Guía de instalación Revisión A. McAfee Content Security Blade Server 7.0 Sistema

Transcripción

1 Guía de instalación Revisión A McAfee Content Security Blade Server 7.0 Sistema

2 COPYRIGHT Copyright 2011 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus proveedores o sus empresas filiales. ATRIBUCIONES DE MARCAS COMERCIALES AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

3 Contenido Prefacio 5 Acerca de esta guía Destinatarios Convenciones Uso de esta guía Búsqueda de documentación del producto Preparación para la instalación 9 Contenido de la caja Planificación de la instalación Uso indebido Condiciones de funcionamiento Colocación del servidor blade Consideraciones sobre los modos de red Modo Puente transparente Modo Router transparente Modo Proxy explícito Estrategias de despliegue para el uso del dispositivo en una DMZ Configuración SMTP en una DMZ Administración de la carga de trabajo Conexión y configuración del servidor blade 23 Ampliación de versiones anteriores Configuración de las interconexiones al ampliar una versión anterior Realización de copias de seguridad de la configuración actual Apagado de los servidores blade de análisis Apagado de los servidores blade de administración Ampliación del software del servidor blade de administración Reinstalación de los servidores blade de análisis Instalación estándar Instalación física del servidor blade Instalación de las interconexiones para el modo estándar (no resistente) Alimentación del servidor blade Conexión a la red Instalación del software Orden de instalación de los servidores blade de administración Instalación del software en los servidores blade de administración Instalación del software en un servidor blade de análisis de contenido Uso de la Consola de configuración Bienvenida Realización de una configuración personalizada Restauración desde un archivo Configuración solo de cifrado McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 3

4 Contenido 3 Visita guiada del Panel 65 Panel Ventajas de utilizar el panel Secciones del panel Uso de la información mostrada Exploración del servidor blade Demostración de la administración de la carga de trabajo y la conmutación en caso de error Comprobación de las funciones de administración del servidor blade Uso de directivas para administrar el análisis de mensajes Comprobación de la configuración Exploración de las funciones de Content Security Blade Server Funcionamiento en modo resistente 83 Utilización del hardware en el modo resistente Decisión de utilizar el modo resistente Pasos preliminares para volver a configurar para el modo resistente Información sobre hardware Direcciones IP requeridas para el modo resistente Nombres de usuario y contraseñas Paso al funcionamiento en modo resistente Realización de copias de seguridad de la configuración actual Instalación de las interconexiones para el modo resistente Configuración de las interconexiones Modificación de la configuración de la carcasa Aplicación de la configuración de modo resistente a todas las interconexiones Descarga y revisión de la configuración generada Configuración del servidor blade de administración para utilizar el modo resistente Conexiones de modo resistente a la red externa Encendido de los servidores blade Solución de problemas 101 Solución de problemas específicos del servidor blade Sistemas de supervisión externa Estado de la tarjeta de interfaz de red Eventos del sistema A Apéndices 103 Ejemplo de configuración base de las interconexiones Ejemplo de archivo de configuración del chasis Procedimientos de cambio de hardware Sustitución de un servidor blade de administración con fallo Sustitución de un servidor blade de administración para conmutación en caso de error con fallo Sustitución de un servidor blade de análisis con fallo Sustitución de una interconexión con fallo Sustitución de un módulo del administrador de tarjeta Índice McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

5 Prefacio En esta guía se proporciona la información necesaria para instalar el producto de McAfee. Contenido Acerca de esta guía Búsqueda de documentación del producto Acerca de esta guía Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos utilizados, además de cómo está organizada. Destinatarios La documentación de McAfee se investiga y escribe cuidadosamente para sus destinatarios. La información de esta guía va dirigida principalmente a: Administradores: personas que implementan y aplican el programa de seguridad de la empresa. Convenciones En esta guía se utilizan las convenciones tipográficas y los iconos siguientes. Título de manual o Énfasis Negrita Entrada de usuario o Ruta de acceso Código Título de un manual, capítulo o tema; introducción de un nuevo término; énfasis. Texto que se enfatiza particularmente. Comandos y otros tipos de texto que escribe el usuario; ruta de acceso a una carpeta o a un programa. Muestra de código. Interfaz de usuario Hipertexto en azul Palabras de la interfaz de usuario, incluidos los nombres de opciones, menús, botones y cuadros de diálogo. Vínculo activo a un tema o sitio web. Nota: información adicional, como un método alternativo de acceso a una opción. Sugerencia: sugerencias y recomendaciones. Importante/Precaución: consejo importante para proteger el sistema informático, la instalación del software, la red, la empresa o los datos. Advertencia: consejo crítico para evitar daños personales al utilizar un producto de hardware. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 5

6 Prefacio Acerca de esta guía Convenciones gráficas Esta información le ayuda a comprender los símbolos gráficos usados en el presente documento. Content Security Blade Server Internet o redes externas Servidor de correo Otros servidores (como servidores DNS) Equipo cliente o usuario Router Conmutador Firewall Zona de red (DMZ o VLAN) Red Ruta de datos real Ruta de datos percibida Definición de los términos utilizados en esta guía Conozca algunos de los términos clave utilizados en este documento. Término Zona desmilitarizada (DMZ) Archivos DAT Modo de funcionamiento Directiva Comprobación del servicio de reputación Interconexiones Definición Un equipo host o una red pequeña introducida como búfer entre una red privada y la red pública externa para evitar el acceso directo de los usuarios externos a los recursos de la red privada. Archivos de definición de detecciones (DAT), también denominados archivos de firma, que contienen las definiciones que identifican, detectan y reparan virus, troyanos, spyware, adware y otros programas potencialmente no deseados (PUP). El producto cuenta con tres modos operativos: modo proxy explícito, modo de puente transparente y modo de router transparente. Recopilación de criterios de seguridad, como las opciones de configuración, puntos de referencia y especificaciones de acceso a la red, que define el nivel de conformidad requerido para los usuarios, dispositivos y sistemas que una aplicación de McAfee Security puede evaluar o aplicar. Parte de la autenticación de remitente Si un remitente no supera la comprobación del servicio de reputación, el dispositivo está configurado para detener la conexión y denegar el mensaje. La dirección IP del remitente se añade a una lista de conexiones bloqueadas y se bloqueará automáticamente en el futuro en el nivel de kernel. Los módulos de conmutador de blade Ethernet de capa 2/3 GbE2c de HP utilizados para proporcionar las conexiones de red para McAfee Content Security Blade Server. El término Interconexión se puede considerar sinónimo de Conmutador. 6 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

7 Prefacio Búsqueda de documentación del producto Uso de esta guía En este tema se ofrece un breve resumen de la información que contiene este documento. Esta guía le ayuda a: Planificar y realizar la instalación. Familiarizarse con el uso de la interfaz. Comprobar que el producto funciona correctamente. Aplicar los archivos de definición de detecciones más recientes. Examinar determinados análisis de directivas, crear informes y obtener información de estado. Solucionar problemas básicos. Podrá encontrar más información sobre las funciones de análisis del producto en la ayuda online del producto y en la Guía del administrador de McAfee Gateway 7.0. Búsqueda de documentación del producto McAfee le proporciona la información que necesita en cada fase del proceso de implementación del producto, desde la instalación al uso diario y a la solución de problemas. Tras el lanzamiento de un producto, su información se introduce en la base de datos online KnowledgeBase de McAfee. Procedimiento 1 Vaya a McAfee Technical Support ServicePortal en 2 En Self Service (Autoservicio) puede acceder al tipo de información que necesite: Para acceder a... Documentación de usuario Haga lo siguiente... 1 Haga clic en Product Documentation (Documentación del producto). 2 Seleccione un producto, después seleccione una versión. 3 Seleccione un documento del producto. KnowledgeBase Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase) para encontrar respuestas a sus preguntas sobre el producto. Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase) para ver los artículos clasificados por producto y versión. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 7

8

9 1 Preparación 1 para la instalación Para asegurarse del funcionamiento seguro de McAfee Content Security Blade Server 7.0, tenga en cuenta lo siguiente antes de comenzar la instalación. Conozca los requisitos de alimentación del servidor blade y el sistema de suministro eléctrico. Familiarícese con las capacidades y modos operativos. Es importante que elija una configuración válida. Decida cómo integrar el dispositivo en la red y determine qué información necesita antes de empezar. Por ejemplo, el nombre y la dirección IP del dispositivo. Desembale el producto lo más cerca posible de la ubicación que va a tener. El servidor blade es pesado. Al desembalar el servidor blade, asegúrese de seguir los procedimientos de elevación recomendados. Extraiga el producto del embalaje de protección y colóquelo en una superficie plana. Lea todas las advertencias de seguridad proporcionadas. Revise toda la información de seguridad proporcionada y familiarícese con ella. Contenido Contenido de la caja Planificación de la instalación Uso indebido Condiciones de funcionamiento Colocación del servidor blade Consideraciones sobre los modos de red Estrategias de despliegue para el uso del dispositivo en una DMZ Contenido de la caja Esta información le permite asegurarse de que el envío del producto está completo. Para comprobar que el paquete contiene todos los componentes, consulte la lista que se suministra junto al producto. Normalmente, debe incluir lo siguiente: Una carcasa de servidor blade (M3 o M7) Un servidor blade de administración Un servidor blade de administración para conmutación en caso de error McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 9

10 1 Preparación para la instalación Planificación de la instalación Uno o más servidores blade de análisis, según lo solicitado Cables de alimentación Cables de red CD de instalación y recuperación de McAfee Gateway CD de código fuente de Linux Si falta algún elemento o está dañado, póngase en contacto con el proveedor. Planificación de la instalación Esta información le ayudará al planificar la instalación del dispositivo. Antes de desembalar el servidor McAfee Content Security Blade Server, es importante planificar la instalación y el despliegue. Encontrará información de ayuda en: HP BladeSystem c-class Site Planning Guide (Guía de planificación in situ de HP BladeSystem de clase C). Tenga en cuenta lo siguiente: Directrices generales para preparar el sitio. Descripción de los requisitos generales del sitio para preparar las instalaciones informáticas para el hardware de McAfee Content Security Blade Server. Requisitos ambientales Información sobre los requisitos ambientales del sitio, entre los que se incluyen los relacionados con la temperatura, la ventilación y el espacio. Consideraciones y requisitos de alimentación Requisitos de alimentación y factores eléctricos que deben tenerse en cuenta antes de la instalación. Incluye la instalación de la unidad de distribución de alimentación (PDU). Requisitos y especificaciones de hardware Especificaciones del sistema para la carcasa del servidor blade, los bastidores y las fuentes de alimentación de una y tres fases. Situaciones hipotéticas de configuración Preparación de la instalación 10 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

11 Preparación para la instalación Uso indebido 1 Uso indebido Esta información le ayuda a evitar usar este producto de forma inadecuada. McAfee Content Security Blade Server: No es un firewall: Debe utilizarlo en la organización protegido por un firewall debidamente configurado. No es un servidor para almacenar archivos y software adicionales: No instale ningún software en el dispositivo ni agregue archivos adicionales a menos que así se lo indique la documentación del producto o el representante de soporte técnico. El dispositivo no puede gestionar todos los tipos de tráfico. Si usa el modo proxy explícito, solo los protocolos que pueden analizarse se enviarán al dispositivo. Condiciones de funcionamiento Esta información le permite conocer las condiciones ambientales que necesita McAfee Gateway. Temperatura; en funcionamiento De +10 C a +30 C o de +10 C a +35 C (en función del modelo) sin que la tasa de cambio máxima no supere los 10 C por hora Temperatura, sin funcionar De -40 C a +70 C Humedad relativa, sin funcionar 90 %, sin condensación a 35 C Vibración, sin embalar Impacto, en funcionamiento De 5 a 500 Hz, 2,20 g RMS aleatorio Semionda sinusoidal, pico de 2 g, 11 ms Impacto, trapezoidal sin embalar 25 g, cambio de velocidad 136 pulgadas/s (de 40 libras a > 80 libras) Requisito de refrigeración del sistema en BTU/h 1660 BTU/h o 2550 BTU/h (en función del modelo) Colocación del servidor blade Esta información le ayudará a saber dónde se debe colocar el servidor McAfee Content Security Blade Server. Instale el servidor blade de modo que pueda controlar el acceso físico a la unidad y el acceso a los puertos y las conexiones. Junto con el chasis del servidor blade, se suministra un kit de montaje en bastidor que permite instalar el servidor blade en un bastidor de 19 pulgadas. Véase HP BladeSystem c3000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c3000) o HP BladeSystem c7000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c7000). McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 11

12 1 Preparación para la instalación Consideraciones sobre los modos de red Consideraciones sobre los modos de red Esta información le ayudará a entender los modos operativos (o de red) en los que puede funcionar el dispositivo. Antes de instalar y configurar McAfee Content Security Blade Server, debe decidir el modo de red que va a utilizar. El modo que elija determinará la conexión física del dispositivo a la red. Puede seleccionar uno de los siguientes modos de red: Modo Puente transparente: el dispositivo actúa como un puente Ethernet. Modo Router transparente: el dispositivo actúa como un router. Modo Proxy explícito: el dispositivo actúa como un servidor proxy y un dispositivo de retransmisión de correo. Si, después de haber leído ésta y las secciones siguientes, sigue sin estar seguro del modo que va a utilizar, póngase en contacto con un experto en redes. Consideraciones acerca de la arquitectura de los modos de red Las principales consideraciones sobre los modos de red son: Si los dispositivos en comunicación conocen la existencia del dispositivo. Es decir, si el dispositivo está funcionando en uno de los modos transparentes. Cómo se conecta físicamente el dispositivo a la red. La configuración necesaria para que el dispositivo se incorpore a la red. Si la configuración tiene lugar en la red. Consideraciones previas al cambio de modos de red En los modos de proxy explícito y router transparente, puede configurar el dispositivo para que se sitúe en más de una red. Para ello, deben configurarse varias direcciones IP para los puertos LAN1 y LAN2. Si cambia a modo de puente transparente desde el modo de proxy explícito o de router transparente, sólo se transferirán las direcciones IP habilitadas para cada puerto. Una vez seleccionado un modo de red, no es aconsejable cambiarlo, a menos que mueva el dispositivo o reestructure la red. Modo Puente transparente Esta información le permite comprender mejor el modo Puente transparente en McAfee Gateway. En el modo de puente transparente, los servidores en comunicación ignoran la existencia del dispositivo: el funcionamiento del dispositivo es transparente para los servidores. Figura 1-1 Modo de puente transparente: Ruta de datos aparente 12 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

13 Preparación para la instalación Consideraciones sobre los modos de red 1 En la ilustración, el servidor de correo externo (A) envía mensajes de correo electrónico al servidor de correo interno (C). El servidor de correo externo ignora que el dispositivo intercepta y analiza el mensaje de correo electrónico (B). Parece que el servidor de correo externo se comunica directamente con el servidor de correo interno (la ruta se muestra como una línea de puntos). En realidad, el tráfico debe pasar por varios dispositivos de red y el dispositivo debe interceptarlo y analizarlo antes de que llegue al servidor de correo interno. Funcionamiento del dispositivo en modo Puente transparente En el modo de puente transparente, el dispositivo se conecta a la red mediante los puertos LAN1 y LAN2. El dispositivo analiza el tráfico que recibe y actúa como un puente, conectando dos segmentos de red, pero tratándolos como una única red lógica. Configuración en modo Puente transparente El modo de puente transparente requiere menos configuración que los modos de router transparente y de proxy explícito. No necesita volver a configurar todos los clientes, la gateway predeterminada, los registros MX, el firewall con NAT ni los servidores de correo para enviar tráfico al dispositivo. Debido a que el dispositivo no funciona como router en este modo, no necesita actualizar una tabla de enrutamiento. Colocación del dispositivo al usar el modo Puente transparente Por motivos de seguridad, debe utilizar el dispositivo en la organización protegido por un firewall. Figura 1-2 Colocación en el modo de puente transparente En el modo de puente transparente, coloque el dispositivo entre el firewall y el router, tal y como se muestra en la ilustración. En este modo, se conectan físicamente dos segmentos de red al dispositivo y éste los trata como una única red lógica. Como los dispositivos (firewall, dispositivo y router) se encuentran en la misma red lógica, deben tener direcciones IP compatibles en la misma subred. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 13

14 1 Preparación para la instalación Consideraciones sobre los modos de red Los dispositivos de un lado del puente (como un router) que se comunican con los dispositivos del otro lado del puente (como un firewall) ignoran la existencia del puente. Ignoran que el tráfico se intercepta y analiza, razón por la cual se dice que el dispositivo funciona como un puente transparente. Figura 1-3 Estructura de red: Modo de puente transparente Spanning Tree Protocol para administrar la prioridad de puente Configure Spanning Tree Protocol para administrar las prioridades de puente de McAfee Content Security Blade Server. Antes de empezar Para que Spanning Tree Protocol esté disponible, el servidor blade debe configurarse en modo de puente transparente. Si se produce un error en el blade, Spanning Tree Protocol (Protocolo de árbol de expansión, STP) dirige el tráfico de red al servidor blade con la prioridad de puente superior siguiente. En el modo de puente transparente, el servidor blade de administración y el servidor blade de administración para conmutación en caso de error tienen direcciones IP diferentes. En los modos proxy explícito y enrutador transparente, los dos servidores blade tienen de nuevo direcciones IP diferentes, pero se configuran con las mismas direcciones o dirección IP virtuales. Por lo general, el servidor blade de administración administra el tráfico de correo electrónico. Si dicho servidor falla, el servidor blade de administración para conmutación en caso de error administra el tráfico de correo electrónico. Cada uno de los servidores blade tiene una prioridad de puente diferente. Puesto que la prioridad del servidor blade de administración es superior (por ejemplo, un valor STP de 100), este servidor suele administrar o interceptar el tráfico de la red. 14 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

15 Preparación para la instalación Consideraciones sobre los modos de red 1 Si el servidor blade de administración falla, el STP dirige el tráfico de red a través de una ruta de acceso con la prioridad de puente inmediatamente superior, concretamente, el servidor blade de administración para conmutación en caso de error (por ejemplo, con un valor STP de 200). Procedimiento 1 Para impedir los bucles de puente: a Desactive STP en los puertos 1 y 2 de todas las interconexiones. b c Compruebe que todos los puertos son miembros de STG1. Desactive STG1. 2 Instale el servidor blade de administración para conmutación en caso de error en la ranura 2. 3 Durante la instalación del servidor blade de administración para conmutación en caso de error, defina la prioridad de puente, por ejemplo, Instale el servidor blade de administración en la ranura 1. 5 Durante la instalación del servidor blade de administración, defina la prioridad de puente, por ejemplo, Asigne distintas direcciones IP al servidor blade de administración y al servidor blade de administración para conmutación en caso de error. Modo Router transparente Esta información le permite comprender mejor el modo Router transparente en McAfee Gateway. En el modo de router transparente, el dispositivo analiza el tráfico de correo electrónico entre dos redes. El dispositivo tiene una dirección IP para el tráfico analizado saliente y debe tener una dirección IP para el tráfico entrante. Los servidores de red en comunicación ignoran la intervención del dispositivo: el funcionamiento del dispositivo es transparente para los dispositivos. Funcionamiento del dispositivo en modo Router transparente En el modo de router transparente, el dispositivo se conecta a las redes mediante los puertos LAN1 y LAN2. El dispositivo analiza el tráfico que recibe en una red y lo reenvía al siguiente dispositivo de red en una red diferente. El dispositivo actúa como un router, enrutando el tráfico entre las diferentes redes, en función de la información incluida en sus tablas de enrutamiento. Configuración en modo Router transparente En el modo de router transparente, no necesita volver a configurar de forma explícita los dispositivos de red para enviar tráfico al dispositivo. Tan sólo es necesario configurar la tabla de enrutamiento del dispositivo y modificar algunos de los datos de enrutamiento de los dispositivos de red a ambos lados de éste (los dispositivos conectados a sus puertos LAN1 y LAN2). Por ejemplo, puede ser necesario designar el dispositivo como gateway predeterminada. En el modo de router transparente, el dispositivo debe unir dos redes. El dispositivo debe estar situado dentro de la organización junto con un firewall. el modo de router transparente no es compatible con el tráfico IP multidifusión ni con los protocolos que no sean IP, como NETBEUI o IPX. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 15

16 1 Preparación para la instalación Consideraciones sobre los modos de red Reglas de firewall En el modo Router transparente, el firewall se conecta a la dirección IP física para la conexión LAN1/ LAN2 al servidor blade de administración. Ubicación del dispositivo Use el dispositivo en modo de router transparente para sustituir un router existente en la red. Si usa el modo de enrutador transparente y no sustituye un router existente, debe volver a configurar parte de la red para que enrute el tráfico correctamente a través del dispositivo. Figura 1-4 Estructura de red: Modo de puente transparente Debe hacer lo que se indica a continuación: Configurar los dispositivos cliente para que apunten a la gateway predeterminada. Configurar el dispositivo para utilizar la gateway de Internet como gateway predeterminada. Asegurarse de que los dispositivos cliente pueden entregar mensajes de correo electrónico a los servidores de correo de la organización. Modo Proxy explícito Esta información le permite comprender mejor el modo Proxy explícito en McAfee Gateway. En el modo Proxy explícito, deben configurarse explícitamente determinados dispositivos de red para que envíen tráfico al dispositivo. Así, el dispositivo funciona como un proxy o dispositivo de retransmisión que procesa el tráfico en nombre de los dispositivos. Figura 1-5 Modo proxy explícito: Ruta de datos aparente 16 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

17 Preparación para la instalación Consideraciones sobre los modos de red 1 El modo proxy explícito resulta más adecuado en aquellas redes en las que los dispositivos cliente se conectan al dispositivo a través de un único dispositivo ascendente y descendente. Puede que esta no sea la mejor opción cuando sea preciso reconfigurar varios dispositivos de red para enviar tráfico al dispositivo. Configuración de red y de dispositivos Si el dispositivo está configurado en modo proxy explícito, debe configurar de forma explícita el servidor de correo interno para que retransmita el tráfico de correo electrónico al dispositivo. El dispositivo analiza el tráfico de correo electrónico antes de reenviarlo, en nombre del remitente, al servidor de correo externo. Entonces, el servidor de correo externo reenvía el mensaje de correo electrónico al destinatario. De igual forma, la red debe configurarse de manera que los mensajes de correo electrónico entrantes procedentes de Internet se entreguen al dispositivo en lugar de entregarse al servidor de correo interno. El dispositivo analiza el tráfico antes de reenviarlo, en nombre del remitente, al servidor de correo interno para la entrega, como se muestra. Por ejemplo, un servidor de correo externo puede comunicarse directamente con el dispositivo, aunque el tráfico puede pasar por varios servidores de red antes de llegar al dispositivo. La ruta percibida es del servidor de correo externo al dispositivo. Protocolos Para analizar un protocolo admitido, debe configurar el resto de los servidores de red o los equipos cliente para enrutar dicho protocolo a través del dispositivo, de forma que éste filtre todo. Reglas de firewall El modo proxy explícito invalida cualquier regla de firewall configurada para el acceso del cliente a Internet. El firewall solo ve la información de la dirección IP física del dispositivo y no las direcciones IP de los clientes, lo que significa que el firewall no puede aplicar sus reglas de acceso a Internet a los clientes. Asegúrese de que las reglas del firewall están actualizadas. El firewall debe aceptar tráfico de McAfee Gateway, pero no el tráfico que proviene directamente de los dispositivos cliente. Configure reglas de firewall para evitar que tráfico no deseado entre en la organización. Ubicación del dispositivo Configure los dispositivos de red de forma que el tráfico objeto de análisis se envíe a McAfee Gateway. Esto es más importante que la ubicación de McAfee Gateway. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 17

18 1 Preparación para la instalación Estrategias de despliegue para el uso del dispositivo en una DMZ El router debe permitir a todos los usuarios conectarse a McAfee Gateway. Figura 1-6 Colocación en el modo proxy explícito McAfee Gateway debe colocarse dentro de la organización y protegido por un firewall, como se muestra en la figura 6: Configuración proxy explícito. Normalmente, el firewall está configurado para bloquear el tráfico que no proviene directamente del dispositivo. Si tiene alguna duda acerca de la topología de la red y de cómo integrar el dispositivo, consulte a un experto en redes. Utilice esta configuración en los casos siguientes: El dispositivo funciona en modo proxy explícito. Usa correo electrónico (SMTP). En esta configuración, debe: Configurar los servidores externos de sistema de nombres de dominio (DNS) o la conversión de direcciones de red (NAT, Network Address Translation) en el firewall, de manera que el servidor de correo externo entregue el correo al dispositivo y no al servidor de correo interno. Configurar los servidores de correo interno para que envíen mensajes de correo electrónico al dispositivo. Es decir, los servidores de correo interno deben utilizar el dispositivo como un host inteligente. Asegúrese de que los dispositivos cliente pueden enviar mensajes de correo electrónico a los servidores de correo en la organización. Asegurarse de que las reglas del firewall están actualizadas. El firewall debe aceptar tráfico del dispositivo, pero no el tráfico que proviene directamente de los dispositivos cliente. Configure reglas para evitar que tráfico no deseado entre en la organización. Estrategias de despliegue para el uso del dispositivo en una DMZ Esta información le permite obtener información sobre las zonas desmilitarizadas de la red y sobre su uso para proteger los servidores de correo electrónico. Una zona desmilitarizada (DMZ) es una red separada por un firewall del resto de redes, incluido Internet y otras redes internas. El objetivo habitual de la implementación de una DMZ es bloquear el acceso a los servidores que proporcionan servicios a Internet, como el correo electrónico. 18 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

19 Preparación para la instalación Estrategias de despliegue para el uso del dispositivo en una DMZ 1 Los piratas informáticos suelen obtener acceso a las redes mediante la identificación de puertos TCP/ UDP en los que las aplicaciones hacen escuchas de solicitudes y se aprovechan de las vulnerabilidades conocidas de las aplicaciones. Los firewalls reducen en gran medida el riesgo de dichos abusos mediante el control del acceso a puertos específicos de servidores concretos. El dispositivo puede agregarse fácilmente a una configuración de DMZ. La forma de usar el dispositivo en una DMZ depende de los protocolos que tenga pensado analizar. Configuración SMTP en una DMZ Esta información le permite saber cómo configurar dispositivos SMTP dentro de una zona desmilitarizada de la red. Una DMZ es una buena ubicación para el correo cifrado. Cuando el tráfico de correo llega al firewall por segunda vez (en su camino desde la DMZ hacia Internet), ya se ha cifrado. Por regla general, los dispositivos que analizan tráfico SMTP en una DMZ están configurados en modo proxy explícito. Los cambios de configuración deben aplicarse únicamente en los registros MX de los servidores de correo. NOTA: Cuando analice SMTP en una DMZ, puede utilizar el modo de puente transparente. Sin embargo, si no controla el flujo de tráfico correctamente, el dispositivo analizará todos los mensajes dos veces, una vez en cada dirección. Este es el motivo por el que normalmente se utiliza el modo proxy explícito en el análisis de SMTP. Retransmisión de correo Figura 1-7 Configuración como un retransmisor de correo Si dispone de un dispositivo de retransmisión de correo ya configurado en la DMZ, puede sustituirlo con el dispositivo. Para utilizar las directivas de firewall existentes, asigne al dispositivo la misma dirección IP que al dispositivo de retransmisión de correo. Gateway de correo SMTP no ofrece ningún método para cifrar mensajes de correo: puede utilizar la Transport Layer Security (TLS) para cifrar el vínculo, pero no los mensajes de correo. Como resultado, algunas empresas no permiten ese tipo de tráfico en sus redes internas. Para solucionar este problema, se suele utilizar una gateway de correo patentada, como Lotus Notes o Microsoft Exchange, para cifrar el tráfico de correo antes de que llegue a Internet. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 19

20 1 Preparación para la instalación Estrategias de despliegue para el uso del dispositivo en una DMZ Para implementar una configuración de DMZ mediante una gateway de correo patentada, añada el dispositivo de análisis a la DMZ en el lado SMTP de la gateway. Figura 1-8 Configuración como una gateway de correo En esta situación, configure lo siguiente: Los registros MX públicos, para indicar a los servidores de correo externos que envíen todos los correos entrantes al dispositivo (en lugar de la gateway). El dispositivo, para que reenvíe todo el correo entrante a la gateway de correo y entregue todo el correo saliente mediante el DNS o un dispositivo de retransmisión externo. La gateway de correo, para que reenvíe todo el correo entrante a los servidores de correo internos y el resto del correo (saliente) al dispositivo. El firewall, para que permita el correo entrante destinado únicamente al dispositivo. Los firewalls configurados para utilizar la conversión de direcciones de red (NAT, Network Address Translation) y que redirigen el correo entrante a los servidores de correo internos no necesitan que vuelvan a configurarse sus registros MX públicos. Esto se debe a que están dirigiendo el tráfico al firewall en lugar de a la gateway de correo. En este caso, el firewall debe volver a configurarse para dirigir las solicitudes de correo entrante al dispositivo. Reglas de firewall específicas para Lotus Notes Esta información le permite identificar aspectos concretos que hay que tener en cuenta a la hora de proteger sistemas de Lotus Notes. De forma predeterminada, los servidores de Lotus Notes se comunican a través del puerto TCP Las reglas de firewall usadas normalmente para asegurar los servidores de Notes en una DMZ permiten lo siguiente a través del firewall: Solicitudes SMTP entrantes (puerto TCP 25), que se originan desde Internet y están destinadas al dispositivo. Solicitudes del puerto TCP 1352, que se originan desde la gateway de Notes y están destinadas a un servidor interno de Notes. 20 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

21 Preparación para la instalación Estrategias de despliegue para el uso del dispositivo en una DMZ 1 Solicitudes del puerto TCP 1352, que se originan desde un servidor interno de Notes y están destinadas a una gateway de Notes. Solicitudes SMTP, que se originan desde el dispositivo y están destinadas a Internet. El resto de solicitudes SMTP y del puerto TCP 1352 se deniegan. Reglas de firewall específicas de Microsoft Exchange Esta información le permite identificar aspectos concretos que hay que tener en cuenta a la hora de proteger sistemas de Microsoft Exchange. Un sistema de correo basado en Microsoft Exchange requiere una gran solución. Cuando los servidores de Exchange se comunican entre sí, envían sus paquetes iniciales mediante el protocolo RPC (puerto TCP 135). Sin embargo, una vez establecida la comunicación inicial, se eligen dos puertos de forma dinámica y se utilizan para enviar todos los paquetes siguientes durante el resto de la comunicación. No puede configurar un firewall para reconocer estos puertos elegidos de forma dinámica. Por lo tanto, el firewall no permite el paso de los paquetes. La solución consiste en modificar el registro de cada uno de los servidores de Exchange que se comunican a través del firewall para utilizar siempre los mismos dos puertos dinámicos ; a continuación, abra TCP 135 y estos dos puertos en el firewall. Mencionamos esta solución para ofrecer una explicación exhaustiva, pero no la recomendamos. El protocolo RPC está extendido en redes de Microsoft: abrir la entrada TCP 135 supone una alerta roja para la mayoría de los profesionales de la seguridad. Si tiene previsto utilizar esta solución, encontrará información detallada en el siguiente artículo de la Knowledge Base en el sitio web de Microsoft: Administración de la carga de trabajo Esta información le permite conocer las funciones de administración de la carga de trabajo de McAfee Gateway. Los dispositivos incluyen su propio sistema interno de administración de carga de trabajo, que permite distribuir uniformemente la carga de análisis entre todos los dispositivos configurados para trabajar juntos. No necesita desplegar un dispositivo de equilibrio de carga externo. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 21

22

23 2 Conexión 2 y configuración del servidor blade Esta sección le ayuda a comprender los conceptos, procesos y consideraciones necesarios para conectar y configurar el servidor blade. McAfee Content Security Blade Server 7.0 se puede conectar a la red y configurarse en los modos siguientes: Modo estándar (no resistente) Modo resistente Modo estándar (no resistente) El modo estándar (no resistente) utiliza los mismos componentes y procesos para conectar el servidor blade a la red que se han utilizado para todas las versiones anteriores del producto McAfee Content Security Blade Server. en modo estándar (no resistente), el servidor blade no es inmune a los efectos provocados por fallos del hardware. Para resistir a ellos, plantéese el paso a modo resistente una vez que haya terminado de instalar, configurar y probar el servidor blade. Modo resistente Después de configurar el servidor blade para que funcione en modo estándar (no resistente), consulte Funcionamiento en modo resistente para obtener más detalles sobre el paso al funcionamiento en modo resistente. McAfee Content Security Blade Server 7.0 incluye el funcionamiento en modo resistente para el servidor blade. En este modo, todas las conexiones entre la red y el servidor blade, así como las conexiones de la carcasa del servidor blade, se establecen de tal modo que se utilizan varias rutas. Las diversas rutas proporcionan una mayor resistencia frente al fallo de cualquiera de los componentes del servidor blade, los dispositivos de red o el cableado necesario para transportar el tráfico entre la red y el servidor blade. Contenido Ampliación de versiones anteriores Instalación estándar Instalación del software Uso de la Consola de configuración McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 23

24 2 Conexión y configuración del servidor blade Ampliación de versiones anteriores Ampliación de versiones anteriores Esta información le ayudará a conocer las opciones de ampliación disponibles. En los temas siguientes se analiza la ampliación de un servidor McAfee Content Security Blade Server existente que ejecuta and Web Security Appliance para usar el software McAfee Gateway 7.0. Si tiene previsto pasar al funcionamiento en modo resistente, debe volver a configurar físicamente las interconexiones del servidor blade. Para ampliar instalaciones anteriores a McAfee Content Security Blade Server 7.0, debe organizar una caída de red, puesto que el servidor blade interrumpirá el análisis del tráfico mientras se lleva a cabo la ampliación. Antes de ampliar el software en los servidores blade de administración y de administración para conmutación en caso de error, consulte Configuración de las interconexiones al ampliar una versión anterior y, si se está planteando usar el modo resistente, Utilización del hardware en el modo resistente. No puede instalar McAfee Gateway 7.0 en el servidor blade existente y mantener los protocolos web configurados anteriormente (ya sea el software and Web Security con el análisis web activado o McAfee Web Gateway). La instalación de McAfee Gateway 7.0 es solo para correo electrónico. Este paso Haga copias de seguridad de la configuración actual. se explica en este tema... Realización de copias de seguridad de la configuración actual 2. Apague todos los servidores blade de análisis. Apagado de los servidores blade de análisis 3. Apague los dos servidores blade de administración. 4. Amplíe el software en los dos servidores blade de administración. Apagado de los servidores blade de administración Ampliación del software del servidor blade de administración 5. Reinstale los servidores blade de análisis. Reinstalación de los servidores blade de análisis 6. Lleve a cabo la configuración para el modo resistente (si es necesario). Cómo decidir si utilizar el modo resistente Paso al funcionamiento en modo resistente Configuración de las interconexiones al ampliar una versión anterior Esta información le ayudará a entender cómo configurar las interconexiones para los modos de funcionamiento estándar y resistente. McAfee Content Security Blade Server 7.0 presenta algunos cambios en el modo en que el servidor blade utiliza el hardware en la carcasa del blade, en concreto, los módulos de interconexión. Las versiones anteriores de McAfee Content Security Blade Server, que usaban el software and Web Security Appliances, utilizaban dos módulos de interconexión: interconexión 1 para LAN1 e interconexión 2 para LAN2. El hardware suministrado con McAfee Content Security Blade Server 7.0 utiliza cualquiera de las siguientes interconexiones: Interconexión 1 para LAN1 e interconexión 3 para LAN2 en modo estándar (no resistente). Interconexiones 1 y 2 para LAN1, e interconexiones 3 y 4 para LAN2 en modo resistente. Consulte Utilización del hardware en el modo resistente para obtener más información. 24 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

25 Conexión y configuración del servidor blade Ampliación de versiones anteriores 2 Al ampliar el software o el hardware a partir de la instalación de la versión 5.5 de and Web Security Appliances, la versión 7,0 continúa utilizando las interconexiones de la instalación de la versión 5.5 (interconexión 1 para LAN1 e interconexión 2 para LAN2) cuando el servidor blade se configura para usar el modo estándar (no resistente). (La versión 5.6 de and Web Security Appliances utiliza la misma configuración de interconexión que McAfee Gateway 7.0.) No obstante, si opta por utilizar el modo resistente, debe volver a configurar la infraestructura de red para usar las interconexiones según se detalla en Instalación de las interconexiones para el modo resistente. Realización de copias de seguridad de la configuración actual Realice esta tarea para hacer copias de seguridad de la configuración actual del servidor McAfee Content Security Blade Server. Es aconsejable crear una copia de seguridad completa de la configuración del servidor blade antes de llevar a cabo una ampliación, aunque tenga previsto utilizar una de las opciones de ampliación que incluyen una copia de seguridad y restauración de la configuración. Procedimiento 1 En la interfaz de usuario, vaya a Sistema Administración del sistema Administración de configuración. 2 Seleccione los elementos opcionales que desee incluir en la copia de seguridad (pueden variar según la versión). Es aconsejable hacer copias de seguridad de todas las opciones antes de ampliar el servidor blade. 3 Haga clic en Configuración de copia de seguridad. 4 Tras un breve lapso de tiempo, aparece un cuadro de diálogo que le permite descargar el archivo de configuración con copia de seguridad a su equipo local. Apagado de los servidores blade de análisis Realice esta tarea para apagar los servidores blade de análisis de McAfee Content Security Blade Server. Antes de empezar Asegúrese de escoger un momento apropiado para apagar los servidores blade de análisis, es decir, cuando más bajo sea el nivel de tráfico de la red y más pequeña la interrupción. Procedimiento 1 Desde la interfaz de usuario del servidor blade de administración, vaya a Sistema Administración del sistema Administración de clústeres. 2 Introduzca la contraseña de administrador en el cuadro de texto. 3 Haga clic en Apagado, junto al servidor blade de análisis que desee apagar. 4 Si es necesario, repita el procedimiento con otros servidores blade de análisis que desee apagar. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 25

26 2 Conexión y configuración del servidor blade Ampliación de versiones anteriores Apagado de los servidores blade de administración Apague el servidor blade de administración para conmutación en caso de error o el servidor blade de administración de McAfee Content Security Blade Server. Antes de empezar Asegúrese de escoger un momento apropiado para apagar los servidores blade de administración, es decir, cuando más bajo sea el nivel de tráfico de la red y más pequeña la interrupción. Compruebe que todos los servidores blade de análisis se han apagado antes de comenzar a apagar los servidores blade de administración. Procedimiento 1 En la interfaz de usuario de administración para el servidor blade de administración o el servidor blade de administración para conmutación en caso de error, vaya a Sistema Administración del sistema Administración de clústeres. 2 Introduzca la contraseña en el cuadro de texto situado junto a Apagar dispositivo. 3 Haga clic en Apagar dispositivo. 4 Si es necesario, repita este procedimiento en el servidor blade de administración restante. Ampliación del software del servidor blade de administración Realice esta tarea para ampliar el software McAfee Content Security Blade Server instalado en los servidores blade de administración. Antes de empezar Familiarícese con el módulo Integrated Lights-Out de HP. Consulte HP Integrated Lights-Out User Guide para obtener más detalles. Realice esta tarea para ampliar el software McAfee Content Security Blade Server instalado en los servidores blade de administración para conmutación en caso de error y de administración. Cuando vaya a realizar la ampliación de un servidor McAfee Content Security Blade Server existente a la versión más reciente, asegúrese de instalar el software tanto en el servidor blade de administración como en el servidor blade de administración para conmutación en caso de error. Puede escoger el modo en que se va a ampliar el software del servidor blade: Instalación completa sobrescribiendo los datos existentes. Instalación del software conservando la configuración y los mensajes de correo electrónico. Instalación del software conservando solo la configuración de red. Instalación del software conservando solo la configuración. Debido a un cambio de arquitectura entre las versiones anteriores y actuales del software, al realizar una ampliación mediante un método que mantenga la configuración de la versión anterior debe asegurarse de modificar el Identificador de clúster y establecerlo en un valor entre 0 y 255. Esta configuración se puede encontrar en Sistema Administración del sistema Administración de clústeres. 26 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

27 Conexión y configuración del servidor blade Ampliación de versiones anteriores 2 Procedimiento 1 Apague el servidor blade de administración que se va a ampliar. 2 Elija el método de instalación: Inserte el CD-ROM que contiene el software McAfee Content Security Blade Server 7.0. En las carcasas M3, introduzca el CD-ROM en la unidad de CD-ROM integrada. En las carcasas M7, conecte la unidad de CD-ROM externa al servidor blade de administración que se va a ampliar. Cuando esté conectada, introduzca el CD-ROM en la unidad de CD-ROM. Conéctese a HP Onboard Administrator en la carcasa del servidor blade y, a continuación, acceda a cada servidor blade individual mediante el módulo Integrated Lights-Out de HP a través de Información de carcasa Compartimento del dispositivo. También puede elegir instalar el software desde una unidad USB que esté conectada al servidor blade o a la carcasa. 3 Una vez iniciada la sesión en HP Onboard Administrator, seleccione el servidor blade de administración deseado mediante la consola Integrated Lights-Out. El servidor blade de administración se encuentra en la ranura 1 y el servidor blade de administración para conmutación en caso de error, en la ranura 2 de la carcasa. 4 En HP Onboard Administrator, seleccione Información de carcasa Compartimento del dispositivo Opciones de arranque. 5 Compruebe que CD-ROM es el primer dispositivo que aparece en la lista de arranque. 6 Seleccione la ficha Dispositivos virtuales. 7 Haga clic en Pulsación momentánea para arrancar el servidor blade de administración desde el CD-ROM. 8 Siga las instrucciones que se le facilitan para seleccionar la opción de ampliación que necesite y para seleccionar las imágenes de software que se van a instalar. Si selecciona Instalación del software conservando la configuración y los mensajes de correo electrónico, la estructura de partición existente se restablecerá en el servidor blade. Esto quiere decir que, si amplía desde la instalación de la versión 5.5 de McAfee and Web Security Appliances, no se creará una partición de rescate. Con Instalación del software conservando solo la configuración de red o Instalación del software conservando solo la configuración, se creará una partición de rescate. Reinstalación de los servidores blade de análisis Vuelva a instalar los servidores blade de análisis en McAfee Content Security Blade Server. Antes de empezar Familiarícese con el módulo Integrated Lights-Out de HP. Consulte HP Integrated Lights-Out User Guide (Guía del usuario de Integrated Lights-Out de HP) para obtener más información. Procedimiento 1 En HP Onboard Administrator, seleccione Información de carcasa Compartimento del dispositivo para conectarse a la interfaz de HP Integrated Lights-Out para volver a instalar el servidor blade de análisis. 2 Seleccione la ficha Opciones de arranque. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 27

28 2 Conexión y configuración del servidor blade Instalación estándar 3 En la lista desplegable Arranque único desde:, seleccione Tarjeta de interfaz de red de PXE **. 4 Haga clic en Aplicar. 5 Seleccione la ficha Dispositivos virtuales. 6 Haga clic en Pulsación momentánea para arrancar el servidor blade de análisis a partir de la imagen almacenada en el servidor blade de administración. 7 Repita este proceso en cada servidor blade de análisis que se vuelva a instalar. Instalación estándar Instale McAfee Content Security Blade Server mediante la instalación estándar. La siguiente tabla proporciona una descripción general del proceso para instalar McAfee Content Security Blade Server. Los pasos de esta tabla también pueden llevarse a cabo como pasos preliminares en caso de que deba volver a configurar el servidor blade para su funcionamiento en modo resistente. Tabla 2-1 Pasos de la instalación estándar Este paso Desembale el paquete y compruebe que el contenido se corresponde con las listas de embalaje de la caja. 2. Monte la carcasa en el bastidor e instale el administrador de tarjeta (OA) y todas las interconexiones. se describe aquí. Listas de embalaje Instalación física del servidor blade Instalación de las interconexiones Véase también HP BladeSystem c3000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c3000) o HP BladeSystem c7000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c7000). HP BladeSystem c3000 Enclosure Setup and Installation Guide (Guía de instalación de la carcasa HP BladeSystem c3000) o HP BladeSystem c7000 Enclosure Setup and Installation Guide (Guía de instalación de la carcasa HP BladeSystem c7000). HP Integrated Lights-Out User Guide (Guía del usuario de Integrated Lights-Out de HP) 28 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

29 Conexión y configuración del servidor blade Instalación estándar 2 Tabla 2-1 Pasos de la instalación estándar (continuación) Este paso Conecte los dispositivos periféricos y enciéndalos. se describe aquí. Alimentación del servidor blade Véase también HP BladeSystem c3000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c3000) o HP BladeSystem c7000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c7000). HP BladeSystem c3000 Enclosure Setup and Installation Guide (Guía de instalación de la carcasa HP BladeSystem c3000) o HP BladeSystem c7000 Enclosure Setup and Installation Guide (Guía de instalación de la carcasa HP BladeSystem c7000). HP Integrated Lights-Out User Guide (Guía del usuario de Integrated Lights-Out de HP) 4. Conecte el servidor blade a la red. Conexión a la red 5. Configure HP Onboard Administrator. HP BladeSystem c3000 Enclosure Setup and Installation Guide o HP BladeSystem c7000 Enclosure Setup and Installation Guide 6. Instale el software en los servidores blade de administración. HP Integrated Lights-Out User Guide (Guía del usuario de Integrated Lights-Out de HP) Instalación del software 7. Lleve a cabo una configuración básica. Uso de la Consola de configuración 8. Seleccione el software para instalar. Imágenes de software 9. Instale cada uno de los servidores blade de análisis de contenido por separado y efectúe el arranque PXE desde el servidor blade de administración. 10. Enrute el tráfico de red de prueba a través del servidor blade. 11. Compruebe que se analiza el tráfico de red. 12. Configure las directivas y la generación de informes. 13. Configure el tráfico de producción que pasa a través del sistema. Instalación del software en un servidor blade de análisis de contenido Comprobación de la configuración Comprobación de la configuración Uso de directivas para administrar el análisis de mensajes Uso de la Consola de configuración Si conecta el servidor blade a la red, el acceso a Internet o el acceso a otros servicios de red pueden verse afectados. Asegúrese de que ha escogido un momento de inactividad de la red para ello y de que la planificación se corresponde con períodos de poco uso de la red. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 29

30 2 Conexión y configuración del servidor blade Instalación estándar Instalación física del servidor blade El servidor McAfee Content Security Blade Server debe colocarse e instalarse en la ubicación prevista. Si desea obtener más información sobre el montaje y desmontaje de los componentes y las carcasas del blade, consulte HP BladeSystem c3000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c3000) y HP BladeSystem c3000 Enclosure Setup and Installation Guide (Guía de instalación de la carcasa HP BladeSystem c3000) para carcasas M3, o HP BladeSystem c7000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c7000).y HP BladeSystem c7000 Enclosure Setup and Installation Guide (Guía de instalación de la carcasa HP BladeSystem c7000) para carcasas M7. Procedimiento 1 Extraiga el servidor blade del paquete que lo protege y colóquelo en una superficie plana. Debido a su peso, desembale el servidor blade lo más cerca posible de la ubicación de instalación. 2 Extraiga los componentes frontales, los componentes traseros y el armazón trasero del servidor blade. 3 Vuelva a instalar el armazón trasero, las fuentes de alimentación, los ventiladores de refrigeración, las interconexiones y los componentes del administrador de tarjeta. Para proporcionar redundancia en caso de que se produzca un fallo en una unidad de refrigeración o fuente de alimentación, es aconsejable instalar y utilizar todas las fuentes de alimentación y ventiladores de refrigeración. 4 Conecte un monitor y un teclado al servidor blade. 5 Conecte los cables de alimentación al monitor y al servidor blade, pero no los conecte aún a la fuente de alimentación. Instalación de las interconexiones para el modo estándar (no resistente) Instale los módulos de interconexión en la carcasa del servidor McAfee Content Security Blade Server. Antes de establecer conexiones, debe instalar y configurar las interconexiones de Ethernet. Tabla 2-2 Clave # Descripción Conexiones de alimentación Interconexión 1 (se conecta a LAN1) Interconexión 3 (se conecta a LAN2) En caso de ampliación de versiones anteriores en el hardware existente, consulte Configuración de las interconexiones al ampliar una versión anterior. Conexión del administrador de tarjeta Módulo del administrador de tarjeta Acceso fuera de banda (puerto 20) Esto solo se habilita tras la configuración de las interconexiones. 30 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

31 Conexión y configuración del servidor blade Instalación estándar 2 Carcasas M3 En las carcasas M3, las interconexiones se instalan en la parte posterior. La interconexión LAN1 se coloca en el compartimento de interconexión superior izquierdo y la LAN2, en el compartimento de interconexión inferior izquierdo. Figura 2-1 Modo estándar (no resistente): posición de los componentes traseros de la carcasa M3 Carcasas M7 En las carcasas M7, las interconexiones se instalan en la parte trasera, bajo la fila superior de ventiladores de refrigeración. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 31

32 2 Conexión y configuración del servidor blade Instalación estándar La interconexión LAN1 se coloca en el compartimento de interconexión superior izquierdo y la interconexión LAN2, inmediatamente debajo la interconexión LAN1 en el compartimento de interconexión inferior izquierdo. Figura 2-2 Modo estándar (no resistente): posición de los componentes traseros de la carcasa M7 Asegúrese de hacer lo siguiente: Desactivar el protocolo de árbol de expansión (STP, Spanning Tree Protocol) para el grupo del árbol de expansión 1 (de forma predeterminada, todos los puertos son miembros del grupo STP 1). (Si está instalando el servidor blade en modo Puente transparente). Configurar las listas de control de acceso (ACL) en las interconexiones para aislar los servidores blade de análisis de contenido de las direcciones DHCP externas de recepción. Configurar las listas de control de acceso (ACL) de modo que los paquetes de latido de blade se mantengan en los servidores blade. Si el tráfico con etiquetas VLAN va a pasar por el servidor blade, las interconexiones se deben configurar para permitir el paso de dicho tráfico. En la documentación incluida a continuación podrá encontrar información sobre el modo de hacerlo: HP GbE2c Layer 2/3 Ethernet Blade Switch for c-class BladeSystem Quick Setup (Guía de instalación rápida del conmutador de blade Ethernet de capa 2/3 GbE2c de HP para BladeSystem de clase C) HP GbE2c Layer 2/3 Ethernet Blade Switch for c-class BladeSystem User Guide (Guía del usuario del conmutador de blade Ethernet de capa 2/3 GbE2c de HP para BladeSystem de clase C) Si tiene previsto volver a configurar el servidor blade para un funcionamiento en modo resistente en una fecha posterior, puede interesarle llevar a cabo la instalación de todas las interconexiones necesarias en esta fase, según se detalla en Instalación de las interconexiones para el modo resistente. 32 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

33 Conexión y configuración del servidor blade Instalación estándar 2 Alimentación del servidor blade Conecte y encienda la alimentación de McAfee Content Security Blade Server. Para asegurarse de que todos los servidores blade se encienden, utilice dos circuitos de alimentación distintos. Si solo se utiliza uno y la configuración de administración de alimentación se configura como CA redundante (como se recomienda), algunos servidores blade no se encenderán. Procedimiento 1 Conecte los cables de alimentación del servidor blade a las unidades de alimentación del blade y a las tomas de alimentación. Si los cables de alimentación no son adecuados para el país en el que se van a utilizar, póngase en contacto con el proveedor. 2 Encienda el servidor blade con los botones para tal fin de los servidores blade de administración para conmutación en caso de error y de administración. Uso de las opciones de alimentación de CC Analice los requisitos de uso de las opciones de alimentación de CC con McAfee Content Security Blade Server. Si adquiere las opciones de alimentación pertinentes, McAfee Content Security Blade Server se puede alimentar mediante sistemas de alimentación de corriente continua. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 33

34 2 Conexión y configuración del servidor blade Instalación estándar Consulte HP BladeSystem c7000 Carrier-Grade Enclosure Setup and Installation Guide (Guía de instalación de la carcasa de calidad de operadora HP BladeSystem c7000) para obtener información sobre el uso de alimentación de CC con McAfee Content Security Blade Server. Para minimizar el riesgo de descarga eléctrica o de daños en el equipo, instale la fuente de alimentación de CC del sistema HP BladeSystem conforme a las siguientes directrices: La conexión de McAfee Content Security Blade Server al sistema de alimentación de CC deberán realizarla únicamente electricistas cualificados con experiencia en sistemas de alimentación de CC. Instale el producto en un lugar de acceso restringido únicamente. Conecte el producto a una fuente de alimentación de CC que se pueda clasificar como circuito secundario de acuerdo con los requisitos nacionales aplicables para los equipamientos informáticos. Por lo general, estos requisitos se basan en el Estándar internacional para la seguridad de los equipos informáticos, IEC La fuente debe disponer de al menos un polo (neutral/de retorno) con referencia a tierra real, de acuerdo con los códigos y reglamentos eléctricos regionales. Conecte el producto a un dispositivo de distribución eléctrica que ofrezca un medio para desconectar la alimentación del circuito de derivación de alimentación. El dispositivo de distribución eléctrica debe incluir un dispositivo de protección de sobrecorriente que pueda interrumpir la corriente de falla disponible desde la fuente principal, y que cuente con un valor nominal no superior a 120 A. Conecte el cable compuesto verde/amarillo a un terminal de conexión a tierra. No confíe en el chasis del bastidor o armario para garantizar una toma de tierra adecuada. Asegúrese siempre de que el equipo cuenta con una conexión a tierra correcta y de que sigue los procedimientos de puesta a tierra adecuados antes de iniciar ningún procedimiento de instalación. Una conexión a tierra inadecuada puede provocar daños por descargas electrostáticas (ESD) en los componentes electrónicos. Conexión a la red Aprenda a conectar Gateway a la red. Las interconexiones y los cables que utilice para conectar el servidor blade a su red dependen del modo de red que seleccione para el servidor blade. Para obtener más información acerca de los modos de red, consulte Consideraciones sobre los modos de red. Cuando realice la ampliación a partir de una versión anterior de un hardware existente, consulte Configuración de las interconexiones al ampliar una versión anterior para obtener información sobre las conexiones de red que se deben utilizar. 34 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

35 Conexión y configuración del servidor blade Instalación estándar 2 En modo estándar, se necesitan las siguientes conexiones entre el servidor blade y los conmutadores de red: Modo Puente transparente: el servidor blade actúa a modo de puente entre dos segmentos de red. Conecte la interconexión 1 (LAN1) a un segmento y la interconexión 3 (LAN2) al otro mediante los cables conectados a uno de los puertos situados en cada una de las unidades de interconexión. La conexión de administración fuera de banda se puede realizar con otro de los puertos LAN2 y configurar según corresponda. Modo Enrutador transparente: el servidor blade actúa a modo de enrutador, uniendo dos redes separadas. Conecte la interconexión 1 (LAN1) a una red y la interconexión 3 (LAN2) a la otra mediante los cables conectados a uno de los puertos situados en cada una de las unidades de interconexión. La conexión de administración fuera de banda se puede realizar con otro de los puertos LAN2 y configurar según corresponda. Modo Proxy explícito: se necesita una única conexión entre la interconexión 3 (LAN2) y su red (en los sistemas ampliados que utilizan hardware más antiguo, LAN2 se conecta mediante la interconexión 2). LAN1 se puede utilizar para establecer conexión con la red, pero el máximo rendimiento se obtiene cuando se utiliza LAN1 para la red de análisis en el servidor blade (esta limitación no se aplica cuando se utiliza el modo resistente). Uso de conexiones LAN de cobre Sepa cómo conectar Gateway a la red mediante conexiones de cobre. Con las conexiones de interconexión de LAN1 y LAN2, y los cables de red proporcionados (o los cables Ethernet Cat 5e o Cat 6 equivalentes), conecte el servidor blade a la red de acuerdo con el modo de red que haya elegido. Modo Puente transparente Use los cables LAN de cobre (proporcionados) para conectar los conmutadores de LAN1 y LAN2 de Gateway a la red, de forma que quede insertado en la transmisión de datos. Modo Enrutador transparente Gateway funciona como un enrutador. Los segmentos LAN conectados a sus dos interfaces de red deben, por tanto, estar en subredes IP distintas. Debe sustituir un enrutador existente o crear una nueva subred en un extremo del dispositivo. Para ello, cambie la dirección IP o la máscara de red usada por los equipos de esa parte. Modo Proxy explícito Use un cable LAN de cobre (proporcionado) para conectar el conmutador de LAN1 o LAN2 a la red. El cable es directo (no cruzado) y conecta el dispositivo a un conmutador de red normal RJ-45 no cruzado. LAN1 se puede utilizar para establecer conexión con la red, pero el máximo rendimiento se obtiene cuando se utiliza LAN1 para la red de análisis en el servidor blade (esta limitación no se aplica cuando se utiliza el modo resistente). McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 35

36 2 Conexión y configuración del servidor blade Instalación del software Uso de conexiones LAN de fibra Modo de conexión de Gateway a la red mediante conexiones de fibra óptica. Antes de establecer cualquier tipo de conexión, debe instalar los receptores SFP (del inglés, Small Form-Factor Pluggable) de fibra óptica. Para ello, consulte HP GbE2c Layer 2/3 Ethernet Blade Switch for c-class BladeSystem (Guía de instalación rápida del conmutador de blade Ethernet de capa 2/3 GbE2c de HP para BladeSystem de clase C). Utilice únicamente receptores SFP de fibra óptica suministrados por HP o McAfee. El uso de receptores SFP de otros proveedores puede impedir el acceso al servidor blade. Con los cables de fibra y las interconexiones LAN1 y LAN2, conecte el servidor blade a la red de acuerdo con el modo de red que haya elegido. Modo Puente transparente Utilice los cables de fibra para conectar las interconexiones LAN1 y LAN2 a su red. Modo Router transparente Utilice los cables de fibra para conectar las interconexiones LAN1 y LAN2 a diferentes subredes IP. Modo Proxy explícito Utilice un cable de fibra para conectar las interconexiones LAN2 del servidor blade a la red. LAN1 se puede utilizar para establecer conexión con la red, pero el máximo rendimiento se obtiene cuando se utiliza LAN1 para la red de análisis en el servidor blade (esta limitación no se aplica cuando se utiliza el modo resistente). Instalación del software El software McAfee Gateway debe instalarse tanto en el servidor blade de administración como en el servidor blade de administración para conmutación en caso de error. Orden de instalación de los servidores blade de administración Instale simultáneamente los dos servidores blade de administración. Instale físicamente tanto el servidor blade de administración para conmutación en caso de error como el de administración en las ranuras 1 y 2 de la carcasa del servidor blade. Siga las instrucciones proporcionadas en Instalación del software en los servidores blade de administración, conecte ambos servidores e instale el software. Mediante la configuración simultánea de ambos servidores blade de administración no solo se agiliza el proceso, sino que se evita que se asigne una dirección IP al segundo servidor blade de administración en la red de análisis cuando el primero inicia su servidor DHCP. 36 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

37 Conexión y configuración del servidor blade Instalación del software 2 Instalación del software en los servidores blade de administración Instale el software en el servidor blade de administración y en el servidor blade de administración para conmutación en caso de error. Antes de empezar Compruebe si hay versiones más recientes del software disponibles en el sitio de descarga de McAfee: Necesitará un número de concesión válido. Puede instalar el software en el servidor blade tanto in situ como de forma remota con la prestación Integrated Lights-Out. La prestación Integrated Lights-Out cuenta con una función multimedia virtual que puede utilizar para instalar de forma remota una unidad física de CD-ROM, un archivo de imagen iso o una unidad USB que contiene información de instalación. Procedimiento 1 Introduzca el servidor blade de administración en la posición 1 y el servidor blade de administración para conmutación en caso de error en la posición 2 de la carcasa del servidor blade. 2 Conéctese al servidor blade: Para la carcasa M3, conecte un monitor y un teclado a KVM, que se encuentra en la parte posterior del chasis. A continuación, con la interfaz de KVM, monte la unidad de CD/DVD-ROM en el servidor blade de administración que se está instalando. Para la carcasa M7, utilice el cable proporcionado y conecte un monitor, un teclado y una unidad de CD-ROM o USB al conector directo del servidor blade de administración para conmutación en caso de error y del servidor blade de administración. Para la instalación remota, acceda al módulo Integrated Lights-Out mediante el administrador de tarjeta para establecer una sesión de KVM remota. 3 Arranque el servidor blade de administración o el servidor blade de administración para conmutación en caso de error desde el CD de recuperación e instalación. El software se instala en el servidor blade seleccionado. 4 Defina la configuración básica. Consulte Uso de la consola de configuración. Sincronización de cambios en la configuración Conozca cómo se sincronizan los cambios de configuración entre servidores blade. Todo cambio realizado en la configuración del servidor blade de administración se sincroniza automáticamente con el servidor blade de administración para conmutación en caso de error y con los servidores blade de análisis de contenido. En Panel, compruebe el estado del servidor blade de administración para conmutación en caso de error y del servidor blade de administración para asegurarse de que se ha producido la sincronización. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 37

38 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Instalación del software en un servidor blade de análisis de contenido Instale el software en un servidor blade de análisis de contenido. Procedimiento 1 En la interfaz de usuario, seleccione Panel. En la parte inferior de la página aparece Estado de blade. 2 Introduzca el servidor blade de análisis de contenido en la carcasa. El servidor blade aparece en la página Estado de blade con el estado INSTALACIÓN. El software se instala automáticamente en el servidor blade de análisis de contenido desde el servidor blade de administración. Para que se complete este proceso son necesarios unos 10 minutos aproximadamente. 3 La información se actualiza automáticamente. Tras unos minutos, el estado pasa a ARRANQUE, después a SINCRONIZACIÓN y, a continuación, a ACEPTAR. El nuevo servidor blade de análisis de contenido ya está operativo. Uso de la Consola de configuración Conozca cómo usar la consola de configuración para configurar McAfee GatewayMcAfee Gateway. Ahora puede configurar McAfee Content Security Blade Server desde la Consola de configuración o desde el Asistente de instalación en la interfaz de usuario. La configuración solo se aplica a los servidores blade de administración y a los servidores blade de administración para conmutación en caso de error, pero no a los servidores blade de análisis. La Consola de configuración se inicia automáticamente en la última fase de la secuencia de inicio, después de lo siguiente: Se inicia un dispositivo Gateway no configurado. O bien, el restablecimiento de los valores predeterminados de Gateway. Cuando se inicia la Consola de configuración, esta le proporciona una serie de opciones para configurar el dispositivo en el idioma que desee desde la consola de Gateway; o bien, instrucciones para que se conecte al Asistente de configuración en la interfaz de usuario desde otro equipo de la misma subred de clase C. Ambos métodos le proporcionan las mismas opciones para configurar Gateway. En la Consola de configuración, puede configurar una nueva instalación del software del dispositivo. Sin embargo, para configurar el dispositivo con una configuración guardada con anterioridad, necesita iniciar sesión en la interfaz de usuario del dispositivo y ejecutar el Asistente de instalación (Sistema Asistente de instalación). Otra novedad de esta versión del software es la configuración automática a través de DHCP para los parámetros siguientes: Nombre de host Servidor DNS Nombre de dominio Concesión de dirección IP Gateway predeterminada Servidor NTP 38 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

39 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Bienvenida Utilice esta página para seleccionar el tipo de instalación que desee seguir. Esta es la primera página del Asistente para la instalación. En esta página podrá seleccionar el tipo de instalación que desea realizar. Configuración personalizada: utilice esta opción para seleccionar el modo operativo del dispositivo. Puede optar por proteger el tráfico de correo mediante los protocolos SMTP y POP3. Utilice esta opción si necesita configurar IPv6 y realizar otros cambios en la configuración predeterminada. Restaurar desde un archivo: (opción no disponible desde la Consola de configuración) utilice esta opción para configurar el dispositivo según una configuración guardada con anterioridad. Tras importar el archivo, podrá comprobar la configuración importada antes de que finalice el asistente. Si el archivo provenía de una versión anterior de McAfee and Web Security Appliance, algunos detalles no estarán disponibles. Configuración de solo cifrado: use esta opción para configurar el dispositivo como servidor de cifrado independiente. El dispositivo funciona en uno de los siguientes modos: Puente transparente, Router transparente o Proxy explícito. El modo influye en cómo el usuario integra el dispositivo en la red y en cómo el dispositivo administra el tráfico. Sólo necesitará modificar el modo si reestructura la red. Realización de una configuración personalizada Esta información le ayuda a comprender la finalidad de la configuración personalizada. La opción Configuración personalizada le ofrece mayor control sobre las opciones que puede seleccionar, incluido el modo operativo del dispositivo. Puede optar por proteger el tráfico de correo mediante los protocolos SMTP y POP3. Utilice esta opción de configuración si necesita configurar IPv6 y realizar otros cambios en la configuración predeterminada. En el caso de la Configuración personalizada, el asistente incluye las páginas siguientes: Configuración de correo electrónico DNS y enrutamiento Configuración básica Configuración de hora Configuración de red Contraseña Administración de clústeres Resumen Página Configuración básica (Configuración personalizada) Utilice esta página al seleccionar el Asistente de configuración personalizada para especificar la configuración básica del dispositivo. El dispositivo intenta proporcionarle información y muestra la información resaltada en ámbar. Para cambiar la información, haga clic y vuelva a escribir. Opción Modo de clúster Definición Define las opciones que aparecen en la página Administración de clústeres del Asistente de configuración. Dispositivo principal del clúster: el dispositivo controla la carga de trabajo de análisis para otros dispostivos. Dispositivo de conmutación en caso de error del clúster: si el dispositivo principal del clúster falla, este dispositivo controla la carga de trabajo de análisis en su lugar. Nombre del dispositivo Especifica un nombre como, por ejemplo, dispositivo1. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 39

40 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Nombre de dominio Gateway predeterminada Router de salto siguiente Interfaz de red Definición Especifica un nombre como, por ejemplo, dominio1.com. Especifica una dirección IPv4 como, por ejemplo, Puede probar más tarde si el dispositivo se puede comunicar con este servidor. Especifica una dirección IPv6 como, por ejemplo, FD4A:A1B2:C3D4::1. Está disponible cuando establece Router de salto siguiente para IPv6. Página Configuración de red Estas opciones le permiten ver y configurar la dirección IP y las velocidades de red del dispositivo. Puede usar direcciones IPv4 e IPv6, de forma independiente o en combinación. Para evitar la duplicación de direcciones IP en su red y para disuadir a los piratas informáticos, proporcione al dispositivo nuevas direcciones IP y desactive las direcciones IP predeterminadas. Las direcciones IP deben ser únicas y adecuadas para la red. Especifique tantas direcciones IP como necesite. Opción modo Interfaz de red 1 Interfaz de red 2 Cambiar la configuración de la red Ver diseño de interfaz de red Definición Modo operativo establecido durante la instalación o en el asistente de configuración. Se amplía para mostrar la dirección IP y la máscara de red asociada a la Interfaz de red 1, el estado de negociación automática y el tamaño de MTU. Se amplía para mostrar la dirección IP y la máscara de red asociada a la Interfaz de red 2, el estado de negociación automática y el tamaño de MTU. Haga clic para abrir el Asistente de interfaces de red para especificar la dirección IP y la configuración del adaptador para la tarjeta de interfaz de red (NIC) 1 y la tarjeta de interfaz de red (NIC) 2, y modificar el modo operativo elegido. Haga clic para ver la Ayuda (?) asociada a la LAN1, LAN2 y la interfaz de fuera de banda. Asistente de las interfaces de red Utilice el Asistente de interfaces de red para cambiar el modo operativo seleccionado y especificar la dirección IP y la configuración del adaptador de la tarjeta de interfaz de red (NIC) 1 y la tarjeta de interfaz de red (NIC) 2. Las opciones que ve en el Asistente de interfaces de red dependen del modo operativo. En la primera página del asistente, puede cambiar el modo operativo del dispositivo. Puede cambiar la configuración haciendo clic en Cambiar configuración de red para iniciar un asistente. Haga clic en Siguiente para avanzar por el asistente. En el modo Proxy explícito, algunos dispositivos de red envían tráfico a los dispositivos. El dispositivo funciona entonces como proxy y procesa el tráfico en lugar de los dispositivos. En el modo Router transparente o en el modo Puente transparente, otros dispositivos de red, como los servidores de correo electrónico, ignoran que el dispositivo ha interceptado y analizado el correo electrónico antes de reenviarlo. El funcionamiento del dispositivo es transparente para los dispositivos. Si tiene un dispositivo independiente que se está ejecutando en modo Puente transparente, podrá añadir un dispositivo de omisión en caso de que falle el dispositivo. 40 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

41 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Si el dispositivo funciona en modo Puente transparente y se ejecuta el protocolo de árbol de expansión (STP) en la red, asegúrese de que el dispositivo está configurado de acuerdo con las reglas de STP. Además, puede configurar un dispositivo de omisión en modo de puente transparente. Para configurar McAfee Content Security Blade Server para que realice la conmutación en caso de error desde el servidor blade de administración al servidor blade de administración para conmutación en caso de error, debe especificar al menos una dirección IP virtual que esté compartida por el servidor blade de administración y el servidor blade de administración para conmutación en caso de error. Asistente de interfaces de red: modo Proxy explícito Utilice el Asistente de interfaces de red para cambiar el modo operativo seleccionado y especificar la dirección IP y la configuración del adaptador de la tarjeta de interfaz de red (NIC) 1 y la tarjeta de interfaz de red (NIC) 2. Esta versión del Asistente de interfaces de red pasa a estar disponible al seleccionar el modo Proxy explícito. Especifique los detalles de la Interfaz de red 1 y, a continuación, utilice el botón Siguiente para definir los detalles de la Interfaz de red 2 según sea necesario. Página Interfaz de red 1 o Interfaz de red 2 Opción Dirección IP Definición Especifica las direcciones de red para que el dispositivo se comunique con la red. Puede especificar varias direcciones IP para los puertos de red del dispositivo. La dirección IP de la parte superior de la lista es la dirección principal. El resto de direcciones situadas bajo la principal son alias. Debe tener al menos una dirección IP tanto en la Interfaz de red 1 como en la Interfaz de red 2. No obstante, puede anular la selección de la opción Activado situada junto a las direcciones IP en las que no desee escuchar. Máscara de red Activado Virtual Especifica la máscara de red. En IPv4, puede usar un formato como o notación de CIDR, como 24. En IPv6, debe usar la longitud del prefijo; por ejemplo, 64. Cuando se selecciona, el dispositivo acepta las conexiones en la dirección IP. Cuando se selecciona, el dispositivo trata esta dirección IP como una dirección virtual. Esta opción sólo aparece en configuraciones del clúster o en McAfee Content Security Blade Server. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 41

42 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Nueva dirección/ Eliminar direcciones seleccionadas Opciones de adaptador de tarjeta de interfaz de red 1 (NIC) u Opciones de adaptador de tarjeta de interfaz de red 2 (NIC) Definición Añadir una nueva dirección o eliminar una dirección IP seleccionada. Amplíela para definir las siguientes opciones: Tamaño de MTU: especifica el tamaño de la unidad máxima de transmisión o MTU (Maximum Transmission Unit). El tamaño de MTU es el tamaño máximo (expresado en bytes) de una unidad de datos (por ejemplo, una trama Ethernet) que se puede enviar a través de la conexión. El valor predeterminado es de bytes. Velocidad de la conexión: Proporciona un intervalo de velocidades. El valor predeterminado es 100 MB. Para sistemas conectados por fibra, se trata de un valor fijo de 1 GB. Activar configuración automática de IPv6: seleccione esta opción para permitir que el dispositivo configure automáticamente sus direcciones IPv6 y el router de salto siguiente predeterminado de IPv6 mediante la recepción de mensajes de Router Advertisement enviados desde el router de IPv6. Esta opción no se encuentra disponible de forma predeterminada si el dispositivo se está ejecutando en modo de router transparente, si forma parte de la configuración de un clúster o si se está ejecutando como parte de una instalación del servidor blade. Asistente de interfaces de red: modo Router transparente Utilice el Asistente de interfaces de red para cambiar el modo operativo seleccionado y, después, especificar la dirección IP y la configuración del adaptador de la tarjeta de interfaz de red (NIC) 1 y la tarjeta de interfaz de red (NIC) 2. Páginas Interfaz de red 1 o Interfaz de red 2 Opción Dirección IP Máscara de red Activado Virtual Definición Especifica las direcciones de red para que el dispositivo se comunique con la red. Puede especificar numerosas direcciones IP para los puertos del dispositivo. La dirección IP de la parte superior de una lista es la dirección principal. El resto de direcciones situadas bajo la principal son alias. Permite especificar la máscara de red; por ejemplo: En IPv4, puede usar un formato como o notación de CIDR, como 24. En IPv6, debe usar la longitud del prefijo; por ejemplo, 64. Cuando se selecciona, el dispositivo acepta las conexiones en dicha dirección IP. Cuando se selecciona, el dispositivo trata esta dirección IP como una dirección virtual. Esta opción sólo aparece en configuraciones del clúster o en McAfee Content Security Blade Server. 42 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

43 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Opción Nueva dirección/eliminar direcciones seleccionadas Opciones de adaptador de tarjeta de interfaz de red 1 (NIC) u Opciones de adaptador de tarjeta de interfaz de red 2 (NIC) Definición Añadir una nueva dirección o eliminar una dirección IP seleccionada. Amplíela para definir las siguientes opciones: Tamaño de MTU: Especifica el tamaño de la unidad máxima de transmisión o MTU (Maximum Transmission Unit). El tamaño de MTU es el tamaño máximo (expresado en bytes) de una unidad de datos (por ejemplo, una trama Ethernet) que se puede enviar a través de la conexión. El valor predeterminado es de 1500 bytes. Velocidad de la conexión: Proporciona un intervalo de velocidades. El valor predeterminado es 100 MB. Para sistemas conectados por fibra, se trata de un valor fijo de 1 GB. Activar configuración automática de IPv6: Seleccione esta opción para permitir al dispositivo configurar automáticamente sus direcciones IPv6 y el router de salto siguiente predeterminado de IPv6 mediante la recepción de mensajes de Router Advertisement enviados desde el router de IPv6. Esta opción no se encuentra disponible de forma predeterminada si el dispositivo se está ejecutando en modo de enrutador transparente, si forma parte de la configuración de un clúster o si se está ejecutando como parte de una instalación del servidor blade. Activar envío de anuncios de router IPv6 en esta interfaz: Cuando esté activado, permite el envío de anuncios de router IPv6 a equipos en la subred que necesita una respuesta de router para completar la configuración automática. Asistente de interfaces de red: modo Puente transparente Utilice el Asistente de interfaces de red para cambiar el modo operativo seleccionado y especificar la dirección IP y la configuración del adaptador de la tarjeta de interfaz de red (NIC) 1 y la tarjeta de interfaz de red (NIC) 2. Especifique los detalles del Puente Ethernet y después use el botón Siguiente para establecer los detalles de Spanning Tree Protocol y del Dispositivo de omisión según sea necesario. Definiciones de opciones: página Puente Ethernet Opción Seleccionar todo Dirección IP Máscara de red Activado Definición Haga clic para seleccionar todas las direcciones IP. Especifica las direcciones de red para que el dispositivo se comunique con la red. Puede especificar numerosas direcciones IP para los puertos del dispositivo. Las direcciones IP se combinan en una lista para ambos puertos. La dirección IP de la parte superior de una lista es la dirección principal. El resto de direcciones situadas bajo la principal son alias. Use los vínculos Mover para reubicar las direcciones según sea necesario. Permite especificar la máscara de red; por ejemplo: En IPv4, puede usar un formato como o notación de CIDR, como 24. En IPv6, debe usar la longitud del prefijo; por ejemplo, 64. Cuando se selecciona, el dispositivo acepta las conexiones en dicha dirección IP. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 43

44 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Nueva dirección/ Eliminar direcciones seleccionadas Opciones de adaptador de tarjeta de interfaz de red (NIC) Definición Añadir una nueva dirección o eliminar una dirección IP seleccionada. Amplíela para definir las siguientes opciones: Tamaño de MTU: especifica el tamaño de la unidad máxima de transmisión o MTU (Maximum Transmission Unit). El tamaño de MTU es el tamaño máximo (expresado en bytes) de una unidad de datos (por ejemplo, una trama Ethernet) que se puede enviar a través de la conexión. El valor predeterminado es de bytes. Velocidad de la conexión: Proporciona un intervalo de velocidades. El valor predeterminado es 100 MB. Para sistemas conectados por fibra, se trata de un valor fijo de 1 GB. Activar configuración automática de IPv6: seleccione esta opción para permitir que el dispositivo configure automáticamente sus direcciones IPv6 y el router de salto siguiente predeterminado de IPv6 mediante la recepción de mensajes de Router Advertisement enviados desde el router de IPv6. Esta opción no se encuentra disponible de forma predeterminada si el dispositivo se está ejecutando en modo de router transparente, si forma parte de la configuración de un clúster o si se está ejecutando como parte de una instalación del servidor blade. Definiciones de opciones: página Configuración de protocolo de árbol de expansión Opción Activar STP Prioridad de puente Parámetros avanzados Definición STP está activado de forma predeterminada. Establece la prioridad del puente STP. Los números más bajos tienen una prioridad más alta. El número máximo que se puede definir es Amplíela para definir las siguientes opciones. Modifique la configuración sólo si es consciente de las posibles consecuencias o tras haber consultado a un experto: Retraso de reenvío Intervalo de saludo (segundos) Tiempo transcurrido máximo (segundos) Intervalo de recopilación de elementos no utilizados (segundos) Intervalo transcurrido (segundos) Definiciones de las opciones: página Configuración del dispositivo de omisión Opción Definición El dispositivo de omisión hereda la configuración de aquella introducida en Opciones de adaptador de tarjeta de interfaz de red (NIC). Seleccionar dispositivo de omisión Tiempo de espera de vigilancia (segundos) Realice la selección entre dos dispositivos admitidos. En el caso del dispositivo de omisión, se trata del tiempo en segundos que puede transcurrir antes de que el sistema omita el dispositivo. 44 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

45 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Opción Intervalo de latidos (segundos) Parámetros avanzados Definición Definido para supervisar los latidos de forma predeterminada. Esta opción se activa al seleccionar un dispositivo de omisión. Modo: seleccione si desea supervisar el latido o el latido y la actividad de vínculos. Tiempo de espera de actividad de vínculos (segundos): se activa al seleccionar Supervisar actividad de vínculos y latidos en Modo. Activar el timbre: Activado de forma predeterminada. Si el dispositivo de omisión no detecta la señal de latido para el Tiempo de espera de vigilancia configurado, sonará el timbre. Página Administración de clústeres Utilice esta página para especificar los requisitos de equilibrio de administración de clústeres. En función del modo de clúster que haya seleccionado en la página Configuración básica, las opciones que aparecen en la página Administración de clústeres cambiarán. Administración de clústeres (dispositivo principal del clúster) En el modo proxy explícito o enrutador transparente, puede permitir la conmutación en caso de error entre dos dispositivos de un clúster asignando una dirección IP virtual a este dispositivo y configurando otro dispositivo como dispositivo de conmutación en caso de error del clúster mediante la misma dirección virtual. En el modo de puente transparente, puede lograr el mismo efecto estableciendo una prioridad de STP alta para este dispositivo y configurando otro dispositivo como dispositivo de conmutación en caso de error del clúster con una prioridad de STP más baja. Opción Identificador de clúster Dirección que se debe utilizar para el equilibrio de carga Definición Si cuenta con más de un clúster o servidor McAfee Content Security Blade Server en la misma subred, asigne a cada uno de ellos un Identificador de clúster diferente para asegurarse de que los clústeres no entren en conflicto. El intervalo permitido es Especifica la dirección del dispositivo. Definiciones de las opciones: Configuración avanzada de dispositivo de análisis Utilice esta área para obtener un control sencillo de los dispositivos de análisis conectados. Asimismo, puede configurar los dispositivos para compartir espacio en disco para el almacenamiento de los mensajes de Secure Web Mail. Los dispositivos en un clúster se identifican mediante sus direcciones MAC (control de acceso al medio). Al agregar una dirección MAC a la tabla, tendrá la posibilidad de desactivarla, lo que significa que las solicitudes de análisis no se enviarán al dispositivo y compartirán espacio en disco. Opción Definición Dirección MAC Especifica la dirección de control de acceso al medio (MAC) del dispositivo en 12 dígitos hexadecimales con el siguiente formato: A1:B2:C3:D4:E5:F6. Desactivado Agregar dirección MAC Seleccione esta opción para quitar el dispositivo del conjunto de dispositivos de análisis. Haga clic en esta opción para agregar la dirección MAC de un nuevo dispositivo. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 45

46 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Administrar direcciones MAC Bloquear servidor DHCP para direcciones MAC Definición Abre el cuadro de diálogo Direcciones MAC que permite administrar la lista de direcciones MAC disponibles. Seleccione esta opción para evitar que el servidor blade de administración confirme las solicitudes DHCP enviadas mediante hosts arbitrarios en su red. Si se selecciona, agregue a la tabla de direcciones MAC las direcciones MAC de cualquier servidor blade de análisis que desee agregar a Content Security Blade Server. De lo contrario, el servidor blade de análisis no podrá obtener la dirección IP correcta. Aunque puede agregar las direcciones MAC de los dispositivos de conmutación en caso de error y administración en esta tabla, siempre contribuyen al espacio en disco para los mensajes de Secure Web Mail y no se pueden desactivar. Administración de clústeres (dispositivo de conmutación en caso de error del clúster) Opción Dirección que se debe utilizar para el equilibrio de carga Identificador de clúster Definición Especifica la dirección del dispositivo. Proporciona una lista de todas las subredes asignadas al dispositivo. Si cuenta con más de un clúster o servidor McAfee Content Security Blade Server en la misma subred, asigne a cada uno de ellos un Identificador de clúster diferente para asegurarse de que los clústeres no entren en conflicto. El intervalo permitido es Página DNS y enrutamiento En esta página podrá configurar el uso de DNS y rutas del dispositivo. Los servidores de sistema de nombres de dominio (DNS) traducen o asignan los nombres de los dispositivos de red a direcciones IP (y a la inversa). El dispositivo envía solicitudes a los servidores DNS en el orden en que aparecen en esta lista. 46 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

47 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Direcciones del servidor DNS Opción Dirección del servidor Nuevo servidor/ Eliminar servidores seleccionados Enviar las consultas solo a estos servidores Definición Muestra las direcciones IP de los servidores DNS. El primer servidor de la lista debe ser el servidor más rápido o fiable. Si el primer servidor no puede resolver la solicitud, el dispositivo se pone en contacto con el segundo servidor. Si ningún servidor de la lista puede resolver la solicitud, el dispositivo reenvía dicha solicitud a los servidores de nombre raíz de DNS de Internet. Si su firewall impide las búsquedas DNS (normalmente en el puerto 53), especifique la dirección IP de un dispositivo local que permita la resolución de nombres. Añade un nuevo servidor a la lista o elimina uno cuando, por ejemplo, es necesario anular un servidor debido a cambios en la red. Seleccionada de forma predeterminada. Es aconsejable mantener esta opción seleccionada, puesto que, como el dispositivo envía las consultas a los servidores DNS especificados únicamente, se pueden agilizar las consultas de DNS. Si no conocen la dirección, se dirigen a los servidores DNS raíz en Internet. Cuando obtienen una respuesta, el dispositivo la recibe y la almacena en caché de modo que otros servidores que envían consultas al servidor DNS puedan obtener una respuesta con mayor rapidez. Si anula la selección de esta opción, el dispositivo intenta primero resolver las solicitudes o bien puede enviar una consulta a los servidores DNS que se encuentran fuera de la red. Configuración de enrutamiento Opción Dirección de red Definición Introduzca la dirección de red de la ruta. Máscara Especifica la cantidad de hosts que hay en la red, por ejemplo, Gateway Métrica Nueva ruta/eliminar rutas seleccionadas Activar enrutamiento dinámico Especifica la dirección IP del router que se esté utilizando como siguiente salto fuera de la red. La dirección (IPv4) o :: (IPv6) quiere decir que el router no tiene ninguna gateway predeterminada. Especifica las preferencias definidas para la ruta. Un número bajo indica una preferencia alta para esa ruta. Añada una ruta nueva a la tabla o elimínelas. Utilice las flechas para desplazar las rutas hacia arriba y hacia abajo en la lista. Las rutas se seleccionan en función de su valor métrico. Utilice esta opción en el modo de enrutador transparente únicamente. Cuando se habilita, el dispositivo puede: Difundir la información de enrutamiento recibida por RIP (predeterminado) que se aplica a la tabla de enrutamiento de modo que no sea necesario duplicar la información de enrutamiento en el dispositivo que ya está presente en la red Difundir información de enrutamiento si se han configurado rutas estáticas a través de la interfaz de usuario por RIP McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 47

48 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Página Configuración de correo electrónico (Configuración personalizada) Esta información explica las opciones disponibles en esta página. Configuración inicial del correo electrónico Opción Activar protección contra programas potencialmente no deseados... Activar comentarios de McAfee Global Threat Intelligence Analizar tráfico SMTP/Analizar tráfico POP3 Definición Haga clic para activar la protección contra programas potencialmente no deseados. Lea el aviso de McAfee acerca de las posibles consecuencias de la activación de esta protección. Haga clic en Qué es esto? para leer la información sobre el uso que se da a los comentarios y ver la directiva de privacidad de McAfee. Ambos protocolos están seleccionados de forma predeterminada. Cancele la selección de un protocolo para evitar el análisis. Definiciones de opciones: dominios de los que el dispositivo aceptará o rechazará correo electrónico Estas opciones permiten definir el modo en que el dispositivo retransmitirá el correo electrónico. Una vez finalizado el Asistente de configuración, podrá administrar los dominios desde Correo electrónico Configuración de correo electrónico Recepción de correo electrónico Opción Nombre de dominio/dirección de red/registro MX Tipo Definición Muestra los nombres de dominios, los nombres de dominios de caracteres comodines, las direcciones de red y las búsquedas de MX a partir de los cuales el dispositivo aceptará o rechazará los mensajes de correo electrónico. Nombre de dominio: por ejemplo, example.dom. El dispositivo se sirve de esto para comparar la dirección de correo electrónico del destinatario y la conexión con una búsqueda de registros A. Dirección de red: por ejemplo, /32 o /24. El dispositivo se sirve de esto para comparar la dirección IP de correo electrónico literal del destinatario, como user@[ ], o la conexión. Búsqueda de registros MX: por ejemplo, example.dom. El dispositivo se sirve de esto para comparar la conexión con una búsqueda de registros MX. Nombre de dominio con caracteres comodines: por ejemplo, *.example.dom. El dispositivo utiliza esta información únicamente para comparar las direcciones de correo electrónico de los destinatarios. Categoría Dominio local Dominio permitido Dominio denegado 48 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

49 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Opción Agregar dominio Definición Haga clic para especificar los dominios que pueden retransmitir mensajes al destinatario a través del dispositivo. Puede escoger entre: Dominio local: éstos son los dominios o las redes cuyos mensajes de correo electrónico se aceptan para su entrega. Para mayor comodidad, puede importar una lista de nombres de dominios locales mediante las opciones Importar listas y Exportar listas. Es aconsejable que añada como dominios locales todos los dominios o redes a los que se permite retransmitir mensajes. Dominio permitido: se acepta el correo electrónico. Utilice los dominios permitidos para administrar excepciones. Dominio denegado: se rechaza el correo electrónico. Utilice los dominios denegados para administrar excepciones. Mantenga el cursor del ratón sobre el campo para ver el formato recomendado. Debe definir al menos un dominio local. Agregar búsqueda de MX Eliminar elementos seleccionados Haga clic aquí para especificar un dominio que utilizará el dispositivo para identificar todas las direcciones IP de los servidores de correo desde los que se enviarán los mensajes. Elimina los elementos seleccionados de la tabla. Debe aplicar los cambios antes de que el elemento se haya eliminado completamente de la configuración del dispositivo. Definiciones de las opciones: enrutamiento entre dominios Configure los hosts que usará el dispositivo para enrutar el correo electrónico. Una vez finalizado el Asistente de configuración, podrá administrar los dominios desde Correo electrónico Configuración de correo electrónico Envío de correo electrónico Opción Nombre de dominio/dirección de red/registro MX Tipo Definición Muestra una lista de dominios. Esta lista permite especificar los conjuntos/retransmisiones específicos que se vayan a utilizar para enviar mensajes destinados a dominios específicos. Los dominios se pueden identificar usando coincidencias exactas o usando coincidencias de patrón como *.example.com. Para especificar varias retransmisiones para un único dominio, separa cada una con un espacio. Si la primera retransmisión de correo acepta correo electrónico, todo el correo electrónico se entregará a la primera retransmisión. Si esta retransmisión detiene la aceptación de correo electrónico, el correo electrónico siguiente se envía a la próxima retransmisión de la lista. Nombre de dominio: por ejemplo, example.dom. El dispositivo se sirve de esto para comparar la dirección de correo electrónico del destinatario y la conexión con una búsqueda de registros A. Dirección de red: por ejemplo, /32 o /24. El dispositivo se sirve de esto para comparar la dirección IP de correo electrónico literal del destinatario, como user@[ ], o la conexión. Búsqueda de registros MX: por ejemplo, example.dom. El dispositivo se sirve de esto para comparar la conexión con una búsqueda de registros MX. Nombre de dominio con caracteres comodines: por ejemplo, *.example.dom. El dispositivo utiliza esta información únicamente para comparar las direcciones de correo electrónico de los destinatarios. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 49

50 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Categoría Agregar lista de retransmisión Definición Dominio local Dominio permitido Dominio denegado Haga clic para completar la tabla Dominios y host de retransmisión conocidos con una lista de nombres de host o direcciones IP para la entrega. Se intentará realizar el envío en el orden especificado a no ser que seleccione la opción Operación por turnos de los hosts anteriores que distribuirá la carga entre los hosts especificados. Los nombres de host/direcciones IP pueden incluir un número de puerto. Agregar búsqueda de MX Haga clic para completar la tabla Dominios y host de retransmisión conocidos con una búsqueda de registros MX para determinar las direcciones IP para la entrega. Se intentará realizar la entrega a los nombres de host que aparezcan de la búsqueda de MX en el orden de prioridad que establezca el servidor DNS. Eliminar elementos seleccionados Activar búsqueda DNS para dominios no enumerados anteriormente Elimina los elementos seleccionados de la tabla. Debe aplicar los cambios antes de que el elemento se haya eliminado completamente de la configuración del dispositivo. Si está seleccionada, el dispositivo utiliza DNS para enrutar el correo electrónico de otros dominios sin especificar. La entrega DNS intenta una búsqueda de registro MX. Si no hay registro s MX, no se realiza la búsqueda de registro A. Si cancela la selección de esta casilla de verificación, el dispositivo envía el correo electrónico sólo a los dominios que se especifican en Dominios y host de retransmisión conocidos. Página Configuración de hora En esta página podrá configurar la fecha y hora, así como cualquier detalle para la utilización del Network Time Protocol (NTP, Protocolo de tiempo de la red). Opción Zona horaria del dispositivo Hora del dispositivo (UTC) Definir ahora Hora de cliente Sincronizar dispositivo con cliente Definición Especifica la zona horaria del dispositivo. Puede que necesite configurar esta opción dos veces al año si en su región se aplica el cambio horario. Especifica la fecha y hora UTC del dispositivo. Para seleccionar la fecha, haga clic en el icono del calendario. Puede determinar la hora UTC desde distintos sitios web, como Al hacer clic en esta opción, se aplica la fecha y la hora UTC que haya especificado en esta fila. Muestra la hora según el equipo cliente desde el que está conectado en ese momento el navegador al dispositivo. Al seleccionar esta opción, la hora de Hora del dispositivo (UTC) toma su valor de forma inmediata del valor de Hora de cliente. Puede utilizar esta casilla de verificación como una alternativa al ajuste manual de Hora del dispositivo (UTC). El dispositivo calcula la hora UTC en función de la zona horaria que encuentre en el navegador del cliente. asegúrese de que el equipo cliente tiene en cuenta los ajustes del horario de verano. Para ver la configuración en Microsoft Windows, haga clic con el botón derecho en la hora que aparece en la esquina inferior derecha de la pantalla. 50 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

51 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Opción Activar NTP Activar difusiones de cliente NTP Servidor NTP Nuevo servidor Definición Al seleccionar esta opción, acepta los mensajes NTP desde un servidor especificado o desde una difusión de red. El NTP sincroniza la hora de los dispositivos de una red. Algunos Proveedores de servicios de Internet (ISP, Internet Service Providers) proporcionan un servicio que determina la hora. Dado que los mensajes NTP no se envían a menudo, no influyen de forma notable en el rendimiento del dispositivo. Al seleccionar esta opción, sólo acepta los mensajes NTP de difusiones de red. Este método resulta útil en redes con tráfico denso pero debe confiar en otros dispositivos de la red. Al anular la selección de esta opción, sólo se aceptan mensajes NTP de servidores especificados en la lista. Muestra la dirección de red o un nombre de dominio de uno o varios servidores NTP utilizados por el dispositivo. Por ejemplo, hora.nist.gov. Si especifica varios servidores, el dispositivo analiza cada mensaje NTP para determinar la hora correcta. Escriba la dirección IP de un nuevo servidor NTP. Página Contraseña En esta página podrá especificar una contraseña para el dispositivo. Para crear una contraseña segura, incluya letras y números. Puede introducir hasta 15 caracteres. Opción Id. de usuario Contraseña Definición Este es admin. Puede agregar más usuarios posteriormente. Especifica la nueva contraseña. Cambie la contraseña lo antes posible para que su dispositivo se mantenga seguro. Debe introducir dos veces la nueva contraseña para confirmarla. La contraseña original predeterminada es contraseña. Página Resumen Consulte un resumen de la configuración que ha establecido para las conexiones de red y para el análisis del tráfico de correo electrónico. Para modificar cualquier valor, haga clic en el vínculo azul para que se muestre la página en la que introdujo el valor anteriormente. Después de hacer clic en Finalizar, concluirá el Asistente de configuración. Utilice la dirección IP que se indica para acceder a la interfaz. Por ejemplo, La dirección comienza por https y no http. Si ha configurado McAfee Gateway para ofrecer Secure Web Mail, deberá acceder al dispositivo mediante el puerto Así pues, con el ejemplo anteriormente mencionado, tendría que introducir Cuando inicie sesión en la interfaz por primera vez, introduzca el nombre de usuario admin y la contraseña que ha proporcionado en la página Contraseña. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 51

52 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Tabla 2-3 Configuración básica Opción Definición El valor se configura según la práctica recomendada. Probablemente el valor no sea correcto. Aunque el valor es válido, no se encuentra configurado según la práctica recomendada. Compruebe el valor antes de continuar. No se ha configurado ningún valor. El valor no se ha modificado con respecto a su valor predeterminado. Compruebe el valor antes de continuar. Restauración desde un archivo Esta información le ayuda a comprender la finalidad de realizar una restauración desde un archivo. Cuando configura el dispositivo con el Asistente de configuración de la interfaz de usuario, la opción Restaurar desde un archivo le permite importar información de configuración guardada anteriormente y aplicarla al dispositivo. Tras importar la información, puede realizar cambios en ella antes de aplicar la configuración. La opción Restaurar desde un archivo no está disponible desde la Consola de configuración. Para usar esta opción, debe iniciar sesión en McAfee Gateway y seleccionar Restaurar desde un archivo en el menú Sistema Asistente de instalación. Cuando se haya importado la información de configuración, se le dirigirá a las opciones de Configuración personalizada en el Asistente de configuración (consulte Realización de una configuración personalizada). Todas las opciones importadas se muestran en las páginas del asistente, por lo que puede realizar correcciones antes de aplicar la configuración. Al usar la opción Restaurar desde un archivo, el asistente incluye las páginas siguientes: Importar configuración Valores para restaurar Una vez cargada esta información, se le dirigirá a las páginas de Configuración personalizada para que pueda realizar más cambios antes de aplicar la nueva configuración: Configuración de correo electrónico DNS y enrutamiento Configuración básica Configuración de hora Configuración de red Contraseña Administración de clústeres Resumen Página Configuración básica (Configuración personalizada) Utilice esta página al seleccionar el Asistente de configuración personalizada para especificar la configuración básica del dispositivo. El dispositivo intenta proporcionarle información y muestra la información resaltada en ámbar. Para cambiar la información, haga clic y vuelva a escribir. 52 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

53 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Opción Modo de clúster Definición Define las opciones que aparecen en la página Administración de clústeres del Asistente de configuración. Dispositivo principal del clúster: el dispositivo controla la carga de trabajo de análisis para otros dispostivos. Nombre del dispositivo Nombre de dominio Gateway predeterminada Router de salto siguiente Interfaz de red Dispositivo de conmutación en caso de error del clúster: si el dispositivo principal del clúster falla, este dispositivo controla la carga de trabajo de análisis en su lugar. Especifica un nombre como, por ejemplo, dispositivo1. Especifica un nombre como, por ejemplo, dominio1.com. Especifica una dirección IPv4 como, por ejemplo, Puede probar más tarde si el dispositivo se puede comunicar con este servidor. Especifica una dirección IPv6 como, por ejemplo, FD4A:A1B2:C3D4::1. Está disponible cuando establece Router de salto siguiente para IPv6. Página Administración de clústeres Utilice esta página para especificar los requisitos de equilibrio de administración de clústeres. En función del modo de clúster que haya seleccionado en la página Configuración básica, las opciones que aparecen en la página Administración de clústeres cambiarán. Administración de clústeres (dispositivo principal del clúster) En el modo proxy explícito o enrutador transparente, puede permitir la conmutación en caso de error entre dos dispositivos de un clúster asignando una dirección IP virtual a este dispositivo y configurando otro dispositivo como dispositivo de conmutación en caso de error del clúster mediante la misma dirección virtual. En el modo de puente transparente, puede lograr el mismo efecto estableciendo una prioridad de STP alta para este dispositivo y configurando otro dispositivo como dispositivo de conmutación en caso de error del clúster con una prioridad de STP más baja. Opción Identificador de clúster Dirección que se debe utilizar para el equilibrio de carga Definición Si cuenta con más de un clúster o servidor McAfee Content Security Blade Server en la misma subred, asigne a cada uno de ellos un Identificador de clúster diferente para asegurarse de que los clústeres no entren en conflicto. El intervalo permitido es Especifica la dirección del dispositivo. Definiciones de las opciones: Configuración avanzada de dispositivo de análisis Utilice esta área para obtener un control sencillo de los dispositivos de análisis conectados. Asimismo, puede configurar los dispositivos para compartir espacio en disco para el almacenamiento de los mensajes de Secure Web Mail. Los dispositivos en un clúster se identifican mediante sus direcciones MAC (control de acceso al medio). Al agregar una dirección MAC a la tabla, tendrá la posibilidad de desactivarla, lo que significa que las solicitudes de análisis no se enviarán al dispositivo y compartirán espacio en disco. Opción Definición Dirección MAC Especifica la dirección de control de acceso al medio (MAC) del dispositivo en 12 dígitos hexadecimales con el siguiente formato: A1:B2:C3:D4:E5:F6. Desactivado Seleccione esta opción para quitar el dispositivo del conjunto de dispositivos de análisis. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 53

54 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Agregar dirección MAC Administrar direcciones MAC Bloquear servidor DHCP para direcciones MAC Definición Haga clic en esta opción para agregar la dirección MAC de un nuevo dispositivo. Abre el cuadro de diálogo Direcciones MAC que permite administrar la lista de direcciones MAC disponibles. Seleccione esta opción para evitar que el servidor blade de administración confirme las solicitudes DHCP enviadas mediante hosts arbitrarios en su red. Si se selecciona, agregue a la tabla de direcciones MAC las direcciones MAC de cualquier servidor blade de análisis que desee agregar a Content Security Blade Server. De lo contrario, el servidor blade de análisis no podrá obtener la dirección IP correcta. Aunque puede agregar las direcciones MAC de los dispositivos de conmutación en caso de error y administración en esta tabla, siempre contribuyen al espacio en disco para los mensajes de Secure Web Mail y no se pueden desactivar. Administración de clústeres (dispositivo de conmutación en caso de error del clúster) Opción Dirección que se debe utilizar para el equilibrio de carga Identificador de clúster Definición Especifica la dirección del dispositivo. Proporciona una lista de todas las subredes asignadas al dispositivo. Si cuenta con más de un clúster o servidor McAfee Content Security Blade Server en la misma subred, asigne a cada uno de ellos un Identificador de clúster diferente para asegurarse de que los clústeres no entren en conflicto. El intervalo permitido es Página DNS y enrutamiento En esta página podrá configurar el uso de DNS y rutas del dispositivo. Los servidores de sistema de nombres de dominio (DNS) traducen o asignan los nombres de los dispositivos de red a direcciones IP (y a la inversa). El dispositivo envía solicitudes a los servidores DNS en el orden en que aparecen en esta lista. 54 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

55 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Direcciones del servidor DNS Opción Dirección del servidor Nuevo servidor/ Eliminar servidores seleccionados Enviar las consultas solo a estos servidores Definición Muestra las direcciones IP de los servidores DNS. El primer servidor de la lista debe ser el servidor más rápido o fiable. Si el primer servidor no puede resolver la solicitud, el dispositivo se pone en contacto con el segundo servidor. Si ningún servidor de la lista puede resolver la solicitud, el dispositivo reenvía dicha solicitud a los servidores de nombre raíz de DNS de Internet. Si su firewall impide las búsquedas DNS (normalmente en el puerto 53), especifique la dirección IP de un dispositivo local que permita la resolución de nombres. Añade un nuevo servidor a la lista o elimina uno cuando, por ejemplo, es necesario anular un servidor debido a cambios en la red. Seleccionada de forma predeterminada. Es aconsejable mantener esta opción seleccionada, puesto que, como el dispositivo envía las consultas a los servidores DNS especificados únicamente, se pueden agilizar las consultas de DNS. Si no conocen la dirección, se dirigen a los servidores DNS raíz en Internet. Cuando obtienen una respuesta, el dispositivo la recibe y la almacena en caché de modo que otros servidores que envían consultas al servidor DNS puedan obtener una respuesta con mayor rapidez. Si anula la selección de esta opción, el dispositivo intenta primero resolver las solicitudes o bien puede enviar una consulta a los servidores DNS que se encuentran fuera de la red. Configuración de enrutamiento Opción Dirección de red Definición Introduzca la dirección de red de la ruta. Máscara Especifica la cantidad de hosts que hay en la red, por ejemplo, Gateway Métrica Nueva ruta/eliminar rutas seleccionadas Activar enrutamiento dinámico Especifica la dirección IP del router que se esté utilizando como siguiente salto fuera de la red. La dirección (IPv4) o :: (IPv6) quiere decir que el router no tiene ninguna gateway predeterminada. Especifica las preferencias definidas para la ruta. Un número bajo indica una preferencia alta para esa ruta. Añada una ruta nueva a la tabla o elimínelas. Utilice las flechas para desplazar las rutas hacia arriba y hacia abajo en la lista. Las rutas se seleccionan en función de su valor métrico. Utilice esta opción en el modo de enrutador transparente únicamente. Cuando se habilita, el dispositivo puede: Difundir la información de enrutamiento recibida por RIP (predeterminado) que se aplica a la tabla de enrutamiento de modo que no sea necesario duplicar la información de enrutamiento en el dispositivo que ya está presente en la red Difundir información de enrutamiento si se han configurado rutas estáticas a través de la interfaz de usuario por RIP McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 55

56 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Página Configuración de hora En esta página podrá configurar la fecha y hora, así como cualquier detalle para la utilización del Network Time Protocol (NTP, Protocolo de tiempo de la red). Opción Zona horaria del dispositivo Hora del dispositivo (UTC) Definir ahora Hora de cliente Sincronizar dispositivo con cliente Definición Especifica la zona horaria del dispositivo. Puede que necesite configurar esta opción dos veces al año si en su región se aplica el cambio horario. Especifica la fecha y hora UTC del dispositivo. Para seleccionar la fecha, haga clic en el icono del calendario. Puede determinar la hora UTC desde distintos sitios web, como Al hacer clic en esta opción, se aplica la fecha y la hora UTC que haya especificado en esta fila. Muestra la hora según el equipo cliente desde el que está conectado en ese momento el navegador al dispositivo. Al seleccionar esta opción, la hora de Hora del dispositivo (UTC) toma su valor de forma inmediata del valor de Hora de cliente. Puede utilizar esta casilla de verificación como una alternativa al ajuste manual de Hora del dispositivo (UTC). El dispositivo calcula la hora UTC en función de la zona horaria que encuentre en el navegador del cliente. asegúrese de que el equipo cliente tiene en cuenta los ajustes del horario de verano. Para ver la configuración en Microsoft Windows, haga clic con el botón derecho en la hora que aparece en la esquina inferior derecha de la pantalla. Activar NTP Activar difusiones de cliente NTP Servidor NTP Nuevo servidor Al seleccionar esta opción, acepta los mensajes NTP desde un servidor especificado o desde una difusión de red. El NTP sincroniza la hora de los dispositivos de una red. Algunos Proveedores de servicios de Internet (ISP, Internet Service Providers) proporcionan un servicio que determina la hora. Dado que los mensajes NTP no se envían a menudo, no influyen de forma notable en el rendimiento del dispositivo. Al seleccionar esta opción, sólo acepta los mensajes NTP de difusiones de red. Este método resulta útil en redes con tráfico denso pero debe confiar en otros dispositivos de la red. Al anular la selección de esta opción, sólo se aceptan mensajes NTP de servidores especificados en la lista. Muestra la dirección de red o un nombre de dominio de uno o varios servidores NTP utilizados por el dispositivo. Por ejemplo, hora.nist.gov. Si especifica varios servidores, el dispositivo analiza cada mensaje NTP para determinar la hora correcta. Escriba la dirección IP de un nuevo servidor NTP. Página Contraseña En esta página podrá especificar una contraseña para el dispositivo. Para crear una contraseña segura, incluya letras y números. Puede introducir hasta 15 caracteres. Opción Id. de usuario Contraseña Definición Este es admin. Puede agregar más usuarios posteriormente. Especifica la nueva contraseña. Cambie la contraseña lo antes posible para que su dispositivo se mantenga seguro. Debe introducir dos veces la nueva contraseña para confirmarla. La contraseña original predeterminada es contraseña. 56 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

57 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Página Resumen Consulte un resumen de la configuración que ha establecido para las conexiones de red y para el análisis del tráfico de correo electrónico. Para modificar cualquier valor, haga clic en el vínculo azul para que se muestre la página en la que introdujo el valor anteriormente. Después de hacer clic en Finalizar, concluirá el Asistente de configuración. Utilice la dirección IP que se indica para acceder a la interfaz. Por ejemplo, La dirección comienza por https y no http. Si ha configurado McAfee Gateway para ofrecer Secure Web Mail, deberá acceder al dispositivo mediante el puerto Así pues, con el ejemplo anteriormente mencionado, tendría que introducir Cuando inicie sesión en la interfaz por primera vez, introduzca el nombre de usuario admin y la contraseña que ha proporcionado en la página Contraseña. Tabla 2-4 Configuración básica Opción Definición El valor se configura según la práctica recomendada. Probablemente el valor no sea correcto. Aunque el valor es válido, no se encuentra configurado según la práctica recomendada. Compruebe el valor antes de continuar. No se ha configurado ningún valor. El valor no se ha modificado con respecto a su valor predeterminado. Compruebe el valor antes de continuar. Configuración solo de cifrado Esta información le ayuda a comprender la finalidad de las opciones de configuración de solo cifrado. En el caso de organizaciones de tamaño pequeño y medio, suele bastar con usar el mismo dispositivo McAfee Gateway para realizar las tareas de análisis y también las de cifrado del correo electrónico. No obstante, si forma parte de una organización mayor o trabaja en un sector que requiera que todos los mensajes de correo electrónico, o un alto porcentaje, se entreguen de forma segura, es posible que desee configurar uno o varios de los dispositivos McAfee Gateway como servidores independientes de solo cifrado. En esta situación, las opciones de Configuración de solo cifrado del Asistente de configuración le ofrecen la configuración relevante necesaria para el uso de solo cifrado. Para la Configuración de solo cifrado, el asistente incluye las páginas siguientes: Página Configuración de correo electrónico (Configuración de solo cifrado) Defina el modo en que el dispositivo retransmitirá el correo electrónico y configure los hosts que empleará el dispositivo para enrutar el correo electrónico. Dominios de los que el dispositivo aceptará o rechazará correo electrónico Una vez finalizado el Asistente de instalación, podrá administrar los dominios desde Correo electrónico Configuración de correo electrónico Recepción de correo electrónico. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 57

58 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Nombre de dominio/dirección de red/registro MX Tipo Definición Muestra los nombres de dominios, los nombres de dominios de caracteres comodines, las direcciones de red y las búsquedas de MX a partir de los cuales el dispositivo aceptará o rechazará los mensajes de correo electrónico. Nombre de dominio: por ejemplo, example.dom. El dispositivo se sirve de esto para comparar la dirección de correo electrónico del destinatario y la conexión con una búsqueda de registros A. Dirección de red: por ejemplo, /32 o /24. El dispositivo se sirve de esto para comparar la dirección IP de correo electrónico literal del destinatario, como user@[ ], o la conexión. Búsqueda de registros MX: por ejemplo, example.dom. El dispositivo se sirve de esto para comparar la conexión con una búsqueda de registros MX. Nombre de dominio con caracteres comodín: por ejemplo, *.example.dom. El dispositivo utiliza esta información únicamente para comparar las direcciones de correo electrónico de los destinatarios. Categoría Agregar dominio Dominio local Dominio permitido Dominio denegado Haga clic para especificar los dominios que pueden retransmitir mensajes al destinatario a través del dispositivo. Puede escoger entre: Dominio local: estos son los dominios o las redes cuyos mensajes de correo electrónico se aceptan para su entrega. Para mayor comodidad, puede importar una lista de nombres de dominios locales mediante las opciones Importar listas y Exportar listas. Es aconsejable que añada como dominios locales todos los dominios o redes a los que se permite retransmitir mensajes. Dominio permitido: se acepta el correo electrónico. Utilice los dominios permitidos para administrar excepciones. Dominio denegado: se rechaza el correo electrónico. Utilice los dominios denegados para administrar excepciones. Mantenga el cursor del ratón sobre el campo para ver el formato recomendado. Debe definir al menos un dominio local. Agregar búsqueda de MX Eliminar elementos seleccionados Haga clic aquí para especificar un dominio que utilizará el dispositivo para identificar todas las direcciones IP de los servidores de correo desde los que se enviarán los mensajes. Elimina los elementos seleccionados de la tabla. Debe aplicar los cambios antes de que el elemento se haya eliminado completamente de la configuración del dispositivo. Enrutamiento de dominios Una vez finalizado el Asistente de instalación, podrá administrar los dominios desde Correo electrónico Configuración de correo electrónico Envío de correo electrónico. 58 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

59 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Opción Dominio Tipo Definición Muestra una lista de dominios. Nombre de dominio: por ejemplo, example.dom. El dispositivo se sirve de esto para comparar la dirección de correo electrónico del destinatario y la conexión con una búsqueda de registros A. Dirección de red: por ejemplo, /32 o /24. El dispositivo se sirve de esto para comparar la dirección IP de correo electrónico literal del destinatario, como user@[ ], o la conexión. Búsqueda de registros MX: Por ejemplo, example.dom. El dispositivo se sirve de esto para comparar la conexión con una búsqueda de registros MX. Nombre de dominio con caracteres comodín: por ejemplo, *.example.dom. El dispositivo utiliza esta información únicamente para comparar las direcciones de correo electrónico de los destinatarios. Lista de retransmisión/ Registro MX Agregar lista de retransmisión Muestra la Lista de retransmisión o el Registro MX del dominio seleccionado. Haga clic para completar la tabla Dominios y host de retransmisión conocidos con una lista de nombres de host o direcciones IP para la entrega. Se intentará realizar el envío en el orden especificado a no ser que seleccione la opción Operación por turnos de los hosts anteriores que distribuirá la carga entre los hosts especificados. Los nombres de host/direcciones IP pueden incluir un número de puerto. Agregar búsqueda de MX Haga clic para completar la tabla Dominios y host de retransmisión conocidos con una búsqueda de registros MX para determinar las direcciones IP para la entrega. Se intentará realizar la entrega a los nombres de host que aparezcan de la búsqueda de MX en el orden de prioridad que establezca el servidor DNS. Eliminar elementos seleccionados Activar búsqueda DNS para dominios no enumerados anteriormente Elimina los elementos seleccionados de la tabla. Debe aplicar los cambios antes de que el elemento se haya eliminado completamente de la configuración del dispositivo. Si está seleccionada, el dispositivo utiliza DNS para enrutar el correo electrónico de otros dominios sin especificar. La entrega DNS intenta una búsqueda de registro MX. Si no hay registros MX, no se realiza la búsqueda de registro A. Si anula la selección de esta casilla de verificación, el dispositivo entrega el correo electrónico solo a los dominios que se especifican en Dominios y host de retransmisión conocidos. Página Configuración básica (Configuración de solo cifrado) Utilice esta página al seleccionar el Asistente de configuración de solo cifrado para especificar la configuración básica del dispositivo. El dispositivo intenta proporcionarle información y muestra la información resaltada en ámbar. Para cambiar la información, haga clic y vuelva a escribir. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 59

60 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Modo de clúster Definición Define las opciones que aparecen en la página Administración de clústeres del Asistente de configuración. Desactivado: este es un dispositivo estándar. Analizador de clústeres: el dispositivo recibe la carga de trabajo de análisis de un dispositivo principal del clúster. Dispositivo principal del clúster: el dispositivo controla la carga de trabajo de análisis para otros dispositivos. Dispositivo de conmutación en caso de error del clúster: si el dispositivo principal del clúster falla, este dispositivo controla la carga de trabajo de análisis en su lugar. Nombre del dispositivo Nombre de dominio Gateway predeterminada Router de salto siguiente Interfaz de red Seleccionar puerto de administración Especifica un nombre como, por ejemplo, dispositivo1. Especifica un nombre como, por ejemplo, dominio1.com. Especifica una dirección IPv4 como, por ejemplo, Puede probar más tarde si el dispositivo se puede comunicar con este servidor. Especifica una dirección IPv6 como, por ejemplo, FD4A:A1B2:C3D4::1. Está disponible cuando establece Router de salto siguiente para IPv6. Especifica el puerto que administra la gateway. De forma predeterminada, McAfee Gateway usa el puerto Página Configuración de red (Configuración de solo cifrado) Estas opciones le permiten ver y configurar la dirección IP y las velocidades de red de McAfee Gateway como dispositivo de solo cifrado. Puede usar direcciones IPv4 e IPv6, de forma independiente o en combinación. Para evitar la duplicación de direcciones IP en su red y para disuadir a los piratas informáticos, proporcione al dispositivo nuevas direcciones IP y desactive las direcciones IP predeterminadas. Las direcciones IP deben ser únicas y adecuadas para la red. Especifique tantas direcciones IP como necesite. Opción modo Interfaz de red 1 Interfaz de red 2 Cambiar la configuración de la red Ver diseño de interfaz de red Definición Modo operativo establecido durante la instalación o en el asistente de configuración. Se amplía para mostrar la dirección IP y la máscara de red asociada a la Interfaz de red 1, el estado de negociación automática y el tamaño de MTU. Se amplía para mostrar la dirección IP y la máscara de red asociada a la Interfaz de red 2, el estado de negociación automática y el tamaño de MTU. Haga clic para abrir el Asistente de interfaces de red para especificar la dirección IP y la configuración del adaptador para la tarjeta de interfaz de red (NIC) 1 y la tarjeta de interfaz de red (NIC) 2, y modificar el modo operativo elegido. Haga clic para ver la Ayuda (<?>) asociada a la LAN1, LAN2 y la interfaz de fuera de banda. Página Administración de clústeres (Configuración de solo cifrado) Utilice la administración de clústeres para especificar los requisitos del equilibrio de carga. En función del modo de clúster que haya seleccionado en la página Configuración básica, las opciones que aparecen en la página Administración de clústeres cambiarán. 60 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

61 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Administración de clústeres (dispositivo principal del clúster) En el modo proxy explícito o enrutador transparente, puede permitir la conmutación en caso de error entre dos dispositivos de un clúster asignando una dirección IP virtual a este dispositivo y configurando otro dispositivo como dispositivo de conmutación en caso de error del clúster mediante la misma dirección virtual. En el modo de puente transparente, puede lograr el mismo efecto estableciendo una prioridad de STP alta para este dispositivo y configurando otro dispositivo como dispositivo de conmutación en caso de error del clúster con una prioridad de STP más baja. Opción Identificador de clúster Dirección que se debe utilizar para el equilibrio de carga Definición Si cuenta con más de un clúster o servidor McAfee Content Security Blade Server en la misma subred, asigne a cada uno de ellos un Identificador de clúster diferente para asegurarse de que los clústeres no entren en conflicto. El intervalo permitido es Especifica la dirección del dispositivo. Administración de clústeres (dispositivo de conmutación en caso de error del clúster) Opción Dirección que se debe utilizar para el equilibrio de carga Identificador de clúster Definición Especifica la dirección del dispositivo. Proporciona una lista de todas las subredes asignadas al dispositivo. Si cuenta con más de un clúster o servidor McAfee Content Security Blade Server en la misma subred, asigne a cada uno de ellos un Identificador de clúster diferente para asegurarse de que los clústeres no entren en conflicto. El intervalo permitido es Página DNS y enrutamiento (Configuración de solo cifrado) En esta página podrá configurar el uso de DNS y rutas del dispositivo. Los servidores de sistema de nombres de dominio (DNS) traducen o asignan los nombres de los dispositivos de red a direcciones IP (y a la inversa). El dispositivo envía solicitudes a los servidores DNS en el orden en que aparecen en esta lista. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 61

62 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Direcciones del servidor DNS Opción Dirección del servidor Nuevo servidor/ Eliminar servidores eliminados Enviar las consultas solo a estos servidores Definición Muestra las direcciones IP de los servidores DNS. El primer servidor de la lista debe ser el servidor más rápido o fiable. Si el primer servidor no puede resolver la solicitud, el dispositivo se pone en contacto con el segundo servidor. Si ningún servidor de la lista puede resolver la solicitud, el dispositivo reenvía dicha solicitud a los servidores de nombre raíz de DNS de Internet. Si su firewall impide las búsquedas DNS (normalmente en el puerto 53), especifique la dirección IP de un dispositivo local que permita la resolución de nombres. Añade un nuevo servidor a la lista o elimina uno cuando, por ejemplo, es necesario anular un servidor debido a cambios en la red. Seleccionada de forma predeterminada. Es aconsejable mantener esta opción seleccionada, puesto que, como el dispositivo envía las consultas a los servidores DNS especificados únicamente, se pueden agilizar las consultas de DNS. Si no conocen la dirección, se dirigen a los servidores DNS raíz en Internet. Cuando obtienen una respuesta, el dispositivo la recibe y la almacena en caché de modo que otros servidores que envían consultas al servidor DNS puedan obtener una respuesta con mayor rapidez. Si anula la selección de esta opción, el dispositivo intenta primero resolver las solicitudes o bien puede enviar una consulta a los servidores DNS que se encuentran fuera de la red. Configuración de enrutamiento Opción Dirección de red Definición Introduzca la dirección de red de la ruta. Máscara Especifica la cantidad de hosts que hay en la red, por ejemplo, Gateway Métrica Nueva ruta/eliminar rutas seleccionadas Activar enrutamiento dinámico Especifica la dirección IP del router que se esté utilizando como siguiente salto fuera de la red. La dirección (IPv4) o :: (IPv6) quiere decir que el router no tiene ninguna gateway predeterminada. Especifica las preferencias definidas para la ruta. Un número bajo indica una preferencia alta para esa ruta. Agregue una ruta nueva a la tabla o elimínelas. Utilice las flechas para desplazar las rutas hacia arriba y hacia abajo en la lista. Las rutas se seleccionan en función de su valor métrico. Utilice esta opción en el modo de enrutador transparente únicamente. Cuando se habilita, el dispositivo puede: Difundir la información de enrutamiento recibida por RIP (predeterminado) que se aplica a la tabla de enrutamiento de modo que no sea necesario duplicar la información de enrutamiento en el dispositivo que ya está presente en la red Difundir información de enrutamiento si se han configurado rutas estáticas a través de la interfaz de usuario por RIP 62 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

63 Conexión y configuración del servidor blade Uso de la Consola de configuración 2 Página Configuración de hora En esta página podrá configurar la fecha y hora, así como cualquier detalle para la utilización del Network Time Protocol (NTP, Protocolo de tiempo de la red). Opción Zona horaria del dispositivo Hora del dispositivo (UTC) Definir ahora Hora de cliente Sincronizar dispositivo con cliente Definición Especifica la zona horaria del dispositivo. Puede que necesite configurar esta opción dos veces al año si en su región se aplica el cambio horario. Especifica la fecha y hora UTC del dispositivo. Para seleccionar la fecha, haga clic en el icono del calendario. Puede determinar la hora UTC desde distintos sitios web, como Al hacer clic en esta opción, se aplica la fecha y la hora UTC que haya especificado en esta fila. Muestra la hora según el equipo cliente desde el que está conectado en ese momento el navegador al dispositivo. Al seleccionar esta opción, la hora de Hora del dispositivo (UTC) toma su valor de forma inmediata del valor de Hora de cliente. Puede utilizar esta casilla de verificación como una alternativa al ajuste manual de Hora del dispositivo (UTC). El dispositivo calcula la hora UTC en función de la zona horaria que encuentre en el navegador del cliente. asegúrese de que el equipo cliente tiene en cuenta los ajustes del horario de verano. Para ver la configuración en Microsoft Windows, haga clic con el botón derecho en la hora que aparece en la esquina inferior derecha de la pantalla. Activar NTP Activar difusiones de cliente NTP Servidor NTP Nuevo servidor Al seleccionar esta opción, acepta los mensajes NTP desde un servidor especificado o desde una difusión de red. El NTP sincroniza la hora de los dispositivos de una red. Algunos Proveedores de servicios de Internet (ISP, Internet Service Providers) proporcionan un servicio que determina la hora. Dado que los mensajes NTP no se envían a menudo, no influyen de forma notable en el rendimiento del dispositivo. Al seleccionar esta opción, sólo acepta los mensajes NTP de difusiones de red. Este método resulta útil en redes con tráfico denso pero debe confiar en otros dispositivos de la red. Al anular la selección de esta opción, sólo se aceptan mensajes NTP de servidores especificados en la lista. Muestra la dirección de red o un nombre de dominio de uno o varios servidores NTP utilizados por el dispositivo. Por ejemplo, hora.nist.gov. Si especifica varios servidores, el dispositivo analiza cada mensaje NTP para determinar la hora correcta. Escriba la dirección IP de un nuevo servidor NTP. Página Contraseña (Configuración de solo cifrado) Especifique una contraseña para el dispositivo. Para crear una contraseña segura, incluya letras y números. Puede introducir hasta 15 caracteres. Opción Id. de usuario Contraseña actual Contraseña nueva/confirmar contraseña nueva Definición Este es admin. Puede agregar más usuarios posteriormente. La contraseña existente. La contraseña original predeterminada es contraseña. Cambie la contraseña lo antes posible para que su dispositivo se mantenga seguro. Especifica la nueva contraseña. Debe introducir dos veces la nueva contraseña para confirmarla. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 63

64 2 Conexión y configuración del servidor blade Uso de la Consola de configuración Página Resumen (Configuración de solo cifrado) Consulte un resumen de la configuración que ha establecido para las conexiones de red y para el análisis del tráfico de correo electrónico. Para modificar cualquier valor, haga clic en el vínculo azul para que se muestre la página en la que introdujo el valor anteriormente. Después de hacer clic en Finalizar, concluirá el Asistente de configuración. Utilice la dirección IP que se indica para acceder a la interfaz. Por ejemplo, La dirección comienza por https y no http. Si ha configurado McAfee Gateway para ofrecer Secure Web Mail, deberá acceder al dispositivo mediante el puerto Así pues, con el ejemplo anteriormente mencionado, tendría que introducir Cuando inicie sesión en la interfaz por primera vez, introduzca el nombre de usuario admin y la contraseña que ha proporcionado en la página Contraseña. Tabla 2-5 Configuración básica Opción Definición El valor se configura según la práctica recomendada. Probablemente el valor no sea correcto. Aunque el valor es válido, no se encuentra configurado según la práctica recomendada. Compruebe el valor antes de continuar. No se ha configurado ningún valor. El valor no se ha modificado con respecto a su valor predeterminado. Compruebe el valor antes de continuar. 64 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

65 3 3 Visita guiada del Panel En esta sección se describe la página Panel y cómo editar sus preferencias. Contenido Panel Exploración del servidor blade Panel El Panel muestra un resumen de la actividad del dispositivo. Panel Utilice esta página para acceder a la mayor parte de las páginas que controlan el dispositivo. En un dispositivo principal de un clúster de McAfee Content Security Blade Server, esta página le permite ver también un resumen de toda la actividad de los servidores blade de análisis en McAfee Content Security Blade Server. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 65

66 3 Visita guiada del Panel Panel Ventajas de utilizar el panel El panel ofrece una única ubicación para ver resúmenes de la actividad del dispositivo mediante una serie de portlets. Figura 3-1 Portlets del panel En algunos portlets aparecen gráficos que muestran la actividad del dispositivo en los siguientes períodos de tiempo: 1 hora 2 semanas 1 día (valor predeterminado) 4 semanas 1 semana En el panel, puede realizar ciertos cambios en la información y los gráficos que aparecen: Expandir y contraer los datos del portlet con los iconos y que aparecen en la esquina superior derecha del portlet Profundizar hasta llegar a datos concretos con los iconos y Ver un indicador de estado que muestra si hay que prestar atención al elemento: : Correcto. Los elementos sobre los que se informa funcionan con normalidad. : Requiere atención inmediata. Se ha superado un umbral crítico. : Desactivado. Hay un servicio desactivado. 66 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

67 Visita guiada del Panel Panel 3 Usar y para acercar y alejar el plazo de una información. Mientras se actualiza la vista, se produce cierto retraso. De forma predeterminada, el panel muestra los datos relativos al día anterior. Mover un portlet a otro lugar del panel Haga doble clic en la barra superior de un portlet para expandirla en la parte superior del panel. Configure sus propios umbrales de alerta y advertencia para activar eventos. Para ello, resalte el elemento y haga clic sobre él, edite los campos de umbral de alerta y advertencia y, finalmente, haga clic en Guardar. Cuando el elemento supere el umbral configurado, se activará un evento. En función del navegador utilizado para visualizar la interfaz de usuario de McAfee Gateway, el panel le "recuerda" el estado actual de cada portlet (independientemente de que esté expandido o contraído, y de si ha profundizado para ver datos concretos) e intenta volver a generar esa visualización si navega a otra página de la interfaz de usuario y regresa después al panel en la misma sesión del navegador. Secciones del panel En este tema se analizan las secciones del panel, en la interfaz de usuario del dispositivo Gateway. Opción Detecciones de correo electrónico y Detecciones web Mantenimiento del sistema Índices de detección actuales Red Colas de correo electrónico Directivas de análisis Tareas Definición Muestra el número de detecciones de cada protocolo. Haga clic en Editar para cambiar la vista de esta ventana. Aunque puede elegir que no se muestre información sobre un protocolo, el dispositivo seguirá analizando ese tráfico. Muestra el estado de los componentes importantes y le permite cambiar los ajustes de los cambios de configuración del sistema recomendados: En el caso de Actualizaciones, una marca de verificación verde indica que los componentes se actualizarán automáticamente. Para llevar a cabo una actualización manual, haga clic en el vínculo azul. Para los demás componentes, una marca de verificación verde indica que este funciona dentro de los límites aceptables. Para obtener más información, haga clic en los vínculos azules. Para ajustar los niveles en los que aparecen los iconos de alerta y advertencia y para cambiar lo que muestra el cuadro de diálogo de cambios de configuración recomendados, haga clic en Editar. Muestra, mediante iconos, el estado de las detecciones importantes realizadas por el dispositivo. Muestra el número de conexiones de cada protocolo. Aunque puede anular la selección de un protocolo después de hacer clic en Editar, el dispositivo continúa administrando ese tráfico. Muestra, mediante iconos, el número de elementos y el número de destinatarios de todos los elementos que se han puesto en cola en las solicitudes de liberación, cuarentena y en cola mantenidas por el dispositivo. Para visitar las páginas que administran las colas, haga clic en los vínculos azules. Para realizar búsquedas rápidas en el correo electrónico de las colas, haga clic en Búsqueda rápida. Muestra una lista de las directivas que está aplicando el dispositivo. Aunque puede anular la selección de un protocolo después de hacer clic en Editar, el dispositivo continúa aplicando directivas a ese tráfico. Para ver las directivas de análisis o agregar otras directivas nuevas, haga clic en los vínculos azules. Muestra una lista de las tareas más frecuentes. Para quitar o reorganizar las tareas, haga clic en Editar. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 67

68 3 Visita guiada del Panel Panel Opción Equilibrio de carga Gráficos... Definición En el dispositivo principal de un clúster, muestra el estado del clúster de dispositivos. Para cambiar la configuración del medidor, haga clic en Editar. Muestra los gráficos que presentan la actividad del dispositivo en el tiempo. Aunque puede anular la selección de un protocolo después de hacer clic en Editar, el dispositivo continúa supervisando ese tráfico. Uso de la información mostrada En este tema se explica cómo realizar cambios en la información y los gráficos mostrados en Panel. También puede establecer un vínculo un conjunto de tareas predefinidas que utilice con frecuencia, lo que proporciona un método rápido y sencillo para pasar a la zona adecuada de la interfaz de usuario. Cuando inicie sesión en el dispositivo y a medida que trabaje en las páginas de configuración, aparecerá un cuadro de diálogo en la esquina inferior derecha de la pantalla con información acerca de los cambios de configuración recomendados, o mensajes de advertencia acerca de la configuración o el funcionamiento del dispositivo. Por ejemplo, la primera vez que instale el dispositivo, le avisará de que está funcionando como dispositivo de retransmisión abierta. Edición de preferencias Especificación del tipo de información de estado y las tareas disponibles en Panel. La información que se puede especificar mediante la opción Editar en cada una de las coincidencias del área del panel está relacionada con el área seleccionada del dispositivo. Panel Editar preferencias Utilice esta página para definir los protocolos para los que desea estadísticas, los contadores que desea mostrar y el período de generación de informes. Puede seleccionar entre varios contadores como, por ejemplo, Mensajes, Mensajes seguros, Conexiones bloqueadas, Virus, Programas potencialmente no deseados (PUP), Spam y phishing, Autenticación de remitentes, Conformidad, Detecciones de Data Loss Prevention y Otras detecciones. Panel Índices de detecciones actual Editar Utilice esta página para seleccionar los niveles en los que desea recibir una advertencia, según el número de detecciones de amenazas. Existen dos niveles de seguridad disponibles: amarillo y rojo. Puede seleccionar entre Índice de detección de virus, Índice de conexiones bloqueadas, Índice de detección de spam, Índice de URL bloqueadas e Índice de otras detecciones. Panel Red Editar Utilice esta página para definir los protocolos en los que desea mostrar información de rendimiento y conexiones. 68 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

69 Visita guiada del Panel Panel 3 Panel Colas de correo electrónico Editar Utilice esta página para seleccionar los niveles en los que desea recibir una advertencia, en función del espacio de disco ocupado por los mensajes en cola y en cuarentena, la capacidad máxima de la ubicación de cuarentena, el número de mensajes en cuarentena y en cola, y el número de solicitudes de liberación de cuarentena. Existen dos niveles de seguridad disponibles: amarillo y rojo. Panel Análisis de directivas Editar Utilice esta página para definir los protocolos en los que desea que se muestren directivas y para establecer si desea ver información detallada sobre directivas en el Panel. Puede restablecer los valores por los valores de configuración predeterminados en todas las páginas. Panel Mantenimiento del sistema Editar Utilice esta página para seleccionar los niveles en los que desea recibir una advertencia en función de la carga media, el índice de intercambio de memoria, el uso del disco, los intentos de utilizar expresiones regulares de diccionario ineficaces, así como en función de las últimas actualizaciones de definiciones de filtrado de URL, antispam y antivirus. Existen dos niveles de seguridad disponibles: amarillo y rojo. Para dejar de recibir notificaciones con relación al hecho de que el dispositivo es un dispositivo de retransmisión abierta (en caso de que la autenticación de usuarios basada en la Web necesite más configuraciones o en caso de que no haya configurado comentarios de McAfee Global Threat Intelligence), haga clic en la opción Editar en el área Mantenimiento del sistema y anule la selección de las advertencias relevantes. Panel Tareas Editar Utilice esta página para especificar las tareas que desea que estén disponibles directamente en el Panel y para cambiar su posición en la lista. Si cambia el período de generación de informes, dicho cambio se reflejará en todas las secciones de estado. Preferencias de edición de gráficos Esta información le ayudará a configurar los gráficos que aparecerán en el Panel. Panel Gráficos Editar McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 69

70 3 Visita guiada del Panel Exploración del servidor blade Opción Protocolos Contadores Umbrales (gráfico de plazos de correo electrónico únicamente) Período de generación de informes Definición De forma predeterminada, se seleccionan todos los protocolos. De forma predeterminada, se seleccionan todos los contadores. Esta opción no se aplica a Gráficos de red. Muestra los umbrales en los gráficos de plazo de Correo electrónico. De forma predeterminada, el período es la semana pasada. Tarea: desactivación de la advertencia de Comentarios de McAfee Global Threat Intelligence deshabilitados En esta tarea se indica el procedimiento que debe seguir para desactivar la advertencia que le informa de que los comentarios de McAfee Global Threat Intelligence están deshabilitados actualmente en el dispositivo. De forma predeterminada, el dispositivo muestra un mensaje de advertencia si no ha habilitado los comentarios de McAfee Global Threat Intelligence (GTI), puesto que McAfee considera que habilitar esta forma de comunicación es el mejor método de trabajo. No obstante, si se encuentra en un entorno en el que no puede activar los comentarios de McAfee Global Threat Intelligence (GTI), use la siguiente tarea para desactivar el mensaje de advertencia. Procedimiento 1 En el Panel del dispositivo, seleccione Editar en el área Mantenimiento del sistema. 2 Elimine la selección de Mostrar una advertencia si no se activan los comentarios de McAfee GTI. 3 Haga clic en Aceptar. La advertencia Comentarios de McAfee Global Threat Intelligence deshabilitados ya no está seleccionada. Exploración del servidor blade Utilice tareas y situaciones hipotéticas que muestran las ventajas clave de utilizar un servidor blade para proteger su tráfico de correo electrónico. Para realizar las tareas y las situaciones hipotéticas, necesitará algunos de los datos que introdujo en la consola de configuración y el asistente de configuración. Demostración de la administración de la carga de trabajo y la conmutación en caso de error Vea la administración de redundancia integrada y de administración de la carga de trabajo del servidor blade. El servidor blade incorpora al menos un servidor blade de análisis de contenido. Puede agregar más según sea necesario. En esta prueba se da por supuesto que tiene dos servidores blade de análisis de contenido. Para obtener información sobre la adición y eliminación de servidores blade de la carcasa, consulte HP BladeSystem c3000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c3000) o HP BladeSystem c7000 Enclosure Quick Setup Instructions (Instrucciones de instalación rápida de la carcasa HP BladeSystem c7000). 70 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

71 Visita guiada del Panel Exploración del servidor blade 3 Procedimiento 1 En la página Panel Blade, seleccione la ficha Estado de blade para asegurarse de que el servidor blade funciona correctamente. El servidor blade de administración tiene el nombre que introdujo cuando utilizó la consola de configuración. El servidor blade de administración tiene el estado RED. El servidor blade de administración para conmutación en caso de error tiene el nombre que introdujo al utilizar la consola de configuración. El servidor blade de administración para conmutación en caso de error tiene el estado REDUNDANTE. Los servidores blade de análisis de contenido se llaman blade01, blade02, etc., y su estado es CORRECTO. 2 Apague el servidor blade de administración, retírelo de la carcasa y compruebe que el servidor blade sigue funcionando con el servidor blade de administración para conmutación en caso de error. El estado del servidor blade de administración para conmutación en caso de error pasa a Red. El servidor blade de administración pasa al estado Error. 3 En Sistema Administración del clúster, seleccione un blade de análisis de contenido y haga clic en Desactivar para deshabilitar el servidor blade de análisis de contenido. El servidor blade sigue analizando tráfico. El diseño del servidor blade permite retirar un servidor blade de análisis de contenido de la carcasa sin necesidad de detener primero el servidor blade de análisis de contenido. No obstante, no se aconseja hacerlo, pues existe el riesgo de que se pueda dañar la información de las unidades de disco. 4 Consulte la columna Mensajes para ver el número de mensajes que ha procesado cada uno de los servidores blade de análisis de contenido. 5 En Estado de blade, seleccione el servidor blade de análisis de contenido que ha desactivado y haga clic en Iniciar. 6 Consulte de nuevo la columna Mensajes. El servidor blade analiza más tráfico y equilibra automáticamente la carga de análisis entre los dos servidores blade. 7 Opcional: Añada un tercer servidor blade de análisis de contenido a la carcasa y actívelo. 8 Compruebe de nuevo el Estado de blade. El servidor blade analiza aún más mensajes y equilibra la carga de análisis entre los tres servidores blade. Comprobación de las funciones de administración del servidor blade Vea cómo reducen la carga de administración del sistema las funciones de administración del servidor blade; el sistema se administra como uno solo, tanto si cuenta con un servidor blade de análisis de contenido como con varios. Puede obtener información de estado e informes correspondientes a todos los servidores blade a través de la información de estado y registros. Puede utilizar el servidor blade de administración para mantener actualizados todos los archivos DAT de todos los servidores blade de análisis de contenido y administrar la ubicación de cuarentena. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 71

72 3 Visita guiada del Panel Exploración del servidor blade Información sobre el estado del servidor blade Mientras el tráfico pasa a través del servidor blade, puede observar el Panel para obtener información actualizada sobre el funcionamiento, las detecciones y el rendimiento del tráfico totales de cada uno de los protocolos. El panel incluye información específica del servidor blade, como por ejemplo: Estado general (servidor blade de administración y servidor blade de administración para conmutación en caso de error) Estado del hardware (servidor blade de administración) Estado de blade (todos los servidores blade) Esta tabla muestra la información que puede obtener sobre todos los servidores blade. Velocímetro Nombre Rendimiento medio del servidor blade, en función de las mediciones realizadas cada pocos minutos. Nombre del blade: Servidor blade de administración. Servidor blade de administración para conmutación en caso de error. Estos nombres se especifican mediante la consola de configuración. Blade <número>: servidores blade de análisis de contenido. Estado Carga Activo Conexiones Otras columnas El estado actual de cada blade. La carga general del sistema de cada blade. El número de conexiones activas actualmente en cada blade. La fila para el servidor blade de administración muestra el total de los servidores blade de análisis de contenido. El número total de conexiones desde el último restablecimiento de los contadores. La fila para el servidor blade de administración muestra el total de los servidores blade de análisis de contenido. Información de la versión del motor antivirus, archivos DAT de antivirus, motor antispam y reglas antispam. Los números de versión son iguales si los servidores blade están actualizados. Durante la actualización, los valores podrían ser distintos. Generación de informes El servidor Content Security Blade Server incluye varios informes predefinidos que puede descargar en formato de texto, PDF o HTML. Puede planificar la generación de estos informes y definir a quién se enviarán. También puede crear sus propios informes. El registro del servidor blade muestra información de los eventos de acuerdo con el tipo de informe y el período que seleccione. Las funciones de generación de informes propias del servidor blade permiten generar informes o mostrar registros, estadísticas, gráficos y contadores de rendimiento de una amplia variedad de datos del servidor blade y de sus actividades, como el uso de la memoria y del procesador. Por ejemplo, después de ejecutar los pasos de Comprobación del tráfico de correo electrónico y la detección de virus, haga clic en Informes Búsqueda de mensajes. Se muestra el archivo de prueba EICAR. Más información sobre informes Puede hacer lo siguiente: Guardar el informe en Favoritos. Esto le permitirá ejecutar el mismo informe en el futuro. Cambiar entre las diferentes vistas de los datos del informe, cuando sea oportuno. 72 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

73 Visita guiada del Panel Exploración del servidor blade 3 Realice esta tarea para actualizar los archivos DAT del servidor blade y ver el informe de actualización a continuación. Procedimiento 1 Seleccione Sistema Administración de componentes Estado de actualización. 2 En Información y actualizaciones de versión, haga clic en Actualizar ahora para consultar cualquier actualización antivirus o antispam. 3 Seleccione Informes Informes de correo electrónico Selección Filtro. 4 Haga clic en Aplicar. Aparece información sobre las actualizaciones aplicadas al servidor blade. Uso de directivas para administrar el análisis de mensajes Vea las funciones de análisis del servidor blade en acción. Proporciona instrucciones detalladas para crear y probar algunas directivas de muestra y le indica cómo generar los informes correspondientes. Una directiva es un conjunto de configuraciones y reglas que indican al servidor blade cómo combatir amenazas concretas para la red. Cuando cree directivas de análisis reales para la organización, es importante que dedique algo de tiempo a investigar y planificar sus necesidades. Consulte la ayuda online y encontrará directrices que le ayudarán a planificar sus directivas. Pasos preliminares para la creación de directivas Antes de crear directivas, configure el servidor blade para utilizar McAfee Quarantine Manager. Todas las acciones de cuarentena están deshabilitadas de forma predeterminada. Antes de habilitarlas, configure el servidor blade para utilizar McAfee Quarantine Manager para administrar la ubicación del contenido en cuarentena. Procedimiento 1 En la interfaz de usuario, seleccione Correo electrónico Configuración de cuarentena. 2 Seleccione Usar un servicio remoto de McAfee Quarantine Manager (MQM). 3 Proporcione los detalles de McAfee Quarantine Manager. Si va a sustituir un dispositivo existente de McAfee por el servidor McAfee Content Security Blade Server, asegúrese de utilizar su ID de dispositivo actual. Si utiliza un ID de dispositivo diferente, no podrá liberar ningún mensaje que haya puesto en cuarentena el dispositivo anterior. 4 Aplique los cambios. Creación de una directiva de análisis antivirus Las políticas antivirus le permiten afinar la protección contra virus y malware. Cree una directiva de análisis antivirus para: Detectar virus en los mensajes entrantes. Poner en cuarentena el correo electrónico original. Notificar al destinatario. Avisar al remitente. Utilice esta tarea para ver qué ocurre cuando el archivo de prueba EICAR activa una regla de virus de envío masivo de correo y qué acciones pueden emprenderse. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 73

74 3 Visita guiada del Panel Exploración del servidor blade Procedimiento 1 En el servidor blade, asegúrese de que está usando McAfee Quarantine Manager (Correo electrónico Configuración de cuarentena Opciones de cuarentena). 2 En el dispositivo, seleccione Correo electrónico Directivas de correo electrónico Antivirus. La directiva predeterminada está definida como Limpiar o sustituir por una alerta si la limpieza no se lleva a cabo correctamente. 3 Haga clic en Virus: Limpiar o sustituir por una alerta para mostrar la Configuración antivirus predeterminada (SMTP). 4 En Acciones, En caso de detección de virus asegúrese de que la opción Intentar limpiar está seleccionada. 5 En la sección Y también situada bajo la acción, seleccione Entregar un correo electrónico de notificación al remitente y Poner en cuarentena el correo electrónico original. 6 En Si se produce un fallo en la limpieza, seleccione Sustituir el elemento detectado por una alerta. 7 En la sección Y también situada bajo Si se produce un fallo en la limpieza, seleccione Entregar un correo electrónico de notificación al remitente y Poner en cuarentena el correo electrónico original como las acciones secundarias. 8 Haga clic en Aceptar. 9 Seleccione Correo electrónico Directivas de correo electrónico Directivas de análisis [Opciones de analizador] -- Configuración de la dirección de correo electrónico. 10 En Mensajes de correo electrónico rebotados, asigne la dirección de correo electrónico como la dirección de correo electrónico del administrador. Sin esta configuración, el dispositivo no incluirá una dirección De: en la notificación de correo electrónico. La mayoría de los servidores de correo electrónico no entregan ningún mensaje que no tenga la dirección De:. 11 Haga clic en Aceptar y, a continuación, haga clic en la marca de verificación verde. 12 Seleccione Correo electrónico Directivas de correo electrónico Directivas de análisis [Antivirus] Opciones de malware personalizadas. 13 Seleccione Envío masivo de correo y, a continuación, establezca En caso de detección en Denegar conexión (bloquear). El servidor de correo de envío recibe el mensaje de error Code 550: denied by policy (código 550: denegado por la directiva). El dispositivo conserva una lista de las conexiones a las que no se permite enviar correo electrónico bajo ninguna circunstancia. Puede ver la lista en Correo electrónico Configuración de correo electrónico Recepción de correo electrónico Permiso y denegación [+] Conexiones permitidas y bloqueadas. La opción Conexiones denegadas se describe en Ayuda online. 14 Compruebe la configuración: a Envíe un mensaje de correo electrónico de <dirección de correo electrónico de cliente> a <dirección de correo electrónico de servidor>. b c d Cree un archivo de texto que incluya la siguiente cadena: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Guarde el archivo como eicar.txt. Adjunte el archivo al mensaje de correo electrónico. Gateway sustituye el archivo por una alerta y el remitente recibe una notificación de alerta. 74 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

75 Visita guiada del Panel Exploración del servidor blade 3 15 Vuelva a Opciones de malware personalizadas y haga clic en Nombre de detección específico:. 16 Escriba EICAR. 17 Asegúrese de que la acción principal es Rechazar los datos originales y devolver un código de error (bloquear), a continuación, haga clic en Aceptar. 18 Desde una cuenta de correo electrónico externa, cree un mensaje y adjunte el archivo de prueba EICAR. El cliente de correo electrónico devuelve un mensaje de error Code 550: denied by policy (código 550: denegado por la directiva). Correo electrónico Configuración de correo electrónico Recepción de correo electrónico Listas de permiso y denegación [+] Conexiones bloqueadas está vacío. 19 En Opciones de malware personalizadas, cambie la acción principal a Denegar la conexión y, a continuación, haga clic en Aceptar. 20 Envíe el mismo mensaje de correo electrónico y compruebe la conexión denegada. Tiene la dirección IP del equipo cliente (dirección IP de ejemplo). 21 Intente enviar un mensaje de correo electrónico no dañino. También se denegará debido a la lista de conexiones denegadas. Para el servidor de envío, el servidor parece estar desconectado. El dispositivo comprueba el mensaje cuando entra en la gateway de correo y detecta que contiene un virus. Pone en cuarentena el mensaje y notifica al destinatario y al remitente correspondientes que el mensaje está infectado. Creación de una directiva de análisis antispam Configure una directiva para proteger su organización de la recepción de mensajes no solicitados. Antes de empezar En el servidor blade, asegúrese de que está usando Correo electrónico Configuración de cuarentena de McAfee Quarantine Manager. Una directiva como esta protege a los usuarios de la recepción de mensajes de correo electrónico no solicitados que reducen la productividad y aumentan el tráfico de mensajes a través de los servidores. Procedimiento 1 Seleccione Correo electrónico Directivas de correo electrónico. Debe configurar una directiva antispam independiente para los protocolos SMTP y POP3. 2 Establezca la acción principal como Aceptar y suprimir los datos. 3 Establezca la acción secundaria como Poner en cuarentena el correo electrónico original. Cambie la calificación de spam a 5. Si habilita la detección de spam, es aconsejable que también habilite la detección antiphishing. El rendimiento del análisis no se ve afectado por la realización de las comprobaciones antispam y antiphishing. 4 Desde una cuenta de correo electrónico externa, cree un mensaje para un buzón de correo protegido por el dispositivo. 5 En el cuerpo del mensaje, escriba el texto: XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST- *C.34X 6 Envíe el mensaje. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 75

76 3 Visita guiada del Panel Exploración del servidor blade 7 Abra McAfee Quarantine Manager y mire la cola de spam. 8 Libere el mensaje de spam. 9 Vaya a la cuenta de correo electrónico del destinatario para ver el mensaje. Los mensajes detectados se envían a McAfee Quarantine Manager y un administrador puede administrarlos. Creación de una directiva de conformidad Establezca una directiva para poner en cuarentena los mensajes entrantes que incluyan contenido no deseado. Ahora se puede realizar mediante un asistente que le irá guiando. Siga los siguientes pasos para configurar un ejemplo de conformidad: Procedimiento 1 En el dispositivo, seleccione Correo electrónico DLP y conformidad Diccionarios de conformidad. 2 Seleccione Lista de diccionarios de correo electrónico. 3 Consulte el área Detalles de diccionario de... 4 Seleccione Correo electrónico Directivas de correo electrónico Conformidad. 5 Seleccione Conformidad. 6 Seleccione Activar conformidad Sí. 7 Haga clic en Aceptar. 8 En Reglas, haga clic en Crear nueva regla. 9 Introduzca el nombre de la regla. 10 Haga clic en Siguiente. 11 Seleccione los Diccionarios para incluir. Para esta prueba, seleccione los diccionarios financieros. 12 Haga clic en Siguiente. 13 Seleccione los Diccionarios para excluir. 14 Seleccione las acciones que se deben llevar a cabo. 15 Cree un correo electrónico en el servidor desde <dirección de correo electrónico de servidor de ejemplo> a <dirección de correo electrónico cliente de ejemplo>. Incluya la frase: Estimado usuario: Debemos valorar el capital acumulado acreditado de su renta. Considere llevar a cabo un arbitraje en caso de que sus activos cuenten con menos capital del esperado. 16 Envíe el mensaje. 17 Utilice Informes Búsqueda de mensajes para ver los resultados. El agente de correo electrónico cliente no recibe el correo electrónico. La cuenta del correo electrónico de servidor debe recibir dos mensajes de correo electrónico: una notificación de correo electrónico de que el mensaje no ha superado la prueba de conformidad y una copia del correo electrónico original. 76 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

77 Visita guiada del Panel Exploración del servidor blade 3 Acerca de la administración de los host virtuales Con los hosts virtuales, un solo dispositivo puede actuar como varios dispositivos. Cada dispositivo virtual puede administrar tráfico en grupos de direcciones IP especificados, lo que permite al dispositivo proporcionar servicios de análisis al tráfico de muchos orígenes o clientes. Ventajas Separa el tráfico de cada cliente. Se pueden crear directivas para cada cliente o host, lo que simplifica la configuración y evita conflictos que pueden surgir en directivas complejas. Los informes se generan por separado para cada cliente o host, lo que evita tener que llevar a cabo la compleja tarea de filtrado. Si algún comportamiento sitúa al dispositivo en una lista negra de reputación, solo se verá afectado un host virtual, no todo el dispositivo. Configuración de los host virtuales Esta función solo está disponible para los análisis SMTP. Para especificar el grupo de direcciones IP de entrada y el grupo opcional de direcciones de salida, consulte las páginas Sistema Alojamiento virtual Hosts Virtuales y Sistema Alojamiento virtual Redes virtuales. Administración de los host virtuales Función Directiva de correo electrónico Configuración de correo electrónico Correo electrónico en cola Correo electrónico en cuarentena Informes Comportamiento Cada host virtual tiene su propia ficha, en la que puede crear sus directivas de análisis. Cada host virtual tiene su propia ficha, en la que puede configurar las funciones MTA específicas para ese host. Puede ver todo el correo electrónico en cola o solo el correo electrónico en cola de cada host. Puede ver todo el correo electrónico en cuarentena o solo el correo electrónico en cuarentena de cada host. Puede ver todos los informes o solo los informes de cada host. Comportamiento entre el dispositivo y MTA Cuando el dispositivo recibe correo electrónico enviado al intervalo de direcciones IP del host virtual, este último: Responde a la conversación SMTP con su propio banner de bienvenida SMTP. Añade, de forma opcional, su propia información de direcciones al encabezado Recibido. Analiza el correo electrónico de acuerdo con su propia directiva. Cuando el dispositivo envía correo electrónico: La dirección IP se toma de un grupo de direcciones de salida o de una dirección IP física (si no está configurada). El agente de transferencia de mensajes (MTA, Mail Transfer Agent) de recepción ve una dirección IP del host virtual. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 77

78 3 Visita guiada del Panel Exploración del servidor blade Si hay un grupo de direcciones, la dirección IP se seleccionará en una operación por turnos. La respuesta EHLO llegará al host virtual. Comprobación de la configuración Conozca cómo se comprueba si Content Security Blade Server funciona correctamente después de la instalación. Es aconsejable comprobar los cambios de configuración aconsejados en el área Mantenimiento del sistema del panel al iniciar la sesión por primera vez en el dispositivo. Comprobación de la conectividad Compruebe que hay conectividad hacia el servidor blade y desde este. El servidor blade verifica si puede comunicarse con la gateway, actualizar servidores y servidores DNS. Además, confirma la validez del nombre y el nombre del dominio. Procedimiento 1 Para abrir la página Pruebas del sistema, utilice uno de estos métodos: En la sección Tareas del Panel, seleccione Ejecutar pruebas del sistema. En la barra de navegación, seleccione Solucionar problemas. 2 Haga clic en la ficha Pruebas. 3 Haga clic en Iniciar pruebas. Verifique si cada prueba se realiza correctamente. Actualización de los archivos DAT En cuanto complete la consola de configuración, Content Security Blade Server intentará actualizar todos los analizadores activados. Realice esta tarea para asegurarse de que el servidor blade tenga los archivos de definición de detecciones (DAT) más actualizados. A medida que se familiarice con el uso de Content Security Blade Server, podrá optar por actualizar tipos individuales de archivos de definición y cambiar las actualizaciones planificadas predeterminadas para que se adapten a sus necesidades. Procedimiento 1 Para abrir la página Actualizaciones, utilice uno de estos métodos: En el área Mantenimiento del sistema del Panel, seleccione Actualizaciones. Seleccione Sistema Administración de componentes Estado de actualización. 2 Para actualizar todos los archivos DAT, haga clic en Actualizar ahora junto al componente del motor antivirus. Comprobación del tráfico de correo electrónico y la detección de virus Compruebe que el tráfico de correo electrónico circula adecuadamente por el servidor blade y que las amenazas se identifican correctamente. McAfee utiliza el archivo de prueba EICAR (grupo europeo experto en seguridad de TI), un archivo inofensivo que activa una detección de virus. 78 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

79 Visita guiada del Panel Exploración del servidor blade 3 Procedimiento 1 Envíe un mensaje de correo electrónico desde una cuenta de correo electrónico externa (como Hotmail) a un buzón de correo interno y asegúrese de que ha llegado. 2 Observe Informes Búsqueda de mensajes. La lista del protocolo utilizado para enviar el mensaje debería mostrar la recepción de un mensaje. 3 Copie la siguiente frase en un archivo, asegurándose de no introducir ningún espacio ni salto de línea: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H* 4 Guarde el archivo con el nombre EICAR.COM. 5 Desde una cuenta de correo electrónico externa (cliente SMTP), cree un mensaje que contenga el archivo EICAR.COM como datos adjuntos y envíe el mensaje a un buzón de correo interno. 6 Seleccione Informes Búsqueda de mensajes. Debería ver que se ha detectado un virus. 7 Borre el mensaje cuando haya terminado de comprobar la instalación para no alarmar a usuarios desprevenidos. Comprobación de la detección de spam Ejecute una GTUBE (General Test mail for Unsolicited Bulk , prueba general para el correo electrónico masivo no solicitado) para comprobar si se detecta el spam entrante. Procedimiento 1 Desde una cuenta de correo electrónico externa (cliente SMTP), cree un nuevo mensaje de correo electrónico. 2 En el cuerpo del mensaje, copie lo siguiente: XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARDANTI-UBE-TEST- *C.34X Asegúrese de no incluir espacios ni saltos de línea. 3 Envíe el nuevo mensaje de correo electrónico a una dirección de un buzón de correo interno. Este software analiza el mensaje, lo reconoce como un mensaje de correo electrónico basura y lo trata como tal. La GTUBE anula las listas negras y las listas blancas. Exploración de las funciones de Content Security Blade Server Vea las funciones de análisis de Content Security Blade Server en acción. Utilice las siguientes tareas para obtener instrucciones detalladas para crear y probar algunas directivas de muestra, así como para generar los informes correspondientes. Directivas de análisis y su repercusión en la red Una directiva es un conjunto de configuraciones y reglas que indican a Content Security Blade Server cómo combatir amenazas concretas para la red. Cuando cree directivas de análisis reales para la organización, es importante que dedique algo de tiempo a investigar y planificar sus necesidades. Encontrará directrices que le ayudarán a planificar sus directivas en la ayuda online disponible en la interfaz del producto. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 79

80 3 Visita guiada del Panel Exploración del servidor blade Análisis de contenido con reglas de conformidad de correo electrónico Utilice el análisis de conformidad para proporcionar ayuda en cuanto al cumplimiento de las normativas y el funcionamiento corporativo. Puede elegir entre una biblioteca de reglas de conformidad predefinidas y la creación de sus propios diccionarios y reglas específicos para su organización. Las reglas de conformidad pueden variar en lo que se refiere a su complejidad; desde una activación sencilla cuando se detecta un término concreto en un diccionario hasta la integración y combinación de diccionarios basados en calificaciones que solo se activarán cuando se alcance un umbral determinado. Las funciones avanzadas de las reglas de conformidad permiten combinar los diccionarios a través del uso de operaciones lógicas, como "cualquiera", "todos" o "excepto". Procedimiento 1 Siga estos pasos para bloquear los mensajes de correo electrónico que infrinjan la directiva de "lenguaje amenazante": a Vaya a Correo electrónico Directivas de correo electrónico y seleccione Conformidad. b c d e f g En el cuadro de diálogo Configuración de conformidad predeterminada, haga clic en Sí para activar la directiva. Haga clic en Crear nueva regla a partir de plantilla para abrir el Asistente de creación de reglas. Seleccione la directiva Uso aceptable: lenguaje amenazante y haga clic en Siguiente. Si lo desea, cambie el nombre de la regla y haga clic en Siguiente. Cambie la acción principal a Aceptar y, a continuación, suprimir los datos (Bloquear) y haga clic en Finalizar. Haga clic en Aceptar y aplique los cambios. 2 Siga estos pasos para crear una regla personalizada sencilla para bloquear los mensajes de correo electrónico que contengan números de la Seguridad Social: a Vaya a Correo electrónico Directivas de correo electrónico y seleccione Conformidad. b c d e f g En el cuadro de diálogo Configuración de conformidad predeterminada, haga clic en Sí para activar la directiva. Haga clic en Crear nueva regla para abrir el Asistente de creación de reglas. Escriba el nombre de la regla y haga clic en Siguiente. En el campo Buscar, escriba social. Seleccione el diccionario Número de la Seguridad Social y haga doble clic en Siguiente. Seleccione la acción Aceptar y, a continuación, suprimir los datos (Bloquear) y haga clic en Finalizar. 3 Siga estos pasos para crear una regla compleja que se active al detectar tanto el diccionario A como el diccionario B, pero no cuando se detecte también el diccionario C: a Vaya a Correo electrónico Directivas de correo electrónico y seleccione Conformidad. b c d En el cuadro de diálogo Configuración de conformidad predeterminada, haga clic en Sí para activar la directiva. Haga clic en Crear nueva regla para abrir el Asistente de creación de reglas. Escriba el nombre de la regla y haga clic en Siguiente. 80 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

81 Visita guiada del Panel Exploración del servidor blade 3 e f g h Seleccione dos diccionarios para su inclusión en la regla y haga clic en Siguiente. Seleccione un diccionario que desee excluir de la regla en la lista de exclusiones. Seleccione la acción que desea que se lleve a cabo cuando se active la regla. En el cuadro desplegable Y condicionalmente, seleccione Todos y haga clic en Finalizar. 4 Siga estos pasos para agregar un diccionario nuevo a una regla existente: a Vaya a Correo electrónico Directivas de correo electrónico y seleccione Conformidad. b c d Amplíe la regla que desea editar. Seleccione Agregar diccionario. Seleccione el nuevo diccionario que desee incluir y haga clic en Aceptar. 5 Siga estos pasos para configurar una regla "Queja" para supervisar cuando el umbral es bajo y para bloquear cuando es alto: a Vaya a Correo electrónico Directivas de correo electrónico y seleccione Conformidad. b Haga clic en Crear nueva regla, escriba un nombre para la misma, como Queja: bajo y haga clic en Siguiente. c Seleccione el diccionario Quejas y, en Umbral, introduzca 20. d e f g h i j Haga clic en Siguiente y en Siguiente nuevamente. En Si se activa la regla de conformidad, acepte la acción predeterminada. Haga clic en Finalizar. Repita los pasos del 2 al 4 para crear otra regla nueva, pero denomínela Queja: alto y asígnele un umbral de 40. En Si se activa la regla de conformidad, seleccione Aceptar y, a continuación, suprimir los datos (bloquear). Haga clic en Finalizar. Haga clic en Aceptar y aplique los cambios. Prevención de la pérdida de información confidencial Aprenda a bloquear el envío de un documento financiero confidencial fuera de la organización. Procedimiento 1 Vaya a Correo electrónico DLP y conformidad Documentos registrados y cree una categoría denominada Finanzas. 2 Vaya a Correo electrónico Directivas de correo electrónico y seleccione la directiva Data Loss Prevention de prevención de pérdida de datos. 3 En el cuadro de diálogo Configuración predeterminada de Data Loss Prevention, haga clic en Sí para habilitar la directiva. 4 Haga clic en Crear nueva regla, seleccione la categoría Finanzas y haga clic en Aceptar para que la categoría aparezca en la lista de reglas. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 81

82 3 Visita guiada del Panel Exploración del servidor blade 5 Seleccione la acción asociada con la categoría, cambie la acción principal a Aceptar y, a continuación, suprimir los datos (bloquear) y haga clic en Aceptar. 6 Vuelva a hacer clic en Aceptar y aplique los cambios. Acerca de los mensajes de cuarentena McAfee Content Security Blade Server utiliza software de McAfee Quarantine Manager para proporcionar una solución de cuarentena remota para sus mensajes de correo electrónico. Para buscar mensajes puestos en cuarentena, consulte la documentación de McAfee Quarantine Manager. Supervisión de la detección de spam Supervise el índice de detección de spam mediante la directiva predefinida de detección de spam SMTP. En cuanto complete la consola de configuración, estas opciones se activarán para proteger la red y a los usuarios de mensajes spam no deseados. La configuración se explica con más detalle en la ayuda online disponible en la interfaz de usuario. De forma predeterminada, el servidor Content Security Blade Server: Bloquea los mensajes de phishing. Marca como spam los mensajes con una calificación mayor o igual a cinco. Suprime los mensajes de spam cuya calificación sea mayor o igual a diez. Tiene activada la autenticación de remitente. Esta configuración predeterminada permite que el servidor Content Security Blade Server detecte más del 98 % de los mensajes de spam. La autenticación de remitente incorpora la reputación de mensajes de McAfee Global Threat Intelligence. Si un remitente no supera la comprobación de la reputación de mensajes de McAfee Global Threat Intelligence, el servidor blade rechaza el correo electrónico, cierra la conexión y deniega la dirección IP del envío. La dirección IP del remitente se añade a una lista de conexiones bloqueadas y se bloquea automáticamente durante diez minutos en el nivel de kernel (puede modificar la duración predeterminada del bloqueo). Las áreas de Detecciones SMTP y Detecciones POP3 del Panel muestran el número de conexiones bloqueadas. Procedimiento 1 Vea la configuración estándar de detección antispam en Correo electrónico Directivas de correo electrónico Spam. 2 Para comprobar si los mensajes de spam se identifican correctamente, envíe un mensaje a través del servidor Content Security Blade Server que active la configuración de detección de spam. 3 Para supervisar el índice de detección, vuelva al Panel y observe las áreas Detecciones SMTP y Detecciones POP3. La cifras de Spam y phishing y de Autenticación de remitente se incrementan. En la cifra de detecciones de autenticación de remitente se incluye el número de remitentes que no superan la comprobación de reputación de mensajes de McAfee Global Threat Intelligence. Gráficos de correo electrónico ofrece una representación gráfica de los datos. 4 Para obtener un informe sobre la actividad del correo electrónico, vaya a Informes Informes de correo electrónico Selección Favoritos y seleccione Ver informes de correo electrónico favoritos. 5 Observe los informes Bloqueados (últimas 24 horas) y Principales remitentes de spam (últimas 24 horas). 82 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

83 4 4 Funcionamiento en modo resistente McAfee Content Security Blade Server 7.0 incluye el funcionamiento en modo resistente para el servidor blade. En este modo, todas las conexiones entre la red y el servidor blade, así como las conexiones de la carcasa del servidor blade, se establecen de modo que se utilicen varias rutas. Las diversas rutas proporcionan una mayor resistencia frente al fallo de cualquiera de los componentes del servidor blade, los dispositivos de red o el cableado necesario para transportar el tráfico entre la red y el servidor blade. Contenido Utilización del hardware en el modo resistente Decisión de utilizar el modo resistente Pasos preliminares para volver a configurar para el modo resistente Paso al funcionamiento en modo resistente Configuración de las interconexiones Modificación de la configuración de la carcasa Aplicación de la configuración de modo resistente a todas las interconexiones Configuración del servidor blade de administración para utilizar el modo resistente Conexiones de modo resistente a la red externa Encendido de los servidores blade McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 83

84 4 Funcionamiento en modo resistente Utilización del hardware en el modo resistente Utilización del hardware en el modo resistente El modo resistente utiliza el hardware del servidor blade de una forma diferente a la del modo estándar (o no resistente). En el modo resistente, las conexiones de red se dividen en los siguientes segmentos en la carcasa del servidor blade: Se utilizan LAN1 y LAN2 para establecer conexión con las redes externas a fin de transportar el tráfico analizado. Se utilizan como dos redes diferentes (para modo Proxy explícito o modo Enrutador transparente) o como los dos vínculos de un despliegue de modo Puente transparente. El tráfico analizado siempre se pasa por todas las interconexiones activas para proporcionar un rendimiento y una resistencia máximos. La red fuera de banda (OOB) ofrece una forma de separar el tráfico de administración del tráfico analizado. Cuando se utiliza, se puede configurar el sistema para impedir que se administre desde las redes LAN1 y LAN2. En las carcasas M7, la red OOB se proporciona normalmente a través de dos módulos de paso directo, lo que ofrece redundancia activa/pasiva. En la carcasa M3, la red OOB se proporciona a través de las interconexiones LAN2 en una red VLAN independiente con vínculos de conmutación externos separados. Con ambas carcasas, existe la alternativa de colocar la red OOB en una red VLAN proporcionada a través de los mismos puertos de interconexión externos que LAN1 y LAN2. El tráfico entre los servidores blade de administración y los de análisis se gestiona en una VLAN independiente en la carcasa del servidor blade. Esta es una VLAN privada que se encuentra en la carcasa y que, por lo general, no se proporciona fuera de la misma. La VLAN de análisis se etiqueta en los servidores blade de administración, pero se desetiqueta en los servidores blade de análisis. Esto permite que la instalación en un entorno de ejecución de prearranque (Preboot Execution Environment, PXE) de los servidores blade de análisis funcione según lo esperado. La configuración de interconexión difiere en los servidores blade de administración y los de análisis. Es aconsejable utilizar exclusivamente las ranuras del servidor blade que se recomiendan en este documento para los servidores blade de análisis y administración a fin de evitar problemas de configuración. 84 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

85 Funcionamiento en modo resistente Decisión de utilizar el modo resistente 4 Se utilizan cuatro interconexiones en la carcasa para proporcionar resistencia frente a cualquier error que se pueda producir en cualquiera de las redes anteriormente descritas. Se proporciona resistencia frente a los siguientes errores: Error en vínculo externo. La resistencia externa a la carcasa se proporciona mediante soporte para vínculos agregados (lo que también se conoce como unión de canales de red, enlace troncal, canal de puertos o EtherChannel). Se pueden unir hasta cinco vínculos para proporcionar la máxima resistencia. Un fallo en cualquiera de los vínculos solo afectará a los paquetes que se estén transportando en el vínculo erróneo en ese determinado momento. La interconexión y la infraestructura adyacente dejarán de utilizar automáticamente el vínculo con fallo. Error en vínculo interno. Los pares de vínculos de conexión cruzada internos se utilizan para proporcionar conectividad redundante entre interconexiones adyacentes. Esto quiere decir que, si fallan todas las listas de la carcasa del servidor blade externas a la interconexión, el tráfico puede seguir pasando a través de la interconexión adyacente y la conexión cruzada hasta el servidor blade original. El fallo de un vínculo solo afectará a los paquetes que se estén transportando en el vínculo erróneo en ese determinado momento. Se utiliza el STP para evitar los bucles de red. Error en la tarjeta de interfaz de red (NIC) del servidor blade. Todos los servidores blade disponen de dos rutas a cada una de las redes. Si falla una tarjeta de interfaz de red (NIC) (o su conexión con la interconexión), siempre hay una ruta redundante a la red del conmutador. El fallo en una tarjeta de interfaz de red (NIC) solo afecta a los paquetes que se estén transportando justo en el momento en que se produce el error en el vínculo. Error en el servidor blade de análisis. Si se produce un error en el servidor blade de análisis, el servidor blade de administración dirige el tráfico de análisis automáticamente a los servidores blade de análisis restantes. Se interrumpirán las conexiones que estén activas cuando se produzca el error. Error en servidor blade de administración. Si se produce un error en el servidor blade de administración, el servidor blade de administración para conmutación en caso de error asumirá la función de servidor principal y comenzará la distribución del tráfico a los servidores blade de análisis. Se interrumpirán las conexiones que estén activas cuando se produzca el error. Error de interconexión total. Se gestiona de forma parecida a como se gestiona el error de los vínculos externos e internos. Todo el tráfico fluirá directamente a la interconexión restante y a través de ella. Decisión de utilizar el modo resistente Consideraciones relativas al modo de despliegue elegido. En el modo estándar (no resistente), McAfee Content Security Blade Server utiliza un solo módulo de interconexión para cada una de las redes de área local (LAN1 y LAN2) que necesita el servidor blade. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 85

86 4 Funcionamiento en modo resistente Pasos preliminares para volver a configurar para el modo resistente En modo resistente, se utilizan dos módulos de interconexión para cada red de área local (LAN), lo que permite que se creen varias rutas de red para cada una de las redes LAN1 y LAN2. Configurar el servidor blade en modo resistente resulta considerablemente más complicado que utilizar el modo estándar no resistente. Por ello, es aconsejable utilizar el modo resistente solo en caso de ser capaz de realizar los cambios relevantes en la red y otros cambios necesarios. Si desea configurar McAfee Content Security Blade Server para utilizar el modo resistente, es aconsejable instalar en primer lugar el servidor blade en modo estándar (no resistente) y comprobar que dicho servidor blade funciona según lo esperado. Una vez que haya verificado que todo funciona correctamente, vuelva a configurar el servidor blade para el funcionamiento en modo resistente. Las siguientes secciones ofrecen información detallada sobre los pasos para configurar el servidor blade en modo estándar (no resistente) y sobre cómo continuar para realizar los cambios necesarios a fin de utilizar el modo resistente, en caso de que sea necesario. Pasos preliminares para volver a configurar para el modo resistente Entienda la importancia que puede tener volver a configurar el servidor blade para el modo resistente. Antes de comenzar a configurar de nuevo el servidor McAfee Content Security Blade Server para que funcione en modo resistente, es aconsejable haber leído y comprendido la información contenida en Planificación de la instalación. Información sobre hardware Conozca los requisitos de hardware necesarios para el modo resistente. Para permitir que el hardware se ejecute en modo resistente, deben estar disponibles los siguientes elementos: El número mínimo de servidores blade. La configuración de modo resistente debe facilitar al menos: Un servidor blade de administración Un servidor blade de administración para conmutación en caso de error Dos servidores blade de análisis como mínimo 86 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

87 Funcionamiento en modo resistente Pasos preliminares para volver a configurar para el modo resistente 4 Tarjetas de interfaz de red (NIC) suficientes en todos los servidores blade. Cuando se instala un nuevo servidor McAfee Content Security Blade Server, el hardware que se recibe es adecuado para su uso en modo resistente. No obstante, si está volviendo a configurar un servidor McAfee Content Security Blade Server previamente instalado para que funcione en modo resistente, puede ser necesario ampliar los servidores blade individuales añadiéndoles tarjetas intermedias. Se deben colocar las tarjetas intermedias específicas de McAfee en las dos ranuras disponibles del servidor blade de administración para conmutación en caso de error y del servidor blade de administración. Cuando utilice la carcasa M3 del servidor blade, es preciso que haya al menos una tarjeta intermedia en el compartimento 1 de todos los servidores blade de análisis. Puede comprobar la presencia (o ausencia) de estas tarjetas en la interfaz de usuario del administrador de tarjeta. Busque referencias a las tarjetas intermedias en la ficha Información de la pantalla Compartimento del dispositivo. Las tarjetas intermedias deben ser del tipo adecuado y se deben colocar en las ranuras correctas. Las tarjetas intermedias de puerto doble deben colocarse en el compartimento 1 para tarjetas intermedias, y las de puerto cuádruple en el compartimento 2 correspondiente. El servidor blade de administración se coloca en el compartimento 1 para blade de la carcasa. El servidor blade de administración para conmutación en caso de error se coloca en el compartimento 2 para blade de la carcasa. El software McAfee Gateway 7.0 se encuentra disponible para su instalación, tanto en CD-ROM como en unidad flash USB, o a través del administrador de tarjeta. Interconexiones Las interconexiones GBe2c de HP se deben colocar en los compartimentos de interconexión del 1 al 4. En cuanto al servidor blade M7, también se deben colocar los módulos de paso en los compartimentos de interconexión 5 y 6 para proporcionar conectividad OOB. Módulos del administrador de tarjeta. Los módulos del administrador de tarjeta (OA, Onboard Administrator) redundantes se deben adaptar y configurar de acuerdo con las instrucciones de HP. Alimentación. Se deben colocar suficientes fuentes de alimentación en la carcasa para proporcionar un funcionamiento redundante al número planificado de servidores blade, según se recomienda en la documentación de HP. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 87

88 4 Funcionamiento en modo resistente Pasos preliminares para volver a configurar para el modo resistente Direcciones IP requeridas para el modo resistente La configuración del servidor blade para utilizar el modo resistente requiere la creación de varias direcciones IP. Cada carcasa requerirá como mínimo direcciones IP de los siguientes elementos: Tabla 4-1 Modo resistente: Direcciones IP Componente Carcasa Servidor blade de administración Direcciones IP de carcasa Módulos del administrador de tarjeta Módulos de Integrated Lights-Out (ilo) (1 por servidor blade) 2 8 (carcasa M3) 16 (carcasa M7) Servidor blade de administración para conmutación en caso de error Servidores blade de análisis Módulos de interconexión (conmutadores) 4 Modo Proxy explícito Interfaz 1 de IP física 1 o más 1 o más Interfaz 1 de IP virtual (compartida) Interfaz 2 de IP física (opcional) Interfaz 2 de IP virtual (compartida) (opcional) 1 o más 1 o más 1 o más 1 o más Modo Enrutador transparente Interfaz 1 de IP física 1 o más 1 o más Interfaz 1 de IP virtual (compartida) 1 o más Interfaz 2 de IP física 1 o más 1 o más Interfaz 2 de IP virtual (compartida) 1 o más Modo Puente transparente Interfaz de IP de puente 1 o más 1 o más Interfaz de IP virtual (compartida) (opcional, cuando se configura un proxy mediante esta IP virtual). 1 o más 88 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

89 Funcionamiento en modo resistente Paso al funcionamiento en modo resistente 4 Tabla 4-1 Modo resistente: Direcciones IP (continuación) Componente Carcasa Servidor blade de administración Red de análisis privada Servidor blade de administración para conmutación en caso de error Servidores blade de análisis Equilibrio de carga de IP (Privada para la carcasa, no enrutable, controlada por los servidores blade de administración/de administración para conmutación en caso de error, predeterminada en /24) por servidor blade de análisis (asignada desde el servidor blade de administración) Nombres de usuario y contraseñas Conozca todos los nombres de usuario y contraseñas necesarios para configurar el modo resistente. Utilice esta página para obtener las contraseñas y los nombres de usuario predeterminados que utilizan los diferentes componentes del servidor blade. Si ha cambiado alguna contraseña o nombre de usuario con respecto a los valores predeterminados, utilícelos en lugar de la información predeterminada que se ofrece a continuación. Tabla 4-2 Nombres de usuario y contraseñas por componente Componente Nombre de usuario predeterminado Contraseña predeterminada (o ubicación de la contraseña) HP Onboard Administrator Administrator Consulte el adhesivo de la carcasa HP interconnects admin admin HP ilo (Se administra mediante HP Onboard Administrator). Interfaz de usuario del software McAfee Gateway Consola del software McAfee Gateway admin soporte contraseña contraseña Paso al funcionamiento en modo resistente Vea una descripción general de los pasos necesarios para cambiar al modo resistente en el servidor blade. Después de instalar y configurar el servidor McAfee Content Security Blade Server en modo estándar (no resistente), la siguiente tabla proporciona una descripción general del proceso para volver a configurar el servidor blade en modo resistente. Antes de comenzar a configurar el servidor blade en modo resistente, es aconsejable que esté configurado y se ejecute en modo estándar (no resistente). McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 89

90 4 Funcionamiento en modo resistente Paso al funcionamiento en modo resistente Tabla 4-3 Descripción general de los pasos de instalación del modo resistente Este paso Instale y configure el servidor blade, y compruebe que se ejecuta correctamente en modo estándar (no resistente). se describe aquí... Instalación estándar en la página Recopile la información de red necesaria. Pasos preliminares para volver a configurar para el modo resistente en la página Haga copias de seguridad de la configuración actual. 4. Cree la configuración base para las interconexiones. Información sobre hardware en la página 86 Nombres de usuario y contraseñas en la página 89 Realización de copias de seguridad de la configuración actual Configuración de las interconexiones 5. Cargue los archivos de configuración editados. Aplicación de la configuración de modo resistente a todas las interconexiones 6. Descargue y revise los archivos de configuración de interconexión generados. 7. Configure el servidor blade de administración para utilizar el modo resistente. 8. Efectúe los cambios necesarios en el cableado del servidor blade. Descarga y revisión de la configuración generada Configuración del servidor blade de administración para utilizar el modo resistente Conexiones de modo resistente a la red externa 9. Encienda los servidores blade. Cómo encender los servidores blade Si conecta el servidor blade a la red, el acceso a Internet o el acceso a otros servicios de red pueden verse afectados. Asegúrese de que ha escogido un momento de inactividad de la red para ello y de que la planificación se corresponde con períodos de poco uso de la red. Realización de copias de seguridad de la configuración actual Realice esta tarea para hacer copias de seguridad de la configuración actual del servidor McAfee Content Security Blade Server. Es aconsejable crear una copia de seguridad completa de la configuración del servidor blade antes de llevar a cabo una ampliación, aunque tenga previsto utilizar una de las opciones de ampliación que incluyen una copia de seguridad y restauración de la configuración. Procedimiento 1 En la interfaz de usuario, vaya a Sistema Administración del sistema Administración de configuración. 2 Seleccione los elementos opcionales que desee incluir en la copia de seguridad (pueden variar según la versión). Es aconsejable hacer copias de seguridad de todas las opciones antes de ampliar el servidor blade. 3 Haga clic en Configuración de copia de seguridad. 4 Tras un breve lapso de tiempo, aparece un cuadro de diálogo que le permite descargar el archivo de configuración con copia de seguridad a su equipo local. 90 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

91 Funcionamiento en modo resistente Paso al funcionamiento en modo resistente 4 Instalación de las interconexiones para el modo resistente Antes de establecer conexiones, debe instalar y configurar las interconexiones de Ethernet. Tabla 4-4 Clave para las figuras # Descripción Carcasas M3 Conexiones de alimentación Interconexiones 1 y 2 (se conectan a LAN1) Interconexiones 3 y 4 (se conectan a LAN2) Conexión del administrador de tarjeta Módulo del administrador de tarjeta Acceso fuera de banda (puerto 20) Fuera de banda (paso) (solo M7) En las carcasas M3, las interconexiones se instalan en la parte posterior. Las interconexiones LAN1 se colocan en los compartimentos de interconexión superior izquierdo y superior derecho, y la LAN2 en los compartimentos de interconexión inferior derecho e inferior izquierdo. Figura 4-1 Modo resistente: posición de los componentes traseros de la carcasa M3 Carcasas M7 En las carcasas M7, las interconexiones se instalan en la parte trasera, inmediatamente debajo de la fila superior de ventiladores de refrigeración. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 91

92 4 Funcionamiento en modo resistente Paso al funcionamiento en modo resistente Las interconexiones LAN1 se colocan en los compartimentos de interconexión superior izquierdo y superior derecho, y las interconexiones LAN2 se colocan en los compartimentos de interconexión situados inmediatamente debajo de las interconexiones LAN1. Figura 4-2 Modo resistente: posición de los componentes traseros de la carcasa M7 Asegúrese de hacer lo siguiente: Comprobar que el estado del protocolo de árbol de expansión (STP, Spanning Tree Protocol) es Desactivado en el caso del grupo de árbol de expansión 1 (de forma predeterminada, todos los puertos forman parte del grupo STP 1). (Si está instalando el servidor blade en modo Puente transparente). Configurar las listas de control de acceso (ACL) en las interconexiones para aislar los servidores blade de análisis de contenido de las direcciones DHCP externas de recepción. Configurar las listas de control de acceso (ACL) de modo que los paquetes de latido de blade se mantengan en los servidores blade. Si el tráfico con etiquetas VLAN va a pasar por el servidor blade, las interconexiones se deben configurar para permitir el paso de dicho tráfico. En la documentación incluida a continuación podrá encontrar información sobre el modo de hacerlo: HP GbE2c Layer 2/3 Ethernet Blade Switch for c-class BladeSystem Quick Setup (Guía de instalación rápida del conmutador de blade Ethernet de capa 2/3 GbE2c de HP para BladeSystem de clase C) HP GbE2c Layer 2/3 Ethernet Blade Switch for c-class BladeSystem User Guide (Guía del usuario del conmutador de blade Ethernet de capa 2/3 GbE2c de HP para BladeSystem de clase C) La tabla muestra las interconexiones que se utilizan para cada tipo de carcasa (M3 o M7). De forma predeterminada, los puertos externos de cada una de las interconexiones se pueden usar para conectar cada una de las redes. 92 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

93 Funcionamiento en modo resistente Configuración de las interconexiones 4 Tabla 4-5 Uso de las interconexiones Carcasa M3 Carcasa M7 Compartimento de interconexión Modo estándar (no resistente) Modo resistente Modo estándar (no resistente) Modo resistente 1 LAN1 LAN1, SCAN LAN1 LAN1, SCAN 2 No se usa LAN1, SCAN No se usa LAN1, SCAN 3 LAN2 LAN2, OOB LAN2 LAN2, (OOB) 4 OOB LAN2, OOB OOB LAN2, (OOB) 5 OOB OOB 6 No se usa OOB 7 No se usa No se usa 8 No se usa No se usa Tenga en cuenta lo siguiente: En modo estándar (no resistente), la red de análisis se superpone directamente en LAN1. En modo estándar (no resistente), las conexiones fuera de banda (OOB) indicadas son conexiones individuales que se excluyen mutuamente y no son resistentes. En modo resistente, en la carcasa M3, la red de análisis conecta VLAN sin etiquetar a través de tarjetas de interfaz de red (NIC) dedicadas en los servidores blade. En modo resistente, en la carcasa M7, la red de análisis comparte las mismas tarjetas de interfaz de red (NIC) que LAN1, pero tienen etiquetas VLAN para separar el análisis del tráfico LAN1. En el modo resistente, la etiqueta de la red de análisis se elimina en las ranuras del servidor blade de análisis para permitir la instalación en PXE de los servidores blade de análisis. En la carcasa M7, los compartimentos de interconexión 5 y 6 están ocupados por módulos de paso, lo que permite una conexión directa a los servidores blade de administración por conmutación en caso de error y de administración. Los servidores blade de análisis no disponen de conexiones fuera de banda; esto se consigue a través del servidor blade de administración y en el servidor blade de análisis mediante la red de análisis. De forma predeterminada, la VLAN de la red fuera de banda se configura para desetiquetarse en el puerto 20 de todas las interconexiones. Puede utilizar las interconexiones 1 y 2, a través del puerto 20 en cada una de las interconexiones, para usar la red fuera de banda para administrar las interconexiones en la carcasa. Las interconexiones 3 y 4, a través del puerto 20, se reservan para la administración fuera de banda del sistema McAfee Content Security Blade Server. En el caso de nuevas instalaciones o ampliaciones en las que se configura el servidor blade para usar el modo resistente, la conexión LAN2 ha cambiado respecto a versiones anteriores de McAfee Content Security Blade Server. En el caso de ampliaciones estándar (no resistentes) del hardware existente, la interconexión 2 se utiliza para el tráfico de LAN2. En el caso de nuevas instalaciones o de ampliaciones de modo resistente con el hardware existente, la interconexión 3 se usa para el tráfico de LAN2. Configuración de las interconexiones Las interconexiones del servidor blade requieren una configuración específica para permitir que la carcasa funcione en modo resistente. El software McAfee Gateway toma la configuración base de cada una de las interconexiones y la utiliza para generar de forma automática la configuración de interconexión completa necesaria para ejecutar el servidor blade en modo resistente. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 93

94 4 Funcionamiento en modo resistente Configuración de las interconexiones Las interconexiones del servidor blade requieren una configuración específica para permitir que la carcasa funcione en modo resistente. El software McAfee Gateway toma la configuración base de las interconexiones y la utiliza para generar de forma automática la configuración de interconexión completa necesaria para ejecutar el servidor blade en modo resistente. Se puede seleccionar el medio mediante el cual se aplica la configuración generada automáticamente a las interconexiones: Tabla 4-6 Métodos de configuración Responsabilidad 1. El usuario administra las interconexiones. 2. El usuario administra las interconexiones. 3. El usuario administra las interconexiones. 4. El software administra las interconexiones. Método de aplicación de la configuración de las interconexiones La información de configuración se copia y pega en la CLI de interconexión. La configuración se descarga directamente a la interconexión del software McAfee Gateway o a un servidor FTP o TFTP, aunque bajo el control del usuario. Utilice la interfaz web de interconexión para localizar la configuración y hacer cambios en ella. La configuración se descarga directamente a la interconexión desde el software McAfee Gateway siempre que cambia. Configuración proporcionada Sin credenciales en la configuración del chasis. Sin configuración base de interconexiones cargada. Sin credenciales en la configuración del chasis. Los archivos de la configuración base de las interconexiones se cargan al software McAfee Gateway. Sin credenciales en la configuración del chasis. Sin configuración base de interconexiones cargada. La configuración del chasis contiene credenciales para las interconexiones. Los archivos de la configuración base de las interconexiones se cargan al software McAfee Gateway. Consulte el Ejemplo de configuración base de las interconexiones y el Ejemplo de archivo de configuración del chasis para obtener detalles sobre el tipo de información necesaria en los archivos de configuración base de las interconexiones y el archivo de configuraciones del chasis. Si desea que el software McAfee Gateway configure automáticamente las interconexiones, utilice esta tarea para crear la configuración base de las interconexiones. El formato requerido para los archivos de la configuración base de las interconexiones depende del tipo de interconexión que se haya colocado. Los archivos de configuración de las interconexiones GbE2c de HP se deben generar en formato iscli (parecido al formato IOS de Cisco), no en el formato bladeos-cli de HP. Procedimiento 1 Descargue la configuración completa de cada una de las interconexiones en su estación de trabajo mediante el ftp o tftp, iniciando sesión en las interfaces web de cada interconexión, o mediante CLI. 2 Especifique la información exclusiva de cada interconexión. Esta incluye direcciones IP, información de enrutamiento, servidores syslog, servidores horarios y zonas horarias. 94 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

95 Funcionamiento en modo resistente Modificación de la configuración de la carcasa 4 3 Elimine las entradas de configuración de todos los puertos, a menos que haya especificado que desea que el generador de configuración de las interconexiones ignore dichos puertos. Esto se convierte en la configuración base de cada una de las interconexiones. 4 Guarde los archivos como /config/resiliency//interconnect.base.n (donde n representa el número de la interconexión) y añádalos al archivo.zip de configuración con copia de seguridad. Este archivo.zip de configuración de copia de seguridad también sirve para contener el archivo chassisconfig.xml mencionado en Modificación de la configuración de la carcasa. Modificación de la configuración de la carcasa Realice los cambios necesarios en los archivos de configuración de la carcasa modificando el archivo chassisconfig.xml. El archivo chassisconfig.xml se encuentra en el archivo comprimido de configuración, que se puede descargar en Sistema Administración del sistema Administración de configuración. La primera vez que se instale un servidor blade de administración, se generará un archivo chassisconfig.xml predeterminado. Cuando se actualiza el archivo chassisconfig.xml, la configuración de las interconexiones se vuelve a generar de forma automática con las configuraciones del puerto de interconexión del blade. Los elementos del archivo chassisconfig.xml que con mayor probabilidad deberán modificarse para coincidir con los requisitos de la red son los siguientes: ScanningVlan (4094 predeterminado) Es el ID de VLAN que se utiliza en el chasis de la red de análisis. En circunstancias normales, esta VLAN no aparece en los puertos de interconexión externos. Esta red se puede asociar a puertos utilizando el nombre simbólico análisis. UntaggedVlan (4093 predeterminado) ID de VLAN que se utiliza en el chasis para transportar tramas sin etiquetar de la red externa. Esta red se puede asociar a puertos utilizando el nombre simbólico sin etiquetar. Esta VLAN solo se utiliza en las interconexiones; el tráfico que pase al servidor blade de administración se etiquetará con las mismas etiquetas que se encontraban en los vínculos externos. OobVlan (4092 predeterminado) ID de VLAN que se utiliza en el chasis para separar la red OOB de otras redes del chasis. Esta red se puede unir a puertos utilizando el nombre simbólico oob. BridgeVlan (no predeterminado) Lista de VLAN que se puentean de LAN1 a LAN2 cuando se encuentran en modo Puente transparente. No es necesario especificar qué VLAN se han seleccionado para el análisis en la configuración del modo Puente transparente de McAfee Gateway, ya que se añadirán automáticamente. Las VLAN especificadas aquí no se analizarán, solo se puentearán de LAN1 a LAN2. Si el sistema no está en modo Puente transparente, no se utilizará este elemento. Se puede hacer referencia a la lista de VLAN externas mediante el nombre simbólico "externas". McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 95

96 4 Funcionamiento en modo resistente Modificación de la configuración de la carcasa ScanningSTG/ExternalSTG/OobStg Estas son las configuraciones para los grupos de árbol de expansión utilizadas para el árbol de expansión en cada una de las redes de análisis, red externa y red OOB respectivamente. Según la configuración de STG y la topología de la red externa, puede ser necesario modificar el campo de prioridad de cada uno de ellos. Servidores blade Esta sección incluye la función de cada una de las ranuras del blade. Se puede configurar una ranura como servidor blade de administración (en caso de que los servidores blade de administración no estén en las ranuras 1 y 2) y otra para ignorarla. Si se configura una ranura para ignorarla, no se generará configuración para los puertos de interconexión conectados a dicho servidor blade. Credenciales de las interconexiones Si es preciso que el software McAfee Gateway aplique automáticamente la configuración en las interconexiones, se debe agregar aquí la contraseña, el nombre de usuario y la dirección IP correctos en las credenciales. Es necesario mencionar que estas credenciales se guardan en texto simple y que se pueden leer aunque el sistema McAfee Gateway se vea comprometido. Puertos de interconexión El modo de funcionamiento de los puertos de interconexión se puede definir aquí. La razón más probable para cambiar la configuración de los puertos de interconexión será activar o desactivar LACP en los puertos externos, o activar o desactivar STP. También puede resultar necesario cambiar la configuración de los puertos para dedicar los puertos externos a la red de análisis. La VLAN en la que las tramas sin etiquetar cruzan el puerto se define aquí. También puede resultar práctico poner nombres representativos a los puertos aquí si no es suficiente con los nombres predeterminados que asigna el software McAfee Gateway. También se pueden definir los puertos de modo que los ignore el generador de configuración del software McAfee Gateway; no obstante, esto provocará un error si el generador de configuración del software McAfee Gateway necesita aplicar la configuración a ese puerto para una de las ranuras del servidor blade. VLAN de interconexiones Aquí se define la pertenencia del puerto de VLAN en las interconexiones. Se puede hacer referencia a los ID de VLAN mediante números o, en el caso de las VLAN relacionadas con McAfee Gateway, de modo simbólico mediante los nombres indicados anteriormente. Otras consideraciones incluyen la configuración de los siguientes elementos: El enlace troncal de los puertos de interconexión externos La configuración del árbol de expansión El acceso a sus redes de administración fuera de banda (OOB) Si desea que el software McAfee Gateway aplique automáticamente las configuraciones a las interconexiones, coloque las direcciones IP y las credenciales de las interconexiones en chassisconfig.xml. Sin embargo, es aconsejable no hacerlo hasta que haya verificado que la configuración generada de forma automática funciona correctamente. 96 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

97 Funcionamiento en modo resistente Aplicación de la configuración de modo resistente a todas las interconexiones 4 Aplicación de la configuración de modo resistente a todas las interconexiones Aplique la configuración del modo resistente a las interconexiones. Como se indica en Modificación de la configuración de la carcasa en la página 95, es aconsejable no incluir la información de las credenciales y la IP de las interconexiones en los archivos de configuración hasta que haya cargado los archivos y los haya comprobado para asegurarse de que la información que contienen es correcta. Esto impide que se configuren las interconexiones con información incorrecta. Una vez que haya comprobado que las configuraciones están como se espera, puede agregar la información de las credenciales y la IP de las interconexiones y volver a cargarlas. Los archivos de configuración se aplicarán a las interconexiones. Cargue los archivos de configuración modificados al servidor blade de administración mediante la creación de un archivo.zip de configuración que contenga todos los archivos modificados y, a continuación, restaure dicho archivo desde Sistema Administración del sistema Administración de configuración. Estos incluyen: Todos los archivos de configuración base de las interconexiones. El archivo chassisconfig.xml. Debe aplicar los cambios antes de que el servidor blade pueda utilizar la configuración cargada. Si ha añadido las direcciones IP y las credenciales de las interconexiones al archivo (chassisconfig.xml) de configuración de la carcasa, la configuración del modo resistente se aplicará automáticamente a cada interconexión. Descarga y revisión de la configuración generada Descargue y revise los archivos de configuración interconnect_config.x.n generados. Asegúrese de que la configuración generada se corresponde con la configuración deseada. Esto puede comprobarse en Sistema Administración del sistema Administración de clústeres Modo resistente. Si se detecta algún error en estos archivos, repita los pasos indicados y genere la configuración para corregir el problema. Configuración del servidor blade de administración para utilizar el modo resistente Configure el servidor blade de administración para utilizar el modo resistente. Procedimiento 1 En la interfaz de usuario, vaya a Sistema Administración del sistema Administración de clústeres Modo resistente. 2 Haga clic en Activar modo resistente. 3 Haga clic en Aceptar para confirmar que comprende la Advertencia de activación de modo resistente. 4 Espere a que se apaguen de forma automática el servidor blade de administración, el de administración para conmutación en caso de error y todos los servidores blade de análisis. McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 97

98 4 Funcionamiento en modo resistente Conexiones de modo resistente a la red externa 5 Efectúe los cambios que sean necesarios en la interconexión de la red externa al servidor blade. 6 Encienda los servidores blade de administración para conmutación en caso de error y de administración. Consulte el Panel para asegurarse de que los servidores blade de administración y de administración para conmutación en caso de error funcionan correctamente y de que están sincronizados. 7 Encienda todos los servidores blade de análisis de contenido por separado. Conexiones de modo resistente a la red externa Configure las conexiones necesarias entre la red externa y McAfee Content Security Blade Server. Las conexiones necesarias entre la red externa y McAfee Content Security Blade Server dependen del modo de funcionamiento que seleccione el servidor blade, así como de la configuración de la red externa. Si utiliza el administrador de tarjeta, compruebe que está conectado a él, así como a las interconexiones. 98 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación

99 Funcionamiento en modo resistente Conexiones de modo resistente a la red externa 4 Compruebe que todas las conexiones entre las interconexiones del servidor blade y la red están compuestas por vínculos unidos para proporcionar resistencia en caso de que se produzca un fallo en un cable, interconexión o conmutador. Figura 4-3 Conexiones de red habituales: modo resistente Tabla 4-7 Clave Vínculos LAN (redes LAN1, LAN2 u OOB) Red de análisis interna Vínculos unidos McAfee Content Security Blade Server 7.0 Sistema Guía de instalación 99

100 4 Funcionamiento en modo resistente Encendido de los servidores blade Tabla 4-7 Clave (continuación) Vínculos bloqueados normalmente por STP 1. Red externa 2. Infraestructura de red 3. Interconexión 1 (para LAN1), Interconexión 3 (para LAN2 u OOB) 4. Interconexión 2 (para LAN1), Interconexión 4 (para LAN2 u OOB) 5. Servidor blade de administración 6. Servidor blade de administración para conmutación en caso de error 7. Servidores blade de análisis Por motivos de simplicidad, el diagrama muestra únicamente un conjunto de rutas de LAN/OOB. Las rutas para LAN1, LAN2 y OOB son similares. Encendido de los servidores blade Encienda todos los servidores blade de McAfee Content Security Blade Server. Antes de empezar Asegúrese de haber realizado todas las tareas incluidas en Paso al funcionamiento en modo resistente en la página 89. Procedimiento 1 Pulse el botón de encendido del servidor blade de administración. 2 Una vez que el servidor blade de administración haya completado la secuencia de arranque, pulse el botón de encendido del servidor blade de administración para conmutación en caso de error. 3 Una vez que los servidores blade de administración y de administración para conmutación en caso de error hayan completado sus secuencias de arranque, puede encender los servidores blade de análisis de contenido. Para evitar un pico de tensión, es aconsejable que cada uno de los servidores blade de análisis de contenido complete la secuencia de arranque antes de encender el siguiente servidor blade de análisis de contenido. 100 McAfee Content Security Blade Server 7.0 Sistema Guía de instalación