione el

Agente de Protocolo.
Los Agentes de Protocolo FTP, HTTP, o SMTP pueden usarse para la redireccin CIS.
Para continuar:
Contine la configuracin en Definir Parmetros de Protocolo para la Redireccin CIS
(pag. 673).
Definir Parmetros de Protocolo para la Redireccin CIS

Para definir los parmetros de protocolo de la redireccin CIS
2. Pulse el botn Edit (Editar) para Redirect Connections to CIS (Redirigir Conexiones a
CIS). Se abrir el dilogo de Entrada de Servidor CIS.
Ilustracin 243: Entrada de Servidor CIS
3. Seleccione el Servidor CIS (CIS Server).

4. Especifique el Rango de Traslacin de Direcciones IP (IP Address Translation Range)
y el Rango de Traslacin de Puertos (Port Translation Range) usados para el NAT de
origen de las conexiones redirigidas a CIS. Cuando el trfico se enva desde el
cortafuegos al servidor CIS, las direcciones se trasladan segn se define aqu.
Para especificar una nica direccin IP, introduzca la misma direccin IP en ambos
campos. Slo se soportan direcciones IPv4 en la redireccin CIS.
Nota NAT es obligatorio para la redireccin CIS para enviar el trfico al servidor CIS.
Sus reglas de NAT no deben contener definiciones solapadas.
5. Pulse OK. Se cierra el dilogo de Entrada de Servidor CIS.

6. Pulse OK. Se cierra el dilogo de Propiedades de Servicio TCP.
Para continuar:
Contine en Definir Reglas de Acceso para la Redireccin CIS (pag. 674).
Definir Reglas de Acceso para la Redireccin CIS

Prerrequisitos: Definir un Elemento Servidor de Inspeccin de Contenidos, Definir un Servicio para la Redireccin
CIS
Tpicamente se necesitan dos reglas de Acceso IPv4 cuando el trfico hacia y desde el servidor
CIS atraviesa el cortafuegos. Una regla redirige el trfico coincidente hacia el servidor CIS y otra
regla permite la conexin de envi desde el servidor CIS hacia su destino actual.
Para crear reglas de Acceso IPv4 para la redireccin CIS
2. Pulse botn derecho sobre la poltica y seleccione Edit Firewall Policy (Editar Poltica
de Cortafuegos). Se abrir la poltica para edicin.
3. Aada una nueva regla de Acceso IPv4 que redirija el trfico al servidor CIS:
Tabla 146: Regla de Acceso para Redirigir el Trfico al Servidor CIS

Direccin origen original del Direccin de destino
Su elemento Servicio
trfico a inspeccionar (tal original del trfico (tal
personalizado con la Permitir (Allow)
como clientes en la red como un servidor
redireccin CIS.
interna). Web).
4. Aada una nueva regla que permita enviar las conexiones desde el servidor CIS a su
destino actual. Esta regla no se necesita si la conexin de envo no atraviesa el
cortafuegos.
Tabla 147: Regla de Acceso para Enviar el Trfico desde el Servidor CIS

Elemento de servicio
normal sin redireccin CIS
Direccin original de
(El Agente con redireccin
Direccin del servidor CIS destino (tal como un Permitir (Allow)
slo se usa para la
servidor Web).
conexin redirigida, no la
conexin de envo).
Para continuar:
Contine en Definir Reglas de NAT para la Redireccin CIS (pag. 675).
Definir Reglas de NAT para la Redireccin CIS

Prerrequisitos: Vea Empezar con la Inspeccin Externa de Contenidos
La traslacin de direcciones definida en su Servicio personalizado para la redireccin CIS no

debe solaparse con reglas de NAT. Las reglas de NAT que se explican aqu garantizan que
no se aplica un NAT duplicado y definen el NAT aplicado cuando las conexiones vuelven del
servidor externo.
Para crear reglas de NAT para la redireccin CIS
1. Aada una regla de no-NAT para la redireccin CIS para garantizar que no puedan
ocurrir conflictos con reglas de NAT. Site la siguinte regla como primera regla en la
tabla de reglas de NAT IPv4:
Tabla 148: Regla de "no-NAT"
Origen Destino Servicio NAT

Direccin origen original
del trfico a redirigir (tal Direccin de destino Cualquier Servicio Djelo vaco para
como clientes en la red original del trfico (tal que coincida con el asegurar que no se
interna, red de origen, como un servidor Web). trfico aplique NAT.
etc.).
2. Si se necesita NAT para la conexin de envo desde el servidor CIS al destino actual,
aada una segunda regla de NAT:
Tabla 149: Regla de NAT para el Trfico Inspeccionado
Origen Destino Servicio NAT

Defina el NAT que sera
usado sin redireccin
Direccin original de Cualquier Servicio
Direccin del Servidor CIS (tal como NAT de
destino del trfico (como que coincida con el
CIS. origen dinmico con
un servidor Web). trfico.
NetLinks para
conexiones de salida).
Esto concluye la configuracin de CIS en StoneGate.
Para continuar:
Si su servidor CIS est listo para inspeccionar el trfico, guarde e instale la
poltica para empezar a usar la nueva configuracin.
Tareas Relacionadas
Lista Negra de Trfico 677
CAPTULO 48
LISTA NEGRA DE TRFICO
La Lista Negra contiene entradas para bloquear el trfico temporalmente en base a

patrones de trfico que detectan los sistemas IPS o a entradas del administrador. Tanto
cortafuegos como sensores inline pueden usar listas negras para bloquear trfico.
Empezar con la Lista Negra (pag. 678)

Activar la Aplicacin de Listas Negras (pag. 680)
Configurar la Lista Negra Automtica (pag. 681)
Poner Trfico en Lista Negra Manualmente (pag. 684)
Empezar con la Lista Negra

Las Listas Negras (Blacklisting) son una respuesta que prohibe temporalmente slgn trfico
en un cortafuegos o sensor inline.
Qu Hacen las Listas Negras
Las Listas Negras aaden la capacidad de bloquear temporalmente el trfico:
sin editar ni instalr polticas
en base a eventos detectados por los analizadores
en un dispositivo diferente al que detecta el evento
en mltiples dispositivos con una nica accin de administrador o un nico evento
detectado.
Ejemplo Si una regla de inspeccin detecta un ataque serio contra un nico host en su red interna, puede
querer que la regla ponga en la Lista Negra las conexiones desde ese host a cualquier otro host en
sus redes internas. De cualquier modo, los potenciales beneficios deben ser comparados con el
riesgo potencial de que se bloqueen comunicaciones legtimas en el proceso (especialmente si el
atacante usa direcciones IP spoofed).
Las entradas de Lista Negra pueden generarse automticamente en base a reglas de
Inspeccin (Excepciones) en analizadores y sensores, y manualmente en el Management
Client. Los analizadores (listas negras automticas) y el Management Server (listas negras
manuales) reenvan las peticiones a cortafuegos y sensores inline que las utilizan segn
estn definidas sus polticas.
Limitaciones de las Listas Negras
Slo pueden meterse direcciones IPv4 en las listas negras.
Los cortafuegos no generan entradas de listas negras. Los cortafuegos slo pueden recibir
entradas de listas negras.
Qu Debera Saber Antes de Empezar?
Por defecto, la lista negra no se aplica en absoluto. Para aplicar la lista negra, debe definir
los puntos en los cuales se comprueba la lista negra en las reglas de Acceso IPv4. Si una
conexin se permite por una regla situada por encima de la regla de lista negra, la conexin
se permite independientemente de las entradas de lista negra. De hecho, ese trfico est en
una lista blanca.
Las listas negras automticas pueden tener consecuencias inesperadas que podran
interrumpir el trfico crtico para el negocio. El trfico legtimo puede ser identificado
incorrectamente como malicioso si el patrn para detectar trfico malicioso es inexacto. Si
un atacante usa direcciones IP spoofed, una direccin IP legtima podra ser colocada en
la lista negra en lugar de la direccin IP actual del atacante, causando un ataque de
Denegacin de Servicio (DoS) auto-infligido. Use las listas negras automticas
cuidadosamente.

La Lista Negra se configura como sigue:

Defina qu trfico se compara contra la lista negra en sus reglas de Acceso IPv4. Vea
Activar la Aplicacin de Listas Negras (pag. 680).
(Slo listas negras automticas) Configure quinterfaces del Cortafuegos y Sensor usa el
Analizador como destino para enviar solicitudes de lista negra. Vea Definir Interfaces de Destino
para la Lista Negra Automtica (pag. 681).
(Slo listas negras automticas) Defina el trfico que quiere poner en la lista negra en las
excepciones de regla de Inspeccin de IPS. Vea Definir Qu Trfico se Pone en la Lista
Negra Automticamente (pag. 682).
Tras haber configurado la lista negra, puede monitorizar la lista negra activa actualmente
segn se explica en Monitorizar Conexiones Abiertas y Listas Negras (pag. 97).
Activar la Aplicacin de Listas Negras

Un Cortafuegos o sensor inline puede configurarse usando las reglas de Acceso IPv4 para
seleccionar qu trfico se comprueba contra la lista negra. Por defecto, la lista negra no se
aplica en absoluto. Para aplicar la lista negra, debe definir los puntos en los cuales la lista
negra se comprueba en las reglas de Acceso IPv4. Slo el trfico que coincida con tal regla
se comprueba contra las entradas de la lista negra. Si el trfico comrpobado contra la lista
negra no coincide con ninguna de las entradas de lista negra, la siguiente regla de la poltica
se comprueba como de costumbre.
Puede tener varias reglas de Aplicar Lista Negra con diferentes criterios de comprobacin en
diferentes puntos de la poltica.
Ejemplo Una plantilla puede aplicar la lista negra por encima de un punto de insercin para algunos tipos de
conexiones y despus del punto de insercin para todas las conexiones. Las reglas aadidas al
punto de insercin en una poltica pueden as poner en lista blanca alguno, pero no todo el trfico.
Para activar la aplicacin de la lista negra
1. Pulse botn derecho sobre la Poltica de Cortafuegos o IPS y seleccione Edit Firewall
Policy (Editar Poltica de Cortafuegos) o Edit IPS Policy (Editar Poltica de IPS). La
poltica se abre para edicin.
2. Cambie a la pestaa IPv4 Access (Acceso IPv4), y defina qu Sources, Destinations,
y Services (Orgenes, Destinos y Servicios) se comparan con la lista negra.
3. Seleccione Apply Blacklist (Aplicar Lista Negra) como Accin (Action).
4. (Opcional) Si quiere restringir qu componentes de StoneGate pueden enviar peticiones
de lista negra, pulse botn derecho sobre la celda Action y seleccione Edit Options
(Editar Opciones). Se abrir el dilogo de Seleccin de Opciones de Accin de Regla.
5. Seleccione Restricted (Restringido).
6. Seleccione los elementos desde Available Blacklisters (Peticionarios de Listas Negras
Disponibles) que quiere aadir como Allowed Blacklisters (Peticionarios de Listas
Negras Permitidos) y pulse Add (Aadir).
Aada el Management Server para permitir peticiones de lista negra manuales desde
los Management Clients.
Aada un elemento Sensor para permitirle enviar peticiones de lista negra por s
mismo.
7. Pulse OK.
Instale la poltica en el cortafuegos o sensor para activar los cambios.
Para continuar:
Si quiere configurar listas negras dinmicas basadas en eventos detectados por su IP
StoneGate, vea Configurar la Lista Negra Automtica (pag. 681).
En otro caso, puede querer probar las listas negras segn Poner Trfico en Lista
Negra Manualmente (pag. 684).
Tareas Relacionadas
Configurar la Lista Negra Automtica

Los sensores y analizadores provocan entradas en listas negras en base a las opciones de
mbito de Lista Negra (Blacklist Scope) en las excpecione de reglas de Inspeccin del IPS.
El analizador enva todas las entradas de lista negra para los eventos detectados (incluso
aquellos provocados por los sensores) a un cortafuegos o sensor inlne StoneGate. El
cortafuegos o sensor aplica la lista negra de acuerdo con su poltica. Slo direcciones IPv4 y
elementos que contengan direcciones IPv4 puedenponerse en la lista negra.
La plantilla de cortafuegos por Defecto, la Plantilla de Sistema IPS y la Plantilla Estricta de
IPS contienen una regla que permite las conexiones de lista negra al cortafuegos o sensor
receptor de la peticin. Si su poltica no est basada en una plantilla por defecto sin
modificar, o si hay otros cortafuegos o sensores inline en el camino de comunicaciones,
asegrese de que las reglas de Acceso IPv4 permiten las conexiones de lista negra.
Para continuar:
Empiece por Definir Interfaces de Destino para la Lista Negra Automtica.
Definir Interfaces de Destino para la Lista Negra Automtica

Para definir el interfaz de destino para las conexiones de lista negra
1. Pulse botn derecho sobre el Analizador y seleccione Properties (Propiedades). Se
abrir el dilogo de Propiedades.
2. Cambie a la pestaa Blacklisting (Listas Negras).
Ilustracin 245: Pestaa Blacklisting en las Propiedades del Analizador
3. Pulse el dispositivo correcto en la lista Security Engine Blacklist Interfaces (Interfaces

para Lista Negra de Dispositivos de Seguridad) a la izquierda. Se mostrarn los
interfaces de red del dispositivo..
4. (Opcional) Seleccione el interfaz de red que quiere usar para la conexin de lista negra
y pulse Add (Aadir). El interfaz seleccionado se aade a la lista de la derecha. Si no
selecciona el interfaz, el sistema lo decide en base a la informacin de enrutamiento. Si
no hay una ruta explcita, se decide como una estimacin y se muestra una advertencia
en la instalacin de la poltica.
5. Repita estos pasos para cada cortafuegos o sensor inline al que quiera que este
analizador pueda enviar entradas de lista negra..
6. Pulse OK cuando haya terminado.
Para continuar:
Para definir qu eventos provocan una entrada de lista negra, proceda a Definir Qu
Trfico se Pone en la Lista Negra Automticamente.
Definir Qu Trfico se Pone en la Lista Negra Automticamente

Puede definir la lista negra como una opcin para excepciones de regla de Inspeccin de
IPS. Tanto sensores como analizadores pueden generar entradas de lista negra en base a
los patrones que detectan en el flujo de trfico. La entrada de lista negra enviada identifica el
trfico en base a direcciones IP y posiblemente tambin Protocolo y puerto.
Las entradas de lista negra pueden configurarse para incluir redes completas, incluso si los
eventos detectados que las provocan estn relacionados con una nic direccin IP de origen
o destino.
Aadir una Regla para Generar Entradas de Listas Negras

Para aadir una regla para generar entradas de lista negra
1. Pulse botn derecho sobre la poltica de IPS y seleccione Edit IPS Policy. La poltica
de IPS se abrir para edicin.
2. Cambie a la pestaa Inspection (Inspeccin).
3. Aada una Regla de Excepcin con la Situacin, Origen, Destino y Protocolo
(Situation, Source, Destination, y Protocol) que coincidan con el trfico que quiere
poner en la lista negra y seleccione Terminate (Terminar) como Accin (Action).
4. Pulse botn derecho sobre la celda Action y seleccione Edit Options (Editar
Opciones). Se abrir el dilogo de Seleccin de Opciones de Accin de Regla.
Para continuar:
Proceda a Definir Opciones de Accin de Regla de Generar Entradas de Lista Negra
(pag. 683).
Definir Opciones de Accin de Regla de Generar Entradas de Lista Negra

Para definir opciones de Accin de regla de generar entradas de lista negra
1. Cambie a la pestaa Blacklist Scope (mbito de la Lista Negra).
Ilustracin 246: Pestaa mbito de Lista Negra en Opciones de Accin de Regla
2. Seleccione Override collected values set with Continue rules (Ignorar valores
recogidos con reglas Continue).
3. Seleccione el tipo de entrada de Lista Negra a crear:
Seleccione Terminate the Single Connection (Terminar nicamente la Conexin) para
crear una entrada de lista negra que slo corte la conexin actual usando las copciones
por defecto. Proceda al Paso 8.
Seleccione Block Traffic Between Endpoints (Bloquear Trfico Entre Endpoints) para
bloquear el trfico durante el tiempo establecido y establezca las opciones segn se
explica a continuacin.
4. Defina la Duracin (Duration) para especificar durante cunto tiempo se mantiene la
entrada de lista negra en los cortafuegos o sensores inline que la reciben.
5. Seleccione el tipo de Direccin (Address) a introducir en la lista negra para los Endpoints 1
y 2:
Any (Cualquiera): Coincide con cualquier direccin IP.
Attacker/Victim (Atacante/Vctima): Coincide con la direccin IP identificada como
originante/objetivo de un ataque por el elemento Situacin que se lanza.
IP Source/IP Destination (IP de Origen/IP de DestinO): Coincide con la direccin IP
origen/destino de los paquetes que provocan la situacin detectada.
Connection Source/Connection Destination (Origen de Conexin/Destino de Conexin):
Coincide con la direccin IP origen/destino de la conexin TCP que provoca la situacin
detectada.
Predefined (Predefinido): Coincide slo con la direccin IP fija que introduzca en el campo
a la derecha de la lista de tipo de Direccin.
6. (Opcional) Cambie la Mscara de Red (Netmask) para los Endpoint 1 y 2 para definir el
rando de direcciones IP en la misma red como direccin IP origen a pooner en la lista
negra.
Por ejemplo, la mscara 255.255.255.0 pone en la lista negra todas las direcciones de
la misma red de clase C.
La mscara por defecto 255.255.255.255 slo pone en la lista negra una direccin IP
especfica.
7. Seleccione el tipo de Puerto (Port) a poner en la lista negra para los Endpoint 1 y 2:
Ignored (Ignorado): Cualquier trfico IP independientemente del protocolo o puerto.
From traffic (Desde trfico): El protocolo IP y nmero de puerto del trfico que provoc
la entrada de lista negra.
Predefined TCP (TCP Predefinido): Slo trfico TCP a travs del puerto TCP o rango
de puertos TCP que introduzca en los campos a la derecha de la lista de tipos de
Puerto.
Predefined UDP (UDP Predefinido): Slo trfico UDP a travs del puerto UDP o rango
de puertos UDP que introduzca en los campos a la derecha de la lista de tipos de
Puerto.
8. Seleccione los Blacklist Executors (los dispositivos a los que se enva la entrada de
lista negra) y pulse Add (Aadir).
9. (Opcional) Seleccione Include the Original Observer into the List of Executors para
incluir al sensor inline que detecta la situacin en la lista de ejecutores de la lista negra.
10. Pulse OK.
Tareas Relacionadas
Introducir Conexiones en la Lista Negra Manualmente (pag. 198)
Monitorizar Conexiones Abiertas y Listas Negras (pag. 97)
Poner Trfico en Lista Negra Manualmente

Puede poner trfico manualmente en la lista negra creando entradas de lista negra en la
vista de Lista Negra, vista de Conexiones, vista de Monitorizacin y vista de Logs. La
generacin de entradas de lista negra manuales requiere que las reglas de Acceso IPv4
tengan una regla Apply Blacklist (Aplicar Lista Negra) con el Management Server como un
Allowed Blacklister (Peticionario de Listas Negras Permitidos). Vea Introducir Conexiones en
la Lista Negra Manualmente (pag. 198).
Tareas Relacionadas
Monitorizar Conexiones Abiertas y Listas Negras (pag. 97)
685 List
REDES PRIVADAS
VIRTUALES
En esta seccin:
Configuraciones de VPN Bsicas - 687
Configurar VPNs IPsec - 715
Gestionar Certificados de VPN - 755
Reconfigurar VPNs Existentes - 767
Opciones de Cliente VPN - 781

Configuraciones de VPN Bsicas 687
CAPTULO 49
CONFIGURACIONES DE VPN BSICAS
Las configuraciones de VPN bsicas esquematizan ejemplos especficos para escenarios

de configuraciones VPN comunes como una alternativa rpida a las instrucciones de
configuracin completas de Configurar VPNs IPsec (pag. 715).
Empezar con la Configuracin de VPNs Bsicas (pag. 688)

Configuracin 1: VPN Bsica entre Pasarelas StoneGate (pag. 688)
Configuracin 2: VPN Bsica con una Pasarela de un Partner (pag. 692)
Configuracin 3: VPN Bsica para Clientes Remotos (pag. 701)
Configuracin 4: VPN Hub Bsico (pag. 709)
Empezar con la Configuracin de VPNs Bsicas

Las configuraciones de VPNs bsicas proporcionan instrucciones para crear algunos tipos
comunes de VPNs. Puede usar estos ejemplos cuando configure sus propias VPNs y luego
extender la configuracin con otras funcionalidades segn sea necesario una vez tenga el
escenario bsico configurado y en funcionamiento.
Alternativamente, puede seguir el flujo de trabajo completo para crear cualquier tipo de VPN
en Configurar VPNs IPsec (pag. 715).
En esta seccin se explicarn las siguientes configuraciones bsicas:
La configuracin 1 es para crear una VPN entre dos o ms cortafuegos StoneGate
gestionados desde el mismo Management Server. Se usa un conjunto por defecto de
opciones de VPN para simplificar la configuracin. Vea Configuracin 1: VPN Bsica entre
Pasarelas StoneGate (pag. 688).
La configuracin 2 es para crear una VPN entre un cortafuegos StoneGate y una pasarela
VPN compatible IPsec no gestionada mediante el mismo Management Server de
StoneGate. Se crear un conjunto personalizado de opciones de VPN, puesto que esto es
tpicamente obligatorio. Se usar una clave pre-compartida para la autenticacin. Vea
Configuracin 2: VPN Bsica con una Pasarela de un Partner (pag. 692).
La configuracin 3 es para crear una VPN entre un cortafuegos StoneGate y Clientes VPN
StoneGate instalados en ordenadores individuales. Se usar un conjunto de opciones de
VPN por defecto para simplificar la configuracin. Vea Configuracin 3: VPN Bsica para
Clientes Remotos (pag. 701).
La configuracin 4 es para crear una VPN en la cual varios sitios remotos conectan a una
pasarela hub, que a su vez enva las conexiones a las otras pasarelas remotas si es
necesario. Vea Configuracin 4: VPN Hub Bsico (pag. 709).
Configuracin 1: VPN Bsica entre Pasarelas StoneGate

Este escenario bsico de configuracin le gua a travs de la creacin de una conexin

segura de VPN a travs de Internet entre dos o ms dispositivos cortafuegos/VPN StoneGate
gestionados desde el mismo Management Center. Esta VPN de ejemplo requiere que todos
los cortafuegos dispongan de una direccin IP fija (no asignada mediante DHCP o PPPoE).
Los espacios de direcciones protegidos por las diferentes Pasarelas no deben solaparse
dentro de ninguna VPN nica. Si usa las mismas direcciones IP en localizaciones diferentes,
deber aplicar NAT a las comunicaciones y definir los Sitios usando las direcciones IP
trasladadas (las direcciones que se usan realmente dentro del tnel).
Este escenario usa el Perfil de VPN por defecto VPN-A Suite que contiene las opciones de
VPN especificadas para la suite criptogrfica VPN-A en la RFC 4308. El perfil usa claves pre-
compartidas para la autenticacin.
Para continuar:
Este escenario tiene tres partes. Inicie la configuracin en Crear Elementos Pasarela
para la Configuracin 1 (pag. 689).
Crear Elementos Pasarela para la Configuracin 1

Este escenario bsico de configuracin no explica todas las copciones relacionadas con los
elementos Pasarela. Para ms informacin, vea Definir Pasarelas de Seguridad (pag. 720).
Siguiendo estas instrucciones, su VPN usar todos los interfaces que contengan el elemento por
defecto Any Network (Cualquier Red la ruta por defecto) como endpoints para la VPN.
Para crear elementos Pasarela para la configuracin 1
1. Seleccione ConfigurationConfigurationVPN desde el men. Se abrir la vista de
Configuracin de VPN.
2. Pulse botn derecho en Gateways (Pasarelas) en el rbol de elementos y seleccione
NewInternal Security Gateway (NuevoPasarela Interna de Seguridad). Se abrir el
dilogo de Propiedades de la Pasarela Interna de Seguridad.
Ilustracin 247: Propiedades de la Pasarela Interna de Seguridad - General
3. Seleccione el dispositivo Cortafuegos (Firewall) al que representa el elemento Pasarela en

las VPNs.
4. (Opcional) Cambie el Nombre (Name) que se ha aadido en base al nombre del elemento
Cortafuegos.
Ilustracin 248: Propiedades de la Pasarela Interna de Seguridad - Sitios
5. Si piensa usar NAT para trasladar las direcciones IP de los hosts que conectan a travs de
esta VPN, cambie a la pestaa Sites (Sitios) y arrastre y suelte las redes para el espacio
de direcciones NAT sobre el elemento sitio automtico de nivel superior de la derecha.
Los Sitios deben incluir slo redes internas. Los interfaces con el elemento Any Network
(Cualquier Red) por tanto no se incluyenpor defecto y no debe aadirlos en este tipo de
VPN.
6. Pulse OK apra cerrar las Propiedades de la Pasarela Interna de Seguridad.
Para crear un elemento para otro dispositivo cortafuegos/VPN que tome parte en la VPON,
repita los pasos desde el Paso 2 (debe diponer de al menos dos pasarelas configuradas).
Para continuar:
Cuando tenga al menos dos Pasarelas configuradas, proceda a Crear un Elemento
VPN para la Configuracin 1 (pag. 690).
Crear un Elemento VPN para la Configuracin 1

Este escenario bsico de configuracin no explica todas las opciones relacionadas con los
elementos VPN. Para ms informacin, vea Definir un Elemento VPN (pag. 742).
Para crear un elemento VPN para la configuracin 1
1. Pulse botn derecho sobre VPNs en el rbol de elementos y seleccione New VPN
(Nueva VPN). Se abrir el dilogo de Propiedades de VPN.
Ilustracin 249: Propiedades de VPN
2. Proporcione al nuevo elemento un Nombre (Name) nico.

3. Seleccione VPN-A Suite de la lista VPN Profile (Perfiles de VPN).
El Perfil de VPN define la mayora de opciones de IPsec. Para instrucciones sobre
cmo crear sus propios perfiles de VPN, vea Definir Perfiles de VPN (pag. 734).
4. Si quiere aplicar reglas de NAT a las comunicaciones que atraviesan la VPN,
seleccione la opcin Apply NAT Rules to Traffic That Uses This VPN (Aplicar Reglas
de NAT al Trfico que Use Esta VPN). Esto no afecta a las comunicaciones que se
producen entre las dos pasarelas internas para establecer y mantener la VPN; stas
siempre se comprueban con las reglas de NAT.
5. Pulse OK. Se abrir la vista de edicin de VPN en la pestaa Overall Topology
(Topologa Global).
Ilustracin 250: Vista de Edicin de VPN - Topologa Global

6. Arrastre y suelte las Pasarelas que quiera incluir en esta VPN en cualquiera de los dos
paneles para definir que Pasarelas pueden crear una VPN con las otras.
Si aade una Pasarela bajo Central Gateways (Pasarelas Centrales) la Pasarela
puede establecer una VPN cpun cualquier otra Pasarela en esta VPN (tanto Central
como Satlite).
Si aade una Pasarela bajo Satellite Gateways (Pasarelas Satlites) la Pasarela
puede establecer una VPN slo con Pasarelas definidas con Centrales en esta VPN.
Aada dos o ms Pasarelas en esta vista para crear una VPN. Debe aadir al menos
una de las Pasarelas bajo Central Gateways. No necesita aadir ninguna Pasarela
bajo Satellite Gateways (todas las Pasarelas pueden ser Centrales).
Nota Tenga cuidado de no soltar accidentalmente Pasarelas sobre otras Pasarelas.

Esto crea una topologa de hub donde la Pasarela de ms alto nivel reenva conexiones
de otros componentes a la Pasarela de ms bajo nivel.
7. Cambie a la pestaa Tunnels (Tneles).

8. Compruebe que la columna Validity (Validez) en las tablas Gateway<->Gateway y
End-Point<->End-Point tiene una marca de aprobacin verde para indicar que no hay
problemas.
Si la columna Validity (Validez) de un tnel tiene un icono de aviso, vea el panel
Issues (Problemas) para comprobar cul es el problema (si no se muestra el panel,
puede abrirlomediante el men View (Vista) o el men de botn derecho de la celda
Validity de una regla). Si se muestran problemas, corrjalos segn se indique. Los
textos largos son ms fciles de leer moviendo el ratn sobre el texto del problema de
forma que ste se muestre como un tooltip.
9. Guarde la VPN.
Crear Reglas para la Configuracin de VPN 1

Las reglas en este ejemplo permiten a los hosts protegidos abrir conexiones en ambos
sentidos. Se crean dos reglas aqu para permitir las diferentes direcciones del trfico
separadamente. Las reglas de VPN se comprueban en base a Origen, Destino y Servicio
como cualquier otra regla.
Este escenario bsico de configuracin no explica todas las opciones relacionadas con
reglas de Acceso de VPN. Para ms informacin, vea Crear Reglas de VPN (pag. 748).
Para crear reglas de Acceso para la configuracin 1
1. Abra la poltica de uno de los dispositivos cortafuegos/VPN involucrados en la VPN para
su edicin.
2. Aada dos reglas de Acceso IPv4 en una localizacin adecuada de la poltica.
Asegrese de que las reglas para enviar el trfico a travs de la VPN estn por encima
de cuqluier otra regla que coincida con el mismo trfico y que tenga Allow (Permitir),
Discard (Descartar), o Refuse (Rechazar) como accin.
El trfico que no quiera enviar a travs de la VPN no debe coincidir con estas reglas. El
trfico no enrutable a travs de la VPN se descarta si coincide con estas reglas.
3. Rellene las reglas segn se explica a continuacin. Si NAT est activado en la VPN,
tenga en mente que las reglas de Acceso se comprueban antes que las traslaciones
definidas en las reglas de NAT se apliquen a la direccin IP de origen y/o destino en los
paquetes.
Tabla 150: Reglas VPN de Ejemplo

Seleccione Use VPN (Usar VPN), cambie
Redes internas Redes internas Establezca segn
Action a Enforce (Aplicar) y pulse Select
locales. remotas. sea necesario
para aadir el elemento VPN que ha creado.

Seleccione Use VPN (Usar VPN),
Redes internas Redes internas Establezca segn cambie Action a Enforce (Aplicar) y
remotas locales sea necesario pulse Select para aadir el elemento
VPN que ha creado.
4. Guarde la poltica.
5. Aada las mismas reglas en las polticas de todos los cortafuegos involucrados en la
VPN.
Precaucin Si sigue usando esta VPN, cambie la clave pre-compartida peridicamente

(por ejemplo, mensualmente) para garantizar la confidencialidad continuada de sus datos.
Vea Renovar o Generar Claves Pre-Compartidas (pag. 773). Alternativamente, puede
cambiara a autenticacin basada en certificados creando un perfil de VPN a medida.
Refresque las polticas de todos los cortafuegos involucrados en la VPN para activar la
nueva configuracin. La VPN se establece cuando algn trfico coincide con las reglas de
Acceso.
Para continuar:
Si se requiere NAT para esta VPN, aada las reglas de NAT tambin. Vea Crear
Reglas de NAT para Trfico VPN (pag. 752).
Tareas Relacionadas
Monitorizar VPNs (pag. 753)
Resolucin de Problemas de VPNs (pag. 911)
Configuracin 2: VPN Bsica con una Pasarela de un Partner

Este escenario bsico de configuracin le gua a travs de la creacin de una conexin de

VPN segura a travs de Internet entre un dispositivo cortafuegos/VPN StoneGate bajo su
gestin y una pasarela VPN externa no gestionada mediante el mismo Management Center.
Para poder configurar esta VPN de ejemplo, su cortafuegos local debe disponer de una
direccin IP fija (no asignada por DHCP o PPPoE).
Los espacios de direcciones protegidos por las diferentes Pasarelas no deben solaparse
dentro de ninguna VPN nica. Si usa las mismas direcciones IP en localizaciones diferentes,
debe aplicar NAT a las comunicaciones y definir los Sitios usando las direcciones IP
trasladadaas (las direcciones que se usan realmente denrto de los tneles VPN).
Puede crear VPNs con dispositivos pasarela compatibles IPsec de muchos fabricantes
diferentes. Esto le permite crear VPNs con organizaciones relacionadas que usen una
solucin de VPN distinta de StoneGate. Las opciones de autenticacin y cifrado que use
deben ser decididas de antemano en cooperacin con el administrador de la otra pasarela.
Vea el captulo sobre Configuracin de VPNs en la Gua StoneGate Reference Guide para
listados de las opciones soportadas por StoneGate.
Este escenario crea un nuevp Perfil de VPN que contiene las opciones de VPN que quiere
hacer coincidir con las opciones definidas en la pasarela VPN externa.
Para continuar:
Este escenario tiene seis partes. Inicie la configuracin en Crear un Elemento
Pasarela Interna para la Configuracin 2.
Crear un Elemento Pasarela Interna para la Configuracin 2

Si ya ha configurado una VPN para el dispositivo cortafuegos, reutilice el mismo elemento
para esta VPN. No hay necesidad de cambiar ninguna de las opciones.
Este escenario de configuracin bsico no explica todas las opciones relacionadas con
Para crear un elemento Pasarela interno para la configuracin 2
1. Seleccione ConfigurationConfigurationVPN desde el men. Se abrir la vista de
2. Pulse botn derecho sobre Gateways (Pasarelas) en el rbol de elementos y seleccione
Pasarela de Seguridad Interna). Se abrir el dilogo de Propiedades de la Pasarela de
Seguridad Interna.
Ilustracin 251: Propiedades de la Pasarela de Seguridad Interna

4. Use la lista de Cortafuegos (Firewall) para seleccionar qu dispositivo cortafuegos/VPN
representa el elemento Pasarela en las VPNs.
5. Si el cortafuegos tiene una direccin IP dinmica en un interfaz que conecta con
Internet, cambie a la pstsa End-Points y haga doble click sobre el interfaz en la tabla.
Se abrir el dilogo de Propiedades de EndpOint Interno:
En la seccin Phase 1 ID (ID de Fase 1) abajo en el dilogo, escriba una direccin de
correo electrnico en el campo ID value (Valor de ID) y pulse OK. Esta puede ser
cualquier direccin que no se use como ID en ninguno de sus otros endpoints.
La direccin introducida aqu slo se usa como una identificacin, no para enviar correo.
6. Cambie a la pestaa Sites (Sitios). Un elemento Sitio se muestra con cada interfaz de la
red interna como contenido.
Los Sitios representan las direcciones enrutables a travs de la VPN. Esto no concede
a ningn host acceso directamente; sus reglas de Acceso definen las conexiones
permitidas.
Deje seleccionada la opcin Include and update addresses based on routing (Incluir
y actualizar direcciones en base al enrutamiento). Esta opcin actualiza
automticamente esta informacin en base a los cambios en el enrutamiento. Puede
excluir algunos de los
interfaces mientras mantiene los otros actualizados automticamente segn se explica

en el siguiente paso.
Ilustracin252: Propiedades de Pasarela Interna de Seguridad - Sitios
7. (Opcional) Seleccione las redes internas que quiere excluir de la VPN desactivando el
interfaz bajo el que estn en el sitio automtico. Los interfaces desactivados estarn en
gris.
Si quiere incluir alguna red individual que est bajo un interfaz desactivado, arrstre y
sultela desde el interfaz desactivado al elemento Sitio para copiar el elemento al nivel
superior. Tenga en cuenta que la definicin copiada no se actualiza automticamente.
Los sitios deben incluir slo redes internas. Los interfaces con el elemento Any Network no
se incluyen por tanto por defecto y no deber aadirlos en este tipo de VPN.
8. Si piensa usar NAT para trasladar las direcciones IP de los hosts que conectan a travs
de esta VPN, arrastre y suelte las redes para el espacio de direccciones de NAT sobre
el elemento Sitio automtico (de nivel superior) a la derecha. Pulse OK para cerrar las
propiedades de la pasarela.
Crear un Elemento Pasarela Externo para la Configuracin 2

emes Pasarela. Para ms informacin, vea Definir Pasarelas de Seguridad (pag. 720).
Para crear un elemento Pasarela externa para la Configuracin 2
1. Pulse botn derecho sobre Gateways (Pasarelas) en el rbol de elementos y
seleccione NewExternal Security Gateway (NuevoPasarela Externa de
Seguridad). Se abrir el dilogo de Propiedades de Pasarela Externa de Seguridad.
Ilustracin253: Propiedades de Pasarela Externa de Seguridad - General

3. Pulse Select para Gateway Profile (Perfil de Pasarela) y elija el perfil Default (All
Capabilities) (Por defecto Todas las Capacidades) para pasarelas no StoneGate, o el
perfil especfico de la versin apropiadao para pasarelas StoneGate.
4. Cambie a la pestaa End-Points.
5. Pulse el botn Add (Aadir) bajo la tabla. Se abrir el dilogo de Propiedades de
Endpoint Externo.
6. Defina la direccin IP para el endpoint:

Si el endpoint tiene una direccin IP esttica (definida a mano), escrbala en IPv4
Address.
Si el endpoint tiene uns direccin IP dinmica (Asignada por DHCP), seleccione Dynamic.
7. Si la pasarela externa tiene una direccin IP dinmica:
En la seccin Phase 1 ID (ID de Fase 1) abajo en el dilogo, cambie el Tipo de ID (ID
Type) a Email.
Escriba una direccin de correo electrnico en el campo ID value (valor de ID). sta puede
ser cualquier direccin no usada como ID en ningn otro de sus endpoints. La direccin
introducida aqu slo se usa como identificacin, no para enviar correo.
Pulse OK y repita si tiene otros interfaces conectados a Internet con direccin IP dinmica.
Nota Asegrese de que ID Type e ID Value coinciden con la identidad configurada en el

dispositivo pasarela externa. Si ste tiene una direccin IP esttica, asegrese de que el
dispositivo est configurado para usarla como su identidad en esta VPN (la configuracin
por defecto ms comn) o cambie la configuracin de StoneGate segn se indica arriba.
Deje abierto el dilogo de propiedades y contine en la siguiente seccin.
Definir un Sitio para la Pasarela Externa en la Configuracin 2

Para definir las propiedades del Sitio para la pasarela externa en la configuracin 2
1. Cambie a la pestaa Sites (Sitios) en las propiedades de la Pasarela externa.
2. Haga doble click sobre el elemento New Site (Nuevo Sitio) a la derecha. Se abrir el
dilogo de Propiedades del Sitio.
Ilustracin254: Propiedades del Sitio
3. Proporcione al Sitio un nombre (Name) descriptivo.

4. Seleccione/cree los elementos que representan las direcciones IP protegidas tras la

Pasarela en el panel izquierdo y pulse el botn Add (Aadir) para incluirlos.
Para que una conexin desde o hacia el tnel VPN funcione, la direccin IP interna
usada como direccin de origen o de destino debe estar incluida en el Sitio de la
Pasarela. Otro trfico no puede usar la VPN.
Crear un perfil de VPN para la Configuracin 2

Perfiles de VPN. Para ms informacin, vea Definir Perfiles de VPN (pag. 734).
Para crear un Perfil de VPN para la configuracin 2
1. Expanda la rama Other Elements (Otros Elementos) en el rbol de elementos.
2. Pulse botn derecho sobre Profiles (Perfiles) en el rbol de elementos y seleccione
NewVPN Profile (NuevoPerfil de VPN). Se abrir el dilogo de Propiedades de
Perfil de VPN.
Para definir las opciones de IKE (Phase 1) para la configuracin 2
4. Cambie a la pestaa IKE (Phase 1) (IKE Fase 1).
Ilustracin255: Propiedades de Perfil de VPN - Pestaa IKE (Phase 1)
5. Seleccione el Algoritmo de Cifrado (Cipher Algorithm mtodo de cifrado) que

coincida con las opciones del dispositivo pasarela externo. Se recomienda que limite la
1
seleccin a la menor cantidad opciones posible .
No elija DES a menos que se le requiera hacerlo. DES ya no se considera seguro,
dadp que es relativamente fcil de romper el cifrado DES con los ordenadores
modernos.
3DES (Triple-DES) supone una sobrecarga relativamente alta comparado con oros
protocolos con un nivel de seguridad comparable y por tanto no es una buena eleccin
cuando se requiere alto rendimiento.
6. Seleccione el Message Digest Algorithm (mtodo de comprobacin de integridad) que
coincida con las opciones elegidas en el dispositivo pasarela externo.
1
La versin rusa del producto no dispone de algoritmos de cifrado fuerte
7. Seleccione el Diffie-Hellman Group (usado para el intercambio de claves) que coincida

con las opciones del dispositivo pasarela externo.
Se recomienda que no seleccione el grupo 1 si la Pasarela externa puede usar un nivel
superior de proteccin. El grupo 1 no se considera suficientemente seguro en todos los
casos.
8. Ajuste el Tiempo de Vida de la SA (SA Lifetime) para que coincida con las opciones del
dispositivo pasarela externo.
9. Si una de las Pasarelas tiene direccin IP dinmica, cambie el Modo de Negociacin
(Negotiation Mode) a Aggressive (Agresivo).
Para definir las opciones de IPsec (Fase 2) para la configuracin 2
1. Cambie a la pestaa IPsec (Phase 2).
Ilustracin256: Propiedades de Perfil de VPN - Pestaa IPsec (Phase 2)
2. Seleccione el Algoritmo de Cifrado (Cipher Algorithm mtodo de cifrado) que coincida

2
con las opciones del dispositivo pasarela externo .
No seleccione la opcin Null. Esta opcin desactiva el cifrado, permitiendo a cualquiera ver
los datos en trnsito.
No elija DES a menos que se le requiera hacerlo. DES ya no se considera seguro, dadp
que es relativamente fcil de romper el cifrado DES con los ordenadores modernos.
3DES (Triple-DES) supone una sobrecarga relativamente alta comparado con oros
cuando se requiere alto rendimiento.
3. Seleccione el Message Digest Algorithm (mtodo de comprobacin de integridad) que
coincida con las opciones del dispositivo pasarela externo.
2
La versin rusa del producto no dispone de algoritmos de cifrado fuerte
4. Asegrese de que el Algoritmo de Compresin est configurado a None (Ninguno). La

pasarela externa no debe usar compresin.
5. Ajuste el Tiempo de Vida del Tnel IPsec (IPsec Tunnel Lifetime) para coincidir con
las opciones del dispositivo pasarela externo.
6. Seleccione la Granularidad de la Asociacin de Seguridad (Security Association
Granularity) que coincida con con las opciones del dispositivo pasarela externo.
7. (Recomendado) Seleccione Use PFS with Diffie-Hellman Group (Usar PFS con el
Grupo Diffie-Hellman) si el dispositivo pasarela externo puede usar PFS, y seleccione el
Grupo Diffie-Hellman a usar con PFS.
Se recomienda que no seleccione el grupo 1 si la Pasarela externa puede usar un nivel
de proteccin ms alto. El grupo 1 no se considera seguro en todos los casos.
PFS se recomienda especialmente cuando se usan claves pre-compartidas, como en
este ejemplo.
8. Pulse OK.
Crear un elemento VPN para la Configuracin 2

(Nueva VPN). Se abrir el dilogo de seleccin de Propiedades de VPN.
Si no ha creado VPNs anteriormente, el dilogo de seleccin de Perfil de VPN puede
abrirse primero. Si eso ocurre, seleccione su recin creado perfil para continuar.
Ilustracin257: Propiedades de VPN

3. Seleccione el perfil correcto de la lista de Perfiles de VPN (VPN Profile).
4. Si quiere aplicar NAT al trfico que va a travs de los tneles, seleccione la opcin
Apply NAT Rules to Traffic That Uses This VPN (Aplicar Reglas de NAT al trfico
Que Use sta VPN).
5. Pulse OK. La vista de edicin de VPN se abrir en la pestaa Overall Topology
(Topologa General).
6. Arrastre y suelte el elemento Pasarela Interna bajo Central Gateways (Pasarelas
Centrales).
7. Arrastre y suelte el elemento Pasarela Externa bajo Satellite Gateways (Pasarelas
Satlite).
Ilustracin 258: Topologa de Ejemplo para la Configuracin 2
Ilustracin 259: Tnel para la Conexin de Pasarela Interna a Externa
9. Haga doble click sobre la celda Key (Clave) para el tnel mostrado en el panel Gateway<-
>Gateway. Se abrir el dilogo de Clave Pre-Compartida:
Para usar la clave que se genera automticamente en StoneGate, pulse Export (Exportar)
y transfiera la clave en el fichero texto resultante a la pasarela externa.
Para usar una clave diferente, sustituya la clave mostrada por una que haya acordado con
el administrador del dispositivo pasarela externa.
Precaucin La clave pre-compartida debe ser larga y aleatoria para proporcionar una
VPN segura: Cambie la clave peridicamente (por ejemplo una vez al mes).
10. Pulse OK para cerrar el dilogo de Clave Pre-Compartida.

11. Compruebe que la columna Validity (Validez) en las tablas Gateway<->Gateway y End-
Point<->End-Point tiene una marca de comprobacin verde que indica que no hay
problemas.
Si la columna Validity de un tnel tiene un icono de aviso, vea el panel Issues
(Problemas) para comprobar cul es el problema (si el panel no se muestra, puede abrirlo
mediante el men View (Vista) o el men de botn derecho de la celda Validity de una
regla). Si se muestran problemas, corrjalos segn se indique. Los textos largos son ms
fciles de leer moviendo el ratn sobre el texto del problema de forma que ste se muestre
como un tooltip.
12. Guarde la VPN.
Crear Reglas para la Configuracin 2

Las reglas de este ejemplo permiten a los hosts protegidos abrir conexiones en ambos
sentidos. Se crean dos reglas para permitir las diferentes direcciones del trfico
separadamente. Las reglas de VPN se comprueban en base a Origen, Destino y Servicio
como cualquier otra regla.
Este escenario bsico de configuracin no explica todas las opciones relacionadas con las
Para crear reglas de Acceso para el ejemplo 2
1. Abra la poltica en el dispositivo cortafuegos/VPN involucrado en la VPN para su
edicin.
2. Aada dos reglas de Acceso IPv4 en una localizacin adecuada en la poltica.
Asegrese de que las reglas para enviar trfico a travs de la VPN estn por encima de
cualquier otra regla que coincida con el mismo trfico con Allow (Permitir), Discard
(Descartar) o Refuse (Rechazar) como accin.
El trfico que no quiera enviar a travs de la VPN no debe coincidir con estas reglas. El
trfico no enrutable a travs de la VPN se descarta si coincide con estas reglas.
3. Complete las reglas segn se explica a continuacin. Si NAT est activado eb la VPN,
tenga en mente que las reglas de Acceso se comprueban antes de que las traslaciones
definidas en las reglas de NAT se apliquen a las direcciones IP de origen y/o destino en
los paquetes.

locales remotas sea necesario pulse Select para aadir el elemento
VPN que ha creado.
remotas locales sea necesario pulse Select para aadir el elemento
VPN que ha creado.
Precaucin Si sigue usando esta VPN, cambie la clave pre-compartida peridicamente

(por ejemplo, mensualmente) para garantizar la confidencialidad continuada de sus datos.
Vea Renovar o Generar Claves Pre-Compartidas (pag. 773). Alternativamente, puede
cambiar a autenticacin basada en certificados creando un perfil de VPN a medida.
Refresque las polticas en todos los cortafuegos involucrados en la VPN para activar la nueva
cortafuegos. La VPN se establece cuando algn trfico coincide con las reglas de Acceso
creadas aqu.
Para continuar:
Si se requiere NAT para esta VPN, aada las reglas de NAT tambin. Vea Crear
Reglas de NAT para Trfico VPN (pag. 752).
Tareas Relacionadas
Resolucin de Problemas de VPNs (pag.911).
Configuracin 3: VPN Bsica para Clientes Remotos

Este escenario bsico de configuracin le guiar para crear una conexin VPN segura a
travs de Internet entre un dispositivo cortafuegos/VPN StoneGate y cualquier nmero de
Clientes VPN IPsec que soporten las opciones seleccionadas. Para garantizar la
compatibilidad, se recomienda usar Clientes VPN IPsec StoneGate. Para poder configurar
cualquier VPN cliente-a-pasarela, el cortafuegos debe tener una direccin IP fija (no
asignada por DHCP o PPPoE).
Dependiendo de la configuracin deseada, tambin puede aadir acceso de clientes VPN a
una VPN pasarela-a-pasarela existente, pero en este escenario de ejemplo, se crea una VPN
para clientes VPN puesto que este enfoque funciona en todos los casos.
Este escenario asume que se usa gestin automtica de Sitios en la VPN sin necesidad de
modificaciones en esta VPN (o en otras VPNs donde se use la misma Pasarela).
En este escenario, las opciones de VPN se definen en una copia del Perfil de VPN por
defecto VPN-A Suite que contiene las opciones de VPN especificadas para la suite
criptogrfica en la RFC 4308.
Para Continuar:
Este escenario tiene seis partes. Inicie la configuracin en Gestionar Direcciones de
Clientes VPN en la Configuracin 3.
Gestionar Direcciones de Clientes VPN en la Configuracin 3

Los clientes VPN no pueden usar si direccin IP local en la red corporativa interna. En este
escenario, se usa NAT para resolver este problema. Este mtodo de gestin de direcciones
permite que se abran conexiones slo desde el lado del cliente VPN. Este mtodo es ms
simple de configurar para pruebas, puesto que no requiere un servidor de DHCP externo. De
cualquier modo, este mtodo tiene algunas restricciones:
No permite que se abran conexiones desde hosts en la red interna a los clientes VPN.
Impide que los Clientes VPN IPsec StoneGate usen servidores DNS internos.
Puede querer cambiar el mtodo de asignacin de direcciones IP a Virtual IP tras haber
comprobado la conectividad bsica de VPN con la configuracin explicada aqu (segn se
explica en Configurar Direccionamiento IP Virtual para Clientes VPN (pag. 787)).
Este escenario bsico de configuracin no explica todas las opciones relacionadas con la
gestin de direcciones de clientes VPN. Para ms informacin, vea Empezar con las
Opciones del Cliente VPN (pag. 782).
Para aadir opciones de traslacin de direcciones para Clientes VPN para la
configuracin 3
1. Abra las propiedades del elemento cortafuegos para la pasarela cortafuegos/VPN a la
cual se conectan los clientes.
3. Pulse el botn VPN Settings (Opciones VPN) en la seccin Traffic Handling (Gestin
del Trfico) a la derecha. Se abrir el dilogo de Opciones de VPN.
Ilustracin 260: Opciones de VPN en las Propiedades del Cortafuegos
4. Seleccione Translated IP address (using NAT Pool) (Direccin IP Trasladada

Usando Pool de NAT) e introduzca el rango de direcciones IP (IP Range) y el rango de
puertos (Port Range) que quiere usar para trasladar el trfico de los clientes VPN.
Los clientes VPN usan estas direcciones IP cuando se conectan a servicios de su red
interna. Asegrese de que estas direcciones IP nose usan en otro sitio de su red.
La traslacin es dinmica, de modo que el nmero de direcciones IP que introduzca no
necesita corresponderse con el nmero de clientes que se conectan. Tpicamente,
cada conexin que un usuario cliente de VPN abre cpn un recurso reserva un puerto de
cualquier direccin IP que tenga puertos no reservados dentro del rango configurado.
El NAT inverso para los paquetes de respuesta se hace automticamente.
Crear Elementos Pasarela para la Configuracin 3

Este escenario de configuracin bsica no esplica todas las opciones relacionadas con
El mismo elemento Pasarela puede usarse en varias VPNs. Si ha creado previamente un
elemento Pasarela para el dispositivo cortafuegos/VPN al que se conectan los clientes, use
el elemento existente en lugar de crear uno nuevo. Abra el dilogo de Propiedades para la
pasarela existente y compruebe que la configuracin de la Pasarela existente es correcta
empezando desde el Paso 5 ms abajo. Los cambios en el elemento Pasarela afectan a
todas las VPNs donde se use el mismo elemento Pasarela.
Para crear un elemento Pasarela para la configuracin 3

1. Seleccione ConfigurationConfigurationVPN
(ConfiguracinConfiguracinVPN) desde el men principal para cambiar a la vista
de Configuracin de VPN.
2. Pulse botn derecho sobre Gateways (Pasarelas) en el rbol de elementos y
seleccione NewInternal Security Gateway (NuevoPasarela de Seguridad Interna).
Se abrir el dilogo de Propiedades de la Pasarela de Seguridad Interna.
Ilustracin 261: Propiedades de la Pasarela de Seguridad Interna - General


4. Seleccione cul dispositivo Cortafuegos (Firewall) representa el elemento Pasrela en
las VPNs.
5. Asegrese de que est seleccionado Automatic Certificate Management (Gestin
Automtica de Certificados). La pasarela debe disponer de un certificado para una VPN
cliente-a-pasarela.
6. Cambie a la pestaa Sites (Sitios). Un elemento Sitio se muestra con cada interfaz de
red interno en el dispositivo como contenido.
Los Sitios representan las direcciones internas que los clientes pueden alcanzar a
travs de la VPN. Esta definicin por s sola no concede acceso a ningn host; sus
reglas de Acceso definen las conexiones permitidas.
Deje seleccionada la opcin Include and update addresses based on routing (Incluir
y actualizar las direcciones en base al enrutamiento). Esta opcin actualiza
automticamente esta informacin en base a los cambios en el enrutamiento. Puede
excluir algunos interfaces mientras mantiene el resto actualizado automticamente.
Si necesita hacer cambios en los Sitios (aadir o eliminar direcciones de destino que
los clientes VPN enruten a travs de la VPN), vea Definir Sitios para Pasarelas VPN
(pag. 729).
Ilustracin 262: Propiedades de Pasarela de Seguridad Interna - Sitios
7. Pulse OK.
Aadir Opciones de Cliente VPN para la Configuracin 3

Este escenario de configuracin bsico no explica todas las opciones relacionadas con la
autenticacin de usuarios de clientes VPN. Para ms informacin, vea Definir Opciones de
Cliente VPN (pag. 740).
Para aadir las Opciones de Cliente para la Configuracin 3

1. Expanda la rama Other ElementsProfiles (Otros ElementosPerfiles) en el rbol de
elementos y seleccione VPN Profiles (Perfiles VPN). Se mostrarn los Perfiles de VPN
definidos.
2. Pulse botn derecho sobre VPN-A Suite y seleccione NewDuplicate
(NuevoDuplicar). Las opciones para el perfil por defecto se copian al Dilogo de
Propiedades del Perfil VPN que se abre.
3. Proporcione un Nombre (Name) nico para este perfile de VPN.
3
4. Cambie a la pestaa IKE (Phase 1).
3
La versin Rusa del producto no tiene algoritmos de cifrado fuerte
Ilustracin 263: Propiedades del Perfil VPN-A - Pestaa IKE (Phase 1)
5. Asegrese de que el Modo de Negociacin (Negotiation Mode) est establecido en

Main (Principal). Esto ayuda a garantizar que los nombres de usuarios y contraseas
de los usuarios del Cliente VPN se mantengan confidenciales.
6. Cambie a la pestaa VPN Client.
Ilustracin 264: Propiedades del Perfil VPN-A - Cliente VPN
7. Asegres de que el Mtodo de Autenticacin (Authentication Method) est

configurado como RSA Signatures (Firmas RSA).
8. Seleccione Allow Hybrid Authentication (Permitir Autenticacin Hbrida). La
autenticaci hbrida significa que la Pasarela se autentica a os clientes VPN usando un
certificado y los clientes VPN se autentican mediante usuario y contrasea.
9. Asegrese de que Security Association Granularity (Granularidad de la Asociacin
de Seguridad) est establecida a SA Per Net (SA Por Red).
10. Pulse OK.


1. Pulse botn derecho sobre VPNs en el rbol de elementos y elija New VPN (Nueva VPN).
Si no ha creado VPNs antes, el dilogo de seleccin de Perfil VPN puede abrirse primero.
Si eso sucede, seleccione su Perfil VPN recin creado para continuar.
2. Proporcione un nombre (Name) nico para el nuevo elemento.

3. Seleccione su Perfil VPN recin creado de la lista de Perfiles VPN (VPN Profile).
4. Seleccione Apply NAT Rules to Traffic That Uses This VPN (Aplicar Reglas de NAT al
Trfico Que Usa Esta VPN). Esto aplica a las reglas de NAT en la poltica y, ms
importante, tambin la definicin global de NAT para la pasarela (que configur rn la
primera parte de este escenario).
5. Pulse OK. La vista de edicin de VPN se abre en la pestaa Overall Topology (Topologa
Global).
6. Arrastre y suelte el elemento para la pasrela interna a Satellite Gateways (Pasarelas
Satlite).
Configurar la pasarela como satlite impide que se generen tneles pasarela-a-pasarela si
aade varias pasarelas que ofrecen acceso de clientes VPN, puesto que esta VPN de
ejemplo est nicamente orientada a acceso cliente-a-pasarela.
7. Arrastre y suelte el elemento Pasarela por defecto IPsec Client a Central Gateways
(Pasarelas Centrales).
Ilustracin 266: Topologa de Ejemplo para la Configuracin 3

9. Comprueba que la columna Validity (Validez) en las tablas Gateway<->Gateway y

End-Point<->End-Point tiene una marca check verde para indicar que no hay
problemas.
Si la columna Validity de un tnel tiene un icono de advertencia, vea el panel Issues
(Problemas) para comprobar cul es el problema (si el panel no se muestra, puede
abrirlo a travs del men View o el men de botn derecho para la celda Validity de
una regla). Si se muestran problemas, corrjalos segn se indica. Los textos largos son
ms fciles de leer colocando el ratn sobre el texto de forma que se muestra como un
tooltip.
10. Guarde la VPN.
Crear Usuarios para la Configuracin de VPN 3

Este escenario bsico de configuracin no explica todas las opciones relacionadas con la
autenticacin de usuarios. Para ms informacin, vea Empezar con la Autenticacin de
Usuarios (pag. 624).
La autenticacin de usuario se configura del mismo modo para conexiones de cliente VPN
que para conexiones normales no cifradas. Los mismos elementos Usuario (cuentas de
usuario) se pueden usar para ambas. Cuando se configura la VPN para usar el modo
Principal para IKE (Phase 1) como en este ejemplo, las contraseas introducidas en el
cliente VPN se cifran de forma que se mantienen confidenciales mientras se transfieren por
Internet.
Para crear elementos Usuario para usuarios de cliente VPN para la configuracin 3
2. Expanda la rama Other ElementsUser
AuthenticationUsersInternalDomainstonegate en el rbol de elementos.
3. Pulse botn derecho sobre stonegate y selecione NewUser (NuevoUsuario). Se
abrir el dilogo de Propiedades del Usuario.
Ilustracin 267: Propiedades del Usuario - General
4. Introduzca el Nombre (Name) que el usuario final usa para autenticarse en la VPN.
5. (Opcional) Escriba el nombre real del usuario en el campo Comment.
6. Cambie a la pestaa Authentication.
Ilustracin 268: Propiedades del Usuario - Autenticacin
7. Pulse Add (Aadir) en la seccin Authentication Service (Servicio de Autenticacin). Se

abrir el dilogo de Seleccin de Elemento.
8. Selecione User Password (Usuario Contrasea) y pulse Select. Este elemento por defecto
permite autenticacin usuario contrasea contra la base de datos LDAP interna.
9. Introduzca la misma contrasea en los campos Password y Confirm Password en las
Propiedades del Usuario. Tome nota de la contrasea para poder comunicrsela al usuario.
El mtodo de clave pre-compartida est pensado para clientes de VPN de terceros. No
est soportado por los clientes StoneGate y no es vlido para esta VPN.
10. Pulse OK. La informacin se aade ala base de datos de usuarios interna LDAP del
Management Server.
Aada usuarios adicionales del mismo modo.
Crear Reglas para la Configuracin VPN 3

La conexin de autenticacin desde clientes VPN se permite en la Plantilla de Poltica por
Defecto. La autenticacin siempe es obligatoria para establecer el tnel VPN. Las conecxiones
de cliente VPN se comprueban contra el Origen Destino y Servicio como cualquier otro trfico.
La regla de ejemplo coincide slo para usuarios especficos, y slo despus de que los usuarios
se hayan autenticado correctamente. Se recomienda siempre aadir el requisitio de
autenticacin para reglas especficas para clientes VPN.
Una vez el tnel VPN se ha establecido, cualquier conexin desde los clientes VPN a la red
interna se comprueba contra las reglas de Acceso como de costumbre. La regla de ejemplo que
se creara aqu permite estas conexiones.
Este escenario de configuracin bsica no explica todas las opciones relacionadas con reglas de
Acceso VPN. Para ms informacin, vea Crear Reglas de VPN (pag. 748).

1. Abra la poltica de uno de los dispositivos cortafuegos/VPN involucrados en la VPN para
su edicin.
2. Aada una regla de Acceso IPv4 en un lugar adecuado en la poltica y rellene la regla
segn se describe a continuacin:
Si NAT est activo y se aplica para trasladar el destino, tenga en mente que las reglas
de Acceso se comprueban antes de las traslaciones definidas en las reglas de NAT se
apliquen a las direcciones IP en los paquetes.
La traslacin dedirecciones de origen para clientes VPN (usando el pool de NAT) se
hace antes de comprobar las reglas de Acceso y puede usar la direccin IP trasladada
en las reglas de Acceso.
Tabla 153: Regla VPN de Ejemplo
Origen Destino Servicio Accin Autenticacin Usuarios

Establzcalo a Seleccione Use VPN, El Grupo de
Establezca
ANY o el rango Redes locales cambie la Action a Establezca a Usuarios
segn sea
de direcciones internas. Enforce y pulse Select ANY o algn otro stonegate (en
necesario. para aadir el elemento mtodo particular. InternalDomain).
IP Virtual.
VPN que ha creado.
Refresque las polticas de todos los cortafuegos involucrados en la VPN para activar la
nueva configuracin. La VPN se establece cuando algn trfico coincide con las reglas de
Acceso creadas aqu.
Para Continuar:
Asegrese de que sus reglas de NAT no aplican una segunda operacin de NAT a
las direcciones IP de los clientes VPN (definidos en el Pool de NAT para clientes
VPN en Gestionar Direcciones de Clientes VPN en la Configuracin 3 (pag. 701)),
vea Editar Reglas NAT (pag. 545).
Instale y configure los clientes VPN segn se indica en la documentacin del cliente
VPN. Tenga en cuenta que muchas opciones que afectan a cmo se comporta el
cliente se configuran desde el Management Center. Para descubrir ms sobre las
opciones disponibles para Clientes VPN en el Management Center, vea Empezar
con las Opciones del Cliente VPN (pag. 782). Los clientes descargan un fichero de
configuracin para cada pasarela a la que se conectan.
Tras probar la conectividad bsica, puede querer cambiar el mtodo de asignacin
de direccin IP para usar el Adpatador Virtual para permitir peticiones de los clientes
a los servidores DNS internos, vea Configurar Direccionamiento IP Virtual para
Clientes VPN (pag. 787).
Tareas Relacionadas
Monitorizar VPNs (pag. 753).
Empezar con la Autenticacin de Usuarios (pag. 624).
Resolucin de Problemas de VPNs (pag. 911).
Configuracin 4: VPN Hub Bsico

En una configuracin de hub VPN, una pasarela se configura para reenviar el trfico VPN
entre diferentes tneles VPN. La pasarela que hace este reenvo se llama pasarela hub. Las
pasarelas que contactan entre ellas a travs de un hub se llaman pasarelas spoke.
La pasarela hub debe configurarse especficamente como un hub. La configuracin de hub
se refleja en la topologa, la definicin de Sitios y las reglas de VPN. Las pasarelass spoke no
requieren nonguna configuracin especfica de hub. Siguiendo esta configuracin ejemplo,
los tneles VPN se establecen desde todas las pasarelas spoke hacia la pasarela hub, y
todas las redes de todas las pasarelas se configuran como alcanzables desde el hub
(aunque las conexiones actuales se permiten slo segn se defina en las reglas de Acceso
del Cortafuegos).
Nota No debe haber tneles endpoint-a-endpoint duplicados en VPNs diferentes. Si

hay VPNs existentes entre los dispositivos cortafuegos/VPN involucrados en el hub, las
configuraciones solapadas deben eleiminarse.
Este escenario de configuracin bsica explic una configuracin en la cual todas las
conexiones se definen dentro del mismo elemento VPN, que usualmente es ms simple de
configurar y mantener que reenviar el trfico entre tneles VPN definidos en diferentes
elemento VPN. En este escenario, todas las Pasarelas son Pasarelas Internas (dispositivos
cortafuegos/VPN StoneGate controlados por el mismo Management Server). Los grupos de
Pasarelas SOHO y Pasarelas Externas pueden aadirse a esta configuracin incluso aunque
su creacin no est cubierta en detalle en este flujo. Los Grupos de Pasarelas SOHO slo
pueden aadirse como spokes.
Para Continuar:
Este escenario tiene cuatro partes. Inicie la configuracin en Crear Elementos
Pasarela para la Configuracin VPN 4.
Crear Elementos Pasarela para la Configuracin VPN 4

Este escenario de configuracin bsico no explica todas las opciones relacionadas con
Si hay un elemento Pasarela configurado previamente para un dispositivo cortafuegos/VPN
que planea usar en esta configuracin, use el elemento existente en lugar de crear uno
nuevo.
Siguiendo estas instrucciones, la VPN usar todos los interfaces que contengan el elemento
por defecto Any Network (la ruta por defecto) como endpoints para la VPN.
Para crear elementos Pasarela para la configuracin 4

1. Seleccione ConfigurationConfigurationVPN desde el men principal para cambiar
a la vista de Configuracin de VPN.
2. Pulse botn derecho sobre Gateways (Pasarelas) en el rbol de elementos y seleccione
NewInternal Security Gateway (NuevoPasarela de Seguridad Interna). Se abrir
el dilogo de Pasarela de Seguridad Interna.
Ilustracin 269: Propiedades de la Pasarela de Seguridad Interna - General
3. Seleccione el dispositivo Cortafuegos (Firewall) que representa el elemento Pasarela

en las VPNs.
4. (Opcional) Cambie el Nombre (Name) que se ha aadido basado en el nombre del
elemento Cortafuegos.
Cree ms elementos Pasarela de forma que cada dispositivo cortafuegos/VPN involucrado
en esta VPN est representado.


(nueva VPN). Se abrir el dilogo de Propiedades de VPN.
2. Proporcione al elemento un Nombre (Name) nico.

3. Seleccione VPN-A Suite de la lista de perfiles VPN Profile.
4. Si quiere aplicar reglas de NAT a las comunicaciones que van a travs de esta VPN,
seleccione Apply NAT Rules to Traffic That Uses This VPN (Aplicar Reglas de NAT
al Trfico Que Usa Esta VPN). Esto no afecta a las comunicaciones que las dos
pasarelas internas mantienen entre ellas para establecer y mantener la VPN. Aquellas
siempre se comprueban contra las reglas de NAT.
5. Pulse OK. La vista de edicin de la VPN se abre en la pestaa Overall Topology
(Topologa Global).
6. Arrastre y suelte la pasarela hub en Central Gateways (Pasarelas Centrales).
Ilustracin 271: Vista de Edicin de VPN - Topologa Global
Pasarela Hub
Pasarelas Spoke
7. Arrastre y suelte las otras Pasrelas sobre la Pasarela hub de forma que las Pasarelas se
aadan como ramas (spokes) bajo la Pasarela hub como en la ilustracin superior. Estas
pueden incuir cualquier otra Pasarela Interna o Externa.
8. Guarde la VPN, pero no cierre an la vista de edicin de VPNs. Este guardado intermedio
es necesario para almacenar los cambios en la base dedatos para la siguiente operacin.
Definir Propiedades del Sitio para la Configuracin de VPN 4

elementos sitio. Para ms informacin, vea Definir Sitios para Pasarelas VPN (pag. 729).
Para definir un sitio hub para la configuracin 4

1. Pulse botn derecho sobre la pasarela hub y seleccione NewSite (NuevoSitio). Se
abrir el dilogo de Propiedades del Sitio.
Ilustracin 272: Propiedades del Sitio - Pestaa General
3. Aada todas las redes protegidas por las pasarelas spoke a los contenidos del Sitio (el
panel de la derecha).
Tras hacer esto, el Sitio debera contener todas las direcciones IP remotas que se usan en
el trfico spoke-a-hub reenviado desde el hub a los otros spokes.
El Sitio no debera contener las redes locales de la pasarela hub. Estas se definen usando
las funcionalidades automticas de gestin del Sitio de este ejemplo.
4. Cambie a la pestaa Site References (Referencias del Sitio).
5. Seleccione Enable (Activar) para este elemento VPN y deseleccinelo para todas las dems
VPNs. Tenga en cuenta que el Sitio todava se muestra en todas las VPNs, pero est
desactivado (en gris) y no incluido en la configuracin.
6. Seleccione Hub como Mod (Mode). Esto activa las funcionalidades de VPN de hub para la
Pasarela.
7. Pulse OK para cerrar el dilogo y volver a la vista de edicin principal de VPN.

9. Compruebe que la columna Validity (Validez) en las tablas Gateway<->Gateway
(Pasarela<->Pasarela) y End-Point<->End-Point tiene una marca verde para indicar
que no hay problemas.
Si la columna Validity de un tnel tiene un icono de advertencia, vea el panel Issues
(Problemas) para comprobar cul es el problema (si el panel no se muestra, puede
abrirlo mediante ek men View (Vista) o el men de botn derecho para la celda
Validity de una regla). Si se muestran problemas, corrjalos segn se indica. Los textos
largos son ms fciles de leer colocando el ratn sobre el texto de forma que se
muestra como un tooltip.
10. Guarde la VPN.
Crear Reglas para la Configuracin de VPN 4

Las reglas en este ejemplo permiten conexiones entre hosts en las redes protegidas de todas
las pasarelas para conectar con todas las otras redes protegidas. Las reglas de VPN se
chequean en base a Origen Destino y Servicio como cualquier otra regla.
Este escenario bsico de configuracin no explica todas las opciones relacionadas con las

1. Abra la poltica del dispositivo cortafuegos/VPN configurado como pasarela hub en la
VPN para la edicin.
2. Aada una regla de Acceso IPv4 en un lugar adecuado de la poltica.
Asegrese de que las reglas para enviar trfico a travs de la VPN estn por encima de
cualquier otra regla que compruebe el mismo trfico con Allow (Permitir), Discard
(Descartar), o Refuse (Rechazar) como accin.
El trfico que no quiera enviar a travs de la VPN no debe coincidir con esta regla. El
trfico que no es enrutable a travs de la VPN se descarta si coincide con esta regla.
3. Rellene la regla segn se explica a continuacin.
Si NAT est activado en la VPN, tenga en mente que las reglas de Acceso se
comprueban antes de aplicar las traslaciones definidas en las reglas de NAT a las
direcciones IP de origen y/o destino de los paquetes.
Para garantizar que esta regla no coincied con otro trfico, puede aadir la VPN recin
creada en la celda Source VPN (VPN de Origen).
Tabla 154: Regla VPN de Ejemplo para Reenvo Spoke-a-Spoke

Seleccione Use VPN, cambie la
Redes remotas Redes remotas Establezca segn accin (Action) a Forward
internas. internas. se necesite. (Reenviar) y pulse Select para
aadir el elemento VPN que ha
creado.
4. Aada dos reglas ms en un lugar adecuado de la poltica para permitir el trfico entre
las redes locales protegidas por la Pasarela hub y las redes protegidas por la Pasarela
spoke. Aqu se crean dos reglas para permitir las diferentes direcciones del trfico.

Seleccione Use VPN, cambie la accin
Redes locales Redes remotas Establezca segn (Action) a Enforce (Obligar) y pulse
internas. internas. se necesite. Select para aadir el elemento VPN
que ha creado.
Seleccione Use VPN, cambie la accin

Redes remotas Redes locales Establezca segn (Action) a Enforce (Obligar) y pulse
internas. internas. se necesite. Select para aadir el elemento VPN
que ha creado.
6. Aada reglas en las polticas de todos los dispositivos cortafuegos/VPN involucrados
segn se explica en el Paso 4.
Precaucin Si sigue usando esta VPN, cambie la clave pre-compartida preidicamente

(por ejemplo, cada mes) para garantizar la confidencialidad de sus datos. Vea Renovar o
Generar Claves Pre-Compartidas (pag. 773). Alternativamente, puede cambiar a
autenticacin basada en certificados creando un perfil VPN personalizado.
Refresque las polticas de todos los cortafuegos involucrados en la VPN para activar la nueva
configuracin. La VPN se establece cuando el trfico coincide con las reglas de Acceso.
Para Continuar:
Si se requiere NAT para esta VPN, aada las reglas de NAT tambin. Crear Reglas
de NAT para Trfico VPN (pag. 752).
Configurar VPNs IPsec 715
CAPTULO 50
CONFIGURAR VPNS IPSEC
Las VPNs (Virtual Private Networks Redes Privadas Virtuales) IPsec (Internet
Protocol Security) permiten crear conexiones privadas segurdas a travs de redes
que no son seguras de por s.
Empezar con VPNs IPsec (pag. 716)

Definir Perfiles de Pasarela (pag. 718)
Definir Pasarelas de Seguridad (pag. 720)
Definir Sitios para Pasarelas VPN (pag. 729)
Definir Perfiles de VPN (pag. 734)
Definir un Elemento VPN (pag. 742)
Crear Reglas de VPN (pag. 748)
Empezar con VPNs IPsec

Prerrequisitos: Si quiere permitir el acceso a clientes VPN: Empezar con la Autenticacin de Usuarios
Las VPNs en los Cortafuegos/VPN StoneGate se implementan de acuerdo con el estndar

IPsec (una extensin del protocolo IP). Para ms informacin de base sobre IPsec y la
configuracin de VPNs en StoneGate, vea la Reference Guide. Para informacin sobre el
producto StoneGate SSL VPN, vea la Gua StoneGate SSL VPN Administrators Guide.
Qu Hacen las VPNs
Una VPN (Virtual Private Network Red Privada Virtual) extiende una red privada segura
sobre redes pblicas cifrando las conexiones de forma que pueden ser transportadas sobre
enlaces inseguros sin comprometer datos confidenciales. Para este propsito, los
dispositivos que crean la VPN comprueban la identidad de las otras partes por medio de
autenticacin. Una VPN tambin incluye comprobacin de integridad para garantizar que
las comunicaciones no han sido alteradas.
En StoneGate, puede cerar dos tipos principales de VPNs:
Puede crear una VPN entre dos o ms dispositivos pasarela que proporcionan acceso
VPN a varios hosts en sus redes internas. A esto lo llamamos una VN pasarela-a-
pasarela.
Puede crear una VPN entre un dispositivo pasarela en un sitio y un cliente VPN
ejecutndose en un ordenadore individual, como un porttil de un usuario viajero o un PC
de sobremesa en una oficina casera. A esto lo llamamos VPN cliente-a-pasarela. La
opcin recomendada es usar el cliente VPN StoneGate (disponible para Windows).
Tambin puden usarse clientes VPN de terceros compatibles con IPsec.
Nota Los cliente VPN parte de una solucin de pasarela VPN propietaria de un
fabricante son generalmente incompatibles con pasarelas de otros fabricantes.
Limitaciones
Las limitaciones especficas de cada versin en las funcionalidades soportadas para diferentes
versiones de Cortafuegos/VPN StoneGate se listan en las Release Notes para las versiones que
est usando. El Management Center automticamente impide el uso de opciones no soportadas
en base a la versin del dispositivo.
Todas las VPNs que configure para clientes VPN deben ser vlidas para clientes VPN de
StoneGate incluso aunque slo use softare de cliente VPN de terceros.
Si su instalacin de dispositivo Cortafuegos/VPN est configurada especficamente en un
modo de operacin restringido para cumplir requisitos regulatorios, algunas opciones de
VPN no estarn disponibles.
Proceda segn se explica en la Visin General de la Configuracin o siga una de las
Configuraciones de VPN Bsicas (pag. 687) para crear rpidfamente algunos tipos de VPNs
bsicas.

Ilustracin 273: Elementos en la Configuracin VPN (Excluyendo Elementos Relacionados con Certificados)
Pe Pe
rfi
Pa rfil d VP l de
sa e N
re l
a
Co Po
Op Pa VP Co ltic
rta
Pa cion fue s a re N rta a d
fue e
sa es go la
re l go
a de s s
Sit
io
El elemento Opciones de Pasarela mostrado arriba no es parte del siguiente flujo dado que las
opciones por defecto deberan usarse en la mayora de los casos (vea Ajuste Avanzado de
VPNs (pag. 774) para ms informacin). En otro caso, el siguiente flujo cubre todas las
configuraciones de VPNs:
1. (Opcional) Si est configurando una VPN con un dispositivo externo, puede querer crear un nuevo
Perfil de Pasarela especfico para el dispositivo, vea Definir Perfiles de Pasarela (pag. 718).
2. Aada el nmero necesario de elemento pasarela para representar los dispositivos de VPN
fsicos, vea Definir Pasarelas de Seguridad (pag. 720). Estos definen los endpoints VPN
(direcciones IP de la pasarela) y los Sitios (vea el siguiente punto). Slo se necesita un elemento
por dispositivo, incluso si hay muchas VPNs.
3. Configure los Sitios de las Pasarelas. Estos definen las direcciones IP que pueden enrutarse a
travs de las VPNs, vea Definir Sitios para Pasarelas VPN (pag. 729). Los Sitios pueden ajustarse
en diferentes VPNs que establezca la Pasarela.
4. (Opcional) Si los Perfiles de VPN existentes no tienen opciones adecuadas para su nueva VPN,
cree uno segn se explica en Definir Perfiles de VPN (pag. 734). Esto define las opciones de
IPsec (autenticacin, cifrado y comprobacin de integridad).
5. Cree un nuevo elemento VPN segn se explica en Definir un Elemento VPN (pag. 742). Esto
define la topologa (qu pasarelas crean tneles entre ellas).
6. Cree certificados, si es necesario. Vea Empezar con Certificados de VPN (pag. 756).
7. Aada las reglas de Acceso IPv4 y, si es necesario, las reglas de NAT IPv4 para el trfico
VPN. Vea Crear Reglas de VPN (pag. 748). Esto tambin activa la VPN en los dispositivos.
Para Continuar:
Empiece en Configurar VPNs IPsec (pag. 718).
Configurar VPNs IPsec

Empezando aqu, puede crear una nueva VPN siguiendo los enlaces Para Continuar de
seccin en seccin. Se incluyen siguientes pasos alternativos segn sea necesario para
conseguir un tipo particular de configuracin. Alternativamente, puede querer seguir un flujo
simplificado para construir un tipo particular de VPN, vea Configuraciones de VPN Bsicas
(pag. 687).
Si ya tiene VPNs configuradas, se recomienda hacer una copia de seguridad del
Management Server (vea Crear Copias de Seguridad (pag. 795)) antes de empezar a
configurar opciones adicionales de VPN. Tener una copia de seguridad le permite revertir
los cambios rpidamente en caso de que los cambios interfieran con las VPNs existentes..
Contine la configuracin segn se explica a continuacin, en la primera seccin que
aplique.
Para Continuar:
Si est configurando una VPN con un dispositivo externo, puede querer crear un
nuevo Perfil de Pasarela especfico para el dispositivo, vea Definir Perfiles de
Pasarela (pag. 718).
En otro caso, empiece la configuracin en Definir Pasarelas de Seguridad (pag. 720).
Tareas Relacionadas
Visin General de la Configuracin (pag. 717)
Empezar con las Opciones del Cliente VPN (pag. 782)
Definir Perfiles de Pasarela

Las Pasarelas Internas siempre usan un perfil por defecto que se asigna de acuerdo con la
verisn de software actualmente instalada y no puede ser cambiado manualmente. Los
perfiles de pasarela pueden usarse con pasarelas externas para establecer opciones
relacionadas con certificados (usadas con algunas pasarelas que no soportan algunas
operaciones) y para restringir las opciones a un conjunto soportado para evitar errores de
configuracin. Si no ve la necesidad de utilizar estas opciones puede usar el perfil Default
(all capabilities) (Por Defecto Todas las Capacidades).
Para Continuar:
Para aadir o modificar un Perfil de Pasarela personalizado, contine en Definir un
Perfil de Pasarela Personalizado (pag. 718).
Para configurar una VPN usando los perfiles de Pasarela existentes, contine en
Definir Pasarelas de Seguridad (pag. 720).
Definir un Perfil de Pasarela Personalizado

Las propiedades en la pestaa General estn orientadas a usuarios avanzados. Los valores
por defecto son los valores recomendados. Estas opciones afectan directamente a la VPN.
Las Capacidades IKE (IKE Capabilities) e IPsec (IPsec Capabilities) no se usan
directamente en una VPN (las opciones de uso se seleccionan en el elemento Perfil VPN),
sino que definen un conjunto de opciones que soporta la Pasarela, de forma que el sistema
pueda comprobar automticamente opciones mal configuradas.
Para definir un Perfil de Pasarela personalizado

1. Seleccione ConfigurationConfigurationVPN (ConfiguracinConfiguracinVPN)
desde el men. Se abrir la vista de Configuracin de VPN.
Ilustracin 274: Perfiles de Pasarela en el rbol de Configuracin de VPN
2. Navegue a Other ElementsProfiles (Otros ElementosPerfiles).

3. Pulse botn derecho sobre la rama Gateway Profiles (Perfiles de Pasarela) y seleccione
New Gateway Profile (Nuevo Perfil de Pasarela). Se abrir el dilogo de Propiedades de
Perfil de Pasarela.
Ilustracin 275: Propiedades de Perfil de Pasarela
4. Introduzca un Nombre (Name) nico y opcionalmente un Comentario (Comment) para el

elemento.
5. Seleccione las opciones para Capacidades de Reenvo Tnel-a-Tnel:
Opcin Descripcin
Selecione esto para indicar si las Pasarelas que usan el perfil son
Relay Gateway-to-Gateway capaces de reenviar trfico VPN pasarela-a-pasarela a otras VPNs
Traffic (Reenvo de Trfico pasarela-a-pasarela. Esto reduce el nmero de tneles creados por
Pasarela-a-Pasarela) defecto para VPNs que incluyan esta Pasarela cuando define el
reenvo de una VPN a aotra en el elemento VPN.
Esta opcin se muestra slo porque la opcin se usa en los perfiles
Relay Client-to-Gateway Traffic
por defecto para diferentes versiones del Cortafuegos/VPN
(Reenvo de Trfico Cliente-a-
StoneGate Firewall/VPN. Esta opcin no es relevante en
Pasarela)
configuraciones personalizadas.
6. Seleccione las opciones para la Autenticacin con Certificados:
Opcin Descripcin
Seleccionar esta opcin evita que StoneGate procese peticiones de
Ignore Certificate Requests
certificados en mensajes IKE con Pasarelas que usen este perfil. Las
(Ignorar Peticiones de
Pasarelas usan peticiones de certificados para pedir a la otra pasarela
Certificados)
reenviar sus certificados o informacin relacionada.
Seleccionar esta opcin evita que StoneGate enve listas de
Do Not Send CRLs (No revocacin de certificados en mensajes IKE con Pasarelas que usen
enviar CRLs) este perfil. Si las CRLs estn disponibles para la otra pasarela por otro
camino, no es necesario enviarlas mediante mensajes IKE.
Seleccionar esta opcin hace que StoneGate enve la cadena de
Send Full Certificate Chains
certificados completa (desde el certificado del nodo hasta el de la
(Enviar Cadenas de
Autoridad de Certificacin) en mensajes IKE con Pasarelas que usen
Certificados Completas)
este perfil.
7. Cambie a la pestaa IKE Capabilities (Capacidades IKE) y seleccione las opciones que
soporte el dispositivo para la fase 1 de IKE.
8. Cambie a la pestaa IPsec Capabilities (Capacidades IPsec) y seleccione las opciones
que soporte el dispositivo para la fase 2 de IKE.
Para Continuar:
Contine la configuracin en Definir Pasarelas de Seguridad (pag. 720).
Definir Pasarelas de Seguridad

Los dispositivos fsicos que establecen la VPN son representados por elementos Pasarelas
de Seguridad en la configuracin. Se pueden configurar los siguientes tipos de elemento
Pasarela:
Tipo de Pasarela Descripcin

Dispositivos Cortafuegos/VPN gestionados por el mismo Management
Internal Security Gateway Server (un Dominio administrativo) al cual st conectado actualmente
(Pasarela de Seguridad con su Management Client. Puede aadir ms de un elemento
Pasarela para representar el mismo cortafuegos, pero cada elemento
Interna) Pasarela reserva un endpoint (direccin IP) que no puede ser usado
por otros elementos.
External Security Gateway Todas las otras pasarelas de seguridad, incluyendo dispositivos
(Pasarela de Seguridad cortafuegos/VPN StoneGate gestionados por algn Management
Server diferente de aqul al que est conectado (o que estn
Externa) configurados bajo un Dominio administrativo diferente).
IPSec Client Gateway Todos los clientes VPN StoneGate y de terceros se representan
(Pasarela de Cliente IPsec) mediante el elemento Pasarela de Cliente IPsec.
Tipo de Pasarela Descripcin

Los Grupos de Pasarelas SOHO representan uno o ms dispositivos
SOHO Gateway Group Cortafuegos SOHO StoneGate cuando se usan como Pasarelas de
(Grupo de Pasarelas SOHO) Seguridad Internas. Cada cortafuegos SOHO puede pertenecer a un
solo Grupo de Pasarelas SOHO.
Proceda a la siguiente seccin ms abajo que aplique.
Para Continuar:
Si no tiene todava elementos Pasarela, empiece por Crear un Nuevo Elemento
Pasarela de Seguridad (pag. 721).
Para editar las opciones relacionadas con la direccin IP de la Pasarela interna, vea
Definir Endpoints para Pasarelas de Seguridad Internas (pag. 722).
Para editar las opciones relacionadas con la direccin IP de la Pasarela externa,
vea Definir Endpoints para Pasarelas de Seguridad Externas (pag. 724).
Para cambiar las opciones de aceptacin de certificados, vea Definir CAs de
Confianza para una Pasarela (pag. 726).
Para configurar opciones para clientes VPN que conectana a una pasarela, vea
Definir Opciones de Cliente VPN Especficas de la Pasarela (pag. 727).
Crear un Nuevo Elemento Pasarela de Seguridad

Para crear una Nueva Pasarela
(ConfiguracinConfiguracinVPN) desde el men. Se abrir la vista de
2. Pulse botn derecho sobre la rama Gateways (Pasarelas) en el rbol de elementos y elija
una de las siguientes opciones:
NewInternal Gateway (NuevoPasarela Interna) para representar un cortafuegos
gestionado por este Management Server en una VPN.
NewExternal Gateway (NuevoPasarela Externa) para representar un dispositivo
de terceros o un Cortafuegos StoneGate Firewall gestionado por un Management
Server diferente en una VPN.
NewSOHO Gateway Group (NuevoGrupo de Pasarelas SOHO) para representar
cortafuegos SOHO en una VPN.
3. Introduzca un Nombre (Name) nico y un Comentario (Comment) opcional para el
elemento.
4. (Slo Grupos de Pasarelas SOHO, opcional) Seleccione Use NAT-T para permitir a las
pasarelas encapsular las comunicaciones IPsec cuando sea necesario para atravesar
un dispositivo NAT. Esta opcin usa encapsulado estndar NAT-T en el puerto UDP
4500.
5. (Slo Pasarelas Internas, opcional) Deseleccione Automated RSA Certificate
Management (Gestin Automtica de Certificados RSA) si prefiere crear y renovar los
certificados manualmente cuando se necesiten.
La gestin automtica de certificados es slo para certificados RSA.
Incluso aunque la opcin est seleccionada, los certificados slo se crean cuando se
necesitan.
6. Seleccione el dispositivo que representa esta Pasarela:
Tipo de Pasarela Configuracin

Internal Gateway Seleccione el dispositivo Cortafuegos que representa el elemento Pasarela
(Pasarela Interna) en las VPNs.
External Gateway Pulse Select y elija el Perfil de Pasarela que contiene la informacin sobre
(Pasarela Externa) las capacidades de la Pasarela externa.
Tipo de Pasarela Configuracin
SOHO Gateway Seleccione los elementos Cortafuegos SOHO en la lista de Recursos de la

(Pasarela SOHO) izquierda y pulse Add (Aadir).
Contine la configuracin en la seccin correcta de acuerdo con el tipo de Pasarela:
Para Continuar:
Definir Endpoints para Pasarelas de Seguridad Internas (pag. 722)
Definir Endpoints para Pasarelas de Seguridad Externas (pag. 724)
No hay configuracin adicional para los grupos de Pasarelas SOHO. Contine en
Definir Perfiles de VPN (pag. 734).
Definir Endpoints para Pasarelas de Seguridad Internas

Cada endpoint est dedicado a un elemento Pasarela. Cualquier direccin IP que ya est
seleccionada como endpoint para algn otro elemento Pasarela no se muestra en la lista de
Endpoints para las siguientes Pasarelas que cree para el mismo dispositivo
Cortafuegos/VPN. Cada elemento Pasarela puede usarse en varias VPNs.
Para definir endpoints para Pasarelas internas

1. Cambie a la pestaa End-Points en las propiedades de la Pasarela. Se mostrarn las
direcciones IP disposnibles para su uso como endpoints.
Ilustracin 276: Propiedades de Pasarela de Seguridad Interna - End-Points
2. (Opcional) Cambie la seleccin de direcciones IPv4 que quiera usar compo endpoints
en VPNs. Tpicamente, estas son direcciones IP que pertenecen a interfaces hacia
Internet, que se seleccionan por defecto (en base a la tabla de enrutamiento por defecto
del cortafuegos).
Slo pueden usarse direcciones IPv4 como endpoints.
En clsters de cortafuegos, stas son CVIs.
Si tiene ms de una conexin con Internet, seleccione una direccin IP de cada ISP
para hacer posible el balanceo de carga y alta disponibilidad Multi-Link para VPNs.
3. Haga doble click sobre el endpoint que haya seleccionado para esta pasarela. Se abrir
el dilogo de Propiedades de Endpoint Interno.
Ilustracin 277: Propiedades de Endpoint Interno
4. (Opcional) Proporcione un Nombre (Name) para el endpoint.

5. (Opcional) Seleccione el Modo (Mode) para definir como se usa el endpoint en una
configuracin Multi-Link. Puede modificar estas opciones en cada VPN individual.
Active (Activo): use los tneles de este endpoint cuando sea posible.
Standby (Espera): use los tneles de este endpoint slo si los enpoints Activos no pueden
usarse.
6. (Opcional, slo Cortafuegos/VPN anteriores a la versin 5.2) Seleccione Use UDP
Encapsulation (Usar Encapsulado UDP) si quiere encapsular las comunicaciones
IPsec en paquetes UDP usando el mtodo propietario de StoneGate.
7. (Opcional) Seleccione una de las opciones de uso de NAT-T para activar el
encapsulado para atravesar NAT en VPNs pasarela-a-pasarela, que puede ser
necesario para atravesar un dispositivo NAT en el extremo de la pasarela local o
remota.
Opcin Descripcin
Seleccione esta opcin si quiere permitir el encapsulado de las comunicaciones
IPsec en paquetes estndar UDP NAT-T en VPNs pasarela-a-pasarela cuando
Use NAT-T las pasarelas detectan que se aplica una operacin de NAT a las
comunicaciones. Si ambas pasarelas no soportan esta opcin, la opcin se
ignora.
Use force NAT-T Seleccione esta opcin para forzar NAT-T incluso cunado las pasarelas no
(Usar NAT-T detectan una operacin de NAT aplicada a las comunicaciones. Si ambas
forzado) pasarelas no soportan esta opcin, la VPN no se puede establecer.
La pasarela siempre permite a los clientes VPN usar NAT-T independientemente de

estas opciones.
NAT-T siempre usa el puerto estndar UDP 4500.
Nota Si la direccin IP externa es privada y es trasladada a una direccin IP pblica por

un dispositivo NAT externo, asegrese de que las Direcciones de Contacto y las
Localizaciones estn definidas correctamente en las propiedades del Cortafuegos.
8. (Opcional) Seleccione Use TCP Tunneling Port on (Usar Puerto de Tnel TCP en) si
quiere entunelar las comunicaciones del Cliente VPN IPsec StoneGate con el endpoint
de esta Pasarela en una conexin TCP para evitar un dispositivo de filtrado de trfico
que no permite a los puertos estndar IPsec pasar o atravesar un dispositivo NAT.
Esta opcin puede no ser soportada por todas las pasarelas externas. Se requiere el
soporte en ambos extremos de cada tnel.
9. Si es necesario, cambie la Direccin de Contacto (Contact Address) por defect y/o
aada Excepciones (Exceptions) para las Localiazciones de las otras Pasarelas
involucradas en la VPN.
Las dos Pasarelas en contacto deben estar en Localizaciones diferentes (tenga en
cuenta que las pasarelas externas siempre estn en la Localizacin por Defecto).
En clsters, las VPNs usan CVIs, no NDIs.
Para ms informacin sobre Localizaciones y Direcciones de Contacto, vea
Configuracin de las Comunicaciones del Sistema (pag. 59).
Ejemplo La pasarela interna est tras un dispositivo NAT. La direccin real se define como
direccin del Endpoint, puesto que la direccin IP tambin se usa para la identificacin
dentro del trfico cifrado. El contacto debe hacerse usando la direccin trasladada, por
lo que se define como Direccin de Contacto.
10. En las opciones de Fase-1, cambie el Tipo de ID (ID Type) a su opcin preferida.
El ID identifica las pasarelas durante las negociaciones IKE fase 1.
El tipo Distinguished Name (Nombre Distinguido) slo es vlido en autenticacin
basada en certificados.
El tipo IP Address (Direccin IP) no es vlido para endpoints con direccin IP
dinmica.
11. Introduzca un Valor de ID (ID Value) si selecciona DNS Name (Nombre DNS) o Email
como tipo. El valor de la direccin IP se rellena automticamente.
Contine la configuracin segn se explica ms abajo en la primera seccin que aplique.
Para Continuar:
Si quiere usar autenticacin con certificados y quiere limitar cual de las Autoridades
de Certificacin que defina en el sistema considera confiables esta Pasarela,
contine en Definir CAs de Confianza para una Pasarela (pag. 726).
Si piensa permitir que los Clientes VPN establezcan VPNs con esta Pasarela,
contine en Definir Opciones de Cliente VPN Especficas de la Pasarela (pag. 727).
En otro caso, contine en Definir Sitios para Pasarelas VPN (pag. 729).
Definir Endpoints para Pasarelas de Seguridad Externas

Para definir endpoints para pasarelas externas
1. Cambie a la pestaa End-Points en las propiedades de la Pasarela. Se mostrar la
tabla de enpoints.
2. Pulse el botn Add (Aadir) bajo la tabla. Se abrir el dilogo de Propiedades de
Enpoint Externo.
Ilustracin 278: Propiedades de Endpoint Externo
3. (Opcional) Introduzca un Nombre (Name) para el endpoint.

4. Defina la direccin IPv4 para el endpoint:
Si el endpoint tiene una direccin IP esttica (definida manualmente), introdzcala en
IPv4 Address. sta debe ser la direccin IP que est definida para el dispositivo
externo en su configuracin.
Si el endpoint tiene una direccin IP dinmica (asignada por DHCP), seleccione
Dynamic.
5. (Opcional) Selecxione el Modo (Mode) para definir cmo trata StoneGate al endpoint en
una Pasarela con mltiples endpoints. Esta es una opcin por defecto para los tneles
que se generan para VPNs que usan esta Pasarela. Puede modificar esta opcin
Activo/En Espera en cada VPN.
Active (Activo): usar los tneles a este endpoint cuando sea posible.
Standby (En Espera): usar los tneles a este endpoint slo si los enpoints Activos no
pueden usarse.
6. (Opcional, slo Cortafuegos/VPN anteriores a la versin 5.2) Seleccione Use UDP
Encapsulation (Usar Encapsulado UDP) si quiere encapsular las comunicaciones
IPsec en paquetes UDP.
Este mtodo es propietario de StoneGate. No lo use para dispositivos pasarela
externos de otros fabricantes. Se requiere el soporte a abos extremos de cada tnel.
7. (Opcional) Seleccione una de las opciones de uso de NAT-T para activar el
encapsulado para atravesar NAT en VPNs pasarela-a-pasarela, que puede ser
necesario para atravesar un dispositivo NAT en el extremo de la pasarela local o
remota.
Opcin Descripcin
Seleccione esta opcin si quiere permitir el encapsulado de las comunicaciones
IPsec en paquetes estndar UDP NAT-T en VPNs pasarela-a-pasarela cuando
Use NAT-T las pasarelas detectan que se aplica una operacin de NAT a las
comunicaciones. Si ambas pasarelas no soportan esta opcin, la opcin se
ignora.
Use force NAT-T Seleccione esta opcin para forzar NAT-T incluso cunado las pasarelas no
(Usar NAT-T detectan una operacin de NAT aplicada a las comunicaciones. Si ambas
forzado) pasarelas no soportan esta opcin, la VPN no se puede establecer.
Esta opcin puede no estar soportada por todas las pasarelas externas, pero se
requiere el soporte en ambos extremos de cada tnel. Si ambas pasarelas no soportan
esta opcin, la opcin se ignora.
Los clientes VPN IPsec StoneGate siempre tienen permitido usar esta encapsulacin
independientemente de su valor aqu.
NAT-T siempre usa el puerto estndar UDP 4500
Nota Si la direccin IP externa es privada y es trasladada a una direccin IP pblica

por un dispositivo NAT externo, asegrese de que las Direcciones de Contacto y las
Localizaciones estn definidas correctamente en las propiedades del Cortafuegos.
8. Si es necesario, cambie la Direccin de Contacto (Contact Address) por defect y/o

aada Excepciones (Exceptions) para las Localiazciones de las otras Pasarelas
involucradas en la VPN.
La Direccin de Contacto debe estar definida si la direccin IP para contactar con esta
Pasarela es diferente de la direccin IP que la Pasarela tiene en su interfaz (por
ejemplo, a causa de NAT).
Para ms informacin sobre Localizaciones y Direcciones de Contacto, vea Empezar
con las Comunicaciones del Sistema (pag. 60).
Ejemplo Una pasarela externa est tras un dispositivo NAT. La direccin real se define como la
direccin del Endpoint, puesto que la direccin IP tambin se usa como ID de Fase 1
dentro del trfico cifrado. El contacto debe hacerse usando la direccin trasladada,
por lo que se define como una Direccin de Contacto.
9. En las opciones de Fase 1, seleccione el Tipo de ID (ID Type) con su opcin preferida.
El ID identifica las Pasarelas durante las negociaciones de IKE fase 1.
El tipo Distinguished Name (Nombre Distinguido) slo es vlido en autenticacin
basda en certificados.
El tipo IP Address (Direccin IP) no es vlido para endpoints con direccin IP
dinmica. La direccin IP puede no funcionar como ID si se traslada usando NAT.
10. Introduzca un Valor de ID (ID Value) del tipo correcto. El valor para el tipo direccin IP
(IP Address) se rellena automticamente de acuerdo con la direccin IP que haya
definido para este endpoint.
Asegrese de que el ID Value coincide con la identidad configurada en el dispositivo
pasarela externo.
Para Continuar:
Si quiere usar autenticacin con certificados y quiere limitar cual de las Autoridades
de Certificacin que defina en el sistema considera confiables esta Pasarela,
contine en Definir CAs de Confianza para una Pasarela (pag. 726).
Definir CAs de Confianza para una Pasarela

Las Autoridades de Certificacin (Certificate Authorities - CA) verifican la autenticidad de los
certificados con sus firmas. Las Pasarelas aceptan certificados slo desde CAs confiables
especialmente configuradas. Por defecto, las Pasarelas confan en todas las CAs de VPN
actualmente definidas en el sistema, pero puede restringir las CAs de confianza segn se
indica aqu. Puede restringir alternativa o adicionalmente las CAs de confianza tambin en
los perfiles de VPN.
Para pasarelas externas, el sistema usa la definicin de CA de confianza en el elemento
Pasarela Externa para comprobar que todas las pasarelas tienen los certificados necesarios.
Para definir las CAs de confianza de una Pasarela

1. Cambie a la pestaa Trusted CAs (CAs de Confianza) en las propiedades de la
Pasarela.
2. Seleccione las opciones de Limitar Autoridades de Certificacin de Confianza:
Opcin Descripcin
Trust All Defined
La pasarela acepta cualquier CA vlida configurada en su sistema, a menos
(Confiar en Todas las
que sea restringida en el elemento VPN.
Definidas)
Trust Only Selected
Restringe las CAs de confianza y activa los controles ms abajo. Seleccione
(Confiar Slo en las
Enabled (Activada) para las CAs en las que la Pasarela necesita confiar.
Seleccionadas)
Para Continuar:
Si est creando una Pasarela de Seguridad Interna y piensa usar Clientes VPN para
establecer VPNs con esta Pasarela, contine en Definir Opciones de Cliente VPN
Especficas de la Pasarela (pag. 727).
Definir Opciones de Cliente VPN Especficas de la Pasarela

El elemento Pasarela de Seguridad Interna contiene opciones para asignar direcciones IP
vlidas a clientes VPN para coneciones a travs de la VPN hacia la red interna. Si usa
clientes VPN IPsec StoneGate, debera configurar el Adaptador Virtual, puesto que el mtodo
alternativo NAT Pool no permite a los orednadores clientes VPN IPsec StoneGate usar los
servidores DNS internos de la organizacin. El direccionamiento IP Virtual funciona con todas
las versiones del cliente VP StoneGate y con clientes VPN de terceros que soporten esta
funcionalidad.
Para informacin completa sobre todas las opciones de configuracin, vea Gestionar las
Direcciones IP de Clientes VPN (pag. 785).
Nota Las direcciones IP del Adaptador Virtual deben ser asignadas por un servidor
DHCP externo. No es posible configurar las direcciones en el cliente VPN o en la
configuracin de la Pasarela. No es posible usar el servidor DHCP interno de cortafuegos
independientes para asignar direcciones IP para Adpatadores Virtuales.
Para configurar las opciones del cliente VPN (para clientes VPN IPsec StoneGate)
1. Cambie a la pestaa VPN Client en las propiedades de la Pasarela.
Ilustracin 279: Propiedades de Pasarela de Seguridad Interna - Cliente VPN
2. Seleccione Virtual IP Address (using Virtual adapter) (Direccin IP Virtual (usando

Adaptador Virtual)). Se activarn las otras opciones del dilogo.
3. Configure las opciones segn se explica en la siguiente tabla:
Opcin Configuracin
Seleccione esta opcin para hacer que el dispositivo Cortafuegos/VPN
responda a peticiones ARP para el rando de direcciones IP virtuales. Pulse
Use Proxy ARP (Usar
IPv4 Address Ranges (Rangos de Direcciones IPv4) para seleccionar el rango
Proxy ARP)
de direcciones para definir el mbito de esta opcin (todas las direcciones IP
virtuales).
Restrict Virtual
(Opcional) Seleccione esta opcin y pulse IPv4 Address Ranges (Rangos de
Address Ranges
Direcciones IPv4) para seleccionar las direcciones que se permite asignar al
(Restringir Rangos de
servidor DHCP.
Direcciones Virtuales)
Seleccione esta opcin para definir opciones DHCP para los clientes VPN.
Use DHCP (Usar
Pulse el botn DHCP Servers (Servidores DHCP) y seleccione el servidor
DHCP)
DHCP externo correcto que asigna las direcciones IP.
Firewall Advanced
Deseleccione Translated IP Addresses (using NAT Pool) (Direcciones IP
Settings (Opciones
Trasladadas (usando Pool de NAT) si la opcin est seleccionada. Esto
Avanzadas del
desactiva la funcionalidad NAT Pool en el cortafuegos.
Cortafuegos)
Opcin Configuracin
(Opcional) Seleccione esta opcin para forzar el uso de nesajes de reenvo
DHCP incluso si el servidor DHCP est en una red directamente conectada
en relacin al dispositivo cortafuegos. Por defecto, el dispositivo
cortafuegos/VPN enva un mensaje de broadcast de cliente DHCP normal a
Use Local Relay un servidor DHCP que est en una red directamente conectada.
(Usar Reenvo Local) Seleccione la opcin para qu informacin adicional aadir a los mensajes.
Seleccione NDI for DHCP Relay (NDI para Reenvo DHCP) para usarla como
direccin origen para los paquetes DHCP cuando se consulta al servidor
DHCP (el interfaz hacia el servidor DHCP), y ajuste Max Packet Size
(Tamao Mximo de Paquete) si es necesario en su red.
(Opcional) Seleccione las Pasarelas de Respaldo (Backup Gateways) que
los clientes VPN IPsec StoneGate versin 5.1 y superiores usarn si esta
pasarela no est disponible y organcelas en el orden en que quiera que sean
Backup Gateway contactadas. Esto elimina la necesidad de que el usuario lance nuevas
(Pasarela de conexiones a diferentes pasarelas manualmente.
Respaldo) Cada cambio de pasarela lanza un dilogo que permite al usuario confirmar el
cambio. Si la autoridad de certificacin de la pasarela de respaldo no es de
confianza, el usuario puede aprobar manualmente la huella digital del
certificado y continuar.
Para Continuar:
Contine la configuracin en Definir Sitios para Pasarelas VPN(pag. 729).
Definir Sitios para Pasarelas VPN

Prerrequisitos: Crear un Nuevo Elemento Pasarela de Seguridad
Puede definir Sitios para todas las Pasarelas Internas y Externas. El elemento Sitio define las
direcciones IP internas que envan o reciben trfico a travs de la VPN:
Las conexiones slo tienen permitido usar la VPN si las direcciones IP de origen y destino
estn incluidas en los Sitios de las Pasarelas involucradas. Otro trfico es rechazado.
Si activa NAT para el trfico del tnel, debe aadir las direcciones trasladadas en las
definiciones de Sitios para hacer esas direcciones IP vlidas para su uso en el tnel VPN.
Las direcciones deben ser nicas a cada extremo de un tnel VPN. Use NAT para crear
espacios de direcciones nicas si las direcciones se solapan.
Si usa una Pasarela en varias VPNs, slo pueden incluirse o excluirse elementos Sitio
completos en base a VPN-a-VPN. Todas las direcciones en un Sitio siempre son incluidas
o excluidas conjuntamente.
Para Pasarelas internas, hay un elemento Sitio automtico disponible y activado por
defecto. Las definiciones de direcciones IP del Sitio automtico se crean y actualizan en
base a las definiciones de enrutamiento. Sin embargo, las direcciones NAT siempre deben
ser aadidas manualmente.
La informacin de direcciones IP tambin se comprueba en la fase de establecimiento de la

VPN. Cuando cree VPNs con Pasarelas externas, asegrese de que los espacios de
direcciones IP en ambas pasarelas se definen idnticamente en StoneGate y en el
dispositivo externo, o el establecimiento de la VPN puede fallar en una o ambas direcciones.
Con Pasarelas internas, asegrese de actualizar las polticas de ambos cortafuegos cuando
haya cambios (manuales o automticos) en los Sitios en cualquier extremo.
Para Continuar:
Para activar o desactivar la gestin automtica del Sitio para una pasarela interna,
vea Desactivar/Reactivar la Gestin del Sitio VPN Automtico (pag. 730)
Para continuar con la configuracin automtica del Sitio (Pasarelas Internas), proceda
segn se explica en Ajustar la Gestin del Sitio VPN Automtico (pag. 731).
Para definir las direcciones IP para un elemento pasarela externa de seguridad, vea
Definir Redes Protegidas para Sitios VPN (pag. 732).
Tareas Relacionadas
Aadir un Nuevo Sitio VPN (pag. 731).
Desactivar Temporalmente un Sitio VPN en Todas las VPNs (pag. 733)
Desactivar/Reactivar la Gestin del Sitio VPN Automtico

La gestin automtica del Sitio est activa por defecto en todas las nuevas Pasarelas
Internas. La gestin automtica del Sitio copia las direcciones IP internas desde la vista de
enrutamiento (todos los interfaces excepto aquellos con el elemento Any Network asociado)
y mantiene continuamente actualizada la informacin con los cambios que usted haga en el
enrutamiento. Si prefiere no actualizar la informacin automticamente para cualquier
interfaz, puede desactivar esta funcionalidad completamente segn se indica a continuacin.
Alternativamente, puede desactivar esta funcionalidad slo para interfaces seleccionados
segn se explica en Ajustar la Gestin del Sitio VPN Automtico (pag. 731).
Para desactivar/reactivar la gestin del Sitio automtico

1. En las propiedades del elemento Pasarela interna, cambie a la pestaa Sites (Sitios).
2. Deseleccione/seleccione la opcin Include and Update Addresses Based on Routing
(Incluir y Actualizar Direcciones en Base al Enrutamiento).
Cuando la opcin no est seleccionada, deber definir manualmente las direcciones
que quiere que sean enrutables a travs de la VPN.
Cuando la opcin est seleccionada, el contenido del Sitio automticamente se
actualiza de acuerdo con los cambios hechos en la correspondiente vista de
Enrutamiento del cortafuegos (para aquellos interfaces no desactivados).
Cuando desactiva la gestin automtica del Sitio, el Sitio automtico se elimina
completamente. Debe haber algn otro Sitio configurado para la Pasarela para que sea
vlida en una VPN.
Para Continuar:
Para definir Sitios manualmente, contine en Aadir un Nuevo Sitio VPN (pag. 731).
Ajustar la Gestin del Sitio VPN Automtico

Por defecto, la Gestin del Sitio VPN Automtico est activa para todas las nuevas Pasarelas
Internas. Esto aade un elemento Sitio para su Pasarela que copia los interfaces y redes
desde la vista de Enrutamiento a la definicin de su Pasarela VPN y los actualiza cuando
cambia la vista de Enrutamiento. Puede modificar este Sitio automtica de las siguientes
maneras:
Puede desactivar interfaces individuales mediante su men de botn derecho. De este
modo, puede excluir algunos de los interfaces internos de las VPNs.
Puede aadir direcciones al Sitio automtico en el nivel superior (al mismo nivel que los
elementos Interfaz que mantienen el contenido automtico, no dentro de ellos) arrastrando
y soltando las Redes correctas u otros elementos.
Puede aadir Sitios adicionales para la Pasarela junto al Sitio automtico. Vea Aadir un
Nuevo Sitio VPN (pag. 731).
Puede marcar el Sitio automtico como Privado en algunas VPNs. Vea Ajustar Opciones
de Sitio Especficas de la VPN (pag. 732).
Para Continuar:
Si piensa trasladar las direcciones IP de los hosts locales que se comunican a travs
de la VPN, alada las direcciones usadas en NAT en la definicin del Sitio de la
Pasarela y marque los Sitios que contengan las direcciones originales como privados
(vea Ajustar Opciones de Sitio Especficas de la VPN (pag. 732)).
Para seguir configurando una nueva VPN sin definir ms opciones para el Sitio,
aada todos los elementos Sitio y Pasarela necesarios, y luego configure un nuevo
grupo de opciones IPsec segn se explica en Definir Perfiles de VPN (pag. 734) o
configure la VPN con un conjunto existente de opciones segn se explica en Definir
un Elemento VPN (pag. 742).
Aadir un Nuevo Sitio VPN

Puede aadir tantos elementos Sitios como necesite a una Pasarela. Por defecto, cada Sitio
se incluye en todas las VPNs donde se use la Pasarela, pero los Sitios individuales pued3en
desactivarse manualmente en una VPN sin afectar a las dems. No es posible desactivar
Sitios parcialmente; si el espacio de direcciones IP debe variar entre diferentes VPNs,
necesita varios Sitios.
Para aadir un nuevo elemento Sitio

1. Cambie a la pestaa Sites (Sitios) en las propiedades del elemento Pasarela.
2. Pulse botn derecho sobre el panel de la derecha y seleccione NewSite
(NuevoSitio). Se abrir el dilogo de Propiedades del Sitio.
3. Introduzca un Nombre (Name) y opcionalmente un Comentario (Comment) para su
referencia.
Para Continuar:
Contine la configuracin en Definir Redes Protegidas para Sitios VPN.
Definir Redes Protegidas para Sitios VPN

Las direcciones IP configuradas para un Sitio definen las direcciones que pueden
comunicarse a travs del tnel VPN (el dominio de encriptacin de cada pasarela). Si el
trfico en el tnel est sujeto a NAT, debe aadir las direcciones NAT al Sitio. En las
Pasarelas Ainternas, las direcciones NAT deben aadirse a las direcciones IP no
trasladadas. Los Sitios de Pasarelas Externas slo requieren el espacio de direcciones
trasladadas que la Pasarela Interna ve realmente..
Las definiciones de Sitios local y remota deben coincidir en la informacin de las otras
pasarelas involucradas en la VPN ya que las pasarelas verifican esta informacin. Tenga en
cuenta que tambin puede ser diferente si las direcciones se introducen como direcciones IP
individuales, rangos de direcciones o redes.
Nota Las definiciones de Sitios se aplican globalmente a cada VPN donde se usa la
Pasarela, a menos que ajuste esto especficamente en las opciones del Sitio de la VPN.
Para aadir redes a un elemento Sitio

1. Compruebe que est en la pestaa General de las propiedades del elemento Sitio.
2. Seleccione los elementos que representan las direcciones IP protegidas tras la
Pasarela en el panel izquierdo y pulse Add (Aadir) para incluirlos en este Sitio.
Las direcciones fuera de las redes locales de la Pasarela generalmente no deberan
ser incluidas en el Sitio en la mayora de configuraciones. No hay necesidad de incluir
la direccin IP propia de la Pasarela en los Sitios, pero normalmente no hay necesidad
de excluir esas direcciones si estn en redes que se aaden al Sitio.
Los rangos de direcciones IP pueden ser interpretados de forma diferente de listas de
direcciones IP y redes dependiendo del dispositivo VPN. Tenga en cuenta que
StoneGate convierte los elementos Grupo o Expresin en rangos de direcciones, redes
o direcciones IP individuales dependiendo de las direcciones IP incluidas. Otros
dispositivos pueden trata los mismos tipos de valore de forma diferente.
Si ha editado una VPN previamente configurada, refresque la poltica en todas las pasarelas
afectadas para transferir los cambios, pero asegrese de que la configuracin de cualquier
pasarela VPN externa tambin contiene la misma informacin de direcciones IP.
Para Continuar:
Contine la configuracin del Sitio en Ajustar Opciones de Sitio Especficas de la VPN.
Ajustar Opciones de Sitio Especficas de la VPN

Los elementos Sitio le permiten ajustar cmo se usa el Sitio en cada VPN.
Para ajustar las referencias VPN de un Sitio

1. En las propiedades del elemento Sitio, cambie a la pestaa VPN References
(Referencias VPN).
2. En la tabla, seleccione/deseleccione la opcin Enable (Activar) para las VPNs
existentes mostradas para incluir/excluir el Sitio de la configuracin. Cuando el Sitio
est desactivado, se mostrar en color gris.
Ejemplo Puede desactivar un Sitio que contenga direcciones trasladadas en VPNs donde no se
use NAT, o en las cuales se use un espacio de direcciones diferente para la
traslacin.
3. Seleccione el Modo (Mode) para el Sitio para cada VPN donde est activado.
Normal es el modo por defecto. selo para todos los elementos Sitio activos que no
requieran uno de los otros dos modos.
Hub es el modo usado en una Pasarela hub en el reenvo tnel-a-tnel. Los Sitios en
modo Hub contienen las direcciones IP de todas las redes que estn tras pasarelas
spoke remotas (las redes entre las cuales la Pasarela hub reenva el trfico). El Sitio
generado automticamente no puede usarse como Sitio Hub.
(Slo Pasarelas Internas) Private (Privado) es el modo usado para direcciones locales
sin trasladar usando NAT en la VPN. Debe incluir las direcciones IP trasladadas (las
direcciones que ve el otro extremo) como un elemento Sitio en modo Normal en estos
tipos de VPNs. Si NAt est desactivado en la VPN, cualquier Sitio en modo Private se
ignora.
Para Continuar:
Aada todos los elementos Sitio y Pasarela necesarios, y luego configure un nuevo
grupo de opciones IPsec segn se explica en Definir Perfiles de VPN (pag. 734) o
configure la VPN con un conjunto existente de opciones segn se explica en Definir
un Elemento VPN (pag. 742).
Desactivar Temporalmente un Sitio VPN en Todas las VPNs

Estas instrucciones son para desactivar un Sitio que ha sido aadido manualmente a la
Pasarela. El Sitio se desactiva globalmente en todas las VPNs. Para desactivar el Sitio
automtico para una Pasarela Interna, vea Desactivar/Reactivar la Gestin del Sitio VPN
Automtico (pag. 730).
Para desactivar un elemento Sitio globalmente

1. Abra las propiedades del elemento Pasarela y cambie a la pestaa Sites (Sitios).
2. Pulse botn derecho sobre el Sitio (el elemento de mximo nivel) y elija Disable
(Desactivar). El sitio se pondr en gris para indicar que est desactivado en todas las
VPNs donde se use esta Pasarela.
Si ha editado una VPN configurada previamente, refresque la poltica en todas las pasarelas
afectadas para transferir los cambios. Las configuraciones de las Pasarelas externas tambin
pueden requerir una actualizacin.
Para Continuar:
Debe haber al menos un Sitio activo. Para aadir un nuevo Sitio, vea Aadir un
Nuevo Sitio VPN (pag. 731).
Para continuar sin modificar los Sitios, proceda segn se explica en la Seccin Para
Continuar en Definir Redes Protegidas para Sitios VPN (pag. 732).
Tareas Relacionadas
Definir Redes Protegidas para Sitios VPN (pag. 732)
Definir la Topologa de la VPN (pag. 744)
Eliminar un Sitio Permanentemente de Todas las VPNs

Estas instrucciones on para eliminar un Sitio que se ha aadido manualmente a la Pasarela.
El Sitio se elimina de todas las VPNs donde se use la Pasarela. Para eliminar el Sitio
automtico de una Pasarela Interna, Desactivar/Reactivar la Gestin del Sitio VPN
Automtico (pag. 730).
Para elminar un elemento Sitio de un elemento Pasarela
1. Abra las propiedades del elemento Pasarela y cambie a la pestaa Sites (Sitios).
2. Pulse botn derecho sobre el Sitio y elija Remove (Eliminar). El Sitio se elimina de esta
Pasarela y de todas las VPNs.
Si ha editado una VPN configurada previamente, refresque la poltica en todas las pasarelas
afectadas para transferir los cambios. Las configuraciones de las Pasarelas externas
tambin pueden requerir una actualizacin.
Definir Perfiles de VPN

Cada VPN se refiere a un Perfil de VPN. El Perfil de VPN es el punto principal de

configuracin para las opciones de comprobacin de integridad, autenticacin y cifrado de
una VPN IPsec. El Perfil de VPN tambin contiene algunas opciones para clientes VPN.
Varias VPNs pueden usar el mismo Perfil de VPN. Hay perfiles prefeinidos en el sistema,
que son especialmente tiles para VPNs entre Pasarelas internas. Las VPNs Cliente-a-
pasarela normalmente requieren un perfil a medida.
Para Continuar:
Para crear un nuevo Perfil de VPN, continue en Crear un Nuevo Perfil de VPN (pag.
734).
Para modificar un perfil a medida existente, contine en Modificar un Perfil de VPN
Existente (pag. 735).
Si quiere usar un Perfil de VPN existente sin editarlo, contine en Definir un Elemento
VPN (pag. 742).
Crear un Nuevo Perfil de VPN

Para crear un nuevo Perfil de VPN
Ilustracin 280: Perfiles de VPN en el rbol de Elementos
3

elementos.
3. Pulse botn derecho sobre VPN Profiles (Perfiles de VPN) y seleccione New VPN
Profile (Nuevo Perfil de VPN). Se abrir el dilogo de Propiedades del Perfil de VPN.
4. Proporcione un Nombre (Name) para el perfil y opcionalmente un Comentario
(Comment).
Para Continuar:
Contine en Definir Opciones de IKE (Fase 1) para una VPN (pag. 735).
Modificar un Perfil de VPN Existente

Antes de editar un Perfil de VPN que se usa en VPNs activas, se recomienda hacer una
copia de seguridad de las opciones (duplicando el elemento, exportndolo o creando una
copia de seguridad del Management Server). Tras editar el Perfil de VPN usado en VPNs
activas, compruebe todas las VPNs que usen el perfil en bsqueda de posibles problemas
cuasados por los cambios.
Para modificar un Perfil de VPN

2. Expanda la rama Other ElementsProfilesVPN Profiles (Otros
ElementosPerfilesPerfiles de VPN) en el rbol de elementos.
3. Haga doble click sobre el perfil que desea editar. Se abrir el dilogo de Propiedades de
Perfil de VPN.
4. (Opcional) Cambie el Nombre (Name) del perfil y el Comentario (Comment) opcional. Si
cambia el nombre, se cambiar en todas las configuraciones sin necesidad de otras
acciones.
5. Edite las dems propiedades segn se indica en las secciones listadas ms abajo.
Para Continuar:
Definir Opciones de IKE (Fase 1) para una VPN (pag. 735)
Definir Opciones de IPsec (Fase 2) para una VPN (pag. 737)
Definir Opciones de Cliente VPN (pag. 740)
Definir CAs de Confianza para una VPN (pag. 742)
Definir Opciones de IKE (Fase 1) para una VPN

Las opciones que elija deben equilibrar rendimiento y seguridad. Un mayor nivel de
seguridad generalmente requiere ms capacidad de proceso. Si hay pasarelas externas
involucradas, debe asegurarse de que todas las opciones coincidan entre las pasarelas.
Para definir las opciones de IKE (Fase 1) para una VPN

1. Cambie a la pestaa IKE (Phase 1) en el dilogo de Propiedades del Perfil de VPN.
Ilustracin 281: Propiedades del Perfil de VPN - IKE (Phase 1)
2. Seleccione los Algoritmos de Cifrado (Cipher Algorithms) (mtodo de cifrado) a usar

en la VPN. Le recomendamos que limite la seleccin a las mnimas opciones posibles,
preferiblemente slo una. Si elige mltiples opciones, se envan mltiples propuestas en
4
las negociaciones IKE .
Elija los mtodos de cauerdo con sus requisitos y los algoritmos soportados por las
pasarelas. Considere lo sensible de la informacin transferida y cualquier regulacin
que deba cumplir.
No seleccione la opcin DES a menos que sea imprescindible, DES no se considera
seguro, dado que es relativamente fcil romper el cifrado DES con los ordenadores
modernos.
3DES (Triple-DES) tiene una sobrecarga relativamente alta comparado con otros
cuando se requiere un throughput alto.
3. Seleccione el algoritmo Message Digest Algorithm (mtodo de comprobacin de
integridad) a usar en la VPN. Se recomienda que seleccione slo una de estas
opciones si no tiene una razn especfica para seleccionar ms.
4. Seleccione el Grupo Diffie-Hellman Group (para intercambio de claves) a usar en la
VPN. Le recomendamos que seleccione 2 (1024 bits) o 5 (1536 bits). El Grupo 1 no es
una opcin segura en todas las configuraciones.
5. Seleccione el Mtodo de Autenticacin (Authentication Method):
Las Firmas DSS (DSS Signatures) y RSS (RSS Signatures) usan certificados para la
autenticacin y requieren que cada Pasarela tenga un certificado vlido.
La Clave Precompartida (Pre-Shared Key) requiere que cambie peridicamente las
claves pre-compartidas para cada tnel en los elementos VPN para ser segura.
Nota El mtodo de autenticacin que seleccione aqu se usar para VPNs pasarela-a-
pasarela. Las VPNs cliente-a-pasarela tienen opciones separadas en la pestaa VPN
Client (Cliente VPN).
4
La versin rusa del producto no dispone de algoritmos de cifrado fuertes.
6. Ajuste SA Lifetime (Tiempo de Vida de la SA) de IKE Fase 1 si tiene una necesidad
particular de hacerlo. El tiempo de vida por defecto es de 120 minutos.
Esta opcin afecta a los tneles que tienen trfico continuamente. Los tneles que no
se usan se cierran tras un corto retardo independientemente del tiempo establecido en
esta opcin.
Si la VPN se usa continuamente y el tiempo de vida pasa, las negociaciones de Fase 1
se producen de nuevo.
Las renegociaciones mejoran la seguridad, pero pueden requerir mucho proceso, y a
veces causar ligeros retardos en las comunicaciones.
Hay una opcin separada para el tiempo de vida de la Fase 2 en la pestaa IPsec (Phase
2). El tiempo de vida de la Fase 1 debe ser ms largo que el de la Fase 2.
7. Seleccione el Modo de Negociacin (Negotiation Mode):
Modo Descripcin
El modo de negociacin Main (Principal Recomendado) protege la informacin de

Main
identidad de las Pasarelas de forma que terceros maliciosos no puedan conseguir
(Principal)
informacin sobre la identidad de la Pasarela lanzando negociaciones IKE con ella.
El modo de negociacin agresivo se salta determinados pasos incluidos en el modo
main, resultando en negociaciones algo ms rpidas. Por razones de seguridad, se
recomienda no usar el modo de negociacin agresivo si se usan claves precompartidas
Aggressive
para la autenticacin.
(Agresivo)
Sebe seleccionar el modo agresivo para VPNs que involucren una pasarela con
direccin IP dinmica. En este caso, le recomendamos que use certificados para la
autenticacin en lugar de claves precompartidas.
Para Continuar:
Contine en Definir Opciones de IPsec (Fase 2) para una VPN (pag. 737).
Definir Opciones de IPsec (Fase 2) para una VPN

Las opciones que elija deben equilibrar rendimiento y seguridad. Un mayor nivel de
seguridad generalmente requiere ms capacidad de proceso. Si hay pasarelas externas
involucradas, debe asegurarse de que todas las opciones coincidan entre las pasarelas.
Para definir las Opciones de IPsec (Fase 2) para una VPN

1. Cambie a la pestaa IPsec (Phase 2) en el dilogo de Propiedades del Perfil de VPN.
Ilustracin 282: Propiedades del perfil de VPN - IPsec (Phase 2)
2. Seleccione el Tipo IPsec (IPsec Type):

La opcin recomendada es ESP (las comunicaciones se cifran).
En la mayora de los casos, AH no es una opcin vlida. La opcin AH desactiva el
cifrado para la VPN, exponiendo totalmente todo el trfico que usa la VPN a cualquiera
que lo intercepte en trnsito. Puede usar AH para autenticar y comprobar la integridad
de las comunicaciones sin cifrarlas.
3. Seleccione los Algoritmos de Cifrado (Cipher Algorithms) (mtodo de cifrado) a usar
en la VPN. Se recomienda que limite la seleccin a las menos opciones posibles,
5
preferiblemente slo una .
Elija los mtodos de acuerdo con sus requisitos y los algoritmos sopodrtados por las
pasarelas. Considere los ensible de la informacin transferida y cualquier regulacin
que deba cumplir.
No seleccione la opcin Null (Ninguno) a menos que desee desactivar el cifrado. Esta
opcin expone totalmente todo el trfico que usa la VPN a cualquiera que lo intercepte
en trnsito. Puede usar cifrado Null para autenticar y comprobar la integridad de las
comunicaciones sin cifrarlas.
No seleccione la opcin DES a menos que sea requerido. DES no se considera ya
seguro, puesto que es relativamente fcil romper el cifrado DES con los ordenadores
modernos.
3DES (Triple-DES) tiene una sobrecarga relativamente alta comparado con otros
cuando se requiere un throughput alto.
4. Seleccione el algoritmo Message Digest Algorithms (mtodo de comprobacin de
integridad) a usar en la VPN. Se recomienda que seleccione slo una de estas
opciones si no tiene una razn especfica para seleccionar ms.
5
La versin rusa del producto no incluye algortimos de cifrado fuerte.
5. Seleccione el Algoritmo de Compresin (Compression Algorithm) a usar en la VPN:

Deflate (no soportado en las versiones 4.2 y 4.3 del Cortafuegos/VPN) comprime los datos
para reducir el uso de ancho de banda en enlaces congestionados. Esto requiere de
recursos de proceso y memoria, incrementndose la latencia. La latencia puede aumentar
tambin para el trfico no-VPN. No seleccione esta opcin si el uso de recursos es muy
alto previamente. Las Pasarelas en ambos extremos de cada tnel deben soportar esta
opcin.
None (Ninguno recomendado para la mayora de entornos) enva los datos sin
comprimirlos. Proporciona mejor rendimiento cuando la congestin de ancho de banda
para el trfico VPN no es un problema constante o si la carga de proceso previa ya es alta.
Es la nica opcin soportada en las versione 4.2 y 4.3 del Cortafuegos/VPN.
6. (Opcional) Ajuste el Tiempo de Vida del Tnel IPsec (IPsec Tunnel Lifetime) si tiene una
necesidad particular para hacerlo. El tiempo por defecto es 30 minutos sin lmite en los
datos transferidos.
Alcanzar cualquiera de los lmites lanza nuevas negociaciones de Fase 2, que deben
ocurrir a intervalos regulares en aras de la seguridad.
Esta opcin afecta a tneles que llevan trfico constantemente. Los tneles no usados se
cierran al cabo de un corto retardo independientemente del valor aqu establecido.
Las negociaciones de Fase 2 son ms ligeras en carga de proceso que las de Fase 1, pero
an as requieren algo de proceso. Renegociaciones demasiado frecuentes pueden reducir
el rednimiento a niveles inacpetables.
Hay una opcin separada para el tiempo de vida de la Fase 1 en la pestaa IKE (Phase 1).
El tiempo de vida de Fase 1 debe ser superior al de Fase 2.
7. Seleccione la Granularidad de Asociacin de Seguridad (Security Association
Granularity) para el trfico VPN. Las SAs IPsec pueden crearse para cada erd IP o host
que se comunique.
SA per Net (SA por Red) crea una asociacin de seguridad (SA) para cada red desde la
que se realicen conexiones a travs de la VPN. Esta opcin reduce la sobrecarga cuando
hay gran nmero de hosts estableciendo conexiones a travs de la VPN.
SA per Host (SA por Host) crea una SA para cada host que abre conexiones a travs de la
VPN. Esta opcin puede proporcionar un mejor balanceo de carga en clsters qie la opcin Per
Net, per aumenta la sobrecarga, puesto que Per Host normalmente requiere que se negocien
ms SAs.
8. (Opcional) Seleccione Use PFS with Diffie-Hellman Group para usar Perfect Forward
Secrecy (PFS) y seleccione el Grupo Diffie-Hellman que quiere usar con PFS.
Cuando usa esta opcin, las pasarelas calculan valores completamente nuevos para las
negociaciones de claves cuando ernegocian las SAs en lugar de derivarlos del material de
claves previamente negociadas. Esto incrementa la seguridad si se compromete una clave.
Se recomienda usar Group 2 (1024 bits) o Group 5 (1536 bits).
9. (Opcional) Seleccione Disable Anti-Replay Window (Desactivar Ventana Anti-Repeticin)
si tiene una necesidad especfica para hacerlo.
La funcionalidad de anti-repeticin proporciona proteccin contra ataques en los cuales los
pauqetes son repetidos. Cuando la ventana anti-repeticin est activada, la pasarela
mantiene un seguimiento de los nmeros de scuencia de los paquetes que llegan, y
descarta cualquier paquete cuyo nmero coincida con el de uno anterior.
Normalmente se recomienda dejar activada la ventana anti-repeticin. De todos modos, si
usa QoS y se aplica QoS al trfico ESP/AH, algunos de los paquetes ESP (par la misma
SA) pueden retrasarse debido a la clasificacin y llegar al destino tan tarde que la ventana
antirepeticin se haya movido demasiado lejos. Esto causa que los paquetes se descarten.
En este caso, puede ser necesario desactivar la ventana anti-repeticin.
10. (Opcional) Seleccione Disable Path MTU Discovery (Desactivar Descubrimiento de

MTU del Path) para evitar que la pasarela enve mensajes ICMP Fragmentation
needed (Fragmentacin necesaria) al origen cuando el tamao de paquete (incluyendo
las cabeceras aadidas para IPsec) excede los 1500 bytes del estndar de Ethernet.
Si esta opcin est seleccionada, los paquetes pueden ser fragmentados para su
transporte a travs de la VPN y reconstruidos en la pasarela receptora.
Seleccionar esta opcin puede ser necesario si los mensajes ICMP no alcanzan la otra
pasarela o la otra pasarela no reacciona a ellos correctamente.
Para Continuar:
Si este perfil se usa para VPNs cliente-a-pasarela, contine en Definir Opciones de
Cliente VPN (pag. 740).
Si usa certificados para la autenticacin y quiere restringir las autoridades de
certificacin de confianza, contine en Definir CAs de Confianza para una VPN (page
742).
En otro caso, pulse OK y contine en Definir un Elemento VPN (pag. 742).
Definir Opciones de Cliente VPN

Las opciones del Cliente VPN se seleccionan en la pestaa VPN Client en los Perfiles de
VPN. Estas opciones afectana atodas las conexiones de Clientes VPN y tienen precedencia
sobre cualquier otra opcin que se solape en otras pestaas.
Para definir las Opciones de Cliente VPN

1. Cambie a la pestaa VPN Client en el dilogo de Propiedades de Perfil de VPN.
Ilustracin 283: Propiedades de Perfil de VPN - VPN Client
2. Seleccione el Mtodo de Autenticacin (Authentication Method) para la autenticacin

basada en certificados.
Esta opcin siempre se usa para los certificados de Pasarela para las Pasarelas
inclucradas en VPNs cliente-a-pasarela, y si se usa la autenticacin con certificados,
tambin para el cliente.
La autenticacin con certificados no necesita una activacin separada. De todos
modos, deber configurar la autoridad emisora separadamente como fiable y deber
crear certificados para los clientes VPN en un proceso manual.
3. (Opcional, slo Clientes VPN StoneGate) Seleccione Hybrid Authentication

(Autenticacin Hbrida) si quiere permitir a los usuarios del Cliente VPN IPsec
StoneGate autenticarse rellenando una combinacin usuario/contrasea o un esquema
de autenticacin similar proporcionado por un servidor de autenticacin externo. La
pasarela an se autenticar ante los clientes usando un certificado.
4. (Opcional, slo autenticacin con certificados) Seleccione Allow CN Authentication
(Permitir Autenticacin con CN) para permitir el uso del common name de los
certificados para la autenticacin. El CN se comprueba contra un valor introducido en
elos elementos Usuario.
5. (Opcional) Seleccione Allow Pre-Shared Key Authentication (Permitir Autenticacin
con Clasves Pre-compartidas) si tiene clientes VPN de terceros que usan una clave pre-
compartida para autenticar los clientes VPN y la pasarela. La clave pre-compartida se
define a nivel de tnel VPN en las propiedades de la VPN. Los clientes Stonegate no
soportan este mtodo.
Precaucin La opcin de clave pre-compartida requiere negociaciones IKE en modo

agresivo en la VPN cliente-a-pasarela. En modo agresivo, la informacin de usuario no
se protege; se recomienda que tome precauciones como no usar el mismo nombre de
usuario que tienen los usuarios cuando acceden a otros servicios de la red interna.
6. Seleccione la Granularidad de la Asociacin de Seguridad (Security Association

Granularity) para el trfico VPN. El Cliente VPN IPsec StoneGate slo soporta la
opcin SA per Net.
Opcin Descripcin
Crea una asociacin de seguridad (SA) para cada rede desde la que se abren
SA per Net (SA por
conexiones a travs de la VPN. Esta opcin reduce la sobrecarga cuando hay
Red)
gran nmero de hosts abriendo conexiones a travs de la VPN.
Crea una SA para cada host que abre conexiones a travs de la VPN. Esta
opcin puede proporcionar mejor balanceo de carga en clsters que la opcin
SA per Host (SA por
Per Net si hay muchos clientes conectndose desde la misma red, pero
Host)
aumenta la sobrecarga significativamente si hay conexiones desde muchas
direcciones IP.
Allow SA to Any Selecciones esta opcin junto con SA per Net para soportar tanto Clientes VPN
Network (Permitir SA IPsec StoneGate como Clientes VPN de terceros que slo soporten SAs
a Cualquier Red) negociadas por Host.
7. (Opcional) Active cualquier combinacin de Comprobaciones Bsicas de Seguridad

(Local Security Checks) para Clientes VPN IPsec StoneGate versin 5.0 o superior.
Activar estas opciones no afecta a versiones anteriores de Clientes VPN IPsec
StoneGate o clientes de terceros; sus conexiones se permiten como de costumbre.
Los tipos seleccionados de software de seguridad externo deben estar opercionales
segn se informa por el Centro de Seguridad (Security Center) de Windows en el
ordenador cliente; en otro caso, el intento de conexin fallar. La comprobacin se
realiza tras una autenticacin correcta del usuario.
Todas las comprobaciones de seguridad de cliente son slo sobre el estado
(activo/inactivo) del software de seguridad externo; las comprobaciones no incluyen el
estado de las actualizaciones de definiciones de virus o si se ha instalado alguna
actualizacin de Windows.
Si la comprobacin de seguridad falla, el Cliente VPN IPsec notifica al usuario sobre
cules de ellas han fallado en un mensaje en la Barra de tareas de Windows.
Para Continuar:
Si usa certificados para la autenticacin y quiere restringir las autoridades de
certificacin confiables, siga en Definir CAs de Confianza para una VPN (page 742).
En otro caso, pulse OK y contine en Definir un Elemento VPN (pag. 742).
Definir CAs de Confianza para una VPN

Si quiere usar certificados firmados por una CA (Autoridad de Certificacin) en particular,
debe definir la CA como un elemento en el sistema. Por defecto, todas las CAs de VPN
definidas en el sistema se consideran confiables, pero puede restringir el uso de CAs de
confianza para VPNs particulares segn se detalla aqu.
Alternativamente (o adicionalmente) puede restringir las CAs de confianza tambin en los
elementos Pasarelas. Si restringe las CAs de confianza tanto en la Pasarela como en el
Perfil de VPN, asegrese de que dos Pasarelas cualesquiera que formen un tnel VPN
tienen una CA comnpara confiar tras aplicar todas las restricciones definidas (esto tambin
se valida automticamente).
Para definir Autoridades de Certificacin de confianza

1. Cambie a la pestaa Certificate Authorities (Autoridades de Certificacin) en el
dilogo de Propiedades del Perfil de VPN.
2. Seleccione la opcin Trust Only Selected (Confiar Slo en las Seleccionadas) para
restringir las CAs de confianza y activar los controles de abajo.
3. Seleccione las CAs que quiere que se consideren confiables en las VPNs que usen
este perfil.
4. Pulse OK.
Para Continuar:
Contine en Definir un Elemento VPN.
Definir un Elemento VPN

Prerrequisitos: Definir Pasarelas de Seguridad
El elemento VPN agrupa un conjunto de otros elementos relacionados con VPNs para definir
las opciones de una instancia de VPN en particular. La configuracin principal para la VPN
consiste en definir qu Pasarelas estn en la VPN y cul de las Pasarelas forma tneles con
el resto. Aqu es tambin donde puede introducir y renovar claves pre-compartidas si las usa
para autenticacin en esta VPN.
Considere lo siguiente cuando cree nuevos elementos VPN:
Compruebe si puede usar un elemento VPN existente. La mayora de las opciones
pueden establecerse individualmente para cada par pasarela-a-pasarela incluso dentro de
una nica VPN. El Perfil de VPN, clave pre-compartida y las opciones de Multi-Link
pueden seleccionarse separadamente para cada tnel VPN. Las definiciones de Sitios son
la nica gran excepcin a esta regla; los Sitios de cada Pasarela son fijos detro de cada
elemento VPN.
No debe haber tneles duplicados (dos tneles entre los mismos dos endpoints) en la
configuracin de ningn dispositivo cortafuegos/VPN. Los tneles duplicados causan un
fallo en la instalacin de la poltica. La forma ms sencilla de evitar tneles duplicados es
definir todas las VPNs entre sus pasarelas internas en el mismo elemento VPN.
Si est creando VPN con organizaciones externas, puede querer incluir slo un
subconjunto del espacio de direcciones IP interno en las definiciones de VPNs para evitar
tener que revelar todas sus direcciones IP. Cualquier caso en que las definiciones de
Sitios deban ser diferentes requiere crear elementos VPN separados.
Cuando configura el elemento VPN, la validez de la VPN se comprueba automticamente. Si
se encuentran problemas, se muestran en la vista Issues. Aunque es til en muchos casos,
la comprobacin automtica no detecta todos los problemas, especialmente en cuanto a
pasarelas externas o interferencias entre varios elementos VPN separados.
Para Continuar:
Para aadir una nueva VPN al sistema, vea Crear un Nuevo Elemento VPN (pag. 743).
Para modificar los contenidos de un elemento VPN predefinidio o a medida existente,
vea Modificar un Elemento VPN Existente (pag. 744).
Crear un Nuevo Elemento VPN

La configuracin de un nuevo elemento VPN tiene dos etapas: primero se definen algunas
propiedades bsicas para el elemento segn se explica aqu, y despus puede proceder a
poblar el elemento con Pasarelas y ajustar los tneles en la vista de edicin de VPNs.
Para crear un nuevo elemento VPN

Configuracin de VPNs.
2. Pulse botn derecho en la rama VPNs en el rbol y seleccione New VPN (Nueva VPN).
Se abrir el dilogo de Propiedades de VPN.
3. Introduzca el Nombre (Name) y opcionalmente un Comentario (Comment) para el

elemento VPN.
4. Seleccione el Perfil de VPN (VPN Profile) que quiera usar como perfil por defecto
dentro de esta VPN. Por defecto, este perfil se usar para todos los tneles, pero puede
modificar esta seleccin para tneles individuales.
5. (Opcional) Seleccione Apply NAT Rules to Traffic That Uses This VPN (Aplicar
Reglas de NAT al Trfico Que Use Esta VPN) si quiere que las reglas de NAT en la
poltica del Cortafuegos/VPN se apliquen al trfico que enva o recibe de la VPN, o si
quiere usar la funcionalidad de NAT Pool para trasladar las conexiones de los Clientes
VPN.
La opcin afecta al trfico que se transporta dentro de los tneles.
Esta opci no afecta a las negociaciones de los tneles o los paquetes cifrados entre
las pasarelas. Estas comunicaciones siempre se comprueban contra las reglas de NAT.
6. Pulse OK. La VPN se abre en la vista de edicin.
Para Continuar:
Contine en Definir la Topologa de la VPN (pag. 744).
Modificar un Elemento VPN Existente

El elemento VPN puede ser configurado de dos formas: las propiedades bsicas para el
elemento incluyendo el Perfil de VPN y una opcin de NAT se definen en las propiedades del
elemento VPN. Todas las dems opciones, incluyendo las Pasarelas, Sitios y tneles
incluidos, se configuran en la vista de edicin de VPNs.
Para modificar un elemento VPN existente
2. Expanda la rama VPNs en el rbol de elementos.
3. Abra la vista correcta para las opciones que quiera editar:
Para editar las propiedades bsicas, pulse botn derecho en el elemento VPN y
seleccione Properties (Propiedades). Vea las explicaciones en Crear un Nuevo
Elemento VPN (pag. 743) si necesita ayuda con las opciones. Note que necesitar abrir
la vista de edicin manualmente (vea ms abjo) tras cambiar las opciones bsicas si es
necesario. la vista de edicin no se abre automticamente en este caso.
Para ajustar las dems opciones, pulse botn derecho sobre el elemento VPN y elija
Edit (Editar). Contine la configuracin en Definir la Topologa de la VPN (pag. 744) o
Definir Opciones del Tnel VPN (pag. 746) segn las opciones que quiera cambiar.
Definir la Topologa de la VPN

La vista de edicin del elemento VPN tiene dos pestaas. La seleccin de Pasarela en la
pestaa Overall Topology (Topologa Global) determina qu Pasarelas se incluyen en la
VPN, cul de ellas forma tneles con las dems, y qu pasarelas contactan a las dems a
travs de una pasarela hub en lugar de contactar directamente. La topologa general de la
VPN se define clasificando a las Pasarelas como Central o Satellite (Satlite). Esta
clasificacin define qu tneles se generan en la pestaa Tneles (Tunnels), en la cual
puede desactivar adems cualquier tnel innecesario que se genere.
Para una VPN vlida, debe tener al menos dos Pasarelas incluidas en la VPN y al menos
una de las Pasarelas debe estar listada como Pasarelas Central. El panel de Pasarelas
Satlite puede dejarse vaco (para una topologa full-mesh).
Las reglas de Acceso IPv4 controlan qu conexiones usan los tneles VPN. Recuerde
siempre comprobar las reglas de Acceso tras aadir o eliminar tneles.
Nota Cada tnel endpoint-a-endpoint puede existir slo en una VPN activa. Si usa los
mismos dos elementos Pasarela en ms de una VPN, asegrese de que la topologa no
crea tneles duplicados y/o desactive cualquier duplicado de tneles existente en la
pestaa Tunnels.
Para definir la topologa de la VPN

1. Compruebe que tiene activa la pestaa Overall Topology en el elemento VPN en
modo de edicin (vea Modificar un Elemento VPN Existente (pag, 744) para
instrucciones cobre cmo abrir la VPN en modo de edicin).
Ilustracin 285: Vista de Edicin de VPNs - Topologa Global
2. Arrastre y suelte las Pasarelas que quiera incluir en esta VPN en uno de los dos paneles
para la topologa VPN.
Si aade una Pasarela bajo Central Gateways (Pasarelas Centrales), la Pasarela
puede establecer un tnel con cualquier Pasarela de la VPN y la pestaa Tunnels
estar poblada con tneles entre los endpoints de la Pasarela que aada y los
endpoints de todas las otras Pasarelas en la VPN.
Si aade una Pasarela bajo Satellite Gateways (Pasarelas Satlite), la Pasarela puede
establecer una VPN slo con las Pasarelas Centrales en esta VPN y la pestaa
Tunnels estar poblada con tneles entre los endpoints de la Pasarela que aada y los
de las Pasarelas Centrales.
El panel Issues (Problemas) le alerta de cualquier opcin incompatible o no establecida
que deba corregur.
Nota Tenga cuidado de no soltar inintencionadamente Pasarelas sobre otras

Pasarelas. Esto indica una relacin de reenvo en una pasarela hub (vea a continuacin).
3. (Opcional) Si quiere reenviar algunas conexiones de un tnel VPN a otro a travs de

una pasarela hub, arrastre y suelte una Pasarela sobre otra Pasarela. La pasarela se
aade bajo la otra pasarela al mismo nivel que los Sitios.
El soporte completo de esta funcionalidad requiere que la pasarela hub est ejecutando
la versin 5.0 o superior del cortafuegos/VPN.
Vea Configuracin 4: VPN Hub Bsico (pag. 709) para un ejemplo de configuracin
VPN hub.
La Pasarela usada como hub requiere una configuracin de Sitio especial, vea Definir
Redes Protegidas para Sitios VPN (pag. 732) y Ajustar Opciones de Sitio Especficas
de la VPN (pag. 732).
Ejemplo En una configuracin en la cual los usuarios de clientes VPN pueden conectar a redes
tanto tras la Pasarela A como la Pasarela B cuando conectan a la Pasarela A, deber
soltar la Pasarela B sobre la Pasarela A en la lista de Pasarelas Centrales y la
Pasarela Cliente en Pasarelas Satlites.
4. (Opcional) Para permitir acceso de cliente VPN dentro de esta VPN, arrastre y suelte el
elemento Pasarela IPsec Client (Cliente IPsec) a Satellite Gateways (Pasarelas
Satlite) o Central Gateways (Pasarelas Centrales).
5. (Opcional) Si quiere excluir un Sitio de una Pasarela (algunas direcciones IP) de esta
VPN, pulse botn derecho sobre el elemento Sitio bajo la Pasarela y seleccione
Disable.
Para Continuar:
Contine en Definir Opciones del Tnel VPN.
Definir Opciones del Tnel VPN

La pestaa Tunnels (Tneles) en la vista de edicin del elemento VPN le permite definir
opciones particulares para tneles individuales o desactivar completamente algunos tneles.
La topologa de la VPN (definida en la pestaa de Overall Topology) determina qu tneles
se muestran en la pestaa Tunnels.
Si una Pasarela interna tiene una configuracin VPN Multi-Link, puede seleccionar usar
tneles de respaldo o balancear activamente el trfico entre ellos. Multi-Link es una
funcionalidad especfica de StoneGate que no es parte del estndar IPsec, de forma que no
podr usar Multi-Link con pasarelas de terceros. Se pueden conseguir resultados
satisfactorios si la pasarela de terceros permite pruebas ICMP (ICMP probes), pruebas ICMP
RTT (RTT ICMP probes), y soporta DPD. Puede desactivar los tneles redundantes a la
pasarela de terceros en esta pestaa Tunnels si es necesario.
Nota Multi-Link no se soporta en pasarelas cortafuegos/VPN SOHO. Puede

seleccionar el tnel que se usa y evitar ver recordatorios sobre esto en la instalacin de
la poltica desactivando los tneles redundantes.
Aqu puede ver tambin las idenditidades de proxy (proxy identities un resumen de
direcciones y opciones que se han configurado para tneles individuales), que puede querer
comprobar especialmente cuando hay configuraciones complejas con componentes externos
(tales como una configuracin VPN hub).
Antes de modificar un elemento VPN usado en VPNs activas, se recomienda qu haga una
copia de seguridad del Management Server segn se indica en Crear Copias de Seguridad
(pag. 795).
Para definir las opciones del tnel VPN

1. Cambie a la pestaa Tunnels en un elemento VPN en modo de edicin (vea Modificar
un Elemento VPN Existente (pag. 744) para instrucciones sobre cmo abrir la VPN en
modo de edicin). Se mostrar la lista de tneles.
Ilustracin 286: Vista de Edicin de VPNs - Tneles
Si no se lista ningn tnel, vea Definir la Topologa de la VPN (pag. 744).

La lista Gateway<->Gateway muestra las conexiones entre pares de pasarelas.
La lista End-Point<->End-Point muestra las conexiones individuales que forman los
tneles en la lista Gateway<->Gateway. Puede haber varias conexiones a este nivel
para cualquier par de Pasarelas si una o ambas Pasarelas tienen mltiples endpoints
(Multi-Link). Si ambas Pasarelas tienen un nico endpoint, slo habr tambien un tnel
a este nivel para el par de Pasarelas.
Si ha establecido el reenvo de conexiones entre las Pasarelas en la pestaa Overall
Topology, el nmero de tneles generados se reduce de acuerdo con las relaciones
configuradas y las capacidades de la Pasarela que reenva el trfico. Las relaciones de

reenvo se muestran bajo Forwarding Gateways (Pasarelas de Reenvo).
2. (Opcional) Si hay tneles listados innecesarios, pulse botn derecho sobre el tnel y
seleccione Disable (Desactivar).
No se permiten tneles duplicados entr VPNs. Si alguna otra VPN ya define un tnel entre
los mismos endpoints como tnel de esta VPN, debe desactivar el tnel duplicado en una
de las VPNs.
Los Cortafuegos SOHO no soportan tneles Multi-Link y la configuracin usar
aleatoriamente uno de los tneles Multi-Link disponibles. Si quiere usar un tnel en
particular, desactive los otros tneles en el nivel End-Point<->End-Point.
3. Si utiliza claves pre-compartidas para la autenticacin con pasarelas externas, configure la
clave acordada con el otro extremo o exporte las claves que se han generado
automticamente para su uso en el otro extremo.
Para ver, cambiar o exportar la clave pre-compartida para un tnel particular, haga doble
click sobre el icono en la columna Key (clave) en la lista Gateway<->Gateway.
Esta clave pre-compartida slo se usa con dispositivos pasarela. Configure las claves pre-
compartidas para clientes VPN de terceros en los elementos Usuario (los clientes VPN
StoneGate no permiten autenticacin con clave pre-compartida).
Precauacin La clave pre-compartida debe ser larga y aleatoria para proporcionar una
VPN segura. Cmbiela peridicamente (por ejemplo, mensualmente). Asegrese de que
no es posible para extraos obtener la clave cuando la transfiere a otros dispositivos.
4. (Opcional) Cambie le Perfil VPN (VPN Profile) usado a nivel de tnel para obviar el perfil
seleccionado para el elemento VPN:
Si cambia un perfil para un tnel en la lista Gateway<->Gateway, tanto las opciones de
IKE (Fase 1) como IPsec (Fase 2) se superponen a las por defecto de la VPN.
Si cambia el perfil para un tnel en la lista End-Point<->End-Point, slo las opciones de
IPsec (Fase 2) se superponen a lo que est seleccionado para el tnel principal a nivel de
Pasarela.
5. (Opcional, no aplica a cortafuegos SOHO) Si tiene mltiples tneles entre dos Pasarelas
(configuracin Multi-Link), puede seleccionar si los tneles End-Point<->End-Point usan el
moso Active (Activo usado siempre) o Standby (En Espera usado slo cuando todos
los tneles en modo Activo son inutilizables).
Seleccione un tnel en la lista Gateway<->Gateway y pulse la columna Mode (Modo) para
los tneles que aparezcan en la lista End-Point<->End-Point para seleccionar el modo
correcto para los tneles.
Cuando hay ms de un tnel alternativo en modo Activo entre dos Pasarelas, el trfico
VPN se balaneca entre los tneles disponibles.
6. (Opcional) Revise las direcciones IP y opciones usadas en los tneles individuales
pulsando botn derecho sobre los tneles en la lista End-Point<->End-Point y
seleccionadno View Proxy Identities. Esto es especialmente til en configuraciones
complejas con componentes externos para comprobar los detalles de las direcciones IP y
otras opciones que deben coincidir con las de la configuracin externa.
7. Tras hacer todos los cambios, compruebe la columna Validity (Validez) para todos los
tneles.
Si un tnel tiene un icono de aviso en la clumna Validity, pulse botn derecho sobre el
tnel y seleccione View Issues (Ver Problemas). Debe resolver todos los problemas
indicados en los mensajes mostrados.
Si todos los tneles se muestran como vlidos, la VPN est correctamente configurada,
aunque el Management Server no puede comprobar todos los posibles problemas en este
punto, de forma que pueden mostrarse problemas adicionales en la instalacin de la
poltica. Cualquier validacin y problemas que se muestren para pasarelas externas se
basan slo en las definiciones que se han introducido manualmente en los elementos
relacionados.
8. Pulse el icono Save (Guardar) sobre las listas de tneles.

La VPN ya est configurada, pero para dirigir trfico saliente hacia la VPN y permitir trfico
entrante desde la misma, debe aadir reglas de Acceso VPN y posiblemente reglas de NAT.
Para Continuar:
Si necesita aadir una autoridad de certificacin de confianza o certificados no
generados automticamente, proceda a Empezar con Certificados de VPN (pag.
756) antes de aadir reglas de VPN.
En otro caso, contine en Crear Reglas de VPN (pag. 748).
Crear Reglas de VPN

Prerrequisitos: Definir Pasarelas de Seguridad, Definir un Elemento VPN
Las reglas de Acceso IPv4 definen qu trfico se enva a la VPN y qu trfico se permite
desde la VPN. Estas comprobaciones se hacen adems de aplicar las definiciones de Sitios
en las Pasarelas, que definen las direcciones de origen y destino permitidas para cada VPN.
Hay tres opciones para la accin de regla Use IPsec VPN (Usar VPN IPsec), que se
comportan idnticamente para conexiones originadas en la red local protegida, pero que
tienen cada una un significado especial para conexiones entrantes desde orgenes externos.
Apply VPN (Aplicar VPN) y Enforce VPN (Forzar VPN) dirigen el trfico desde las redes
locales protegidas al tnel VPN y permiten el trfico que llega desde la VPN. Sin
embargo:
Enforce VPN descarta cualquier trfico no-VPN desde las redes externas a la red
local si coincide con la regla.

Apply VPN no comprueba ningn trfico no-VPN desde las redes externas a las redes
protegidas; la comprobacin contina en la siguiente regla.
Forward (Reenviar): Dirige el trfico desde las redes locales protegidas o desde un tnel
VPN a otro tnel VPN. til para reenviar conexiones desde un tnel VPN a otro
(configuracin VPN hub) o conexiones desde redes locales a ordenadores cliente VPN
actualmente conectados.
Hay tambin una celda de comprobacin para VPN de Origen (Source VPN) en las reglas
de Acceso IPv4 del cortafuegos. La celda puede usarse para comprobar el trfico en base a
si proviene de un tnel VPN. Cuando la celda Source VPN est configurada para comprobar
VPNs, la regla slo coincide con trfico de las VPNs seleccionadas. La celda tambin puede
usarse para comprobar slo trfico no-VPN. Las reglas de Acceso que notienen una
definicin para Source VPN pueden comprobar cualquier trfico, incluyendo trfico que se
recibe a travs de una VPN. De cualquier modo, las reglas de Acceso deben contener al
menos una regla que se refiera a la VPN (en las celdas Action o Source VPN) para que
cualquiera de las opciones de VPN se incluya en la configuracin local del dispositivo.
Nota Se recomienda que active el registro de las reglas de VPN para las pruebas
iniciales aunque no piense registrar las conexiones que usan la VPN ms tarde. Las
negociaciones VPN entre pasarelas siempre se registran.
El tema se cubre en los siguientes apartados:

Crear Reglas Bsicas de VPN para Conexiones de Pasarelas (pag. 749)
Crear Reglas Bsicas para Conexiones de Clientes VPN (pag. 750)
Crear Reglas de Reenvo de VPN en Pasarelas Hub (pag. 751)
Evitar que Otras Reglas Comprueben el Trfico VPN (pag. 752)
Crear Reglas de NAT para Trfico VPN (page 752)
Crear Reglas Bsicas de VPN para Conexiones de Pasarelas

Adems del trfico que fluye por los tneles, el trfico VPN para formar y mantener los
tneles debe estar permitido en la poltica. La plantilla de poltica por defecto permite este
trfico, pero si usa una plantilla personalizada de primer nivel, asegrese de que al menos el
Servicio ISAKMP (UDP) est permitido entre las Pasarelas (puede ser necesario abrir ms
puertos si se usa encapsulado).
Para crear reglas para trfico VPN entrante pasarela-a-pasarela
1. Inserte la siguiente regla para permitir el trfico desde una nica VPN con una accin
Apply o Enforce:
Tabla 156: Regla Bsica para Permitir Trfico VPN desde una Unica VPN

Select Use IPsec VPN, then
change
Segn sea
Redes Remotas Redes Locales the Action to Apply or
necesario
Enforce and
add the VPN element.
2. (Opcional) Defina los siguientes tipos de reglas cuando quiera que la regla se cumpla en
base a si el trfico est usando una VPN:
Tabla 157: Regla para Permitir Trfico VPN Entrante desde Cualquier Nmero de VPNs Diferentes
Origen Destino Servicio Accin Source VPN

(Haga doble click en la celda para editar)
Para ignorar esta regla cuando se
procese trfico no-VPN, active la opcin
Match traffic based on source VPN
Segn Seleccione
Redes (Coincidir con el trfico en base a VPN
Redes remotas sea Allow
Locales de Origen) y aada uno o ms
necesario (Permitir)
elementos especficos VPN de acuerdo
con la procedencia del trfico. La regla
no se cumple para trfico de otros
orgenes.
Para crear reglas para el trfico VPN saliente

Inserte los siguientes tipos de regla:
Tabla 158: Regla Bsica para Trfico VPN Saliente

Seleccione Use IPsec VPN (usar
VPN IPsec) y aada el elemento VPN
Redes Locales Redes Remotas Segn sea necesario
(las acciones Apply, Enforce y
Forward son idnticas para este uso)
Nota Si las reglas de Acceso envan trfico a una VPN, pero las direcciones IP de
origen y/o destino no estn incluidas en las definiciones de Sitio, el trfico se descarta.
Este error de configuracin se muestra con tunnel selection failed en los logs.
Crear Reglas Bsicas para Conexiones de Clientes VPN

Adems del trfico que fluye a travs de los tneles, el trfico VPN para crear y mantener los
tneles debe estar permitido en la poltica. La plantilla de poltica por Defecto permite este
trfico, pero si usa una plantilla personalizada de primer nivel, asegrese de que al menos el
Servicio ISAKMP (UDP) est permitido (puede ser necesario abrira ms puertos si se usa
encapsulado) desde las direcciones que usan los hosts de clientes VPN cuando contactan
con la Pasarela (ANY o cualquier grupo de direcciones especficas conocidas). La
autenticacin de usuarios de clientes VPN tambin est permitida como parte del proceso de
establecimiento de la conexin VPN.
Para crear reglas para el trfico de cliente VPN entrantes
1. Inserte el siguiente tipo de regla para permitir peticiones DHCP desde clientes VPN a
un servidor DHCP (obligatorio para la funcionalidad de Adaptador Virtual):
Tabla 159: Regla para Permitir Peticiones DHCP para Clientes VPN

(Haga doble click en la celda para editar)
Seleccione
Active la opcin Match traffic based on
BOOTPC Jump y
source VPN (Coincidir con el trfico en
Servidor (UDP) seleccione la
ANY base a VPN de Origen). Seleccione Rule
DHCP BOOTPS sub-poltica por
matches traffic from any VPN client (La
(UDP) defecto DHCP
Regla comprueba trfico de cualquier
Relay
cliente VPN) de la lista
Nota El servidor DHCP debe ser externo al cortafuegos. El servidor DHCP interno de
un cortafuegos independiente no puede usarse para asignar direcciones a Adaptadores
Virtuales.
2. Inserte los siguientes tipos de reglas para permitir conexiones entrantes desde VPNs
con clientes VPN.
Tabla 160: Regla para Permitir Trfico Entrante desde Clientes VPN
Origen Destino Servicio Accin Usuarios Autenticacin

Espacio de
Seleccione Use (Haga doble click
Direcciones del
IPsec VPN, y sobre la celda para
Adaptador Virtual Elementos
Segn sea cambie Action a editar)
de cliente VPN o Redes Locales Usuario o grupo
necesario Apply o Enforce y Aada los Servicios
espacio de de Usuarios
aada el elemento de Autenticacin
direcciones de
VPN permitidos
NAT Pool
Cuando se usa una VPN especfica y u Servicio de Autenticacin especfico en algn

lugar de la poltica instalada (como una regla similar a la de arriba), las configuraciones
correspondientes se activan en el cortafuegos. Pero tenga en cuenta que todas las
dems reglas tambin comprueban las conexiones del usuario de cliente VPN.
Cualquier usuario conocido para el sistema que pueda autenticarse usando el mtodo
de autenticacin especificado puede conectarse con un cliente VPN. Cualquiera de
esos usuarios conectados puede entonces acceder a los recursos si hay una regla
coincidente que permita conexiones sin definir Usuarios especficos. Puede usar
tambin la celda Source VPN para evitar coincidencias no deseadas en las reglas de
Acceso.
Cuando se rellenan, las celdas Usuario y Autenticacin son iguales que Origen,
Destino y Servicio como criterios de comprobacin; la comprobacin contina desde la
siguiente regla si el Usuario y Servicio de Autenticacin definidos no coinciden con la
conexin que se est examinando. Puede, por ejemplo, definir que el mismo tiene
acceso a recursos difereentes dependiendo del mtodo de autenticacin usado.
3. (Opcional) Para permitir a hosts internos abrir conexiones hacia los ordenadores
clientes VPN cuando la VPN est activa (por ejemplo, para permitir conexiones de
escritorio remoto hacia los hosts a los administradores):
Tabla 161: Regla para Enviar Trfico a Clientes VPN

Espacio de
Seleccione Use IPsec VPN. Cambie
Direcciones del
Action a Forward, y aada un elemento
Adaptador Virtual
Segn sea especfico VPN o seleccione la opcin
Redes Locales de cliente VPN o
necesario $ Client-to-gateway IPsec VPNs para
espacio de
coincidir con cualquier conexin de
direcciones de
cliente VPN
NAT Pool
Para usar la VPN, las direcciones IP de los hosts que se conectan deben estar
incluidas en la definicin del Sitio de la Pasarela. Vea Definir Sitios para Pasarelas VPN
(pag. 729).
Recuerde aadir tambin una regla de NAT para esta direccin del trfico si se usa
NAT dentro de los tneles VPN. Vea Crear Reglas de NAT para Trfico VPN (pag.
752).
Crear Reglas de Reenvo de VPN en Pasarelas Hub

Para un ejemplo de configuracin creando un hub VPN, vea Configuracin 4: VPN Hub
Bsico (pag. 709).
Para crear reglas para reenviar el trfico VPN de un tnel a otro
Inserte el siguiente tipo de regla:
Tabla 162: Regla Bsica para Reenviar Trfico VPN

Una/varias/todas Una/varias/todas
Seleccione Use IPsec VPN, cambie
las direcciones en las direcciones en
Segn sea Action a Forward y aada el elemento
redes remotas redes remotas
necesario VPN para la VPN a la cual se reenva
(spoke) segn se (spoke) segn se
el trfico que coincida
necesite necesite
Para crear reglas para reenviar el trfico de tneles a Internet

1. Inserte el siguiente tipo de regla:
Tabla 163: Regla para Permitir Trfico Excepto si Llega a travs de VPNs

(Haga doble click en la celda para
Espacio de editar)
ANY o un
Direcciones del Active la opcin Match traffic based on
elemento
Adaptador Virtual Segn source VPN (Coincidir con el trfico en
expresin que Seleccione
de cliente VPN o sea base a VPN de Origen) y aada uno o
espacio de excluya las Allow
necesario ms elementos VPN especficos de
direcciones de redes locales
acuerdo con el origen del trfico. Esta
NAT Pool internas
regla no comprueba el trfico de otros
orgenes
2. En la mayora de los casos, las direcciones de origen son de un espacio privado y

deber aadir una regla de NAT para trasladarlas a direcciones IP enrutables
pblicamente. Asegrese de que NAT est activado en el dilogo de Propiedades de
los elementos VPN y aada una regla de NAT para el trfico VPN si no existe ya una
regla adecuada.
3. Configure la pasarela remota o los clientes VPN para reenviar todo el trfico a la VPN:
Clientes VPN: configure el servidor DHCP para asignar la Pasarela hub como pasarela
por defecto para los clientes VPN.
Cortafuegos SOHO: active la opcin Allow only traffic to VPN (Permitir slo trfico a
la VPN) en las propiedades del Cortafuegos SOHO, en la pestaa Corporate.
Pasarelas cortafuegos/VPN StoneGate: cree una regla de VPN que dirija todo el trfico
a la VPN con la pasarela hub, vea Crear Reglas Bsicas de VPN para Conexiones de
Pasarelas (pag. 749).
Nota Para que el trfico se permita hacia la VPN, la direccin IP de destino debe ser
parte de la definicin del Sitio de la Pasarela hub. Cuando reenva trfico de Internet, el
Sitio del hub debe normalmente incluir el elemento Any Network. Este Sitio puede
interferir con otras configuraciones de VPN, por lo que deber normalmente desactivarlo
en las otras VPNs. Vea Definir Redes Protegidas para Sitios VPN (pag. 732).
Evitar que Otras Reglas Comprueben el Trfico VPN

Para crear reglas que no coincidan con conexiones abiertas a travs de una VPN
Inserte el siguiente tipo de regla:
Tabla 164: Regla para Permitir Trfico Excepto si Llega a travs de VPNs

(Haga doble click en la celda para cambiar
las opciones)
Active la opcin Match traffic based on
Segn Segn
Segn sea Segn sea source VPN (Coincidir con el trfico en
sea sea
necesario necesario base a VPN de Origen). Seleccione Rule
necesario necesario
does not match traffic from any VPN (La
regla no comprueba trfico de ninguna
VPN) de la lista
Crear Reglas de NAT para Trfico VPN

Las reglas de NAT siempre se aplican a las comunicaciones de tneles VPN (las
comunicaciones cifradas que tienen a las Pasarelas como origen y destino), pero no al trfico
dentro del tnel VPN (el trfico que usa el tnel VPN). Si quiere aplicar NAT al trfico que
entra o sale del tnel VPN, debe especficamente permitir esto con una opcin en las
propiedades bsicas del elemento VPN (vea Modificar un Elemento VPN Existente (pag.
744)).
Observe las siguientes directrices:
Debe definir Stios (dominios de encriptacin) que contengan las direcciones IP
trasladadas que usan los paquetes cuando estn dentro del tnel VPN. Establezca los
Sitios que contienen las direcciones IP reales en modo Private en la VPN. Vea Ajustar
Opciones de Sitio Especficas de la VPN (pag. 732).
Ejemplo Si traslada direcciones IP de trfico entrante en la VPN, debe aadir un Sitio que incluya las
direcciones IP trasladadas a su Pasarela interna para hacer que esas direcciones sean vlidas en
la VPN. Los Sitios que contienen las direcciones internas deben estar en modo Private.
Si ha configurado traslacin de direcciones para clientes VPN en las propiedades del

elemento Cortafuegos (NAT Pool), asegrese de que sus reglas de NAT no comprueban las
comunicaciones de clientes VPN. Este es el mtodo preferido para trasladar las direcciones
de clientes VPN.
Si quiere reenviar el trfico originado en clientes VPN o cortafuegos SOHO hacia Internet,
deber tpicamente tener al menos dos reglas de NAT: la primera regla para trasladar las
direcciones IP internas a una direccin IP externa para las conexiones Internet y la segunda
regla (por encima de la primera) para conexiones a recursos internos para evitar que se
aplique el NAT o trasladar a una direccin IP interna segn sea necesario.
El orden de procesado de trfico entrante a un tnel VPN es:
Reglas de AccesoReglas de NATTnel VPN.
El orden de procesado de trfico saliente de un tnel VPN es:
(NAT Pool de Cliente VPN)Reglas de AccesoReglas de NATRed Interna.
Aparte de lo explicado ms arriba, no hay ms cuestiones especficas de VPNs con las reglas
de NAT. Como de costumbre, la primera regla de NAT que coincide se aplica a aqullas
conexiones que se comprueban contra las reglas de NAT y se ignora el resto de reglas de NAT.
Para Continuar:
Para ms instrucciones sobre editar reglas NAT, vea Editar Reglas NAT (pag. 545).
Monitorizar VPNs
Prerrequisitos: Definir Pasarelas de Seguridad, Definir un Elemento VPN, Crear Reglas de VPN
Puede monitorizar el estado actual de la VPN en la vista de Estado del Sistema. El estado
global de los elementos VPN y los tneles que contienen se muestra en el rbol de elementos
monitorizados. Vea Comprender el Estado de los Componentes (pag. 88) para ms informacin
sobre los colores usados.
El Logging para las VPNs es separado para los tneles y el trfico que usa los tneles:
Las negociaciones VPN siempre se registran (independientemente de las opciones de log en
las reglas de Acceso) como mensajes informativos. Para informacin sobre estos mensajes,
vea Leer Logs Relacionados con VPNs (pag. 912) y Mensajes de Log IPsec VPN (pag.
1005).
Hay disponible un registro ms detallado cuando activa el registro de diagnstico de IPsec
para el dispositivo cortafuegos/VPN para resolucin de problemas. Vea Activar/Desactivar los
Diagnsticos de Cortafuegos/VPN (pag. 193).
El trfico que usa los tneles VPN se registra de acuerdo con las opciones de log
configuradas para la regla que permite el trfico entrante o saliente de la VPN. Vea Definir
Opciones de Logging en Reglas de Acceso (pag. 528).
La vista de Estado del Sistema proporciona accesos directos a logs filtrados para la VPN o
Pasarelas de Seguridad especficas referenciadas en el evento de log.
Pulse botn derecho sobre una VPN en el rbol de Estado o diagrama de conectividad y
seleccione MonitoringLogs by VPN (MonitorizacinLogs por VPN).
Pulse botn derecho sobre una Pasarela de seguridad en el rbol de Estado o diagrama de
conectividad y seleccione MonitoringLogs by Security Gateway (MonitorizacinLogs
por Pasarela de Seguridad).
Pulse botn derecho en la conexin entre dos Pasarelas de Seguridad en el diagrama de
conectividad y seleccione MonitoringLogs by Security Gateways
(MonitorizacinLogs por Pasarela de Seguridad) para ver logs del trfico entre las dos
Pasarelas de Seguridad.
Los filtros de limpieza de logs que hayan sido activados en su sistema pueden borrar algunos (o
todos) de los mensajes generados.
Gestionar Certificados de VPN 755
CAPTULO 51
GESTIONAR CERTIFICADOS DE VPN
Un certificado digital es una prueba de identidad. StoneGate soporta usar

certificados para autenticar pasarelas y clientes VPN en VPNs.
Empezar con Certificados de VPN (pag. 756)

Definir una Autoridad de Certificacin de VPN (pag. 757)
Crear y Firmar Certificados de VPN (pag. 759)
Cargar Certificados de VPN Manualmente (pag. 762)
Renovar Certificados de VPN (pag. 763)
Exportar el certificado de Pasarela VPN o CA de VPN (pag. 764)
Importar un Certificado de Pasarela VPN (pag. 765)
Comprobar Cundo Expiran los Certificados de Pasarela (pag. 765)
Comprobar Cundo Expira una CA de VPN Interna (pag. 766)
Empezar con Certificados de VPN

Prerrequisitos: (Para Certificar Pasarelas internas) Definir Pasarelas de Seguridad
Qu Hacen los Certificados de VPN

Puede usar certificados para autenticacin en todos los tipos de VPNs segn se requiera.
Los certificados se emiten por una autoridad de certificacin (CA) como prueba de identidad.
Las pasarelas que forman un tnel VPN se configuran para confiar la CA que firma el
certificado de la otra pasarela. Todos los certificados emitidos por una CA de confianza se
aceptan como vlidos, de forma que los certificados pueden se flexiblemente aadidos,
renovados y cambiados sin afectar a la VPN mientras que la informacin de identidad actual
sea correcta.
Los certificados son una opcin disponible en todas las VPNs, y siempre son necesarios
para Pasarelas a las cuales se conecten Clientes VPN IPsec StoneGate. Los certificados
tambin son una opcin en el lado del cliente VPN, pero no son obligatorios.
Los certificados reducen las tareas de mantenimiento, puesto que necesitan cambiarse con
mucha meos frecuencia que las claves pre-compartidas. Todos los certificados se crean con
una fecha de expiracin, tras la cual el certificado ya no es vlido. Los certificados firmados
por la CA IPsec interna son vlidos por tres aos desde su creacin. Cuando un certificado
expira, se necesita un nuevo certificado.
Gestin de Certificados
Las tareas relacionadas con certificados en StoneGate casi siempre tienen que ver con las
Pasarelas VPN internas. Los certificados RSA pueden ser creados y renovados
automticamente, pero si se usan certificados DSA o una CA externa, se requieren algunos
pasos manuales.
Hay dos opciones para firmar los certificados de la pasarela interna:
El Management Server incluye una CA interna dedicada para firmar certificados de VPN,
la Internal IPsec CA, que se usa mediante el Management Client. Esta CA se usa en la
gestin automtica de certificados.
Puede crear peticiones de certificado en el sistema StoneGate, exportarlos, firmarlos
usando una CA externa, y luego importar el certificado firmado de vuelta en StoneGate.
La autoridad de certificacin de VPNs interna tambin puede firmar peticiones de
certificados creadas por componentes externos. Esta funcionalidad est orientada
principalmente a soportar despliegues de clientes VPN. La CA de VPN interna no le permite
cancelar certificados emitidos, as que considere hasta qu punto puede usarla para firmar
peticiones de certificados externos en su organizacin.

(Opcional) Si piensa usar certificados firmados por alguna autoridad de certificacin (CA)
externa, defina la CA en el sistema. Vea Definir una Autoridad de Certificacin de VPN (pag.
757).
Para usar un certificado firmado externamente, un certificado DSA o si la gestin automtica
de certificados est desactivada, empiece en Crear un Certificado de VPN o Peticin de
Certificado para una Pasarela Interna (pag. 759).
(Para certificados firmados externamente) Cuando el certificado est firmado, imprtelo
segn se explica en Importar un Certificado de Pasarela VPN (pag. 765).
Seleccione un Mtodo de Autenticacin (Authentication Method) en la pestaa IKE
(Phase 1) del Perfil de VPN para las VPNs. Vea Definir Opciones de IKE (Fase 1) para una
VPN (pag. 735).
Definir una Autoridad de Certificacin de VPN

Prerrequisitos: Necesita el certificado raiz (o un certificado vlido) de la autoridad de certificacin
Para que un certificado sea vlido, una Autoridad de Certificacin (CA) mutuamente confiable
debe firmar el certificado. Slo la CA de VPN interna de su sistema est configurada como de
confianza en las VPNs por defecto. Debe definir CAs adicionales en los siguientes casos:
Si crea una VPN con una pasarela externa y no quiere usar la CA de VPN interna para crear
un certificado para la pasarela externa. La pasarela externa debe tambin configurarse para
confiar en el emisor del certificado de su pasarela interna.
Si quiere usar un certificado firmado por una CA externa en una pasarela interna o un cliente
VPN.
Puede configurar la CA como de confianza importando su certificado raiz o un certificado vlido
firmado por la CA. Los certificados deben ser certificados X.509 en formato PEM (codificacin
Base64). Puede ser posible convertir entre formatos usando, por ejemplo, OpenSSL o las
herramientas de certificados incluidas en Windows.
Las CAs que puede aadir pueden ser privadas (para certificados auto-firmados) o pblicas
(emisores comerciales de certificados). Cuando define una CA como de confianza, todos los
certificados firmados por esa CA se consideran vlidos hasta su fecha de expiracin (o hasta
que expire el certificado de la CA). Opcionalmente, tambin puede configurar StoneGate para
comprobar el estado de revocacin del certificado desde listas de revocacin (CRLs) o mediante
el protocolo OCSP. La CA puede cancelar un certificado, por ejemplo, si est comprometido.
Para definir una nueva Autoridad de Certificacin
1. Seleccione ConfigurationConfigurationVPN (ConfiguracinConfiguracinVPN)
desde el men para cambiar a la vista de Configuracin de VPNs.
2. Expanda la rama Other Elements (Otros Elementos) en el rbol de elementos.
3. Pulse botn derecho sobre Certificates y seleccione New VPN Certificate Authority
(Nueva Autoridad de Certificacin de VPN). Se abrir el dilogo de Propiedades de la
Autoridad de Certificacin de VPN.
4. Escriba un Nombre (Name) para el elemento. El nombre es slo para su referencia.
Nota Todos los campos excepto Name en la pestaa General estn desactivados. Los
campos desactivados se rellenan siempre automticamente en base a la informacin
contenida en el certificado que importe y no pueden cambiarse (la informacin se
muestra cuando cierra y reabre el elemento tras importar el certificado).
5. Cambie a la pestaa Certificate y haga una de las dos acciones siguientes:

Pulse el botn Import e importe un fichero de certificado.
Copie y pegue la informacin en el campo de la pestaa (incluyendo la cabecera Begin
Certificate y el pie End Certificate).
Tip La informacin del certificado para muchas autoridades de certificacin pblicas puede ser copiada y
pegada desde los elementos Trusted Certification Authority (Autoridad de certificacin de Confianza)
en la vista de Configuracin del Cortafuegos bajo Other ElementsFirewall Properties (Otros
ElementosPropiedades del Cortafuegos) (estos elementos se usan por la funcionalidad de
inspeccin de HTTPS).
Ilustracin 287: Propiedades de la Autoridad de Certificacin - Pestaa Certificate
6. (Opcional) Si quiere que los dispositivos cortafuegos/VPN comprueben el estado de

revocacin de los certificados firmados por esta CA, cambie a la pestaa Validation y
seleccione las opciones como sigue:
Seleccione la opcin Check Validity on Certificate-Specified CRLs (Comprobar
Validez en CRLs Especificados por los Certificados) para activar las CRLS para la
comprobacin del estado de los certificados.
Seleccione la opcin Check Validity on Certificate-Specified OCSP Servers
(Comprobar Validez en Servidores OCSP Especificados por los Certificados) para
activar OCSP para la comprobacin del estado de los certificados.
7. (Opcional) Para definir ms servidores de CRLs a comprobar adems de los definidos
en los certificados, pulse el botn Add (Aadir) correspondiente y seleccione:
LDAP Server Element (Elemento Servidor LDAP) para elegir un elemento existente
Manual LDAP Server Address (Direccin Manual de Servidor LDAP) para escribir la
direccin en el dilogo que se abre.
Ejemplo ldap://ejemplo.com:389
8. (Opcional) Para definir ms servidores de OCSP a comprobar adems de los definidos

en los certificados, pulse el botn Add (Aadir) correspondiente y seleccione.
Ejemplo http://ocsp.ejemplo.com
Precaucin Cuando se define la comprobacin de certificados, todos los certificados

firmados por la CA se consideran invlidos si la comprobacin de validez no puede
realizarse (por ejemplo debido a una direccin incorrecta o problemas de conexin).
9. Pulse OK. Si ve un error de certificado invlido, el certificado que ha importado puede

estar en un formato no soportado. Intente convertirlo a un certificado X.509 en formato
PEM (codificacin Base64) usando OpenSSL o las herramientas de certificados
incluidas en Windows.
Si usa la plantilla de poltica por Defecto, las conexiones tanto LDAP (puerto 389) como
HTTP (puerto 80) desde el dispositivo estn permitidas. Si su cortafuegos o la configuracin
del servidor difiere de estas definiciones estndar, edite la poltica del cortafuegos para
permitir las coneciones necesarias desde los dispositivos.
Puede definir varios servidores de Autoridad de Certificacin en el sistema. Por defecto,

todas las CAs que defina en el sistema son confiables para todas las Pasarelas y en todas
las VPNs. Si es necesario, puede limitar la confianza a un subconjunto de las CAs definidas
cuando configure los elementos Pasarela de Seguridad y Perfil de VPN.
Para Continuar:
Por defecto, todas las Pasarelas confan en todas las autoridades de certificacin en
todas las VPNs. Las relaciones de confianza pueden cambiarse a nivel de pasarela
(Definir CAs de Confianza para una Pasarela (pag. 726)) y en los Perfiles de VPN
(Definir CAs de Confianza para una VPN (pag. 742)).
Para obtener un certificado de una autoridad de certificacin externa, primero cree
una peticin de certificado segn se explica en Crear un Certificado de VPN o
Peticin de Certificado para una Pasarela Interna (pag. 759) e importe el certificado
firmado segn se indica en Importar un Certificado de Pasarela VPN (pag. 765).
Crear y Firmar Certificados de VPN

Prerrequisitos: (Para certificar Pasarelas Internas) Definir Pasarelas de Seguridad
Crear un Certificado de VPN o Peticin de Certificado para una

Pasarela Interna
Siguiendo las intrucciones a continuacin, puede crear una peticin de certificado y firmarla
usando la autoridad de certificacin (CA) interna o una externa. Si la Pasarela Interna tiene
activada la gestin automtica de certificados en sus propiedades, los siguientes pasos son
necesarios slo cuando quiere usar certificados DSA o crear una peticin de certificado para
firmar por una CA externa.
Para crear un certificado de VPN o una peticin de certificado para una pasarela interna
(ConfiguracinConfiguracinVPN) desde el men para cambiar a la vista de
2. Seleccione Gateways (Pasarelas). Se mostrarn las pasarelas definidas.
3. Pulse botn derecho sobre la Pasarela que necesita un certificado de VPN y seleccione
ToolsGenerate Certificate (HerramientasGenerar Certificado). Se abrir el dilogo
de Generar Certificado.
Ilustracin 288: Generar Certificado

4. Introduzca la informacin del certificado:

Organization: el nombre de su organizacin como deber aparecer en el certificado.
Country: (opcional) cdigo estndar de dos caracteres para el pas de su organizacin.
Common Name: un nombre descriptivo para la Pasarela como deber aparecer en el
certificado.
Key Length: longitud de la clave para el par de claves pblica-privada generado. Por
defecto es 1024 bits.
Gateway: referencia interna al elemento Pasarela. No editable.
Key Type: seleccione el tipo de clave que quiere usar de acuerdo con los requisitos de
su organizacin y, si usa una autoridad de certificacin externa, las posibles
restricciones en cuanto a tipos de clave soportados.
5. Seleccione cmo quiere Firmar (Sign) el certificado:
Seleccione Internally (Internamente) para firmar el certificado usando la Autoridad de
Certificacin de VPNs interna de StoneGate. Si la Autoridad de Certificacin de VPNs
interna est en proceso de renovacin y hay temporalmente dos Autoridades de
Certificacin de VPNs internas, seleccione la que quiere usar de la lista.
Seleccione Externally (Externamente) si quiere crear una peticin de certificado para
que la firme otra Autoridad de Certificacin.
6. Pulse OK. El certificado firmado o la peticin de certificado no firmado se aaden bajo
la Pasarela en la lista de pasarelas.
Note que puede haber un pequeo retraso mientras se genera la peticin.
Si firm el certificado usando la CA de VPN interna, el certificado se transfiere
automticamente al dispositivo Cortafuegos/VPN y no se necesitan ms acciones.
7. Con autoridades de certificacin externas, se requieren otras acciones: Pulse botn
derecho sobre la peticin de certificado y seleccione Export Certificate Request
(Exportar Peticin de Certificado). Se abrir un dilogo para guardar la peticin de
certificado exportada.
Para generar certificados para StoneGate, la CA debe soportar peticiones de
certificado PKCS#10 en formato PEM (codificacin Base64) y los certificados firmados
tambin deben estar en formato PEM. Puede ser posible convertir entre formatos
usando, por ejemplo, OpenSSL o las herramientas de certificados incluidas en
Windows.
La CA debe ser capaz de copiar todos los atributos de la peticin en el certificado;
especialmente la extensin X.509 Subject Alternative Name debe ser copiada segn
est en la peticin puesto que el valor se usa para autenticacin.
Para Continuar:
Cuando reciba el certificado firmado, imprtelo segn se explica en Importar un
Certificado de Pasarela VPN (pag. 765).
Firmar Peticiones Externas de Certificados Internamente

La Autoridad de Certificacin de VPN interna de StoneGate puede usarse para firmar
peticiones de certificados externas. Esta funcionalidad est principalmente orientada para el
uso con clientes VPN, pero puede usarse para firmar cualquier peticin de certificado en el
formato soportado (peticiones de certificado PKCS#10 en formato PEM). Una alternativa es
configurar StoneGate para aceptar un certificado firmado externamente definiendo al emisor
externo del certificado como confiable. Vea Definir una Autoridad de Certificacin de VPN
(pag. 757).
Asegrese de que la fecha, hora y zona horaria est configuradas correctamente en el
Management Server y en el componente externo que use el certificado. Los certificados son
vlidos para tres aos desde la fecha y hora de creacin. La fecha y hora de inicio y fin de
validez estn escritas en el certificado y se comprueban en la autenticacin.
Precaucin La CA interna no soporta listas de revocacin de certificados, por lo que no

es posible cancelar un certificado firmado internamente antes de que expire.
Para firmar una peticin de certificado externa

Configuracin de VPN. Se mostrar una barra de herramientas especfica de VPNs en
la parte superior del panel de elementos.
Ilustracin 289: Men de Herramientas de VPN
2. En la barra de herramientas de VPN, pulse el icono Herramientas y seleccione Sign

VPN Client Certificate (Firmar Certificado de Cliente VPN). Se abrir el dilogo de
Firmar Certificado de Cliente VPN. A pesar de su nombre, el mismo dilogo funciona
para todas las peticiones de certificados X.509 en formato PEM y no est limitado a la
firma de peticiones de certificados de clientes VPN.
Ilustracin 290: Firmar Certificado de Cliente VPN
3. Si la Autoridad de Certificacin de VPN interna est en proceso de renovacin y hay

temporalmente dos Cas de VPN internas vlidas, seleccione la CA de la lista en la parte
de arriba del dilogo.
4. Explore su estacin de trabajo local en busca del fichero de peticin de certificado o
copie y pegue el contenido de la peticin de certificado en el dilogo (incluyendo la
cabecera begin certificate request y el pie end certificate request).
5. Pulse Sign (Firmar). El certificado se firma y el dilogo cambia para mostrar informacin
del nuevo certificado. Tenga en cuenta la informacin de expiracin en la pestaa
Certificate.
6. En la pestaa General, pulse Export para guardar el certificado para transferirlo al
dispositivo que lo necesita.
7. Pulse OK.
Cargar Certificados de VPN Manualmente

Prerrequisitos: Crear un Certificado de VPN o Peticin de Certificado para una Pasarela Interna
En la mayora de los casos, los certificados se transfieren automticamente a los

dispositivos. De cualquier modo, si hay problemas con certificados de VPN perdidos en las
Pasarelas, puede transferirlos a los dispositivos manualmente.
Para transferir certificados de VPN a los dispositivos
Ilustracin 291: Men de Herramientas de VPN
2
2. En la barra de herramientas de VPN, pulse el icono de Herramientas y seleccione

Upload Gateway Certificates (Cargar Certificados de Pasarela). Los certificados sern
cargados, o ver un mensaje de que todos los certificados ya han sido cargados
automticamente.
Tareas Relacionadas
Resolucin de Problemas con Certificados (pag. 867)
Renovar Certificados de VPN

Por razones de seguridad, los certificados tienen una fecha de expiracin, tras la cual el
certificado debe ser sustituido por uno nuevo. El proceso es parcialmente automtico cuando
se usan certificados firmados internamente, y los pasos necesarios se explican en esta
seccin. Para crear un nuevo certificado firmado externamente, vea Crear un Certificado de
VPN o Peticin de Certificado para una Pasarela Interna (pag. 759).
Los certificados emitidos por la Autoridad de Certificacin de VPN interna son vlidos para
tres aos. Si la gestin automtica de certificados RSA est activa para una pasarela de
seguridad interna, los certificados RSA emitidos por la CA de VPN interna se renuevan
automticamente sin su intervencin siempre que los ficheros relacionados con certificados
estn intactos (incluyendo la clave privada almacenada en los dispositivos).
La propia Autoridad de Certificacin de VPN interna es vlida para diez aos. Se crear una
nueva Autoridad de Certificacin de VPN interna seis meses antes de su fecha de expiracin.
Automticamente se crearn nuevos certificados firmados por la nueva Autoridad de
Certificacin de VPN interna para las pasarelas internas. Si se usan certificados para
autenticar a los usuarios de clientes VPN IPsec y los certificados han sido firmados por la
Autoridad de Certificacin de VPN que expira, deber crear manualmente nuevos certificados
para los clientes VPN IPsec. Deber crear tambin nuevos certificados manualmente para
cualquier otro componente externo que tenga certificados firmados por la Autoridad de
Certificacin de VPN interna.
Nota Cuando renueva el certificado de VPN, los usuarios del cliente VPN IPsec
StoneGate recibirn una notificacin acerca del cambio de la huella digital del certificado.
Avise a sus usuarios antes de renovar el cerificado, si es posible.
Para renovar un certificado firmado externamente de una Pasarela interna

1. Cree una nueva peticin de certificado segn se explica en Crear un Certificado de VPN
o Peticin de Certificado para una Pasarela Interna (pag. 759).
2. Importe el certificado firmado segn se explica en Importar un Certificado de Pasarela
VPN (pag. 765).
Para renovar un certificado firmado internamente para un componente externo
1. Cree una nueva peticin de certificado en el componente externo. Para clientes VPN
IPsec StoneGate, esto se explica en la Gua IPsec VPN Client Users Guide.
2. Firme el certificado segn se explica en Firmar Peticiones Externas de Certificados
Internamente (pag. 761).
Para renovar manualmente certificados de Pasarela firmados internamente

2. Navegue a Virtual Private NetworksCertificatesGateway Certificates (Redes
Privadas VirtualesCertificadosCertificados de Pasarela). Los certificados se
muestran con sus fechas de expiracin e informacin de firmante.
3. Pulse botn derecho sobre el certificado que quiere renovar y seleccione Renew
Certificate (Renovar Certificado).
4. Pulse Yes. Hay un retardo mientras se renueva el certificado, tras el cual se le notificara
de que el certificado ha sido renovado. El certificado se transfiere automticamente al
dispositivo.
5. Refresque la poltica en el dispositivo cortafuegos/VPN para activar el nuevo certificado.
El procedimiento explicado arriba renueva el certificado cuando la informacin relacionada
con el mismo est intacta en el dispositivo y en el Management Server. Si el certificado no ha
expirado pero est afectado por otros problemas, elimine el elemento certificado en el
Management Client y cree uno nuevo (vea Crear un Certificado de VPN o Peticin de
Certificado para una Pasarela Interna (pag. 759)).
Exportar el certificado de Pasarela VPN o CA de VPN

Prerrequisitos: Un certificado firmado est presente en el sistema o se ha creado una nueva CA de VPN interna
Adems de las peticiones de certificados, tambin puede exportar certificados de pasarela

firmados y los certificados de las Autoridades de Certificacin de VPN. Esto no es
normalmente necesario, pero puede hacerse si se necesita.
Si el sistema ha creado una nueva Autoridad de Certificacin de VPN, debe exportar el
certificado de la nueva CA de VPN interna e importarlo en las pasarelas externas que usan
certificados firmados por la CA de VPN interna o comunican con pasarelas que usan
certificados firmados por ella. Si la propia pasarela externa usa un certificado firmado por la
CA de VPN interna, debe tambin crear un nuevo certificado para la pasarela externa (vea
Renovar Certificados de VPN (pag. 763).
Los certificados creados cuando la Autoridad de Certificacin de VPN firma una peticin de
certificado externo deben exportarse en el momento de firmarlos y no se almacenan para
exportarlos ms tarde.
Para exportar un certificado firmado
2. Navegue a Other ElementsCertificatesGateway Certificates (Otros
ElementosCertificadosCertificados de Pasarela). Los certificados se muestran con
sus fechas de expiracin e informacin de firmante.
3. Pulse botn derecho sobre un certificado y seleccione Export Certificate (Exportar
Certificado). Se abrir un dilogo para guardar el fichero.
4. Navegue a la localizacin donde quiera guardar el fichero en su ordenador local y pulse
Save (Guardar).
Para exportar el certificado de la Autoridad de Certificacin de VPN Interna

2. Navegue a Other ElementsCertificatesGateway Certificates (Otros
ElementosCertificadosCertificados de Pasarela). Los certificados se muestran con
sus fechas de expiracin e informacin de firmante.
3. Pulse botn derecho sobre una Autoridad de Certificacin de VPN y seleccione
ToolsExport Elements (HerramientasExportar Elementos). Se abrir el dilogo de
Exportar.
4. Navegue a la localizacin donde quiera guardar el fichero en su ordenador local y pulse
Export (Exportar).
Si la pasarela externa usa un certificado firmado por la Autoridad de Certificacin de VPN
interna y sta ha sido renovada, deber crear un nuevo certificado para la pasarela externa.
Vea Renovar Certificados de VPN (pag. 763).
Importar un Certificado de Pasarela VPN

Prerrequisitos: Crear un Certificado de VPN o Peticin de Certificado para una Pasarela Interna
Este procedimiento le permite importar un certificado firmado por un emisor de certificados externo
para una Pasarela VPN interna cuando la peticin de certificado se ha creado internamente. Por
razones de seguridad, no es posible importar claves privadas generadas externamente.
Nota Todas las CAs que emitan certificados para sus VPNs deben estar configuradas
en el sistema (vea Definir una Autoridad de Certificacin de VPN (pag. 757)) y estar
incluidas como confiables tanto a nivel de Pasarela como de Perfil VPN.
Para importar un certificado de pasarela VPN

1. Seleccione ConfigurationConfigurationVPN desde el men para cambiar a la
vista de Configuracin de VPN.
2. Abra la rama Gateways (Pasarelas) y expanda el rbol bajo la pasarela.
3. Pulse botn derecho sobre la peticin de certificado y seleccione Import Certificate
(Importar Certificado).
4. Seleccione la autoridad de certificacin que firm el certificado.
5. Navegue al fichero de certificado o copie y pegue el contenido del fichero como texto.
6. Tras importar el certificado firmado, elimine la peticin de certificado, que todava se
muestra en la Pasarela junto con el certificado firmado.
El certificado se transfiere autmticamente al dispositivo.
Comprobar Cundo Expiran los Certificados de Pasarela

Prerrequisitos: Un certificado firmado est presente en el sistema
Por defecto, los certificados RSA emitidos por la Autoridad de Certificacin de VPN interna se
renuevan automticamente. En otros casos, los certificados expiran de acuerdo con la
informacin escrita en el certificado cuando fue generado. Stonegate nunca acepta un
certificado expirado.
Para comprobar cuando expiran los certificados de VPN

2. Expanda la rama Other ElementsCertificates (Otros ElementosCertificados) en el
rbol de elementos y seleccione Gateway Certificates (Certificados de Pasarela). Los
certificados existentes se muestran en el otro panel.
3. Vea la columna Expiration Date (Fecha de Expiracin) para informacin sobre la
expiracin del certificado.
Puede renovar los certificados firmados internamente mediante su men de botn
derecho (necesario slo si la gestin automtica de certificados no est activa). Los
usuario de clientes VPN pueden recibir un dilogo de aceptacin del nuevo certificado.
Los elementos sin fecha de expiracin son peticiones de certificado (Estado: A firmar).
Comprobar Cundo Expira una CA de VPN Interna

El Management Server incluye una CA de VPN interna dedicada para firmar certificados de
VPN, la Internal IPsec CA. La CA de VPN interna es vlida para diez aos. Se crea una
nueva CA de VPN interna seis meses antes de la fecha de expiracin de la CA de VPN
interna. Puede comprobar la fecha de expiracin y el estado de la CA de VPN interna.
Para comprobar el estado de una CA de VPN interna
2. Expanda la rama Other ElementsCertificates (Otros ElementosCertificados) en el
rbol de elementos y seleccione VPN Certificate Authorities (Autoridades de
Certificacin de VPN). Los certificados existentes se muestran en el otro panel.
3. Vea la columna Expiration Date (Feha de Expiracin) para informacin sobre la fecha
de expiracin del certificado.
4. Para ver informacin detallada, pulse botn derecho sobre una Autoridad de
Certificacin de VPN y seleccione Properties (Propiedades). Se abrir el dilogo de
Propiedades para la CA de VPN interna.
5. Vea la informacin de Validity (Validez) en los campos Valid from (Vlido desde) y
Valid to (Vlido hasta).
6. Vea tambin la informacin de Estado (Status):
Active (Activo): Puede usar esta CA de VPN Interna para firmar certificados.
Renewal Started (Renovacin Iniciada): Esta es una nueva CA de VPN Interna que el
sistema ha creado automticamente. El proceso de renovacin de certificados VPN para las
pasarelas se ha iniciado.
Expires Soon (Expira Pronto): Se ha creado una nueva CA de VPN interna pero
algunos componentes pueden usar todava certificados firmados por esta CA de VPN
interna.
Inactive (Inactivo): Esta CA de VPN interna ha expirado o ningn componente del
sistema usa un certificado firmado por ella.
Tareas Relacionadas
Entender los Problemas Relacionados con Certificados (pag. 868)
Tratar con Autoridades de Certificacin en Expiracin (pag. 872)
Reconfigurar VPNs Existentes 767
CAPTULO 52
RECONFIGURAR VPNS EXISTENTES
Los temas a continuacin proporcionan instrucciones adicionales para algunas tareas

comunes de configuracin y ajuste para VPNs existentes.
Aadir o Eliminar Tneles Dentro de una VPN (pag. 768)

Configurar Opciones de NAT para una VPN Existente (pag. 768)
Aadir Nuevas Pasarelas a una VPN Existente (pag. 770)
Cambiar el Direccionamiento IP de la Pasarela en una VPN Existente (pag. 770)
Dar Acceso VPN a Hosts Adicionales (pag. 771)
Enrutar el Trfico de Internet a Travs de VPNs (pag. 771)
Enrutar Trfico Entre Tneles VPN (pag. 772)
Renovar o Generar Claves Pre-Compartidas (pag. 773)
Ajuste Avanzado de VPNs (pag. 774)
Aadir o Eliminar Tneles Dentro de una VPN

Prerrequisitos: Debe tener una VPN configurada
El nmero de tneles generados para una VPN se determina por cmo estn listados los
elementos en la pestaa Overall Topology (Topologa Global) del elemento VPN y el
nmero de endpoints activos en cada elemento Pasarela..
Cada Pasarela central forma un tnel con cada Pasarela central y satlite en la VPN, No
se crean otros tneles Pasarela<->Pasarela. Vea Definir la Topologa de la VPN (pag.
744) para instrucciones detalladas. Los tneles no se generan entre endpoints que no
pueden conectar entre s, por ejemplo, no se generan tneles entre dos endpoints si
ambos tienen una direccin IP dinmica.
La generacin de tneles puede impedirse si una Pasarela se aade debajo de otra
Pasarela diferente en lugar de directamente en el nivel principal en la lista de Pasarelas
centrales. Esta configuracin implica que la Pasarela a nivel principal reenva las
conexiones a las Pasarelas por debajo en la jerarqua. Para que el reenvo funcione, debe
estar explcitamente configurado en las reglas de Acceso IPv4 de la pasarela central (en
una regla con la accin Use VPN Forward Usar Reenvo VPN).
Los tneles Endpoint<->Endpoint se crean entre todos los endpoints definidos en las
propiedades de cualesquiera dos Pasarelas que formen un tnel Pasarela<->Pasarela.
Vea Definir Endpoints para Pasarelas de Seguridad Internas (pag. 722) o Definir
Endpoints para Pasarelas de Seguridad Externas (pag. 724).
Antes de cambiar los tneles que se usan en VPNs activas, se recomienda realizar una
copia de seguridad del Management Server segn se indica en Crear Copias de Seguridad
(pag. 795). Tras cambiar la topologa de la VPN, compruebe siempre que todod los tneles
nuevos o cambiados son vlidos en la pestaa Tunnels.
Tareas Relacionadas
Definir Pasarelas de Seguridad (pag. 720)
Aadir Nuevas Pasarelas a una VPN Existente (pag. 770)
Configurar Opciones de NAT para una VPN Existente

Prerrequisitos: Debe tener una VPN configurada
Activar NAT Traversal

NAT traversal impide que dispositivos intermedios apliquen NAT a las comunicaciones VPN
si se entiende que NAT eviat que funcionen las comunicaciones. Funciona encapsulando los
paquetes.
NAT traversal encapsula las comunicaciones IKE e IPsec en paquetes UDP (NAT-T) o los
entunela en paquetes TCP (mtodo propietario). La opcin de entunelado TCP est
disponible slo para VPNs cliente-a-pasarela. Existe tambin un mtodo de encapsulacin
UDP heredado que no est soportado desde los dispositivos cortafuegos 5.2.
Las opciones de encapsulacin UDP y NAT-T no afectan a las VPNs cliente-a-pasarela.
NAT-T est siempre activo en VPNs cliente-a-pasarela.
La encapsulacin no es siempre necesaria. Normalmente, la VPN puede configurarse para
que funcione incluso cuando se aplica NAT simplemente mediante la definicin de
Direcciones de Contacto. Para ms informacin, vea Empezar con las Comunicaciones del
Sistema (pag. 60).
Las opciones de encapsulacin se activan en las propiedades del endpoint en el elemento

Pasarela, vea Definir Endpoints para Pasarelas de Seguridad Internas (pag. 722) o Definir
Endpoints para Pasarelas de Seguridad Externas (pag. 724).
Trasladar Direcciones de Comunicaciones VPN entre Pasarelas

Las comunicaciones necesarias para establecer y mantener tneles VPN entre Pasarelas
VPN se trasladan siempre de acuerdo con reglas de NAT (al contrario que las
comunicaciones que usan el tnel VPN, vea Trasladar Direcciones en el Trfico Dentro de un
Tnel VPN (pag. 769)). Cree una regla de NAT adecuada que defina alguna operacin de
NAT para trasladar direcciones en estas comunicaciones y asegrese de que las
comunicaciones no coinciden con una regla de NAT incorrecta inintencionadamente.
Cuando aade NAT, puede necesitar cambiar las opciones de VPN. Aada direcciones de
contacto para los cortafuegos, (vea Empezar con las Comunicaciones del Sistema). Las
Direcciones de Contacto pueden usarse tanto con pasarelas internas como externas.
No hay nada especfico de VPNs acerca de crear las actuales reglas de NAT (vea Editar
Reglas NAT (pag. 545)).
Trasladar Direcciones en el Trfico Dentro de un Tnel VPN

Por defecto, las direcciones IP que entran o salen de un tnel VPN no estn trasladadas.
Este comportamiento se controla por una opcin en las propiedades del elemento VPN,
accesible mediante el men de botn derecho de la VPN en cuestin.
Si la opcin de trasladar las direcciones IP est activada, las direcciones IP en el trfico que
usa tneles VPN pasarela-a-pasarela se trasladan de acuerdo con las reglas de NAT. No hay
nada especfico de VPNs acerca de crear las actuales reglas de NAT. De cualquier modo, la
configuracin de la VPN es afectada si las direcciones locales protegidas se trasladan
usando NAT:
Configure el Sitio que contiene las direcciones locales privadas (antes de la traslacin) en
modo Private (Privado) en las VPNs en las que esas direcciones se trasladen usando
NAT.
Aada las direcciones trasladadas como un nuevo Sitio para la Pasarela (desactive el Sitio
en otras VPNs). Este Sitio estar en el modo Normal por defecto.
Si la opcin de trasladar las direcciones IP est activada, el trfico de clientes VPN se
traslada de acuerdo con la configuracin del NAT Pool en las propiedades del elemento
Cortafuegos (vea Gestionar las Direcciones IP de Clientes VPN (pag. 785)) o segn se defina
en las reglas de NAT. Asegrese de que las direcciones del NAT Ppol no coinciden con
reglas de NAT si el NAT Pool est activo.
Para ms informacin sobre configurar reglas de NAT, vea Editar Reglas NAT (pag. 545).
Aadir Nuevas Pasarelas a una VPN Existente

Si tiene una VPN ya configurada, puede aadir nuevas Pasarelas segn se necesite
siguiendo el flujo de configuracin general esquematizado aqu:
1. Cree un elemento Pasarela para representar el dispositivo pasarela fsico en VPNs si
el elemento no existe ya, vea Definir Pasarelas de Seguridad (pag. 720). Una vez
creado, el mismo elemento puede usarse en cualquier nmero de VPNs.
2. Si la VPN usa Certificados para autenticacin, puede necesitar crear un nuevo
certificado de VPN para la Pasarela (vea Empezar con Certificados de VPN (pag.
756)). El mismo certificado puede usarse en cualquier nmero de VPNs, siempre que
cumpla los siguientes criterios:
3. El certificado debe coincidir con el tipo de certificado seleccionado para la VPN en el
Perfil de VPN.
4. El certificado debe estar emitido por una autoridad de certificacin en la que la
Pasarela confe.
5. Edite el elemento VPN para aadir la Pasarela en la pestaa Overall Topology
(Topologa Global), vea Definir la Topologa de la VPN (pag. 744).
6. Compruebe y ajuste los Tneles entre la nueva Pasarela y las Pasarelas existentes,
vea Definir Opciones del Tnel VPN (pag. 746).
7. Refresque las polticas de todos los dispositivos Cortafuegos/VPN involucrados en el
tnel.
Cambiar el Direccionamiento IP de la Pasarela en una VPN Existente

Para Pasarela internas, las direcciones de los endpoint de la VPN se determinan por las
direcciones IP que haya definido para los interfaces en el elemento Cortafuegos. En clsters,
slo se pueden usar direcciones CVI como endpoints.
Si cambia la direccin IP de algn interfaz de un cortafuegos, la direccin IP deI
correspondiente endpoint VPN tambin cambia automticamente y los tneles existentes
en el elemento VPN se conservan.
Si se requiere conectividad contnua, defina las direcciones IP antigua y nueva como dos
interfaces separados, seleccione ambos como endpoints en la VPN, y refresque las
polticas de todos los dispositivos cortafuegos/VPN afectados. En esta configuracin,
cualquiera de las direccin IP puede usarse; una VPN Multi-Link selecciona
automticamente el endpoint que funciona.
Si aade o elimina interfaces, puede necesitar seleccionar y deseleccionar endpoints
manualmente y luego comprobar la configuracin del tnel en el elemento VPN. Vea
Definir Endpoints para Pasarelas de Seguridad Internas (pag. 722) y Definir Opciones del
Tnel VPN (pag. 746).
Nota Si la identidad de la Pasarela en la VPN est asociada a su direccin IP, debe

actualizar las configuraciones de todas las pasarelas en la VPN aunque la direccin IP
est trasladada con NAT y por tanto no usada directamente para contactar. Para
Pasarelas internas, esto se hace refrescando la poltica del dispositivo tras hacer
cambios. Para Pasarelas externas, cambie la informacin en la configuracin de ese
dispositivo.
Para Pasarelas externas, las direcciones de los endpoints VPN siempre se introducen
manualmente. Cambie la direccin IP configurada en StoneGate y refresque las polticas de
todos los dispositivos cortafuegos/VPN afectados.
Si se requiere conectividad contnua, defina la nueva direccin como un segundo endpoint

antes de cambiar la direccin actual. StoneGate Multi-Link selecciona automticamente la
direccin IP que funciona antes y despus del cambio.
Vea Definir Endpoints para Pasarelas de Seguridad Externas (pag. 724).
Dar Acceso VPN a Hosts Adicionales

Si quiere dar acceso a travs de la VPN a hosts con direcciones IP que no estn an
configuradas en la VPN, proceda segn este flujo general:
1. Asegrese de que las direcciones IP (posiblemente las direcciones IP trasladadas si NAT est
habilitado en esta VPN) estn incluidas en uno de los Sitios de la Pasarela correcta. Si las
direcciones IP no deben estar incluidas en otras VPNs donde se use el mismo elemento Pasarela,
adalas a un Sitio separado y desactive el Sitio en otras VPNs.Vea Aadir un Nuevo Sitio VPN
(pag. 731).
2. Si hay Pasarelas externas involucradas, asegrese de que cualesquiera direcciones IP que aada
a la definicinde del Sitio en StoneGate son aadidas tambin a la configuracin del dispositivo
externo, de forma que enrute el trfico a travs de la VPN.
3. Compruebe que las reglas de Acceso IPv4 de todas las Pasarelas involucradas especifican que
este trfico es enviado/permitido a travs de la VPN, y si NAT est activado en la VPN, compruebe
tambin las reglas de NAT. Vea Crear Reglas Bsicas de VPN para Conexiones de Pasarelas
(pag. 749) y Crear Reglas de NAT para Trfico VPN (pag. 752).
Enrutar el Trfico de Internet a Travs de VPNs

Prerrequisitos: Una VPN en funcionamiento entre todas las pasarelas involucradas
Es posible forzar que todo el trfico de los clientes VPN o clientes en redes protegidas se enrute
a travs de la VPN de forma que el trfico pueda ser inspeccionado y limpiado
centralizadamente. La configuracin requiere las siguientes opciones:
1. Active NAT para el trfico de los tneles en las propiedades del elemento VPN. Vea Modificar un
Elemento VPN Existente (pag. 744).
2. Cambie el modo de todos los Sitios de la Pasarela central en esta VPN a Privado (Private) y
sustityalos con un Sitio que contenga el elemento Any Network. Desactive el Sitio Any Network
en las otras VPNs. Vea Definir Sitios para Pasarelas VPN (pag. 729).
3. Reconfigure la poltica:
Cree reglas de Acceso, vea Crear Reglas de Reenvo de VPN en Pasarelas Hub (pag. 751).
Cree reglas de NAT para trasladar cualesquiera direcciones IP privadas a direcciones pblicas
para Internet. Vea Crear Reglas de NAT para Trfico VPN (pag. 752).
4. Redireccione el trfico de componentes externos a la pasarela central si es necesario:
Para pasarelas Cortafuegos/VPN StoneGate, aada una regla de Acceso que enve el trfico
deseado a la VPN, vea Crear Reglas Bsicas de VPN para Conexiones de Pasarelas (pag.
749).
Para cortafuegos SOHO: Prohiba el acceso directo a Internet para clientes Corporativos, vea
Reenviar Todo el Trfico Corporativo SOHO a la VPN (pag. 772).
5. (Slo Clientes VPN) Configure el Adaptador Virtual segn se explica en Configurar
Direccionamiento IP Virtual para Clientes VPN (pag. 787).
Reenviar Todo el Trfico Corporativo SOHO a la VPN

Para reenviar todas las conexiones corporativas a la VPN
1. Abra el dilogo del cortafuegos SOHO y cambie a la pestaa Corporate.
Tip Puede seleccionar varios cortafuegos SOHO y pulsar botn derecho y seleccionar Common
Properties para cambiar esta opcin en varios cortafuegos SOHO simultneamente.
2. Seleccione la opcin Allow only traffic to VPN (Permitir trfico slo hacia la VPN).
3. Pulse OK.
Para Continuar:
Aplique la configuracin en los cortafuegos SOHO para transferir los cambios.
Tareas Relacionadas
Definir Interfaces Corporate para Cortafuegos SOHO (pag. 370)
Enrutar Trfico Entre Tneles VPN

Prerrequisitos: (Si se reenva el trfico de clientes VPN) Configurar Direccionamiento IP Virtual para Clientes
VPN
Es posible redirigir el trfico de un tnel VPN a algn otro tnel VPN a travs de una
pasarela hub. Esto es especialmente til para usuarios del cliente VPN que necesitan
acceder a recursos en diferentes localizaciones, puesto que los usuarios no tienen que
conectar separadamente a diferentes pasarelas dependiendo de los servicios que quieran
usar.
Vea Empezar con VPNs IPsec (pag. 716) si necesita ms instrucciones para crear y editar
VPNs y los elementos involucrados.
Vea Configuracin 4: VPN Hub Bsico (pag. 709) para un ejemplo de configuracin paso-a-
paso.
Para redirigir el trfico entre tneles VPN
1. Defina una topologa de hub en la cual los otros elementos Pasarela estn bajo la
pasarela de reenvo (vea la ilustracin). La Pasarela IPsec Client (Cliente IPsec)
siempre se inserta en el nivel superior.
Nota Los tneles duplicados no estn permitidos. No debe haber conexiones pasarela-
a-pasarela entre el hub y otras pasarelas en otras VPNs activas.
2. Aada un nuevo Sitio bajjo la Pasarela hub que contenga todas las direcciones IP de
reenvo que quiere que se alcancen a travs del hub (direcciones IP tras las Pasarelas
Spoke) y establezca el Modo del Sitio a Hub en esta VPN (desactive el Sitio en otras
VPNs, si est configurado). Si el trfico de clientes VPN se reenva, aada tambin el
espacio de direcciones IP usado para los clientes VPN en un Sitio bajo la Pasarela hub
(si el espacio de direcciones IP no est ya incluido).
Ilustracin 292: Topologa Hub para el Reenvo Tnel-a-Tnel
Direcciones IP
Pasarela Hub
Protegidas tras
Estas Pasarelas las pasarelas
se contactan a subordinadas
travs del hub
3. Aada reglas de Acceso IPv4 que reenven el trfico entre tneles segn se indica en Crear
Reglas de Reenvo de VPN en Pasarelas Hub (pag. 751).
4. Refresque las polticas de todas las Pasarelas, empezando por la Pasarela hub.
Opcionalmente, todo el trfico (Incluyendo el trfico de Internet) puede enrutarse a tarvs de la
Pasarela hub (vea Enrutar el Trfico de Internet a Travs de VPNs (pag. 771)).
Renovar o Generar Claves Pre-Compartidas

Prerrequisitos: Autenticacin por claves pre-compartidas seleccionada aen el Perfil de VPN y permitida en los Perfiles de
Pasarelas
Renueve o genere claves pre-compartidas de acuerdo con uno de los dos conjuntos de
instrucciones siguientes.
Generar una Nueva Clave Pre-Compartida Automticamente

Como medida de seguridad, se recomienda que cambie preidicamente (por ejemplo
mensualmente) la clave pre-compartida.
Para renovar o generar claves pre-compartidas mediante la generacin automtica de
claves
1. Seleccione ConfigurationConfigurationVPN desde el men para cambiar a la vista
de Configuracin de VPN.
2. Pulse botn derecho sobre un elemento VPN y seleccione Edit VPN (Editar VPN). Se
abrir la vista de edicin de VPN.
3. Cambie a la pestaa Tunnels.
4. Seleccione todos los Tneles cuyas claves pre-compartidas quiere renovar.
5. Pulse botn derecho sobre uno de los tneles seleccionados y seleccione Delete Pre-
Shared Key (Elimianr Clave Pre-Compartida).
6. Pulse botn derecho de nuevo sobre uno de los tneles y seleccione Generate Missing
Pre-Shared Key (Generar Clave Pre-Compartida Perdida).
7. Si necesita transferir claves a componentes externos, haga doble click sobre la columna
Key (Clave) para esos tneles y copie y pegue o exporte la clave.
Precaucin Asegrese de que nadie puede obtener la clave mientras la enva a otros
dispositivos. Debe permanecer secreta para ser una medida de seguridad efectiva.
Configurar Claves Pre-Compartidas Manualmente

Como medida de seguridad, se recomienda que cambie peridicamente (por ejemplo
mensualmente) la clave pre-compartida.
Para renovar claves pre-compartidas manualmente
2. Pulse botn derecho sobre un elemento VPN y seleccione Edit VPN (Editar VPN). Se
abrir la vista de edicin de VPN.
3. Cambie a la pestaa Tunnels.
4. Haga doble click sobre la columna Key (Clave) para el tnel cuya clave quiere cambiar.
5. Copie y pegue la nueva clave o escrbala en el dilogo y pulse OK.
Precaucin La clave debe ser larga y aleatoria para garantizar una VPN segura.
Ajuste Avanzado de VPNs

El elemento Opciones de Pasarela define opciones de la VPN relacionadas con el

rendimiento para los dispositivos Cortafuegos/VPN. Estas opciones se usan internamente y
no hay necesidad de que coincidan exactamente con las opciones de otras pasarelas en las
VPNs.
Los elementos Opciones de Pasarela se almacenan bajo la rama Other
ElementsProfilesGateway Settings (Otros ElementosPerfilesOpciones de
Pasarela) en la vista de Configuracin de VPN.
Ilustracin 293: Opciones de Pasarela en el rbol de Elementos
Para Continuar:
Si quiere cambiar cualquiera de las opciones de la Pasarela, proceda a Definir un
Elemento Opciones Personalizado de una Pasarela (pag. 774).
Definir un Elemento Opciones Personalizado de una Pasarela

Para crear nuevas Opciones de Pasarela
elementos.
3. Pulse botn derecho sobre la rama Gateway Settings (Opciones de Pasarela) en el rbol
de elementos y seleccione New Gateway Settings (Nuevas Opciones de Pasarela). Se
abrir el dilogo de Propiedades de Opciones de Pasarela.
Ilustracin 294: Propiedades de Opciones de Pasarela
Proceda de acuerdo con las opciones que quiere cambiar.
Para Continuar:
Ajustar Opciones Generales de la Pasarela (pag. 776)
Ajustar Opciones de Reintentos de Negociacin (pag. 777)
Ajustar Opciones de Cach de Certificados (pag. 778)
Ajustar Opciones de Anti-Clogging (pag. 778)
Ajustar Opciones Generales de la Pasarela

Vea la tabla siguiente para una explicacin del efecto de las opciones generales en la
seccin Settings (Opciones) en las propiedades de Opciones de la Pasarela. Las
opciones por defecto son los valores recomendados. Ajuste las opciones si tiene una
necesidad especfica de hacerlo.
Tabla 165: Opciones
Parametros Descripcin
Define la Longitud Mxima de la Clave de Cifrado (en
bits).
Una clave de cifrado ms larga es siempre ms segura
que una corta, puesto que produce un cifrado ms fuerte.
Max Length of Encryption Key
Claves ms largas requieren mayor capacidad de
(Longitud Mxima de la Clave de
proceso. Las claves de cifrado demasiado largas en
Cifrado)
comparacin con el rendimiento y carga del dispositivo
cortafuegos/VPN pueden causar problemas de
rendimiento e incluso hacerlo vulnerable a ataques de
denegacin de servicio.
Nmero mximo de SAs IKE guardadas en la memoria de
la pasarela. Las SAs negociadas tpicamente requieren
Max Number of IKE SAs varios kb de memoria en la pasarela de seguridad. Por
(Nmero Mximo de SAs IKE) razones de rendimiento puede ser necesario limitar el
nmero de SAs que el cortafuegos puede negociar bajo
peticin.
Permite una recuperacin ms rpida de la VPN en
algunas situaciones de error enviando notificaciones de
Use Tunnel Recovery
borrado para cualquier paquete IPsec desconocido. Las
(Usar Recuperacin de Tneles)
versiones del dispositivo soportadas actualmente no usan
las opciones de la pestaa Tunnel Recovery.
Para Continuar:
Ajustar Opciones de Reintentos de Negociacin (pag. 777)
O si ha terminado con las Opciones de Pasarela, pulse OK y contine
asignando las nuevas opciones de Pasarela segn se explica en Asignar las
Opciones de Pasarela para un Dispositivo Cortafuegos/VPN (pag. 779).
Ajustar Opciones de Reintentos de Negociacin

Vea la tabla siguiente para una explicacin del efecto de las opciones en la seccin
Negotiation Retry (Reintentos de Negociacin) en las propiedades de las Opciones de
Pasarela. Si una negociacin de una VPN no se completa exitosamente, el establecimiento
de la VPN se reintenta de acuerdo con las opciones aqu disponibles. Las opciones por
defecto son los valores recomendados.
Si el establecimiento de la VPN falla a menudo a causa de frecuentes problemas
intermitentes con la conectividad de red o porque su conexin de red es muy lenta, aumentar
estos valores puede ser una solucin alternativa para conseguir que se establezca la VPN.
Tabla 166: Reintentos de Negociacin
Parametros Descripcin
Nmero de posibles reintentos cuando se enva
un paquete a una pasarela remota. La
Retry Limit
negociacin para abrir un tnel se cancela
(Lmite de Reintentos)
cuando la negociacin se ha intentado el nmero
de veces especificado.
Tiempo inicial entre reintentos. Este valor se
Retry Timer dobla en cada intento hasta que se alcanza el
(Temporizador de Reintento) valor introducido para Retry Timer Maximum.
Introduzca el valor en milisegundos.
Mximo retardo entre dos reintentos. Cuando el
Retry Timer Maximum Retry Timer alcanza este valor, todos los
(Mximo Temporizador entre reintentos posteriores se hacen al intervalo
Reintentos) definido aqu hasta que se alcanza el Retry Limit.
Introduzca el valor en milisegundos.
La negociacin de tneles se cancela si no se ha
Negotiation Expiration
completado antes de que se alcance el tiempo de
(Expiracin de la Negociacin)
expiracin. Introduzca el valor en milisegundos.
Para Continuar:
O si ha terminado con las Opciones de Pasarela, pulse OK y contine asignando las
nuevas opciones de Pasarela segn se explica en Asignar las Opciones de Pasarela
para un Dispositivo Cortafuegos/VPN (pag. 779).
Ajustar Opciones de Cach de Certificados

Vea la siguiente tabla para una explicacin del efecto de estas opciones en la seccin
Certificate Cache (Cach de Certificados) en las propiedades de las Opciones de Pasarela.
Estas opciones slo tienen efecto si usa certificados para autenticar las pasarelas de
seguridad en las negociaciones IKE. Las opciones por defecto son los valores
recomendados. Ajuste las opciones si tiene una necesidad especfica para hacerlo.
Tabla 167: Cach de Certificados
Parmetros Descripcin
Maximum Number Mximo nmero de certificados almacenados en el
(Nmero Mximo) cach.
Maximum Size Tamao mximo del cach de certificados. Defina el
(Tamao Mximo) valor en bytes.
Define cunto tiempo es vlida cualquier Lista de
Revocacin de Certificados (CRL). Anula la validez
especificada en las propias CRLs. Tpicamente, las
CRL Validity CRLs individuales no deberan ser fiables durante
(Validez de CRLs) largos periodos de tiempo. Cuando se alcanza el
tiempo de validez de la CRL, el dispositivo
cortafuegos/VPN recupera nuevas VRLs de sus
autoridades emisoras. Defina el valor en segundos.
Para Continuar:
O si ha terminado con las Opciones de Pasarela, pulse OK y contine asignando las
nuevas opciones de Pasarela segn se explica en Asignar las Opciones de Pasarela
para un Dispositivo Cortafuegos/VPN (pag. 779).
Ajustar Opciones de Anti-Clogging

Vea la siguiente tabla para una explicacin del efecto de las opciones en la seccin Anti-
Clogging en las propiedades de Opciones de Pasarela. Anti-clogging proporciona un filtro
bsico de autenticacin que protege los recursos de proceso contra la mayora de ataques
de denegacin de servicio. Las opciones por defecto son los valores recomendados.
Tabla 168: Anti-Clogging
Parmetros Descripcin
Tiempo de espera para la generacin normal de
Local Secret Recreation local secrets aleatorios. Todos los tiempos de vida
(Recreacin de Local Secret) de SA IKE deben ser menores del doble de este
valor. Introduzca el valor en segundos.
Token Digest Algorithm Algoritmo de resumen del token usado para los
(Algoritmo de Resumen del Token) tokens de anti-clogging.
Para Continuar:
Pulse OK y contine asignando las nuevas opciones de Pasarela segn se explica en
Asignar las Opciones de Pasarela para un Dispositivo Cortafuegos/VPN (pag. 779).
Asignar las Opciones de Pasarela para un Dispositivo

Cortafuegos/VPN
Por defecto, todos los dispositivos cortafuegos/VPN se refieren al elemento de Opciones de
Pasarela Gateway Default Settings (Opciones de Pasarela por Defecto). Si quiere cambiar las
Opciones de Pasarela a un conjunto que haya creado usted, siga las siguientes instrucciones.
Para definir las Opciones de Pasarela para un dispositivo Cortafuegos/VPN
1. Haga doble click sobre el elemento Cortafuegos. Se abrir el dilogo de Propiedades del
Cortafuegos.
2. Cambie a la pestaa Advanced Settings (Opciones Avanzadas).
3. Pulse el botn VPN Settings (Opciones de VPN). Se abrir el dilogo de Opciones de
VPN.
Ilustracin 295: Opciones de VPN
4. Pulse Select, navegue al perfil adecuado y pulse OK.
Para Continuar:
Opciones de Cliente VPN 781
CAPTULO 53
OPCIONES DE CLIENTE VPN
Los Clientes VPN StoneGate no tienen controles para muchas opciones que se
necesitan para establecer una VPN. Estas opciones se definen en el SMC, y el
Cliente VPN IPsec las descarga de las pasarelas a las que se conecta.
Empezar con las Opciones del Cliente VPN (pag. 782)

Lista de Opciones de Cliente VPN en el Management Client (pag. 783)
Gestionar las Direcciones IP de Clientes VPN (pag. 785)
Exportar la Configuracin del Cliente VPN a un Fichero (pag. 789)
Empezar con las Opciones del Cliente VPN

Prerrequisitos: Vea Empezar con VPNs IPsec
Para instrucciones para la instalacin y el uso diario de Clientes VPN StoneGate, vea la
documentacin PDF del Cliente VPN.
Qu Hacen las Opciones del Cliente VPN en el SMC
Las opciones del Cliente VPN IPsec StoneGate se configuran centralmente en el
Management Center y luego se actualizan automticamente en los Clientes desde los
dispositivos cuando los clientes se conectan. Las siguientes opciones se transfieren desde
la pasarela al cliente:
Informacin de enrutamiento (definiciones de Sitios VPN): generalmente, si una direccin
IP a la que el cliente quiere conectarse est incluida en la definicin del Sitio, el trfico se
enruta a la VPN.
Opciones de Autenticacin.
Opciones de cifrado.
Informacin sobre los endpoints de la pasarela.
Opciones para el mtodo para atravesar NAT permitido.
Opciones para las comprobaciones locales de seguridad en el ordenador cliente (para
clientes VPN IPsec StoneGate versin 5.0 o superior).
Pasarelas de respaldo a contactar en caso de cada en el extremo de la pasarela (para
clientes VPN IPsec StoneGate versin 5.1 o superior).
Limitaciones
Cuando se instala por primera vez el Cliente VPN IPsec, no tiene configuracin. Por
tanto, la informacin bsica sobre Pasarelas (como la direccin IP a usar para conectar)
debe ser introducida bien por el usuario tras la instalacin, bien por el administrador al
preparar el despliegue.
Hay dependencias especficas de la versin entre el Cliente VPN IPsec StoneGate y el
software de Cortafuegos/VPN. Vea las Release Notes de la versin del Cliente VPN
StoneGate que pretende usar para informacin sobre la compatibilidad con su versin de
Cortafuegos/VPN.
StoneGate no crea configuraciones para clientes VPN de terceros. Debe crear la
configuracin mediante los controles y herramientas del producto cliente VPN IPsec de
terceros.
Tareas Relacionadas
Empezar con VPNs IPsec (pag. 716)
Configuracin 3: VPN Bsica para Clientes Remotos (pag. 701)
Crear Reglas Bsicas para Conexiones de Clientes VPN (pag. 750)
Enrutar el Trfico de Internet a Travs de VPNs (pag. 771)
Lista de Opciones de Cliente VPN en el Management Client

La siguiente tabla describe las opciones para clientes VPN StoneGate disponibles en el
Management Client.
Tabla 169: Opciones de Cliente VPN en el Management Client
Localizacin Opcin Explicacin

Puerto usado para entunelar las conexiones de
TCP Tunneling Port
cliente VPN en conexiones TCP para saltar
(Puerto de Tnel TCP)
filtros de trfico intermedios y dispositivos NAT.
Rango de direcciones para trasladar direcciones
Propiedades del
IP de conexiones de cliente VPN entrantes hacia
elemento
redes internas. Alternativa a usar el Adaptador
Cortafuegos
Translated IP address (Using Virtual (siguiente opcin en esta tabla) (Vea
pestaa Advanced
NAT Pool) Address range for translating IP addresses of
Settings
(Direccin IP trasladada incoming VPN client connections for internal
VPN Settings
Usando NAT Pool) networks. Alternative to using the Virtual
Adapter (next setting below in this table).
(Vea Gestionar las Direcciones IP de Clientes
VPN (pag. 785).)
Opciones para configurar el cliente VPN con un
Virtual IP address (Using segundo, virtual, adaptador de red con una
Virtual Adapter) direccin IP asignada por DHCP para
(Direccin IP Virtual - Usando conexiones dentro de la VPN. Alternativa a usar
Adaptador Virtual) el NAT Pool (opcin previa encima en esta
Propiedades del
tabla).
elemento pasarela
VPN Interna Muestra las opciones del Cliente VPN desde las
Pestaa VPN propiedades del elemento Cortafuegos para su
Firewall Advanced Settings
Client conveniencia, puesto que el espacio de
(Opciones Avanzadas del
(Vea Gestionar las direcciones para el NAT Pool no debe solaparse
Cortafuegos)
Direcciones IP de con el espacio de direcciones del Adaptador
Clientes VPN (pag. Virtual si se usan ambos.
785).) Pasarelas de respaldo a contactar en caso de
cada en el extremo de la pasarela (en el orden
Backup Gateways
de contacto). Esta funcionalidad requiere
(Pasarelas de Respaldo)
Clientes VPN IPsec StoneGate versin 5.1 o
superior.
Cipher Algorithms (Algoritmos
de Cifrado)
AES-128
AES-256
3DES
Estos son los algoritmos soportados para la
Message Digest Algorithms
versin actual de los clientes VPN de StoneGate.
Propiedades del (Algoritmos de Resumen del
elemento Perfil de Mensaje)
VPN MD5
Pestaa IKE SHA-1
(Phase 1) SHA-256
(Vea Definir Diffie-Hellman Group
No soportado por Clientes VPN StoneGate
Opciones de IKE 1 (768 bits)
(Fase 1) para una Authentication Methods
VPN (pag. 735).) (Mtodos de Autenticacin)
Pre-shared key (Clave pre- Estas opciones no tienen efecto en las
compartida) conexiones de cliente VPN. Vea la pestaa VPN
Negotiation Mode (Modo de Client en su lugar
Negociacin) .
Authentication Mode (Modo de
Autenticacin)
Tabla 17: Opciones de Cliente VPN en el Management Client (Continuacin)

Cipher Algorithms (Algoritmos
de Cifrado)
AES-128
AES-256
AES-CGM Estos son los algoritmos soportados para la
3DES versin actual de los clientes VPN de
Propiedades del Message Digest Algorithms StoneGate.
elemento Perfil de (Algoritmos de Resumen de AES-XCBC-MAC requiere clientes VPN
VPN Mensaje) StoneGate versin 5.0 o superior .
(*)
Pestaa IKE AES-XCBC-MAC
(Phase 2) MD5
(Vea Definir SHA-1
Opciones de IPsec SHA-256
(Fase 2) para una
IPsec Type (Tipo IPsec) Slo se soporta ESP.
VPN (pag. 737).)
No soportado en el Cliente VPN IPsec
Compression Algorithm
StoneGate (y dispositivo Cortafuegos/VPN)
(Algoritmo de Compresin)
versiones 4.2 y 4.3. Otras versiones soportan
Deflate
esta opcin.
PFS Diffie-Hellman Group
No soportado por Clientes VPN StoneGate
1 (768 bits)
Authentication Method El mtodo de autenticacin seleccionado para
(Mtodo de Autenticacin) usar con clientes VPN StoneGate.
Negotiation mode (Modo de Los Clientes VPN StoneGate soportan slo el
negociacin) ms seguro modo principal. Esta opcin no
Main (Principal) puede desactivarse.
Los usuarios del cliente VPN se autentican con
Allow Hybrid Authentication
usuario y contrasea (u otro tipo de cdigo de
(Permitir Autenticacin
paso) y la pasarela se autentica ante el cliente
Hbrida)
con un certificado.
Permite la autenticacin usando el common
name del certificado como nombre de usuario.
Allow CN authentication
Propiedades del El CN se comprueba contra un valor
(Permitir autenticacin CN)
elemento Perfil VPN mintroducido en los elementos Usuario
Pestaa VPN .
Client Allow Pre-Shared Key
(Vea Definir Authentication (Aggressive Esta opcin no tiene efecto sobre las
Opciones de Cliente Mode Allowed) conexiones de clientes VPN StoneGate, puesto
VPN (pag. 740).) (Permitir Autenticacin con que no se soporta la autenticacin con clave
Claves Pre-Compartidas pre-compartida.
Modo Agresivo Permitido)
Define si las SAs se negocian por red o por
Security Association
cada direccin IP que se conecta. Slo se
Granularity (Granularidad de
soporta SA Per Net en Clientes VPN IPsec
la Asociacin de Seguridad)
StoneGate.
Define si el Cliente VPN IPsec comprueba la
Local Security Checks presencia de software de seguridad bsico para
(Comprobaciones Locales de parar conexiones de ordenadores en riesgo.
Seguridad) Esta funcionalidad requiere Clientes VPN IPsec
StoneGate versin 5.0 o superior.
Tabla 17: Opciones de Cliente VPN en el Management Client (Continuacin)

Esta opcin no tiene efecto en las conexiones de
Elemento VPN Pre-shared key fields
clientes VPN. Las claves pre-compartidas para
Pestaa (Campos de clave Pre-
conexiones de clientes VPN se definen por cuenta
Tunnels Compartida)
de usuario en los elementos Usuario.
(*)
La versin Rusa del producto no dispone de algoritmos de cifrado fuertes.
Gestionar las Direcciones IP de Clientes VPN

Hay dos mtodos diferentes de definir las direcciones IP que usan los clientes VPN en la red
interna. Siempre debe configurar uno u otro cuando quiera crear una VPN cliente-a-pasarela
para que la VPN sea vlida. Los mtodos son como sigue:
1. Puede usar NAT para trasladar las direcciones IP en las comunicaciones, que dar a los
Clientes VPN una direccin IP interna de la red interna sin necesidad de un servidor DHCP.
Esto se llama un NAT Pool.
Este mtodo no se recomienda para Clientes VPN IPsec StoneGate, puesto que no
permite a los clientes hacer peticiones a servidores DNS internos sin una configuracin
manual.
Las reglas de NAT no deben aplicarse a comunicaciones de clientes que reciben sus
direccions mediante la funcionalidad NAT Pool (que tambin usa NAT).
El mtodo NAT Pool no requiere funcionalidad alguna del lado del cliente.
2. (Recomendado para Clientes VPN IPsec StoneGate) Puede usar un servidor DHCP para asignar
a los clientes VPN una segunda, vitual, direccin IP que se usar en las comunicaciones a travs
del tnel VPN. La direccin IP se asocia a un Adaptador Virtual. Usar este mtodo proporciona los
siguientes beneficios sobre el NAT Pool:
Configure centralmente las opciones de DNS para cualquier versin de Clientes VPN IPsec
StoneGate cuando se conecten (usando se Servidor DHCP).
Controle la direccin IP que se asigna a cada Cliente VPN (dependiendo del servidor
DHCP).
Reenve el trfico de VPN cliente-a-pasarela a una VPN sitio-a-sitio y/o enrute el trfico de
Internet desde el ordenador cliente a travs de la pasarela para su inspeccin.
Abra nuevas conexiones tambin desde la red interna a los ordenadores Clientes VPN a
travs de la VPN.
Para usar el Adaptador Virtual, el software de cliente VPN debe soportar esta
funcionalidad. No todos los clientes VPN de terceros tienen la funcionalidad de Adaptador
Virtual.
Los clientes VPN de terceros no necesariamente requieren usar uno de estos mtodos si las
comunicaciones pueden usar una direccin IP configurada localmente. Los clientes VPN
StoneGate siempre requieren o NAT Pool o el Adaptador Virtual. Activar tanto el NAT Pool como
el Adaptador Virtual es tcnicamente posible, pero la traslacin de direcciones del NAT Pool se
aplica a todo el trfico de cliente de VPN cuando se activa, incluyendo conexiones de hosts que
usan un Adaptador Virtual.
Para Continuar:
Configurar NAT Pool para Clientes VPN (pag. 786)
Configurar Direccionamiento IP Virtual para Clientes VPN (pag. 787)
Tareas Relacionadas
Para una discusin detallada sobre el uso de una direccin IP virtual, vea la RFC 3456.
Configurar NAT Pool para Clientes VPN

El NAT pool define un rango de direcciones IP que el cortafuegos puede usar para trasladar
la direccin origen de las conexiones desde clientes VPN mviles. El NAT pool taslada las
direcciones del mismo modo que lo hacen las reglas de NAT. Las conexiones que usan el
NAT Pool no deben coincidir con ninguna regla de NAT.
Nota Asegurese de que NAT est activado para esta VPN. La opcin Enable NAT
with this VPN (Activar NAT con esta VPN) en las propiedades del elemento VPN debe
ser seleccionada. En otro caso las opciones de NAT pool no tienen efecto.
Para definir el NAT Pool

1. Abra las propiedades del elemento Cortafuegos.
2. Cambie a la pestaa Advanced Settings (Opciones Avanzadas).
3. Pulse el botn VPN Settings (Opciones de VPN). Se abrir el dilogo de Opciones de
VPN.
Ilustracin 296: Opciones de VPN
4. Seleccione la opcin Translated IP address (using NAT Pool) (Direccin IP

trasladada Usando NAT Pool).
Nota Si NAT Pool est activo, se usa para trasladar conexiones de clientes VPN que
tienen una direccin IP virtual. No es posible excluir hosts con una direccin IP virtual de
estar sujetos a la traslacin de direcciones de NAT Pool.
5. Introduzca las direcciones IP y puertos que quiere usar para trasladar el trfico de
cliente VPN en IP Range (Rango de IPs) y Port Range (Rango de Puertos).
Precaucin Asegrese de que las direcciones que define aqu no se solapan con
direcciones que estn en uso en sus redes. Adems, las direcciones no deben solaparse
con ningn espacio de direcciones trasladadas en sus reglas de NAT.
Configurar Direccionamiento IP Virtual para Clientes VPN

Esta funcionalidad requiere:
Que use un servidor DHCP externo para asignar las direcciones IP.
Que los usuarios usen un cliente VPN con la funcionalidad de Adaptador Virtual. Todos los
Clientes VPN IPsec StoneGate siempre tienen esta funcionalidad instalada y activa.
El Adaptador Virtual asigna al cliente VPN una segunda direccin IP para comunicaciones a
travs de la VPN, independiente de la direccin que el ordenador cliente VPN usa en su red
local.
La mayora de servidores DHCP permiten una configuracin en la que a un ordenador cliente
particular se le asigna siempre una direccin IP particular, por ejemplo, basada en su
direccin MAC (si los clientes VPN tienen direcciones MAC fijas para sus Adaptadores
Virtuales).
Para Continuar:
Para configurar el direccionamiento virtual, proceda a Configurar la Pasarela para
Clientes con Direccin IP Virtual.
Configurar la Pasarela para Clientes con Direccin IP Virtual

Para definir el Direccionamiento IP Virtual para Clientes VPN
2. Seleccione la rama Gateways (Pasarelas) en el rbol de elementos y haga doble click
sobre la Pasarela a la que se conectarn los clientes VPN.
3. Cambie a la pestaa VPN Client.
Ilustracin 297: Propiedades de Pasarela de Seguridad Interna - VPN Client
4. Seleccione la opcin Virtual IP Address (using Virtual adapter) (Direccin IP Virtual

Usando Adaptador Virtual). Se activarn las opciones siguientes.
5. (Opcional) Seleccione Use Proxy ARP (Usar Proxy ARP) para hacer que el dispositivo
cortafuegos/VPN acte como proxy para las peticiones ARP del cliente VPN y pulse el
botn Edit (Editar) correspondiente para seleccionar el rango de direcciones para definir
el mbito de esta opcin.
Nota La opcin Proxy ARP puede ser requerida para que funcione la VPN dependiendo
de su configuracin de red.
6. (Opcional) Seleccione Restrict Virtual Address Ranges (Restringir Rangos de

Direcciones Virtuales) y pulse Edit (Editar) para seleccionar las direcciones IP que se
permite que el servidor DHCP asigne.
Con esta opcin, puede obligar a que las direcciones de los clientes VPN se
mantengan en un rango establecido, incluso aunque el servidor DHCP intente asignar
alguna otra direccin IP. Si se asigna un direccin incorrecta, el usuario puede no ser
capaz de acceder a los recursos.
Estos rangos de direcciones no deben solaparse con el NAT Pool. La configuracin del
NAT Pool se muestra para su referencia abajo en la pestaa VPN Client.
Nota Si NAT Pool est activo, se usa para trasladar conexiones de clientes VPN que
tienen una direccin IP virtual. No es posible excluir hosts con una direccin IP virtual de
estar sujetos a la traslacin de direcciones de NAT Pool.
7. Seleccione Use DHCP (Usar DHCP) para definir las opciones de DHCP para los
clientes VPN.
8. Pulse el botn DHCP Servers (Servidores DHCP) y seleccione el elemento Servidor
DHCP correcto.
9. (Opcional) Seleccione la opcin Use Local Relay (Usare Reenvo Local) para forzar el
uso de mensajes de reenvo DHCP unicast para las peticiones de DHCP de los clientes
VPN incluso si el servidor DHCP est en una red directamente conetcada en relacin
con el dispositivo cortafuegos.
Por defecto, el dispositivo cortafuegos/VPN enva un mensaje de broadcast de cliente
DHCP normal a un servidor DHCP situado en una red directamente conectada.
Los mensajes de reenvo DHCP unicast se usan siempre cuando se envan peticiones
DHCP a un servidor DHCP situado tras un dispositivo pasarela externo.
10. (Opcional) Seleccione Add User information (Aadir informacin de Usuario) o Add
Group information (Aadir informacin de Grupo) para aadir la informacin de
usuario o de grupo de usuarios del Cliente VPN (en la forma: usuario@dominio o
grupo@dominio) a los paquetes de peticin DHCP en el campo de la opcin Remote ID.
Su servidor DHCP debe soportar la opcin de Informacin de Agente de Reenvo
DHCP para usar esta informacin.
Dependiendo de la configuracin de su servidor DHCP, esta informacin puede usarse
como base para la seleccin de la direccin IP..
11. Elija una direccin NDI en NDI for DHCP Relay (NDI para el Reenvo DHCP) a usar
como direccin de origen para los paquetes DHCP cuando se consulte al servidor
DHCP (el interfaz hacia el servidor DHCP).
12. Si tiene una necesidad especfica para hacerlo, puede cambiar el tamao mximo
permitido de paquete para las peticiones de DHCP reenviadas en la lista desplegable
Max Packet Size (Tamao Mximo de Paquete).
Para Continuar:
El reenvo DHCP no est permitido en la plantilla por defecto. Para permitir este
trfico, siga la configuracin en Permitir el Reenvo DHCP en la Poltica (pag. 789).
Permitir el Reenvo DHCP en la Poltica

El reenvo DHCP no est permitido en la plantilla por defecto. De cualquer modo, hay una
sub-poltica de reenvo DHCP preparada que puede usar en su propia poltica.
Nota La sub-poltica tambin contiene reglas para el reenvo DHCP local entre redes
internas. Si slo est activa una de estas funcionalidades de reenvo DHCP, las reglas
para la otra funcionalidad son invlidas y se ignoran al instalar la poltica.
Para activar la sub-poltica de reenvo DHCP

1. Abra la poltica del cortafuegos (o una plantilla de poltica) para su edicin.
2. Inserte una regla qure redirija la inspeccin a las subreglas de reenvo DHCP:
Origen, Destino y Servicio: pulse botn derecho en cada celda y seleccione Set to ANY
(Establecer a Cualquiera).
Accin: Pulse la celda y elija Jump (Saltar) de la lista que se abre. Seleccione DHCP
Relay (Reenvo DHCP) y pulse Select (Seleccionar).
Para Continuar:
Refresque la poltica del cortafuegos antes de usar esta configuracin.
Exportar la Configuracin del Cliente VPN a un Fichero

Prerrequisitos: La VPN cliente-a-pasarela debe estar totalmente configurada, vea Empezar con VPNs IPsec
Puede exportar las opciones para los Clientes VPN IPsec StoneGate desde el Management
Center. Esto permite el despliegue de nuevos clientes sin requerir que los usuarios aadan
las pasarelas VPN manualmente.
Para exportar la configuracin de Cliente VPN IPsec StoneGate
2. Seleccione la rama Gateways (Pasarelas) en el rbol de elementos y haga doble click
sobre la Pasarela a la que se conectarn los clientes VPN.
3. Seleccione ToolsSave Gateway Contact Information (HerramientasGuardar
Informacin de Contacto de Pasarela) y guarde el fichero resultante.
Genere un fichero separado para cada pasarela a la cual los clientes se conectan directamente.
Para Continuar:
Haga disponible la configuracin a los Clientes VPN segn se explica en la Gua
StoneGate IPsec VPN Client Administrators Guide.
791 Opciones d
MANTENIMIENTO Y
ACTUALIZACIONES
En esta seccin:
Hacer Copias de Seguridad y Restaurar las Configuraciones del Sistema - 793
Gestionar Datos de Logs - 799
Gestionar y Programar Tareas - 813
Gestionar Licencias - 823
Actualizar el Management Center - 833
Actualizar los Dispositivos - 839
Actualizaciones Dinmicas Manuales - 845

Hacer Copias de Seguridad y Restaurar las Configuraciones del Sistema 793
CAPTULO 54
HACER COPIAS DE SEGURIDAD Y

RESTAURAR LAS CONFIGURACIONES DEL
SISTEMA
Las Copias de Seguridad conitenen la informacin necesaria para restaurar el SMC al

estado en que estaba cuando se tom la copia de seguridad, incluyendo la informacin de
configuracin de los dispositivos cortafuegos e IPS que almacena el Management Server.
Empezar con las Copias de Seguridad (pag. 794)

Crear Copias de Seguridad (pag. 795)
Almacenar Ficheros de Copia de Seguridad (pag. 796)
Restaurar Copias de Seguridad (pag. 796)
Recuperarse de un Fallo Hardware (pag. 798)
Empezar con las Copias de Seguridad

Qu Hacen las Copias de Seguridad

Las Copias de Seguridad le permiten guardar y restaurar las configuraciones del
Management Server y Log Server StoneGate en el mismo sistema o en un host fsico
diferente.
La copia de seguridad del Management Server contiene las polticas, elementos y otros
detalles de configuracin esenciales para todos los componente Cortafuegos/VPN e IPS
que gestionan, as como la configuracin del propio Management Server.
La copia de seguridad del Log Server contiene la configuracin local del Log Server y
opcionalmente los logs.
Restaurar las copias de seguridad le permite restaurar las configuraciones del SMC al mismo
estado exacto en que estaban cuando se tom la copia de seguridad incluso si los restaura
en una instalacin completamente nueva.
Las copias de seguridad se necesitan para recuperarse de la prdida de configuraciones del
sistema, por ejemplo, debidas a un fallo hardware. Una copia de seguridad tambin le
permite cambiar los servidores SMC a hardware diferente.
Limitaciones
Las claves privadas de los certificados del dispositivo se almacenan localmente en los
dispositivos y no puede hacerse copias de seguridad de ellas.
El Management Server es el nico lugar que contiene una informacin de configuracin
completa y til para cualquier componente dispositivo individual del sistema. Los dispositivos
contienen una copia d etrabajo de los detalles de configuracin que les permite ejecutar la
inspeccin independientemente, pero no es posible extraer esta informacin de los
dispositivos en caso de que el Management Server se pierda. Las copias de seguridad
preidicas del Management Server son por tanto esenciales y deben ser almacenadas en
una localizacin segurda fuera de la mquina del Management Server.
Haga siempre una copia de seguridad usando la herramienta interna de copia de seguridad
de StoneGate. Las aplicaciones de copia de seguridad externas que respaldan al servidor
pueden no producir copias utilizables de su sistema StoneGate, especialmente si los
servidores StoneGate estn ejecutndose cuando se realiza la copia.
Las copias de seguridad de las versiones mayores anteriores de StoneGate siempre se
pueden restaurar en la verisn mayor actual de StoneGate. Las copias de seguridad de
versiones ms antiguas pueden no ser seimpre recuperables. Generalmente, las copias de
seguridad pueden restaurarse entre versiones que soportan actualizaciones directas entre
versiones (vea las Release Notes para detalles especficos de la versin).
Nota Si su configuracin contiene elementos para Inspeccin HTTPS, las claves

privadas y certificados de Credenciales de Proteccin de Servidor y Certificados de
Autoridades de Proteccin de Clientes estn incluidas como texto plano en la copia del
Management Server. Use la opcin de cifrado para las copias cuando la configuracin
contenga elementos de Inspeccin HTTPS. Para ms informacin, vea Configurar la
Inspeccin HTTPS (pag. 655).

1. Haga copias de seguridad de los Management Servers y Log Servers regularmente segn se
indica en Crear Copias de Seguridad (pag. 795) o programe tareas de copia a intervalos
regulares segn se explica en Crear Tareas de Copia de Seguridad (pag. 817) y Programar
Tareas (pag. 820).
2. Guarde los ficheros de copia en una localizacin segura segn se explica en Almacenar
Ficheros de Copia de Seguridad (pag. 796).
3. Cuando se necesite, restaure una copia segn se indica en Restaurar Copias de Seguridad
(pag. 796).
Crear Copias de Seguridad

Las copias de seguridad del Management Server incluyen toda la informacin de

configuracin, incluyendo licencias, los certificados de los componentes del servidor
necesarios para las comunicaciones del sistema, la CA raiz y las cuentas de usuario
almacenadas localmente. Las configuraciones que cree en el SMC para los componentes
dispositivos se incluyen en la copia de seguridad del Management Server backup, de forma
que estos componentes no necesitan de una copia de seguridad independiente.
La copia de seguridad del Log Server contiene la informacin de configuracin del Log
Server y opcionalmente tambin los datos de log almacenados en el servidor. Existe un lmite
configurbale del tamao de la copia de seguridad del Log Server.
Las siguientes directrices explican cmo usar el Management Client para crear y gestionar
copias de seguridad. Tambin es posible cerarlas desde la lnea de comando, vea
Herramientas de Lnea de Comando (pag. 917). El fichero de copia de seguridad en s mismo
es igual independientemente del mtodo utilizado.
Nota Para crear una copia de seguridad del Management Server, debe haber espacio
suficiente en el servidor. Se requiere el doble del tamao de la base de datos. Si no hay
espacio suficiente, el proceso de copia de seguridad no se inicia.
Para crear copias de seguridad

1. Seleccione FileSystem ToolsBackup (ArchivoHerramientas del SistemaCopia
de Seguridad). Se abrir el dilogo de Propiedades de la Tarea de Copia de Seguridad.
2. Seleccione los servidores de los que quiere hacer copia de la lista de la izquierda y
pulse Add (Aadir). Los servidores seleccionados se aaden a la lista de la derecha.
3. (Opcional) Si quiere crear una copia de seguridadcifrada, seleccione Encrypted
(Cifrada), e introduzca y confirme la contrasea.
Se recomienda usar esta opcin si la configuracin contiene elementos para Inspeccin
HTTPS.
4. (Opcional) Si est creando una copia de seguridad de Log Servers y quiere copiar los
ficheros de log, selecciones Back up Log Files (Hacer Copia de Ficheros de Log).
5. Pulse OK. El progreso se muestra en una pestaa nueva.
Para Continuar:
Copie los ficheros desde el directorio de copia a una localizacin separada y segura
para su almacenamiento, vea Almacenar Ficheros de Copia de Seguridad (pag. 796).
Tareas Relacionadas
Si quiere crear tareas de copia de seguridad y programarlas para que se ejecuten a intervalos
regulares, vea Crear Tareas de Copia de Seguridad (pag. 817) y Programar Tareas (pag. 820).
Para copiar y borrar los datos de log con las herramientas de gestin de logs, vea Empezar con
la Gestin de Datos de Logs (pag. 800).
Almacenar Ficheros de Copia de Seguridad

Prerrequisitos: Crear Copias de Seguridad
Los ficheros de copia de seguridad se guardan en el directorio <directorio de

instalacin>/backups/ en el servidor en el que fueron creados. Se recomienda copiar el
fichero de copia a una localizacin segura, por ejemplo, a medios extraibles u otra mquina.
En otro caso, tendr que recrear manualmente todas las configuraciones si los datos en el
ordenador host se pierden de forma irrecuperable.
Los ficheros de copia de seguridad se comprimen a ficheros .zip o ficheros .enc y tambin
pueden ser descomprimidos manualmente si se necesita. Si es necesario, las copias de
seguridad se dividen en varios ficheros para encajar en el tamao mximo de fichero. Cada
copia de seguridad tiene su propio subdirectorio.
Nota Recuerde gestionar de forma segura los ficheros de copia de seguridad, puesto
que contienen toda la informacin de configuracin del sistema.
Para almacenar ficheros de copia de seguridad

1. Navegue al directorio de copias de seguridad en el Management Server o Log Server:
Las copias de seguridad se almacenan en el directorio <directorio de
instalacin>/backups o un subdirectorio bajo ste.
Las copias no cifradas son ficheros.zip.
Las copias cifradas son ficheros.enc.
2. Copie los ficheros de copia de seguridad a una localizacin de almacenamiento
segura.
Restaurar Copias de Seguridad

Las copias de seguridad de StoneGate creadas en un sistema operativo pueden restaurarse

en una instalacin ejecutndose en algn otro sistema operativo sin ningn procedimiento
especial. Esto es til cuando se cambia el sistema operativo o la plataforma hardware.
Vea las instrucciones de actualizacin en las Release Notes. Si se requiere una
actualizacin intermedia entre la versin actual y la ms nueva, actualice la instalacin
existente a (al menos) una versin intermedia para crear una copia de seguridad de trabajo.
Hay scripts especiales para la Alta Disponibilidad del Management Server para restaurar
una copia de seguridad del Management Server a otr mquina diferente a aqulla donde se
hizo la copia. Para ms informacin acerca de los scripts, vea Herramientas de Lnea de
Comando (pag. 917).
Cuando restaura una copia de seguridad. StoneGate comprueba que haya suficiente
espacio en disco en la unidad de destino. Se requiere el doble del tamao de la copia de
seguridad. Si no hay disponible espacio suficiente, el proceso de restauracin falla.
Tambin es posible restaurar copias de seguridad desde la lnea de comando. Para ms
informacin, vea Herramientas de Lnea de Comando (pag. 917).
Para Continuar:
Para restaurar una copia de seguridad del Management Server, vea Restaurar una
Copia de Seguridad del Management Server (pag. 797).
Para restaurar una copia del Log Server, vea Restaurar una Copia de Seguridad del
Log Server (pag. 797).
Restaurar una Copia de Seguridad del Management Server

Si est restaurando la copia de seguridad para eliminar una actualizacin dinmica de su
sistema, desactive las actualizaciones automticas antes de restaurar la copia de seguridad.
Para restaurar una copia de seguridad del Management Server
1. Compruebe que el fichero de copia de seguridad estn en el directorio <directorio de
instalacin>/backups/ del servidor en cuestin.
Si ha movido el fichero de copia de seguridad a una localizacin diferente, primero
deber copiarlo otra vez al directorio <directorio de instalacin>/backups/.
2. Apague el servicio de StoneGate Management Server mediante la funcionalidad de
gestin de servicios del sistema operativo o usando el script de StoneGate.
Si tiene problemas apagando los servicios, desactive el arranque automtico de los
servicios StoneGate en el sistema operativo y reinicie el ordenador.
3. Arranque el script de restauracin de copia de seguridad:
En Windows, ejecute <directorio de instalacin>/bin/sgRestoreMgtBackup.bat
En Linux, ejecute <directorio de instalacin>/bin/sgRestoreMgtBackup.sh
4. Seleccione el fichero de copia de seguridad a restaurar: los nombres de los ficheros de
copia por defecto del Management Server tienen la siguiente estructura:
sgm_vVERSION.[BUILD]_YYYYMMDD_HHMMSS[comentario].
5. Escriba y y pulse Enter para confirmar la restauracin. Las copias de seguridad cifradas
requieren que introduzca la contrasea usada para cifrar la copia cuando se cre.
Si la operacin de restauracin falla, la configuracin original se mantiene sin cambios.
Para Continuar:
Si la copia se restaura en un sistema con una direccin IP diferente de la del
Management Server donde se hizo la copia, deber completar los pasos necesarios para
cambiar la direccin IP, vea Cambiar la Direccin IP del Management Server (pag. 304).
La copia contiene las CAs (Autoridades de Certificacin) internas. Si componentes en el
sistema tienen certificados de una CA diferente de la contenida en la copia, los
certificados no se aceptarm como vlidos tras la restauracin y tendrn que ser
regenerados segn se explica en Resolucin de Problemas con Certificados (pag. 867).
En otro caso, arranque el Management Server.
Restaurar una Copia de Seguridad del Log Server

Para restaurar un copia de seguridad del Log Server
1. Compruebe que los ficheros de copia de seguridad estn en el directorio <directorio
de instalacin>/backups/ del servidor en cuestin.
Si ha movido los ficheros de copia de seguridad a una localizacin diferente, debe
primero copiarlos al directorio <directorio de instalacin>/backups/.
2. Pare el servicio StoneGate Log Server mediante la funcionalidad de gestin de servicios
del sistema operativo o usando el script de StoneGate.
Si tiene problemas parando los servicios, desactive el arranque automtico de los
servicios de StoneGate en el sistema operativo y reinicie el ordenador.
3. Arranque el scripot de restauracin de copia de seguridad:
En Windows, ejecute <directorio de instalacin>/bin/sgRestoreLogBackup.bat
En Linux, ejecute <directorio de instalacin>/bin/sgRestoreLogBackup.sh
4. Seleccione el fichero de copia de seguridad a restaurar. Los nombres por defecto de los
ficheros de copia de seguridad del Log Server tienen la siguiente estructura:
sgl_vVERSION.[BUILD]_YYYYMMDD_HHMMSS[comentario].
5. Pulse y y pulse Enter para confirmar la restauracin. Las copias de seguridad cifradas
requieren que introduzca la contrasea que se us para cifrar la copia de segurida
cuando se cre.
Si la operacin de restauracin falla, la configuracin original se mantiene sin cambios. Si no
es posible transferir los logs mediante una copia de seguridad, los ficheros de log pueden
copiarse al Log Server mediante el sistema operativo como cualquier otro fichero.
Para Continuar:
Si restaura la copia de seguridad del Log Server en un ordenador con una direccin
IP diferente de la del Log Server donde se cre la copia, complete los pasos
relevantes en Cambiar la Direccin IP del Log Server (pag. 305).
En otro caso, reinicie el Log Server y el Management Server.
Recuperarse de un Fallo Hardware

Para restaurar las configuraciones del Management Server en hardware de sustitucin

1. Instale el software del Management Server (vea la Gua Management Center Installation
Guide). No se requiere la misma versin exacta para la recuperacin, pero todos los
componentes del SMC deben ejecutar la misma versin para funcionar conjuntamente.
2. Restaure la copia de seguridad del Management Server segn se explica en Restaurar
una Copia de Seguridad del Management Server (pag. 797).
Para restaurar las configuraciones del Log Server en hardware de sustitucin
1. Instale el software del Log Server, si no se ha instalado junto al software del
Management Server (vea la Gua Management Center Installation Guide). No se
requiere la misma versin exacta para la recuperacin, pero todos los componentes del
SMC deben ejecutar la misma versin para funcionar conjuntamente.
2. Restaure la copia de seguridad del Log Server segnj se explica en Restaurar una
Copia de Seguridad del Log Server (pag. 797).
Para restaurar las configuraciones de dispositivos cortafuegos e IPS en hardware de
sustitucin
1. Genere una configuracin inicial para el dispositivo en el SMC segn se explica en
Guardar una Configuracin Inicial para Dispositivos Cortafuegos o IPS (pag. 393).
2. Instale el hardware en la red y configrelo del mismo modo que para una nueva
instalacin normal (vea las Guas Installation Guide o Appliance Installation Guide).
3. Cuando se establezca el contacto con el Management Server, instale la poltica. La
configuracin completa de trabajo se transferir al dispositivo.
Nota En algunos casos, la informacin de certificados de VPN IPsec puede perderse y

la instalacin de la poltica falla. Si sucede esto, borre los antiguoscertificados de VPN
IPsec en el Management Client y cree nuevos certificados de VPN para el dispositivo.
Cuando usa la misma CA y detalles del certificado, los nuevos certificados se aceptan
por los otrs componentes. La instalacin de la poltica tambin es posible si desactiva las
configuraciones invlidas (por ejemplo, desactivando todas las reglas de Acceso
especficas de VPN en la poltica). Vea Crear y Firmar Certificados de VPN (pag. 759).
Gestionar Datos de Logs 799
CAPTULO 55
GESTIONAR DATOS DE LOGS
Los logs deben ser activamente gestionados para evitar que el Log Server llene sus
discos duros con logs. Las herramientas de StoneGate le ayudan a gestionar las entradas
de log generadas automticamente de acuerdo con las opciones que defina.
Empezar con la Gestin de Datos de Logs (pag. 800)

Definir Cundo se Generan los Logs (pag. 801)
Archivar Datos de Logs (pag. 802)
Eliminar Datos de Logs (pag. 805)
Exportar Datos de Logs (pag. 809)
Ver una Historia de Tareas de Logs Ejecutadas (pag. 812)
Empezar con la Gestin de Datos de Logs

Cualquier Log Server gradualmente se acabar llenando completamente si los datos de logs
nunca se eliminan. Deber gestionar activamente los datos de logs para evitar que esto
ocurra.
Qu Hacen las Herramientas de Gestin de Logs
Puede gestionar los datos de logs de las siguientes formas:
Exportar los datos de logs de forma que se puedan usar en otro sitio.
Copiar datos de logs a una localizacin de archivado.
Borrar datos de logs antiguos o innecesarios.
Configurar tareas automticas de gestin de logs para exportar, copiar y elimiar los datos
seleccionados.
Reducir el tamao de los logs purgando algunas de las entradas de log antes de que se
almacenen en el Log Server. De cualquier modo, impedir que las entradas de log no
deseadas se creen siempre debera preferirse a purgarlas para evitar un uso innecesario
de recursos.
Limitaciones
Slo los logs en el almacenamiento activo se usan para la generacin de informes. Si
archiva logs, todava puede verlos en la vista de Logs, pero ya no estarn disponibles
cuando genere inforems (vea Informes (pag. 145)).
Los logs de alerta y auditora no pueden ser purgados.

1 Ajuste su sistema prear generar las entradas de log que necesite. Vea Definir Cundo se
Generan los Logs (pag. 801).
2 (Opcional) Configure el archivado de logs para almacenar logs importantes antiguos para un
posible uso posterior y liberar el espacio en el Log Server, vea Archivar Datos de Logs (pag.
802).
3 (Recomendado) Configure tareas de datos de logs programadas para eliminar logs que no se
necesiten a largo plazo. Vea Eliminar Datos de Logs (pag. 805).
4 (Opcional) Configure el purgado de logs para purgar cualesquiera logs innecesarios si se
genera alguno. Vea Purgar Datos de Logs (pag. 807).
Tareas Relacionadas
Cambiar los Parmetros de Configuracin del Log Server (pag. 279)
Exportar Datos de Logs (pag. 809)
Exportar Datos de Log a Syslog (pag. 282)
Para exportar y archivar datos de logs directamente desde la vista de Logs, vea Exportar
Extractos de Datos de Logs (pag. 141).
Definir Cundo se Generan los Logs

Los Logs Normales y de Alerta se generan en base a las condiciones internas en la operacin
de un componente y en base al trfico gestionado por los dispositivos.
Condiciones internas que lanzan logs o alertas:
Hay un error o aviso del sistema.
Falla una prueba de dispositivo. Puede configurar el comprobador de dispositivos en detalle y
seleccionar si los fallos en pruebas lanzan una alerta segn se explica en Configurar el
Comprobador de Dispositivos (pag. 397).
Cambia el estado de un dispositivo (no activo por defecto). Vea Activar/Desactivar la
Monitorizacin de Estado del Dispositivo (pag. 192).
Cuando los valores de un elemento monitorizado exceden un lmite umbral en una Vista
General (no activo por defecto), vea Establecer Umbrales para los Elementos Monitorizados
(pag. 96).
Los diaagnsticos estn activos en en dispositivo cortafuegos (no activo por defecto), vea
Condiciones de trfico que lanzan logs y alertas:
Un lmite de un dispositivo sensor para el nmero de veces que el trfico de un tnel se
recomprueba se ha alcanzado (no activo por defecto), vea Ajustar las Opciones Avanzadas
del Sensor (pag. 428).
El trfico coincide con una regla de su poltica, vea Empezar con la Edicin de Reglas en
Polticas (pag. 510).
Los diagnsticos estn activos en un dispositivo (no activo por defecto), vea
Adicionalmente, puede configurar los Log Servers para recibir logs desde cualquier dispositivo
capaz de enviar logs por syslog, vea Monitorizar Dispositivos de Terceros (pag. 111).
Adems de activar y desactivar el logging y las funcionalidades listadas arriba, pued optimizar el
nmero de logs generados de las siguientes maneras:
Puede configuar en las propiedades del Sensor que el Sensor ignore logs duplicados segn
se explica en Ajustar las Opciones Avanzadas del Sensor (pag. 428).
Puede configurar la compresin de logs para logs de antispoofing y Discard en los
dispositivos cortafuegos segn se explica en Configurar las Opciones de Gestin de Logs
(pag. 426).
Para Continuar:
Para archivar (y eliminar) logs, vea Archivar Datos de Logs (pag. 802).
Para eliminar logs innecesarios, vea Eliminar Datos de Logs (pag. 805).
Archivar Datos de Logs

Puede configurar una Tarea de Archivado de Logs para copiar datos de logs desde el
almacenamiento activo en el Log o Management Server a alguna otra localizacin. La misma
tarea tambin puede eliminar los datos de logs del almacenamiento activo, de forma que no
tenga que configurar una tarea separada para liberar el espacio.
Por defecto, la localizacin del archivado de log es en el mismo disco que el almacenamiento
activo. Para cambiar la carpetas de acrhivado, vea Cambiar los Parmetros de Configuracin
del Log Server (pag. 279).
Nota La Tarea de Archivado de Logs copia los ficheros de log existentes sin
compresin. Esto le permite ver los logs archivados en la vista de Logs pero no se usan
en la vista de Informes cuando se generan los informes.
Para Continuar:
Empiece por Crear una Tarea de Archivado de Logs.
Crear una Tarea de Archivado de Logs

Para crear una tarea de Archivado de Logs
2. Pulse botn derecho en Tasks (Tareas) en el rbol de Administracin y seleccionein the
Administration tree and select NewArchive Log Task (NuevoTarea de Archivado
de Logs) desde el men. Se abrir el dilogo de Propiedades de Tarea de Archivado de
Logs.
Ilustracin 298: Propiedades de Tarea de Archivado de Logs - Pestaa General
3. Introduzca un Nombre (Name) nico y un Comentario (Comment) opcional en texto

libre para su propia referencia.
4. Seleccione el servidor desde el que se archivan los logs y pulse Add (Aadir).
Para Continuar:
Contine por Seleccionar Datos de Log para el Archivado (pag. 803).
Seleccionar Datos de Log para el Archivado

Para seleccionar datos de log para el archivado
1. En las propiedades de la Tarea de Archivado de Logs, cambie a la pestaa Task
(Tarea).
Ilustracin 299: Propiedades de Tarea de Archivado de Logs - Pestaa Task
2. Seleccione el tipo de datos de log para el archivado marcando las opciones de Target
Data (Datos Objetivo).
3. Seleccione el Rango de Tiempo (Time Range) de las entradas de log.
Tiene varias opciones para limitar el rango de tiempo. Por ejemplo, seleccione
Absolute Time Range (Rango de Tiempo Absoluto) en la lista de Rangos de Tiempo
y defina los tiempos de Inicio (Start Time) y de Final (End Time).
4. (Opcional) Especifique un script en el campo Script to Execute After the Task (Script
a Ejecutar Tras la Tarea). El Log Server lanzar este script tras completar la tarea.
Para Continuar:
Contine en Seleccionar Opciones de Operacin para el Archivado de Datos de Log
(pag. 804).
Seleccionar Opciones de Operacin para el Archivado de Datos de

Log
Para seleccionar opciones de operacin para el archivado de datos de log
1. En las propiedades de la Tarea de Archivado de Logs, cambie a la pestaa Operation
(Operacin).
Ilustracin 300: Propiedades de tarea de Archivado de Logs - Pestaa operacin
2. (Opcional) Seleccione el Filtro para Copiar (Filter for Copying). Para instrucciones
sobre cmo definir filtros, vea Filtrado de Datos (pag. 159).
3. En la seccin Source Data Deletion (Borrado de Datos de Origen) seleccione si los
datos a archivar se mantienen en el almacenamiento activo tras copiarlos a la
localizacin de destino. Tambin puede seleccionar que la tarea elimine otros datos del
almacenamiento activo (por ejemplo, la operacin de archivado puede copiar logs
importantes dentro del rango de tiempo y luego limpiar el almacenamiento activo de
todos los logs dentro del rango de tiempo).
Si quiere eliminar los datos archivados del almacenamiento activo, seleccione la opcin
Delete Source Data (Eliminar Datos de Origen).
Si quiere eliminar otros datos del almacenamiento activo mientras archiva los datos,
seleccione la opcin Delete Other Data (Eliminar Otros Datos) y opcionalmente un
filtro de logs para eliminar los otros datos.
4. Seleccione el Directorio Destino de Archivado (Archive Target Directory) de la lista. El
directorio se determina en el fichero de configuracin del Log Server
(LogServerConfiguration.txt). Cambiar los Parmetros de Configuracin del Log Server
(pag. 279) para ms detalles.
5. Pulse OK.
La tarea aparece bajo Task Definitions (Definiciones de Tareas) en la rama Tasks (Tareas)
del rbol de Administracin. Puede ejecutar la tarea manualmente o de acuerdo a una
programacin fijada.
Para Continuar:
Para ejecutar la tarea manualmente, vea Arrancar Tareas Manualmente (pag. 821).
Para hacer que se ejecute automticamente, vea Programar Tareas (pag. 820).
Tareas Relacionadas
Ver Logs de Servidores y Carpetas de Archivado Especficos (pag. 136)
Eliminar Datos de Logs

Para eliminar permanentemente datos de log generados, puede eliminarlos del

almacenamiento activo o eliminarlos segn llegan al Log Server usando filtros de purga.
Para Continuar:
Para eliminar datos de logs guardados, proceda a Crear una Tarea de Borrado de
Logs.
Para borrar los datos de logs segn llegan al Log Server, vea Purgar Datos de Logs
(pag. 807)
Crear una Tarea de Borrado de Logs

La forma recomendada de eliminar logs es configurar una Tarea de Borrado de Logs. En una
emergencia, tambin puede borrar algunos de los ficheros de log del Log Server (la localizacin por
defecto para los logs es en la carpeta <directorio de instalacin>/data/storage).
Para crear una Tarea de Borrado de Logs
2. Pulse botn derecho sobre Tasks (Tareas) en el rbol de Administracin y seleccione
NewDelete Log Task (NuevoTarea de Borrado de Logs) desde el men. Se abrir
el dilogo de Propiedades de Tarea de Borrado de Logs.
Ilustracin 301: Propiedades de Tarea de Borrado de Logs - Pestaa General
3. Introduzca un Nombre (Name) nico y un Comentario (Comment) opcional en texto

libre para su propia referencia.
4. Seleccione el servidor del que se borrarn los logs y pulse Add (Aadir).
Para Continuar:
Contine en Seleccionar Datos para el Borrado de Logs (pag. 806).
Seleccionar Datos para el Borrado de Logs

Para seleccionar datos para el borrado
1. En las propiedades de la Tarea de Borrado de Logs, cambie a la pestaa Task (Tarea).
Ilustracin 302: Propiedades de Tarea de Borrado de Logs - Pestaa Task
2. Seleccione el tipo de datos de log a borrar marcando las opciones Target Data (Datos
Objetivo).
Absolute Time Range (Rango de Tiempo Absoluto) en la lista de Rangos de Tiempo y
defina los tiempos de Inicio (Start Time) y de Final (End Time).
Para Continuar:
Contine en Seleccionar Opciones de Operacin para el Borrado de Logs.
Seleccionar Opciones de Operacin para el Borrado de Logs

Para seleccionar opciones de operacin para el borrado de logs
1. En las propiedades de la Tarea de Borrado de Logs, cambie a la pestaa Operation
(Operacin).
Ilustracin 303: Propiedades de Tarea de Borrado de Logs - Pestaa Operacin
2. (Opcional) Seleccione un filtro de logs que defina qu entradas de log se borrarn. Para
intrucciones sobre cmo definir filtros, vea Filtrado de Datos (pag. 159).
3. Pulse OK.
La tarea aparece bajo Task Definitions (Definiciones de Tareas) en la rama Tasks (Tareas) del
rbol de Administracin. Puede ejecutar la tarea manualmente o de acuerdo a una
programacin fijada.
Precaucin Cuando se arranca esta tarea (bien manualmente o segn programacin),

todos los logs que coinciden con el filtro y rango de tiempos seleccionado se eliminan
permanentemente del almacenamiento activo. Asegrese de que los datos que quiera
guardar se exportan y/o copian a un lugar seguro antes de empezar la operacin.
Para Continuar:
Purgar Datos de Logs

El purgado de datos de logs le permite descartar algunos de los logs generados de acuerdo con
criterios de filtrado detallados que defina. Puede purgar Entradas de log tan pronto como llegan
al Log Server o antes de que se almacenen (permitindole an evrlos en la vista de logs Actual.
Use el purgado con cuidado. Los datos se borran sin dejar traza alguna y no hay forma de
recuperar entradas incorrectamente purgadas. El purgado adems desperdicia recursos
comparado con evitar ue las entradas se generen, puesto que las entradas purgadas todava
deben ser creadas y transferidas al Log Server, y el Log Server todava tiene que procesarlas.
Para evitar que se generen las entradas de log vea Definir Cundo se Generan los Logs (pag.
801).
Puede purgar entradas normales de log; las alertas y entradas de auditora no pueden
purgarse. Los logs se purgan usando filtros de logs. Si necesita ms informacin sobre los
Filtros de logs, vea Filtrado de Datos (pag. 159).
Nota El purgado no tiene efecto sobre logs que ya han sido almacenados. Vea Eliminar
Datos de Logs (pag. 805) acerca de cmo borrar datos almacenados.
Para purgar datos de logs

1. Seleccione ConfigurationLog Data Pruning (ConfiguracinPurgado de Datos de
Logs) desde el emn. Se abrir la vista de Purgado de Logs.
Ilustracin 304: Purgado de Datos de Logs

2. Seleccione la pestaa del tipo de datos de log que quiere purgar.

3. Seleccione un filtro de logs para purgar los datos de logs del rbol en el panel de
Recursos. Si aade varios Filtros de Logs, se combinan con un OR lgico (cada filtro se
comprueba individualmente, de forma que se borran los logs que coinciden con
cualquiera de los filtros seleccionados).
Tambin puede crear un nuevo filtro mediante el icono Nuevo sobre la lista de Filtros.
Para instrucciones sobre cmo crear Filtros, vea Filtrado de Datos (pag. 159).
Precaucin Nunca seleccione el filtro Match All (Coincidir Todo) para el purgado de logs.
Purgar con el filtro Match All destruye irreversiblemente todos los nuevos logs creados.
4. Active el purgado para la fase adecuada:

Pulse Add (Aadir) bajo el campo Immediate Discard (Descartar Inmediatamente) para
purgar los logs antes incluso de que se muestren en la vista de Logs Actuales.
Pulse el botn Add (Aadir) bajo el campo Discard Before Storing (Descartar Antes de
Almacenar) para mostrar las entradas de log en la vista de Logs Actuales y borrarlos
antes de que se almacenane permanentemente.
Precaucin Cualquier entrada de log que coincida con el filtro seleccionado se borra
irrevocablemente. Los cambios hechos a filtros de purgado se aplican inmediatamente.
5. Se mostrar un mensaje de advertencia. Pulse Yes para purgar las entradas de log
seleccionadas. Este cambio se aplica inmediatamente sin necesidad de acciones
posteriores.
Tareas Relacionadas
Desactivar Filtros de Purgado (pag. 808)
Eliminar Datos de Logs (pag. 805)
Desactivar Filtros de Purgado

Los filtros de purgado se desactivan eliminndolos de los paneles de Purgado de Datos de
Logs. Un panel vaco significa que no se purgan los logs.
Para eliminar filtros del purgado de logs
1. Seleccione ConfigurationLog Data Pruning (ConfiguracinPurgado de Datos de
Logs) desde el men. Se abrir la vista de Purgado de Datos de Logs.
2. Seleccione la pestaa adecuada de acuerdo con el tipo de datos de log.
3. Seleccione el filtro que quiere eliminar del purgado en el campo Immediate Discard o
Discard Before Storing.
4. Pulse el botn Remove (Eliminar) bajo el campo que contiene el filtro.
Nota Los Filtros de Log eliminados del purgado siguen disponibles para otros usos
hasta que los elimina de forma separada.
5. Pulse OK en el dilogo que se muestra para confirmar esta accin. Este cambio se
aplica inmediatamente sin requerir acciones posteriores.
Exportar Datos de Logs

Siguiendo los pasos aqu mostrados, puede configurar una tarea de Exportacin de Logs, que
puede usarse en operaciones de exportacin manuales y programadas para exportar un
conjunto especfico de datos de logs desde lso almacenamientos del Log Server y el
Management Server.
Tambin puede exportar extractos de datos de logs mientras los examina, vea Exportar Datos
de la Vista de Logs (pag. 141).
Para enviar los datos de logs a productos externos de monitorizacin, vea Exportar Datos de
Log a Syslog (pag. 282).
Para Continuar:
Empiece por Crear una Tarea de Exportacin de Logs.
Crear una Tarea de Exportacin de Logs

Para crear una Tarea de Exportacin de Logs
2. Pulse botn derecho sobre Tasks (Tareas) en el rbol de Administracin y seleccione
NewDelete Log Task (NuevoTarea de Borrado de Logs) desde el men. Se abrir el
dilogo de Propiedades de Tarea de Borrado de Logs.
Ilustracin 305: Propiedades de Tarea de Exportacin de Logs - Pestaa General
3. Introduzca un Nombre (Name) nico y un Comentario (Comment) opcional en texto libre

para su propia referencia.
4. Establezca el Tipo de Operacin (Operation Type) para seleccionar el formato para los
datos exportados:
Export XML: los logs se exportan en formato XML
Export CSV: los logs se exportan en formato CSV (comma-separated value)
(Para exportar grabaciones de Trfico de IPS) Export IPS Recordings as PCAP: El
fichero de grabacin de IPS se convierte a formato PCAP, compatible con herramientas
sniffer tales como tcpdump, WinDump, o Wireshark.
(Para exportar grabaciones de Trfico de IPS) Export IPS Recordings as Snoop: El
fichero de grabacin de IPS se convierte a formato Snoop, compatible con herramientas
sniffer como Wireshark.
5. Seleccione el servidor desde el cual se exportan los datos de logs y pulse Add (Aadir).
Para Continuar:
Contine en Seleccionar Datos para la Exportacin de Logs.
Seleccionar Datos para la Exportacin de Logs

Para seleccionar datos para la exportacin de logs
1. En las Propiedades de la Tarea de Exportacin de Logs, cambie a la pestaa Task
(Tarea).
Ilustracin 306: Propiedades de Tarea de Exportacin de Logs - Pestaa Tarea
2. Seleccione el tipo de datos de log a exportar marcando las opciones Target Data
(Datos Objetivo).
Si eligi Export IPS Recordings as PCAP o Export IPS Recordings as Snoop como
Tipo de Operacin en la pestaa General, IPS Recording est seleccionado
automticamente.
Absolute Time Range (Rango de Tiempo Absoluto) en la lista de Rangos de Tiempo y
defina los tiempos de Inicio (Start Time) y de Final (End Time).
Para Continuar:
Contine en Seleccionar Opciones de Operacin para la Exportacin de Logs.
Seleccionar Opciones de Operacin para la Exportacin de Logs

Para seleccionar opciones de operacin para la exportacin de logs
1. En las Propiedades de la Tarea de Exportacin de Logs, cambie a la pestaa Operation
(Operacin).
Ilustracin 307: Tarea de Exportacin XML - Pestaa Operation
2. Seleccione los Directorios de Almacenamiento desde los que Exportar (Storage

Directories to Export From):
Default (por Defecto): el directorio donde se almacenan los datos de logs activos en el
servidor seleccionado.
Primary Archive (Archivado Primario): el directorio donde se almacenan los datos de logs
archivados.
Custom (Personalizado): le permite seleccionar uno o ms directorios de la lista.
3. (Opcional) Seleccione el Filtro para la Exportacin (Filter for Exporting). Para
instrucciones sobre cmo definir filtros, vea Filtrado de Datos (pag. 159).
4. (Opcional; slo grabaciones de trfico IPS) Introduzca el ID de Grabacin de IPS (IPS
Record ID) de la captura de trfico.
5. Defina la localizacin del fichero de destino:
Server (Servidor): el fichero se exporta al directorio export en el servidor.
Local Workstation (Ordenador Local): el fichero se exporta al ordenador que est usando.
6. Especifique un nombre para el fichero de destino (por ejemplo, Mediumalerts.xml) o pulse
Browse para buscar un fichero de exportacin existente.
7. En If file already exists (Si el fichero ya existe), especifique qu ocurreo cuando existe un
fichero anterior con el mismo nombre en la mis carpeta:
Append (Anexar): los nuevos datos se aaden al final del fichero existente.
Overwrite (Sobreescribir): el fichero anterior se sustituye con el nuevo.
Use Number in File Name (Usar Nmero en Nombre de Fichero): se aade un nmero al
final del nombre del nuevo fichero.
Fail Task (Fallar Tarea): la operacin se cancela.
8. Pulse OK.
La tarea aparecer bajo las Definiciones de Tareas en la rama Tasks (Tareas) de la vista de
Administracin. Si quiere eliminar los datos tras exportarlos, configure una tarea para ello
ssegn se explica en Eliminar Datos de Logs (pag. 805).
Para Continuar:
Ver una Historia de Tareas de Logs Ejecutadas

Prerrequisitos: Exportar Datos de Logs / Archivar Datos de Logs / Eliminar Datos de Logs
Hay un fichero de historia en el cual es posible ver todas las tareas ejecutadas previamente
relacionadas con logs (Tareas de Exportacin de Logs, Tareas de Archivado de Logs, y
Eliminar Datos de Logs). El sistema nunca borra este fichero.
Para ver las Tareas ejecutadas previamente
Abra el fichero <Directorio de instalacin>/data/logfile.txt en un editor de textos
para ver las tareas ejecutadas previamente.
Gestionar y Programar Tareas 813
CAPTULO 56
GESTIONAR Y PROGRAMAR TAREAS
Las Tareas definen parmetros de las operaciones de mantenimiento del sistema.

Puede ejecutar operaciones de mantenimiento manual o automticamente de
acuerdo a una programacin establecida.
Empezar con Tareas (pag. 814)

Tipos de Tareas (pag. 815)
Crear Nuevas Definiciones de Tareas (pag. 817)
Programar Tareas (pag. 820)
Arrancar Tareas Manualmente (pag. 821)
Pausar la Ejecucin Programada de una Tarea (pag. 821)
Cancelar una Programacin de Tarea (pag. 821)
Parar la Ejecucin de Tareas (pag. 822)
Empezar con Tareas

Qu Hacen las Tareas

Con los elementos Tareas, puede iniciar operaciones de mantenimiento bien manualmente
o de acuerdo con una programacin. Puede realizar los siguientes mantenimientos con
Tareas:
Hacer copias de seguridad del Management y Log Servers.
Cargar Polticas.
Actualizar el software de dispositivos remotamente.
Exportar, archivar y eliminar logs.
Sincronizar Management Servers redundantes en una configuracin de alta
disponibilidad.
Hay adems ciertas tareas del sistema pre-configuradas que se ejecutan automticamente
en su sistema, y que puede ver cuando trabaja con elementos Tareas.
Programar las tareas le permite ejecutar automticamente operaciones regulares o una
nica vez,, por ejemplo, durante una ventana de mantenimiento regular.
Cuando se programan copias de seguridad automticas, puede quere que los datos se
muevana un lugar seguro automticamente. Esto se puede conseguir mediante scripts del
sistema operativo, que las Tareas pueden lanzar cuando finalizan. Con los Log Servers,
puede cambiar las localizaciones de las copias de seguridad y de archivado de logs en el
fichero de configuracin local del Log Server.
Vea Tipos de Tareas (pag. 815) para descripciones cortas de todos los tipos de Tareas.

1. Defina los parmetros de la Tarea segn se explica en Crear Nuevas Definiciones de Tareas
(pag. 817).
2. (Opcional) Configure la ejecucin automtica de la Tarea segn se explica en Programar
Tareas (pag. 820).
3. Ejecute las Tareas cuando sea necesario segn se describe en Arrancar Tareas Manualmente
(pag. 821).
Tareas Relacionadas
Pausar la Ejecucin Programada de una Tarea (pag. 821)
Cancelar una Programacin de Tarea (pag. 821)
Parar la Ejecucin de Tareas (pag. 822)
Tipos de Tareas
Las Tareas se basan en Definiciones de Tareas. Hay dos tipos de Definiciones de Tareas:
Definiciones de Tareas personalizadas y Definiciones de Tareas del Sistema predefinidas. Para
ver las Definiciones de Tareas o crear nuevas Definiciones de Tareas, navegue a TasksTask
Definitions (TareasDefiniciones de Tareas) en la vista de Configuracin de Administracin.
La siguiente tabla explica los tipos de Tareas personalizadas que puede crear.
Tabla 170: Definiciones de Tareas Personalizadas
Definicin de Tarea Explicacin

Tarea de Copia de Crea ficheros de copia de seguridad para los Management Servers y/o Log
Seguridad Servers seleccionados. Vea Crear Tareas de Copia de Seguridad (pag. 817).
Crea un fichero ZIP que contiene copias de los ficheros de configuracin y
Tarea SGInfo ficheros de trazas del sistema para los componentes seleccionados para el
soporte tcnico de Stonesoft. Vea Crear Tareas SGInfo (pag. 820).
Tarea de Refresco de Refresca la poltica actualmente instalada en los dispositivos seleccionados.
Polticas Vea Crear Tareas de Refresco de Polticas (pag. 818).
Tarea de Carga de Carga la poltica seleccionada en los dispositivos seleccionados. Vea Crear
Poltica Tareas de Carga de Polticas (pag. 818).
Tarea de Actualizacin Actualiza remotamente el software en los dispositivos seleccionados. Vea
Remota Crear Tareas de Actualizacin Remota (pag. 819).
Tarea de Exportacin Copia los datos de logs desde el almacenamiento o lugar de archivado activo
de Logs a la localizacin seleccionada. Vea Exportar Datos de Logs (pag. 809).
Tarea de Archivado de Copia los datos de logs desde el almacenamiento activo a la localizacin
Logs seleccionada. Vea Archivar Datos de Logs (pag. 802).
Tarea de Borrado de Borra los datos de logs del almacenamiento activo. Vea Eliminar Datos de
Logs Logs (pag. 805).
Adems de las Definiciones de Tareas que puede crear y personalizar, hay Definiciones de
Tareas predefinidas para varias tareas del sistema. Puede ejecutar las Tareas del Sistema
manualmente o reprogramarlas, pero no puede cambiar las opciones de las Definiciones de
Tareas del Sistema.
Tabla 171: Definiciones de Tareas del Sistema
Task Definition Explanation

Crear Instantneas Crea automticamente una instantnea de todos los elementos del sistema
de Todos los despus de que un paquete de actualizacin se haya activado. La
Elementos del informacinm de instantnea se usa cuando los administradores comparan
Sistema instantneas de polticas.
Borra Tareas
Borra las entradas antiguas de la lista de Tareas Ejecutadas.
Ejecutadas Antiguas
Borra Instantneas de Polticas antiguas. Para ms informacin sobre las
Borrar Instantneas
Instantneas de Polticas, vea Comprobar y Comparar Versiones de Poltica
Antiguas
(pag. 504).
Tabla 172: Definiciones de Tareas del Sistema (Continuacin)
Definicin de Tarea Explicacin

Desactiva las cuentas de administrador que no han estado activas en el
periodo de tiempo definido en el fichero SGConfiguration.txt. Las
cuentas se desactivan si la opcin Enforce Password Settings (Aplicar
Desactivar Cuentas
Opciones de Contraseas) est activada para los Administradores en la rama
de Administrador No
Access Rights (Derechos de Acceso) de la vista de Configuracin de
Usadas
Administracin. Un Administrador con privilegios no restringidos puede
reactivar las cuentas desactivadas. Vea Definir los Parmetros de Contrasea
y Login para Administradores (pag. 223).
Conecta a los servidores de CRLs definidos en los elementos Autoridad de
Refrescar Listas de
Cewrtificacin de Confianza (vea Definir Autoridades de Certificacin de
Revocacin de
Confianza para Inspeccin HTTPS (pag. 662)) y refresca las listas de
Certificados
revocacin de certificados en los dispositivos.
Genera nuevos certificados para las pasarelas internas si la renovacin
Renovar Certificados
automtica de certificados est activada en las propiedades de las pasarelas
de Pasarelas
internas.
Comprueba el estado de las autoridades de certificacin internas para su
Renovar Autoridades
renovacin automtica. Para garantizar que la renovacin automtica de la
de Certificacin
autoridad de certificacin funciona correctamente, no cambie la programacin
Internas
de esta tarea.
Comprueba el estado de los certificados internos para su renovacin
Renovar Certificados
automtica Para garantizar que la renovacin automtica de los certificados
Internos
funciona correctamente, no cambie la programacin de esta tarea.
Sincronizar Bases de Transfiere los cambios de configuracin hechos en el Management Server
Datos del primario a los Management Servers secundarios cuando se usan uno o ms
Management Server Management Servers secundarios para alta disponibilidad.
Cargar Certificados
de Pasarela y
Carga nuevos certificados de VPN IPsec a los dispositivos cortafuegos/VPN.
Autoridad de
Certificacin
Para Continuar:
Crear Nuevas Definiciones de Tareas (pag. 817).
Crear Nuevas Definiciones de Tareas

Puede crear nuevas Tareas para ayudarle a mantener su sistema. Las Definiciones de Tareas
disponibles se explican en Tipos de Tareas (pag. 815). Para las tareas de datos de logs
(Exportar/Archivar/Eliminar), vea Empezar con la Gestin de Datos de Logs (pag. 800).
Para Continuar:
Crear Tareas de Copia de Seguridad (pag. 817)
Crear Tareas de Carga de Polticas (pag. 818)
Crear Tareas de Refresco de Polticas (pag. 818)
Crear Tareas de Actualizacin Remota (pag. 819)
Crear Tareas SGInfo (pag. 820)
Crear Tareas de Copia de Seguridad

Para crear una Tarea de Copia de Seguridad
2. Pulse botn derecho sobre Tasks (Tareas) y seleccione NewBackup Task
(NuevoTarea de Copia de Seguridad). Se abrir el dilogo de Propiedades de Tarea de
Copia de Seguridad.
3. Proporcione un Nombre (Name) descriptivo para la Tarea y opcionalmente un Comentario
(Comment) en texto libre.
4. Seleccione los servidores de los que quiere hacer copia de seguridad de la lista a la
izquierda y pulse Add (Aadir). Los servidores seleccionados se aaden a la lista de la
derecha.
5. (Opcional) Escriba un Backup Comment (Comentario de la Copia), que se mostrar en el
Management Client y se aadir al nombre del fichero de copia.
6. (Opcional) Si quiere crear una copia de seguridad cifrada, seleccione Encrypted (Cifrada),
e introduzca y confirme la contrasea.
7. (Opcional) Si est haciendo copia de seguridad de Log Servers, seleccione la opcin Back
up Log Files (Copiar Ficheros de Log) para copoiar los logs adems de la configuracin
del servidor.
8. Pulse OK. La nueva Tarea de Copia de Seguridad se aade a la lista de Definiciones de
Tareas.
Para Continuar:
Para que la tarea se ejecute automticamente, proceda a Programar Tareas (pag. 820).
Para arrancar la Tarea ahora, proceda a Arrancar Tareas Manualmente (pag. 821).
Crear Tareas de Refresco de Polticas

Para crear una Tarea de Refresco de Polticas
2. Pulse botn derecho sobre Tasks (Tareas) y seleccione NewPolicy Refresh Task
(NuevoTarea de Refresco de Polticas). Se abrir el dilogo de Propiedades de Tarea de
4. Seleccione los dispositivos en los cuales quiere refrescar la poltica de la lista de la izquierda
y pulse Add (Aadir). Los dispositivos seleccionados se aaden a la lista de la derecha.
Nota Si quiere que las conexiones ya establecidas sigan usando la misma informacin de
configuracin (tal como reglas de NAT), asegrese de que Keep Previous Configuration
Definitions (Mantener Definiciones de Configuracin Previas) est seleccionado.
5. (Opcional) Deje seleccionado Validate Policy before Upload (Validar la Poltica antes de la
Carga) si quiere validar las reglas cuando la Tarea se lance manualmente, y seleccione las
opciones asociadas. Vea Validar Reglas Automticamente (pag. 556) para ms informacin.
La validacin de la Poltica es posible si selecciona slo un elemento para la Tarea de
6. (Opcional) Aada un Comentario de Carga (Upload Comment) que se mostrar en las
Instantneas de Poltica creadas desde las instalaciones de la poltica.
7. Pulse OK. La nueva Tarea de Refresco de Polticas se aadir a la lista de Definiciones de
Tareas.
Para Continuar:
Crear Tareas de Carga de Polticas

Para crear una Tarea de Carga de Polticas
2. Pulse botn derecho sobre Tasks (Tareas) y seleccione NewPolicy Upload Task
(NuevoTarea de Carga de Polticas). Se abrir el dilogo de Propiedades de Tarea de
Carga de Polticas.
4. Seleccione los dispositivos o Log Servers en los que quiere cargar la poltica de la lista de la
izquierda y pulse Add. Los dispositivos o Log Servers seleccinados se aaden a la lista de
la derecha.
5. Pulse el botn Select (Seleccionar) al lado del campo Policy (Poltica). Se abre una lista de
polticas.
6. Seleccione la poltica que quiere cargar y pulse Select.
Nota - Si quiere que las conexiones ya establecidas sigan usando la misma informacin de
configuracin (tal como reglas de NAT), asegrese de que Keep Previous Configuration
Definitions (Mantener Definiciones de Configuracin Previas) est seleccionado..
7. (Opcional) Deje seleccionado Validate Policy before Upload (Validar la Poltica antes
de la Carga) si quiere validar las reglas cuando la Tarea se lance manualmente, y
seleccione las opciones asociadas. Vea Validar Reglas Automticamente (pag. 556)
para ms informacin.
La validacin de la Poltica es posible si selecciona slo un elemento para la Tarea de
8. (Opcional) Aada un Comentario de Carga (Upload Comment) que se mostrar en las
Instantneas de Poltica creadas desde las instalaciones de la poltica.
9. Pulse OK. La nueva Tarea de Carga de Polticas se aadir a la lista de Definiciones de
Tareas.
Para Continuar:
Crear Tareas de Actualizacin Remota

Para crear una Tarea de Actualizacin Remota
2. Pulse botn derecho sobre Tasks (Tareas) y seleccione NewRemote Upgrade Task
(NuevoTarea de Actualizacin Remota). Se abrir el dilogo de Propiedades de Tarea
de Actualizacin Remota.
3. Proporcione un Nombre (Name) descriptivo para la Tarea y opcionalmente un
Comentario (Comment) en texto libre.
4. Seleccione la Operacin (Operation) de actualizacin:
Remote Upgrade (transfer + activate) (Actualizacin Remota Transferir y Activar)
carga la nueva configuracin y reinicia el nodo.
Remote Upgrade (transfer) (Actualizacin Remota Transferir) carga la nueva
configuracin sin reiniciar el nodo.
Remote Upgrade (activate) (Actualizacin Remota Activar) reinicia el nodos para
activar una configuracin previamente cargada.
Precaucin No active la nueva configuracin simultneamente en todos los nodos de

un clster. Si quiere programar una Tarea de Actualizacin Remota para varios nodos,
cree dos Tareas de Actualizacin Remota separadas: una para transferir la nueva
configuracin y otra para activarla. Programe la Tarea Activate para ejecutarse slo
cuando se haya completado la Tarea Transfer. Vea Programar Tareas (pag. 820).
5. Seleccione los dispositivos que quiere actualizar de la lista de la izquierda y pulse Add
(Aadir). Los dispositivos seleccionados se aaden a la lista de la derecha.
6. Seleccione el fichero de Actualizacin de Dispositivo (Engine Upgrade) correcto
previamente importado para la actualizacin.
7. Pulse OK. La nuea Tarea de Actualizacin Remota se aade a la lista de Definiciones
de Tareas.
Para Continuar:
Para que la tarea se ejecute automticamente, proceda a Programar Tareas (pag.
820).
Crear Tareas SGInfo

La Tarea SGInfo recopila informacin sobre su sistema para el personal de soporte tcnico
de Stonesoft.
Para crear una Tarea SGInfo
2. Pulse botn derecho sobre Tasks (Tareas) y seleccione NewSGInfo Task
(NuevoTarea SGInfo). Se abrir el dilogo de Propiedades de Tarea SGInfo.
3. Proporcione un Nombre (Name) descriptivo para la Tarea y opcionalmente un
Comentario (Comment) en texto libre.
4. Seleccione los dispositivos cuyos ficheros de configuracion y de trazas del sistema
quiere recuperar de la lista a la izquierda y pulse Add. Los dispositivos seleccionados
se aaden a la lista de la derecha.
5. Seleccione Include Core Files (Incluir Ficheros Core) para incluir tambin los ficheros
core para resolucin de problemas, a menos que se le indique lo contrario.
6. Pulse OK. La nueva Tarea SGInfo se aade a la lista de Definiciones de Tareas.
Para Continuar:
Programar Tareas
Prerrequisitos: Crear Nuevas Definiciones de Tareas
Tras crear Definiciones de Tareas, puede programarlas para que se ejecuten a una hora
conveniente. Si es necesario, puede programar tambin las Tareas del Sistema (vea Tipos
de Tareas (pag. 815)).
Para programar una Tarea
2. Navegue a TasksTask Definitions (TareasDefiniciones de Tareas). Se abrir una
lista de Tareas definidas.
3. Pulse botn derecho sobre la Tarea que quiere programar y seleccione Schedule
(Programar). Se abrir la ventana de Propiedades de la Tarea.
4. Establezca las propiedades de la programacin:
Repeat (Repetir): cada cunto repetir la Tarea. Si selecciona No, la tarea se ejecuta
slo una vez (en el momento especificado).
Start at (Empezar en): la fecha y hora cuando la Tarea inicia la primera ejecucin
programada.
Tip La fecha y hora pueden introducirse manualmente en el formato YYYY-MM-DD
HH:MM:SS. Tambin puede pulsar botn derecho sobre las flechas de Arriba y Abajo
al lado del campo fecha para seleccionar una fecha del calendario.
5. Pulse OK. La programacin se aade como un elemento visible bajo la Definicin de
Tarea en cuestin.
Arrancar Tareas Manualmente

Prerrequisitos: Crear Nuevas Definiciones de Tareas
Si quiere ejecutar una tarea inmediatamente, puede iniciarla desde la lista de Definiciones de
Tareas.
Para arrancar una Tarea
2. Navegue a TasksTask Definitions (TareasDefiniciones de Tareas). Se abrir una
lista de Tareas definidas.
3. Pulse botn derecho sobre la tarea que quiere arrancar y seleccione Start (Arrancar).
La tarea se inicia y se aade a la lista de Tareas en Ejecucin.
Pausar la Ejecucin Programada de una Tarea

Prerrequisitos: Programar Tareas
Si quiere hacer que una Tarea Programada deje de ejecutarse en el momento programado
temporalmente, puede suspender la Tarea Programada. Cuando se suspende una Tarea
Programada, permanece en la lista de Tareas Programadas, pero no se ejecuta en el
momento programado.
Para suspender una Tarea Programada
2. Navegue a TasksTask Definitions. Se abrir una lista de Tareas definidas.
3. Expanda la Definicin de Tarea que quiere suspender. La informacin de programacin
para la tarea se muetra como una rama bajo la Definicin de Tarea.
4. Pulse botn derecho sobre la informacin de programacin y seleccione Suspend
(Suspender). La tarea se suspende.
5. Para reiniciar una tarea suspendida, pulse botn derecho sobre la informacin de
programacin y seleccione Continue (Continuar). La tarea se reanuda y se ejecuta en
el siguiente plazo programado.
Cancelar una Programacin de Tarea

Prerrequisitos: Programar Tareas
Puede eliminar Tareas de la programacion eliminando la informacin de programacin de la

Definicin de Tarea. Eliminar la informacin de programacin no elimina la Definicin de
Tarea: la misma Tarea puede ser programada de nuevo.
Para eliminar una Tarea de la programacin
2. Navegue a TasksTask Definitions. Se abrir una lista de Tareas Definidas.
3. Expanda la Tarea que quiere eliminar de la programacin. La informacin de
programacin para la tarea se muestra como una rama bajo la Definicin de Tarea.
4. Pulse botn derecho sobre la informacin de programacin y seleccione Delete
(Eliminar). Se abrir un dilogo de confirmacin.
Las programaciones de las Tareas del Sistema por defecto no pueden eliminarse.
5. Pulse Yes para confirmar que quiere eliminar la Tarea seleccionada de la
Programacin. La Tarea se elimina de la lista de Tareas Programadas.
Parar la Ejecucin de Tareas

Prerrequisitos: Crear Nuevas Definiciones de Tareas, Programar Tareas, Arrancar Tareas Manualmente
Para abortar una Tarea en Ejecucin

2. Navegue a TasksTask Definitions. Se abrir una lista de Tareas Definidas.
3. Pulse botn derecho sobre la Tarea que quiere parar y seleccione Abort (Abortar). La
ejecucin se para.
Gestionar Licencias 823
CAPTULO 57
GESTIONAR LICENCIAS
Todos los componentes del sistema deben estar licenciados como prueba de compra.
Adems, algunas funcionalidades adicionales pueden ser activadas importando una
licencia de funcionalidad.

Generar Nuevas Licencias (pag. 826)
Actualizar Licencias Manualmente (pag. 827)
Cambiar los Detalles de Asociacin de una Licencia (pag. 828)
Instalar Licencias (pag. 828)
Comprobar si Todos los Componentes estn Licenciados (pag. 831)
Comprobar la Validez y Estado de la Licencia (pag. 831)
Empezar con las Licencias

Las licencias prueban que su organizacin ha adquirido legalmente los componentes

StoneGate qie configura. Las licencias se emiten cuando adquiere un producto y puede
actualizarlas a nuevas versiones soportadas como parte del soporte y contrato de
mantenimiento de cada componente.
Las licencias son generadas por los servidores de licenciamiento online de Stonesoft y se
importan al sistema como ficheros. Las licencias se muestran como elementos en la vista de
Cundo Tengo Que Generar Licencias?
Generalmente, deber generar e importar una licencia para cada dispositivo y cada servidor
de Management Center para empezar a usar el componente. De cualquier modo, hay las
siguientes excepciones:
Todos los Management Servers en el mismo Management Center comparten una nica
licencia (configuracin en alta disponibilidad con un servidor primario y uno o ms
servidores secundarios).
Los dispositivo cortafuegos SOHO no requieren licencias de dispositivo separadas.
Todos los modelos de dispositivo cortafuegos e IPS disponibles actualmente pueden
recuperar una licencia automticamente mediante el Management Server si las
actualizaciones automticas estn activadas. Si el licenciamiento automtico fall, los
dispositivos tienen una licencia temporal de 30 das para darle tiempo para un
licenciamiento manual.
Las licencias de StoneGate SSL VPN pueden ser gestionadas localmente o mediante el
Management Center (empezando en SSL VPN versin 1.4.0).
Algunas funcionalidades adicionales se activan adquiriendo e importando una licencia
especfica de funcionalidad.
Puede necesitar sustituir una licencia vlida existente para activar funcionalidades
adicionales adquiridas.
Qu Significan los Diferentes Tipos de Licencias?
Las licencias se clasifican en base a cmo se asocian a los componentes:
Las licencias estticas estn asociadas a un detalle sobre un componente especfico, en
base a lo cual se asocian automticamente al elemento correcto. Las licencias estticas
de los servidores SMC se asocian a una direccin IP. Las licencias estticas de
dispositivos se asocian al cdigo POS nico del dispositivo.
Las licencias dinmicas (excepto licencias SSL VPN) se asocian al cdigo de licencia
(POL) del Management Server. Debe asociar manualmente las licencias dinmicas al
elemento correcto.
Los tipos de licencias disponibles dependen del componente:
Management Server: siempre es una licencia esttica asociada a la direccin IP.
Log Servers y Web Portal Servers: licencia dinmica o esttica asociada a la direccin IP.
Dispositivos Cortafuegos e IPS StoneGate: licencia esttica asociada a un cdigo POS
(todos los modelos actuales) o licencia dinmica (modelos antiguos).
StoneGate SSL VPN: licencia dinmica especial asociada a dominios DNS en lugar de al
cdigo POL.
Dispositivos instalados en su propio hardware: siempre una licencia dinmica.
Licencias especficas de funcionalidad: siempre una licencia dinmica.
Cundo Tengo Que Actualizar las Licencias?
Los componentes no funcionan sin una licencia vlida. Asegrese siempre de que tiene ina
licencia actualizada preparada antes de hacer un cambio que invalide la licencia previa. Las
licencias tienen que actualizarse para nuevas versiones de software y si el detalle de
asociacin en la licencia cambia:
Actualizacin de Versiones: No se requiere ninguna accin si las actualizaciones

automticas de licencia estn activas, vea Puestas al Da y Actualizaciones del Dispositivo
Automticas (pag. 209). En otro caso, actualice las licencias manualmente. Las
actualizaciones de licencias estn disponibles poco antes de que se libere una nueva
versin.
Cambios en asociaciones: Cambie las licencias manualmente si cambia una direccin IP
usada para asociar una licencia esttica, o si mueve una licencia dinmica a un
Management Server diferente.
Las licencias indica en versin mxima para la cual son vlidas, pero tambin son vlidas
para todas las versiones anteriores del software (excepcin: SSL VPN versin 1.3 o anterior
no pueden usar licencias generadas paa la versin 1.4 o superior). Debe actualizar la licencia
si actualiza un componente a una nueva major release (versin mayor) indicada por un
cambio en los primeros dos dgitos del nmero de versin (por ejemplo una actualizacin de
1.2.3 a 1.3.0 o desde 1.2.3 a 2.0.0). Si slo cambia el ltimo nmero, la licenci existente es
vlida tambin para la nueva versin.
Las licencias de dispositivo no permiten actualizaciones ms alla de la ltima versin que
puede ejecutarse en el dispositivo. Vea www.stonesoft.com/en/support/product_life-cycle
para comprobar qu modelos de dispositivos tienen una ltima versin soportada. Con
hardware de terceros, sea muy cuidadoso de no actualizar el software a versiones que
excedan las capacidades del hardware.
Lmite de Componentes Gestionados del Management Server
El lmite de componentes gestionados afecta a licencias del Management Server que
imponen una restriccin sobre el nmero de elementos gestionados o monitorizados. Si su
licencia de Management Server permite un nmero ilimitado de componentes gestionados,
esta restriccin no aplica en su caso. Para comprobar este detalle, vea las propiedades de la
Licencia del Management Server.
Cada dispositivo se cuenta generalmente como una unidad gestionada en la limitacin, con
algunas excepciones:
Los analizadores y dispositivos virtuales no se cuentan.
Cualquier nmero de dispositivos en clster cuentan como una unidad gestionada nica
(un clster equivale a una unidad gestionada).
Los dispositivos modelo L (por ejemplo, FW-310L) cuentan como media unidad gestionada
(dos componentes equivalen a una unidad gestionada). Si todos los nodos de un clster
son dispositivos modelo L, todo el clster cuenta como media unidad gestionada (los
clsters mixtos se cuentan como una unidad gestionada).
Los cortafuegos SOHO y componentes de terceros que se monitorizan mediante el
Management Center cuentan como un quinto de unidad (cinco componentes equivalen a
una unidad gestionada).
No puede combinar licencias en su sistema. Por ejemplo, dos licencias de Management
Server cada una con una restriccin para cinco componentes gestionados slo le permite
gestionar cinco componentes incluso is asocia ambas licencias a un nico Management
Server.
Para Continuar:
Generar Nuevas Licencias (pag. 826)
Instalar Licencias (pag. 828)
Tareas Relacionadas
Actualizar Licencias Manualmente (pag. 827).
Cambiar los Detalles de Asociacin de una Licencia (pag. 828)
Resolucin de Problemas de Licencias (pag. 879)
Generar Nuevas Licencias

Prerrequisitos: Entrega del dispositivo o informacin de cdigo de licencia de Stonesoft
Las licencias siempre indican la versin ms nueva del software a que tiene derecho, pero
tambin son vlidas para licenciar cualquier versin ms antigua del software.
Generalmente, cada componente debe tener una licencia separada, incluyendo los
componentes del Management Center. Algunas funcionalidades adicionales pueden requerir
tambin una licencia separada.
Nota Su sistema puede ser capaz de generar automticamente licencias para nuevos
dispositivos StoneGate. Para que el licenciamiento automtico funcione, instale una
licencia para los componentes del Management Center y asegrese de que las
actualizaciones automticas funcionan. La licencia temporal instalada de fbrica se
sustituye automticamente con una licencia permanente asociada al POS cuando el
dispositivo se configura para su uso.
Para generar una nueva licencia

1. Vaya al Centro de Licencias online de Stonesoft en www.stonesoft.com/license/.
2. Para conectarse, introduzca el cdigo requerido para identificar una licencia que quiera
usar y pulse Submit (Enviar). Se abrir la pgina de licencias.
El cdigo proof-of-license (POL) identifica una licencia. Puede encontrarlo en el
mensaje de entrega de pedido enviado por Stonesoft (normalmente por e-mail). Para
componentes previamente licenciados, el cdigo POL se muestra tambin en el rbol
de Licencias en la vista de Configuracin de Administracin.
Los dispositivos StoneGate adicionalmente tienen un nmero proof-of-serial (POS) que
puede encontrar en una etiqueta pegada al dispositivo hardware.
3. Compruebe qu componentes se listan como incluidos en esta licencia y pulse
Register (Registrar). Se abrir la pgina de genracin de licencia.
4. Lea las minstrucciones en la pgina y rellene (al menos) los campos requeridos para
todos los componentes incluidos.
5. Introduzca los detalles que asocien cada licencia a un componente de su sistema:
Management Server(s): introduzca la direccin IP que pretende usar ene l servidor. Si
su licencia permite varios Management Servers en el sistema (para alta disponibilidad),
introduzca una lista separada por comas de las direcciones IP de todos los
Management Servers en el mismo SMC.
Otros servidores SMC: introduzca el cdigo POL del Management Server o la direccin
IP que piensa usar en el servidor.
Dispositivos Cortafuegos o IPS: introduzca el cdigo POS deun dispositivo StoneGate
(vea la etiqueta pegada al dispositivo). La opcin de cdigo POS no se muestra para
modelos de dispositivo antiguos que no tienen soporte para licencias basadas en POS,
en cuyo caso deber introducir el cdigo POL del Management Server. La asociacin
por POS se recomienda siempre cuando la opcin est disponible.
Dispositivos SSL VPN: introduzca el dominio DNS de su organizacin.
Nota Si la informacin de asociacin es incorrecta, la licencia no es usable. Si

accidentalmente genera una licencia con informacin de asociacin incorrecta, solicite
un cambio de licencia a travs de las mismas pginas de licenciamiento.
6. Pulse Submit Request (Enviar Peticin). Se ele vniar el fichero de licencia, y adems
estar disponible para su descarga en el Centro de Licenciamiento.
Para Continuar:
Proceda a Instalar una Licencia para un Componente No Licenciado (pag. 828).
Actualizar Licencias Manualmente

Prerrequisitos: Vea Empezar con las Licencias para una visin general
Las licencias son vlidas para cualquier versin del software anterior adems de la versin
indicada en la licencia, de forma que puede actualizar las licencias en cualquier momento sin
afectar a la operacin del sistema.
Puede ver, cambiar y descargar sus actuales licencias en el Centro de Lincecias online de
Stonesoft www.stonesoft.com/license/ conectndose con su cuenta personal (para ver todas
las licencias generadas usando esa cuenta) o introduciendo yn cdigo proof-of-license o
nmero proof-of-serial (para ver la informacin relacionada con una licencia particular).
Si las actualizaciones automticas de licencias estn configuradas (recomendado), sus
licencias se mantienen actualizadas automticamente, pero si lo prefiere, puede actualizar
las licencias manualmente de las siguientes maneras:
Cuando se conecta al Centro de Licencias online, puede actualizar la licencia para los
componentes mostrados mediante los enlaces proporcionados y salvar la licencia como un
fichero que puede importar en el sistema segn se explica en Instalar Licencias (pag. 828).
Puede exportar la informacin de licencias mediante el Management Client y usar el
fichero de texto resultante para actualizar las licencias segn se explica a continuacin.
Para actualizar varias licencias existentes
2. Expanda la rama Licenses (Licencias) y navegue al tipo de Licencias que quiere
actualizar.
3. Seleccione las licencias (Ctrl-click o Shift-click para seleccin mltiple) que quiere
actualizar.
4. Pulse botn derecho sobre uno de los elementos seleccionados y elija Export License
Info (Exportar Informacin de Licencia). Se abrir un dilogo para guardar el fichero.
5. Guarde la informacin a un fichero. Se abrir un dilogo.
6. (Opcional) Pulse Yes para lanzar el formulario online de actualizacin mltiple en el
navegador Web por defecto de su sistema.
7. Enve el fichero de licencia al Centro de Licencias online de Stonesoft usando el
formulario. Las licencias actualizadas se le enviarn y tambin estarn disponibles para
su descarga en el Centro de Licencias online.
Para Continuar:
Para importar las licencias actualizadas, proceda a Sustituir la Licencia de un
Componente Previamente Licenciado (pag. 829).
Cambiar los Detalles de Asociacin de una Licencia

Las licencias asociadas a una direccin IP deben cambiarse si cambia la direccin IP del
componente. Las licencias asociadas al cdigo POL del Management Server deben
cambiarse si quiere transferir las licencias a un Management Server diferente o si cambia la
licencia del Management Server con una licencia con un cdigo POL diferente.
Las licencias asociadas a la direccin IP han estado previamente disponibles para
dispositivos cortafuegos e IPS. Puede usar y actualizar una licencia de dispositivo asociada a
la direccin IP previamente generada, pero debe cambiar la asociacin al cdigo POL del
Management Server si la direccin IP de control del dispositivo cambia.
Las licencias basadas en POS son las recomendadas para dispositivos StoneGate. Estas
estn asociadas al nmero de serie del hardware del dispositivo, y se asocian
automticamente al elemento correcto.
Debe cambiar manualmente las asociaciones basadas en direcciones IP y POL. Para ver,
cambiar, descargar sus licencias actuales en el Centro de Licencias online de Stonesoft
www.stonesoft.com/license/, conctese con su cuenta personal (para todas las licencias que
su cuenta est autorizada a ver) o introduciendo un cdigo proof-of-license o proof-of-serial
(para ver informacin relacionada con una licencia particular).
Para Continuar:
Si la actualizacin automtica de licencias est activa, las licencias cambiadas se
descargan automticamente mientras el cdigo de identificacin de la licencia sea el
mismo.
Para aplicar manualmente nuevas licencias, proceda a Sustituir la Licencia de un
Componente Previamente Licenciado (pag. 829).
Instalar Licencias
Prerrequisitos: Generar Nuevas Licencias / Actualizar Licencias Manualmente
Instalar una Licencia para un Componente No Licenciado

Si su sistema est dividido en Dominios administrativos, las licencias importadas estn
disponibles inicialmente para cualquier Dominio. Cuando la licencia se asocia a un elemento
(automtica o manualmente), la licencia se asigna al Dominio en que se almacena el
elemento. Las licencias no asignadas a ningn dominio tambin pueden asignarse a un
Dominio particular mediante su men de botn derecho.
Precaucin Si elige licenciamiento basado en el cdigo POL del Management Server

para dispositivos, asegrese de asociar las licencias a los elementos dispositivos
correctos y de cambiar la licencia si cambia el hardware del dispositivo. Por ejemplo, si
usa una licencia generada para un dispositivo FW-310 con un dispositivo FW-5105, el
troughpur del dispositivo est limitado muy por debajo de su rendimiento real.
Para instalar una nueva licencia

SistemaInstalar Licencias) desde el men. Se abrir el dilogo de Instalar Ficheros de
Licencias.
2. Seleccione uno o ms ficheros de licencias y pulse Install (Instalar). Las licencias se
importan y se instalan. La mayora de tipos de licencias estarn automticamente
asociadas a los componentes correctos.
4. Si instal una licencia de dispositivo dinmica (asociada al cdigo POL del Management
Servers):
4a. Expanda la rama Licenses (Licencias) y navegue al tipo de Licencias que instal.
4b. Pulse botn derecho sobre la licencia recin importada y seleccione Bind
(Asociar) para elegir el dispositivo correcto. Si se equivoca, puede pulsar botn
derecho y elegir Unbind (Desasociar).
Precaucin Cuando cambia la configuracin en el dispositivo (carga o refresco de

poltica), la licencia se asocia permanentemente al dispositivo. Tales licencias no pueden
ser reasociadas a menos que relicencie o elimine el elemento dispositivo al que est
asociada. Cuando se desasocia, tal licencia se muestra como Retained (retenida).
5. Compruebe que los componentes estn ahora licenciados como se pretenda. Tenga en
cuenta que la lista de Componetes No Licenciados puede mostrar aquellos dispositivos
que tienen una licencia asociada al cdigo POS de un dispositivo, puesto que las
licencias asociadas al POS se asocian a los dispositivos correctos automticamente
cuando el dispositivo es instalado y hace el contacto inicial con el Management Server.
Las licencias de dispositivo se aplican cuando carga o refresca la poltica en los dispositivos.
Tareas Relacionadas
Sustituir la Licencia de un Componente Previamente Licenciado

Si su sistema est dividio en Dominios administrativos, las licencias importadas estn
inicialmente disponibles para cualquier Dominio. Cuando la licencia se asocia a un elemento
(automtica o manualmente), la licencia se asigna al Dominio en el que se almacena el
elemento. Las licencias no asignadas a nungn dominio tambin pueden ser asignadass
manualmente a un Doiminio particular mediante su men de botn derecho.
Precaucin - Si elige licenciamiento basado en el cdigo POL del Management Server

para dispositivos, asegrese de asociar las licencias a los elementos dispositivos
correctos y de cambiar la licencia si cambia el hardware del dispositivo. Por ejemplo, si
usa una licencia generada para un dispositivo FW-310 con un dispositivo FW-5105, el
troughpur del dispositivo est limitado muy por debajo de su rendimiento real.
Licencias invlidas o perdidas pueden impedir que los componentes funcionen. Si est
sustituyendo manualmente licencias en funcionamiento por otras nuevas, le recomendamos
que haga una copia de seguridad del Management Server antes de hacer cambios, de forma
que pueda deshacerlos fcilmente. Vea Crear Copias de Seguridad (pag. 795).
Para instalar una licencia actualizada para un componente ya licenciado
2. Seleccione FileSystem ToolsInstall Licenses desde el men. Se abrir el dilogo
de Instalar Ficheros de Licencias.
3. Seleccione uno o ms ficheros de licencias y pulse Install (Instalar). Las licencias se

importan y se instalan.
Si las licencias slo actualizan la versin de software de una liecencia importada
previamente (el identificador de licencia no cambia) la licencia previa se actualiza con
la nueva sin necesidad de acciones posteriores.
Las licencias estticas (que identifican al componente por el cdigo POS o direccin IP)
se asocian automticamente a los componentes correctos en base a la informacin de
identificacin, a menos que el componente ya disponga de una licencia dinmica
(asociada al cdigo POL del Management Server).
4. Si est sustituyendo la licencia dinmica (asociada al cdigo POL del Management
Server) de un componente con una licencia esttica (asociada a la direccin IP o cdigo
POS):
4a. Expanda la rama Licenses (Licencias) y navegue al tipo de licencias correcto.
4b. Pulsee botn derecho sobre la licencia dinmica asociada actual y seleccione
Replace by static license (Sustituir por Licencia Esttica).
5. Si ha importado una licencia dinmica no asociada automticamente (como se explic
anteriormente):
5a. Expanda la rama Licenses (Licencias) y navegue al tipo de licencias correcto.
5b. Si hay una licencia dinmica previa asociada al elemento, pulse botn derecho
sobre la licencia dinmica antigua y seleccione Unbind (Desasociar).
5c. Pulse botn derecho sobre la nueva licencia y seleccione Bind (Asociar).
5d. Seleccione el dispositivo correcto al que asociar la licencia. Si se equivoca,
puede an pulsar botn derecho sobre la licencia y seleccionar Unbind.
Precaucin - Cuando cambia la configuracin en el dispositivo (carga o refresco de

poltica), la licencia se asocia permanentemente al dispositivo. Tales licencias no pueden
ser reasociadas a menos que relicencie o elimine el elemento dispositivo al que est
asociada. Cuando se desasocia, tal licencia se muestra como Retained (retenida).
6. Compruebe la informacin de licencias mostrada y asegrese de que todos los

componentes que quera licenciar tienen la nueva licencia correcta.
7. Pulse botn derecho sobre cualquier licencia antigua que pueda mostrarse todava y
seleccione Delete (Eliminar).
Los cambios en las licencias de los dispositivos tienen efecto cuando carga o refresca la
poltica en los dispositivos.
Tareas Relacionadas
Comprobar si Todos los Componentes estn Licenciados

Cada Servidor del Management Center Server y cada Cortafuegos, Sensor y Analizador deben
tener su propia licencia. No hay diferencia en licenciar dispositivos en clster comparado con
licenciar un nico cortafuegos o dispositivo sensor.
Para comprobar las licencias, seleccione ConfigurationConfigurationAdministration
desde el men y despus seleccione LicensesUnlicensed ComponentsAll
(LicenciasComponentes No LicenciadosTodos). Esta vista muestra todos los elementos en
su sistema que requieren una licencia pero actualmente no tienen una vlida. Si se muestar
algn componente como no licenciado:
Las licencias de dispositivos generadas en base al cdigo POS de un dispositivo StoneGate
se asocian cuando el dispositivo hace el contacto inicial con el Management Server. Es
normal ver los elementos correspondientes como no licenciados hasta que se hace ese
contacto inicial.
Para generar e instalar nuevas licencias para los componentes listados, vea Generar Nuevas
Licencias (pag. 826).
Si ya ha generado e instalado las licencias, compruebe que los detalles de asociacin son
correctos (cdigo POS, cdigo POL o direccin IP).
Comprobar la Validez y Estado de la Licencia

Compruebe todas las licencias instaladas en la vista de Configuracin de Administracin,

seleccionando ConfigurationConfigurationAdministration desde el men y despus
LicensesAll Licenses (LicenciasTodas las Licencias).
La vista muestra cada licencia y el componente a que est actualmente asociada, junto con la
versin de software ms moderna que la licencia le permite instalar. Las licencias son vlidas
para todas las versiones menores dentro de la versin mayor mostrada (por ejemplo, una
licencia de 5.1 permite instalar 5.1.0, 5.1.1, 5.1.2, etc.) y para cualquier versin previa del
software.
Los estados de las licencias por tipo de licencia se muestran en la siguiente tabla.
Tabla 173: Posibles Estados de una Licencia
Tipo de Estado de la
Explicacin
Licencia Licencia
Bound Una licencia Dinmica asociada y fijada a algn componente. Puede ser
Dinmico
(Asociada) desasociada al estado Retained o sustituida por una licencia esttica.
Una licencia que ha alcanzado el final de su periodo de validez. Slo las
Expired licencias de evaluacin y de dispositivos virtuales tienen un periodo de
Dinmico
(Expirada) validez. Otras licencias son vlidas para la versin indicada sin restricciones
temporales.
Una licencia Dinmica que ha sido desasociada del estado Bound. Puede
ser reasociada al mismo componente con la accin Cancel Unbind
Retained
Dinmico (Cancelar Desasociacin) o cambiada al estado Unassigned completando
(Retenida)
uno de los procedimientos en La Licencia se Muestra como Retained (pag.
880).
Una licencia dinmica no asociada a ningn componente. Puede ser
Unassigned
Dinmico asociada a un componente o eliminada. Para asociar la licencia a un
(Desasignada)
componente, pulse botn derecho sobre la licencia y seleccione Bind.
Tabla 174: Posibles Estados de una Licencia (Continuacin)
Tipo de Estado de la
Explicacin
Licencia Licencia
Una licencia Dinmica asociada a un componente, pero an no fijada
Assigned permanentemente a l porque la poltica del componente an no ha sido
Dinmico
(Asignada) instalada tras asociar la licencia. Puede ser desasociada al estado
Unassigned o eliminada.
Una licencia que fue generada en base a direccin IP o cdigo POS y
asociada actualmente a un componente. Las licencias etsticas no necesitan
asociacin o desasociacin manual, puesto que se asocian
automticamente. Puede ser eliminada. No es posible crear nuevas licencias
Active
Esttico asociadas a la direccin IP para componentes dispositivo, pero licencias de
(Activa)
dispositivo asociadas a la direccin IP creadas previamente pueden estar
presentes en su sistema y pueden actualizarse a nuevas versiones. De
cualquier modo, si se cambia una licencia de otro modo, la asociacin debe
ser tambin cambiada.
Una licencia que ha alcanzado el final de su periodo de validez. Slo las
Expired licencias de evaluacin y de dispositivos virtuales tienen un periodo de
Esttico
(Expirada) validez. Otras licencias son vlidas para la versin indicada sin restricciones
temporales.
Actualizar el Management Center 833
CAPTULO 58
ACTUALIZAR EL MANAGEMENT CENTER
Esta seccin explica cmo puede actualizar los Management Servers, Management
Clients, Log Servers, y Web Portal Servers en su Management Center.
Empezar con la Actualizacin del SMC (pag. 834)

Obtener los Ficheros de Instalacin del SMC (pag. 835)
Actualizar los Servidores del Management Center (pag. 836)
Directorios de Instalacin por Defecto de SMC (pag. 837)
Empezar con la Actualizacin del SMC

Qu Hacen las Actualizaciones del SMC

Adems de acutalizar el software del StoneGate Management Center (SMC), la
actualizacin tambin hace otros cambios en su sistema:
Pueden aadirse nuevos elementos del sistema y polticas, y eliminarse elementos del
sistema obsoletos. Los elementos en uso no se eliminan, sino que se convierten de
elementos del sistema a elementos normales cuando ya no tienen un rol por defecto.
Cualquier elemento puede ser actualizado con nuevos tipos de opcioes (relacionadas con
funcionalidades nuevas o cambiadas), y ocasionalmente pueden eliminarse o modificarse
opciones obsoletas.
Un paquete de actualizacin dinmica se activa en el sistema, a menos que ya haya
instalado la misma actualizacin o una ms moderna antes de la instalacin (esto puede
ser causa de algunos, pero no necesariamente todos los cambios listados ms arriba).
El sistema de Ayuda Online del Management Client puede ser actualizado con
informacin nueva o corregida.
Durante cada actualizacin se crea un resumen de cambios a elementos; se le presentar
un enlace para ver estos informes HTML cuando la actualizacin del Management Server
haya finalizado.
Limitaciones
Todos los componentes del Management Center (Management Server, Management Client,
Log Server, y el Web Portal Server opcional) deben tener la misma versin de software.
Todos los otros componentes tratan de conectar con el Management Server cuando se
inician y no arrancarn si su versin de software no coincide con la del Management Server.
Aunque la necesidad de hacerlo es poco probable, la actualizacin puede ser revertida
fcilmente si toma las precuaciones correctas. Si la actualizacin del Management Center
falla, puede revertir automticamente a la instalacin previa si selecciona la opcin en el
instalador antes de iniciar la actualizacin. En cualquier caso, se recomienda que haga una
copia de seguridad del Management Server usando la herramienta de copia de seguridad
interna de StoneGate antes de actualiazr. La copia contiene toda la informacin necesaria
para restaurar las configuraciones (incluyendo las configuraciones de los dispositivos). La
copia no contiene informacin specfica sobre la versin del software o el sistema
operaticvo, y siempre puede ser restaurada desde un sistema con verisn antigua a otro con
una nueva versin si se soporta una actualizacin directa entre las versiones. Para ms
informacin, vea Hacer Copias de Seguridad y Restaurar las Configuraciones del Sistema
(pag. 793).
El SMC est offline durante la actualizacin. Los dispositivos siguen operando normalmente
y almacenan sus datos de log generados en el almacenamiento local mientras el
Management Server y Log Server estn offline. Una vez restaurada la conectividad, los
datos de log almacenados localmente se transfieren desde los dispositivos a los Log
Servers.
Para comprobar qu versin del Management Center est usando actualmente, seleccione
HelpAbout StoneGate (AyudaAcerca de StoneGate) en el Management Client.
Adems, la versin del Management Client se muestra en el dilogo de login del
Management Client.

1. Prepare los ficheros de instalacin segn se explica en Obtener los Ficheros de
Instalacin del SMC (pag. 835).
2. (Si las actualizaciones automticas de licencias estn desactivadas) Actualice las licencias
segn se explica en Actualizar Licencias Manualmente (pag. 827).
3. Actualice todos los componentes que funcionen como partes del mismo SMC segn se explica
en Actualizar los Servidores del Management Center (pag. 836).
4. Si distribuye Clientes de Gestin Web Start desde algn servidor externo (en lugar de desde el
Management Server), actualice la distribucin de Web Start segn se indica en Distribuir Web
Start desde Servidores Externos (pag. 272).
Obtener los Ficheros de Instalacin del SMC

Antes de ejecutar el instalador, compruebe la inetgridad del fichero de instalacin usando los
checksums de ficheros MD5 o SHA-1. Los checksums estn en el CD-ROM de instalacin de
Stonegate y en las pginas de descarga especficas del producto en el sitio Web de Stonesoft.
Windows no tiene programas para comprobar checksums MD5 o SHA-1 por defecto, pero hay
varios programas de terceros disponibles.
Stonesoft proporciona slo descargas de versiones recientes del software. Le recomendamos
que guarde los ficheros de instalacin usted mismo para asegurarse de que puede instalar
exactamente la misma versin ms tarde (por ejemplo en caso de fallo hardware),
especialmente si las polticas de su organizacin obligan a largos periodos de prueba que limitan
la velocidad de adopcin de nuevas versiones.
Para obtener el instalador del Management Center
1. Descargue el fichero de instalacin desde http://www.stonesoft.com/download/. Hay varios
paquetes disponibles:
La descarga .iso le permite crear un CD-ROM de instalacin que puede instalar o
actualizar el software en todas las plataformas soportadas.
Estn disponibles paquetes .zip separados para descargar los ficheros de instalacin para
todas las plataformas soportadas o slo una plataforma.
2. Cambie al directorio que contenga los ficheros que contienen los ficheros a comprobar.
3. Genere un checksum del fichero usando el comando md5sum fichero o sha1sum
fichero, donde fichero es el nombre del fichero de instalacin.
Ejemplo $ md5sum sg_engine_1.0.0.1000.iso
869aecd7dc39321aa2e0cfaf7fafdb8f sg_engine_1.0.0.1000.iso
4. Compare la salida mostrada con el checksum en el sitio Web.
Precaucin No use ficheros con checksums invlidos. Si descargar los ficheros de nuevo
no ayuda, contacte con el soporte tcnico de Stonesoft para resolver el problema.
Si est instalando desde el fichero .iso, cree el CD-ROM de instalacin usando una
aplicacin de creacin de CDs que pueda convertir correctamente la estructura del CD-ROM
desde la imagen .iso a un CD-ROM con varios ficheros y carpetas. Si el resultado final es
un CD-ROM con el fichero original .iso en l, el CD-ROM no puede usarse para la
instalacin. Si est instalando desde un fichero .zip, descomprima todas las carpetas y
ficheros del archivo en el servidor que quiere actualizar.
Actualizar los Servidores del Management Center

Prerrequisitos: Actualizar Licencias Manualmente (si la actualizacin automtica de licencias no est activada)
Puede actualizar sin desinstalar la versin previa. Si quiere reinstalar en un nuevo sistema
operativo o sobre hardware diferente, vea Cambiar la Plataforma de Gestin (pag. 304).
Precaucin Todos los componentes del Management (Management Server,

Management Client, Log Server, y los Web Portal Server y Web Portal opcionales)
deben usar exactamente la misma versin del software SMC para funcionar juntos.
Si est actualizando desde una versin muy antigua del StoneGate Management Center a
una nueva versin, puede tener que actualizar a una versin intermedia antes de actualizar a
la ltima versin de StoneGate (compruebe las Release Notes en
http://www.stonesoft.com/en/support/ technical_support_and_documents/).
Para actualizar los componentes del Management Center
1. Inicie la instalacin.
En Windows, ejecute StoneGate_SW_Installer/Windows/setup.exe
En Linux, ejecute StoneGate_SW_Installer/Linux/setup.sh
Nota En algunos casos, el instalador puede an reconocer servicios como en

ejecucin tras haberlos parado. Si esto ocurre, desactive el inicio automtico de todos
los servicios de StoneGate y reinicie el ordenador. Durante la actualizacin, el instalador
reconfigura los servicios para iniciarse automticamente de nuevo.
2. Lea y acepte el Acuerdo de Licencia para continuar con la instalacin. El Asistente de

Instalacin detecta automticamente el directorio de instalacin anterior.
3. Pulse Next (Siguiente) para aceptar el directorio de instalacin. El Asistente de
Instalacin muestra los componentes a actualizar.
Tabla 175: Seleccin de Componentes de SMC
4
4. (Opcional) Seleccione Save Current Installation (Guardar la Instalacin Actual) si

quiere guardar una copia de la instalacin actual a la que pueda ervertir en cualquier
momento tras la actualizacin.
5. Pulse Next para continuar. Cuando se actualiza el Management Server, se le solicitar
hacer una copia de los datos del Management Server actual como precaucin.
Seleccione Yes para hacer una copia de seguridad de los datos del Management Server
en el directorio <directorio de instalacin>/backups/.
Precaucin Si trabaja en un sistema Windows y ejecuta cualquier componente de
StoneGate como un servicio, asegrese de que ha cerrado la ventana de Servicios antes
de completar el siguiente paso. En otro caso los servicios pueden no instalarse.
6. Compruebe el resumen pre-instalacin y pulse Install (Instalar) para continuar. Se

iniciar la actualizacin.
7. Cuando la actualizacin est completada, pulse los enlaces en la notificacin para ver
los informes de cambios hechos por el instalador alas configuraciones de su sistema en
su navegador Web.
8. Pulse Done (Hecho) para cerrar el instalador.
Actualice cualquier componente de SMC ejecutndose en otros ordenadores del mismo
modo.
Para Continuar:
Si distribuye Clientes de Gestin Web Start desde algn servidor externo (en lugar de
desde el Management Server), actualice la distribucin Web Start segn se explica en
Empezar con la Distribucin Web Start (pag. 270).
En otro caso, la actualizcin del Management Center ya est completa.
Directorios de Instalacin por Defecto de SMC

Directorio de instalacin por defecto en Windows:

c:/stonesoft/stonegate/
Directorio de instalacin por defecto en Linux:
/usr/local/stonegate/
Bajo el directorio de instalacin tenga en cuenta especialmente las siguientes carpetas:
/backups/ almacena las copias de seguridad del Management Server (sgm_) y Log
Server (sgl_). Las copias deben estar en este directorio para ser listadas en el
Management Client y cuando se ejecuten scripts sin especificar un fichero de copia.
/bin/ contiene lsa herramientas de lnea de comando de SMC (vea Comandos del
Management Center (pag. 918)) as como algunos scripts adicionales que usados por el
asistente de instalacin.
Actualizar los Dispositivos 839
CAPTULO 59
ACTUALIZAR LOS DISPOSITIVOS
Esta seccin explica cmo puede actualizar los dispositivos cortafuegos, sensores,
analizadores, cortafuegos SOHO y SSL VPN.
Empezar con la Actualizacin de Dispositivos (pag. 840)

Obtener los Ficheros de Actualizacin de los Dispositivos (pag. 841)
Actualizar Dispositivos Remotamente (pag. 841)
Empezar con la Actualizacin de Dispositivos

La forma primaria de actualizar dispositivos es una actualizacin remota mediante el

Management Server. La opcin de actualizacin local no se cubre aqu (vea la Gua
Installation Guide especfica del producto en su lugar).
Cmo Funcionan las Actualizaciones de Dispositivos
El paquete de actualizacin se importa al Management Server manual o automticamente.
Luego, se aplica a los dispositivos seleccionados desde el Management Client.
Los dispositivos tiene dos particiones alternativsa para el software. Cuando instala una nueva
versin de software, se instala en la particin inactiva y la versin actual se conserva para
permitir una vuelta atrs a la versin previa en caso de que la instalacin se interrumpa os
urjan otros problemas. Si el dispositivo no es capaz de volver a la operacin, cambia
automticamente de vuelta a la versin anterior del software en el siguiente reinicio. Tambin
puede cambiar manualmente la particin activa.
Puede cargar y activar el nuevo software separadamente, por ejemplo, para cargar la
actualizacin durante horario laboral per activarlo durante una ventana de servicio.
La configuracin de trabajo actualmente instalada (enrutamiento, polticas, etc.) se almacena
separada y no cambia durante una actualizacin o vuelta atrs. Aunque partes de la misma
pueden ser especficas de la versin (por ejemplo, si cambian los puertos de comunicaciones
del sistema), la nueva versin puede usar la configuracin existente. Los posibles ajustes
especficos de la versin se hacen cuando se refresca la poltica tras la actualizacin.
Limitaciones
No es posible actualizar entre versiones de 32 y de 64 bits del software. Si est ejecutando el
software en un servidor estndar compatible, puede reinstalar el software usando la otra
versin (tenga en cuenta que en clsters, nodos de 32 y 64 bits no pueden estar online a la
vez). Los dispositivos StoneGate no soportan este tipo de cambio de arquitectura.
El Management Center debe estar actualizado antes de actualizar los dispositivos. Una
versin antigua del Management Center puede no ser capaz de reconocer los dispositivos
con la nueva versin y generar una configuracin vlida para ellos. El Management Server
puede controlar varias versiones antiguas de dispositivos. Vea las Release Notes para
informacin de compatibilidad especfica de las versiones.
Durante la actualizacin de un clster, es posible tener los nodos actualizados online y
operacionales al lado de nodos con versiones ms antiguas. De este modo, puede actualizar
los nodos uno a uno mientras los otros nodos gestionan el trfico. De cualquier modo, debe
actualizar todos los nodos a la misma versin tan pronto como sea posible, puesto que el uso
prolongado de versiones diferentes no est soportado.
La versin actual del dispositivo se muestra en la pestaa General del panel de Informacin
cuando selecciona el dispositivo (si no se muestra el panel, seleccione View Info).

1 (Si la descarga automtica de ficheros de actualizacin de dispositivos est desactivada)
Prepare los ficheros de instalacin segn se explica en Obtener los Ficheros de Actualizacin
de los Dispositivos (pag. 841).
2 (Si las actualizaciones automticas de licencias estn desactivadas) Actualice las licencias
segn se explica en Actualizar Licencias Manualmente (pag. 827).
3 Actualice los dispositivos segn se explica en Actualizar Dispositivos Remotamente (pag. 841).
Obtener los Ficheros de Actualizacin de los Dispositivos

Si el Management Server no est cnfigurado para descargar las actualizaciones de

dispositivos automticamente (vea Puestas al Da y Actualizaciones del Dispositivo
Automticas (pag. 209)) o si quiere hacer una actualizacin local, deber descargar los
ficheros de instalacin manualmente y comprobar la integridad del fichero de instalacin
usando los checksums de ficheros MD5 o SHA-1. Windows no tiene programas de checksum
MD5 o SHA-1 por defecto, pero hay varios programas de terceros disponibles.
Estas instrucciones cubren la actualizacin remota, que es el mtodo recomendado en la
mayora de los casos. Vea la Gua Installation Guide especfica del producto si quiere
actualizar localmente.
Para descargar manualmente un fichero de actualizacin de dispositivo
1. Descargue el fichero de instalacin adecuado para su arquitectura (32 o 64 bits) desde
www.stonesoft.com/download/. Hay dos tipos de paquetes disponibles:
El paquete .zip se usa en la actualizacin remota en todas las plataformas soportadas.
Tambin puede usarse para una actualizacin local desde una memoria USB.
La descarga .iso le permite crear un CD-ROM de instalacin para una actualizacin
local en todas las plataformas soportadas.
2. Cambie al directorio que contiene los ficheros a comprobar.
3. Genere un checksum del fichero usando el comando md5sum fichero o sha1sum
fichero, donde fichero es el nombre del fichero de instalacin.
Ejemplo $ md5sum sg_engine_1.0.0.1000.iso
869aecd7dc39321aa2e0cfaf7fafdb8f sg_engine_1.0.0.1000.iso
4. Compare la salida mostrada con el checksum en el sitio Web.
Precaucin - No use ficheros con checksums invlidos. Si descargar los ficheros de

nuevo no ayuda, contacte con el soporte tcnico de Stonesoft para resolver el problema.
5. Conctese al Management Client y seleccione FileImportImport Engine Upgrades

(ArchivoImportarImportar Actualizaciones de Dispositivo) desde el men principal.
6. Elija el fichero de actualizacin de dispositivo (sg_engine_version_platform.zip) y
pulse Import (Importar). La importacin llevaralgn tiempo. Puede ver los mensajes
relacionados en la barra de estado abajo en la ventana del Management Client.
Actualizar Dispositivos Remotamente

Prerrequisitos: (Posiblemente) Actualizar el Management Center, Obtener los Ficheros de Actualizacin de
los Dispositivos
El Management Server puede actualizar remotamente los componentes dispositivo que

gestiona. Puede actualizar varios dispositivos del mismo tipo en la misma operacin. De
todos modos, se recomienda que actualice los clsters nodo a nodo y esper a que un nodo
actualizado est otra vez online antes de actualizar los dems nodos.
Nota Los clsters operar normalmente durante la actualizacin cuando sta se hace en
fases, pero actualice todos los nodos del clster a la misma versin tan pronto como sea
posible. El uso prolongado de versiones diferentes no est soportado. De cualquier
modo, no es posible tener dispositivos de 32 y 64 bits online en un clster a la vez.
Para actualizar un dispositivo remotamente

1. Lea el documento de Release Notes para la nueva versin, especialmente la versin de
SMC requerida y cualesquiera otras notas de actualizacin especficas de la versin
que puedan listarse.
En el Management Client, seleccione
ConfigurationConfigurationAdministration desde el men principal y navegue a
Other ElementsEngine Upgrades (Otros ElementosActualizacin de
Dispositivos). Se incluye un enlace a la tabla de informacin de ficheros de
actualizacin.
Si el Management Server no tiene conectividad con Internet, las Release Notes no
estarn disponibles en el Management Client, y pueden encontrarse en la bsqueda de
Documentacin Tcnica en www.stonesoft.com/support/.
2. (Si piensa activar el nuevo software directamente) Pulse botn derecho sobre el nodo
que quiere actualizar y seleccione CommandsGo Offline (ComandosPoner
Offline).
3. Pulse botn derecho sobre un componente que quiera actualizar y seleccione Upgrade
Software (Actualizar Software) o ConfigurationUpgrade Software
(ConfiguracinActualizar Software) dependiendo de su seleccin. Se abrir el dilogo
de Propiedades de Tarea de Actualizacin Remota.
Tabla 176: Propiedades de Tarea de Actualizacin Remota
4. Seleccione el tipo de Operacin (Operation) que quiere ejecutar:

Seleccione Remote Upgrade (transfer + activate) para instalar el nuevo software y
reiniciar el dispositivo con la nueva versin del software.
Seleccione Remote Upgrade (transfer) para instalar el nuevo software en el nodo sin
un reinicio ni activacin inmediatos. El nodo sigue operando con la versin actualmente
instalada hasta que elija activar la nueva versin.
Seleccione Remote Upgrade (activate) para reiniciar el dispositivo y activar la nueva
versin del software instalada previamente.
Precaucin Para evitar cadas, no active la nueva configuracin simultneamente en

todos los nodos de un clster de Cortafuegos. Active la nueva configuracin en un nodo
cada vez, y proceda al siguiente nodo slo cuando el anterior vuelva a estar online.
5. Si es necesario, ajuste la seleccin de dispositivos incluidos en la actualizacin. Todos

los dispositivos en la misma Tarea de actualizacin deben ser del mismo tipo.
6. Seleccione la versin de dispositivo correcta y pulse OK. Si elige activar la nueva

configuracin, necesita aceptar un aviso de que el nodo ser reiniciado. Se abrir una
nueva pestaa mostrando el progreso de la actualizacin.
El tiempo que tarda la actualizacin vara dependiendo del rendimiento de su mquina
y el entorno de red.
Si elige activar la nueva configuracin, el dispositivo se reinicia automticamente y
posteriormente vuelve a ponerse online.
La actualizacin sobreescribe la particin inactiva y luego cambia a la nueva particin. Para
deshacer la actualizacin, use el comando sg-toggle-active o el men de arranque del
dispositivo para cambiar a la versin previa del software en la otra particin. Este cambio
puede ocurrir tambin automticamente si el dispositivo no es capaz de volver exitosamente
a la operacin cuando arranca tras la actualizacin.
Para Continuar:
Cuando finalicen las actualizaciones, refresque la poltica de los cortafuegos/sensores
actualizados para asegurarse de que los posibles cambios especficos de la versin
se transfieren a los dispositivos.
Tareas Relacionadas
Acceder a la Lnea de Comando del Dispositivo (pag. 202)
Crear Tareas de Actualizacin Remota (pag. 819)
Actualizaciones Dinmicas Manuales 845
CAPTULO 60
ACTUALIZACIONES DINMICAS
MANUALES
Los paquetes de Actualizacin Dinmica incluyen cambios y aadidos a las Polticas del
sistema, Situaciones y otros elementos del StoneGate Management Center.
Empezar con las Actualizaciones Dinmicas Manuales (pag. 846)

Importar un Paquete de Actualizacin (pag. 846)
Activar un Paquete de Actualizacin (pag. 847)
Empezar con las Actualizaciones Dinmicas Manuales

Es muy importante mantener las polticas y situaciones del sistema actualizadas de forma
que vulnerabilidades recin descubiertas puedan ser detectadas. Los cambios y aadidos se
proporcionan en paquetes de actualizacin disponibles en el sitio Web de StoneSoft.
Qu Hacen las Actualizaciones Dinmicas
Las actualizaciones dinmicas proorcionan actualizaciones particularmente para las
funcionalidades de inspeccin profunda en los productos IPS y Cortafuegos/VPN. Por
ejemplo, nuevos patrones de amenazas y cambios en las Plantillas y Polticas del sistema se
introducen en las actualizaciones dinmicas para una deteccin actualizada. Tambin
pueden revisar los elementos por defecto que usa para configurar el sistema.
Limitaciones
En ocasiones, necesita actualizar el software antes de poder usar un cierto paquete de
actualizacin dinmica. Vea las Release Notes de los paquetes de actualizacin en el sitio
Web de Stonesoft para ms informacin.
Si hay varios Dominios definidos en el sistema, la instalacin de actualizaciones
dinmicas manuales slo puede hacerse en el Dominio Compartido.
Como alternativa a descargar manualmente las actualizaciones segnse explica aqu, puede
configurar las actualizaciones dinmicas para que se descarguen e incluso se activen
automticamente en su sistema. Vea Puestas al Da y Actualizaciones del Dispositivo
Automticas (pag. 209).
Las actualizaciones de base de datos de virus para cortafuegos se hacen siempre
automticamente y directamente por los dispositivos. Las actualizaciones siempre estn
activas cuando est activa la funcionalidad de anti-virus. Para opciones adicionales, vea
Configurar las Opciones de Anti-Virus (pag. 424).

1. Descargue el ltimo paquete de actualizacin dinmica desde el sitio Web de Stonesoft e
imprtelo en el Management Client segn se explica en Importar un Paquete de Actualizacin
(pag. 846).
2. Active el paquete de actualizacin en el Management Client segn se explica en Activar un
Paquete de Actualizacin (pag. 847)).
Importar un Paquete de Actualizacin

Para importar un paquete de actualizacin

1. Navegue a www.stonesoft.com/download/ y siga el enlace para actualizaciones
dinmicas.
2. Si la pgina de descarga muestra que hay una actualizacin ms reciente, descargue el
ltimo fichero de paquete de actualizacin.jar.
Para ver ms detalles acerca de lo que incluye el paquete de actualizacin dinmica,
siga el enlace a las Release Notes en la pgina web de la actualizacin dinmica.
Actualizaciones Dinmicas Manuales 847
3. Guarde el paquete de actualizacin en una localizacin accesible desde el ordenador que

use para ejecutar el Management Client.
Nota Compruebe que los checksums MD5 para los ficheros originales verificados por
Stonesoft y los ficheros que ha descargado coinciden.
4. Seleccione FileImportImport Update Packages (ArchivoImportarImportar

Paauetes de Actualizacin). Se abrir el dilogo de Explorador de Ficheros de paquetes de
Actualizacin de StoneGate.
5. Navegue al fichero correcto, seleccinelo y pulse Import (Importar). La importacin toma
algn tiempo, y su finalizacin se muestra en la barra de estado dela ventana del
Management Client.
Para Continuar:
Proceda a Activar un Paquete de Actualizacin.
Activar un Paquete de Actualizacin

Prerrequisitos: Importar un Paquete de Actualizacin
La activacin de un paquete de actualizacin dinmica introduce los cambios de un paquete de

actualizacin importado en su sistema.
Para activar un paquete de actualizacin
2. Expanda el rbol Other Elements (Otros Elementos) y seleccione Updates
(Actualizaciones). Se abrir una lista de todos los paquetes de actualizaciones importados
y activados.
3. Pulse botn derecho sobre el nuevo paquete de actualizacin y seleccione Activate
(Activar). Se abrir el dilogo de Copia de Seguridad del Management Server.
4. A menos que tenga una instalacin nueva, pulse Yes. Tras hacerse la copia de seguridad,
se inicia la activacin del paquete de actualizacin. Los elementos incluidos se muestran de
forma que puede verlos tras la finalizacin de la activacin.
5. Pulse Close (Cerrar) cuando finalice la activacin.
Para Continuar:
Refresque las polticas en todos los dispositivos para activar los cambios.
849
RESOLUCIN DE
PROBLEMAS
En esta seccin:
Consejos Generales para la Resolucin de Problemas - 851
Resolucin de Problemas con Cuentas y Contraseas - 853
Resolucin de Problemas de Alertas, Errores y Mensajes de Log - 857
Resolucin de Problemas con Certificados - 867
Resolucin de Problemas con la Operacin de Dispositivos - 875
Resolucin de Problemas de Licencias - 879
Resolucin de Problemas de Logging - 883
Resolucin de Problemas del Management Client - 887
Resolucin de Problemas de NAT - 893
Resolucin de Problemas de Polticas - 897
Resolucin de Problemas de Informes - 905
Resolucin de Problemas de Actualizaciones - 909
Resolucin de Problemas de VPNs - 911

Consejos Generales para la Resolucin de Problemas 851
CAPTULO 61
CONSEJOS GENERALES PARA LA

RESOLUCIN DE PROBLEMAS
Esta seccin contiene consejos sobre cmo resolver problemas en situaciones no

cubiertas por secciones ms especficas de resolucin de problemas.
Si Su Problema No Est Listado (pag. 852)

Herramientas Para Ms Resolucin de Problemas (pag. 852)
Si Su Problema No Est Listado

Si tiene problemas en su sistema, debera primero asegurarse de que ha seguido las
instrucciones relevantes.
Algunos problemas pueden estar relacionados con problemas conocidos, que puede revisar
en el sitio Web de Stonesoft en http://www.stonesoft.com/support/.
Si su organizacin dispone de soporte tcnico, contacte con el Soporte de Stonesoft (para
detalles de contacto, vea Soporte Tcnico (pag. 24)). Tenga en cuenta que las cuestiones
relacionadas con la generacin de licencias o actualizar la informacin contenida en las
licencias se gestionan por parte de Stonesoft Order Services (order@stonesoft.com).
Herramientas Para Ms Resolucin de Problemas

Los logs y alertas de StoneGate proporcionan informacin til sobre qu hacen los
componentes y qu est ocurriendo en su sistema. Puede aumentar el nivel de detalle de
los logs en ciertas reas de operacin. Vea Activar/Desactivar los Diagnsticos de
Cortafuegos/VPN (pag. 193). Para extraer informacin til de los logs producidos, debe ser
capaz de filtrar los logs eficientemente. Vea Filtrar Logs en la Vista de Logs (pag. 134).
Hay herramientas especficas de StoneGate as como herramientas estndar de redes
disponibles en los dispositivos. Vea Trabajar en la Lnea de Comando del Dispositivo (pag.
201) y Comandos del Dispositivo (pag. 926).
Si necesita una comprensin en profundidad de cmo funciona algn aspecto de
StoneGate, consulte las secciones relevantes en las Guas Reference Guides.
Resolucin de Problemas con Cuentas y Contraseas 853
CAPTULO 62
RESOLUCIN DE PROBLEMAS CON

CUENTAS Y CONTRASEAS
Esta seccin se concentra en la resolucin de problemas relacionados con

contraseas.
Contraseas Olvidadas (pag. 854)

Los Cambios en la Cuenta del Usuario No Tienen Efecto (pag. 854)
Crear una Cuenta de Administrador de Emergencia (pag. 855)
Contraseas Olvidadas
Descripcin del problema: Usted u otra persona de su organizacin olvida una de las
contraseas relacionadas con el sistema StoneGate.
Solucin: Puede volver a conseguir acceso cambiando la contrasea. Un administrador con
permisos no restringidos puede cambiar cualquier contrasea de StoneGate. Los
procedimientos de recuperacin para las diferentes contraseas son los siguientes:
Las contraseas de acceso al Management Client pueden cambiarse en los elementos
Administrador. Los elementos Administrador se encuentran en la vista de Configuracin de
Administracin en Access RightsAdministrators (Derechos de Acceso Administradores).
Vea Crear un Nuevo Elemento Administrador (pag. 218) para ms informacin.
Las contraseas de acceso al Web Portal pueden cambiarse en los elementos Web Portal
User. Los elementos Web Portal se encuentran en la vista de Configuracin de Administracin
bajo Access RightsWeb Portal Users (Derechos de AccesoUsuarios del Web Portal).
Vea Definir Cuentas de Usuarios de Web Portal (pag. 260) para ms informacin.
La contrasea de la cuenta de Root del Engine (Dispositivo) (para el acceso por lnea de
comando) puede cambiarse pulsando el botn derecho sobre el nodo individual de dispositivo y
seleccionando CommandsChange Password (ComandosCambiar Contrasea). Si el
dispositivo no est conectado al Management Server (porque, por ejemplo, es un dispositivo de
spare), puede reiniciar todas las opciones del dispositivo mediante una opcin del men de
arranque en la consola local accesible mediante una conexin serie o a travs de un monitor y
teclado conectados directamente.
Precaucin Restablecer el dispositivo mediante el men de arranque para el procesado

de trfico del dispositivo, puesto que se eliminan todas las configuraciones.
Una contrasea de Usuario (User) usada para la autenticacin de un usuario final puede
cambiarse en el elemento User. Los elementos User se almacenan en la vista de Configuracin
del Cortafuegos bajo Other ElementsUser AuthenticationUsers (Otros Elementos
Autenticacin de UsuariosUsuarios) (si el usuario est almacenado en la base de datos
interna LDAP o un LDAP externo que StoneGate utilice).
La cuenta de usuario por defecto de la Base de Datos del Management Server es dba, y la
contrasea se crea automticamente. Si no conoce la contrasea pero la necesita para alguna
operacin, puede cambiarla mediante FileSystem ToolsChange Database Password
(ArchivoHerramientas del SistemaCambiar Contrasea de Base de Datos).
Si ninguno de los administradores puede conectarse debido a problemas con las cuentas,
vea Crear una Cuenta de Administrador de Emergencia (pag. 855).
Los Cambios en la Cuenta del Usuario No Tienen Efecto

Descripcin del problema: Aade un elemento usuario (User cuenta de usuario final para
autenticacin) o cambia la contrasea en un elemento usuario, pero la nueva cuenta o nueva
contrasea no se aceptan cuando el usuario final intenta autenticarse. Las cuentas de
usuario previamente creadas y no modificadas funcionan como se espera. Si cambi la
contrasea, la contrasea anterior todava se acepta.
Causa: Puede haber un problema de replicacin que impida sincronizar la informacin de la
base de datos del Management Server a la base de datos local de los cortafuegos.
Solucin: Reinicie la base de datos de usuarios pulsando botn derecho sobre un nodo de
cortafuegos individual (no el elemento Cortafuegos Independiente/Clster de alto nivel) y
seleccionando CommandsReset User Database (ComandosReiniciar Base de Datos
de Usuarios). Esto copia toda la informacin de usuarios del Management Server al
dispositivo.
Adems, asegrese de que User DB Replication (replicacin automtica de la base de
datos de usuarios) est activo bajo Options en el men de botn derecho para el elemento
Cortafuegos Independiente/Clster (elemento de alto nivel).
Resolucin de Problemas con Cuentas y Contraseas 855
Crear una Cuenta de Administrador de Emergencia

Descripcin del problema: Ninguno de los administradores puede conectarse al Management
Server a causa de problemas relacionados con la cuenta.
Solucin: En una emergencia puede crearse una nueva cuenta con permisos no restringidos
usando el script sgCreateAdmin en el Management Server (localizado en la carpeta
<directorio de instalacin>/bin) con el servicio del Management Server parado. De este
modo podr conectarse al Management Client usando esta cuenta, cambiar contraseas y crear
nuevas cuentas normalmente segn se explica en Definir Cuentas de Administrador (pag. 218).
Resolucin de Problemas de Alertas, Errores y Mensajes de Log 857
CAPTULO 63
RESOLUCIN DE PROBLEMAS DE ALERTAS,

ERRORES Y MENSAJES DE LOG
Este captulo explica algunas alertas y mensajes de log que puede ver en el explorador
de logs y proporciona pistas sobre cmo proceder cuando vea tales mensajes.
Mensajes de Log de Alerta (pag. 858)

Mensajes de Log (pag. 860)
Mensajes de Error (pag. 864)
Mensajes de Log de Alerta
Alertas de Autoridad de Certifiacin Expirada/en Expiracin

Vea Tratar con Autoridades de Certificacin en Expiracin (pag. 872).
Alertas de Certificado Expirado/en Expiracin

Vea Sustituir Certificados Expirados/Perdidos (pag. 870).
Log Spool Filling (Espacio de Almaenamiento Local Llenndose)

Descripcin del problema: ha saltado la alerta Log spool filling.
Causa: Los logs no se estn transfiriendo en absouto desde el dispositivo o el dispositivo
est generando logs ms deprisa que puede trasnferirlos al log server.
Solucin: Vea Los Logs estn Llenando el Espacio de Almacenamiento (pag. 884).
Status Surveillance: Inoperative Security Engines (Vigilancia de

Estado: Dispositivos de Seguridad Inoperativos)
Descripcin del problema: salta la alerta de Dispositivos de Seguridad Inoperativos.
Causa: el Management Server no recibi las actualizaciones de estado esperadas de un
cortafuegos, sensor o analizador y al opcin de Status Surveillance (Vigilancia de Estado)
est activada para el dispositivo (en el men de botn derecho del dispositivo bajo Options).
Solucin: si ve estas alertas, puede existir o haber existido temporalmente uno de los
siguientes problemas:
La conectividad entre el dispositivo y el Management Server puede haberse perdido
debido a problemas de conexin entre el dispositivo y el Management Server o debido a
un problema tcnico en el Management Server. Los problemas que afectan slo a las
comunicaciones de gestin no interfieren con la operacin de los dispositivos continan
procesando trfico.
El dispositivo puede estar experimentando problemas tcnicos.
Para resolver problemas de dispositivos de seguridad inoperativos
6. Compruebe si el estado del dispositivo o las conexiones del sistema (mostrado en la
vista de informacin cuando se selecciona el dispositivo) an muestran problemas.
7. Compruebe si hay un flujo de logs consistente desde el dispositivo afectado y si hay
alertas o logs posteriores del dispositivo que pudieran explicar la razn del mensaje.
8. Compruebe si el dispositivo est actualmente procesando trfico normalmente incluso si
el Management Server no puede monitorizar el dispositivo y/o mostrar el flujo de logs.
9. Se recomienda una conexin de consola con el dispositivo afectado, si es posible,
cuando sospeche que el mismo puede no estar funcionando correctamente. Esto le
permite ver cualquier psoible mensaje de error mostrado en la consola antes de tomar
acciones correctivas, como reiniciar el nodo.
Si sospecha problemas tcnicos en el dispositivo, ejecute el script sginfo en l antes de

reiniciarlo (si es posible) y contacte con el Soporte de Stonesoft.
Tareas Relacionadas
Para informacin sobre las herramientas de lnea de comando, vea Herramientas de Lnea de
Comando (pag. 917).
System Alert (Alerta del Sistema)

Descripcin del problema: recibe una alerta con el ttulo System Alert.
Causa: System Alert es una cetgora general para toos los mensajes de alerta generados
porque algo en la operacin de los componentes del sistema StoneGate requiere de su
atencin.
Solucin: Seleccione la entrada de alerta en al vista de Logs y pulse Details (Detalles) en la
barra de herramientas para ver la informacin de la entrada de alerta. Algunos de los mensajes
ms frecuentes se explican tambin en esta seccin.
Test Failed (Prueba fallida)

Descripcin del problema: saltan alertas relacionadas con comprobaciones (por ejemplo,
Tester: Link Status test failed Comprobador: prueba de Estado de Enlace fallida).
Causa: las alertas del comprobador indican que el sistema de comprobacin automtico
ejecutndose en los dispositivos ha detectado un fallo en una de las pruebas que est
configurado para ejecutar. El Comprobador est configurado para ejecutar algunas pruebas por
defecto y los administradores pueden configurar pruebas adicionales. El comprobador se
configura en las propiedades de cada dispositivo.
Solucin: asegrese de que la condicin que hizo fallar la prueba est solucionada.
Tareas Relacionadas
Empezar con el Comprobador de Dispositivos (pag. 398).
Throughput Based License Exceeded (Licencia Basada en Throughput

Excedida)
Descripcin del problema: saltan alertas de que se ha excedido la licencia basada en
throughput.
Causa: Algunas licencias de StoneGate limitan el throughput del dispositivo a un cierto valor
fijo. Si el lmite de throughput se alcanza en cualquier momento, el trfico excedente se
descarta y se crea una alerta para notificarle del suceso. El lmite de throughput se cuenta como
el throughput total de todo el trfico gestionado por el dispositivo en cualquier momento dado
(todo el trfico agrupado independientemente del tipo, direccin o enlaces usados).
Solucin: Normalmente, los mensajes se lanzan por picos temporales de trfico y no causan
mayores problemas. Si ve estos mensajes a menudo, debera tomar una accin:
Asegrese de que las licencias de du dispositivo StoneGate estn asociadas a los elementos
correctos de acuerdo con el tipo de dispositivo. Si la licencia generada con el cdigo POS de un
dispositivo de menor throughput est asociada a un dispositivo de mayor throughput, ste estar
limitado innecesariamente.
Si el hardware puede gestionar un mayor throughput de aqul para el que est licenciado, puede
cambiar a una licencia de mayor throughput (contacte con su proveedor StoneGate).
Si el throughput licenciado corresponde al mximo throughput alcanzable con su hardware, puede
tener la posibilidad de instalar un nodo de clster adicional o cambiar a hardware con un
throughput mximo superior (contacte con su proveedor StoneGate).
Puede restringir el trfico de una forma ms controlada, por ejemplo, usando las
funcionalidades de gestin de trfico de un cortafuegos StoneGate. Vea Empezar con QoS
Mensajes de Log
Connection Closed/Reset by Client/Server (Conexin Cerrada/Reiniciada por

el Cliente/Servidor)
Descripcin del problema: La conexin falla y se muestra en los logs un mensaje de
conexin cerrada por el cliente/servidor o conexin reiniciada por el cliente/servidor. Si el
cierre de la conexin no sucede en el orden esperado en una conexin TCP normal, el
mensaje puede mostrar connection closed abnormally (conexin cerrada anormalmente).
Causa: Estos mensajes le informan acerca de un evento que el cortafuegos ha detectado en
la red. El cierre de conexiones es un evento esperado al final de cada conexin TCP
estndar. Las opciones de logging en las reglas de Acceso determinan si se registra el cierre
de conexin. Frecuentes cierres o reinicios de conexin anormales pueden indicar problemas
en la red, tales como un servidor sobrecargado.
Solucin: Si los problemas de conexin afectan al servicio, ejecute una resolucin de
problemas de red estndar a lo largo del camino de comunicaciones.
Connection Removed During Connection Setup (Conexin Eliminada

Durante el Establecimiento)
Descripcin del problema: Ve mensajes Connection removed during connection setup
junto con logs de cierre de conexiones.
Causa: Este mensaje le informa de una conexin que fue anormalmente cortada durante la
fase de establecimiento de la conexin TCP a causa de un RST (reset) enviado por una de
las partes de la comunicacin.
Solucin: Compruebe por qu se ha caido la conexin, por ejemplo, si el servidor est
sobrecargado o si el servicio est caido o usa un puerto no estndar.
Connection State Might Be Too Large (El Estado de la Conexin Podra Ser
Demasiado Grande)
Descripcin del problema: Ve mensajes error when serializing for state sync (error al
serializar para la sincronizacin de estado) con entradas de log de clarificacin connection
state might be too large para un clster de cortafuegos. Puede experimentar tambin
problemas intermitentes o contnuos con el clster o el flujo de trfico, que se alivian
tpicamente durante algn tiempo al reiniciar todos los nodos del clster.
Causa: El cortafuegos mantiene un registro del estado de todas las conexiones gestionadas
para poder seguir la conexin. Cuando el cortafuegos est en clster, esta tabla de
conexiones debe ser sincronizada entre los nodos para permitir que las conexiones
continen en caso de cada de un nodo. Cuando la tabla de estado crece excesivamente, los
dispositivos cortafuegos ya no pueden usarla efectivamente.
Este mensaje normalmente est causado por una mala configuracin. Los problemas tpicos
de configuracin incluyen:
Usar el Agente de Protocolo Oracle (PA) en las conexiones actuales de la base de datos
entre cliente y servidor. El Agente de Protocolo Oracle est previsto para casos donde el
pueto TCP 1521 se usa slo para negociar el nmero de puerto para las conexiones a la
base de datos Oracle, y los nmeros de puerto de la conexin actual se asignan
dinmicamente. No debe usarse en ningn otro caso.
Excesivos tiempos de espera inactivos definidos en las Reglas de Acceso. Todas las
conexiones TCP se cierran explcitamente por las partes de la conexin y por tanto
pueden ser eliminadas de la tabla de estados en base al actual estado de la conexin.
Protocolos No-TCP no establecen conexiones, pero las comunicaciones an se gestionan
como conexiones virtuales en el cortafuegos para permitir que todas las funcionalidades
del cortafuegos se usen sobre el trfico. Puesto que las partes de la comunicacin no
tienen un mecanismo de cierre, estas conexiones virtuales nunca se eliminan de los
registros de conexiones del cortafuegos antes de que queden inactivas (idle) por la
duracin del tiempo de espera definido. Si las reglas de acceso definen tiempos de espera
excesivamente largos para tal trfico entre muchos hosts diferentes, la tabla de estado de
conexiones puede hacerse extremadamente grande.
Solucin: Si el Agente de Protocolo de Oracle est en uso, asegrese de que no se est
aplicando incorrectamente. Si es necesario, sustituya el servicio por defecto con un Agente
de Protocolo asociado por un servicio personalizado que coincida con el puerto correcto sin
un Agente de Protocolo.
Compruebe las Reglas de Acceso para ver si hay reglas que redefinen el valor del tiempo de
espera inactivo por defecto para el trfico No-TCP. Asegrese de que no se aplica este valor
a ningn trfico que no lo necesite ineludiblemente (haga la regla tan especfica como sea
posible) o intente reducir el tiempo de espera (generalmente, el tiempo de espera inactivo no
debera ser superior a algunos minutos). En algunos casos, permitir ambos sentidos de
coumnicaciones separadamente puede eliminar la necesidad de tiempos de espera largos.
Connection Timeout... (Tiempo de Espera de la Conexin Agotado)

Descripcin del problema: Ve entradas de log connection closed (conexin cerrada) con
una clarificacin de connection timeout.
Causa: Los mensajes de log de tiempo de espera de la conexin agotado se generan para
conexiones inactivas que el cortafuegos elimina de su tabla de seguimiento de conexiones.
Por alguna razn, los hosts que estaban comunicndose dentro de esta conexin permitida
han dejado de transmitir paquetes entre ellos.
Solucin: La mayora de los tiempos de espera de conexin agotados son normales y
necesarios para garantizar que el cortafuegos limpiea las conexiones inactivas de sus
registros, liberando recursos. Sin embargo, a veces el tiempo de espera puede evitar que las
comunicaciones continen:
Si hay alguna aplicacin en su red que deja inactivas las comunicaciones durante largos
periodos de tiempo antes de continuar de nuevo, puede aumentar el tiempo de espra para
estas conexiones en las opciones de Action par la regla de Acceso que permita la
conexin. Los tiempos de espera especficos de regla ignoran redefinen los tiempos de
espera globales establecidos por estado de conexin en las propiedades del elemento
Cortafuegos (Opciones Avanzadas).
Precaucin Establecer tiempos de espera largos para un alto nmero de conexiones

aumenta considerablemente el consumo de recursos del cortafuegos y puede incluso
acarrear problemas de rendimiento. Esto aplica especialmente a protocolos No-TCP que
no incluyen mensajes de cierre de conexin, puesto que tales conexiones virtuales
nunca se cierran antes de que se alcance el tiempo de espera.
Si el protocolo no est orientado a conexin (por ejemplo, el protocolo SNMP), puede

desactivar el seguimiento de conexiones para el trfico en las opciones de Action de la
regla de Acceso. Esto requiere que permita explcitamente ambas direcciones de las
comunicaciones en la regla, puesto que sin seguimiento de conexiones, los paquetes de
respuesta no pueden ser permitidos automticamente. Las reglas de NAT no se aplican a
conexiones no seguidas. Se recomienda que desactive el logging en las reglas que tengan
desactivado el seguimiento, puesto que estas reglas crearn una entrada de log separada
para cada paquete transmitido. Esto incrementa en gran medida el nmero de entradas de
log generadas y potencialmente puede llevar a un nivel de trfico de logs ingestionable.
Incomplete Connection Closed (Conexin Incompleta Cerrada)

Descripcin del problema: Ve mensajes incomplete connection closed en los logs.
Causa: Este mensaje informativo indica que el cortafuegos permiti una conexin y dejo
pasar el primer paquete de una conexin (el paquete SYN). Sin embargo, el paquete de
respuesta (SYN/ACK) desde el host de destino no lleg al cortafuegos, de forma que el
cortafuegos determin que la conexin no fue exitosa y la elimin de sus registros.
Esto puede ocurrir en una de las siguientes situaciones:
El paquete SYN no alcanz su destino.
El paquete SYN alcanz su destino, pero el host de destino no envi una respuesta.
El paquete SYN alcanz su destino y el host de destino respondi, pero el paquete de
respuesta no alcanz el cortafuegos.
Solucin: Es normal ver algunos de estos mensajes en el log de vez en cuando, pero un
nmero ms alto de estos mensajes puede indicar problemas en su red o las aplicaciones
que se comunican.
Si este mensaje aparece en los logs a menudo para trfico legtimo, hay un problema de red
que debe solucionar. Use las herramientas de resolucin de problemas de red normales
para descubrir dnde se pierden los paquetes.
En algunos casos los paquete SYN pueden ser enviados maliciosamente a hosts aleatorios
como un intento de descubrir su estructura de red. Estos intentois pueden verse a veces
como paquetes SYN a hosts que no existen, que puedenn provocar los mensajes
Incomplete Connection Closed si el acceso a esas direcciones est permitido y es
enrutable. La posibilidad de escaneos exitososo puede reducirse usando NAT dinmico en
el cortafuegos. Vea Editar Reglas NAT (pag. 545).
NAT Balance: Remote Host Does Not Respond (Balanceo NAT: el

Host Remoto No Responde)
Descripcin del problema: Las conexiones se descartan con mensajes de NAT balance
en los logs.
Causa: Se ha permitido una conexin, el cortafuegos ha aplicado una regla de NAT que
define traslacin de origen y/o destino, y el trfico ha sido reenviado de acuerdo con la
configuracin de enrutamiento del cortafuegos, pero nunca se ha recibido la respuesta.
Solucin:
Si NAT se aplica a la conexin en error, ajuste sus reglas de NAT apropiadamente. Tambin
es posible crear una regla de NAT que defina que no hay traslacin para desactivar para
cualquier conexin que coincida.
Compruebe que el cortafuegos enruta correctamente el trfico. La decisin de enrutamiento
se hace en base al a direccin IP trasladada.
Asegrese de que el host de destino est levantado y proporcionando el servicio solicitado, y
de que cualquier cortafuegos internedio permite la conexin.
Intente trazar la ruta que toman las comunicaciones y usar capturas de trfico segn sea
necesario para encontrar el punto de fallo.
Not a Valid SYN packet (Paquete SYN No Vlido)

Descripcin del problema: El mensaje Not a Valid SYN Packet aparece en los logs junto a
entradas sobre paquetes descartados.
Causa: Not a Valid SYN Packet es un paquete TCP que no es el primer paquete de una
conexin TCP (el paquete no tiene activo el flag SYN), pero tampoco es parte de una
conexin existente (no hay entrada de seguimiento de conexin en el cortafuegos que
coincida con este paquete). Este paquete estara permitido por la poltica si fuera parte de
una conexin existente en seguimiento.
Los mensajes normalmente tambin continenen un cdigo entre corchetes que indica los
flags activos en el paquete descartado (A=Ack, F=FIN, R=RST, P=Push, S=SYN).
Algunos ejemplos de situaciones donde pueden verse mensajes Not a Valid SYN packet:
Enrutamiento asimtrico, que significa que el paquete de apertura no pasa a travs del
cortafuegos, pero la respuesta (el SYN/ACK) s lo hace. Si ste es el caso, hay un error de
configuracin en el enrutamiento para la red que debe solucionarse.
Las conexiones estn inactivas durante ms tiempo del tiempo de espera de conexin
definido (la conexin ha sido borrada de los registros del Cortafuegos). Esto siempre
ocurre de vez en cuando, pero si es necesario, el tiempo de espera puede incrementarse o
puede usar el Agente de Protocolo Proxy TCP, que puede resetear la conexin hacia el
host y el servidor cuando la conexin se deja inactiva (si la aplicacin en cuestin no cierra
adecuadamente las conexiones).
Conexiones que se han hecho parecer TCP cuando no lo son. Si es necesario, stas
pueden permitirse como paquetes individuales sin seguimiento de conexin.
Escaneos de red o ataques que usen paquetes ACK.
Servidor o cliente fuertemente cargado que enva un paquete despus de que el host al
otro extremo de la conexin haya agotado su tiempo de espera y cerrado la conexin.
Solucin: Es normal ver alguno mensajes como stos en los logs. Si un cierto tipo de
comunicaciones que quiere permitir siempre se impide a causa del seguimiento de
conexiones:
Si hay conexiones que se dejan inactivas durante un largo tiempo, puede modificar el valor
del tiempo de espera inactivo para la regla de Acceso que permite este trfico especfico.
Vea Definir Opciones de Accin Permitir para Cortafuegos (pag. 523). Tambin hay
valores por defecto que puede establecer globalmente para diferentes estado de conexin
TCP en las propiedades del elemento Cortafuegos (Opciones Avanzadas). Esta solucin
no aplica a conexiones No-TCP, de forma que debe tener cuidado de que la regla slo
aplique a las conexiones especficas involucradas.
Precaucin - Establecer tiempos de espera largos para un alto nmero de conexiones

aumenta considerablemente el consumo de recursos del cortafuegos y puede incluso
acarrear problemas de rendimiento. Esto aplica especialmente a protocolos No-TCP que
no incluyen mensajes de cierre de conexin, puesto que tales conexiones virtuales
nunca se cierran antes de que se alcance el tiempo de espera.
Puede tener que desactivar el seguimiento de conexiones en la regla que permite la

conexin. Se recomienda que desactive el logging en las reglas que tienen desactivado el
seguimiento, puesto que estas reglas crearn una entrada de log separada para cada
paquete transmitido. Esto aumenta en gran medida el nmero de entradas de log
generadas. NAT no puede aplicarse al trfico permitido sin seguimiento de conexiones y
ambas direcciones de comunicacin deben ser permitidas explcitamente en las reglas de
Acceso (las respuestas no se permiten automticamente).
Para algunos tipos de conexiones, los problemas se pueden solucionar usando un Servicio
que incluya un Agente de Protocolo especial para ese tipo de trfico. Vea Usar Elementos
Protocolo (pag. 579) para una lista de Agentes de protocolo.
Requested NAT Cannot Be Done (La Peticin NAT No Puede Realizarse)

Descripcin del problema: Los logs muestran el mensaje de error Requested NAT cannot
be done
Solucin:
Una operacin de NAT Dinmico puede estar aplicndose al tipo de trfico errneo. NAT
Dinmico (muchos-a-uno) se hace asignando a diferentes hosts la misma direccin IP,
pero puertos diferentes. Por esta razn, el NAT dinmico no funciona cuando el protocolo
en cuestinno usa puertos. Slo los protocolos de transporte TCP y UDP usan puertos.
Vea las ramas TCP y UDP en el rbol Services (Servicios) en el Management Client para
comprobar qu protocolos se transportan sobre TCP o UDP.
El NAT Dinmico puede quedarse sin puertos si hay demasiadas conexiones simultneas
en relacin a las direcciones IP y el rango de puertos que ha configurado para NAT
dinmico. Puede incrementar los puertos disponibles para la traslacin aadiendo una
nueva direccin IP para su regla de NAT dinmico o expandiendo el rango de puertos, si la
regla no usa actualmente el rango completo de puertos altos.
Si se usa el elemento Pool de Servidores, compruebe las reglas de NAT. Dado que el
elemento Pool de Servidores siempre hace NAT, puede haber errore cuando se usa este
elemento y la misma conexin coincide con una regla de NAT solapada.
Compruebe si el mensaje de informacin en el log especifica que se ha denegado el NAT
dinmico debido a un excesivo nmero de conexiones. Esto puede ocurrir cuando un
nico host est abriendo conexiones a un ritmo excesivo a una nica direccin IP y puerto
de destino mediante NAT de origen dinmico. Este mensaje indica que se ha procedido
con un mecanismo de autodefensa, que previene el excesivo uso de recursos de proceso
para operaciones de NAT dinmico. Configure una regla de NAT esttico para permitir
estos tipos de conexiones si no es posible ajustar las opciones de conexin de la
aplicacin.
Paquetes Spoofed
Vea Los Paquetes se estn Descartando como Spoofed (pag. 903).
Mensajes de Log VPN IPsec

Vea Leer Logs Relacionados con VPNs (pag. 912) para informacin general y Mensajes de
Log IPsec VPN (pag. 1005) para un listado de mensajes con sus descripciones.
Mensajes de Error
Command Failed/Connect Timed out (Comando Fallido/Tiempo de Espra de

Conexin Agotado)
Descripcin del problema: Intenta enviar un comando a un dispositivo mediante el
Management Client y recibe un error.
Solucin:
Asegrese de que hay conectividad entre el Management Server y el dispositivo. Los
problemas de conectividad ms comunes incluyen el fitlrado de trfico por un cortafuegos
intermedio y una mala configuracin de NAT (no existe una regla de NAT requerida para la
conexin o no existe la direccin de contacto del dispositivo). El dispositivo enva sus
informes de estado mediante el Log Server, de forma que un estado operativo verde no
garantiza el el Management Server pueda alcanzar el dispositivo.
Intente refrescar la poltica del dispositivo. Lea todos los mensajes mostrados y asegrese de
que ninguno de los nodos vuelve atrs a la poltica previa. Is la instalacin de la poltica falla,
vea Resolucin de Problemas de Instalacin de Polticas de Cortafuegos (pag. 898).
PKIX Validation Failed (Validacin de PKIS Fallada)

Descripcin del problema: Aparece un mensaje relacionado con Java con varios mensajes
crpticos acerca de PKIX.
Causa: Uno o varios de los certificados necesarios para securizar las conexiones internas ha
expirado o est daado.
Solucin: Vea Sustituir Certificados Expirados/Perdidos (pag. 870).
Policy Installation Errors (Errores de Instalacin de la Poltica)

Descripcin del problema: La instalacin de la poltica muestra un error en el panel principal
de instalacin de poltica que registra el progreso de la instalacin.
Solucin: Vea Resolucin de Problemas de Instalacin de Polticas de Cortafuegos (pag. 898)
o Resolucin de Problemas de Instalacin de Polticas de IPS (pag. 900).
Unexpected Error (Error Inesperado)

Descripcin del problema: Alguna accin en el Management Client muestra un mensaje
emergente especificando que se ha producido un unexpected error (error inesperado).
Solucin: Salga y vuelva a lanzar el Management Client. Si el problema persiste, contacte con
el soporte tcnico.
Resolucin de Problemas con Certificados 867
CAPTULO 64
RESOLUCIN DE PROBLEMAS CON

CERTIFICADOS
Los certifcados digitales permiten a los componentes demostrar su identidad entre

ellos. Los componentes StoneGate usan certificados en las comunicaciones del
sistema y en las VPNs.
Entender los Problemas Relacionados con Certificados (pag. 868)

Sustituir Certificados Expirados/Perdidos (pag. 870)
Tratar con Autoridades de Certificacin en Expiracin (pag. 872)
Entender los Problemas Relacionados con Certificados
Nota No confunda certificados con licencias. Los certificados son pruebas de identidad
que usan los componentes para autenticarse a s mismos en las comunicaciones. Las
licencias son una prueba de compra usada para garantizar que su organizacin tiene
una licencia legal del software. Para resolver problemas de licencias, vea Resolucin de
Problemas de Licencias (pag. 879).
En StoneGate se usan dos tipos de certificados:

Los componentes de StoneGate usan certificados para identificarse entre s en las
comunicaciones del sistema. Cuando un componente no tiene un certificado vlido, el
contacto entre ese componente y otros componentes StoneGate no es posible.
Dependiendo de los componentes, la instalacin de polticas y el trfico de logs pueden
verse afectados. Los certificados usados en las comunicaciones del sistema siempre se
generan por la Autoridad de Certificacin Interna que se ejecuta en el Management
Server.
Los certificados tambin se usan en las VPNs para autenticacin entre pasarelas
remotas. Estos certificados pueden ser generados por cualquier autoridad de certificacin
interna o externa en la que ambas pasarelas estn configuradas para confiar.
Problemas Relacionados con el Tiempo de Validez del Certificado
Todos los certificados tienen una fecha de validez iniciale (not before no antes de) y una
fecha de validez final (not after no despus de). En StoneGate, los certificados
generados internamente tienen una validez de tres aos desde su creacin. Los certificados
expirados deben sustituirse por otros nuevos. Tenga en cuenta qie dado que cada
componente interpreta la validez del certificado de acuerdo con su propio reloj interno,
configuraciones incorrectas de fecha u hora pueden llevar a rechazos inesperados de
certificados.
Ejemplo Un dispositivo pasarela VPN externo vuelve a 1970 cuando ocurre un error en su configuracin
horaria. En este estado, el dispositivo piensa que un certificado emitido hoy no es vlido hasta
dentro de dcadas en el futuro y la autenticacin por certificados falla.
Puede comprobar la validez de los certificados internos (de servidores SMC, cortafuegos y
dispositivos IPS) y los Certificados de Pasarela en el Management Client:
Certificados internos: Seleccione ConfigurationConfigurationAdministration,
navegue a Other ElementsInternal Certificates (Otros ElementosCertificados
internos), y abra las propiedades del certificado.
Certificados de Pasarela VPN: Seleccione ConfigurationConfigurationVPN,
navegue a Other ElementsCertificatesGateway Certificates (Otros
ElementosCertificadosCertificados de Pasarela), y abra las propiedades del
certificado.
Problemas Relacionados con el Tiempo de Validez de la Autoridad de Certificacin
Las Autoridades de Certificacin internas de StoneGate, CA Interna y Autoridad de
Certificacin de VPN son ambos vlidos por diez aos. Seis meses antes de la expiracin
de la CA interna se crean automticamente nuevas CA Interna y CA de VPN Interna. Los
componentes que usan certificados firmados por las CAs internas deben recibir nuevos
certificados firmados por las nuevas CAs internas. En otro caso, las comunicaciones del
sistema y conexiones VPN no pueden funcionar.
Puede comprobar la validez de las CAs internas en el Management Client:
Autoridades de Certificacin Internas: Seleccione
ConfigurationConfigurationAdministration, navegue a Other ElementsInternal
Certificate Authorities (Otros ElementosAutoridades de Certificacin Internas), y abra
las propiedades de la autoridad de certificacin.
CAs de VPN Internas: Seleccione ConfigurationConfigurationVPN, navegue a

Other ElementsCertificatesVPN Certificate Authorities (Otros
ElementosCertificadosAutoridades de Certificacin VPN), y abra las propiedades de la
autoridad de certificacin.
Cuando el sistema ha creado una nueva CA Interna, cada componente debe recibir un nuevo
certificado firmado por la nueva CA interna. El sistema automticamente intenta crear nuevos
certificados para los dispositivos cortafuegos e IPS (excepto para cortafuegos SOHO) y
pasarelas SSL VPN. Para otros componentes, siempre debe crear manualmente nuevos
certificados. Si la creacin automtica de certificados falla, deber crear nuevos certificados
tambin manualmente para dispositivos cortafuegos e IPS y pasarelas SSL VPN.
Cuando se crea una nueva CA de VPN interna, debe hacerse que las pasarelas CPN que
confan en la antigua CA de VPN confen en la nueva CA de VPN. Los clientes VPN que
usen certificados para la autenticacin de usuarios tambin requieren nuevos certificados
firmados por la nueva CA de VPN.
Otros Problemas
Las cuestiones comunes relacionadas con certificados que no tienen que ver con el tiempo
de validez incluyen:
Los certificacdos usados en las comunicaciones del sistema ya no son vlidos cuando
cambia la autoridad de certificacin.
Esto ocurre si el Management Server se reinstala y la configuracin se recrea
manualmente o importando elementos en lugar de importando una copia de seguridad
(las copias contienen la informacin de la autoridad de certificacin). Si la restauracin
de la copia no es una opcin, todos los componentes del sistema deben recibir un
nuevo certificado para las comunicaciones del sistema.
En algunos casos, tambin restaurar la copia del Management Server puede resultar en
que la autoridad de certificacin sea diferente de la que se us para crear certificados
para algunos componentes. Los certificados invlidos deben ser reempalzados por
otros nuevos.
Tenga en cuenta que en este caso, los certificados de VPN firmados internamente
pueden hacerse vlidos configurando la autoridad de certificacin emisora como
confiable adicionalmente para las VPNs.
Los certificados creados para las pasarelas de seguridad para establecer la VPN durante
la configuracin se almacenan en los dispositivos pasarela (dispositivos cortafuegos/VPN).
Estos certificados no se incluyen en la copia de seguridad del Management Server y no
cambian en modo alguno al restaurar la copia del Management Server.
Los certificados pueden hacerse inutilizables si se pierde la clave privada de ese
certificado. Esto puede ocurrir, por ejemplo, si falla el hardware del dispositivo cortafuegos
y necesita ser sustituido. Los clsters de cortafuegos comparten cada certificado de VPN y
pueden sincronizar la clave privada entre nodos si es necesario. Si la clave privada se
elimina de un cortafuegos independiente o de todos los nodos de un clster, debe crearse
un nuevo certificado.
Los certificados de VPN emitidos externamente pueden ser revocados por la autoridad de
certificacin que los emiti. Esta medida de seguridad se usa cuando se sospecha que el
certificado est comprometido. Este problema slo puede solucionarse contactando con el
emisor del certificado.
Para Continuar:
Para recrear un certificado para un servidor SMC, vea Renovar Certificados de
Servidor SMC (pag. 870).
Para recrear un certificado de comunicaciones del sistema o VPN para un dispositivo,
vea Renovar Certificados de Dispositivo (pag. 871).
Para hacer que los dispositivos cortafuegos/VPN StoneGate firewall/VPN acepten
certificados VPN firmados por CAs nuevas o diferentes, vea Definir una Autoridad de
Certificacin de VPN (pag. 757).
Tareas Relacionadas
Comprobar Cundo Expiran los Certificados o CAs Internos (pag. 108)
Comprobar Cundo Expira una CA de VPN Interna (pag. 766)
Sustituir Certificados Expirados/Perdidos
Renovar Certificados de Servidor SMC

Descripciones del problema:
El sistema indica que el certificado del Management Server, Log Server, o Web Portal
Server ha expirado.
El sistema indica que la Autoridad de Certifiacin que firm el certificado del Management
Server, Log Server, o Web Portal Server est a punto de expirar, se ha creado una nueva
Autoridad de Certificacin, y el servidor requiere un nuevo certificado.
Los componentes rechazan los intentos de comunicaciones entre ellos.
Si el certificado del Management Server expira o se pierde, no es posible conectarse usando
Management Clients. La expiracin o prdida del certificado del Log Server impide que navegar
por los logs, generar informes y la monitorizacin de estado funcionen correctamente, y fuerza a
los dispositivos a almacenar los logs localmente.
Solucin: Los certificados de cualquiera de los componentes de servidor de SMC pueden
renovarse sin impactar en ninguno de los otros componentes. La generacin del certificado
requiere autenticacin en la forma de una conexin de un administrador (se requieren permisos
ilimitados).
Para generar nuevos certificados
1. Pare el servidor StoneGate que quiere re-certificar.
Nota Para certificar un Log Server o Web Portal Server, el Management Server debe
estar ejecutndose y accesible a travs de la red.
2. En el servidor que quiere certificar, abra la carpeta <directorio de

instalacin>/bin.
3. Ejecute el script correcto para el tipo de servidor:
Management Server primario: sgCertifyMgtSrv.[bat|sh
Management Server secundario: sgOnlineReplication.[bat|sh]
Log Server primario o secundario: sgCertifyLogSrv.[bat|sh]
Web Portal Server: sgCertifyWebPortalServer.[bat|sh]
4. Cuando se le solicite, conctese usando una cuenta de administrador con permisos
ilimitados.
Si est usando Dominios, tambin puede especificar el Dominio (Domain) al que
pertenecen el Log Server o el Web Portal Server. Si no especifica un Dominio, se usar
el Dominio Compartido.
5. Asegrese de que la opcin Certify Again an Existing Server (Certificar de Nuevo un
Servidor Existente) est seleccionada y que el servidor correcto est seleccionado en la
lista de abajo.
6. Pulse OK y espere una confirmacin.
No se requieren ms acciones. Cuando reinicie el servidor, todos los dems componente
aceptan el nuevo certificado, puesto que est emitido por una CA en la que confan. En este
contexto, los componentes slo confan en la CA interna que emiti su propio certificado. Los
administradores que se conectan al Management Client o al StoneGate Web Portal reciben
una notificacin del cambio de la huella digital del certificado en el Management o Web Portal
Server cuando se conectan por primera vez tras el cambio de certificado del servidor. Si quiere
comprobar la huella del certificado antes de aceptarla, ejecute el comando sg-
ShowFingerprint en el servidor. Vea Herramientas de Lnea de Comando (pag. 917).
Tareas Relacionadas
Vea Comandos del Management Center (pag. 918) para ms informacin sobre las herramientas
de lnea de comando en los servidores.
Renovar Certificados de Dispositivo

Descripciones del Problema:
El sistema indica que el certificado de un componente dispositivo ha expirado.
El sistema indica que la Autoridad de certificacin que firm el certficado del componente va
a expirar o ha expirado, se ha creado una nueva Autoridad de Certificacin, y el dispositivo
requiere un nuevo certificado..
Los componentes rechazan los intentos de conexin entre ellos.
Si el certificado para las comunicaciones del sistema expira o se borra, los cortafuegos o
sensores continan procesadno trfico normalmente pero todas las comunicaciones con otros
componentes cesan. En el caso de un clster, el trfico puede verse afectado si los certificados
expirados impiden que los nodos sincronicen informacin. Lo mismo sucede si la Autoridad de
Certificacin Interna que firma los certificados para las comunicaciones del sistema va a expirar
y los dispositivos no tienen nuevos certificados firmados por la nueva CA Interna que el sistema
ha creado automticamente. Vea Tratar con Autoridades de Certificacin en Expiracin (pag.
872).
Si un certificado para autenticacin de VPN expira o se borra, las VPNs configuradas para usar
certificados (esto incluye cualquier VPN con clientes VPN IPsec StoneGate) no pueden ser
establecidas hasta que se renueve el certificado. Una renovacin o cambio de un certificado de
VPN puede hacer que aparezca un aviso de seguridad a los usuarios que se conecten a la
pasarela.
Causa: La renovacin automtica de certificados puede estar desactivada en su sistema o fallar
debido a la falta de informacin requerida o debido a prdida de informacin o cuestiones de
incompatibilidad que dependan de las versiones de software utilizadas cuando se instal
originalmente el sistema. La renovacin automtica de certificados no se soporta en
Cortafuegos SOHO.
Solucin: Renueve manualmente los certificados. Renovar el certificado requiere un reinicio,
pero por lo dems, su sistema y los servicios de red no se ven afectados por el cambio de
certificado.
Para generar nuevos certificados:
Para los certificados de dispositivo usados para las comunicaciones del sistema StoneGate,
renueve el contacto entre el dispositivo y el Management Server usando una nueva
contrasea de un solo uso. Vea Conectar Dispositivos al Stonegate Management Center
(pag. 391) y Reconfigurar los Parmetros Bsicos del Dispositivo (pag. 203).
Los certificados de pasarela VPN se crean y gestionan separadamente de los certificados
usados en las comunicaciones del sistema. Si un certificado de VPN ha expirado, renueve el
certificado segn se explica en Renovar Certificados de VPN (pag. 763). Si el certificado
de VPN es invlido por alguna otra razn, elimine el elemento Certificado de Pasarela en
el Management Client y cree uno completamente nuevo segn se explica en Crear y
Firmar Certificados de VPN (pag. 759).
Tareas Relacionadas
Vea Comandos del Dispositivo (pag. 926) para un listado de herramientas de lnea de
comando.
Tratar con Autoridades de Certificacin en Expiracin

Descripcin del problema:
El sistema indica que la Autoridad de Certificacin que firm el certificado de un
componente va a expirar, se ha creado una nueva Autoridad de Certifiacin y debe
generarse un nuevo certificado para el componente porque la Autoridad de Certificacin
ha sido renovada.
El sistema indica que una pasarela VPN debe configurarse para que confe en una nueva
Autoridad de Certificacin de VPN que se cre automticamente.
Los componentes rechazan los intentos de conexin entre ellos.
Causa: Los mensajes se lanzan para mostrar que la fecha de expiracin de una Autoridad de
Certificacin se aproxima, se ha creado una nueva Autoridad de Certificacin o que una
Autoridad de Certificacin ha expirado. Los mensajes tambin pueden indicar que se
requieren acciones del administrador para que los componentes del sistema puedan epezar
a usar la nueva Autoridad de Certificacin.
Solucin: Si una Autoridad de Certificacin va a expirar, los componentes que usen
certificados firmados por la Autoridad de Certificacin requieren nuevos certificados firmados
por una Autoridad de Certificacin vlida.
Renovar una autoridad de certifiacin externa usada en configuraciones de VPN:
Configure una nueva autoridad de certifiacin y asegrese de que es confiable en las
configuraciones de VPN.
Cree nuevos certificados para los componentes involucrados en la configuracin de
VPN, firmados por la nueva autoridad de certifiacin. Vea Gestionar Certificados de
VPN (pag. 755) para ms informacin.
Renovar autoridades de certificacin internas usadas en securizar las comunicaciones del
sistema y en VPNs:
El sistema genera automticamente una nueva Autoridad de Certificacin Interna y una
nueva Autoridad de Certificacin de VPN seis meses antes de sus fechas de
expiracin.
Cada componente que use certificados firmados por la Autoridad de Certificacin
Interna o la Autoridad de Certificacin de VPN Interna requiere un nuevo certificado
firmado por la nueva Autoridad de Certificacin Interna o la Autoridad de Certificacin
de VPN Interna.
Vea las secciones que siguen para informacin sobre renovar los certificados para
diferentes tipos de componentes.
Certificados de Comunicaciones del Sistema para los Servidores SMC
Debe crear manualmente un nuevo certificado para cada Management Server, Log Server, y
Web Portal Server usando las herramientas de lnea de comando de StoneGate. Vea
Renovar Certificados de Servidor SMC (pag. 870).
Certificados de Comunicaciones del Sistema para los Dispositivos

Para crear un nuevo certificado para un cortafuegos SOHO, debe hacer un contacto inicial
desde el Cortafuegos SOHO al Management Server (vea la Gua Appliance Installation Guide
del cortafuegos SOHO para ms informacin).
Para otros dispositivos, incluyendo Pasarelas SSL VPN, normalmente no se necesitan acciones
del administrador. Una vez la nueva CA Interna ha sido creada, se crean automticamente
nuevos certificados para los dispositivos. De cualquier modo, si la renovacin de certificado
automtica falla para certificados usados en las comunicaciones del sistema, deber hacer un
contacto inicial desde el dispositivo al Management Server. Vea Conectar Dispositivos al
Stonegate Management Center (pag. 391). Tras un contacto inicial exitoso, se crear un nuevo
certificado para el dispositivo automticamente.
Pasarelas VPN Internas
Se crea un nuevo certificado automticamente para la pasarela interna. Todo lo que necesita
hacer es refrescar la poltica en el dispositivo cortafuegos/VPN.
Pasarelas VPN Externas
Si una pasarela externa confa en la CA de VPN interna y la CA de VPN interna ha sido
renovada, debe crear un nuevo certificado para la pasarela externa y firmarlo con la nueva CA
de VPN interna. Tambin deber configurar la nueva CA de VPN como de confianza en las
propiedades de la Pasarela Externa y en las propiedades del elemento Perfil de VPN usado en
la configuracin de la VPN, Vea Gestionar Certificados de VPN (pag. 755) para ms
informacin.
Clientes VPN
Cuando un cliente VPN IPsec conecta con una pasarela que confa en la nueva CA de VPN
interna, los usuarios del cliente VPN IPsec deben aceptar la huella digital del certificado de la
pasarela antes de poder conectarse a la misma. Informe a los usuarios de que la huella digital
del certificado de pasarela ha cambiado y proporcineles la informacin para comprobar la
huella en el clientes VPN IPsec.
Si se usan certificados para autenticar usuarios certificado clientes VPN IPsec y los certificados
han sido firmados con la CA de VPN interna, debe crear nuevos certificados para los usuarios
del cliente VPN IPsec usando la nueva CA de VPN. Vea Renovar Certificados de VPN (pag.
763) para ms informacin.
Resolucin de Problemas con la Operacin de Dispositivos 875
CAPTULO 65
RESOLUCIN DE PROBLEMAS CON LA

OPERACIN DE DISPOSITIVOS
Las cuestiones cubiertas aqu se concentran en errores y problemas directamente

relacionados con la operacin de los dispositivos cortafuegos, sensores y analizadores.
Las cuestiones relacionadas con configurar funcionalidades individuales del sistema,
tales como cuestoines relacionadas con disear e instalar polticas, se cubren en
secciones separadas.
Un Nodo no se Pone o Mantiene Online (pag. 876)

Error Enviando un Comando a un Dispositivo (pag. 876)
Errores con el Heartbeat y la Sincronizacin (pag. 877)
Problemas Contactando con el Management Server (pag. 877)
Un Nodo no se Pone o Mantiene Online

Descripcin del problema: cuando ordena a un nodo ponerse online, el nodo no lo hace o
vuelve a ponerse offline tras un corto periodo de tiempo.
Solucin:
Si acaba de actualizar los dispositivos o est usando una licencia de evaluacin:
Abra la vista de Configuracin de Administracin y compruebe que sus licencias son
vlidas para la versin de dispositivos que est usando bajo Licenses en la vista de
rbol. Si necesita nuevas licencias, genrelas en el sitio Web de Stonesoft, vea Generar
Nuevas Licencias (pag. 826).
Si los nodos estn en un clster, y slo un nodo a la vez parece mantenerse online:
Compruebe si el clster est en modo Standbby. El modo Standby mantiene un nodo
online a la vez y usa los otros nodos como respaldos en caso de que el nodo online falle.
Vea Ajustar los Parmetros de Clster del Cortafuegos (pag. 419) o Ajustar las Opciones
de Clster de Sensores (pag. 429).
Refresque la poltica del clster y compruebe que la instalacin es exitosa de forma que
ningn nodo vuelva atrs a la configuracin previa. Todos los nodos del clster deben
tener exactamente la misma configuracin que ha sido instalada en la misma operacin
de instalacin de poltica. Puede necesitar ajustar el tiempo de espera de vuelta atrs en
las propiedades del clster si la vuelta atrs en algn nodo es el problema, vea Ajustar
los Parmetros del Sistema del Cortafuegos (pag. 416). Si la instalacin de la poltica
falla, vea Resolucin de Problemas de Instalacin de Polticas de Cortafuegos (pag. 898).
Compruebe las alertas en la vista de logs acerca de pruebas fallidas, y si alguna de esas
pruebas est configuradas para pasar el nodo a offline cuando falla (el comprobador
dejar un nodo de un clster online aunque la prueba falle en todos los nodos). Si ve un
fallo de una prueba, puede indicar un problea autntico que necesita resolver o la prueba
puede estar mal configurada y puede necesitar desactivarla o reconfigurarla. Vea ms
informacin en Empezar con el Comprobador de Dispositivos (pag. 398).
Busque en la vista de Logs alertas o logs relacionados con el funcionamiento de los nodos.
Ciertas condiciones de error internas (por ejemplom fallos en la conexin de heartbeat o
certificados perdidos) pueden causar que los nodos pasen a offline. Estos eventos se
muestran como logs o alertas.
Error Enviando un Comando a un Dispositivo

Descripcin del problema: intenta enviar un comando a un dispositivo usando el
Management Client y recibe un error.
Solucin:
Refresque la poltica del dispositivo. Si hay nodos desactivados en el mismo clster,
actvelos antes de refrescar la poltica. Lea todos los mensajes mostrados y asegrese de
que ningn nodo vuelve atrs a la poltica previa. Si lRefresh the engines policy. If there
are disabled nodes in the same cluster, enable them before refreshing the policy. Read all
messages displayed and make sure none of the nodes roll back to the previous policy. Si
la instalacin de la poltica falla, vea Resolucin de Problemas de Instalacin de Polticas
de Cortafuegos (pag. 898).
Si la instalacin de la poltica falla y el estado y la informacin de estadsticsa mostrados
en el Management Client no aparece (el estado se muestra como desconocido) incluso
aunque el dispositivo est online en realidad y procesando trfico, el problema puede
deberse a un certificado expirado, vea Entender los Problemas Relacionados con
Certificados (pag. 868).
Resolucin de Problemas con la Operacin de Dispositivos 877
Errores con el Heartbeat y la Sincronizacin

Descripcin del problema: recibe alertas acerca de la coenxin de heartbeat entre los nodos
de un clster.
Solucin:
Aplique una resolucin de problemas de red normal (compruebe opciones de velocidad y
dplex, cableado, etc.) para garantizar que el enlace de heartbeat funciona corectamente.
Debera tener una conexin de heartbeat primaria y otra secundaria usando enlaces fsicos
completamente separados.
Es muy recomendable que use un enlace dedicado tanto para el heratbeat primario como el
de respaldo. El heartbeat y la sincronizacin de estado son comunicaciones crticas en el
tiempo . La conexin de heartbeat es absolutamente crtica en la operacin de un clster. El
clster no puede funcionar sin una conexin de heartbeat fiable.
Si ha instalado dos o ms clsters de StoneGate en una nica LAN como heartbeat compartido,
y ve entradas de log adicionales cobre mensajes de heartbeat no autenticados:
Cambie la IP de Heartbeat y de Sincronizacin de forma que cada clster use una direccin
diferente. Vea Ajustar los Parmetros de Clster del Cortafuegos (pag. 419).
Problemas Contactando con el Management Server

Descripcin del problema: el dispositivo no puede establecer el contacto inicial con el
Management Server, o todos los intentos subsiguientes de enviar rdenes al dispositivo
mediante el Management Client fallan.
Solucin: aplique una resolucin de problemas de red normal. Si hay un cortafuegos local
entre el cortafuegos de un sitio remoto y el Management Server, el cortafuegos local bloquea
las comunicaciones. Para un listado completo de todas las comunicaciones del sistema en
todas las configuraciones, vea Puertos de Comunicacin por Defecto (pag. 933).
Ejemplo Un cortafuegos con conexiones de gestin invertidas (por ejemplo, porque tiene una direccin IP
dinmica) contacta con el Management Server en el puerto 8906, y deber crear una regla de Acceso
en la poltica del cortafuegos del sitio principal para permitir la conexin:
Origen: cortafuegos del sitio remoto
Destino: direcciones de contacto del Management Server
Servicio: SG-dynamic-control
Accin: Permitir
Resolucin de Problemas de Licencias 879
CAPTULO 66
RESOLUCIN DE PROBLEMAS DE
LICENCIAS
Las licencias son una prueba de compra usadsa para garantizar que su organizacin
disponen de una licencia legal del software.
Resolucin de Problemas de Licencias (pag. 880)

La Licencia se Muestra como Retained (pag. 880)
La Licencia se Muestra como Unassigned (pag. 881)
Alertas de Throughput Based License Exceeded (pag. 881)
Resolucin de Problemas de Licencias
Nota No confunda Licencias con Certificados. Las licencias son una prueba de compra
(proporcionada por Stonesoft) usada para garantizar que su organizacin dispone de una
licencia legal del software. Los certificados son pruebas de identidad (generadas en su
instalacin del sistema) que usan los componentes para autenticarse a s mismos en las
comunicaciones del sistema. Para problemas con certificados, vea Resolucin de
Problemas con Certificados (pag. 867).
Las licencias se introducen en el sistema como elementos que se instalan en su

Management Server. Debe instalar licecncias para configurar los componentes que su
organizacin haya adquirido. Los componentes que no tienen una licencia no funcionan. De
cualqueir modo, en los actuales modelos de dispositivos ejecutanto Cortafuegos/VPN 5.0 e
IPS 5.0 o superiores, las licencias pueden generarse automticamente.
Si el Management Server no tiene una licencia vlida, se le muestra un dilogo avisndole de
esto cada vez que se conecta usando el Management Client. No puede crear una
configuracin de trabajo sin una licencia de Management Server, puesto que la mayora de
controles estn desactivados. Si un componente dispositivo no tiene licencia, puede crear
una configuracin para l, pero no puede transferir la configuracin al dispositivo.
Informacin bsica de resolucin de problemas y soluciones para los problemas ms
comunes con licencias se proporciona en los siguientes temas:
La Licencia se Muestra como Retained (pag. 880)
La Licencia se Muestra como Unassigned (pag. 881)
Throughput Based License Exceeded (pag. 859)
Tareas Relacionadas
La Licencia se Muestra como Retained

Descripcin del problema: cuando ve la informacin para una licencia en el Management
Client, la columna State (Estado) muestra retained (retenida).
Causa: Las licencias pueden generarse en base al cdigo proof-of-license (POL Prueba de
Licencia) del Management Server en lugar de a una direccin IP fija. Cuando empieza a usar
una licencia Dinmica, la asocia al dispositivo correcto o Log Server, y el sistema fija esta
asociacin cuando instala la poltica en el componente. A causa de esta asociacin fijada, si
desasocia una licencia dinmica, se muestra como Retained y no es posible reutilizar la
licencia Dinmica en otro componente o eliminarla.
Solucin: complete uno de los procedimientos listados a continuacin de acuerdo con lo que
se ajuste a sus necesidades.
Reasocie la licencia al componente al que estaba sociada previamente.
Pulse botn derecho sobre la licencia y seleccione Cancel Unbind (Cancelar
Desasociacin).
Sustituya la licencia del componente con una nueva licencia Dinmica.
Instale una nueva licencia Dinmica en el sistema y asciela al componente al que est
asociada la licencia retenida. El estado de la licencia Dinmica previa pasa a
Unassigned (Desasignada) y puede asociarse a otro componente o eliminarse.
Resolucin de Problemas de Licencias 881
Sustituya la licencia del componente con una nueva licencia Esttica:

Puede sustituir directamente una licencia Dinmica con una licencia Esttica. Seleccione
la opcin Replace by Static License (Sustituir por Licencia Esttica) desde el men de
botn derecho de la licencia Dinmica en el Management Client. Tenga en cuenta que la
licencia Esttica debe estar instalada antes de seleccionar esta opcin.
Elimine el elemento para el componente al que est asociada la licencia Dinmica
Tras eliminar el elemento, el estado de la licencia Dinmica cambia a Unassigned
(Desasignada) y puede ser asociada a otro componente o eliminada.
La Licencia se Muestra como Unassigned

Descripcin del problema: cuando importa una nueva licencia, no se asocia a ningn
componente por s misma, sino que se muestra como unassigned (desasignada).
Causa: la licencia no contiene informacin identificativa que el Management Server pueda usar
para asociar la licencia a un componente. Esto es normal para licencias Dinmicas (para ms
informacinen tipos de licencias y estados, vea Comprobar la Validez y Estado de la Licencia
(pag. 831)).
Solucin: Pulse botn derecho sobre la licencia y seleccione Bind (Asociar) para seleccionar
qu componente quiere licenciar. Si esta es una licencia de dispositivo para un dispositivo
StoneGate, asegrese quie asocia la licencia correcta al dispositivo correcto (puesto que la
licencia contiene restricciones especficas del modelo de dispositivo), y refresque la poltica del
dispositivo. Vea Instalar Licencias (pag. 828) para ms informacin.
Alertas de Throughput Based License Exceeded

Vea Throughput Based License Exceeded (pag. 859).
Resolucin de Problemas de Logging 883
CAPTULO 67
LOGGING
Esta seccin cubre algunos problemas comunes que puede encontrase con la
visualizacin de logs o cuando ejecute tareas relacionadsa con los ficheros de log. Para
informacin sobre mensajes particulares que puede ver en los logs, vea Mensajes de Log
(pag. 860).
Problemas con la Visualizacin de Logs (pag. 884)

Los Logs estn Llenando el Espacio de Almacenamiento (pag. 884)
El Log Server no se Ejecuta (pag. 885)
Problemas con la Visualizacin de Logs

Si la vista de Logs es incapaz de conectar con algn Log Server:
Compruebe que el Log Server se est ejecutando, y que el Log Server es alcanzable
desde el ordenador usado para el Management Client. Los datos de logs no se enrutan a
travs del Management Server, de forma que un estado verde mostrado para un Log
Server en el Management Client (en base a la informacin que tiene el Management
Server) no es indicativo de si el Log Server es alcanzable para examinar los logs o no.
Si hay un dispositivo de NAT entre algn Management Client y un Log Server, los
administradores deben seleccionar la Localizacin correcta para el Management Client en
la barra de estado en la esquina inferior derecha de la ventana del Management Client.
Vea Empezar con las Comunicaciones del Sistema (pag. 60).
Si algunos o todos los logs no son visibles en la vista de Logs:
Compruebe que el filtrado, rango de tiempo y opciones de origen en la vista de Logs son
correctas y asegrese de que ha pulsado Apply (Aplicar) tras hacer los ltimos cambios
en estas opciones.
Compruebe las opciones de logging en sus polticas. No todas las conexiones crean
automticamente entradas de log. Las opciones Alert, Stored, y Essential generan
entradas de log permanentes. La opcin Transient significa que los logs no se
almacenan, slo pueden verse en el modo Current Events (Eventos Actuales) en la vista
de logs cuando llegan al Log Server.
Compruebe que los logs que quiere guardar no estn siendo purgados, vea Purgar Datos
de Logs (pag. 807). El Log Server elimina los logs seleccionados de acuerdo con cmo
est configurado el purgado.
Compruebe que los logs se estn transfiriendo desde los dispositivos al Log Server. Las
entradas de log se almacenan localmente en los dispositivos si no est disponible una
conexin con el Log Server. Las conexiones entre los dispositivos y el Log Server
deberan mostrarse en verde en la vista de Estado del Sistema.
Dependiendo de sus opciones de logging y el nmero de dispositivos que enven datos al
mismo Log Server, el proceso de loggin puede ralentizarse debido a una falta de recursos
en el dispositivo, en la red o en el Log Server, vea Los Logs estn Llenando el Espacio de
Almacenamiento (pag. 884).
Los Logs estn Llenando el Espacio de Almacenamiento

Descripcin del problema: el disco duro de un dispositivo o un Log Server se est
llenando con ficheros de log segn indican las alertas que se reciben.
Solucin:
Si un dispositivo se llena con logs:
Compruebe que el Log Server est ejecutndose. Si no es as, intente arrancarlo (vea El
Log Server no se Ejecuta (pag. 885) si el Log Server no se queda en ejecucin). Si el Log
Server est en ejecucin, busque problemas de red entre el dispositivo y el Log Server.
Las entradas de log se almacenan localmente en los dispositivos si no pueden enviarse al
Log Server. Parar y reiniciar el proceso del Log Server puede ayudar a restaurar la
conexin.
Si el volumen de logs es extremadamente alto, pueden no transferirse suficientemente
rpido, y los logs tienen que guardarse localmente incluso aunque estn siendo
transferidos. Si sospecha que ste es el caso, desactive todos los diagnsticos para
todos los dispositivos que no estn en proceso de resolucin de problemas (vea
Activar/Desactivar los Diagnsticos de Cortafuegos/VPN (pag. 193)), desactive el turn
logging para todas las reglas que no hagan seguimieto de conexiones (ya que estas
reglas registran cada paquete individualmente), y compruebe si los logs que se estn
purgando actualmente seran susceptibles de no generarse en su lugar.
Resolucin de Problemas de Logging 885
Si el Log Server Se est llenando con logs:

Configure tareas de gestin que archiven y eliminen las entradas de Log ms antiguas del
disco duro del Log Server, vea Empezar con la Gestin de Datos de Logs (pag. 800). Para
evitar problemas en el futuro, configure las tareas para que se ejecuten automticamente a
intervalos regulares.
Los logs se almacenan en la mquina del Log Server bajo una estructura de carpetas basada
en fechas y horas (la localizacin por defecto es <directorio de
instalacin>/data/storage). En una emergencia, puede mover oe liminar manualmente
entradas de log antiguas. Debera eviatr siempre el manejar manualmente las entradas ms
nuevas.
El Log Server no se Ejecuta

Descripcin del problema: el Log Server no est ejecutndose y no se queda en ejecucin
cuando intenta arrancarlo.
Solucin:
Para conseguir ms informacin, intente arrancar el Log Server usando el script
<directorio de instalacin>/bin/sgStartLogSrv[.bat|.sh]. Los mensajes de
arranque se muestran en la lnea de comando y puede conseguir ms informacin si el
arranque falla.
Los posibles problemas y soluciones incluyen:
La versin de software puede ser incorrecta. El Log Server debe tener exactamente la misma
versin de software que el Management Server. Actualice los componentes segn sea
necesario.
El certificado del Log Server para las comunicaciones del sistema puede haber expirado,
haberse borrado o ser invlido, vea Entender los Problemas Relacionados con Certificados
(pag. 868).
El Log Server puede no tener una licencia, la licencia puede estar asociada a una direccin
IP incorrecta, o la direccin IP a la que est asociada la licencia puede no estar activa en el
servidor, vea Resolucin de Problemas de Licencias (pag. 880).
Puede no haber suficiente espacio para los logs en el disco duro, vea Los Logs estn
Llenando el Espacio de Almacenamiento (pag. 884).
A veces ficheros necesarios para la ejecucin del Log Server pueden ser movidos o
eliminados por procesos externos, tal como sistemas anti-virus, o perdidos debido a errores
de disco. En este eipo de casos, Java muestra un error especificando Could not find the
main class (No pudo encontrarse la clase main). Reinstale la misma versin de software y
compruebe la configuracin del ordenador para evitar que vuelva a ocurrir lo mismo en el
futuro.
Resolucin de Problemas del Management Client 887
CAPTULO 68
RESOLUCIN DE PROBLEMAS DEL

MANAGEMENT CLIENT
Esta seccin se concentra en problemas generales que puede encontrarse cuando use
el Management Client.
No Puedo Ver la Ayuda Online: Help File Not Found (pag. 888)
Algunas Opciones Estn Desactivadas (pag. 888)
Arranque y Funcionamiento Lentos (pag. 889)
Problemas al Conectar con el Management Client (pag. 889)
Problemas con el Diseo y Vistas (pag. 890)
Problemas al Visualizar Estadsticas (pag. 890)
Problemas con la Monitorizacin de Estado (pag. 890)
Problemas al instalar Web Start en un Servidor Externo (pag. 891)
No Puedo Ver la Ayuda Online: Help File Not Found

Descripcin del problema: intenta abrir la Ayuda Online en el Management Client, pero
recibe un mensaje de error en su lugar.
Causa: los ficheros necesarios residen en el directorio InstallerData en el origen de
instalacin. Si el instalador no encuentra este directorio o los ficheros en su interior cuando
se instala el Management Client, la Ayuda Online no se instala adecuadamente. Si necesita
copiar los ficheros de instalacin de una localizacin a otra, asegrese de incluir todos los
directorios.
Solucin:
Si el cliente se ha instalado localmente:
Reinstale el Management Client con los ficheros correctos presentes en el momento de la
instalacin o pare el Management Client y copie manualmente los ficheros necesarios
egn sigue: copie los ficheros .jar desde el origen de la instalacin, carpeta
StoneGate_SW_Installer/InstallerData/managementclient en <directorio de
instalacin>/lib en el ordenador local. Sobreescriba los ficheros del mismo nombre
que ya existan en el directorio de destino.
Si el cliente se ha instalado mediante el servidor Web Start integrado:
Copie los ficheros .jar desde el directorio de instalacin de origen
StoneGate_SW_Installer/ InstallerData/managementclient en <directorio de
instalacin>/webserver/ webapps/managementclient/lib en el ordenador del
Management Server. Sobreescriba los ficheros de igual nombre que ya existan en el
directorio de destino. Los clintes Web Start ya instalados actualizan sus copias locales de
estos ficheros la prxima vez que se inician.
Algunas Opciones Estn Desactivadas

Descripcin del problema: algunas opciones estn desactivadas (puede verlas, pero estn
en gris y no son editables).
Solucin:
Si casi todos los controles estn desactivados, la licencia del Management Server puede
no estar instalada o no ser vlida, vea Generar Nuevas Licencias (pag. 826) para
directrices sobre cmo crear e importar un fichero de licencia. Asegrese de que la
direccin IP en la licencia es correcta y que el interfaz de red con esa direccin IP est
activo en el Management Server.
Sus permisos de administrador pueden restringir sus acciones. Por ejemplo, los
administradores Operadores slo tienen permitido ver los contenidos de los elementos
para los que tienen permiso. No tienen permitido cambiar las propiedades de los
elementos. Vea Cuentas de Administrador (pag. 213) para ms informacin. Si quiere
editar un elemento que est bloqueado, primero debe desbloquear el elemento. Vea
Bloquear y Desbloquear Elementos (pag. 79).
Las opciones desactivadas pueden ser parte de un elemento u objeto creado por la
instalacin. Estos objetos del sistema no pueden ser editados, pero normalmente puede
hacer copias de ellos y editar y usar las copias en su lugar. Seleccione el elemento en
una vista de Configuracin y compruebe la pestaa History (Historia) en el panel de
Informacin. Los elementos del sistema muestran System como Creador.
Las opciones pueden ser parte de una funcionalidad no soportada por la versin del
dispositivo que est usando. Si ste es el caso, debe actualizar los dispositivos antes de
poder usar esta funcionalidad. Vea las Release Notes para informacin sobre
funcionalidades nuevas y mejoradas en las diferentes versoines en
http://www.stonesoft.com/support/. Para informacin sobre nuevas funcionalidades
introducidas en esta versin del Management Center, vea Qu Hay de Nuevo? (pag.
27).
Cambiar las opciones desactivadas puede requerir seleccionar alguna otra opcin antes.
Busque una opcin para activar la funcionalidad o ignorar los valores por defecto, o una
forma de cambiar los valores por defecto en su lugar.
Arranque y Funcionamiento Lentos

Descripcin del problema: la conexin al Management Client y otras operaciones son lentas
(p.ej. refrescar una lista de elementos de red toma mucho tiempo).
Solucin: asegrese de que los nombres de host del Management Server y el Log Server
pueden resolverse en el ordenador que ejecuta el Management Client (incluso si el
Management Client se est ejecutando en el mismo ordenador que los componentes
servidores). Aada las parejas direccin IP y nombre de host en el fichero local de hosts en el
ordenador cliente:
En Linux: /etc/hosts
En Windows: \WINNT\system32\drivers\etc\hosts
La navegacin por los logs tambin se ralentiza si no todas las fuentes seleccionadas (Log
Servers) estn disponibles (los datos se muestran cuando las consultas agotan su tiempo de
espera). Excluya los Log Servers temporalmente inactivos de Sources (Fuentes) y saegrese
de que la Localizacin est configurada correctamente en su Management Client (en la barra de
estado) si hay un dispositivo NAT entre su cliente y un Log Server.
Problemas al Conectar con el Management Client

Si el Management Client informa de un problema de conexin:
Asegrese de que ha introducido correctamente la direccin en la pantalla de conexin. Si
hay un dispositivo NAT entre el Management Client y el Management Server, la direccin IP
usada debe ser una direccin trasladada. Las Localizaciones y Direcciones de contacto no se
usan para seleccionar la direccin correcta cuando slo se est conectando.
Verifique que el Management Server est ejecutndose.
Verifique que la red entre el Management Client y el Management Server est funcionando y
enruta el trfico correctamente. Vea Puertos de Comunicacin por Defecto (pag. 933) para
los puertos y protocolos usados para las comunicaciones. Tenga en cuenta que estas
comunicaciones no se permiten en la plantilla por Defecto para los cortafuegos StoneGate.
Si ve un mensaje de expiracin de certificado:
El certificado del Management Server ha expirado. Vea Renovar Certificados de Servidor
SMC (pag. 870).
Si ha olvidado su contrasea:
Vea Contraseas Olvidadas (pag. 854).
Problemas con el Diseo y Vistas

Si una vista previamente visible ya no se muestra:
Seleccione la vista apropiada desde el men View (Vista). Si la vista no est listada, no
est disponible en esta ventana.
Si la vista an no es visible, seleccione ViewLayoutReset Layout
(VistaDiseoRestablecer Diseo) desde el men.
Si todas las vistas que quiere mostrar en pantalla estn visibles, pero estn ordenadas de
forma errnea:
Puede arrastrar y soltar las vistas por sus ttulos a diferentes posiciones predefinidas en
pantalla y cambiar su tamao arrastrando los bordes.
Puede restaurar el diseo a las posiciones por defecto, seleccione
ViewLayoutReset Layout (VistaDiseoRestablecer Diseo) desde el men.
Problemas al Visualizar Estadsticas

Si puede ver algunos tipos de estadsticas para un elemento, pero no otros tipos:
Esto es normal. No todas las estadsticas son compatibles con todos los tipos de
elementos.
Si un elemento no muestra ninguna estadstica:
Si es un elemento servidor, esto es normal. Los servidores no producen informacin
estadstica. Slo los elementos dispositivo la producen.
Compruebe que el Log Server Primario est configurado correctamente en las
propiedades del Management Server, que este Log Server est ejecutndose y que las
conexiones de red estn levantadas entre los dispositivos, el Log Server, y el
Management Server. La informacin estadstica se enva desde los dispositivos al Log
Server, que reenva la informacin al Management Server.
Problemas con la Monitorizacin de Estado

Si un icono de estado est siempre blanco:
La monitorizacin de estado para el elemento est desactivada. Para activarla, vea
Monitorizar la Ejecucin de Tareas (pag. 106).
Si no sabe lo que el icono de estado est tratando de mostrar:
Site el puntero del ratn sobre el elemento y espere a que aparezca un tooltip para ver
el texto del estado del elemento. Para ms informacin, vea Monitorizar el Sistema (pag.
83).
Si el estado del Management Server indica problemas, pero el dispositivo est procesando
trfico normalmente:
Compruebe la conectividad de la red: la informacin de estado se manda normalmente
desde los dispositivos al Log Server, que despus la reenva al Management Server. Hay
tambin un canal de respaldo directamente desde los dispositivos al Management Server.
Vea Puertos de Comunicacin por Defecto (pag. 933).
Si no hay informacin disponible en la pestaa Appliance Status (Estado del Dispositivo) en
el panel de Informacin:
La informacin de Estado del Dispositivo no se muestra automticamente. Pulse Refresh
(Refrescar) en la pestaa Appliance Status para ver la informacin. La informacin de
Estado del Dispositivo slo est disponible para versiones de dispositivo 4.3 o superiores.
Problemas al instalar Web Start en un Servidor Externo

Descripcin del problema: los scripts de instalacin automtica de Web Start
webstart_setup.vbs o webstart_setup.sh fallan.
Solucin: configure manualmente los ficheros de Web Start.
Para configurar manualmente los ficheros de Web Start
1. Copie la carpeta de Web Start a su ordenador. El software de Web Start puede encontrarse
en el CD-ROM del producto en el directorio StoneGate_SW_Installer/Webstart.
2. Edite los siguientes ficheros con un editor de texto e introduzca el path correcto de la
carpeta de Web Start en su Web server o disco de red en la fila codebase al principio de
cada fichero:
Tabla 177: Ficheros a Editar
Fichero Ejemplo
codebase=http://www.ejemplo.com/webstart
smcclient.jnlp o
codebase=file://localhost/C:/webstart
bouncycastle.jnlp o
smc_help.jnlp o
3. Guarde y cierre cada fichero.

4. Ponga un enlace al fichero smcclient.jnlp en su sitio Web. Se suministra una pagina de
inicio de ejemplo con el paquete Web Start, conteniendo un enlace para iniciar la
aplicacin.
5. Si es necesario, modifique la configuracin del servidor Web para devolver el tipo MIME
apropiado para los ficheros.jnlp (application/x-java-jnlp-file). Consulte el manual
de su servidor Web para instrucciones sobre cmo configurar el tipo MIME.
Resolucin de Problemas de NAT 893
CAPTULO 69
NAT
Esta seccin se concentra en algunos problemas comunes que puede encontrar

con las definiciones de NAT.
Resolucin de Problemas de Errores de NAT (pag. 894)

NAT No Se Aplica Correctamente (pag. 894)
NAT Se Aplica Cuando No Debera (pag. 895)
Resolucin de Problemas de Errores de NAT

Considere lo siguiente cuando intente resolver cuestiones de NAT:
Una operacin de NAT Dinmico no puede aplicarse a todos los tipos de trfico. NAT
Dinmico (muchos-a-uno) se hace asignando a diferentes hosts la misma direccin IP
pero diferentes puertos, de forma que las repuestas subsiguientes puedan ser
reconocidas y reenviadas correctamente. Por esta razn, NAT dinmico no funciona
cuando el protocolo en cuestin no usa puertos (slo una conexin puede gestionarse
cada vez). Slo los protocolos de transporte TCP y UDP usan puertos. Vea las ramas
TCP y UDP en el rbol de Servicios (Services) en el Management Client para comprobar
qu protocolos se transportan sobre TCP o UDP. Use NAT esttico para otros protocolos,
o compruebe si la aplicacin en cuestin soporta NAT traversal (entunelar el protocolo
dentro de TCP o UDP).
El NAT Dinmico puede quedarse sin puertos si hay demasiadas conexiones simultneas
en relacin con las direcciones IP y el rango de puertos que haya configurado para el NAT
dinmico. Puede aumentar los puertos disponibles para la traslacin aadiendo una nueva
direccin IP para su regla de NAT dinmico o expandiendo el rango de puertos, si la regla
no usa ya todo el rango de puertos altos. El nmero de conexiones NATeadas
simultneas es igual al nmero de direcciones IP multiplicado por el nmero de puertos.
Compruebe las reglas de NAT en busca de definiciones que se solapen con la traslacin
de direcciones hecha en un elemento Multi-Link de Salida o Pool de Servidores o el NAT
Pool definido para clientes VPN en las propiedades del elemento Cortafuegos. Pueden
producirse errores cuando uno de los elementos listados se usa y la misma conexin
coincide con una regla de NAT que se solapa, dado que los elementos tambin usan NAT.
Naturalmente, slo puede hacerse una nica traslacin de direcciones para cada paquete,
y las definiciones solapadas pueden por tanto causar conflictos. El solapamiento dentro de
las reglas de NAT nicamente est permitido, puesto que las reglas se resuelven en base
a su orden (se aplica la primera regla coincidente).
Compruebe que las definiciones de NAT no se solapan coun una direccin IP usada por
algn host fsico presente en la red (este error de configuracin es ms comn en caso de
traslacin de direccin de origen para una DMZ o direccin IP externa). Los conflictos de
direcciones IP no son en menos dainos cuando NAT est involucrado.
NAT No Se Aplica Correctamente

Descripcin del problema: NAT no se aplica en absoluto o se aplica incorrectamente.
Solucin:
Cualquier conexin en la que quiera hacer NAT debe estar permitida por una regla de
Acceso con la opcin de segumiento de conexiones activa. No se aplica NAT de ningn
tipo a paquetes no seguido como parte de una conexin.
Si el objetivo de la traslacin es el trfico que entra o sale de un tnel VPN, active la
traslacin de direcciones para el trfico transmitido sobre la VPN en las propiedades del
elemento VPN (por defecto se desactiva toda traslacin para trfico de VPN entunelado).
La opcin afecta slo al trfico dentro del tnel, no al propio tnel (los paquetes cifrados).
Si el trfico no se traslada en absoluto o se aplica una traslacin errnea, compruebe las
reglas de NAT: busque una regla conlas direcciones de origen y destino originales (antes
de la traslacin) y compruebe si el trfico pasa por una regla errnea de NAT antes en la
tabla. Slo la primera regla que coincide se considera. Tenga en cuenta que las reglas de
NAT con una celda de NAT vaca son vlidas y especifican que las direcciones no se
trasladan para el trfico que cumple la regla.
Adems de las reglas de NAT, las deiniciones de NAT se usan tambin en elementos Net-
Link o Pool de Servidores, y como NAT Pool definido para clientes VPN en las
propiedades del elemento Cortafuegos. No debe haber operaciones de NAT adicionales
definidas para las mismas conexiones en las reglas de NAT.
Resolucin de Problemas de NAT 895
NAT Se Aplica Cuando No Debera

Descripcin del problema: el cortafuegos traslada una direccin IP a otra direccin IP incluso
aunque no debera.
Solucin:
El configuracin lee las reglas de NAT de arriba abjo y slo la primera regla que coincide se
considera, de forma que puede crear excepciones a reglas situando una regla diferente,
parcialmente solapada, encima. Dejar la celda NAT vaca le dice al cortafuegos que las
direcciones en cualquier conexin que coincida con la regla no debera ser trasladada. Para
ms informacin, vea Editar Reglas NAT (pag. 545).
Para trfico VPN, tambin puede activar y desactivar la traslacin de dircciones para todo el
trfico transmitido sobre la VPN en las propiedades del elemento VPN (por defecto se
desactiva toda traslacin de direcciones para el trafico VPN entunelado). La opcin afecta
slo al trfico dentro del tnel, no al propio tnel (los paquetes cifrados).
Junto con las reglas de NAT, las definiciones de NAT se usan tambin en los elementos
NetLink y Pool de Servidores, y como un NAT Pool definido para los clientes VPN en las
propiedades del elemento Cortafuegos. En el caso de NetLinks, las reglas de NAT se usan
para seleccionar el trfico para balancear, y slo las direcciones IP actuales usadas para la
traslacin se definen en los elementos NetLink. NAT se requiere para la operacin de estas
funcionalidades y debe excluir las conexiones en cuestin del mbito de estas
funcionalidades para desactivar NAT.
Resolucin de Problemas de Polticas 897
CAPTULO 70
POLTICAS
Esta seccin cubre algunos problemas comunes que puede encontrar cuando trabje con
polticas y las reglas que contienen.
Resolucin de Problemas de Instalacin de Polticas de Cortafuegos (pag. 898)

Resolucin de Problemas de Instalacin de Polticas de IPS (pag. 900)
Resolucin de Problemas de Reglas (pag. 900)
Resolucin de Problemas de Instalacin de Polticas de

Cortafuegos
Descripcin del problema: la instalacin de la poltica falla, o hay un mensaje de aviso
indicando problemas en la ventana de instalacin de poltica.
Solucin: vea ms abajo los problemas y soluciones ms comunes:
El Dispositivo Da Marcha Atrs en la Instalacin de la Poltica (pag. 898)
El Tiempo de Espera de Contacto del Management con los Nodos Se Agota (pag. 898)
La Instalacin de la Poltica Falla por Alguna Otra Razn (pag. 899)
Aviso Automatic Proxy ARP Option Is Ignored (pag. 899)
El Dispositivo Da Marcha Atrs en la Instalacin de la Poltica

Descripcin del problema: La instalacin de la poltica informa de que el Management
Server puede contactar con los dispositivos e instala la nueva poltica exitosamente, pero
despus la instalacin de la poltica resulta en una marcha atrs a la versin de poltica
previamente instalada.
Causa: La marcha atrs es un mecanismo de seguridad que impide cambios en la poltica
del dispositivo de formas que corten la conectividad entre los dispositivos y el Management
Server. Tras cada instalacin de poltica, el dispositivo contacta al SMC usando su nueva
configuracin y revierte a la poltica anterior automticamente si el contacto no se produce
dentro del tiempo de espera.
Solucin:
Asegrese de que la poltica y los cambios de configuracin que ha hecho no impiden las
comunicaciones entre el Management Server y el dispositivo.
Compruebe las Reglas de Acceso IPv4 y NAT (segn sea aplicable). Adicionalmente
puede validar la poltica para ver si hay problemas que impidan su instalacin. Vea
Validar Reglas Automticamente (pag. 556). La bsqueda de reglas es til para
encontrar la ltima regla con la que coinciden las conexiones. Vea Buscar en Reglas
(pag. 514).
Compruebe el Enrutamiento. Puede usar la herramienta de Bsqueda de Rutas para
comprobar dnde se enrutarn los paquetes tras instalar la poltica. Vea Comprobar
Rutas (pag. 456).
Compruebe las Localizaciones y Direcciones de Contacto de los componentes del
sistema, que son requeridas si se aplica NAT a estas comunicaciones del sistema.
Vea Empezar con las Comunicaciones del Sistema (pag. 60).
La marcha atrs ocurre tras un tiempo de espera configurado en las propiedades
avanzadas del elemento dispositivo. Si est seguro de que no hay problemas de
configuracin o de diseo de la poltica, puede aumentar el tiempo de espera para
permitir retardos ms amplios en el contacto. Esto puede ayudar si el tiempo de espera
se agota por una pobre fiabilidad de la red o retardos causados por procesar una poltica
extremadamente grande considerando los recursos disponibles del dispositivo. Vea
Ajustar los Parmetros del Sistema del Cortafuegos (pag. 416).
El Tiempo de Espera de Contacto del Management con los Nodos

Se Agota
Descripcin del problema: El dispositivo est levantado y en ejecucin, pero la instalacin
de la poltica falla cuando el Management Server est contactando los nodos o el
Management Server se queda esperando el contacto de un nodo (est activo el contacto
iniciado por el nodo) que no se produce nunca.
Causa: No hay conectividad a nivel de red, el dispositivo o el Management Server usan una
direccin IP errnea, o el dispositivo y el Management Server rechazan el certificado del
otro.
Solucin:
Revise la red por si hay problemas, como cables estropeados o flojos, opciones de
velocidad/dplex errneas, direcciones IP y enrutamiento.
Compruebe las Localizaciones y Direcciones de Contacto de los componentes del sistema,

que se requieren si se aplica NAT a estas comunicaciones del sistema. Vea Empezar con las
Comunicaciones del Sistema (pag. 60).
En un clster, todos los nodos que el Management Server intenta contactar deben estar
alcanzables y operacionales para instalar una poltica en cualquiera de los dispositivos del
clster. Si ha parado un dispositivo para mantenimiento, deber desactivarlo temporalmente
para instalar la poltica en los otros miembros del clster. Vea Desactivar Nodos de un
Clster Temporalmente (pag. 195).
Si el problema parece estar relacionado con certificados, puede recertificar el dispositivo para
restablecer el contacto entre el dispositivo y el Management Center. Vea Empezar con la
Conexin de Dispositivos al SMC (pag. 392).
La Instalacin de la Poltica Falla por Alguna Otra Razn

Si la instalacin de la poltica termina con un error, lea los mensajes tanto en la ventana
principal como en la pestaa Issues (Problemas) abajo y corrija segn sea necesario. Tenga
en cuenta que los warnings (avisos) no impiden la instalacin de la poltica; todava puede
pulsar Continue en la instalacin de la poltica incluso si se lanza un warning. Tambin
puede validar la poltica separadamente para ver si hay algn problema que impida su
instalacin. Vea Validar Reglas Automticamente (pag. 556).
Intente instalar la poltica con la opcin Keep Previous Configuration Definitions
(Mantener Definiciones de Configuraciones Previas) desactivada. Normalmente, esta opcin
debera estar seleccionada, pero bajo ciertas condiciones, las antiguas definiciones de
configuraciones pueden no ser compatibles con la nueva poltica, de forma que el
cortafuegos no puede completar la peticin y falla la instalacin de la poltica.
Precaucin Si se instala la poltica con la opcin Keep Previous Configuration

Definitions desactivada, incluso algunas conexiones actualmente activas y permitidas
en la nueva poltica pueden cortarse. Las aplicaciones debern reabrir las conexiones.
Aviso Automatic Proxy ARP Option Is Ignored

El aviso Automatic Proxy ARP option in NAT rule <rule tag> is ignored: none of the CVI
interfaces are directly connected to the network in question se muestra cuando se ha
definido proxy ARP pero no hay una red CVI configurada para ello en el elemento
cortafuegos. Proxy ARP automtico se usa en NAT para gestionar peticiones ARP a las
direcciones IP trasladadas para hosts en redes conectadas directamente al cortafuegos. Este
aviso puede ser debido a una configuracin inclorrecta de direccin IP o mscara de red, la
Red (no conectada directamente) en cuestin no aparece en la vista de Enrutamiento, o
seleccionar la opcin para una regla de NAT que involucra una direccin IP para la cual el
cortafuegos no puede actuar como proxy ARP.
Las opciones relacionadas pueden configurarse en las reglas de NAT (Editar Reglas NAT
(pag. 545)), en un elemento Pool de Servidores (Configurar Opciones de Multi-Link de Salida
(pag. 461)), en el elemento cortafuegos (Configuracin del Interfaz de Cortafuegos (pag.
343)), y en la vista de Enrutamiento (Empezar con el Enrutamiento (pag. 440)).
Resolucin de Problemas de Instalacin de Polticas de IPS

La poltica de IPS se instala slo en el sensor; la poltica del analizador se actualiza
automticamente en la misma instalacin de la poltica. Si cualquiera de ellas falla, compruebe
los problemas comunes listados en esta seccin. Debera validar tambin la poltica para ver si
hay problemas que impidan la instalacin. Vea Validar Reglas Automticamente (pag. 556).
Compruebe la versin del software en sus sensores y analizadores (mostrada en el panel de
Informacin cuando selecciona el elemento en el Management Client).
Un sensor y su analizador conectado deben usar la misma versin de software.
Asegrese de que se ha importado y activado un paquete de actualizacin dinmica en el
Management Server.
Vea las Release Notes para informacin acerca de la compatibilidad de versiones de software
entre el dispositivo y el SMC.
Si el Management Server no es capaz de contactar con los dispositivos, compruebe la
informacin de monitorizacin de conexin en la vista de Estado del Sistema:
Si el problema parece relacionado con certificados (posiblemente indicado por mensajes
relacionados con SSL o connection refused conexin rechazada), puede recertificar el
dispositivo para restablecer el contacto entre el dispositivo y el Management Center. Vea
Empezar con la Conexin de Dispositivos al SMC (pag. 392).
Revise la red por si hay problemas, como cables estropeados o flojos, opciones de
velocidad/dples errneas, direcciones IP y enrutamiento.
Resolucin de Problemas de Reglas
Validar las Reglas

Puede validar automticamente una poltica y comprobar configuraciones no vlidas en las
reglas, por ejemplo, si la instalacin de la poltica falla. Vea Validar Reglas Automticamente
Una Regla que Permite Cualquier (ANY) Servicio No Permite Todo el

Trfico
Descripcin del problema: se para alguna conexin que quiere permitir.
Solucin:
Si su problema est relacionado con las polticas de IPS, tenga en uenta que en las polticas de
IPS, las reglas de Acceso permiten todas las conexiones por defecto. Si alguna conexin que
quiere permitir se para a causa de una regla de Acceso de IPS, sus reglas de Acceso contienen
una rgla especfica que define que estas conexiones deben pararse. Si su problema est
relacionado con reglas de inspeccin, vea Las Reglas de Inspeccin Producen Falsos Positivos
(pag. 901).
En las reglas de Acceso del cortafuegos, incluso si establece Origen, Destino y Servicio a ANY y
configura la regla para permitir el trfico, ciertas conexiones pueden ser descartadas.
Las conexiones con un protocolo que asigna puertos dinmicamente deben ser permitidas
usando el Agente de Protocolo apropiado, de forma que el Cortafuegos pueda seguir el
puerto asignado.
Para que un agente de protocolo se use en una regla con ANY como Servicio, debe haber
ms arriba una regla coincidente con Continue como accin en la tabla de reglas con un
Servicio en el cual se use el Agente de Protocolo.
La plantilla por Defecto contiene una regla que hace esto para algunos, pero no todos los
protocolos que usan asignacin dinmica de puertos. Aada sus propias reglas segn lo
necesite.
Las conexiones que violan la secuencia de conexin estndar TCP se descartan. Si debe
permitir conexiones en su red para alguna aplicacin que implementa TCP de forma
incorrecta, puede necesitar ajustar o incluso desactivar el seguimiento de conexiones en las
reglas de Acceso para esas conexiones. Vea Definir Opciones de Accin Permitir para
Cortafuegos (pag. 523). Tenga en cuenta que las operaciones de NAT no son posibles sin
seguimiento de conexiones. Le recomendamos que desactive el logging para las reglas que
tengan desactivado el seguimiento de conexiones, puesto que tales reglas crean una nueva
entrada para todos y cada uno de los paquetes.
Las Reglas de Inspeccin Producen Falsos Positivos

Descripcin del problema: el IPS produce alertas o termina trfico que se considera normal.
Solucin: (escoja una de las siguientes)
Si la Situacin no es vlida en su entorno en ningn caso, cambie la accin de la Situacin a
Permit (Permitir) en la tabla de reglas.
Si la Situacin no es vlida entre hosts conocidos, aada una excepcin de regla de
Inspeccin por encima de la regla que provoca falsos positivos para el Origen Destino y
Situacin que produce falsos positivos y establezca la accin a Permit. Esto se puede hacer
manualmente o en base a una entrada de log mediante su men de botn derecho.
Si se trata de una Situacin personalizada, ajuste los parmetros en la Situacin para
comprobar mejor el patrn de trfico que quiere detectar.
Cmo Activar Passthrough para el Trfico PPTP

Para permitir el passthrough de PPTP, aada reglas de Acceso coincidentes con los siguientes
dos servicios:
El servicio TCP para PPTP. El elemento Servicio por defecto para PPTP usa el puerto de
destino estndar 1723. Compruebe el puerto real usado y cree un nuevo Servicio con un
puerto diferente si es necesario.
El Servicio IP para GRE (protocolo IP 47).
Asegrese de que el trfico GRE no coincide con una regla de NAT dinmico, incluyendo la
reglas de NAT dinmico necesaria para balancear conexiones entre NetLinks en una
configuracin Multi-Link. Use NAT esttico en su lugar si se requiere traslacin de direcciones o
configure las aplicaciones que se comunican para encapsular el trfico en TCP o UDP (modo
NAT traversal).
NAT dinmico no puede aplicarse, puesto que usa puertos para mantener seguimiento de las
conexiones que usan la misma direccin IP. GRE funciona directamente sobre IP y no tiene el
concepto de puertos, de moso que no es posible hacer lo mismo con GRE, requiriendo una
traslacin esttica que cree una relacin uno-a-uno fija entre las direcciones IP original y
trasladada (use un mapero esttico direccin IP a direccin IP o red a red del mismo tamao en
las reglas de NAT).
Incluso con NAT esttico, algunas implementaciones de PPTP requieren configuraciones
adicionales (por ejemplo, encapsulado de los paquetes) para funcionar correctamente cuando
las direcciones IP son trasladadas.
Trfico que se Quiere Permitir se Para en el Cortafuegos

Para resolver por qu el trfico no est atravesando el cortafuegos
1. En la vista de logs, conpruebe si la conexin se ha registrado.
Aada un filtro rpido para las direcciones IP de origen y destino del trfico que quiere
permitir usando el botn New (Nuevo) de la vista de Consultas (Query) y pulse Apply
(Aplicar).
Si los logs muestran que la conexin est descartada o rechazada por una regla, pulse
el enlace Rule Tag en la entrada de log para revisar la regla.
Vea Resolucin de Problemas de Alertas, Errores y Mensajes de Log (pag. 857) para
algunos mensajes comunes que puede ver en los logs.
2. Compruebe las reglas de Acceso y de NAT y busque reglas que coincidan en origen,
destino y servicio.
2a. Abra el panel de Bsqueda de Reglas mediante la barra de herramientas de la
vista de poltica y arrastre y suelte los elementos correspondientes en los campos
de bsqueda bajo la tabla de reglas.
2b. Seleccione Show Only Matching Rules (Mostrar Slo Reglas Coincidentes)
desde Options (Opciones) en el panel de bsqueda.
2c. Deseleccione Do Not Match ANY (No Coincidir Con ANY) desde las opciones
del panel de bsqueda.
2d. Si se muestran varias reglas, la regla de ms arriba es la que importa, a menos
que la celda Source VPN (VPN de Origen) (en reglas de Acceso IPv4) tenga una
definicin no coincidente. Las otras celdas no se usan en la comprobacin, sino
que definen opciones para lo que ocurre cuando el trfico coincide.
3. Si la primera reglas de Acceso concordante est configurada para permitir el trfico,
compruebe que otras partes de la regla son correectas:
Algunos protocolos requieren el Agente de Protocolo correcto, que se configura
incluyendo el Servicio correcto con el Protocolo correcto asociado. En algunos casos,
puede necesitar cambiar las opciones del Agente de Protocolo. Vea Usar Elementos
Protocolo (pag. 579).
Las reglas ANY no usan por defecto la mayora de Agentes de Protocolo. Vea Una
Regla que Permite Cualquier (ANY) Servicio No Permite Todo el Trfico (pag. 900).
Puede crear nuevos Servicios para cualquier puerto o rango de puertos de origen o
destino si es necesario.
Las opciones de Seguimiento de Conexiones de la Accin definen si se usa la
inspeccin de estados y lo estricto de las comprobaciones. El seguimiento de
conexiones permite aplicar reglas de NAT a la conexin y una tabla de reglas donde los
paquetes de respuesta no necesiten ser permitidos por separado. El cortafuegos
comprueba que las comunicaciones siguen los estndares del protocolo usado y
descarta comunicaciones no vlidas. Si necesita permitir esas comunicaciones no
vlidas, puede necesitar ajustar las opciones de seguimiento de conexiones. Vea
Definir Opciones de Accin Permitir para Cortafuegos (pag. 523).
4. Si hay una regla de NAT concordante, asegrese de que se aplica correctamente. En
particular, NAT dinmico slo debe ser usado para protocolos que funcionen sobre TCP
o UDP, puesto que el NAT dinmico usa pertos para seguir las conexiones trasladadas.
5. Compruebe su configuracin de enrutamiento. Si el Enrutamiento est configurado
incorrectamente en el cortafuegos, los paquetes pueden descartarse porque el
cortafuegos no tenga una ruta por la cual enviarlos. Vea Empezar con el Enrutamiento
pag. 440).
Los Paquetes se Descartan como Spoofed

StoneGate genera reglas de antispoofing automticamente basadas en su configuracin de
enrutamiento. Generalmente, el trfico slo se permite si las direcciones IP vistas en las
comunicaciones corresponden al espacio de direcciones IP definido para enrutar a travs de
ese interfaz en la vista de Enrutamiento. Normalmente, las comunicaciones requieren esta
informacin de enrutamiento en cualquier caso para que cualquier paquete de respuesta sea
correctamente enrutado, pero en casos donde las comunicaciones son unidireccionales, puede
hacer excepciones al antispoofing en la vista de Antispoofing.
Por defecto, el rbol de antispoofing se lee escogiendo la entrada ms especfica definida en la
vista (p.ej., una definicin de una nica direccin IP se elige sobre una definicin de una red
completa). Si alguna direccin IP debe tener acceso permitido a travs de dos o ms interfaces
diferentes, la definicin para cada interfaz debe estar al mismo nivel de detalle para la direccin
IP en cuestin.
Ejemplo Si el interfaz A contiene el elemento Host 192.168.10.101 y el interfaz B contiene un elemento red
192.168.10.0/24, las conexiones desde la 192.168.10.101 se consideran spoofed si entran por el
interfaz B. Si esto no es lo deseado, el elemento Host debe ser aadido tambin bajo el Interfaz B
(adems del elemento Red ya incluido).
El comportamiento explicado arriba puede cambiarse configurando la opcin ms general (red)
como Absolute (Absoluto) a travs de su men de botn derecho en el rbol de antispoofing.
Esto permite la direccin a travs del interfaz aunque haya una definicin ms especfica
asociada a algn otro interfaz.
Antispoofing tambin desacrta paquetes que estn en un bucle de enrutamiento: si el
cortafuegos acepta un paquete, pero luego recibe exactamente el mismo paquete de nuevo a
travs de un interfaz diferente, el cortafuegos lo descarta. Esto no afecta al xito de las
comunicaciones, pero ahorra al cortafuegos y otro equipamiento de su red el manejar el mismo
paquete una y otra vez hasta que finalmente expira. Si este es el caso, debe corregir el
enrutamiento en su red. A menudo, los bucles de enrutamiento se indican por informacin NIC
index changed (ndice de interfaz de red modificado) en los logs que descartan la conexin (el
mismo paquete entra en el cortafuegos una segunda vez, pero a travs de un interfaz diferente
normalmente porque el dispositivo al que el cortafuegos est configurado para enviar el
paquete lo enruta de vuelta al cortafuegos).
Definiciones No Soportadas en Reglas de Acceso IPv6

Los elementos usados en los campos Origen y Destino de las reglas de Acceso IPv6 deben
contener una direccin IPv&. Los elementos que contienen direcciones IPv4 no pueden usarse,
y causan un mensaje de error indicando que la regla no es vlida. Asegrese de que todos los
elementos usados en los campos Origen y Destino de Reglas de Acceso IPv6 contienen una
direccin IPv6.
Resolucin de Problemas de Informes 905
CAPTULO 71
INFORMES
Esta seccin se concentra en problemas comunes que puede encontrar cuando genera
informes desde datos estadsticos y de log almacenados en el Log Server.
Resolucin de Problemas de Informes (pag. 906)

No Se Genera Ningn Informe (pag. 906)
Secciones de Informe Vacas o Datos Incompletos (pag. 907)
Resolucin de Problemas de Informes

Los mensajes de error para informes se muestran en la columna Comment (Comentarios)
de la vista de Informes Almacenados. Compruebe el estado de la tarea de informe all antes
de continuar con la resolucin de problemas.
Este tema se cubre en los siguientes puntos:
No Se Genera Ningn Informe (pag. 906)
Secciones de Informe Vacas o Datos Incompletos (pag. 907)
No Se Genera Ningn Informe

Descripcin del problema: intenta ejecutar un informe pero no se genera. Puede
mostrarse un mensaje de error.
Solucin:
Si el informe parece generarse, pero no puede encontrarlo en la vista de Informes
Almacenados, puede haber creado inadvertidamente el informe sin seleccionar la opcin
Stored (Almacenado). Intente crear de nuevo el informe y asegrese de que ha
seleccionado todas las salidas que quiere que produzca.
Si la generacin del informe no se inicia, y no se indica ningn error, puede haber
definido accidentalmente una fecha de fin en el futuro (recuerde el retardo en el campo
Start Earliest Iniciar Como Pronto). Compruebe la fecha de inicio indicada para la tarea
de informe. La hora se interpreta de acuerdo con el reloj del ordenador que use para
ejecutar el Management Client; asegrese de que las opciones de hora y zona horaria
son correctas.
Si aparece el error out of memory (sin memoria), compruebe si ha colocado uno o ms
elementos top rate basados en direccin IP bajo las secciones de progreso en el Diseo
de Informe:
Generar informes con tal diseo consume grandes cantidades de memoria, ya que
est recogiendo informacin de progreso completa para cada direccin IP que aparece
en sus logs durante el periodo de tiempo seleccionado (los datos no necesarios se
descartan slo una vez que los elementos destacados top items se seleccionan al
completar la tarea de informe).
Para reducir la carga de memoria, use un diseo de top rate Drill-down, que primero
encuentra las dios destacadas y despus recupera la informacin de progreso sobre
ellas..
El consumo de memoria puede reducirse tambin restringiendo la cantidad de datos
incluidos en el informes (por ejemplo, con un rango de tiempo ms corto).
Si aparece el error unreachable server (servidor inalcanzable) en la fila de tarea de
informe despus de la fecha y hora, algn Log Server definido en el sistema no se est
ejecutando o no es alcanzable desde el Management Server. Si ha definido elementos
Log Server que actualmente no representan a ningn Log Server fsico en ejecucin,
marque la opcin Exclude This Log Server from Statistics and Reporting (Excluir este
Log Server de Estadsticas e Informes) en las propiedades de este elemento Log Server.
Precaucin Tenga cuidado al excluir Log Servers de los informes. Si selecciona sin
querer esta opcin para un Log Server en uso, no hay aviso alguno de que los informes
generados no disponen de todos los datos.
Resolucin de Problemas de Informes 907
Secciones de Informe Vacas o Datos Incompletos

Descripcin del problema: su informe se genera, pero no contiene todos los datos que cree
que debera contenet (hay secciones vacas o los datos mostrados parecen incorrectos).
Solucin:
Si encuentra secciones con No Data (Sin Datos), ccompruebe que los datos de log
requeridos por la seccin estn en el directorio de logs activo en sus Log Servers (los logs
archivados no se incluyen en los informes). Abra la vista de Logs, asegrese de que slo
Active Log Data (Datos de Logs Activos) est seleccionado para todos los Log Servers en la
pestaa Sources (Fuentes), seleccione el mismo periodo de tiempo y filtro que haya usado
en el informe y pulse Apply (Aplicar). Los logs mostrados corresponden a los datos de logs
disponibles para generar los informes. Tenga en cuenta tambin el punto siguiente.
Si slo echa de menos informacin sobre volmenes de trfico (por ejemplo Trfico por IP de
Origen) compruebe sus reglas de Acceso. La informacin de trfico est disponible slo en
conexiones manejadas por reglas para las cuales ha decidido recoger informacin de
contabilidad (accounting).
La informacin de contabilidad recogida se muestra en la vista de Logs para entradas de
log que tienen Connection Closed (Conexin Cerrada) como Evento (vea el panel de
Detalles para esas entradas). Tenga en cuenta que el cierr de conexiones puede no ser
registrado en absoluto, dependiendo de las opciones de logging de sus reglas de Acceso.
Si no se ha recogido ningn dato de contabilidad, los volmenes de trfico son
desconocidos y las secciones de informes sobre volmenes de trfico muestran No
Data.
Si alguna de las reglas recoge informacin de contabilidad, slo el trfico que coincide con
esas reglas se incluye en lsa secciones de informes sobre volmenes de trfico.
Alternativamente, los elementos de informe listados bajo Counters (Contadores) pueden
usarse para generar informes sobre volmenes de trfico. Los datos para estos elementos
provienen de resmenes almacenados de datos histricos que puede ver como
estadsticas en vivo en una Vista general. Estos datos siempre se almacenan e incluyen
informacin sobre todo el trfico.
Para empezar a recoger informacin sobre volmenes de trfico en adelante, vea Definir
Opciones de Logging en Reglas de Acceso (pag. 528).
Si echa de menos una gran cantidad de datos (todos los datos de uno o ms Log Servers),
compruebe en las propiedades de todos los Log Servers en uso que la opcin Exclude This
Log Server from Statistics and Reporting (Excluir este Log Server de Estadsticas e
Informes) no est seleccionada. Los Log Servers con esta opcin seleccionada se ignoran
completamente en todos los informes.
El rango de tiempo que introduce se interpreta de acuerdo con las opciones de reloj y zona
horaria del ordenador que est usando para ejecutar el Management Client. Si stas no
estn correctamente definidas en el sistema operativo, el periodo del informe puede ser
diferente del que pretenda.
Resolucin de Problemas de Actualizaciones 909
CAPTULO 72
ACTUALIZACIONES
Esta seccin se concentra en problemas comunes que puede ecnontrase cuando

actualice los componentes del sistema StoneGate.
La Actualizacin Falla a Causa de Servicios en Ejecucin (pag. 910)

StoneGate will not be installed properly (pag. 910)
La Actualizacin Falla a Causa de Servicios en Ejecucin

Descripcin del problema: no puede actualizar porque la actualizacin informa de que
algunos servicios an estn en ejecucin.
Solucin:
Compruebe la ventana de Servicios en Windows y pare cualquier servicio de StoneGate
que se est ejecutando todava (Management Server, Log Server, o Web Portal Server).
Si todos los Servicios estn parados en la ventana de Servicios de Windows, pero la
actualizacin an informa de servicios en ejecucin, cambie los servicios a Arranque
manual y reinicie el ordenador.
StoneGate will not be installed properly

Descripcin del problema: ve un mensaje emergente StoneGate will not be installed
properly (StoneGate no se instalar correctamente) durante una instalacin o actualizacin.
Reason: este mensaje se muestra si se detecta cualquier anomala durante la instalacin.
Solucin:
Para encontrar la causa del problema:
Revise el log de instalacin en el directorio de instalacin y busque mensajes acerca de
la actualizacin.
Si est saltndose versiones, compruebe las Release Notes para la versin que est
instalando y asegrese de que la actualizacin que intenta es posible. Las Release Notes
tambin listarn cualquier problema conocido que pueda causar errores durante la
actualizacin.
Para resolver los problemas indicados:
Los ficheros no encontrados son uno de los errores ms comunes. Esto puede ocurrir si
copia los ficheros de instalacin a mano. Compruebe que ha copiado todos los ficheros y
carpetas de instalacin necesarios y ejecute de nuevo la instalacin. Si no ha
comprobado la integridad de los ficheros de instalacin, compare el checksum de sus
ficheros locales con el checksum correcto en el sitio Web de StoneSoft segn se indica
en Obtener los Ficheros de Instalacin del SMC (pag. 835).
Arranque el componente en cuestin. El mensaje se muestra para muchos tipos de
errores, y el componente todava puede ser capaz de funcionar sin problemas.
Si no es capaz de conseguir que el componente funcione, desinstale la instalacin
existente e instale el componente como una nueva instalacin. En el caso de una
actualizacin, puede restaurar todos los elementos, licencias, certificados, etc. desde una
copia de seguridad que haya realizado mediante el Management Client, el script de lnea
de comando o en el asistente de instalacin cuando hizo la actualizacin. La copia hecha
con la versin anterior es vlida para restautarla en el sistema actualizdo (vea las
Release Notes para cualquier limitacin o excepcin especfica de la versin).
Resolucin de Problemas de VPNs 911
CAPTULO 73
RESOLUCIN DE PROBLEMAS DE VPNS
Esta seccin se concentra en algunos problemas comunes que puede encontrar cuando
crea y gestiona VPNs.
Comprobar los Resultados de la Validacin Automtica de VPNs (pag. 912)

Leer Logs Relacionados con VPNs (pag. 912)
Problemas con Certificados de VPNs (pag. 913)
Problemas con VPNs de Pasarela Interna a Externa (pag. 913)
Problemas en la Conexin con un Cliente VPN StoneGate (pag. 914)
Comprobar los Resultados de la Validacin Automtica de VPNs

StoneGate tiene una validacin automtica de VPNs que comprueba las opciones que ha
seleccionado sean compatibles entre s.
Para comprobar problemas de VPNs
1. Pulse botn derecho sobre el elemento VPN que define la topologa y los tneles para
la VPN problemtica y seleccione Preview VPN (Previsualizar VPN) o Edit VPN (Editar
VPN). El editor de VPN se abre en modo de previsualizacin o edicin.
2. Cambie a la pestaa Issues (Problemas) en el panel secundario. Si la pestaa Issues
no es visible, seleccione el elemento View Issues (Ver Problemas) en el men.
3. Si se muestran problemas, lea las descripciones y solucione los problemas
especificados.
Leer Logs Relacionados con VPNs

Los logs del cortafuegos contienen informacin sobre las negociaciones VPN IPsec. Esta
seccin le ayuda a encontrar los logs relevantes. Para informacin de referencia sobre los
mensajes de log relacionados con VPNs ms comunes, vea Mensajes de Log IPsec VPN
(pag. 1005). Para ver los logs del trfico de VPN, vea Monitorizar VPNs (pag. 753).
Los mensajes de log relacionados con las negociaciones VPN contienen el valor IPsec en
el campo Facility, lo cual es un buen criterio de filtrado para ver mensajes de IPsec. Los
campos IKE Cookie e IPsec SPI contienen identificadores relacionados con cada
instancia particular de VPN, lo cual ayuda an ms en la lectura y filtrado de logs. Los
campos Situation e Information Message incluyen los eventos actuales relacionados con
la VPN (detalles de los cuales se explican en el tema referenciado ms arriba). Si es posible,
examine los logs de los dispositivos en ambos extremos del tnel VPN para informacin ms
completa.
Tip Pulse botn derecho sobre una entrada de log de VPN y seleccione Search Related Events
(Buscar Eventos relacionados) para ver logs relacionados con la misma negociacin VPN.
Puede recoger informacin ms detallada activando los fiagnsticos IPsec. Para clientes
VPN, debera tambin activar los diagnsticos de autenticacin y reenvo DHCP. Vea
Activar/Desactivar los Diagnsticos de Cortafuegos/VPN (pag. 193) para instrucciones.
Adicionalmente, los mensajes de log generados por las reglas de Acceso (que no estn
incluidos si se filtra especficamente los logs de IPsec) pueden contener informacin
relevante sobre las conexiones que ve la pasarela y si el trfico VPN es dirigido
correctamente a los tneles VPN por la poltica.
Una negociacin de tnel VPN normal se produce como sigue:
Las negociaciones comienzan cuando una conexin coincide con una regla en la Poltica
de Cortafuegos StoneGate que provoca la negociacin VPN (o un mecanismo similar al
otro extremo).
La pasarela en el extremo origen de la conexin o el cliente VPN (el iniciador, I) contacta
con la pasarela del otro extremo (el responder, R) para establecer la confianza e
intercambiar claves en las negociaciones IKE Fase 1.
Si la negociacin de Fase 1 es exitosa, comienzan las negociaciones de IKE Fase 2. En
esta fase, las pasarelas acuerdan ms opciones para manejar la conexin.
Si las negociaciones de Fase 2 son exitosas, el tnel VPN est preparado y los paquetes
ESP o AH (el trfico real) pueden verse en los logs. Las nuevas conexiones abiertas a
travs de la VPN se registran usando un mensaje de log especfico de VPN New
Connection Through VPN (Nueva Conexin a Travs de la VPN).
Resolucin de Problemas de VPNs 913
Problemas con Certificados de VPNs

Su pasarela interna siempre necesita un certificado si a ella se conectan clientes VPN. En una
VPN pasarela-a-pasarela, los certificados se requieren cuando el Perfil de VPN usado incluye un
mtodo de autenticacin basado en certificados (Firmas RSS o DSS).
Aceptacin de Certificados
Por defecto, las pasarelas slo aceptan certificados firmados por su Management Server. Para
aceptar certificados de otras fuentes, debe definir la Autoridad de Certifiacin (CA) que firm el
certificado como de confianza. Vea Definir una Autoridad de Certificacin de VPN (pag. 757).
Por defecto todas las Pasarelas y todas las VPNs aceptan cualquier CA vlida que haya
configurado en el sistema. Puede configurar las CAs de confianza a nivel de Pasarela (Definir
CAs de Confianza para una Pasarela (pag. 726)), y a nivel de VPN (Definir CAs de Confianza
para una VPN (pag. 742)). Una CA debe ser confiable en ambos niveles para ser aceptada
como CA de confianza para una VPN.
Crear, Firmar, Renovar, Transferir a Pasarelas
Los certificados firmados internamente son creados, cargados en los dispositivos y renovados
automticamente si la gestin automtica de certificados est seleccionada en las propiedades
del elemento Pasarela interna.
Puede crear manualmente peticiones de certificados, importarlos y firmar peticiones de
certificados en la vista de Configuracin de VPN bajo la rama Other ElementsCertificates
(Otros ElementosCertificados) del rbol. Cualqquier peticin de certificado que cree por
defecto es firmada inmediatamente usando la CA interna y cargada en el dispositivo. Para
desactivar esta accin (por ejemplo, para firmar el certificado usando una CA externa), debe
desactivar esta opcin en la peticin de nuevo certificado que cree.
Para firmar o cargar un certificado, primero muestre los certificados y luego seleccione el
elemento correspondiente en el men de Herramientas sobre el panel que muestra los
certificados.
Para instrucciones detalladas, vea Empezar con Certificados de VPN (pag. 756). Para
informacin sobre resolucin de problemas con certificados de VPN, vea Entender los
Problemas Relacionados con Certificados (pag. 868).
Problemas con VPNs de Pasarela Interna a Externa

StoneGate cumple con el estndar IPsec, y puede formar una VPN con cualquier otro dispositivo
que cumpla completamente el estndar. La lista de soluciones VPN que se ha demostrado que
son compatibles IPsec en las pruebas es publicada por el VPN Consortium (www.vpnc.org) e
ICSA labs (www.icsalabs.com).
Nota Asegrese de que ha instalado o refrescado con xito la poltica en todos los
dispositivos cortafuegos/VPN afectados tras hacer cambios en cualquier parte de la
configuracin de la VPN.
Cuando cree una VPN con una pasarela externa:

No hay opciones que funcionen siempre con un dispositivo de una cierta marca y modelo. La
mayora de opciones de IPsec dependen de las preferencias del usuario y hay muchas
opciones alternativas que puede usar independientemente del tipo de pasarela.
Aunque las opciones pueden en gran parte ser seleccionadas en base a sus preferencias,
tenga siempre especial cuidado en garantizar que todas las opciones de VPN son
exactamente las mismas en ambos extremos (para ambas pasarelas en ambos extremos:
tpicamente cuatro definiciones en total).
Compruebe que se han definido las mismas redes y mscaras de red tambin en ambos
extremos. En StoneGate, todas las redes que quiera hacer accesibles a travs de la VPN
deben estar situadas en un elemento Sitio asociado al elemento Pasarela correcto. Las
redes definidas deben ser idnticas en el otro extremo.
Una opcin comnmente olvidada es la opcin de SA (Security Association), que puede
ser por red o por host. Algunas pasarelas pueden no tener una ocin especfica para esto.
Encuentre la opcin utilizada.
Para dispositivos no StoneGate, compruebe los parmetros que se han establecido
explcitamente en StoneGate pero no en el otro dispositivo (encuentre las opciones por
defecto utilizadas).
Si la VPN funciona cuando la conexin se inicia desde un extremo, pero no cuando se
inicia desde el otro, incluso aunque la poltica del cortafuegos tiene reglas para ambos
sentidso, el problema puede deberse a un tiempo de vida o un dominio de encriptacin
solapado pero no coincidente (en StoneGate, las definiciones de direcciones IP en los
elementos Sitio).
Hacer coincidir las opciones de dispositivos diferentes puede a veces ser difcil a causa de
diferencias en los interfaces de usuario y la terminologa usada. El Virtual Private Network
Consortium prueba la interoperabilidad de dispositivos comaptibles IPsec usando un
determinado perfil. Varios fabricante (incluyendo Stonesoft) han producido intrucciones
paso-a-paso para configurar una VPN que cumpla con este perfil. Vea
http://www.vpnc.org/InteropProfiles/. Consulte estos documentos para ver cmo se
configura la misma VPN en varios dispositivos diferentes.
Problemas en la Conexin con un Cliente VPN StoneGate

Si se usa NAT y la descarga de la configuracin es exitosa, pero el cliente no puede conectar
con la pasarela tras ello:
Si se hace NAT entre el cliente VPN y el cortafuegos, debe configurar las Direcciones de
Contacto para los interfaces usados como endpoints VPN. La Direccin de Contacto le
dice a los Clientes VPN la direccin NATeada externa con la que deben contactar. Vea
Definir Direcciones IP de Contacto (pag. 62). Tras los cambios, refresque la poltica del
cortafuegos y asegrese de que los clientes VPN descargan una nueva configuracin
desde el dispositivo.
Si debera usarse NAT para trasladar la direccin del cliente VPN, pero no se est haciendo
NAT:
Compruebe las propiedades de la VPN y vea si la opcin Enable NAT with this VPN
(Activar NAT con esta VPN) est seleccionada. Slo se hace NAT si la opcin est
seleccionada.
Compruebe que las reglas de NAT son correctas. En la mayora de los casos, NAT se
lleva a cabo usando el rango de direcciones NAT Pool definido en las propiedades del
elemento Cortafuegos (pestaa opciones Avanzadas) y el mismo trfico no debera
coincidir con ninguna de las reglas de NAT de la poltica del cortafuegos (excepto en
algunos casos una regla que defina especficamente que no se aplique NAT a este trfico
para impedir que subsiguientes reglas de NAT coincidan).
Para cualquier problema general:
Asegrese de que la versin del Cliente VPN est actualizada. Los clientes antiguos
pueden tener problemas conocidos que impidan la operacin correcta y pueden no
soportar todas las funcionalidades configuradas para la pasarela.
Compruebe si hay dispositivos capaces de crear VPNs entre la pasarela StoneGate y el
cliente VPN; a veces pueden intentar tomar parte en las negociaciones VPN.
Revise los logs en busca de pistas. Vea Leer Logs Relacionados con VPNs (pag. 912).
915
APNDICES
En esta seccin:
Herramientas de Lnea de Comando - 917
Puertos de Comunicacin por Defecto - 933
Alias Predefinidos - 943
Sintaxis de las Expresiones Regulares - 947
Traps y MIBs SNMP - 961
Actualizaciones de Esquema para Servidores LDAP Externos - 973
Campos de Log - 975
Atajos de Teclado - 1019
Glosario - 1025
Indice - 1055
Apndices - Herramientas de Lnea de Comando 917
APNDICE A
HERRAMIENTAS DE LNEA DE COMANDO
Este apndice describe las herramientas de lnea de comando para el StoneGate

Management Center y los dispositivos.
Comandos del Management Center (pag. 918)

Comandos del Agente de Monitorizacin de Pool de Servidores (pag. 931)
Comandos del Management Center

La mayora de comandos del Management Server y Log Server se encuentran en el
directorio <directorio de instalacin>/bin/. En Windows, las herramientas de lnea de
comando son ficheros de script *.bat. En Linux, los ficheros son scripts *.sh.
Nota Usar el Management Client es el mtodo de configuracin recomendado, dado
que la mayora de las mismas tareas pueden hacerse a travs de l.
Los comandos que requieren parmetros deben ejecutarse desde la lnea de comando
(cmd.exe en Windows). Los comandos que no requieren parmetros pueden ser ejecutados
alternativamente desde un interfaz grfico de usuario, y pueden aadirse como accesos
directos durante la instalacin.
Tabla 178: Herramientas de Lnea de Comando del Management Center
Comando Descripcin
Muestra o exporta logs desde un archivo. Este comando slo est
disponible en el Log Server. La operacin comprueba los privilegios de la
cuenta de administrador proporcionada desde el
Management Server para evitar accesos no autorizados a los logs.
Use comillas dobles para los detalles si contienen espacios.
Host especifica la direccin del Management Server. Si el parmetro no
est definido, se usa la direccin local.
login define el nombre de usuario para la cuenta usada para esta
operacin. Si el parmetro no est definido, se usa el nombre de usuario
root.
pass define la contrasea para la cuenta de usuario.
sgArchiveExport format define el formato del fichero de salida. Si este parmetro no est
[ host=<direccin> ] definido, se usa el formato XML.
[ login=<nombre de login> ] i define la fuente desde la cual se exportarn los logs. Puede ser una
pass=<contrasea> carpeta o un fichero. El proceso recorre subcarpetas.
[ format=CSV|XML ] o define el fichero de destino donde se exportarn los logs. Si el
i=<fichero de entrada> parmetro no est definido, la salida se muestra en pantalla.
[ o=< fichero de salida > ] f define un fichero que contiene los criterios de filtrado que quiera usar
[ f=<fichero de filtro>] para filtrar los datos. Puede exportar filtros de log individualmente en el
[ e=<expresin de filtro> ] Management Clienn mediante ToolsSave for Command Line Tools
[ -h | -help ] [ -v ] (HerramientasGuardar para Herramientas de Lnea de Comando) en el
men de botn derecho del filtro.
e le permite escribir una expresin de filtro manualmente (usando la
misma sintaxis de los ficheros de filtros exportados).
-h o -help muestra informacin sobre el uso del script.
-v muestra la salida ms detallada sobre la ejecucin del comando.
Ejemplo (exporta logs de un da completo a un fichero usando un filtro):
sgArchiveExport login=admin pass=abc123
i=c:/stonesoft/stonegate/data/archive/firewall/
year2009/month12/day01/ f=c:/stonesoft/
stonegate/export/MyExportedFilter.flp
format=CSV o=MyExportedLogs.csv
Tabla 179: Herramientas de Lnea de Comando del Management Center (Continuacin)
Comando Descripcin
Crea una copia de seguridad de los datos de configuracin del
Log Server. El fichero de copia se almacena en el directorio
<directorio de instalacin>/backups/.
sgBackupLogSrv
Se requiere un espacio dos veces el tamao de la base de datos
de logs en el disco de destino. En otro caso, la operacin falla.
Vea tambin sgRestoreLogBackup.
Create una copia de seguridad completa del Management
Server (incluyendo tanto la base de datos local como la
informacin almacenada en la base de datos de configuracin).
El fichero de copia se guarda en el directorio <directorio de
instalacin>/backups/.
sgBackupMgtSrv
Se requiere un espacio dos veces el tamao de la base de datos
del Management Server en el disco de destino. En otro caso, la
operacin falla.
Vea tambin sgRestoreMgtBackup y
sgRecoverMgtDatabase.
Contacta al Management Server y crea un nuevo certificado
para el Log Server para permitir comunicacoines seguras con
otros componentes del sistema. Renovar un certificado existente
no requiere cambiar la configuracin de ningn otro componente
sgCertifyLogSrv del sistema.
[host=<direccin del management server> Host especifica la direccin del Management Server. Si el
[/<dominio>]] parmetro no est definido se usa la direccin local.
Domain especifica el Dominio administrativo al que pertenece
el Log Server si el sistema est dividido en Dominios
administrativos. Si el Dominio no se especifica, se usa el
Dominio Compartido.
Crea un nuevo certificado para el Management Server para
sgCertifyMgtSrv permitir comunicaciones seguras entre los componentes del
sistema StoneGate. Renovar un certificado existente no requiere
cambios en ningn otro componente del sistema.
Contacta al Management Server y crea un nuevo certificado
para el Web Portal Server para permitir comunicacoines seguras
con otros componentes del sistema. Renovar un certificado
existente no requiere cambiar la configuracin de ningn otro
sgCertifyWebPortalSrv componente del sistema.
[host=<direccin del management server> Host especifica la direccin del Management Server. Si el
[/<dominio>]] parmetro no est definido se usa la direccin local.
Domain especifica el Dominio administrativo al que pertenece
el Web Portal Server si el sistema est dividido en Dominios
administrativos. Si el Dominio no se especifica, se usa el
Dominio Compartido.
Cambia la direccin IP del Management Server en la
configuracin local del Log Server a la direccin IP que
sgChangeMgtIPOnLogSrv <direccin IP> proporcione como parmetro. Use este comando si cambia la
direccin IP del Management Server. Reinicie el servicio del Log
Server tras este comando.
Comando Descripcin
Cambia la direccin IP del Management Server en la
configuracin local a la direccin IP que proporcione como
sgChangeMgtIPOnMgtSrv <direccin IP> parmetro. Use este comando si cambia la direccin IP del
Management Server.
Reinicie el servicio del Management Server tras este comando.
sgClient Inicia un StoneGate Management Client instalado localmente.
Crea una cuenta de administrador no restringida (superusuario).
sgCreateAdmin El Management Server necesita pararse antes de ejecutar este
comando.
Exporta elementos almacenados en el Management Server a un
fichero XML.
Ponga los detalles entre comillas dobles si contienen espacios.
Host especifica la direccin del Management Server. Si el
parmetro no est definido, se usa la direccin local.
Domain especifica el Dominio administrativo para esta
operacin si el sistema est dividio en Dominios administrativos.
sgExport
Si el Dominio no se especifica, se usa el Dominio Compartido.
[host=<direccin del management server> login define el nombre de usuario para la cuenta que se use
[/<dominio>]] para esta operacin. Si el parmetro no est definido, se usa el
[ login=<nombre de usuario> ] nombre de usuario root.
pass=<contrasea> pass define la contrasea para la cuenta de usuario.
file=<path y nombre del fichero> type especifica qu tipos de elementos se incluyen en el
type=<all|nw|ips|sv|rb|al>
fichero de exportacin: all para todos los elementos
[-recursion]
[-system] exportables, nw para los elementos de red, ips para elementos
[name=<nombre de elemento 1, nombre de IPS, sv para servicios, rb para polticas de seguridad, o al para
elemento 1,...>] alertas.
recursion incluye los elementos referenciados en la
exportacin, por ejemplo, los elementos de red usados en una
poltica que exporte.
system incluye cualquier elemento del sistema referenciado por
los otros elementos en la exportacin.
name le permite especificar por nombre los elementos que
quiere exportar.
Comando Descripcin
Controla Management Servers en alta disponibilidad (activo y en
standby).
Host especifica la direccin del Management Server. Si el
Domain especifica el Dominio administrativo para esta
login define el nombre de usuario para la cuenta que se use
para esta operacin. Si el parmetro no est definido, se usa el
nombre de usuario root.
-h o -help muestra informacin sobre el uso del script.
sgHA
-set-active configura un Management Server en standby
[host=<direccin del management server>
como Management Server activo, pone al anterior Management
[/<dominio>]]
Server activo en standby, y sincroniza las bases de datos entre
[ login=<nombre de usuario> ]
ellos.
pass=<contrasea>
-set-standby configura el Management Server activo como
[-h|-help]
Management Server en standby.
[-set-active]
-force-active configura un Management Server en
[-set-standby]
standby como Management Server activo sin sincronizar la base
[-force-active]
de datos con el Management Server anteriormente activo.
[-sync]
-sync funciona diferente en un Management Server en standby
y un Management Server activo. Si lo ejecuta en un
Management Server activo, replica la base de datos activa a
todos los Management Server en standby que no tengan
seleccionada la opcin Disable Database Replication
(Desactivar Replicacin de Base de Datos) seleccionada en sus
propiedades. Si lo ejecuta en un Management Server en
standby, replica la base de datos activa desde el Management
Server activo slo a este Management Server
(independientemente de si la opcin Disable Database
Replication est seleccionada en las propiedades del
Management Server en standby).
Importa los elementos de base de datos del StoneGate
Management Server desde un fichero XML de StoneGate. En la
importacin, los elementos existentes (no por defecto) se
sobreescriben si coinciden nombre y tipo.
sgImport host especifica la direccin del Management Server. Si el
[host=<direccin del management server> parmetro no est definido, se usa la direccin local.
[/<dominio>]] domain especifica el Dominio administrativo para esta
[ login=<nombre de usuario> ] operacin si el sistema est dividio en Dominios administrativos.
pass=<contrasea> Si el Dominio no se especifica, se usa el Dominio Compartido.
file=<path y nombre del fichero> login define el nombre de usuario para la cuenta que se use
file define el fichero cuyos contenidos quiere importar.
Comando Descripcin
Importa y exporta una lista de Usuarios y Grupos de Usuarios en
un fichero LDIF desde/a la base de datos interna LDAP del
StoneGate Management Server. Para importar Grupos de
Usuarios, todos los Grupo de Usuarios en el fichero LDIF deben
estar directamente bajo el grupo de mximo nivel stonegate
(dc=stonegate).
La informacin de usuario en el fichero de exportacin est
en texto claro. Maneje el fichero con seguridad.
sgImportExportUser host especifica la direccin del Management Server. Si el
[host=<direccin del management server> parmetro no est definido, se usa la direccin local.
[/<dominio>]] domain especifica el Dominio administrativo para esta
pass=<contrasea> Si el Dominio no se especifica, se usa el Dominio Compartido.
action=[import|export]
login define el nombre de usuario para la cuenta que se use
file=<path y nombre del fichero>
action define si los usuarios se emportan o exportan.
file define el fichero usado para la operacin.
Ejemplo: sgImportExportUser login=admin
pass=abc123 action=export
file=c:\temp\exportedusers.ldif
Importa un idioma adicional para el interfaz de usuario del Web
Portal. Puede ejecutar el comando cuando el servicio Web portal
Server se est ejecutando, pero el idioma importado no estar
disponible hasta que see reinicie el servicio.
host especifica la direccin del Management Server. Si el
domain especifica el Dominio administrativo para esta
sgImportWebClientLanguage login define el nombre de usuario para la cuenta que se use
[host=<direccin del management server> para esta operacin. Si el parmetro no est definido, se usa el
[/<dominio>]]
pass define la contrasea para la cuenta del usuario.
pass=<contrasea>
file define el fichero usado para la operacin. El fichero
file=<path y nombre del fichero>
importado debe usar codificacin UTF-8 o UTF-16. The nombre
del fichero debe tener el formato
messages_XX[_YY[_ZZ]].txt donde XX es el cdigo ISO de
dos caracteres del idioma, YY es el cdigo ISO del paa y ZZ el
cdigo de variante de idioma. Los cdigos de pas y de variante
de idioma son opcionales.
Ejemplo: sgImportWebClientLanguage
host=192.168.1.101/Helsinki login=ricky
pass=abc123 file=messages_sv_fi.txt
Comando Descripcin
Crea un archivo ZIP que contiene copias de los ficheros de
configuracin y de trazas del sistema. El archivo ZIP resultante
sgInfo se almacena en el cirectorio home del usuario conectado. La
localizacin del fichero se muestra en la ltima lnea de la salida
por pantalla. Proporcione el fichero generado al soporte de
Stonesoft para la resolucin de problemas.
Localizado en en <directorio de instalacin>/bin/install.
sgReinitializeLogServer Crea una nueva configuracin para el Log Server si se ha
perdido el fichero de configuracin.
Restaura una copia de seguridad del Management Server desde
un Management Server sobre otro Management Server.
-h | --help muestran el mensaje de ayuda
backup NOMBRE_DE_COPIA especifica la localizacin del
sgReplicate [-h|--help]
fichero de copia de seguridad. Si no se especifica, se le
[-nodiskcheck]
solicitar que seleccione el fichero de una lista de ficheros
[backup NOMBRE_DE_COPIA]
standby-server encontrados en el directorio backups.
NOMBRE_DEL_MANAGEMENT_SERVER -nodiskcheck desactiva la comprobacin de espacio libre en
disco antes de la restauracin de la copia.
standby-server NOMBRE_DEL_MANAGEMENT_SERVER
especifica el nombre del Management Server en el que est
ejecutando el script.
Restaura logs desde ficheros de archivo en el Log Server. Este
comando slo est disponible en el Log Server.
DIR_ARCHIVO es el nmero del directorio de archivado (0 31)
desde el que se restaurarn los logs. Por defecto slo est
sgRestoreArchive DIR_ARCHIVO definido el directorio 0. Los directorios de archivado pueden
definirse en el fichero <directorio de
instalacin>/data/
LogServerConfiguration.txt:
ARCHIVE_DIR_xx=PATH.
Restaura el certificado de la Autoridad de Certificacin (CA) o el
sgRestoreCertificate Management Server desde una copia de seguridad en el
directorio <directorio de instalacin>/backups/.
Restaura el Log Server (logs y/o ficheros de configuracin)
sgRestoreLogBackup desde un fichero de copia de seguridad en el directorio
<directorio de instalacin>/backups/.
Restaura el Management Server (base de datos y/o ficheros de
sgRestoreMgtBackup configuracin) desde un fichero de copia de seguridad en el
directorio <directorio de instalacin>/backups/.
Nota! Este script est localizado en el directorio <directorio
de instalacin>/uninstall/.
sgRevert Revierte a la instalacin previa guardada durante el proceso de
actualizacin. La instalacin previa puede restaurarse en
cualquier momento, incluso tras una actualizacin exitosa.
Comando Descripcin
sgShowFingerPrint Muestra la huella digital del certificado de la CA del Management
Server.
Arranca la base de datos del Log Server. (La base de datos del
sgStartLogDatabase Log Server se arranca y para automticamente cuando se
arranca o para el servicio del Log Server).
sgStartLogSrv Arranca el Log Server y su base de datos.
sgStartMgtDatabase Arranca la base de datos del Management Server. Normalmente
no hay necesidad de usar este script.
sgStartMgtSrv Arranca el Management Server y su base de datos.
sgStartWebPortalSrv Arranca el Web Portal Server.
sgStopLogSrv Para el Log Server.
sgStopMgtSrv Para el Management Server y su base de datos.
sgStopMgtDatabase Para la base de datos del Management Server. Normalmente no
hay necesidad de usar este script.
sgStopWebPortalSrv Para el Web Portal Server.
Para el servicio de Management Server cuando se ejecuta sin
argumentos. Para parar un servicio de Management Server
remoto, proporcione los argumentos para conectar con el
Management Server.
sgStopRemoteMgtSrv [host HOST] HOST es el nombre de host del Management Server si no es la
[port PORTNUM]
mquina local.
[login NOMBRE_USUARIO]
[pass PASSWORD] PORT es el nmero de puerto del Management Client en el
Management Server (por defecto, 8902).
LOGINNAME es una cuenta de administrador de StoneGate para
la conexin.
PASSWORD es la contrasea para la cuenta de administrador.
Comando Descripcin
Muestra o exporta los logs actuales o almacenados. Este
comando est disponible en el Log Server.
Use comillas dobles en los nombres de fichero y de filtro si
contienen espacios.
El parmetro pass define la contrasea para la cuenta de
usuario usada en esta operacin.
El parmetro e define el filtro que quiera usar para filtrar los
datos de log. Escriba el nombre segn se muestra en el
Management Client.
El parmetro f define el filtro StoneGate exportado que quiere
usar para filtrar los datos de log.
sgTextBrowser pass=CONTRASEA El parmetro format define el formato del ficheropara el fichero
[ e=EXPRESIN_DE_FILTRO] de salida. Si este parmetro no se define, se usa formato XML.
[ f=FICHERO_DE_FILTRO ] El parmetro host define la direccin del Management Server
[ format=CSV|XML ] usado para comprobar la informacin de conexin. Si se omite
[host=Direccin del Management este parmetro, se espera que el Management Server est en la
Server misma mquina donde se ejecuta el script. Si se usand
[/dominio]] Dominios, puede especificar el Dominio al que pertenece el Log
[login=NOMBRE_DE_USUARIO ] Server. Si no se especifica dominio, se usar el Dominio
[ o=FICHERO DE SALIDA] Compartido.
[ m=current|stored ] El parmetro login define el nombre de usuario para la cuenta
[ -v ] [ -h ] utilizada para la exportacin. Si se omite este parmetro, se
usar la cuenta root.
El parmetro o define el fichero de salida donde se exportarn
los logs. Si se omite este parmetro, la salida se muestra por
pantalla.
El parmetro m define si quiere ver o exportar los logs segn
llegan al Log Server (current) o logs almacenados en el
directorio de almacenamiento actual (stored). Si no se define
esta opcin, se usan los logs actuales.
La opcin -h muestra informacin sobre el uso del script.
La opcin -v muestra la salida detallada de la ejecucin del
comando.
Comandos del Dispositivo

Los comandos de las dos siguientes tablas pueden ejecutarse en la lnea de comando de los
dispositivos analizador, cortafuegos y/o sensor. Los cortafuegos SOHO no proporcionan un
interfaz de lnea de comando.
Tabla 186: Herramientas de Lnea de Comando Especficas de StoneGate en los Dispositivos
Tipo de
Comando Descripcin
Dispositivo
Puede usarse para ver, editar o eliminar entradas de lista negra
activas.
La lista negra se aplica segn definen las Reglas de Acceso.
Comandos:
show muestra las entradas activas de la lista negra en el formato:
ID de nodo del dispositivo | ID de entrada de lista negra | (interno) |
hora de creacin de la entrada | (interno) | direccin y puerto a
buscar | duracin establecida original | (interno) | (interno). Use la
opcin -f para especificar un fichero de almacenamiento a visualizar
(/data/blacklist/db_<nmero>).
La opcin v aade los detalles de la operacin a la salida.
sg-blacklist add crea una nueva entrada de lista negra. Introduzca los
show [-v] [-f FICHERO] | parmetros (ver abajo) o use la opcin -i para importar los
add [ parmetros desde un fichero.
[-i FICHERO] | del elimina la primera entrada de lista negra que coincida.
[src DIR_IP/MSCARA] Introduzca los parmetros (ver abajo) o use la opcin -i para
[dst DIR_IP/MSCARA] importar los parmetros desde un fichero.
[proto {tcp|udp|icmp|NUM}] iddel ID_NODO ID elimina una entrada de lista negra especfica
[srcport PUERTO{-PUERTO }] en un dispositivo especfico. ID_NODO es el ID del dispositivo, ID
[dstport PUERTO{-PUERTO }] es la entrada de lista negra (como la muestra el comando show).
[duration NUM] flush elimina todas las entradas de lista negra.
] | Cortafuegos Parmetros de Add/Del:
del [ Sensor Introduzca al menos un parmetro. Se usa el valor por defecto para
los parmetros que omita. Tambin puede guardar los parmetros
[-i FICHERO] |
en un fichero de texto; cada lnea del fichero se lee como una
[src DIR_IP/MSCARA] entrada de lista negra.
[dst DIR_IP/MSCARA K] src DIR_IP/MSCARA define la direccin IP y mscara de origen
[proto {tcp|udp|icmp|NUM}]
a buscar. Por defecto coincide con cualquier direccin IP.
[srcport PUERTO{-PUERTO }] dst DIR_IP/MSCARA define la direccin IP y mscara de origen
[dstport PUERTO {-PUERTO}] a buscar. Por defecto coincide con cualquier direccin IP.
[duration NUM] proto {tcp|udp|icmp|NUM} defineel protocolo a buscar por
] |
nombre o nmero de protocolo. Por defecto coincide con todo el
iddel ID_NODO ID |
trfico IP.
flush
srcport PUERTO[-PUERTO] define el puerto o rango de puertos
TCP/UDP a buscar. Por defecto coincide con cualqueir puerto.
dstport PUERTO[-PUERTO] define el puerto o rango de puertos
TCP/UDP a buscar. Por defecto coincide con cualqueir puerto.
duration NUM define en segundos cunto tiempo se mantiene la
entrada. El valor por defecto es 0, que corta las conexiones actuales
pero no se guarda.
Ejemplos:
sg-blacklist add src 192.168.0.2/32 proto tcp
dstport 80 duration 60
sg-blacklist add -i myblacklist.txt
sg-blacklist del dst 192.168.1.0/24 proto 47
Tabla 187: Herramientas de Lnea de Comando Especficas de StoneGate en los Dispositivos (Continuacin)
Tipo de
Comando Descripcin
Dispositivo
Puede usarse para editar los parmetros de comandos de
arranque para futuros arranques.
--primary-console=tty0|ttyS
PUERTO,VELOCIDAD
sg-bootconfig define las opciones de terminal para la consola primaria.
[--primary- --secondary-console=[tty0|ttyS
console=tty0|ttyS PUERTO,VELOCIDAD]
PUERTO,VELOCIDAD] Define las opciones de terminal para la consola
secundaria.
[--secondary-console= --flavor=up|smp [-kdb] define si el kernel es
[tty0|ttyS Analizador, monoprocesador o multiprocesador.
PUERTO,VELOCIDAD]] Cortafuegos, --initrd=yes|no define si el Ramdisk est activado o
[--flavor=up|smp] Sensor desactivado.
[--initrd=yes|no] --crashdump=yes|no|Y@X define si el crashdump del
[--crashdump=yes|no|Y@X] kernel est activado o no, y cunta memoria se reserva
[--append=opciones de kernel] para el kernel del crash dump (Y). El valor por defecto es
[--help] 24M. X siempre debe ser 16M.
apply --append=opciones de kernel define cualquier otra
opcin de arranque a aadir a la configuracin.
--help muestra la informacin de uso.
apply aplica las opciones de configuracin
especificadas.
Use esto slo si quiere devolver un dispositivo
Analizador, StoneGate a los valores de fbrica.
sg-clear-all Cortafuegos, Borra toda la configuracin del dispositivo. Debe tener una
Sensor conexin de consola local al dispositivo para usar este
comando.
Usado para mostrar o cambiar el estado del nodo.
status [-c SEGUNDOS] muestra el estado del clster.
Cuando se usa -c SEGUNDOS el estado se muestra
contnuamente con el nmero de segundos especificado
sg-cluster entre actualizaciones.
[status [-c SEGUNDOS]] online ordena al nodo ponerse online.
[online] lock-online ordena al nodo ponerse online y lo
[lock-online] mantiene online incluso si otro proceso intenta cambiar su
Cortafuegos
[offline] estado.
[lock-offline] offline ordena al nodo ponerse online.
[standby] lock-offline ordena al nodo ponerse offline y lo
[safe-offline] mantiene offline incluso si otro proceso intenta cambiar su
estado.
Standby ordena al nodo activo pasar a standby.
safe-offline pone offline el nodo slo si hay otro nodo
online.
Usado para establecer una relacin de confianza con el
Management Server como parte de una instalacin o
Analizador, reconfiguracin del dispositivo (vea sg-reconfigure
sg-contact-mgmt Cortafuegos,
Sensor abajo). El dispositivo contacta con el Management Server
usando la contrasea de un solo uso creada cuando se
guarda la configuracin inicial del dispositivo.
Tipo de
Comando Descripcin
Dispositivo
Borra la informacin relacionada con la VPN (use el comando
vpninfo para ver la informacin). La opcin -d (de delete -
borrar) es obligatoria.
-u elimina la sesin VPN del usuario de cliente VPN
especificado. Puede introducir la cuenta del usuario en la forma
<usuario@dominio> si hay varias localizaciones de
sg-ipsec -d almacenamiento de usuarios (dominios LDAP).
[-u <usuario[@dominio]> | -si elimina la sesin VPN de un usuario de cliente VPN en
-si <id_sesin> |
-ck <cookie_ike> | base al identificador de sesin.
Cortafuegos
-tri <id_transformacin> | -ck elimina la SA de IKE (asociacin de seguridad de Fase 1)
-ri <ip_remota> | en base a la cookie IKE.
-ci <id_conexin>] -tri elimina las SAs de IPsec (asociaciones de seguridad de
Fase 2) para ambas direcciones de comunicacin en base al
identificador de transformacin.
-ri elimina todas las SAa relacionadas con una direccin IP
remota en VPNs pasarela-a-pasarela.
-ci elimina todas las SAs relacionadas con un identificador
de conexin en VPNs pasarela-a-pasarela.
Puede usarse en scripts para crear mensajes de log con las
propiedades especificadas.
-f NMERO_FACILIDAD define la facilidad par el mensaje de
sg-logger
log.
-f NMERO_FACILIDAD
-t NMERO_TIPO define el tipo de mensaje de log.
-t NMERO_TIPO Analizador,
[-e NMERO_EVENTO] -e NMERO_EVENTO define el evento de log para el mensaje
Cortafuegos,
[-i "CADENA_INFO"] Sensor de log. Por defecto es 0 (H2A_LOG_EVENT_UNDEFINED).
[-s] -i "CADENA_INFO" define la cadena de informacin para el
[-h] mensaje de log.
-s enva informacin sobre nmeros de opcin a la salida
estndar.
-h muestra la informacin de uso.
Configura un nuevo disco duro. Este comando es slo para
dispositivos StoneGate que soportan RAID (Redundant Array of
Independent Disks) y tienen dos discos duros.
-status muestra el estado del disco duro.
-add aade un nuevo disco duro.
sg-raid Analizador, Use -add -force si quiere aadir un disco duro que ya
[-status] [-add] [-re-add] Cortafuegos,
Sensor contiene datos y quiere sobreescribirlo.
[-force] [-help]
-re-add aade un disco duro que ya est particionado. Este
comando solicita el disco duro ya particionado. El comando
solicita el disco y particin para cada array degradado.
Use -re-add -force si quiere comprobar todos los arrays.
-help muestra la informacin de uso.
Tipo de
Comando Descripcin
Dispositivo
Usado para reconfigurar el nodo manualmente.
--boot aplica el comportamiento al arranque. No use esta
opcin a menos que tenga una necesidad especfica de
sg-reconfigure hacerlo.
Analizador,
[--boot] --maybe-contact contacta con el Management Server si se
Cortafuegos,
[--maybe-contact] solicita. Esta opcin slo est disponible en dispositivos
Sensor
[--no-shutdown] cortafuegos.
--no-shutdown le permite hacer cambios limitados en el
nodo sin apagarlo. Algunos cambios pueden no aplicarse hasta
que se reinicie el nodo.
Ejecutas pruebas criptogrficas en el dispositivo.
sg-selftest [-d] [-h] Cortafuegos -d ejecuta las pruebas en modo depuracin.
Muestra informacin sobre el estado del dispositivo.

Analizador, -l muestra toda la informacin disponible sobre el estado del
sg-status [-l][-h] Cortafuegos,
dispositivo.
Sensor
Cambia el dispositivo entre las particiones activa e inactiva.
Este cambio tiene efecto al reiniciar el dispositivo.
Puede usar este comando, por ejemplo, si ha actualizado un
dispositivo y quiere volver a la antigua versin del software.
Cuando actualiza el dispositivo, se cambia la particin activa.
La configuracin anterior permanece en la particin inactiva.
Par ver las particiones actuales, vea el listado del directorio
Analizador, /var/run/stonegate (ls-l /var/run/stonegate.
sg-toggle-active SHA1 SIZE |
Cortafuegos,
--force --debug La opcin SHA1 SIZE se usa para verificar la firma de la
Sensor
particin inactiva antes de cambiarla a activa. Si vuelve atrs en
el dispositivo, compruebe el checksum y tamao del paquete de
actualizacin anterior extrayendo los ficheros de firma y tamao
del fichero sg_engine_[versin.build]_i386.zip.
--debug reinicia el dispositivo con el kernel de depuracin.
--force cambia la particin activa sin comprobar antes la
firma de la particin inactiva.
Actualiza el nodo reinicindolo desde el CD-ROM de
sg-upgrade Cortafuegos instalacin. Alternativamente, el nodo puede ser actualizado
remotamente usando el Management Client.
Analizador,
sg-version Cortafuegos, Muestra la versin del software y el nmero de build del nodo.
Sensor
Tipo de
Comando Descripcin
Dispositivo
Recopila informacin que puede enviar al soporte de
Stonesoft si est teniendo problemas. Use este comando slo
cuando se le indique desde el soporte de Stonesoft.
-f fuerza sginfo incluso aunque la configuracin est cifrada.
sginfo Analizador,
-d incluye los core dumps en el fichero sgInfo.
Cortafuegos, -s incluye la salida de slapcat en el fichero sgInfo.
[-f] [-d] [-s] [-p] [--] [--help]
Sensor -p incluye las contraseas en el fichero sgInfo (por defecto
las contraseas se borran de la salida).
-- crea el fichero sgInfo sin mostrar el progreso.
--help muestra la informacin de uso.
La siguiente tabla muestra algunos comandos generales del sistema operativo que pueden
ser tiles para el mantenimiento de sus dispositivos StoneGate. Algunos comandos pueden
pararse pulsando Ctrl+c.
Tabla 191: Herramientas de Lnea de Comando Generales en los Dispositivos
Comando Descripcin
dmesg Muestra los logs del sistema y otra informacin. Use la opcin h para ver su uso.
halt Apaga el sistema.
Muestra informacin de direcciones IP. Escriba el comando sin opciones para ver su
ip uso.
Ejemplo: escriba ip addr para informacin bsica sobre todos los interfaces.
ping Comprueba la conectividad con peticiones echo ICMP. Escriba el comando sin
opciones para ver su uso.
ps Informa del estado de procesos en ejecucin.
reboot Reinicia el sistema.
scp Copia segura. Escriba el comando sin opciones para ver su uso.
sftp FTP Seguro. Escriba el comando sin opciones para ver su uso.
ssh Cliente SSH (Para abrir una conexin de terminal a otros hosts). Escriba el comando
sin opciones para ver su uso.
tcpdump Da informacin sobre el trfico de red. Use la opcin -h para ver su uso.
Muestra los procesos de CPU que consumen ms tiempo de CPU. Use la opcin -h
Top
para ver su uso.
traceroute Traza la ruta que toman los paquetes hacia el destino especificado. Escriba el
comando sin opciones para ver su uso.
vpninfo Muestra la informacin de VPN y le permite lanzar algunos comandos bsicos.
Escriba el comando sin opciones para ver su uso.
Comandos del Agente de Monitorizacin de Pool de Servidores

Puede probar y monitorizar los Agentes de Monitorizacin de Pool de Servidores desde la lnea
de comando con los comandos descritos en la siguiente tabla.
Tabla 192: Comandos del Agente de Monitorizacin de Pool de Servidores
Comando Descripcin
Le permite probar diferentes configuraciones antes de activarlas.
-d No ejecutar como daemon. Todos los mensajes de error se
imprimen en stdout o stderr solamente.
-v nivel Nivel de detalle. El nivel por defecto es 5. Los nivele 6-8
son para depuracin donde est disponible.
-c path Use el path especificado como primer directorio de
bsqueda para la configuracin.
sgagentd [-d] test [ficheros]
[-v nivel] Ejecutar en modo prueba las consultas de estado no reciben
[-c path] respuesta. Si especifica los ficheros, se usan para leer la
[test [ficheros]] configuracin en lugar de los ficheros por defecto. La salida se enva
[syntax [ficheros]] a syslog o eventlog en lugar de a la consola donde se ejecut el
comando a menos que use la opcin -d.
syntax [ficheros]
Comprobar la sintaxis del fichero de configuracin. Si no se
especifican ficheros, se comprueban los ficheros de configuracin
por defecto. La salida se enva a syslog o eventlog en lugar de a la
consola donde se ejecut el comando a menos que se especifique la
opcin -d.
Tabla 193: Comandos del Agente de Monitorizacin de Pool de Servidores
Comando Descripcin
Enva una peticin UDP al host especificado y espera una
respuesta hasta que la recibe o se alcanza el lmite de tiempo de
espera.
El tipo de peticin puede definirse como parmetro. Si no se
especifica un parmetro, se pide status. Los comandos son:
status consultar el estado.
info consultar la versin del agente.
proto consultar la versin ms alta de protocolo soportada.
-p puerto Conectar al puerto especificado en lugar de al puerto
sgmon por defecto.
[status|info|proto] -t tiempo_de_espera Establece el tiempo de espera (en
[-p puerto] segundos) que se espera una respuesta.
[-t tiempo_de_espera] -a id Reconoce los mensajes de log recibidos hasta la id
[-a id] especificada. Cada mensaje de respuesta tiene una id, y puede
Host reconocer ms de un mensaje en un momento dado usando el
parmetro id. Tenga en cuenta que los mensajes reconocidos por
sgmon no aparecern ms en los logs del cortafuegos.
host
La direccin IP del host al que se quiere conectar. Para comprobar
el estado localmente, puede proporcionar localhost como
argumento host. Este parmetro es obligatorio.
Valor de retorno:
0 si se recibi respuesta
1 si la respuesta fall por tiempo de espera agotado
-1 en caso de error
Apndices - Puertos de Comunicacin por Defecto 933
APNDICE B
PUERTOS DE COMUNICACIN POR

DEFECTO
Este captulo lista los puertos por defecto usados en las conexines entre los componentes
StoneGate y los puertos por defecto que usa StoneGate con componentes externos.
Puertos del Management Center (pag. 934)

Puertos de Dispositivos Cortafuegos/VPN (pag. 936)
Puertos de Dispositivo IPS (pag. 940)
Puertos del Management Center

Las siguientes ilustraciones presentan una visin general de los puertos por defecto ms
importantes usados en las comunicaciones entre el los componentes del Management
Center (SMC) y desde el SMC a servicios externos. Vea la tabla ms adelante para una
lista completa de puertos por defecto.
Tabla 194: Puertos de Destino para Comunicaciones Bsicas Dentro del SMC
Management Client
Log Server Management Server
TCP: TCP:
8914-8918 8902-8913
+ 3021 (Pet.
Certificado
Log Server)
Tabla 195: Puertos por Defecto para Componentes y Funcionalidades Opcionales de SMC
La siguiente tabla muestra todos los puertos por defecto usados por SMC internamente y con
componentes externos. Muchos de estos puertos pueden cambiarse. El nombre de los
correspondientes elementos Servicio por defecto se incluyen tambin para su referencia. Para
informacin sobre comunicaciones entre los componentes de SMC y los dispositivos, vea los
listados separados.
Tabla 196: Puertos por Defecto del Management Center
Host en Puerto/ Hosts que Nombre del

Descripcin del Servicio
Escucha Protocolo Contactan Elemento Servicio
Management
53/UDP, Client,
Servidor DNS Consultas DNS. DNS (UDP)
53 TCP Management
Server, Log Server
Consultas LDAP externas para la
Management
Servidor LDAP 389/TCP visualizacin/Edicin en el LDAP (TCP)
Server
Management Client.
Recepcin de traps SNMPv1 de
Componentes de
162/UDP, componentes de terceros. Si se
Log Server Terceros SNMP (UDP)
5162/UDP Monitorizados instala en Windows se usa el puerto
162, y si en Linux el 5162.
514/TCP, Recepcin de syslog de
Componentes de
514/UDP, componentes de terceros. Si se Syslog (UDP)
Log Server Terceros
5514/TCP, instala en Windows se usa el puerto [Parcialmente]
Monitorizados
5514/UDP 514, y si en Linux el 5514.
Log Server,
Log Server 3020/TCP Envo de alertas. SG Log
Web Portal Server
8914- Management
Log Server Exploracin de logs. SG Data Browsing
8918/TCP Client
8916- SG Data Browsing
Log Server Web Portal Server Exploracin de logs.
8917/TCP (Web Portal Server)
Management Log Server, Web Peticin/renovacin del certificado de SG Log Initial
3021/TCP
Server Portal Server comunicaciones del sistema. Contact
Management
Management 8902- Conexiones de control y
Client, Log Server, SG Control
Server 8913/TCP monitorizacin.
Web Portal Server
Componentes
Pruebas de estado SNMP para
de Terceros 161/UDP Log Server SNMP (UDP)
direcciones IP externas.
Monitorizados
Management Management Replicacin de base de datos (pull)
8903,
Server Servers hacia los Management Servers SG Control
8907/TCP
Primario Secundarios secundarios.
Tabla 197: Puertos por Defecto del Management Center (Continuacin)

Peticiones de autenticacin RADIUS
para logins de administrador. Los
Servidor Management RADIUS
1812/UDP puertos por defecto se pueden
RADIUS Server (Autenticacin)
modificar en las propiedades del
elemento Servidor RADIUS.
Management Replicacin de base de datos (push) a
8902- Management
Servers los Management Servers SG Control
8913/TCP Server Primario
Secundarios Secuindarios.
Pquetes de actualizacin,
Servidores de Management actualizaciones de dispositivos y
443/TCP HTTPS
Stonesoft Server licencias desde update.stonesoft.com
and smc.stonesoft.com.
Exportacin de datos de log a
Servidor 514/UDP, servidores syslog. Los puertos por Syslog (UDP)
Log Server
Syslog 5514/UDP defecto pueden modificarse en el [Parcialmente]
fichero LogServerConfiguration.txt.
Puertos de Dispositivos Cortafuegos/VPN

Las siguientes ilustraciones presentan una visin general de los puertos por defecto ms
importantes usados en las comunicaciones ehtre los dispositivos cortafuegos/VPN y el SMC
y entre dispositivos de cortafuegos en clster. Vea las siguientes tablas para listados
completos de los puertos por defecto de los dispositivos cortafuegos/VPN con todas las
funcionalidades y lde los Cortafuegos SOHO.
Ilustracin 308: Puertos de Destino para las Comunicaciones Bsicas del Dispositivo Cortafuegos/VPN
Log Server Cortafuegos Otros Nodos en el Clster
TCP: TCP: TCP:

636 3002
3020
4950 3003
Management Server 4987 3010
8888 UDP: Multicast
TCP:
Or none* 3000 (Interfaces
3021 3001 Heartbeat)
3023
8906* * Cortafuegos independientes con node-
initiated contact seleccionado.
Ilustracin 309: Puertos de Destino para Comunicaciones Bsicas de Dispositivo Cortafuegos SOHO
Ilustracin 310: Puertos de Destino por Defecto para las Comunicaciones de Servicios del Dispositivo
Cortafuegos/VPN
La siguiente tabla lista todos los puertos por defecto que el Cortafuegos/VPN StoneGate usa
internamente y con componentes externos. Muchos de estos puertos pueden cambiarse. El
nombre del correspondiente elemento Servicio por defecto se incluye para su referencia.
Tabla 198: Puertos por Defecto del Cortafuegos/VPN

Servidor de
Servicio de actualizacin de firmas de
Firmas de Anti- 80/TCP Cortafuegos HTTP
anti-virus.
virus
Servidor Servicio de actualizacin de filtro Web BrightCloud
2316/TCP Cortafuegos
BrightCloud BrightCloud. update
Peticiones DHCP reenviadas y
Servidor DHCP 67/UDP Cortafuegos peticiones desde un cortafuegos que BOOTPS (UDP)
use direccin IP ainmica.
53/UDP,
Servidor DNS Cortafuegos Actualizaciones de DNS Dinmico. DNS (TCP)
53/TCP
Reenvo DHCP en el dispositivo
Cortafuegos 67/UDP Cualquiera BOOTPS (UDP)
cortafuegos.
Cortafuegos 68/UDP Servidor DHCP Respuestas a peticiones DHCP. BOOTPC (UDP)
Cortafuegos 161/UDP Servidor SNMP Monitorizacin SNMP. SNMP (UDP)
Clientes y
Cortafuegos 500/UDP Negociaciones VPN, trfico VPN. ISAKMP (UDP)
pasarelas VPN
Management Replicacin de la base de datos
Cortafuegos 636/TCP LDAPS (TCP)
Server interna de usaurios.
Autenticacin de usuarios (Telnet) SG User
Cortafuegos 2543/TCP Cualquiera
para reglas de Acceso. Authentication
Pasarelas VPN SG UDP
Cortafuegos 2746/UDP Trfico VPN encapsulado en UDP.
StoneGate Encapsulation
SG State Sync
3000-3001/
Dispositivo (Multicast), SG
UDP Heartbeat y sincronizacin de estado
Cortafuegos Cortafuegos/ State Sync
3002-3003, entre cortafuegos en clster.
VPN (Unicast), SG Data
3010/TCP
Sync
Clientes y
Cortafuegos 4500/UDP Trfico VPN usando NAT-traversal. NAT-T
pasarelas VPN
Management SG Remote
Cortafuegos 4950/TCP Actualizacin remota.
Server Upgrade
Management Envo de comandos y polticas del
Cortafuegos 4987/TCP SG Commands
Server Management Server.
Tabla 199: Puertos por Defecto del Cortafuegos/VPN (Continuacin)

Monitorizacin de conectividad;
Management monitorizacin de listas negras,
Cortafuegos 8888/TCP SG Monitoring
Server conexiones y estado de versiones
antiguas de dispositivos.
Management
Cortafuegos 15000/TCP Server, Entradas de lista negra. SG Blacklisting
Analizador
Consultas LDAP externas, incluyendo
Servidor LDAP 389/TCP Cortafuegos LDAP (TCP)
conexiones StartTLS.
Mensajes de log y alerta;
Log Server 3020/TCP Cortafuegos monitorizacin de listas negras, SG Log
conexiones, estado y estadsticas.
Peticin/renovacin de certificado de
Management
3021/TCP Cortafuegos comunicaciones del sistema (contacto SG Initial Contact
Server
inicial).
Management SG Reverse
3023/TCP Cortafuegos Conexin de monitorizacin (estado).
Server Monitoring
Conexin de gestin para Cortafuegos
Management Independientes con node-initiated SG Dynamic
8906/TCP Cortafuegos
Server contact (contacto iniciado desde el Control
nodo) seleccionado.
RADIUS
Servidor 1812, 1645/
Cortafuegos Peticiones de autenticacin RADIUS. (Autenticacin),
RADIUS UDP
RADIUS (Antiguo)
111/UDP, 111/ SUNRPC (UDP),
Servidor RPC Cortafuegos Resolucin de nmeros RPC.
TCP Sun RPC (TCP)
Agentes de Pregunat a los Agentes de
Monitorizacin Monitorizacin del Pool de Servidores SG Server Pool
7777/UDP Cortafuegos
de Pool de por disponibilidad e informacin de Monitoring
Servidores carga.
Servidor
162/UDP Cortafuegos Traps SNMP para el dispositivo. SNMP Trap (UDP)
SNMP
Servidor
49/TCP Cortafuegos Peticiones de autenticacin TACACS+. TACACS (TCP)
TACACS+
500/UDP,
2746/UDP Trfico VPN. Los puertos 2746 y 4500
Pasarelas VPN (Slo pasarelas Cortafuegos pueden usarse dependiendo de las ISAKMP (UDP)
StoneGate), opciones de encapsulado.
or 4500 UDP.
Tabla 200: Puertos por Defecto de Cortafuegos SOHO

Dispositivo
Internet Key Exchange (IKE) para
Cortafuegos 500/UDP Pasarela VPN ISAKMP (UDP)
IPsec.
SOHO
Management Cortafuegos Comunicaciones de configuracin y de
8922/TCP SG SOHO Control
Server SOHO estado hacia el Management Server.
Management Cortafuegos SG SOHO Initial
8924/TCP comunicaciones del sistema (contacto
Server SOHO Contact
inicial).
Cortafuegos
Servidor NTP 123/UDP Sincronizacin de Tiempo. NTP (UDP)
SOHO
Servidor Cortafuegos RADIUS
1812/UDP Peticiones de autenticacin RADIUS.
RADIUS SOHO (Autenticacin)
Puertos de Dispositivo IPS

La siguiente ilustracin presenta una visin general de los puertos por defecto ms
importantes usados en las comunicaciones entre dispositivos IPS y el SMC y entre
dispositivos sensor en clster. Vea la siguiente tabla para un listado completo de los puertos
por defecto.
Ilustracin 311: Puertos de Destino por Defcto para Comunicaciones Bsicas del Sistema del IPS
La siguiente tabla lista todos los puertos por defecto que StoneGate IPS usa internamente y con
componentes externos. Muchos de estos puertos pueden cambiarse. El nombre de los
elementos Servicio por defecto correspondientes se incluye para su referencia.
Tabla 201: Puertos Especficos de IPS

Servidor de Mensajes de syslog reenviados al
Analizador 514/UDP Syslog (UDP)
syslog Analizador.
Management SG Remote-
Analizador 4950/TCP Actualizacin remota.
Server Upgrade
Management SG Commands
Analizador 18889 Conexin de gestin.
Server (Analyzer)
Datos de eventos enviados desde los
Analizador 18890/TCP Sensor SG Event Transfer
sensores.
BrightCloud Servicio de actualizacin del filtrado BrightCloud
2316/TCP Sensor
Server Web BrightCloud. update
Mensajes de Log y de Alerta desde los
Analizadores; transferencias de
Analizador, ficheros de grabaciones desde los
Log Server 3020/TCP SG Log
Sensor Sensores y monitorizacin de listas
negras, estado y estadsticas desde
los Sensores.
Management Sensor,
3021/TCP comunicaciones del sistema (contacto SG Initial Contact
Server Analizador
inicial).
Management Sensor, Conexin de monitorizacin de SG Reverse
3023/TCP
Server Analizador respaldo (estado). Monitoring
SG State Sync
3000-3001/
(Multicast), SG
UDP
Sensor Sensor Heartbeat entre los nodos del clster. State Sync
3002,3003,
(Unicast), SG Data
3010/TCP
Sync
Management SG Remote
Sensor 4950/TCP Actualizacin remota.
Server Upgrade
Management SG Commands
Sensor 18888/TCP Conexin de gestin.
Server (Sensor)
Management
Sensor, Server,
15000/TCP Entradas de lista negra. SG Blacklisting
Cortafuegos Analizador,
Sensor
Apndices - Alias Predefinidos 943
APNDICE C
ALIAS PREDEFINIDOS
Este apndice lista los Alias predefinidos que existen en el sistema. Los Alias predefinidos
se usan en las polticas del sistema por defecto del Cortafuegos. Algunos de ellos pueden
ser tiles cuando crea sus propias reglas de Cortafuegos o IPS.
Alias de Usuario Pre-Definidos (pag. 944)

Alias del Sistema (pag. 944)
Alias de Usuario Pre-Definidos

Los Alias de usuario normalmente son creados por los administradores, pero tambin hay
algunos alias de usuario predefinidos en el sistema. Los Alias de usuario estm precedidos
por un carcter $. La siguiente tabla lista todos los Alias de usuario editables creados
automticamente por StoneGate Management Center. Estos Alias se usan en la Sub-Poltica
de Reenvo DHCP por defecto del cortafuegos.
Tabla 202: Alias de Usuario Definidos por el Sistema
Alias de Usuario Pre-Definidos Descripcin

$ DHCP address pools Direcciones que pueden ser asignadas por los servidores DHCP.
$ DHCP address pools for
Pools de direcciones para asignar direcciones IP a clientes VPN.
IPsec VPN Clients
$ DHCP servers Todos los servidores DHCP definidos para el cortafuegos.
$ DHCP servers for IPsec Los servidores DHCP definidos para asignar direcciones IP
VPN Clients virtuales a clientes VPN.
Alias del Sistema

Los Alias del Sistema son Alias no editables creados por StoneGate. Los Alias dl Sistema
estn precedidos por dos caracteres $$. La siguiente tabla lista las definiciones del todos los
Alias del Sistema. Estos Alias se usan en las polticas del sistema por defecto en el
cortafuegos.
Tabla 203: Alias del Sistema
Alias del Sistema Descripcin

Direcciones IP (de CVIs en clsters) que tienen
$$ DHCP Enabled Interface Addresses
activado el reenvo de DHCP.
$$ DHCP Enabled interface addresses for IPsec Direcciones IP (de NDIs en clsters) que tienen
VPN clients activado el reenvo de DHCP para clientes VPN.
Direccin IP del servidor DNS asignado por DHCP

$$ DHCP Interface X.dns
para el interfaz nmero X.
Direccin IP de la pasarela por defecto asignada

$$ DHCP Interface X.gateways
por DHCP para el interfaz nmero X.
Direccin IP asignada por DHCP para el interfaz
$$ DHCP Interface X.ip
nmero X.
$$ DHCP Interface X.net Red tras el interfaz de IP dinmica nmero X.
Primera direccin IP (CVI) del Interfaz Fsico con ID
$$ Interface ID X.ip
X.
Redes conectadas directemente tras el Interfaz
$$ Interface ID X.net
Fsico con ID X.
$$ Local Cluster Todas las direcciones del clster.
$$ Local Cluster (CVI addresses only) Todas las direcciones CVI del clster.
Apndices - Alias Predefinidos 945
Tabla 204: Alias del Sistema (Continuacin)
Alias del Sistema Descripcin

Todas las direcciones IP asignadas por DHCP del
$$ Local Cluster (DHCP Interface Addresses)
dispositivo.
Todas las direcciones NDI de todos lod nodos del
$$ Local Cluster (NDI addresses only)
clster.
$$ Local Cluster (NDI for heartbeat addresses Direcciones NDI de heartbeat de todos los nodos
only) del clster.
$$ Local Cluster (NDI for management Direcciones NDI de gestin de todos los nodos del
addresses only) clster.
$$ Log Servers Direcciones IP de todos los Log Servers.
$$ Management Servers Direcciones IP de todos los Management Server.
$$ Valid DHCP Address Pools for IPsec VPN Pools de direcciones definidos para asignar
clients direcciones IP virtuales a los clientes VPN.
Todos los servidores DHCP definidos para el
$$ Valid DHCP Servers
cortafuegos.
Los servidores DHCP definidos para asingar
$$ Valid DHCP Servers for IPsec VPN clients
direcciones IP virtuales a los clientes VPN.
Apndices - Sintaxis de las Expresiones Regulares 947
APNDICE D
SINTAXIS DE LAS EXPRESIONES

REGULARES
Las expresiones regulares se usan para definir patrones en el trfico para Situaciones
personalizadas, que pueden usarse en reglas de Inspeccin en los Cortafuegos e IPs
StoneGate.
Sintaxis para las Expresiones Regulares de StoneGate (pag. 948)

Secuencias de Caracteres Especiales (pag. 950)
Modificadores de Coincidencia de Patrones (pag. 951)
Extensiones de Variables de Bit (pag. 952)
Evaluacin de Expresiones Variables (pag. 954)
Variables del Sistema (pag. 958)
Subexpresiones Independientes (pag. 959)
Grupos de Coincidencia en Paralelo (pag. 960)
Sintaxis para las Expresiones Regulares de StoneGate

Las Situaciones personalizadas de StoneGate a menudo se definen como cadenas de texto
usando patrones de expresiones regulares para comprobar secuencias de bytes en el trfico
de red.
La coincidencia de expresiones siempre empieza al principio del flujo de trfico. Por esta
razn, .* es normalmente necesario el principio de una expresin regular para indicar que
puede haber un nmero de bytes indefinido en el flujo de trfico precediendo a la expresin.
La cadena de expresin regular consiste en una o ms ramas separadas por el smbolo |
OR lgico como sigue: rama-1|rama-2| . . .. Una rama contiene una o ms expresiones
regulares una tras otra. La Situacin se cumple si cualquiera de las ramas de expresin
regular separadas por | coincide con la cadena de bytes del trfico de red.
Nota Las expresiones regulares son sensibles a las maysculas. Los caracteres
espacio se incluyen en el proceso de coincidencia a menos que se use el modificador
(?S) o (?x) para ignorar los espacios.
Las expresiones regulares StoneGate se describen en la siguiente tabla.
Tabla 205: Sintaxis de Expresiones Regulares de StoneGate
Secuencia Descripcin Ejemplo

2, A, foo coincide exactamente con
<char> Coincide slo con los caracteres definidos. los caracteres definidos: 2, A, y foo
respectivamente.
Coincide con cualquier carcter, incluido el
carcter nulo \x00 y un carcter no existente. . Coincide con cualquier carcter simple
. (punto)
Coincide tambin con otros caracteres no o byte.
imprimibles, cono salto de lnea.
\x4d coincide con el valor hexadecimal
Coincide con el valor del bute hexadecimal que va
\x<hex> 4d que representa el valor decimal 77 y
desde \x00 a \xFF.
el carcter ASCII M.
[15aB] coincide cuando cualquiera de
[<char>] Coincide con cualquiera de los caracteres de la los caracteres 1, 5, a, o B se
lista. encuentra en la localizacin coincidente
de la cadena inspeccionada.
[^aBc] coincide si ninguno de los
[^<char>] Coincide cuando ninguno de los caracteres de la caracteres a, B, o c est presente en
lista est presente. la localicazin coincidente de la cadena
inspeccionada.
[af] coincide con cualquier carcter
[<char1> Coincide con todos los caracteres entre <char1>
<char2>] en el rango desde a hasta f, con a y
y <char2>, incluidos estos dos caracteres.
f includos.
Tabla 206: Sintaxis de Expresiones Regulares de StoneGate (Continuacin)
Secuencia Descripcin Ejemplo

Usado en una expresin entre parntesis para
coincidir con cualquier carcter de la clase
definida.
La <clase> puede ser: alnum [0-9A-Za-z],
alpha [A-Za-z], ascii (carcter ascii), blank
[[:digit:]] coincide con cualquier
[:<clase>:] (espacio o tabulador), cntrl (carcter de control),
dgito, p.ej. 1, 5, o 7.
digit [0-9], graph (alfanumrico o puntuacin),
lower [a-z], print (carcter imprimible), punct
[.,!?;:], space (cualquier carcter espacio),
upper [A-Z], word (alfanumrico + carcter _),
xdigit [0-9A-Fa-f].
Usado para escapar metacaracteres especiales
\[ coincide con el carcter [ en lugar
para que se interpreten como caracteres
\<char> de interpretarlo como el metacaracter de
normales, en este caso como <char>. Los
clase de expresin regular.
metacaracteres son: \|)(][^-*+?.#
Cualquier cosa que empiece por # hasta el
#<texto> crcter de salto de lnea (\x0a) o retorno de carro # mi comentario. No se usa en el
(\x0d) se considera como un comentario y no se proceso de coincidencia.
usa en el proceso de coincidencia.
(<expr1>| Coincide si coinciden la sub-expresin <expr1> o a(bc|de) coincide con abc y con
<expr2>) <expr2>. ade.
Tambin es posible indicar expresiones regulares repetidas, consecutivas usando

cuantificadores somo se describe en la siguiente tabla.
Tabla 207: Cuantificadores de Expresiones Regulares de StoneGate
Cuantificador Descripcin Ejemplo

<expr>* Coincide si hay cero o ms cadenas <expr>
a* coincide con <vaca>, a, aa etc.
consecutivas.
<expr>+ Coincide si hay una o ms cadenas <expr> a+ coincide con a, aa, aaa etc.,
consecutivas. Pero no con la cadena vaca.
<expr>? Coincide si hay cero o una cadenas <expr>. a? coincide con <vaca> y a.
{num} busca exactamente num veces con la a{5,} busca cinco o ms a
expresin. consecutivas.
<expr>{n,m} {num,} busca num o ms veces la expresin. a{5,7} busca cinco, seis o siete a
{num, max} busca como mnimo num y no ms consecutivas
de max veces la expresin. .
Los caracteres comodn * y + en el medio de un patrn de expresin regular pueden resultar

fcilmente en una expresin con un gran nmero de estados coincidentes. Por esta razn,
deben usarse con cuidado. El patrn de coincidencia calculado puede crecer exponencialmente,
hacindose demasiado complejo para un uso eficiente en los Sensores.
Use el cuantificador {num,max} donde sea posible, en lugar de los lmites * y +. Las
variables tambin pueden usarse para dividr el patron en trozos ms pequeos segn se
describe en Extensiones de Variables de Bit (page 952).
La siguiente ilustracin propone un ejemplo de expresin regular.
Ilustracin 312: Ejemplo de Expresin Regular
Secuencias de Caracteres Especiales

Los caracteres imprimibles se definen simplemente escribindolos en la expresin regular.
Los valores hexadecimales \xHH tambin pueden usarse para coincidir con cualquier valor
byte (es decir, un carcter ASCII). Adems, hay algunas secuencias para caracteres
comunes no imprimibles y clases de caracteres. Las secuencias de caracteres especiales se
listan en la siguiente tabla.
Ilustracin 313: Secuencias de Caracteres Especiales
Secuencia Descripcin
\a Bell (BEL) = \x07
\t Tabulador horizontal (HT) = \x09
\n Salto de lnea (LF) = \x0A
\f Salto de pgina (FF) = \x0C
\r Retorno de Carro (CR) = \x0D
\e Escape (ESC) = \x1B
\OOO Cdigo octal OOO del carcter.
\xHH Cdigo hexadecimal HH del carcter.
\c<char> Carcter de control que corresponde a Ctrl+<char>
\w Carcter de clase "palabra" = [A-Za-z0-9_]
\W Carcter de clase no-palabara = [^A-Za-z0-9_]
\s Carcter espacio en blanco = [ \t\r\n\f]

Tabla 208: Secuencias de Caracteres Especiales (Continuacin)
\S Carcter no-espacio en blanco = [^ \t\r\n\f]
\d Carcter dgito = [0-9]
\D Carcter no dgito = [^0-9]
\b Backspace (BS) = \x08
Nota: permitido slo en expresiones entre parntesis.
Pone entre comillas todos los metacaracteres entre \Q y \E. Los Backslashes (\)
\Q
se consideran caracteres normales.
<expr>
\E Por ejemplo, \QC:\file.exe\E coincide con la cadena C:\file.exe, no
con la cadena C:\x0Cile.exe donde \x0C es el salto de pgina \f.
Modificadores de Coincidencia de Patrones

La sintaxis de expresiones regulares de StoneGate tiene extensiones tipo Perl. Los
modificadores de coincidencia de patrones son extensiones que pueden usarse para controlar el
proceso de coincidencia en ms detalle. Los modificadores se activan con (?<modificadores>)
y desactivan con un signo menos (?-<modificadores>), donde <modificadores> es una lista
de uno o ms modificadores.
Los modificadores (?C), (?L), y (?s)estn activos por defecto. Los modificadores de
coincidencia de patrones se listan en la tabla siguiente.
Tabla 209: Modificadores de Coincidencia de Patrones
Case insensitive mode Modo insensible a maysculas y minsculas
Cuando est activo, se usa coincidencia independiente de maysculas y minsculas.
(?i) As, una letra coincide independientemente de si es mayscula o minscula.
Cuando est desactivado, las letras coinciden teniendo en cuenta si son maysculas o
minsculas, es decir, esto es tiene en cuenta en el proceso de bsqueda.
Single line mode Modo de lnea nica
Cuando se activa, el carcter punto . Coincide tambin con el carcter nulo \x00 y un
(?s) carcter no existente adems de con cualquier carcter (incluyendo salto de lnea y otros
caracteres no imprimibles).
Cuando est desactivado,el salto de lnea o un carcter no existente no coinciden.
Este modificador est activado por defecto. Use (?-s) para desactivarlo.
Extended readability mode Modo de legibilidad extendida
Cuando se activa, equivale a activar (?C), (?L), y (?S). Los comentarios, saltos de lnea y
(?x) espacios no se usan en el proceso de bsqueda, permitiendo usarlos para legibilidad de la
expresin.
Cuando se desactiva, equivale a desactivar (?C), (?L), y (?S). Los comentarios, saltos de
lnea y espacios se usan en el proceso de bsqueda.
Tabla 210: Modificadores de Coincidencia de Patrones (Continuacin)
Allow comments mode Modo permitir comentarios
Cuando se activa, cualquier cosa tras el carcter # se considera un comentario y no se
incluye en el proceso de bsqueda.
(?C)
Cuando se desactiva, el carcter # y cualquier cosa que le siga se incluirn en el
proceso de bsqueda.
Este modificador est activo por defecto. Use (?-C) para desactivarlo.
Ignore linefeeds mode Modo ignorar saltos de lnea
Cuando se activa, los caracteres salto de lnea y retorno de carro no se incluyen en el
proceso de bsqueda a menos que estn especialmente definidos (\x0A o \n para el
(?L) salto de lnea y \x0D o \r para retorno de carro).
Cuando se desactiva, los saltos de lnea y retornos de carro se usan en el proceso de
bsqueda.
Este modificador est activo por defecto. Use (?-L) para desactivarlo.
Ignore spaces mode Modo ignorar espacios
Cuando se activa, los caracteres espacio y tabulador horizontal no se incluyen en el
(?S) proceso de bsqueda a menos que estn especialmente definidos (\x20 para el espacio
y \x09 o \t para tabulador horizontal).
Cuando se desactiva, el espacio y el tabulador horizontal se usan en el proceso de
bsqueda.
(?<modificadores> Aplica los modificadores <modificadores> slo a la subexpresin <sub-expr>.
:<sub-expr>) Estos modificadores no se usan en otras partes de la expresin regular.
Extensiones de Variables de Bit

Las variables se pueden usar para definir patrones expresiones regulares que estn
relacionadas entre s. Estas relaciones pueden expresarse con las variables de forma que la
expresin regular coincida slo cuando coincidan todos los patrones relacionados. Una
coincidencia compleja con mltiples Situaciones tambin es posible, ya que las variables y
los valores de las variables se comparten con todas las Situaciones en un Grupo de
Situaciones.
Una extensin de variables puede usar las siguientes expresiones:
Una expresin de establecimiento de valor define los valores para una o ms variables
cuando la rama de nivel superior correspondiente coincide.
Por ejemplo, (?{var_a=1}) establece el valor a 1 para la variable var_a.
Una expresin condicional inspecciona los valores definidos para una o ms variables de
forma la correspondiente rama de nivel superior coincida, y las expresiones de
establecimiento de variable opcionales se procesan slo si la expresin condicional es
cierta.
Por ejemplo, (?{var_b==1}) coincide cuando la variable var_b es igual a 1.
Cuando se usan ambos tipos de expresiones variables para la misma rama de nivel
superior, debe usarse el operador implicacin ->.
Por ejemplo, (?{var_a==1->var_a=0}) se cumple cuando la variables var_a es igual a
1, y finalmente establece el valor de esta variable a 0.
Cada variable es nica dentro de la Situacin o Grupo de Situaciones donde se usa la

variable. El nombre de una variable de Situacin puede ser cualquier valor consistente en
caracateres alfanumricos y el carcter _ [A-Za-z_0-9]. El nombre de la variable no debe
empezar por un dgito. La variable tiene un valor booleano que puede ser 0 o 1. Los valores
de variables persisten a travs de cada flujo de trfico individual.
Nota En expresiones de variables un nico signo igual = establece el valor de a

variable, mientras que dos consecutivos == evalan el valor de la variable.
Las variables se definen con las expresiones listadas en la siguiente tabla.
Tabla 211: Extensiones de Variable
La expresin se cumple y el valor de la variable <var> se establece a
(?{<var>=<valor>}) <value> (0 o 1). Se pueden definir mltiples expresiones de
establecimiento de valor separndolas con una coma ,.
Establece el valor de la variable <var> a <valor> (0 or 1). La palabara
(?{<var>=<valor>,ignore}) clave ignore se usa para indicar una coincidencia parcial que no
provoca respuesta por s misma sino que requiere otra rama coincidente.
La expresin se cumple slo cuando el valor de la variable <var> es
(?{<var>==<valor>}) <valor>. Pueden definirse mltiples expresiones condicionales
separndolas con &&.
La expresin slo se cumple cuando el valor de la variables <var1> es
(?{<var1>==<valor1>->
<var2>=<valor2>}) <valor1>. Cuando la condicin es cierta, el valor de la variable <var2>
se establece a <value2>.
(?{...}) puede usarse en las dos ramas de nivel superior que estn separadas pr el smbolo
OR lgico |. Una extensin de variable slo se procesa cuando se cumple su rama de ms
alto nivel.
Ilustracin 314: Expresin con Variables
La expresin en la anterior ilustracin detecta dos diferentes cadenas en la misma conexin.

La variable se usa de forma que la respuesta slo se lanza cuando se cumple la primera
rama, seguida por la coincidencia de la segunda rama. Ninguna de las ramas lanza la
respuesta por s sola.
Nota Un comodn * o ? en el medio de una expresin puede resultar en un patrn de

coincidencia calculado demasiado complejo para un uso eficiente de los Sensores. Por
tanto, se recomienda dividir el patrn en dos ramas como muestra la ilustracin anterior.
Evaluacin de Expresiones Variables

La evaluacin de expresiones variables es una extensin a la sintaxis de expresiones
regulares que proporciona la capacidad de parsear valores desde el flujo de entrada, llevar a
cabo operaciones aritmticas, detectar grandes bloques de datos y usar variables ms
grandes que un bit. Esto le permite crear Situaciones ms precisas y fiables en casos que
son difciles con la sintaxis de expresiones regulares tradicional.
Tabla 212: Sintaxis de Expresiones Variables:
(?[<expresin>]) <expresin> es una o ms expresiones separadas por comas
Las variables pueden ser de 1, 8, 16, 32 o 64 bits. Por defecto, una variables es un bit (bien
0 o 1). El tamao de variable por defecto en bits puede cambiarse con un sufijo que contiene
el smbolo "@" y el nmero de bits.
Ejemplo test@32 significa que la variable test es de 32 bits.
Si el nombre de la variable viene precedido por un smbolo ($), la variable se comprueba
contra la conexin actual en lugar de contra el flujo actual. Esta comprobacin es tanto en el
trfico cliente a servidor como servidor a cliente.
Ejemplo $command_seen@32 comprueba que un cierto comando ha sido emitido por el cliente y el servidor
ha aceptado el comando sin errores.
Cada expresin tiene un valor tras la evaluacin. El tipo del valor puede ser un entero sin
signo de 32 o 64 bits, o void. Los resultados de las Expresiones pueden usarse para ejecutar
aritmtica bsica con enteros, asignacin de variables y comparaciones. El orden de las
operaciones es similar al del lenguaje de programacin C, por ejemplo A + B * C es A + (B *
C), no (A + B) * C. El '->' es el ms bajo en precedencia. Los comandos entre parntesis ()
siempre se evalan primero, de forma que el orden de las operaciones se puede modificar
con los parntesis.
Tabla 213: Operaciones sobre Resultados de Expresiones
false Siempre se evala a falso.
true Siempre se evala a cierto.
<nmero> Un nmero literal en formato decimal, octal y hexadecimal, por ejemplo
"32" or "0x20".
<var> = <expr> Establece un valor devuelto por la expresin <expr> a una variable <var>.
Vea la sintaxis de las variables ms abajo.
<var> += <expr> Suma el valor de la variable <var> con el valor devuelto por la expresin
<expr> y asigna el resultado a la variable <var>.
<var> -= <expr> Resta al valor de la variable <var> el valor devuelto por la expresin
<expr> y asigna el resultado a la variable <var>.
<var> *= <expr> Multiplica el valor de la variable <var> por el valor devuelto por la
expresin <expr> y asigna el resultado a la variable <var>.
Tabla 214: Operaciones sobre Resultados de Expresiones (Continuacin)
Sequence Description
<var> /= <expr> Divide el valor de <var> por el valor devuelto por la expresin <expr> y asigna
el resultado a la variable <var>.
<var> %= <expr> Divide el valor de <var> por el valor devuelto por la expresin <expr> y asigna
el mdulo del resultado a la variable <var>.
<var> <<= <expr> Desplaza el valor de <var> a la izquierda el nmero de pasos devueltos por la
<var> >>= <expr> Desplaza el valor de <var> a la derecha el nmero de pasos devueltos por la
<var> &= <expr> Ejecuta un AND a nivel de bit con el valor de la variable <var> y el valor
devuelto por la expresin <expr> y asigna el resultado a la variable <var>.
<var> |= <expr> Ejecuta un OR a nivel de bit con el valor de la variable <var> y el valor devuelto
por la expresin <expr> y asigna el resultado a la variable <var>.
<var> ^= <expr> Ejecuta un XOR a nivel de bit con el valor de la variable <var> y el valor
devuelto por la expresin <expr> y asigna el resultado a la variable <var>.
<expr_a> -> <expr_b> La expresin <expr_b> se evala slo si <expr_a> es cierta.
<expr_a> ? <expr_b> : La expresin <expr_b> se evala slo si <expr_b> es cierta y la expresin
<expr_c> <expr_c> se evala si <expr_a> es falsa.
<expr_a> == <expr_b> Comprueba si las expresiones <expr_a> y <expr_b> devuelven un valor igual.
<expr_a> != <expr_b> Comprueba si las expresiones <expr_a> y <expr_b> no devuelven un valor
igual.
<expr_a> < <expr_b> Comprueba si la expresin <expr_b> devuelve un valor ms alto que la
expresin <expr_a>.
<expr_a> <= <expr_b> Comprueba si la expresin <expr_b> devuelve un valor igual o ms alto que la
expresin <expr_a>.
<expr_a> > <expr_b> Comprueba si la expresin <expr_a> devuelve un valor ms alto que la
expresin <expr_b>.
<expr_a> >= <expr_b> Comprueba si la expresin <expr_a> devuelve un valor igual o ms alto que la
expresin <expr_b>.
<expr_a> & <expr_b> Ejecuta un AND a nivel de bit con las expresiones <expr_a> y <expr_b> y
devuelve el resultado.
<expr_a> | <expr_b> Ejecuta un OR a nivel de bit con las expresiones <expr_a> y <expr_b> y
<expr_a> ^ <expr_b> Ejecuta un XOR a nivel de bit con las expresiones <expr_a> y <expr_b> y
<expr_a> && <expr_b> Ejecuta un AND con las expresiones <expr_a> y <expr_b> y devuelve el
resultado.
Tabla 215: Operaciones sobre Resultados de Expresiones (Continuacin)
<expr_a> || <expr_b> Ejecuta un AND con las expresiones <expr_a> y <expr_b> y devuelve el
resultado.
<var>++, ++<var> Incrementa el valor de la variable <var> en uno.
<var>--, --<var> Decrementa el valor de la variable <var> en uno.
-<expr> Niega el resultado de la expresin <expr>
~<expr> Invierte a nivel de bit el resultado de la expresin <expr>.
!<expr> Ejecuta una operacin NOT con la expresin <expr>.
Operaciones de Flujo
Los datos binarios del flujo de entrada pueden leerse en variables con las siguientes
expresiones:
Tabla 216: Expresiones Variables de Datos Binarios
parse_be@<tamao> Parsear valor big endian. <tamao> es el tamao del valor a leer en bits,
y puede ser uno de los siguientes: 8, 16, 24, 32, 40, 48, 56 o 64.
parse_le@<tamao> Parsear valor little endian. <tamao> es el tamao del valor a leer en
bits, y puede ser uno de los siguientes: 8, 16, 24, 32, 40, 48, 56 o 64.
Los valores ASCII pueden leerse del flujo de entrada con las siguientes expresiones:
Tabla 217: Expresiones Variables de Datos ASCII
Parsear valor decimal ASCII. <longitud> es el mximo nmero de
parse_dec(<longitud>) caracteres a parsear. El nmero actual de dgitos parseadosse guarda en
la variable $parse_length@32. Si no se parsea ningn carcter, el valor
de la variable ser cero.
parse_dec(<is available>) El nmero actual de dgitos parseados est disponible en la variable.
Parsear valor hexadecimal ASCII. <longitud> es el mximo nmero de
parse_hex(<longitud>) caracteres a parsear. El nmero actual de dgitos parseadosse guarda en
la variable $parse_length@32. Si no se parsea ningn carcter, el valor
de la variable ser cero.
parse_hex(<is available>) El nmero actual de dgitos parseados est disponible en la variable.
Parsear valor ASCII; se procesa como decimal si la cadena empieza por
"0x", octal si la cadena empoieza con cero ("0") y decimal en otro caso.
parse_int(<longitud>) <longitud> es el mximo nmero de caracteres a parsear. El nmero
actual de dgitos parseadosse guarda en la variable $parse_length@32.
Si no se parsea ningn carcter, el valor de la variable ser cero.
Tabla 218: Expresiones Variables de Datos ASCII (Continuacin)
parse_int(<is available>) El nmero actual de dgitos parseados est disponible en la variable.
Parsear valor octal ASCII. <longitud> es el mximo nmero de caracteres
parse_oct(<length>) a parsear. El nmero actual de dgitos parseadosse guarda en la variable
$parse_length@32. Si no se parsea ningn carcter, el valor de la
variable ser cero.
parse_oct(<is available>) El nmero actual de dgitos parseados est disponible en la variable.
Operaciones miscelneas con el flujo de entrada:
Tabla 219: Operaciones Miscelneas con el Flujo de Entrada
Calcula un valor de CRC de 32 bits empezando por el byte actual hasta el
nmero de bytes especificado por el parmetro <longitud>. Esta funcin
es adecuada para detectar grandes bloques binarios en el flujo de
CRC(<longitud>) entrada.
skip(<longitud>) Saltar <longitud> nmero de bytes.
Lanzar subexpresin independiente. Vea Subexpresion Independiente
regexp(<regexp>) para ms informacin.
Otras Expresiones
Tabla 220: Otras Expresiones
sid() Generar una situacin. Esta expresin se usa para generar una situacin
que indica una coincidencia.
sid(<id>) Genera una situacin especfica especificada por <id>.
cancel Parar las coincidencias en el nivel actual.
cancel_fp_ctx Parar las coincidencias en el contexto actual de huellas digitales.
La siguiente ilustracin proporciona un ejemplo de expresin regular que lanza una expresin
variable.
Ilustracin 315: Expresin con Expresin Variable
# Launches a variable expression when byte 20h (space character) is seen in

# the input stream. The evaluation first assigns variable aa@16 a value of
# 8, checks if the value of variable bb@32 is 47, and if so, generates a
# situation.
.*\x20(?[aa@16=8, bb@32==47 -> sid()])

Cuando se usa (?[]) (al final de una rama de expresin regular o en otro sitio), la situacin no
se informa automticamente. sid() debe ser usado explcitamente. Esto es diferente de (?{}),
donde la situacin se informa automticamente si no se usa ignore.
Variables del Sistema

La sintaxis de las variables del sistema es la misma que para las dems variables (vea la
Tabla de la pgina 953), excepto que el valor de la variable no es modificable por el usuario.
Tabla 221: Variables del Sistema
$major Nmero de versin mayor del software del dispositivo StoneGate.
$minor Nmero de versin menor del software del dispositivo StoneGate.
$patch Nmero de nivel de parche del software del dispositivo StoneGate.
$build Nmero de build del software del dispositivo StoneGate.
$fpver Nmero de versin del motor de comprobacin de huellas digitales actual.
$dport Puerto de destino actula de la conexin. Este valor se puede usar para
limitar la bsqueda al trfico destinado a un puerto especfico.
$offset El byte que est bajo inspeccin cuando se cuenta desde el principio del
flujo de trfico.
$parse_length@32 Nmero de dgitos parseados por la ltima expresin parse_dec(),
parse_hex(), parse_oct() o parse_in(). Vea Operaciones de Flujo arriba.
La siguiente ilustracin proporciona un ejemplo de una expresin de offset que se cumple

cuando '\xff\x53\x4d\x42\x25' ocurre en el flujo, de form a que \x25 es el byte nmero 25
del flujo.
Ilustracin 316: Expresin con Variables
# Expression matches when '\xff\x53\x4d\x42\x25' occurs in the stream

# with \x25 as the 25th byte in the stream. The 25th byte in the stream
# has an offset value of 24.
.*\xff\x53\x4d\x42\x25(?{$offset==24})
Subexpresiones Independientes
Las subexpresiones independientes permiten que otra expresin regular se lance
independientemente de la expresin regular principal. La sintaxis para la subexpresin
independiente es como sigue:
Tabla 222: Sintaxis de Subexpresin Independiente
(?><expresin_regular>) <expresin_regular> es una expresin regular normal de StoneGate
lanzada independientemente del la expresin regular principal.
(?>(?{<expresin>})<expresin_ <expresin> es una expresin de comparacin que se evala antes de
regular>) que se lance la subexpresin regular <expresin_regular >.
<expresin_regular > se lanza slo si <expresin> se evala a cierto.
Dentro de (?[...]) las subexpresiones independientes pueden ser lanzadas por

regex(<regular_expression>).
La siguiente ilustracin proporciona un ejemplo de una expresin regular que lanza una
subexpresin independiente.
Ilustracin 317: Expresin con Subexpresiones Independientes

# Main expression matches when a GET string has been seen in the input stream
# and launches an independent subexpression. The independent subexperssion
# detects whether the parameter for the GET request is longer than 400
# characters.
*GET(?>\s*[^\s]{400})
La siguiente ilustracin proporciona un ejemplo de una subexpresin independiente que incluye

una comprobacin de parmetro de precondicin. La subexpresin independiente se lanza slo
si la expresin de precondicin se evala a cierto.
Ilustracin 318: Subexpresin Independiente con Comprobacin de Parmetro de Precondicin
# Launches independent subexpression for a Content-length: HTTP header only

# if it is seen in a POST request.
(?x)
(?i)
.*POST(?{post_seen=1,ignore})|
.*\nContent-length:(?>(?{post_seen==1}[^\n]{1024})
Grupos de Coincidencia en Paralelo

StoneGate le permite establecer diferentes expresiones regulares para que coincidan en
grupos paralelos dentro de un Contexto de Situaci. Normalmente, las definiciones de grupos
de situacin manuales no son necesarias y StoneGate automticamente compila todas sus
Situaciones personalizadas en el mismo grupo (grupo 0).
La definicin manual de grupos se necesita si la carga de poltica de IPS falla debido a

problemas en la compilacin de huellas digitales /DFA que pueden ocurrir con expresiones
regulares complejas.
Para usar grupos, aada un nuevo tag de preprocesado al principio de la expresin regular:
Tabla 223: Tag de Preprocesado para Establecer un Grupo de Coincidencia
Sintaxis Descripcin
#!!GROUP(X)
Comment 'X' es el nmero de grupo de 0 a 7. El comentario es opcional, Si no
#!!# especifica el grupo con este tag, la Situacin se procesa en el grupo cero.
Ilustracin 319: Establecer un Grupo de Coincidencia Paralelo
#!!GROUP(1)
This heavy regular expression is matched in parallel matching group 1.
#!!#
#Insert regular expression below
Apndices - Traps y MIBs SNMP 961
APNDICE E
TRAPS Y MIBS SNMP
Los dispositivos StoneGate Cortafuegos/VPN e IPS pueden enviar traps SNMP ante
eventos del sistema. Los traps se configuran usando elementos Agente SNMP.
Adicionalmente, las entradas de Comprobador pueden configurarse para mandar traps
SNMP. Los traps SNMP se listan en la siguiente tabla.
Tabla 224: Traps SNMP para StoneGate Cortafuegos/VPN e IPS
Objetos
Nombre de Trap Descripcin
Incluidos
(Slo Cortafuegos) Se instal la poltica en el
fwPolicyInstall fwSecurityPolicy
dispositivo cortafuegos.
ipsPolicyInstall ipsSecurityPolicy (Slo IPS) Se instal la poltica en el dispositivo IPS.
nodeBoot - Arranque del nodo completado.
El sistema de monitorizacin del hardware ha
nodeHwmon nodeHwmonEvent
encontrado problemas.
nodeOffline nodeOperState El nodo cambi a estado offline o standby.
nodeOnline nodeOperState El nodo cambi a estado online.
nodeShutdown - El nodo se est apagando.
El subsistema de pruebas inform de un fallo en una
nodeTestFailure nodeTestIdentity
prueba en el nodo.
(Slo Cortafuegos) Conexin fallida en la consola del
nodeFailedUserLogin nodeLastLogin
dispositivo cortafuegos o mediante SSH.
Conexin iniciada en la consola del dispositivo o
nodeUserLogin nodeLastLogin
mediante SSH.
(Slo Cortafuegos) Desconexin en la consola del
nodeUserLogout nodeLastLogin
dispositivo cortafuegos o mediante SSH.
La MIB STONESOFT-SMI-MIB define los registros enterprise de ms alto nivel para los
productos Stonesoft en la rama.iso.org.dod.internet.private.enterprises.stonesoft branch
(OID .1.3.6.1.4.1.1369). Las MIBs especficas de StoneGate:
STONESOFT-FIREWALL-MIB (Tabla E.2)
STONESOFT-IPS-MIB (Tabla E.3)
STONESOFT-NETNODE-MIB (Tabla E.4).
Los ficheros MIB de StoneGate Cortafuegos/VPN pueden descargarse desde el sistio Web
de Stonesoft en http://www.stonesoft.com/.
El Cortafuegos/VPN StoneGate tambin soporta objetos en los siguientes MIBs estndar:
IF-MIB (RFC 2863 y RFC 2233) (Tabla E.5)
IP-MIB (RFC 2011) (Tabla E.6)
SNMP-USER-BASED-SM-MIB (RFC 3414) (Tabla E.7).
SNMPv2 MIB (RFC 3418) (Tabla E.8)
Tabla 225: E.2 Objetos de STONESOFT-FIREWALL-MIB
Nombre de Objeto Descripcin del Objeto en la MIB

fwPolicyTime La hora en que se instal la poltica de seguridad en el cortafuegos
fwSecurityPolicy Nombre de la actual poltica de seguridad en el cortafuegos
fwSoftwareVersion Cadena de Versin del software de cortafuegos
Tabla 226: E.3 Objetos de STONESOFT-IPS-MIB

ipsPolicyTime La hora en que se instal la poltica de seguridad en el IPS
ipsSecurityPolicy Nombre de la actual poltica de seguridad en el IPS
ipsSoftwareVersion Cadena de Versin del software de IPS
Tabla 227: E.4 Objetos de STONESOFT-NETNODE-MIB

nodeClusterId Nmero de identificacin del clster al que pertenece el nodo
nodeCPULoad Porcentaje de carga de la CPU en el nodo
nodeHwmonEvent Razn para el evento de monitorizacin del hardware
nodeLastLogin Evento de conexin ms reciente en el nodo
nodeLastLoginTime Marca de tiempo del evento de conexin ms reciente en el nodo
nodeMemberId Identificacin de miembro del nodo en el clster
nodeOperState Estado operativo (clster) del nodo
nodeTestIdentity Cadena de Identificacin de un nodeTest
Tabla 228: E.4 Objetos de STONESOFT-NETNODE-MIB (Continuacin

nodeTestResult El ms reciente resultados del nodeTest
nodeTestResultTime La marca de tiempo del ms reciente resultado de nodeTest
Tabla 229: E.5 Objetos Soportados IF-MIB

El estado deseado del interfaz. El estafo testing(3) indica que no puede pasar ningn
paquete operacional. Cuando se inicializa un sistema gestionado, todos los interfaces
arrancan con ifAdminStatus en estado down(2). Como resultado de una accin de
ifAdminStatus
gestin explcita o informacin por configuracin retenida por el sistema gestionado,
ifAdminStatus cambia entonces a uno de los estados up(1) o testing(3) (o permanece
en el estado down(2)).
Este objeto es una nombre alias para el interfaz segn especificado por un gestor de
red, y proporciona un manejador no voltil para el interfaz. En la primera
instanciacin de un interfaz, el valor de ifAlias asociado con ese interfaz es la cadena
de longitud cero. Cuando se escribe un valor en una instancia de ifAlias mediante una
operacin set de gestin de red, el agente debe retener el valor suministrado en la
instancia de ifAlias asociada con el mismo interfaz durante tanto tiempo como el
interfaz permanezca instanciado, incluyendo a travs de reinicializaciones del sistema
ifAlias de gestin de red, y aquellos que resulten en un cambio del valor de ifIndex del
interfaz. Un ejemplo del valor que un gestor de red podra almacenar en este objeto
para un interfaz WAN es el nmero de circuito (del operador)/identificador del interfaz.
Algunos agentes pueden soportar acceso de escritura slo para interfaces que tienen
valores particulares de ifType. Se requiere un agente que soporte acceso de escritura
a este objeto para mantener el valor en almacenamiento no voltil, pero puede limitar
la longitud de nuevos valores dependiendo de cunto almacenamiento est ya
ocupado por los valores actuales de los dems interfaces.
Una cadena de texto conteniendo informacin sobre el interfaz. Esta cadena incluye el
ifDescr nombre del fabricante, el nombre del producto y la versin del hardware/software del
interfaz.
El nmero (de 64 bits) de paquetes entregados por eset sub-nivel a otro (sub-)nivel
superior, que fueron dirigidos a una direccin multicast a este sub-nivel. Para un
protocolo de nivel de MAC, esto incluye direcciones tanto de Grupo como
Funcionales. Este objeto es una versin de 64 bits de ifInMulticastPkts.
ifHCInMulticastPkts Discontinuidades en el valor de este contador pueden ocurrir en la reinicializacin del
sistema de gestin, y en otros momentos segn indica el valor de
ifCounterDiscontinuityTime.
El valor de 32 bits ifInMulticastPkts devuelve los 32 bits ms bajos de este valor de
contador.
El nmero (de 64 bits) total de octetos recibidos en el interfaz, incluyendo los
caracteres de framing. Este objeto es la versin de 64 bits de ifInOctets.
Discontinuidades en el valor de este contador pueden ocurrir en la reinicializacin del
ifHCInOctets
El valor de 32-bit ifInOctets devuelve los 32-bits ms bajos de este valor de contador.
Tabla 230: E.5 Objetos Soportados IF-MIB (Continuacin)
Nombre del Objeto Descripcin del Objeto en la MIB

El nmero (de 64 bits) de paquetes entregados por este sub-nivel a un (sub-)nivel
superior que no fueron dirigidos a una direccin multicast o broadcast de este sub-
nivel. Este objeto es la versin de 64 bits de ifInUcastPkts. Las discontinuidades
ifHCInUcastPkts Discontinuidades en el valor de este contador pueden ocurrir en la reinicializacin del
El valor de 32 bits ifInUcastPkts devuelve los 32 bits bajos de este valor de contador.
El nmero (de 64 bits) total de octetos enviados desde el interfaz, incluyendo los
caracteres de framing. Este objeto es la versin de 64 bits de ifOutOctets.
ifHCOutOctets
El valor de 32 bits ifOutOctets devuelve los 32 bits bajos de este valor de contador.
El nmero (de 64 bits) total de paquetes que protocolos de niveles superiores han
solicitado transmitir, y que no fueron dirigidos a una direccin multicast o boradcasr de
este sub-nivel, incluyendo aquellos que fueron descartados o no enviados. Este objeto
ifHCOutUcastPkts es una versin de 64 bits de ifOutUcastPkts. Discontinuidades en el valor de este
contador pueden ocurrir en la reinicializacin del sistema de gestin, y en otros
momentos segn indica el valor de ifCounterDiscontinuityTime.
El valor de 32 bits ifOutUcastPkts devuelve los 32 bits bajos de este valor de contador.
Una estimacin del ancho de banda actual del interfaz en unidades de 1,000,000 bits
por segundo.
Si este objeto devuelve un valor de n entonces la velocidad del interfaz est en el
ifHighSpeed rango de n-500,000 a n+499,999. Para interfaces que no varan en ancho de banda
o para aquellos que no se puede hacer una estimacin ajustada, este objeto contiene l
ancho de banda nominal. Para un sub-nivel que no tiene el concepto de ancho de
banda, este objeto debe ser cero.
Un valor nico, mayor que cero, para cada interfaz. Se recomienda que los valores se
asignen contiguamente empezando en 1. El valor para cada sub-nivel de interfaz depe
ifIndex
permanecer constante al menos desde una reinicializacin del sistema de gestin de
red de la entidad hasta la siguiente reinicializacin.
El nmero de paquetes de entrada que se eligi descartar aunque no se haban
detectado errores para evitar que fueran entregables a un protocolo de nivel superior.
Una posible razn para descartar tales paquetes podra ser liberar espacio de buffer.
ifInDiscards
Para interfaces orientados a paquetes, el nmero de paquetes de entrada que
contenan errores que impedan entregarlos a un protocolo de nivel superior. Para
interfaces orientados a carcter o de longitud fija, el nmero de unidades de
transmisin de entrada que contenan errores que impedan entregarlos a un protocolo
ifInErrors
de nivel superior.

El nmero (de 32 bits) de paquetes entregados por este sub-nivel a un (sub-)nivel
superior que fueron dirigidos a una direccin multicast a este sub-nivel. Para un
protocolo de nivel de MAC, esto incluye las dircciones de Grupo y Funcional.
ifInMulticastPkts
Este objeto devuelve los 32 bits bajos del valor de contador de 64 bits
ifHCInMulticastPkts.
El nmero (de 32bits) total de octetos recibidos en el interfaz, incluyendo caracteres
de framing. Discontinuidades en el valor de este contador pueden ocurrir en la
ifInOctets reinicializacin del sistema de gestin, y en otros momentos segn indica el valor de
Este objeto devuelve los 32 bits bajos del valor de contador de 64 bits ifHCInOctets.
El nmero (de 32 bits) total de paquetes entregados por este sub-nivel a un (sub-)
nivel superior que no estaban dirigidos a una direccin multicast o broadcast a este
sub-nivel. Discontinuidades en el valor de este contador pueden ocurrir en la
ifInUcastPkts reinicializacin del sistema de gestin, y en otros momentos segn indica el valor de
ifHCInUcastPkts.
El valor de sysUpTime en el momento en que el interfaz entr en su estado
operacional actual. Si se entro en el estado actual antes de la ltima reinicializacin
ifLastChange
del subsistema de gestin de la red local, entonces este objeto contiene un valor
cero.
Indica si se generan traps linkUp/linkDown parta este interfaz. Por defecto este
objeto debe tener el valor enabled(1 - Activado) para interfaces que no operan
ifLinkUpDownTrapEnable
encima de ningn otro interfaz (segn se define en ifStackTable), y disabled(2 -
Desactivado) en otro caso.
El tamao del paquete ms largo que puede enviarse/Recibirse en el interfaz,
especificado en octetos. Para interfaces que se usan para transmitir datagramas de
ifMtu
red, este es el tamao del mayor datagrama de red que puede enviarse por el
interfaz.
El nombre textual del interfaz. El valor de este objeto debe ser elk nombre del
interfaz segn est asignado por el dispositivo local y debe ser adecuado para su
uso en comandos introducidos en la consola del dispositivo. Este podra ser un
nombre de texto, tal como le0 o un simple nmero de puerto, tal como 1,
dependiendo en la sintaxis de nombres de interfaces del dispositivo. Si varias
entradas en la tabla ifTable juntas representan un nico interfaz segn lo nombra el
ifName
dispositivo, entonces cada una tendr el mismo valor de ifName. Tenga en cuenta
que para un agente que responda a consultas SNMP concernientes a un interfaz en
otro dispositivo (en modo proxy) entonce el valor de ifName para tal interfaz ser el
nombre local del dispositivo proxificado para l.
Si no hay nombre local, o este objeto es de algn modo no aplicable, este objeto
contendr una cadena de longitud cero.
El nmero de interfaces de red (independientemente de su estado actual) presentes
ifNumber
en este sistema.

Estado operacional actual del interfaz. El estado testing(3) indica que no pueden pasar
paquetes operacionales. Si ifAdminStatus es down(2) entonces ifOperStatus es
down(2). Si ifAdminStatus se cambia a up(1) entonces ifOperStatus cambia a up(1) si
el nterfaz est preparado para transmitir y recibir trfico de red; cambia a dormant(5) si
ifOperStatus
el interfaz est esperando acciones externas (como p.ej. una lnea serie esperando
una conexin entrante);permanece en estado down(2) si y slo si hay un fallo que le
impide levantarse al estado up(1); permanece en estado notPresent(6) si el interfaz
tiene componentes no existentes (tpicamente hardware).
El nmero de paquetes de salida que se eligi descartar aunque no se haban
detectado errores para evitar que fueran transmitidos. Una posible razn para
ifOutDiscards descartar tales paquetes podra ser liberar espacio de buffer. Discontinuidades en el
valor de este contador pueden ocurrir en la reinicializacin del sistema de gestin, y en
otros momentos segn indica el valor de ifCounterDiscontinuityTime.
Para interfaces orientados a paquete, el nmero de paquetes de salida que no
pudieron trnsmitirse a causa de errores. Para interfaces orientados a carcter o de
longitud fija, el nmero de unidades de transmisin de salida que no pudieron
ifOutErrors
transmitirse a causa de errores. Discontinuidades en el valor de este contador pueden
ocurrir en la reinicializacin del sistema de gestin, y en otros momentos segn indica
el valor de ifCounterDiscontinuityTime.
El nmero (de 32 bits) total de octetos transmitidos hacia afuera del interfaz,
incluyendo caracteres de framing. Discontinuidades en el valor de este contador
ifOutOctets pueden ocurrir en la reinicializacin del sistema de gestin, y en otros momentos
segn indica el valor de ifCounterDiscontinuityTime.
Este objeto devuelve los 32 bits bajos del valor de contador de 64 bits ifHCOutOctets.
El nmero (de 32 bits) total de paquetes que protocolos de niveles superiores han
solicitado que se transmitieran, y que ni estaban dirigidos a una direccin multicast o
broadcast de esta red a este sub-nivel, incluyendo los que fueron descartados o no
enviados. Discontinuidades en el valor de este contador pueden ocurrir en la
ifOutUcastPkts
reinicializacin del sistema de gestin, y en otros momentos segn indica el valor de
ifHCOutUcastPkts.
Direccin del interfaz a su sub-nivel de protocolo. Por ejemplo, para un interfaz 802.x,
Este objeto normalmente contiene una direccin MAC. La MIB especfica del medio del
ifPhysAddress interfaz debe definir el orden de bits y bytes y el formato del valor de este objeto. Para
interfaces que no tienen tal direccin (p.ej. una lnea serie), este objeto debe contener
una cadena de cotetos de longitud cero.
Este objeto tienen un valor de false(2) si este interfaz slo acepta paquetes/tramas
dirigidas a esta mquina. Este objeto tienen un valor de true(1) cuando la mquina
acepta todos los paquetes/tramas trnsmitidos por el medio. El valor true(1) slo es
ifPromiscuousMode legal en ciertos tipos de medio. Si es legal, establecer el objeto a un valor de true(1)
puede requerir reiniciar el interfaz antes de que sea efectivo. El valor de
ifPromiscuousMode no afecta la recepcin de paquetes/tramas de boradcast o
multicast por el interfaz.

Una estimacin del ancho de banda actual del interfaz en bits por segundo. Para
interfaces que no varan en ancho de banda o para los cuales no se puede hacer una
estimacin ajustada, este objeto debe contener el ancho de banda nominal. Si el
ifSpeed ancho de banda del interfaz es mayor que el mximo valor reportable por este objeto,
entonces el objeto debe devolver su mximo valor (4,294,967,295) e ifHighSpeed debe
usarse para reportar la velocidad del interfaz. Para un sub-nivel que no tenga el
concepto de ancho de banda, este objeto debe ser cero.
El tipo de interfaz. Valores adicionales de ifType son asignados por la Internet
ifType Assigned Numbers Authority (IANA), mediante la actualizacin de la sintaxis de la
convencin textual IANAifType.
Tabla 234: E.6 Objetos Soportados IP-MIB

icmpInAddrMaskReps Nmero de mensajes ICMP Address Mask Reply recibidos.
icmpInAddrMasks Nmero de mensajes ICMP Address Mask Request recibidos.
icmpInDestUnreachs Nmero de mensajes ICMP Destination Unreachable recibidos.
icmpInEchoReps Nmero de mensajes ICMP Echo Reply recibidos.
icmpInEchos Nmero de mensajes ICMP Echo (request) recibidos.
Nmero de mensajes ICMP que la entidad recibi pero determin que contenan
icmpInErrors
errores especficos de ICMP (checksums ICMP errneos, longitud errnea, etc.).
Nmero total de mensajes ICMP recibidos por la entidad. Tenga en cuenta que este
icmpInMsgs
contador incluye todos los contados por icmpInErrors.
icmpInParmProbs Nmero de mensajes ICMP Parameter Problem recibidos.
icmpInRedirects Nmero de mensajes ICMP Redirect recibidos.
icmpInSrcQuenchs Nmero de mensajes ICMP Source Quench recibidos.
icmpInTimeExcds Nmero de mensajes ICMP Time Exceeded recibidos.
icmpInTimestampReps Nmero de mensajes ICMP Timestamp Reply recibidos.
icmpInTimestamps Nmero de mensajes ICMP Timestamp (request) recibidos.
icmpOutAddrMaskReps Nmero de mensajes ICMP Address Mask Reply enviados.
icmpOutAddrMasks Nmero de mensajes ICMP Address Mask Request enviados.
icmpOutDestUnreachs Nmero de mensajes ICMP Destination Unreachable enviados.
icmpOutEchoReps Nmero de mensajes ICMP Echo Reply enviados.
icmpOutEchos Nmero de mensajes ICMP Echo (request) enviados.
Tabla 235: E.6 Objetos Soportados IP-MIB (Continuacin)

El nmero de mensajes ICMP que esta entidad no envi debido a problemas
descubiertos dentro de ICMP tales como falta de buffers. Este valor no debe incluir
icmpOutErrors errores descubiertos fuera del nivel ICMP tales como la incapacidad de IP de
enrutar el datagrama resultante. En algunas implementaciones puede no haber tipos
de error que contribuyan al valor de este contador.
Nmero total del mensajes ICMP que esta enitdad intetn enviar. Tenga en cuenta
icmpOutMsgs
que este contador incluye todos aquellos contados por icmpOutErrors.
icmpOutParmProbs Nmero de mensajes ICMP Parameter Problem enviados.
Nmero de mensajes ICMP Redirect enviados. Para un host, este objeto siempre
icmpOutRedirects
ser cero, puesto que un host no enva redirecciones.
icmpOutSrcQuenchs Nmero de mensajes ICMP Source Quench enviados.
icmpOutTimeExcds Nmero de mensajes ICMP Time Exceeded enviados.
icmpOutTimestampReps Nmero de mensajes ICMP Timestamp Reply enviados.
icmpOutTimestamps Nmero de mensajes ICMP Timestamp (request) Enviados.
ipAdEntAddr Direccin IP a la cual pertenece la informacin de direccionamiento de esta entrada.
El valor del bit menos significativo en la direccin IP de broadcast usada para enviar
datagramas en el interfaz (lgico) asociado con la direccin IP de esta entrada. Por
ipAdEntBcastAddr ejemplo, cuando se usa la direccin de broadcast estndar de Internet todo unos, el
valor ser 1. El valor aplica tanto a las direcciones de broadcast de subred como de
red usadas por la entidad en este interfaz (lgico).
El valor de ndice que identifica unvocamente al interfaz al que es aplicable esta
ipAdEntIfIndex entrada. El interfaz identificado por un valor particular de este ndice es el mismo
interfaz identificado por el mismo valor de ifIndex de la RFC 1573.
La mscara de subred asociada con la direccin IP de esta entrada. El valor de la
ipAdEntNetMask mscara es una direccin IP cpn todos los bits de red a 1 y todos los bits de host a
0.
El tamao del datagrama IP ms grande qie esta entidad puede re-ensamblar desde
ipAdEntReasmMaxSize
datahramas IP fragmentados recibidos en este interfaz.
El valor por defecto insertado en el campo Time-To-Live (Tiempo de Vida) de la
ipDefaultTTL cabecera IP de los datagramas originados en esta entidad, siempre que el valor de
TTL no est proporcionado por el protocolo de nivel de transporte.
La indicacin de si esta entidad est funcionando como enrutador IP respecto a
reenviar datagramas recibidos por, pero no dirigidos a esta entidad. Los routers IP
ipForwarding
reenvan datagramas. Los hosts IP no (excepto aquellos enrutados de origen a
travs del host).
El nmero de datagramas de entrada para los cuales esta entidad no era su destino
IP final, como resultado de lo cual se hizo un intento de encontrar una ruta para
ipForwDatagrams reenviarlos a su destino final. En entidades que no actan como enrutadores IP,
este contador incluir slo aquellos paquetes que fueron enrutados de origen a
travs de esta entidad, y el procesado de la opcin Source-Route option fue exitoso.

El nmero de fragmentos de datagrama IP que han sido generados como resultado
ipFragCreates
de la fragmentacin en esta entidad.
El nmero de datagramas IP que han sido descartados a causa de que necesitaban
ipFragFails ser fragmentados en esta entidad pero no pudo hacerse, p.ej., porque su flag de
Don't Fragment (No Fragmentar) estaba establecida.
El nmero de datagramas IP que han sido fragmentados exitosamente en esta
ipFragOKs
entidad.
El nmero de datagramas de entrada descartados porque la direccin IP en el
campo destino de su cabecera IP no era una direccin vlida paraa recibirse en esta
entidad. Esta cuenta incluye direcciones no vlidas (p.ej., 0.0.0.0) y direcciones de
ipInAddrErrors
Clases no soportadas (.p.ej. Clase E). Para entidades que no son routers IP y por
tanto no reenvan datagramas, este contador incluye los datagramas descartados a
causa de que su direccin de destino no era un direccin local.
El nmero total de datagramas de entrada entregados exitosamente a protocolos de
ipInDelivers
usuario IP (incluyendo ICMP).
El nmero de datagramas de entrada IP para los cuales no se encontraron
problemas que evitaran la continuacin del proceso, pero que fueron descartados
ipInDiscards
(p.ej., por falta de espacio en buffer). Tenga en cuenta que este contador no incluye
datagramas descartados mientras esperaban el reensamblaje.
El nmero de datagramas de entrada descartados debido a errores en sus
cabeceras IP, incluyendo checksums errneos, errores en el nmero de versin,
ipInHdrErrors
otros errores de formato, tiempo de vida excedido, errores encontrados al procesar
sus opciones IP, etc.
El nmero total de datagramas de entrada recibidos desde los interfaces, incluyendo
ipInReceives
aquellos que se reciben en error.
El nmero de datagramas dirigidos localmente recibidos con xito pero descartados
ipInUnknownProtos
a causa de un protocolo desconocido o no soportado.
El interfaz en el cual la equivalencia de esta entrada es efectiva. El interfaz
ipNetToMediaIfIndex identificado por un valor particular valor de este ndice es el mismo interfaz
identificado por el mismo valor de ifIndex de la RFC 1573.
ipNetToMediaNetAddress La IpAddress correspondiente a la direccin fsica dependiente del medio.
ipNetToMediaPhysAddress La direccin fsica dependiente del medio.
El tipo de mapeo. Estableceer este objeto al valro invalid(2) tiene el efecto de
invalidar la entrada correspondiente en a tabla ipNetToMediaTable. Es decir,
desasocia efectivamente el interfaz identificado por dicha entrada del mapeo
identificado por dicha entrada. Es una cuestin dependiente de la implementacin si
ipNetToMediaType el agente elimina una entrada invlida de la tabla. De acuerdo con esto, las
estaciones de gestin deben estar preparadas para recibir informacin tabular de los
agentes que corresponde a entradas no actualmente en uso. La correcta
interpretacin de tales entradas requiere el examen del objeto ipNetToMediaType
relevante.

El nmero de datagramas IP de salida para los cuales no se encontr ningn
problema que impidiera la transmisin a su destino, pero que fueron descartados
ipOutDiscards (p.ej. por falta de espacio en buffer). Tenga en cuenta que este contador incluira los
datagramas contados en ipForwDatagrams si cualquiera de tales paquetes
cumplieran con este criterio de descarte (discrecional).
El nmero de datagramas IP descartados porque no se pudo encontrar una ruta
para transmitirlos a su destino. Tenga en cuenta que este contador incluye cualquier
ipOutNoRoutes paquete contado en ipForwDatagrams que cumple el criterio de sin ruta. Tenga en
cuenta que esto incluye cualquier datagrama que un host no pueda enrutar porque
todas sus pasarelas por defecto estn caidas.
El nmero total de datagramas IP que los protocolos de usuario IP locales
(incluyendo ICMP) han proporcionado a IP en solicitudes de transmisin. Tenga en
ipOutRequests
cuenta que este contador no incluye ningn datagrama contado en
ipForwDatagrams.
El nmero total de fallos detectados por el algoritmo de reensamblaje IP (por
cualqueir razn: tiempos de espera agotados, errores, etc.). Tenga en cuenta que
ipReasmFails no es necesariamente una cuenta de fragmentos IP descartados puesto que
algunos algoritmos (notablemente el algoritmo descrito en la RFC 815) pueden
perder la pista del nmero de fragmentos combinndolos cuando se reciben.
ipReasmOKs El nmero de datagramas IP reensamblados con xito.
El nmero de fragmentos IP recibidos que necesitaron ser reensamblados en esta
ipReasmReqds
entidad.
El nmero mximo de segundos que se conservan los fragmentos recibidos
ipReasmTimeout
mientras estn esperando el reensamblaje en esta entidad.
Tabla 238: E.7 Objetos SNMP-USER-BASED-SM-MIB

El nmero total de paquetes recibidos por el motor SNMP descartados por no
usmStatsDecryptionErrors
poder ser descifrados.
El nmero total de paquetes recibidos por el motor SNMP descartados porque
usmStatsNotInTimeWindows
aparecan fuera de la ventana autoritativa del motor SNMP.
usmStatsUnknownEngineIDs
hacan referencia a un snmpEngineID desconocido para el motor SNMP.
usmStatsUnknownUserNames
hacan referencia a un usuario desconocido para el motor SNMP.
usmStatsUnsupportedSecLevels solicitaron un nivel de seguridad desconocido para el motor SNMP o no
disponible por alguna otra razn.
usmStatsWrongDigests
no contenan el valor de digest esperado.
Un bloqueo consultivo usado para permitir que varias Aplicaciones
usmUserSpinLock Generadoras de Comandos cooperativas se coordinen su uso de facilidades
para alterar secretos en la tabla usmUserTable.
Tabla 239: E.7 Objetos SNMP-USER-BASED-SM-MIB (Continuacin)

El estado de esta fila conceptual. Hasta que estn configuradas instancias de
todas las columnas correspondientes, el valor de la instancia correspondiente
de la columna usmUserStatus es 'notReady'. En particular, una fila recin
creada para un usuario que use autenticacin, no puede estar activa hasta que
los correspondientes usmUserCloneFrom y usmUserAuthKeyChange han sido
establecidos. Es ms, una fila recin creada que tambin emplee privacidad, no
usmUserStatus puede activarse hasta que se haya configurado usmUserPrivKeyChange. El
RowStatus TC [RFC2579] requiereque esta clusula de DESCRIPCIN
especifique bajo qu circunstancias otros objetos de esta fila pueden ser
modificados. El valor de este objeto no tiene efecto sobre si otros objetos en
esta fila conceptual pueden ser modificados, excepto para
usmUserOwnAuthKeyChange y usmUserOwnPrivKeyChange. Para estos dos
objetos, el valor de usmUserStatus DEBE ser activo.
Tabla 240: E.8 Objetos Soportados SNMPv2-MIB

Indica si la entidad SNMP tiene permitido generar traps authenticationFailure. El
valor de este objeto se superpone a cualquier informacin de configuracin; por
ello, proporciona un medio por el cual se pueden desactivar todos los traps de
snmpEnableAuthenTraps
authenticationFailure. Tenga en cuenta que se recomienda fuertemente que este
objeto se almacene en memoria no voltil de forma que se mantenga a travs de
reinicializaciones del sistema de gestin de red.
El nmero total de errores ASN.1 o BER encontrados por la entidad SNMP al
snmpInASNParseErrs
decodificar los mensajes SNMP recibidos.
El nmero total de mensajes SNMP entregados a la entidad SNMP que usaron
snmpInBadCommunityNames
un nombre de comunidad no conocido a dicha entidad.
El nmero total de mensajes SNMP entregados a la entidad SNMP que
snmpInBadCommunityUses representaban una operacin SNMP no permitida por la comunidad SNMP
nombrada en el mensaje.
El nmero total de mensajes SNMP entregados a la entidad SNMP que eran de
snmpInBadVersions
una versin de SNMP no soportada.
El nmero total de mensajes entregados a la entidad SNMP desde el servicio de
snmpInPkts
transporte.
El nmero total de getRequest-PDUs, GetNextRequest-PDUs, GetBulkRequest-
PDUs, SetRequest-PDUs, e InformRequest-PDUs entregados a la entidad SNMP
snmpProxyDrops que fueron descartados silenciosamente porque la transmisin del (posiblemente
traducido) mensaje a un destino proxy fall de algn modo (diferente a un tiempo
de espera agotado) tal que no se pudo devolver un Response-PDU.
Un bloqueo consultivo usado para pemitir a varias entidades cooperativas
SNMPv2, todas actuando con rol de gestor, coordinar su uso de la operacin set
snmpSetSerialNo de SNMPv2. Este objeto se usa para integracin de grano grueso. Para
conseguir una coordinacin de grano fino, se podran definir uno o ms objetos
similares dentro de cada grupo MIB, segn fuera apropiado.
Tabla 241: E.8 Objetos Soportados SNMPv2-MIB (Continuacin)

El nmero total de GetRequest-PDUs, GetNextRequest-PDUs, GetBulkRequest-
PDUs, SetRequest-PDUs, e InformRequest-PDUs entregados a esta entidad
SNMP que fueron descartados silenciosamente a causa de que el tamao de una
snmpSilentDrops
respuesta conteniendo un Response-PDU alternativo con un campo de
asociaciones variables vaco fue mayor que una restriccin local o el tamao
mximo de mensaje asociado al originador de la peticin.
La identificacin textual de la persona de contacto para este nodo gestionado,
sysContact junto con informacin sobre cmo contactar con esta persona. Si no se conoce
informacin de contacto, el vallor es una cadena de longitud cero.
Una descricpcin textual de la entidad. Este valor debe incluir el nombre
sysDescr completo e identificacin de versin del tipo de hardware del sistema, sistema
operativo software y software de red.
La localizacin fsica de este nodo (p.ej. cabina de telfonos, 3er piso). Si la
sysLocation
localizacin es desconocida, el valor es la cadena de longitud cero.
Un nombre asignado administrativamente para este nodo gestionado. Por
sysName convencin, ste es el nombre de dominio totalmente cualificado (FQDN). Si el
nombre es desconocido, el valor es la cadena de longitud cero.
La identificacin autoritativa del vendedor del subsistema de gestin de red
contenido en la entidad. Este valor est asignado dentro del subrbol enterprises
SMI (1.3.6.1.4.1) y proporciona un medio fcil y no ambiguo de determinar qu
sysObjectID
clase de caja est siendo gestionada. Por ejemplo, si al vendedor Picapiedras,
S.A. le fue asignado el subrbol 1.3.6.1.4.1.4242, podra asignar el identificador
1.3.6.1.4.1.4242.1.1 a su Router de Pedro.
Un valor que indica el conjunto de servicios que esta entidad ofrece
potenticalmente. El valor es una suma. La suma inicialmente toma el valor cero.
Luego, por cada nivel, L, en el rango 1 a 7, para el cual este nodo ejecute
transacciones, 2 elevado a (L-1) se aade a la suma. Por ejemplo, un nodo que
slo ejecuta funciones de enrutamiento tendra el valor de 4 (2^(3-1)). En
contraste, un nodo que es un host ofreciendo servicios de aplicacin tendra un
sysServices
valor de 72 (2^(4-1) + 2^(7-1)). Note que en el contexto de la suite de protocolos
de Internet, los valores deben ser calculados en consecuencia:
funcionalidad de nivel 1 fsica (p.ej., repetidores) 2 enlace/subred (p.ej,bridges) 3
Internet (p.ej., soporta IP) 4 punto-a-punto (p.ej., soporta TCP) 7
aplicaciones (p.ej., soporta SMTP). Para sistemas incluyendo protocolos OSI, las
capas 5 y 6 tambin pueden contarse.
El tiempo (en centsimas de segundo) desde que la parte de gestin de red del
sysUpTime
sistema fue reinicializada.
Apndices - Actualizaciones de Esquema para Servidores LDAP Externos 973
APNDICE F
ACTUALIZACIONES DE ESQUEMA PARA

SERVIDORES LDAP EXTERNOS
Esta seccin lista las clases y atributos de LDAP especficos de StoneGate que aade
al esquema de servidores LDAP externos.
Los nombres de atributos y de clases especficos de StoneGate empiezan por sg. Las
clases se listan en la siguiente tabla.
Tabla 242: F1. Clases LDAP Especficas de StoneGate
Clase Descripcin
sggroup Grupo de Usuarios StoneGate
sguser StoneGate user account
Los atributos especficos de StoneGate se listan en la siguiente tabla.
Tabla 243: F.2 Atributos LDAP Especficos de StoneGate
Atributo Clases Relacionadas Descripcin

sgactivation sguser Fecha de activacin para la cuenta de usuario.
sgauth sggroup, sguser Servicio de autenticacin para el usuario o grupo.
Nmero de das que la cuenta de usuario es vlida tras

sgdelay sggroup, sguser
la activacin.
ltimo da que la cuenta es vlida y el usuario puede

sgexpiration sguser
conectarse.
sggrouptype sggroup Indica el tipo de grupo: un subrbol o grupo discreto.
El Distinguished Name (DN) para el usuario miembro

sgmember sggroup
de este grupo.
Tabla 244: F.2 Atributos LDAP Especficos de StoneGate (Continuacin)
Atributo Clases Relacionadas Descripcin

MD5 message digest hash de la contrasea del
sgpassword sguser
usuario.
Clave PreCompartida IPsec PreSharedKey para la
sgpresharedkey sguser
cuenta del usuarios.
SubjectAltNames del certificado IPsec para la cuenta
sgsubjectaltnames sguser
del usuario.
sgvirtualip sggroup, sguser Asignacin de IP Virtual permitida para el usuario.
Ejemplos de actualizaciones de esquema se proporcionan en el directorio <directorio de

instalacin>/samples/LDAPSamples/LDAP/ del Management Server:
SG_AD.ldif es una actualizacin de esquema ejemplo para el Directorio Activo de
Windows Server 2003 y 2008. Para consideraciones adicionales e instrucciones sobre
extender el esquema, consulte la documentacin de Microsoft:
Para Windows 2003, vea http://technet.microsoft.com/en-us/library/
cc759633%28WS.10%29.aspx.
Para Windows 2008, vea http://technet.microsoft.com/en-us/library/
cc771796%28WS.10%29.aspx.
SG-v3.schema es un ejemplo de actualizacin de esquema en formato LDAPv3 (RFC
2252) usado por OpenLDAP v.2.0.x y posteriores, por ejemplo.
SG-schema.conf es un ejemplo de actualizacin de esquema en formato slapd.conf,
usado por Netscape Directory server y OpenLDAP versin 1.2.11, por ejemplo.
Adems de actualizar el esquema de directorio, puede haber otros requisitos especficos del
servidor. Para servidores Netscape y OpenLDAP versin 1.2.11, debe configurar las
siguientes lneas en el fichero de configuracin slapd.conf del servidor LDAP tras parar el
servicio LDAP:
Tabla 245: Configuracin Adicional para OpenLDAP v1.2.11 y Netscape Server
include /etc/openldap/slapd.at.conf
include /etc/openldap/slapd.oc.conf
include /etc/openldap/sg-schema.conf
schemacheck on
Para el servidor OpenLDAP versiones 2.0 y posteriores, debe configurar las siguientes lneas
en el fichero de configuracin slapd.conf del servidor LDAP tras parar el servicio:
Tabla 246: Configuracin Adicional para OpenLDAP versin 2.0 o posterior
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/sg-v3.schema
Apndices - Campos de Log 975
APNDICE G
CAMPOS DE LOG
Campos de Entradas de Log (pag. 976)

Valores del Campo Facility (pag. 997)
Valores del Campo Type (Tipo) (pag. 999)
Valores del Campo Accin (pag. 1000)
Valores del Campo Evento (pag. 1000)
Mensajes de Log IPsec VPN (pag. 1005)
Tipos de Entradas de Auditora (pag. 1010)
Entradas de Syslog (pag. 1014)
Campos de Log Controlados por la Opcin de Payload Adicional (pag. 1015)
Estados de Conexin (pag. 1016)
Campos de Entradas de Log

Las siguientes tablas lisatan los campos de la tabla de entradas de log y los
correspondientes campos XML exportados a syslog para campos de entrada de logs
exportables. Los derechos del administrador que ve los logs y los tipos de log que el
administrador ha seleccionado para visualizar determinan qu campos se muestran.
Campos de Entrada de Logs No-exportables (pag. 976).
Campos de Entrada de Logs de Alerta Exportables (pag. 980).
Campos de Entrada de Logs de Traza de Alerta Exportables (pag. 980).
Campos de Entrada de Logs de Auditora Exportables (page 981).
Campos de Entrada de Logs de Cortafuegos Exportables (page 982).
Campos de Entrada de Logs de IPS Exportables (page 984).
Campos de Entrada de Logs de Grabaciones de IPS Exportables (page 996).
Campos de Entrada de Logs de SSL VPN Exportables (page 997).
Campos de Entrada de Logs No-exportables

Los siguientes campos de entrada de logs pueden mostrarse en la tabla de logs, pero no
pueden ser exportados a syslog.
Tabla 247: Campos de Entrada de Logs No-exportables
Campo Descripcin
Identificador de una situacin adicional que fue detectada
Additional Situation
simultneamente con la situacin que provoc el evento de log.
Blacklist response.Blacklist
Duracin de la entrada de lista negra en segundos.
duration
Blacklist response.Blacklist Cortafuegos o sensor que creo la entrada de lista negra que
executor provoc el evento de log.
Blacklist response.Endpoint1
Direcciones IP de la lista negra para Endpoint1.
Addr
Blacklist response.Endpoint1 Mscara de red para el Endpoint1 de lista negra (32 = direccin de
mask host).
Puerto de la lista negra para Endpoint1 (vaci = todos los puertos).
Port
Rango de puertos de la lista negra para Endpoint1.
port range
Direcciones IP de la lista negra para Endpoint2.
addr
Blacklist response.Endpoint2 Mscara de red para el Endpoint1 de lista negra (32 = direccin de
mask host).
Puerto de la lista negra para Endpoint1 (vaci = todos los puertos).
Port
Tabla 248: Campos de Entrada de Logs No-exportables (Continuacin)
Campo Descripcin
Rango de puertos de la lista negra para Endpoint1.
port range
Nmero ID del nodo de cortafuegos para el cual se asigna la
Blacklist response.Firewall ID peticin de lista negra (debe coincidir con el ID de Cortafuegos
dado al mdulo de Analizador de lista negra).
Blacklist response.IP Protocol Protocolo IP de la respuesta de lista negra.
Blacklist response.Value missing Campo Respuesta de Lista negra para el cual fall la resolucin
in del valor.
Cdigo de error de verificacin de certificados TLS/SSL
Certificate verify error
relacionado con este evento.
Poltica usada para decidir una respuesta tras una correlacin
Correlation base component ID exitosa. Normalmente el valor de este campo es el mismo que el
de Component ID, y el campo se omite.
Data type Tipo de datos del log.
Element Domain Dominio Administrativo del elemento asociado con el evento.
Endpoint de VPN a travs del cual el trfico que provoc el log se
Endpoint
envi o recibi.
Ethernet main type Tipo principal de trama Ethernet (Ethernet 2, IPX, LLC, SNAP).
Event type Descripcin del evento que provoc la creacin del log.
GRE protocol Nmero de protocolo del paquete de payload de GRE.
GRE version Versin de la cabecera GRE.
IP frag conflict range.IP frag
Nmero total de bytes conflictivos.
different bytes
Primer byte conflictivo en el fragmento IP.
different bytes first
ltimo byte conflictivo en el fragmento IP
different bytes last
Valor del primer byte conflictivo en el ltimo fragmento.
different new first
Valor del ltimo byte conflictivo en el ltimo fragmento.
different new last
Valor del primer byte conflictivo en un fragmento anterior.
different old first
Valor del ltimo byte conflictivo en un fragmento anterior.
different old last
Campo Descripcin
Tipo de cabecera de extensin IPv6 segn indica el valor prxima
IPv6 extension header type
cabecera de la cabecera anterior.
Longitud de cabecera de extensin IPv6 segn indica el valor del
IPv6 extension headers length
campo hdr_ext_len de la cabecera de extensin.
IPv6 hop limit Campo lmite de saltos en la cabecera IPv6.
IPv6 option data length Longitud de datos de opcin IPv6.
Deesplazamiento de la opcin IPv6 desde el principio de la
IPv6 option offset
cabecera de extensin IPv6.
IPv6 option type Tipo de opcin IPv6.
IPv6 routing final destination Direccin de destino final en la cabecera de enrutamiento IPv6.
IPv6 routing header type Tipo de cabecera de enrutamiento IPv6.
IPv6 routing segments left Valor segmentos que faltan en la cabecera de enrutamiento IPv6.
LLC DSAP Logical Link Control Destination Service Access Point.
LLC SSAP Logical Link Control Source Service Access Point.
El Dominio Administrativo en el cual se tom la accin que provoc
Login Domain
el evento de log.
Normalized Se us normalizacin de URI para encontrar la coincidencia.
Overview Vista general observada.
Overview Name Nombre de la Vista general observada.
Overview Section Resumen de la definicin de seccin observada.
Reference event ID.Ref Comp Id Identificador de emisor del evento referido.
Reference event ID.Ref Creation
Hora de creacin del evento referido.
Time
Reference event ID.Ref Event ID Identificador del evento referido.
Roles Roles del Administrador que provoc el evento.
Pasarelas de Seguridad VPN a travs de la que se recibi o envi
Security Gateway
el trfico que provoc el evento de log.
Sender Domain Dominio Administrativo desde el cual se envi la entrada de log.
Sender module version.Sender
Nmero de build del dispositivo que gener el evento.
build
Versin mayor del mdulo de dispositivo que gener el evento.
module major
Campo Descripcin
module minor Versin mayor del mdulo de dispositivo que gener el evento.
module pl Versin de parche del mdulo de dispositivo que gener el evento.
SNAP Organization Code Subnetwork Access Protocol Organization Code.
Campo de nombre de dominio en el certificado SSL/TLS
SSL/TLS Domain relacionado con el evento.
State Estado de la conexin en la monitorizacin de conexiones.
Subexpression Count Nmero de subexpresiones independientes concurrentes.
TCP urgent pointer Valor de puntero urgente en la cabecera TCP.
TCP window size Tamao de ventana de recpecin TCP.
TCP window shrinkage Cantidad en que encogi la ventana TCP.
Threshold Check Time Hora final de medida del umbral.
Threshold Description Descripcin de la limitacin de umbral
Threshold Measured Value Valor en que se excede el umbral.
TLS Alert Description Descripcin del mensaje de alerta TLS/SSL.
TLS Alert Level Nivel de alerta del mensaje de alerta TLS/SSL.
TLS cipher suite Suite de cifrado TLS/SSL.
TLS compression method Mtodo de compresin TLS/SSL.
TLS Protocol Version Versin de prtocolo TLS/SSL.
Nmero de capas de protocolo de tunel encapsulando esta capa
Tunneling level de protocolo.
User and Group Information Informacin de Usuario y Grupo relacionada con el evento.
Virus Identifier Identificador de Virus.
La VPN a travs de la cual el trfico que provoc el evento de log
VPN fue enviado o recibido.
Campos de Entrada de Logs de Alerta Exportables

Tabla 251: Campos de Entrada de Logs de Alerta
Campo Campo de Exportacin Syslog Descripcin

Acknowledged ACK Alerta reconocida.
Alert Type ALERT Tipo de alerta.
Component ID COMP_ID Identificador del creador de la entrada de log.
Creation Time TIMESTAMP Tiempo de creacin de la entrada de log.
Data Identifier LOG_ID Identificador de datos en la entrada de log.
Description LONG_MSG Descripcin larga de la alerta.
Dst Addr DST Direccin IP de destino del paquete.
Event ID EVENT_ID Identificador de evento, nico dentro de un emisor.
Information Una descripcin del evento de log que explica ms la
message INFO_MSG entrada.
Protocol PROTOCOL Protocolo de conexin IP.
Tiempo en que la entrada fue recibida en el Log
Reception time RECEPTION_TIME Server.
Reference event
ID REF_EVENT Referencia a un evento relacionado.
Rule Tag RULE_ID Tag de regla de la regla que provoc el evento de log.
Direccin IP del dispositivo o servidor que envi la
Sender NODE_ID entrada de log.
Tipo de dispositivo o servidor que envi la entrada de
Sender type SENDER_TYPE log.
Severidad de la situacin relacionada con el evento
Severity ALERT_SEVERITY alerta.
Identificador de la situacin que provoc el evento de
Situation SITUATION log.
Campos de Entrada de Logs de Traza de Alerta Exportables

Tabla 252: Campos de Entrada de Logs de Traza de Alerta

Address EVENT_ADDRESS Destino para la notificacin de alerta.
Alert Event EVENT_TYPE Tipo de evento de alerta.
Alert Identifier EVENT_LOG_ID Identificador de Datos de la alerta.
Alert Time EVENT_TIME Marca de tiempo de la alerta.
Tabla 253: Campos de Entrada de Logs de Traza de Alerta (Continuacin)

Data Identifier LOG_ID Identificador de Datos de la entrada de log.
Event description EVENT_INFO Descripcin del evento de alerta.
Storage Server STORAGE_SERVER_ID Servidor donde se almacena la alerta.
User EVENT_USER Usuario que ejecut la accin que produjo la alerta.
Campos de Entrada de Logs de Auditora Exportables

Tabla 254: Campos de Entrada de Logs de Auditora

Administrator USER_ORIGINATOR Administrador que provoc el evento de auditora.
Direccin del cliente que provoc el evento de
Client IP address CLIENT_IP_ADDRESS
auditora.
Elements OBJECT_NAME Elementos manipulados en el evento de auditora.
Event ID EVENT_ID Identificador del evento, nico para cada emisor.
Caso de incidente al que los logs y/o eventos de
Incident case INCIDENT_CASE
auditora estn relacionados.
Information Una descripcin del evento de log que explica ms en
INFO_MSG
message detalle la entrada.
Operation type TYPE_DESCRIPTION Tipo de accin que provoc la entrada de auditora.
Nombre del componente que provoc el evento de
Origin name ORIGIN_NAME
auditora.
Result RESULT Estado resultante tras el evento auditado.
Sender NODE_ID
entrada de log.
Sender type SENDER_TYPE
log.
Campos de Entrada de Logs de Cortafuegos Exportables

Tabla 255: Campos de Entrada de Logs de Cortafuegos

Acknowledged ACK Alerta reconocida.
Accin de la regla que provoc el evento de log. Los
valores de accin son Allow (Permitir), Discard
(Descartar), Refuse (Rechazar), Terminate (Terminar),
Wait for
Action ACTION
further actions (Esperar acciones posteriores), and
Wait for authentication (Esperar autenticacin). Para
ms informacin sobre valores de acciones, vea la
tabla Valores del Campo Evento en la pag. 1000.
Nmero de regla de la regla que provoc el evento de
Auth. Rule Tag AUTH_RULE_ID
log.
Nombre del usuario autorizado relacionado con este
Auth. User AUTH_NAME
evento.
Bytes Rcvd ACC_RX_BYTES Nmero de bytes recibidos durante la conexin.
Nmero de bytes enviados durante la conexin. El
Bytes Sent ACC_TX_BYTES nmero de bytes enviados se cuenta cuando se crean
entradas de contabilidad.
Data Identifier LOG_ID Identificador de datos de la entrada de log.
Marca DSCP asociada con el trfico que provoc el
DSCP Mark DSCP_MARK
evento de log.
Puerto de destino TCP o UDP en la cabecera del
Dst Port DPORT
paquete.
Tiempo de duracin de la conexin en segundos. El
tiempo de duracin se graba cuando se crean
Elapsed Time ACC_ELAPSED
entradas de contabilidad en el momento de cierre de la
conexin.
El evento que provoc la creacin del log, por ejemplo,
Nueva conexin, Conexin cerrada, Conexin
Event EVENT
descartada. Para ms informacin, vea la tabla
Valores del Campo Evento en la pag. 1000.
Event ID EVENT_ID Identificador del evento, nico dentro de un emisor.
Subsistema del cortafuegos que gener el evento de
Facility FACILITY log. Para ms informacin vea la tabla Valores del
Campo Facility en la pgina 997.
Identificador de Situacin de una huella digital
FP situation FP_SITUATION
coincidente.
Campo de cdigo ICMP. El cdigo ICMP proporciona
ms informacin sobre el tipo de mensaje (p.ej. red no
ICMP code ICMP_CODE
alcanzable). Para ms informacin, refirase a las
RFC 792 y RFC 950.
Tabla 256: Campos de Entrada de Logs de Cortafuegos (Continuacin)

El identificador ICMP grabado por el dispositivo
cuando los paquetes ICMP atraviesan el cortafuegos.
El identificaddor UCMP puede usarse por el emisor del
echo para ayudar a hacer coincidir las respuestas con
ICMP ID ICMP_ID las peticiones de echo. Por ejemplo, el idntificador
podra ser usado como un puerto en TCP o UDP para
identificar una sesin. Para mas informacin sobre
ICMP ID y el protocolo ICMP, refirase a las RFCS 792
y 950.
IKE Cookie IKE_COOKIE Cookie IKE usada en la negociacin VPN.
Information Una descripcin del evento de log que explica la
INFO_MSG
message entrada en ms detalle.
El ndice de Parmetro de Seguridad de IPsec
(Security Parameter Index - SPI) es el identificador de
IPsec SPI IPSEC_SPI
conexin de la conexin IPsec. El avlor de SPI de
IPsec se muestra como un nmero hexadecimal.
NAT Dst NAT_DST Direccin IP de destino del paquete trasladado.
NAT Dst Port NAT_DPORT Puerto de protocolo de destino del paquete trasladado.
Nmero de regla de la regla de NAT que provoc el
Nat Rule Tag NAT_RULE_ID
evento de log.
NAT Src NAT_SRC Direccin IP de origen del paquete trasladado.
NAT Src Port NAT_SPORT Puerto de protocolo de origen del paquete trasladado.
Prioridad asignada al trfico de acuerdo con la poltica
Priority QOS_PRIORITY
de QoS.
Protocol PROTOCOL Protocolo IP de conexin.
Protocol Agent SRVHELPER_ID Cdigo ID numrico del protocolo.
Clase de calidad de Servicio asignada al trfico de
QoS Class QOS_CLASS
acuerdo con la politica de QoS.
Reception time RECEPTION_TIME Tiempo cuando se recibi la entrada por el Log Server.
Reference event
REF_EVENT Referencia a un evento relacionado.
ID
Tiempo de ida y vuelta para comprobacin de enlaces
en Multi-Link de salida. El tiempo indicado es desde
Round trip RTT
que se envan las peticiones hasta la primera
respuesta. La unidad es 0.01 segundos.
Sender NODE_ID
entrada de log.
log.
Campo especial para filtrar logs usando los servicios
Service SERVICE
definidos. No aparece en la tabla de entradas de log.
Tabla 257: Campos de Entrada de Logs de Cortafuegos (Continuacin)

Severidad de la situacin relacionada con el evento de
Severity ALERT_SEVERITY log.
Situation SITUATION log.
Src Addr SRC Direccin IP de origen del paquete.
Nmero de interfaz de origen definido para el clster
Src IF Srcif de cortafuegos.
Puerto de origen TCP o UDP en la cabecera del
Src Port SPORT paquete.
Src VLAN SRC_VLAN Nmero ID de VLAN de origen (hasta 4095).
Syslog es un servicio del sistema usado en algunos
sistemas operativos, p.ej. UNIX- y paquetes de
software. Para ms informacin sobre syslog y tipos
Syslog SYSLOG_TYPE de syslog, refirase a la RFC 3164.
Tipo de severidad de la entrada de log. Para ms
informacin dobre los valores del tipo, vea la tabla
Type TYPE Valores del Campo Type (Tipo) en la pag. 999.
Campos de Entrada de Logs de IPS Exportables

Tabla 258: Campos de Entrada de Logs de IPS

Agent mem usage AGENT_MEMUSAGE Uso de memoria de cada agente IPS.
Attacker IP IP_ATTACKER Direccin IPv4 del host atacante.
Cortafuegos que creo la entrada de lista negra del
Blacklist executor FIREWALL_ID
trfico que provoc el evento de log.
Respuesta de lista negra del cortafuegos que provoc
Blacklist response BLACKLIST_RESPONSE
el evento de log.
Identificador del clster al que pertenece el nodo que
Cluster ID CLUSTER_ID
cre la entrada de log.
Connection La aplicacin no pudo continuar analizando el flujo de
CONNECTION_ANALYSIS_END
analysis end trfico tras este evento.
Connection La conexin se descart por una Respuesta Drop en
DROP_CONNECTION
dropped la regla.
Content type of
SIP_CONTENT_TYPE Tipo de contenido del cuerpo del mensaje SIP.
message body
Correlation base La poltica que decide la respuesta tras una
CORRELATION_COMP_ID
component ID correlcacin exitosa.
Tabla 259: Campos de Entrada de Logs de IPS (Continuacin)

Correlation begin Marca NTP del inicio de una trana de tiempo para una
TIME_FRAME_BEGIN
time coincidencia de una situacin de correlacin.
Correlation end Marca NTP del fin de una trana de tiempo para una
TIME_FRAME_END
time coincidencia de una situacin de correlacin.
Data Identifier LOG_ID Udentificador de Datos de la entrada de log.
El datagrama se descart por una respuesta Drop en
Datagram dropped DROP_DATAGRAM
la regla.
Description LONG_MSG Descripcin larga de la alerta.
Puerto TCP o UDP de destino en la cabecera del
Destination port PORT_DEST paquete. Incluido para compatibilidad con dispositivos
IPS antiguos. Para otros casos, use Dst Port.
DNS class DNS_CLASS Clase del registro de recurso DNS.
DNS hdr ancount DNS_HDR_ANCOUNT Cuenta de respuestas DNS.
DNS hdr arcount DNS_HDR_ARCOUNT Cuenta de secciones adicionales DNS.
DNS hdr flag tc DNS_HDR_FLAG_TC Flag TC de cabecera DNS.
DNS hdr id DNS_HDR_ID ID de mensaje DNS.
DNS hdr is
DNS_HDR_IS_REQUEST El mensaje DNS es una peticin.
request
DNS hdr nscount DNS_HDR_NSCOUNT Cuenta de secciones autoritativas DNS.
DNS hdr opcode DNS_HDR_OPCODE Cdigo de operacin DNS.
DNS hdr qdcount DNS_HDR_QDCOUNT Cuenta de preguntas DNS.
DNS hdr rcode DNS_HDR_RCODE Cdigo de retorno DNS.
DNS name length DNS_NAME_LENGTH Longitud de nombre DNS en un mensaje.
Desplazamiento en el mensaje DNS donde ocurre la
DNS offset DNS_OFFSET
situacin.
DNS pointer DNS_POINTER Puntero al nombre en un mensaje DNS.
Clase de registro de recurso de consulta en un
DNS qclass DNS_QCLASS
mensaje DNS.
DNS qname DNS_QNAME Primer nombre consultado en un mensaje DNS.
DNS qtype DNS_QTYPE Tipo de consulta en un mensaje DNS.
DNS section DNS_SECTION Nombre de seccin en un mensaje DNS.
DNS type DNS_TYPE Typo de registro de recurso DNS.
DNS UDP payload DNS_UDP_PAYLOAD Tamao de payload UDP de un mensaje DNS.

DNS UDP payload
DNS_UDP_PAYLOAD_BY_OPT Payload UDP anunciado en un registro DNS OPT.
by opt
Puerto TCP o UDP de destino en la cabecera del
Dst Port DPORT
paquete.
Error id ERROR_ID Identificador del error que provoc el evento de log.
Eth frame length ETH_FRAME_LENGTH Longitud de la trama Ethernet.
Eth min frame
ETH_MIN_FRAME_LENGTH Longitud mnima para la trama Ethernet.
length
Ethernet type ETH_TYPE Campo tipo de la trama Ethernet.
Event count EVENT_COUNT Cuenta de eventos en el rango de tiempos definido.
Event ID EVENT_ID Identificador de evento, nico dentro de cada emisor.
ID de evento para el cual este evento es una
Event update EVENT_UPDATE
actualizacin.
Grabacin corta del flujo de datos de nivel de
Excerpt data EXCERPT
aplicacin del ataque.
Excerpt position EXCERPT_POS Posicin en la grabacin corta adjunta.
Failed response
FAILED_RESP_CNT Nmero de intentos de respuesta fallidos.
cnt
Fields updatable FIELDS_UPDATABLE Mapa de campos de log actalizables.
FP situation FP_SITUATION Identificador de situacin de una huella coincidente.
La trama se descart por una Respuesta Drop en la
Frame dropped DROP_FRAME
regla.
From address SIP_FROM Direccin Desde (From) de SIP.
FTP account len FTP_ACCOUNT_LEN Longitud de la cadena de cuenta FTP.
FTP adat argument
FTP_ADAT_ARG_LEN Longitud del argumento del comando ADAT.
len
FTP allocate size FTP_ALLOCATE_SIZE Tamao de reserva FTP.
FTP arg len FTP_ARG_LEN Longitud del argumento del comando FTP.
FTP auth arg len FTP_AUTH_ARG_LEN Longitud del argumento AUTH.
FTP client state
FTP_CLIENT_STATE_NAME Estado detectado del cliente FTP.
name
FTP clnt arg len FTP_CLNT_ARG_LEN Longitud del argumento CLNT de FTP.
FTP command FTP_COMMAND Nombre del comando FTP.

FTP conf arg len FTP_CONF_ARG_LEN Longitud del argumento del comando CONF.
FTP enc arg len FTP_ENC_ARG_LEN Longitud del argumento del comando ENC.
FTP eprt arg len FTP_EPRT_ARG_LEN Longitud del argumento del comando EPRT.
FTP estp arg len FTP_ESTP_ARG_LEN Longitud del argumento del comando ESPT.
FTP help arg len FTP_HELP_ARG_LEN Longitud del argumento del comando HELP.
FTP lang arg len FTP_LANG_ARG_LEN Longitud del argumento del comando LANG.
FTP lprt arg len FTP_LPRT_ARG_LEN Longitud del argumento del comando LPRT.
FTP marker len FTP_MARKER_LEN Longitud del argumento del comando REST.
FTP mic arg len FTP_MIC_ARG_LEN Longitud del argumento del comando MIC.
FTP opts arg len FTP_OPTS_ARG_LEN Longitud del argumento del comando OPTS.
FTP password len FTP_PASSWORD_LEN Longitud de la contrasea FTP detectada.
FTP pathname len FTP_PATHNAME_LEN Longitud del path FTP detectado.
FTP protection FTP_PROTECTION_BUFFER_
Tamao del buffer de proteccin PBSZ detectado.
buffer size SIZE
FTP reply FTP_REPLY Respuesta detectada del servidor FTP.
FTP reply code FTP_REPLY_CODE Cdigo de respuesta detectado del servidor FTP.
Longitud de una respuesta de servidor FTP demasiado
FTP reply len FTP_REPLY_LEN
larga.
Longitud de una lnea de respuesta de servidor FTP
FTP reply line len FTP_REPLY_LINE_LEN
demasiado larga.
Accin del servidor FTP tras un comando de cliente
FTP server action FTP_SERVER_ACTION
sospechoso.
FTP server banner FTP_SERVER_BANNER Banner detectado del servidor FTP.
FTP server state
FTP_SERVER_STATE_NAME Estado detectado del servidor FTP.
name
FTP site arg len FTP_SITE_ARG_LEN Longitud del argumento del comando SITE.
FTP state name FTP_STATE_NAME Estado de sesin detectado del servidor FTP.
FTP username len FTP_USERNAME_LEN Longitud del nombre de usuario de FTP detectado
HTTP content
HTTP_CONTENT_LENGTH Longitud del contenido HTTP.
length
HTTP content type HTTP_CONTENT_TYPE Tipo de contenido HTTP.
HTTP header HTTP_HEADER Campo de cabecera HTTP detectado.

HTTP header
HTTP_HEADER_NAME El nombre del campo cabecera de HTTP detectado.
name
La respuesta HTTP detectada no pudo ser asociada a
HTTP no request HTTP_NO_REQUEST
ninguna peticin.
HTTP request host HTTP_REQUEST_HOST Host de peticin HTTP.
HTTP request line HTTP_REQUEST_LINE Linea de peticin HTTP detectada.
HTTP request
HTTP_REQUEST_MESSAGE_
message field Longitud del nombre del campo de cabecera HTTP.
FIELD_NAME_LENGTH
name length
HTTP request
HTTP_REQUEST_MESSAGE_
message field Longitud del valor del campo de cabecera HTTP.
FIELD_VALUE_LENGTH
value length
HTTP request
HTTP_REQUEST_METHOD Mtodo de peticin HTTP detectado.
method
HTTP request URI HTTP_REQUEST_URI URI de peticin HTTP detectada.
HTTP request
HTTP_REQUEST_VERSION Versin de peticin HTTP detectada.
version
HTTP requests not HTTP_REQUESTS_NOT_ Nmero de peticiones no almacenadas debido a
stored STORED sobrecarga del pipeline HTTP.
HTTP response
HTTP_RESPONSE_CODE Cfigo de respuesta HTTP detectado.
code
HTTP response
HTTP_RESPONSE_MESSAGE_
message field Longitud del nombre del campo de respuesta HTTP.
FIELD_NAME_LENGTH
name length
HTTP response
HTTP_RESPONSE_MESSAGE_
message field Longitud del valor del campo de respuesta HTTP.
FIELD_VALUE_LENGTH
value length
HTTP URI length HTTP_URI_LENGTH Longitud de URI de peticin HTTP.
Campo cdigo ICMP. El cdigo ICMP proporciona
informacin ms detallada sobre el tipo de mensaje
ICMP code ICMP_CODE
(p.ej. red no alcanzable). Para ms informacin
refirase a las RFCs 792 y 950.
ICMP expected ICMP_EXPECTED_MESSAGE_
Longitud esperada del mensaje ICMP.
message length LENGTH
ICMP field addr ICMP_FIELD_ADDR_ENTRY_SI Valor del campo tamao de entrada de direccin ICMP
entry size ZE detectado.
ICMP field ICMP_FIELD_ADDRESS_ Valor del campo mscara de direccin ICMP
address mask MASK detectado.

ICMP field domain
ICMP_FIELD_DOMAIN_NAME Valor del campo nombre de dominio ICMP detectado.
name
ICMP field gateway ICMP_FIELD_GATEWAY_IP_ Valor del campo direccin de la pasarela ICMP
IP addr ADDR detectado.
ICMP field lifetime ICMP_FIELD_LIFETIME Valor del campo tiempo de vida ICMP detectado.
ICMP field num Valor del campo nmero de direcciones ICMP
ICMP_FIELD_NUM_ADDRS
addrs detectado.
ICMP field
ICMP_FIELD_ORIGINATE_
originate Valor del campo marca de tiempo de origen ICMP.
TIMESTAMP
timestamp
ICMP field
ICMP_FIELD_OUTBOUND_
outbound hop Valor del campo cuenta de saltos de salida ICMP.
HOP_COUNT
count
ICMP field output ICMP_FIELD_OUTPUT_LINK_
Valor del campo MTU del enlace de salida ICMP.
link mtu MTU
ICMP field output ICMP_FIELD_OUTPUT_LINK_
Valor del campo velocidad del enlace de salida ICMP.
link speed SPEED
Desplazamiento en el datagrama relacionado donde
ICMP field pointer ICMP_FIELD_POINTER
ocurri la situacin.
ICMP field ICMP_FIELD_PREFERENCE_
Valor del campo nivel de preferencia ICMP.
preference level LEVEL
ICMP field receive ICMP_FIELD_RECEIVE_
Valor del campo marca de tiempo de recepcin ICMP.
timestamp TIMESTAMP
ICMP field return ICMP_FIELD_RETURN_HOP_
Valor del campo cuenta de saltos de retorno ICMP.
hop count COUNT
ICMP field router ICMP_FIELD_ROUTER_
Valor del campo direccin del enrutador ICMP.
addr ADDRESS
ICMP field ICMP_FIELD_SEQUENCE_
Valor del campo nmero de secuencia ICMP.
sequence num NUMBER
ICMP field
ICMP_FIELD_TRACEROUTE_ID Valor del campo ID de traceroute ICMP.
traceroute id
ICMP field
ICMP_FIELD_TRANSMIT_ Valor del campo marca de tiempo de transmisin
transmit
TIMESTAMP ICMP.
timestamp

El identificador ICMP grabado por el dispositivo
cuando los paquetes ICMP atraviesan el cortafuegos.
El identifcador ICMP puede usarse por el emisor del
echo para ayudar en hacer coincidir las rplicas con
ICMP ID ICMP_ID las peticiones de echo. Por ejemplo, el identificador
podra usarse como un puerto en TCP o UDP para
identificar una sesin. Para ms informacin sobre ID
de ICMP y el protocolo ICMP, refirase a las TFCs 792
y 950.
ICMP message
ICMP_MESSAGE_LENGTH Logitud del mensaje ICMP.
length
ICMP referenced
ICMP_REFERENCED_ Direccin IP de destino del datagrama relacionado con
destination IP
DESTINATION_IP_ADDR el mensaje ICMP.
addr
ICMP referenced ICMP_REFERENCED_ Puerto de destino del datagrama relacionado con el
destination port DESTINATION_PORT mensjae ICMP.
ICMP referenced ICMP_REFERENCED_IP_ Campo Protocolo IP del datagrama relacionado con el
IP proto PROTO mensaje ICMP.
ICMP referenced ICMP_REFERENCED_SOURCE Direccin IP de origen del datagrama relacionado con
source IP addr _IP_ADDR el mensaje ICMP.
ICMP referenced ICMP_REFERENCED_SOURCE Puerto de origen del datagrama relacionado con el
source port _PORT mensjae ICMP.
El Protocolo de Mensajes de Control de Internet
(Internet Control Message Protocol ICMP) es una
extensin del Protocolo de Internet (Internet Protocol -
IP) que soporta paquetes que conrienen mensajes de
ICMP Type ICMP_TYPE error, control e informativos. Los mensajes ICMp se
envan usando la cabecera bsica IP. El primer octeto
de la parte de datos del datageama es un campo de
tipo ICMP. Para ms informacin, refirase a las RFCs
792 y 950.
Token de palabra codificado relacionado con este
Imf encoded word IMF_ENCODED_WORD
evento.
Contenidos (posiblemente parciales) del campo
Imf header field IMF_HEADER_FIELD
cabecera de correo relacionados con este evento.
Imf header field Nombre del campo de cabecera de correo relacionado
IMF_HEADER_FIELD_NAME
name con este evento.
Imf header field IMF_HEADER_FIELD_ Nmero de caracteres procesados en este campo de
position POSITION cabecera cuando se gener el evento.
Token sintctico en el cuerpo de correo relacionado
Imf token IMF_TOKEN
con este evento.
Longitud del token sintctico en el cuerpo de correo
Imf token length IMF_TOKEN_LENGTH
relacionado con este evento.
Information Una descripcin del evento de log que explica en
INFO_MSG
message detalle la entrada.

Inspection check
MODPAR_VA Lista de parmetros de agente y valores definidos.
parameter
IP checksum IP_CHECKSUM Valor de checksum de la cabecera IP.
IP datagram length IP_DATAGRAM_LENGTH Longitud del datagrama IP.
IP datagram new
IP_DATAGRAM_NEW_LENGTH Nueva longitud sugerida para el datagrama IP.
length
Direccin IP de destino en la cabecera del paquete. Se
IP destination IP_DEST inclye slo para compatibilidad con IPSs antiguos.
Para otros casos, use Dst Addr.
IP frag conflict IP_FRAG_CONFLICT_RANGE
Rango de bytes conflictivos en un fragmento.
range AGMENT_OFFSET
IP fragment offset IP_FRAGMENT_OFFSET Desplazamiento del fragmento en la cabecera IP.
IP header length IP_HEADER_LENGTH Longitud de la cabecera IP.
IP identification IP_IDENTIFICATION Campo de identificacin en la cabecera IP.
Desplazamiento IP de inicio desde el principio de la
IP offset IP_OFFSET
trama Ethernet.
IP option length IP_OPTION_LENGTH Longitud de la opcin IP que provoc la respuesta.
IP option number IP_OPTION_NUMBER Nmero de opcin IP que provoc la respuesta.
IP protocol PROTOCOL Protocolo IP del trfico que gener el evento de log.
Direccin IP de origen en la cabecera del paquete. Se
IP source IP_SOURCE inclye slo para compatibilidad con IPSs antiguos.
Para otros casos, use Src Addr.
IP total length IP_TOTAL_LENGTH Longitud total del datagrama IP.
IP version IP_VERSION Valor del campo versin en la cabecera IP.
Length of
SIP_CONTENT_LENGTH Longitud del cuerpo de mensaje SIP.
message body
Logical interface IF_LOGICAL Interfaz lgico para un paquete.
MAC destination MAC_DEST Direccin MAC de destino en la cabecera del paquete.
MAC source MAC_SOURCE Direccin MAC de origen en la cabecera del paquete.
Module SENDER_MODULE_ID Identificacin del mdulo emisor.
Module mem
MODULE_MEMUSAGE Uso de memoria de cada mdulo.
usage
Node Configuracin actual del nodo que envi la entrada de
NODE_CONFIGURATION
configuration log.

Nivel de paquete de actualizacin dinmica del nodo
Node dynup NODE_DYNUP
que envi la entrada de log.
Node version NODE_VERSION Versin de nodo del nodo que envi la entrada de log.
Not final value NOT_FINAL_VALUE La entrada no es final..
La opcin View interface as one LAN (Ver interfaz
One LAN ONE_LAN como una LAN) estaba activada en el interfaz lgico q
travs del cual se recibi el paquete.
Identificador de configuracin relacionado con la
Orig config id ORIG_CONFIG_ID
Situacin en el evento referido.
Orig sender ORIG_SENDER_MODULE_
Versin de mdulo en el evento referido.
module version VERSION
Verisn del sistema operativo del emisor del evento
Orig sender os ver ORIG_SENDER_OS_VER
referido.
Original Alert Type ORIG_ALERT Tipo de alerta en el evento referido.
Original
Marca NTP del inicio del rango de tiempo en el evento
correlation begin ORIG_TIME_FRAME_BEGIN
referido.
time
Original
Marca NTP del final del rango de tiempo en el evento
correlation end ORIG_TIME_FRAME_END
referido.
time
Original event Nmero de eventos en el rango de tiempo del evento
ORIG_EVENT_COUNT
count referido.
Original module ORIG_SENDER_MODULE_ID Identificacin del mdulo emisor en el evento referido.
Original severity ORIG_ALERT_SEVERITY Severidad del evento referido.
Identificados de la situacin que provoc el evento
Original situation ORIG_SITUATION
referido.
Original time ORIG_TIMESTAMP Tiempo de creacin del evento referido.
Packet analysis El mdulo no pudo seguir analizando el paquete o
PACKET_ANALYSIS_END
end datagrama tras este evento.
Flag que indica que el paquete relacionado no fue
Packet not seen PACKET_NOT_SEEN
visto.
Physical interface IF_PHYSICAL Interfaz fsico para un paquete.
Protocol PROTOCOL Protocolo de conexin IP.
Protocol Agent SRVHELPER_ID Cdigo ID numrico del Agente de Protocolo.
Tiempo cuando la entrada fue recibida por el Log
Reception time RECEPTION_TIME
Server.
Record ID RECORD_ID Identificador de la grabacin de trfico.

Reference event
REF_EVENT Referencia a un evento relacionado.
ID
Scan ICMP echo SCAN_ICMP_ECHO_NO_ Nmero de destinos de peticiones ICMP Echo (ping)
no reply cnt RESPONSE_COUNTER que no respondieron a una peticin.
Scan ICMP echo SCAN_ICMP_ECHO_REQUEST Nmero de destinos de peticiones ICMP Echo (ping)
request cnt _COUNTER detectados.
Scan ICMP echo
SCAN_ICMP_ECHO_TARGETS Lista de destinos de peticiones ICMP Echo detectados.
targets
Scan ICMP mask SCAN_ICMP_NETMASK_NO_ Nmero de destinos de peticiones ICMP Netmask sin
no reply cnt RESPONSE_COUNTER respuesta.
Scan ICMP mask SCAN_ICMP_NETMASK_ Nmero de destinos de peticiones ICMP Netmask
request cnt REQUEST_COUNTER diferentes detectados.
Scan ICMP mask SCAN_ICMP_NETMASK_ Lista de destinos de peticiones ICMP Netmask
targets TARGETS diferentes detectados.
Scan ICMP no SCAN_ICMP_NO_RESPONSE_ Nmero de destinos de peticiones ICMP Echo,
reply cnt COUNTER Timestamp, y Netmask sin respuesta.
Scan ICMP SCAN_ICMP_REQUEST_ Nmero de destinos de peticiones ICMP Echo,
request cnt COUNTER Timestamp, y Netmask.
Scan ICMP time SCAN_ICMP_TIMESTAMP_NO Nmero de destinos de peticiones ICMP Timestamp
no reply cnt _RESPONSE_COUNTER sin respuesta.
Scan ICMP time SCAN_ICMP_TIMESTAMP_ Nmero de destinos de peticiones ICMP Timestamp
request cnt REQUEST_COUNTER distintos detectados.
Scan ICMP time SCAN_ICMP_TIMESTAMP_ Lista de destinos de peticiones ICMP Timestamp
targets TARGETS detectados.
Tiempo de inicio detectado de la actividad de escaneo
Scan start time SCAN_START_TIME
de puertos que provoc el evento de log.
Scan TCP negative SCAN_TCP_NEGATIVE_ Nmero de destinos TCP que conetstaron con TCP
cnt COUNTER Reset.
Scan TCP no ack SCAN_TCP_NO_ACK_ Nmero de destinos TCP objetivos de segmentos TCP
cnt COUNTER ilegales.
Scan TCP no ack SCAN_TCP_NO_ACK_ Lista de destinos TCP objetivos de segmentos TCP
targets TARGETS ilegales.
Scan TCP no reply SCAN_TCP_NO_RESPONSE_ Nmero de destinos TCP sin respuesta a intentos de
cnt COUNTER conexin.

Scan TCP normal SCAN_TCP_NORMAL_ Nmero de destinos TCP con handshake y
cnt COUNTER transferencia de datos bidireccional.
Scan TCP positive SCAN_TCP_POSITIVE_ Nmero de destinos TCP con handshake pero sin
cnt COUNTER datos enviados por el cliente.
Lista de destinos de escaneos de puertos TCP en el
Scan TCP targets SCAN_TCP_TARGETS
trfico que provoc el evento de log.
Scan UDP SCAN_UDP_NEGATIVE_ Nmero de destinos que contestaron con ICMP Port
negative cnt COUNTER Unreachable.
Scan UDP positive SCAN_UDP_POSITIVE_ Nmero de conversaciones bidireccionales UDP
cnt COUNTER detectadas.
Scan UDP probe SCAN_UDP_PROBE_
Nmero de destinos que no contestaron usando UDP.
cnt COUNTER
Scan UDP target SCAN_UDP_TARGET_
Nmero total de destinos UDP detectados.
cnt COUNTER
Scan UDP targets SCAN_UDP_TARGETS Lista de destinos UDP detectados.
Sender NODE_ID
entrada de log.
Sender module Versin del mdulo de dispositivo que gener el
SENDER_MODULE_VERSION
version evento.
log.
Campo especial para filtrar logs usando los servicios
Service SERVICE
definidos. No aparece en la tabla de entradas de log.
Severidad de la situacin relacionada con el evento de
Severity ALERT_SEVERITY
alerta.
SIP call ID SIP_CALL_ID ID de llamada SIP.
SIP contact
SIP_CONTACT Direccin de contacto SIP.
address
SIP header field
SIP_HEADER Contenidos del campo de cabecera SIP.
contents
SIP header field
SIP_HEADER_NAME Nombre del campo de cabecera SIP.
name
SIP request
SIP_REQUEST_METHOD Mtodo de la peticin SIP.
method
SIP request URI SIP_REQUEST_URI URI de la peticin SIP.
SIP request
SIP_REQUEST_VERSION Versin de la peticin SIP.
version

SIP response SIP_RESPONSE_REASON_
Frase de razn de la respuesta SIP.
reason-phrase PHRASE
SIP response SIP_RESPONSE_STATUS_
Cdigo de estado de la respuesta SIP.
status code CODE
SIP VIA address SIP_VIA Direccin VIA SIP.
Situation SITUATION
log..
SMTP command SMTP_COMMAND Comando SMTP sospechoso enviado por el cliente.
SMTP mail stats SMTP_MAIL_STATS Estadsticas sobre mensajes de e-mail.
SMTP misplaced SMTP_MISPLACED_ Comando enviado en lugar errneo en la secuencia de
command COMMAND comandos.
Path de reenvo del receptor en parmetro de
SMTP recipient SMTP_RECIPIENT
comando RCPT.
Mensaje de respuesta SMTP sospechoso enviado por
SMTP reply SMTP_REPLY
el servidor.
SMTP reverse Path inverso SMTP en parmetro de comando MAIL
SMTP_REVERSE_PATH
path FROM.
SMTP server Accin de servidor sospechosa tras un comando de
SMTP_SERVER_ACTION
action cliente sospechoso.
SMTP server Banner enviado por el servidor SMTP al inicio de la
SMTP_SERVER_BANNER
banner conexin.
SMTP transaction
SMTP_TRANSACTION_STATE Estado de sesin de la transaccin SMTP.
state
Source file SOURCE_FILE Nombre del fichero de origen.
Source file line SOURCE_FILE_LINE) Nmero de lnea en el fichero de origen.
Puerto TCP o UDP de origen en la cabecera del
Source port PORT_SOURCE paquete. Incluido para compatibilidad con dispositivos
IPS antiguos. Para otros casos, use Src Port.
Src Addr SRC Direccin IP de origen del paquete.
Puero de origen TCP o UDP en la cabecera del
Src Port SPOR
paquete.
SSH calc client SSH_CALC_CLIENT_CRYPTO_
Crypto bit ratio calculado del cliente SSH.
crypto bit ratio BIT_RATIO
SSH calc server SSH_CALC_SERVER_CRYPTO
Crypto bit ratio calculado del servidor SSH.
crypto bit ratio _BIT_RATIO
SSH1 host key
SSH1_HOST_KEY_BITS Longitud en bits de la clave SSHv1 del host.
bits

SSH1 server key
SSH1_SERVER_KEY_BITS Longitud en bits de la clave SSHv1 del servidor.
bits
Syslog es un servicio del sistema usado en algunos
sistemas operativos, p.ej. UNIX- y paquetes de
Syslog SYSLOG_TYPE
software. Para ms informacin sobre syslog y tipos
de syslog, refirase a la RFC 3164.
Direccin IPv4 del host objetivo en un ataque
Target IP IP_TARGET
detectado.
TCP connection TCP_CONNECTION_START_
Tiempo de inicio de la conexin TCP.
start time TIME
TCP handshake
TCP_HANDSHAKE_SEEN Handshake inicial de la conexin TCP detectada.
seen
TCP option kind TCP_OPTION_KIND Tipo de la opcin TCP.
TCP option length TCP_OPTION_LENGTH Longitud de la opcin TCP que caus la respuesta.
To address SIP_TO Direccin To de SIP.
UDP datagram
UDP_DATAGRAM_SIZE Tamao del datagrama UDP.
size
Referencias a vulnerabilidades conocidas en una base
Vulnerability VULNERABILITY_
de datos de vulnerabilidades. Generada desde
References REFERENCES
situacin y situacin original.
Whole session Cierto si no se han perdido datos de esta sesin hasta
WHOLE_SESSION_SEEN
seen el momento.
Campos de Entrada de Logs de Grabaciones de IPS

Exportables
Tabla 271: Campos de Entrada de Logs de Grabaciones

Packet data PACKET_DATA Datos de pauqte grabados.
Marcador mostrando que esta trama se recibi antes
Record frame
RECORD_FRAME_CACHED de comenzar la grabacin. La trama incluida en la
cached
grabacin se tom de un cach de memoria.
RECORD_ID (IPS and IPS
Record ID Identificador de la grabacin de trfico.
recording only)
Sender NODE_ID
entrada de log.
Campos de Entrada de Logs de SSL VPN Exportables

Tabla 272: Campos de Entrada de Logs de SSL VPN

Application APPLICATION El servicio SSL VPN que gener el log.
El tipo de log enviado por el SSL VPN. Valores
posibles:
Application Detail APPLICATION_DETAIL
SYSTEM, AUDIT, HTTP, DEBUG, BILLING, RADIUS,
EVENT.
Information Descripcin de la entrada de log que la explica en ms
INFO_MSG
message detalle.
Reception time RECEPTION_TIME Tiempo en que la entrada se recibi en el Log Server.
Sender NODE_ID
entrada de log.
Nombre de usuario del usuario con quien est
Username USERNAME
relacionado este evento de log.
Message Id MESSAGE_ID Identificador interno SSL VPN de la entrada de log.
Session Id SESSION_ID ID de la Sesin de Usuario.
La severidad asignada a la entrada de log por el
Log Severity LOG_SEVERITY sistema de logging interno del SSL VPN. Valores
posibles: Debug, Fatal, Info, Unknown, Warning.
Valores del Campo Facility

La siguiente tabla lista los posibles valores para el campo Facility en la tabla de logs.
Tabla 273: Valores del Campo Facility
Valor
Accounting (Contabilidad)
Authentication (Autenticacin)
Blacklisting (Listas Negras)
Cluster Daemon (Daemon de Clster)
Cluster Protocol (Protocolo de Clster)
Connection Tracking (Seguimiento de Conexiones)
Data Synchronization (Sincronizacin de Datos)
DHCP Client (Cliente DHCP)
DHCP Relay (Reenvo DHCP)
Invalid (No vlido)

Tabla 274: Valores del Campo Facility (Continuacin)
Valor
IPsec
License (Licencia)
Load balancing filter (Filtro de Balanceo de Carga)
Log Server
Logging System (Sistema de Registro)
Management (Gestin)
Monitoring (Monitorizacin)
NetLink Incoming HA (NetLink Alta Disponibilidad Entrante)
Network Address Translation (Traslacin de Direcciones de Red)
Packet Filter (Filtro de Paquetes)
Protocol Agent (Agente de Protocolo)
Server Pool (Pool de Servidores)
SNMP Monitoring (Monitorizacin SNMP)
State Synchronization (Sincronizacin de Estados)
Syslog
System (Sistema)
Tester (Comprobador)
Undefined (No definido)
User Defined (Definido por el Usuario)

Valores del Campo Type (Tipo)

La siguiente tabla lista los posibles valores para el campo Type (Tipo) en la tabla de logs.
Tabla 275: Valores del Campo Type (Tipo)
Valor
Critical Error (Error Crtico)
Debug high (Depuracin alto)
Debug low (Depuracin bajo)
Debug mid (Depuracin medio)
Diagnostic (Diagnstico)
Emergency - System Unusable (Emergencia Sistema

Inutilizable)
Error
Informational (Informativo)
Internal max (Mx. Interno)
Max (Mx.)
Notification (Notificacin)
System Alert (Alerta del Sistema)
Undefined (No Definido)
Warning (Aviso)
Valores del Campo Accin

La siguiente table muestra las ocurrencias de log ms comunes para el campo Action (Accin).
Tabla 276: valores del Campo Accin
Accin Descripcin
Se permiti una conexin a travs del dispositivo. Esto puede ser una conexin
nueva, una conexin relacionada (p.ej. una conexin de datos de FTP), un
Allow (Permitir) paquete relacionado (p.ej. mensajes de error ICMP relacionados con una
conexin TCP anterior) o una nueva conexin a travs de un tnel VPN
existente.
Discard (Descartar) Una conexin o paquete fue descartado por el dispositivo.
Se permiti pasar una conexin de acuerdo con las Reglas de Inspeccin en el
Permit (Permitir)
dispositivo.
Refuse (Rechazar) Una conexin fue rechazada por el dispositivo.
Terminate (Terminar) Una conexin fue terminada por el dispositivo.
Terminate (failed)
Un intento de terminar una conexin fall.
(Terminar fallado)
Terminate (passive) Una conexin coincidi con una regla con la accin de passive Terminate, y
(Terminar pasivo) se gener una entrada de log indicando que la conexin habra sido terminada.
Terminate (reset) Una conexin fue terminada por el dispositivo y se enviaron TCP resets a
(Terminar reset) ambos hosts en comunicacin.
Wait for
Authentication Una conexin estaba esperando por una autenticacin exitosa de usuario antes
(Esperaar de poder continuar.
Autenticacin)
Wait for Further
Actions (Esperar Una conexin estaba esperando por alguna otra accin antes de poder
Acciones continuar.
Posteriores)
Wait for RPC Reply
Una conexin estaba esperando por una respuesta RPC antes de poder
(Esperar por
continuar..
respuesta RPC)
Valores del Campo Evento

La siguiente tabla muestra las ocurrencias de log ms comunes para el campo Event (Evento).
Tabla 277: Valores del Campo Evento
Evento Descripcin
Se permiti una conexin desde un creador de
Allowed a connection from blacklister
entradas en listas negras
La versin del protocolo de aplicacin usada en el
Application protocol version is not supported
trfico no est soportada.
La versin del protocolo de aplicacin usada en el
Application protocol version not recognised
trfico no fue reconocida.
Se produjo un error en el proceso de autenticacin del
Authentication error
usuario.
Tabla 278: Valores del Campo Evento (Continuacin)
Evento Descripcin
Authentication failed Un usuario no se autentic exitosamente.
Authentication Server does not respond No hay respuesta desde el Servidor de Autenticacin.
Authentication succeeded Un usuario se autentic exitosamente.
Automatic online transition Un dispositivo se puso online automticamente.
Automatic standby transition Un dispositivo se puso en standby automticamente.
El componente que intent enviar una peticin de lista
Blacklister not allowed
negra no est en la lista de Blacklisters Permitidos.
Blacklisting connection closed Se cerr una conexin desde un blacklister.
Todas las entradas de lista negra del dispositivo
Blacklisting entries flushed
fueron eliminadas.
Se elimin una entrada de la lista negra del
Blacklisting entry deleted
dispositivo.
Una entrada de lista negra alcanz el final de su
Blacklisting entry expired
tiempo de Duracin.
El dispositivo es incapaz de conectar con el Log
Can't connect to log server
Server.
Configuration changed Ha cambiado la configuracin del dispositivo.
Configuracin del dispositivo en el momento en que
Configuration information for this connection
se registr la conexin.
La redireccin al Servidor de Inspeccin de
Connection cannot be redirected to CIS due to
Contenidos fall porque no haba regla de NAT para
absence of source NAT rule
redirigir la conexin.
Connection closed Se cerr una conexin.
Connection Discarded Una conexin fue descartada por el dispositivo.
Una conexin se se puso en cola de acuerdo con las
Connection Queued
reglas de QoS.
Connection redirected to Content Inspection Se redirigi una conexin a un Servidor de Inspeccin
Server de Contenidos externo.
Connection Refused Una conexin fue rechazada por el dispositivo.
Connection Terminated Una conexin fue terminada por el dispositivo.
La redireccin al Servidor de Inspeccin de
Data connection cannot be redirected to CIS
Contenidos fall porque no haba regla de NAT para
due to absence of source NAT rule
redirigir la conexin.
Data connection redirected to content Se redirigi una conexin a un Servidor de Inspeccin
inspection server de Contenidos externo.
DHCP message received Se ha recibido un mensaje DHCP.
Evento Descripcin
DHCP Relay address not configured, reply Se descart una respuesta DHCP porque no hay
discarded direccin DHCP configurada en el dispositivo.
DHCP Relay address spoofed, request Se descart una respuesta DHCP porque la direccin
discarded de reenvo DHCP se considera spoofed.
DHCP reply received Se recibi una respuesta DHCP.
DHCP reply sent Se envi una respuesta DHCP.
DHCP request forwarded Se reenvi una peticin DHCP.
DHCP request received Se recibi una peticin DHCP.
DHCP request sent Se envi una peticin DHCP.
Dropped AH packet Se descart un paquete IPsec AH packet.
Dropped ESP packet Se descart un paquete IPsec ESP packet.
Hubo un error al tratar de trasnferir una nueva
Error in receiving a new configuration
configuracin al dispositivo.
Hubo un error al tratar de redirigir una conexin a un
Error with Content Inspection Server
Servidor de Inspeccin de Conteindos externo.
El dispositivo no pudo abrir una conexin relacionada
Failed to allow a related connection to open
con una conexin ya permitida.
El dispositivo fue forzado a pasar a offline como
Force offline by test failure
resultado de una prueba automatizada fallida.
Un administrador orden al dispositivo pasar al estado
Going locked offline by command
offline bloqueado.
Going locked online by command
online bloqueado.
Going offline by command
offline.
El dispositivo pas a offline como resultado de una
Going offline by test failure
prueba automatizada fallida.
Going online by command
online.
Going standby by command
standby.
Hybrid authentication done Autenticacin hbrida completada con xito.
Hybrid authentication failed Autenticacin hbrida fallida.
Se cerr una conexin para la cual no se complet el
Incomplete connection closed
TCP handshake.
Evento Descripcin
Internal engine error Ocurri un error interno en el dispositivo.
Internal error Ocurri un error interno.
Invalid license El dispositivo tiene una licencia no vlida.
Se han configurado opciones no vlidas para un
Invalid properties of custom Protocol Agent
Agente de Protocolo personalizado.
IPsec authentication error Ocurri un error en la autenticacin IPsec.
La configuracin de un Cliente VPN IPsec ha
IPsec client cfg download done
terminado de descargarse.
Ha fallado un intento de descargar la configuracin
IPsec client cfg download failed
para un Cliente VPN IPsec.
La configuracin para un Cliente VPN IPsec fue
IPsec client cfg download from
desacargada por el cliente en la idreccin de origen.
Se ha producido un error en la negociacin IKE para
IPsec IKE error
una VPN IPsec.
LDAP Server does not respond Un Servidor LDAP no est respondiendo.
License exceeded Una licencia basada en throughput se ha excedido.
Los datos en la particin de almacenamiento temporal
Log spool corrupted
de logs se han corrompido.
La particin de almacenamiento temporal de logs del
Log spool is becoming full
dispositivo se est llenando.
New blacklisting entry Se aadi una entrada a la lista negra del dispositivo.
New configuration successfully installed Se instal una nueva configuracin en el dispositivo.
Se permiti una nueva conexin a travs del
New connection
dispositivo.
Se permiti una nueva conexin a travs de un tnel
New VPN connection
VPN existente.
No space left on device El disco duro del dispositivo est lleno.
No suitable NAT rule found Ninguna regla de NAT coincidi con una conexin.
No suitable NAT rule found for related Ninguna regla de NAT coincidi con una conexin
connection relacionada.
Node booted Un nodo de dispositivo se ha arrancado.
Node down Un nodo de dispositivo est caido.
Node up Un nodo de dispositivo est levantado.
Oversized DHCP message discarded Se descart un mensaje DHCP excesivamente largo.
Evento Descripcin
Packet Discarded Un pauqte fue descartado por el dispositivo.
Packet too long Un pauete era demasiado largo.
Packet too short Un paquete era demasiado corto.
Receive ICMP echo Se ha recibido un ICMP echo (ping).
Se permiti una conexin relacionada a travs del
Related Connection
dispositivo. P.ej. una conexin de datos FTP.
Se permiti un paquete relacionado a travs del
Related Packet dispositivo. P.ej. mensajes de error ICMP
relacionados con una conexin TCP previa.
Requested NAT cannot be done Se produjo un error al aplicar NAT al trfico.
Se ha cargado una nueva poltica de seguridad
Security Policy reload
elemento el dispositivo.
Send ICMP echo Se ha enviado un ICMP echo (ping).
Sending DHCP reply failed El dispositivo fall al enviar una respuesta DHCP.
Sending DHCP request failed El dispositivo fall al enviar una peticin DHCP.
El dispositivo est enviando mensajes de
Sending sync messages
sincronizacin.
Server pool member went offline Un miembro del Pool de Servidores pas a offline.
Server pool member went online Un miembro del Pool de Servidores pas a online.
SSL Handshake failed Fall el handshake SSL.
Starting hybrid authentication Autenticacin hbrida iniciada.
Starting IKE initiator negotiation Negociacin de iniciador IKE iniciada.
Starting IKE responder negotiation Negociacin de respondedor IKE iniciada.
Fall la comunicacin de sincronizacin de estado
State sync communication failure
entre nodos del clster.
La configuracin de la comunicacin de sincronizacin
State sync configuration changed
entre nodos del clster ha cambiado.
Unknown DCHP Relay error Ocurri un error desconocido en el reenvo DHCP.
No se ha reconocido un protocolo en el trfico
Unrecognized protocol
registrado.
Went locked offline El dispositivo pas al estado offline bloqueado.
Went locked online El dispositivo pas al estado online bloqueado.
Went offline El dispositivo se ha puesto offline.
Went online El dispositivo se ha puesto online.
Tabla 282: Tabla 4: Valores del Campo Evento (Continuacin)
Evento Descripcin
Went standby El dispositivo se ha puesto en standby.
Un login exitoso en un dispositivo causa un evento que se muestra en la vista de Logs con el
siguiente tipo de mensaje en el campo Info Message: fecha hora login[id]:USUARIO LOGIN
on dispositivo. Un login fallido causa un mensa je del siguiente tipo: fecha hora
login[id]:FAILED LOGIN (#) on dispositivo FOR UNKNOWN.
Mensajes de Log IPsec VPN

Las tablas en esta seccin listan los mensajes de log IPsec VPN ms comunes (Facility=IPsec).
Algunos mensajes slo pueden ser vistos cuando los diagnsticos VPN estn activados durante
las negociaciones VPN. Los mensajes listados aparecen en los campos Information Message
de los logs como mensajes informativos o de error. El campo Situation en algunos de los ogs
contiene mensajes similares.
Notificaciones de VPN (pag. 1005)
Errores de VPN (pag. 1007)
Cdigos de Error de VPN (pag. 1009)
Notificaciones de VPN
La siguiente tabla lista los mensajes que pueden verse en los logs como parte de la operacin
normal IPsec VPN.
Tabla 283: Mensajes Comunes de VPN IPsec en la Operacin Normal
Mensaje Informativo Descripcin

Este mensaje slo es visible cuando estn activados los diagnsticos
IPsec. Es el primer mensaje generado cuando se provocan las
SA traffic selectors local: [...]
negociaciones para una nueva VPN. Sigue la negociacin de un
nuevo tnel VPN.
IKE SA proposal [...] IPsec. Muestra la propiesta que el iniciador en lsa negociaciones
enva al respondedor (se muestra en ambos roles).
Starting IKE main mode
initiator negotiation Inicio de las negociaciones IKE (en modo principal).
Cul mensaje se muestra depende de si la pasarela es el iniciador o
respondedor en la negociacin. Negociaciones repetidas para la
Starting IKE main mode misma conexin son normales en un entorno Multi-Link.
responder negotiation
IKE Phase-1 initiator done [...] Las negociaciones IKE Fase-1 se completaron exitosamente,
comenzarn las negociaciones de Fase-2.
IKE Phase-1 responder done Cul mensaje se muestra depende de si la pasarela es el iniciador o
[...] respondedor en la negociacin.
Tabla 284: Mensajes Comunes de VPN IPsec en la Operacin Normal (Continuacin)
Mensaje Informativo Descripcin

IKE Phase-2 initiator done [...] Las negociaciones IKE Fase-2 se completaron con xito. El tnel
VPN est establecido y deberan aparecer mensajes ESP o AH en
breve.
IKE Phase-2 responder done Cul mensaje se muestra depende de si la pasarela es el iniciador o
[...] respondedor en la negociacin.
Se ha iniciado la autenticacin hbrida para un usuario de cliente
Starting Hybrid Authentication
VPN IPsec StoneGate.
La autenticacin hbrida fue exitosa para un usuario de cliente VPN
Hybrid Authentication Done
IPsec StoneGate.
IKE SA import succeeded Este mensaje slo es visible cuando estn activados los diagnsticos
IPsec. La sincronizacin de la informacin de Fase 1 (IKE) y Fase 2
IPsec SA import succeeded (IPsec) entre dispositivos cortafuegos en clster fue exitosa.
ESP [...] Trfico cifrado atravesando el tnel VPN. Cuando actiav los
AH [...] diagnsticos IPsec puede ver ms de estos mensajes.
IPsec. La otra pasarela identific una SA que no existe en este nodo.
Si esto es un clster, este mensaje es normal cuando la SA ha sido
Unknown IKE cookie negociada con un nodo diferente y la SA correcta se consulta a los
otros nodos, permitiendo que contine la operacin, Este mensaje
tambin puede aparecer si la SA ha sido borrada, por ejemplo, a
causa de agotarse el tiempo de espera o dead peer detection (DPD).
Sending delete notification [...] IPsec. Mensajes entre las pasarelas que forman el tnel informando
al otro extremo de que la pasarela ha eliminado las opciones
Delete notification received indicadas en el mensaje. Como resultado, la otra pasarela tambin
[...] borra las opciones, permitiendo renegociaciones si el tnel todava
se necesita.
Sending IKE SA delete sync
IPsec. Sincronizacin de informacin de borrado de SA entre
Receiving IKE SA expire/delete dispositivos cortafuegos en clster.
sync
La pasarela al otro extremo del tnel ha enviado un mensaje de
Contacto Inicial (indicando que no tiene conocimiento de
negociaciones previas), Si hay SAs antiguas con la pasarela, se
Initial contact notification
eliminan en este punto (las SAs negociadas recientemente no, segn
received
puede indicarse por un mensaje de log posterior). Si existen SAs, la
notificacin puede indicar que el otro extremo ha sido limpiado, por
ejemplo, en un reinicio.
Errores de VPN
La siguiente tabla lista los errpres comunes que indican problemas en un tnel VPN IPsec. Los
mensajes de log le informan acerca de la fase de las negociaciones y proporcionan el mensaje
de error actual, por ejemplo, IKE Phase-2 error: No proposal chosen. La tabla lista slo la parte
del mensaje actual sin detalles variables adicionales como direcciones IP o identificadores.
Tabla 285: Errores Comunes de VPN IPsec
Mensaje de Error Descripcin

Access group mismatch El cliente VPN que se est conectando no est autorizado.
Una de las partes rechaz las credenciales de autenticacin o algo
errneo sucedi durante el proceso de autenticacin. Si el problema
Authentication failed no es aparente en los logs disponibles, active los diagnsticos para
generar logs ms descriptivos que le proporcionen ms informacin
sobre las prximas negociaciones.
Le mtodo de autenticacin usado por la otra pasarela no est
Authentication method
permitido en la configuracin de esta pasarela. Compruebe las
mismatch
opciones en el Perfil de VPN seleccionado para esta VPN.
Can not get policy [...] No
Puede indicar que la pasarela no tiene certificado de VPN vlido.
matching connection
Indica que hay un error en las opciones de granularidad entre las
pasarelas que negocian. En StoneGate, la granularidad se controla
Can not get QM policy [...]
por la opcin de Granularidad de la Asociacin de Seguridad en la
pestaa de Opciones de IPsec del Perfil de VPN.
Could not allocate inbound SPI
Could not create outbound
IPsec rule
Could not register outbound Indicaciones de que la pasarela se ha quedado sin memoria. Las
SPI razones para esto pueden incluir opciones de configuracin
Old outbound SPI entry not inapropiadas (tal como usar la opcin SA per host con un gran
found nmero de hosts) adems de otras consideraciones (tal como
Out of memory especificaciones hardware).
SA install failed
Session attaching failed
Transform creation failed
La deteccin de par muerto (Dead peer detection) comprueba
peridicamente la otra pasarela cuando la VPN est establecida. Si
Dead peer detection failed
no se recibe respuesta, el tnel VPN se cierra. Indica que la otra
IKE peer was found dead [...]
pasarela est cada, no alcanzable o considera que el tnel VPN ya
est cerrado.
Los modos de encapsulacin (AH y/o ESP) no coincidieron entre las
Encapsulation mode mismatch
pasarelas.
IPsec VPN Log Messages 1007

Tabla 286: Errores Comunes de VPN IPsec (Continuacin)

Este mensaje slo es visible cuando estn activados los
IKE error notify received: [...] diagnsticos IPsec. La otra pasarela ha enviado una notificacin de
error que se muestra en este mensaje.
diagnsticos IPsec. Hay un nmero excesivo de nuevos intentos de
IKE negotiation rate-limit
conexin VPN en un corto periodo de ttiempo. Este mecanismo est
reached, discard connection
orientado a proteger al cortafuegos de ciertos tipos de ataques de
denegacin de servicio.
Error genrico. Compruebe los dems mensajes de error para
informacin ms til. Si el problema no es aparente en los logs
Invalid argument
disponibles, active los diagnsticos para generar logs ms
Invalid syntax
detallados que le den ms informacin sobre las prximas
negociaciones.
diagnsticos IPsec. La pasarela VPN del otro extremo del tnel
IPsec SA proposal not envi una propuesta que la pasarela StoneGate no pudo aceptar.
accepted Este mensaje incluye informacin sobre la propuesta rechazada y un
mensaje de log posterior debera contener informacin sobre la
propuesta local de StoneGate.
NAT-T is not allowed for this diagnsticos IPsec. Se solicit NAT-T por la otra pasarela pero no
peer est permitido en la configuracin de la pasarela que enva este
mensaje.
Las negociaciones IKE fallaron. Si el problema no es aparente en los
logs disponibles, active los diagnsticos para generar logs ms
No proposal chosen
detallados que le den ms informacin sobre las prximas
negociaciones.
Muy probablemente debido un error en las claves pre-compartidas
Payload malformed [...] entre el iniciador y el respondedor. Tambin puede deberse a
corrupcin de los paquetes en trnsito.
La direccin IP usada por la otra pasarela no est configurada como
Peer IP address mismatch
un endpoint de pasarela VPN en esta pasarela.
Hay un error en las configuraciones de las dos partes de la
Proposal did not match policy
negociacin.
Un cliente VPN est intentando usar una direccin IP fuera del rango
de direcciones permitido. Asegrese de que todas las direcciones IP
Remote address not allowed vlidas estn realmente incluidas en el rango de direcciones IP
permitidas en las propiedades de la Pasarela VPN Interna y
compruebe la configuracin del servidor DHCP.
Remote ID mismatch El ID de IKE Fase 1 definido para la pasarela de seguridad externa
en StoneGate es diferente del ID con el cual la pasarela se identifica
a s misma. El ID y su tipo se establecen para cada Enpoint de un
Remote identity [...] used in
tnel en las propiedades de la Pasarela externa. Tenga en cuenta
IKE negotiation doesnt match
que si se usa una direccin IP como identidad, la direccin IP usada
to policy [...]
como identidad puede ser diferente de la direccin IP usada para las
comunicaciones.
Normalmente significa que una SA est siendo borrada cuando llega
SA unusable
algn trfico nuevo para usar el tnel.
Tabla 287: Errores Comunes de VPN IPsec (Continuacin)

diagnsticos IPsec. Las negociaciones han fallado y StoneGate est
Sending error notify: [...]
enviando la notificacin de error mostrada en este mensaje a la otra
pasarela.
Muy probablemente indica que las definiciones de Sitio no coinciden
con las direcciones IP usadas. Compruebe las direcciones IP
SPD doesnt allow connection
incluidas bajo los Sitios para ambas pasarelas, y tambin que las
[...]
direcciones trasladadas estn incluidas bajo el Sitio, si se usa NAT
para las comunicaciones dentro de la VPN.
Indica problemas de conexin o que el otro extremo ha borrado la
Timed out SA que StoneGate est usando en la conexin. Compruebe los logs
al otro extremo para ver si la conexin se lleva a cabo.
Hay un error en las configuraciones de las dos partes que negocian.
Traffic selector mismatch Debe definir un par coincidente para todas las opciones; compruebe
doblemente las opciones en ambos extremos.
diagnsticos IPsec. Normalmente indica que las negociaciones IKE
Tunnel policy mismatch [...]
fallaron a causa de un error en las configuraciones de las partes que
las negociaron.
Una regla de Acceso coincidi con esta conexin, pero el trfico no
pudo enviarse a travs de la VPN. Muy probablemente, esto se debe
a que la direccin IP de origen o de destino (probablemente
trasladada) no est incluida en el Sitio de la pasarela local o remota
Tunnel selection failed segn se requiere. Este mensaje tambin aparece si una conexin
que no est dirigida a la VPN coincide con la regla de VPN (tenga en
cuenta que el trfico en claro puede permitirse para las mismas
direcciones que el trfico entunelado on la accin Apply en la regla
de VPN).
diagnsticos IPsec. Slo se ha configurado VPN pasarela-a-pasarela
Tunnel type mismatch [...] o cliente-a-pasarela, pero el dispositivo que se conecta es del otro
tipo. Por ejemplo, un cliente VPN intent conectarse, pero el acceso
del cliente VPN no est configurado (correctmante) en la pasarela.
Cdigos de Error de VPN

Bajo ciertas condiciones, pueden detectarse simultneamente mltiples errores de VPN IPsec y
combinarse en un nico mensaje de log. El error ms significativo se muestra como texto, y los
otros errores detectados se indican usando un cdigo de error hexadecimal combinado (con OR
a nivel de bit).
Ejemplo IKE Phase-1 Initiator error: Proposal did not match policy (100002). Aqu, los cdigos hexadecimales
00100000 para Proposal did not match policy y
00000002 para Peer IP address mismatch) producen el cdigo
00100002 = 100002.
La siguiente tabla muestra los cdigos vlidos para versiones del software de dispositivo 5.0
y superiores.
Tabla 288: Cdigos de Error Hexadecimales en Mensajes de Log de VPN
Cdigo Hex Mensaje de Error

00000020 Access group mismatch
00008000 Authentication method mismatch
00020000 Encapsulation mode mismatch
00000002 Peer IP address mismatch
00100000 Proposal did not match policy
00400000 Remote address not allowed
00000040 Traffic selector mismatch (local)
00000080 Traffic selector mismatch (remote)
00200000 Tunnel type mismatch
00000200 Remote ID mismatch
00000100 Problemas relacionados con la
00000004 configuracin interna. Vea los otros
00000001 mensajes para resolver el problema.
Tipos de Entradas de Auditora

La siguiente tabla explica los tipos de entradas de auditora.
Tabla 289: Tipos de Entrada de Auditora
Tipo Definicin
audit.info Mensajes internos del sistema de auditora.
audit.start Comienzo de auditora.
audit.stop Fin de auditora.
Auditado cuando cambia la direccin IP del management
stonegate.admin.changeIp.mgtserver
server.
Auditado cuando cambia la direccin IP de gestin del log
stonegate.admin.changeMgtIp.logserver
server.
stonegate.admin.comment.change Auditado cuando cambia un comentario.
stonegate.admin.create Creacin de un administrador.
stonegate.admin.delete Borrado de un administrador
Auditado cuando el administrador se conecta al
stonegate.admin.login
management server.
Tabla 290: Tipos de Entrada de Auditora (Continuacin)
Tipo Definicin
Auditado cuando el administrador se desconecta del
stonegate.admin.logout
management server.
stonegate.admin.name.change Cambio de un nombre de administrador
stonegate.admin.password.change Cambio de contrasea para un administrador.
stonegate.admin.permission.change Cambio de permisos para un administrador.
stonegate.admin.session Audita sesiones de administrador.
stonegate.alert Auditado cuando el sistema de gestin enva una alerta.
stonegate.alert.policy.upload Carga de poltica a un servidor de alertas xito o fallo.
Auditado cuando se crea un archivo de datos de
stonegate.audit.archive.create
auditora.
Auditado cuando se borra un archivo de datos de
stonegate.audit.archive.delete
auditora.
Auditado cuando se restaura un archivo de datos de
stonegate.audit.archive.restore
auditora.
Auditado cuando se crea una copia de seguridad en el
stonegate.backup.create
servidor de origen.
Auditado cuando se borra una copia de seguridad en el
stonegate.backup.delete
servidor de origen.
Auditado cuando se restaura una copia de seguridad en
stonegate.backup.restore
el servidor de origen.
stonegate.database.migrate Auditado cuando se migra la base de datos del servidor.
Auditado cuando se cambia la contrasea de la base de
stonegate.database.password.change
datos.
Auditado cuando se pone a ON la opcin de archivo
stonegate.directarchive.start
directo.
Auditado cuando se pone a OFF la opcin de archivo
stonegate.directarchive.stop
directo.
stonegate.export.start Auditado cuando se inicia una operacin de exportacin.
stonegate.firewall.connections.terminate Auditado cuando se termina una conexin.
stonegate.firewall.diagnostic Modo de diagnstico seleccionado para un cortafuegos.
Auditado cuando se desactiva la base de datos de
stonegate.firewall.disable.userdatabase
usuarios.
stonegate.firewall.enable.userdatabase Auditado cuando se activa la base de datos de usuarios.
El cortafuegos llev a cabo el contacto inicial con el
stonegate.firewall.initial.contact
management server.
stonegate.firewall.initial.generate Configuracin inicial generada para un cortafuegos.
Cambio de monitorizacin de un cortafuegos por un
stonegate.firewall.monitor.off
administrador a desactivado.
Cambio de monitorizacin de un cortafuegos por un
stonegate.firewall.monitor.on
administrador a activado.
Carga de poltica a un cortafuegos independiente xito
stonegate.firewall.policy.upload
o fallo.
Tipo Definicin
Un reinicio del cortafuegos por un administrador mediante
stonegate.firewall.reboot
el sistema de gestin.
stonegate.firewall.reset.database Auditado cuando se reinicia la base de datos de usuarios.
Un cambio de estado de un cortafuegos por un
stonegate.firewall.state.lockoffline
administrador a bloqueado offline.
stonegate.firewall.state.lockonline
administrador a bloqueado online.
stonegate.firewall.state.offline
administrador a offline.
stonegate.firewall.state.online
administrador a online.
stonegate.firewall.state.standby
administrador a standby.
stonegate.firewall.time.adjust Ajuste de la hora de un nodo de cortafuegos.
Fin de actualizacin de un nodo de cortafuegos mediante
stonegate.firewall.upgrade.end
Inicio de actualizacin de un nodo de cortafuegos
stonegate.firewall.upgrade.start
mediante el sistema de gestin.
stonegate.import.start Auditado cuando una operacin de importacin se inicia.
stonegate.ips.analyzer.diagnostic Modo diagnstico seleccionado por un analizador.
stonegate.ips.analyzer.monitor.off Modo de monitorizacin offline para un analizador.
stonegate.ips.analyzer.monitor.on Modo de monitorizacin online para un analizador.
Carga de una poltica a un analizador analizador
stonegate.ips.analyzer.policy.upload
independiente clster xito o fallo.
stonegate.ips.analyzer.reboot Analizador reiniciado mediante el sistema de gestin.
stonegate.ips.analyzer.state.lockoffline Estado de analizador cambiado a bloqueado offline.
stonegate.ips.analyzer.state.lockonline Estado de analizador cambiado a bloqueado online.
stonegate.ips.analyzer.state.offline Estado de analizador cambiado a offline.
stonegate.ips.analyzer.state.online Estado de analizador cambiado a online.
stonegate.ips.analyzer.state.standby Estado de analizador cambiado a standby.
stonegate.ips.analyzer.time.adjust Hora de nodo de analizador ajustada.
Fin de actualizacin de un nodo de analizador mediante
stonegate.ips.analyzer.upgrade.end
Inicio de actualizacin de un nodo de analizador
stonegate.ips.analyzer.upgrade.start
mediante el sistema de gestin.
stonegate.ips.sensor.diagnostic Modo diagnstico seleccionado para un sensor.
Tipo Definicin
stonegate.ips.sensor.monitor.off Modo de monitorizacin offline para un sensor.
stonegate.ips.sensor.monitor.on Modo de monitorizacin online para un sensor.
Carga de poltica a un sensor sensor independiente
stonegate.ips.sensor.policy.upload
xito o fallo.
stonegate.ips.sensor.reboot Sensor reiniciado desde el sistema de gestin.
stonegate.ips.sensor.state.lockoffline Estado de sensor cambiado a bloqueado offline.
stonegate.ips.sensor.state.lockonline Estado de sensor cambiado a bloqueado online.
stonegate.ips.sensor.state.offline Estado de sensor cambiado a offline.
Estado de sensor cambiado a online por un
stonegate.ips.sensor.state.online
administrador.
stonegate.ips.sensor.state.standby Estado de sensor cambiado a standby.
stonegate.ips.sensor.time.adjust Tiempo de nodo de sensor ajustado.
Fin de actualizacin de un nodo de sensor mediante el
stonegate.ips.sensor.upgrade.end
sistema de gestin.
Inicio de actualizacin de un nodo de sensor mediante el
stonegate.ips.sensor.upgrade.start
sistema de gestin.
Auditado cuando se activa un fichero de licencia o
stonegate.license.activate
componente licencia.
stonegate.license.delete Auditado cuando se elimina un componente licencia.
stonegate.license.import Auditado cuando se importa un fichero de licencia.
stonegate.license.inactivate Auditado cuando se desactiva una licencia.
Auditado cuando se aborta una tarea programada en el
stonegate.logdatamanager.abort
Log Server.
Auditado cuando se completa una tarea programada en el
stonegate.logdatamanager.complete
Log Server.
Auditado cuando se crea una tarea programada en el Log
stonegate.logdatamanager.create
Server.
Auditado cuando se elimina una tarea programada en el
stonegate.logdatamanager.delete
Log Server.
Auditado cuando se modifica una tarea programada en el
stonegate.logdatamanager.modify
Log Server.
Auditado cuando el usuario arranca una tarea
stonegate.logdatamanager.start
manualmente.
Auditado cuando un filtro de purgado se aplica al Log
stonegate.logpruningfilter.apply
Server.
Auditado cuando un filtro de purgado se elimina del Log
stonegate.logpruningfilter.delete
Server.
Tipo Definicin
Auditado cuando, siguiendo a una reconexin del Log
Server al Management Server, todos los filtros de
stonegate.logpruningfilter.refresh
purgado se recuperan del Management Server y se
reaplican.
stonegate.logreception.start Inicio del proceso de recpecin de logs.
stonegate.logreception.stop Fin del proceso de recpecin de logs.
stonegate.logserver.certify Auditado cuando se certifica el Log Server.
stonegate.mgtserver.certify Auditado cuando se certifica el Management Server.
stonegate.object.delete Auditado cuando se elimina un objeto.
stonegate.object.insert Auditado cuando se aade un nuevo objeto.
stonegate.object.update Auditado cuando se actualiza un objeto.
stonegate.policy.display Generar una poltica para mostrarla.
stonegate.policy.upload.end Fin de una carga de poltica.
stonegate.policy.upload.start Inicio de una carga de poltica.
stonegate.server.diskfull Auditado cuando el disco del Log Server se llena.
stonegate.server.start Auditado cuando se inicia el Log Server.
stonegate.server.stop Auditado cuando se para el Log Server.
Auditado cuando el cliente se descarga un certificado de
stonegate.vpn.certificate.download
VPN.
stonegate.vpn.certificate.request Auditado cuando se solicita un certificado de VPN..
stonegate.vpn.certificate.sign Auditado cuando se firma un certificado de VPN..
stonegate.vpn.gateway.remove Auditado cuando se elimina una pasarela VPN.
stonegate.vpn.site.remove Auditado cuando se elimina un Sitio VPN.
stonegate.vpn.validity.check Auditado cuando se comprueba la validez de una VPN.
Entradas de Syslog
La siguiente tabla presenta las categoras para mensajes que aparecen en entradas de log
enviadas a un servidor de syslog externo.
Tabla 294: Entradas de Syslog
Valor
Clock daemon for BSD systems Demonio Reloj para sistemas BSD
Clock daemon for System V systems Demonio Reloj para sistemas System V
Tabla 295: Entradas de Syslog (Continuacin)

Valor
File transfer protocol Protocolo de Transferencia de ficheros
Kernel messages Mensajes del Kernel
Line printer subsystem Subsistema de impresora de lneas
Mail system Sistema de correo
Messages generated internally by syslogd Mensajes generados internamente por syslogd
Network news subsystem Subsistema de noticias de red
Network time protocol Protocolo de tiempo en red
Random user-level messages Mensajes aleatorios de nivel de usuario
Security/authorization messages Mensajes de seguridad/autorizacin
Security/authorization messages (private) Mensajes de seguridad/autorizacin (privados)
System daemons Demonios del sistema
UUCP subsystem Subsistema UUCP
Campos de Log Controlados por la Opcin de Payload Adicional

La siguiente tabla presenta los campos de log que pueden registrarse cuando la opcin de
Payload Adicional (Additional Payload) est seleccionada en las opciones de Logging de
una regla de Inspeccin.
Tabla 296: Campos de Log de Payload Adicional

Valor
DNS qname
FTP command
FTP reply
FTP server banner
HTTP header
HTTP header name
HTTP request URI
HTTP request method
HTTP request version
ICMP field datagram reference
Imf encoded word

Tabla 297: Campos de Log de Payload Adicional (Continuacin)

Valor
Imf header field
Imf token
SMTP command
SMTP misplaced command
SMTP recipient
SMTP reply
SMTP reverse path
SMTP server banner
Estados de Conexin
Los siguientes estados se usan tanto en la columna State (Estado) en la vista de
Conexiones y (en parte) en la vista de Logs en conjuncin con mensajes informativos o logs
sobre el cierre de conexiones. Reflejan los estados estndar acerca del inicio y terminacin
de conexiones TCP segn las ve el cortafuegos en las transmisiones. La siguiente tabla lista
los estados posibles.
Tabla 298: Estados de Conexin
Estado Descripcin
CP established Se ha reconocido un paquete de protocolo de clster de StoneGate.
ICMP echo Se espera una respuesta Ping.
ICMP reply wait Otros tipos de peticiones/respuestas ICMP.
Invalid La comunicacin ha violado el protocolo.
IPsec established Se ha reconocido un paquete de tnel IPsec.
New Se est abriendo una nueva conexin.
Related Se espera en breve una nueva conexin relacionada con una existente.
Remove La conexin no puede ser eliminada fsicamente todava.
Esperando ver algunos paquetes (paqquete de reset mltiple), por lo
Remove soon tanto retrasando la eliminacin algunos segundos. Elimina un filtrado
innecesario de paquetes y un posible registro de paquetes descartados.
TCP close wait Un extremo de la conexin espera el paquete FIN (cierre pasivo).
Eperando un ACK para el FIN antes de pasar a estado espera de cierre
TCP close wait ack
(cierre pasivo).
Paquete de cierre (FIN) enviado por un extremo de la conexin
TCP closing
(simultneo).
Tabla 299: Estados de Conexin (Continuacin)
Estado Descripcin
Esperando un ACK para el FIN antes de pasar a estado cerrado (cierre
TCP closing ack
activo).
TCP established Estados normal de conexiones TCP para transferencia de datos.
Un extremo de la conexin espera a mandar el paquete FIN (cierre
TCP fin wait 1
activo).
TCP fin wait 2 Un extremo de la conexin espera recibir el paquete ACK.
TCP last ack Un extremo de la conexin envi un paquete FIN (cierre pasivo).
TCP last ack wait Esperando a que se reconozca el paquete FIN.
Segunda fase del handshae a tres bandas TCP, el servidor ha replicado
TCP syn ack seen al SYN enviado por el cliente con SYN+ACK, el siguiente estado ser
establecida.
TCP syn fin seen Conexin T/TCP (Transactional TCP TCP Transaccional), RFC 1644.
TCP syn return Recibido un SYN simultneo del otro extremo (apertura simultnea).
TCP syn seen El primer paquete enviado por un extremo de la conexin.
TCP time wait Paquete de cierre reconocido por un extremo de la conexin (FIN).
Esperando un ACK para el estado FIN antes de pasar a estado time
TCP time wait ack
wait (cierre activo).
UDP established Se ha reconocido una conexin UDP.
Unknown established Conexin desde otro protocolo de nivel de transporte.
Apndices - Atajos de Teclado 1019
APNDICE H
ATAJOS DE TECLADO
Este captulo explica los atajos de teclado que puede usar en el StoneGate Management
Client. La mayora de estos atajos tambin se muestran en los mens del Management
Client al lado de cada men que tiene un atajo.
Atajos de Teclado Generales (pag. 1020)

Atajos para Explorar Logs y Alertas (pag. 1021)
Otros Atajos Especficos de Vista (pag. 1023)
Atajos de Teclado Generales

La siguiente tabla lista los atajos de teclado generales que estn disponibles en la amyora
de vistas del Management Client.
Tabla 300: Atajos de Teclado Generales
Accin Atajo de Teclado

Bookmark all tabs (Marcar todas las
Ctrl+May+D
pestaas como favoritos)
Bookmark current view (Marcar como
Ctrl+D
favorito la vista actual)
Cancel (Cancelar) Escape
Close tab (Cerrar pestaa) Ctrl+W
Close view (Cerrar vista) Ctrl+Q
Close window (Cerrar ventana) ALT+F4
Copy (Copiar) Ctrl+C
Cut (Cortar) Ctrl+X
Delete, Remove (Eliminar) Delete
Go up/down/left/right (Ir arriba, abajo, Tecla de flecha
izquierda, derecha) arriba/abajo/izquierda/Derecha
Manage bookmarks (Gestionar favoritos) Ctrl+B
Maximize/Restore (Maximizar/Restaurar) Ctrl+M
Move to home level in element tree
(Mover al nivel home en el rbol de F12, Alt+Flecha arriba
elementos)
Move to parent folder in element tree
(Mover a la carpeta superior en el rbol Backspace
de elementos)
Open action in new tab (Abrir accin
Ctrl+botn izquierdo ratn
enuna pestaa nueva)
Open action in new window (Abrir accin
May+botn izquierdo ratn
en una ventana nueva)
Open a new tab (Abrir una nueva
Ctrl+T
pestaa)
Open a new window (Abrir una nueva
Ctrl+N
ventana)
Open current view in new tab (Abrir vista
Ctrl+May+T
actual en una nueva pestaa)
Open current view in new window (Abrior
Ctrl+May+N
vista actual en una nueva ventana)
Open help topics (Abrir ayuda online) F1
Open Info panel (Abrir panel Info) May+F1
Open list of view-specific tools (Abrir lista
Alt+T
de herramientas especficas de vista)
Open Logs view (Abrir vista de Logs) Ctrl+1
Open properties of the selected
Element (Abrir propiedades del elemento Ctrl+R
seleccionado)
Tabla 301: Atajos de Teclado Generales (Continuacin)
Accin Atajo de Teclado

Open sidebar (Abrir barra lateral) F4
Paste (Pegar) Ctrl+V
Print (Imprimir) Ctrl+P
Refresh (Refrescar) F5
Save (Guardar) Ctrl+S
Search (Buscar) Ctrl+F
Search references (Buscar referencias) Ctrl+G
Select all (Sleccionar todo) Ctrl+A
Switch between open tabs (Cambiar
Ctrl+Tab
entre pestaas abiertas)
Atajos para Explorar Logs y Alertas

La siguiente tabla explica los atajo disponibles para explorar los diferentes tipos de logs en las vistas
de Auditora, Listas Negras, Conexiones y Logs.
Tabla 302: Atajos de Teclado en Vistas de Exploracin de Logs
Contexto Accin Atajo

Vista de Auditora, Vista de Logs Abortar consulta Escape
Vista de Auditora, Vista de Logs Reconocer alerta seleccionada Espacio
Vista de Auditora, Vista de Logs Aplicar consulta Ctrl+Enter
Vista de Auditora, Vista de Logs Cancelar consulta May+Escape
Vista de Auditora, Vista de Logs Seleccionar Columnas Ctrl+L
Vista de Auditora, Vista de Logs Modo Eventos Actuales on/off F11
Vista de Auditora, Vista de Logs Disminuir tamao de texto Ctrl+May+-
Vista de Auditora, Vista de Logs Aplicar rango de tiempo F9
Vista de Auditora, Vista de Logs Ir al primer registro de log Ctrl+Inicio
Vista de Auditora, Vista de Logs Ir al ltimo registro de log Ctrl+Fin
Vista de Auditora, Vista de Logs Aumentar tamao de texto Ctrl+May++
Saltar hacia atrs en la lnea
Vista de Auditora, Vista de Logs Ctrl+ Ret Pag
de tiempo
Saltar hacia adelante en la
Vista de Auditora, Vista de Logs Ctrl+ Av Pag
lnea de tiempo
Vista de Auditora, Vista de Logs Refrescar Estadsticas F6
Tabla 303: Atajos de Teclado en Vistas de Exploracin de Logs (Continuacin)
Context Action Shortcut

Flecha
Vista de Auditora, Vista de Logs Desplazamiento horizontal
Izquierda/Derecha
Desplazar una pgina
Vista de Auditora, Vista de Logs Ret Pag/AV Pag
arriba/abajo
Vista de Auditora, Vista de Logs Desplazar Arriba/Abajo Flecha Arriba/Abajo
Vista de Auditora, Vista de Logs Tamao de Texto Normal Ctrl+May+Cero
Vista de Auditora, Vista de Logs Zoom in en la lnea de tiempo Ctrl++
Vista de Auditora, Vista de Logs Zoom out en la lnea de tiempo Ctrl+-
Vista de Auditora, Vista de Lista
Aumentar/disminuir tamao del
Negra, Vista de Conexiones, Ctrl+rueda del ratn
texto
Vista de Logs
Vista de Lista Negra, Vista de
Pausa F7
Conexiones
Vista de Lista Negra, Vista de
Play F11
Conexiones
Vista de Lista Negra Eliminar entrada Suprimir
Vista de Conexiones Terminar Conexin Suprimir
Panel de Consultas Aplicar consulta Ctrl+Enter
Panel de Consultas Cancelar consulta May+Escape
Otros Atajos Especficos de Vista

La tabla siguiente lista otros atajos de teclado tiles que estn disponibles en
diferentes vistas en el Management Client.
Tabla 304: Otros Atajos de Teclado
Contexto Accin Atajo

Editor de Diagramas Zoom In Ctrl++
Editor de Diagramas Zoom Out Ctrl+-
Editor de Diagramas, Editor de
Rehacer Ctrl+Y
Poltica de Seguridad
Deshacer Ctrl+Z
Poltica de Seguridad
Poltica de Seguridad, Editor de Cerrar editor May+Escape
VPNs
Poltica de Seguridad, Editor de Emoezar la edicin Ctrl+E
VPNs
Panel de Informacin Examinar Ctrl+Espacio
Vista de Visn General, Vista de Volver a la tlima versin
May+Escape
Informes guardada
Editor de Poltica de Seguridad Aadir reglas despus Ctrl+Insertar
Editor de Poltica de Seguridad Borrar celda Suprimir
Colapsar seccin de Comentario
Editor de Poltica de Seguridad Flecha izquierda
de Regla/seccin de sub-poltica
Editor de Poltica de Seguridad Eliminar regla Ctrl+Suprimir
Editor de Poltica de Seguridad Editar celda F2
Expandir seccin de Comentario
Editor de Poltica de Seguridad Flecha derecha
de Regla/seccin de sub-poltica
Alt+Flecha
Editor de Poltica de Seguridad Mover regla abajo
izquierda
Editor de Poltica de Seguridad Mover regla arriba Alt+Flecha arriba
Buscar siguiente regla
Editor de Poltica de Seguridad F3
coincidente
Editor de Poltica de Seguridad Buscar anterior regla coincidente Shift+F3
Apndices - Glosario 1025
GLOSARIO
A
Access Control List (Lista de Control de Acceso)
Una lista de Elementos que puede usarse para definir los Elementos a los que un administrador
con permisos restringidos puede acceder. Vea tambin Administrator Role (Rol de
Administrador) y Granted Element (Elemento Permitido).
Access Rule (Regla de Acceso)
Una fila en una poltica de Cortafuegos o IPS que define como se gestiona un tipo de conexin
IPv4 proporcionando criterios de cumplimiento basados en el origen, destino e informacin de
protocolo. Consulte IPv6 Access Rule (Regla de Acceso IPv6 - pag. 1038).
Action (Accin)
Qu debera hacer el dispositivo cortafuegos con un paquete que coincide con el criterio para
una regla particular en la poltica de seguridad.
Action Option (Opcin de Accin)
Selecciones adicionales especficas de la accin onfiguradas en la celda Action en las reglas
que afectan a cmo se gestiona el trfico.
Active Management Server (Management Server Activo)

Vea Primary Management Server (Management Server Primario - pag. 1044).
Address Range (Rango de Direcciones)
Un Elemento de Red (Network Element) que define un rango de direcciones IP. Usado para
evitar tener que introducir las mismas direcciones IP cuando se definen rangos de direcciones
que no corresponden con redes completas.
Address Resolution Protocol (ARP) (Protocolo de Resolucin de Direcciones)
Un protocolo estndar de Internet (RFC 826) usado para asociar direcciones IP con la
direccin hardware del medio de una tarjeta de interfaz de red en una red de rea local
(LAN).
Administrator (Administrador)
Un Elemento (Element) que define los detalles de una persona nica que tiene permiso para
conectarse al SMC usando el Management Client. Si se usa como trmino general, los
usuarios del Web Portal tambin se consideran administradores.
Administrator Role (Rol de Administrador)
Un Elemento que define qu acciones tiene permiso para tomar un Administrador
(Administrator) con permisos retringidos. Vea tambin Granted Element (Elemento Permitido) y
Permission Level (Nivel de Permisos).
Aggressive Mode (Modo Agresivo)

La autenticacin de dos endpoints IPsec con slo tres mensajes, en oposicin a los seis del
Modo principal (Main Mode). El modo Agresivo no proporciona soporte para PFS, y la
negociacin de SA es limitada. Vea Main Mode (Modo principal - pag. 1040). Vea tambin
Security Association (SA) (Asociacin de Seguridad - pag. 1047).
AH (Authentication Header) (Cabecera de Autenticacin)
Vea Authentication Header (AH) (pag. 1028).
Alert Chain (Cadena de Alerta)
Una lista de reglas definiendo qu Canales de Alerta (Alert Channels) se usan, y en qu orden,
cuando una entrada de alerta se redirige a la Cadena de Alerta desde una Poltica de Alertas
(Alert Policy) para ser escalada desde el Management Center. Vea tambin Alert Escalation
(Escalado de Alertas).
Alert Channel (Canal de Alerta)
Un mtodo de enviar alertas desde el Log Server. Puede enviar alertas via SMTP (e-mail),
SNMP, mensajes de texto SMS, oa alguna otra accin que defina en un script personalizado.
Los Canales de Alerta se definen en las propiedades del Log Server, tras lo cual pueden usarse
en Cadenas de Alerta (Alert Chains).
Alert Element (Elemento de Alerta)
Un Elemento (Element) que proporciona el nombre y descripcin de un Evento de Alerta
(Alert Event). El elemento Alerta puede usarse como criterio de coincidencia en las reglas de
una Poltica de Alertas (Alert Policy).
Alert Entry (Entrada de Alerta)
Un mensaje de log con estdo de alerta que ha sido lanzado en base a alguna Situacin
(Situation) (que puede ver en la vista de Logs - Logs View). Las entradas de Alerta provocan
el Escalado de Alertas (Alert Escalation).
Alert Escalation (Escalado de Alertas)
Envo de alertas desde el Management Center a administradores mediante Canales de Alerta
(Alert Channels) (tales como e-mail) de acuerdo con una Cadena de Alerta (Alert Chain)
predefinida hasta que la Entrada de Alerta (Alert Entry) original es reconocida por algn
administrador en la Vista de Logs (Logs View).
Alert Event (Evento de Alerta)
Un patrn en el trfico o un problema es la operacin del sistema que coincide con alguna
Situacin (Situation) usada en una poltica o internamente en el sistema, y por tanto provoca
una Entrada de Alerta (Alert Entry).
Alert Policy (Poltica de Alerta)
Una lista de reglas definiendo si una Entrada de Alerta (Alert Entry) se escala y qu Cadena de
Alerta (Alert Chain) se usa para escalar qu tipo de entradas de alerta. Vea tambin Alert
Escalation (Escalado de Alertas).
Alert Server (Servidor de Alertas)
Un componente del StoneGate Management Center que gestiona la recepcin y el manejo de
Alertas. El Servidor de Alertas no puede instalarse separadamente, est integrado en la
instalacin del Log Server.
Alias
Un Elemento (Element) que puede usarse para representar otros elementos de red en
configuraciones. Difiere de un elemento grupo en que no representa todos los elementos a la
vez: el valor que toma puede ser diferente en cada dispositivo donde se usa.
Allow Action (Accin Permitir)

Un parmetro de Regla de Acceso (Access Rule) que permite una conexin que coincide con
una regla que pase a travs del cortafuegos hacia su destino.
Analyzer (Analizador)
Un dispositivo en el sistema StoneGate IPS que analiza la informacin de logs desde los
Sensores (Sensors) de acuerdo con su poltica para encontrar patrones, de forma que las
entradas de los separadas pueden combinarse.
El Elemento de Red (Network Element) que representa un dispositivo Analizador en el
Management Center.
Antispoofing
Tcnica usada para proteger contra paquetes maliciosos cuya informacin de cabecera ha sido
alterada. Vea tambin IP Spoofing (pag. 1038).
Application (Aplicacin)
Una cateora de Tags para Situaciones (Situations). Orientado a agrupar Situaciones que detecan
vulnerabilidades conocidas en una particular aplicacin software.
Application Layer Gateway; Application Level Firewall (Pasarela de Nivel de Aplicacin;
Cortafuegos de Nivel de Aplicacin)
Un sistema cortafuegos, o pasarela, en el cual los paquetes se examinan en base al protocolo de
aplicacin usado (p.ej., telnet, FTP, SMTP). En la pasarela se instalan Proxies para cada servicio
de nivel de aplicacin, que a menudo se configuran para actuar de intermediarios en una
conversacin entre dos sistemas. Es decir, el destino de un paquete es la pasarela, que a su vez
establece una conexin separada al otro sistema para completar la conexin.
Apply VPN Action (Accin Aplicar VPN)
Un parmetro de una Regla de Acceso (Access Rule) del Cortafuegos que dirige el trfico desde
redes locales protegidas hacia un tnel VPN y permite el trfico que llega a travs de la VPN, pero
no se aplica al trfico no-VPN desde redes externas hacia las redes protegidas. Vea tambin
Enforce VPN Action (Accin Forzar VPN - pag. 1034).
ARP (Address Resolution Protocol)
Vea Address Resolution Protocol (ARP) (pag. 1025).
Asymmetric Encryption (Cifrado Asimtrico)
Una tecnologa criptogrfica que usa una pareja de claves. El mensaje se cifra con la parte pblica
de una pareja y puede ser descifrado slo con la parte privada correspondiente de la pareja. La
tecnologa de clave pblica puede usarse para crear firmas digitales y tratar con problemas de
gestin de claves.. Tambin conocido como cifrado de clave pblica. Vea tambien Symmetric
Encryption (Cifrado Simtrico - pag. 1050) y Public-key Cryptography (Criptografa de Clave Pblica
- pag. 1045).
Auditing (Auditora)
Una funcionalidad del Management Center que registra las acciones de los administradores y
permite a los administradores con privilegios ilimitados ver y gestionar estos registros para seguir la
pista de los cambios del sistema.
Authentication (Autenticacin)
El proceso de probar que alguien o algo es quien dice ser. Por ejemplo, escribir una simple
combinacin usuario-contrasea es una forma de autenticacin.
Authentication Header (AH) (Cabecera de Autenticacin)

Un protocolo de seguridad soportado por el protocolo IPsec para mejorar la seguridad del
trfico. Garantiza la autenticacin e integridad de los datos contra la corrupcin o manipulacin
de los paquetes. El protocolo AH puede usar SHA-1 o MD5 para generar una firma hash basada
en un componente secreto de la SA, el payload del paquete y algunas partes de su cabecera.
Vea tambin Security Association (SA) (Asociacin de Seguridad - pag. 1047).
Authentication Token/Authenticator (Token de Autenticacin/Autenticador)
Un dispositivo porttil para autenticar a un usuario. Los tokens de autenticacin tpicamente
operan por desafo/respuesta, secuencias de cdigo basadas en tiempos u otras tcnicas. Uno
de los tokens ms usados es la tarjeta RSA SecurID.
Authorization (Autorizacin)
El proceso de dar a alguien/algo permiso para hacer o tener algo. Normalment relacionado con
la autenticacin; una vez un usuariose ha autenticado (probado quin es), est autorizado (tiene
permiso) para ejecutar determinadas acciones.
B
Balancing Mode (Modo de Balanceo)
Un modo de clster de StoneGate que intenta repartir el trfico tan equitativamente como sea
posible entre los dispositivos online participantes en el clster. Relacionado con Standby Mode
(Modo Standby - pag. 1049).
Bandwidth Management (Gestin del Ancho de Banda)
El proceso de determinar y aplicar lmites y garantas de ancho de banda para diferentes tipos
de trfico bien junto con la Priorizacin del Trfico (Traffic Prioritization) o por su cuenta. Vea
tambin QoS Class (Clase de QoS - pag. 1045) y QoS Policy (Poltica de QoS - pag. 1045).
Blacklisting (Listas Negras)
El proceso de bloquear trfico de red no deseado manual o automticamente.
Bloquear persistentemente el acceso a ciertas URLs de forma manual.
Bookmark (Favorito)
Un enlace guardado a una vista o diseo en el Management Client.
Bookmark Folder (Carpeta de Favoritos)
Una carpeta en la barra de herramientas del Management Client para guardar y compartir
Bookmarks.
Boot Recovery (Recuperacin de Arranque)
Una opcin de StoneGate que pone online el dispositivo automticamente tras el arranque.
Border Routing (Enrutamiento Frontera)
Enrutamiento de conexiones entre diferentes sistemas autnomos.
BrightCloud
Un servicio de categorizacin de Filtrado Web (Web Filtering) que proporciona categoras
para sitios maliciosos as como varias categoras para diferentes tipos de contenidos no
maliciosos que pueden considerarse no deseables.
Buffer Overflow
Cuando los datos de un programa en la memoria de un ordenador exceden el espacio
reservado para ellos (el buffer), los datos en algunas circunstancias pueden escribirse en otras
partes del rea de memoria. Los atacantes pueden usar buffer overflows para ejecutar cdigo
daino en un sistema remoto.
Bugtraq
Una lista de correo para discutir temas relacionados con la seguridad de red, tales como
vulnerabilidades.
Bulk Encryption Algorithm (Algoritmo de Cifrado Bulk)
Describe algoritmos de cifrado simtricos que operan sobre bloques de tamao fijo de texto en
claro y generan un bloque de texto cifrado para cada uno.
C
CA
Vea Certificate Authority (CA) (Autoridad de Certifiacin - pag. 1029).
CAN
Un candidato para una entrada CVE.
Capture Interface (Interfaz de Captura)
Un interfaz de Sensor que puede escuchar al trfico que pasa por la red, pero que no se usa
para enrutar trfico a travs del Sensor. Vea tambin Inline Interface (Interfaz Inline).
Category (Categora)
Una forma de organizar elementos y polticas para mostrar un subconjunto especfico a la vez
cuando se configura un sistema StoneGate grande en el Management Client para hacer ms fcil
encontrar los elementos relevantes cuando se configura el sistema. Por ejemplo, un Proveedor de
Servicios Gestionados que gestiona redes de varios clientes diferentes puede aladir una categora
especfica de cliente a cada elemento y poltica para poder ver los elementos y polticas de un
cliente determinado de una vez.
Certificate (Certificado)
Identificacin electrnica de un usuario o dispositivo. Los certificados prueban que el usuario o
dispositivo es quien dice ser. Esto se hace usando pares de claves /pblic/privada y firmas
digitales, Los certificados se usan en StoneGate para autenticar las comunicaciones entre los
componentes del sistema y para la autenticacin en Redes Privadas Virtuales (Virtual Private
Network (VPN)). Los Certificados Digitales son concedidos y verificados por una Autoridad de
Certificacin (Certificate Authority (CA)), tal como la CA interna incluida en el Management Server.
Certificate Authority (CA) (Autoridad de Certificacin)
Una organizacin o compaa tercera de confianza que emite certificados digitales, usada para
crear firmas digitales y pares de claves pblica/privada. El rol de la CA en este proceso es
garantizar que el individu al que se concede el certificado nico es, de hecho, quien dice ser.
Challenge/Response (Desafo/Respuesta)
Una tcnica de autenticacin donde un servidor enva un desafo impredecible a un usuario, que
calcula una respuesta usando algn tipo de token de autenticacin, que puede ser un
autenticador, o claves pre-compartidas usadas para cifrar datos aleatorios.
Checksum
Un funcin de un solo sentido aplicada a un fichero para producir una huella nica del fichero
para posteriores referencias. La manipulacin del fichero puede ser as descubierta verificando
el valor del checksum en el futuro.
CIS
Vea Content Inspection Server (CIS) (Servidor de Inspeccin de Contenido - pag. 1031).
Client (Cliente)
En una arquitectura cliente-servidor, un cliente es normalmente una aplicacin ejecutndose en
un ordenador que usa servicios porporcionados por un Servidor (Server).
Client Protection Certificate Authority (Autoridad de Certificacin de Proteccin de
Cliente)
Contiene las credenciales que usa el dispositivo para firmar certificados de sustitucin del lado
del servidor que el dispositivo crea y presenta a los clientes cuando inspecciona las
conexiones HTTPS de los clientes con servidores externos. Vea tambin Server Protection
Credentials (Credenciales de proteccin del Servidor - pag. 1048).
Client-to-Gateway VPN (VPN Cliente-a-Pasarela)
Una Red Privada Virtual (Virtual Private Network (VPN)) entre un cliente software y una
Pasarela de Seguridad (Security Gateway (SGW)). Permite conectar a trabajadores mviles de
forma segura a recursos corporativos usando una conexin segura (autenticada y cifrada) a
travs de redes inseguras.
Cluster
Un grupo de dispositivos, o nodos, que comparten una carga de trabajo dada. En StoneGate,
se pueden clusterizar Cortafuegos y Sensores para compartir la carga y proporcionar
redundancia, permitiendo, por ejemplo, tareas de mantenimiento programadas que sacan un
nodo del servicio sin interrumpir los servicios a los usuarios.
Cluster Mode (Modo de Clster)
Determina si todos los miembros de un clster participan en procesar el trfico siempre
(Balancing Mode Modo Balanceo) o si otros miembros permanecen inactivos hasta que un
miembro activo deja de procesar trfico (Standby Mode Modo Standby).
Cluster Virtual IP Address (CVI) (Direccin IP Virtual del Clster)
Una direccin IP y MAC compartida por todos los nodos de un clster, que se usa por todos
los nodos en un clster para la comunicacin. Estos interfaces dan al clster una identidad
nica en la red, reduciendo la complejidad del enrutamiento y el diseo de red. Las CVIs
gestionan el trfico dirigido al cortafuegos para su inspeccin en los clsters de cortafuegos.
Combined Sensor-Analyzer (Sensor-Analizador Combinado)
Dispositivo StoneGate IPS que tiene motores de Sensor y Analyzer (Analizador)
ejecutndose simultneamente en el mismo hardware.
El Elemento de Red (Network Element) que representa un Sensor-Analizador Combinado en
el Management Center.
Connection Tracking (Seguimiento de Conexiones)
El conjunto de datos mantenidos para una conexin. Usado para relacionar paquetes
entrantes con conexiones existentes. La informacin de seguimiento de conexiones tambin
incluye informacin necesaria para NAT (Network Address Translation Traslacin de
Direcciones de Red), Load Balanced Routing (Enrutamiento Balanceado) y Protocol Agents
(Agentes de Protocolo). Tambin puede incluir informacin de contabilidad.
Contact Address (Direccin de Contacto)

La direccin IP necesaria para contactar con un dispositivo que tiene una funcin en el
StoneGate Management Center cuando se lleva a cabo NAT (Network Address Translation)
entre los dos dispositivos y por tanto la direccin IP real asignada al interfaz de red no puede
usarse directamente.
Content Inspection Server (CIS) (Servidor de Inspeccin de Contenidos)
Un servidor que lleva a cabo un examen detallado de los datos de una conexin y asiste en
determinar si permitir o descartar los paquetes. Ejemplos comunes incluyen el escaneo de virus o el
filtrado Web. Tambin conocido como content screening.
Continue Action (Accin Continuar)
Un parmetro de poltica que establece valores por defecto a aquellos usados en la regla. Los
valores por defecto se usan en todas las reglas subsiguientes excepto donde sean sobreescritos
hasta que otra regla con la accin Continue cambie los valores o termine la poltica.
Context (Contexto)
Un Elemento (Element) que se aade a una Situacin (Situation) para definir con qu debera
coincidir la Situacin. Proporciona un armazn para definir parmetros, que normalmente se
introducen como una expresin regular, o mediante un grupo de campos y opciones que el
administrador ajusta.
Correlation Situation (Situain de Correlacin)
Una Situacin (Situation) que define los patrones que el Analizador (Analyzer) busca cuando
examina los datos de eventos producidos por los Sensores (Sensors).
CRL Server (Servidor de CRLs)
Un servidor que mantiene una Lista de Revocacin de Certificados (Certificate Revocation List
(CRL)) que puede usarse en la Autenticacin para comprobar si un certificado ha sido cancelado.
Custom Alert (Alerta Personalizada)
Un Elemento Alerta (Alert Element) definido por un Administrador de StoneGate, en oposicin a
un Elemento por Defecto (Default Element) creado por Stonesoft.
CVE
Un diccionario que proporciona nombres comunes para vulnerabilidades y exposiciones de
seguridad conocidas pblicamente y una descripcin estandarizada de cada vulnerabilidad que
enlaza la informacin de vulnerabilidad de diferentes herramientas y bases de datos.
CVI
Vea Cluster Virtual IP Address (CVI) (pag. 1030).
D
Default Element (Elemento por Defecto)
Un Elemento que est presente en el sistema en la instalacin, o se aade al sistema durante una
actualizacin o desde una Actualizacin Dinmica (Dynamic Update (Package)). Los elementos
por Defecto no pueden modificarse ni eliminarse por los administradores, pero pueden ser
modificados por actualizaciones o puestas al da dinmicas.
Defragmentation (Desfragmentacin)
El proceso por el cual un bloque grande de datos se divide en trozos ms pequeos
(datagramas), de forma que puedan ser empaquetados y transmitidos por la tecnologa de red
subyacente (Fragmentation). Una vez los trozos pequeos llegan a su destino, los datagramas
se reensamblan en el bloque grande de datos (Desfragmentacin).
DHCP (Dynamic Host Configuration Protocol)
Un protocolo para asignar dinmicamente direcciones IP y otra informacin de red a un interfaz,
basado en BOOTP. Un dispositivo en una red sin informacin de red puede solicitar una
direccin IP, mscara de red, pasarela por defecto y otra informacin a un servidor DHCP en la
misma red local. DHCP se define en la RFC 2131.
Diagram (Diagrama)
Un Elemento que contiene uno o ms diagramas de red creados usando el Editor de Diagramas.
Digital Certificate (Certificado Digital)
Vea Certificate (pag. 1029).
Discard Action (Accin Descartar)
Un parmetro de Regla de Acceso que para todas las conexiones que coincidan con la regla
sin enviar ninguna notificacin al host que intenta conectarse. Relacionado con Refuse Action
(pag. 1045).
Dispatch Clustering
Vea Packet Dispatch (pag. 1043).
DMZ Network (Red Desmilitarizada)
Una DMZ (DeMilitarized Zone Network Red de Zona DesMilitarizada) es una red separada
tanto de las redes internas como de las externas, y conectada mediante una pasarela. A
menudo se usa para aislar hosts bastionados o mquinas disponibles pblicamente, p.ej.
servidores de correo y Web tpicamente se localizan en una red DMZ. A veces tambien se
conoce como screened subnetwork.
DNS Spoofing
Un metodo de ataque donde el nombre DNS de un sistema es asumido por otro sistema
malicioso, bien corrompiendo el cach de DNS de una vctima, o comprometiendo un servidor
de DNS para un dominio vlido. El sistema vctima se redirige as al sistema malicioso en lugar
de al servidor original.
Domain (Dominio)
Los dominios son lmites administrativos que le permiten separar los detalles de configuracin y
otra informacin en el sistema con el propsito de limitar el acceso del administrador.
DoS Attack (Denial of Service) (Ataque de Denegacin de Servicio)
Un ataque con el objetivo de causar suficiente disrupcin en un sistema informtico como para
que sufra su usabilidad para los usuarios legtimos. Por ejemplo, un atacante puede tomar como
objetivo un sitio web de forma que se sobrecargue, y se ralentice tanto que sea inutilizable para
gente que quiera visitarlo.
DSCP (DiffServ Code Point)
El campo Tipo de Servicio (ToS Flag) de Differentiated Services (DiffServ) aadido a los
paquetes en la red.
DSCP Mark (Marca DSCP)

Un campo en las reglas de una Poltica de QoS (QoS Policy) que escribe un marcador
particular DSCP (DiffServ Code Point) en los paquetes, si la Poltica de QoS se aplica en el
interfaz que usan los paquetes para salir del cortafuegos.
DSCP Match (Coincidencia DSCP)
Un campo en las reglas de la Poltica de QoS que asgna la Clase de QoS especificada en la rgla a
los paquetes entrantes que tienen un DSCP (DiffServ Code Point) especfico, si la Poltica de QoS
se aplica al interfaz que los paquetes usan para entrar en el cortafuegos.
Dynamic IP address (Direccin IP Dinmica)
Una direccin IP asignada usando DHCP (Dynamic Host Configuration Protocol).
Dynamic NAT (NAT Dinmico)
Una forma de trasladar las direcciones de red, donde para cada direccin original, se selecciona
una direccin trasladada y posiblemente un puerto de un pool predefinido.
Dynamic Update (Package) (Paquete de Actualizacin Dinmica)
Un fichero suministrado por Stonesoft que proporciona puestas al da para los Elementos por
Defecto y polticas, de forma ms importante para la informacin de Situacin y Vulnerabilidades
que se usa para la inspeccin del trfico en las Reglas de Inspeccin.
E
Element (Elemento)
Un objeto StoneGate que representa el equipamiento en sus redes fsicas o algn rea o concepto
de configuracin. Los elementos pueden, por ejemplo, representar un nico dispositivo tal como un
servidor, un rango de direcciones IP, o alguna ayuda de configuracin en el Management Center,
como una Catgora. Vea tambin Network Element (pag. 1042).
Encryption (Cifrado)
Usado para la seguridad de los datos, el cifrado traslada cualquier dato a un cdigo secreto. El
cifrado de clave pblica y el cifrado simtrico son los principales tipos de cifrado. Descifrar el texto
cifrado en texto en claro requiere el acceso a una clave secreta.
Encryption Domain (Dominio de Encriptacin)
Las redes que se definen como que estn tras una cierta pasarela VPN en una configuracin de
Red Privada Virtual (Virtual Private Network (VPN)).
Encryption Key (Clave de Cifrado)
Los datos que se usan para convertir texto en claro a texto cifrado. En algoritmos simtricos, la
misma clave es la clave de descifrado tambin. En algoritmos de clave pblica, se usa una clave
diferente pero relacionada para convertir el texto cifrado otra vez en texto en claro.
Encryption Policy (Poltica de Cifrado)
Opciones que definen qu metodos de cifrado y autenticacin se usan para establecer una
Red Privada Virtual (Virtual Private Network (VPN)).
Enforce VPN Action (Accin Forzar VPN)

Un parmetro de una Regla de Acceso del cortafuegos que dirige el trfico desde redes locales
protegidas al tnel VPN y permite el trfico que llega a travs de una VPN, y descarta cualquier
trfico no-VPN desde redes externas a la red local cuando coincide con la regla. Vea tambin
Apply VPN Action (pag. 1027).
Engine (Dispositivo/Motor)
El dispositivo que ejecuta el software de cortafuegos, sensor o analizador; un servidor
estndar o un dispositivo StoneGate dedicado. Representado por un Nodo (Node) en el
Management Client.
Ethernet Rules (Reglas Ethernet)
Un conjunto de reglas en la Poltica de IPS que definen qu trfico Ethernet se permite o se
descarta en un Sensor en el modo Transparent Access Control Mode.
Expression (Expresin)
Un Elemento que puede usarse para definir con precisin todo un complejo conjunto de
elementos incluyendo y excluendo elementos usando expresiones lgicas.
External Gateway (Pasarela Externa)
Cualquier Pasarela de Seguridad Security Gateway (SGW) gestionada por un Management
Server diferente de aqul en el que se est configurando la Red Privada Virtual (Virtual Private
Network (VPN)).
F
Filter (Filtro)
Una descripcin de campos de log y sus valores combinados usando operadores con el
propsito de incluir o descartar entradas de log, alertas o auditora. Usado, por ejemplo, para
excluir logs en la Vista de Logs (Logs View) de forma que aquellas entradas que interesan en
un momento determinado puedan encontrarse ms fcilmente.
Firewall (Cortafuegos)
Un Elemento de Red que representa el dispositivo cortafuegos en el Management Center.
Bien un Cortafuegos Independiente (Single Firewall) o un Clster de Cortafuegos (Firewall
Cluster).
El dispositivo que ejecuta el software de cortafuegos StoneGate.
Firewall Cluster (Clster de Cortafuegos)
Un Grupo de dos o ms Dispositivos Cortafuegos (Firewall Engines) que funcionan juntos como
si fueran una nica unidad.
Firewall Engine (Dispositivo Cortafuegos)
El dispositivo sobre el que se ejecuta el software de cortafuegos; un servidor estndar o un
dispositivo StoneGate dedicado. Representado por el Nodo de Cortafuegos (Firewall Node) en
el Management Client.
Firewall Node (Nodo de Cortafuegos)
Un Dispositivo Cortafuegos individual en el Management Client, representando un dispositivo
que ejecuta el software de cortafuegos como parte de un Cluster de Cortafuegos o un
Cortafuegos Individual.
Forward Action (Accin Forward)
Un parmetro de Regla de Acceo del cortafuegos que dirige el trfico desde redes locales
protegidas o desde un tnel VPN a otro tnel VPN.
Fragmentation
El proceso por el cual un bloque grande de datos se divide en trozos ms pequeos (datagramas),
de forma que puedan ser empaquetados y transmitidos por la tecnologa de red subyacente
(Fragmentacin). Una vez los trozos pequeos llegan a su destino, los datagramas se reensamblan
en el bloque grande de datos (Defragmentation).
G
Gateway (Pasarela)
Un dispositivo que proporciona acceso VPN para otros dispositivos.
Gateway Certificate (Certificado de Pasarela)
Un Certificado usado para autenticar a una Pasarela ante otras Pasarelas o Clientes VPN (VPN
Clients) en una VPN.
Gateway Profile (Perfil de Pasarela)
Un elemento que define un conjunto de capacidades relacionadas con VPN que soporta una
Pasarela VPN.
Gateway Settings (Opciones de Pasarela)
Un elemento que contiene opciones generales para los dispositivos cortafuegos/VPN StoneGate
relacionadas con el rendimiento.
Gateway-to-Gateway VPN (VPN Pasarela-a-Pasarela)
En StoneGate, un elemento Virtual Private Network (VPN) configurado de forma que la VPN
se establece entre dos dispositivos pasarela que proporcionan conectividad a redes tras las
pasarelas.
Geolocation (Geolocalizacin)
Elementos que definen una localizacin geogrfica de una direccin IP. Usado para ilustrar redes
y trfico de red en un mapa y otros propsitos informativos en el Management Client.
Granted Element (Elemento Permitido)
Un Elemento o Poltica de Seguridad para el cual un administrador ha recibido permisos para editar
o instalar cuando su Rol de Administrador (Administrator Role) evitara en otro caso que pudiera
hacerlo.
Group (Grupo)
Un Elemento de Red que incluye otros elementos y los representa todos a la vez en polticas y
otras partes de la configuracin. Por ejemplo, puede definir un Grupo de varios servidores Web, y
as usar el elemento Grupo en polticas cuando necesite crear una regla que atae a todos esos
servidores Web.
H
Hardware
Una categora de Tags para Situaciones (Situations). Orientado a agrupar Situaciones que detectan
vulnerabilidades comocidas en aplicaciones que se ejecutan sobre una plataforma hardware
particular.
Hash Signature (Firma Hash)

Un concepto relacionado con la criptografa que se refiere a una huella digital asociada a un
mensaje dado y calculada con algoritmos de un solo sentido. Las firmas hash se usan paara
asegurar la integridad de los datos cifrados, garantizando que no se han manipulado durante
la transmisin. Vea tambin Client-to-Gateway VPN (VPN Cliente-a-Pasarela - pag. 1030), y
SHA-1 (pag. 1048).
Heartbeat
Un protocolo que usan los nodos de un Clster de Cortafuegos o un Clster de Sensores para
monitorizarse entre ellos y para otras tareas necesarias para la colaboracin entre nodos.
High Availability (Alta Disponibilidad)
La implementacin de tecnologa de clster, tecnologa de espera en caliente (hot standby) o
redundancia en general en un sistema para aumentar la disponiblidad de una aplicacin,
servicio o red ms all de lo que un sistema independiente es capaz de proporcionar. Una
disponibilidad mejorada se consigue eliminando todos los puntos de simple fallo, con la
tecnoologa de clster proporcionando el ms alto nivel de disponibilidad.
Host
Un Elemento de Red que representa cualquier dispositivo nico que tiene direccin IP.
Cualquier dispositivo conectado a una red TCP/IP, incluyendo Internet, con una o ms
direcciones IP. Los hosts se distinguen de pasarelas o routers en que no reenvan o enrutan
paquetes a otras redes.
Hot Standby (Espera en Caliente)
Una solucin donde un nodo gestiona la carga de trabajo con el soporte de un nodo de
respaldo, que se hace cargo de las conexiones en caso de fallo del primer nodo.
Hybrid Authentication (Autenticacin Hbrida)
Un sistema que usa tanto Cifrado Asimtrico como Simtrico. Las tcnicas asimtricas se usan
para la gestin de claves y firmas digitales. Los algoritmos simtricos se usan para cifrar el
grueso de los datos con menor consumo de recursos.
I
IKE Proposal (Propuesta IKE)
Los algoritmos de cifrado, mtodos de autenticacin, algoritmos de hash e informacin Diffie-
Hellman sugeridos en el componente Security Association (SA Asociacin de Seguridad) de
una VPN IPsec. El iniciador de un tnel IPsec poede hacer mltiples propuestas, pero el
respondedor slo devuelve una propuesta. Vea tambin Internet Key Exchange (IKE) (pag.
1037) y Security Association (SA) (pag. 1047).
Incident Case (Caso de Incidente)
Un Elemento que pueden usar los administradores para recopliar todos los datos, acciones,
informacin de configuracin del sistema y ficheros relacionados con un incidente especfico de
actividad sospechosa.
Incident History (Historia del Incidente)
Una coleccin de todas las entradas de log y auditora que siguen acciones ejecutadas en una
ventana de Caso de Incidente particular.
Info Panel (Panel de Informacin)

Una pestaa en las ventanas del Management Client que muestra informacin sobre el elemento
seleccionado u otro objeto. La vista Info muestra, por ejemplo, los nodos que pertenecen a un
clster seleccionado.
Inherited Rule (Regla Heredada)
Una regla oculta o visible sobre fondo gris en una Poltica de Seguridad o Plantilla de poltica que
ha sido aadida en una plantilla ms arriba en la jerarqua de polticas de forma que ha sido
trasladada a la poltoca de seguridad o plantilla de seguridad. Las reglas heredadas se aplican
como cualquier otra regla, pero slo pueden editarse en la plantilla donde fueron aadidas
originalmente.
Inline Interface (Interfaz Inline)
Un interfaz de Sensor que combina dos interfaces fsicos, permitiendo que el trfico sea enrutado a
travs de ellos como si el Sensor fera una extensin del cable de red, pero permitiendo al Sensor
monitorizar activamente paquetes y conexiones y pararlos de acuerdo con sus Reglas de Acceso y
de Inspeccin.
Insert Point (Punto de Insercin)
El lugar en una Poltica de Seguridad o Plantilla de Poltica donde se pueden insertar nuevas reglas
cuando an no se han insertado reglas en ese lugar todava (mostrado como una fila verde) o el
lugar en una plantilla de poltica doinde se pueden insertar reglas en polticas heredadas y plantillas
de polticas (mostrado como una fila naranja).
Inspection Rule (Regla de Inspeccin)
Las definiciones en la pestaa Inspeccin en una poltica de Cortafuegos o IPS que definen
opciones para inspeccin en profundidad y reacciones al trfico aceptado en las Reglas de Acceso.
La coincidencia en las reglas de inspeccin se hace en base a informacin coincidente
proporcionada por los elementos Situacin. Relacionada con Access Rule (Regla de Acceso - pag.
1025).
Internal Gateway (Pasarela Interna)
Un dispositivo Cortafuegos/VPN StoneGate gestionado por el mismo Management Server en el
cual se est configurando la Red Privada Virtual (Virtual Private Network (VPN)).
Internal Network (Red Interna)
Las redes y recursos de red que protege StoneGate. En StoneGate no existe el concepto de
redes internas y externas en el sistema.
Internet Key Exchange (IKE) (Intercambio de Claves de Internet)
Un protocolo definido por el estndar IPsec (IP Security Seguridad IP) para intercambiar de
forma segura informacin relacionada con claves entre hosts que se conectan cuando se
establece una Red Privada Virtual (Virtual Private Network (VPN)).
Internet Service Provider (ISP) (Proveedor de Servicio Internet)
Una compaa que proporciona conectividad con Internet a sus sucriptores.
Intrusion Detection System (IDS) (Sistema de Deteccin de Intrusiones)
Un sistema que monnitoriza el trfico de red para determinar, y avisar a los administradores, de
exploits de seguridad de datos o intentos proporcionando logs y otra informacin de red.
Relacionado con Intrusion Prevention System (IPS) (Sistema de Prevencin de Intrusiones).
Intrusion Prevention System (IPS) (Sistema de Prevencin de Intrusiones)

Un sistema que monitoriza el trfico de red (como un Intrusion Detection System (IDS)) y
tiene la capacidad de parar activamente el trfico si se determina como malicioso o no
deseado.
IP Address Bound License (Licencia Asociada a Direccin IP)
Un fichero de Licencia (License) para los dispositivos que incluye la informacin de la direccin
IP del componente que licencia. Si necesuta cambiar la direccin IP del componente, debe
solicitar un cambio de direccin IP en el sitio Web de Licencias de Stonesoft. En dispositivos, es
una alternativa a una Licencia Asociada a Gestin (Management Bound License (pag. 1040)).
IPComp (IP Payload Compression Protocol)
Un protocolo usado para reducir el tamao de los dtaagramas IP. Aumenta el rendimiento
global de las comunicaciones entre un par de pasarelas que se comunican comprimiendo los
datagramas, siempre que los nodos tengan suficiente potencia de cmputo, y la comunicacin
sea sobre enlaces lentos o congestionados. IPComp se define en la RFC 2393.
IP Splicing (o Hijacking)
Un ataque ejecutado interceptando y usando una sesin activa establecida. A menudo ocurre
tras completarse la fase de autenticacin, dando al atacante los permisos del usuario original
autenticado. El cifrado a nivel de sesin o red es tpicamente la mejor defensa ante tales
ataques.
IP Spoofing
Una tcnica usada para obtener acceso no autorizado a ordenadores enviando peticiones de
conexin con cabeceras manipuladas, simulando un origen de confianza.
IPsec (IP Security) (Seguridad IP)
Un conjunto de protocolos que soportan el intercambio seguro de paquetes. Usado para la
implementacin de soluciones de Red Privada Virtual cuando se necesita alto rendimiento y/o
soporte para una amplia variedad de protocolos. IPsec proporciona modos de cifrado de
transporte y de tnel. IPsec se define en la RFC 2401.
IPsec Proposal
Algoritmos de cifrado, algoritmos de hash, mtodos de autenticacin, etc. sugeridos para un
tnel IPsec. Vea tambin IKE Proposal (pag. 1036).
IPS Policy (Poltica de IPS)
La Poltica de Seguridad para Sensores y Analizadores IPS que contiene las definiciones de
Reglas de Acceso y Reglas de Inspeccin que determinan cmo se inspecciona el trfico y
cmo reacciona el sistema cuando encuentra una coincidencia.
IPv6 Access Rule (Regla de Acceso IPv6)
Una fila en una poltica de IPS que define cmo se gestiona un tipo de conexin IPv6
proporcionando criterios de coincidencia basados en la informacin de origen, destino y
protocolo. Relacionado con Access Rule (pag. 1025).
ISAKMP (Internet Security Association Key Management Protocol)
Un protocolo de codificacin de extremos abiertos necesario para las negociaciones IKE
cuando se establecen Asociaciones de Seguridad (SA). Vea tambin Security Association
(SA) (pag. 1047).
ISP (Internet Service Provider) (Proveedor de Servicios Internet)

Vea Internet Service Provider (ISP) (pag. 1037).
J
Journal (Diario)
Una herramienta en la ventana de Casos de Incidentes (Incident Case) que permite a los
administradores crear un registro permanente dee sus acciones mientras investigan un incidente.
Jump Action (Accin Jump)
Un parmetro de la Poltica de Seguridad que dirige la inspeccin a una Sub-Poltica(Sub-Policy),
contra la cual se comprueban las conexiones que cumplen la regla con la accin Jump. Puede
usarse para acelerar el procesado del trfico, puesto que las conexiones que no cumplen las
reglas de jump no se comprueban en las reglas de las sub-polticas.
L
License (Licencia)
Ficheros que importa en el sistema para decirle al Management Server que los componentes que
ha instalado han sido comprados legalmente. Las licencias se generan en el sitio Web de
Licencias de Stonesoft y se importan en el Management Server usando el Management Client.
Lifetime (Tiempo de Vida)
El intervalo en el cual los participantes IPsec deberan empezar a negociar una Asociacin de
Seguridad (SA) de sustitucin (soft lifetime - tiempo de vida soft) o el intervalo en el cual la SA
actual para un tnel IPsec ya no es vlida (hard lifetime tiempo de vida hard) en una Red
Privada Virtual.
Load Balancing (Balanceo de Carga)
Un proceso para distribuir el trabajo equitativamente entre mltiples dispositivos disponibles para
evitar sobrecargar un nico sistema.
Load Balancing Filter (Filtro de Balanceo de Carga)
Un componente software que determina qu conexiones de red deberan ser gestionadas por
un nodo particular de un clster, en base a la informacin de direccin, carga actual,
rendimiento de las mquinas individuales y otros factores.
Load Balanced Routing (Enrutamiento Balanceado en Carga)
Un mtodo pra elegir rutas hacia destinos en base a determinar el tiempo de respuesta ms
rpido a travs de mltiples pasarelas. La aplicacin de la tecnologa Multi-Link para determinar
qu enlace de red proporciona el mejor tiempo de ida y vuelta.
Load Sharing (Reparto de Carga)
La distribucin de la carga entre mltiples dispositivos. Similar al Balanceo de Carga (Load
Balancing), pero no tan efectivo, puesto que las tcnicas usadas no garantizan una distribucin
equitativa de la carga de trabajo. EL reparto de carga es tpicamente un mtodo esttico de
distribuir una carga, mientras que el balanceo de carga es a menudo un mtodo dinmico.
Location (Localizacin)
Un Elemento (Element) que agrupa componentes del sistema que estn del mismo lado de
un dispositivo haciendo NAT (Network Address Translation). Usado para definir Direcciones
de Contacto (Contact Addresses) para componentes que se comunican con el StoneGate
Management Center.
Logging Options (Opciones de Registro)
Una seleccin disponible en todas las reglas en polticas que determina si se crea un registro
cuando se cumple la regla y cmo.
Logging Profile (Perfil de Logging)
Define cmo conveierte el Log Server los datos de Syslog recibidos desde un tipo particular de
componente de terceros en entradas de log de StoneGate.
Log Server (Servidor de Logs)
Un componente del Management Center responsable de almacenar y gestionar los datos de
logs (y alertas).
Log Spool
Un rea de almacenamiento temporal en un nodo de cortafuegos para los datos de log antes de
enviarlos a un Log Server.
Logical Interface (Interfaz Lgico)
Un Elemento de IPS usado en las polticas de IPS para representar uni o ms interfaces de red
segn se define en las propiedades del Sensor.
Logs View (Vista de Logs)
Una herramienta que permite navegar por logs, alertas, dato de auditora y conexiones, en cada
caso en una versin adaptada del mismo interfaz de usuario.
M
Main Mode (Modo Principal)
Un modo de negociacin IKE, que intercambia seis mensajes entre los endpoints de un tnel IPsec
para completar la negociacin de autenticacin y claves para una Red Privada Virtual (Virtual
Private Network - VPN). Opcionalmente, puede aplicarse Perfect Forward Secrecy (PFS) para
proteger negociaciones posteriores. Vea tambin Aggressive Mode (Modo Agresivo - pag. 1026) y
Perfect Forward Secrecy (PFS) (pag. 1043).
Malware
Software malicioso diselado para infiltrarse en un sistema informtico o para daarlo.
Management Bound License (Licencia Asociada a Gestin)
Un fichero de Licencia (License) para dispositivos StoneGate que se basa en la informacin del
cdigo Proof of License (POL Prueba de Licencia) del Management Server. Una alternativa a una
Licencia Aosciada a la Direccin IP (IP Address Bound License - pag. 1038).
Management Center (Centro de Gestin)
El sistema consistente en un Management Server, uno o ms Log Servers y desde ninguno a
varios Web Portal Servers que se usa para gestionar los Dispositivos Cortafuegos, y para
almacenar y gestionar el trfico y los datos relacionados con el sistema.
Management Client (Cliente de Gestin)

Un componente de interfaz grfico de usuario que proporciona las herramientas para configurar,
gestionar y monitorizar los cortafuegos, sensores, analizadores y otros componentes en el sistema
StoneGate. El Management Client conecta con el Management Server para proporcionar estos servicios
en base a la informacin de Administrador que se le proporciona cuando se lanza el software del
Management Client.
Management Network (Red de Gestin)
La red usada para la comunicacin entre cortafuegos, Management Servers, Log Servers y el
Management Client.
Management Server (Servidor de Gestin)
Un componente del sistema que almacena toda la informacin acerca de las configuraciones de
todos los cortafuegos, sensores, analizadores y otros componentes de StoneGate en el sistema,
monitoriza su estado, y proporciona acceso a los Management Clients cuando los administradores
quieren cambiar las configuraciones o gestionar los dispositivos. El componente ms importante del
sistema.
Maximum Transmission Unit (MTU) (Unidad Mxima de Transmisin)
EL tamao fsico ms grande de un datagrama que puede transmitirse a traves de una red sin
fragmentacin. A menudo se expresa en bytes, y puede aplicar a tramas, paquetes, clulas u otro
medio, dependiendo de la tecnologa subyacente.
Modem Interface (Interfaz de Mdem)
Un interfaz de cortafuegos que define las opciones de un mdem 3G que proporciona un enlace
inalmbrico de salida para un Cortafuegos Independiente (Single Firewall).
Monitored Element (Elemento Monitorizado)
Un componente servidor o dispositivo StoneGate que es consultado activamente por el
Management Server, de forma que los administradores pueden llevar un seguimiento de si est
funcionando o no. Todos los componentes del sistema StoneGate se monitorizan por defecto.
Monitoring Agent (Agente de Monitorizacin)
Un componente software que puede ser instalado en servidores en un Pool de Servidores (Server
Pool) para monitorizar la operacin del servidor para propsitos de Gestin de Trfico (Traffic
Management).
Multicast
Una tcnica poor la cual un conjunto de paquetes se envian a un grupo de mquinas que
comparten una direccin comn. Al contrario que broadcast, no incluye a todas las mquinas, y al
contrario que unicast, normalmente tiene ms de un miembro del grupo.
Multi-Layer Inspection (Inspeccin Multicapa)
Una tecnologa de cortafuegos hbrida que incorpora los mejores elementos de los cortafuegos de
nivel de aplicacin y de nivel de red, con tecnolooga adicional para permitir la gestion segura de
muchos tipos de conexiones.
Multi-Link
Tecnologa patentada de Stonesoft para conectar un sitio con otro, o a Internet, usando ms de
un enlace de red. Las aplicaciones de la teconologa Multi-Link incluyen la gestin del trfico
entrante y saliente para trfico no cifrado as como de VPN. Vea tambin Outbound Multi-link
(pag. 1042).
N
NAT (Network Address Translation) (Traslacin de Direcciones de Red)
Un mecanismo para asignar a redes locales un conjunto de direcciones IP para el trfico interno
y otro para el trfico externo. Aumenta la seguridad ocultando las direcciones IP internas y
permite que hosts con direcciones invlidas (no enrutables) se comunique en Internet.
NDI
Vea Node Dedicated IP Address (NDI) (pag. 1042).
NetLink
Un Elemento usado para implementar el enrutamiento de las funcionalidades Multi-Link de
StoneGate. Los NetLinks pueden representar cualquier enlace de red basado en IP (tal como
routers del ISP, xDSL, lneas dedicadas, mdems estndar). Los NetLinks se combinan juntos
en un Outbound Multi-link.
Network Element (Elemento de Red)
Todos los Elementos que representan uno o ms componentes que tienen una direccin IP,
es decir, una categora general (Network Elements Elementos de Red) para aquellos
elementos que representan dispositivos fsicos y redes en StoneGate.
El Elemento de Red llamado Network (Red) que representa una (sub)red de ordenadores.
Se usa en reglas y configuraciones comunes para todos los hosts de una (sub)red especfica.
Network Scan (Escaneo de Red)
Una fase de un ataque en el cual el atacante escanea el objetivo para enumerar o mapear las
redes directamente conectadas.
Node (Nodo)
La representacin de un dispositivo cortafuegos, sensor o analizador individual en el Management
Client.
Node Dedicated IP Address (NDI) (Direccin IP Dedicada del Nodo)

Una direccin IP nica para cada mquina. El nico tipo de interfaz para cortafuegos
independientes. No usado para trfico operativo en clsters y sensores. Los clsters de
cortafuegos usan un segundo tipo de interfaz, Cluster Virtual IP Address (CVI Direccin IP
Virtual del Clster), para el trfico operativo. Los sensores tienen dos tipos de interfaces para la
inspeccin del trfico, el Capture Interface (Interfaz de Captura) y el Inline Interface (Interfaz
Inline o En Lnea).
O
Operating System (Sistema Operativo)
Una categora de Etiquetas (Tags) para Situaciones (Situations). Orientado a agrupar
Situaciones que detectan vulnerabilidades conocidas en un sistema operativo particular o en
aplicaciones que se ejecutan en ese sistema operativo.
Outbound Multi-link (Multi-Link de Salida)
Un Elemento usado para combinar NetLinks para balancear el trfico de salida. Los
NetLinks incluidos en un elemento Outbound Multi-link se comprueban frecuentemente
para determinar cul es el NetLink ms rpido para las nuevas conexiones de salida.
P
Packet (Paquete)
Un segmento de datos enviado a travs de una red que incluye una cabecera con la informacin
necesaria para la transmision, tal como las direcciones IP de origen y de destino.
Packet Dispatch (Despacho de Paquetes)
Un modo de la Cluster Virtual IP Address (CVI) en el cual slo un nodo del clster recibe paquetes.
El nodo dispatcher reenva los paquetes al nodo correcto de acuerdo con el Balanceo de Carga
(Load Balancing), adems de gestionar el trfico como un nodo normal. Es el mdo de clster
recomendado para instalaciones nuevas.
Packet Filtering (Filtrado de Paquetes)
Un mtodo para controlar el acceso a una red, o conjunto de redes, examinando la informacin de
direccin de origen y de destino en los paquetes, y permitiendo pasar a esos paquetes o
parndolos en base a unas reglas definidas.
Packet Sniffer
Vea Sniffer (pag. 1048).
Perfect Forward Secrecy (PFS)
Una propiedad de las transacciones IKE que mejora el secreto de las claves, pero requiere una
sobrecarga de proceso adicional. PFS garantiza que la distribucin de la informacin relacionada
con claves se mantiene independiente del material de claves previamente existente. Vea tambin
Internet Key Exchange (IKE) (pag. 1037).
Permission Level (Nivel de Permisos)

El nivel general de derechos que tiene un Administrador. Los permisos se personalizan para Roles
de Administradores (Administrator Roles) y Elementos Permitidos (Granted Elements).
Permit Action (Accin Permitir)
Una accin de una Regla de Inspeccin que para la inspeccin de todo el trfico que cumple con
la regla que usa la accin Permit y deja que el trfico contine a su destino.
Phishing
Un ataque de Ingeniera Social en el cual un correo o pgina Web maliciosos intenta solicitar
informacin sensible tal como nombres de usuario, contraseas y detalles de tarjetas de crdito
enmascarndose como si proviniera de una entidad fiable.
Player
Cualquier elemento o direccin IP que se vio envuelta en un incidente que est siendo investigado
usando el elemento Caso de Incidente Incident Case.
Policy (Poltica)
Un contenedor para reglas de Acceso, reglas de Inspeccin y reglas de NAT.
Policy Routing (Enrutamiento por Polticas)
Enrutamiento definido por el usuario en base a informacin normalmente no usada en el
enrutamiento, tal como la direccin IP de origen, informacin de puertos o tipo de servicio.
Policy Snapshot (Instantnea de Poltica)

Un registro de la configuracin de poltica que muestra la configuracin en la forma en que fue
instalada o refrescada, incluyendo las reglas de la poltica, los elementos incluidos y sus
propiedades, as como el tiempo en que la poltica fue cargada, y qu administrador ejecut la
carga. Ayuda a mantener la pista de los cambios de configuracin.
Port Address Translation (PAT) (Traslacin de Direcciones y Puertos)
Un proceso, similar a NAT (Network Address Translation), donde el puerto de origen o de
destino se cambia a un puerto diferente. PAT a menudo se usa para disfrazar, o enmascarara
un servicio en lugar de otro. Vea tambin NAT (Network Address Translation) (pag. 1042).
Pre-shared Key (Clave Pre-Compartida)
Una cadena de caracteres que se almacena en dos (o ms) sistemas y que se usa
para autenticar y cifrar las comunicaciones entre los sistemas.
Primary Management Server (Servidor de Gestin Primario)
El Management Server que se usa activamente para configurar el sistema en un sistema que
tiene al menos un Secondary Management Server (Servidor de Gestin Secundario).
Probing Profile (Perfil de Prueba)
Opciones que definen cmo monitoriza un Log Server componentes de terceros.
Proof of License (POL) (Prueba de Licencia)
Un cdigo usado para verificar la compra legtima de productos software de StoneGate.
Usao para generar ficheros de Licencia (License) en el sitio Web de Stonesoft.
Proof of Serial Number (POS) (Prueba de Nmero de Serie)
Cdigo de identificacin adherido a los dispositivos StoneGate.
Protocol (Protocolo)
Un elemento que se usa dentro de los elementos Servicio (Service) para especificar un
Agente de Protocolo (Protocol Agent) para las Reglas de Acceso del Cortafuegos y el
protocolo del trfico para las Reglas de Inspeccin.
Protocol Agent (Agente de Protocolo)
Un proceso en los cortafuegos que asiste al dispositivo en gestionar un Protocolo en particular.
Los Agentes de protocolo garantizan que las conexiones relacionadas para un servicio se
agrupan y evalan adecuadamente, adems de asistir al dispositivo con tareas de filtrado de
contenidos o de traslacin de direcciones de red. Vea tambin Connection Tracking (pag. 1030).
Protocol Tag (Etiqueta Protocolo)
Un tipo para elementos Protocolo que slo se usan para definir el protocolo de trfico para la
inspeccin contra las reglas de inspeccin. Relacionado con los Agentes de Protocolo.
Proxy ARP
La opcin Proxy ARP en un dispositivo que dispone de enrutamiento significa que el dispositivo
reenva los mensajes de broadcast entre dos hosts que estn en redes fsicas separadas, pero
tienen direcciones IP de la misma red. Este proxy es necesario para las peticiones ARP, puesto
que los mensajes de boradcast normalmente no se reenvan de una red a otra. Vea tambin
Address Resolution Protocol (ARP) (pag. 1025).
Pruning (Purgado)
Eliminar entradas de log de acuerdo con Filtros bien cuando los logs llegan al Log Server o bien
antes de que se almacenen (tras mostrarlos en la vista actual en la vista de Logs).
Public-key Cryptography (Criptografa de Clave Pblica)
Un sistema criptogrfico que usa un apr de claves: una clave pblica, usada para cifrar un mensaje, y
una clave privada (secreta) que puede descifrar el mensaje. Tambien llamda cifrado asimtrico.
Q
QoS Class (Clase de Calidad de Servicio)
Un elemento que funciona como un enlace entre una regla en una Poltica de QoS (QoS Policy) y
una o ms Reglas de Acceso de un cortafuegos. Al trfico permitido en la regla de acceso se le
asigna una clase de WoS definida para la regla, y la clase de QoS se usa como criterio de
coincidencia para aplicar las reglas de Poltica de QoS.
QoS Policy (Poltica de Calidad de Servicio)
Un conjunto de reglas para la Gestin del Ancho de Banda (Bandwidth Management) y la Priorizacin
del Trfico (Traffic Prioritization) para trfico un una particular Clase de QoS, o reglas para asignar
clases de QoS en base al DSCP Match (Coincidencia DSCP) encontrada en el trfico.
R
Refragmentation (Refragmentacin)
Una tcnica para fragmentar paquetes de salida desde el cortafuegos del mismo modo en que
fueron fragmentados cuando el cortafuegos los recibi. Vea tambin Virtual Defragmentation
(pag. 1053).
Refuse Action (Accin Rechazar)
Un parmetro de Regla de Acceso que bloque el paquete que cumple la regla y enva un
mensaje de error al originador del paquete. Relacionado con la Accin Discard (Discard Action -
pag. 1032).
Regular Expression (Expresin Regular)
Una cadena que describe un conjunto de cadenas. Usadas en muchos editores de textos y
utilidades para buscar patrones de texto y, por ejemplo, sustituirlos con alguna otra cadena. En
StoneGate, las expresiones regulares se usan, por ejemplo, para definir patrones en el trfico que
quiera que coincidan en una determinada Situacin cuando da a la Situacin un Contexto que llama
a una Expresin Regular.
Related Connection (Conexin Relacionada)
Una conexin que tiene una relacin con otra conexin definida por un Servicio. Por ejemplo, el
prtocolo FTP define una relacin entre una conexin de control, y una o ms conexiones de datos a
nivel de aplicacin. El cortafuegos puede ser requerido para permitir una conexin que de otro modo
habra sido descartada, si est relacionada con una conexin ya permitida.
Request for Comments (RFC) (Peticin de Comentarios)
Un documento que resume un estndar propuesto para un protocolo. Las RFCs definen cmo debera
funcionar el protocolo, y son desarrolladas por grupos de trabajo e la Internet Engineering Task Force
(IETF), y revisadas y aprobadas por el Internet Engineering Steering Group (IESG). Vea
http://www.rfc-editor.org/.
Retained License (Licencia Retenida)

Una Licencia Asociada a Gestin (Management Bound License) que ha sido usada para instalar
una poltica en un dispositivo y despus ha sido desasociada sin relicenciar ni eliminar el
dispositivo al que estaba asociada. Las licencias retenidas no pueden asociarse a ningn
dispositivo antes de que el dispositivo al que estaba asociada anteriormente la licencia sea
eliminado o se refresque la poltica en el mismo con una licencia vlida.
RFC
Vea Request for Comments (RFC).
Rootkit
Un conjunto de herramientas que intrusos en sistemas informticos usan para ocultar su
presencia y las trazas de sus acciones.
Route (Ruta)
El conjunto de routers o pasarelas a travs de los cuales viaja un paquete para alcanzar su
destno. En redes TCP/IP, los paquetes individuales para una conexin pueden viajar a travs de
rutas diferentes para aclanzar su host de destino.
Router
Un Elemento de Red (Network Element) que representa un router fsico de su red.
Normalmente se usa para representar los routers de siguiente salto en la vista de Enrutamiento
y los Diagramas de Red.
Routing Table (Tabla de Enrutamiento)
Una base de datos mantenida en cada router y pasarela con informacin sobre los caminos
hacia diferentes redes. En StoneGate, la tabla de enrutamiento se representa grficamente en
la vista de Enrutamiento.
Rule (Regla)
Una expresin usada para definir el eventual resultado de la llegada de paquetes al
cortafuegos, que pueden coincidir con determinadas condiciones (p.ej. direcciones de origen
y destino, protocolo, usuario).
Rules Tree (rbol de Reglas)
La principal herramienta de configuracin para ajustar las definiciones de las Reglas de
Inspeccin (Inspection Rule).
S
SA (Security Association) (Asociacin de Seguridad)
Vea Security Association (SA) (pag. 1047).
Scan (Escaneo)
Vea Network Scan (pag. 1042).
Secondary IP address (Direccin IP Secundaria)
Una direccin IP usada para identificar un elemento con mltiples direcciones como
origen o destino del trfico, definida adems de una direccin IP primaria.
Secondary Log Server (Log Server Secundario)
Un Log Server definido como canal de respaldo para componentes que envan sus logs de
forma primaria a otro Log Server.
Secondary Management Server (Management Server Secundario)

Un Management Server redundante que replica los datos de configuracin desde el Management
Server Primario bajo condiciones normales de modo que los servicios ofrecidos por el Management
Server puedan ser ofrecidos sin interrupcin si algn componente falla o queda indisponible.
Secret Key Cryptography (Criptografa de Clave Secreta)
Vea Symmetric Encryption (pag. 1050).
Security Association (SA) (Asociacin de Seguridad)
Una conexin lgica unidireccional establecida para securizar las comunicaciones de Redes Privadas
Virtuales (Virtual Private Network (VPN)) entre dos sitios. Una asociacin de seguridad registra la
informacin requerida por un sitio para soportar una direccin de la conexin IPsec, sea entrante o
saliente. Usa el modo de transporte para las comunicaciones entre dos hosts y el mdo tnel para la
comunicacin entre pasarelas de seguridad. Vea tambin Authentication Header (AH) (pag. 1028).
Security Gateway (SGW) (Pasarela de Seguridad)
Un dispositivo, tpicamente un cortafuegos, que lleva a cabo el cifrado/descifrado en paquetes
VPN enviados entre Sitios (Sites) a travs de redes no confiables.
Security Parameter Index (SPI) (ndice de Parmetro de Seguridad)
Un valor usado por los protocolos AH y ESP para ayudar al clster de cortafuegos a seleccionar la
asociacin de seguridad que procesar un paquete entrante. Vea tambin Authentication Header (AH)
(pag. 1028).
Security Policy (Poltica de Seguridad)
El conjunto de plantillas, polticas y subpolticas juntas o individuales que definen qu trfico es
aceptable y qu trfico es no deseado. Las polticas se definen usando el Management Client, se
almacenan en el Management Server y se instalan en cortafuegos, sensores y analizadores, que
utilizan su versin instalada de las polticas para determinar la accin apropiada a tomar acerca de
los paquetes en la red.
Sensor
Un componente del StoneGate IPS que captura todo el trfico desde un enlace fsico de red, lo
inspecciona de acuerdo con su poltica y, si est instalado en lnea, selecciona qu conexiones
permite que continen. Proporciona datos al Analizador (vea Analyzer (pag. 1027)).
Sensor Cluster (Clster de Sensores)
Grupo de dos o ms nodos sensores que funcionan conjuntamentte como si fueran un Sensor
nico.
Server (Servidor)
Un Elemento de Red representando un servidor fsico en su red. Generalmente, los elementos
servidor slo se definen para configurar un servidor especfico para usar con el Management
Center (tal como un servidor RADIUS para autenticar a los administradores), pero se pueden
usar servidores genricos en los Diagramas de Red en lugar de elementos host para ilustrar
mejor el diseo de la red.
En una arquitectura cliente-servidor, un ordenador dedicado a ejecutar servicios usados por
ordenadores Cliente. Estos servicios pueden inclui, por ejemplo, almacenamiento de ficheros,
correo eletrnico o pginas web.
Server Pool (Pool de Servidores)
Un Elemento de Red representando a un grupo de Servidores. Usado para la gestin del trfico
entrante.
Server Protection Credentials (Credenciales de Proteccin del Servidor)

Un elemento que almacena la clave privada y el certificado de un servidor HTTPS interno. La
clave privada y el certificado permiten al dispositivo presentarse como el servidor a los clientes
de forma que el dispositivo puede descifrar e inspeccionar el trfico HTTPS entrante. Vea
tambin Client Protection Certificate Authority (pag. 1030).
Service (Servicio)
Un Elemento usado para comprobar el trfico a nivel de protocolo de aplicacin, por ejemplo,
FTP, HTTP o SMTP. Los Servicios TCP y UDP tambin determinan el nmero de puerto. Los
elementos Servicio se usan en polticas para crear una regla que coincida slo con un protocolo
particular, para activar los Agentes de Protocolo, y seleccionar el trfico a comprobar con las
Reglas de Inspeccin (Inspection Rules).
Session Stealing (Robo de Sesiones)
Vea IP Splicing (or Hijacking) (pag. 1038).
SHA-1
Un algoritmo criptogrfico usado para funciones de hash. Genera una firma de 160 bits
desde una entrada de cualquier longitud. Vea tambin Hash Signature (pag. 1036).
Single Firewall (Cortafuegos Independiente)
Un cortafuegos que slo cuenta con un Dispositivo Cortafuegos..
Single Point of Failure (Punto de Simple Fallo)
El punto en el que el fallo de un nico dispositivo o componente de un sistema conlleva bien el fallo
de todo el sistema, o la incapacidad de usar los servicio normalmente proporcionados por el sistema.
Los sistemas redundantes, usando tecnoologas de alta disponibilidad, eliminan puntos de simple
fallo.
Site (Sitio)
Un conjunto de recursos protegidos por StoneGate.
Situation (Situacin)
Un Elemento que identifica y describe eventos detectados en el trfico o la operacin del
sistema. Las situaciones contienen la informacin de Contesto, p.ej., un patrn que el
sistema debe buscar en el trfico inspeccionado.
Una celda de una Regla de Inspeccin donde se insertan los elementos Situacin.
Situation Type (Tipo de Situacin)
Una categora de Etiquetas (Tags) para Situaciones. Orientadoa a indicar qu tipo de
eventos detecatn las situaciones asociadas (por ejemplo, Ataques, Trfico Sospechoso).
Sniffer
Un dispositivo o programa que captura los datos que viajan por una red. Los sniffers a menudo
se usan para resolver problemas de red, puesto que pueden mostrar el flujo de paquetes que
tiene lugar. Tambin pueden usarse maliciosamente para robar datos de una red.
SNMP Agent (Agente SNMP)
Un componente software que enva traps SNMP cuando se encuentran eventos especficos.
Social Engineering (Ingeniera Social)

Un ataque que envuelve engaos y falsedades con el propsito de manipular a la gente para que
ejecute acciones o divulgue informacin confidencial.
SOHO Firewall (Cortafuegos SOHO)
Un dispositivo Cortafuegos Small Office/Home Office con funcionalidades de WLAN (Wireless
Local Area Network) y un mdem ADSL integrado para proporcionar a oficinas remotas o
teletrabajadores acceso a la red corporativa principal mediante una conexin por cable o
inalmbrica.
SPI (Security Parameter Index)
Vea Security Parameter Index (SPI) (pag. 1047).
SSH (Secure Shell) (Shell Segura)
Un programa para conectarse a otro ordenador a travs de la red, para ejecutar comandos en una
mquina remota, y para mover ficheros de una mquina a otra. Proporciona autenticacin fuerte y
comunicaciones seguras sobre canales inseguros. A menudo se usa como sustituto de programas
inseguros como telnet o rsh. En StoneGate, SSH puede usarse para acceder remotamente a la
lnea de comando de un dispositivo.
SSL VPN
Una tecnologa de VPN que usa cifrado SSL para securizar el acceso remoto de los usuarios a
aplicaciones especficas. Permite a los usuarios autenticados establecer conexiones seguras a un
nmero limitado de servicios internos especficos mediante un navegador Web estndar (acceso
clientless sin cliente) o mediante una aplicacin cliente que permite un rango ms amplio de
servicios.
Standby Management Server
Vea Secondary Management Server (pag. 1047).
Standby Mode (Modo en Espera)
Un estado operativo de un clster Stonegate que mantiene un nodo en lnea y el resto en espera,
de forma que se mantiene una Sincronizacin de Estado (State Synchronization), pero el nodo no
procesa el trfico. Si el nodo activo se pone offline o falla, uno de los nodos en espera asume las
conexiones existentes.
State Synchronization (Sincronizacin de Estado)
La comunicacin de la informacin de seguimieto de conexiones entre varios nodos de
cortafuegos en un clster. Puede ser una sincronizacin completa, donde se transfiere toda la
informacin de seguimiento de conexiones a los otros nodos del clster, o sincronizacin
incremental, donde slo se transfiere la informacin sobre lass conexiones que han cambiado
desde la tlima sincronizacin. Vea tambin Connection Tracking (pag. 1030).
Static IP address (Direccin IP esttica)
Direccin IP escrita por el usuario o un administrador, y que no cambia sin su intervencin.
Static NAT (Traslacin de Direcciones de Red Esttica)
NAT (Network Address Translation) donde para cada direccin original hay una direccin
trasladada nica predefinida.
Static Routing (Enrutamiento Esttico)

Una forma de enrutamiento que tiene rutas permanentes entre redes programadas en cada
Tabla de Enrutamiento (Routing Table).
Sub-Policy (SubPoltica)
Un conjunto de reglas que se separan de la poltica principal, en base a alguna categora comn, tal
como el servicio o la direccin IP de destino. De esta forma, las reglas relacionadas pueden
agruparse haciendo la poltica completa ms fcil de entender. Dado que las sub-reglas slo se
procesan si coincide la regla general en la poltica principal, mejora el tiempo de proceso global.
Subtunnel
Los tneles reales que se combinan lgicamente dentro de un tnel VPN multi.ruta en un
entorno StoneGate Multi-Link. Representan todas las rutas posibles que conectan los
endpoints de las pasarelas de seguridad entre los cuales se forma una VPN. Los sub-tneles
individuales pueden conectar las dos pasarelas a travs de diferentes enlaces de red.
Symmetric Encryption (Cifrado Simtrico)
Un mecanismo de Cifrado que usa la misma clave secreta compartida para cifrar y descifrar los
mensajes. A menudo se conoce como cifrado simtrico masivo dado que procesa grandes
cantidades de datos bastante rpidamente. Tambin conocido como criptografa convencional o
de clave simtrica. Hay dos tipos principales de algoritmos de cifrado simtrico, cifrado masivo o
de flujo (tambien conocidos como cifrado de bloque y cifrdo de flujo). DES y 3DES son
algortimos de cifrado simtrico comunes. Vea tambin Asymmetric Encryption (pag. 1027).
Syslog
Un protocolo estndar de intercambio de logs entre componentes de red. Definido en la RFC
5424.
System Summary (Resumen del Sistema)
Un panel en la vista de Estado del Sistema que proporciona un vista de resumen general del
estado actual de los elementos monitorizados segn el tipo de componente.
T
Tag (Etiqueta)
Un Elemento para organizar Situaciones. Los tags tambin pueden usarse en Reglas de
Inspeccin, en la celda Situation, para representar todas las situaciones marcadas con ese Tag.
Takeover Period (Periodo de Takeover Toma de Control)
El intervalo de tiempo durante el cual los nodos activos de un clster de cortafuegos o
sensores colaboran para redistribuir la carga de trabajo de un nodo en fallo.
Task (Tarea)
Un Elemento que le permite programar comandos para que se ejecuten automticamente en el
momento conveniente.
Template Policy (Plantilla de Poltica)
Una combinacin de reglas y Puntos de Insercin (Insert Points), que se usa como una base para
crear polticas u otras plantillas de poltica. Las polticas y plantillas de poltica creadas desde una
particular plantilla de poltica heredan todas las reglas de la plantilla y de cualquier plantilla por
encima de sta en la jerarqua de herencia. Las Reglas Heredadas (Inherited Rules) no pueden
editarse dentro de la poltica que las hereda. Son usadas, por ejemplo, por Administradores de alto
nivel de privilegios para retringir los cambios que administradores con un Rol de Administrador
menor pueden hacer sobre las reglas.
Temporary Filter (Filtro Temporal)
Un filtro de logs creado desde detalles de entradas en la Vista de Logs o la Vista de Conexiones,
yq eu slo est disponible hasta que se cierra la vista.
Terminate Action (Accin Terminar)
Un parmetro de Regla de Inspeccin que para o intenta parar la conexin que coincide con la
regla de acuerdo con la Opcin de Accin (Action Option) seleccionada y si el Dispositivo donde ha
coincidio la regla es capaz de parar la conexin.
Tester (Comprobador)
Una herramienta que puede ejecutar prubas automticamente sobre dispositivos StoneGate
para comprobar la operacin del sistema y de la red y tomar acciones en base a los
resultados de cihas pruebas.
Timeline (Lnea Temporal)
Una herramienta en la Vista de Logs que le permite seleccionar y cambiar el rango de tiempo para
los logs que se muestran.
ToS Flag (Flag Tipo de Servicio)
Un campo de datos en las cabeceras de paquetes IP que proporciona un nmero que representa el
tipo de servicio del que el paquete es parte. El flag ToS se usa en la Priorizacin del Trfico (Traffic
Prioritization) y tambin se conoce como DSCP (DiffServ Code Point).
Traffic Handler (Gestor de Trfico)
El conjunto de Elementos de Red usados para la gestin del trafico de entrada y de salida.
Incluye NetLinks, Outbound Multi-links, y Pools de Servidores (Server Pools).
Traffic Management (Gestin del Trfico)
El control, definicin y gestin de cmo deberan fluir los paquetes o conexiones a travs de
cortafuegos, routers, enlaces de red, VPNs u otros objetos pasarela, en base al balanceo de
carga, clsters, disponibilidad y otros.
Traffic Prioritization (Priorizacin del Trfico)
El proceso de asignar al trfico un valor de prioridad, que se usa para determinar el orden en el que
los paquetes encolados se envan, obviando la operacin primero-en-llegar-primero-en-ser-
atendido estndar de los dispositivos de red. Puede usarse juntamente con la Gestin del Ancho de
Banda (Bandwidth Management) o por su cuenta. Vea tambin DSCP (DiffServ Code Point) (pag.
1032), QoS Class (pag. 1045) y QoS Policy (pag. 1045).
Transparent Access Control Mode (Modo de Control de Acceso Transparente)
Una configuracin del Sensor en la cual el Sensor examina el trfico Ethernet de acuerdo con las
Reglas Ethernet (Ethernet Rules).
Transparent Proxy (Proxy Trasnparente)
Una tcnica en la cual una conexin se enruta a un servidor proxy, que a su vez establece una
segunda conexin al host de destino original, pero toda la transacin tiene lugar sin notificar al
usuario, o requerir del usuario ninguna accin adicional.
Transport Protocol (Protocolo de Transporte)

Cualquier protocolo que se comunica y funciona sobre el nivel de transporte de la pila de
protocolos TCP/IP. Estos protocolos funcionan sobre el nivel de red, y normalmente son
responsables de la correcin de errores, calidad del servicio y otras caractersticas no
manejadas por el nivel de red. TCP, UDP, e IPsec son ejemplos comunes del protocolos de
transporte.
Tunneling (Entunelado)
Una tecnologa que permite que una red enve sus datos a travs de otra, posiblemente no
similar. El Entunelado funciona encapsulando, o empaquetando, un protocolo de red dentro
de paquetes procesados por la segunda red.
U
Use IPsec VPN Action (Accin Usar VPN IPsec)
Un parmetro de Regla de Acceso de cortafuegos que dirige el trfico que coincide con la regla
a una VPN. Puede ser bien una accin Aplicar VPN (Apply VPN Action) o Forzar VPN (Enforce
VPN Action).
UDP Tracking (Seguimiento de UDP)
Informacin mantenida por los dispositivos cortafuegos para agrupar peticiones y respuestas
UDP, manejndolas como una nica conexin virtual. Vea tambin Virtual Connection Tracking
(pag. 1052).
User (Usuario)
Un elemento que define a un usuario final en su red. Usado paraa definir la Autenticacin con
o sin acceso VPN Cliente-a-Pasarela. Consulte Administrator (pag. 1025).
User Response (Respuesta de Usuario)
Define acciones adicionales de notificacin para coincidencias de reglas, tales como
redirigir el acceso de una URL prohibida a una pgina en un servidor web interno en su
lugar.
UTM (Unified Threat Management) (Gestin Unificada de Amenazas)
Un dispositivo que combina diferentes tipos de filtrados de trfico en un dispositivo fsico. Las
funcionalidades ofrecidas en un dispositivo UTM comprenden un cortafuegos, inspeccin
profunda de paquetes (IDS) y antivirus.
V
Virtual Adapter (Adaptador Virtual)
Un componente del Cliente VPN StoneGate o un cliente VPN de terceros, que le permite usar
una direccin IP secundaria virtual para el trfico VPN. Se muestra como un adaptador de red
en el sistema operativo.
Virtual Connection Tracking (Seguimiento de Conexiones Virtuales)
Un superconjunto del seguimiento de UDP, seguimiento de ICMP, etc. Una tecnologa usada
por los dispositivos cortafuegos para protocolos de red no orientados a conexin como UDP e
ICMP. Los dispositivos cortafuegos mantienen un seguimiento de las conexiones virtuales
agrupando paquetes relacionados, en base a la informacin de las cabeceras de los paquetes.
Vea tambin Related Connection (pag. 1045).
Virtual Defragmentation (Desfragmentacin Virtual)

Un procedimiento en el cual se recogen los fragmentos de paquetes entrantes. El paquete se
desfragmente para su procesamiento en el dispositivo cortafuegos, y se refragmenta antes de
retransmitirlo. Vea tambin Fragmentation (pag. 1035).
Virtual IP address (Direccin IP virtual)
Una segunda direccin IP proporcionada a un Cliente VPN que tiene activado un Adaptador Virtual
(Virtual Adapter), y que se est conectando a una pasarela de seguridad usando una VPN Cliente-
a-Pasarela. Una direccin IP virtual permite el uso de ciertos servicios que requieren que el cliente
disponga de una direccin IP perteneciente a un rango de direcciones especfico, permitindole
adems retener su direccin IP primaria para mantener otras conexiones. La direccin IP Virtual
para Clientes VPN StoneGate se asigna siempre mediante DHCP (Dynamic Host Configuration
Protocol).
Virtual Local Area Network (VLAN)
Una red de rea local definida mediante software en un switch u otro dispositivo de red, en lugar
de la tradicional separacin por hardware.
Virtual Private Network (VPN) (Red Privada Virtual)
Se refiere a una conexin confidencial que se establece a travs de redes no seguras por medio de
autenticacin, cifrado y comprobacin de integridad. Las dos tecnologas principales son IPsec (IP
Security), que est mejor preparada para una amplia variedad de servicios de red y grandes
volmenes de trfico, y SSL VPN, que se usa para proporcionar acceso a un nmero limitado de
servicios a usuarios individuales sin necesidad de configurar ningn dispositivo en el lado del
cliente.
VPN Client (Cliente VPN)
Software que puede usarse para establecer una Red Privada Virtual (Virtual Private Network
(VPN)) con un dispositivo pasarela VPN para acceder de forma segura a resursos remotos a
travs de redes inseguras.
VPN Profile (Perfil de VPN)
Un elemento que define las opciones relacionadas con IPsec (IP Security) para una o ms VPNs.
Vulnerability (Vulnerabilidad)
Un elemento del IPS que contiene informacin sobre un fallo pblicamente conocido que afecta a la
seguridad de algn sistema. Las vulnerabilidades se adjuntan a las Situaciones para proporcionarle
ms informacin sobre lo que ha ocurrido cuando se cumple una Situacin.
W
Web Filtering (Filtrado Web)
Una funcionalidad que compara las URLs que intentan abrir los usuarios con una lista de URLs
para impedir que los usuarios accedan intencionada o accidentalmente a la mayora de los sitios
que son desaconsejables o potencialmente dainos.
Web Portal
Servicio basado en navegador que permite a los usuarios ver logs, Snapshots de Polticas e
informes.
Whitelisting (Aociar a Listas Blancas)
El proceso de exlcuir determinado trfico de ser bloqueado por Blacklisting o Web Filtering.
Apndices - Indice 1055
INDICE
Numerics with granted elements,
3DES, 738 220 ADSL interfaces
changing ISP settings for, 363
defining for SOHO firewalls, 367
A advanced settings, 416, 418
access control lists analyzers, 416
creating, 217 cluster mode, 419, 429
in engine properties, 408 default termination option for sensors, 428
predefined, 221 firewalls, 416 heartbeat
access rules blacklisting, 522 traffic, 419 modifying,
creating and modifying, 518 creating
416
node state synchronization , 420
from logs, 143 deep inspection, sensor-analyzers, 416
527 sensors, 416 agents,
firewall traffic handling options , 523 579
for CIS redirection, 674 for server pool monitoring,
for HTTPS inspection, 471 for SNMP, 432
668 hits, 515 aggressive mode, 737
logging options, 528 AH, 738
response options, 527,
alert browser, see logs view
528 validity time, 555 alert channels, 233, 242
acknowledging alerts, 240 alert entry fields, 980
action field, 1000 alert server, 278
active directory servers, 627 alert trace entry fields, 980
authentication settings, alerts
629 LDAP settings, 628 acknowledging, 240
active VPN tunnels, 747 channels, 236
address range element, 563 custom, 231
administrative domains, see domains default alert, 231
administrator accounts event traces, 129
access control lists, 217 on engine status,
administrator element, 218 193 policies, 238
creating, 218 redirecting chains, 237
deleting, 227 system, 231
domains, 221 test, 231
getting started, 214 testing, 244
granted elements, 220 threshold to block, 236
log colors, 222 aliases,
943
password policy, 223 DHCP, 363
password strength, 225 network element, 564
passwords, changing, 226 system aliases, 944
permission levels, 220 translation values, 412
RADIUS authentication, user aliases, system-defined, 944
226 troubleshooting, 853
allow SA to any network, 739, 741
administrator messaging, 52 analyzers
administrator permissions command line tools, 201
descriptions, 216 creating element for, 318
in engine properties, 408 editing properties of, 336
administrator roles network interfaces, 377
creating, 215 timeout for failover to backup analyzer,
in engine properties, 408 427 troubleshooting , 875
predefined, 221 announcements, 266 anti-
using, 220 clogging settings, 778
anti-replay window, 739 browser-based access, 256

antispoofing
disabling, 455 C
for routable IP addresses, 456 CA (certificate authority) for HTTPS inspection, 662 CA
modifying, 454
(certificate authority) for VPNs, 726, 742, 756, 757
anti-virus, 417, 424
capture interfaces, 381
application portal, 322 apply
category filters, 72
NAT rules option, 743
activating, 73
archiving log data, 802
combining, 74
ARP (address resolution protocol), 387
creating, 72
audit entry fields, 981
category-based web filtering, 652
audit entry types, 1010
central gateways, in VPNs, 745
auditing, 105, 157, 812 certificate cache settings, 778
authentication
certificates, 870
groups, defining, 638
automated node certificate renewal, 417, 427,
LDAP, 626
428 checking expiration for VPN, 108, 766
RADIUS, 226
expiration, 868
servers, 635
for VPN authentication, 756 renewing
users, 623, 640
engine certificates, 871 renewing log
authentication services, 637
server certificates, 870
auto recovery, 399
renewing management server certificates ,
automated node certificate renewal, 417, 427, 428 870 troubleshooting, 867
automatic blacklisting, 681, 682
VPN certificate expiry, 765
automatic reboot, 417 VPN certificate renewing, 763
certifying log server, 278
B changing administrator passwords, 226 changing
background templates for PDFs, 51 IP addresses of SMC components, 304
backups, 793 changing platform, 304
automating, 817 channels for alerts, 233, 236
creating, 795 CHAP, 629
deleting, 795 charts, 38, 92
files, 794 checking file integrity, 835, 841
restoring, 796 checking status using tests, 398
restoring across management servers, checking version
299 types of, 795 engines, 840
balancing cluster mode, 419, 429 management center, 834
base DN, 628 CIS (content inspection server)
basic routing, 441 access rules for, 674
between operation, 163 element, defining, 671
blacklist snapshots, 99 inspected services, 671
comparing, 101 NAT rules for CIS redirection, 675
exporting, 100 redirecting traffic to, 669, 670
opening, 100 services for, 672, 673
blacklisting, 677 classes for traffic, 617, 618
automatic, 681, 682 client protect certificate authorities, 659
firewall rules, 680 getting exporting certificates, 662
started with, 678 in generating certificates , 661
access rules, 522 importing certificates, 660
in inspection rules, client security checks, 741 client-to-gateway
682 manually, 198 VPNs, 701, 716, 718, 727
monitoring, 97 authentication settings for, 740
snapshots of, 99 creating certificates for, 761
blacklisting URLs, 653 hub configuration,
bookmarks, 41 772 NAT in, 786
boot recovery, 399 relaying DHCP requests in, 788
virtual IP addresses, 787 corporate interfaces, 364, 370

closing connections manually, 198 correlations, 597, 602
cluster virtual IP addresses, 356 event compress, 603
clusters event count, 604
cluster virtual IP addresses, event group, 604
356 disabling nodes, 195 event match, 605
node dedicated IP addresses, event sequence, 606
356 re-enabling nodes, 196 counting rule hits, 515
setting mode for, 429 create multiple SOHO firewalls, 316
setting operating mode for, 419 CRLs (certificate revocation lists)
CN, 628 for HTTPS inspection, 664
CN authentication, 741 for VPN certificates, 757
code for ICMP, 575 current events mode, 137
color selection for logs, 141 custom alerts,
column selection in logs, 139 231
combined sensor-analyzer situations, 597
creating element for, 321 customer service, 24
combined sensor-analyzers CVI (cluster virtual IP address), 356
editing properties of, 339
command line D
accessing on engines, 202
data collection tab, 180
command line tools, 917 data filters, 160
commanding engines, 190 creating, 162
commands
examples of, 161
engine, 926
organizing, 164
log server, 918
using, 165
management server, 918
comments in rules, 513 database password, 303
communications between components, 59 date field resolvers, 118
configuration data, encryption of , 417 DDNS (dynamic domain name service)
defining DNS server element, 491
conflicting element resolving at import , 76
defining DNS update information,
connecting engines to SMC, 392 connection
492 defining dynamic DNS rule, 493
states, 1016
for inbound load balancing,
connection timeouts, 419 490 security, 490
connections
DDoS (distributed denial of service) , 525
blacklisting manually, 198
deactivating tests, 405
monitoring, 97 snapshots
decreasing log text size, 139
of, 99 terminating
deep inspection
manually, 198
in IPS access rules, 527
connections snapshots, 99
comparing, 101 default alert,
231
exporting, 100
basic routes, 441
opening, 100
connection timeouts, 419
connectivity diagrams, 168
firewall policy template, 499
contact addresses, 60
policy template, 499, 560
defining, 62
termination option for sensors,
firewall clusters, 356
428 defining
contact node timeout, 416
backup tasks, 817
contact policy, 423 context custom situations, 597
options
domain logos, 248
for correlation situations, domains, 247
602 for situations, 599 dynamic IP for firewall,
controlling engines
362 ethernet rules, 516
on command line,
ethernet services,
201 rebooting, 191
state changes, 189, 201 577 filters, 160
MAC address elements, 518 disabling

policy refresh tasks, 818 anti-replay window in VPNs,
policy upload tasks, 818 739 sites in VPNs, 746
remote upgrade tasks, 819, distinguished name, 628
820 routing, 453 distributing web start clients from web server , 272
server pools, 469 DNS (domain name service), 367
services, 574 DNS addresses
tasks, 815 searching, 48
tests, 398 DNS resolving in logs, 140
deflate compression, for VPNs, 739 documentation available, 23
defragmentation, virtual, 418 deleting domain logos, 248
domains
administrator accounts, 227 announcement tab, 266
bookmarks, 41 creating, 247
domains, 250 deleting, 250
elements, 79 domain overview, 252
log data, 802, 805 getting started, 246
report tasks, 155 logging in to, 249
DES, 738 logging out of, 250
destination cache, 464 logos for, 248
destination IP address, 562 moving elements between,
details arrangement in logs, 131 250 shared domain, 246
DHCP, 388 DoS (denial of service), 525
aliases, 363 DSAP, 577
element, 446 DSCP, 616
index, 363 duplicating engine elements, 323
relay, 447, 788 dynamic firewall IP addresses, 362
server for SOHO firewalls, dynamic update packages, 209, 210,
317 DHCP relay 845 dynamic updates, 209, 210, 845
sub-policies, 447
diagnostics logging, 193
diagrams, 167
E
elements
arranging selected elements,
address ranges , 563
172 background images, 169 administrators,
changing detail level, 175
218 aliases, 564
changing the background color, 169 categories, 72
collapsing clusters or groups of elements , certificate authority,
175 connectivity, 168 757 domains
creating
expressions, 565
automatically from configured elements ,
filtering out from view,
172 connecting elements, 173 72 firewall (single), 361
from new elements, 170
firewall clusters, 361
links between diagrams,
gateway profiles, 718
174 manually, 171 gateway settings, 774
turning points,
groups , 567
173 exporting, 176 hosts, 568
getting started with, 168
importing and exporting,
IP, 168
75 incident case, 177
modifying layout,
locations, 61
172 printing, 176 locking, 79
specifying parent diagrams for, 174
networks, 569
VPN, 168
outbound multi-link, 461
zooming, 176 diffie- routers, 570
hellman, 739 diffserv sites, 729
code point, 616 SNMP agent, 432
tasks, 813 upgrading, 210

unlocking, 79 equal to operation, 163
user groups, 637 error messages, 857
users, 637 ESP, 738
VPN, 742 ethernet rules
VPN profiles, 734 web portal users, 260 defining, 516
ethernet services, 573, 577
encapsulating VPN traffic, 725 event compress, 603
encryption key length, 776 encryption event count , 604
event field, 1000
of configuration data, 417 end-points
event group, 604
contact addresses for external end-points, 68 event match, 605
external, 724 event sequence, 606
internal, 722 event traces, alert, 129
endpoint-to-endpoint tunnels, 746 event visualization panel in logs , 129
engine certificates, renewing, 871 exceptions in inspection rules , 535
engines excluding log server from reporting, 906
activating SNMP agent on, 435 expired certificates, 868
alias translations for, 411 exporting
anti-virus, 417, 424 diagrams, 176
automatic reboot, 417 elements, 75
changing control IP address, 331 filters, 284
to different network, 332 log data, 141, 809
within same network, 331 to syslog,
changing passwords, 194 282 logs, 141
command line tools, reports as PDF, 156
201 commands, 190 reports as text, 156
contact addresses for, 62 to syslog, 282
creating elements for, 313 users, 645
duplicating elements for, 323 expression element, 565
editing configurations, external
196 FIPS mode, 417 authentication servers,
firewall contact policy, 634 LDAP servers, 626
419 getting started with, SOHO firewall interface, 364
312 granted policies, SOHO firewall interfaces,
409 locations, 62 366 test type, 400
log compression, VPN endpoints,
426 log spooling, 724 external LDAP
426 modifying, 323 schema files, 974
operating state changes, 189, external security gateways, in VPNs , 692
201 permissions, 408
policy handshake, F
417 policy routing, facility field, 997
418 rebooting, 191 false by comparison/filter, 162
reconfiguring basic settings, 203
field resolvers, 113, 117 fields
refreshing current policy, 192
panel in logs, 129, 133 file
restoring previous configuration,
system space test, 400 filter
205 rollback timeout, 417 types, 164
scripts for, 204
filtering web pages, 652
standby, 191
filters
SYN flood protection,
applying, 165
425 tests, 400 category filters, 72
time synchronization, creating, 162
340 troubleshooting, defining, 160
875 turning offline, 191
examples of, 161
turning online, 190
for elements in view, 72 forgotten passwords, 854

getting started with, 160 forwarding settings, for VPNs, 745, 746
in query panel, 134 fragmented packets, 418
load balancing, 421 free swap space test, 400
organizing, 164 specifying FTP protocol agent, 580
filter types, 165 full sync, 420
finding
DNS addresses, 48 G
IP addresses, 47
gateway profiles, for VPNs, 718
users, 46, 49
gateway settings, 774
fingerprint of certificates, 924 anti-clogging, 778
fingerprint syntax, 947 assigning to engines, 779
FIPS, 417 certificate cache,
firewall clusters adding 778 general, 776
nodes to, 330
negotiation retry, 777
contact addresses, 356
gateway-to-gateway tunnels, 746 gateway-to-
creating element for, 314
gateway VPNs, 688, 692, 716, 718
disabling nodes, 195
generating licenses, 824
editing properties of,
geolocation, 103
334 IP addresses, 356 go offline command, 191
re-enabling nodes,
go online command, 190
196 firewall interfaces granted elements, 220
advanced properties,
granularity of SAs, 739, 741
349 configuring, 343 GRE, 575, 582, 901
firewall log fields, 982
group element, 567
firewalls
grouping services, 578
adding nodes to cluster,
330 ADSL interfaces, 348 GroupObjectClass, 632
blacklisting rules, guarantees for traffic, 616
680 clusters, 361 guest interfaces, 364, 372
clustering options , 419
command line tools, 201 H
contact policy, 419, 423 H.323 protocol agent, 582
creating element for clustered, 314 hairpin NAT, 546
creating element for single, 313 hardware requirements, 24
default policy template, heartbeat traffic, 419
499 DHCP, 388 hex panel in logs, 129
editing configurations, 196 history of log data management, 812
editing properties of clustered, hits in access rules, 515
334 editing properties of single, host element, 568
333 getting started with, 56 HTML tags in announcements, 266
HTTPS inspection, 665 HTTP protocol agent, 583
interface options, 361 HTTPS for Web Portal, 258
load charts, 38, 92 HTTPS inspection
modem interfaces, 358 access rules, 668
network interfaces, 343 client protect certificate authority, 659
offline mode, 191 online client protection, 656, 659, 660, 661, 662
mode, 190 HTTPS inspection exceptions,
physical interfaces, 666 in engine properties, 665
344 policies, 497 limitations, 656
rebooting, 191 security considerations, 656
single, 361 server protection, 656, 658
standby mode, 191 services for, 667
troubleshooting, 875 trusted certificate authorities, 663
VLAN interfaces, 346 trusted certificate authority, 662, 663,
font size in logs, 139 664 HTTPS protocol agent, 583
hub configuration for VPNs, 772 interfaces

hub configuration, for VPNs, 709 ADSL, 348
hybrid authentication, 741 analyzers, 377
capture, 381
I firewall clusters,
IAS, 629
356 inline, 383
link speed setting,
ICMP, 575
ICMP service groups , 578
621 logical, 380
QoS policy setting,
icon display in logs, 140
ID in rules, 513
621 reset, 381
sensor-analyzers,
ID value, in VPN end-points, 724 IGMP-
377 sensors, 377
based multicast forwarding, 447 IKE
single firewalls, 351
(internet key exchange) settings, 735 SOHO firewalls, 364
importing
speed, 621
elements, 75
VLAN, 346, 384
licenses, 824
resolving conflicting elements, 76 internal security gateways, in VPNs , 688
users, 644 internal VPN endpoints, 722
IP addresses
in operation, 163
defining, 562
inbound load balancing
dynamic firewall addresses,
creating rules for,
489 362 firewall clusters, 356
using DDNS updates, 490 resolving in logs,
inbound traffic management 140 searching, 47
creating rules for, 489
single firewalls, 351
incident cases, 177
virtual, 787
attaching information to,
IP diagrams, 168
180 changing priority, 184 IP protocols, 575
changing state, 185
creating, 179
IP-proto service groups, 578
IPS
editing, 184
blacklisting, 681
incident history, 185
getting started with,
incident history, checking, 185
incr sync, 420
57 policies, 497
system communications interfaces,
increasing log text size, 139
initial configuration, 392, 393, 395,
378 system template, 499
troubleshooting, 875
396 inline interfaces, 383
IPS log fields, 984
inline pair link speed test, 400
IPS recording logs fields, 996
insert points in template policies, 498
IPsec (internet protocol security), 716
inspecting tunneled traffic, 429 IPsec settings (phase 2), 737
inspection rules
iptables, 124
blacklisting, 682
IPv4 encapsulation protocol agent, 584
creating from logs,
IPv6 access rules
143 editing, 531 creating from logs, 143
exceptions, 535
IPv6 encapsulation protocol agent, 585
logging in exceptions , 543
IPX, 577
logging in rules tree, 533
protocol, 536 is defined operation, 163
rules tree, 511,
531 severity, 536 J
installation directory, 837 java web start, 269, 270
installation files
creating CD-ROMs, 836 K
installing kay-value pairs, 116
policies, 501 keep IPsec tunnels alive, on SOHO firewalls , 372
key-value pairs, 113
L disabling, 808
LDAP immediate discard filters,
configuring schema files, 807 log server
627 external, 626 certifying, 278
GroupObjectClass, 632 changing IP address of, 304
server elements, 629
log server certificates, renewing, 870
log spooling, 418, 426
user services, 628, 631
log storage selection in logs view, 136 logging
UserObjectClass, 632
LDAP (Lightweight Directory Access Protocol) options in inspection exceptions , 543 logging
schema updates, 974 options in inspection rules tree, 533 logging
length of encryption key, 776 profiles, 113, 114
licenses, 824 logical interfaces
automatic upgrades, 210 in engine properties,
generating, 824, 826 380 logos for domains,
importing, 824 248 logs
maintenance contract information, 107, action field values, 1000
211 retained type, 829, 830 additional payload, 1015
support level information, 107, alert entry fields, 980 alert
211 troubleshooting, 879 trace entry fields, 980
upgrading, 824 attaching to incident cases,
limits for traffic, 616 143 audit entry fields, 981
link speed, 621 connection states, 1016
link status test, 400 creating rules from , 143
LLC, 577 event field values,
load balancing
1000 exporting, 141
filtering in the logs view,
filter, 421
inbound 134 firewall log fields, 982
creating NAT rules for, 489 for VPNs, 753
creating rules for, 489 IPS log fields, 984
using DDNS updates, IPS recording log fields, 996
490 outbound, 459 log field values, 976 non-
creating NAT rules for, 465 exportable log fields, 976
getting started with, 460 SSL VPN log fields, 997
load charts, 38, 92 syslog entries, 1014
local management server, 302 troubleshooting, 883 VPN
local security checks, 741 log messages, 1005
locations logs view
creating, 61 colors, 141
getting started with, 60 column selection, 139
selecting for management clients, create rule action, 143
69 lock offline command, 191 current events mode,
lock online command, 190 137 details, 131
log colors, customizing, 222 filtering logs in, 134
log compression, 349, 418, 426 opening, 128
log data, 127, 799 query, 134
analyzing, 282 records arrangement, 128
archiving, 802 resolving details, 140
attaching to incident cases, 180 retrieving traffic recordings from,
clean-up operations, 800 142 senders, 136
deleting, 802, 805 sorting entries, 138
exporting, 141, 809 statistics, 132
to syslog, 282 storage, 136
filtering, 160 text size, 139
managing, 800, 802, 805, 807, 809, 812 time zone, 139
pruning, 807 timeline, 137
log pruning, 807
M hairpin, 546
MAC address elements, 518 pool for VPN clients, 786
MAC addresses, 387 troubleshooting, 894
MAC type, 577 with VPNs, 743
main mode, 737 NDI (node dedicated IP address), 356
maintenance contract information, 107, 211 negotiation mode , 737
managed units, 825
management center NetBIOS protocol agent, 586
NetLinks
changing platform, 304
adding probe IP addresses, 443
reconfiguring, 301
management clients adding to outbound Multi-Link elements, 463
locations, 69 changing the state of,
troubleshooting, 887 195 creating, 443
destination cache settings,
web start, 269, 273
management databases 464 status icons, 90
changing password, 303 system communications,
synchronizing, 298 70 network elements , 562
management server certificates, renewing, 870 address ranges,
management servers , 302 563 aliases, 564
announcement tab, 266 categories, 72
changing active, 297 changing deleting, 79
IP address of, 304 database expressions, 565
synchronization, 298 filtering out from view,
manual blacklisting, 198 72 firewall (single), 361
manual CRL server, 758 firewall clusters, 361
max packet size for DHCP requests, 788 groups, 567
messages to administrators, 52 hosts, 568
MIBs, 120, 432 networks, 569
mirrored SSL VPN appliances, 322 outbound multi-link, 461
mobile VPN, 781 references, searching, 46
modem interfaces, 358 removing, 79
changing PIN code, 360 routers, 570
monitoring, 83 network interface configuration, 341
connections or blacklisting , network interfaces, 377
97 status of external devices, ADSL, 348
119 third-party devices, 111 analyzers, 377
user authentication, capture, 381
649 VPNs, 753 configuring, 341
moving elements between domains, 250 firewall clusters, 356
MSRPC protocol agent, 585 firewalls, 343
MTU for VPNs, 740 inline, 383
multi-link, 459, 746 logical, 380
monitoring, 90 reset, 381
NAT, 70 sensor-analyzers,
routing, 442 377 sensors, 377
system communications, single firewalls, 351
70 VPN tunnels, 747 VLAN, 346, 384
multiping test, 400 multi-valued network models, see diagrams
network protocols, 573 network
field resolvers, 118
security policies, 497 NIC index
changed logs, 903
N node dedicated IP addresses, 356
NAS, 629 nodes
NAT (network address translation), 465, 489 adding to firewall cluster, 330
contact addresses for system components, adding to sensor cluster, 330
60 for VPNs, 752 automated certificate renewal, 417, 427, 428
automatic reboot, 417 for firewalls, 344

converting single node to cluster, 325 sensor-analyzers,
synchronization of connections, 420 377 sensors, 377
non-decrypted domains, 666 play button in logs, 137
non-exportable log fields, 976 player list tab, 183
NPS, 629 policies, 510
NTP (Network Time Protocol), 340 server alert, 238
for SOHO firewalls, 315, 317 creating, 499
null algorithm, 738 default template, 499, 560
number of IKE SAs, 776 deleting , 507
editing, 511
O finding unused rules,
OCSP, 758
515 firewall, 497
installing and updating, 501
OIDs, 120
IPS, 497
one-time password, 393, 395,
QoS, 616, 617, 618
396 operating states, 189, 201
refreshing, 192, 818
operations in filters, 163
searching for rules, 514
oracle protocol agent, 587
switching templates, 506
ordered fields, 113, 115
template policies, 498, 499
OU, 628
uploading, 818
outbound multi-link elements, 461
validating, 556
outbound traffic management, 459
policy editing view , 511
creating rules for, 465
policy handshake, 417
monitoring, 466
policy routing, 418, 451
testing, 466
policy snapshots, attaching to incident cases , 181
overall topology of VPNs, 744
policy validation, 556
overrides, 535
excluding issues for rules, 559
overrides in inspection, 532
excluding rules,
overviews
559 issues, 558
domain overview, 252 selecting issues for rules,
statistical, 38, 92 557 port resolving in logs, 140
port scan detection, 600
P ports, 573, 575
PAP, 629 PPPoE, 354, 367
parent diagrams, 174 PPTP, 901
password pre-defined aliases, 944 pre-shared
changing, 226 keys in VPNs, 747, 773
for management database, 303 printing diagrams, 176
password policy, 223 priorities for traffic, 616
enabling, 224 probing, 119
enforcing, 224 probing NetLinks , 443
password strength, 225 probing profiles, 121
passwords product sales, 25
forgotten, 854 profiles for VPNs, 734
troubleshooting, 853 program number, 575
path MTU discovery, 740 protocol agents
PCAP, 142 for CIS redirection, 670
PDF style templates, 51 FTP, 580
perfect forward secrecy, 739 GRE, 582
permission levels , 220 phase H.323, 582
1 settings, 735 phase 2 HTTP, 583
settings, 737 physical HTTPS, 583
interfaces IPv4 encapsulation, 584
analyzers, 377 IPv6 encapsulation,
for firewall clusters, 356 585 MSRPC, 585
NetBIOS, 586 e-mailing, 156, 157

oracle, 587 excluding log servers,
shell, 588 906 exporting, 156
SIP, 589 exporting as PDF,
SMTP, 590 156 exporting as text,
SSH, 590 156 generating, 152
SunRPC, 591 getting started, 146
TCP proxy, 592 tasks, 153, 155
TFTP, 593 troubleshooting,
protocols, 573, 574 906 viewing, 155
agents, 579 requirements for running stonegate, 24
tags, 579 reset interfaces, 381
proxy identity, 746 resolving log details, 140
pruning log data, 807 restrict virtual address ranges, 788
restricting network traffic, 497
Q retained licenses, 829, 830
retry settings for gateways, 777
QoS (quality of service), 615
rollback timeout, 417
classes, 617, 618
getting started, 616
router element, 570
routing
policies, 617, 618
checking routes, 456
policy setting, 621
configuration, 440
query panel, 129
creating NetLinks,
filters, 134
overview, 134
443 default route
with multi-link, 442 with
senders, 136
single link, 441 DHCP
storage, 136 messages, 445
for IPS components, 453
R getting started, 440
RADIUS authentication IGMP-based multicast forwarding,
for administrator accounts, 447 multi-link, 442
226 for end-users, 635 policy routing, 451
reactivating tests, 405 removing routes, 454
rebooting engines, 191 static IP multicast,
reconfiguring management center, 301 record 447 view, 440
response recordings, retrieving, 142 RPC program number, 575
records arrangement, 128 RSH protocol agent, 588
recovery, 399 rule counters, 515
redirecting alert chains, 237 rule ID and tag , 513
referenced elements, 46 rule searches, 514
references panel in the logs view, 131 rules tree in inspection rules , 511, 531
refreshing policies, 501, 818 running tasks, aborting, 822
regular expression syntax, 947
relaying DHCP requests of VPN clients , 788
S
remote engine upgrades, 210
SA per host/net, 739, 741
remote shell protocol agent, 588
sales information, 25
remote upgrades, 819, 820, 833, 841
satellite gateways, in VPNs, 745
removing
saving the initial configuration, 393, 395, 396
elements, 79
scan started event, 600
tests, 405
scheduled tasks, 820
renewing engine certificates, 871
removing from schedule,
renewing log server certificates , 870
renewing management server certificates , 870 821 starting, 821
reports, 145 suspending, 821
data sources, 154
designs, 148
scripts management server, 302

for automatic tester, 400 for engines, 204 web portal server, 257
searching
for DNS addresses, server pool monitoring agents, 471
48 for IP addresses, configuring, 474
47 for users, 46, 49 DNS setup, 488
secondary log servers enabling, 488
installing, 293 installing, 472
selecting, 277 internal tests, 483
secondary management server installation, 288 monitoring, 493
security considerations for HTTPS inspection, 656 sgagent.conf, 475
security policies, 497 sgage
senders in the logs view, 136 sensor clusters server pools nt.local
.conf,
adding nodes to, 330 474 testing, 493
creating element for, 320 uninstalling, 473
disabling nodes, 195 re-
enabling nodes, 196 adding members, 471
sensor-analyzers, 377 defining, 469
creating element for, 321 external addresses,
editing properties of, 339
470 servers
sensors contact addresses, 67
adding nodes to cluster, 330 locations, 67
bypass traffic on overload, services, 573, 574
428 capture interfaces, 381 custom services, 575
command line tools, 201 ethernet-level, 577
creating element for, 319 for CIS, 672, 673
default termination option, for HTTPS inspection, 667
428 defining VLAN ID, 385 groups of, 578
editing configurations, 196 IP-based, 575
editing properties of clustered, severity, 239, 536, 598
338 editing properties of single, sgagent.conf, 475
337 HTTPS inspection, 665 sgagent.local.conf, 474
inline interfaces, 383 shared bookmarks, 41
limit for rematching tunneled traffic , shared domain, 246 shell
429 logical interfaces, 380 protocol agent, 588 show
network interfaces, records, 133
377 offline mode, 191 show summary column, 139
online mode, 190 signing external certificate requests , 761
rebooting, 191 single firewalls
reset interfaces, 381 creating element for, 313
silent drop for duplicate log events , editing properties of,
428 standby mode, 191 333 IP addresses, 351
traffic inspection interfaces, SIP protocol agent, 589
379 troubleshooting, 875 sites in, 729
server contact addresses, 67 situation types, 534
server elements situations, 595, 597 context
active directory servers, options, 599, 602
627 alert server, 278 getting started with, 596 website
authentication servers, 635 access control, 600, 653
CIS, 671 SMTP protocol agent, 590
DDNS, defining, SNAP, 577
491 DHCP, 446 snapshots
external authentication servers, of connections or blacklists, 99
SNMP, 400, 432
634 LDAP servers, 629
SNMP port, 124
SNMP reception, 119
SNOOP, 142
SOHO firewalls
ADSL or PPPoE interface, SunRPC protocol agent, 591 support

367 ADSL settings, 368 level information, 107, 211
corporate interfaces, 370 support services, 24
creating multiple, 316 SYN flood protection, 349, 417, 425
creating one at a time, 315 synchronization of connection state, 420
DNS, 367 syslog, 322, 1014
editing properties of, 335 receiving, 113
ethernet external interfaces, syslog port, 124
366 external interfaces, 366 syslog servers, 282
guest interfaces, system alert, 231
372 interfaces, 364 system aliases, 944
RADIUS authentication, system communications, 59
635 reopen delay, 430 contact addresses, 60
saving initial configuration, 395 IPS interfaces for,
wireless access settings, 373 378 locations, 60
source IP address, 562 multi -link,
spokes in VPNs, 709 70 NAT, 60
SQL*Net, 587 NetLinks, 70
SSAP, 577 system report, 157
SSH access to engines, 194 system requirements, 24 system-
SSH protocol agent, 590 defined user aliases, 944
SSL VPN, 322
application portal, 322 connecting
T
gateway to SMC, 396 saving initial
tag in rules, 513
configuration for, 396
tags, 579, 595, 596
SSL VPN log fields, 997 task elements, 813
standby
archive log task, 802, 815
cluster mode, 419,
backup task, 815,
429 engine command, 817 defining, 815
191 VPN tunnels, 747
delete log tasks, 805
starting scheduled tasks, 821
delete logs task, 815
state synchronization, 420
export log task, 815
static IP multicast routing, defining, 447 export log tasks, 809
statistics, 38, 92
policy refresh task, 815, 818
statistics in the logs view, 132
policy upload task, 815, 818
status monitoring, 83, 192
remote upgrade task, 815, 819,
status surveillance, 125, 193
820 running tasks, 822
stonegate VPN client, 727, 781
scheduled tasks, 820,
authentication settings for, 740
821 sgInfo task, 815
creating certificates for, 761
task status panel in logs, 129
relaying DHCP requests of, 788
tasks
storage selection in logs view, 136
create snapshot of all system elements task ,
strength of passwords, 225
815 delete old executed tasks, 815
strict connection tracking, 418 delete old snapshots task, 815
style templates disable unused administrator accounts task ,
adding, 51
deleting, 52
816 refresh certificate revocation lists task,
816 renew gateway certificates task, 816
sub-policies, 498, 521
renew internal certificate authorities task ,
creating, 500
816 renew internal certificates task, 816
deleting, 507 synchronize management server databases task , 816
DHCP
upload gateway and certificate authority certificates task,
sub-policy, 447
summary column in logs, 139
816
TCP connection timeouts, 419
summary panel in logs, 129
TCP ports, 575
sun RPC, 575
TCP proxy protocol agent, 592
sun RPC service groups, 578
TCP service groups, 578 logging, 883

technical support, 24 management client, 887
template policies, 498, 499 management connections with engines, 307
creating, 499 NAT, 894
deleting, 507 passwords, 853
insert points, 498 reporting, 906
switching, 506 rules, 900
temporary log entries, 137 terminating upgrades, 909
connections manually, 198 VPNs, 911
test alert, 231 web start, 891
tester, 398 true by filter,
162
testing alerts, trusted CA, 726, 742
244 trusted certificate authorities
user authentication, certificates, 663
649 tests CRL (certificate revocation lists),
deactivating, 405 664 for HTTPS inspection, 662
reactivating, 405 tuning
removing, 405 heartbeat traffic, 419
text size in logs, 139 load balancing , 421
TFTP protocol agent, 593 third- tunnel recovery, 776
party device monitoring, 111 tunneled traffic, 429
threshold to block, 236 tunnels for VPNs ,
time zone in logs view, 139 746 tunnels in VPNs,
timeline, 137 744 type field, 999
timeout connections, type for ICMP, 575 type
419 for SNAP, 577 Type-
contact between management and node, 416 Ahead Search, 49
TNS, 587
tools profile, 53
U
topology of VPNs, 744
UDP connection timeouts, 419
ToS fields, 616 traffic
UDP encapsulation, 725
charts, 38, 92
UDP ports, 575
traffic classification, 617, 618
UDP service groups, 578
traffic handling configuration, 510
UID, 628
traffic inspection interfaces for sensors , 379 undefined value policy, 162
traffic management unit in licensing, 825
inbound
unknown engine status alerts, 193
creating NAT rules for,
update packages, 209, 845
489 outbound, 459
activating, 847
creating NAT rules for, 465
importing, 846
getting started with, 460 upgrades
traffic recordings engine upgrades, 210
retrieving, 142 remote engine upgrades, 210,
transient logs , 137 841 remote upgrades, 841
traps, SNMP, 432 troubleshooting, 909
troubleshooting
upgrading, 841
accounts, 853
engine upgrades,
alerts, 857
833 licenses, 824
certificates, 867
management system, 836
engine operation, 875
remote engine upgrades, 841
error messages, 857
remote upgrades, 833,
firewall policy installation, 898
841 remotely, 819, 820
general troubleshooting tips, 851
uploading policies, 818
IPS policy installation,
900 licenses, 879 URL filtering, 652
log messages, 857 use PFS, 739
user aliases, system-defined, 944 client address management, 787

user authentication, 623 client settings, 727
access rules, defining, client-to-gateway, 701, 716, 727,
642 dialog, customizing, 740 configuring, 718
648 getting started, 624 defining pre-shared keys for,
groups, defining, 638 747 deflate compression for,
monitoring, 649 739 diffie-hellman, 739
testing, 649 element for, 742
users, defining, 640 enabling NAT for, 743
user database replication, 646 error codes, 1009
user groups, 637 error messages, 1007
user responses, 611 excluding sites from, 746
creating, 612 external end-points in, 724
in access rules, 527, 528 external security gateways in ,
user response entries, 613 692 forwarding settings for, 745,
user services, 628, 631 746 gateway profiles for, 718
UserObjectClass, 632 gateway settings, 774 gateway-
users, 637 to-gateway, 688, 692, 716
adding, 644 generating pre-shared keys for, 773
authentication, 647 granting access to new hosts in, 771
authentication settings, clearing, granularity of SAs in, 739, 741
646 exporting, 645 hub configuration, 772 hub
importing, 644 configuration for, 709 ID
passwords, 646 value in end-points, 724
removing, 644 IKE (phase 1) settings for, 735
searching, 46, 49 internal end-points for, 722
UTM, 417, 424 internal security gateways in, 688
IPsec (phase 2) settings for, 737
keepalive for SOHO tunnels, 372
V
local security checks for,
validating policies, 556
validity for VPNs, 747
741 log messages, 1005
logs for, 753
vendor for SNAP, 577
monitoring, 753 multi-
verbose logging , 193
link for, 746, 747
version of RPC, 575
NAT for clients in, 786
virtual adapter, 727, 728,
NAT rules for, 752
787 virtual defragmentation,
negotiation mode in, 737
418 virtual IP addresses, 787
virus scanning, 424
notification messages, 1005
VLAN ID, defining for sensors , 385
null encryption in,
VLANs, defining for firewalls, 346
VPN clients, 781
738 overview, 756
path MTU discovery for,
getting started with,
782 IP addresses, 785 740 PFS in, 739
profiles for, 734
settings in management client, 783
proxy identities for, 746
VPN diagrams, 168
reconfiguring, 767
VPNs, 715, 729
removing tunnels, 768
adding tunnels, 768 anti-
satellite gateways in, 745
clogging, 778 anti-replay
signing external certificate requests,
window in, 739 basic
configuration of, 687
761 topology of, 744
central gateways in, 745
trusted CA for, 726, 742
certificate cache, 778
tunnels for, 746
certificate expiry checking,
tunnels in, 744
765 certificate renewal in, UDP encapsulation for,
763 certificates for, 756 725 user aliases, 944
validity for, 747

virtual adapter for
VPN clients, 727
VRRP, 353
vulnerabilities, 595, 596, 597
W
watchlist, 133
web filtering, 652
web portal, 256
announcements, 266
encrypting communications, 258
server, 257
users, 260
web start, 269, 270
distribution from stonegate servers,
271 distribution from web server, 272
website access control, 600, 653
white engine status, 192
whitelisting URLs, 653
wireless LAN, 373
1071
StoneGate Guides
Administrators Guides - step-by-step instructions for configuring and managing the system.
Installation Guides - step-by-step instructions for installing and upgrading the system.
Reference Guides - system and feature descriptions with overviews to configuration tasks.
User's Guides - step-by-step instructions for end-users.
For more documentation, visit

www.stonesoft.com/support/
Stonesoft Corporation Stonesoft Inc.

Itlahdenkatu 22 A 1050 Crown Pointe Parkway
FI-00210 Helsinki Suite 900
Finland Atlanta, GA 30338
USA
Tel. +358 9 476 711 Tel. +1 770 668 1125
Fax +358 9 4767 1349 Fax +1 770 668 1131
Copyright 2010 Stonesoft Corporation. All rights reserved. All specifications are subject to change.

Guía de Administración StoneGate v2

Uploaded by

Copyright:

Available Formats

You might also like

Guía de Administración StoneGate v2

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guía de Administración StoneGate v2

Uploaded by

Copyright:

Available Formats

STONEGATE 5.

GUIA DEL ADMINISTRADOR

SISTEMA DE PREVENCIN DE INTRUSIONES

VIRTUAL PRIVATE NETWORKS

Third Party Licenses

U.S. Government Acquisitions

Product Export Restrictions

General Terms and Conditions of Support and Maintenance Services

Trademarks and Patents

Servidor DHCP integrado en Clster ................................ 31

Tabla de contenido Notas sobre Cambios en la Edicin de Polticas para

Puestas al Da y Actualizaciones del Desconectarse de un Dominio ................................. 250

Configurar VPNs IPsec ..................................................... 718

Resolucin de Problemas con la Operacin Resolucin de Problemas de Informes ................... 906

Campos de Entrada de Logs de SSL VPN Exportables997

Uso del Management Client - 35

Configuracin del Sistema - 55

Configuracin de las Comunicaciones del Sistema - 59

Gestin de los Elementos - 71

Bienvenido a la familia de productos StoneGate de Stonesoft Corporation. Este captulo

Se incluyen las siguientes secciones:

Objetivos y Audiencia (pag. 22)

Tabla 1.1 Convenciones tipogrficas

Formato Usos Informativos

Utilizaremos las siguientes formas de indicar informacin importante o adicional:

Precaucin Las precauciones proporcionan informacin importante que deber tener

Documentacin del Producto

Tabla 2: Documentacin del Producto

Tabla 3: Documentacin del Producto (Continuacin)

Requisitos del Sistema

Cuestiones y Comentarios Relacionados con Seguridad

Se incluyen las siguientes secciones:

Cambios Importantes (pg. 28)

VPNs: Fin del Soporte para la Encapsulacin UDP Legacy

SMC: Fin del Soporte para Clientes VPN Legacy

Otros Cambios en SMC 5.2.2

Autenticacin Automtica contra un Servidor Proxy para

Desactivacin de la Sincronizacin de Conexiones

Otros Cambios en SMC 5.2

Seleccin de Colores para Reglas de Comentario

Snapshots de Conexiones y Listas Negras

Importacin de Copias de Seguridad Personalizadas para

Para ms detalles, vea la Gua Management Center Installation Guide.

Cambios en la Lgica de Edicin del Editor de Polticas

Mejoras en la Importacin de Elementos

Modificacin de la Configuracin de Reglas de Inspeccin

Herramienta de Navegacin MIB Integrada

Para ms detalles, vea Importar MIBs (pg. 120).

Enlace de Logs a Reglas para Reglas de Inspeccin Y NAT

Nuevas Herramientas de Bsqueda

Guardar y Visualizar Logs como Archivos Zip

Escalado de Severidad de Alertas ms Simple

Alertas Basadas en Estadsticas

Mejoras en la Monitorizacin de Dispositivos de Terceros

Atajos de Resolucin de Problemas VPN

Otros Cambios en el Cortafuegos/VPN 5.2

Versin de Software de 64 bits

Enlaces de Red Agregados

Lmites de Tasas de Conexiones Concurrentes