Академический Документы
Профессиональный Документы
Культура Документы
Copyright 2001-2004 Stonesoft Corp. Stonesoft Corp. Todos los derechos reservados. Ninguna parte de este manual podr ser reproducida ni transmitida por ningn sistema o medio, sea electrnico o mecnico, por fotocopia o por grabacin, o por cualquier tipo de sistema de recuperacin o almacenamiento de informacin sin el permiso previo por escrito de Stonesoft Corporation. Stonesoft Corporation Itlahdenkatu 22 A FIN-00210 Helsinki Finland Stonesoft Inc. South Terraces, Suite 1000 115 Perimeter Center Place Atlanta, GA 30346 USA Stonesoft Corporation 90 Cecil Street, #13-01 069531 Singapore
Deslinde de responsabilidades
A pesar de haberse tomado todas las precauciones a la hora de preparar este material, Stonesoft no asume la responsabilidad por posibles errores, omisiones o daos derivados del uso de la informacin contenida aqu dentro. Todas las direcciones IP incluidas en el presente material fueron elegidas al azar y estn usadas solamente con fines ilustrativos. As pues, no tienen la intencin de representar a las direcciones IP presentadas ni a ninguna otra organizacin especfica o persona a ttulo individual. ESTE MATERIAL ES PRESENTADO COMO EJEMPLOS APROXIMADOS. STONESOFT NO CONCEDE NINGUNA GARANTA, EXPLCITA O IMPLCITA, SOBRE LA INFORMACIN AQU INCLUIDA. ASIMISMO, STONESOFT NO CONCEDE NINGUNA GARANTA, EXPLCITA O IMPLCITA, SOBRE LA COMERCIALIDAD O APLICABILIDAD A UN FIN O USO DETERMINADOS DE LA INFORMACIN O DE LAS TCNICAS INCLUIDAS EN ESTE MATERIAL. EN NINGUNA CIRCUNSTANCIA STONESOFT PODR SER RESPONSABILIZADA POR NINGN DAO INDIRECTO, EXTRAORDINARIO, CAUSAL O INCIDENTAL, 2
INCLUYENDO, AUNQUE NO LIMITADOS A ELLOS, LA PRDIDA DE GANANCIAS Y LA PRDIDA O DAO A BASES DE DATOS PROVOCADAS POR EL USO DE ESTE MATERIAL, AUN CUANDO EXISTIERAN ADVERTENCIAS SOBRE LA POSIBILIDAD DE QUE OCURRIERAN DICHOS DAOS. Revision: SGHGS-500/200_200_14/05/2004
1. INTRODUCCIN
Gracias por haber elegido los equipos de Stonesoft Firewall de Alta Disponibilidad StoneGate y tneles VPN Gateway. Las aplicaciones de seguridad de StoneGate han sido desarrolladas al mximo para usarlas en los medios de trabajo ms exigentes en redes de comunicacin del tipo local o amplio, son fciles de ubicar y de usar, y se pueden controlar de forma centralizada, por lo que ofrecen un rendimiento costo-eficiencia muy elevado. La familia del producto incluye una gama de aplicaciones que abarcan sistemas de Firewall y sistemas de tneles VPN aplicables tanto a pequeas oficinas/sucursales, como a sedes de grandes empresas. Estn disponibles los siguientes equipos: SG-3000/SGV-3000/SGS-3000 SG-1000/SGV-1000/SGS-1000 SG-500/SGV500/SGS-500 SG-200/SGV-200/SGS-200 La representacin V (por ejemplo, SGV-500) indica que ese modelo en particular est diseado para funcionar solamente como generador de tneles VPN. La representacin S (por ejemplo, SGS-500) indica que ese modelo en particular est diseado para funcionar solamente en un solo sitio fsico, Single Site installation (SGS). Observacin Las familias de aplicaciones SG-500 y SG-200 son tratadas en esta Gua de instalacin de igual forma que los modelos SGV. Cuando los ajustes de instalacin de la familia SG-500 difieran de los de SG-200, o los modelos de SGV difieran de los de SG, se presentarn por separado.
ILLUSTRATION 2 SG-200/SGV-200/SGS-200
Esta gua est diseada para mostrarle cmo instalar rpidamente este equipo. Luego se aportarn ms detalles para familiarizarle a usted ms con los equipos SG-500/SG-200. Seccin 2. Antes de Empezar, en la pgina 6, le har recomendaciones para asegurar el operabilidad idnea del equipo. Seccin 3. Configuracin Inicial, en la pgina 8, describe cmo configurar inicialmente el equipo, de tal modo que usted pueda continuar ms adelante con la instalacin conforme se explica en el Manual de Instalacin de StoneGate. Seccin 4. Introduccin del Equipo, en la pgina 21, aporta una introduccin con ms detalle sobre las caractersticas del equipo. Seccin 5. Seguridad del Sistema, en la pgina 24, hace una relacin de las precauciones de seguridad que debe usted adoptar. Seccin 6. Especificaciones del Sistema, en la pgina 26, describe los componentes que contiene su paquete de producto.
2 . Ant e s d e Empeza r
Deber inspeccionar la caja que contiene el equipo Stonesoft SG-500/ SG-200 y cerciorarse de si presenta algn tipo de dao. Si el propio equipo parece a simple vista daado de algn modo, deber rellenar un formulario de reclamaciones conjuntamente con la persona encargada del transporte o entrega. Del mismo modo, usted deber comprobar que el sellado de origen de Stonesoft est intacto en el embalaje. Elija un lugar para ubicar el equipo Stonesoft SG-500/SG-200. Tendr que ponerse en un espacio limpio que no acumule polvo y que est bien ventilado. Evite lugares en los que se genere calor, ruidos elctricos o campos electromagnticos. Tambin ser necesario situarlo cerca de una toma elctrica de tierra. Se recomienda usar una fuente de alimentacin de corriente regulada y continua (UPS uninterruptible power supply) para proteger al equipo de altibajos de corriente y cortocircuitos, as como para mantener funcionando el equipo en caso de un corte de corriente.
Antes de Empezar
Sistemas de Operacin
El sistema de administracin StoneGate Management System es compatible con los siguientes sistemas operativos y las siguientes versiones puede encontrarse informacin ms detallada sobre las versiones compatibles y con paquetes de servicio al cliente en el sitio web http://www.stonesoft.com/products/StoneGate/ Technical_Requirements: Microsoft Windows , XP (Ingls EEUU) Microsoft Windows 2000 (Ingls EEUU) Windows NT 4.0 (Ingls EEUU) Sun. Solaris
3. Configuracin Inicial
Su equipo StoneGate SG-500/SG-200 viene pre-configurado mediante un software elaborado por StoneGate. No obstante, antes de poder cargar el programa de seguridad en su equipo, usted deber efectuar la configuracin inicial del equipo. Para los modelos SGS, necesitar instalar el Servidor de Administracin (Management Server) antes de poder proceder a la configuracin inicial del equipo.
Configuracin Inicial
2.
En el panel de control, pulsar con el botn derecho del ratn sobre el nombre del firewall y seleccionar pulsando con el botn izquierdo Guardar Configuracin Inicial (Save Initial Configuration). Aparece la ventana Seleccionar un Directorio.
3.
Elegir el directorio donde se quiere guardar la informacin de la configuracin inicial y pulsar OK. Aparece la ventana Operacin Realizada.
10
Configuracin Inicial
4.
Escribir la contrasea one-time. La persona encargada de realizar la configuracin inicial del equipo Firewall tendr la necesidad de utilizar la contrasea one-time.
Observacin Otros datos importantes, tales como el fingerprint SSL del Servidor de Administracin, han sido ya almacenados en la configuracin inicial que usted haba guardado. 5. Si usted no est presente en el proceso de configuracin del equipo, deber enviar los datos generados en la configuracin inicial a la persona que se encargue de efectuar la configuracin, incluida la contrasea one-time.
11
3.
Definir una nueva conexin. La Ilustracin 6 muestra la forma de hacerlo en el programa HyperTerminal.
4.
Seleccionar la conexin a travs del puerto serial correspondiente (por ejemplo COM1). La Ilustracin 7 muestra cmo se visualiza esto en el programa Hyperterminal.
12
5.
13
6.
Cuando se encuentre en esta fase, usted estar en condiciones de encender el equipo. Pulse el interruptor de encendido en la parte posterior del equipo, que deber empezar a ponerse en funcionamiento. Usted podr notar esto en la ventana de su terminal de ordenador tal y como se muestra en la Ilustracin 9.
Atencin Recomendamos que de forma habitual se utilicen los comandos reboot y halt para re-encender y apagar respectivamente el equipo. El uso de la orden init puede causar graves daos al equipo.
14
15
2.
Seleccionar con el tabulador o utilizando las teclas de flecha Siguiente (Next). Se visualizar la pantalla de Configuracin de Componentes OS.
Observacin No es posible usar la funcin importar, ya que el equipo no cuenta con accesorio de disco floppy drive propio.
Observacin No es posible cambiar el componente keyboard layout (configuracin de teclado); esta determinacin es irrelevante al no contar el equipo con puerto de teclado! 1. Configuracin de la Zona Horaria local:
16
Configuracin Inicial 1.1 En la ventana de Configuracin de Componentes OS, iluminar la lnea de Zona Horaria Local (Local timezone) y pulsar ENTER. 1.2 Seleccionar la Zona Horaria local y pulsar ENTER.
2.
Observacin El nombre de firewall que usted introduzca en este espacio debe coincidir con el definido en el Servidor de Administracin. (Esto tambin afecta al resto de las propiedades de la configuracin). Ello podr comprobarlo comparando los datos del propio GUI de administracin o verificando la informacin determinada en la configuracin inicial. 3. En el espacio de Contrasea, introducir la contrasea del usuario principal y volver a repetir la contrasea en el segundo espacio para que sea confirmada. En este punto, deber decidir si quiere habilitar la funcionalidad (deamon) para conexiones SSH en el equipo. Esta opcin est inhabilitada en la pre-configuracin por omisin. Para habilitar la funcionalidad (deamon) SSH, ilumine la lnea correspondiente y presione la barra espaciadora para seleccionarla. Aparecer un asterisco (*) para indicar que la funcionalidad ha sido habilitada. Seleccionar SIGUIENTE (NEXT) y pulsar ENTER para continuar. Aparecer la pantalla Configuracin de las tarjetas de red.
4.
5.
17
Observacin No es necesario (o posible) agregar otros dispositivos o tarjetas de red. Toda esa informacin ha sido ya pre-configurada en compatibilidad con el equipo. 1. Asignar un nmero de identificacin NIC ID a cada puerto o tarjeta de red correspondiente introduciendo el nmero de identidad ID en el espacio correspondiente a cada puerto o tarjeta de red.
Tip: La opcin Sniff que aparece del lado derecho del nombre de la tarjeta de red puede ser utilizada para la bsqueda de errores en la funcin de acceso a red. Seleccionar Sniff en un puerto o tarjeta de red para poner en marcha el localizador de errores en red, network sniffer, para ese puerto o tarjeta de red en especfico.
2.
3.
Para definir la interfase o puerto de Control, iluminar la columna de Mgmt y presionar barra espaciadora para seleccionarlo. Aparecer un asterisco (*) para indicar el puerto o interfase seleccionado para control. Seleccionar SIGUIENTE (NEXT) y presionar ENTER para continuar. Aparecer la pantalla de Preparacin de Conexin con puerto de Control.
18
Configuracin Inicial
1.
Pasos para contactar con el Servidor de Administracin: Seleccionar el cuadro de revisin de Acceso a la configuracin inicial (Switch to initial checkbox) para activar la configuracin inicial.
Tip: Si posteriormente usted aplica el comando sg-reconfigure, podr elegir entre: acceso a una configuracin inicial seleccionando el cuadro de revisin checkbox. uso de la configuracin en que se encuentre ignorando el cuadro de seleccin. En tal caso, el programa de seguridad correspondiente a esa configuracin se mantendr en activo. El resto de los cambios (nombre del equipo, zona horaria funcionalidad SSH, seleccin de puertos, conexin con control, etc.) entrarn en vigor tras pulsar el botn Finalizar (Finish).
2.
3.
4.
5.
6.
Determinar la direccin IP a utilizar para la comunicacin desde el puerto de control con el Servidor de Administracin. La direccin IP deber ser la misma que la direccin IP asignada al puerto de control en el objeto de firewall del Servidor de Administracin. A continuacin, determinar la mscara de red (netmask) para la direccin IP definida en el paso anterior Para este propsito, utilizamos la mscara de red 255.255.255.0. En el caso de existir un equipo intermedio entre el firewall y el Servidor de Administracin, el cul realice un cambio de redes (ruteador o similar), es necesario definir la direccin correspondiente a este gateway. Si el equipo firewall y el Servidor de Administracin se encuentran en el mismo segmento de red, esta opcin se podr dejar en blanco. Seleccionar la opcin Conexin con Servidor de Control (Contact Management Server) y presionar barra espaciadora para habilitar la conexin inicial con el Servidor de Administracin. Durante este primer contacto se realiza una relacin de confianza entre el equipo firewall y el Servidor de Administracin. El asterisco (*) indica que la opcin est activada. En el espacio One-time password, introducir la contrasea para conectar con el Servidor de Administracin. La contrasea ha sido asignada de forma personalizada e individual para cada equipo y solamente podr ser usada en la conexin inicial con el Servidor de Administracin, esta contrasea se obtuvo durante el proceso de GUARDAR CONFIGURACIN INICIAL.
19
7. 8.
Opcionalmente, puede introducir el fingerprint del certificado del Servidor de Control a efectos de verificacin. Para completar la configuracin, seleccionar Finalizar (Finish) y pulsar ENTER.
20
4 . I n t r o d u cc i n d e l E q u i p o
4.1 Presentacin
Stonesoft SG-500 / SG-200 es un equipo de calidad en alta seguridad y de conectividad a la red diseado para sucursales y otros locales que no cuentan con personal tcnico disponible a tiempo completo. Cada equipo Stonesoft SG-500 / SG-200 est diseado para proporcionar confiabilidad mxima y un mantenimiento mnimo. Los equipos SGS pueden ser usados como soluciones para un solo sitio de Firewall/VPN. El servidor de Administracin tiene que ser instalado en un equipo de computo independiente. Atencin No abrir nunca la cubierta del equipo! Dentro no hay ningn repuesto til para el usuario. Abrir la cubierta anula la garanta de su equipo.
4.2 Panel Frontal Descripcin del panel frontal de los equipos SG-500/SGV500/SGS-500
La muestra de la Ilustracin 14 corresponde al panel frontal de los equipos SG-500/SGV-500/SGS-500.
ILLUSTRATION 14 Panel Frontal de SG-500/SGV-500/SGS-500
1 2
3 4
En el panel frontal de los equipos SG-500/SGV-500/SGS-500 se encuentran las siguientes partes: 1. Indicador de encendido Power LED 2. Indicador de actividad de disco LED 3. Indicador de actividad en red network LEDs 4. Indicador de velocidad de enlace a la red network LEDs
21
1 2
3 4
En el panel frontal de los equipos SG-200/SGV-200/SGS-200 se encuentran las siguientes partes: 1. Indicador de encendido Power LED 2. Indicador de estatus LED 3. Indicador de actividad en red network LEDs 4. Indicador de velocidad de enlace a la red network LEDs
4.3 Panel Posterior Descripcin del panel posterior de los equipos SG-500/ SGV-500/SGS-500
La muestra de la Ilustracin 16 corresponde al panel posterior de los equipos SG-500/SGV-500/SGS-500.
ILLUSTRATION 16 Panel Posterior DE SG-500/SGV-500/SGS-500
4 3 6 5 7
En el panel posterior de los equipos SG-500/SGV-500/SGS-500 se encuentran las siguientes partes: 1. Input AC 2. Interruptor de corriente 3. Puertos LAN (5) RJ-45 Conectores Ethernet 4. Puerta de expansin (NO ABRIR)
22
5. 6. 7.
Botn reset Conector de puerto serial RS-232 Botn de preconfiguracin by default en fbrica (sin uso, no opera nada)
En el panel posterior de los equipos SG-200/SGV-200/SGS-200 se encuentran las siguientes partes: 1. Conector de puerto serial RS-232 2. Puertos LAN (3) RJ-45 Conectores Ethernet 3. Alimentacin de entrada (DC 5V, 3A)
23
24
Atencin No abrir nunca la cubierta de la caja del equipo! Ah dentro no hay partes de utilidad para el usuario. la cubierta debe estar perfectamente colocada para garantizar la idnea refrigeracin del equipo. Abrir la cubierta anula tambin la garanta de su equipo.
25
Especificaciones
CPU Board Memoria
SG-500
VIA C3 EDEN ESP procesador 533MHz 128 MB so-dimm pc-100
SG-200
NS Geode GX1300MHz 128 MB on board Compact Flash 256 MB
26
Especificaciones
Puerta de serie LEDs Alimentacin de corriente
SG-500
1 x DB9 Ethernet ACT/ LINK,Power, HDD Full-range AT 44W PSU,100-240V, 50-60 Hz Ancho: 220 mm (8.8 in.) Altura: 50 mm (2 in.) Largo: 254 mm (10.16 in.)
SG-200
1 x DB9 Ethernet ACT/LINK, Power, Status Adaptador de corriente para encendido externo, 100-240V, 50-60 Hz Ancho: 210 mm (8,4 in.) Altura: 30 mm (1.2 in.) Largo: 157 mm (6.26 in.) 0.97 kg (2.12 lb.) 540C 5-95% HR, sin condensacin 0-70C, 5-95% HR, sin condensacin CE/FCC
Dimensiones
2.06 kg (4.5 lb.) 540C 5-95% HR, sincondensacin 0-70C, 5-95% HR, sin condensacin CE/FCC/UL
27