Kerio personal firewall 4 - Módulos

Esta seguridad es básicamente proporcionada por los siguientes cuatro componentes o módulos:

Network Security.

La parte más importante en la configuración de Kerio Personal Firewall es la creación de reglas para controlar el tráfico de red, para ello disponemos de tres tipos de reglas.

Reglas para aplicaciones.

Estas reglas básicas, definen como el cortafuegos se comportará ante las conexiones de una aplicación en redes de confianza (trusted) y en Internet. Las reglas para aplicación se pueden generar automáticamente a partir de las ventanas de alarma de conexión que el cortafuegos muestra al usuario, distinguiendo si la conexión se refiere a Internet (como en este caso) o una red Trusted.

Para ello marcaremos la casilla "Create a rule for this communication..." y seleccionaremos si queremos permitir o negar la conexión de esa aplicación y que el programa no vuelva a preguntarnos cuando esa conexión se repita.

Las reglas para aplicaciones pueden ser vistas y modificados en la pestaña "Applications" en la sección Network Security.

• Description - Muestra el icono y la descripción de la aplicación. Si la aplicación no tiene icono, se mostrará un icono de archivo ejecutable. Si no hay una descripción disponible, se mostrará el nombre del ejecutable sin extensión.

• Trusted / Internet - Establece los parámetros del comportamiento del cortafuegos para la conexión de la aplicación desde / hacia una red Trusted o desde / hacia Internet (conexiones IN - Incoming; OUT - Outgoing). Para cada zona y dirección se pueden seleccionar las siguientes acciones:

• Log - Marque esta opción para que las conexiones que coincidan con la regla, se muestren en Network Log.

• Alert - Marque esta opción si desea que el cortafuegos muestre una alarma cuando una conexión que coincida con la regla sea detectada. No se tiene en cuenta si esta está permitida o negada. (Ver Log & alerts)

OPCCIONES.

Las siguientes opciones son accesibles desde las propias reglas.

• Un clic con el botón derecho del ratón sobre una regla, abre un menú contextual con las siguientes funciones:

• Clic sobre una acción en Trusted o Internet. Clic izquierdo cambia entre Permit, Deny y Ask, clic derecho abre un menú contextual donde seleccionaremos la opción.

Remove - Use este botón para borrar la regla seleccionada en ese momento.

Refresh - Cuando estamos trabajando en esta ventana, es posible que aparezca alguna alarma de conexión he introduzcamos o modifiquemos alguna regla. Use este botón para renovar las lista de reglas.

Edit - Use este botón (o Edit en el menú contextual) si desea modificar la regla seleccionada. En la siguiente ventana puede fijar las acciones para cada zona y dirección del tráfico, log's y alertas.

La descripción de la aplicación se muestra arriba, bajo esta podemos ver el icono y la ruta completa al ejecutable de la aplicación, está información no puede ser editada.

Los cambios tienen que ser confirmados para que surtan efecto, bien desde el botón "Apply", desde "OK" o contestando afirmativamente al programa cuando salgamos.

Predefined Rules.

Kerio Personal Firewall incluye por defecto un grupo de reglas predefinidas, estas reglas no hacen referencia a ninguna aplicación en particular y se aplican globalmente. Es el usuario el que decide si estas reglas predefinidas serán usadas o no.

Puede marcar la casilla "Disable predefined network security" para deshabilitar este módulo y que las reglas no sean tenidas en cuenta. Para cambiar los permisos haga clic sobre estos para cambiar entre Permit y Deny.

Aquí puede ver una breve descripción de las reglas predefinidas:

• Internet Group Management Protocol - El protocolo IGMP es usado para la suscripción o anulación de suscripción de/desde grupos de multidifusión. Este protocolo puede ser usado de forma maliciosa fácilmente y es por ello que está deshabilitado por defecto. Se recomienda no permitir este protocolo a menos que use aplicaciones que usen tecnologías de multidifusión (típicamente para la transmisión de archivos de audio y/o video a través de Internet).

• Ping and Tracert in, Ping and Tracert out - Los programas Ping y Tracert (Traceroute) son usados para "localizar" en una red (detectar una respuesta de un ordenador remoto), esto se consigue mediante mensajes ICMP (Internet Control Message Protocol).

• Rule for other ICMP messages - Por ejemplo: redirecciones, no disponibilidad del destino, etc.

• Dynamic Host Configuration Protocol - DHCP se usa para la configuración automática de los parámetros TCP/IP (IP address, network mask, default gateway, etc). La denegación del DHCP puede causar la caída de la conexión de su ordenador si los parámetros de la conexión TCP/IP a través de este protocolo.

• Domain Name System - DNS es usado para la traducción de los nombres de los ordenadores a direcciones IP. Por lo menos una conexión a un servidor DNS debe ser permitida para habilitar la definición a través de los nombres de dominio DNS.

• Virtual Private Network - VPN es una conexión segura de dos redes locales o conexión de un cliente remoto a una red local vía Internet, usando un canal cifrado (llamado tunnel). La regla Virtual Private Network, controla los establecimientos VPN a través de los protocolos PPTP y IPsec.

• Broadcasts - Reglas para paquetes con una dirección general. En Internet esta regla se aplica también a paquetes con direcciones de multi difusión.

Tanto las reglas generales como las reglas para una aplicación son la manera fácil y rápida de configurar el cortafuegos, podemos decidir que aplicaciones pueden comunicarse y cuales no, que reglas predefinidas necesitamos y cuales no. Pero podemos y debemos ir mas allá de simplemente dar o no permiso a una aplicación, podemos configurar el cortafuegos para restringir al máximo las comunicaciones de una aplicación, para que de este modo no pueda usar mas puertos, protocolos y/o conectar con otros equipos más que lo necesario. Podemos sustituir esas reglas predefinidas por otras, para que esos "servicios" solo puedan ser usados solo por la aplicación correspondiente, a través de el/los puertos y/o equipos remotos necesarios. Podemos anticiparnos a futuros problemas y prohibiendo todas aquellas comunicaciones que no sean necesarias, estar protegidos contra vulnerabilidades presentes o futuras.

Para ello podemos crear Reglas para el Filtrado Avanzado de Paquetes (en adelante filtro) desde la sección Packet Filter en la ventana de configuración de Network Security.

Trusted area.

Kerio Personal Firewall distingue entre dos tipos de grupos de IP para cada regla, Trusted area e Internet. Se pueden definir diferentes acciones para conexiones entrantes y salientes en cada área. Trusted área es un grupo IP definido por el usuario, aquellas direcciones que no están definidas como Trusted se considerarán automáticamente como del área Internet. Para definir las redes Trusted debe ir a la pestaña "Trusted area".

El área Trusted, puede incluir cualquier número de direcciones IP, rangos de direcciones IP, subredes o redes conectados a un interfaz en particular. Es posible especificar una interfaz en la cual unas direcciones IP en particular están permitidas para ella (protección de direcciones IP falsas).

El área Trusted incluye por defecto el objeto Loopback, esta dirección no puede ser editada, es una dirección usada para la comunicación interna de las aplicaciones dentro de nuestro propio ordenador (la comunicación no sale al exterior) por lo que siempre está considerada como de confianza.

Use los botones "Add" o "Edit" para añadir o editar objetos en el área Trusted.

• Is trusted - Use esta opción para añadir o remover el objeto seleccionado de el área Trusted (no de la ventana). Si la casilla no está marcada, la direcciones IP no pertenecen al área Trusted y son añadidas al área Internet automáticamente. La opción Is Trusted también puede ser usada para direcciones IP que no pertenecen a la red de confianza. (Por ejemplo para poder acceder a nuestro ordenador desde un equipo remoto que lógicamente debe tener una IP fija).

• Description - Descripción del objeto. Sólo para referencia.

• Adapter - Selecciona un adaptador (interfaz de red) para la cual las direcciones IP son usadas. Esta función protege a los usuarios de conexiones desde IP falsas. Aunque un paquete proveniente de una IP de confianza sea recibido desde un adaptador que no está conectado dentro de la red en particular, el paquete no se considera de confianza. Use la opción ---Any--- si quiere que el cortafuegos no compruebe los adaptadores desde los cuales los paquetes con una determinada IP fueron enviados.

• Address type - Los tipos de objetos del área trusted son:

Packet Filter.

La sección packed filter, le permite la creación de filtros avanzados para comunicaciones de red especificas, además de la aplicación y la dirección del tráfico, el protocolo, la dirección IP remota, puertos locales y remotos y otros parámetros pueden ser definidos. (Los filtros avanzados no distinguen entre las áreas Trusted o Internet. Una dirección, un grupo, una subred, etc. son especificadas en cada filtro). Los filtros avanzados pueden crearse de la siguiente forma:

• Automáticamente - Desde la ventana de alarma de conexión (ver comportamiento del cortafuegos), marque la casilla Create a rule for this communication... y marque también la casilla Create an advanced filter rule, seleccione la acción Permit o Deny, esto creará un filtro avanzado en lugar de una regla normal.

Por defecto, el filtro avanzado creado mediante este método especifica la descripción, la aplicación, el grupo default, el protocolo, el puerto remoto si la conexión es saliente o el puerto local si la conexión es entrante así como la dirección de la conexión, si queremos modificar estos o añadir otros parámetros, podemos hacerlo pinchando en el botón "Advanced filter rule". (ver creación de filtros avanzados)

• A mano - Pinche en el botón Packet filter desde la pestaña Aplications en la sección Network Security.

Desde aquí podrá ver, crear, editar y borrar filtros avanzados (ver creación de filtros avanzados).

Las reglas están ordenadas en una lista y cada vez que una conexión de red es detectada, la lista es chequeada regla por regla de arriba a abajo, y la primera regla que encaje con la conexión será aplicada. Use los botones "Up" y "Down" para ordenar la lista de acuerdo a sus necesidades.

Las reglas situadas más arriba tienen prioridad sobre las situadas mas abajo, por lo que hay que prestar atención a no estar permitiendo con una regla arriba lo que queremos prohibir con otra regla situada más abajo, y lo mismo en el caso contrario.

Los filtros avanzados, opcionalmente pueden ser clasificados por grupos.

No confundir con IP Groups.

Haga clic en el nombre de un grupo en la columna Group name para ver la lista de filtros incluidas en el grupo. La inclusión de un filtro en un grupo o en otro no influye en el sistema en que estos son aplicados, lo que significa que estos grupos son solo para referencia. All rules (incluye todos lo filtros) y el grupo Default (incluye todos los filtros que no están incluidos en otro grupo), son grupos predefinidos y no pueden ser borrados. Los grupos no pueden ser creados ni borrados como tales, los nuevos grupos pueden crearse introduciendo un nuevo nombre de grupo durante la definición del filtro avanzado (ver creación de filtros avanzados), y un grupo es borrado automáticamente cuando el último filtro en la lista de ese grupo sea borrado.

Este sistema resulta muy útil cuando tenemos una lista muy larga de filtros, ya que permite mantener un orden de una manera mucho mas rápida y cómoda.

Trabajando con los filtros.

Use los siguientes botones bajo la lista de grupos para trabajar con los filtros:

• Edit - Abre el dialogo para la modificación del filtro seleccionado.

• Add - Añade un nuevo filtro al final de la lista.

• Insert - Inserta un nuevo filtro en la posición seleccionada, este filtro precederá al filtro marcado.

• Remove - Borra el filtro seleccionado.

Creación y modificación.

Pinchando sobre el botón "Add", "Insert", "Edit" o haciendo doble clic sobre un filtro, se abre el dialogo para la definición del filtro avanzado.

Un filtro avanzado está definido por los siguientes parámetros:

• Description - Descripción/nombre para el filtro. Es recomendable que inserte una breve descripción del filtro (propósito, nombre de aplicación, etc.), esta descripción es usada solo como referencia. El nombre de la aplicación que participa en la comunicación es insertada como descripción cuando el filtro se crea de manera automática.

• Application - Aplicación local para la cual el filtro será aplicado. Esta aplicación puede ser tanto insertada a mano (ruta completa hasta el archivo ejecutable), seleccionada de un menú (una lista con las aplicaciones usadas en otros filtros es ofrecida) o mediante el botón Browse que abrirá una ventana donde podrá navegar por los directorios del disco hasta el archivo ejecutable.

Puede crear un filtro general que será aplicado a todas las aplicaciones mediante la opción any o dejando el espacio en blanco.

• Group - Especifica el grupo en el cual se incluirá el filtro, elija un grupo de la lista ofrecida en el menú desplegable, o añada un nuevo grupo simplemete escribiendolo en la casilla, la regla será añadida automáticamente a este grupo.

• Log rule to network log - Habilita o deshabilita la creación de un log en Network log cuando una comunicación coincida con la configuración del filtro (ver Log & alerts).

• Show alert to user - Marque esta opción si quiere el cortafuegos muestre una alarma cuando una comunicación coincida con la configuración del filtro.

• Protocol - Fija los parámetros para los protocolos para los que el filtro será aplicado, si deja al entrada Protocol en blanco, el filtro se aplicará a todos los protocolos.

Pinche en los botones "Add" o "Edit" para abrir el dialogo para la selección del protocolo.

El campo Codes está disponible cuando se selecciona el protocolo ICMP. El tipo de mensaje ICMP está definido por un código de numeros, para especificar más de un código, sepárelos mediente una coma. Si no se especifica ningun código en la entrada, el filtro será aplicado a todos los tipos de ICMP.

Puede seleccionar los tipos de ICMP desde una lista, para ello pinche en el botón "Select".

Marque la casilla de cada tipo de mensaje ICMP que desea incluir en el filtro y se trasladarán al campo Codes automáticamente.

• Local - Especifica los paramertros para el punto local. Kerio Personal Firewall usa implícitamente todas las direcciones IP locales, por esta razón en los parametros locales sólo pueden especificarse los puertos.

Use el botón "Add" y seleccione añadir un solo puerto (Add port) o seleccione añadir un rango de puertos (Add port range), se pueden especificar múltiples puertos y rangos de puertos.

El puerto puede ser introducido por especificación en "Number entry" (sólo valores entre 1 y 65535 son válidos) o seleccionando un servicio predefinido en el campo Name. Puede usar la entrada Description para describir el puerto o servicio (sólo como referencia).

El funcionamiento para la especificación de un rango de puertos es similar al arriba descrito, pero debe introducir dos entradas: una para el primer puerto del rango (First Port) y otra para el último puerto del rango (Last port).

• Remote - Especifica el punto remoto de la conexión, dirección IP, puerto o ambos pueden ser especificados. El filtro se aplicará si el paquete contienes alguna de las direcciones IP y alguno de los puertos definidos.

Tanto puertos individuales como rangos de puertos pueden ser definidos. Pulse el botón "Add" y siga el proceso como se ha explicado para Local point, para especificar el/los puertos remotos.

Pulse el botón "Add" y seleccione una de las siguientes opciones para indicar la dirección IP remota, si ninguna dirección es especificada el filtro se aplicará en este campo a todas las direcciones IP.

Los métodos individuales pueden ser combinados entre sí.

• Direction - Dirección del tráfico para el cual el filtro será aplicado. Se puede seleccionar entre: Ambas direcciones (Both), Entrante (Incoming) y Saliente (Outgoing).

• Action - Acción que se tomará el cortafuegos cuando una conexión coincida con el filtro: Permitir la conexión (Permit) o bloquear la conexión (Deny).

IP Groups.

IP Groups permite una definición más fácil de los filtros avanzados, estos grupos pueden ser usados en la especificación de la entrada Remote del diálogo para la creación de filtros avanzados. Los grupos de IP pueden verse y definirse desde la pestaña IP Group en la ventana Advanced Packet Filter.

La ventana consiste en dos columnas:

• Group name - Nombre de un grupo IP. Use el botón + para ver la lista de todos los objetos incluidos en el grupo.

• Definition - Definición de cada objeto del grupo.

Desmarque la casilla correspondiente para deshabilitar un grupo temporalmente.

Haga clic en el botón "Add" (o edit para editar un objeto seleccionado), para abrir el dialogo para la definición de grupos IP.

• Is enabled - Marque/desmarque esta opción para habilitar/deshabilitar el objeto. Esta opción es idéntica a marcar/desmarcar la casilla junto al nombre del objeto.

• Group name - Nombre del grupo al cual el objeto será incluido. Seleccione uno del menú desplegable para añadir el objeto a un grupo ya existente o introduzca un nuevo nombre, para crear un nuevo grupo donde se añadirá el objeto.

• Type - Tipo de objeto. Puede elegir entre:

System Security.

Kerio Personal Firewall controla todas las aplicaciones en el sistema operativo, sin tener en cuenta si estas están o no relacionadas con el tráfico de red, por esta razón puede detectar cuando una aplicación es infectada por un nuevo virus o atacada por algún troyano.

Applications.

La casilla Enable System Security activa o desactiva el control del cortafuegos sobre las aplicaciones o, lo que es lo mismo, se deshabilita el módulo.

Reglas de aplicación.

Desde la pestaña "Applications", podemos ver y editar las reglas de ejecución y cambio de cada aplicación. Las reglas están basadas en la selección del usuario en la ventana de alarma de aplicación que se mostrará cada vez que una nueva aplicación se ejecutada, se modifique o intente ejecutar otra aplicación. Las reglas no pueden ser creadas a mano, solo pueden editarse o borrarse. La acción que llevará acabo el cortafuegos cuando se inicie una aplicación (Starting), después de que un archivo ejecutable haya cambiado (Modifying) o cuando una aplicación ejecute otra (Launching others) puede ser definida para cada aplicación y se pueden fijar de varias maneras:

• Haga clic sobre una acción para cambiar entre Permit, Deny y Ask.

• Haga clic con el botón derecho del ratón sobre una acción y seleccione una desde el menú contextual.

• Haga clic con el botón derecho sobre la aplicación para desplegar el menú para modificar la regla.

Seleccione la opción para elegir como se muestra la aplicación y si se incluirá icono después del nombre.

Borrar una regla.

Seleccione la opción Remove en el menú o use el botón con el mismo nombre para borrar la regla seleccionada.

Editar una regla.

Seleccione la opción Edit en el menú o use el botón del mismo nombre para modificar la regla seleccionada.

• Arriba podemos ver la descripción, icono y ruta completa del ejecutable de la aplicación.

• Desde "System security settings" seleccionaremos la acción para cada evento de la aplicación.

• Marque la casilla "Log to system log" si quiere que las acciones de la aplicación queden registradas.

• Marque la casilla "Show alert to user" si quiere que se muestre una ventana de alarma cuando se ejecute la aplicación.

Settings.

Si desea deshabilitar alguno de los controles que el cortafuegos realiza sobre las aplicaciones, cambie a la opción "automatically permit de action" en el apartado correspondiente. Por defecto la configuración del cortafuegos permite que todas las aplicaciones automáticamente.

Al principio puede resultar un poco molesto tener ventanas de alarmas cada vez que arrancamos una aplicación, pero conforme vayamos usando las aplicaciones más habituales, en poco tiempo las alarmas se reducirán a casos de aplicaciones o acciones poco habituales a las que yo prefiero simplemente ir permitiendo sin crear una regla. Está claro que no podemos hacer esto si estamos hablando del Explorador de Windows, pero sí por ejemplo en casos como el Instalador de Windows, está claro que instalar/desinstalar nuevos programas no es algo que se haga continuamente y esto es extensible para las 4 ó 5 alarmas que se nos mostrarán durante la instalación, la seguridad está reñida con la comodidad. Con las aplicaciones que ejecutan otra aplicaciones las alarmas son menos habituales y por ello debemos preguntarnos si vale la pena crear una regla o simplemente permitir el evento por esa vez, (la regla se refiere a la aplicación que ejecuta a otra no a la aplicación ejecutada) ¿cuántas veces al día abres el gestor de correo desde el Navegador, o el Gestor de Descargas, Acrobad Reader....?, lo mismo se puede decir de otras aplicaciones, pero está claro que para los casos menos habituales menor es la necesidad de crear una regla que lo permita. ¿Cuantas veces se modifica/reemplaza el ejecutable de una aplicación? Está claro que en este caso no vale la pena crear la regla.

Intrusion Detection (IDS)

Marque o desmarque la casilla Enable IDS module para habilitar o deshabilitar este módulo.

Kerio Personal Firewall distingue entre tres clases de intrusión:

• High priority intrusion - Aquellas intrusiones que pueden causar daños en el SO, acceso/robo de información, etc.

• Medium priority intrusion - Aquellas intrusiones que pueden causar el fallo en algunos servicios, fallos en la conexión de red, etc.

• Low priority intrusion - Aquellas intrusiones de baja peligrosidad, actividades anómalas en la red, error en el protocolo, datos con formato invalido, etc.

El comportamiento del cortafuegos puede ser fijado para cada tipo de intrusión de la siguiente manera:

• Action - Reacción del cortafuegos para los cada tipo de ataque en particular Permit o Deny. Generalmente hablando, es recomendable denegar todos los ataques de Alta y Media prioridad (no debe permitir este tipo de intrusiones a menos que sea necesario para pruebas, etc.). Los ataques de baja prioridad están permitidos por defecto ya que su bloqueo puede causar el mal funcionamiento de ciertos servicios.

• Log to intrusion log - Registra las intrusiones de cada tipo en particular en Intrusion Log.

Use el botón "Details" para abrir una ventana donde podrá ver las intrusiones de cada tipo en particular.

La ventana proporciona un nombre o descripción del ataque (columna Attack) y tipo de intrusión (columna Class). Kerio Personal Firewall usa el IDS Snort, para una información más detallada de un tipo de ataque en particular diríjase al sitio http://www.snort.org

Manual de Snort en NAUTOPIA.

El llamado Port Scanning es un tipo de ataque especial (detección de puertos abiertos en un ordenador). Este ataque no puede ser bloqueado si algún puerto está abierto por el usuario y los puertos cerrados son bloqueados automáticamente por el cortafuegos (Esta opción no nos proteje de un escaneo de puertos, solo los detecta). Marque la casilla Log to intrusion log para que los intentos de escaneo de puertos se recogan en la pestaña Port Scanning en Intrusion log (ver Log & alerts).

 

Web Content Filtering.

Las dos funciones principales disponibles en Kerio Personal Firewall, son Ad blocking (bloqueo de banners, ventanas emergentes, etc.) y Privacy protection (control de salida de información y almacenaje de cookies).

Ad blocking.

Dispone de las siguientes opciones para el bloqueo.

• Block advertisement - Use esta opción para bloquear publicidad de acuerdo a las reglas definidas. Use el botón Set para abrir el dialogo para la definición de esas reglas (ver más abajo).

• Block popup and pop under windows - Use está opción para no permitir la apertura automática de molestas ventanas emergentes durante la navegación (Popup es una ventana abierta sobre el navegador activo; Pop-under es una ventana abierta bajo la ventana activa del navegador).

• Block JavaScript, Block VBScript - Habilite esta opción para filtrar todos los comandos del correspondiente script ejecutado desde un sitio Web (esta opción puede causar problemas para el correcto visionado de algunas páginas, si esto ocurre puede definir reglas especiales para esas páginas en Exception Sites, o deshabilite la opción Block pop-up y use otro método para filtrar la publicidad, por ejemplo desde Block advertisements).

Añadir reglas de filtrado.

Pinche sobre el botón "Set" para abrir el dialogo donde las reglas de filtrado de publicidad pueden ser editadas, añadidas o borradas.

Cada regla consiste en dos partes: Server part (nombre o dirección IP de un servidor Web en particular) y Local part (dirección relativa a un objeto en particular del servidor). Solo uno de ellos puede ser especificado.

• Si el objeto Server Part está vacío, la regla se aplicará a la dirección relativa especificada en todos los servidores.

• Si el objeto Local Part está vacío, la regla se aplicará a todos los objetos del servidor especificado, luego el servidor no estará accesible.

Use las casillas en la columna Active activar/desactivar cada regla.

Use los botones Edit, Remove y Add para editar, borrar o añadir una regla. Kerio Personal Firewall incluye un grupo de reglas predefinidas (marcadas con un icono). Estas reglas no pueden ser editadas o borradas, sólo pueden ser activadas o desactivadas. La base de datos es actualizada cada vez que una nueva versión del cortafuegos es instalada y sólo las reglas activas serán mantenidas después de la actualización (las reglas no activas no serán activadas durante la actualización).

No uso este módulo (no disponible para la versión Free), ni sé cómo se definen las nuevas reglas, si estás interesado, en la ayuda del programa hay una breve descripción de su construcción. Si alguna persona con los conocimientos quiere colaborar y completar esta sección su aportación será bien recibida.

Logs & Alerts

Los Logs son archivos donde la historia de ciertos objetos es almacenada. Kerio Personal Firewall proporciona un log para cada módulo (Network, System, Intrusión y Web). Los otros logs (Error, Warning y Debug), almacenan información sobre el funcionamiento del cortafuegos. Esta información puede, por ejemplo, ayudar al soporte tecnico de Kerio Technologies para soluccionar sus posibles problemas con el cortafuegos. Estos logs no están disponibles desde la interfaz de usuario y solo pueden verse como archivos.

Los archivos Log se almacenan en el subdirectorio Log dentro del directorio de instalación. Los archivos tienen la extensión .log. Un archivo index es incluido con cada log, estos archivos tienen la extensión .idx.

Los logs para cada uno de los módulos que pueden pueden ser vistos desde la interfaz de uuario, y los parametros del logeado fijados desde la sección Logs & Alert.

• Intrusion.

• System.

• Network.

• Web.

Menú contextual LOG.

Haga clic con el botón derecho del ratón sobre un Log para abrir el menú.

• Clear log - Todos los datos serán borrados del correspondiente archivo.

• Displayed appliction name - Forma en que los nombres de las aplicaciones serán mostradas. Full path mostrará la ruta completa hasta el archivo ejecutable. File name mostrará el nombre y la extesión de la aplicación. Description mostrará la descripción de la aplicación. Show icon mostrará el icono correspondiente a la aplicación.

• Resolve address - Mostrará los nombres de los ordenadores en lugar de la IP.

• Resolve port - Mostrará el nombre de los servicios en lugar de del numero de puerto.

• Resolve protocol - Mostrará el nombre del protocolo el lugar de su correspondiente número.

Settings.

• Maximun log file size - Tamaño máximo del un archivo log (en kilobites). Si se excede del tamaño el archivo será borrado y se creará uno nuevo.

• Log to syslog - Marque/desmarque esta opción para activar/desactivar el envío de de los archivos seleccionados al servidor Syslog. Especifique la dirección del servidor Syslog correspondiente y el puerto donde el servidor está funcionando (por defecto 514). Pinche en el botón "Advanced" para abrir el dialogo donde podrá seleccionar los log's que serán enviados al servidor.