panda managed office protection...red pública: red visible por otros usuarios, y por lo tanto, con...

Panda Managed Office Protection

Firewall Personal

Network Location Awareness (NLA)

Network Location Awareness en Panda Managed Office Protection

Revision 0.01 2009 © Panda Security 2009 of 16

Contenido

INTRODUCCIÓN ............................................................................................................. 3

1. MODOS DE TRABAJO DE LA PROTECCIÓN FIREWALL ...................................... 4

2. FIREWALL PERSONAL ....................................................................................... 6

2.1. CONFIGURACIÓN EN LA CONSOLA WEB ........................................................... 6

2.2. CONFIGURACIÓN EN LA CONSOLA LOCAL ........................................................ 6

2.2.1. DETECCIÓN INICIAL DE REDES Y UBICACIONES ........................................... 7

2.2.2. DETECCIÓN DE NUEVOS ADAPTADORES DE RED ............................................ 9

2.2.3. CONFIGURACIÓN DE LAS REDES DETECTADAS ............................................ 11

2.2.4. CONFIGURACIÓN DE REGLAS PARA LAS DIFERENTES ZONAS ...................... 13

REGLAS DE PROGRAMA .......................................................................................... 13 REGLAS DE SERVICIOS ............................................................................................ 14

REGLAS DE SISTEMA .............................................................................................. 15



Introducción Este documento tiene como propósito explicar la funcionalidad Network Location Awareness incluida en el módulo de Firewall Personal en el producto Panda Managed Office Protection.

En este documento se detalla dicha funcionalidad en los diferentes modos de trabajo de la protección Firewall y en especial como se configuran las reglas del firewall personal, para que estas se apliquen según la localización de red del endpoint.

La capacidad de aplicar reglas de firewall en base a la detección de cambios de tipos de ubicación de red por medio de los adaptadores de red conectados, es lo que se denomina Firewall con Network Location Awareness.

Windows admite tres tipos de ubicaciones de red y las aplicaciones, pueden usar dichos tipos para aplicar automáticamente un conjunto de opciones de configuración pertinente. En el caso concreto del firewall, utilizar esta información permite proporcionar varios niveles de protección según el tipo de ubicación de red al que esté conectado el equipo.

De los tres tipos de ubicaciones de red que windows proporciona (Dominio, Privada y Pública), los tipos que nos servirán para definir diferentes niveles de seguridad del firewall son:

Privada. Este tipo de ubicación de red puede seleccionarse para las redes de confianza del usuario, como una red doméstica o una red de empresa.

Pública. Este tipo de ubicación de red se asigna de manera predeterminada a todas las redes recién detectadas. La configuración asignada a esta ubicación normalmente es la más restrictiva, a causa de los riesgos de seguridad que presenta una red pública.

La aplicación de reglas de firewall en función de la ubicación de red es de máxima utilidad en los equipos cliente, sobre todo si son equipos portátiles, que cambian habitualmente de red. Un servidor tiene pocas probabilidades de ser móvil, sin embargo en el caso de portátiles, es habitual tener una configuración de firewall dependiendo de la ubicación en cada momento.



1. Modos de trabajo de la protección Firewall La protección Firewall incluida en el producto Panda Managed Office Protection permite elegir al administrador el modo de funcionamiento de la protección, pudiendo elegir entre Modo Personal o Modo Administrado.

Para realizar dicha configuración, seleccionamos en la consola web, el perfil que queremos configurar.

Dentro de la configuración del perfil, seleccionamos la opción Firewall para acceder a las opciones de configuración de dicha protección.



En esta sección se permite al administrador configurar el modo de funcionamiento del firewall, pudiendo elegir entre las siguientes opciones:

Permitir configurar el firewall desde el cliente (Modo Personal): El usuario final de la protección es la persona encargada de realizar la configuración del firewall. Para facilitar esta tarea de configuración al usuario, se incluyen una serie de reglas predefinidas por Panda que establecen los permisos para las aplicaciones más comunes. El usuario podrá crear nuevas reglas o modificar las existentes desde la consola local de configuración del firewall.

Aplicar la siguiente configuración del firewall (Modo Administrado): El administrador define la configuración que se va a aplicar en las máquinas administradas. Esta configuración se realiza desde la consola web de administración.

A continuación se muestra la configuración del Firewall personal, en el que veremos como es posible definir reglas distintas según el tipo de red detectado.



2. Firewall Personal A continuación se describen las diferentes opciones de configuración existentes para la protección firewall configurada en Modo Personal, tanto desde la consola web de administración, como desde la consola local de la estación de trabajo o servidor.

2.1. Configuración en la consola Web Para configurar el Firewall en Modo Personal seleccionamos la opción Permitir configurar el firewall desde el cliente en la pantalla de edición de perfil.

En Modo Personal la configuración del firewall se realiza desde la consola local de la protección y no desde la consola web, por lo que al seleccionar esta opción, se deshabilitan el resto de opciones de configuración de la protección Firewall en la consola web de administración.

2.2. Configuración en la consola local El firewall en Modo Personal únicamente puede ser configurado por el usuario de la estación de trabajo o servidor con la protección instalada. La configuración de la protección se realiza desde la consola local de configuración de firewall.

Para acceder a la consola local de configuración, seleccionamos la opción Configurar Firewall del menú contextual del icono de la traybar.



Al seleccionar esta opción, el usuario accede a la consola local de configuración de Firewall.

2.2.1. Detección inicial de Redes y Ubicaciones En la pestaña General de la consola local de configuración del Firewall, se establecen las opciones generales de configuración del firewall y se muestran los adaptadores de red detectados inicalmente.



Las opciones de configuración disponibles son: Activar el firewall: Mediante esta opción, el usuario podrá activar o desactivar la protección firewall de la estación de trabajo o servidor en la que esté trabajando. Si el usuario desactiva la protección firewall, se deshabilitarán todas las opciones de configuración de la consola local. Configurar las Ubicaciones detectadas: Se muestra el listado de las ubicaciones de red existentes en la máquina.

De cada ubicación de red se muestra la siguiente información:

Nombre: Identificador de la ubicación de Red. Se forma automáticamente partiendo del tipo de conexión detectada y un identificador numérico que diferencia las diferentes ubicaciones existentes que compartan un mismo tipo de conexión (Ej: Ethenet 1, Ethernet 2, WiFi 1). El usuario podrá modificar el nombre de la ubicación para establecer otro nombre más descriptivo (Trabajo, Aeropuerto, etc).

Tipo: Describe el tipo de conexión de la ubicación (Ethernet, Wi-fi, Modem, etc).



Zona: Tipo de Red a la que está conectado. Se establece de forma automática en función al Tipo de IP que tenga asignada el adaptador de Red conectado. El criterio es el siguiente:

o IP Privada: Se configura Ubicación de confianza.

o IP Pública: Se configura Ubicación pública.

Como en el caso del nombre, esta configuración automática de zona podrá ser modificada posteriormente por el usuario para ajustarla a las necesidades de seguridad reales de la ubicación.

2.2.2. Detección de nuevos adaptadores de red En caso de instalar un nuevo adaptador de red al ordenador, la protección firewall lo detectará y clasificará automáticamente, según los criterios comentados anteriormente.

Se informa al usuario de la detección del nuevo adaptador mediante la siguiente alerta local.

Si pulsamos el botón Clasificar de la alerta local, accederemos a la pantalla de configuración de la nueva ubicación. En esta pantalla se muestra el nombre y la zona que ha sido asignado de forma automática, permitiendo al usuario modificar estos valores.



En este caso, cambiaremos la zona asignada automáticamente a la ubicación, configurándola como Ubicación pública.

Una vez seleccionada la nueva configuración, pulsamos Cerrar para aplicar los cambios. Comprobamos que la nueva ubicación ha quedado correctamente configurada abriendo la consola de configuración de firewall y consultando el listado de ubicaciones en la pestaña General.



2.2.3. Configuración de las redes detectadas En cualquier momento, es posible modificar los parámetros de las redes detectadas. Para ello, pulsamos el botón Configurar en la pestaña General de la consola de configuración del firewall.



En la siguiente pantalla podemos modificar tanto el nombre de la ubicación como la zona a la que está asignada.

Si pulsamos el botón Detalles, se muestran los detalles del adaptador de red que estamos configurando. Este botón también está disponible en la pestaña General de la consola de configuración del firewall.



2.2.4. Configuración de reglas para las diferentes zonas El comportamiento de la protección firewall depende del tipo de red al que esté conectado el usuario. Dependiendo del tipo de red seleccionado, el comportamiento del Firewall será más o menos restrictivo:

Red pública: Red visible por otros usuarios, y por lo tanto, con un nivel de seguridad bajo. En este tipo de red, el firewall se configura de forma más restrictiva para incrementar la seguridad de la máquina

Red de confianza: Red privada, no visible por otros usuarios desde el exterior. En este caso, la seguridad de la red es mayor por lo que el firewall se comporta de manera más permisiva sin llegar a comprometer la seguridad de la máquina.

El usuario podrá definir reglas o configurar las existentes para que apliquen únicamente a las máquinas configuradas con un tipo de red específico o que apliquen a ambos tipos de red. De esta forma, el usuario podrá definir reglas específicas para cada una de los tipos de redes disponibles, o bien reglas generales que apliquen a ambos tipos de redes.

Reglas de Programa En esta sección se configuran las reglas de firewall que establecen los permisos de comunicación de las diferentes aplicaciones instaladas en la máquina. A continuación se detallan las diferentes opciones de configuración de esta sección.



Reglas de Servicios En esta sección se muestran las reglas de servicio definidas por Panda. El usuario no podrá eliminarlas ni crear nuevas reglas. Sólo se le permite configurar si dichos servicios estarán habilitados o no, y en qué ubicaciones (Red de confianza o pública).



Reglas de Sistema En esta sección se configuran las reglas de conexión que afectarán a todo el sistema, y que son prioritarias con respecto a las reglas configuradas de los programas a la red

1. A

continuación se detallan las diferentes opciones de configuración de esta sección.

1 Se recuerda que el orden de aplicación de las del firewall sigue el siguiente orden de prioridad:

1. Reglas de sistema de usuario 2. Reglas de sistema de Panda 3. Reglas de aplicación de usuario 4. Reglas de aplicación de Panda

Es decir, una regla de sistema de usuario es más prioritaria y prevalece frente a reglas de sistema de Panda y así sucesivamente

panda managed office protection...red pública: red visible por otros usuarios, y por lo tanto, con...

Documents