Security

Formación Técnica – Seguridad: ‘Seguridad en Red ZyWALL USG (ZLD v2.20)’

Pág. 1/316

ÍNDICE:

1. INTRODUCCIÓN A LA FAMILIA ZYWALL .............................................................................................. 5

2. ACCESO AL EQUIPO .......................................................................................................................... 15

2.1. ACCESO MEDIANTE PUERTO DE CONSOLA ................................................................................................. 15 2.2. ACCESO MEDIANTE CLIENTE SSH ............................................................................................................. 16 2.3. ACCESO MEDIANTE TELNET .................................................................................................................. 16 2.4. ACCESO MEDIANTE NAVEGADOR WEB .................................................................................................... 17

2.4.1 Barra de Títulos ........................................................................................................................ 19 2.4.1.1 Mensajes de aviso ............................................................................................................................ 19 2.4.1.2 Site Map ........................................................................................................................................... 20 2.4.1.3 Referencia a Objetos ........................................................................................................................ 20 2.4.1.4 Mensajes CLI ..................................................................................................................................... 21

2.4.2 Panel de Navegación ................................................................................................................ 21 2.4.3 Ventana Principal ..................................................................................................................... 22 2.4.4 Tablas y Listas .......................................................................................................................... 22

2.4.4.1 Manipulación de Tablas .................................................................................................................... 23 2.4.4.2 Trabajando con las Entradas de las Tablas ...................................................................................... 24 2.4.4.3 Trabajando con Listas ....................................................................................................................... 25

3. ASISTENTE DE CONFIGURACIÓN E INSTALACIÓN.............................................................................. 25

3.1 PANTALLAS DEL ASISTENTE DE CONFIGURACIÓN E INSTALACIÓN ..................................................................... 25 3.1.1 Configuración del Acceso a Internet – Interfaz WAN ............................................................... 26 3.1.2. Acceso Internet: Ethernet ........................................................................................................ 26 3.1.3. Acceso Internet: PPPoE ........................................................................................................... 27 3.1.4. Acceso Internet: PPTP ............................................................................................................. 27 3.1.5. Parámetros del ISP .................................................................................................................. 28

4. REGISTRO DEL DISPOSITIVO ............................................................................................................ 30

4.1. REGISTRO EN MYZYXEL.COM ................................................................................................................. 30 4.2. ACTIVACIÓN DE SERVICIOS EN MODO TRIAL ............................................................................................... 31 4.3. ACTIVACIÓN DE SERVICIOS POR MEDIO DE LICENCIA .................................................................................... 32 4.4. UPDATES ............................................................................................................................................ 34

5. CONFIGURACIÓN RÁPIDA ................................................................................................................ 35

6. CONFIGURACIÓN: ASPECTOS BÁSICOS ............................................................................................. 45

6.1 CONFIGURACIÓN BASADA EN OBJETOS ...................................................................................................... 45 6.2 INTERFACES, ZONAS Y PUERTOS FÍSICOS .................................................................................................... 46

6.2.1 Interfaces ................................................................................................................................. 46 6.2.2 Zonas ........................................................................................................................................ 46

6.3. CONFIGURACIÓN DE INTERFACES ETHERNET, PORT ROLES Y ZONAS. .............................................................. 51 6.3.1. Configurar un Interface WAN Ethernet ................................................................................... 52 6.3.2. Configuración de Interfaces PPP ............................................................................................. 53 6.3.3. Configurar el interfaz OPT como una red local ....................................................................... 55 6.3.4. Configurar el interfaz OPT como una red externa WAN ......................................................... 56 6.3.5. Configuración 3G .................................................................................................................... 57 6.3.6. Configurar Port Roles .............................................................................................................. 61 6.3.7. Configurar Zonas ..................................................................................................................... 62

6.4 TERMINOLOGÍA DEL ZYWALL ................................................................................................................. 63 6.5 FLUJO DE PAQUETES .............................................................................................................................. 64

6.5.1 Mejoras en el Flujo de Paquetes del ZLD 2.20 .......................................................................... 64 6.5.2 Mejoras en el Flujo de comprobación de la Tabla de Enrutamiento ........................................ 65 6.5.3 Flujo de Comprobación de la Tabla NAT .................................................................................. 65

6.6. REVISIÓN CONFIGURACIÓN DE PRESTACIONES ........................................................................................... 66 6.7 SISTEMA.............................................................................................................................................. 67


Pág. 2/316

6.7.1 DNS, WWW, SSH, Telnet, FTP, SNMP, Dial-in Mgmt, Vantage CNM ....................................... 67 6.7.2 Logs e Informes ........................................................................................................................ 67 6.7.3 Gestor de Ficheros .................................................................................................................... 67 6.7.4 Diagnósticos ............................................................................................................................. 67 6.7.5 Apagado ................................................................................................................................... 68

6.8. CAMBIAR LA CONTRASEÑA POR DEFECTO ................................................................................................. 68 6.9. TEMPORIZADOR DE DESCONEXIÓN AUTOMÁTICA DE SESIÓN ........................................................................ 69 6.10. IP/MAC BINDING ............................................................................................................................. 69 6.11. CONFIGURACIÓN DNS ........................................................................................................................ 72 6.12. CONFIGURACIÓN DDNS ..................................................................................................................... 73 6.13. APLICACIONES DE VOIP CON USG......................................................................................................... 75

6.13.1. Lista de Dispositivos VoIP Soportados ................................................................................... 75 6.13.2. Escenario VoIP en NAT .......................................................................................................... 76 6.13.3. Servidor SIP en Internet ......................................................................................................... 76

6.13.3.1. Escenario de Aplicación ................................................................................................................. 76 6.13.3.2. Pasos de Configuración ................................................................................................................. 77

6.13.4. Servidor SIP en la Red Local................................................................................................... 77 6.13.4.1. Escenario de Aplicación ................................................................................................................. 77 6.13.4.2. Pasos de Configuración ................................................................................................................. 78

6.13.5. Escenario VoIP en VPN .......................................................................................................... 79 6.13.5.1. Escenario de Aplicación ................................................................................................................. 79 6.13.5.2. Pasos de Configuración ................................................................................................................. 80

7. CONFIGURACIÓN DEL FIREWALL ...................................................................................................... 92

7.1. EJEMPLO DE CONFIGURACIÓN DE REGLAS DE FIREWALL ................................................................................ 95

8. CONFIGURACIÓN DEL BALANCEO DE CARGA (TRUNKS) ................................................................... 99

8.1. LEAST LOAD FIRST .............................................................................................................................. 101 8.2. WEIGHTED ROUND ROBIN ................................................................................................................... 102 8.3. SPILLOVER ........................................................................................................................................ 103

9. GESTIÓN DEL ANCHO DE BANDA .................................................................................................... 105

9.1. DESDE EL POLICY ROUTE ..................................................................................................................... 105 9.2. DESDE EL APPLICATION PATROL ............................................................................................................ 107 9.2.1 EJEMPLO DE APLICACIÓN GESTIÓN DE ANCHO DE BANDA EN APPLICATION PATROL ...................................... 111

10. NAT .............................................................................................................................................. 118

10.1. CONFIGURACIÓN DEL SERVIDOR VIRTUAL ............................................................................................. 118 10.1.1. Escenario de Red ................................................................................................................. 118 10.1.2. Pasos de Configuración ....................................................................................................... 118

10.2. CONFIGURACIÓN DE NAT UNO A UNO ................................................................................................ 121 10.2.1. Escenario de Red ................................................................................................................. 121 10.2.2. Pasos de Configuración ....................................................................................................... 121

10.3. CONFIGURACIÓN NAT VARIOS UNO A UNO .......................................................................................... 123 10.3.1. Escenario de Aplicación ....................................................................................................... 123 10.3.2. Pasos de Configuración ....................................................................................................... 124

10.4. LOOPBACK NAT .............................................................................................................................. 125 10.4.1. Escenario de Red ................................................................................................................. 126 10.4.2. Pasos de Configuración ....................................................................................................... 126

10.5. NAT CON PROXY ARP ...................................................................................................................... 127 10.5.1. Escenario de Aplicación ....................................................................................................... 128 10.5.2. Pasos de Configuración ....................................................................................................... 129

10.6. RUTA DE POLICÍA VS. RUTA DIRECTA.................................................................................................... 131 10.7. ENRUTAMIENTO PARA IPSEC VPN ...................................................................................................... 132

10.7.1. Escenario de Aplicación ....................................................................................................... 133 10.7.2. Pasos de Configuración ....................................................................................................... 133


Pág. 3/316

10.8. ENLACE NAT UNO A UNO EN CASO DE FAIL OVER .................................................................................. 135

10.8.1. Escenario de red .................................................................................................................. 135 10.8.2. Pasos de Configuración ....................................................................................................... 135

11. SEGURIDAD EN EL EXTREMO REMOTO (EPS) ................................................................................ 139

11.1. INTRODUCCIÓN A LA SEGURIDAD EN EL EXTREMO REMOTO (EPS) ............................................................. 139 11.2. EPS ---- WEBGUI ........................................................................................................................... 139 11.3. EPS --- CLI ..................................................................................................................................... 144 11.4. NOTA DE APLICACIÓN EPS ................................................................................................................ 145

11.4.1. Despliegue de EPS en aplicaciones User Aware .................................................................. 145 11.4.2. Escenario de Aplicación ....................................................................................................... 145 11.4.3. Pasos de configuración ....................................................................................................... 146 11.4.4. Verificación de Escenario .................................................................................................... 150

11.5. DESPLIEGUE DE EPS EN VPN SSL ....................................................................................................... 152 11.5.1. Escenario de Aplicación ....................................................................................................... 152 11.5.2. Pasos de configuración ....................................................................................................... 153 11.5.3. Verificación de Escenario .................................................................................................... 155

11.6. DESPLIEGUE DE AAA Y EPS EN VPN SSL ............................................................................................. 157 11.6.1. Escenario de Aplicación ....................................................................................................... 157 11.6.2. Pasos de configuración ....................................................................................................... 158 11.6.3. Verificación de Escenario .................................................................................................... 174

12. CREACIÓN DE VPN........................................................................................................................ 177

12.1. IPSEC VPN..................................................................................................................................... 177 12.1.1. Router Remoto .................................................................................................................... 178 12.1.2. Router Local ........................................................................................................................ 182 12.1.3. ZyWALL Remoto .................................................................................................................. 185 12.1.4. ZyWALL Local ...................................................................................................................... 193

12.2. VPN ENTRE UN ZLD 2.20 Y UN CLIENTE IPSEC VPN: ............................................................................. 199 12.2.1. Condiciones Previas: ............................................................................................................ 199 12.2.2. Configuración en el ZyWALL ZLD 2.20: ................................................................................ 200 12.2.3. Configuración en el Cliente IPSec VPN: ............................................................................... 205

12.3. VPN INBOUND & OUTBOUND TRAFFIC ................................................................................................ 210 12.3.1. Dirección Origen en paquetes Outbound (Outbound Traffic, Source NAT) ......................... 210

12.4. VPN CONCENTRATOR ....................................................................................................................... 212 12.4.1. Topología de la Red ............................................................................................................. 212 12.4.2. Configuración en la delegación B01 .................................................................................... 213 12.4.3. Configuración en la delegación B02 .................................................................................... 215 12.4.4. Configuración en la sede central HQ ................................................................................... 217 12.4.5. VPN Concentrator en la sede central HQ ............................................................................ 220

12.5. LOGS IKE ...................................................................................................................................... 221 12.5.1. Túnel Abierto sin problemas ............................................................................................... 221 12.5.2. Pre-Shared Key Diferente .................................................................................................... 222 12.5.3. Identificador FQDN Diferente .............................................................................................. 223 12.5.4. Desajuste Fase 1.................................................................................................................. 223 12.5.5. Desajuste Fase 2 (Autenticación / Encriptación) ................................................................. 224 12.5.6. Desajuste Fase 2 (Direccionamiento IP) .............................................................................. 224

12.6. SSL VPN ....................................................................................................................................... 225 12.6.1. Creación de Túnel SSL .......................................................................................................... 226

12.6.1.1. Configuración en el ZyWALL ........................................................................................................ 226 12.6.1.2. Acceso desde el Exterior.............................................................................................................. 229

12.6.2. Accediendo a la subred remota de un túnel IPSec VPN a través de clientes SSL VPN ......... 237 12.7. L2TP VPN ..................................................................................................................................... 249

12.7.1. Configurando el Default L2TP VPN Gateway ...................................................................... 250 12.7.2. Configurando el Default L2TP VPN Connection ................................................................... 251 12.7.3. Configurando las opciones del L2TP VPN ............................................................................ 252


Pág. 4/316

12.7.4. Configurando la Policy Route para L2TP ............................................................................. 253 12.7.5. Configurando L2TP VPN en Windows 7............................................................................... 254 12.7.6. Configurando L2TP VPN en Windows XP ............................................................................ 262 12.7.7. Resolución de problemas en túneles L2TP .......................................................................... 270

13. FUNCIONALIDAD UTM ................................................................................................................. 272

13.1. APPLICATION PATROL ....................................................................................................................... 272 13.1.1. MSN Messenger .................................................................................................................. 272 13.1.2. Edonkey ............................................................................................................................... 274

13.2. ANTI-VIRUS .................................................................................................................................... 276 13.3. IDP ............................................................................................................................................... 278 13.4. ADP ............................................................................................................................................. 280 13.5. FILTRADO DE CONTENIDOS ................................................................................................................ 283 13.6. ANTI-SPAM .................................................................................................................................... 287

14. DEVICE HA .................................................................................................................................... 290

14.1. ANTES DE EMPEZAR.......................................................................................................................... 290 14.2. CONFIGURAR DEVICE HA EN EL ZYWALL MASTER ................................................................................. 291 14.3. CONFIGURAR DEVICE HA EN EL ZYWALL BACKUP ................................................................................. 292 14.4. HACER USO DEL ZYWALL BACKUP ...................................................................................................... 294 14.5. VERIFICAR LA CONFIGURACIÓN DEL DEVICE HA ..................................................................................... 294 14.6. CREAR LOS OBJETOS DE TIPO “ADDRESS” ............................................................................................. 295 14.7. CONFIGURAR UN VIRTUAL SERVER ...................................................................................................... 295

15. MANTENIMIENTO ........................................................................................................................ 297

15.1. FICHERO DE CONFIGURACIÓN ............................................................................................................. 297 15.2. FIRMWARE ..................................................................................................................................... 298 15.3. SHELL SCRIPT .................................................................................................................................. 299 15.4. INICIANDO Y APAGANDO EL ZYWALL .................................................................................................. 300 15.5. LOGS Y REPORTS .............................................................................................................................. 301

15.5.1. Email Daily Report ............................................................................................................... 301 15.5.2. Log & Report ....................................................................................................................... 302

15.6. DIAGNÓSTICOS ................................................................................................................................ 305 15.7. CAPTURA DE PAQUETES (PACKET CAPTURE) .......................................................................................... 306

16. RESOLUCIÓN DE AVERÍAS ............................................................................................................. 307

16.1. PROCEDIMIENTO DE RESTAURACIÓN DEL FICHERO IMAGEN ...................................................................... 307 16.2. PROCEDIMIENTO DE RESTAURACIÓN DEL FICHERO DE FIRMWARE ............................................................... 309 16.3. VERSIÓN DE FIRMWARE CARGADA EN SU ZYWALL ................................................................................. 312 16.4. FICHERO DE DIAGNÓSTICOS ............................................................................................................... 312 16.5. INDICAR CON DETALLE LA INCIDENCIA ENCONTRADA ................................................................................ 313 16.6. DESCRIBIR LA TOPOLOGÍA DE SU RED ................................................................................................... 313

17. UN VISTAZO POR LA WEB DE ZYXEL ESPAÑA ................................................................................ 314

17.1. BARRA SUPERIOR Y BANNER PRINCIPAL ................................................................................................ 315 17.2. COLUMNA IZQUIERDA ....................................................................................................................... 315 17.3. COLUMNA CENTRAL ......................................................................................................................... 315

17.3.1. Documentación y Notas Técnicas ....................................................................................... 315 17.3.2. Premios ............................................................................................................................... 316

17.4. COLUMNA DERECHA ......................................................................................................................... 316 17.4.1. Nuevos Productos ............................................................................................................... 316 17.4.2. Noticias ............................................................................................................................... 316

17.5. BARRA INFERIOR .............................................................................................................................. 316


Pág. 5/316

1. Introducción a la Familia ZyWALL

Evolución de la familia de producto ZyWALL USG

Fig. – Gráfica de Equivalencias ZyWALL

En la parte de la izquierda de la gráfica encontramos los equipos de la familia ZyWALL actualmente en el mercado. Dichos dispositivos están siendo sustituidos por la nueva familia ZyWALL USG, tal y como aparece a la derecha de la pirámide. A la hora de adquirir estos dispositivos nos tenemos que basar especialmente en el número de usuarios que vamos a dar cabida, así como el número máximo de puertos WAN y túneles VPN. Este manual está enfocado sobre la familia ZyWALL USG. La cuál integra potentes tecnologías:

- Tecnología de Antivirus de ZyXEL - Tecnología de Antivirus de KasperSky - Tecnologías IPSec, Antivirus y Firewall certificadas por ICSA Labs - Tecnología de Filtrado de Contenidos de BlueCoat


Pág. 6/316

En la siguiente tabla podemos encontrar las diferencias más significativas entre los diferentes modelos de dispositivos ZyWALL USG: USG 20/20W USG 50 USG 100 USG 200 USG 300 USG 1000 USG 2000 CPU Flash/DRAM SecuASIC

Freescale 8343E 255M/256M CIP1001 * 1



Pentium M 1.8G 256M/1G CIP2001 * 1

Intel E6400 256M/2G CIP3001 * 1

Rendimiento del Sistema

·Firewall: 100M ·VPN: 30M ·UTM: N/A ·Session: 6k ·Session rate: 1k

·Firewall: 100M ·VPN: 50M ·UTM: 15M ·Session: 10k ·Session rate: 1k


·Firewall: 150M ·VPN: 75M ·UTM: 24M ·Session: 40k ·Session rate: 1.4k



·Firewall: 2G ·VPN: 500M ·UTM: 400M ·Session: 1kk ·Session rate: 20k

Interfaces Gigabit Eth

1*WAN, 4*LAN/DMZ

Gigabit Eth 2*WAN,

4*LAN/DMZ

Gigabit Eth 2*WAN,

5*LAN/DMZ

Gigabit Eth 2*WAN, 1*OPT,

4*LAN/DMZ

Gigabit Eth 7 Configurable

Gigabit Eth 5 Configurable

Gigabit Eth 6 Configurable 2 SFP (combo)

Nº Usuarios Orientados

5 10 25 50 200 300 1000

IPSec VPN 2 5 50 100 200 1000 2000

SSL VPN 1 5 2 -> 5 2 -> 10 2 -> 10 -> 25 5 -> 50 -> 250 5 -> 200 -> 750

USB 1 2 2 2 2 2 2

PCMCIA No No 1 (Cardbus) 1 (Cardbus) 2 (Cardbus) 1 (Cardbus) 1 (Cardbus)

SFP No No No No No No Sí

Para activar los servicios de seguridad (Filtrado de Contenidos, IDP, AV, SSL) hay que adquirir una licencia específica para cada uno de ellos. Actualmente existen dos tipos de licencias: iCard y E-iCard. La E-iCard es en formato digital, en vez de papel. Por lo que su adquisición es más rápida que la iCard que de no tenerla en stock, había unos plazos de espera de 3 ó 4 semanas. Mientras que la E-iCard el plazo es inferior a una semana. En toda la familia ZyWALL USG la funcionalidad AntiSpam es gratuita.

Fig. – Part Numbers de las licencias de los servicios de seguridad

Vamos a mostrar gráficamente los diferentes dispositivos que componen la familia ZyWALL USG y sus características más notables.


Pág. 7/316

ZyWALL USG 20 :

Fig. – Características del ZyWALL USG 20

ZyWALL USG 20W :

Fig. – Características del ZyWALL USG 20W


Pág. 8/316

ZyWALL USG 50 :


ZyWALL USG 100 :



Pág. 9/316

ZyWALL USG 200 :


ZyWALL USG 300 :



Pág. 10/316

ZyWALL USG 1000 :


ZyWALL USG 2000 :



Pág. 11/316

Fig. – Diferentes módulos SEM que se pueden instalar en el ZyWALL USG 2000

A continuación vamos a mostrar tablas y gráficas comparativas entre los modelos de la familia ZyXEL ZyWALL USG y sus competidores más directos.

Fig. – Comparación de equipos semejantes de varios fabricantes contra ZyWALL USG 20/20W


Pág. 12/316

Fig. – Comparación de equipos semejantes de varios

fabricantes contra ZyWALL USG 50/100/200


Pág. 13/316

Fig. – Comparación de equipos semejantes de varios fabricantes contra ZyWALL USG 300



Pág. 14/316



Pág. 15/316

2. Acceso al Equipo Disponemos de varias formas de acceder al ZyWALL: mediante el puerto de consola, mediante un cliente SSH, mediante un cliente Telnet, o mediante un navegador Web. Por defecto, en la serie ZyWALL USG, la dirección IP de la interfaz LAN es 192.168.1.1 y la interfaz LAN también se configura como un servidor DHCP, lo que significa que puede conectarse directamente a la interfaz LAN y gestionar el dispositivo. Por defecto utiliza el usuario admin y la contraseña 1234.

2.1. Acceso mediante Puerto de Consola Utilizando un cable serie conectado a un PC y al ZyWALL podemos acceder a éste último por medio de una conexión de Hyperterminal o una aplicación similar. Debemos configurar el Terminal VT100 en dicha aplicación con los siguientes datos:

- 115.200 baudios - 8 bits de Datos - 1 bit de Parada - Sin Paridad - Sin Control de Flujo

Una vez conectados accederemos al interfaz de modo de comandos de configuración:

Fig. – Acceso por Puerto de Consola


Pág. 16/316

2.2. Acceso mediante cliente SSH Mediante un cliente SSH que soporte la versión 1.5 nos conectaremos al ZyWALL con los valores por defecto a la dirección IP 192.168.1.1, usando el nombre de usuario “admin ”, y la contraseña “1234”. Una vez conectados accederemos al interfaz de modo de comandos para configurar el ZyWALL.

Fig. – Acceso mediante cliente SSH

2.3. Acceso mediante TELNET Mediante un cliente Telnet nos conectaremos al ZyWALL con los valores por defecto a la dirección IP 192.168.1.1, usando el nombre de usuario “admin ”, y la contraseña “1234”. Una vez conectados accederemos al interfaz de modo de comandos para configurar el ZyWALL.

Fig. – Acceso mediante cliente TELNET


Pág. 17/316

2.4. Acceso mediante Navegador WEB El interfaz GUI del ZyWALL soporta una resolución de pantalla de 1024 por 768 píxeles. En cuanto a navegadores, se incluye soporte para IE 7.0 o superior, Firefox 1.5.0 o superior. Es necesario activar JavaScript y la fijación de cookies en su navegador web y también desactivar el bloqueo de ventanas emergentes. De lo contrario, se causará la imposibilidad de acceso de usuario o el acceso a diversas opciones del interfaz GUI del ZyWALL. El equipo soporta los protocolos HTTP y HTTPS. Mediante el Navegador Web apuntaremos a la dirección por defecto 192.168.1.1 del ZyWALL, si no ha sido cambiada. A continuación se nos pedirá un nombre de usuario y contraseña, introduciremos como nombre de usuario “admin ” y contraseña “1234” si no las hemos modificado.

Fig. – Acceso mediante Navegador WEB

A continuación nos aparecerá una ventana recomendando que cambiemos la contraseña por defecto. Por motivos de seguridad, se recomienda cambiar la contraseña por defecto, siguiendo los pasos indicados en dicha pantalla. Podemos saltarnos esta petición pulsando sobre el botón “Ignore ”.

Fig. – Recomendación cambio de Contraseña


Pág. 18/316

Finalmente accederemos al menú “Status ” que es la pantalla inicial de configuración del ZyWALL. Aquí podremos comprobar la versión de firmware cargada en el dispositivo. Esta ventana se divide en 3 secciones:

Fig. – Menú Status y sus diferentes secciones

A – Barra de Títulos B – Panel de Navegación C – Ventana Principal


Pág. 19/316

2.4.1 Barra de Títulos La Barra de Títulos posee varios iconos en la esquina superior derecha:

Fig. – Iconos de la Barra de Títulos

Logout : Pulse este icono para cerrar la sesión del configurador web. Help : Pulse este icono para abrir la página de ayuda para la pantalla activa. About : Pulse este icono para mostrar información básica sobre el ZyWALL. Site Map : Pulse este icono para mostrar el mapa con las opciones el configurador web. Puede utilizarlo para ir directamente a cualquier menú o pestaña del configurador web. Object Reference : Pulse este icono para ver las dependencias de los objetos creados. Console : Pulse este icono para abrir la consola y usar el interfaz línea de comandos (CLI).

2.4.1.1 Mensajes de aviso En el caso de producirse algún error de configuración, se mostrará un mensaje de aviso del tipo:

Fig. – Mensaje de Aviso


Pág. 20/316

2.4.1.2 Site Map Esta opción de la Barra de Títulos permite visualizar y acceder a los enlaces de la pantalla del Configurador Web. Pulse sobre un enlace para acceder a la pantalla correspondiente:

Fig - Site Map

2.4.1.3 Referencia a Objetos Pulse Object Reference para abrir la pantalla correspondiente. Seleccione el tipo de objeto y el objeto individual y a continuación pulse Refresh para visualizar los parámetros de configuración del objeto en cuestión:

Fig - Referencia a Objeto

En la pantalla anterior se muestra el objeto de usuario ldap-users (en este caso, la primera regla de cortafuegos).


Pág. 21/316

2.4.1.4 Mensajes CLI Pulse CLI en la Barra de Títulos para visualizar los comandos CLI enviados por el Configurador Web:

Fig Mensajes CLI Pulse Clear para borrar la información presentada.

2.4.2 Panel de Navegación Si desplegamos la barra lateral de menús (Barra de Navegación) podemos encontrar las siguientes opciones:

Fig. – Barra de Navegación desplegada Pulse la flecha que aparece en el borde derecho del panel de navegación para ocultar los menús del panel, o arrástrela para modificar su tamaño.


Pág. 22/316

2.4.3 Ventana Principal La ventana principal muestra la pantalla seleccionada en el panel de navegación:

Fig. – Ventana Principal y botones de visualización de widgets

Los botones situados en la parte superior derecha (A, B, C, D y E) permiten ocultar, minimizar, cerrar o desplazar cada sub-pantalla (widgets): A: Reabre una pantalla previamente cerrada B: Oculta una pantalla C: Refresca la información presentada D: Actualiza la información inmediatamente E: Cierra la pantalla Asimismo, pulsando el botón “Rear pannel/Front pannel” situado a la derecha de la imagen del dispositivo virtual, se pueden visualizar los paneles anterior/posterior del equipo.

2.4.4 Tablas y Listas Las Tablas y Listas del Configurador Web son muy flexibles y permiten diferentes opciones de visualización y manipulación.


Pág. 23/316

2.4.4.1 Manipulación de Tablas A continuación se indican las diferentes maneras de manipular las tablas del Configurador Web.

1. Pulse la cabecera de la columna para organizar las entradas de la tabla de acuerdo con el criterio de la columna:

Fig. - Organización de las entradas de las tablas

2. Pulse la fecha al lado de la cabecera de la columna para acceder a las

diferentes opciones de visualización de las entradas:

Fig. - Opciones de visualización

3. Seleccionar el borde derecho de una columna y arrastrarlo para

modificar el tamaño de la columna:

Fig. - Modificación del tamaño de una columna


Pág. 24/316

4. Seleccionar una cabecera de columna y arrastrarla y soltarla para

cambiar el orden de la columna:

Fig. - Cambio del orden de las columnas

5. Utilice los iconos y campos de la parte superior de la tabla para navegar

por las diferentes páginas de las entradas y controlar cuantas entradas se muestran al mismo tiempo:

Fig. - Páginas de navegación de las entradas de las tablas

2.4.4.2 Trabajando con las Entradas de las Tablas Las tablas disponen de iconos para gestionar las entradas:

Fig. - Iconos de las tablas

Se pueden utilizar las teclas Shift o Ctrl para seleccionar múltiples entradas y eliminarlas, activarlas o desactivarlas.


Pág. 25/316

2.4.4.3 Trabajando con Listas Cuando se muestra una lista de entradas disponibles a continuación de una lista de entradas seleccionadas, se puede mover una entrada de una lista a otra mediante una doble pulsación. En algunas listas, se pueden usar las teclas Shift o Ctrl para seleccionar múltiples entradas y junto con las teclas de desplazamiento vertical y horizontal (teclas de flechas), moverlas de una lista a otra.

Fig. – Ejemplo de Listas

3. Asistente de Configuración e Instalación

3.1 Pantallas del Asistente de Configuración e Inst alación Si procede a realizar un login en el Configurador Web cuando el ZyWALL se está utilizando en su configuración por defecto, aparecerá la primera pantalla del Asistente de Configuración e Instalación. Este asistente le ayudará a configurar la conexión a Internet y a activar los servicios correspondientes:

Fig. - Asistente de Configuración de Instalación


Pág. 26/316

3.1.1 Configuración del Acceso a Internet – Interfa z WAN Esta pantalla permite definir cuántos interfaces WAN hay que configurar y el tipo de encapsulación y método de asignación de dirección IP para el primer interfaz WAN:

Fig. - Configuración primer interfaz WAN

3.1.2. Acceso Internet: Ethernet Esta pantalla permite configurar los parámetros de la dirección IP. (Si en la pantalla anterior seleccionó previamente la opción “Auto ” en el campo IP Address Assignment , no deberá realizar ninguna acción):

Fig. - Configuración dirección IP: Encapsulación Ethernet


Pág. 27/316

3.1.3. Acceso Internet: PPPoE En esta pantalla se configuran los parámetros del ISP y del interfaz WAN para el caso de encapsulación PPPoE:

Fig. - Encapsulación PPPoE

3.1.4. Acceso Internet: PPTP En esta pantalla se configuran los parámetros de acceso a Internet en el caso de utilizar encapsulación PPTP:

Fig. - Encapsulación PpoE


Pág. 28/316

3.1.5. Parámetros del ISP

- Tipo de autenticación : Selecciona un protocolo de autenticación para las llamadas salientes:

- CHAP/PAP - CHAP - PAP - MSCHAP - MSCHAP-V2 - Tipo de User Name - Tipo de Password - Seleccionar Nailed-Up si no se quiere realizar una conexión

temporizada. En caso contrario, seleccionar Idle Timeout . 3.1.5.1. Configuración PPTP

- Interfaz Base (Base Interface ) - Tipo de Dirección IP Base (Base IP Address )

- Tipo de Máscara de la Subred IP (IP Subnet Mask ) - Servidor IP - Tipo de Conexión IP (Connection ID ) 3.1.5.2. Asignación de Dirección IP WAN

- Primer Interfaz WAN - Zona - Dirección IP (IP Address ) - Primer/Segundo Servidor DNS

3.1.2 Configuración del Acceso a Internet – Segundo Interfaz WAN Si se ha seleccionado la opción de disponibilidad de dos ISPs, una vez configurado el primer Interfaz WAN se puede configurar el segundo Interfaz WAN. La pantalla para esta configuración es similar a la del primer interfaz:


Pág. 29/316

Fig. - Configuración segundo Interfaz WAN

3.1.3 Acceso Internet – Finalización Una vez realizando los pasos anteriores, aparecerá la siguiente pantalla con los parámetros seleccionados:

Fig. - Parámetros de Acceso a Internet seleccionados

Pulse Back si quiere modificar algún dato o Next para continuar con el proceso de registro (ver apartado siguiente).


Pág. 30/316

4. Registro del Dispositivo A través de myZyXEL.com puede registrar su ZyWALL y activar pruebas de servicios, como IDP y periodos de suscripción a prestaciones de seguridad. Si ya se ha registrado previamente, la pantalla le mostrará su nombre de usuario y los servicios activados. A partir de aquí, puede proceder a activar/desactivar los servicios correspondientes: Nota: Para acceder al registro, se necesita tener la conexión a Internet activada.

4.1. Registro en myZyXEL.com Al adquirir un ZyWALL USG y tras configurar la LAN, WAN y DNS tenemos que registrar el mismo sobre una cuenta de myZyXEL.com. El registro del equipo es gratuito, y es necesario para poder activar las capacidades UTM de nuestro ZyWALL. Desde el mismo equipo podemos crear la cuenta de myZyXEL.com, o usar una cuenta previamente creada. Los datos que se piden para crear una nueva cuenta en myZyXEL.com son un Nombre de Usuario, Contraseña, un E-Mail, y el Código de País.

Fig. – Registro del Equipo creando una nueva cuenta en myZyXEL.com


Pág. 31/316

Si disponemos de una cuenta seleccionaremos la opción “existing myZyXEL.com account” e introducir el Nombre de Usuario y Contraseña de dicha cuenta.

Fig. – Registro del Equipo usando una cuenta de myZyXEL.com

Teniendo una cuenta en myZyXEL.com tendremos acceso a promociones, avisos de actualizaciones, y podremos gestionar algunos servicios.

4.2. Activación de Servicios en modo Trial Podemos activar la versión Trial (30 días) de algunos Servicios UTM de nuestro ZyWALL USG para comprobar las capacidades de los mismos, y en función de las necesidades proceder a adquirir una licencia para los mismos. Para ello basta con seleccionar los servicios a activar en versión Trial, y pulsar sobre el botón “Apply”.

Fig. – Activación de Servicios en modo Trial


Pág. 32/316

A continuación el equipo se conectará con el Servidor de myZyXEL.com para actualizar los cambios, y activar dichos servicios en modo Trial. Para ello el equipo debe de estar correctamente configurado proporcionando acceso a Internet.

Fig. – Activación con éxito de los Servicios en modo Trial

¡¡¡ Hay un período de 30 días para cada servicio a activar en el modo Trial !!!

4.3. Activación de Servicios por medio de Licencia Una vez registrado el dispositivo en una cuenta de myZyXEL.com y adquirida la licencia correspondiente al servicio a activar nos iremos al menú Configuration > Licensing > Registration > Service

Fig. – Activación con éxito de los Servicios en modo Trial

En el campo “License Key” del apartado “License Activation” introduciremos el código de la licencia a activar, y pulsaremos sobre el botón “Activation” para activar el servicio correspondiente a la licencia introducida.


Pág. 33/316

Una vez activados los servicios, podemos ver el estado de los mismos, y la fecha de expiración de la licencia tal y como se observa en la siguiente imagen.

Fig. – Estado de las Licencias de los Servicios


Pág. 34/316

4.4. Updates En la barra de menús lateral Configuration > Licensing > Signature Update se puede configurar la actualización manual o automática para las firmas del Anti-Virus, IDP/AppPatrol, y el System Protect. Dicha actualización se realiza con el Update Server. La actualización automática se puede configurar para que se ejecute cada hora, diariamente a una hora determinada, o semanalmente a una hora determinada.

Fig. – Actualización de las Firmas


Pág. 35/316

5. Configuración Rápida 5.1 Configuración Rápida: Visión General El asistente de configuración rápida le permite configurar de una manera rápida y sencilla el acceso a Internet y los parámetros de VPN. En el Configurador Web, pulsar Configuration > Quick Setup :

Fig. - Acceso a la Configuración Rápida

Aparecerá la siguiente pantalla:

Fig. - Configuración Rápida

Seleccione una de las dos opciones disponibles: - WAN Interface : Abre el asistente de configuración del Interfaz WAN (Acceso a Internet) - VPN Set UP: Permite la configuración de un túnel VPN para establecer una conexión segura con otro ordenador o red.


Pág. 36/316

5.2 Configuración Rápida del Interfaz WAN Pulse WAN Interface en el Menú de Configuración Rápida para abrir la pantalla de configuración del Interfaz WAN. A continuación, pulse Next :

Fig.- Configuración rápida del Interfaz WAN

A continuación, seleccione el Interfaz Ethernet que quiere configurar para la conexión WAN y pulse Next :

Fig.- Selección de Interfaz Ethernet

Selección del tipo de WAN: Seleccione el tipo de encapsulado de la conexión. Seleccione Ethernet cuando el puerto WAN se utiliza como un puerto Ethernet regular. En caso contrario, seleccione PPPoE o PPTP , de acuerdo a la información proporcionada por su proveedor:


Pág. 37/316

Fig. - Configuración del Interfaz WAN

Configuración de los parámetros WAN: Seleccione si se va a utilizar una dirección IP estática o dinámica:

Fig. - Selección tipo de direccionamiento IP

Parámetros de la Conexión ISP y WAN : Utilice esta pantalla para configurar los parámetros del Interfaz WAN y la conexión con el ISP (si en la pantalla anterior ha elegido direccionamiento IP estático, esta pantalla no aplicaría):


Pág. 38/316

Fig. - Configuración de la Conexión ISP y WAN

Una vez introducidos los datos correspondientes, pulse Back si quiere corregir alguna opción o Next para seguir adelante. Si pulsa Next , aparecerá la pantalla final con el resumen de las opciones elegidas. Pulse Close para finalizar el proceso:

Fig. - Configuración Interfaz WAN


Pág. 39/316

5.3 Configuración Rápida VPN Pulse VPN Setup en la pantalla Quick Setup de configuración rápida para acceder a la pantalla del asistente de configuración VPN:

Fig. - Configuración rápida VPN

Un túnel VPN (Virtual Private Network) permite establecer una conexión segura entre ordenadores y redes. A continuación pulse Next y seleccione el tipo de conexión VPN que desea configurar:

Fig. - Selección tipo de Configuración VPN

Express : Utilice esta opción para crear una conexión VPN con otro ZyWALL con ZLD, utilizando una tecla pre-programada y la configuración de seguridad por defecto. Advanced: Utilice esta opción para configurar parámetros detallados de seguridad de la VPN. La conexión se puede realizar con otro ZyWALL con ZLD o con otro dispositivo IPSec.


Pág. 40/316

5.3.1 VPN Express- Escenario Si pulsa la opción Express , aparecerá la siguiente pantalla:

Fig. - Configuración VPN Express. Paso 1

Rule Name: Tipo de nombre utilizado para identificar la conexión VPN. Se pueden utilizar de 1-31 caracteres alfanuméricos, (_) y (-), pero el primero no puede ser un número. Seleccione el escenario que más se adecúe a la conexión VPN deseada. La figura de la izquierda variará según el escenario elegido. 5.3.1.1 VPN Express- Configuración


Introduzca los valores adecuados de configuración y pulse Next


Pág. 41/316

5.3.1.2 VPN Express – Resumen Esta pantalla muestra un resumen de la configuración de los túneles VPN y de los comandos, que se pueden copiar y pegar en otro ZyWALL con ZLD en el interfaz de línea de comandos, para configurarlo:


5.3.1.3 Configuración VPN Express – Finalización Ya se puede usar el túnel VPN:



Pág. 42/316

Nota: Si no lo ha hecho ya, utilice el enlace myZyXEL.com y registre su ZyWALL para activar pruebas de servicios como IDP. Pulse Close para salir del asistente. 5.3.2 VPN Avanzada - Escenario Pulse Advanced en la pantalla de selección de tipo de configuración VPN. Aparecerá la siguiente pantalla:

Fig. - Configuración VPN Avanzada

5.3.2.1 VPN Avanzada – Configuración Fase 1 Hay dos fases en cada proceso de negociación: Fase 1 o de Autenticación y fase 2 o de Intercambio de Claves. La Fase 1 establece una Asociación de Seguridad:

Fig. - VPN Avanzada – Fase 1


Pág. 43/316

5.3.2.2 VPN Avanzada – Configuración Fase 2 La fase 2 utiliza la Asociación de Seguridad establecida en la fase 1 para negociar asociaciones de seguridad para IPSec:

Fig. - VPN Avanzada – Fase 2

5.3.2.3 VPN Avanzada – Resumen En esta pantalla aparece un resumen de los parámetros de configuración VPN:

Fig. - VPN Avanzada – Resumen Pulse “Save” para escribir la configuración VPN en el ZyWALL.


Pág. 44/316

5.3.2.4 VPN Avanzada – Finalización A partir de ahora, ya puede utilizar el túnel VPN:

Fig. - Finalización Configuración Avanzada

Pulse “Close ” para salir del asistente.


Pág. 45/316

6. Configuración: Aspectos Básicos Esta información le ayudará a configurar su ZyWALL de una manera efectiva, bien al comienzo del proceso o como referencia para configurar las diferentes prestaciones del producto.

6.1 Configuración basada en Objetos El ZyWALL almacena la información de programación como Objetos. Se pueden utilizar estos objetos para configurar la mayoría de las prestaciones del equipo. Una vez configurado un objeto, se puede utilizar para configurar otras prestaciones. Así mismo, si se actualiza esta información como respuesta a determinados cambios, el ZyWALL propaga automáticamente estos cambios hacia todas las prestaciones que usan este objeto. Para crear objetos antes de configurar las opciones que los usarán vaya al menú Configuration > Objects. Si se está en una pantalla que utiliza objetos, puede utilizar un objeto creado previamente, o pulsar en el botón Create New Object , en la parte superior izquierda, para crear un nuevo objeto y aplicarlo en dicha regla. También se puede utilizar la pantalla Object Reference para ver qué objetos se han configurado y qué parámetros de configuración se refieren a objetos específicos. Los objetos disponibles se muestran en la siguiente tabla:

Fig. - Tabla de objetos


Pág. 46/316

6.2 Interfaces, Zonas y Puertos Físicos

6.2.1 Interfaces Existen varios tipos de interfaces en el ZyWALL. Además de utilizarse en varias prestaciones, los interfaces también describen la red que se encuentra directamente conectada al equipo:

- Interfaces Ethernet (WAN, LAN, DMZ, WLAN) - Grupos de Puertos - Interfaces PPP - Interfaces VLAN - Interfaces Bridge - Interfaces Virtuales - Interfaces Auxiliares

6.2.2 Zonas Una zona es un grupo de interfaces y/o túneles VPN. Los ZyWALL utilizan zonas en lugar de interfaces en muchos procesos de configuración, como las reglas de cortafuegos, anti-X o gestión remota. Es necesario establecer zonas para configurar las políticas de seguridad y de red en los ZyWALL Las zonas no se pueden solapar. Cada interfaz ethernet, VLAN, bridge o PPPoE/PPTP, interfaz auxiliar o túnel VPN se puede asignar como mucho a una zona. Los interfaces virtuales se asignan automáticamente a la misma zona que el interfaz sobre el que corren.

Fig - Ejemplo: Zonas


Pág. 47/316

La pantalla Zona proporciona un resumen de todas las zonas. Además, esta pantalla permite añadir, editar y eliminar zonas. Para acceder a estar pantalla, pulsar Configuration > Network > Zone .

Fig. - Pantalla de Zonas 6.2.3 Interfaz y Zonas por Defecto La topología de la red por defecto es la siguiente (las letras indican direcciones IP públicas o parte de direcciones IP privadas):

Fig. - Topología de Red por Defecto para el USG 100


Pág. 48/316




Pág. 49/316




Pág. 50/316

En las siguientes tablas puede consultar la asociación por defecto entre puertos, interface, zona, direccionamiento IP, y uso sugerido por defecto de cada uno de los componentes de la familia ZyWALL USG:

Fig. - Puerto por Defecto, Interfaz y Configuración de Zona del ZyWALL 100




Pág. 51/316



6.3. Configuración de Interfaces Ethernet, Port Rol es y Zonas.

En este Tutorial aprenderemos a configurar los interfaces Ethernet, port roles, y zonas siguiendo el siguiente ejemplo de configuración. • Queremos aplicar opciones de seguridad específicas para todos los túneles VPN, por lo que vamos a crear una nueva zona VPN. • El interface wan1 tiene asignada la dirección IP estática 1.2.3.4 • El interface opt es utilizado para una red local protegida. Utiliza la dirección IP 192.168.4.1 y actúa como servidor DHCP. Añadiremos este interface a la zona LAN, para que todas las políticas de seguridad ya aplicadas a la zona LAN tengan efecto sobre este interface. • En este ejemplo no utilizaremos el interface ext-wlan (utilizado para los puntos de acceso conectados vía Ethernet), por lo que eliminaremos el puerto P6 del interface ext-wlan y lo añadiremos al interface dmz .


Pág. 52/316

Fig. - Ejemplo de Configuración del Interfaz Ethernet, Port Roles, y Zonas

6.3.1. Configurar un Interface WAN Ethernet

Vamos a asignar la dirección IP 1.2.3.4 al interface wan1 del ZyWALL. Pulsamos sobre el menú Configuration > Network > Interface > Ethernet y hacemos doble click sobre el interface wan1 . Seleccionamos Use Fixed IP Address y configuramos la dirección IP, máscara de subred, y puerta de enlace y pulsamos en OK.

Fig. - Configuration > Network > Interface > Ethernet > Edit wan1


Pág. 53/316

6.3.2. Configuración de Interfaces PPP

En este ejemplo vamos a configurar un interface WAN con encapsulación PPPoE en una línea ADSL de Movistar siguiendo los siguientes pasos:

1. Pulsamos sobre el menú Configuration > Network > Interface > PPP y

hacemos click sobre el botón Add del apartado User Configuration .

Fig. - Ejemplo de configuración del interface PPP

2. Habilitamos el interface, introducimos un nombre para la regla, y seleccionamos como interface base el interface wan1 , y la zona WAN. Seleccionamos las opciones Nailed-Up , y Get Automatically para mantener la conexión siempre activa y que obtenga la dirección IP pública automáticamente. Creamos nuevo Objeto de tipo ISP Account.

Fig. - Edición del interface PPP


Pág. 54/316

3. Aplicamos un nombre al perfil, seleccionamos el protocolo PPPoE, e

introducimos los datos de autenticación que nos haya facilitado nuestro ISP.

Fig. - Creación objeto de tipo ISP Account

4. En la configuración del interface WAN1_PPPoE , seleccionaremos como

Account Profile el objeto Movistar que acabamos de crear.

Fig. - Ejemplo de configuración del interface PPP


Pág. 55/316

6.3.3. Configurar el interfaz OPT como una red loca l

En este ejemplo vamos a configurar el interface opt como una red local separada. El interface utiliza la dirección IP 192.168.4.1 y actúa como servidor DHCP para distribuir direcciones IP a los clientes DHCP.

1. Nos vamos al menú Configuration > Network > Interface > Ethernet y hacemos doble click sobre la entrada del interface opt .

2. Configuramos el campo Interface Type como internal .

3. Asignamos el IP Address a 192.168.4 y Subnet Mask a 255.255.255.0

4. Configuramos el campo DHCP como DHCP Server y pulsamos en OK.

Fig. - Configuration > Network > Interface > Ethernet > Edit opt


Pág. 56/316

6.3.4. Configurar el interfaz OPT como una red exte rna WAN

En este ejemplo vamos a configurar el interface opt como una red WAN, que estará conectada a un router haciendo de servidor DHCP. Por lo que el interface opt recibirá una dirección IP automáticamente del router.

1. Nos vamos al menú Configuration > Network > Interface > Ethernet y hacemos doble click sobre la entrada del interface opt .

2. Configuramos el campo Interface Type como external .

3. Seleccionamos la zona como WAN para que al interface opt se le asignen las configuraciones asociadas a la zona WAN .

4. Asignamos el IP Address como Get Automatically.

Fig. - Configuration > Network > Interface > Ethernet > Edit opt


Pág. 57/316

6.3.5. Configuración 3G Para configurar las opciones 3G nos vamos a la barra de menús lateral Configuration > Network > Interface > Cellular , y añadimos una regla en el “Cellular Interface Summary”.

Fig. – Añadir nueva regla para el interfaz Cellular

Una vez añadimos una regla, tendremos que seleccionar sobre qué tarjeta queremos realizar la configuración: PC Card (si está disponible) o USB.

Fig. – Selección del slot

Una vez añadida la regla para el interfaz a usar, tendremos que rellenar los campos del formulario que nos aparecerá con los datos que nos proporcione nuestro ISP, y la información de la tarjeta 3G. Vamos a ver un par de ejemplos con las configuraciones de dos diferentes ISP. El primero de ellos será la configuración para Vodafone, y la segunda será la configuración para Movistar.


Pág. 58/316

En el ejemplo siguiente se ha configurado una tarjeta 3G por USB de Vodafone:

Fig. – Configuración del interfaz Cellular para el USB1 en Vodafone


Pág. 59/316

En el siguiente ejemplo se han utilizado los datos de Movistar:

Fig. – Configuración del interfaz Cellular para el USB1 en Movistar


Pág. 60/316

En el siguiente ejemplo se han utilizado los datos de Orange:

Fig. – Configuración del interfaz Cellular para el USB1 en Orange

Una vez configurado el interface Cellular correctamente, si nos dirigimos al Dashboard podremos ver dentro de la ventana “Interface Status Summary” que nuestro interface celular ha obtenido la dirección IP pública y es totalmente operativo “Connected”:

Fig. – Desde el Dashboard podemos ver el estado del interface cellular


Pág. 61/316

6.3.6. Configurar Port Roles

Vamos a eliminar el puerto P6 del interface ext-wlan , y lo vamos a añadir al interface dmz .

1 Hacemos click Configuration > Network > Interface > Role .

2 Bajo el P6 seleccionamos el radio button dmz y pulsamos en Apply .

Fig. - Ejemplo de configuración del Rol de Puertos (Port Roles)


Pág. 62/316

6.3.7. Configurar Zonas Realice los siguientes pasos para crear la zona VPN:

1 Desde el menú Configuration > Network > Zone hacemos click sobre el icono Add .

2 Introducimos como nombre VPN, y seleccionamos como miembro disponible Default_L2TP_VPN_Connection y lo movemos a la tabla Member y pulsamos en OK.

Fig. - Configuration > Network > Zone > Add


Pág. 63/316

6.4 Terminología del ZyWALL A continuación se detallan algunas diferencias de terminología entre los equipos basados en ZLD y otros, particularmente los basados en ZyNOS. Terminología ZLD ZyWALL diferente a la ZyNOS:

Terminología ZLD ZyWALL que podría ser diferente en otros productos:

NAT: Diferencias entre ZLD ZyWALL y ZyNOS:

Gestión de Ancho de Banda: Diferencias entre ZLD Zy WALL y ZyNOS:


Pág. 64/316

6.5 Flujo de Paquetes El orden en que ZyWALL aplica sus características y comprobaciones:

Fig. - Flujo de Paquetes

6.5.1 Mejoras en el Flujo de Paquetes del ZLD 2.20

La versión ZLD 2.20 se ha mejorado para simplificar la configuración. El flujo de paquetes se ha modificado de la siguiente manera: - Routing automático SNAT y enlace WAN para tráfico de interfaces internos a externos: El ZyWALL añade automáticamente todos los interfaces externos al enlace WAN por defecto. - La política de rutas se deshabilita automáticamente si la siguiente ruta

está caída. - No se necesita definir política de rutas para el tráfico IPSec.

- La política de rutas puede invalidad las rutas directas.

- No se necesita definir política de rutas para las entradas NAT 1:1.

- Se pueden crear varias entradas NAT 1:1 para traducir un rango de

direcciones de red privadas a un rango de direcciones IP públicas.

- Las rutas estáticas y dinámicas tienen su propia categoría.


Pág. 65/316

6.5.2 Mejoras en el Flujo de comprobación de la Tab la de Enrutamiento

Fig. - Mejoras en el Flujo de Comprobación de la T. de Enrutamiento

6.5.3 Flujo de Comprobación de la Tabla NAT

Fig. - Flujo de Comprobación de la Tabla NAT


Pág. 66/316

6.6. Revisión Configuración de Prestaciones

- Características - Registro de Licencias - Actualización de Licencias - Interfaces - Enlaces - Política de Rutas - Rutas Estáticas - Zonas - DDNS - NAT - HTTP Redirect - ALG - Política de Autenticación - Cortafuegos - VPN IPSec - VPN SSL - VPN L2TP - Vigilancia de Aplicaciones - Anti-Virus - IDP - ADP - Filtrado de Contenidos - Anti-Spam - Device HA


Pág. 67/316

6.7 Sistema Esta sección describe algunas de las prestaciones de gestión del ZyWALL. Utilice Host Name para configurar el sistema y el nombre de dominio del ZyWALL. Utilice Date/Time para configurar la fecha, hora y zona horaria. Utilice Console Speed para programar la velocidad del puerto de consola. Utilice Language para seleccionar el idioma de las pantallas de configuración.

6.7.1 DNS, WWW, SSH, Telnet, FTP, SNMP, Dial-in Mgm t, Vantage CNM Utilice estas pantallas para definir qué servicios y protocolos se pueden utilizar para acceder al ZyWALL a través de qué zona y desde qué direcciones (direcciones objeto). Utilice Dial-in Mgmt para la conexión de gestión remota a través de un módem externo conectado al puerto AUX.

6.7.2 Logs e Informes

6.7.3 Gestor de Ficheros Utilice estas pantallas para cargar, descargar, borrar o ejecutar scripts de comandos CLI.

6.7.4 Diagnósticos El ZyWALL genera un fichero que contiene información de diagnóstico y configuración:


Pág. 68/316

6.7.5 Apagado Utilice esta opción como paso pevio a la desconexión de la alimentación:

Utilice siempre Maintenance > Shutdown > Shutdown o el comando shutdown antes de apagar el ZyWALL. El no hacerlo así, puede generar problemas de corrupción del firmware.

6.8. Cambiar la Contraseña por Defecto

Desde el menú Configuration > Objetct > User/Group pulsamos sobre el icono Edit del usuario admin para editar su configuración.

Fig. – Ventana con los Objetos de tipo Usuario

En la ventana de edición del usuario admin modificaremos los datos del Password y Retype , introduciendo el nuevo valor de la contraseña en ambos campos.

Fig. – Edición de la contraseña por defecto del usuario admin


Pág. 69/316

6.9. Temporizador de Desconexión Automática de Sesi ón

Para quitar o modificar el temporizador de desconexión de sesión del usuario logueado en el interfaz Web GUI del ZyWALL cuando hay un tiempo de inactividad, accedemos a la configuración del objeto usuario a modificar, y cambiamos el tiempo de Lease Time a un valor entre 0 y 1440 minutos, siendo el valor 0 tiempo ilimitado de conexión.

Fig. – Edición del temporizador de desconexión automática de sesión

6.10. IP/MAC Binding A través de la configuración del IP/MAC Binding podemos prevenir que un ordenador con una IP igual que un dispositivo de nuestra pueda tener acceso a nuestra LAN. De esta forma asignaremos en una lista la relación entre IP y MAC de los dispositivos que se conectan a nuestra red, para que los dispositivos que no se encuentren en esta lista no puedan conectarse.

Fig. – Ejemplo del uso del IP/MAC Binding


Pág. 70/316

Las direcciones del IP/MAC bindings se agrupan por interfaz. Se puede utilizar el IP/MAC binding con los interfaces Ethernet, bridge, VLAN, y WLAN. Además de poder habilitar o deshabilitar el IP/ MAC binding en la pantalla de configuración propia del interfaz. Pulse sobre Configuration > Network > IP/MAC Binding para abrir la pantalla de configuración IP/MAC Binding Summary, en donde nos aparece un listado del número total de asociaciones IP a MAC para cada uno de los interfaces soportados.

Fig. – Pantalla IP/MAC Binding Summary

Para configurar la asociación entre dirección IP y MAC de los dispositivos que se conectan a un interfaz, seleccionaremos el interface y pulsaremos sobre el icono Edit . Una vez dentro nos da la posibilidad de habilitar el IP/MAC Binding, y habilitar los logs de las violaciones de la regla introducida. Si pulsamos sobre pulsaremos sobre añadir o editar para configurar la lista de asociación.

Fig. – Añadir o Editar una asociación estática entre IP y MAC


Pág. 71/316

Nos aparecerá una ventana de configuración donde asociaremos una dirección IP y una dirección MAC para dar privilegios de conexión a este dispositivo.

Fig. – Asignación de direcciones IP y MAC a dar privilegios de conexión

Si queremos configurar un rango de direcciones IP en la que el ZyWALL no aplique el IP/MAC binding, pulsaremos sobre Configuration > Network > IP/MAC Binding > Exempt List , pulsaremos sobre Añadir o Editar una regla, y asignaremos un nombre y un rango de direcciones IP a excluir.

Fig. – Lista de exclusión del IP/MAC binding

También podemos monitorizar en cada momento las direcciones IP que actualmente están conectadas y forman parte de la asociación del IP/MAC binding.

Fig. – Monitorización de las conexiones de equipos en IP/MAC binding


Pág. 72/316

6.11. Configuración DNS Además de la configuración DNS que se realiza cuando configuramos el servidor DHCP del interfaz Ethernet, debemos de configurar las DNS de Sistema. Para configurar las DNS de Sistema nos vamos a la barra de menús lateral System -> DNS, y añadimos o editamos una regla en el “Domain Zone Forwarder”.

Fig. – Ventana principal de configuración DNS

Dentro de la regla a configurar, seleccionaremos la opción “Public DNS Server” e introduciremos la dirección IP del servidor DNS, en este caso 80.58.0.33

Fig. – Configuración regla del Servidor DNS


Pág. 73/316

6.12. Configuración DDNS Debes de configurar una cuenta de dynamic DNS con cualquier proveedor de servicios DNS soportado antes de utilizar el servicio DDNS del ZyWALL. Cuando el proceso de registro se haya completado, el proveedor de servicios DNS te proporcionará una contraseña o clave. Después de haberlo configurado en el ZyWALL, éste enviará la dirección IP actualizada hacia el proveedor de servicios DDNS, que actualizará sus bases de datos. Algunos de los proveedores de servicios DNS soportados son los siguientes: PROVEEDOR DE SERVICIOS DDNS

TIPOS DE SERVICIOS SOPORTADOS PÁGINA WEB

DynDNS Dynamic DNS, Static DNS, y Custom DNS

www.dyndns.com

Dynu Basic, Premium www.dynu.com No-IP No-IP www.no-ip.com Peanut Hull Peanut Hull www.oray.cn 3322 3322 Dynamic DNS, 3322 Static DNS www.3322.org

Fig. – Proveedores de Servicios DDNS soportados Pulse en Configuration > Network > DDNS para abrir la pantalla con el resumen de los diferentes perfiles creados con la configuración del DDNS. Esta pantalla te permitirá añadir nuevos nombres de dominios, editar la configuración para los nombres de dominio existentes, y borrar los nombres de dominio.

Fig. – Resumen de perfiles de configuración DDNS


Pág. 74/316

Si pulsamos sobre Añadir o Editar nos aparecerá una ventana de configuración para rellenar con los datos de la cuenta del nombre de dominio.

Fig. – Configuración de un perfil DDNS

En la pestaña DDNS Status se muestra el estado del uso de los nombres de dominios empleados en el DDNS del ZyWALL. Pulse sobre Monitor > System Status > DDNS Status para abrir la ventana siguiente.

Fig. – Estado del uso de los perfiles DDNS


Pág. 75/316

6.13. Aplicaciones de VoIP con USG La VoIP consiste en el transporte de tráfico de voz utilizando el protocolo de Internet (IP). Es un sustituto eficiente de la PSTN (Plain Old Telephone Network o red Telefónica Básica convencional) y actualmente se usa cada vez más en las empresas. Sin embargo, el cliente SIP VoIP es una aplicación NAT poco amigable. El USG con su función ALG, es compatible con la mayoría de los dispositivos de VoIP en los diferentes escenarios.

6.13.1. Lista de Dispositivos VoIP Soportados

Fig. - Lista de dispositivos VoIP soportados


Pág. 76/316

6.13.2. Escenario VoIP en NAT El SIP VoIP es por naturaleza una aplicación NAT poco amigable, ya que utiliza un puerto diferente para el tráfico RTP (flujo de voz) del de iniciación de sesión, que es por defecto UDP 5060. Actualmente existen las siguientes soluciones para solventar la incompatibilidad entre SIP y NAT:

- SIP ALG en la pasarela NAT - STUN - Proxy saliente - Soluciones en los dispositivos del cliente SIP (como Use NAT en los

clientes VoIP de ZyXEL). El USG ZyWALL soporta ALG. El administrador de red necesita validar SIP ALG en el ZyWALL. De esta manera, puede desplegar soluciones VoIP en diferentes escenarios NAT, independientemente de que el servidor SIP esté en Internet o en la red local.

6.13.3. Servidor SIP en Internet

6.13.3.1. Escenario de Aplicación En el escenario inferior, el servidor SIP está en Internet. Hay clientes SIP en la red local del USG y en Internet. Todos los clientes están registrados en el servidor SIP. Queremos que todos puedan llamar a todos:

- Los clientes locales puedan llamar a los de Internet. - Los clientes de Internet puedan llamar a los clientes locales - Los clientes locales se puedan llamar entre sí.

Fig. Servidor SIP en Internet


Pág. 77/316

6.13.3.2. Pasos de Configuración Se necesita habilitar SIP ALG en el ZyWALL para que este escenario funcione. Ir a Configuration > Network > ALG, habilitar SIP ALG y SIP Transformations.

Fig. - Habilitar SIP ALG y SIP Transformations Una vez activadas estas funciones, hay que registrar todos los clientes en el servidor SIP de Internet, de esta manera todos los clientes pueden llamarse entre ellos, independientemente de que estén en la red local o en Internet.

6.13.4. Servidor SIP en la Red Local

6.13.4.1. Escenario de Aplicación En el escenario inferior, el servidor SIP está en la red local. Hay clientes SIP en la red local del USG y en Internet. Todos los clientes están registrados en el servidor SIP. Queremos que todos puedan llamar a todos:

- Los clientes locales puedan llamar a los de Internet. - Los clientes de Internet puedan llamar a los clientes locales - Los clientes locales se puedan llamar entre sí. - Los clientes de Internet se puedan llamar entre sí.

Fig. - Servidor SIP en la red local


Pág. 78/316

6.13.4.2. Pasos de Configuración Paso 1. Ir a Configuration > Network > NAT , añadir una regla NAT para mapear el tráfico SIP al servidor SIP local.

Fig. - Añadir regla NAT para mapear el tráfico SIP Paso 2. Ir a Configuration > Firewall , añadir una regla de cortafuegos para permitir el tráfico SIP desde la WAN al servidor SIP local.

Fig. - Añadir regla de cortafuegos


Pág. 79/316

Paso 3. Ir a Configuration > Network > ALG , habilitar SIP ALG y SIP Transformations.

Fig. - Habilitar SIP ALG y SIP Transformations Una vez realizadas estas configuraciones, todos los clientes se pueden registrar en el servidor local y se pueden llamar entre ellos, independientemente de que se encuentren en la red local o en Internet.

6.13.5. Escenario VoIP en VPN

6.13.5.1. Escenario de Aplicación En el escenario inferior, la X6004 se encuentra en la red local de la sede central. Hay clientes SIP en esta red local, así como en las redes locales de las sucursales. Los clientes SIP se quieren registrar en el servidor SIP (X6004) de una manera segura a través de túneles VPN. Para cumplir con los requerimientos exigidos, todas las sucursales deben establecer túneles IPSec VPN con el USG de la sede central. Asimismo, para permitir que los clientes SIP de las sucursales se puedan llamar entre sí a través de los túneles VPN, el administrador de red debe crear un concentrador IPSec VPN para incluir todos los túneles establecidos con las sucursales.

Fig. - Escenario VoIP en VPN


Pág. 80/316

6.13.5.2. Pasos de Configuración Información de direcciones IP en el USG de la sede central y los USGs de las sucursales: HQ USG: WAN IP: 172.25.27.140 LAN1 subnet : 192.168.1.0/24 X6004 IP: 192.168.1.33 Branch office 1(Br1) USG : WAN IP: 172.25.27.90 LAN1 subnet : 192.168.4.0/24 Branch office 2 (Br2) USG : WAN IP: 172.25.27.39 LAN1 subnet : 192.168.5.0/24 En el USG de la sede central (HQ USG): Paso 1. Ir a Monitor > System Status > Interface Status , añadir verificar la información IP del interfaz.

Fig. - Verificar información IP del interfaz Paso 2. Ir a Configuration > Object > Address , añadir objetos de direcciones para las subredes locales Br1 y Br2 para uso posterior en la configuración IPSec VPN.

Fig. - Objetos de direcciones para las subredes Br1 y Br2


Pág. 81/316

Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway , añadir reglas de fase 1 VPN para los túneles hacia Br1 y Br2: A Br1 : My Address : WAN1 IP (172.25.27.140) Peer Gateway Address : Br1 WAN IP (172.25.27.90)

Fig. - Añadir regla de fase 1 VPN hacia Br1


Pág. 82/316

A Br2 : My Address : WAN1 IP (172.25.27.140) Peer Gateway Address : Br2 WAN IP (172.25.27.37)

Fig. - Añadir regla de fase 1 VPN hacia Br2 Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection , añadir reglas de fase 2 VPN hacia Br1 y Br2: A Br1 : Local policy : local LAN1 subnet (192.168.1.0/24) Remote policy : Br1 local subnet (192.168.4.0/24)


Pág. 83/316


A Br2 : Local policy : local LAN1 subnet (192.168.1.0/24) Remote policy : Br2 local subnet (192.168.5.0/24)


Pág. 84/316


Paso 5. Ir a Configuration > VPN > IPSec VPN > Concentrator , crear un concentrador VPN. Este concentrador debiera incluir todos los túneles VPN IPSec hacia las sucursales.

Fig. - Crear un concentrador VPN


Pág. 85/316

Paso 6. Ir a Configuration > Network > Zone . Por defecto, Block Intra-zone está habilitado para la zona IPSec VPN. Se debe deshabilitar.

Fig. - Deshabilitar el tráfico Block Intra-zone En ZLD v2.20, el enrutamiento para el tráfico VPN se crea automáticamente de acuerdo con las rutas de policía local y remota de fase 2 VPN. Así, no se necesita añadir rutas de policía para el tráfico desde la subred local de la sede central hacia las subredes de las sucursales. Sobre Br1 : Paso 1. Ir a Monitor > System Status > Interface Status , verificar la información IP del interfaz para uso posterior en la configuración VPN IPSec.

Fig. - Verificación información IP del interfaz


Pág. 86/316

Paso 2. Ir a Configuration > Object > Address , añadir objeto de dirección de la subred local de la sede central para uso posterior de la configuración VPN IPSec. Y un objeto de direcciones de rango para uso posterior en la configuración de ruta de policía para enrutar el tráfico de las redes locales de las sucursales a los túneles VPN. Este objeto de rango debiera cubrir todas las subredes locales de las sucursales. En este caso, se ha creado como 192.168.1.0~192.168.5.255.

Fig. - Añadir objeto de dirección de la subred local de la sede central

Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway , añadir una regla de fase 1 VPN para constituir el túnel hacia la sede central. My Address : WAN1 IP (172.25.27.90) Peer Gateway Address : HQ WAN IP (172.25.27.140)

Fig. - Añadir regla de fase 1 VPN para constituir el túnel hacia la sede central


Pág. 87/316

Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection , añadir una regla de fase 2 VPN para constituir el túnel hacia la sede central. Local policy : local LAN1 subnet (192.168.4.0/24) Remote policy : HQ local subnet (192.168.1.0/24)

Fig. - Añadir regla de fase2 VPN para constituir el túnel hacia la sede central

Paso 5. Ir a Configuration > Network > Routing > Policy Route , añadir una regla de ruta de policía para enrutar el tráfico de las subredes locales de las sucursales hacia el túnel VPN con la sede central. Incoming interface : LAN1 Source : LAN1_Subnet (192.168.4.0/24) Destination : range_br(192.168.1.0~192.168.5.255) Next Hop : VPN tunnel to_HQ

Fig. Regla para enrutar el tráfico de las subredes locales de las sucursales hacia el túnel VPN con la sede central.


Pág. 88/316

Sobre Br2 : Paso 1. Ir a Monitor > System Status > Interface Status , verificar la información IP del interfaz para uso posterior en la configuración IPSec VPN.

Fig. - Verificación de la información IP del interfaz Paso 2. Ir a Configuration > Object > Address , añadir objeto de dirección de la subred local de la sede central para uso posterior de la configuración VPN IPSec. Y un objeto de direcciones de rango para uso posterior en la configuración de ruta de policía para enrutar el tráfico de las redes locales de las sucursales a los túneles VPN. Este objeto de rango debiera cubrir todas las subredes locales de las sucursales. En este caso, se ha creado como 192.168.1.0~192.168.5.255.

Fig. - Añadir objeto de dirección de la subred local de la sede central Paso 3. Ir a Configuration > VPN > IPSec VPN > VPN Gateway , añadir una regla de fase 1 VPN para constituir el túnel hacia la sede central. My Address : WAN1 IP (172.25.27.37) Peer Gateway Address : HQ WAN IP (172.25.27.140)


Pág. 89/316


Paso 4. Ir a Configuration > VPN > IPSec VPN > VPN Connection , añadir regla de fase 2 VPN para constituir el túnel hacia la sede central. Local policy : local LAN1 subnet (192.168.5.0/24) Remote policy : HQ local subnet (192.168.1.0/24)


Pág. 90/316


Paso 5. Ir a Configuration > Network > Routing > Policy Route , añadir una regla de ruta de policía para enrutar el tráfico de las subredes locales de las sucursales hacia el túnel VPN IPSec con la sede central. Incoming interface : LAN1 Source : LAN1_Subnet (192.168.5.0/24) Destination : range_br(192.168.1.0~192.168.5.255) Next Hop : VPN tunnel to_HQ

Fig. - Añadir una regla de ruta de policía para enrutar el tráfico de las subredes locales de las sucursales hacia el túnel VPN con la sede central.


Pág. 91/316

Ya que los clientes SIP de las sucursales se registran en el servidor SIP a través de túneles VPN IPSec, el tráfico VoIP no pasa por el NAT y se puede dejar el SIP ALG deshabilitado en todos los ZyWALL USG.

Fig. - Deshabilitar el SIP ALG en el ZyWALL USG Una vez realizadas todas las programaciones, tanto en la sede central como en las sucursales, establecer los túneles.

Fig. - Establecer los túneles Todos los clientes VoIP se tienen que registrar en el servidor SIP a través de túneles VPN para poder realizar llamadas VoIP entre ellos a través de dichos túneles.


Pág. 92/316

7. Configuración del Firewall Un Firewall es un dispositivo de red segura entre su Intranet y el Internet, pueden ser de tipo hardware o un software instalado en un ordenador.

Fig. – En este escenario el Firewall bloquea las peticiones FTP

En cuanto a las características más notables podemos indicar:

- Stateful Inspection - El ZyWALL restringe el acceso de paquetes de datos definiendo reglas de acceso. Por ejemplo, el tráfico de una zona no está permitido a menos que sea iniciada por un equipo de otra zona en primer lugar.

- Zones - Una zona es un grupo de interfaces o túneles VPN. Puede agrupar los interfaces del ZyWALL en zonas diferentes basándose en sus necesidades. Puede configurar reglas para dejar pasar el tráfico entre zonas o entre interfaces y/o túneles VPN en una zona.

- Global Firewall Rules - Las reglas del Firewall con origen o destino “any” como dirección del paquete se denominan Global Firewall Rules. Esta regla es la única regla que el firewall aplica a un Interfaz que no está incluido en una zona.

- Firewall Rule Criteria- El ZyWALL verifica el nombre de usuario, dirección IP origen, dirección IP destino y tipo de protocolo de red en contra de las reglas del firewall. Cuando el tráfico coincide con una regla, el ZyWALL realiza la acción especificada para esa regla.

- User Specific Firewall Rules - Puede especificar usuarios o grupos en las reglas del firewall. Por ejemplo, puede permitir a un usuario específico desde cualquier ordenador accede a una zona logándose en el ZyWALL. Puede configurar una regla basada únicamente en el nombre de usuario.


Pág. 93/316

Fig. – En este escenario el Firewall bloquea accesos entre zonas

La configuración del Firewall de ZyXEL es sencilla e intuitiva. Utilice el servidor de seguridad para bloquear o permitir los servicios, protocolos o cualquier tráfico entre las zonas de transmisión origen y destino. El Firewall viene pre-configurado con unas reglas por defecto con las siguientes acciones por defecto:

Fig. – Escenario con las Acciones por defecto del Firewall

El usuario 1 puede inicializar una sesión Telnet desde la zona LAN1 y las respuestas a esta petición son permitidas. Sin embargo, el tráfico Telnet iniciado desde la zona WAN o DMZ hacia la zona LAN1 está bloqueado. Las reglas del Firewall están agrupadas basándose en la dirección en que viajan los paquetes que se apliquen. A continuación se muestra el comportamiento por defecto del firewall para el tráfico que viaja a través del ZyWALL.


Pág. 94/316

De Zona a Zona

Acción de la Inspección del

Firewall (Stateful Packet Inspection)

De LAN1 a LAN1 Permitido De LAN1 a WAN Permitido De LAN1 a DMZ Permitido De LAN1 a WLAN Permitido De LAN1 a LAN1 Permitido De WLAN a LAN1 Permitido De WLAN a WAN Permitido De WLAN a DMZ Permitido De WLAN a WLAN Permitido De WAN a LAN1 Bloqueado De WAN a DMZ Permitido De WAN a WLAN Permitido De WAN a WAN Bloqueado De DMZ a LAN1 Bloqueado De DMZ a WAN Permitido De DMZ a WLAN Bloqueado De DMZ a DMZ Bloqueado

Fig. – Configuración con las Acciones por defecto del Firewall Para acceder a la configuración de las reglas del Firewall nos desplazaremos por el Panel de Navegación sobre el menú Configuration > Firewall . Desde aquí podemos establecer el número máximo de sesiones por Host, así como la configuración de las diferentes reglas en función del sentido de la comunicación.

Fig. – Ventana principal de configuración del Firewall


Pág. 95/316

Por ejemplo editamos la regla WAN to LAN1, y rellenamos los campos que se nos piden en función de un horario de aplicación, usuario, origen, destino, servicio y permitir o no el acceso, y registrarlo en el Log del sistema.

Fig. – Edición de regla de Firewall WAN to LAN1

7.1. Ejemplo de configuración de reglas de Firewall En este ejemplo vamos a hacer que el ordenador con la dirección IP 192.168.1.7 de nuestra LAN1 sea el único que tenga acceso al servicio IRC. Por lo que vamos a crear una serie de reglas de Firewall para que suplan nuestra necesidad. La primera fila permite al ordenador de la LAN1 con dirección IP 192.168.1.7 acceder al servicio IRC en la WAN. La segunda fila bloquea el acceso desde la LAN hacia el servicio IRC en la WAN. La tercera fila es la política por defecto, que permite todo el tráfico desde la LAN hacia la WAN.


Pág. 96/316

Fig. – Ejemplo de regla de Firewall

Para configurar estas reglas en el ZyWALL pulsaremos sobre el menú Configuration > Firewall ubicado en el Panel de Navegación. Pulsaremos sobre el icono Add para crear una nueva regla de firewall.

Fig. – Ejemplo de creación de regla de Firewall

En la pantalla de configuración especificaremos el servicio a inspeccionar por el firewall, así como la acción deny para cuando se produzca la coincidencia con la regla. Si no tenemos los objetos creados los podemos crear desde esta ventana.


Pág. 97/316

Fig. – Denegamos cualquier tráfico con uso del servicio IRC

Para permitir al ordenador con la IP 192.168.1.7 acceder al servicio IRC en la WAN, debemos crear otra regla de firewall. En esta regla necesitamos especificar qué host y qué protocolo están permitidos.

Fig. – Permitimos el tráfico con origen 192.168.1.7 el uso del servicio IRC

La regla para el ordenador 192.168.1.7 debe de tener una prioridad mayor que la regla que bloquea el tráfico con origen toda la LAN usar el servicio IRC en la WAN.


Pág. 98/316

Si ésta regla hubiera estado primero, la IP 192.168.1.7 podría coincidir con esta regla y el ZyWALL tiraría el paquete y no verificaría otras reglas de firewall.

Fig. – Verificación del orden de prioridad de las reglas de firewall


Pág. 99/316

8. Configuración del Balanceo de Carga (Trunks) El balanceo de carga (trunk) se utiliza para balancear el tráfico de los interfaces WAN y así aumentar la eficacia y fiabilidad de la red, cuando se dispone de varias conexiones a Internet con diferentes anchos de banda. Asimismo, el ZyWALL puede enviar el tráfico de cada ordenador local que está yendo al mismo destino, a través de un único interfaz WAN por un determinado periodo de tiempo (link sticking). Esto es útil cuando un servidor requiere autenticación. Por ejemplo, el ZyWALL envía el tráfico de un usuario a través de una dirección IP WAN cuando se registra en un servidor B. Si las siguientes sesiones proceden de diferentes direcciones IP WAN, el servidor podría rechazarlas.

Fig. – Escenario para Link Sticking

En la figura anterior: 1. El usuario A de la LAN se registra en el servidor B en Internet. El ZyWALL utiliza la WAN 1 para enviar el requerimiento al servidor B. 2. El ZyWALL está utilizando balanceo de carga activo/activo. Así, cuando el usuario A de la LAN intenta acceder a algún contenido de B, el requerimiento sale a través de la WAN 2. 3. El servidor identifica que el requerimiento viene de la dirección IP WAN 2 en vez de la de WAN 1 y lo rechaza. Si se hubiera configurado el link sticking, el ZyWALL habría utilizado el WAN 1 para enviar el requerimiento del usuario A de la LAN al servidor y éste le habría dado acceso.


Pág. 100/316

Para habilitar la función de link sticking, vaya al menú Configuration > Network > Interface > Trunk

Fig. – Habilitación del Link Sticking

Desde esta misma pantalla, se puede añadir o editar un perfil personalizado de balanceo de carga, y seleccionar el algoritmo de balanceo de carga:

Fig. – Selección del modo de Balanceo

Se pueden establecer diferentes algoritmos de balanceo según las necesidades de cada caso:


Pág. 101/316

- Least load first . Envía los paquetes primero por la interfaz menos

cargada. - Weighted round robin . Realiza un Round Robin ponderado enviando

los paquetes en función de una relación de velocidad entre las interfaces. - Spillover . Cuando se sobrepasa el umbral especificado se envía el

tráfico por la otra interfaz.

8.1. Least Load First En este algoritmo se realizará una relación entre el ancho de banda total y el utilizado, en subida y en bajada, para determinar por qué interfaz se enrutará el datagrama. Un índice menor indicará el interfaz elegido. Es el algoritmo configurado por defecto.

Fig. – Algoritmo Least Load First

La utilización del ancho de banda de salida se toma como referencia para calcular el índice de balanceo de carga. En el ejemplo, el tráfico de salida de la WAN1 es 412K y el de la WAN2 de 198 K. El ZyWALL calcula el índice de balanceo de carga según la tabla adjunta:

Para configurar este algoritmo nos vamos al menú Configuration > Networking > Interface > Trunk , y seleccionamos el algoritmo Least Load First y los interfaces WAN involucrados en modo “Active”:


Pág. 102/316

Fig. – Configuración del Least Load First

8.2. Weighted Round Robin En este Algoritmo se realiza un Round Robin ponderado en función de un ratio entre interfaces.

Fig. – Algoritmo Weighted Round Robin

Para configurar este algoritmo nos vamos al menú Configuration > Networking > Interface > Trunk , y seleccionamos el algoritmo Weighted Round Robin y sobre los interfaces WAN involucrados aplicamos un valor de ponderación a modo de ratio:


Pág. 103/316

Fig. – Configuración del Weighted Round Robin

8.3. Spillover En este Algoritmo se configura un umbral de ancho de banda, que al ser sobrepasado se realizará un cambio para que se envíe el tráfico por la otra interfaz miembo del trunk.

Fig. – Algoritmo Spillover


Pág. 104/316

Para configurar este algoritmo nos vamos al menú Configuration > Networking > Interface > Trunk , y seleccionamos el algoritmo Spillover y dejamos en modo “Passive” al interfaz secundario que queremos usar para enviar los datos una vez superado el umbral configurado de las interfaces “Active”.

Fig. – Configuración del Spillover

En este caso tanto la wan1 como la wan2 están configuradas en modo “Active”. Sobre la wan1 se ha establecido un umbral de 8000 Kbps, que una vez superado se empezarán a enviar los datos por el segundo miembro del trunk, la interfaz wan2.


Pág. 105/316

9. Gestión del Ancho de Banda

9.1. Desde el Policy Route La Gestión del Ancho de Banda que se realiza desde el Policy Route no requiere de una licencia, pero está limitada a la gestión del ancho de banda de subida. Para configurar el Address Mapping del NAT nos iremos a la barra lateral de menú Configuration > Network > Routing > Policy Route . Dentro habilitaremos la gestión del ancho de banda “Enable BMW”, y podremos añadir o modificar reglas de configuración. Por ejemplo vamos a añadir una nueva regla.

Fig. – Configuración del Policy Route

Al añadir una nueva regla nos aparecerá un formulario para que introduzcamos un nombre para esta regla, el origen y destino de los datos, un horario de utilización, y el puerto del servicio a limitar. En las opciones de ancho de banda, seleccionaremos un ancho de banda máximo de subida para utilización de este servicio, así como un nivel de prioridad. También podremos maximizar la utilización del ancho de banda. En la regla del ejemplo que hemos creado se va a limitar a 100Kbs la subida máxima para el usuario del PC_33 para la utilización del servicio ARES_tcp. Al poseer un nivel 5 de prioridad, cualquier regla que tenga un número inferior a prioridad, se transmitirá antes que los datos del servicio limitado.


Pág. 106/316

Fig. – Configuración del Ancho de Banda en el Policy Route


Pág. 107/316

Quedando finalmente la regla de la siguiente forma:

Fig. – Regla de Policy Route con configuración del Ancho de Banda aplicada

9.2. Desde el Application Patrol La Gestión del Ancho de Banda que se realiza desde el Application Patrol es más flexible y potente que la Gestión de Ancho de banda que se realiza en las reglas del Policy Routes. Permite la gestión del ancho de banda de subida, y del ancho de banda de bajada, por lo que es más completa que la que se realiza de forma gratuita desde el Policy Route. Por lo que requiere una licencia de utilización del mismo. Así mismo controla tráfico TCP y UDP. La Gestión del Ancho de Banda en las Policy Routes tine prioridad sobre la Gestión de Ancho de Banda del Application Patrol, por lo que recomendamos usar el Application Patrol en vez de Policy routes para gestionar el ancho de banda de tráfico TCP y UDP. La Gestión del Ancho de Banda permite realizar configuraciones específicas por usuario e interfaz en función de la configuración de los planificadores.

Planificadores:

- Inbound: Reserva Ancho de Banda de entrada - Outbound: Reserva Ancho de Banda de salida - Priority: Asigna un nivel de prioridad de 1 a 7 (1 mayor prioridad)


Pág. 108/316

Previamente tenemos que habilitar tanto el Application Patrol como la gestión de Ancho de Banda desde el menú Configuration > App Patrol > General

Fig. – Gestión del Ancho de Banda

Para configurar la Gestión de Ancho de Banda nos iremos a la barra de menús lateral Configuration > AppPatrol > Other . Y añadiremos una nueva regla.

Fig. – Creación de regla de Gestión del Ancho de Banda

En dicha regla de configuración podremos elegir el puerto, horario de aplicación, usuario, interfaces origen y destino, dirección origen, dirección destino, protocolo, permitir o no el paso, y el control del ancho de banda del tráfico de subida y de bajada. La opción DSCP Marking permite añadir un marcado de Calidad de Servicio (QoS) a este tipo de tráfico para que otros dispositivos compatibles con DiffServ puedan interpretar dicho tráfico con otra prioridad. Entre las opciones posibles podemos no marcar este tráfico “preserve”, marcarlo con el valor 0 “default”, o marcarlo con diferentes tipos de clase y codificación DSCP según los siguientes valores de Assured Forwarding:


Pág. 109/316

Fig. – Configuración del Ancho de Banda

Una vez configuradas las reglas del Ancho de Banda podremos visualizar de manera gráfica la utilización de dicho Ancho de Banda por una serie de servicios dentro de la barra de menús Monitor > AppPatrol Statistics . Podremos seleccionar todos los protocolos disponibles a examinar su utilización de ancho de banda, o seleccionar los que queramos de los disponibles.

Fig. – Representación Gráfica de utilización del Ancho de Banda


Pág. 110/316

Del mismo modo, en la misma ventana, pero más abajo podremos encontrar una visualización con los valores de paquetes transmitidos y recibidos de la utilización del Ancho de Banda.

Fig. – Representación Numérica de utilización del Ancho de Banda


Pág. 111/316

9.2.1 Ejemplo de Aplicación Gestión de Ancho de Ban da en Application Patrol En este ejemplo vamos a suponer que disponemos de una línea ADSL de 8Mbps de bajada y 1Mbps de subida. Vamos a hacer uso de las políticas del Application Patrol para gestionar ese ancho de banda de subida de 1 Mbps según nuestros requisitos:

• El tráfico SIP de los clientes VIP debe de salir con el menor retardo posible sin tener en cuenta que sea una llamada entrante o saliente. Los clientes VIP deben de poder realizar y recibir llamadas SIP sin importar el interface donde estén conectados.

• El tráfico HTTP tendrá prioridad sobre el tráfico FTP. • El tráfico FTP desde la WAN a la DMZ debe de estar limitado para no

interferir ni el tráfico SIP, ni tráfico HTTP. • El tráfico FTP desde la LAN1 a la DMZ puede usar más ancho de banda

dado que los interfaces soportan conexiones de hasta 1Gbps , pero deben ser la prioridad más baja, y estar limitados para no interferir ni el tráfico SIP, ni el tráfico HTTP.

Fig. – Escenario de Ejemplo


Pág. 112/316

1.) Primeramente vamos a asignar la velocidad de subida del interface WAN

a 1000Kbps. Ya que en la línea ADSL contratada disponemos de 1Mbps. Lo asignaremos desde el menú Configuration > Interface > Ethernet > wan1

Fig. – Asignación de 1000Kbps al interface wan1

En el menú Configuration > AppPatrol , habilitaremos el Application Patrol, el BWM, y la mayor prioridad de ancho de banda para tráfico SIP.

Fig. – Activación del AppPatrol, BWM y prioridad para tráfico SIP

Así mismo nos moveremos a la pestaña VoIP, en la que editaremos la regla creada sobre el servicio SIP.

Fig. – Edición de la regla del servicio SIP


Pág. 113/316

Añadiremos dos reglas para tráfico de LAN to WAN, y de DMZ to WAN, asignando un ancho de banda de salida de 200Kbps, prioridad 1, y activando el Maximize Bandwidth Usage. Y dos reglas para tráfico WAN to LAN, y de WAN to DMZ, asignando un ancho de banda de entrada de 200Kbps, prioridad 1, y activando el Maximize Bandwidth Usage:

Fig. – Esquema de la gestión de ancho de banda para tráfico SIP

Fig. – Ejemplo de creación de regla de configuración para el servicio SIP


Pág. 114/316

Fig. – Resumen de reglas del AppPatrol para el servicio SIP

2.) El tráfico de entrada dispondrá de un ancho de banda mayor, ya que

probablemente los usuarios locales descarguen más tráfico de lo que suben. Desde la pestaña Common editaremos la regla creada sobre el servicio HTTP. Asignaremos la prioridad 2 para el tráfico HTTP, y habilitaremos el “maximize bandwidth usage” para que el tráfico HTTP pueda hacer uso del ancho de banda excedente que no esté en uso.

Fig. – Esquema de la gestión de ancho de banda para tráfico HTTP


Pág. 115/316

Fig. – Ejemplo de creación de regla de configuración para el servicio HTTP

Fig. – Resumen de reglas del AppPatrol para el servicio HTTP

3.) La línea ADSL soporta más tráfico de bajada que de subida, por lo que a los clientes remotos les permitiremos un ancho de banda de 300Kbps para subida de ficheros al servidor FTP tras la DMZ y solamente 100Kbps de bajada. Desde la pestaña Common editaremos la regla creada sobre el servicio FTP. Asignaremos la prioridad 3 para el tráfico FTP, y deshabilitaremos el “maximize bandwidth usage” para no proveer de un ancho de banda extra a este tipo de tráfico.


Pág. 116/316

Fig. – Esquema de la gestión de ancho de banda para tráfico FTP

Fig. – Ejemplo de creación de regla de configuración para el servicio FTP

4.) Las zonas LAN y DMZ están conectadas a redes Ethernet, por lo que no necesitan del ADSL para comunicarse entre sí. Por lo que limitaremos un ancho de banda de 50Mbps para subida y para bajada. Asignaremos la prioridad 4 para este tráfico FTP, y deshabilitaremos el “maximize bandwidth usage” para no proveer de un ancho de banda extra a este tipo de tráfico.

Fig. – Esquema de la gestión de ancho de banda para tráfico FTP


Pág. 117/316

Fig. – Resumen de reglas del AppPatrol para el servicio FTP


Pág. 118/316

10. NAT

10.1. Configuración del Servidor Virtual Es una práctica bastante común en las empresas situar los servidores corporativos detrás de los ZyWALLs USG de protección, y al mismo tiempo, permitir a los clientes/servidores del lado WAN el acceso a los servidores intranet. Por ejemplo, la empresa puede tener un servidor de correo al que necesitan conectarse clientes y servidores de correo internet o servidores web, servidores ftp, etc. a los que se requiere poder acceder desde Internet. Las reglas del Servidor Virtual se deben configurar para permitir todas estas aplicaciones.

10.1.1. Escenario de Red En el escenario inferior, el administrador de red quiere que al servidor web (192.168.1.5) se pueda acceder desde WAN1 y al servidor web (192.168.1.6) se pueda acceder desde WAN2.

Fig.- Escenario de Red

10.1.2. Pasos de Configuración

1. Ir a Configuration > Network > NAT , pulsar el botón “Add” para añadir una regla NAT.

Fig. - Añadir una regla NAT


Pág. 119/316

2. En la ventana de edición de la regla, rellenar todos los campos necesarios.

Port Mapping Type : Seleccionar el Servidor Virtual. Incoming Interface : Seleccionar wan1 para el servidor web, ya que se quiere acceder desde WAN1. Original IP : Se puede elegir User Defined, y manualmente introducir la dirección IP de la WAN1. O se puede crear primero un objeto de dirección desde el campo “Create new Object” y escoger este objeto desde la lista desplegable de IP Original. Mapped IP : Especifica la dirección IP del servidor. En este caso es 192.168.1.5. Se puede crear primero un objeto y seleccionar la dirección de la lista desplegable. Port Mapping : En este caso, para evitar conflictos con el puerto http del USG, establecemos como puerto original TCP 8080 y como puerto mapeado TCP 80.

Fig. - Añadir reglas de NAT Siguiendo los pasos indicados anteriormente, añadir las reglas del servidor virtual para que el servidor de correo pueda reenviar SMTP y POP3 desde el interfaz WAN2 hacia el servidor 192.168.1.6.


Pág. 120/316

Fig. - Añadir reglas del servidor virtual

No hay que olvidar configurar las reglas correspondientes al cortafuegos para permitir el tráfico http, smtp y pop3 desde el interfaz WAN hacia los servidores LAN.

Fig. - Configuración reglas del cortafuegos

Obsérvese que para la regla del cortafuegos de encaminamiento al servidor web, se usa el puerto TCP 80 en lugar del TCP 8080. Ello es debido a que en el flujo general de paquetes, el proceso DNAT precede a la comprobación del cortafuegos.


Pág. 121/316

10.2. Configuración de NAT Uno a Uno

10.2.1. Escenario de Red El NAT Uno a Uno asegura el mapeo local IP con un único mapeo IP global, independientemente de que el tráfico sea saliente desde el entorno local hacia Internet o entrante desde Internet hacia el entorno local.

Fig. - Escenario de NAT Uno a Uno

En el escenario superior, se mapea la dirección IP global WAN 200.0.0.1 a la 192.168.1.5 del servidor web de la intranet. Así, cuando un cliente http quiere acceder al servidor, su IP original es 200.0.0.1. Después de que el USG reciba el tráfico, mapea la dirección de destino a 192.168.1.5. Cuando el servidor responde, su IP fuente original es 192.168.1.5; cuando el USG la recibe la traducirá a 200.0.0.1 y la enviará al cliente Internet. Una vez que la regla NAT Uno a Uno se ha configurado, el USG generará automáticamente una regla de enrutamiento Uno a Uno en el sistema. Así, cuando el servidor 192.168.1.5 inicia el tráfico para acceder a Internet, si no hay ruta de policía aplicable, el USG utilizará este enrutamiento Uno a Uno, enviará el tráfico a través del interfaz WAN 200.0.0.1 y mapeará la dirección origen a 200.0.0.1.


1. Nos vamos al menú Configuration > Network > NAT , y pulsamos el botón “Add ” para añadir una regla NAT.



Pág. 122/316

2. En la ventana de edición de la regla, rellenar todos los campos necesarios:

Port Mapping Type : 1:1 NAT. Incoming Interface : Seleccionar el interfaz WAN del que se quiera que el USG reciba el tráfico entrante hacia el servidor. Original IP : Se puede elegir “User Defined” e introducir manualmente la IP WAN1. O se puede primero crear un objeto de dirección desde el campo “Create new object” y luego seleccionar este objeto desde la lista desplegable de “Original IP”. Mapped IP : Especifica la dirección IP del servidor. En este caso, 192.168.1.5. Se puede también crear primero un objeto y luego seleccionarlo desde la lista desplegable. Port Mapping : En este caso, elegimos “Service” como tipo de mapeo y servicio http.

Fig. - Ventana de edición de reglas

No hay que olvidar configurar la regla de cortafuegos correspondiente, para permitir el tráfico http desde el interfaz WAN hasta el servidor LAN 192.168.1.5.


Pág. 123/316

Fig. - Configuración regla de cortafuegos

10.3. Configuración NAT Varios Uno a Uno La regla NAT Varios Uno a Uno se corresponde con la programación de una serie de reglas NAT Uno a Uno. El número de direcciones IP del Rango/Subred IP original, debiera igualar al número de direcciones IP en el Rango/Subred mapeado. La primera IP del rango original se mapeará sobre la primera IP del rango mapeado, la segunda sobre la segunda y así sucesivamente.

10.3.1. Escenario de Aplicación

Fig. - Escenario de aplicación NAT Varios Uno a Uno


Pág. 124/316




2. En la ventana de edición de la regla, rellenar todos los campos

necesarios. Port Mapping Type : Varias 1:1 NAT. Incoming Interface : Seleccionar el interfaz WAN del que se quiera que el USG reciba el tráfico entrante hacia los servidores. Original IP : Se puede primero crear objetos de direcciones para los rangos IP original y mapeado desde el campo “Create new object” y luego seleccionar estos objetos desde la lista desplegable de “Original IP”. Mapped IP : Seleccionar el objeto dirección desde la lista desplegable. Port Mapping : Sólo se puede configurar como “any”.



Pág. 125/316

Una vez terminada la configuración de la regla NAT, quedaría de la siguiente forma:

Fig. - Estado final configuración regla NAT

Una vez que se ha configurado la regla NAT Varios Uno a Uno, se generará automáticamente un conjunto de reglas de enrutamiento Uno a Uno en el ZyWALL USG. No hay que olvidar configurar la regla de cortafuegos correspondiente para permitir el tráfico desde el interfaz WAN al rango del servidor LAN.

Fig. - Configuración regla de cortafuegos

10.4. Loopback NAT Los servidores corporativos se localizan en la red local del USG ZyWALL. Se pueden crear reglas de servidor virtual o reglas NAT 1:1 para permitir a los clientes del lado WAN conectar con el servidor. Se puede también necesitar que el servidor sea accesible por los clientes locales a través de la dirección IP global del servidor. Por ejemplo, los clientes locales intentan acceder al servidor corporativo por su nombre de dominio. El nombre de dominio será resuelto a la dirección IP global mediante el DNS. Bajo esta circunstancia, se puede habilitar el Loopback NAT.


Pág. 126/316

10.4.1. Escenario de Red El servidor corporativo 192.168.1.5 se sitúa en la subred local, el cliente local 192.168.1.33, que está en la misma subred que el servidor, quiere acceder al servidor a través de la IP global del USG. La validación del NAT loopback permite esta aplicación.

Fig. - Validación del NAT Loopback



Fig. - Añadir regla NAT

2. En la ventana de edición de la regla, rellenar todos los campos

necesarios y validar el NAT loopback.


Pág. 127/316


Una vez habilitado el NAT loopback, no se requiere política de rutas., ya que el USG comprobará automáticamente la tabla de enrutamiento. Solamente hará SNAT para los clientes locales de la misma subred que el servidor. Las direcciones origen de los clientes del lado WAN y los clientes locales de las otras subredes, permanecerán como en el original.

10.5. NAT con Proxy ARP A veces el usuario puede querer utilizar alguna IP de no interfaz como IP global para algunos servidores, o querer hacer SNAT para que algún tipo de tráfico local mapee la dirección origen sobre alguna IP de no interfaz. Por ejemplo, el usuario tiene 3 IP públicas: 200.0.0.1, 200.0.0.2 y 200.0.1.1. Configura 200.0.0.1 como WAN1 IP, 200.0.1.1 como WAN2 IP y quiere que los usuarios utilicen 200.0.0.2 para acceder al servidor de intranet, p.e. en 192.168.1.5, añadiendo una regla NAT como sigue: Incoming Interface: WAN1 Original IP : 200.0.0.2 Mapped IP : 192.168.1.5


Pág. 128/316

Una vez que el usuario ha añadido la regla NAT como se ha indicado, en el ZLD v2.1x se creará automáticamente un Interfaz Virtual en el “Incoming Interface” con una IP de no interfaz. En el ejemplo, añadirá un Interfaz Virtual sobre WAN1, con la IP 200.0.0.2. Sin embargo, existe una desventaja en este método: Después de que la regla NAT se ha creado, no solamente se permitirá el tráfico para acceder al servidor de intranet, sino que se podrá acceder al USG desde esta IP de no interfaz, lo que supone un problema de seguridad, ya que algún hacker podría utilizar esta IP para acceder al USG. Además, no se puede mapear la IP origen del tráfico saliente a la IP de no interfaz, debido a que el USG no tiene modo de saber a quién pertenece. Una vez añadida la regla NAT como se ha indicado anteriormente, el ZLD v2.20 creará automáticamente una tabla ARP proxy para establecer la IP de no interfaz correspondiente a la MAC del interfaz entrante. Con esta regla NAT, sólo se permitirá el tráfico de acceso al servidor intranet. Cualquier otro tráfico será rechazado. Asimismo, en ZLD v2.20, el USG puede mapear la IP origen del tráfico saliente a una IP de no interfaz mediante la creación de una tabla ARP proxy para mapear la IP de no interfaz a la MAC del interfaz saliente.

10.5.1. Escenario de Aplicación En el escenario inferior, la empresa dispone de 4 direcciones IP: 200.0.0.1, 200.0.0.2, 200.0.1.1 y 200.0.1.2. El administrador de red configura 200.0.0.1 a WAN1 y 200.0.1.1 a WAN2 y quiere que el servidor de intranet 198.162.1.5 sea accesible a través de WAN1 por 200.0.0.2. También quiere que los clientes de la subred 192.168.2.0/24 puedan salir vía WAN2 y mapea la IP origen a 200.0.1.2.

Fig.- Escenario de Aplicación NAT con ARP Proxy


Pág. 129/316


1. Ir a Configuration > Network > Interface , configurar las direcciones WAN1 y WAN2.

Fig. - Configuración de las direcciones WAN 1 y WAN2

2. Para cumplir con el requerimiento de que el servidor intranet pueda ser

accesible a través de WAN1 por la IP de no interfaz 200.0.0.2, ir a Configuration > Network > NAT , y añadir una regla como sigue: Incoming Interface : Wan1 Original IP : 200.0.0.2 Mapped IP : 192.168.1.5

Fig. - Añadir la regla NAT anterior


Pág. 130/316

Compruébese la tabla ARP. Se verá el registro correspondiente a 200.0.0.2:

Fig. - Tabla ARP: Registro correspondiente a 200.0.0.2

3. Para cumplir los requerimientos de que la subred local 192.168.2.0/24

sale por WAN2 y las direcciones origen mapeadas a la IP de no interfaz 200.0.1.2, ir al menú Configuration > Network > Routing > Policy Route , añadir una regla como sigue: Source Address : 192.168.2.0/24 Destination : any Next Hop : WAN2 SNAT: Address object WAN2_SNAT (200.0.1.2)

Fig. - Pantalla del ejemplo anterior

Compruébese la tabla ARP. Se verá el registro correspondiente a 200.0.1.2:

Fig. - Tabla ARP: Registro correspondiente a 200.0.1.2


Pág. 131/316

10.6. Ruta de Policía vs. Ruta Directa Normalmente, en la prioridad de enrutamiento del USG, la ruta directa tiene prioridad sobre la ruta de policía. A veces, puede necesitarse que sea al revés. Existe una opción que lo permite: Ir al menú Configuration > Network > Routing > Policy Route , pulsar el icono “Show Advanced Settings”, y habilitar la función “Use Policy Route to Override Direct Route”.

Fig. - Seleccionar Show Advanced Settings

Fig. - Seleccionar Use Policy Route to Override Direct Route


Pág. 132/316

10.7. Enrutamiento para IPSec VPN En ZLD v2.20, una vez creadas las reglas VPN IPSec, ya no es necesario añadir la Ruta de Policía correspondiente para el enrutamiento del tráfico VPN. El USG añadirá automáticamente la Ruta de Policía de acuerdo con la política de acceso local/remoto.

Fig. - Creación automática Ruta de Policía

Ya que la Ruta de Policía tiene prioridad más alta, se pueden crear rutas de policía para invalidar las rutas VPN IPSec generadas automáticamente por el sistema. O bien, se pueden también añadir rutas para permitir que otro tráfico pueda utilizar este túnel VPN. Por defecto, el parámetro “Use Policy Route to control dynamic IPSec rules” está habilitado, por lo que las rutas VPN dinámicas se integrarán en las rutas VPN Site to Site. Si se deshabilita la opción anterior, las rutas dinámicas se moverán para tener una prioridad mayor en la tabla de prioridad de enrutamiento.

Fig.- Integración de las rutas VPN dinámicas


Pág. 133/316


Fig. - Escenario de aplicación de enrutamiento para VPN IPSec

El USG está situado en la Sede Central, en la subred local 192.168.1.0/24. Subred local del ZyWALL 70 remoto: 192.168.4.0/24. El USG y el ZyWALL remoto establecen un túnel VPN IPSec.

10.7.2. Pasos de Configuración En el USG ZyWALL:

1. Ir a Configuration>VPN>IPSec VPN>VPN Gateway , añadir regla de pasarela VPN (fase1)

Fig. - Añadir regla de pasarela VPN

2. Ir a Configuration > VPN > IPSec VPN > VPN Connection, añadir

conexión VPN (fase 2).

Fig. - Añadir Conexión VPN


Pág. 134/316

En el ZyWALL 70: Ir a Configuration > Security > VPN ; añadir reglas fase 1 y fase 2 VPN.

Fig. - Añadir reglas fase 1 y fase 2 VPN

El túnel queda establecido:

Fig. - Túnel establecido

Fig. - Tráfico a través del túnel


Pág. 135/316

10.8. Enlace NAT Uno a Uno en caso de Fail Over

10.8.1. Escenario de red En algunos casos, el administrador de red puede querer asegurar que el servidor intranet esté siempre accesible desde el exterior. En el escenario inferior, WAN 1 está conectado al ISP1 y WAN2 al ISP2. WAN1: 200.0.0.1 IP de no interfaz: 200.0.0.4 WAN2: 200.0.1.1 IP de no interfaz: 200.0.1.4 Requerimientos: - Los clientes exteriores pueden acceder al servidor intranet 192.168.1.33 a través de WAN1 y WAN2 desde la IP de no interfaz, soportando balanceo de carga para el tráfico de acceso al servidor entre WAN 1 y WAN2. - Si WAN1 falla, se puede acceder al servidor intranet desde WAN2. - La dirección origen del tráfico saliente desde el servidor se mapeará a la IP de no interfaz.

Fig. - Escenario de configuración para Fail Over


1. Configurar las direcciones IP WAN1 y WAN2 desde Configuration > Network > Interface > Ethernet .

Fig. Configuración de IP WAN1 y WAN2


Pág. 136/316

2. ir a Configuration > Network > NAT , añadir dos reglas NAT 1:1.

Fig. - Establecer regla NAT 1:1 para WAN1

Fig.- Establecer regla NAT 1:1 para WAN2


Pág. 137/316

El resumen de las reglas NAT sería:

Fig.- Resumen de las reglas NAT

Obsérvese que después de que se hayan añadido las dos reglas NAT 1:1, el sistema generará automáticamente dos reglas de enrutamiento 1:1 de la siguiente manera: Origen : 192.168.1.33 (server IP/Destination:any/next hop: wan1) Origen : 192.168.1.33 (server IP/Destination:any/next hop: wan2) Para evitar que el tráfico desde el servidor hacia “any” siempre cumpla con la primera regla 1:1 de enrutamiento, se necesita añadir una ruta de policía para sobrescribir estos dos enrutamientos 1:1

3. Ir a Configuration > Network > Interface >Trunk , añadir un enlace WAN personalizado.

Fig. - Añadir un enlace WAN personalizado

4. Ir a Configuration >Network > Routing , añadir una ruta de policía

como sigue: Source : 192.168.1.33 (server) Destination : any Next hop : <the newly added WAN trunk> SNAT: None.


Pág. 138/316

Fig. - Añadir ruta de policía

Nótese que se configura SNAT a “None ” porque se necesita aún que el mapeo NAT 1:1 traduzca la dirección origen del tráfico saliente del servidor.

Fig. - Configuración de SNAT a “None”


Pág. 139/316

11. Seguridad en el Extremo Remoto (EPS)

11.1. Introducción a la Seguridad en el Extremo Rem oto (EPS) El concepto de Seguridad en el Extremo Remoto se representa por la abreviatura EPS (Endpoint Security). En términos generales, la EPS hace referencia a PCs, portátiles, equipos de mano, etc. El concepto EPS supone que cada extremo remoto es el responsable de su propia seguridad. El administrador de la red puede definir políticas restrictivas para permitir que solamente aquellos equipos remotos que cumplan con los requerimientos de seguridad definidos, puedan acceder a los recursos de red. La EPS incluye los conceptos de antivirus, cortafuegos personal, etc. Supongamos que un extremo remoto no dispone de antivirus. Si navega por Internet, existe un alto riesgo de que sea infectado por un virus. A partir de ahí, el virus se puede propagar por toda la red local. Otro ejemplo podría ser el caso de una VPN SSL. Si el cliente VPN SSL no dispone de antivirus, cuando acceda a los recursos de la sede central mediante un túnel VPN SSL, puede propagar el virus a la subred de la sede central. Para evitar estas situaciones no deseadas, el administrador de red puede utilizar la verificación de la EPS para restringir las posibilidades de acceso a la red de los equipos remotos. Solamente aquellos puntos remotos que cumplan con los requerimientos definidos, podrán acceder a los recursos de la red.

11.2. EPS ---- WebGUI

Ir a Configuration > Object > Endpoint Security para crear objetos EPS, que podrán usarse más tarde en aplicaciones de usuario y VPN SSL. Aparecerá la página de edición de EPS:

Fig. - Página de edición de EPS

Como criterio de paso, se puede escoger “El extremo remoto tiene que cumplir con al menos un elemento de comprobación” o “El extremo remoto tiene que cumplir con todos los elementos de comprobación”. Si se elige la primera opción, entonces el cliente puede pasar la comprobación EPS con tal que cumpla con al menos uno de los puntos indicados en la lista del criterio de paso.


Pág. 140/316

Si se elige la segunda opción, entonces el cliente debe cumplir con todos puntos indicados en la lista de paso para superar la prueba de comprobación EPS.

Fig. - Selección del criterio de paso de la comprobación EPS

El primer elemento de comprobación es el Sistema Operativo. Se puede seleccionar Windows, Linux, Mac OSX y otros. Si se elige Windows, se puede definir en detalle aspectos tales como versión y service pack.

La versión de Windows incluye W2000, Server 2003, XP, Vista Windows 7, Server 2008 y Server 2008 R2.

El punto remoto tiene que actualizar la versión de Windows Service Pack. Se puede introducir el número de versión de service pack que se debe tener instalado. El PC de usuario tiene que disponer de esta versión o una superior.

Fig. - Comprobación de Sistema Operativo

El resto de puntos de comprobación dependen del Sistema Operativo elegido. Si se ha seleccionado Windows, los puntos de comprobación adicionales serían los siguientes: � Windows Update and Security Patch

�Cortafuegos personal


Pág. 141/316

Lista de cortafuegos personales soportados: • Kaspersky_Internet_Security_v2009

• Kaspersky_Internet_Security_v2010

• Microsoft_Security_Center

• Windows_Firewall

• Windows_Firewall_Public • TrendMicro_PC-Cillin_Internet_Security_v2010

• TrendMicro_PC-Cillin_Internet_Security_Pro_v2010

�Software Anti-Virus Lista de Anti-Virus soportados: • Kaspersky_Anti-Virus_v2009

• Kaspersky_Anti-Virus_v2010



• TrendMicro_PC-Cillin_AntiVirus_v2010

• TrendMicro_PC-Cillin_Internet_Security_v2010

• TrendMicro_PC-Cillin_Internet_Security_Pro2010

• Norton_AntiVirus, 2010

• Norton_Internet_Security, 2010

• Norton_360 Version, version 3

• Avria AntiVir Personal_v2009


Pág. 142/316

Fig. - Puntos de comprobación de Windows

Si el Sistema Operativo elegido ha sido Linux, los puntos de comprobación adicionales serían los siguientes: �Aplicación

�Proceso que el punto remoto tiene que ejecutar

�Proceso que el punto remoto no puede ejecutar

�Información de fichero


Pág. 143/316

Fig. - Puntos de comprobación de Linux

Si el Sistema Operativo elegido es Mac OSX u Otros, no hay puntos de comprobación adicionales.

Fig.- Puntos de comprobación de Mac OSX y Otros


Pág. 144/316

11.3. EPS --- CLI Se puede utilizar el CLI (Command Line Interface) como se indica a continuación para comprobar la información EPS del USG.

Router > show eps signature status Este comando muestra el estado actual de la firma EPS, incluyendo versión, fecha de liberación y números de firma de su USG.

Fig. - Comando Router> show eps signature status

Router > show eps signature personal-firewall Este comando muestra el estado actual de la firma EPS para la verificación del cortafuegos personal.

Fig. - Comando Router> show eps signature personal-firewall

Router> show eps signature anti-virus Este comando muestra el estado actual de la firma EPS para la verificación del antivirus.

Fig. - Comando Router> show eps signature anti-virus


Pág. 145/316

NOTA: Si el estado de detección es “no”, significa que la firma EPS sólo puede detectar si el software está instalado, pero no puede detectar si está activo o no. Si el estado de detección es “sí”, significa que la firma EPS puede detectar si el software está instalado, así como si está activo o no.

11.4. Nota de Aplicación EPS

1. Si desea utilizar la prestación EPS tanto en aplicaciones User Aware como en VPN SSL, se deberá instalar Java y asegurarse de que está validado en el navegador.

2. Aunque la prueba EPS se consigue mediante las firmas EPS, no se necesita licencia. La firma se actualiza con la actualización del firmware.

11.4.1. Despliegue de EPS en aplicaciones User Awar e

Para proteger la red corporativa, el administrador puede establecer políticas de autenticación para restringir que determinados clientes que no han superado la autenticación de usuario pero sí la prueba EPS, puedan acceder a ciertos recursos de red, tales como Internet o servidores DMZ.


La empresa tiene una zona LAN y una zona de servidores DMZ. El administrador de red establece las siguientes restricciones: - Solamente clientes que tienen antivirus instalado pueden acceder a los servidores de la zona DMZ.

- Solamente clientes que tienen antivirus y cortafuegos personal instalados pueden acceder a Internet.

Fig. - Escenario de aplicación


Pág. 146/316

11.4.3. Pasos de configuración

1. Ir a Configuration > Object > Endpoint Security , para añadir objetos EPS. Añadir objetos EPS que cumplan con los requerimientos de comprobación de acceso a DMZ:

Fig. - Añadir objetos EPS que cumplen con los requerimientos DMZ


Pág. 147/316

Añadir objetos EPS que cumplan con los requerimientos de comprobación de acceso a Internet:

Fig. - Añadir objetos EPS que cumplen con los requerimientos de Internet


Pág. 148/316

Resumen de objetos EPS:

Fig. - Resumen de objetos EPS

2. Ir a Confirmation > Authentication Policy , validar Authentication Policy.

Fig. - Validación de las políticas de autenticación

Añadir políticas de autenticación para comprobación de acceso a DMZ e Internet:


Pág. 149/316

Fig. - Comprobación de acceso a DMZ e Internet

Resumen de la Política de Autenticación:

Fig.- Resumen de la Política de Autenticación


Pág. 150/316

11.4.4. Verificación de Escenario

Los clientes de la LAN no pueden acceder a Internet antes de haber pasado la fase de autenticación.

Fig. - Verificación de escenario

Acceda a la página de login del USG e introduzca la contraseña y usuario:

Fig. - Login en el USG


Pág. 151/316

El USG ejecutará la acción de comprobación EPS:

Fig. Comprobación EPS

Si el entorno de cliente no cumple con el criterio de comprobación EPS, el USG dará el siguiente mensaje:

Fig. - Mensaje de fallo de comprobación EPS


Pág. 152/316

Una vez que el cliente supere la comprobación EPS y la autenticación del USG, el USG le permitirá el acceso a Internet:

Fig. - Login correcto

11.5. Despliegue de EPS en VPN SSL En aplicaciones VPN SSL, algunos clientes VPN SSL pueden no tener antivirus instalado. Si están infectados por algún virus y acceden a los recursos de la red corporativa a través de VPN SSL, pueden propagar la infección. El administrador de la red corporativa puede utilizar EPS para permitir el establecimiento de VPN SSL con la red corporativa solamente a los clientes que cumplan con determinados criterios de seguridad.


Los clientes de Internet pueden acceder a los recursos corporativos estableciendo VPN SSL con el USG corporativo. Para evitar que cualquier cliente VPN SSL transmita un virus a la red corporativa, el administrador puede habilitar una comprobación EPS en la política de VPN SSL, permitiendo así que sólo aquellos clientes que tengan antivirus instalado puedan establecer túneles VPN SSL con el USG corporativo.

Fig. - Escenario de aplicación


Pág. 153/316


1. Ir a Configuration > Object > Endpoint Security , añadir objetos para la

comprobación VPN SSL.

Fig. - Añadir objetos para la comprobación VPN SSL


Pág. 154/316

2. Ir a Configuration > VPN >SSL VPN > Acess Privilege , añadir política de

VPN SSL. Validar comprobación EPS y seleccionar el objeto EPS para la comprobación VPN SSL:

Fig. - Selección del objeto EPS para la comprobación VPN SSL


Pág. 155/316


El cliente VPN SSL intenta hacer un login para establecer un túnel VPN SSL con el USG:

Fig. - Login para establecer túnel VPN SSL

El USG comienza la caracterización de la comprobación EPS de acuerdo con el objeto EPS seleccionado en la política VPN SSL:

Fig. - Comprobación EPS


Pág. 156/316

Si el cliente VPN SSL no cumple con el criterio EPS, la comprobación EPS fallará y el túnel no se establecerá:

Fig.- Fallo en el establecimiento del túnel VPN SSL

Si el cliente cumple con el criterio EPS, pasará la comprobación y el túnel VPN SSL se establecerá:

Fig. - Túnel VPN SSL establecido


Pág. 157/316

11.6. Despliegue de AAA y EPS en VPN SSL


En el escenario de la figura inferior, aparecen dos grupos de usuarios (grupo de ventas y grupo soporte CSO) en el servidor AD. Ambos grupos de usuarios pueden acceder a los recursos corporativos estableciendo túneles VPN SSL con el USG corporativo.

La empresa requiere que ambos grupos accedan a diferentes recursos. Por ejemplo, el grupo de soporte sólo puede acceder a los ficheros de soporte y el de ventas, solamente a los ficheros de ventas. Así pues, el administrador puede configurar diferentes reglas VPN SSL para los diferentes grupos. Además, el administrador puede desplegar diferentes políticas de comprobación EPS para las distintas reglas VPN SSL. Por ejemplo, se puede desplegar comprobación EPS para el grupo de ventas y no para el de soporte.

Fig. - Ejemplo de escenario de acceso


Pág. 158/316


1. Añadir usuarios/grupos en AD server desde Start > Administrative Tools >

Active Directory

Fig. - Añadir usuarios/grupos en el AD server

2. Ir a Users > New > Users . Añadir cuentas de usuario.

En este ejemplo, añadimos los nuevos usuarios “judy”, “nancy”, “chris” and “lucy”.

Nótese que el nombre de dominio del servidor AD es cso.org.


Pág. 159/316

Fig. - Creación de cuentas de usuarios


Pág. 160/316

Cambiar al menú Users > New >Group . Añadir grupos. En el ejemplo en cuestión, añadimos dos: “cso” y “sales”:

Fig. - Añadir nuevos grupos

Asignar “judy” y “nancy” al grupo “cso” y “chris” y “lucy” al grupo “sales”:


Pág. 161/316

Fig.- Asignación de usuarios a los grupos


Pág. 162/316

3. En el USG, configurar el servidor AAA. Ir a Configuration > Object > AAA Server > Active Direct ory , y editar el perfil “ad”.

Fig. - Edición del perfil “ad”

Poner la dirección del servidor AD de la empresa en el campo Server Address. El puerto por defecto del servidor AD es UDP 389. Si el servidor AD se configura sobre un puerto diferente, incluir aquí el número de puerto correspondiente. Para el campo Base DN, si el dominio del servidor AD es cso.org, introducir: dc=cso, dc=org.

La parte de Autenticación de Servidor es para que el USG sea autenticado por el servidor AD antes de que pueda usar la base de datos del directorio activo del servidor AD.


Pág. 163/316

Bind DN: Rellene el campo según: cn=<administrator> con cualquier usuario configurado en el AD. “dc=cso, dc=org” es el dominio del servidor AD. En este ejemplo es cso.org. La contraseña es la contraseña correspondiente de <administrator>.

Cuando no se especifica un Bind DN, el ZyWALL intentará un login como usuario anónimo.

Se debe dejar “Login Name Attribute” y “Group Membership Attribute” como configuración por defecto del sistema.

Login Name Attribute alternativo es opcional. Se puede rellenar aquí “userPrincipalName”. Entonces los usuarios pueden hacer login en el USG mediante la dirección de email así como mediante nombre de usuario.

Una vez que se ha realizado la configuración del servidor AD, se puede verificar si es correcta y si la comunicación entre éste y el USG es OK.

Fig. - Configuración del servidor AD


Pág. 164/316

Fig. - Verificación Configuración servidor AD


Pág. 165/316

Si se ha introducido el atributo “Alternative Login Name Attribute”, como se indica en la figura inferior, se puede verificar también mediante la dirección de correo del usuario:

Fig. - Atributo alternativo “Alternative Login Name attribute”


Pág. 166/316

Fig.- Verificación mediante dirección de correo

4. Ir a Configuration>Object>User/Group>User , añadir grupos de usuario correspondientes a los grupos en el servidor AD.

En el ejemplo, añadimos dos grupos, correspondientes a los del servidor AD: “cso” and “sales”.

El Nombre de Usuario puede ser diferente del identificador de grupo. Ej.: el identificador de grupo del grupo”cso” is “cso”, pero podemos especificar un nombre diferente, tal como “cso_support”.

El identificador de Grupo tiene que seguir el formato siguiente: CN=<cso>,CN=Users, CN=<cso>, DC=<org> <cso> es el nombre de grupo en el servidor AD.


Pág. 167/316

Añadir grupo “cso”:

Fig - Añadir grupo”cso”

Se puede verificar si un usuario pertenece a un determinado grupo:

Fig. - Verificación de pertenencia a un grupo


Pág. 168/316

Fig. - Resultado de la verificación de pertenencia a un grupo

Añadir grupo”sales”:

Fig - Añadir grupo “sales”


Pág. 169/316

Para verificar si un usuario pertenece al grupo “sales”:

Fig. - Verificación de pertenencia al grupo “sales”

5. Ir a Configuration > Object > Auth. Method , modificar el método de autenticación de por defecto. Añadir “group ad”:

Fig. - Añadir “ group add”


Pág. 170/316

6. Ir a Configuration > System > WWW > Service Control . En la parte de

Autenticación, hay que asegurarse de que el “Client Authentication Method” elegido es “default”:

Fig. - “Client Authentication Method” como default

7. Ir a Configuration > Object > SSL Aplication , añadir aplicaciones para los

grupos de soporte y ventas.

Fig. - Añadir aplicaciones a los grupos


Pág. 171/316

8. Ir a Configuration > Object > Endpoint Security , añadir políticas de EPS

para comprobar el grupo de ventas.

Fig. - Añadir políticas de EPS


Pág. 172/316

9. Ir a Configuration > VPN > SSL VPN > Access Privilege , añadir dos

reglas VPN SSL para cso_support y sales.

Fig. - Añadir reglas VPN SSL para cso_support


Pág. 173/316

Fig. - Añadir reglas VPN SSL para sales


Pág. 174/316


Abra la página de login del USG. Asegúrese de que Java está instalado y habilitado en el navegador. Utilice el usuario “judy” del grupo “cso” para el login de VPN SSL.

Fig.- Login de VPN SSL

VPN SSL está establecida, pudiéndose ver la compartición de ficheros en el portal para el usuario “cso” del grupo AD.

Fig. - Visualización de la Compartición de ficheros en el portal


Pág. 175/316

Fig. - VPN SSL establecida

Utilice el usuario “judy” del grupo “sales” para el login de VPN SSL.

Fig.- Login de VPN SSL


Pág. 176/316

Fig. - Verificación EPS

VPN SSL está establecida, pudiéndose ver la compartición de ficheros en el portal para el usuario “cso” del grupo AD.

Fig.- Visualización de la Compartición de ficheros en el portal

Fig. - VPN SSL establecida


Pág. 177/316

12. Creación de VPN

12.1. IPSec VPN A continuación vamos a mostrar un ejemplo de creación de un túnel VPN entre un ZyWALL USG 50 con un router de acceso a Internet mediante IP dinámica contra un ZyWALL 70 UTM con un router de acceso a Internet mediante IP estática. La topología de la red quedaría de la siguiente forma:

Fig. – Topología de Red para el Ejemplo de IPSec VPN


Pág. 178/316

12.1.1. Router Remoto El router remoto está conectado al ZyWALL 70 UTM, y lo vamos a configurar en modo monopuesto estático con los datos proporcionados por el ISP. Para ello accederemos al equipo mediante un navegador web apuntando a la dirección IP por defecto 192.168.1.1. Nos aparecerá una ventana solicitando nombre de usuario y contraseña. Introduciremos el nombre de usuario por defecto “1234” y la contraseña por defecto “1234”.

Fig. – Acceso al router

A continuación aparecerá una ventana a modo de recordatorio indicando que la contraseña configurada es la contraseña por defecto, y nos solicita cambiarla para mayor seguridad. Para saltarnos este recordatorio pulsamos sobre el botón “Ignore”.

Fig. – Solicitud de cambio de Contraseña


Pág. 179/316

Una vez pasado el recordatorio de cambio de contraseña accederemos a la pantalla de configuración inicial del router. En la columna “Advanced Setup” haremos clic sobre “LAN” y posteriormente sobre “LAN Setup”.

Fig. – Pantalla de Configuración Inicial

En en LAN Setup deshabilitaremos el servidor DHCP y configuraremos los valores de IP en en apartado TCP/IP según los datos que nos ha dado nuestro proveedor a Internet. Una vez configurado todo volvemos al Main Menu.

Fig. – LAN Setup


Pág. 180/316

Desde el menú principal pulsamos sobre el menú “Wizard Setup”, configuramos el modo Routing, e introduciremos los datos que nos ha dado nuestro proveedor de servicios a Internet para configurar el interfaz WAN del router.

Fig. – Wizard Setup

Fig. – Wizard Setup (página 2)


Pág. 181/316

Finalmente nos aparecerá una ventana a modo de sumario de la configuración realizada en el router, y tras revisarla pulsaremos en “Save Settings”. Con eso ya quedaría configurado el router Remoto.

Fig. – Wizard Setup Summary


Pág. 182/316

12.1.2. Router Local El router local que estará conectado contra el ZyWALL USG50 lo vamos a configurar en modo monopuesto dinámico. Para ello accederemos al equipo mediante un navegador web apuntando a la dirección IP por defecto 192.168.1.1. Nos aparecerá una ventana solicitando nombre de usuario y contraseña. Introduciremos el nombre de usuario por defecto “1234” y la contraseña por defecto “1234”.

Fig. – Acceso al router

A continuación nos aparecerá la pantalla de configuración inicial del router. En la columna “Advanced Setup” haremos clic sobre “LAN” y posteriormente sobre “LAN Setup”.


Pág. 183/316

Fig. – Pantalla de Configuración Inicial

En en LAN Setup deshabilitaremos el servidor DHCP y configuraremos los valores de IP en en apartado TCP/IP. En el ejemplo vamos a dejar estos valores sin modificar. Una vez configurado todo volvemos al “Main Menu”.

Fig. – LAN Setup


Pág. 184/316

Desde el menú principal pulsamos sobre el menú “Wizard Setup”, configuramos el modo Bridge, e introduciremos los datos que nos ha dado nuestro proveedor de servicios a Internet para configurar el interfaz WAN del router.

Fig. – Wizard Setup

Finalmente nos aparecerá una ventana a modo de sumario de la configuración realizada en el router, y tras revisarla pulsaremos en “Save Settings”. Con eso ya quedaría configurado el router Local.

Fig. – Wizard Setup Summary


Pág. 185/316

12.1.3. ZyWALL Remoto En nuestra topología, el ZyWALL remoto se corresponde con el ZyWALL 70 UTM, sobre el cuál vamos a configurar el apartado de WAN y el apartado de IPSec VPN. Para acceder al ZyWALL cogeremos un PC y nos conectaremos directamente a la LAN del ZyWALL. Una vez hayamos recibido por el servidor DHCP una dirección IP perteneciente a la subred del ZyWALL tendremos acceso al mismo mediante un navegador web apuntando a la dirección IP por defecto 192.168.1.1 y la contraseña por defecto “1234”. De esta forma accederemos a la Pantalla de Estado del equipo. Donde podremos comprobar si el dispositivo tiene la última versión de firmware disponible en la ftp de ZyXEL. (ftp.zyxel.com)

Fig. – Pantalla de Estado

Desde la Pantalla de Estado pulsaremos en la barra lateral de menús dentro del menú “Network”. En el desplegable que aparece primeramente configuraremos el Interface LAN, y posteriormente el Interface WAN. Para configurar el Interface LAN pulsamos sobre el submenú “LAN” y modificaremos los valores configurados para la “LAN TCP/IP” y habilitamos el servidor DHCP.


Pág. 186/316

Fig. – Configuración LAN

Para configurar el interfaz WAN pulsaremos sobre el submenú “WAN” de la barra lateral de menú “Network”. En la ubicación remota tenemos contratada una Ip estática, rellenamos la configuración WAN con encapsulación Ethernet, y con la información IP que nos haya dado nuestro ISP. También habilitamos la casilla del NAT.

Fig. – Configuración WAN


Pág. 187/316

Una vez configurados tanto el interfaz LAN como el interfaz WAN del ZyWALL vamos a proceder a configurar el apartado correspondiente a la VPN. Para ello nos situamos sobre el menú “Security” de la barra lateral de menús, y pulsamos sobre el submenú “VPN”. Dentro de la pestaña “VPN Rules (IKE)” añadimos una nueva regla, que se denominan Políticas de Gateway.

Fig. – Políticas de Gateway

A continuación nos aparecerá un formulario para rellenar las Políticas de Gateway. En dicho formulario tendremos que introducir un nombre para identificar a la regla añadida. Dado que desconocemos la dirección IP del equipo que se va a conectar a nosotros, dejaremos por defecto las opciones del “Gateway Policy Infomation”, es decir, todo a 0. De esta forma es como si dejáramos una puerta abierta para que cualquier equipo que tenga los mismos valores de Pre-Shared Key y protocolos de autenticación/encriptación se pueda conectar a nuestro equipo.


Pág. 188/316

Introduciremos un valor para la Pre-Shared Key, y los “ID Type”. Así como los diferentes protocolos de autenticación/encriptación. Cabe recordar que el valor de la Pre-Shared Key, y los protocolos de autenticación/encriptación deben de ser los mismos que se configuren en el otro ZyWALL. Así como invertir el orden de la configuración realizada para los “ID Type”.

Fig. – Edición de la Política de Gateway


Pág. 189/316

Por último configuraremos los protocolos de autenticación/encriptación.

Fig. – Edición de la Política de Gateway

Una vez configurada la regla de la Política de Gateway, sobre esta añadiremos una Política de Red.

Fig. – Añadir Políticas de Red sobre una Política de Gateway


Pág. 190/316

Dentro activaremos la política, escribiremos un nombre para este perfil de configuración, elegiremos la conexión “Gateway Policy” creada anteriormente, y añadiremos el valor de la subnet local.

Fig. – Configuración de la Política de Red

Las opciones de la Red Remota las dejaremos por defecto, ya que en un principio desconocemos la información de la misma. Dejando una puerta abierta a que visualice cualquier red remota. Por último seleccionaremos los algoritmos de encriptación y autenticación. Los valores de los algoritmos de encriptación y autenticación, así como el valor de las subredes serán los mismos que se configuren en el ZyWALL Remoto.


Pág. 191/316

Fig. – Configuración de la Política de Red


Pág. 192/316


Pág. 193/316

12.1.4. ZyWALL Local En nuestra topología, el ZyWALL local se corresponde con el ZyWALL USG 50, sobre el cuál vamos a configurar el apartado de WAN y el apartado de IPSec VPN. Para acceder al ZyWALL cogeremos un PC y nos conectaremos directamente a la LAN del ZyWALL. Una vez hayamos recibido por el servidor DHCP una dirección IP perteneciente a la subred del ZyWALL tendremos acceso al mismo mediante un navegador web apuntando a la dirección IP por defecto 192.168.1.1 y la contraseña por defecto “1234”. De esta forma accederemos a la Pantalla de Estado del equipo. Donde podremos comprobar si el dispositivo tiene la última versión de firmware disponible en la ftp de ZyXEL. (ftp.zyxel.com)

Fig. – Pantalla de Estado

Desde la Pantalla de Estado pulsaremos en la barra lateral de menús dentro del menú Configuration > Network > Interface . A continuación configuraremos el Interface LAN (Ethernet), y el Interface WAN (PPP).


Pág. 194/316

Para configurar el Interface LAN pulsaremos sobre la pestaña “Ethernet” y modificaremos los valores configurados para la “lan1” mediante el icono para editar.

Fig. – Interfaz Ethernet

Nos aparecerán los campos de la configuración del interfaz ethernet Lan1, en los que configuraremos la dirección IP de LAN y habilitaremos el servidor DHCP.

Fig. – Edición del Interfaz Ethernet Lan1

Una vez configurado el interfaz LAN dentro del menú Ethernet, nos iremos a la pestaña PPP para configurar el interfaz wan1_ppp.


Pág. 195/316

Fig. –Interfaz PPP wan1_ppp

Nos aparecerán los campos de la configuración del interfaz wan1_ppp, en los que habilitaremos el interfaz, activaremos las casilla “Nailed-Up” y “Obtener IP automáticamente”. Mediante la creación de un objeto de tipo “ISP Account”, configuraremos los valores que nos haya dado nuestro proveedor de servicios a Internet para la línea PPP adquirida, y seleccionaremos dicho objeto en “Account Profile".

Fig. – Edición del Interfaz PPP wan1_ppp

Una vez configurados tanto el interfaz LAN como el interfaz WAN del ZyWALL vamos a proceder a configurar el apartado correspondiente a la VPN IPSec. En la barra de menús lateral pulsamos sobre el menú Configuration > VPN > IPSec VPN. Nos moveremos a la pestaña “VPN Gateway” y añadiremos una nueva conexión.


Pág. 196/316

Fig. – VPN Gateway

Mostrando las opciones avanzadas, configuraremos un nombre para este perfil de configuración, elegiremos el interfaz wan1_ppp como “My Address” y la IP estática del router remoto en el “Peer”. Escribiremos un valor en el Pre-Shared Key, así como unos valores en el ID Type. Por último seleccionaremos los algoritmos de encriptación y autenticación. Los valores de los algoritmos de encriptación y autenticación, así como el valor del Pre-Shared Key serán los mismos que se configuraron en el ZyWALL Remoto.

Fig. – Edición del VPN Gateway


Pág. 197/316

Una vez configurado el “VPN Gateway” pasaremos a configurar el “VPN Connection”. Para ello nos moveremos a la pestaña “VPN Connection” y añadiremos una nueva conexión.

Fig. – VPN Connection

Configuraremos un nombre para este perfil de configuración, elegiremos la conexión “VPN Gateway” creada anteriormente, crearemos dos objetos de tipo subnet con los valores de las subredes local (LAN1_SUBNET) y remota (Red_VPN_ZW70). Por último seleccionaremos los algoritmos de encriptación y autenticación. Los valores de los algoritmos de encriptación y autenticación, así como el valor de las subredes serán los mismos que se configuraron en el ZyWALL Remoto.

Fig. – Edición del VPN Connection


Pág. 198/316

Por último queda configurar el Policy Route para permitir que todo el tráfico con origen LAN Local y con destino LAN Remoto pase a través del túnel VPN que hemos creado en los pasos anteriores. Para ello nos vamos a la barra de menús lateral Configuration > Network > Routing , y añadimos una regla de configuración.

Fig. – Creación de reglas en el Policy Route

En la siguiente ventana marcaremos la casilla de habilitación, elegiremos como origen la subred de la LAN Local, y como destino la subred de la LAN Remota. En el Next-Hop elegiremos de tipo VPN Tunnel y seleccionaremos el nombre del VPN Gateway creado previamente.

Fig. – Configuración de la regla del Policy Route

La configuración de una regla en el Policy Route es prácticamente la única diferencia que hay a la hora de configuraron estos equipos con respecto a los antiguos modelos de la familia ZyWALL con sistema operativo ZyNOS.


Pág. 199/316

12.2. VPN entre un ZLD 2.20 y un cliente IPSec VPN: En este ejemplo veremos la configuración para establecer un túnel VPN entre la sede X, en donde tenemos un ZyWALL con ZLD 2.20; y en la sede Y, en donde disponemos de un software cliente IPSec.

Fig. – Esquema con la topología de red del escenario VPN dinámica

12.2.1. Condiciones Previas:

• Los routers de ambas sedes deben ser IPSec passtrough.

• El router asociado al ZyWALL ZLD 2.20 debe de estar configurado en modo monopuesto/bridge para que la IP pública recaiga en el interface WAN del ZLD 2.20 (en el ejemplo la IP pública es 1.2.3.4).

• El direccionamiento IP de la subred de la sede X debe de ser diferente al de la sede Y.

• No debe de haber ningún firewall o antivirus instalado en el PC con el software ZyWALL IPSec VPN Client que pueda bloquear el tráfico de la VPN (puerto UDP 500, UDP 4500, protocolo 40).


Pág. 200/316

12.2.2. Configuración en el ZyWALL ZLD 2.20:

1.) Desde el panel de navegación nos desplazamos al menú Configuration > VPN > IPSec VPN . Una vez dentro abrimos la pestaña VPN Gateway , y añadimos una regla.

Fig. – Creación de regla VPN Gateway

Nos aparecerá una ventana de configuración, en la que primeramente pulsaremos en el botón , que se muestra en el lado superior izquierdo de dicha ventana, para que también se muestren las opciones avanzadas de configuración. Una vez hecho esto, habilitaremos la regla marcando la casilla “Enable ” y asignaremos un nombre para la regla. En el campo “My Address ” seleccionaremos el interface WAN con el que salimos a Internet, en este ejemplo sería el interface wan1. En el campo “Peer Gateway address ” seleccionaremos “Dynamic Address”, ya que de esa forma no se indica explícitamente la IP pública de la sede remota.

Fig. – Configuración VPN Gatewey


Pág. 201/316

En el campo “Pre-Shared Key ” introduciremos una contraseña. En este ejemplo hemos introducido “1234567890”. Los campos “Local ID Type ” y “Peer ID Type ” vienen a actuar como contraseñas. En este ejemplo hemos elegido el tipo IP, y como contenido local 1.1.1.1, y contenido remoto 2.2.2.2 En las opciones de la Fase 1 seleccionaremos como propuestas unos algoritmos de encriptación y autenticación, y aplicaremos los cambios. En este ejemplo se han seleccionado DES, MD5 y DH1.

Fig. – Configuración VPN Gateway (continuación)

La regla creada quedará de la siguiente forma:

Fig. – Sumario de reglas de VPN Gateway


Pág. 202/316

2.) Nos movemos a la pestaña VPN Connection , y añadimos una regla.

Fig. – Creación regla VPN Connection

Nos aparecerá una ventana de configuración, en la que primeramente pulsaremos en el botón , que se muestra en el lado superior izquierdo de dicha ventana, para que también se muestren las opciones avanzadas de configuración. Una vez hecho esto, habilitaremos la regla marcando la casilla “Enable ” y asignaremos un nombre para la regla. De la opción VPN Gateway seleccionaremos “Remote Access (Server Role) ” como Application Scenario, indicando posteriormente la regla de VPN Gateway que habíamos creado en el punto 1 seleccionándola del desplegable.

Fig. – Configuración de la regla VPN Connection

De la opción Policy, seleccionaremos el objeto correspondiente a la subred de la sede X (LAN1_SUBNET), y desmarcamos la casilla “Policy Enforcement”. En las opciones de la Fase 2 seleccionaremos como propuestas unos algoritmos de encriptación y autenticación, y aplicaremos los cambios. En este ejemplo se han seleccionado ESP, DES, SHA1.


Pág. 203/316

Fig. – Configuración de la regla VPN Connection (continuación)


Fig. – Sumario de reglas VPN Connection

3.) Desde el panel de navegación nos desplazamos al menú Configuration > Network > Routing para ver el menú de reglas Policy Route y añadiremos una nueva regla.

Fig. – Creación de regla de Policy Route


Pág. 204/316

Sobre el menú de la regla, pulsaremos sobre el icono “Create new Object ” y seleccionaremos de tipo “Address” para así crear el objeto con nombre “LAN_REMOTA”, de tipo Host y con la dirección IP “0.0.0.0”

Fig. – Creación de objeto de tipo Address

Una vez creado el objeto, marcaremos la casilla “Enable ” y daremos un nombre a la regla. Como Incoming seleccionaremos el tipo “Interface”, y como miembro “lan1”. Como dirección origen seleccionamos el objeto “LAN1_SUBNET”, y como dirección remota seleccionamos el objeto “LAN_REMOTA” que hemos creado. Como “Next-Hop ” elegimos de tipo “VPN Tunnel” y seleccionamos el túnel VPN (VPN Connection) que habíamos creado en el punto 2, y aplicamos los cambios.

Fig. – Configuración de la regla de Policy Route


Pág. 205/316


Fig. – Sumario de reglas de Policy Route

12.2.3. Configuración en el Cliente IPSec VPN:

4.) Desde el ZyWALL IPSec VPN Client haremos clic derecho sobre el icono “Root”, y pulsaremos en “Nueva Fase1” para añadir una regla:

Fig. – Creación de la Fase1

Asignaremos un nombre para la regla, seleccionaremos el interfaz como “Automático”, e introduciremos la dirección IP pública asociada a la WAN del ZyWALL USG en el campo “Gateway Remoto” (en el ejemplo 1.2.3.4). Como llave secreta introduciremos la Pre-Shared Key que pusimos en el ZLD 2.20 (1234567890), y seleccionamos los mismos algoritmos de encriptación y autenticación configurados en el ZLD 2.20 Pulsamos en el botón “ajustes avanzados…” para acceder a la ventana de configuración de los identificadores FQDN.


Pág. 206/316

Fig. – Configuración de la regla de Fase1

En la pantalla de ajustes avanzados de la Fase1 seleccionamos como ID Local de tipo IP con el contenido 2.2.2.2, y seleccionamos como ID Remoto de tipo IP con el contenido 1.1.1.1, y pulsamos el botón OK. Nota : el valor de los contenidos es opuesto a lo introducido en la configuración de la VPN del ZLD 2.20.

Fig. – Ajustes Avanzados de la Fase 1


Pág. 207/316

5.) Del desplegable Root haremos clic derecho sobre el icono “Fase1”, y

pulsaremos en “Adicionar Fase2” para añadir una regla:

Fig. – Creación de regla de Fase 2

Asignaremos un nombre para la regla, seleccionaremos el direccionamiento IP de la sede remota (en el ejemplo 192.168.1.1 / 255.255.255.0), y los mismos algoritmos de encriptación y autenticación configurados en las opciones del “VPN Connection” del ZLD 2.20. Y pulsamos sobre “Guardar & Aplicar” para guardar la configuración. Para ver la mensajería pulsamos sobre el icono “Consola ” del panel izquierdo:

Fig. – Configuración de la regla de Fase 2


Pág. 208/316

6.) Si pulsamos sobre el botón “Abrir Túnel” veremos en la mensajería cómo

se empiezan a transmitir la petición de establecimiento del túnel, y las respuestas recibidas desde el ZLD 2.20

Fig. – Consola de Logs, y apertura de túnel

Fig. – Logs resultantes del establecimiento del túnel VPN

El icono del ZyWALL IPSec VPN Client, ubicado en el área de notificación, ha pasado a color verde indicando que el túnel ha quedado establecido:

Fig. – Icono en verde indicando túnel establecido


Pág. 209/316

7.) Desde el PC con el software ZyWALL IPSec VPN Client tendremos

conectividad con la LAN remota del ZLD 2.20 y los host conectados en la LAN:

Fig. – Verificación de conectividad con sede remota


Pág. 210/316

12.3. VPN Inbound & Outbound traffic

Fig. – Escenario de ejemplo

12.3.1. Dirección Origen en paquetes Outbound (Outb ound Traffic, Source NAT) Esta traducción de direcciones IP permite al ZyWALL enrutar paquetes desde ordenadores que no forman parte de la red local especificada (local policy) a través del IPSec SA. En el escenario de ejemplo, tendríamos que realizar una traducción de direcciones para hacer que el ordenador M pueda establecer una conexión con cualquier ordenador de la red remota B. Si no lo configuramos, el router remoto IPSec no podría enrutar los mensajes del ordenador M a través del IPSec SA debido a que la dirección IP de M no forma parte de la política local. Para configurar este NAT, tenemos que especificar la siguiente información: • Source – la dirección origen original; lo mejor sería indicar la subred del PC M. • Destination – la dirección destino original; la red remota (B). • SNAT – la dirección origen traducida; la red local (A). 12.3.2. Dirección Origen en paquetes Inbound (Inbou nd Traffic, Source NAT) Se puede hacer esta traducción de direcciones si queremos cambiar la dirección origen en la red remota. Para realizar este NAT, tenemos que especificar la siguiente información: • Source – la dirección origen original; la red remota (B). • Destination – la dirección destino original; la red local (A).


Pág. 211/316

• SNAT – la dirección origen traducida; una dirección IP diferente (rango de direcciones) para ocultar la dirección origen original. 12.3.3. Dirección Destino en paquetes Inbound (Inbo und Traffic, Destination NAT) Se puede hacer esta traducción si queremos que el ZyWALL envíe varios paquetes desde la red remota a un ordenador específico en la red local. Por ejemplo, en el escenario de ejemplo, queremos enviar un mail desde la red remota hacia el servidor mail en la red local (A). Tenemos que especificar una o más reglas cuando configuremos este tipo de NAT. El ZyWALL verificará estas reglas, al igual que si fueran reglas de firewall. La primera parte de estas reglas definen las condiciones en las que las reglas son aplicadas: • Original IP – la dirección destino original; la red remota (B). • Protocol – el protocolo [TCP, UDP, o ambos] usados por el servicio que solicita la conexión. • Original Port – el Puerto destino original o rango de puertos destino; en el escenario de ejemplo, debería ser el puerto 25 para SMTP. La segunda parte de estas reglas controlan la traducción cuando se ha alcanzado la condición especificada: • Mapped IP – la dirección destino traducida; en el escenario de ejemplo, la dirección IP del servidor mail en la red local (A). • Mapped Port – el Puerto destino traducido o rango de puertos destino. Tanto el rango de puertos original como el rango de puertos traducidos deben de tener el mismo tamaño.


Pág. 212/316

12.4. VPN Concentrator La funcionalidad VPN Concentrator nos va a permitir reducir la complejidad de la configuración cuando existen varias delegaciones. Además esta reducción del número de reglas también nos prevendrá de los posibles errores de realizar una configuración manual.

12.4.1. Topología de la Red En este ejemplo vamos a disponer de 3 sedes las cuales queremos interconectar por medio de túneles VPN. La topología de red es en estrella, partiendo de una sede Central la cuál llevará un ZyWALL USG de mayor capacidad que el resto de las delegaciones.

Fig. – Esquema con la Topología a realizar

Cómo podemos ver en la figura, en cada sede se ha definido un direccionamiento IP específico para que no se solapen. Una vez definida el direccionamiento IP vamos a pasar a configurar los interfaces LAN y WAN en cada ZyWALL, así como la creación del Túnel1 entre la delegación BO1 y la sede central; y la creación del Túnel2 entre la delegación B02 y la sede central.


Pág. 213/316

Para finalizar, desde la sede central crearemos el VPN Concentrator que nos permitirá que la delegación B01 y la B02 tengan comunicación entre sí a través de la sede central.

12.4.2. Configuración en la delegación B01 Una vez visto el esquema de la conexión que queremos realizar, vamos a pasar a la configuración paso a paso de la delegación B01. Lo primero será configurar los interfaces LAN y WAN con el direccionamiento IP que indicamos en el esquema de la topología de red.

Fig. – Configuración de interfaces LAN y WAN en la delegación B01

Crearemos unos objetos de tipo “Address” de tipo subred para indicar las subredes de la delegación B02 y la sede central HQ.

Fig. – Creación de Objetos en la delegación B01

También crearemos un objeto de tipo “Address Group” que tenga como miembros los dos objetos anteriormente creados.

Fig. – Creación de Objeto Grupo en la delegación B01


Pág. 214/316

Una vez creados los objetos pasamos a la configuración VPN IPSec, para ello creando la regla correspondiente en el VPN Gateway, en el VPN Connection y el Policy Route.

Fig. – Configuración del VPN Gateway en la delegación B01

Fig. – Configuración del VPN Connection en la delegación B01

Fig. – Configuración del Policy Route en la delegación B01

Con esto ya hemos acabado con la configuración en la delegación B01. Ahora vamos a proceder a realizar los mismos pasos para configurar la delegación B02.


Pág. 215/316

12.4.3. Configuración en la delegación B02 Para configurar la delegación B02 vamos a seguir los mismos pasos que realizamos en la configuración de la delegación B01. Lo primero será configurar los interfaces LAN y WAN con el direccionamiento IP que indicamos en el esquema de la topología de red.

Fig. – Configuración de interfaces LAN y WAN en la delegación B02

Crearemos unos objetos de tipo “Address” de tipo subred para indicar las subredes de la delegación B02 y la sede central HQ.

Fig. – Creación de Objetos en la delegación B02


Fig. – Creación de Objeto Grupo en la delegación B01


Pág. 216/316

Una vez creados los objetos pasamos a la configuración VPN IPSec, para ello creando la regla correspondiente en el VPN Gateway, en el VPN Connection y el Policy Route.

Fig. – Configuración del VPN Gateway en la delegación B02

Fig. – Configuración del VPN Connection en la delegación B02

Fig. – Configuración del Policy Route en la delegación B02

Con esto ya hemos acabado con la configuración en la delegación B02. Ahora vamos a proceder a configurar la sede central HQ.


Pág. 217/316

12.4.4. Configuración en la sede central HQ La configuración a desarrollar sobre la sede central HQ va a ser similar a la configuración anteriormente realizada sobre las delegaciones. Lo primero será configurar los interfaces LAN y WAN con el direccionamiento IP que indicamos en el esquema de la topología de red.

Fig. – Configuración de interfaces LAN y WAN en la sede central HQ

Crearemos unos objetos de tipo “Address” de tipo subred para indicar las subredes de la delegación B01 y la delegación B02.

Fig. – Creación de Objetos en la sede central HQ


Fig. – Creación de Objeto Grupo en la sede central HQ


Pág. 218/316

Una vez creados los objetos pasamos a la configuración VPN IPSec, para ello creando la regla correspondiente en el VPN Gateway, en el VPN Connection y el Policy Route. La única diferencia con respecto a los pasos realizados en las delegaciones será que habrá que crear sobre la sede central HQ una regla para cada delegación en cada apartado. Así en el VPN Gateway crearemos dos reglas, en el VPN Connection crearemos dos reglas, y en el Policy Route crearemos también dos reglas.

Fig. – Configuración del VPN Gateway en la sede central HQ

Fig. – Configuración del VPN Connection en la sede central HQ

Fig. – Configuración del Policy Route en la sede central HQ

Con todo esto la configuración VPN realizada sobre la sede central HQ habría quedado realizada, y podemos ver el estado de las conexiones VPN en el “SA Monitor”

con Next-Hop el túnel1; y crear en B02 una regla de policy route con origenB02_subnet y destino B01_subnet con Next-Hop el túnel2.

en B01 una regla de policy route con origen B01_subnet y destino B02_subnete central HQ; así como crear


Pág. 219/316

Fig. – Visualización de las conexiones VPN activas por el equipo de la sede central HQ

De esta forma desde un ordenador ubicado en la sede central HQ se puede tener acceso a través del túnel VPN a ordenadores ubicados en la delegación B01 y a ordenadores ubicados en la delegación B02. Pero los ordenadores ubicados en la delegación B01 no tendrán acceso a los equipos de la delegación B02, así como los ordenadores ubicados en la delegación B02 no tendrán acceso a los equipos de la delegación B01.

Fig. – Visualización de las conexiones VPN activas por el equipo de la sede central HQ

Si queremos que haya comunicación entre el Host B y el Host C tendremos que realizar el VPN Concentrator en el equipo de la sed


Pág. 220/316

12.4.5. VPN Concentrator en la sede central HQ Para que los equipos de la delegación B01 tengan acceso a los equipos de la delegación B02 vía sede central HQ haremos uso de la funcionalidad VPN Concentrator. Para ello vamos a crear una regla en la pestaña Concentrator de la VPN IPSec y pondremos como miembros los dos túneles anteriormente creados.

Fig. – Añadir una regla de configuración Concentrator en el equipo de la sede central HQ

Fig. Añadimos túneles existentes como miembros del VPN Concentrator

Fig. – Funcionalidad del VPN Concentrator


Pág. 221/316

12.5. LOGs IKE En este apartado vamos a mostrar los LOGs que aparecen cuando se negocian los parámetros configurados para levantar el túnel.

12.5.1. Túnel Abierto sin problemas

Fig. – Logs de la creación correcta de un túnel IPSec VPN

Este es un log de una VPN que se ha creado satisfactoriamente. Podemos ver 6 paquetes que han sido transmitidos y 4 recibidos en negociación “Main Mode” Index 15 y 13: Negociación de parámetros de seguridad Index 11 y 10: Realizando el intercambio de claves Diffie Hellman Index 9 y 8: Uso de Pre-shared Key para autenticación Después de finalizar la negociación de la fase 1 satisfactoriamente, empieza la negociación de la fase 2. Index 5 y 4: Solo cuando apliquemos PFS se realizarán más intercambios de clave,<KE> . Los dos gateways VPN negocian su política VPN (campos <ID><ID>) Index 1: El túnel se ha establecido con éxito


Pág. 222/316

12.5.2. Pre-Shared Key Diferente Si la Pre-Shared Key no coincide en ambos extremos, se mostrará el siguiente mensaje de notificación INVALID_ID_INFORMATION. Si nos encontramos con este problema deberemos verificar que los dos extremos usen la misma Pre-Shared Key.

Fig. – Logs de error por PSK de la creación de un túnel IPSec VPN


Pág. 223/316

12.5.3. Identificador FQDN Diferente Si los valores de los Identificadores FQDN no coinciden en ambos extremos, se mostrará el siguiente mensaje de notificación Phase 1 ID mismatch, además del mensaje INVALID_ID_INFORMATION. Si nos encontramos con este problema deberemos verificar que los dos extremos usen los mismos valores de Identificadores FQDN.

Fig. – Logs de error por FQDN de la creación de un túnel IPSec VPN

12.5.4. Desajuste Fase 1 Si parámetros de la Fase 1, como los de autenticación o encriptación no coinciden en ambos extremos, el mensaje de error mostrado será NO_PROPOSAL_CHOSEN. Si nos encontramos con este problema, deberemos verificar que los dos extremos usen los mismos parámetros de autenticación y encriptación.

Fig. – Logs de error en la Fase 1 de la creación de un túnel IPSec VPN


Pág. 224/316

12.5.5. Desajuste Fase 2 (Autenticación / Encriptac ión) Si parámetros de la Fase 2, como los de autenticación o encriptación no coinciden en ambos extremos, tras la creación de la Fase 1 el mensaje de error mostrado será NO_PROPOSAL_CHOSEN. Si nos encontramos con este problema, deberemos verificar que los dos extremos usen los mismos parámetros de autenticación y encriptación.

Fig. – Logs de error en la Fase 2 en la creación de un túnel IPSec VPN

12.5.6. Desajuste Fase 2 (Direccionamiento IP) Si los parámetros de direcciones IP no coinciden en ambos extremos, las conexiones IKE fallarán en la Fase 2, y el mensaje de error mostrado será la notificación INVALID_ID_INFORMATION. Si nos encontramos con este problema, deberemos verificar que los dos extremos usen los mismos parámetros de direccionamiento IP.

Fig. – Logs de error de Direccionamiento IP en la Fase 2 en la creación de un túnel IPSec VPN


Pág. 225/316

12.6. SSL VPN El túnel VPN de tipo SSL permite a los usuarios utilizar un navegador web para loguearse remotamente y accede a los recursos locales. Los usuarios remotos no necesitan disponer de un router VPN o software cliente VPN. Modos de trabajo del túnel SSL Existen dos modos de trabajo del túnel SSL: Reverse Proxy, y Full Tunnel. En el modo reverse proxy , el ZyWALL se comporta como un proxy que actúa en nombre de los servidores locales de la red (como servidores web o mail). Como destino final, el ZyWALL parece ser el servidor hacia los usuarios remotos. Esto proporciona una capa añadida de protección para tus servidores internos. Con el modo reverse proxy, los usuarios remotos pueden fácilmente acceder a cualquier aplicación basada en web en la red local con tan sólo clicar unos enlaces o introduciendo las URLs proporcionadas por el administrador de red.

Fig. – SSL VPN en modo reverse proxy

En el modo full tunnel , se crea una conexión virtual en el PC de los usuarios remotos con un direccionamiento IP privado en la misma subred que la red local. Esto les permite acceder a los recursos de la red de la misma forma que si ellos formaran parte de la red interna.

Fig. – SSL VPN en modo full tunnel


Pág. 226/316

Políticas de acceso SSL (SSL Access Policy) La política de acceso SSL permite al ZyWALL realizar las siguientes tareas: • Aplicar sobre los PCs de los usuarios requeridos el chequeo de Endpoint Security (EPS) para que cumpla con las políticas corporativas definidas antes de que puedan acceder al túnel SSL VPN. • Limitar a los usuarios accede a aplicaciones específicas o archivos en la red. • Permitir a los usuarios accede a redes específicas. • Asignar direccionamiento IP privado y proporcionar información del servidor DNS/WIN a los usuarios remotos para acceder a las redes internas.

12.6.1. Creación de Túnel SSL

12.6.1.1. Configuración en el ZyWALL Para configurar la SSL VPN nos desplazamos hasta el menú Configuration > VPN > SSL VPN. En la pestaña “Access Privilege” crearemos una nueva regla.

Fig. – Añadir Regla de Configuración SSL

Nos aparecerá una ventana con varios campos de configuración para esta política de acceso vía VPN SSL. En el apartado Configuration podemos indicar un nombre para esta regla; y mediante la activación de “Join to SSL_VPN Zone” podemos hacer que las reglas asociadas a la zona SSL_VPN se apliquen también a nuestra regla; y mediante “Clean browser cache when logs out” podemos limpiar las cookies, historial, y los archivos temporales de Internet de la caché del usuario logado cuando abandone la sesión SSL VPN. En el apartado User/Group podemos seleccionar los objetos con la información de los usuarios o grupos de usuario que harán uso de esta regla.


Pág. 227/316

Fig. – Configuración regla SSL VPN

En el apartado Endpoint Security EPS podemos forzar que los PCs de los usuarios que se vayan a conectar por SSL VPN cumplan con los requisitos de seguridad que indiquemos. En el apartado SSL Application List podemos seleccionar las aplicaciones a las que tendrán acceso los usuarios del SSL VPN mediante objetos. Los objetos posibles serían de tipo File Sharing (FTP), y aplicaciones Web (Web Server, OWA, VNC, RDP, Weblink).

Fig. – Configuración regla SSL VPN


Pág. 228/316

Si queremos configurar el modo Full Tunnel, en el apartado Network Extension habilitaremos la casilla “Enable Network Extension” y asignaremos un “IP Pool”. Y en el “Network List” asignaremos la red interna del ZyWALL como miembro del túnel. De esta forma, cuando el usuario se conecte mediante túnel SSL se le añadirá un interfaz de red virtual. Dicha conexión de red virtual tendrá una dirección IP comprendida en el rango configurado (en el ejemplo 8.1.1.33 a 8.1.1.50), y tendrá acceso a la subred del ZyWALL (en el ejemplo 192.168.1.0).

Fig. – Configuración SSL VPN (Network Extension)

En la pestaña “Global Setting ” podremos editar los mensajes de bienvenida y salida, así como cambiar el logotipo mostrado en el portal cautivo de la aplicación SSL VPN.

Fig. – Configuración SSL VPN (Global Setting)


Pág. 229/316

En el sumario del estado de los interfaces que aparece en el podremos comprobar la dirección IP pública que tiene el ZyWALL, y así acceder desde el exterior a dicha IP pública utilizando un navegador web.

Fig. – Comprobación de la IP de WAN

12.6.1.2. Acceso desde el Exterior Desde un PC con acceso a Internet verificaremos la dirección IP que tenemos configurada. Para ello abrimos una ventana de símbolo de sistema e introducimos el comando “ipconfig”. Tenemos que cerciorarnos que nos encontramos en una subred diferente a la interna del ZyWALL (en el ejemplo diferente a 192.168.1.0).

Fig. – Comprobación de la configuración IP

Abrimos un navegador web como puede ser el Intenet Explorer o Mozilla, y escribimos la dirección IP Pública del ZyWALL. Nos aparecerá una ventana indicando que hay un problema con el certificado de seguridad de este sitio web. Pulsaremos sobre la opción “Vaya a este sitio web”.


Pág. 230/316

Fig. – Acceso al ZyWALL desde Internet

Ahora nos aparecerá una ventana solicitando datos de acceso. Escribiremos el nombre de usuario y contraseña miembros de la configuración SSL creada en el ZyWALL (en este ejemplo nombre de usuario “Usuario” y contraseña “zyxel”, y pulsaremos sobre el botón “SSL VPN” para acceder con este usuario y establecer el túnel SSL.

Fig. – Acceso al túnel SSL VPN desde Internet

Si el PC desde donde estamos accediendo no dispone de una versión de Java igual o superior a la 1.4, se nos mostrará la siguiente ventana indicando que descarguemos de Internet e instalemos la versión más actualizada de Java para poder continuar.


Pág. 231/316

Fig. – Notificación de necesidad de tener instalado Java Runtime Environment

Una vez tengamos instalado Java, tendremos que cerrar el navegador web para que la próxima vez aparezcan los cambios. Al acceder nuevamente, el ZyWALL intentará instalar el cliente SecuExtender, por lo que habría que permitir el control ActiveX en el PC pulsando en la barra amarilla en la parte superior de la ventana que nos aparezca.

Fig. – Permitir pop-up para proceder con la instalación del activeX del ZyWALL SecuExtender


Pág. 232/316

Si permitimos el control ActiveX, nos aparecerá una ventana indicando si queremos instalar o no el software ZyWALL SecuExtender. Pulsaremos sobre el botón “Install”.

Se pedirá una confirmación para ejecutar la aplicación ssltun. Pulsaremos en el botón “Run” para proseguir con el proceso de instalación.

Por último se mostrará un asistente para instalar el cliente SecuExtender en nuestro PC. El software “ZyWALL SecuExtender” nos creará el interfaz de red virtual en nuestro PC con el que nos conectaremos a la red local del ZyWALL USG.


Pág. 233/316

Si se muestra una ventana como la siguiente, pulse sobre el botón “Continue Anyway” para finalizar la instalación del cliente SecuExtender.

A continuación se verá el proceso de carga del ZyWALL SecuExtender:

Fig. – Carga del ZyWALL SecuExtender

Una vez se haya acabado el proceso de carga, podremos ver la ventana de bienvenida. Observamos que en la barra de tareas de Windows ha aparecido una nueva conexión de área local.


Pág. 234/316

Fig. – Nuevo Interfaz de Área Local

Una vez que pulsemos sobre OK, podremos acceder a las Aplicaciones Web configuradas en la regla del túnel SSL del ZyWALL.

Fig. – Acceso a Aplicaciones WEB


Pág. 235/316

También podremos acceder a las carpetas del FTP configuradas en la regla del túnel SSL del ZyWALL.

Fig. – Acceso a Aplicaciones FTP

Del mismo modo, podemos comprobar que tenemos acceso a la red LAN interna del ZyWALL tras la creación de la nueva conexión de área local virtual. En el ejemplo comprobamos las direcciones IP asignadas a nuestro PC, y realizaremos una prueba de conexión contra un PC conectado directamente en la LAN del ZyWALL.


Pág. 236/316

Fig. – Comprobación de conectividad con la Red Remota


Pág. 237/316

12.6.2. Accediendo a la subred remota de un túnel I PSec VPN a través de clientes SSL VPN

12.6.2.1. Escenario de Aplicación El ZyWALL USG está ubicado en la sede Central (HQ). Una delegación (Branch) ha establecido un túnel IPSec VPN con la sede Central. La subred local de la delegación se puede comunicar con la red de la sede Central a través del túnel VPN establecido. Los clientes SSL VPN construirán un túnel SSL VPN full tunnel contra la sede Central para acceder a los recursos locales de la subred de la sede Central. Así mismo, los clientes SSL VPN accederán a los recursos locales de la subred de la delegación mediante la conexión SSL VPN full tunnel a la sede Central, y desde ahí vía túnel IPSec VPN a la delegación.

Fig. – Escenario de Ejemplo

Vamos a asumir el siguiente direccionamiento IP: Sede Central (HQ): WAN: 172.25.27.126 LAN: 192.168.1.0/24 Rango del SSL VPN: 10.0.0.1~10.0.0.10 Delegación (Branch): WAN: 172.25.27.99 LAN: 192.168.10.0/24


Pág. 238/316

12.6.2.2. Guía de configuración 1.1. Basándose en que el ZyWALL de la delegación es un USG

1.1.1. Configuración del USG en HQ : 1.) Nos vamos al menú Configuration > Object > Address , y añadimos

dos objetos de tipo address.

El primero lo llamamos ssl_pool (range 10.0.0.1~10.0.0.10), el otro será la subred de la delegación, subnet_branch(192.168.10.0/24)

Fig. – Creación de Objetos de tipo Address

2.) Nos vamos al menú Configuration > Object > User/Group , y añadimos una cuenta para el usuario SSL VPN. Por ejemplo “test” con contraseña “123456”.

Fig. – Creación de Objetos de tipo User

3.) Nos vamos al menú Configuration > VPN > SSL VPN > Access Priviledge , y añadimos una regla SSL VPN. Habilitamos el Network Extension Full tunnel, y en el apartado Network List hacemos uso del objeto subnet_branch que habíamos creado.


Pág. 239/316

Fig. – Configuración de la política SSL VPN

4.) Nos vamos al menú Configuration > VPN > IPSec VPN > VPN

Gateway , y añadimos una regla de Fase1 hacia la delegación.

Fig. – Creación de regla Fase1 en VPN Gateway


Pág. 240/316

Nos vamos al menú Configuration > VPN > IPSec VPN > VPN Connection , y añadimos una regla de Fase2 hacia la delegación. Teniendo en cuenta como política local 192.168.1.0, y como política remota 192.168.10.0

Fig. – Creación de regla Fase2 en VPN Connection

5.) Nos vamos al menú Configuration > Network > Routing > Policy

Route , y añadimos una política de rutas para enrutar el tráfico SSL VPN hacia el túnel IPSec VPN denominado to_branch. Este tráfico se corresponde al enviado desde el cliente SSL VPN hacia la subred local de la delegación. Source : ssl_pool (10.0.0.1~10.0.0.10) Destination : subnet_branch (192.168.10.0/24) Next Hop : IPSec VPN tunnel to_branch SNAT: none

Fig. – Configuración de regla Policy Route


Pág. 241/316

1.1.2. Configuración del USG en Branch (delegación) :

1.) Nos vamos al menú Configuration > Object > Address , y añadimos dos objetos de tipo address. Uno será subnet_HQ (192.168.1.0/24), y el otro ssl_pool (10.0.0.1~10.0.0.10).

Fig. – Creación de Objetos de tipo Address

2.) Nos vamos al menú Configuration > VPN > IPSec VPN > VPN

Gateway , y añadimos una regla de Fase1 hacia HQ.

Fig. – Creación de regla de Fase1 en VPN Gateway

Nos vamos al menú Configuration > VPN > IPSec VPN > VPN Connection , y añadimos la regla de Fase2 hacia HQ. Teniendo en cuenta como política local 192.168.10.0, y como política remota 192.168.1.0

Fig. – Creación de regla de Fase2 en VPN Connection


Pág. 242/316

3.) Nos vamos al menú Configuration > Network > Routing > Policy

Route , y añadimos una policy route para enrutar el tráfico SSL VPN (desde la subred local hacia el cliente SSL VPN) de vuelta hacia el túnel IPSec VPN.

Source : LAN1_Subnet (192.168.10.0/24) Destination : ssl_pool (10.0.0.1~10.0.0.10) Next Hop : IPSec VPN tunnel to_HQ SNAT: none

Fig. – Creación de regla de Policy Route

Para finalizar la configuración en los USG HQ y Branch, el usuario puede verificar el resultado. Para ello levantamos el túnel IPSec VPN.

Fig. – Levantamiento de túnel VPN

1.1.3. El cliente SSL establece un full tunnel haci a el USG HQ :



Pág. 243/316

El cliente SSL VPN puede acceder tanto a los recursos de la sede Central (HQ 192.168.1.0/24 y 192.168.2.0/24), como a los recursos de la delegación (Branch 192.168.10.0/24)



Pág. 244/316

1.2. Basándose en que el ZyWALL de la delegación es un ZyWALL

ZyNOS 1.2.1. Configuración del USG en HQ :

1.) Nos vamos al menú Configuration > Object > Address , y añadimos

dos objetos de tipo address. El primero lo llamamos ssl_pool (range 10.0.0.1~10.0.0.10), el otro será la subred de la delegación, subnet_branch(192.168.10.0/24)

Fig. – Creación de objetos de tipo Address

2.) Nos vamos al menú Configuration > Object > User/Group , y añadimos

una cuenta para el usuario SSL VPN. Por ejemplo “test” con contraseña “123456”.

Fig. – Creación de objeto de tipo User

3.) Nos vamos al menú Configuration > VPN > SSL VPN > Access Priviledge , y añadimos una regla SSL VPN. Habilitamos el Network Extension Full tunnel, y en el apartado Network List hacemos uso del objeto subnet_branch que habíamos creado.


Pág. 245/316

Fig. – Configuración de regla SSL VPN

4.) Nos vamos al menú Configuration > VPN > IPSec VPN > VPN Gateway , y añadimos una regla de Fase1 hacia la delegación.

Fig. – Creación regla de Fase1 desde VPN Gateway


Pág. 246/316

Nos vamos al menú Configuration > VPN > IPSec VPN > VPN Connection , y añadimos dos reglas de Fase2 hacia la delegación. La primera regla de HQ a Branch, utilizando como Local Policy 192.168.1.0, y como Remote policy 192.168.10.0 La segunda regla desde el cliente ssl vpn hacia Branch, utilizando como Local policy 10.0.0.1 ~10.0.0.10, y como Remote policy 192.168.10.0

Fig. – Creación de regla Fase2 desde VPN Connection

1.2.2. Configuración del ZyWALL ZyNOS en Branch :

1.) Nos vamos al menú Security > VPN > VPN Rules(IKE) , y añadimos una

regla de Fase1 hacia HQ.

Fig. – Creación de regla Fase1 desde Gateway Policy

Y añadimos dos reglas de Fase2. Una para el tráfico desde Branch hacia HQ utilizando como Local policy 192.168.10.0 y Remote policy 192.168.1.0 La otra regla será para el tráfico desde Branch hacia el cliente ssl vpn, utilizando como Local policy 192.168.10.0 y como Remote policy 10.0.0.1~10.0.0.10


Pág. 247/316

Fig. – Creación de regla Fase2 desde Network Policy

2.) Después de realizar la configuración anterior tanto en el USG de HQ

como en el ZyWALL ZyNOS de Branch, podemos verificar si el cliente SSL VPN tiene acceso a los recursos de estas sedes. El cliente SSL establecerá un full tunnel hacia el USG de HQ.

Fig. – Establecimiento del túnel SSL desde el PC remoto

El cliente SSL VPN tendrá acceso tanto a los recursos locales del USG HQ (subredes 192.168.1.0/24 y 192.168.2.0/24), y a los recursos locales del ZyWALL ZyNOS (subred 192.168.10.0/24).


Pág. 248/316



Pág. 249/316

12.7. L2TP VPN Consideraciones previas del túnel L2TP VPN de ZyXEL:

- Sólo soporta la versión 2 del L2TP. - Sólo soporta Autenticación PPP PAP. - Sólo soporta Modo Voluntario. - Soporta Clientes L2TP detrás de NAT. - Soporta al ZyWALL como NAT y Servidor L2TP al mismo tiempo. - No soporta L2TP Puro. - No soporta al ZyWALL actuando como servidor L2TP detrás de NAT. - No soporta al ZyWALL para que actúe como Cliente L2TP.

Este ejemplo usa las siguientes opciones en la creación de un túnel básico L2TP VPN.

Fig. – Topología de red del ejemplo de túnel L2TP VPN

• El ZyWALL tiene la dirección IP estática 172.16.1.2 para el interfaz

WAN1. • El usuario remoto tiene una dirección IP pública dinámica y se conecta a

través de Internet. • Se ha configurado un objeto de tipo address llamado L2TP_POOL para

asignar a los usuarios remotos IPs desde la 192.168.10.10 a la 192.168.10.20 y usarlas en el túnel L2TP VPN.

• La regla VPN permite a los usuarios remotos acceder al LAN_SUBNET que cubre toda la subred 192.168.1.x.


Pág. 250/316

12.7.1. Configurando el Default L2TP VPN Gateway

1 Pulsa en VPN >Network > IPSec VPN > VPN Gateway para abrir la pantalla con la lista de los VPN gateways. Pulsa en Default_L2TP_VPN_GW y el icono Edit .

Fig. – Configuración del Default_L2TP_VPN_GW

• Configure la opción My Address . Este ejemplo usa el interfaz WAN1

con la dirección IP estática 172.16.1.2/255.255.255.0

• Seleccione Pre-Shared Key y configure una contraseña. En este ejemplo vamos a utilizar la contraseña top-secret . Pulse en OK.

2 Pulsa en el icono Enable de la configuración Default_L2TP_VPN_GW y pulsa sobre Apply para salvar los cambios.

Fig. – Activar la regla creada


Pág. 251/316

12.7.2. Configurando el Default L2TP VPN Connection

1 Pulse en VPN > Network > IPSec VPN para abrir la pantalla que muestra la lista de VPN connections. Pulsa sobre el icono Edit del Default_L2TP_VPN_Connection .

Fig. – Configuración del Default_L2TP_VPN_Connection

2 En la sección VPN Gateway seleccionamos el Application Scenario “Remote Access (Server Role). Y seleccionamos del desplegable de VPN Gateway, la regla de VPN Gateway “Default_L2TP_VPN_GW . Para el Local Policy , crea un objeto de tipo address que use el tipo host y contenga la dirección IP del interface WAN1 (172.16.1.2), y llamaremos este objeto como L2TP_IFACE .

3 Haz click sobre el icono Enable del Default_L2TP_VPN_Connection y para acabar pulsa sobre Apply para salvar los cambios.


Pág. 252/316

Fig. – Activar la regla creada

12.7.3. Configurando las opciones del L2TP VPN

1 Haz click sobre VPN > L2TP VPN para abrir la pantalla siguiente.

Fig. – Configuración del L2TP VPN

2 Configure los siguientes pasos: • Habilite la conexión mediante la casilla Enable L2TP Over IPSec . • Seleccione Default_L2TP_VPN_Connection en el VPN

Connection. • Configure un objeto IP address pool para el rango 192.168.10.10

a 192.168.10.20. En este caso hemos llamado al objeto L2TP_POOL .


Pág. 253/316

• En este ejemplo se usa el método de autenticación por defecto (la

base de datos de usuarios locales del ZyWALL). • Selecciona el usuario o grupo de usuarios que puedan usar el

túnel. En el ejemplo se ha creado una cuenta de usuario denominada L2TP-test .

• El resto de campos se dejarán con su configuración por defecto, y pulse en Apply .

12.7.4. Configurando la Policy Route para L2TP

1 Haz click en Configuration > Routing > Add para abrir la siguiente pantalla.

Fig. – Configuración del Policy Route

2 Configure los siguientes pasos:

• Habilite el policy route. • Seleccione en el Source Address el objeto con la información de

la red local a la que pueden tener acceso los usuarios remotos (LAN_SUBNET in este ejemplo).

• Seleccione en el Destination Address el objeto con la información del pool que el ZyWALL asignará a los usuarios remotos (L2TP_POOL in este ejemplo).

• Seleccione como next hop el túnel VPN Default_L2TP_VPN_Connection . Pulse sobre OK.


Pág. 254/316

12.7.5. Configurando L2TP VPN en Windows 7 En esta sección vamos a ver un ejemplo de la configuración L2TP a efectuar sobre un PC con Windows 7.

1 En Windows 7 accedemos al Centro de redes y recursos compartidos .

Fig. – Abrir Centro de redes y recursos compartidos

2 Pulsamos sobre Crear nueva conexión de red.

Fig. – Crear una nueva conexión de red


Pág. 255/316

3 Pulsamos sobre Conectarse a un lugar de trabajo

Fig. – Conectarse a un lugar de trabajo

4 Seleccionamos Usar mi conexión de Internet (VPN)

Fig. – Usar mi conexión de Internet (ya creada)


Pág. 256/316

5 Introducimos la dirección IP remota o nombre DNS , y el nombre que le

vamos a dar a nuestra conexión L2TP. Así mismo marcamos la última casilla para que no se conecte ahora mismo.

Fig. – Dirección IP remota y nombre de la conexión L2TP que queramos

6 Introducimos un nombre de usuario y contraseña permitidos en el USG para la conexión L2TP. Y pulsamos en crear, y cerramos la ventana.

Fig. – Credenciales de acceso al túnel L2TP


Pág. 257/316

7 Desde el Centro de redes y recursos compartidos , pulsamos sobre el

botón Conectarse a una red , y pulsamos con el botón derecho sobre la conexión que acabamos de crear y pulsamos en Propiedades .

Fig. – Propiedades de la conexión L2TP

8 En la pestaña Seguridad , seleccionamos Cifrado opcional (conectar incluso sin cifrado) y marcamos la opción Permitir estos protocolos . Seleccione Contraseña no cifrada (PAP) y deshabilite el resto de casillas. Pulsamos en Opciones Avanzadas .

Fig. – Configuración de la pestaña Seguridad


Pág. 258/316

9 Seleccionamos Utilizar Llave Pre-Compartida para la Autenticación ,

e introducimos la clave ya indicada en el ZyWALL USG.

Fig. – Introducción de la Pre-Shared Key configurada en el USG

10 En la pestaña Redes, deseleccionamos la casilla Compartir impresoras y archivos para redes Microsoft , y pulsamos en OK.

Fig. – Desmarcar Compartir Impresoras y archivos para redes Microsoft


Pág. 259/316

11 Para finalizar, volvemos a ejecutar la conexión L2TP e introducimos el

nombre de usuario y contraseña para realizar la conexión.

Fig. – Seleccionamos la conexión y pulsamos en Conectar

Fig. – Introducción de las credenciales de acceso


Pág. 260/316

12 Nos aparecerá un proceso de autenticación que finalizará indicando que

nos hemos conectado con éxito.

Fig. – Indicación de túnel L2TP establecido con éxito

13 En el área de conexión nos aparecerá la conexión L2TP junto a la conexión de área local que ya teníamos.

Fig. – Nueva conexión de red


Pág. 261/316

14 Si consultamos el estado de la conexión “L2TP to ZyWALL ” que

tenemos establecida, veremos el direccionamiento IP que hemos obtenido del objeto L2TP_POOL del ZyWALL USG:

Fig. – Direccionamiento IP de la nueva conexión de red obtenido del L2TP_POOL

15 Acceda al servidor o cualquier otro recurso de la red detrás del ZyWALL

para asegurar y confirmar que tu acceso mediante L2TP VPN funciona.


Pág. 262/316

12.7.6. Configurando L2TP VPN en Windows XP La sección siguiente muestra cómo configurar L2TP en los PCs de los usuarios remotos con Windows XP. Antes de configurar el cliente, compruebe que su ordenador está ejecutando el servicio Microsoft IPSec a través de los siguientes comandos de Windows: (Introduzca este comando incluyendo las comillas)

net start “Servicios IPSEC” En Windows XP realice los siguientes pasos para establecer la conexión L2TP VPN.

1 Pulse Inicio > Panel de Control > Conexiones de Red > Crear una conexión nueva .

2 Pulse Siguiente en la pantalla de bienvenida.

3 Seleccione Conectarse a la red de mi lugar de trabajo y pulse Siguiente .


Pág. 263/316

4 Seleccione Conexión de red privada virtual y pulse Siguiente .

5 Introduzca L2TP to ZyWALL como Nombre de la organización .


Pág. 264/316

6 Introduzca el nombre de dominio o dirección IP de WAN configurada en

My Address en la configuración del gateway VPN que el ZyWALL esté utilizando para L2TP VPN(172.16.1.2 en este ejemplo).

7 Pulse en Siguiente . Y le aparecerá la ventana de Finalización del Asistente para conexión nueva. En dicha ventana puedes crear un acceso directo al escritorio de la conexión creada. Pulse en Finalizar para crear la conexión y cerrar el asistente.


Pág. 265/316

8 La pantalla Conectarse a L2TP to ZyWALL aparecerá. Pulse en

Propiedades .

9 Pulse en la pestaña Seguridad , y seleccione Avanzada (configuración personalizada) y pulse en Configuración .


Pág. 266/316

10 Seleccione Cifrado opcional (conectar incluso sin cifrado) y marque

la opción Permitir estos protocolos . Seleccione Contraseña no cifrada (PAP) y deshabilite el resto de casillas. Haga click en OK.

11 Haga click en Configuración IPSec .


Pág. 267/316

12 Seleccione la casilla Usar clave previamente compartida al autenticar

e introduce la misma pre-shared key utilizada en la configuración VPN gateway que el ZyWALL está utilizando para la L2TP VPN (en nuestro ejemplo top-secret ). Haga click en OK.

13 Haga click en Funciones de red . Seleccione Red privada virtual (VPN) con L2TP/ IPSec como el Tipo de red privada virtual (VPN) . Haga click en OK.


Pág. 268/316

14 Introduzca el nombre de usuario y contraseña de la cuenta del ZyWALL.

Pulse en Conectar .

15 Aparecerá una ventana mostrando que se está conectado con el equipo remoto.

16 En la misma ventana también aparecerá el mensaje de comprobación de nombre de usuario y contraseña.


Pág. 269/316

17 En la misma ventana también aparecerá el mensaje de que se está

registrando su equipo en la red.

18 Si todo ha ido bien, nos aparecerá el mensaje de Autentificado.

19 Ahora en la bandeja del sistema se mostrará un nuevo icono de conexión de red, el icono L2TP to ZyWALL . Haga doble-click sobre el icono con los dos ordenadores que se ha creado para abrir la pantalla de estado.

� � � �

20 Pulse en Detalles para ver la dirección IP que ha recibido del rango L2TP que especificó en el ZyWALL (192.168.10.10-192.168.10.20).

21 Acceda al servidor o cualquier otro recurso de la red detrás del ZyWALL para asegurar y confirmar que tu acceso mediante L2TP VPN funciona.


Pág. 270/316

12.7.7. Resolución de problemas en túneles L2TP

• La sesión L2TP no se establece si el cliente L2TP e stá detrás de NAT

o Habilite el NAT-T en el L2TP VPN Gateway correspondiente

• La sesión L2TP no puede establecerse si fue activad o “ Use Policy Route to control dynamic IPSec rules ”.

o Crear una regla en el Policy Route para poner el tráfico L2TP generado localmente en el L2TP VPN Connection correspondiente.

� Si la sesión L2TP sigue sin establecerse con esta Policy Rule, verifica si el cliente L2TP y el ZyWALL están en la misma subred.

� La prioridad de ruteo de una Direct Route es más alta que la Policy Route en el flujo de ruteo del sistema operativo ZLD.

• La sesión L2TP no puede establecerse si el servidor L2TP (no

ZyWALL) está detrás de NAT (ZyWALL). o Crea un Virtual Server para enviar el tráfico IKE/ESP/NATT hacia

el servidor L2TP detrás de NAT(ZyWALL) � Port forwarding del puerto 500 UDP � Port forwarding del tráfico ESP � Port forwarding del puerto 4500 UDP

• El cliente L2TP no puede tener acceso a lo que está detrás del

ZyWALL o Crea un Policy Rule para poner el tráfico con el destino

L2TP_POOL hacia el L2TP VPN Connection correspondiente.

• El cliente L2TP no accede a Internet o Crea una Policy Route Rule para poner el tráfico L2TP desde el

L2TP VPN Connection correspondiente hacia la WAN. Ejemplo:

- Topología o L2TP Client---NAT---Internet---ZyWALL o WAN of ZyWALL: ge2(192.168.105.56) o LAN of ZyWALL: ge1(192.168.1.1) o L2TP Address Pool: 192.168.10.10 ~ 192.168.10.20

- Objetivo

o Establecer una sesión L2TP sobre IPSec o Acceder a los recursos de la LAN o Acceder a Internet


Pág. 271/316

Para un cliente L2TP detrás de NAT, habilite NAT-T en ZyWALL > VPN > IPSec VPN > VPN Gateway > Default_L2TP_VPN_GW .

Para establecer la sesión L2TP necesitamos configurar Local/Remote Policy en ZYWALL > VPN > IPSec VPN > VPN Connection > Default_L2TP_VPN_Connection

Para acceder a un recurso de LAN, cree una regla del Policy Route para poner todo el tráfico con destino L2TP_POOL hacia el L2TP VPN Connection correspondiente.

Para acceder a Internet, cree una regla del Policy Route para poner el tráfico L2TP del L2TP VPN Connection correspondiente hacia la WAN.


Pág. 272/316

13. Funcionalidad UTM

13.1. Application Patrol Con el Application Patrol podemos controlar el acceso a una serie de servicios, ya sean preconfigurados o creados por el usuario. En este ejemplo vamos a ver la configuración para limitar el acceso a las aplicaciones MSN Messenger y Edonkey (motor del Emule).

13.1.1. MSN Messenger En la barra de menús lateral pulsamos sobre “AppPatrol”. En la pestaña General tendremos que habilitar el Application Patrol. Desde esta ventana también podemos ver el estado de la licencia y la información de las firmas.

Fig. – Application Patrol (General)

Posteriormente accederemos a la pestaña “IM” (Instant Messenger) y editamos la configuración para el servicio “msn”.


Pág. 273/316

Fig. – Servicios de Mensajería Instantánea del AppPatrol

Una vez dentro, habilitaremos el servicio, y pulsaremos sobre añadir una nueva política.

Fig. – Añadir una nueva Política

En este ejemplo la política va a limitar al usuario del “PC_ZyXEL” en el horario de oficina. Dicho usuario va a tener acceso al Messenger, pero se le han limitado algunas funcionalidades del Messenger (Audio, Video, Transferencia de Ficheros). Si queremos denegar todo acceso al Messenger cambiaríamos las opciones de “Access” por “reject”.


Pág. 274/316

Fig. – Configuración de la Política para el MSN Messenger

13.1.2. Edonkey En la barra de menús lateral pulsamos sobre “AppPatrol”. En la pestaña General tendremos que habilitar el Application Patrol, y para este ejemplo habilitaremos el control de Ancho de Banda. Desde esta ventana también podemos ver el estado de la licencia y la información de las firmas.

Fig. –Application Patrol (General)


Pág. 275/316

Posteriormente accederemos a la pestaña “Peer to Peer” y editamos la configuración para el servicio “edonkey”.

Fig. – Editar las opciones del servicio edonkey

Una vez dentro, habilitaremos el servicio, y pulsaremos sobre añadir una nueva política.

Fig. – Añadir una Política

En este ejemplo la política va a limitar al usuario del “PC_ZyXEL” en el horario de oficina. A dicho usuario se le va a permitir el acceso al edonkey, aunque se le va a aplicar un control del ancho de banda. Si queremos denegar todo acceso al edonkey cambiaríamos las opciones de “Access” por “reject”.


Pág. 276/316

Fig. – Configuración de la Política para el edonkey

13.2. Anti-Virus En la barra de menús lateral pulsamos sobre “Anti-X”, y a continuación sobre “Anti-Virus”. En la pestaña General tendremos que habilitar el Anti-Virus, y añadiremos una nueva Política de configuración. Desde esta ventana también podemos ver el estado de la licencia y la información de las firmas.

Fig. – Configuración general del Anti-Virus


Pág. 277/316

Una vez que añadamos una política, tendremos que rellenar un formulario con la configuración de la misma. Dicha configuración constaría de habilitar la casilla de Activación, seleccionar los interfaces de origen y destino, los protocolos a escanear, qué acciones tomar cuando se detecta un virus. Si queremos habilitar o no la lista blanca y negra. Y si queremos que verifique los virus en los ficheros comprimidos.

Fig. – Configuración de la Política del Anti-Virus

En la pestaña “Black/White List” podemos añadir unos patrones de ficheros para indicarle al Anti-Virus que los filtre o que no los filtre. En este ejemplo hemos creado en la “White List” el patrón de fichero “Zy*.*” para que todos los ficheros que empiecen por las letras “Zy” no sean filtrados por el Anti-Virus.


Pág. 278/316

Fig. – Configuración de la Black/White List

13.3. IDP En la barra de menús lateral nos desplazamos a Configuration > Anti-X > IDP . En la pestaña General tendremos que habilitar la detección de firmas, y añadiremos una nueva Política de configuración o editaremos una existente. Desde esta ventana también podemos ver el estado de la licencia y la información de las firmas.

Fig. – Pantalla de la configuración general del IDP

En la pestaña “Profiles” podemos crear perfiles que se añadirán sobre las políticas de la pestaña “General”. Vamos a editar el perfil “LAN_IDP”.


Pág. 279/316

Fig. – Perfiles del IDP

Dentro de la configuración del perfil le daremos un nombre a este perfil, y podremos configurar una a una las acciones a tomar para cada uno de los Servicios que aparecen. Así como hacer que se generen alertas o no en el Log para luego visualizarlas.

Fig. – Configuración de un Perfil del IDP

También podemos añadir una firma personalizada para un servicio propietario que queramos limitar, e importar firmas personalizadas. Vamos a añadir una regla para nuestro servicio personalizado desde la pestaña “Custom Signatures”:

Fig. – Crear e Importar Firmas Personalizadas para IDP


Pág. 280/316

Fig. – Personalizar Firmas de IDP

13.4. ADP En la barra de menús lateral pulsamos sobre Configuration > Anti-X > ADP . En la pestaña General tendremos que habilitar la detección de anomalías, y añadiremos una nueva Política de configuración o editaremos una existente. Las Políticas están referenciadas a interfaces origen y destino, y sobre un perfil de anomalía.

Fig. – Pantalla de configuración general del ADP

Nos vamos a la pestaña “Profile” y añadimos o editamos un perfil. Al añadir el perfil nos aparecerá una ventana de selección de la base del perfil ADP. Si seleccionamos “all”, las anomalías de tráfico y protocolo se activan por defecto y generan logs alert y las acciones a tomar. Sino seleccionaremos “none”.


Pág. 281/316

Fig. – Perfiles ADP

Fig. – Selección de la Base del Perfil ADP

Configuraremos las opciones disponibles en cuanto a los Log y las Acciones a llevar cuando se de el caso para las Anomalías de Tráfico y las de Protocolo.

Fig. – Configuración de las Anomalías de Tráfico


Pág. 282/316

Fig. – Configuración de las Anomalías de Protocolo

Una vez creado el Perfil Personalizado, desde la pestaña General seleccionaremos la política a configurar y seleccionaremos el perfil personalizado que acabamos de crear:

Fig. – Aplicación del perfil personalizado


Pág. 283/316

13.5. Filtrado de Contenidos En la barra de menús lateral pulsamos sobre Configuration > Anti-X > Content Filter . En la pestaña General tendremos que habilitar el Content Filter. Opcionalmente podremos activar el “Content Filter Report Service”, que nos permitirá desde nuestra cuenta de MyZyXEL.com ver los informes y estadísticas de los accesos Web capturados por el Filtrado de Contenidos. Desde la pestaña General también podremos añadir o editar políticas de configuración, así como editar el mensaje a mostrar cuando algún usuario acceda a contenido bloqueado, y redireccionarlo a una URL. También se muestra el estado de la licencia.

Fig. – Configuración general del Filtrado de Contenidos

En la pestaña Filter Profile crearemos nuestro perfil de filtrados web pulsando en el botón Add .

Fig. – Control de Perfiles de Filtros


Pág. 284/316

La configuración de este filtro se basa en dos partes: por Categorías o Personalizado. En la configuración por Categorías disponemos de más de 55 categorías de páginas web a las que podemos limitar el acceso. Del mismo modo tenemos que seleccionar la acción a tomar cuando se de una coincidencia, y si queremos que quede registrado en los logs.

Fig. – Configuración de las Categorías a limitar el acceso

En la parte inferior podremos hacer un test de una URL para ver si está permitido su acceso o por el contrario está bloqueado.

Fig. – Test de acceso a una URL


Pág. 285/316

En la pestaña “Custom Service ”, tras habilitar el servicio, podremos restringir algunas características Web, así como introducir Websites de confianza, y Websites a bloquear. La opción “Blocked URL Keywords” nos bloqueará todas las Websites cuya URL coincida con alguna de las palabras introducidas.

Fig. – Configuración Personalizada de accesos Web

En la pestaña General de la configuración del Filtrado de Contenidos, podremos crear un perfil añadiendo la configuración de las reglas de filtrado que acabamos de crear:

Fig. – Edición de la Política de Filtrado de Contenido


Pág. 286/316

Por lo que la política creada quedaría de la siguiente forma descrita en la pestaña General del Filtrado de Contenidos:

Fig. – Listado de Políticas de Filtrado de Contenido

En el menú Monitor > Anti-X Statistics > Content Filter , podemos encontrar información y estadísticas de los accesos a las páginas Web, y el tratamiento que se ha aplicado en función del tipo de categoría bloqueada, y listas de accesos personalizadas.

Fig. – Estadísticas de utilización del Filtrado de Contenido


Pág. 287/316

13.6. Anti-Spam En la barra de menús lateral pulsamos sobre Configuration > Anti-X > Anti-Spam . En la pestaña General tendremos que habilitar el Anti-Spam, seleccionar la acción a tomar cuando se detecte correo de SPAM. Y posteriormente añadir o editar una política de configuración. La recomendación es la de dejar el correo pasar.

Fig. – Pantalla General del Anti-Spam

Si añadimos una política nos encontraremos con un formulario que nos solicita los protocolos a escanear, así como opciones de chequeo, dirección de los correos a nivel interfaz, y las acciones a llevar a cabo cuando se detecte el Spam.

Fig. – Configuración de la Política del Anti-Spam


Pág. 288/316

En la pestaña “Black/White List” podemos crear una serie de reglas, a bloquear o permitir por el Anti-Spam en función de nombres de la cabecera o IP y añadirles una etiqueta para cuando lo recibamos en nuestra bandeja de entrada de correo.

Fig. – Configuración de la Black y White List

En la pestaña DNSBL podremos habilitar un servidor externo con perfiles Anti-Spam para que filtre nuestros correos y les añada las cabeceras que configuremos. Este servicio puede ser en base a licencia o gratuitos como zen.spamhaus.org, list.dsbl.org o combined.njabl.org

Fig. – Configuración del Servidor DNSBL

Así mismo, desde el menú Monitor > Anti-X Statistics > Anti-Spam , puede encontrar en la pestaña “Report” estadísticas sobre la utilización del servicio Anti-Spam, y en la pestaña “Status” estadísticas sobre las actuaciones de los servidores DNSBL.


Pág. 289/316

Fig. – Estadísticas de la utilización del servicio Anti-Spam

Fig. – Estadísticas de la utilización de los servidores DNSBL del Anti-Spam


Pág. 290/316

14. Device HA Con la función Device HA lograremos que el ZyWALL(B) “Backup” tome el control cuando el ZyWALL(A) “Master” falle. Un switch Ethernet conecta ambos interfaces lan1 de los ZyWALL a la LAN. Sea cual sea el ZyWALL que esté funcionando como master, utiliza la dirección IP del gateway por defecto de los Ordenadores de la LAN (192.168.1.1) para el interfaz lan1 y la dirección IP pública estática (1.1.1.1) para el interfaz wan1. Si el ZyWALL A se recupera (tiene los interfaces lan1 y wan1 conectados), asumirá el rol de master y se encargará de todas sus funciones de otra vez.

Fig. – Funcionamiento del Device HA

Cada interface ge1 del ZyWALL también posee su propia IP de mantenimiento. La dirección IP de mantenimiento en el ZyWALL A es 192.168.1.3 y en el ZyWALL B es 192.168.1.5.

14.1. Antes de Empezar ZyWALL A debe de estar previamente configurado. Usaremos el device HA para copiar la configuración del ZyWALL A posteriormente sobre el ZyWALL B. Para prevenir un conflicto de direcciones IP, no conecte el ZyWALL B a la LAN hasta que hayas configurado las opciones del device HA, y los pasos de la configuración te obliguen a conectarlo.


Pág. 291/316

14.2. Configurar Device HA en el ZyWALL Master

1. Haga login en el ZyWALL A ( master ) y pulse en Device HA > Active-Passive Mode . Pulsa sobre el icono Edit del interfaz lan1 (LAN) .

2. Configure la IP 192.168.1.3 como Management IP y 255.255.255.0 como Manage IP subnet Mask . Pulse en OK.

Fig. – Configuración de IP de Mantenimiento ZyWALL Master

3. Configure el Device Role en Master . Este ejemplo está enfocado en la

conexión de la LAN (lan1 ) a Internet a través del interfaz wan1 , por lo tanto vamos a monitorizar los interfaces lan1 y wan1 . Introduce el Password de sincronización (“mySyncPassword” en este ejemplo) y pulse sobre el botón Apply .

Fig. – Configuración del ZyWALL Master


Pág. 292/316

4. Pulsa en la pestaña General . Marca la casilla Device HA y pulsa Apply .

Fig. – Habilitar Device HA en el ZyWALL Master

14.3. Configurar Device HA en el ZyWALL Backup

1. Conecta un ordenador al interfaz lan1 del ZyWALL B y logueese en el Configurador WEB. Conecte el ZyWALL B a Internet y subscríbase a los mismos servicios (filtrado de contenidos, anti-virus, …) a los que está subscrito el ZyWALL A.

2. En el ZyWALL B pulse sobre Device HA > Active-Passive Mode . Haga click en el icono Edit del interfaz lan1 (LAN).

3. Configure 192.168.1.5 como la Management IP y 255.255.255.0 como la Manage IP subnet Mask . Pulse sobre OK.

Fig. – Configuración de IP de Mantenimiento ZyWALL Backup


Pág. 293/316

4. Configure el Device Role como Backup . Monitorice los interfaces

lan1 y wan1 . Configure como Server Address la dirección 192.168.1.1, el Server Port a 21, y con el Password “mySyncPassword”. Marque la casilla Auto Synchronize y configure el Interval a 60. Pulse sobre Apply .

Fig. – Configuración del ZyWALL Backup

5. Pulsa en la pestaña General . Marca la casilla Device HA y pulsa Apply .

Fig. – Habilitar Device HA en el ZyWALL Backup


Pág. 294/316

14.4. Hacer uso del ZyWALL Backup Conecte el interface ge1 del ZyWALL B a la red LAN. Conecte el interfaz wan1 al mismo router donde el interfaz wan1 del ZyWALL A está usando el acceso a Internet. El ZyWALL B copiará la configuración del ZyWALL A (y se re-sincronizará con A cada hora). Si el ZyWALL A falla o pierde la conexión de lan1 o wan1 , el ZyWALL B funcionará como master.

14.5. Verificar la Configuración del Device HA

1. Para asegurar que el ZyWALL B copia la configuración del ZyWALL A, tienes que loguearte a través de la IP de mantenimiento del ZyWALL B (192.168.1.5) y verificar la configuración. Puedes usar la pantalla de configuración Maintenance > File Manager > Configuration File para guardar copias de los ficheros de configuración del ZyWALL para poder comparar.

2. Para testear la configuración del Device HA, desconecte el interfaz lan1 o el wan1 del ZyWALL A. Los ordenadores en la LAN deben de seguir teniendo acceso a Internet. Si no es así, verifique las conexiones y la configuración del device HA.

¡Enhorabuena! Ahora que ha configurado el device HA para la LAN, puede utilizar el mismo procedimiento para cualquier otra red local de su ZyWALL. Por ejemplo, puede habilitar el device HA monitoring sobre los interfaces DMZ y usar un switch Ethernet para conectar ambos interfaces DMZ de los ZyWALL para publicar los servidores disponibles. Escoja el interfaz dmz1 y mapéalo a la dirección IP privada 192.168.3.7 del servidor HTTP.

Fig. – Topología de red con un Servidor Público por DMZ


Pág. 295/316

14.6. Crear los Objetos de tipo “Address” Use Object > Address > Add para crear objetos de tipo address.

1. Crea un objeto de tipo address llamado DMZ_HTTP para la dirección IP privada del servidor HTTP 192.168.3.7.

Fig. – Creación de Objetos

2. Crea un objeto de tipo address llamado wan2_HTTP para la dirección

IP pública wan2 1.1.1.2.

Fig. – Creación de Objetos

14.7. Configurar un Virtual Server Necesita crear un Virtual Server para enviar el tráfico HTTP que va hacia la dirección IP 1.1.1.2 en wan2 hacia la dirección IP privada del servidor HTTP 192.168.3.7. En la pantalla Network > Virtual Server , pulse sobre el símbolo “+” y cree una nueva entrada de Virtual server como se muestra a continuación. Este Virtual Server es para el tráfico proveniente de wan2 hacia la dirección IP 1.1.1.2 (definida en el objeto wan2_HTTP ). El Virtual Server envía éste tráfico hacia la dirección IP privada del servidor HTTP 192.168.3.7 (definida en el objeto DMZ_HTTP).


Pág. 296/316

El tráfico HTTP y el servidor HTTP en este ejemplo usan el puerto TCP 80. Por lo que hay que configurar el Port Mapping Type a Port, y el Protocol Type a TCP, y el original port y mapped port a 80. En este ejemplo 1.1.1.2 no es la dirección IP por defecto para las sesiones a través de wan2 . Seleccione Add corresponding Policy Route rule for NAT 1:1 mapping para enviar las sesiones salientes del servidor HTTP a través de wan2 y usar 1.1.1.2 como la dirección IP de origen (para que coincida con la dirección IP para acceder a él). Seleccione Add corresponding Policy Route rule for NAT Loopbac k para permitir a los usuarios locales usar el nombre de dominio para acceder al servidor HTTP.

Fig. – Creación del Virtual Server

El firewall permite el tráfico desde la zona WAN a la zona DMZ por defecto, por lo que la configuración está finalizada. Ahora se puede acceder al servidor HTTP a través de la dirección IP 1.1.1.2. Si el nombre de dominio está registrado para la dirección IP 1.1.1.2, los usuarios pueden acceder al servidor web a través del nombre de dominio.


Pág. 297/316

15. Mantenimiento

15.1. Fichero de Configuración Esta es la primera pestaña de configuración dentro del menú “Maintenance”. El dispositivo ZyWALL USG tiene la capacidad de almacenar ficheros de configuración en una pequeña memoria interna. Desde esta opción podemos manejar los ficheros de configuración. Es decir, podemos descargar ficheros de configuración a un PC, copiarlos dentro de la memoria interna, renombrarlos, eliminarlos, ejecutar una configuración, y cargar ficheros desde un PC a la memoria interna del ZyWALL.

Fig. – Control de los Ficheros de Configuración

Si no existe ningún startup-config.conf cuando reinicias el ZyWALL (ya sea a través del interfaz de mantenimiento o físicamente apagando el equipo y volviéndolo a encender), el ZyWALL utiliza la configuración del fichero system-default.conf con la configuración del ZyWALL por defecto. Si existe el fichero startup-config.conf, el ZyWALL lo chequea por si tuviera errores y aplica la configuración que tenga cargada. Si no existen errores, el ZyWALL lo utiliza y realiza una copia en el fichero lastgood.conf como backup. Si se ha detectado algún error de configuración, el ZyWALL genera un log y realiza una copia en el fichero startup-config-bad.conf e intenta cargar el fichero de configuración lastgood.conf. Si no existiera el fichero lastgood.conf, el ZyWALL aplicaría el fichero de configuración system-default.conf Se puede cambiar la forma en que el fichero startup-config.conf se aplica. Añadiendo el comando “setenv-startup stop-on-error off “, el ZyWALL ignora cualquier error que se produzca en el fichero startup-config.conf y aplica todos los comandos válidos que tenga. El ZyWALL de todas formas generará un log con todos los errores.


Pág. 298/316

15.2. Firmware En este menú podremos visualizar la versión actual de firmware cargada en el ZyWALL, así como cargar una nueva versión de firmware en formato .BIN desde un PC.

Fig. – Carga del Firmware

Después de ver la pantalla con el proceso de carga de firmware, espere unos dos minutos antes de volver a loguearse en el ZyWALL.

Fig. – Pantalla con el proceso de carga del firmware

El ZyWALL automáticamente se reiniciará causando una desconexión del cable de red temporal. En algunos sistemas operativos puedes ver una el siguiente icono en tu escritorio.

Fig. – Cable de red desconectado

Después de unos cinco minutos, vuelve a loguearte y chequea la nueva versión de firmware en la pantalla HOME. Si la carga no se ha completado con éxito, el mensaje siguiente se mostrará en la parte de abajo de la barra de estado.

Fig. – Mensaje de error en la carga de Firmware


Pág. 299/316

15.3. Shell Script El dispositivo ZyWALL USG dispone de una pequeña memoria interna para almacenar los ficheros de configuración, así como Shell Scripts. El tamaño de esta memoria es diferente en cada dispositivo de la familia ZyWALL USG. Desde esta opción podemos manejar los ficheros de Shell Scripts. Es decir, podemos descargar Shell Scripts a un PC, copiarlos dentro de la memoria interna, renombrarlos, eliminarlos, ejecutarlos, y cargar nuevos Shell Scripts desde un PC a la memoria interna del ZyWALL. Los ficheros de Shell Script tienen que tener la extensión .zysh

Fig. – Control de los ficheros Shell Script

Un ejemplo de fichero de script puede ser el siguiente:

Fig. – Fichero Shell Script


Pág. 300/316

15.4. Iniciando y Apagando el ZyWALL Existen varias formas de iniciar y apagar el ZyWALL. MÉTODO DESCRIPCIÓN Encendiendo la alimentación

El inicio en frío se produce cuando enciendes el equipo y le proporcionas electricidad. El ZyWALL se inicia, chequea el hardware y se inician los procesos del sistema.

Reiniciando el ZyWALL

El inicio en caliente (sin tener que apagar y encender la alimentación del equipo) se produce cuando se hace uso del botón Reboot en la pantalla de Reboot, o cuando se utiliza el comando reboot por línea de comandos. El ZyWALL almacena todos los datos en cache a la memoria interna, se paran todos los procesos del sistema, y a continuación realiza el inicio del en caliente.

Usando el botón de Reset

Si pulsas el botón de RESET, el ZyWALL activa la configuración por defecto, y se reinicia.

Usando el comando shutdown

El comando shutdown almacena todos los datos de cache en la memoria interna, y para los procesos del sistema. No se produce un apagado del equipo. Tienes que quitar la alimentación manualmente para iniciar el ZyWALL nuevamente. Se debe usar este comando antes de apagar el ZyWALL.

Desconectando la alimentación

El apagado se produce cuando se desconecta la alimentación del ZyWALL. De esta forma los procesos del sistema no se cierran correctamente, ni se almacenan los datos de caché a la memoria interna.

Antes de proceder a desconectar de la alimentación el ZyWALL se debe de utilizar el comando de CLI shutdown, o en el interface WebGUI desde el menú Maintenance > Shutdown y posteriormente apagar el equipo. Cuando aplicas los ficheros de alimentación o Shell scripts, el ZyWALL no para o inicia los procesos del sistema. Sin embargo, puedes perder acceso a los recursos de la red temporalmente mientras el ZyWALL está aplicando estos ficheros.


Pág. 301/316

15.5. Logs y Reports

15.5.1. Email Daily Report Utilizaremos la funcionalidad Email Daily Report para iniciar o parar la recolección de datos, y para mostrar varias estadísticas sobre el tráfico que pasa a través del ZyWALL. Nota : La recolección de datos puede reducir el rendimiento de su ZyWALL. Pulse sobre el menú Configuration > Log & Report > Email Daily Report para que se muestre la siguiente ventana. Configure las opciones de esta ventana para indicar el email donde se enviará cada día las estadísticas de sistema.

Fig. – Configuración del Email Daily Report


Pág. 302/316

15.5.2. Log & Report Utilizaremos la funcionalidad Log Setting para gestionar los mensajes de log y alertas. Los mensajes de log almacenan la información para ser consultada o enviada por mail más tarde, las alertas son enviadas por mail inmediatamente. Normalmente las alertas son usadas para eventos que requieren de una atención más seria, como errores de sistema o ataques. Los informes o logs se pueden enviar también a servidores de syslog remotos. Desde el menú Log Setting también se gestiona qué información se almacenará en cada log. Para el system log, puede especificar dos posibles destinatarios de email para recibir los logs, y con qué frecuencia. Así mismo, se permite configurar varios SysLog remotos que recibirán la información de los logs seleccionados. Desde esta pantalla también podemos acceder al Active Log Summary para configurar las categorías a recolectar logs.

Fig. – Configuración del Email Daily Report

Para configurar un destinatario de email para recibir los logs de sistema seleccionamos una de las dos reglas de System Log , y pulsamos sobre Edit . Tendremos que indicar el nombre del servidor email, así como el remitente y el destinatario de los logs, y de las alertas, la frecuencia de envío, y opciones del servidor de correo saliente:


Pág. 303/316

Fig. – Ejemplo de Configuración del E-mail Server 1

La pantalla Active Log Summary proporciona un resumen de todas las configuraciones realizadas para cada uno de los destinatarios:

Fig. – Configuración del Active Log Summary

En la parte superior podemos seleccionar que se marquen las casillas de una columna específica, o seleccionar una a una las casillas para que se recopilen los datos a mostrar en los logs.


Pág. 304/316

Existen 4 acciones a seleccionar para las diferentes Categorías de Log, las cuales aclaramos en la siguiente leyenda:

ICONO SIGNIFICADO

No se recopilará información de la categoría seleccionada en los logs.

Se recopilará información de la categoría seleccionada en los logs.

Se recopilará información de la categoría seleccionada, e información de debug en los logs

Se enviará por mail las alertas pertenecientes a la categoría seleccionada.

Fig. – Leyenda de las opciones del Active Log Summary Para Visualizar los logs recopilados por el equipo nos dirigimos al menú Monitor > Log .

Fig. – Visualización de los Logs

Podemos seleccionar qué categorías mostrar, así como aplicar filtros más específicos para hallar registros de logs ya ocurridos:

Fig. – Configuración específica del Show Filter


Pág. 305/316

15.6. Diagnósticos La pantalla de Diagnóstico proporciona una forma sencilla para que pueda generar un archivo que contiene la configuración del ZyWALL y la información de diagnóstico. Puede que sea necesario generar este archivo y enviarlo al soporte técnico durante la solución de problemas. Pulse sobre Maintenance > Diagnostics para abrir la pantalla de Diagnósticos.

Fig. – Pantalla de Diagnósticos

Si pulsamos sobre el botón Collect Now , se empezará a recopilar la información de los diagnósticos. Este proceso puede durar unos 6 minutos.

Fig. – Recolección de fichero de Diagnósticos

Una vez finalizada la recolección, podemos descargar el fichero a nuestro PC pulsando sobre el botón Download .

Fig. – Descarga a PC del fichero de diagnósticos


Pág. 306/316

15.7. Captura de Paquetes (Packet Capture) Desde la pestaña Packet Capture podemos realizar capturas del tráfico que pasa a través de los interfaces que seleccionemos, para posteriormente analizar dicho tráfico por medio del software Wireshark. Pulse sobre Maintenance > Diagnostics > Packet Capture para abrir la pantalla de captura de tráfico. Seleccionaremos los interfaces a capturar pudiendo seleccionar una serie de filtrado en la captura, tamaño del fichero resultante y nombre del fichero final. Pulsamos sobre el botón Capture para capturar el tráfico a un fichero.

Fig. – Configuración del Packet Capture

Si pulsamos sobre el botón Stop dejaremos de capturar paquetes en el fichero de captura. Para descargarnos el fichero resultante a nuestro PC para posteriormente analizarlo, nos iremos a la pestaña Files , seleccionaremos el fichero y pulsaremos en download .

Fig. – Ficheros de Capturas almacenados en el ZyWALL USG


Pág. 307/316

16. Resolución de averías En caso de producirse alguna avería en el equipo (sin ser un fallo eléctrico) que provoque que no tengamos acceso al equipo, seguiremos los procedimientos de los puntos 16.1 y 16.2 para poder restaurar el estado del equipo. Cuando el problema se debe a un problema en la configuración del entorno, será necesario contactar con el soporte técnico de ZyXEL. Éste le puede solicitar que le proporcione una serie de información a fin de determinar el fallo que tiene el equipo:

1. Número de Serie y versión de Firmware cargada en su ZyWALL 2. Proporcionar el fichero de Diagnósticos 3. Indicar con detalle la incidencia detectada 4. Describir la Topología de su Red

16.1. Procedimiento de Restauración del fichero Ima gen

Este procedimiento requiere el fichero de imagen de recuperación de ZyWALL. Descargue la última versión de firmware de ftp://ftp.zyxel.com y descomprímalo. En su interior encontrará un fichero con la extensión “.ri”, por ejemplo “210AQQ1C0.ri”. Realice los siguientes pasos para recuperar la imagen del sistema de su equipo ZyWALL USG:

1- Conéctese mediante el cable de consola y su aplicación de terminal al

puerto COM correspondiente de su PC y configure una velocidad de 115200 baudios para acceder al equipo.

2- Reinicie el ZyWALL quitando la alimentación, y volviéndolo a conectar.

3- Cuando visualice el mensaje “Press any key to enter debug mode within 3 seconds”. Pulse una tecla para entrar en el modo debug .


Pág. 308/316

4- Introduzca el comando atuk para iniciar el proceso de recuperación. Si

en la pantalla aparece “ERROR” , introduzca el comando atur para iniciar el proceso de recuperación.

5- Solamente necesita usar el comando atuk o atur si el fichero de imagen está dañado.

6- Pulse la tecla Y, y espere hasta que aparezca el mensaje “Starting XMODEM upload”. A continuación active la carga de ficheros por XMODEM en tu terminal . Y comienza a subir el fichero.

7- Este es un ejemplo de la configuración para la carga de ficheros por Xmoden utilizando el HyperTerminal de Windows. Haz click en Transfer, y pulsa sobre Send File para visualizar la siguiente pantalla:


Pág. 309/316

8- Espere de 3 a 5 minutos hasta que el proceso de carga por Xmodem

finalice.

9- Introduce el comando ATGO. El ZyWALL se reiniciará.

16.2. Procedimiento de Restauración del fichero de firmware Este procedimiento requiere el fichero de firmware de su ZyWALL.

Descargue la última versión de firmware de ftp://ftp.zyxel.com y descomprímalo. En su interior encontrará un fichero con la extensión “.bin”, por ejemplo “210AQQ1C0.bin”. Realice los siguientes pasos para restaurar el firmware en su equipo ZyWALL USG:

1- Conecte su ordenador al puerto 1 de su ZyWALL.

2- La dirección del servidor FTP de su ZyWALL para realizar la

restauración del firmware es la dirección 192.168.1.1, por lo que debe de configurar la conexión de red de su ordenador con una dirección IP comprendida entre el rango 192.168.1.2 ~192.168.1.254.

3- Utilice un cliente FTP en su ordenador para conectarse al ZyWALL. Por ejemplo, desde el prompt de comandos de Windows, teclee ftp 192.168.1.1 Mantenga la ventana de consola abierta durante todo el proceso.

4- Introduzca el comando “bin” para configurar la transferencia de ficheros en modo binario.

5- Cargue el archivo de firmware de su ordenador al ZyWALL. Para ello introduzca el comando “put” seguido de la la ruta y el nombre del fichero de firmware a cargar. En este ejemplo se ha utilizado el comando “put e:\ftproot\ZLD FW \1.01(XL.0)C0.bin”


Pág. 310/316

6- Espere hasta que el proceso de carga finalice

7- Después de que la carga se complete, los mensajes “Firmware received” o “ZLD-current received” se visualizarán en pantalla. Espere de 3 a 5 minutos mientras el ZyWALL restaura el firmware.

8- Cuando la restauración del firmware se complete, en la ventana de la conexión de consola se mostrará el mensaje “done”. Y el ZyWALL se reiniciará automáticamente.


Pág. 311/316

9- El prompt que aparece solicitando el nombre de usuario “username” se mostrará después de que el ZyWALL se inicie correctamente. El proceso de restauración del firmware se ha completado con éxito y el ZyWALL ya está listo para usarlo.


Pág. 312/316

16.3. Versión de Firmware cargada en su ZyWALL Desde el Dashboard del configurador Web GUI de su ZyWALL puede visualizar dentro de la ventana “Device Information” información acerca del modelo de dispositivo, número de serie y dirección MAC, así como la versión de firmware cargada actualmente en el ZyWALL.

Fig. – Visualización de información identificativa del dispositivo y versión de Firmware

Estos datos los tendrán que proporcionar los usuarios a la hora de emitir una solicitud de tramitación de garantía del equipo. De esa forma desde el Soporte Técnico de ZyXEL podrán comprobar si este dispositivo pertenece al ámbito regional de España, y realizar el procedimiento de aceptación de RMA.

16.4. Fichero de Diagnósticos

• A través del Interfaz Web : o Pulse sobre el menú Maintenance > Diagnostics o Haga click sobre “Collect Now” o Cuando en el campo “filename” se muestre el nombre de un

archivo, significará que la recolección de diagnósticos se ha hecho con éxito.

o Pulse sobre “Download” y guárdelo en su PC.

• A través del Interfaz Línea de Comandos : o Lóguese a través de la consola usando el usuario Admin o Introduzca el comando: diag-info collect o Introduzca el comando: show diag-info o Antes de que el proceso de recolección se complete, en la

pantalla de la consola no se mostrará nada. o Espere de 1 a 3 minutes, y en la pantalla de consola se mostrará

el tamaño y el nombre de fichero resultante. o Acceda al equipo vía FTP como usuario Admin, y descárguese el

fichero de diagnóstico ubicado en el directorio “debug”


Pág. 313/316

16.5. Indicar con detalle la incidencia encontrada En el correo electrónico que envíe a soporte ZyXEL tendrá que indicar, además de la información anterior, una descripción detallada de la incidencia encontrada. Cuanto mayor detalle pueda aportar, más fácil será para el soporte técnico de ZyXEL solventar su problemática. Por lo que le recomendamos pierda algo de tiempo en indicar con detalles la incidencia para así agilizar la resolución de la misma.

16.6. Describir la Topología de su Red Debe de especificar información sobre la marca, modelo, versión de firmware y tipo de dispositivo (router, switch, etc…) de todos los dispositivos que estén conectados a la red el USG. También debe especificar en qué puertos físicos están conectados estos dispositivos al ZyWALL, así como el direccionamiento IP y si actúan como cliente o servidor. Si dispone de varios servidores o computadores conectados a esta red, deberá de especificar información referente al Sistema Operativo y versión.

Fig. – Esquema a modo de ejemplo de los dispositivos que forman la Topología de Red


Pág. 314/316

17. Un Vistazo por la Web de ZyXEL España Si accede desde su navegador Web al enlace http://www.zyxel.es, verá una web similar a la siguiente separada por tres áreas, donde describiremos sus opciones principales:

Fig. – Página Web de ZyXEL España


Pág. 315/316

17.1. Barra superior y Banner Principal

En la parte superior e inferior del banner principal puede encontrar el enlace “Donde Comprar ” para consultar información de contacto de nuestros mayoristas del canal de distribución, por los cuales puede adquirir productos ZyXEL.

17.2. Columna Izquierda

En la columna de la izquierda puede encontrar en el Área Privada un enlace a los cursos de certificación gratuitos online sobre productos de Seguridad, Networking, IPDSLAM y Wireless LAN. A continuación puede encontrar un enlace a catálogo para PyMEs donde encontrará productos de Seguridad, Networking y Wireless LAN orientados para PyMEs. También encontrará la promoción Plan Renove de ZyXEL por la que puede adquirir un equipo unificado de seguridad con un descuento del 25% al entregar su viejo equipo de seguridad. En el enlace ePaper tendrá acceso a los últimos newsletter donde encontrará información coorporativa de producto y promociones. Encontrará tres enlaces con información de compatibilidad de productos ZyXEL con los sistemas operativos Windows Vista , Windows 7 , y con el estándar 802.11n.

17.3. Columna Central

En la columna Central encontrará dos apartados: Documentación y Notas Técnicas; y Premios.

17.3.1. Documentación y Notas Técnicas

- En este apartado encontrará un enlace a las características de la

nueva versión ZLD v2.20 para los equipos de Seguridad.

- Acceso a los catálogos de producto y guías rápidas de venta con información de las características y funcionalidades de los productos ZyXEL.

- Acceso a la FTP Global de ZyXEL donde encontrará hojas de características, guía de usuario, notas técnicas, y versiones de firmware de cada dispositivo ZyXEL.


Pág. 316/316

- Acceso a interfaces WebGUI de configuración de varios dispositivos ZyXEL en donde podrá desplazarse por los diferentes menús de configuración como si estuviese conectado al propio equipo.

- Acceso a ejemplos de configuración en castellano de algunas funcionalidades como VPN, NAT, configuración WAN, de algunos dispositivos ZyXEL.

- Acceso a ZyXEL Green donde se indica la política ecológica de ZyXEL.

17.3.2. Premios

- En este apartado encontrará un enlace a diversos premios obtenidos

por diferentes revistas y medios de divulgación de productos tecnológicos.

17.4. Columna Derecha

En la columna derecha encontrará dos apartados: Nuevos Productos; y Noticias.

17.4.1. Nuevos Productos

- En este apartado encontrará un enlace a los nuevos productos ZyXEL

en mercado.

17.4.2. Noticias

- En este apartado encontrará enlaces a diversas noticias aparecidas en

varios medios relacionadas con productos ZyXEL.

17.5. Barra Inferior En la barra inferior puede encontrar información acerca del Copyright y Declaración de Privacidad de los contenidos de la Web de ZyXEL.

Documents

Security