Notas de lanzamiento de Fireware XTM v11.4
Introducción
WSM v11.4 y Fireware XTM v11.4 fueron actualizados para incorporar el soporte de localización en francés, japonés, español y chino simplificado. A excepción de la localización, no hay cambios funcionales al software v11.4 entre este lanzamiento y el lanzamiento original v11.4. Para obtener más información, vea la sección de Localización.
WatchGuard está emocionado con el lanzamiento de Fireware XTM v11.4. Con nuestro nuevo servicio Application Control, Fireware XTM v11.4 pone el poder y el control en sus manos y le ofrece una visibilidad mejorada de su red con nuevas incorporaciones emocionantes a nuestros conjuntos de características de autenticación, informe y administración centralizada.
Puede instalar el software v11.4 del sistema operativo Fireware XTM en cualquier dispositivo WatchGuard XTM, incluidos 2 Series, 5 Series, 8 Series y XTM 1050. Aunque WatchGuard System Manager/Policy Manager v11.4 ha sido diseñado para administrar los dispositivos Fireware XTM v11.3 y Fireware XTM v11.4 sin problemas, no es posible instalar el sistema operativo Fireware XTM v11.4 en los dispositivos WatchGuard e-Series.
Aquí tiene los puntos más destacados del conjunto completo de nuevas características de Fireware XTM v11.4.
Application Control : nunca fue más fácil decidir quién utiliza las aplicaciones, cuáles son éstas, en qué momento y lugar se utilizan y por qué motivo se ocupan dentro de su red. Ejerza un control minucioso sobre más de 1500 aplicaciones, organizadas por categoría. El servicio Application Control le permite navegar con rapidez en la categoría de aplicaciones (Mensajería Instantánea) hasta el nombre de la aplicación (MSN IM) y hasta la función de la aplicación (Transferencias de Archivo).
IPS mejorado : la nueva implementación de IPS es más fácil de configurar y ahora escanea el tráfico en todos los puertos. La Web UI de Fireware XTM tiene una nueva pestaña de firmas para simplificar la búsqueda de información acerca de las firmas.
Antecedentes de configuración y soporte de restablecimiento : WatchGuard Management Server ahora proporciona una lista indexada de archivos de configuración de dispositivos administrados con estampa de tiempo para poder regresar fácilmente a una configuración anterior cuando necesita hacerlo.
Más flexibilidad en Centralized Management —
- la herencia de nuevas plantillas y las capacidades de anulación lo ayudan a administrar grandes cantidades de dispositivos
- Nueva habilidad de configurar NAT estática en las políticas de las plantillas de configuración
Informes mejorados : varios informes nuevos clave le proporcionan datos sobre Application Control, Puntos de Acceso Inalámbrico Falsos y actividades de concesión DHCP. Ahora puede ejecutar informes a pedido, programar informes y enviar notificaciones por correo electrónico que indiquen que los informes están listos para verse.
Generación de registros mejorada : han habido varias mejoras en el desempeño del Log Server, incluida la habilidad de eliminar mensajes de registro de diagnóstico del Log Server para controlar el tamaño de la base de datos y la adopción de un nuevo método para insertar mensajes de registro en la base de datos, lo que resulta en una reducción del 50% en la generación de huellas en la base de datos de registro.
Nuevas opciones de autenticación : con Fireware XTM v11.4, nos complace presentar un nuevo conjunto de características de autenticación que lo ayudarán a crear una política de seguridad basada en usuarios y grupos (no en direcciones IP). Estas características incluyen:
- Soporte para Terminal Services y Autenticación del Servidor Citrix XenApp v4.5: cuando esta característica está habilitada en un entorno Citrix XenApp o de Microsoft Terminal Services, Fireware XTM utiliza un agente personalizado desplegado en el servidor Citrix o terminal para identificar a un usuario para que el dispositivo XTM pueda aplicar la política de firewall en conformidad.
- La habilidad para utilizar tanto la autenticación de Inicio de Sesión Único como la autenticación manual en su configuración.
- Soporte de autenticación IEEE 802.1x para dispositivos inalámbricos XTM 2 Series.
- Soporte para dominios AD múltiples: dominios AD ilimitados para SSO, autenticación manual y Mobile VPN para IPSec y para SSL.
- Soporte de LDAPS (LDAP en SSL).
- VASCO ha presentado el software servidor IDENTIKEY para reemplazar su VACMAN Middleware Server, al cual se le declaró el final de la vida útil el 30 de junio de 2010. Los dispositivos WatchGuard XTM ahora admiten el nuevo servidor VASCO IDENTIKEY. Si ya tiene un VACMAN Middleware Server, puede continuar utilizándolo con su dispositivo WatchGuard XTM. Si tiene un servidor IDENTIKEY nuevo, simplemente reemplace la información del VACMAN Middleware Server en su archivo de configuración con la información de su nuevo servidor IDENTIKEY.
Detección de Punto de Acceso Inalámbrico Falso : los dispositivos inalámbricos XTM 2 Series ahora pueden escanear para detectar puntos de acceso no autorizados a su alcance e informarlos.
Configuración de proxy completa desde la Web UI : las nuevas opciones de configuración de la Web UI aumentan la conveniencia de uso de la Web UI.
Configuración activa/pasiva de FireCluster en modo Drop-In : ahora se admite para los dispositivos WatchGuard XTM configurados en modo drop-in, como también en modo enrutado. Tenga en cuenta que éste es un procedimiento de actualización nuevo para actualizar un FireCluster a Fireware XTM v11.4 que figura más adelante en este documento.
Active dispositivos XTM desde el Web Setup Wizard : si tiene configurada una cuenta de WatchGuard, ahora puede activar un dispositivo nuevo directamente desde el Web Setup Wizard.
Antes de empezar
Antes de instalar Fireware XTM v11.4, asegúrese de tener:
- Un dispositivo WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050.
- Los componentes de hardware y software requeridos se muestran a continuación.
- Tecla de función para su dispositivo XTM: Si actualiza su dispositivo XTM desde una versión de sistema operativo Fireware XTM anterior, puede utilizar su tecla de función existente.
- Application Control se incluye en los paquetes de suscripciones de seguridad de UTM para los dispositivos XTM. No se aplican cargos nuevos a los clientes existentes de dispositivos XTM con paquetes de suscripción de seguridad, pero debe descargar una tecla de función actualizada para poder utilizar el nuevo servicio Application Control. Puede hacerlo utilizando la opción Sincronizar Tecla de Función que está disponible en Firebox System Manager (FSM) o la opción Obtener tecla de función en la Web UI.
Tenga en cuenta que puede instalar y utilizar WatchGuard System Manager v11.4 y todos los componentes del servidor WSM con dispositivos que funcionan con versiones anteriores de Fireware XTM v11. En este caso, le recomendamos que utilice la documentación del producto que coincida con su versión de sistema operativo Fireware XTM.
La documentación para este producto está disponible en el sitio web de WatchGuard en www.watchguard.com/help/documentation.
Localización
Las interfaces de usuario de administración de Fireware XTM (conjunto de aplicaciones de WSM y la Web UI) han sido localizadas para el lanzamiento de v11.4. Los idiomas admitidos son:
- Chino (simplificado, República Popular China [PRC])
- Francés (Francia)
- Japonés
- Español (Latinoamericano)
Además de estos idiomas, ofrecemos el soporte de la Web UI localizada para coreano y chino tradicional con el lanzamiento v11.4. Sólo la Web UI en sí misma ha sido localizada. WSM y todos los archivos de ayuda y la documentación del usuario permanecen en inglés en el caso de estos dos idiomas.
Tenga en cuenta que la mayor parte de la entrada de datos aún debe realizarse utilizando caracteres estándares del Código Estándar Estadounidense para el Intercambio de Información (ASCII). Puede utilizar otros caracteres que no sean del ASCII en algunas áreas de la interfaz de usuario (UI), entre ellas:
- Deny message del servidor proxy;
- título, términos y condiciones, y mensaje del hotspot inalámbrico; y
- usuarios, grupos y nombres de roles de WatchGuard Server Center.
Los datos enviados desde el sistema operativo del dispositivo (p. ej., datos de registro) se muestran sólo en inglés. Además, todos los elementos del menú Estado del Sistema de la Web UI y los componentes de software provistos por compañías externas quedan en inglés.
Fireware XTM Web UI
La Web UI se iniciará en el idioma que haya configurado en su explorador web de manera predeterminada. El nombre del idioma seleccionado actualmente se muestra en la parte superior de cada página. Para cambiar a un idioma diferente, haga clic en el nombre del idioma que aparece. Aparecerá una lista desplegable de idiomas y allí puede seleccionar el que desea utilizar.
WatchGuard System Manager
Cuando instala WSM, puede elegir qué paquetes de idiomas desea instalar. El idioma que se muestra en WSM coincidirá con el idioma que seleccione en su entorno de Microsoft Windows. Por ejemplo, si utiliza Windows XP y desea WSM en japonés, ingrese en Panel de control> Opciones regionales y de idioma, y seleccione Japonés de la lista de idiomas.
Reporting Web UI, CA Manager, Quarantine Web UI y hotspot inalámbrico
Estas páginas web se muestran automáticamente en la preferencia de idioma que ha configurado en su explorador web.
Compatibilidad del sistema operativo Fireware XTM y WSM v11.4
*Soporte para Microsoft Windows Server 2008 32 bits y 64 bits; soporte para Windows Server 2008 R2 64 bits.
** El soporte de Mac OS X para el cliente SSL VPN es sólo para el modo de 32 bits.
Requisitos del sistema
Cómo descargar software
- Visite la página Descargas de Software en el sitio web de LiveSecurity en http://www.watchguard.com/archive/softwarecenter.asp.
- Inicie sesión en el sitio web de LiveSecurity. Luego, seleccione la línea de productos que utiliza y busque la sección de descargas de software de Fireware XTM.
Hay varios archivos de software disponibles para descargar. Vea las descripciones a continuación para saber qué paquetes de software necesitará para su actualización.
WatchGuard System Manager
Todos los usuarios ahora pueden descargar el software de WatchGuard System Manager. Con este paquete de software, puede instalar WSM y el software de WatchGuard Server Center:
WSM11_4s.exe : utilice este archivo para actualizar WatchGuard System Manager de v10.2.x o v11.x a WSM v11.3.2.  
Sistema operativo Fireware XTM
Seleccione la imagen del sistema operativo Fireware XTM correcta para su hardware. Descargue el archivo .exe si va a instalar el sistema operativo desde una computadora que se ejecuta con un sistema operativo Microsoft Windows. Utilice el archivo .zip si va a instalar el sistema operativo desde una computadora que se ejecuta con un sistema operativo distinto a Windows.
Software de Inicio de Sesión Único
Hay dos archivos disponibles para descargar si utiliza Inicio de Sesión Único:
- WG-Authentication-Gateway.exe (Software del agente SSO: necesario para Inicio de Sesión Único)
- WG-Authentication-Client.msi (Software cliente SSO: opcional)
Para obtener información sobre cómo instalar y configurar Inicio de Sesión Único, vea la documentación del producto.
Software de autenticación de Terminal Services
- TO_AGENT_32.exe (soporte para 32 bits)
- TO_AGENT_64.exe (soporte para 64 bits)
Cliente de Mobile VPN with SSL para Windows y Macintosh
Hay dos archivos disponibles para descargar si utiliza Mobile VPN with SSL:
- WG-MVPN-SSL.exe (Software cliente para Windows)
- WG-MVPN-SSL.dmg (Software cliente para Mac)
Actualización de Fireware XTM v11.x a v11.4
Antes de realizar la actualización de Fireware XTM v11.x a Fireware XTM v11.4, visite la página de Descargas de software. Descargue y guarde el archivo que coincide con el dispositivo de WatchGuard que desea actualizar. Puede utilizar Policy Manager o la Web UI para finalizar el procedimiento de actualización. Le recomendamos enfáticamente que realice una copia de respaldo de la configuración de su dispositivo Y de la configuración de WatchGuard Management Server antes de realizar la actualización. No se puede regresar a la versión anterior sin estos dos archivos de respaldo.
Si participó en el programa beta de WatchGuard y realiza la actualización desde el software previo al lanzamiento a Fireware XTM v11.4, debe desinstalar manualmente el software de WSM v11.4 previo al lanzamiento de su computadora de administración antes de poder instalar WSM v11.4. Tenga en cuenta que le recomendamos realizar una copia de respaldo de la configuración de su dispositivo Y de la configuración de WatchGuard Management Server antes de instalar WSM. No se puede "sobreescribir" su instalación de WSM con el software de WSM que utiliza el mismo número de versión.
Realice una copia de respaldo de su configuración de WatchGuard Management Server
Desde la computadora donde instaló el Management Server:
- Desde WatchGuard Server Center, seleccione Archivo > Copia de seguridad/Restauración.
Se inicia el WatchGuard Server Center Backup/Restore Wizard.
- Haga clic en Siguiente.
Aparece la pantalla Seleccionar una acción.
- Seleccione Configuración de respaldo.
- Haga clic en Siguiente.
Aparece la pantalla Especificar un archivo de respaldo.
- Haga clic en Buscar para seleccionar una ubicación para el archivo de respaldo. Asegúrese de guardar el archivo de configuración en una ubicación a la que pueda acceder posteriormente para restablecer la configuración.
- Haga clic en Siguiente.
Aparece la pantalla WatchGuard Server Center Backup/Restore Wizard ha finalizado.
- Haga clic en Finalizar para salir del asistente.
Realice una copia de respaldo de su Log Server, Servidor de Reportes, Quarantine Server
Como la estructura de la base de datos del Log Server y del Servidor de Reportes cambia cuando realiza la actualización a WSM v11.4, es importante que realice una copia de respaldo de los datos de estos servidores v11.3.x en caso que desee regresar a WSM v11.3.2. También es posible que desee realizar una copia de respaldo de su Quarantine Server, si es que lo utiliza.
- Desde WatchGuard Server Center, tome nota de la ruta del directorio en la cual está instalada la base de datos del Log Server y del Servidor de Reportes. Luego, detenga todos los servidores.
- De Panel de control > Herramientas administrativas > Servicios, detenga el servidor PostgreSQL-8.2.
- Realice una copia de respaldo o una copia estándar de los contenidos del directorio que contiene la configuración del Log Server y del Servidor de Reportes.
En Windows XP SP2 o Windows Server 2003, si aceptó la instalación predeterminada, la base de datos del Log Server y del Servidor de Reportes estarán en esta ubicación:
%SYSTEMDRIVE%\Documents and Settings\WatchGuard
En Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2, si aceptó la instalación predeterminada, la base de datos del Log Server y del Servidor de Reportes estarán en esta ubicación:
%SYSTEMDRIVE%\ProgramData\WatchGuard
- Realice una copia de respaldo del directorio de la base de datos del Log Server y del Servidor de Reportes, si fueron cambiados de la configuración predeterminada. Puede encontrar las ubicaciones de la base de datos del Log Server y del Servidor de Reportes en el WatchGuard Server Center Pestañas de Mantenimiento de la Base de Datos. De manera predeterminada, la base de datos se encuentra en el directorio mencionado en el Paso 3 y este paso no es necesario.
- Realice una copia de respaldo del directorio del Log Server en donde están almacenados los archivos de respaldo de la base de datos, si esto fue cambiado de la configuración predeterminada. La pestaña de Mantenimiento de la Base de Datos del Log Server le muestra esta ruta del directorio.
- Realice una copia de respaldo del directorio del Servidor de Reportes donde se almacenan los archivos XML para los Informes disponibles, si esto se cambió desde la configuración predeterminada. La pestaña de Configuración del Servidor del Servidor de Reportes le muestra esta ruta del directorio.
Realice la actualización de Fireware XTM v11.4 a la Web UI
- Vaya a Sistema > Imagen de respaldo o utilice la característica de respaldo USB para realizar una copia de seguridad de su archivo de configuración actual.
- En su equipo de administración, inicie el archivo del sistema operativo que descargó del Centro de Descargas de Software de WatchGuard.
Si utiliza el instalador basado en Windows, esta instalación extrae un archivo de actualización llamado xtm_[model].sysa-dl en la ubicación predeterminada de C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.4\[model].
- Conéctese a su dispositivo XTM con la Web UI y seleccione Sistema > Actualizar sistema operativo.
- Busque la ubicación del archivo xtm_[model].sysa-dl del Paso 2 y haga clic en Actualizar.
Realice la actualización a Fireware XTM v11.4 desde WSM/Policy Manager v11.4
- Seleccione Archivo > Copia de seguridad o utilice la característica de respaldo USB para realizar una copia de seguridad de su archivo de configuración actual.
- En su equipo de administración, inicie el archivo ejecutable del sistema operativo que descargó del Centro de Descargas de Software de WatchGuard. Esta instalación extrae un archivo de actualización llamado xtm_[model].sysa-dl en la ubicación predeterminada de C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.4\[model].
- Instale y abra WatchGuard System Manager v11.4. Conéctese al dispositivo XTM e inicie Policy Manager.
- Desde Policy Manager, seleccione Archivo > Actualizar. Cuando se le solicite, busque y seleccione el archivo xtm_[model].sysa-dl del Paso 2.
Actualice el software del servidor de WatchGuard.
No es necesario desinstalar su software cliente o servidor v11.0.x cuando ejecuta una actualización de v11.0.1 o superior a WSM v11.4. Puede instalar el software cliente y servidor v11.4 encima de su instalación existente para actualizar sus componentes de software de WatchGuard.
Actualización de FireCluster de Fireware v11.x a v11.4
Para actualizar su FireCluster de Fireware XTM v11.3.x o desde el software de lanzamiento previo v11.4 debe realizar una actualización manual.
- Desde WatchGuard System Manager, seleccione Archivo> Conectarse con el dispositivo y conéctese con la dirección IP de administración del dispositivo maestro en su FireCluster.
- Desde WatchGuard System Manager, seleccione Archivo> Conectarse con el dispositivo y conéctese con la dirección IP de administración del dispositivo maestro de respaldo en su FireCluster.
- Desde WatchGuard System Manager, seleccione el dispositivo maestro de respaldo en la pestaña Estado del Dispositivo e inicie Firebox System Manager.
- Desde Firebox System Manager, seleccione Herramientas >Cluster >Abandonar. Ingrese su contraseña de administrador.
El dispositivo se reinicia en estado en espera. El maestro muestra el dispositivo como inactivo, pero el dispositivo en espera muestra su estado como en espera.
- Desde WatchGuard System Manager, seleccione el dispositivo maestro de respaldo que acaba de retirar del cluster e inicie el Policy Manager.
- Desde Policy Manager, seleccione Archivo> Actualizar. Utilice la dirección IP de administración del dispositivo maestro de respaldo que actualmente se encuentra en estado en espera.
El dispositivo se actualiza y se reinicia. Al completar esta operación, el dispositivo permanece en estado en espera.
- Desde WatchGuard System Manager, seleccione el dispositivo maestro e inicie el Policy Manager.
- Desde Policy Manager, seleccione Archivo> Actualizar. Utilice la dirección IP de administración del dispositivo maestro. Cuando el Policy Manager le indique que seleccione los dispositivos que desea actualizar, seleccione sólo el dispositivo maestro.
El dispositivo maestro se actualiza y se reinicia. El Policy Manager le muestra un mensaje cuando se completa la actualización.
- Desde Firebox System Manager, conectado al dispositivo que actualmente se encuentra en estado en espera, seleccione Herramientas> Cluster> Unir
El dispositivo en estado de espera se reinicia. El cluster vuelve a conformarse, ejecutando Fireware XTM v11.4.
Instrucciones de instalación de una versión anterior
Regrese a la versión anterior de WSM v11.4, WSM v11.x
Si desea regresar desde la v11.4 a una versión anterior de WSM, debe desinstalar WSM v11.4. Cuando lo desinstale, elija Sí cuando el desinstalador le pregunte si desea eliminar la configuración del servidor y los archivos de datos. Después de eliminar la configuración del servidor y los archivos de datos, debe restablecer los archivos de datos y configuración del servidor que guardó en una copia de respaldo antes de realizar la actualización a WSM v11.4.
A continuación, instale la misma versión de WSM que utilizó antes de realizar la actualización a WSM v11.4. El instalador debe detectar su configuración actual del servidor e intentar restablecer sus servidores desde el cuadro de diálogo Finalizar . Si utiliza un WatchGuard Management Server, utilice el WatchGuard Server Center para restablecer la configuración del Management Server de respaldo que creó antes de realizar la actualización a WSM v11.4 por primera vez. Verifique que todos los servidores WatchGuard estén en funcionamiento.
Regrese a la versión anterior de Fireware XTM v11.4 a Fireware XTM v11.3 o anterior
Si desea regresar de Fireware XTM v11.4 a una versión anterior de Fireware XTM, puede:
- restablecer la imagen de respaldo completa que creó cuando realizó la actualización a Fireware XTM v11.4 para completar el regreso a la versión anterior; o
- utilizar el archivo de respaldo USB que creó antes de realizar la actualización como su imagen de restablecimiento automático, y luego iniciar sesión en modo de recuperación con la unidad USB conectada a su dispositivo.
Para iniciar un dispositivo WatchGuard XTM 5 Series, 8 Series o XTM 1050 en modo de recuperación:
- Apague el dispositivo XTM.
- Presione la flecha hacia arriba en el panel delantero del dispositivo mientras lo enciende.
- Mantenga el botón presionado hasta que aparezca "Iniciando Modo de Recuperación" en la pantalla LCD.
Para iniciar un dispositivo WatchGuard XTM 2 Series en modo de recuperación:
- Desconecte la alimentación.
- Presione y sostenga el botón Restablecer en la parte posterior mientras conecta la alimentación al dispositivo.
- Mantenga el botón presionado hasta que la luz Attn en la parte delantera se ilumine de color naranja.
Application Control
Con el nuevo servicio de seguridad Application Control, puede ejercer control minucioso sobre más de 1500 aplicaciones, organizadas por categoría. Application Control utiliza un conjunto de firmas actualizadas con frecuencia para mantenerse al tanto de las últimas aplicaciones y versiones de las aplicaciones. Le recomendamos habilitar la característica de actualización automática de firmas, o bien, para actualizar manualmente las firmas de su dispositivo XTM, conecte su dispositivo con el Firebox System Manager y seleccione la pestaña Suscripciones de Seguridad. Cuando actualice las firmas, se actualizarán tanto sus firmas del IPS como las de Application Control.
Al configurar Application Control o al ver los registros de Application Control, es posible que vea nombres de aplicaciones que desconoce. Para obtener información sobre cualquier aplicación que pueda ser identificada por Application Control, puede buscar la aplicación en http://www.watchguard.com/SecurityPortal/AppDB.aspx.
Administración de aplicaciones mediante SSL
Muchas aplicaciones basadas en Internet son accesibles a través de SSL (HTTPS) y HTTP. Las organizaciones ofrecen conexiones SSL para proporcionar más seguridad a los usuarios al cifrar las comunicaciones. El cifrado SSL también puede dificultarle más a Application Control la detección de aplicaciones. Cuando bloquea aplicaciones, es posible que también deba bloquear específicamente el inicio de sesión SSL de esa aplicación para asegurarse de bloquear todo el acceso a esa aplicación.
Por ejemplo, cuando selecciona bloquear la aplicación Google Finance, esto evita que los usuarios puedan utilizar las aplicaciones financieras de Google. No obstante, no evita que utilicen Google Finance a través de SSL. Para bloquear eso, también debe seleccionar la opción para Autenticación de Google a través de SSL. Es importante comprender que, una vez que bloquee la Autenticación de Google a través de SSL, todas las aplicaciones de Google a través de SSL estarán bloqueadas. Por ejemplo, también se bloquea el acceso a Google Docs y Gmail a través de SSL.
Un comportamiento similar puede ocurrir con algunas aplicaciones de Microsoft y Yahoo cuando se accede a éstas a través de SSL. Existen las firmas correspondientes de Autenticación a través de SSL para Microsoft y Yahoo y muchas otras aplicaciones en la lista de aplicaciones de Application Control. Las compañías pueden desear bloquear el acceso SSL a las aplicaciones cuando configuran controles granulares mediante el acceso HTTP admitido.
Para obtener una lista completa de Problemas conocidos relacionados con Application Control, consulte la sección Problemas Conocidos/Suscripciones de Seguridad a continuación.
IPS
Nuestra implementación de IPS ha mejorado significativamente en el lanzamiento de Fireware XTM v11.4. Hemos implementado un nuevo conjunto de firmas con mejor desempeño y eficiencia. El IPS ya no está restringido únicamente a esos puertos y protocolos utilizados con servidores proxy. Ahora también puede aplicarse a las políticas de filtro de paquetes. Las firmas fueron divididas en 5 niveles de amenazas que son más sencillos de comprender. Puede encontrar más información acerca de cada firma directamente desde la UI, y puede hacer clic derecho para agregar una firma de manera sencilla a una lista de excepciones.
Con Fireware XTM v11.4, ahora puede crear una acción de IPS global, que se aplica al tráfico en todos los puertos. Tiene la habilidad para activar o desactivar el IPS a nivel de cada política para cumplir con sus necesidades organizativas. Todas las políticas para las cuales está activado el IPS utilizan la misma acción de IPS. No es posible utilizar más de una acción de IPS en su configuración al mismo tiempo.
Esta tabla es un resumen útil de las diferencias entre el IPS en Fireware XTM v11.4 y el IPS en lanzamientos anteriores de Fireware XTM.
* Para aquellos clientes que utilizan HTTPS con DPI, es importante que adviertan que el escaneo IPS ocurre antes del descifrado de la cadena HTTPS, por lo tanto, el IPS no es una herramienta efectiva para bloquear los posibles intentos de intrusiones que pasan por su dispositivo XTM como parte de una cadena HTTPS cifrada.
Cuando realiza la actualización a Fireware XTM v11.4, su configuración de IPS se actualiza para coincidir con las opciones de configuración de v11.4. Durante la actualización:
- Si el IPS no está activado en la configuración anterior a v11.4, el IPS global no estará activado en la configuración de v11.4 convertida. Si el IPS está activado en la configuración anterior a v11.4, el IPS global estará activado en la configuración de v11.4.
- Si una política de proxy de la configuración anterior a v11.4 tiene el IPS activado, esa política tendrá el IPS activado en la configuración convertida.
- Todas las demás políticas tienen el IPS desactivado en la configuración v11.4.
- Cuando el IPS está activado para una política, durante la actualización los niveles de amenaza se configuran en los niveles predeterminados:
- Permitir el nivel (no registrar) de Información (amenaza más baja)
- Abandonar para todos los niveles de amenazas más elevadas (y registrar)
- Como éste es un conjunto de firmas nuevo, las excepciones configuradas con anterioridad no se aplican.
Centralized Management
WSM v11.4 introduce un nuevo flujo de trabajo relacionado con el uso de plantillas. Mientras que el nuevo flujo de trabajo le brinda un nivel de control y flexibilidad sin precedentes sobre los dispositivos Firebox y XTM que administra, es importante que comprenda este nuevo flujo de trabajo antes de realizar la actualización.
Con WSM v11.4, los dispositivos ya no se suscriben a plantillas de configuración. En cambio, puede crear y aplicar plantillas múltiples a sus dispositivos. Cuando aplica una plantilla a un dispositivo, el contenido de la plantilla se fusiona con el archivo de configuración más reciente almacenado para el dispositivo en el Management Server y se guarda como una revisión del archivo de configuración. El dispositivo siempre controla para detectar el último archivo de configuración y lo descarga cuando se comunica con el Management Server.
Puede crear plantillas múltiples y luego aplicarlas a un dispositivo o a un grupo de dispositivos en un orden fijo, una por vez. Para aplicar una plantilla a un grupo de dispositivos, simplemente cree una carpeta de dispositivos, para luego arrastrar y soltar su plantilla en esa carpeta.
Otra poderosa característica de plantilla nueva para WSM v11.4 es la herencia de plantillas. Con esta característica, puede determinar si desea que el valor de un ajuste de la configuración en la plantilla anule el valor del mismo ajuste en el archivo de configuración del dispositivo cuando se aplique la plantilla. Si dos plantillas no tienen ajustes de configuración en común, puede aplicarlas en cualquier orden. Si dos plantillas contienen ajustes de configuración en común, debe aplicarlas con cuidado, en el orden deseado para asegurarse de que las actualizaciones no anulen accidentalmente los ajustes que acaba de aplicar al dispositivo o utilizar los nuevos ajustes de herencia para controlar las políticas que se actualizan en sus dispositivos.
Es importante comprender que los cambios a una plantilla ya no se aplican de manera automática a los dispositivos administrados. Ahora debe seleccionar manualmente a qué dispositivos desea aplicar un cambio determinado. Esto le ofrece mayor control sobre las actualizaciones de configuración para sus dispositivos administrados.
Si utilizó Centralized Management con dispositivos suscritos a plantillas en versiones anteriores de WSM, cuando realice la actualización de WSM 11.x a v11.4, estas plantillas serán actualizadas y los dispositivos ya no estarán suscritos a ellas (aunque puede continuar actualizando los dispositivos mediante la misma plantilla, sujeto a los cambios en el flujo de trabajo identificados anteriormente). Cada dispositivo mantiene la configuración de su plantilla. Las plantillas existentes son actualizadas para utilizar “T_” en sus nombres objetivos (para coincidir con los nombres objetivos de los dispositivos que solían suscribirse a ellas). Después de realizar la actualización, verá la actualización de plantilla que ocurre durante la actualización en sus antecedentes de revisión.
Problemas solucionados
El lanzamiento de Fireware XTM v11.4 soluciona varios problemas de los lanzamientos anteriores de Fireware XTM v11.x.
General
- La detección de dirección IP y escaneo de puertos ya no se aplica al tráfico de ninguna red confiable ni opcional, como tampoco al tráfico de VPN. [57592]
- El enrutamiento basado en políticas ya no deja de funcionar cuando se vence una suscripción de seguridad de WatchGuard. [57858]
- Se solucionó un problema que hacía que los sondeos de detección de servidor caído utilizados en el balance de carga en el servidor fallen cuando utilizaba los servicios de RDP en Windows 2008 R2. [57438]
- PPPoE ya no tarda de 15 a 20 minutos en reconectarse después del reinicio de su dispositivo XTM. [56351]
- En los mensajes de registro del tráfico, el nombre de la interfaz PPPoE ya no aparece de manera incorrecta como Eth0. [56591]
- El balance de carga en el servidor ya no deja de funcionar cuando vence su suscripción de LiveSecurity. [57526]
- Ahora puede importar MIB de productos de WatchGuard sin errores. [56754]
- Existe una nueva configuración de tiempo de espera de conexión de TCP inactivo disponible en la configuración de los Ajustes Globales. [56026]
Autenticación
- Ahora puede utilizar la autenticación manual y Inicio de Sesión Único al mismo tiempo para diferentes usuarios mediante el dispositivo XTM. [43298]
- Active Directory Authentication de Mobile VPN with SSL ahora solicita el trabajo correctamente mediante túneles VPN para sucursales. [57418]
- Ahora admitimos múltiples dominios de Active Directory para SSO y autenticación, en lugar de sólo uno. [44221]
Inicio de Sesión Único
- La precisión y escalabilidad de Inicio de Sesión Único ha mejorado. [58376, 57076, 57087, 44267, 58375]
- Para mejorar la eficiencia y reducir la carga en el agente Inicio de Sesión Único, el dispositivo XTM ya no necesita enviar consultas al Agente SSO para las direcciones IP en la lista de excepciones. [57075]
CLI
- Ahora incluimos comandos de CLI que le permiten ver la cantidad de conexiones concurrentes mediante el dispositivo XTM. [34523]
Web UI
- Ahora es posible configurar todos los componentes de las políticas de proxy desde la Web UI.
- Ahora puede utilizar el carácter * comodín en las excepciones de spamBlocker que agrega mediante la Web UI. [56878]
FireCluster
- Ahora puede configurar el FireCluster activo/pasivo con dispositivos XTM configurados en modo drop-in. [37287]
- Se resolvió un problema que causó un rastreo de pila para los dispositivos FireCluster activos/pasivos con un mensaje de error El proceso "ctd" dejó de funcionar de manera inesperada en la señal 11 . [58312]
- Se solucionó un problema que causó que la máscara de subred de redes de confianza cambie después de un Failback del FireCluster. [43506]
- Ahora puede configurar un FireCluster activo/pasivo cuando todas las interfaces de confianza también estén configuradas como parte de una VLAN. [56498]
- Si cambia la dirección IP de la interfaz del cluster Principal o De respaldo, cuando guarda la configuración en el FireCluster, los dos dispositivos agrupados en el cluster ya no se reinician al mismo tiempo sin advertencia. [57716]
Mobile VPN
- Ahora puede utilizar un grupo de direcciones que forma parte de la red directa con Mobile VPN with IPSec. [56399]
- Ahora puede utilizar un grupo de direcciones que forma parte de la red directa con Mobile VPN with SSL. [55711]
- Mobile VPN with SSL ahora se conectará exitosamente cuando utilice una comilla en la contraseña. [57764]
- Los caracteres alfanuméricos ahora se aceptan cuando utiliza la autenticación de dos factores. [57327]
- Cuando utiliza Mobile VPN with PPTP con un grupo de direcciones de la subred primaria en una interfaz de confianza, el dispositivo XTM ahora responde a una solicitud de ARP para la dirección PPTP asignada. [56190]
- Los intentos de conexión PPTP frecuentes ya no causan un uso elevado de la CPU. [56005]
- Se solucionó un problema que hacía que las conexiones PPTP se desconectaran con mensajes de registro que mostraban: pptp. Protocolo no admitido recibido [56101, 45477]
Branch Office VPN
- Se solucionó un problema que causaba un error de rastreo de pila de IKED en los túneles VPN para sucursales configurados para utilizar el NAT dinámico. [57453]
- Ahora el campo de ID del encabezado IP después de la encapsulación ESP se cambió correctamente en los paquetes fragmentados. [56956]
Redes
- Las solicitudes de tráfico de registro, tráfico de registro en el sistema y autenticación SSO ahora se enrutan correctamente mediante los túneles VPN. [57701, 57702]
- Se solucionó un problema que hacía que las interfaces Eth4, Eth5 y Eth6 en los dispositivos XTM 2 Series no respondan a las solicitudes de ARP si el cable estuvo desconectado durante 24 horas. [56422]
- Los dispositivos inalámbricos XTM 2 Series ya no generan cantidades excesivas de mensajes de registro con ath9k: se omitió 1 luz consecutiva. [41690]
- La administración de tráfico ahora funciona correctamente cuando se aplica a una política FTP. [42784]
- Ahora puede preparar un bridge inalámbrico a una interfaz de confianza u opcional que tiene un bridge a otra interfaz de confianza u opcional. [39603]
- Todas las interfaces externas ya no se reinician cada vez que cambia la configuración de una interfaz externa. [42443]
- Las acciones de administración de tráfico aplicadas a su dispositivo local ahora pueden controlar las conexiones tanto a clientes como a servidores, como lo hacían en Fireware v10.x. [57242]
- Se solucionó un problema que ocurría al utilizar un dispositivo XTM 5 Series con un modelo convertidor de fibra de Metrobility. [56276]
- La información de velocidad de la interfaz ahora se muestra correctamente mediante el SNMP. [45174]
Servidores proxy
- El proxy HTTPS (de manera predeterminada) no permite que la conexión HTTPS negocie el protocolo SSLv2. La interfaz del usuario ahora incluye una casilla de selección para anular este comportamiento predeterminado. [55908]
- Se solucionaron varios problemas que hacían que WebBlocker consuma grandes cantidades de recursos de la CPU. [56331, 55998]
- Se solucionó un problema que hacía que las descargas de archivos mediante el proxy HTTP se atasquen. [57462]
- Se solucionó un problema que causaba rastreos de pila cfm y tráfico lento a través de los servidores proxy de Fireware XTM. [57506]
- La configuración de proxy FTP que controla la cantidad de intentos de inicio de sesión fallidos admitidos ahora funciona correctamente. [56983]
- Se mejoró la calidad de llamadas cuando se utiliza el equipo de videoconferencias de LifeSize. [56737]
- El proxy HTTP ahora es más flexible con el protocolo de enlace TCP inicial entre el dispositivo XTM y determinados servidores web, para no bloquear el acceso web a éstos. [56603]
- La inspección profunda de paquetes HTTPS ya no falla si se importa un certificado CA duplicado. [42701]
- El tráfico por el proxy SMTP ya no se atasca en conexiones de alta latencia. [56395]
- La transferencia de archivos mediante el proxy SIP ya no falla en las configuraciones de horquilla. [56997]
- Se ha mejorado el comportamiento de escaneo del Gateway AV con respecto a los archivos comprimidos para que los archivos riesgosos sean bloqueados hasta completarse el escaneo AV. [55648]
WatchGuard Log Server y Servidor de Reportes
- Desde el WatchGuard Server Center, ahora puede cambiar exitosamente el tamaño máximo de la base de datos de registros a un tamaño menor al de la base de datos actual. Si intenta hacer esto, verá una advertencia, pero podrá continuar. [56285]
- Ahora puede cambiar exitosamente el tamaño máximo de la base de datos de registro mediante el psql. [57961]
- La clasificación del mensaje de registro Error (8199), DB_Cursor: excepción en la ejecución: no se pudo abrir la relación con OID ha sido cambiado a Información. [57897]
- Se solucionó un problema que causaba un error de rastreo de pila de excepción cuando se intentaba generar un informe de actividad web por cliente. [58370]
- Los informes web por cliente ahora se generan con más rapidez que en los lanzamientos v11.x anteriores. [58228, 58230] 
- Se agregaron dos informes nuevos en el Report Manager para mostrar la velocidad de transferencia para las interfaces externas y los túneles VPN. Estos dos informes aparecen bajo la categoría de Informes de Firebox. [57122]
- El informe Dominio Más Popular ahora incluye una sección que muestra los datos del dominio organizados por la cantidad total de bytes transferidos. [57127]
- El informe Cliente Más Activo ahora incluye una sección que muestra los datos del cliente organizados por la cantidad total de bytes transferidos. [57128]
WatchGuard System Manager (WSM)
- Policy Manager ahora abre correctamente los archivos de configuración almacenados localmente cuando su frase de contraseña de estado comienza con un carácter “-“. [42616]
- Ahora puede guardar un archivo de configuración de WSM, incluso cuando inicia sesión como un archivo diferente al utilizado para instalar WSM. [58292]
- Cuando selecciona la opción Archivo > Guardar > Guardar como archivo desde el Policy Manager en una computadora instalada con Microsoft Windows 7 OS, los íconos ahora se muestran correctamente. [57703]
- Los dispositivos administrados ya no dejan de intentar conectarse con el Management Server después de 180 segundos. Una vez que el dispositivo logra conectarse y obtiene un estado actualizado del servidor, vuelve a programar el intento de conexión sobre la base del período de arriendo configurado. [58844]
- En los nuevos archivos de configuración, la opción para enviar mensajes de registro para informar que es parte de cada acción de proxy ahora está configurada como desactivada en todos los tipos de servidores proxy. [44038]
Firebox System Manager
- La funcionalidad de búsqueda del Control de Tráfico ahora incluye la posibilidad de configurar su preferencia de búsqueda predeterminada como una búsqueda literal o una búsqueda de expresión regular. [57199]
Problemas conocidos
Estos son problemas conocidos de Fireware XTM v11.4 y todas las aplicaciones de administración. Cuando esté disponible, incluimos una solución para el problema.
General
- Para desconectar un dispositivo XTM 5 Series, debe presionar y mantener el conmutador de energía trasero durante 4 ó 5 segundos. [42459]
- En un dispositivo XTM 5 Series, la luz del enlace para la interfaz de red 0 permanece encendida cuando el dispositivo está desconectado utilizando el conmutador de energía trasero. [42388]
- Para los dispositivos XTM 5 Series, la interfaz 0 no admite la Interfaz cruzada dependiente del medio (MDIX) automática y no detecta la polaridad del cable automáticamente.
- Un dispositivo XTM 2 puede tardar hasta 5 minutos en reiniciarse.
- Cuando usa las funciones Policy Manager >Archivo >Copia de seguridad o Restablecer , el proceso puede tardar mucho tiempo pero se completa con éxito. [35450]
- Amazon Web Services (AWS) requiere el uso de BGP mediante un túnel IPSec. Las operaciones descritas por Amazon.com para admitir los Amazon Web Services no son admitidas actualmente por los productos WatchGuard. [41534]
WatchGuard System Manager
- Puede haber problemas cuando se agrega, actualiza o elimina una instalación de servidor del WatchGuard Server Center si WatchGuard System Manager está instalado en una computadora con Windows 7 que tiene el Modo de compatibilidad con XP activado. [56355]
Workaround
Asegúrese de que el modo de compatibilidad con Windows XP no está activado en el archivo ejecutable WSM v11.x. Para verificar, ubique el archivo wsm.exe en Windows Explorer. Haga clic derecho sobre el archivo ejecutable, seleccione Propiedades y haga clic en la pestaña Compatibilidad.
- Es posible que los dispositivos Firebox de administración remota que se configuran en Modo Drop-In no puedan conectarse a Management Server que está detrás de un Firebox de puerta de enlace también configurado en Modo Drop-In. [33056]
- Si restaura una imagen de respaldo a un dispositivo del cliente administrado por un Management Server, es posible que el secreto compartido se desincronice.
Workaround
Conéctese a Management Server desde WSM. Seleccione el dispositivo administrado y luego Actualizar dispositivo. Seleccione el botón de radio Reiniciar la configuración del servidor (dirección IP/nombre de host, secreto compartido ).
- No puede desinstalar WatchGuard System Manager con éxito cuando el WatchGuard Server Center está funcionando en una computadora que utiliza Windows Vista de 64 bits. [39078]
Workaround
Salga del WatchGuard Server Center antes de comenzar a desinstalar WSM. Luego puede desinstalar WatchGuard System Manager con éxito.
- Cuando ejecuta el instalador de WSM v11.3.x o v11.4.x (ya sea únicamente el componente del cliente WSM o cualquier componente seleccionado del servidor WSM) en Microsoft SBS (Small Business Server) 2008 y 2011 en una computadora que tiene instalado un sistema operativo de 64 bits, verá un error de Microsoft Windows "IssProc.x64 ha dejado de funcionar". Cuando cierre el cuadro de diálogo del error, la instalación se completará. [57133]
Web UI
- La Fireware XTM Web UI no admite la configuración de algunas funciones. Estas funciones incluyen:
- FireCluster
- Exportación de certificados
- No puede activar o desactivar la notificación de eventos de BOVPN.
- No puede agregar o quitar entradas de ARP estáticas en la tabla ARP del dispositivo.
- No puede obtener el perfil de configuración de usuario final de Mobile VPN with IPSec cifrado, conocido como el archivo .wgx. La Web UI genera sólo una versión de texto simple del perfil de configuración de usuario final, con extensión de archivo .ini.
- No puede editar el nombre de una política, usar una dirección personalizada en una política ni usar el nombre de host (búsqueda de DNS) para agregar una dirección IP a una política.
- Si configura una política en la Web UI con un estado de Desactivado, luego abra Policy Manager y realice un cambio en la misma política, la acción asignada a la política cuando niega paquetes cambia a Enviar TCP RST. [34118]
- Si utiliza la Web UI para editar una política de proxy existente que tiene configuraciones de alarmas activadas, éstas pueden desactivarse cuando guarda su configuración. [38585]
- No puede crear archivos de configuración de Mobile VPN with IPSec de solo lectura con la Web UI. [39176]
WatchGuard Server Center
- Si tiene WatchGuard Server Center abierto cuando está desinstalando WSM, verá varios mensajes de advertencia para cerrar la aplicación, en lugar de una sola advertencia. [36901]
Command Line Interface (CLI)
- La CLI no admite la configuración de algunas funciones:
- No puede agregar o editar una acción de proxy.
- No puede obtener el perfil de configuración de usuario final de Mobile VPN with IPSec cifrado, conocido como el archivo .wgx. La CLI genera sólo una versión de texto simple del perfil de configuración de usuario final, con extensión de archivo .ini.
- La CLI realiza una validación mínima de entrada para varios comandos.
Servidores proxy
- No puede utilizar la función de caché de Internet HTTP con el proxy HTTPS. [42577]
- Cuando configura una política de proxy para utilizar una acción de administración de tráfico para limitar el ancho de banda en la interfaz de confianza, la limitación configurada no se aplica. [59912]
- La capacidad para utilizar un servidor proxy HTTP de caché no está disponible en conjunto con el proxy TCP-UDP. [44260]
- No puede realizar una llamada basada en SIP desde un softphone Polycom PVX detrás de un Firebox a un Polycom PVX en la red externa. [38567]
Workaround
Puede usar el protocolo H.323 en lugar del SIP.
- Cuando intenta transmitir videos de YouTube de un dispositivo Apple que funciona con iOS, puede ver este mensaje de error: "El servidor no está configurado correctamente".
Workaround
1. Edite su política de proxy HTTP.
2. Haga clic en Ver/Editar proxy.
3. Seleccionar el Permitir solicitudes de rango a través de la casilla de selecciónno modificada.
4. Guarde este cambio en su dispositivo XTM.
- El SIP-ALG no envía el encabezado de contacto correctamente cuando éste contiene un nombre de dominio. Sólo envía una cadena vacía de: Contacto: < >. Si el encabezado de contacto contiene una dirección IP, el SIP-ALG envía el encabezado de contacto correctamente: Contacto: <sip:10.1.1.2:5060>. [59622]
Workaround
Configure el PBX para enviar el encabezado de contacto con una dirección IP, no un nombre de dominio.
Suscripciones de Seguridad
- Alguna información de firmas IPS, como el número de CVE, no está disponible en Firebox System Manager. Proporcionamos capacidades de búsqueda e información CVE para firmas IPS en un portal de seguridad web para IPS en el sitio web de WatchGuard, al cual puede acceder en http://www.watchguard.com/SecurityPortal/ThreatDB.aspx
- No se proporcionan notificaciones a los usuarios que intentan acceder a contenido bloqueado por el IPS. [59305]
- La función Application Blocker fue retirada del producto y reemplazada con el servicio Application Control, que es mucho más resistente. Si tenía el Application Blocker activado en una configuración anterior de Fireware XTM v11.x, ningún ajuste de la configuración pasará al Fireware XTM v11.4.
- Puede configurar una acción de Application Control para que bloquee todas las aplicaciones en una categoría, utilizando la tecla shift para seleccionar todas las aplicaciones que actualmente se encuentran en la categoría. Las firmas del Application Control se actualizan con frecuencia. Si después se agregan aplicaciones nuevas a la categoría, estas aplicaciones nuevas no son bloqueadas automáticamente por el Application Control. [59039]
- No se proporciona ninguna notificación a los usuarios que intentan acceder a una aplicación o a una función de una aplicación que está bloqueada por Application Control. Por ejemplo, si un usuario intenta utilizar una aplicación web bloqueada, la aplicación no se cargará y el usuario sólo verá un mensaje que indica que la página web no pudo cargarse. [59305]
- La cantidad de aplicaciones admitidas por Application Control en un dispositivo WatchGuard XTM 2 Series es aproximadamente de 300, lo que resulta más pequeño que el conjunto completo de aplicaciones admitidas por otros dispositivos XTM.
- La cantidad de firmas IPS incluidas en el XTM 2 Series es menor a la cantidad de los dispositivos XTM 5 y 8 Series, o del XTM 1050. Sólo las firmas clasificadas en los niveles crítico y elevado están disponibles en el XTM 2 Series.
- La detección de Skype bloquea sólo las nuevas sesiones de Skype. Si un usuario ya inició sesión en Skype y tiene una sesión de Skype iniciada cuando se activa Application Control, es posible que Application Control no detecte la actividad.
- En los dispositivos XTM 2 Series únicamente, Application Control se desactiva de manera temporaria durante una actualización, una copia de respaldo o una restauración. Cuando la operación se completa, Application Control comienza a funcionar nuevamente.
- No se puede asignar un rol para la administración de Application Control desde la función de administración basada en roles de WatchGuard System Manager. [59204]
- No se puede utilizar un WebBlocker Server a través de un túnel VPN para sucursales. [56319]
Redes
- Después de realizar la actualización a Fireware XTM v11.4, el dispositivo XTM ya no reenvía correctamente las consultas de DNS. [59664]
- No se pueden configurar las acciones de administración de tráfico ni utilizar el marcado QoS en VLAN. [56971, 42093]
- No puede conectar una interfaz inalámbrica a una interfaz VLAN. [41977]
- El Web Setup Wizard puede fallar si su computadora se conecta directamente a un dispositivo XTM 2 Series como un cliente de Protocolo de configuración dinámica de host (DHCP) cuando inicia el Web Setup Wizard. Esto puede ocurrir porque la computadora no puede obtener una dirección IP lo suficientemente rápido después de que el dispositivo se reinicia durante el asistente. [42550]
Workaround
1. Si su computadora se conecta directamente al dispositivo XTM 2 Series durante el Web Setup Wizard, use una dirección IP estática en su computadora.
2. Use un interruptor o concentrador entre su computadora y el dispositivo XTM 2 Series cuando ejecute el Web Setup Wizard.
- Cuando se configura una secondary network para un dispositivo XTM 2 Series configurado en Modo Drop-In, a veces puede requerir unos minutos que las computadoras que se conectan a la secondary network aparezcan en la lista de ARP del XTM 2 Series. [42731]
- Después de activar la lista de control de acceso MAC o agregar una nueva dirección MAC, debe reiniciar su dispositivo XTM antes de que el cambio entre en vigencia. [39987]
- Debe asegurarse de que las interfaces de red desactivadas no tengan la misma dirección IP que alguna interfaz de red activa o pueden presentarse problemas de enrutamiento. [37807]
- Si activa el enlace de la dirección MAC/IP con la casilla de selección Sólo permitir tráfico enviado desde o hacia estas direcciones MAC/IP, no agregue entradas en la tabla, la función de enlace de MAC/IP no se activa. Esto es para ayudar a garantizar que los administradores no se bloqueen de forma accidental desde su propio dispositivo XTM. [36934]
- Las interfaces de red que forman parte de una configuración de bridge se desconectan y vuelven a conectarse automáticamente cuando guarda una configuración de una computadora en la red en bridge que incluye cambios de configuración a una interfaz de red. [39474]
- Cuando cambia la dirección IP de una VLAN configurada en una interfaz externa de estática a PPPoE, y el Firebox no puede obtener una dirección PPPoE, Firebox System Manager y la Web UI pueden continuar mostrando la dirección IP estática anteriormente utilizada. [39374]
- Cuando configura su dispositivo XTM con una configuración de Modo de Enrutamiento Combinado, cualquier interfaz hacia la cual se establece el bridge muestra su interfaz y gateway IP address predeterminada como 0.0.0.0 en la Web UI. [39389]
- Cuando configura su dispositivo XTM en Modo Bridge, la pantalla de LCD de su dispositivo XTM muestra la dirección IP de las interfaces con bridge como 0.0.0.0. [39324]
- Cuando configura su dispositivo XTM en Modo Bridge, la función de redirección HTTP se puede configurar desde la interfaz de usuario, pero no funciona en este lanzamiento. [38870]
- El enlace de direcciones MAC/IP estáticas no funciona cuando su dispositivo XTM está configurado en Modo Bridge. [36900]
- Cuando su dispositivo XTM está configurado para utilizar el Modo Bridge, la interfaz física del dispositivo XTM no aparece correctamente en los mensajes de registro. En lugar de eso, la interfaz está representada como tbrX. [36783]
- Cuando cambia su modo configuración de enrutamiento combinado a bridge o de bridge a enrutamiento combinado, la CLI y Web UI pueden continuar mostrando el modo de configuración anterior. [38896]
- El enrutamiento dinámico de RIPv1 no funciona. [40880]
- Cuando una dirección IP se agrega a la lista de sitios bloqueados temporalmente por el administrador a través de la pestaña Firebox System Manager >Sitios bloqueados, el tiempo de caducidad se restablece constantemente cuando se recibe tráfico desde la dirección IP. [42089]
WAN múltiple
- Cuando activa la opción Failback inmediata de redes de área extensa (WAN) múltiples en relación con Failover de WAN, cierto tráfico puede desplazarse a causa del error de forma gradual. [42363]
- Cuando activa las redes de área extensa (WAN) múltiples en modo de operación por turnos, no puede utilizar la opción de Servidor de Caché Proxy HTTP. [57561]
Autenticación
- Si utiliza la autenticación de Terminal Service, debe reiniciar su servidor después de instalar el software TO_AGENT.
- Si utiliza la autenticación de Terminal Services, no se verifica la autenticación contra el tráfico de ningún protocolo que no sea TCP o UDP. Esto incluye al tráfico DNS, NetBIOS y ICMP.
- El soporte de autenticación de Terminal Services no funciona con Inicio de Sesión Único.
- No se puede utilizar la opción Redirigir automáticamente a los usuarios a la página de autenticación para su autenticación junto con la autenticación de Terminal Services.
- Para habilitar su dispositivo XTM para que procese correctamente el tráfico relacionado proveniente del servidor Terminal o Citrix, el Agente de Terminal Services utiliza una cuenta de usuario especial denominada Backend-Service. Debido a esto, es posible que deba agregar políticas para permitir el tráfico desde esta cuenta de usuario a través de su dispositivo XTM. Puede obtener más información sobre cómo funciona Backend-Service en el sistema de ayuda del producto.
- Para que la función de Redireccionamiento de Autenticación funcione correctamente, no se puede permitir el tráfico HTTP o HTTPS a través de una política saliente basada en direcciones IP o alias que contengan direcciones IP. La función de Redireccionamiento de Autenticación funciona solamente cuando las políticas para los puertos 80 y 443 se configuran para la autenticación de usuario y grupo de usuarios. [37241]
Centralized Management
- Si utilizó Centralized Management con dispositivos suscritos a plantillas en versiones anteriores de WSM, cuando realice la actualización de WSM 11.x a v11.4, estas plantillas serán actualizadas y los dispositivos ya no estarán suscritos a ellas. Cada dispositivo mantiene la configuración de su plantilla. Las plantillas existentes son actualizadas para utilizar “T_” en sus nombres objetivos (para coincidir con los nombres objetivos de los dispositivos que solían suscribirse a ellas). Después de realizar la actualización, verá la actualización de plantilla que ocurre durante la actualización en sus antecedentes de revisión.
- Cuando se aplica una plantilla XTM a un dispositivo administrado, el Management Server crea una nueva revisión de la configuración para el dispositivo sólo si la nueva revisión va a ser diferente de la revisión actual. Además, tampoco hay comentarios acerca del motivo por el cual no se creó una nueva revisión de la configuración. [57934]
FireCluster
- Es posible que un FireCluster no se forme si cualquiera de los dispositivos del cluster está configurado en estado de espera. [59524]
Workaround
Conéctese directamente a sus dispositivos XTM y verifique que el cluster esté activado. Si el cluster está desactivado, conéctese directamente a su dispositivo XTM con el Policy Manager y cargue la configuración del cluster en su dispositivo. Cuando el cluster esté activado, conéctese directamente a él con el Firebox System Manager con su dirección IP de administración y utilice el comando Cluster >Herramientas >Unir. Esto puede hacer que el dispositivo se reinicie.
- Si el enlace monitoreado falla en los dos miembros de FireCluster, el miembro no maestro se cambia al modo pasivo y en consecuencia no procesa ningún tráfico. La conmutación por error de WAN múltiple provocada por una conexión con fallas hacia un host de monitor de enlace no desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde. 
- Cada dispositivo XTM tiene un conjunto de direcciones IP predeterminadas asignado a las interfaces del dispositivo en el rango 10.0.0.1—10.0.11.1. La dirección IP predeterminada más elevada depende de la cantidad de interfaces. Si configura la dirección IP de la interfaz del cluster Principal o De respaldo como una de las direcciones IP predeterminadas, ambos dispositivos se reinician y el maestro de respaldo queda inactivo. [57663]
Workaround
No utilice ninguna de las direcciones IP predeterminadas como la dirección IP de interfaz del cluster Principal o De respaldo.
- Cuando tiene un FireCluster activo/activo y utiliza la función de cancelación de WebBlocker, se le puede solicitar que ingrese su contraseña de cancelación dos veces. [39263]
- Cada interfaz de red activada en un FireCluster está monitoreada automáticamente por FireCluster. Debe asegurarse de que todas las interfaces activadas estén físicamente conectadas a un dispositivo de red.
- Si utiliza conmutadores HP ProCurve, no puede configurar su FireCluster en modo activo/activo dado que estos conmutadores no respaldan la adición de entradas de ARP estáticas. [41396]
- Si utiliza el cliente Mobile VPN with IPSec para la misma red que la dirección de red externa configurada en su FireCluster, es posible que algo de tráfico no pase por el túnel VPN. [38672]
- Los usuarios de Mobile VPN with PPTP no aparecen en Firebox System Manager cuando está conectado a un miembro FireCluster pasivo. PPTP sólo está conectado a Firebox activo cuando utiliza un FireCluster activo/pasivo. [36467]
- El FireCluster no admite el enrutamiento dinámico. [39442]
Generación de registros y presentación de informes
- Las nuevas opciones de programación de informes flexibles cambian la forma en la cual los grupos están representados en la interfaz del usuario de informes. Si tiene grupos configurados en su Servidor de Reportes en WSM v11.0 - 11.3, cuando realice la actualización a WSM v11.4, cada grupo existente será convertido y aparecerá como una Tarea Programada en la interfaz del usuario de su Servidor de Reportes. En esta conversión no se pierde información.
- Cualquier "Informe archivado" que tenga configurado como diario o semanal en su configuración de v11.3 se convertirá automáticamente en un informe programado después de que realice la actualización a WSM v11.4.
- Cuando desinstale un WatchGuard Log Server existente y luego instale el software de WatchGuard System Manager v11.4 y también instale el Log Server, es posible que vea un error: "Error: C:\Program Files\Common Files\WatchGuard\wsm11\lib\nls\en_US\logging_res.logOcurrió un error cuando se intentaba reemplazar el archivo existente: Falló la eliminación del archivo; código 5 Se niega el acceso."
Workaround
Abra el Organizador de Tareas de Windows y elimine el proceso. Desde el diálogo de instalación de WatchGuard System Manager, haga clic en Volver a intentar. La instalación debería continuar con éxito. Es posible que más adelante deba iniciar manualmente C:\WINDOWS\system32\wbem\wmiprvse.exe.
- LogViewer puede responder con mucha lentitud cuando utiliza la función de búsqueda contra una base de datos de registro muy grande.
- No puede usar Report Server v11.x con Log Server v10.x. Debe actualizar los dos servidores de presentación de informes para trabajar correctamente. Sin embargo, puede utilizar Report Manager v11.x con Servidor de Reportes v10.x.
- LogViewer siempre genera archivos PDF en inglés, sin importar el idioma que está viendo en LogViewer. Además, es posible que los caracteres Unicode que no pueden mostrarse en la fuente predeterminada no puedan aparecer correctamente en el PDF. [41244]
Perfil del usuario
- Una sesión continua de FTP a través de una conexión de Mobile VPN with IPSec podría finalizarse si se produce una regeneración de clave IPSec durante la transferencia de FTP. [32769]
Workaround
Incremente el conteo de bytes de la regeneración de clave.
- Cuando utiliza la Web UI o la CLI para configurar perfiles del usuario de Mobile VPN with IPSec, los grupos de usuarios con autenticación extendida pueden mostrarse incorrectamente como grupos de autenticación local de Firebox. [39695]
- Los usuarios que intentan actualizar el cliente de Mobile VPN with SSL desde Fireware XTM v11.2.1 a una versión posterior de Fireware XTM fallarán. La falla no daña la instalación del cliente de la versión v11.2.1. [43970]
Workaround
Para actualizar su cliente Mobile VPN with SSL desde v11.2.1 a v11.3, utilice su explorador web para conectarse a https://<IP address of a Firebox or XTM device>/sslvpn.html. Luego puede descargar e instalar el nuevo software cliente. O bien, descargue el software cliente de la página Descargas de Software y envíelo por correo electrónico a sus usuarios para que lo instalen en sus computadoras.
- Es posible que el cliente de VPN with SSL para Macintosh no pueda conectarse a un Firebox cuando el algoritmo de autenticación esté establecido en SHA 256. [35724]
- Cuando el cliente de VPN con SSL para Macintosh se desconecta o se detiene de forma manual, el cliente desactiva el adaptador inalámbrico AirPort en la Macintosh. [39914]
Branch Office VPN
- Cuando configure su dispositivo XTM en modo WAN múltiple, debe seleccionar las interfaces que desea incluir en su configuración de WAN múltiple. Si hay alguna interfaz que elige no incluir en su configuración de WAN múltiple (es decir, limpia la casilla de selección para esa interfaz), el sistema no crea una ruta para esa red. Esto puede causar un problema si tiene una VPN de sucursal configurada para incluir la misma interfaz. En este caso, es posible que el túnel VPN no logre negociar con este par remoto. [57153]
Workaround
Si utiliza la WAN múltiple y tiene problemas con sus túneles de VPN de sucursal porque éstos no logran negociar con sus pares remotos, debe abrir su configuración de WAN múltiple y seleccionar Configurar en la ubicación adyacente a su modo de configuración de WAN múltiple elegido. Asegúrese de que las interfaces adecuadas estén incluidas en su configuración de WAN múltiple.
- Un túnel VPN de sucursal no pasa el tráfico si existe una política NAT estática entrante que incluye los protocolos IP 50 e IP 51 para la dirección IP externa del dispositivo XTM. [41822]
- Los túneles branch office VPN administrados no pueden establecerse si el punto de distribución de la lista de revocación de certificados (CRL) (por ejemplo, el WatchGuard Management Server o un sitio de distribución de CRL de terceros que utilice) está desconectado. [55946]
- El uso de Cualquiera en una ruta de túnel BOVPN se cambia en Fireware XTM. Si un túnel VPN para sucursales utiliza Cualquiera para la parte Local de una ruta de túnel, Fireware XTM interpreta que esto significa una red 0.0.0.0 y una Subnet Mask 0.0.0.0 (en notación diagonal, 0.0.0.0/0). Si el punto remoto IPSec no envía 0.0.0.0/0 como su identificación de Fase 2, las negociaciones de Fase 2 fallan. [40098]
Workaround
No utilice Cualquiera para la parte Local o la parte Remota de la ruta de túnel. Cambie la parte Local de la ruta de túnel. Ingrese las direcciones IP de computadoras detrás del Firebox que actualmente participan en el enrutamiento del túnel. Comuníquese con el administrador del punto remoto de IPSec para determinar qué utiliza ese dispositivo para la parte Remota de su ruta de túnel (o la parte Remota de su identificación de Fase 2).
- Si tiene una gran cantidad de túneles VPN para sucursales en la configuración, los túneles pueden requerir bastante tiempo para aparecer en Policy Manager. [35919]
- Cuando establece la caducidad de la SA de Fase 2 en cero al configurar los valores de caducidad y tamaño real en 0, el dispositivo XTM cambia la caducidad de regeneración de clave a 8 horas. [37209]
- En una configuración VPN para sucursales con certificados, el Policy Manager no muestra el nombre X.500 correcto. Para obtener más información y una solución para el problema, consulte la Base de consulta de WatchGuard y busque por número de problema.[39222]
Actualizaciones a la interfaz de programación de aplicaciones de servicios web
Si utiliza la Interfaz de Programación de Aplicaciones de Servicios Web para realizar registros e informes, debe actualizar la versión del esquema para poder utilizar los nuevos tipos de informes disponibles con WSM v11.4 y admitidos por la Interfaz de Programación de Aplicaciones de Servicios Web. Estos nuevos informes incluyen:
- Resumen del Uso de Aplicaciones
- Resumen de Aplicaciones Bloqueadas
- Clientes Principales por Uso de Aplicaciones
- Clientes Principales por Aplicaciones Bloqueadas
- Clientes Principales por Categorías Bloqueadas
- Actividad de Concesión de DHCP
- Resumen del WIDS (Sistema Inalámbrico de Detección de Intrusos)
- Dirección HTTP Más Popular por Bytes
- Cliente HTTP Más Activo por Bytes
Para ser compatible con Fireware XTM v11.4, los clientes de servicios web deben volver a generar el código stub desde el archivo LogsService.wsdl y actualizar cualquier referencia a la versión del esquema en su código de usuario. Por ejemplo, en el código a continuación, debe actualizar "2010/04" a "2010/11".
Ejemplo de uso de código Java en WSM v11.3
javax.xml.namespace.QName qName = new javax.xml.namespace.QName(
"http://www.watchguard.com/schema/xsd/LogsService/2010/04",
"AuthCredentials"
);
Actualizado para el uso de código Java de WSM v11.4
javax.xml.namespace.QName qName = new javax.xml.namespace.QName(
"http://www.watchguard.com/schema/xsd/LogsService/2010/11",
"AuthCredentials"
);
Uso de CLI
La CLI (Command Line Interfaces) de Fireware XTM está totalmente admitida en lanzamientos de v11.x. Para obtener información sobre cómo iniciar y utilizar la CLI, consulte la Guía de referencia de comandos de la CLI, que ha sido actualizada para este lanzamiento. Puede descargar la guía de la CLI desde el sitio web de documentación en http://www.watchguard.com/help/documentation/xtm.asp.Asistencia técnica
Para recibir asistencia técnica, comuníquese con WatchGuard Technical Support por teléfono o en la Web en http://www.watchguard.com/support. Cuando se comunica con el soporte técnico, debe proporcionar el número de serie del producto registrado, la clave de LiveSecurity o la identificación de socio.