McAfee Email and Web Security Appliances Guía de instalación
COPYRIGHT Copyright 2011 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus proveedores o sus empresas filiales. ATRIBUCIONES DE MARCAS COMERCIALES AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2
Contenido Presentación de McAfee Email and Web Security Appliances......................... 6 Uso de esta guía........................................................................... 6 A quién va dirigida esta guía.......................................................... 6 Definición de los términos utilizados en esta guía................................................ 6 Convenciones gráficas...................................................................... 8 Documentación............................................................................ 8 Recursos disponibles....................................................................... 8 Preinstalación............................................................................... 9 Contenido de la caja........................................................................ 9 Planificación de la instalación................................................................. 9 Uso indebido............................................................................. 10 Condiciones de funcionamiento.............................................................. 10 Colocación del dispositivo................................................................... 10 Consideraciones sobre los modos de red...................................................... 11 Modo Puente transparente........................................................... 11 Modo Router transparente........................................................... 13 Modo Proxy explícito................................................................ 14 Estrategias de despliegue para el uso del dispositivo en una DMZ.................................. 16 Configuración SMTP en una DMZ...................................................... 17 Administración de la carga de trabajo.................................................. 19 Conexión y configuración del dispositivo.............................................. 20 Tabla de consulta rápida para la instalación.................................................... 20 Puertos y conexiones...................................................................... 21 Instalación física del dispositivo.............................................................. 21 Montaje del dispositivo en un bastidor................................................. 21 Conexión a la red......................................................................... 22 Números de puerto................................................................. 22 Uso de conexiones LAN de cobre...................................................... 22 Uso de conexiones LAN de fibra...................................................... 23 Monitor y teclado.................................................................. 23 Suministro de alimentación al dispositivo...................................................... 23 3
Contenido Instalación del software.................................................................... 23 Uso de la Consola de configuración........................................................... 24 Página de bienvenida............................................................... 24 Instalación estándar................................................................ 25 Realización de una configuración personalizada.......................................... 28 Restauración desde un archivo....................................................... 35 Realización de una instalación gestionada mediante epo.................................. 35 Configuración de epo............................................................... 36 Configuración básica................................................................ 36 Configuración de red............................................................... 37 Administración de clústeres.......................................................... 37 Contraseña....................................................................... 40 Resumen......................................................................... 40 Comprobación de la configuración............................................................ 41 Introducción a la interfaz de usuario................................................... 41 Prueba del dispositivo............................................................... 42 Uso del dispositivo........................................................................ 44 Actualizaciones y HotFix............................................................. 44 Después de la instalación............................................................ 44 Exploración del dispositivo.............................................................. 45 Generación de informes.................................................................... 45 Uso de directivas para administrar el análisis de mensajes........................................ 46 Creación de un análisis de directivas antivirus........................................... 46 Creación de un análisis de directivas antispam........................................... 48 Creación de una directiva de conformidad de correo electrónico............................ 48 Creación de una directiva de filtrado de contenido....................................... 49 Acerca de la administración de los host virtuales......................................... 50 Solución de problemas................................................................... 52 Problemas generales....................................................................... 52 El dispositivo no recibe alimentación................................................... 52 El dispositivo no recibe tráfico de la red................................................ 52 Preguntas frecuentes...................................................................... 53 Problemas de interfaz............................................................... 53 Problemas con el correo............................................................. 54 Entrega.......................................................................... 55 Datos adjuntos de correo electrónico.................................................. 56 POP3............................................................................ 56 4
Contenido Configuración física................................................................. 57 Configuración del sistema........................................................... 57 Mantenimiento del sistema........................................................... 58 Actualización automática de antivirus.................................................. 58 Antispam......................................................................... 58 Ayuda adicional: la barra de vínculos......................................................... 60 5
Presentación de McAfee Email and Web Security Appliances Esta guía ofrece toda la información que necesita para instalar McAfee Email and Web Security Appliance. Proporciona los pasos y las comprobaciones correspondientes al proceso de instalación. Esta guía demuestra cómo configurar el software Email and Web Security. Una vez finalizada la configuración, el usuario dispondrá de un dispositivo completamente operativo. Contenido Uso de esta guía Definición de los términos utilizados en esta guía Convenciones gráficas Documentación Recursos disponibles Uso de esta guía Esta guía le ayuda a: Planificar y realizar la instalación. Familiarizarse con el uso de la interfaz. Comprobar que el producto funciona correctamente. Aplicar los archivos de definición de detecciones más recientes. Examinar determinados análisis de directivas, crear informes y obtener información de estado. Solucionar problemas básicos. Podrá encontrar más información sobre las características de análisis del producto en la Ayuda online. A quién va dirigida esta guía La información incluida en esta guía está dirigida principalmente a los administradores de redes responsables del programa de seguridad y de antivirus de la empresa. Definición de los términos utilizados en esta guía En esta información se definen algunos de los términos clave de la guía. 6
Presentación de McAfee Email and Web Security Appliances Definición de los términos utilizados en esta guía Término Zona desmilitarizada (DMZ) Archivos DAT Modo de funcionamiento Directiva Comprobación del servicio de reputación Definición Un equipo host o una red pequeña introducida como búfer entre una red privada y la red pública externa para evitar el acceso directo de los usuarios externos a los recursos de la red privada. Archivos de definición de detecciones (DAT), también denominados archivos de firma, que contienen las definiciones que identifican, detectan y reparan virus, troyanos, spyware, adware y otros programas potencialmente no deseados (PUP). El producto cuenta con tres modos operativos: modo proxy explícito, modo de puente transparente y modo de router transparente. Recopilación de criterios de seguridad, como las opciones de configuración, puntos de referencia y especificaciones de acceso a la red, que define el nivel de conformidad requerido para los usuarios, dispositivos y sistemas que una aplicación de seguridad de McAfee puede evaluar o aplicar. Parte de la autenticación de remitente. Si un remitente no supera la comprobación del servicio de reputación, el dispositivo está configurado para detener la conexión y denegar el mensaje. La dirección IP del remitente se añade a una lista de conexiones bloqueadas y se bloqueará automáticamente en el futuro en el nivel de kernel. 7
Presentación de McAfee Email and Web Security Appliances Convenciones gráficas Convenciones gráficas Las figuras de esta guía utilizan los símbolos siguientes: Dispositivo Internet Servidor de correo Otro tipo de servidor (por ejemplo, un servidor DNS) Equipo cliente o usuario Router Conmutador Firewall Zona de red (DMZ o VLAN) Red Ruta de datos real Ruta de datos percibida Documentación Esta guía se incluye junto con el producto. Puede encontrar información adicional en la Ayuda online que incluye el producto y en el sitio web http://mysupport.mcafee.com. Recursos disponibles En esta información se describe dónde obtener ayuda e información adicional. Productos de McAfee Guía del producto Ayuda online McAfee KnowledgeBase. Vaya a https://mysupport.mcafee.com/eservice/default.aspx y haga clic en Search the KnowledgeBase (Búsqueda en KnowledgeBase). Sitio de descarga de McAfee. Incluye información sobre conceptos básicos, directivas, protocolos (SMTP, POP3, FTP, HTTP e ICAP), mantenimiento y supervisión. Necesitará su número de identificación de concesión. Interfaz del producto. Incluye información sobre conceptos básicos, directivas, protocolos (SMTP, POP3, FTP, HTTP e ICAP), mantenimiento y supervisión. 8
Preinstalación Para asegurarse del funcionamiento seguro del producto, tenga en cuenta lo siguiente antes de comenzar la instalación. Familiarícese con las capacidades y modos operativos. Es importante que elija una configuración válida. Decida cómo integrar el dispositivo en la red y determine qué información necesita antes de empezar. Por ejemplo, el nombre y la dirección IP del dispositivo. Desembale el producto lo más cerca posible de la ubicación que va a tener. Extraiga el producto del embalaje de protección y colóquelo en una superficie plana. Lea todas las advertencias de seguridad proporcionadas. ATENCIÓN: revise toda la información de seguridad proporcionada y familiarícese con ella. Contenido Contenido de la caja Planificación de la instalación Uso indebido Condiciones de funcionamiento Colocación del dispositivo Contenido de la caja Para comprobar que el paquete contiene todos los componentes, consulte la lista que se suministra junto al producto. Normalmente, debe incluir lo siguiente: Un dispositivo Cables de alimentación Cables de red CD de instalación y recuperación de Email and Web Security CD de código fuente de Linux Si algún elemento falta o está dañado, póngase en contacto con el proveedor. Preinstalación Planificación de la instalación Tenga en cuenta lo siguiente: 9
Preinstalación Uso indebido Requisitos ambientales Información sobre los requisitos ambientales del sitio, entre los que se incluyen los relacionados con la temperatura, la ventilación y el espacio. Consideraciones y requisitos de alimentación Requisitos de alimentación y factores eléctricos que deben tenerse en cuenta antes de la instalación. Requisitos y especificaciones de hardware Situaciones hipotéticas de configuración Preparación de la instalación Preinstalación Uso indebido El producto: No es un firewall. Debe utilizarlo en la organización protegido por un firewall debidamente configurado. No es un servidor para almacenar archivos y software adicionales. No instale ningún software en el dispositivo ni agregue archivos adicionales a menos que así se lo indique la documentación del producto o el representante de soporte técnico. El dispositivo no puede gestionar todos los tipos de tráfico. Si usa el modo proxy explícito, sólo los protocolos que pueden analizarse se enviarán al dispositivo. Preinstalación Condiciones de funcionamiento Temperatura Humedad relativa Vibración máxima Impacto máximo Altitud De 10 a 35 C (50 a 95 F). Del 20% al 80% (sin condensación) con un gradiente máximo de humedad del 10% por hora. 0,25 G a 3 200 Hz durante 15 minutos. Un impulso de impacto en la zona del eje z positivo (un impulso a cada lado de la unidad) de 31 G hasta 2,6 ms. De -16 a 3.048 m (de -50 a 10.000 pies). Colocación del dispositivo Instale el dispositivo de modo que pueda controlar el acceso físico a la unidad y el acceso a los puertos y las conexiones. Junto con el dispositivo, se suministra un kit de montaje en bastidor que permite instalarlo en un bastidor de 19 pulgadas; consulte Montaje del dispositivo en un bastidor. 10
Preinstalación Consideraciones sobre los modos de red Consideraciones sobre los modos de red Antes de instalar y configurar Email and Web Security Appliance, debe decidir qué modo de red va a utilizar. El modo que elija determinará la conexión física del dispositivo a la red. Puede seleccionar uno de los siguientes modos de red: Modo Puente transparente: el dispositivo actúa como un puente Ethernet. Modo Router transparente: el dispositivo actúa como un router. Modo Proxy explícito: el dispositivo actúa como un servidor proxy y un dispositivo de retransmisión de correo. Si, después de haber leído ésta y las secciones siguientes, sigue sin estar seguro del modo que va a utilizar, póngase en contacto con un experto en redes. Consideraciones de arquitectura sobre los modos de red Las principales consideraciones sobre los modos de red son: Si los dispositivos en comunicación conocen la existencia del dispositivo. Es decir, si el dispositivo está funcionando en uno de los modos transparentes. Cómo se conecta físicamente el dispositivo a la red. La configuración necesaria para que el dispositivo se incorpore a la red. Si la configuración tiene lugar en la red. Consideraciones previas al cambio de modos de red En los modos de proxy explícito y router transparente, puede configurar el dispositivo para que se sitúe en más de una red. Para ello, deben configurarse varias direcciones IP para los puertos LAN1 y LAN2. Si cambia a modo de puente transparente desde el modo de proxy explícito o de router transparente, sólo se transferirán las direcciones IP habilitadas para cada puerto. SUGERENCIA: una vez seleccionado un modo de red, McAfee recomienda no cambiarlo a menos que mueva el dispositivo o reestructure la red. Contenido Preinstalación Modo Puente transparente Modo Router transparente Modo Proxy explícito Modo Puente transparente En el modo de puente transparente, los servidores en comunicación ignoran la existencia del dispositivo: el funcionamiento del dispositivo es transparente para los servidores. Figura 1: Comunicación transparente 11
Preinstalación Consideraciones sobre los modos de red En Figura 1: Comunicación transparente, el servidor de correo externo (A) envía mensajes de correo electrónico al servidor de correo interno (C). El servidor de correo externo ignora que el dispositivo intercepta y analiza el mensaje de correo electrónico (B). Parece que el servidor de correo externo se comunica directamente con el servidor de correo interno (la ruta se muestra como una línea de puntos). En realidad, el tráfico debe pasar por varios dispositivos de red y el dispositivo debe interceptarlo y analizarlo antes de que llegue al servidor de correo interno. Funcionamiento del dispositivo Configuración En el modo de puente transparente, el dispositivo se conecta a la red mediante los puertos LAN1 y LAN2. El dispositivo analiza el tráfico que recibe y actúa como un puente, conectando dos segmentos de red, pero tratándolos como una única red lógica. El modo de puente transparente requiere menos configuración que los modos de router transparente y de proxy explícito. No necesita volver a configurar todos los clientes, la gateway predeterminada, los registros MX, el firewall con NAT ni los servidores de correo para enviar tráfico al dispositivo. Debido a que el dispositivo no funciona como router en este modo, no necesita actualizar una tabla de enrutamiento. Ubicación del dispositivo Por motivos de seguridad, debe utilizar el dispositivo en la organización protegido por un firewall. Figura 2: Única red lógica SUGERENCIA: en el modo de puente transparente, coloque el dispositivo entre el firewall y el router, tal y como se muestra en Figura 2: Única red lógica. En este modo, se conectan físicamente dos segmentos de red al dispositivo y éste los trata como una única red lógica. Como los dispositivos (firewall, dispositivo y router) se encuentran en la misma red lógica, deben tener direcciones IP compatibles en la misma subred. Los dispositivos de un lado del puente (como un router) que se comunican con los dispositivos del otro lado del puente (como un firewall) ignoran la existencia del puente. Ignoran que el 12
Preinstalación Consideraciones sobre los modos de red tráfico se intercepta y analiza, razón por la cual se dice que el dispositivo funciona como un puente transparente. Figura 3: Modo Puente transparente Modo Router transparente En el modo de router transparente, el dispositivo analiza el tráfico de correo electrónico entre dos redes. El dispositivo tiene una dirección IP para el tráfico analizado saliente y debe tener una dirección IP para el tráfico entrante. Los servidores de red en comunicación ignoran la intervención del dispositivo: el funcionamiento del dispositivo es transparente para los dispositivos. Funcionamiento del dispositivo Configuración En el modo de router transparente, el dispositivo se conecta a las redes mediante los puertos LAN1 y LAN2. El dispositivo analiza el tráfico que recibe en una red y lo reenvía al siguiente dispositivo de red en una red diferente. El dispositivo actúa como un router, enrutando el tráfico entre las diferentes redes, en función de la información incluida en sus tablas de enrutamiento. En el modo de router transparente, no necesita volver a configurar de forma explícita los dispositivos de red para enviar tráfico al dispositivo. Tan sólo es necesario configurar la tabla de enrutamiento del dispositivo y modificar algunos de los datos de enrutamiento de los dispositivos de red a ambos lados de éste (los dispositivos conectados a sus puertos LAN1 y LAN2). Por ejemplo, puede ser necesario designar el dispositivo como gateway predeterminada. 13
Preinstalación Consideraciones sobre los modos de red En el modo de router transparente, el dispositivo debe unir dos redes. El dispositivo debe estar situado dentro de la organización junto con un firewall. NOTA: el modo de router transparente no es compatible con el tráfico IP multidifusión ni con los protocolos que no sean IP, como NETBEUI o IPX. Ubicación del dispositivo Use el dispositivo en modo de router transparente para sustituir un router existente en la red. SUGERENCIA: si usa el modo de router transparente y no sustituye un router existente, debe volver a configurar parte de la red para que enrute el tráfico correctamente a través del dispositivo. Figura 4: Configuración del modo Router transparente Debe hacer lo que se indica a continuación: Configurar los dispositivos cliente para que apunten a la gateway predeterminada. Configurar el dispositivo para utilizar la gateway de Internet como gateway predeterminada. Asegurarse de que los dispositivos cliente pueden entregar mensajes de correo electrónico a los servidores de correo de la organización. Modo Proxy explícito En el modo Proxy explícito, deben configurarse explícitamente determinados dispositivos de red para que envíen tráfico al dispositivo. Así, el dispositivo funciona como un proxy o dispositivo de retransmisión que procesa el tráfico en nombre de los dispositivos. 14
Preinstalación Consideraciones sobre los modos de red El modo proxy explícito resulta más adecuado en aquellas redes en las que los dispositivos cliente se conectan al dispositivo a través de un único dispositivo ascendente y descendente. SUGERENCIA: puede que ésta no sea la mejor opción cuando sea preciso reconfigurar varios dispositivos de red para enviar tráfico al dispositivo. Configuración de red y de dispositivos Si el dispositivo está configurado en modo proxy explícito, debe configurar de forma explícita el servidor de correo interno para que retransmita el tráfico de correo electrónico al dispositivo. El dispositivo analiza el tráfico de correo electrónico antes de reenviarlo, en nombre del remitente, al servidor de correo externo. Entonces, el servidor de correo externo reenvía el mensaje de correo electrónico al destinatario. De igual forma, la red debe configurarse de manera que los mensajes de correo electrónico entrantes procedentes de Internet se entreguen al dispositivo en lugar de entregarse al servidor de correo interno. Figura 5: Retransmisión del tráfico de correo electrónico El dispositivo analiza el tráfico antes de reenviarlo, en nombre del remitente, al servidor de correo interno para la entrega, como se muestra en Figura 5: Retransmisión del tráfico de correo electrónico. Por ejemplo, un servidor de correo externo puede comunicarse directamente con el dispositivo, aunque el tráfico puede pasar por varios servidores de red antes de llegar al dispositivo. La ruta percibida es del servidor de correo externo al dispositivo. Protocolos Para analizar un protocolo admitido, debe configurar el resto de los servidores de red o los equipos cliente para enrutar dicho protocolo a través del dispositivo, de forma que éste filtre todo. Reglas de firewall El modo Proxy explícito invalida cualquier regla de firewall configurada para el acceso del cliente a Internet. El firewall sólo ve la información de la dirección IP del dispositivo y no las direcciones IP de los clientes, lo que significa que el firewall no puede aplicar sus reglas de acceso a Internet a los clientes. Ubicación del dispositivo Configure los dispositivos de red de forma que el tráfico objeto de análisis se envíe al dispositivo. Esto es más importante que la ubicación del dispositivo. 15
Preinstalación Estrategias de despliegue para el uso del dispositivo en una DMZ El router debe permitir a todos los usuarios conectarse al dispositivo. Figura 6: Configuración de proxy explícito El dispositivo debe colocarse dentro de la organización y protegido por un firewall, como se muestra en la Figura 6: Configuración de proxy explícito. Normalmente, el firewall está configurado para bloquear el tráfico que no proviene directamente del dispositivo. Si tiene alguna duda acerca de la topología de la red y de cómo integrar el dispositivo, consulte a un experto en redes. Utilice esta configuración en los casos siguientes: El dispositivo funciona en modo proxy explícito. Usa correo electrónico (SMTP). En esta configuración, debe: Configurar los servidores externos de sistema de nombres de dominio (DNS) o la conversión de direcciones de red (NAT, Network Address Translation) en el firewall, de manera que el servidor de correo externo entregue el correo al dispositivo y no al servidor de correo interno. Configurar los servidores de correo interno para que envíen mensajes de correo electrónico al dispositivo. Es decir, los servidores de correo interno deben utilizar el dispositivo como un host inteligente. Asegúrese de que los dispositivos cliente pueden enviar mensajes de correo electrónico a los servidores de correo en la organización. Asegurarse de que las reglas del firewall están actualizadas. El firewall debe aceptar tráfico del dispositivo, pero no el tráfico que proviene directamente de los dispositivos cliente. Configure reglas para evitar que tráfico no deseado entre en la organización. Estrategias de despliegue para el uso del dispositivo en una DMZ Una zona desmilitarizada (DMZ) es una red separada por un firewall del resto de redes, incluido Internet y otras redes internas. El objetivo habitual de la implementación de una DMZ es bloquear el acceso a los servidores que proporcionan servicios a Internet, como el correo electrónico. Los piratas informáticos suelen obtener acceso a las redes mediante la identificación de puertos TCP/UDP en los que las aplicaciones hacen escuchas de solicitudes y se aprovechan de las 16
Preinstalación Estrategias de despliegue para el uso del dispositivo en una DMZ vulnerabilidades conocidas de las aplicaciones. Los firewalls reducen en gran medida el riesgo de dichos abusos mediante el control del acceso a puertos específicos de servidores concretos. El dispositivo puede agregarse fácilmente a una configuración de DMZ. La forma de usar el dispositivo en una DMZ depende de los protocolos que tenga pensado analizar. Contenido Preinstalación Configuración SMTP en una DMZ Configuración SMTP en una DMZ Una DMZ es una buena ubicación para el correo cifrado. En el momento en que el tráfico de correo llega al firewall por segunda vez (en su camino desde la DMZ hacia la red interna), ya se ha cifrado. Por regla general, los dispositivos que analizan tráfico SMTP en una DMZ están configurados en modo proxy explícito. Los cambios de configuración deben aplicarse únicamente en los registros MX de los servidores de correo. NOTA: cuando analice SMTP en una DMZ, puede utilizar el modo de puente transparente. Sin embargo, si no controla el flujo de tráfico correctamente, el dispositivo analizará todos los mensajes dos veces, una vez en cada dirección. Éste es el motivo por el que normalmente se utiliza el modo proxy explícito en el análisis de SMTP. Retransmisión de correo Figura 7: Dispositivo en configuración de proxy explícito en una DMZ Si dispone de un dispositivo de retransmisión de correo ya configurado en la DMZ, puede sustituirlo con el dispositivo. Para utilizar las directivas de firewall existentes, asigne al dispositivo la misma dirección IP que al dispositivo de retransmisión de correo. 17
Preinstalación Estrategias de despliegue para el uso del dispositivo en una DMZ Gateway de correo SMTP no ofrece ningún método para cifrar mensajes de correo; puede utilizar Transport Layer Security (TLS), para cifrar el vínculo, pero no los mensajes de correo. Como resultado, algunas empresas no permiten ese tipo de tráfico en sus redes internas. Para solucionar este problema, se suele utilizar una gateway de correo patentada, como Lotus Notes o Microsoft Exchange, para cifrar el tráfico de correo antes de que llegue a la red interna. Para implementar una configuración de DMZ mediante una gateway de correo patentada, añada el dispositivo de análisis a la DMZ en el lado SMTP de la gateway. Figura 8: Protección de una gateway de correo en DMZ En esta situación, configure lo siguiente: Los registros MX públicos, para indicar a los servidores de correo externos que envíen todos los correos entrantes al dispositivo (en lugar de la gateway). El dispositivo, para que reenvíe todo el correo entrante a la gateway de correo y entregue todo el correo saliente mediante el DNS o un dispositivo de retransmisión externo. La gateway de correo, para que reenvíe todo el correo entrante a los servidores de correo internos y el resto del correo (saliente) al dispositivo. El firewall, para que permita el correo entrante destinado únicamente al dispositivo. NOTA: los firewalls configurados para utilizar la conversión de direcciones de red (NAT, Network Address Translation) y que redirigen el correo entrante a los servidores de correo internos no necesitan que vuelvan a configurarse sus registros MX públicos. Esto se debe a que están dirigiendo el tráfico al firewall en lugar de a la gateway de correo. En este caso, el firewall debe volver a configurarse para dirigir las solicitudes de correo entrante al dispositivo. Reglas de firewall específicas para Lotus Notes De forma predeterminada, los servidores de Lotus Notes se comunican a través del puerto TCP 1352. Las reglas de firewall usadas normalmente para asegurar los servidores de Notes en una DMZ permiten lo siguiente a través del firewall: Solicitudes SMTP entrantes (puerto TCP 25), que se originan desde Internet y están destinadas al dispositivo. Solicitudes del puerto TCP 1352, que se originan desde la gateway de Notes y están destinadas a un servidor interno de Notes. 18
Preinstalación Estrategias de despliegue para el uso del dispositivo en una DMZ Solicitudes del puerto TCP 1352, que se originan desde un servidor interno de Notes y están destinadas a una gateway de Notes. Solicitudes SMTP, que se originan desde el dispositivo y están destinadas a Internet. El resto de solicitudes SMTP y del puerto TCP 1352 se deniegan. Reglas de firewall específicas de Microsoft Exchange Un sistema de correo basado en Microsoft Exchange requiere una gran solución. Cuando los servidores de Exchange se comunican entre sí, envían sus paquetes iniciales mediante el protocolo RPC (puerto TCP 135). Sin embargo, una vez establecida la comunicación inicial, se eligen dos puertos de forma dinámica y se utilizan para enviar todos los paquetes siguientes durante el resto de la comunicación. No puede configurar un firewall para reconocer estos puertos elegidos de forma dinámica. Por lo tanto, el firewall no permite el paso de los paquetes. La solución consiste en modificar el Registro de cada uno de los servidores de Exchange que se comunican a través del firewall para utilizar siempre los mismos dos puertos "dinámicos" y, a continuación, abrir TCP 135 y estos dos puertos en el firewall. Mencionamos esta solución para ofrecer una explicación exhaustiva, pero no la recomendamos. El protocolo RPC está extendido en redes de Microsoft: abrir la entrada TCP 135 es un indicador de advertencia para la mayoría de los profesionales de la seguridad. Si tiene previsto utilizar esta solución, encontrará información detallada en los siguientes artículos de la Knowledge Base en el sitio web de Microsoft: Q155831 Q176466 Administración de la carga de trabajo Los dispositivos incluyen su propio sistema interno de administración de carga de trabajo, que permite distribuir uniformemente la carga de análisis entre todos los dispositivos configurados para trabajar juntos. No necesita desplegar un sistema de control de carga externo. Preinstalación 19
Conexión y configuración del dispositivo Es aconsejable instalar el dispositivo siguiendo el orden que se indica a continuación: 1 Desembale el dispositivo y compruebe que no falta ninguna pieza (consulte para ello las listas de piezas de la caja). 2 Monte el dispositivo en bastidor. 3 Conecte los periféricos y enciéndalos (monitor, teclado). 4 Conecte el dispositivo a la red teniendo en cuenta las situaciones de despliegue y el modo de red que va a utilizar. 5 Instale el software en el dispositivo. 6 Utilice la Consola de configuración para llevar a cabo la configuración básica (nombre del servidor, direcciones IP, gateway, etc.). 7 Conéctese a la interfaz de administración. 8 Ejecute el Asistente de configuración. 9 Enrute el tráfico de red de prueba a través del dispositivo. 10 Compruebe que se analiza el tráfico de red. 11 Configure las directivas y la generación de informes. 12 Enrute el tráfico de producción a través del dispositivo. ATENCIÓN: si conecta el dispositivo a la red, el acceso a Internet o el acceso a otros servicios de red pueden verse afectados. Asegúrese de que ha organizado el tiempo de inactividad de la red para esto y de que lo ha planificado en períodos de uso bajo de red. Contenido Tabla de consulta rápida para la instalación Instalación física del dispositivo Conexión a la red Suministro de alimentación al dispositivo Uso de la Consola de configuración Tabla de consulta rápida para la instalación Para instalar el dispositivo, siga los pasos que se indican en esta tabla: Este paso... está descrito aquí... 1. 2. Desembale el paquete y compruebe que el contenido se corresponde con la lista de piezas de la caja. Conecte los dispositivos periféricos y enciéndalos. Contenido de la caja Monitor y teclado 20
Conexión y configuración del dispositivo Puertos y conexiones Este paso... está descrito aquí... 3. 4. 5. 6. 7. 8. Conecte el dispositivo a la red. Instale el software. Lleve a cabo una configuración básica. Conéctese a la interfaz de administración. Enrute el tráfico de red de prueba a través del dispositivo. Compruebe que se analiza el tráfico de red. Conexión a la red Instalación del software Uso de la Consola de configuración Uso de la Consola de configuración Prueba del dispositivo Prueba del dispositivo 9. Configure las directivas y la generación de informes. Uso de directivas para administrar el análisis de mensajes 10. Configure el tráfico de producción que pasa a través del sistema. Uso de la Consola de configuración Puertos y conexiones Para obtener información sobre los puertos y las conexiones del dispositivo, consulte la Guía de identificación de puertos de los dispositivos McAfee Email and Web Security 2010. Instalación física del dispositivo Use esta tarea para efectuar una instalación física del dispositivo. Tarea 1 Saque el dispositivo del paquete que lo protege y colóquelo en una superficie plana. 2 Si se dispone a instalar el dispositivo en un bastidor de 19 pulgadas, siga los pasos que se indican en Montaje del dispositivo en un bastidor. 3 Conecte un monitor, un teclado y un ratón al dispositivo. 4 Conecte los cables de alimentación al monitor y al dispositivo, pero no lo conecte aún a la fuente de alimentación. 5 Conecte el dispositivo a la red, teniendo en cuenta el modo operativo que ha elegido. Montaje del dispositivo en un bastidor El kit de montaje en bastidor permite instalar el dispositivo en un bastidor de cuatro puestos. El kit también se puede usar con la mayoría de los bastidores estándar de 19 pulgadas. El kit del bastidor contiene: 2 carriles de montaje 8 tornillos 2 abrazaderas desmontables Necesitará un destornillador que pueda usarse con los tornillos suministrados. ATENCIÓN: 21
Conexión y configuración del dispositivo Conexión a la red Asegúrese de que sigue las advertencias de seguridad proporcionadas. Cargue siempre el bastidor desde abajo hacia arriba. Si va a instalar varios dispositivos, empiece con la posición más baja disponible. Conexión a la red En esta sección se describe cómo conectar el dispositivo a la red. Los puertos y cables que utiliza para conectar el dispositivo a la red dependen del modo en que lo va a utilizar. Para obtener más información acerca de los modos de red, consulte Consideraciones sobre los modos de red. Números de puerto Cuando conecte el dispositivo a la red, use los siguientes números de puerto: Para HTTPS, use el puerto 443. Para HTTP, use el puerto 80. Para SMTP, use el puerto 25. Para POP3, use el puerto 110. Para FTP, use el puerto 21. Uso de conexiones LAN de cobre Con las conexiones de conmutador de LAN1 y LAN2, y los cables de red proporcionados (o los cables Ethernet Cat 5e o Cat 6 equivalentes), conecte el dispositivo a la red de acuerdo con el modo de red que haya elegido. Si tiene DHCP configurado en la red, las direcciones IP de estos puertos se asignan ahora de forma automática. Modo Puente transparente Use los cables LAN de cobre (proporcionados) para conectar los conmutadores de LAN1 y LAN2 del dispositivo a la red, de forma que éste quede insertado en la transmisión de datos. Modo Router transparente El dispositivo funciona como un router. Los segmentos LAN conectados a sus dos interfaces de red deben, por tanto, estar en subredes IP distintas. Debe sustituir un router existente o crear una nueva subred en un extremo del dispositivo. Para ello, cambie la dirección IP o la máscara de red usada por los equipos de esa parte. Modo Proxy explícito Use un cable LAN de cobre (proporcionado) para conectar el conmutador de LAN1 o LAN2 a la red. El cable es recto (no cruzado) y conecta el dispositivo a un conmutador normal de red RJ-45 no cruzado. En el modo proxy explícito, la conexión del conmutador que queda sin utilizar puede emplearse como puerto de administración dedicado. Si resulta necesario administrar el dispositivo de forma local, utilice un cable Ethernet cruzado Cat 5e para conectar el dispositivo a la tarjeta de red de su equipo local. 22
Conexión y configuración del dispositivo Suministro de alimentación al dispositivo Uso de conexiones LAN de fibra Utilice los cables de fibra para conectar los conectores LAN1 y LAN2 a la red. El uso de los conectores depende de cómo vaya a utilizar el dispositivo. Modo Puente transparente Utilice los cables de fibra para conectar los conmutadores LAN1 y LAN2 a la red. Modo Router transparente Utilice los cables de fibra para conectar los conmutadores LAN1 y LAN2 a diferentes subredes IP. Modo Proxy explícito Utilice un cable de fibra para conectar los conmutadores LAN1 del dispositivo a la red. En modo proxy explícito, el conector no utilizado puede usarse como puerto de administración dedicado. Si el equipo de administración tiene una tarjeta de interfaz de red (NIC) compatible, conéctela al conector que queda para la administración local. Monitor y teclado Conecte un monitor y un teclado al dispositivo. Suministro de alimentación al dispositivo Use esta tarea para suministrar alimentación al dispositivo y encenderlo. Tarea 1 Conecte los cables de alimentación del monitor y el dispositivo a las tomas de corriente. NOTA: si el cable de alimentación no es adecuado para el país en el que se va a utilizar, póngase en contacto con el proveedor. 2 Encienda el dispositivo presionando el botón de encendido. Tras el arranque, la Consola de configuración aparece en el monitor. Consulte la documentación en Uso de la Consola de configuración Instalación del software Use esta tarea para instalar el software Email and Web Security en el dispositivo. Tareas 1 Desde un equipo que tenga acceso a Internet, descargue la última versión del software Email and Web Security desde el sitio de descarga de McAfee. Para ello, necesitará el número de concesión. 2 Cree un CD desde esta imagen. 3 Conecte un monitor, teclado o ratón al dispositivo. 23
Conexión y configuración del dispositivo Uso de la Consola de configuración 4 Con el dispositivo encendido, introduzca el CD en la unidad de CD-ROM. 5 Vuelva a arrancar el dispositivo. El software se instala en el dispositivo. Uso de la Consola de configuración El proceso de configuración se ha simplificado en la versión del software 5.5. Ahora puede configurar el dispositivo desde la Consola de configuración o desde el Asistente de configuración en la interfaz de usuario. La Consola de configuración se inicia automáticamente en la última fase de la secuencia de inicio, después de: El inicio de un dispositivo sin configurar O bien, el restablecimiento de los valores predeterminados del dispositivo Cuando se inicia la Consola de configuración, ésta le proporciona una serie de opciones para configurar el dispositivo en el idioma que desee desde la consola del dispositivo; o bien, instrucciones para que se conecte al Asistente de configuración en la interfaz de usuario desde otro equipo de la misma subred de clase C. Ambos métodos le proporcionan las mismas opciones para configurar el dispositivo. NOTA: en la Consola de configuración, puede configurar una nueva instalación del software del dispositivo. Sin embargo, para configurar el dispositivo con una configuración guardada con anterioridad, necesita iniciar sesión en la interfaz de usuario del dispositivo y ejecutar el Asistente de configuración (Sistema Asistente de configuración). Otra novedad de esta versión del software es la configuración automática a través de DHCP para los parámetros siguientes: Nombre de host Nombre de dominio Gateway predeterminada Servidor DNS Concesión de dirección IP Servidor NTP Página de bienvenida Instalación estándar Realización de una configuración personalizada Restauración desde un archivo Realización de una instalación gestionada mediante epo Página de bienvenida Ésta es la primera página del Asistente de configuración. En esta página podrá seleccionar el tipo de instalación que desea realizar. NOTA: si accede a esta página desde el Asistente de configuración, se le pedirá que introduzca el nombre de usuario y la contraseña. Seleccione Configuración estándar (predeterminada) para configurar el dispositivo en modo de puente transparente y configúrelo para proteger la red. Configure el dispositivo 24
Conexión y configuración del dispositivo Uso de la Consola de configuración sólo para modo de puente transparente. Si opta por proteger el tráfico de correo, se activará el protocolo SMTP. Si opta por proteger el tráfico web, se activará el protocolo HTTP. Seleccione Configuración personalizada para seleccionar el modo operativo para el dispositivo. Si opta por proteger el tráfico de correo, puede activar SMTP y POP3. Si opta por proteger el tráfico web, puede activar HTTP, FTP e ICAP. Utilice esta opción si necesita configurar IPv6 y realizar otros cambios en la configuración predeterminada. Seleccione Restaurar desde un archivo (opción no disponible desde la Consola de configuración) para configurar el dispositivo en función de una configuración guardada con anterioridad. Tras importar el archivo, podrá comprobar la configuración importada antes de que finalice el asistente. Seleccione Instalación gestionada por epo (sólo Email and Web Security Appliances v5.6) para configurar el dispositivo de modo que se pueda administrar mediante el servidor de epolicy Orchestrator. Los datos necesarios son mínimos, pues el dispositivo obtendrá la mayor parte de la información de configuración a través del servidor de epolicy Orchestrator. Instalación estándar Tráfico Para la Instalación estándar, el asistente incluye las páginas siguientes: Tráfico Configuración básica Resumen NOTA: la selección de la configuración estándar obliga al dispositivo a ejecutarse en modo de puente transparente. En esta página podrá especificar el tipo de tráfico que analiza el dispositivo. Definiciones de las opciones Opción Analizar tráfico web Definición El tráfico web sólo incluye tráfico HTTP. Después de la instalación: El dispositivo protege la red contra virus y utiliza McAfee SiteAdvisor cuando se visitan sitios web. Si desea analizar más tipos de tráfico, puede habilitar cada protocolo desde su página. En el menú, seleccione Web Configuración Web HTTP, Web Configuración web ICAP o Web Configuración web FTP. También puede seleccionar: Activar protección contra programas potencialmente no deseados (incluido spyware) McAfee Anti-Spyware protege la red frente a numerosos tipos de softwares potencialmente no deseados como spyware, adware, herramientas de administración remota, marcadores y crackers de contraseñas. Esta función no está activada de forma predeterminada. NOTA: McAfee Anti-Spyware se ha diseñado para detectar y, con permiso del usuario, eliminar los programas potencialmente no deseados (PUP). Algunos programas que se compran o descargan intencionadamente actúan como host de los programas potencialmente no deseados. La eliminación de estos programas potencialmente no deseados puede impedir que sus host funcionen. Asegúrese de revisar los acuerdos de licencia de estos programas de host para obtener más información. McAfee, Inc. no fomenta ni aprueba el incumplimiento de los acuerdos de licencia que haya firmado. Antes 25
Conexión y configuración del dispositivo Uso de la Consola de configuración Opción Analizar tráfico de correo electrónico Definición de descargar o instalar un programa de software, lea detenidamente los detalles de todos los acuerdos de licencia y políticas de privacidad. El tráfico de correo electrónico sólo incluye tráfico SMTP. Después de la instalación: El dispositivo protege la red contra virus, spam y phishing, además utiliza McAfee TrustedSource para proteger la red de correo electrónico no deseado. Si desea analizar más tipos de tráfico, puede habilitar cada protocolo desde su página. En el menú, seleccione Correo electrónico Configuración de correo electrónico Configuración de protocolo Configuración de la conexión (POP3) o Correo electrónico Configuración de correo electrónico Configuración de protocolo Configuración de la conexión (SMTP). También puede seleccionar: Activar protección contra programas potencialmente no deseados (incluido spyware) Dominio de retransmisión local En Opciones de retransmisión, el dispositivo propone la información del dominio si ésta está disponible a través de DHCP. Borre el asterisco para aceptar el nombre de dominio o escriba otro nombre de dominio. Configuración básica En esta página podrá especificar la configuración básica del dispositivo en modo de puente transparente. Servidor de gateway o firewall McAfee Email and Web Security Appliance Servidor de Active Directory o de sistema de nombres de dominio (DNS) NOTA: algunos de estos ajustes se configuran de forma automática desde el servidor de red DHCP. Definiciones de las opciones Opción Nombre del dispositivo Nombre de dominio Definición Especifica un nombre como, por ejemplo, dispositivo1. Especifica un nombre como, por ejemplo, dominio1.com. 26
Conexión y configuración del dispositivo Uso de la Consola de configuración Opción Dirección IP Definición Especifica una dirección como, por ejemplo, 198.168.200.10. El nombre de dominio completo (FQDN) (Nombre del dispositivo, Nombre de dominio) debe resolver esta dirección IP cuando se llama al servidor DNS (aquí especificado). Es aconsejable que esta dirección IP resuelva el nombre de dominio completo (FQDN) en una búsqueda inversa. Subred IP de gateway Especifica una dirección de subred como, por ejemplo, 255.255.255.0. Especifica una dirección como, por ejemplo, 198.168.10.1. Es probable que sea un router o un firewall. Puede probar más tarde si el dispositivo se puede comunicar con este dispositivo. IP del servidor DNS Especifica la dirección de un servidor DNS que el dispositivo utilizará para convertir las direcciones de sitios web en direcciones IP. Puede tratarse de un servidor de Active Directory o de un servidor DNS. Puede probar más tarde si el dispositivo se puede comunicar con este servidor. Modo Especifica el modo: puente transparente. ID de usuario Contraseña Zona horaria Hora del sistema Definir hora El usuario scmadmin es el superadministrador. No puede modificar ni desactivar esta cuenta. La cuenta no se puede eliminar. Por el contrario, sí podrá agregar más cuentas de inicio de sesión después de la instalación. Especifica la nueva contraseña. Cambie la contraseña lo antes posible para que su dispositivo se mantenga seguro. Debe introducir dos veces la nueva contraseña para confirmarla. La contraseña original predeterminada es scmchangeme. Ofrece una selección de zonas horarias. Las zonas se organizan de Oeste a Este para cubrir el Pacífico medio, América, Europa, Asia, África, India, Japón y Australia. Especifica la fecha y la hora locales. Para configurar la fecha, haga clic en el icono del calendario. Al hacer clic en esta opción, se configura la hora del dispositivo. Debe hacer clic en este botón antes de hacer clic en Siguiente. Si es necesario, podrá configurar el Network Time Protocol (NTP) después de la instalación. Resumen En esta página podrá consultar un resumen de la configuración realizada con el Asistente de configuración. Para modificar cualquier valor, haga clic en el vínculo azul para que se muestre la página en la que introdujo el valor anteriormente. Después de hacer clic en Finalizar, termina el Asistente de configuración. Utilice la dirección IP indicada en esta página para acceder a la interfaz. Por ejemplo, https://192.168.200.10. Observe que la dirección comienza por https y no http. Cuando inicia sesión en la interfaz por primera vez, introduzca el nombre de usuario scmadmin y la contraseña que le ha dado a este Asistente de configuración. Definiciones de las opciones Opción Definición El valor se configura según la práctica recomendada. Probablemente el valor no sea correcto. Aunque el valor es válido, no se encuentra configurado según la práctica recomendada. Compruebe el valor antes de continuar. 27