HOWTO: Cómo configurar el acceso web en varios interfaces de Integra Casos de uso para configurar VPN con GateDefender Integra Panda Security desea que obtenga el máximo beneficio de sus unidades GateDefender Integra. Para ello, le ofrece la información que necesite sobre las características y configuración del producto. Consulte http://www.pandasecurity.com/ y http://www.pandasecurity.com/spain/enterprise/support/ para más información. El software descrito en este documento se entrega bajo un Acuerdo de Licencia y únicamente puede ser utilizado una vez aceptados los términos del citado Acuerdo. La tecnología antispam incluida en este producto pertenece a Mailshell. La tecnología de filtrado web incluida en este producto pertenece a Cobión. Aviso de Copyright Panda 2007. Todos los derechos reservados. Ni la documentación, ni los programas a los que en su caso acceda, pueden copiarse, reproducirse, traducirse o reducirse a cualquier medio o soporte electrónico o legible sin el permiso previo por escrito de Panda, C/ Buenos Aires 12, 48001 Bilbao (Vizcaya) ESPAÑA. Marca Registrada Panda Security. TruPrevent es una marca registrada en la Oficina de Patentes y Marcas de EEUU. Windows Vista y el logo de Windows son marcas o marcas registradas de Microsoft Corporation en los EEUU y/o otros países. Otros nombres de productos son marcas registradas de sus respectivos propietarios. Panda 2007. Todos los derechos reservados.
ÍNDICE 1. INTRODUCCIÓN...3 2. PROCEDIMIENTO...5 Convenciones utilizadas en este documento Iconos utilizados en esta documentación: Nota. Aclaración que completa la información y aporta algún conocimiento de interés. Aviso. Destaca la importancia de un concepto. Consejo. Ideas que le ayudarán a sacar el máximo rendimiento a su programa. Referencia. Otros puntos donde se ofrece más información que puede resultar de su interés. Tipos de letra utilizados en esta documentación: Negrita: Nombres de menús, opciones, botones, ventanas o cuadros de diálogo. Código: Nombres de archivos, extensiones, carpetas, información de la línea de comandos o archivos de configuración como, por ejemplo, scripts. Cursiva: Nombres de opciones relacionadas con el sistema operativo y programas o archivos que tienen nombre propio. Panda GateDefender Integra Página 2 de 8
1. Introducción Panda GateDefender Integra permite el acceso a la consola web desde un único interfaz. Este acceso se puede configurar a un único interfaz desde el submenú Acceso a la consola dentro del menú Configuración del sistema: Normalmente se suele configurar el acceso a la consola web en algunos de los interfaces internos de la red (LAN o DMZ), al ser más seguros que el interfaz WAN. Sin embargo, puede ser útil en determinados casos, que el acceso a la consola web se habilite sobre varios interfaces. Por ejemplo, si desde el departamento de Soporte Técnico de Panda Software se solicita acceso remoto HTTPS a la máquina para resolver una incidencia, no es necesario cambiar la configuración de la consola y, usando una simple regla DNAT, se podría permitir el acceso a la consola WEB además de en el puerto LAN, en el puerto WAN. Para ilustrar cómo proceder, se va a usar la red que se muestra a continuación: Panda GateDefender Integra Página 3 de 8
En esta simulación se ha colocado una unidad de Panda GateDefender Integra en el perímetro de la red para realizar las funciones de Firewall corporativo (además del módulo Firewall podría estar activado también cualquier otro módulo). En este contexto, Integra se ha configurado con 3 interfaces: Eth0 para la zona WAN, Eth1 para la LAN, y Eth2 para la DMZ. Habitualmente, en las configuraciones reales más comunes, el interfaz WAN tendrá asignada una dirección IP privada y será otro dispositivo adicional el que le proporcione los servicios WAN, como por ejemplo un router ADSL, un cable módem, etc, el cual dispondrá de una dirección IP pública (dinámica o estática) que normalmente hará nat automáticamente con la dirección privada del interfaz WAN de Integra hacia Internet. Según se observa en la figura, Panda GateDefender Integra se encuentra situado detrás de un router ADSL que está haciendo NAT de los paquetes que recibe por su interfaz LAN. Para hacer más intuitivo este documento, se supone que el router ADSL está configurado para hacer una redirección port forwarding o destination Nat de todo el tráfico que recibe en su interfaz público (62.14.249.65) al interfaz WAN de GateDefender Integra, es decir, a la dirección IP 192.168.1.1. También se da por supuesto que Integra ya ha sido configurado con reglas de SNAT, por lo que tanto la LAN como la DMZ son transparentes más allá del interfaz WAN de Integra, cuya dirección IP es la única representante de la red que protege Panda GateDefender Integra. Es decir, la única forma de llegar tanto a Integra como a sus redes internas (LAN y DMZ en este caso) es a través de la dirección IP pública asignada al dispositivo ADSL cuyo tráfico es redirigido hacia GateDefender Integra. Índice Panda GateDefender Integra Página 4 de 8
2. Procedimiento Como se aprecia en la figura anterior, el acceso a la consola web está configurado sobre el interfaz eth1. Con la introducción de una regla DNAT se puede conseguir que sin cambiar la configuración de la consola, se pueda acceder a la consola web tanto en el interfaz eth1 como en el interfaz eth0. Para ello y para realizar un mapeo del tráfico HTTPS que se recoja en el interfaz eth0 hacia el interfaz eth1 como si fuera otro servidor corporativo ofreciendo sus servicios al exterior, sólo es necesario proceder a introducir dicha regla. Con esta configuración, las peticiones a la dirección IP en el interfaz eth0 de Integra por el puerto 443 pasarán a través de Integra, que cambiará la dirección IP destino por la dirección IP privada de la consola asignada en su interfaz eth1. Por lo tanto, como primer paso, y siguiendo el esquema marcado: 1. Se introducen algunas definiciones de redes que nos pueden ser útiles a la hora de configurar las reglas. Panda GateDefender Integra Página 5 de 8
En este caso, se definen los rangos de redes LAN y DMZ así como la dirección IP de la consola y la dirección IP del interfaz asignada al interfaz WAN. Nota: Este paso no es obligatorio, se pueden introducir las direcciones sin haberlas definido previamente, aunque a la hora de introducir muchas reglas, se simplifica el trabajo. 2. Se define el servicio que se va a mapear. En este caso no sería necesario añadir uno nuevo ya que HTTPS en el puerto 443 ya existe en los servicios predefinidos por defecto: 3. Se añade la regla DNAT que mapee al interfaz eth1 (LAN) el tráfico HTTPS por el puerto 443 que se reciba: Se elige la acción como DNAT, que crea la regla DNAT: Panda GateDefender Integra Página 6 de 8
Se le asigna un nombre, y se definen las características del tráfico que va a estar afectado por esta regla: Se va a aplicar al tráfico cuyo origen sea cualquiera, ya que se desconoce el origen de las peticiones que vengan de Internet. Como destino se debe colocar la dirección IP del interfaz que va a recoger el tráfico, en este caso el interfaz WAN. El servicio para el que se va a aplicar esta regla en este caso es HTTPs, definido por defecto y que incluye tráfico HTTPS por el puerto 443. 4. Se definen los parámetros del destino final del mapeo estático: En el campo NAT target address, se debe introducir el servidor destino de la petición HTTPS. En este caso, se puede hacer caso de la definición que se ha introducido para la dirección IP de la consola o introducir a mano la dirección IP directamente, que en este caso funcionará como servidor destino de la petición HTTPS. Si se marca el campo Keep original address, el encabezado destino no se modificaría. Este caso puede ser usado en situaciones especiales. La opción Target port en este caso no es necesaria ya que el puerto destino no va a cambiar. Panda GateDefender Integra Página 7 de 8
5. Se definen el resto de los parámetros opcionales de registro de información, planificación de la regla, etc. Una vez definidos todos los parámetros, la regla quedaría como se muestra a continuación: Una vez introducida la regla DNAT, es necesario que el tráfico que va a ser redirigido no sea bloqueado por las reglas de filtrado del Firewall. Para ello, se puede añadir una nueva regla de filtrado que permita la entrada de tráfico HTTPS como se muestra a continuación: Índice Panda 2007 0707-PGDIHT07-04-SP Panda GateDefender Integra Página 8 de 8