Palo Alto Networks® Guía del administrador de PAN-OS Versión 6.0
Información de contacto Sede de la empresa: Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/
Acerca de esta guía Esta guía ofrece los conceptos y soluciones que le ayudarán a sacar el máximo partido de sus cortafuegos de próxima generación de Palo Alto Networks. Para obtener más información, consulte las siguientes fuentes:
Para obtener instrucciones de principio a fin sobre cómo configurar un nuevo cortafuegos, consulte la Palo Alto Networks Getting Started Guide (Guía de inicio de Palo Alto Networks).
Para acceder al conjunto completo de documentación técnica, vaya a http://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos y los foros de debate, vaya a https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia técnica o gestionar su cuenta o los dispositivos, vaya a https://support.paloaltonetworks.com.
Para leer las notas sobre la última versión, vaya la página de actualizaciones de software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentación, diríjase a:
[email protected]
Palo Alto Networks, Inc. www.paloaltonetworks.com © 2014 Palo Alto Networks. Todos los derechos reservados. Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las demás marcas comerciales son propiedad de sus respectivos propietarios. 7 de julio de 2014
Contenido Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 Integración del cortafuegos en su red de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Configuración del acceso a la gestión del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Activación de servicios de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Creación del perímetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Descripción general del perímetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Implementaciones de cortafuegos básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Acerca de la traducción de direcciones de red (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Acerca de las políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Configuración de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Configuración de políticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Configuración de políticas de seguridad básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Habilitación de funciones de prevención de amenazas básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Habilitación de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Exploración del tráfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Prácticas recomendadas para completar la implementación del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 48
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Interfaces de gestión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Uso de la interfaz de línea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Gestión de administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Autenticación administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Creación de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Gestión de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95 ¿Cómo utilizan los dispositivos las claves y los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 ¿Cómo verifican los dispositivos el estado de revocación de certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Lista de revocación de certificados (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Protocolo de estado de certificado en línea (OCSP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 ¿Cómo obtienen los dispositivos los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Configuración de la verificación del estado de revocación de certificados . . . . . . . . . . . . . . . . . . . . . . . . . 101 Configuración de un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de usuarios/dispositivos103
Guía del administrador de PAN-OS
i
Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado SSL/TLS103 Configuración de la clave maestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Obtención de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creación de un certificado de CA raíz autofirmado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Generación de un certificado en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Importación de un certificado y una clave privada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Obtención de un certificado de una CA externa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
107 107 108 109 110
Configuración de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Revocación y renovación de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Revocación de un certificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Renovación de un certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Claves seguras con un módulo de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la conectividad con un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cifrado de una clave maestra utilizando un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Almacenamiento de claves privadas en un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestión de la implementación del HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
117 117 123 124 126
Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Descripción general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activadores de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128 128 129 131 131 132
Configuración de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Directrices de configuración para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de las condiciones de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verificación de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
135 135 136 138 143 144
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Uso del centro de comando de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informe de resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
153 154 154 156 157 158 159 160
Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Supervisión del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Supervisión de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Visualización de datos de logs locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
ii
Guía del administrador de PAN-OS
Reenvío de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Supervisión del cortafuegos mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Gestión de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Acerca de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Visualización de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Deshabilitación de informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Generación de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Generación de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Programación de informes para entrega de correos electrónicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Análisis de la descripción de campos en logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Logs de tráfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Logs de amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Logs de coincidencias HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Logs de configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Logs de sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Gravedad de Syslog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Formato de logs/eventos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Secuencias de escape. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Descripción general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 Acerca de la asignación de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 Acerca de la asignación de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Asignación de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Asignación de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Configuración de la asignación de usuarios mediante el agente de User-ID de Windows . . . . . . . . . 219 Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Configuración de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog . . . . . . 230 Asignación de direcciones IP a nombres de usuario mediante un portal cautivo . . . . . . . . . . . . . . . . 241 Configuración de la asignación de usuarios para usuarios del servidor de terminal . . . . . . . . . . . . . . 246 Envío de asignaciones de usuarios a User-ID mediante la API XML . . . . . . . . . . . . . . . . . . . . . . . . . 254 Configuración de un cortafuegos para compartir datos de asignación de usuarios con otros cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Habilitación de política basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Verificación de la configuración de User-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 ¿Qué es App-ID? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 ¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Prácticas recomendadas para utilizar App-ID en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Aplicaciones con compatibilidad implícita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Acerca de las puertas de enlace de nivel de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Guía del administrador de PAN-OS
iii
Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 274
Prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Concesión de licencias para la prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Acerca de las licencias de prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Obtención e instalación de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Acerca de los perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 Configuración de políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de antivirus, antispyware y protección contra vulnerabilidades. . . . . . . . . . . . . . . . . . Configuración de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
282 282 284 288
Prevención de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 ¿Cómo se activa una firma para un ataque de fuerza bruta? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Personalización de la acción y las condiciones de activación para una firma de fuerza bruta . . . . . . 293 Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 . . . . . . . . . . . . . . . . . . . . 296 Infraestructura de Content Delivery Network para actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . 298
Descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Descripción general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Políticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Proxy SSL de reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Inspección de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Excepciones de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
302 303 304 305 306 307 308
Configuración del proxy SSL de reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Configuración de la inspección de entrada SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Configuración del Proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Configuración de excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Exclusión de tráfico del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Exclusión de un servidor del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Configuración del reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Descripción general del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Cómo funciona el filtrado de URL?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Interacción entre App-ID y categorías de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Control de URL basado en categoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Cómo se utilizan las categorías de URL como criterios de coincidencia en las políticas?. . . . . . . . .
322 322 323 323 324 327
Componentes y flujo de trabajo de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Componentes de categorización de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Flujo de trabajo de categorización de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 Configuración de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 Habilitación del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
iv
Guía del administrador de PAN-OS
Determinación de los requisitos de la política de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 Definición de controles del sitio web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Ejemplos de casos de uso del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Caso de uso: control de acceso web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Caso de uso: uso de categorías de URL en la política . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 Solución de problemas del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 Problemas en la activación de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 Problemas de conectividad con la nube de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 URL clasificadas como no resueltas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Categorización incorrecta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 Base de datos de URL vencida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Descripción general de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 Implementación de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 Conceptos de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 Configuración de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 Configuración de QoS para un sistema virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 Ejemplos de casos de uso de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 QoS para un único usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 QoS para aplicaciones de voz y vídeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385 Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 Descripción general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Configuración de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Configuración de una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Definición de perfiles criptográficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 Configuración de un túnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Configuración de la supervisión de túnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Prueba de conectividad VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Interpretación de mensajes de error de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Configuraciones rápidas de VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 VPN de sitio a sitio con rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 VPN de sitio a sitio con OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 Componentes de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Creación de interfaces y zonas para la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 Habilitación de SSL entre componentes de LSVPN de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 Acerca de la implementación de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect . . . . 427
Guía del administrador de PAN-OS
v
Configuración del portal para autenticar satélites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Configuración de puertas de enlace de GlobalProtect para LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 Configuración de la puerta de enlace. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 Configuración del portal de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración del portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de las configuraciones de satélites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
438 438 439 440
Preparación del dispositivo satélite para unirse a la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 Verificación de la configuración de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 Configuraciones rápidas de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447 Configuración básica de LSVPN con rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 Configuración avanzada de LSVPN con enrutamiento dinámico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 Implementaciones de cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
456 456 459 460 461
Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 Configuración de rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 Configuración de RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 Configuración de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conceptos de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de OSPFv3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración del reinicio correcto de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Confirmación del funcionamiento de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
468 468 470 475 479 480
Configuración de BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
vi
Guía del administrador de PAN-OS
Primeros pasos Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos de próxima generación de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red y configurar políticas de seguridad básicas y funciones de prevención de amenazas. Después de realizar los pasos de configuración básicos necesarios para integrar el cortafuegos en su red, puede utilizar el resto de los temas de esta guía como ayuda para implementar las completas funciones de la plataforma de seguridad empresarial según sea necesario para cubrir sus necesidades de seguridad de red.
Integración del cortafuegos en su red de gestión
Creación del perímetro de seguridad
Habilitación de funciones de prevención de amenazas básicas
Prácticas recomendadas para completar la implementación del cortafuegos
Primeros pasos
1
Integración del cortafuegos en su red de gestión
Primeros pasos
Integración del cortafuegos en su red de gestión Los siguientes temas describen cómo realizar los pasos de la configuración inicial necesarios para integrar un nuevo cortafuegos en la red de gestión e implementarlo con una configuración de seguridad básica. Los siguientes temas describen cómo integrar un único cortafuegos de próxima generación de Palo Alto Networks en su red. Si desea información detallada sobre cómo implementar un par de cortafuegos en una configuración de alta disponibilidad, lea la información de la documentación de HA antes de continuar.
Configuración del acceso a la gestión del cortafuegos
Activación de servicios de cortafuegos
Configuración del acceso a la gestión del cortafuegos Todos los cortafuegos de Palo Alto Networks incluyen un puerto de gestión externo (MGT) que puede usar para llevar a cabo las funciones de administración del cortafuegos. Al usar el puerto de gestión, está separando las funciones de gestión del cortafuegos de las funciones de procesamiento de datos, de modo que protege el acceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas las tareas de configuración inicial desde el puerto de gestión, incluso aunque pretenda usar un puerto interno para gestionar su dispositivo más adelante. Algunas tareas de gestión, como la recuperación de licencias, la actualización de amenazas y las firmas de las aplicaciones en el cortafuegos requieren acceso a Internet. Si no desea activar el acceso externo a su puerto de gestión, deberá establecer un puerto de datos para permitir el acceso a los servicios externos requeridos o plantearse cargar manualmente actualizaciones de forma regular. Las siguientes secciones contienen instrucciones para establecer el acceso de gestión al cortafuegos:
Determinación de la estrategia de gestión
Realización de la configuración inicial
Establecimiento de acceso a la red para servicios externos
Determinación de la estrategia de gestión El cortafuegos Palo Alto Networks puede configurarse y gestionarse de forma local o gestionarse de forma central usando Panorama, el sistema de gestión de seguridad centralizado de Palo Alto Networks. Si tiene seis o más cortafuegos implementados en su red, use Panorama para obtener estas ventajas:
Reducir la complejidad y la carga administrativa en la configuración de la gestión, políticas, software y cargas de contenido dinámico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionar eficazmente la configuración específica de los dispositivos en un dispositivo e introducir las políticas compartidas en todos los dispositivos o grupos de dispositivos.
Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el tráfico de su red. El Centro de comando de aplicación (ACC) de Panorama ofrece un panel de pantalla única para unificar informes de todos los cortafuegos que le permiten realizar análisis, investigaciones e informes de forma central sobre el tráfico de red, los incidentes de seguridad y las modificaciones administrativas.
2
Primeros pasos
Primeros pasos
Integración del cortafuegos en su red de gestión
Los procedimientos de este documento describen cómo gestionar el cortafuegos usando la interfaz web local. Si quiere utilizar Panorama para la gestión centralizada, cuando haya completado las instrucciones de la sección Realización de la configuración inicial de esta guía, verifique que el cortafuegos puede establecer una conexión con Panorama. Desde ese momento, podrá utilizar Panorama para configurar su cortafuegos de forma central.
Realización de la configuración inicial De forma predeterminada, la dirección IP del cortafuegos es 192.168.1.1 y el nombre de usuario/contraseña es admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de configuración del cortafuegos. Debe realizar estas tareas de configuración inicial desde la interfaz de gestión (MGT), aunque no pretenda usar esta interfaz para la gestión de su cortafuegos, o usar una conexión de serie directa al puerto de la consola del dispositivo. Configuración del acceso de red al cortafuegos
Paso 1
Obtenga la información necesaria de su administrador de red.
• Dirección IP para el puerto MGT • Máscara de red • Puerta de enlace predeterminada • Dirección de servidor DNS
Paso 2
Conecte su ordenador al cortafuegos.
Puede conectarse al cortafuegos de uno de estos modos: • Conecte un cable serie desde su ordenador al puerto de la consola y conecte con el cortafuegos usando el software de emulación de terminal (9600-8-N-1). Espere unos minutos hasta que se complete la secuencia de arranque; cuando el dispositivo esté listo, el mensaje cambiará al nombre del cortafuegos, por ejemplo PA-500 login. • Conecte un cable Ethernet RJ-45 desde su ordenador hasta el puerto de gestión del cortafuegos. Use un navegador para ir a https://192.168.1.1. Tenga en cuenta que tal vez deba cambiar la dirección IP de su ordenador a una dirección de la red 192.168.1.0, como 192.168.1.2, para acceder a esta URL.
Paso 3
Cuando se le indique, inicie sesión en el cortafuegos.
Primeros pasos
Debe iniciar sesión usando el nombre de usuario y contraseña predeterminados (admin/admin). El cortafuegos comenzará a inicializarse.
3
Integración del cortafuegos en su red de gestión
Primeros pasos
Configuración del acceso de red al cortafuegos (Continuación)
Paso 4
Configure la interfaz de gestión.
1.
Seleccione Dispositivo > Configuración > Gestión y, a continuación, haga clic en el icono Editar de la sección Configuración de interfaz de gestión de la pantalla. Introduzca la dirección IP, máscara de red y puerta de enlace predeterminada.
2.
Fije la velocidad en negociación automática.
3.
Seleccione los servicios de gestión que permitirá en la interfaz. Práctica recomendada: Asegúrese de que ni Telnet ni HTTP estén seleccionados, ya que estos servicios usan texto sin formato y no son tan seguros como los otros servicios.
Paso 5
(Opcional) Configure los ajustes generales del cortafuegos.
4.
Haga clic en ACEPTAR.
1.
Seleccione Dispositivo > Configuración > Gestión y haga clic en el icono Editar de la sección Configuración general de la pantalla.
2.
Introduzca un nombre de host para el cortafuegos y el nombre de dominio de su red. El nombre de dominio tan solo es una etiqueta, no se usará para unirse al dominio.
3.
Introduzca la Latitud y Longitud para permitir la colocación precisa del cortafuegos en el mapamundi.
4.
Haga clic en ACEPTAR.
Paso 6
Configure los ajustes de DNS, hora y fecha.
1.
Seleccione Dispositivo > Configuración > Servicios y haga clic en el icono Editar de la sección Servicios de la pantalla.
Nota
Debe configurar manualmente al menos 2. un servidor DNS en el cortafuegos o no podrá resolver los nombres de host; no 3. usará configuraciones del servidor DNS de otra fuente, como un ISP.
Introduzca la dirección IP de su Servidor DNS principal y, de manera opcional, de su Servidor DNS secundario.
4. Paso 7
Paso 8 Nota
4
Establezca una contraseña segura para la 1. cuenta de administrador. 2.
Para usar el clúster virtual de servidores horarios de Internet, introduzca el nombre de host pool.ntp.org como servidor NTP principal o añada la dirección IP de su servidor NTP principal y, de manera opcional, su servidor NTP secundario. Haga clic en Aceptar para guardar la configuración. Seleccione Dispositivo > Administradores. Seleccione la función admin.
3.
Introduzca la contraseña predeterminada actual y la nueva contraseña.
4.
Haga clic en Aceptar para guardar la configuración.
Compile los cambios.
Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios. Al guardar los cambios de configuración, perderá la conexión con la interfaz web, ya que la dirección IP habrá cambiado.
Primeros pasos
Primeros pasos
Integración del cortafuegos en su red de gestión
Configuración del acceso de red al cortafuegos (Continuación)
Paso 9
Conecte el cortafuegos a su red.
1.
Desconecte el cortafuegos de su ordenador.
2.
Conecte el puerto de gestión a un puerto de conmutador en su red de gestión usando un cable Ethernet RJ-45. Asegúrese de que el puerto de conmutación que conecta al cortafuegos mediante un cable está configurado para negociación automática.
Paso 10 Abra una sesión de gestión SSH en el cortafuegos.
Usando un software de emulación de terminal, como PuTTY, inicie una sesión SSH en el cortafuegos usando la nueva dirección IP que le ha asignado.
Paso 11 Verifique el acceso a la red para los servicios externos requeridos para la gestión del cortafuegos, como el servidor de actualizaciones de Palo Alto Networks, de uno de estos modos: • Si no desea permitir que una red externa acceda a la interfaz de gestión, tendrá que configurar un puerto de datos para recuperar las actualizaciones de servicio requeridas. Vaya a Establecimiento de acceso a la red para servicios externos. • Si va a permitir que una red externa acceda a la interfaz de gestión, compruebe que tiene conexión y vaya a Activación de servicios de cortafuegos.
Si ha conectado el puerto de gestión con un cable para tener acceso desde una red externa, compruebe que tiene acceso al cortafuegos y desde el mismo usando la utilidad ping de la CLI. Asegúrese de que tiene conexión a la puerta de enlace predeterminada, servidor DNS y el servidor de actualización de Palo Alto Networks como se muestra en el siguiente ejemplo: admin@PA-200> ping host updates.paloaltonetworks.com PING updates.paloaltonetworks.com (67.192.236.252) 56(84) bytes of data. 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms
Nota
Cuando haya comprobado la conectividad, pulse Ctrl+C para detener los pings.
Establecimiento de acceso a la red para servicios externos De manera predeterminada, el cortafuegos usa la interfaz de gestión para acceder a servicios remotos, como servidores DNS, actualizaciones de contenido y recuperación de licencias. Si no quiere activar el acceso de una red externa a su red de gestión, debe establecer un puerto de datos para ofrecer acceso a aquellos servicios externos requeridos. Para esta tarea debe estar familiarizado con zonas, políticas e interfaces de cortafuegos. Si desea más información sobre estos temas, consulte Creación del perímetro de seguridad.
Establecimiento de un puerto de datos para acceder a servicios externos
Paso 1
La interfaz que use necesitará una dirección IP estática. Decida el puerto que desea usar para acceder a servicios externos y conéctelo al puerto del conmutador o al puerto del enrutador.
Primeros pasos
5
Integración del cortafuegos en su red de gestión
Primeros pasos
Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)
Paso 2
Inicie sesión en la interfaz web.
Si usa una conexión segura (https) desde su navegador web, inicie sesión usando la nueva dirección IP y contraseña que asignó durante la configuración inicial (https://
). Verá un advertencia de certificación; es normal. Vaya a la página web.
Paso 3
(Opcional) El cortafuegos viene preconfigurado con una interfaz de cable virtual predeterminada entre los puertos Ethernet 1/1 y Ethernet 1/2 (y sus correspondientes zonas y políticas de seguridad predeterminadas). Si no pretende usar esta configuración de cable virtual, debe eliminar manualmente la configuración para evitar que interfiera con otras configuraciones de interfaz que defina.
Debe eliminar la configuración en el siguiente orden: 1. Para eliminar la política de seguridad predeterminada, seleccione Políticas > Seguridad, seleccione la regla y haga clic en Eliminar.
Paso 4
Configure la interfaz.
2.
A continuación, elimine el cable virtual predeterminado seleccionando Red > Cables virtuales, seleccionando el cable virtual y haciendo clic en Eliminar.
3.
Para eliminar las zonas fiables y no fiables predeterminadas, seleccione Red > Zonas, seleccione cada zona y haga clic en Eliminar.
4.
Por último, elimine las configuraciones de interfaz seleccionando Red > Interfaces y, a continuación, seleccione cada interfaz (ethernet1/1 y ethernet1/2) y haga clic en Eliminar.
5.
Confirme los cambios.
1.
Seleccione Red > Interfaces y seleccione la interfaz que corresponde al puerto en el que conectó el cable en el paso 1.
2.
Seleccione el Tipo de interfaz. Aunque su decisión aquí depende de la topología de su red, este ejemplo muestra los pasos para Capa 3.
3.
En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad y seleccione Nueva zona.
4.
En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo L3-fiable, y haga clic en Aceptar.
5.
Seleccione la pestaña IPv4, seleccione el botón de opción Estático, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 192.168.1.254/24.
6
6.
Seleccione Avanzada > Otra información, amplíe el menú desplegable Perfil de gestión y seleccione Nuevo perfil de gestión.
7.
Introduzca un Nombre para el perfil, como permitir_ping, y seleccione a continuación los servicios que desea permitir en la interfaz. Estos servicios ofrecen acceso a la gestión del dispositivo, así que seleccione solo los servicios que correspondan a actividades de gestión que desee permitir en esta interfaz. Por ejemplo, si desea utilizar la interfaz de gestión para las tareas de configuración del dispositivo a través de la interfaz web o CLI, no debería activar HTTP, HTTPS, SSH o Telnet para poder evitar el acceso no autorizado a través de esta interfaz. Para permitir el acceso a los servicios externos, probablemente solo tenga que activar Ping y después hacer clic en Aceptar.
8.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
Primeros pasos
Primeros pasos
Integración del cortafuegos en su red de gestión
Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)
Paso 5
Dado que el cortafuegos usa la interfaz de 1. Seleccione Dispositivo > Configuración > Servicios > Configuración de ruta de servicios. gestión de manera predeterminada para acceder a los servicios externos que necesita, debe cambiar la interfaz que usa el cortafuegos para enviar estas solicitudes editando las rutas de servicios. Nota Para activar sus licencias y obtener el contenido y las actualizaciones de software más recientes, debe cambiar la ruta de servicios de DNS, Actualizaciones de Palo Alto, Actualizaciones de URL y WildFire. 2.
Haga clic en el botón de opción Personalizar y seleccione una de las siguientes opciones: • En un servicio predefinido, seleccione IPv4 o IPv6 y haga clic en el enlace del servicio para el que quiera modificar la interfaz de origen y seleccione la interfaz que acaba de configurar. Si se configura más de una dirección IP para la interfaz seleccionada, el menú desplegable Dirección de origen le permite seleccionar una dirección IP. • Para crear una ruta de servicio para un destino personalizado, seleccione Destino y haga clic en Añadir. Introduzca un nombre de destino y seleccione una interfaz de origen. Si se configura más de una dirección IP para la interfaz seleccionada, el menú desplegable Dirección de origen le permite seleccionar una dirección IP.
Primeros pasos
3.
Haga clic en ACEPTAR para guardar la configuración.
4.
Repita los pasos del 2 al 3 indicados anteriormente para cada ruta de servicio que quiera modificar.
5.
Compile sus cambios.
7
Integración del cortafuegos en su red de gestión
Primeros pasos
Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)
Paso 6
Configure una interfaz de orientación externa y una zona asociada y, a continuación, cree las reglas de política NAT y de seguridad para permitir que el cortafuegos envíe solicitudes de servicio de la zona interna a la externa: 1. Seleccione Red > Interfaces y, a continuación, seleccione su interfaz de orientación externa. Seleccione Capa 3 como el Tipo de interfaz, añada la dirección IP (en la pestaña IPv4 o IPv6) y cree la Zona de seguridad asociada (en la pestaña Configuración), tal como l3-nofiable. No necesita configurar servicios de gestión en esta interfaz. 2. Para configurar una regla de seguridad que permita el tráfico desde su red interna al servidor de actualizaciones de Palo Alto Networks y los servidores DNS externos, seleccione Políticas > Seguridad y haga clic en Añadir. Para realizar la configuración inicial, puede crear una regla simple que permita todo el tráfico de l3-fiable a l3-nofiable del siguiente modo:
3. Si usa una dirección IP privada en la interfaz de orientación interna, deberá crear una regla NAT de origen para traducir la dirección a una dirección enrutable públicamente. Seleccione Políticas > NAT y, a continuación, haga clic en Añadir. Como mínimo deberá definir un nombre para la regla (pestaña General), especificar una zona de origen y destino, l3-fiable a l3-nofiable en este caso (pestaña Paquete original), y definir la configuración de traducción de dirección de origen (pestaña Paquete traducido); a continuación debe hacer clic en Aceptar. Si desea más información sobre NAT, consulte Configuración de políticas de NAT. 4. Compile sus cambios. Paso 7
Compruebe que tiene conectividad desde el puerto de datos a los servicios externos, incluida la puerta de enlace predeterminada, el servidor DNS y el servidor de actualización de Palo Alto Networks. Tras comprobar que tiene la conectividad de red requerida, vaya a Activación de servicios de cortafuegos.
Inicie la CLI y use la utilidad ping para comprobar que tiene conectividad. Tenga en cuenta que los pings predeterminados se envían desde la interfaz MGT, por lo que en este caso deberá especificar la interfaz de origen para las solicitudes de ping del siguiente modo: admin@PA-200> ping source 192.168.1.254 host updates.paloaltonetworks.com PING updates.paloaltonetworks.com (67.192.236.252) from 192.168.1.254 : 56(84) bytes de datos. 64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms 64 bytes from 67.192.236.252: icmp_seq=2 ttl=242 time=47.7 ms 64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms ^C
Cuando haya comprobado la conectividad, pulse Ctrl+C para detener los pings.
Activación de servicios de cortafuegos Antes de que pueda empezar a usar el cortafuegos para proteger su red, debe registrarlo y activar las licencias de los servicios que ha adquirido. Además, debe asegurarse de que está ejecutando la versión adecuada de PAN-OS como se describe en las siguientes secciones:
Registro en Palo Alto Networks
Activación de licencias
Gestión de la actualización de contenidos
Instalación de actualizaciones de software
8
Primeros pasos
Primeros pasos
Integración del cortafuegos en su red de gestión
Registro en Palo Alto Networks Registro del cortafuegos
Paso 1
Inicie sesión en la interfaz web.
Si usa una conexión segura (https) desde su navegador web, inicie sesión usando la nueva dirección IP y contraseña que asignó durante la configuración inicial (https://). Verá un advertencia de certificación; es normal. Vaya a la página web.
Paso 2
Busque el número de serie y cópielo en el En el Panel, busque su número de serie en la sección Información portapapeles. general de la pantalla.
Paso 3
Vaya al sitio de asistencia de Palo Alto Networks.
Paso 4
• Si es el primer dispositivo de Palo Alto Networks que registra y aún Registre el dispositivo. El modo de no tiene un inicio de sesión, haga clic en Registrar en el lado registrarse dependerá de que tenga o no un inicio de sesión en el sitio de asistencia derecho de la página. Para registrarse, debe proporcionar su técnica. dirección de correo electrónico y el número de serie de su cortafuegos (que puede pegar desde el portapapeles). También se le pedirá que establezca un nombre de usuario y una contraseña para acceder a la comunidad de asistencia técnica de Palo Alto Networks.
En una ventana o pestaña nueva del navegador, vaya a https://support.paloaltonetworks.com.
• Si ya dispone de una cuenta de asistencia técnica, inicie sesión y haga clic en Mis dispositivos. Desplácese hasta la sección Registrar dispositivo, en la parte inferior de la pantalla, e introduzca el número de serie de su cortafuegos (que puede pegar desde el portapapeles), su ciudad y su código postal, y haga clic en Registrar dispositivo.
Activación de licencias Antes de que pueda empezar a usar su cortafuegos para proteger el tráfico de su red, deberá activar las licencias de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:
Prevención de amenazas: Proporciona protección antivirus, antispyware y contra vulnerabilidades.
Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del tráfico descifrado desde un cortafuegos y enviarlo a una herramienta de recopilación de tráfico que sea capaz de recibir capturas de paquetes sin formato (como NetWitness o Solera) para su archivado y análisis.
Filtrado de URL: Para crear reglas de política basadas en categorías de URL dinámicas, debe adquirir e instalar una suscripción para una de las bases de datos de filtrado de URL compatibles: PAN-DB o BrightCloud. Para obtener más información sobre el filtrado de URL, consulte Control del acceso a contenido web.
Primeros pasos
9
Integración del cortafuegos en su red de gestión
Primeros pasos
Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtuales en los cortafuegos de las series PA-2000 y PA-3000. Además, debe adquirir una licencia de sistemas virtuales si desea utilizar un número de sistemas virtuales superior al ofrecido de manera predeterminada por los cortafuegos de las series PA-4000, PA-5000 y PA-7050 (el número básico varía según la plataforma). Las series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.
WildFire: Aunque la compatibilidad básica con WildFire está incluida como parte de la licencia de prevención de amenazas, el servicio de suscripción a WildFire ofrece servicios mejorados para aquellas organizaciones que necesitan una cobertura inmediata frente a las amenazas, y permite actualizaciones de la firma de WildFire con una frecuencia inferior a una hora, el reenvío de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. También se requiere una suscripción a WildFire si sus cortafuegos van a reenviar archivos a un dispositivo WF-500 WildFire privado.
GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De forma predeterminada, puede implementar una única puerta de enlace y portal GlobalProtect (sin comprobaciones de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia de portal (licencia permanente y única). Si desea utilizar comprobaciones de host, también necesitará licencias de puertas de enlace (suscripción) para cada puerta de enlace.
Activación de licencias
Paso 1
Encuentre los códigos de activación de las licencias que ha adquirido.
Al comprar las suscripciones debió recibir un mensaje de correo electrónico del servicio de atención al cliente de Palo Alto Networks con los códigos de activación asociados a cada suscripción. Si no encuentra este mensaje, póngase en contacto con atención al cliente para recibir sus códigos de activación antes de continuar.
Paso 2
Inicie la interfaz web y vaya a la página de Seleccione Dispositivo > Licencias. licencias.
Paso 3
Active todas las licencias que ha adquirido.
Nota
2. Si su cortafuegos no tiene acceso a Internet desde el puerto de gestión, puede descargar sus licencias de forma manual 3. desde el sitio de asistencia técnica y cargarlas en el cortafuegos usando la opción Clave de licencia de carga manual.
1.
Seleccione Activar característica mediante código de autorización. Cuando se le indique, introduzca el Código de autorización y haga clic en Aceptar. Compruebe que la licencia se haya activado correctamente. Por ejemplo, tras activar la licencia de WildFire, debería ver que la licencia es válida:
Gestión de la actualización de contenidos Para estar por delante del panorama cambiante de amenazas y aplicaciones, Palo Alto Networks mantiene una infraestructura de Content Delivery Network (CDN, Red de entrega de contenidos) para entregar actualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos dispositivos acceden a los recursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones y de ID de contenidos. De
10
Primeros pasos
Primeros pasos
Integración del cortafuegos en su red de gestión
forma predeterminada, los dispositivos utilizan el puerto de gestión para acceder a la infraestructura de CDN para realizar actualizaciones de aplicaciones, de amenazas y de firma de antivirus, actualizaciones y búsquedas en BrightCloud y en base de datos PAN-DB, así como acceso a la nube de WildFire de Palo Alto Networks. Para garantizar una protección constante contra las amenazas más recientes (incluidas aquellas que aún no se han descubierto), debe asegurarse de mantener actualizados sus dispositivos con las actualizaciones más recientes de Palo Alto Networks. Están disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea: Aunque puede descargar e instalar de forma manual las actualizaciones de contenido en cualquier momento, es recomendable programar las actualizaciones para que se realicen automáticamente.
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio en la nube WildFire. Debe contar con una suscripción a prevención de amenazas para obtener estas actualizaciones. Se publican nuevas firmas de antivirus todos los días.
Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualización no requiere suscripciones adicionales, pero sí un contrato de asistencia/mantenimiento en vigor. Todas las semanas se publican nuevas actualizaciones de aplicaciones.
Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta actualización está disponible si cuenta con una suscripción de prevención de amenazas (y la obtiene en lugar de la actualización de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.
Archivo de datos de GlobalProtect: Contiene la información específica del proveedor para definir y evaluar los datos del perfil de información del host (HIP) proporcionados por los agentes de GlobalProtect. Debe tener una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas actualizaciones. Además, debe crear una programación para estas actualizaciones antes de que GlobalProtect funcione.
Filtrado de URL de BrightCloud: Ofrece actualizaciones únicamente para la base de datos de filtrado de URL de BrightCloud. Debe contar con una suscripción a BrightCloud para obtener estas actualizaciones. Todos los días se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen sincronizados con los servidores de forma automática.
WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por el servicio de la nube de WildFire. Sin la suscripción, debe esperar de 24 a 48 horas para que las firmas entren a formar parte de la actualización de aplicaciones y amenazas. Si su cortafuegos no tiene acceso a Internet desde el puerto de gestión, puede descargar actualizaciones de contenido desde el sitio de asistencia de Palo Alto Networks (https://support.paloaltonetworks.com) y, a continuación, cargarlas en su cortafuegos. Si su cortafuegos está implementado detrás de cortafuegos o servidores proxy existentes, el acceso a estos recursos externos puede restringirse empleando listas de control de acceso que permiten que el cortafuegos acceda únicamente a un nombre de host o una dirección IP. En dichos casos, para permitir el acceso a la CDN, establezca la dirección del servidor de actualizaciones para que utilice el nombre de host staticupdates.paloaltonetworks.com o la dirección IP 199.167.52.15.
Primeros pasos
11
Integración del cortafuegos en su red de gestión
Primeros pasos
Descarga de las bases de datos más recientes
Paso 1
Verifique que el cortafuegos apunta a la infraestructura de CDN.
Seleccione Dispositivo > Configuración > Servicios. • Como práctica recomendada, establezca el Servidor de actualizaciones para que acceda a updates.paloaltonetworks.com. De esta forma el cortafuegos podrá recibir actualizaciones de contenidos desde el servidor que esté más cercano en la infraestructura de CDN. • (Opcional) Si el cortafuegos tiene acceso restringido a Internet, establezca la dirección del servidor de actualizaciones para que utilice el nombre de host staticupdates.paloaltonetworks.com o la dirección IP 199.167.52.15. Para añadir seguridad, seleccione Verificar identidad del servidor de actualización. El cortafuegos verificará que el servidor desde el que se descarga el software o el paquete de contenidos cuenta con un certificado SSL firmado por una autoridad fiable.
Paso 2
Inicie la interfaz web y vaya a la página Actualizaciones dinámicas.
Seleccione Dispositivo > Actualizaciones dinámicas.
Paso 3
Compruebe las actualizaciones más recientes. Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda de la ventana) para comprobar las actualizaciones más recientes. El enlace de la columna Acción indica si una actualización está disponible: • Descargar: Indica que hay disponible un nuevo archivo de actualización. Haga clic en el enlace para iniciar la descarga directamente en el cortafuegos. Tras descargarlo correctamente, el enlace en la columna Acción cambia de Descargar a Instalar.
Nota No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicaciones y amenazas. • Actualizar: Indica que hay una nueva versión de la base de datos de BrightCloud disponible. Haga clic en el enlace para iniciar la descarga e instalación de la base de datos. La actualización de la base de datos se inicia en segundo plano; al completarse aparece una marca de verificación en la columna Instalado actualmente. Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no verá ningún enlace de actualización porque la base de datos de PAN-DB se sincroniza automáticamente con el servidor.
Consejo: Para comprobar el estado de una acción, haga clic en Tareas (en la esquina inferior derecha de la ventana). • Revertir: Indica que la versión de software correspondiente se ha descargado anteriormente. Puede decidir revertir a la versión instalada anteriormente de la actualización.
12
Primeros pasos
Primeros pasos
Integración del cortafuegos en su red de gestión
Descarga de las bases de datos más recientes (Continuación)
Paso 4
Instale las actualizaciones.
Nota
La instalación puede tardar hasta 20 minutos en un dispositivo PA-200, PA-500 o PA-2000, y hasta dos minutos en los cortafuegos de las series PA-3000, PA-4000, PA-5000, PA-7050 o VM-Series.
Paso 5
Programe cada actualización.
Haga clic en el enlace Instalar de la columna Acción. Cuando se complete la instalación, aparecerá una marca de verificación en la columna Instalado actualmente.
1.
Establezca la programación de cada tipo de actualización haciendo clic en el enlace Ninguna.
2.
Especifique la frecuencia de las actualizaciones seleccionando un valor en el menú desplegable Periodicidad. Los valores disponibles varían en función del tipo de contenido (las actualizaciones de WildFire están disponibles cada 15 minutos, cada 30 minutos o cada hora, mientras que para otros tipos de contenidos pueden programarse actualizaciones diarias o semanales).
3.
Especifique la hora (o los minutos que pasan de una hora en el caso de WildFire) y, si está disponible en función de la Periodicidad seleccionada, el día de la semana para realizar la actualización.
4.
Especifique si desea que el sistema descargue e instale la actualización (práctica recomendada) o que únicamente la descargue.
5.
En raras ocasiones puede haber errores en las actualizaciones de contenido. Por este motivo, tal vez desee retrasar la instalación de nuevas actualizaciones hasta que lleven varias horas publicadas. Puede especificar el tiempo de espera tras una publicación para realizar una actualización de contenido introduciendo el número de horas de espera en el campo Umbral (horas).
6.
Haga clic en Aceptar para guardar estos ajustes de programación.
7.
Haga clic en Confirmar para guardar estos ajustes en la configuración actual.
Repita este paso en cada actualización que desee programar. Práctica recomendada: Escalone las programaciones de actualizaciones, dado que el cortafuegos no puede descargar más de una actualización a la vez. Si ha programado la descarga de varias actualizaciones al mismo tiempo, solo la primera se realizará correctamente.
Instalación de actualizaciones de software Al instalar un nuevo cortafuegos, es recomendable usar la actualización más reciente del software (o la versión recomendada por su distribuidor o por el ingeniero de sistemas de Palo Alto Networks) con el fin de aprovechar las correcciones y mejoras de seguridad más recientes. Tenga en cuenta que antes de actualizar el software debe
Primeros pasos
13
Integración del cortafuegos en su red de gestión
Primeros pasos
asegurarse de tener las actualizaciones de contenido más recientes según se indica en la sección anterior (las notas de la versión de una actualización de software especifican las versiones de actualización de contenido mínimas que son compatibles con la versión). Actualización de PAN-OS
Paso 1
Inicie la interfaz web y vaya a la página Software.
Seleccione Dispositivo > Software.
Paso 2
Compruebe las actualizaciones de software.
Haga clic en Comprobar ahora para comprobar las actualizaciones más recientes. Si el valor de la columna Acción es Descargar, indica que hay una actualización disponible.
Paso 3
Busque la versión que quiere y haga clic en Descargar. Cuando se complete la descarga, el valor en la columna Acción cambia a Si su cortafuegos no tiene acceso a Internet desde el puerto de gestión, puede Instalar. descargar la actualización de software desde el sitio de asistencia técnica de Palo Alto Networks (https://support.paloaltonetworks.com). Después podrá cargarla manualmente en su cortafuegos.
Nota
Paso 4
Descargar la actualización.
Instale la actualización.
1.
Haga clic en Instalar.
2.
Reinicie el cortafuegos: • Si se le pide que reinicie, haga clic en Sí.
• Si no se le pide que reinicie, seleccione Dispositivo > Configuración > Operaciones y haga clic en Reiniciar dispositivo en la sección Operaciones de dispositivo de la pantalla.
14
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Creación del perímetro de seguridad Los siguientes temas proporcionan pasos básicos para configurar las interfaces del cortafuegos, definir zonas y configurar una política de seguridad básica:
Descripción general del perímetro de seguridad
Configuración del acceso a la gestión del cortafuegos
Configuración de políticas de NAT
Configuración de políticas de seguridad básicas
Descripción general del perímetro de seguridad El tráfico debe pasar por el cortafuegos para que este pueda gestionarlo y controlarlo. Físicamente, el tráfico entra y sale del cortafuegos a través de las interfaces. El cortafuegos decide cómo actuar sobre un paquete basándose en si el paquete coincide con una política de seguridad. Al nivel más básico, la política de seguridad debe identificar de dónde proviene el tráfico y hacia dónde va. En un cortafuegos de próxima generación de Palo Alto Networks, se aplican políticas de seguridad entre zonas. Una zona es un grupo de interfaces (físicas o virtuales) que proporciona una abstracción de un área de confianza para el cumplimiento de una política simplificada. Por ejemplo, en el siguiente diagrama de topología, hay tres zonas: fiable, no fiable y DMZ. El tráfico puede circular libremente dentro de una zona, pero no podrá hacerlo entre zonas hasta que no defina una política de seguridad que lo permita.
Las siguientes secciones describen los componentes del perímetro de seguridad e indican los pasos necesarios para configurar las interfaces del cortafuegos, definir zonas y configurar una política de seguridad básica que permita el tráfico desde su zona interna hasta Internet y DMZ. Al crear inicialmente una política básica como esta, podrá analizar el tráfico que circula por su red y utilizar esta información para definir políticas más específicas y así habilitar aplicaciones de forma segura y evitar amenazas.
Implementaciones de cortafuegos básicas
Acerca de la traducción de direcciones de red (NAT)
Acerca de las políticas de seguridad
Primeros pasos
15
Creación del perímetro de seguridad
Primeros pasos
Implementaciones de cortafuegos básicas Todos los cortafuegos de próxima generación de Palo Alto Networks proporcionan una arquitectura de red flexible que incluye la compatibilidad con el enrutamiento dinámico, la conmutación y la conectividad de VPN, lo que le permite implementar el cortafuegos en prácticamente cualquier entorno de red. Al configurar los puertos Ethernet en su cortafuegos, podrá elegir entre una implementación de interfaz de cable virtual, capa 2 o capa 3. Además, para permitirle integrar una variedad de segmentos de red, podrá configurar diferentes tipos de interfaces en diferentes puertos. Las secciones siguientes ofrecen información básica sobre cada tipo de implementación.
Implementaciones de cable virtual
Implementaciones de capa 2
Implementaciones de capa 3
Para obtener información más detallada sobre la implementación, consulte Designing Networks with Palo Alto Networks cortafuegos (Diseño de redes con cortafuegos de Palo Alto Networks).
Implementaciones de cable virtual En una implementación de cable virtual, el cortafuegos se instala de forma transparente en un segmento de red uniendo dos puertos. Cuando utilice un cable virtual, podrá instalar el cortafuegos en cualquier entorno de red sin volver a configurar los dispositivos adyacentes. Si fuera necesario, un cable virtual puede bloquear o permitir el tráfico en función de los valores de etiquetas de LAN virtual (VLAN). También puede crear múltiples subinterfaces y clasificar el tráfico en función de una dirección IP (nombre, intervalo o subred), VLAN o una combinación de ambas. De forma predeterminada, el Virtual Wire (denominado default-vwire) conecta los puertos Ethernet 1 y 2 y permite todo el tráfico sin etiquetar. Seleccione esta implementación para simplificar la instalación y la configuración, y/o evitar cambios de configuración en los dispositivos de red que se encuentran alrededor. Un cable virtual es la configuración predeterminada y solo se debe utilizar cuando no se necesita conmutación o enrutamiento. Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente la configuración antes de continuar con la configuración de la interfaz para evitar que interfiera con otras configuraciones de interfaz que defina. Para obtener instrucciones sobre cómo eliminar el Virtual Wire predeterminado, así como sus zonas y política de seguridad asociadas, consulte el Paso 3 en Establecimiento de un puerto de datos para acceder a servicios externos.
Implementaciones de capa 2 En una implementación de capa 2, el cortafuegos permite cambiar entre dos o más interfaces. Cada grupo de interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos ejecutará el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN común. Seleccione esta opción cuando necesite poder alternar. Para obtener más información sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note (Nota técnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota técnica sobre protección del tráfico entre VLAN).
16
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Implementaciones de capa 3 En una implementación de capa 3, el cortafuegos enruta el tráfico entre puertos. Se debe asignar una dirección IP a cada interfaz y definir un enrutador virtual para enrutar el tráfico. Seleccione esta opción cuando necesite enrutamiento. Debe asignar una dirección IP a cada interfaz de capa 3 física que configure. También puede crear subinterfaces lógicas para cada interfaz de capa 3 física que le permitan segregar el tráfico de la interfaz basándose en el tag de VLAN (cuando se utilice un enlace troncal de VLAN) o la dirección IP, por ejemplo, para la arquitectura multiempresa. Además, dado que el cortafuegos debe enrutar tráfico en una implementación de capa 3, deberá configurar un enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento dinámico (BGP, OSPF o RIP), así como añadir rutas estáticas. También puede crear varios enrutadores virtuales, cada uno de los cuales mantendrá un conjunto separado de rutas que no se comparten entre enrutadores virtuales, lo que le permitirá configurar diferentes comportamientos de enrutamiento para diferentes interfaces. El ejemplo de configuración de este capítulo muestra cómo integrar el cortafuegos en su red de capa 3 utilizando rutas estáticas. Para obtener información sobre otros tipos de integraciones de enrutamiento, consulte los documentos siguientes:
How to Configure OSPF Tech Note (Nota técnica sobre cómo configurar OSPF)
How to Configure BGP Tech Note (Nota técnica sobre cómo configurar BGP)
Acerca de la traducción de direcciones de red (NAT) Cuando utilice direcciones IP privadas en sus redes internas, deberá utilizar la traducción de direcciones de red (NAT) para traducir las direcciones privadas en direcciones públicas que puedan enrutarse a redes externas. En PAN-OS, cree reglas de política NAT que indican al cortafuegos qué paquetes necesitan traducción y cómo realizar la traducción. El cortafuegos admite tanto la traducción de puerto y/o dirección de origen como la traducción de puerto y/o dirección de destino. Para obtener información más detallada sobre los diferentes tipos de reglas de NAT, consulte Understanding and Configuring NAT Tech Note (Nota técnica sobre la comprensión y configuración de NAT). Es importante comprender el modo en que el cortafuegos aplica las políticas NAT y de seguridad para determinar qué políticas necesita basándose en las zonas que ha definido. Al entrar, el cortafuegos inspecciona un paquete para comprobar si coincide con alguna de las reglas de NAT que se han definido, basándose en la zona de origen y/o destino. A continuación, evalúa y aplica las reglas de seguridad que coincidan con el paquete basándose en las direcciones de origen y destino originales (anteriores a NAT). Por último, traduce los números de puerto de origen y/o destino para las reglas de NAT coincidentes al salir. Esta distinción es importante, ya que implica que el cortafuegos determina para qué zona está destinado un paquete basándose en la dirección del paquete, no en la colocación del dispositivo basándose en su dirección asignada de manera interna.
Primeros pasos
17
Creación del perímetro de seguridad
Primeros pasos
Acerca de las políticas de seguridad Las políticas de seguridad protegen los activos de red frente a amenazas e interrupciones y ayudan a asignar de manera óptima los recursos de red para mejorar la productividad y la eficacia en los procesos empresariales. En el cortafuegos de Palo Alto Networks, las políticas de seguridad determinan si una sesión se bloqueará o se permitirá basándose en atributos del tráfico, como la zona de seguridad de origen y destino, la dirección IP de origen y destino, la aplicación, el usuario y el servicio. De manera predeterminada, se permite el tráfico intrazona (es decir, el tráfico dentro de la misma zona, por ejemplo, de fiable a fiable). El tráfico entre diferentes zonas (o tráfico interzonas) está bloqueado hasta que cree una política de seguridad que permita el tráfico. Las políticas de seguridad se evalúan de izquierda a derecha y de arriba abajo. Un paquete coincide con la primera regla que cumpla los criterios definidos; después de activar una coincidencia, las reglas posteriores no se evalúan. Por lo tanto, las reglas más específicas deben preceder a las más genéricas para aplicar los mejores criterios de coincidencia. El tráfico que coincide con una regla genera una entrada de log al final de la sesión en el log de tráfico, si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla. Por ejemplo, se pueden configurar para registrarse al inicio de una sesión en lugar o además de registrarse al final de una sesión.
Componentes de una política de seguridad
Prácticas recomendadas de políticas
Acerca de objetos de políticas
Acerca de los perfiles de seguridad
Componentes de una política de seguridad La estructura de las políticas de seguridad permite una combinación de los componentes obligatorios y opcionales enumerados a continuación.
Campos obligatorios
Campos opcionales
18
Campo
Descripción
Nombre
Etiqueta que admite hasta 31 caracteres, utilizada para identificar la regla.
Zona de origen
Zona en la que se origina el tráfico.
Zona de destino
Zona en la que termina el tráfico. Si utiliza NAT, asegúrese de hacer referencia siempre a la zona posterior a NAT.
Aplicación
La aplicación que desea controlar. El cortafuegos utiliza la tecnología de clasificación de tráfico App-ID para identificar el tráfico de su red. App-ID permite controlar las aplicaciones y ofrece visibilidad al crear políticas de seguridad que bloquean las aplicaciones desconocidas, al tiempo que se habilitan, inspeccionan y moldean las que están permitidas.
Acción
Especifica una acción de permiso o denegación para el tráfico basándose en los criterios que defina en la regla.
Etiqueta
Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto es de utilidad cuando ha definido muchas reglas y desea revisar las que están etiquetadas con una palabra clave específica, por ejemplo Entrante en DMZ.
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Campo
Descripción (Continuación)
Descripción
Campo de texto, de hasta 255 caracteres, utilizado para describir la regla.
Dirección IP de origen
Define la dirección IP o FQDN de host, la subred, los grupos nombrados o el cumplimiento basado en el país. Si utiliza NAT, asegúrese de hacer siempre referencia a las direcciones IP originales del paquete (es decir, la dirección IP anterior a NAT).
Dirección IP de destino
Ubicación o destino del tráfico. Si utiliza NAT, asegúrese de hacer siempre referencia a las direcciones IP originales del paquete (es decir, la dirección IP anterior a NAT).
Usuario
Usuario o grupo de usuarios a los que se aplica la política. Debe tener habilitado User-ID en la zona. Para habilitar User-ID, consulte Descripción general de User-ID.
Categoría de URL
El uso de Categoría de URL como criterios de coincidencia le permite personalizar perfiles de seguridad (antivirus, antispyware, vulnerabilidades, bloqueo de archivos, filtrado de datos y DoS) según la categoría de URL. Por ejemplo, puede impedir la descarga/carga de archivos .exe para las categorías de URL que representen un riesgo más alto, mientras que sí lo permite para otras categorías. Esta funcionalidad también le permite adjuntar programaciones a categorías de URL específicas (permitir sitios web de redes sociales durante el almuerzo y después de las horas de trabajo), marcar determinadas categorías de URL con QoS (financiera, médica y empresarial) y seleccionar diferentes perfiles de reenvío de logs según la categoría de URL. Aunque puede configurar categorías de URL manualmente en su dispositivo, para aprovechar las actualizaciones dinámicas de categorización de URL disponibles en los cortafuegos de Palo Alto Networks, deberá adquirir una licencia de filtrado de URL. Nota
Primeros pasos
Para bloquear o permitir el tráfico basado en la categoría de URL, deberá aplicar un perfil de filtrado de URL a las reglas de políticas de seguridad. Defina la categoría de URL como Cualquiera y adjunte un perfil de filtrado de URL a la política de seguridad. Consulte Creación de reglas de seguridad para obtener información sobre el uso de los perfiles predeterminados de su política de seguridad y consulte Control del acceso a contenido web para obtener información más detallada.
19
Creación del perímetro de seguridad
Primeros pasos
Campo
Descripción (Continuación)
Servicio
Le permite seleccionar un puerto de capa 4 (TCP o UDP) para la aplicación. Puede seleccionar cualquiera, especificar un puerto o utilizar Valor predeterminado de aplicación para permitir el uso del puerto basado en estándares de la aplicación. Por ejemplo, en el caso de aplicaciones con números de puerto conocidos, como DNS, la opción Valor predeterminado de aplicación coincidirá con el tráfico DNS únicamente en el puerto 53 de TCP. También puede añadir una aplicación personalizada y definir los puertos que puede utilizar la aplicación. Nota
Campos opcionales
Para reglas de permiso entrante (por ejemplo, de no fiable a fiable), el uso de Valor predeterminado de aplicación impide que las aplicaciones se ejecuten en puertos y protocolos inusuales. Valor predeterminado de aplicación es la opción predeterminada; si bien el dispositivo sigue comprobando todas las aplicaciones en todos los puertos, con esta configuración, las aplicaciones solamente tienen permiso en sus puertos/protocolos estándar.
Perfiles de seguridad
Proporciona una protección adicional frente a amenazas, vulnerabilidades y fugas de datos. Los perfiles de seguridad únicamente se evalúan en el caso de reglas que tengan una acción de permiso.
Perfil HIP (para
Le permite identificar a clientes con el perfil de información de host (Host Information Profile, HIP) y, a continuación, aplicar privilegios de acceso.
GlobalProtect) Opciones
Le permite definir logs para la sesión, registrar ajustes de reenvío, cambiar marcas de calidad de servicio (Quality of Service, QoS) de paquetes que coincidan con la regla y planificar cuándo (día y hora) debería ser efectiva la regla de seguridad.
Prácticas recomendadas de políticas La tarea de habilitar de forma segura el acceso a Internet y prevenir el uso indebido de los privilegios de acceso web y la exposición a vulnerabilidades y ataques es un proceso continuo. El principio básico al definir una política en el cortafuegos de Palo Alto Networks es utilizar un enfoque de cumplimiento positivo, el cual permite de manera selectiva aquello que es necesario para las operaciones comerciales cotidianas. Lo contrario sería el cumplimiento negativo, con el que bloquearía de manera selectiva todo lo que no está permitido. Tenga en cuenta las siguientes sugerencias al crear una política:
20
Si tiene dos o más zonas con requisitos de seguridad idénticos, combínelas en una regla de seguridad. El orden de las reglas es crucial para garantizar los mejores criterios de coincidencia. Dado que la política se evalúa de arriba abajo, las políticas más específicas deben preceder a las más generales, de modo que las reglas más específicas no estén atenuadas. Esto quiere decir que una regla no se evalúa o se omite porque se encuentra a un nivel más bajo en la lista de políticas. Cuando la regla se sitúa más abajo, no se evalúa porque otra regla precedente cumple los criterios de coincidencia, impidiendo así la evaluación de política de la primera regla. Para restringir y controlar el acceso a las aplicaciones entrantes, en la política de seguridad, defina explícitamente el puerto al que escuchará el servicio/aplicación.
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
El registro de reglas de permiso amplio (por ejemplo, acceso a servidores conocidos, como DNS) puede generar mucho tráfico. Por lo tanto, no se recomienda a no ser que sea absolutamente necesario.
De manera predeterminada, el cortafuegos crea una entrada de log al final de una sesión. Sin embargo, puede modificar este comportamiento predeterminado y configurar el cortafuegos para que se registre al inicio de la sesión. Debido a que esto aumentan significativamente el volumen de logs, el registro al inicio de la sesión únicamente se recomienda cuando está solucionando un problema. Otra alternativa para solucionar un problema sin habilitar el registro al inicio de la sesión es utilizar el explorador de sesión (Supervisar > Explorador de sesión) para ver las sesiones en tiempo real.
Acerca de objetos de políticas Un objeto de política es un objeto único o una unidad colectiva que agrupa identidades discretas, como direcciones IP, URL, aplicaciones o usuarios. Con objetos de políticas que sean unidades colectivas, podrá hacer referencia al objeto en la política de seguridad en lugar de seleccionar manualmente varios objetos de uno en uno. Por lo general, al crear un objeto de política, se agrupan objetos que requieran permisos similares en la política. Por ejemplo, si su organización utiliza un conjunto de direcciones IP de servidor para autenticar usuarios, podrá agrupar el conjunto de direcciones IP de servidor como objeto de política de grupo de direcciones y hacer referencia al grupo de direcciones en la política de seguridad. Al agrupar objetos, podrá reducir significativamente la carga administrativa al crear políticas. Puede crear los siguientes objetos de políticas en el cortafuegos: Objeto de política
Descripción
Dirección/Grupo de direcciones, Región
Le permite agrupar direcciones de origen o destino específicas que requieren el mismo cumplimiento de política. El objeto de dirección puede incluir una dirección IPv4 o IPv6 (dirección IP simple, intervalo, subred) o FQDN. También puede definir una región por las coordenadas de latitud y longitud o seleccionar un país y definir la dirección IP o el intervalo de IP. A continuación puede agrupar un conjunto de objetos de dirección para crear un objeto de grupo de direcciones.
También puede utilizar grupos de direcciones dinámicas para actualizar dinámicamente direcciones IP en entornos donde las direcciones IP de host cambian frecuentemente. Usuario/grupo de usuarios
Le permite crear una lista de usuarios desde la base de datos local o una base de datos externa y agruparlos.
Grupo de aplicaciones y Filtro Un Filtro de aplicación le permite filtrar aplicaciones dinámicamente. Le permite filtrar y de aplicación guardar un grupo de aplicaciones mediante los atributos definidos en la base de datos
de la aplicación en el cortafuegos. Por ejemplo, puede filtrar según uno o más atributos (categoría, subcategoría, tecnología, riesgo y características) y guardar su filtro de aplicación. Con un filtro de aplicación, cuando se produce una actualización de contenido de PAN-OS, las nuevas aplicaciones que coincidan con sus criterios de filtro se añadirán automáticamente a su filtro de aplicación guardado. Un Grupo de aplicaciones le permite crear un grupo estático de aplicaciones específicas que desee agrupar para un grupo de usuarios o para un servicio en concreto.
Primeros pasos
21
Creación del perímetro de seguridad
Primeros pasos
Objeto de política
Descripción
Servicio/Grupos de servicios
Le permite especificar los puertos de origen y destino y el protocolo que puede utilizar un servicio. El cortafuegos incluye dos servicios predefinidos (servicio-http y servicio-https) que utilizan los puertos 80 y 8080 de TCP para HTTP y el puerto 443 de TCP para HTTPS. Sin embargo, puede crear cualquier servicio personalizado en cualquier puerto TCP/UDP de su elección para restringir el uso de la aplicación a puertos específicos de su red (dicho de otro modo, puede definir el puerto predeterminado para la aplicación). Para ver los puertos estándar utilizados por una aplicación, en Objetos > Aplicaciones, busque la aplicación y haga clic en el enlace. Aparecerá una descripción concisa.
Algunos ejemplos de objetos de políticas de dirección y aplicación se muestran en las políticas de seguridad incluidas en Creación de reglas de seguridad. Si desea información sobre los otros objetos de políticas, consulte Habilitación de funciones de prevención de amenazas básicas.
Acerca de los perfiles de seguridad Mientras que con las políticas de seguridad puede permitir o denegar el tráfico en su red, los perfiles de seguridad le ayudan a definir una regla de permiso con exploración, que explora las aplicaciones permitidas en busca de amenazas. Cuando el tráfico coincida con la regla de permiso definida en la política de seguridad, los perfiles de seguridad vinculados a la regla se aplicarán para reglas de inspección de contenido adicionales, como comprobaciones antivirus y filtrado de datos. Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de tráfico. El perfil de seguridad se aplica para explorar el tráfico después de que la política de seguridad permita la aplicación o categoría.
Los diferentes tipos de perfiles de seguridad que pueden vincularse a políticas de seguridad son: Antivirus, Antispyware, Protección contra vulnerabilidades, Filtrado de URL, Bloqueo de archivos y Filtrado de datos. El cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para empezar a proteger su red frente a amenazas. Consulte Creación de reglas de seguridad para obtener información sobre el uso de los perfiles predeterminados de su política de seguridad. Cuando comprenda mejor las necesidades de seguridad de su red, podrá crear perfiles personalizados. Consulte Exploración del tráfico en busca de amenazas para obtener más información.
Configuración de interfaces y zonas Las siguientes secciones proporcionan información sobre la configuración de interfaces y zonas:
Planificación de la implementación
Configuración de interfaces y zonas
22
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Planificación de la implementación Antes de empezar a configurar las interfaces y zonas, dedique algo de tiempo a planificar las zonas que necesitará basándose en los diferentes requisitos de uso de su organización. Además, debería recopilar toda la información de configuración que necesitará de manera preventiva. A un nivel básico, debería planificar qué interfaces pertenecerán a qué zonas. Para implementaciones de capa 3, también deberá obtener las direcciones IP obligatorias y la información de configuración de red de su administrador de red, incluida la información sobre cómo configurar el protocolo de enrutamiento o las rutas estáticas obligatorias para la configuración de enrutador virtual. El ejemplo de este capítulo se basará en la siguiente topología: Ilustración: Ejemplo de topología de capa 3
La siguiente tabla muestra la información que utilizaremos para configurar las interfaces de capa 3 y sus correspondientes zonas, como se muestra en la topología de muestra. Zona
Tipos de implementación
Interfaces
Ajustes de configuración
No fiable
L3
Ethernet1/3
Dirección IP: 208.80.56.100/24 Enrutador virtual: Predeterminado Ruta predeterminada: 0.0.0.0/0 Siguiente salto: 208.80.56.1
Fiable
L3
Ethernet1/4
Dirección IP: 192.168.1.4/24 Enrutador virtual: Predeterminado
DMZ
L3
Ethernet1/13
Dirección IP: 10.1.1.1/24 Enrutador virtual: Predeterminado
Configuración de interfaces y zonas Después de planificar sus zonas y las correspondientes interfaces, podrá configurarlas en el dispositivo. El modo en que configure cada interfaz dependerá de la topología de su red. El siguiente procedimiento muestra cómo configurar una implementación de capa 3 como se muestra en la Ilustración: Ejemplo de topología de capa 3.
Primeros pasos
23
Creación del perímetro de seguridad
Primeros pasos
El cortafuegos viene preconfigurado con una interfaz de cable virtual predeterminada entre los puertos Ethernet 1/1 y Ethernet 1/2 (y una política de seguridad y un enrutador virtual predeterminados correspondientes). Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente la configuración y confirmar el cambio antes de continuar para evitar que interfiera con otras configuraciones que defina. Para obtener instrucciones sobre cómo eliminar el Virtual Wire predeterminado y sus zonas y política de seguridad asociadas, consulte el Paso 3 en Establecimiento de un puerto de datos para acceder a servicios externos.
Configuración de interfaces y zonas
Paso 1
Configure una ruta predeterminada hacia 1. su enrutador de Internet.
Seleccione Red > Enrutador virtual y, a continuación, seleccione el enlace predeterminado para abrir el cuadro de diálogo Enrutador virtual.
2.
Seleccione la pestaña Rutas estáticas y haga clic en Añadir. Introduzca un Nombre para la ruta e introduzca la ruta en el campo Destino (por ejemplo, 0.0.0.0/0).
3.
Seleccione el botón de opción Dirección IP en el campo Siguiente salto y, a continuación, introduzca la dirección IP y la máscara de red para su puerta de enlace de Internet (por ejemplo, 208.80.56.1).
Paso 2
Configure la interfaz externa (la interfaz que se conecta a Internet).
4.
Haga clic en Aceptar dos veces para guardar la configuración de enrutador virtual.
1.
Seleccione Red > Interfaces y, a continuación, seleccione la interfaz que quiera configurar. En este ejemplo, estamos configurando Ethernet1/3 como la interfaz externa.
2.
Seleccione el Tipo de interfaz. Aunque su decisión aquí depende de la topología de su red, este ejemplo muestra los pasos para Capa 3.
3.
En la pestaña Configuración, seleccione Nueva zona en el menú desplegable Zona de seguridad. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo No fiable y, a continuación, haga clic en Aceptar.
4.
En el menú desplegable Enrutador virtual, seleccione predeterminado.
5.
Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 208.80.56.100/24. 6.
7.
Para que pueda hacer ping en la interfaz, seleccione Avanzada > Otra información, amplíe el menú desplegable Perfil de gestión y seleccione Nuevo perfil de gestión. Introduzca un Nombre para el perfil, seleccione Ping y, a continuación, haga clic en Aceptar. Para guardar la configuración de la interfaz, haga clic en Aceptar.
24
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Configuración de interfaces y zonas (Continuación)
Paso 3
Configure la interfaz que se conecta a su 1. red interna.
Nota
En este ejemplo, la interfaz se conecta a un segmento de red que utiliza direcciones IP privadas. Dado que las direcciones IP privadas no se pueden enrutar externamente, deberá configurar NAT. Consulte Configuración de políticas de NAT.
Paso 4
Configure la interfaz que se conecta a DMZ.
Seleccione Red > Interfaces y seleccione la interfaz que desee configurar. En este ejemplo, estamos configurando Ethernet1/4 como la interfaz interna.
2.
Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
3.
En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad y seleccione Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo Fiable y, a continuación, haga clic en Aceptar.
4.
Seleccione el mismo enrutador virtual que utilizó en el Paso 2; en este ejemplo, el predeterminado.
5.
Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 192.168.1.4/24.
6.
Para que pueda hacer ping en la interfaz, seleccione el perfil de gestión que creó en el Paso 2-6.
7.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
1.
Seleccione la interfaz que desee configurar.
2.
Seleccione Capa 3 en el menú desplegable Tipo de interfaz. En este ejemplo, estamos configurando Ethernet1/13 como la interfaz de DMZ.
3.
En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad y seleccione Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo DMZ y, a continuación, haga clic en Aceptar.
4.
Seleccione el enrutador virtual que utilizó en el Paso 2; en este ejemplo, el predeterminado.
5.
Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 10.1.1.1/24. 6.
Para que pueda hacer ping en la interfaz, seleccione el perfil de gestión que creó en el Paso 2-6.
7.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
Paso 5
Guarde la configuración de la interfaz.
Haga clic en Confirmar.
Paso 6
Conecte los cables del cortafuegos.
Conecte cables directos desde las interfaces que ha configurado al conmutador o enrutador de cada segmento de red.
Paso 7
Verifique que las interfaces estén activas.
Desde la interfaz web, seleccione Red > Interfaces y verifique que el icono de la columna Estado de enlace es de color verde. También puede supervisar el estado de enlace desde el widget Interfaces en el Panel.
Primeros pasos
25
Creación del perímetro de seguridad
Primeros pasos
Configuración de políticas de NAT Basándose en la topología de ejemplo que utilizamos para crear las interfaces y las zonas, hay tres políticas NAT que necesitamos crear de la manera siguiente:
Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones 192.168.1.0 internas deberán traducirse a direcciones enrutables públicamente. En este caso, configuraremos NAT de origen, utilizando la dirección de interfaz de salida, 208.80.56.100, como la dirección de origen en todos los paquetes que salgan del cortafuegos desde la zona interna. Consulte Traducción de direcciones IP de clientes internos a su dirección IP pública para obtener instrucciones.
Para permitir que los clientes de la red interna accedan al servidor web público en la zona DMZ, necesitaremos configurar una regla NAT que redirija el paquete desde la red externa, donde la búsqueda de tabla de enrutamiento original determinará que debe ir, basándose en la dirección de destino de 208.80.56.11 dentro del paquete, a la dirección real del servidor web de la red DMZ de 10.1.1.11. Para ello, deberá crear una regla NAT desde la zona fiable (donde se encuentra la dirección de origen del paquete) hasta la zona no fiable (donde se encuentra la dirección de destino) para traducir la dirección de destino a una dirección de la zona DMZ. Este tipo de NAT de destino se denomina NAT de ida y vuelta. Consulte Habilitación de clientes de la red interna para acceder a sus servidores públicos para obtener instrucciones.
Para permitir que el servidor web (que tiene tanto una dirección IP privada en la red DMZ como una dirección pública para que accedan usuarios externos) envíe y reciba solicitudes, el cortafuegos debe traducir los paquetes entrantes desde la dirección IP pública hacia la dirección IP privada y los paquetes salientes desde la dirección IP privada hacia la dirección IP pública. En el cortafuegos, puede conseguir esto con una única política NAT de origen estático bidireccional. Consulte Habilitación de la traducción de direcciones bidireccional para sus servidores públicos.
26
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Traducción de direcciones IP de clientes internos a su dirección IP pública Cuando un cliente de su red interna envía una solicitud, la dirección de origen del paquete contiene la dirección IP del cliente de su red interna. Si utiliza intervalos de direcciones IP privadas, los paquetes del cliente no se podrán enrutar en Internet a menos que traduzca la dirección IP de origen de los paquetes que salen de la red a una dirección enrutable públicamente. En el cortafuegos, puede realizar esta acción configurando una política NAT de origen que traduzca la dirección de origen y opcionalmente el puerto a una dirección pública. Un modo de hacerlo es traducir la dirección de origen de todos los paquetes a la interfaz de salida de su cortafuegos, como se muestra en el procedimiento siguiente. Configuración de NAT de origen
Paso 1
Cree un objeto de dirección para la dirección IP externa que tenga la intención de utilizar.
1.
Desde la interfaz web, seleccione Objetos > Direcciones y, a continuación, haga clic en Añadir.
2.
Introduzca un Nombre y opcionalmente una Descripción para el objeto.
3.
Seleccione Máscara de red IP en el menú desplegable Tipo y, a continuación, introduzca la máscara de red y la dirección IP de la interfaz externa en el cortafuegos, 208.80.56.100/24 en este ejemplo.
4.
Para guardar el objeto de dirección, haga clic en Aceptar.
Práctica recomendada: Aunque no tiene que utilizar objetos de dirección en sus políticas, es una práctica recomendada porque simplifica la administración al permitirle realizar actualizaciones en un lugar en vez de tener que actualizar cada política donde se hace referencia a la dirección.
Primeros pasos
27
Creación del perímetro de seguridad
Primeros pasos
Configuración de NAT de origen (Continuación)
Paso 2
Cree la política NAT. 1. Seleccione Políticas > NAT y haga clic en Añadir. 2. Introduzca un Nombre descriptivo para la política. 3. En la pestaña Paquete original, seleccione la zona que creó para su red interna en la sección Zona de origen (haga clic en Añadir y, a continuación, seleccione la zona) y la zona que creó para la red externa en el menú desplegable Zona de destino. 4. En la pestaña Paquete traducido, seleccione IP dinámica y puerto en el menú desplegable Tipo de traducción en la sección Traducción de dirección de origen de la pantalla y, a continuación, haga clic en Añadir. Seleccione el objeto de dirección que creó en el Paso 1. 5. Haga clic en Aceptar para guardar la política NAT.
Paso 3
Guarde la configuración.
Haga clic en Confirmar.
Habilitación de clientes de la red interna para acceder a sus servidores públicos Cuando un usuario de la red interna envíe una solicitud para acceder al servidor web corporativo en DMZ, el servidor DNS se resolverá en la dirección IP pública. Al procesar la solicitud, el cortafuegos utilizará el destino original del paquete (la dirección IP pública) y enrutará el paquete a la interfaz de salida para la zona no fiable. Para que el cortafuegos sepa que debe traducir la dirección IP pública del servidor web a una dirección de la red DMZ cuando reciba solicitudes de usuarios en la zona fiable, deberá crear una regla NAT de destino que permita al cortafuegos enviar la solicitud a la interfaz de salida para la zona DMZ de la manera siguiente.
28
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Configuración de NAT de ida y vuelta
Paso 1
Paso 2
Cree un objeto de dirección para el servidor web.
1.
Desde la interfaz web, seleccione Objetos > Direcciones y, a continuación, haga clic en Añadir.
2.
Introduzca un Nombre y opcionalmente una Descripción para el objeto.
3.
Seleccione Máscara de red IP en el menú desplegable Tipo y, a continuación, introduzca la máscara de red y la dirección IP pública del servidor web, 208.80.56.11/24 en este ejemplo.
4.
Para guardar el objeto de dirección, haga clic en Aceptar.
Cree la política NAT. 1. Seleccione Políticas > NAT y haga clic en Añadir. 2. Introduzca un Nombre descriptivo para la regla NAT. 3. En la pestaña Paquete original, seleccione la zona que creó para su red interna en la sección Zona de origen (haga clic en Añadir y, a continuación, seleccione la zona) y la zona que creó para la red externa en el menú desplegable Zona de destino. 4. En la sección Dirección de destino, haga clic en Añadir y seleccione el objeto de dirección que creó para su servidor web público. 5. En la pestaña Paquete traducido, seleccione la casilla de verificación Traducción de dirección de destino y, a
continuación, introduzca la dirección IP asignada a la interfaz del servidor web de la red DMZ, 10.1.1.11 en este ejemplo. 6. Haga clic en Aceptar para guardar la política NAT. Paso 3
Guarde la configuración.
Haga clic en Confirmar.
Habilitación de la traducción de direcciones bidireccional para sus servidores públicos Cuando sus servidores públicos tengan direcciones IP privadas asignadas en el segmento de red en el que se encuentran físicamente, necesitará una regla NAT de origen para traducir la dirección de origen del servidor a la dirección externa en el momento de la salida. Puede realizar esta acción creando una regla NAT estática que indique al cortafuegos que debe traducir la dirección de origen interna, 10.1.1.11, a la dirección del servidor web externa, 208.80.56.11 en nuestro ejemplo. Sin embargo, en el caso de un servidor público, el servidor debe poder enviar paquetes y recibirlos. En este caso, necesita una política recíproca que traduzca la dirección pública que
Primeros pasos
29
Creación del perímetro de seguridad
Primeros pasos
será la dirección IP de destino en paquetes entrantes de usuarios de Internet a la dirección privada para permitir que el cortafuegos enrute correctamente el paquete a su red DMZ. En el cortafuegos, puede realizar esta acción creando una política NAT estática bidireccional como se describe en el procedimiento siguiente. Configuración de NAT bidireccional
Paso 1
Cree un objeto de dirección para la dirección IP interna del servidor web.
1.
Desde la interfaz web, seleccione Objetos > Direcciones y, a continuación, haga clic en Añadir.
2.
Introduzca un Nombre y opcionalmente una Descripción para el objeto.
3.
Seleccione Máscara de red IP en el menú desplegable Tipo y, a continuación, introduzca la máscara de red y la dirección IP del servidor web en la red DMZ, 10.1.1.11/24 en este ejemplo.
4.
Para guardar el objeto de dirección, haga clic en Aceptar.
Nota
Paso 2
Si todavía no ha creado un objeto de dirección para la dirección pública de su servidor web, también debería crear ese objeto ahora.
Cree la política NAT. 1. Seleccione Políticas > NAT y haga clic en Añadir. 2. Introduzca un Nombre descriptivo para la regla NAT. 3. En la pestaña Paquete original, seleccione la zona que creó para su DMZ en la sección Zona de origen (haga clic en Añadir y, a continuación, seleccione la zona) y la zona que creó para la red externa en el menú desplegable Zona de destino. 4. En la sección Dirección de origen, haga clic en Añadir y seleccione el objeto de dirección que creó para su dirección de servidor web interno. 5. En la pestaña Paquete traducido, seleccione IP estática en el menú desplegable Tipo de traducción de la sección Traducción de dirección de origen y, a continuación, seleccione el objeto de dirección que creó para su dirección de servidor web externo en el menú desplegable Dirección traducida. 6. En el campo Bidireccional, seleccione Sí. 7. Haga clic en Aceptar para guardar la política NAT.
Paso 3
30
Guarde la configuración.
Haga clic en Confirmar.
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Configuración de políticas de seguridad básicas Las políticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de política que puede crear en el cortafuegos son: políticas de seguridad, NAT, calidad de servicio (QoS), reenvío basado en políticas (PFB), descifrado, cancelación de aplicaciones, portal cautivo, denegación de servicio y protección de zonas. Todas estas diferentes políticas funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar, descifrar, realizar excepciones, autenticar el acceso y restablecer conexiones según sea necesario para ayudar a proteger su red. Esta sección cubre las políticas de seguridad básicas y los perfiles de seguridad predeterminados:
Creación de reglas de seguridad
Comprobación de sus políticas de seguridad
Supervisión del tráfico de su red
Creación de reglas de seguridad Las políticas de seguridad hacen referencia a zonas de seguridad; gracias a ellas puede permitir, restringir y realizar un seguimiento del tráfico de su red. Como cada zona implica un nivel de fiabilidad, la regla implícita para pasar tráfico entre dos zonas diferentes es de denegación, con lo que el tráfico de dentro de una zona está permitido. Para permitir el tráfico entre dos zonas diferentes, debe crear una regla de seguridad que permita el flujo de tráfico entre ellas. Al configurar el marco básico para proteger el perímetro empresarial, es conveniente empezar con una política de seguridad sencilla que permita el tráfico entre las diferentes zonas sin ser demasiado restrictiva. Como se muestra en la sección siguiente, nuestro objetivo es reducir al mínimo la probabilidad de interrupción de las aplicaciones a las que los usuarios de la red necesitan acceder, a la vez que ofrecemos visibilidad de las aplicaciones y las posibles amenazas para su red. Al definir políticas, asegúrese de que no crea una política que deniegue todo el tráfico de cualquier zona de origen a cualquier zona de destino, ya que esto interrumpirá el tráfico intrazona que se permite de manera implícita. De manera predeterminada, se permite el tráfico intrazona porque las zonas de origen y de destino son las mismas y, por lo tanto, comparten el mismo nivel de fiabilidad.
Primeros pasos
31
Creación del perímetro de seguridad
Primeros pasos
Definición de reglas de seguridad básicas
Paso 1
Permita el acceso a Internet a todos los usuarios de la red empresarial. Zona: De fiable a no fiable
Nota
Para habilitar de manera segura aplicaciones necesarias para operaciones comerciales cotidianas, crearemos una regla sencilla que permitirá el acceso a Internet. Para proporcionar una protección básica contra amenazas, adjuntaremos los perfiles de seguridad predeterminados disponibles en el cortafuegos. 1. Seleccione Políticas > Seguridad y haga clic en Añadir.
De manera predeterminada, el cortafuegos incluye una regla de seguridad denominada regla1 que permite 2. todo el tráfico desde la zona fiable a la zona no fiable. Puede eliminar la regla o 3. modificarla para reflejar su convención de 4. denominación de zonas.
Asigne a la regla un nombre descriptivo en la pestaña General. En la pestaña Origen, establezca Zona de origen como Fiable. En la pestaña Destino, establezca Zona de destino como No fiable.
Nota
5. 6.
Para inspeccionar las reglas de política e identificar visualmente las zonas de cada regla, cree una etiqueta con el mismo nombre que la zona. Por ejemplo, para codificar por colores la zona fiable y asignarle el color verde, seleccione Objetos > Etiquetas, haga clic en Añadir, indique Fiable en el campo Nombre y seleccione el color verde en el campo Color.
En la pestaña Categoría de URL/servicio, seleccione servicio-http y servicio-https. En la pestaña Acciones, realice estas tareas: a. Establezca Configuración de acción como Permitir. b. Adjunte los perfiles predeterminados para la protección antivirus, antispyware y contra vulnerabilidades y para el filtrado de URL, en Ajuste de perfil.
7.
32
Verifique que los logs están habilitados al final de una sesión bajo Opciones. Únicamente se registrará el tráfico que coincida con una regla de seguridad.
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Definición de reglas de seguridad básicas (Continuación)
Paso 2
Nota
Permita que los usuarios de la red interna 1. accedan a los servidores en DMZ. 2.
Asigne a la regla un nombre descriptivo en la pestaña General.
Zona: De fiable a DMZ
En la pestaña Origen, establezca Zona de origen como Fiable.
3.
Si utiliza direcciones IP para configurar el 4. acceso a los servidores en DMZ, 5. asegúrese siempre de hacer referencia a las direcciones IP originales del paquete (es decir, las direcciones anteriores a 6. NAT) y la zona posterior a NAT. 7.
Paso 3
Restrinja el acceso desde Internet a los servidores en DMZ únicamente a direcciones IP de servidor específicas. Por ejemplo, puede permitir que los usuarios accedan a los servidores de correo web únicamente desde fuera. Zona: De no fiable a DMZ
Haga clic en Añadir en la sección Políticas > Seguridad.
En la pestaña Destino, establezca Zona de destino como DMZ. En la pestaña Categoría de URL/servicio, asegúrese de que Servicio está establecido como Valor predeterminado de aplicación. En la pestaña Acciones, establezca Configuración de acción como Permitir. Deje el resto de opciones con los valores predeterminados.
Para restringir el acceso entrante a DMZ desde Internet, configure una regla que únicamente permita el acceso a direcciones IP de servidores específicos y en los puertos predeterminados que utilicen las aplicaciones. 1. Haga clic en Añadir para añadir una nueva regla y asignarle un nombre descriptivo. 2.
En la pestaña Origen, establezca Zona de origen como No fiable.
3.
En la pestaña Destino, establezca Zona de destino como DMZ.
4.
Establezca Dirección de destino como el objeto de dirección Servidor web público que creó anteriormente. El objeto de dirección de servidor web público hace referencia a la dirección IP pública (208.80.56.11/24) del servidor web accesible en DMZ.
5.
Seleccione la aplicación de correo web en la pestaña Aplicación.
Nota
6.
Primeros pasos
El Servicio está establecido como Valor predeterminado de aplicación de manera predeterminada.
Establezca Configuración de acción como Permitir.
33
Creación del perímetro de seguridad
Primeros pasos
Definición de reglas de seguridad básicas (Continuación)
Paso 4
Permita el acceso desde DMZ a su red interna (zona fiable). Para reducir al mínimo los riesgos, únicamente debe permitir el tráfico entre servidores y direcciones de destino específicos. Por ejemplo, si tiene un servidor de aplicación en DMZ que necesita comunicarse con un servidor de base de datos específico de su zona fiable, cree una regla para permitir el tráfico entre un origen y un destino específicos.
1.
Haga clic en Añadir para añadir una nueva regla y asignarle un nombre descriptivo.
2.
Establezca Zona de origen como DMZ.
3.
Establezca Zona de destino como Fiable.
4.
Cree un objeto de dirección que especifique los servidores de su zona fiable a los que se puede acceder desde DMZ.
5.
En la pestaña Destino de la regla de política de seguridad, establezca Dirección de destino como el objeto Dirección que creó anteriormente.
6.
En la pestaña Acciones, realice estas tareas:
Zona: De DMZ a fiable
a. Establezca Configuración de acción como Permitir. b. Adjunte los perfiles predeterminados para la protección antivirus, antispyware y contra vulnerabilidades bajo Ajuste de perfil. c. En la sección Otros ajustes, seleccione la opción Deshabilitar inspección de respuesta de servidor. Este ajuste deshabilita el análisis antivirus y antispyware en las respuestas del lado del servidor, con lo que reduce la carga del cortafuegos.
34
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Definición de reglas de seguridad básicas (Continuación)
Paso 5
Habilite los servidores de DMZ para obtener actualizaciones y correcciones urgentes de Internet. Por ejemplo, digamos que desea permitir el servicio Microsoft Update.
1.
Añada una nueva regla y asígnele una etiqueta descriptiva.
2.
Establezca Zona de origen como DMZ.
3.
Establezca Zona de destino como No fiable.
4.
Cree un grupo de aplicaciones para especificar las aplicaciones que desee permitir. En este ejemplo, permitimos actualizaciones de Microsoft (ms-update) y dns.
Zona: De DMZ a no fiable
Nota
El Servicio está establecido como Valor predeterminado de aplicación de manera predeterminada. Esto hará que el cortafuegos permita las aplicaciones únicamente cuando utilicen los puertos estándar asociados a estas aplicaciones.
Paso 6
Guarde sus políticas en la configuración que se esté ejecutando en el dispositivo.
Primeros pasos
5.
Establezca Configuración de acción como Permitir.
6.
Adjunte los perfiles predeterminados para la protección antivirus, antispyware y contra vulnerabilidades, bajo Perfiles.
Haga clic en Confirmar.
35
Creación del perímetro de seguridad
Primeros pasos
Comprobación de sus políticas de seguridad Para verificar que ha configurado sus políticas básicas de manera eficaz, compruebe si sus políticas de seguridad se están evaluando y determine qué regla de seguridad se aplica a un flujo de tráfico. Verificación de coincidencia de política con un flujo
Para verificar la regla de política que coincide con un flujo, utilice el siguiente comando de la CLI: test security-policy-match source destination destination port protocol El resultado muestra la regla que coincide mejor con la dirección IP de origen y destino especificada en el comando de la CLI.
Por ejemplo, para verificar la regla de política que se aplicará a un servidor en DMZ con la dirección IP 208.90.56.11 cuando accede al servidor de actualización de Microsoft, deberá probar con el comando siguiente: test security-policy-match source 208.80.56.11 destination 176.9.45.70 destination-port 80 protocol 6 "Updates-DMZ to Internet" { from dmz; source any; source-region any; to untrust; destination any; destination-region any; user any; category any; application/service[ dns/tcp/any/53 dns/udp/any/53 dns/udp/any/5353 ms-update/tcp/any/80 ms-update/tcp/any/443]; action allow; terminal yes;
Supervisión del tráfico de su red Ahora que tiene establecida una política de seguridad básica, podrá revisar las estadísticas y los datos en el Centro de comando de aplicación (ACC), logs de tráfico y logs de amenazas para observar tendencias en su red y así identificar dónde necesita crear políticas más específicas. A diferencia de los cortafuegos tradicionales que utilizan un puerto o protocolo para identificar aplicaciones, los cortafuegos de Palo Alto Networks utilizan la firma de aplicaciones (la tecnología App-ID) para supervisar aplicaciones. La firma de aplicaciones se basa en propiedades de aplicaciones exclusivas y características de transacciones relacionadas junto con el puerto o protocolo. Por lo tanto, aunque el tráfico utilice el puerto/protocolo correcto, el cortafuegos puede denegar el acceso al contenido porque la firma de aplicación no coincide. Esta función le permite habilitar aplicaciones de manera segura permitiendo partes de la aplicación al mismo tiempo que bloquea o controla funciones dentro de la misma aplicación. Por ejemplo, si permite la aplicación de exploración web, un usuario podrá acceder a contenido de Internet. Así, si un usuario entra en Facebook y luego juega al Scrabble en Facebook, el cortafuegos identificará los cambios de aplicación y reconocerá Facebook como una aplicación y Scrabble como una aplicación de Facebook. Por lo tanto, si crea una regla específica que bloquee las aplicaciones de Facebook, se denegará el acceso a Scrabble para el usuario aunque todavía podrá acceder a Facebook.
36
Primeros pasos
Primeros pasos
Creación del perímetro de seguridad
Para supervisar el tráfico de su red:
Uso del centro de comando de aplicación: En el ACC, revise las aplicaciones más utilizadas y las aplicaciones de alto riesgo en su red. El ACC resume gráficamente la información de logs para resaltar las aplicaciones que cruzan la red, quién las está utilizando (con el User-ID habilitado) y el posible impacto en la seguridad del contenido para ayudarle a identificar qué sucede en la red en tiempo real. A continuación, podrá utilizar esta información para crear políticas de seguridad adecuadas que bloqueen las aplicaciones no deseadas y que permitan y habiliten aplicaciones de manera segura.
Determine qué actualizaciones/modificaciones son necesarias para sus reglas de seguridad de red e implemente los cambios. Por ejemplo:
–
Evalúe si desea permitir contenido basándose en la programación, los usuarios o los grupos.
–
Permita o controle determinadas aplicaciones o funciones dentro de una aplicación.
–
Descifre e inspeccione contenido.
–
Permita con exploración en busca de amenazas y explotaciones. Para obtener información sobre cómo ajustar sus políticas de seguridad y para adjuntar perfiles de seguridad personalizados, consulte Habilitación de funciones de prevención de amenazas básicas.
Visualización de los archivos log: De manera específica, visualice los logs de tráfico y amenaza (Supervisar > Logs). Los logs de tráfico dependen del modo en que sus políticas de seguridad están definidas y configuradas para registrar el tráfico. Sin embargo, la pestaña ACC registra aplicaciones y estadísticas independientemente de la configuración de las políticas; muestra todo el tráfico que se permite en su red, por lo que incluye el tráfico entre zonas que permite la política y el tráfico de la misma zona que se permite implícitamente.
Interpretación de los logs de filtrado de URL: Revise los logs de filtrado de URL para examinar alertas, y categorías/URL denegadas. Los logs de URL se generan cuando un tráfico coincide con una regla de seguridad que tenga un perfil de filtrado de URL adjunto con una acción de alertar, continuar, sobrescribir o bloquear.
Primeros pasos
37
Habilitación de funciones de prevención de amenazas básicas
Primeros pasos
Habilitación de funciones de prevención de amenazas básicas El cortafuegos de próxima generación de Palo Alto Networks tiene funciones exclusivas de prevención de amenazas que le permiten proteger su red de ataques frente a técnicas de evasión, tunelización o elusión. Las funciones de prevención de amenazas del cortafuegos incluyen el servicio WildFire, los perfiles de seguridad que admiten las funciones Antivirus, Antispyware, Protección contra vulnerabilidades, Filtrado de URL, Bloqueo de archivos y Filtrado de datos y las funciones Denegación de servicio (DoS) y Protección de zona. Antes de que pueda aplicar funciones de prevención de amenazas, primero debe configurar zonas (para identificar una o más interfaces de origen o destino) y políticas de seguridad. Para configurar interfaces, zonas y las políticas necesarias para aplicar funciones de prevención de amenazas, consulte Configuración de interfaces y zonas y Configuración de políticas de seguridad básicas.
Para empezar a proteger su red ante amenazas, comience por aquí:
Habilitación de WildFire
Exploración del tráfico en busca de amenazas
Control del acceso a contenido web
Habilitación de WildFire El servicio WildFire se incluye como parte del producto básico. El servicio WildFire permite que el cortafuegos reenvíe archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier actividad malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan automáticamente firmas de software malintencionado que estarán disponibles en las descargas diarias del antivirus en un plazo de 24-48 horas. Su suscripción a la prevención de amenazas le da derecho a actualizaciones de firmas de antivirus que incluyen firmas detectadas por WildFire. Considere adquirir el servicio de suscripción a WildFire para obtener estas ventajas adicionales:
Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)
Reenvío de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java)
Capacidad para cargar archivos usando la API de WildFire
Capacidad para reenviar archivos a un dispositivo WF-500 WildFire privado Aunque la capacidad de configurar un perfil de bloqueo de archivos para reenviar archivos Portable Executable (PE) a la nube de WildFire para su análisis es gratuita, para reenviar archivos a un dispositivo WildFire privado se requiere una suscripción a WildFire.
38
Primeros pasos
Primeros pasos
Habilitación de funciones de prevención de amenazas básicas
Habilitación de WildFire
Paso 1
Paso 2
Confirme que su dispositivo está registrado y que tiene una cuenta válida de asistencia técnica, así como las suscripciones que requiera.
Establezca las opciones de reenvío de WildFire.
1.
Vaya al sitio de asistencia técnica de Palo Alto Networks, inicie sesión y seleccione Mis dispositivos.
2.
Verifique que el cortafuegos se incluye en la lista. Si no aparece, consulte Register With Palo Alto Networks.
3.
(Opcional) Activación de licencias.
1.
Seleccione Dispositivo > Configuración > WildFire.
2.
Haga clic en el icono Editar de la sección Configuración general.
3.
(Opcional) Especifique el Servidor de WildFire al que reenviar archivos. De forma predeterminada, el cortafuegos reenviará los archivos a la nube pública de WildFire alojada en EE. UU. Para reenviar archivos a una nube de WildFire diferente, introduzca un nuevo valor de la manera siguiente: • Para reenviar a una nube privada de WildFire, introduzca la dirección IP o el nombre de dominio completo (FQDN) de su dispositivo WF-500 WildFire. • Para reenviar archivos a la nube pública de WildFire que se ejecuta en Japón, introduzca wildfire.paloaltonetworks.jp.
Nota
Paso 3
Paso 4
Si no tiene una suscripción a WildFire, únicamente podrá reenviar archivos ejecutables.
Configure un perfil de bloqueo de archivos para reenviar archivos a WildFire.
4.
(Opcional) Si desea cambiar el tamaño de archivo máximo que el cortafuegos puede reenviar para un tipo de archivo específico, modifique el valor en el campo correspondiente.
5.
Haga clic en ACEPTAR para guardar los cambios.
1.
Seleccione Objetos > Perfiles de seguridad > Bloqueo de archivos y haga clic en Añadir.
2.
Introduzca un nombre y, opcionalmente, una descripción para el perfil.
3.
Haga clic en Añadir para crear una regla de reenvío e introduzca un nombre.
4.
En la columna Acción, seleccione Reenviar.
5.
Deje los otros campos establecidos como Cualquiera para reenviar cualquier tipo de archivo compatible desde cualquier aplicación.
6.
Haga clic en Aceptar para guardar el perfil.
Adjunte el perfil de bloqueo de archivos a 1. las políticas de seguridad que permiten acceder a Internet.
Primeros pasos
Seleccione Políticas > Seguridad y bien seleccione una política existente o cree una nueva política según se describe en Creación de reglas de seguridad.
2.
Haga clic en la pestaña Acciones dentro de la política de seguridad.
3.
En la sección de configuración del perfil, haga clic en el menú desplegable y seleccione el perfil de bloqueo de archivos que creó para el reenvío de WildFire. (Si no ve ningún menú desplegable en el que seleccionar un perfil, seleccione Perfiles en el menú desplegable Tipo de perfil.
39
Habilitación de funciones de prevención de amenazas básicas
Primeros pasos
Habilitación de WildFire (Continuación)
Paso 5
Guarde la configuración.
Haga clic en Confirmar.
Paso 6
Verifique que el cortafuegos esté reenviando archivos a WildFire.
1.
Seleccione Supervisar > Logs > Filtrado de datos.
2.
Compruebe en la columna Acción las siguientes acciones: • Reenviar: Indica que el perfil de bloqueo de archivos adjuntado a la política de seguridad reenvió el archivo de forma correcta. • Wildfire-upload-success: Indica que el archivo se ha enviado a WildFire. Esto significa que el archivo no está firmado por un firmante de archivo fiable y que WildFire no lo ha analizado anteriormente. • Wildfire-upload-skip: Indica que el archivo se identificó como apto para enviarse a WildFire por un perfil de bloqueo de archivos o una política de seguridad, pero que no fue necesario que WildFire lo analizase porque ya se había analizado previamente. En este caso, la acción mostrará reenviar aparecerá en el registro de filtrado de datos porque era una acción de reenvío válida, pero que no se envió y analizó en WildFire porque el archivo ya se envió a la nube de WildFire desde otra sesión, posiblemente desde otro cortafuegos.
3.
Consulte los registros de WildFire seleccionando Supervisar > Logs > Envíos de WildFire. Si aparecen nuevos logs de WildFire, se debe a que el cortafuegos está reenviando correctamente los archivos a WildFire y a que WildFire está devolviendo los resultados del análisis de archivos.
Exploración del tráfico en busca de amenazas Los perfiles de seguridad proporcionan protección ante amenazas en políticas de seguridad. Por ejemplo, puede aplicar un perfil de antivirus a una política de seguridad y todo el tráfico que coincida con las políticas de seguridad se analizará para buscar virus. Las siguientes secciones indican los pasos necesarios para establecer una configuración de prevención de amenazas básica:
Configuración de antivirus, antispyware y protección contra vulnerabilidades
Configuración de bloqueo de archivos
Configuración de antivirus, antispyware y protección contra vulnerabilidades Cada cortafuegos de próxima generación de Palo Alto Networks incluye perfiles predeterminados de antivirus, antispyware y protección contra vulnerabilidades que puede adjuntar a políticas de seguridad.
40
Primeros pasos
Primeros pasos
Habilitación de funciones de prevención de amenazas básicas
Como práctica recomendada, adjunte los perfiles predeterminados a sus políticas de acceso web básicas para garantizar que el tráfico que entre en su red esté libre de amenazas.
A medida que supervisa el tráfico de su red y amplía su base de reglas de políticas, puede diseñar perfiles más detallados que cubran sus necesidades de seguridad específicas. Todas las firmas antispyware y de protección contra vulnerabilidades tienen una acción predeterminada definida por Palo Alto Networks. Puede ver la acción predeterminada navegando hasta Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de seguridad > Protección contra vulnerabilidades y, a continuación, seleccionando un perfil. Haga clic en la pestaña Excepciones y después en Mostrar todas las firmas; verá una lista de las firmas con la acción predeterminada en la columna Acción. Para cambiar la acción predeterminada, debe crear un nuevo perfil y después crear reglas con una acción no predeterminada o añadir excepciones de firma individuales en la pestaña Excepciones del perfil. Configuración de antivirus/antispyware/protección contra vulnerabilidades
Paso 1
Compruebe que tiene una licencia de prevención de amenazas.
• La licencia de prevención de amenazas reúne en una licencia las funciones de antivirus, antispyware y protección contra vulnerabilidades. • Seleccione Dispositivo > Licencias para comprobar que la licencia de prevención de amenazas está instalada y es válida (compruebe la fecha de vencimiento).
Paso 2
Paso 3
Descargue las firmas de amenazas de antivirus más recientes.
Programe actualizaciones de firmas.
1.
Seleccione Dispositivo > Actualizaciones dinámicas y haga clic en Comprobar ahora en la parte inferior de la página para recuperar las firmas más recientes.
2.
En la columna Acciones, haga clic en Descargar para instalar las firmas más recientes de antivirus y de aplicaciones y amenazas.
1.
Desde Dispositivo > Actualizaciones dinámicas, haga clic en el texto que hay a la derecha de Programación para recuperar automáticamente las actualizaciones de firmas de Antivirus y Aplicaciones y amenazas.
2.
Especifique la frecuencia y sincronización de las actualizaciones y si la actualización se descargará e instalará o únicamente se descargará. Si selecciona Únicamente descargar, tendrá que entrar manualmente y hacer clic en el enlace Instalar de la columna Acción para instalar la firma. Cuando hace clic en ACEPTAR, se programa la actualización. No es necesario realizar una compilación.
3.
(Opcional) También puede introducir un número de horas en el campo Umbral para indicar el tiempo mínimo que debe tener una firma antes de realizar la descarga. Por ejemplo, si introduce 10, la firma debe tener al menos 10 horas de antigüedad antes de poder descargarla, independientemente de la programación.
4.
En una configuración de HA, también puede hacer clic en la opción Sincronizar en el peer para sincronizar la actualización de contenido con el peer de HA tras la descarga/instalación. Esto no hará que se apliquen los ajustes de programación al dispositivo del peer, sino que tendrá que configurar la programación en cada dispositivo.
Práctica recomendada para actualizaciones: Realice una descarga e instalación diariamente para recibir actualizaciones de antivirus y semanalmente para recibir actualizaciones de aplicaciones y amenazas.
Primeros pasos
41
Habilitación de funciones de prevención de amenazas básicas
Primeros pasos
Configuración de antivirus/antispyware/protección contra vulnerabilidades (Continuación) Recomendaciones para configuraciones de HA:
• HA activa/pasiva: Si el puerto de gestión se usa para descargar firmas de antivirus, configure una programación en ambos dispositivos y ambos dispositivos realizarán las descargas e instalaciones de forma independiente. Si usa un puerto de datos para las descargas, el dispositivo pasivo no realizará descargas mientras esté en estado pasivo. En este caso debería establecer una programación en ambos dispositivos y, a continuación, seleccionar la opción Sincronizar en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarán las actualizaciones y después se aplicarán al dispositivo pasivo. • HA activa/activa: Si el puerto de gestión se usa para descargas de firmas de antivirus en ambos dispositivos, programe la descarga/instalación en ambos dispositivos, pero no seleccione la opción Sincronizar en el peer. Si usa un puerto de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo garantizará que si un dispositivo en la configuración activa/activa pasa al estado activo secundario, el dispositivo activo descargará/instalará la firma y después la aplicará al dispositivo activo secundario. Paso 4
Paso 5
Añada los perfiles de seguridad a una política de seguridad.
Guarde la configuración.
1.
Seleccione Políticas > Seguridad, seleccione la política deseada para modificarla y, a continuación, haga clic en la pestaña Acciones.
2.
En Ajuste de perfil, haga clic en el menú desplegable junto a cada perfil de seguridad que desea activar. En este ejemplo seleccionamos el valor predeterminado de Antivirus, Protección contra vulnerabilidades y Antispyware. (Si no ve menús desplegables para seleccionar perfiles, seleccione Perfiles en el menú desplegable Tipo de perfil).
Haga clic en Confirmar.
Configuración de bloqueo de archivos Los perfiles de bloqueo de archivos le permiten identificar tipos de archivos específicos que desee bloquear o supervisar. El siguiente flujo de trabajo muestra cómo configurar un perfil de bloqueo de archivos básico que impide que los usuarios descarguen archivos ejecutables de Internet.
42
Primeros pasos
Primeros pasos
Habilitación de funciones de prevención de amenazas básicas
Configuración de bloqueo de archivos
Paso 1
Paso 2
Cree el perfil de bloqueo de archivos.
Configure las opciones de bloqueo de archivos.
1.
Seleccione Objetos > Perfiles de seguridad > Bloqueo de archivos y haga clic en Añadir.
2.
Introduzca un nombre para el perfil de bloqueo de archivos, por ejemplo, Bloquear_EXE. Opcionalmente, introduzca una descripción, como Bloquear la descarga de archivos exe desde sitios web por parte de usuarios.
1.
Haga clic en Añadir para definir estos ajustes de perfil.
2.
Introduzca un nombre, como Bloquear_EXE.
3.
Establezca las aplicaciones a las que desee aplicar el bloqueo de archivos o déjelas establecidas como “cualquiera”.
4.
Establezca los tipos de archivos que se bloquearán. Por ejemplo, para bloquear la descarga de archivos ejecutables, debería seleccionar exe.
5.
Especifique la dirección en la que bloquear la descarga de archivos, la carga de archivos o ambas.
6.
Establezca la acción como una de las siguientes: • Continuar: Los usuarios deberán hacer clic en Continuar para seguir con la descarga/carga. Debe habilitar páginas de respuesta en las interfaces asociadas si tiene la intención de utilizar esta opción. • Bloquear: Los archivos que coincidan con los criterios seleccionados tendrán su descarga/carga bloqueada. • Alertar: Los archivos que coincidan con los criterios seleccionados estarán permitidos, pero generarán una entrada de log en el log de filtrado de datos.
7. Paso 3
Adjunte el perfil de bloqueo de archivos a 1. las políticas de seguridad que permiten acceder al contenido.
Primeros pasos
Haga clic en Aceptar para guardar el perfil. Seleccione Políticas > Seguridad y seleccione una política existente o cree una nueva política según se describe en Creación de reglas de seguridad.
2.
Haga clic en la pestaña Acciones dentro de la política de seguridad.
3.
En la sección de configuración del perfil, haga clic en el menú desplegable y seleccione el perfil de bloqueo de archivos que creó. (Si no ve menús desplegables para seleccionar perfiles, seleccione Perfiles en el menú desplegable Tipo de perfil).
43
Habilitación de funciones de prevención de amenazas básicas
Primeros pasos
Configuración de bloqueo de archivos (Continuación)
Paso 4
Paso 5
Habilite páginas de respuesta en el perfil 1. de gestión para cada interfaz en la que esté adjuntando un perfil de bloqueo de archivos con una acción Continuar. 2.
Seleccione Red > Perfiles de red > Gestión de interfaz y, a continuación, seleccione un perfil de interfaz para editarlo o haga clic en Añadir para crear un nuevo perfil. Seleccione Páginas de respuesta, así como cualquier otro servicio de gestión necesario en la interfaz.
3.
Haga clic en Aceptar para guardar el perfil de gestión de interfaz.
4.
Seleccione Red > Interfaces y seleccione la interfaz a la que se adjuntará el perfil.
5.
En la pestaña Avanzada > Otra información, seleccione el perfil de gestión de interfaz que acaba de crear.
6.
Haga clic en Aceptar para guardar la configuración de la interfaz.
Para comprobar la configuración de bloqueo de archivos, acceda a un ordenador cliente en la zona fiable del cortafuegos y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debería aparecer una página de respuesta. Haga clic en Continuar para descargar el archivo. También puede establecer otras acciones, como únicamente alertar, reenviar (que reenviará a WildFire) o bloquear, que no proporcionará al usuario una página que le pregunte si desea continuar. A continuación se muestra la página de respuesta predeterminada de Bloqueo de archivos:
Ejemplo: Página de respuesta de bloqueo de archivos predeterminada
Control del acceso a contenido web El filtrado de URL proporciona visibilidad y control sobre el tráfico web de su red. Con el filtrado de URL habilitado, el cortafuegos puede categorizar el tráfico web en una o más categorías (de aproximadamente 60). A continuación, puede crear políticas que especifiquen si se permite, bloquea o crea un log (alerta) para el tráfico basándose en la categoría a la que pertenece. El siguiente flujo de trabajo muestra cómo habilitar PAN-DB para el filtrado de URL, crear perfiles de seguridad y adjuntarlos a políticas de seguridad para aplicar una política de filtrado de URL básica.
44
Primeros pasos
Primeros pasos
Habilitación de funciones de prevención de amenazas básicas
Configuración de filtrado de URL
Paso 1
Paso 2
Confirme la información de la licencia para el filtrado de URL.
Descargue la base de datos de envíos y active la licencia.
1.
Obtenga e instale una licencia de filtrado de URL. Consulte Activación de licencias para obtener información detallada.
2.
Seleccione Dispositivo > Licencias y compruebe que la licencia de filtrado de URL es válida.
1.
Para descargar la base de datos de envíos, haga clic en Descargar junto a Descargar estado en la sección Filtrado de
URL de PAN-DB de la página Licencias. 2.
Seleccione una región (Norteamérica, Europa, APAC, Japón) y, a continuación, haga clic en Aceptar para iniciar la descarga.
3.
Cuando finalice la descarga, haga clic en Activar.
Cree un perfil de filtrado de URL.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
Práctica recomendada para nuevos perfiles:
2.
Seleccione el perfil predeterminado y, a continuación, haga clic en Duplicar. El nuevo perfil se denominará predeterminado-1.
3.
Seleccione el nuevo perfil y cámbiele el nombre.
Paso 3
Dado que el perfil de filtrado de URL predeterminado bloquea el contenido de riesgo y propenso a las amenazas, duplique este perfil cuando cree un nuevo perfil para conservar la configuración predeterminada.
Primeros pasos
45
Habilitación de funciones de prevención de amenazas básicas
Primeros pasos
Configuración de filtrado de URL (Continuación)
Paso 4
Defina cómo controlar el acceso al contenido web.
1.
Si no está seguro de qué tráfico desea controlar, considere configurar las categorías (excepto las bloqueadas de forma predeterminada) en Alertar. A continuación puede utilizar las herramientas de visibilidad en el cortafuegos, como el Centro de comando de aplicación (ACC) y Appscope, para determinar qué categorías web restringir a grupos específicos o bloquear por completo. A continuación, puede volver y modificar el perfil para bloquear y permitir categorías del modo deseado.
En cada categoría para la que quiera visibilidad o que quiera controlar, seleccione un valor en la columna Acción de la siguiente forma: • Si no se preocupa por el tráfico a una categoría concreta (es decir, que no quiere bloquear ni registrar), seleccione Permitir. • Para obtener visibilidad sobre el tráfico a sitios de una categoría, seleccione Alertar. • Para evitar el acceso a tráfico que coincida con la política asociada, seleccione Bloquear (esto también genera una entrada de log).
También puede definir sitios web específicos que deben permitirse siempre o bloquearse siempre independientemente de la categoría y habilitar la opción de búsqueda segura para filtrar los resultados de búsqueda al definir el perfil de Filtrado de URL.
Paso 5
Adjunte el perfil de filtro de URL a una política de seguridad.
2.
Haga clic en Aceptar para guardar el perfil de filtro de URL.
1.
Seleccione Políticas > Seguridad.
2.
Seleccione la política deseada para modificarla y después haga clic en la pestaña Acciones.
3.
Si es la primera vez que define un perfil de seguridad, seleccione Perfiles en el menú desplegable Tipo de perfil.
46
4.
En la lista de configuración de perfiles, seleccione el perfil que acaba de crear en el menú desplegable Filtrado de URL. (Si no ve menús desplegables para seleccionar perfiles, seleccione Perfiles en el menú desplegable Tipo de perfil).
5.
Haga clic en ACEPTAR para guardar el perfil.
6.
Compile la configuración.
Primeros pasos
Primeros pasos
Habilitación de funciones de prevención de amenazas básicas
Configuración de filtrado de URL (Continuación)
Paso 6
Habilite páginas de respuesta en el perfil 1. de gestión en cada interfaz en la que filtre tráfico web.
Seleccione Red > Perfiles de red > Gestión de interfaz y, a continuación, seleccione un perfil de interfaz para editarlo o haga clic en Añadir para crear un nuevo perfil.
2.
Seleccione Páginas de respuesta, así como cualquier otro servicio de gestión necesario en la interfaz.
3.
Haga clic en Aceptar para guardar el perfil de gestión de interfaz.
4.
Seleccione Red > Interfaces y seleccione la interfaz a la que se adjuntará el perfil.
5.
En la pestaña Avanzada > Otra información, seleccione el perfil de gestión de interfaz que acaba de crear.
6.
Haga clic en Aceptar para guardar la configuración de la interfaz.
Paso 7
Guarde la configuración.
Haga clic en Confirmar.
Paso 8
Para comprobar el filtrado de URL, acceda a un ordenador cliente desde la zona donde se aplica la política de seguridad y trate de acceder a un sitio de una categoría bloqueada. Debe ver una página de respuesta de filtrado de URL que indica que la página se ha bloqueado:
Cómo obtener más información Si desea información más detallada sobre cómo proteger su empresa ante amenazas, consulte Prevención de amenazas. Si desea información detallada sobre cómo explorar el tráfico cifrado (SSH o SSL) en busca de amenazas, consulte Descifrado. Si desea más información sobre las amenazas y aplicaciones que pueden identificar los productos de Palo Alto Networks, visite los siguientes enlaces:
Applipedia: Ofrece información sobre las aplicaciones que Palo Alto Networks puede identificar.
Cámara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al número de ID para obtener más información acerca de una amenaza.
Primeros pasos
47
Prácticas recomendadas para completar la implementación del cortafuegos
Primeros pasos
Prácticas recomendadas para completar la implementación del cortafuegos Ahora que ha integrado el cortafuegos en su red y ha habilitado las funciones de seguridad básicas, puede empezar a configurar funciones más avanzadas. Estos son algunos aspectos que debería considerar a continuación:
Obtenga información sobre las diferentes Interfaces de gestión que están a su disposición y cómo acceder a ellas y utilizarlas.
Configure la Alta disponibilidad: La alta disponibilidad (HA) es una configuración en la que dos cortafuegos se colocan en un grupo y su configuración se sincroniza para prevenir el fallo de un único punto en su red. Una conexión de latido entre los peers del cortafuegos garantiza una conmutación por error sin problemas en el caso de que falle un peer. La configuración de los cortafuegos en un clúster de dos dispositivos proporciona redundancia y le permite garantizar la continuidad empresarial.
Configuración de la clave maestra: Cada cortafuegos de Palo Alto Networks tiene una clave maestra predeterminada que cifra las claves privadas que se utilizan para autenticar administradores cuando acceden a interfaces de gestión en el cortafuegos. La práctica recomendada para proteger las claves es configurar la clave maestra en cada cortafuegos para que sea exclusiva.
Gestión de administradores de cortafuegos: Cada cortafuegos y dispositivo de Palo Alto Networks viene preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso completo de lectura-escritura (también conocido como acceso de superusuario) al dispositivo. Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las funciones de administración o informes del cortafuegos. Esto le permite proteger mejor el dispositivo de la configuración (o modificación) no autorizada y registrar en logs las acciones de cada uno de los administradores.
Habilite la identificación de usuarios (User-ID): User-ID es una función de cortafuegos de próxima generación de Palo Alto Networks que le permite crear políticas y realizar informes basándose en usuarios y grupos en lugar de direcciones IP individuales.
Habilite el Descifrado: Los cortafuegos de Palo Alto Networks ofrecen la capacidad de descifrar e inspeccionar el tráfico para lograr visibilidad, control y seguridad detallada. Utilice el descifrado en un cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido confidencial, escondido como tráfico cifrado o de túnel.
48
Primeros pasos
Gestión de dispositivos Los administradores pueden configurar, gestionar y supervisar los cortafuegos de Palo Alto Networks mediante la interfaz web, la CLI y las interfaces de gestión de la API. El acceso administrativo basado en funciones a las interfaces de gestión puede personalizarse para delegar tareas o permisos específicos a determinados administradores. Consulte los siguientes temas para obtener información sobre opciones de gestión de dispositivos, incluido cómo empezar a utilizar las interfaces de gestión y cómo personalizar las funciones de administrador:
Interfaces de gestión
Gestión de administradores de cortafuegos
Referencia: acceso de administrador a la interfaz web
Gestión de dispositivos
49
Interfaces de gestión
Gestión de dispositivos
Interfaces de gestión Los cortafuegos de PAN-OS y Panorama proporcionan tres interfaces de usuario: una interfaz web, una interfaz de línea de comandos (CLI) y una API REST de gestión. Consulte los siguientes temas para saber cómo acceder a cada una de las interfaces de gestión de dispositivos y cómo empezar a utilizarlas:
Uso de la interfaz web para realizar tareas administrativas y generar informes desde la interfaz web con relativa facilidad. Esta interfaz gráfica le permite acceder al cortafuegos con HTTPS y es la mejor forma de realizar tareas administrativas.
Uso de la interfaz de línea de comandos (CLI) para escribir los comandos con rapidez para realizar una serie de tareas. La CLI es una interfaz sencilla que admite dos modos de comandos, cada uno de los cuales con su propia jerarquía de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis de los comandos, la CLI permite tiempos de respuesta rápidos y ofrece eficacia administrativa.
Uso de la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes desarrollados internamente. La API XML se proporciona como servicio web implementado usando solicitudes y respuestas de HTTP/HTTPS.
Uso de la interfaz web Los siguientes exploradores web son compatibles para acceder a la interfaz web de cortafuegos de PAN-OS y Panorama:
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
Abra un explorador de Internet e introduzca la dirección IP del cortafuegos. Introduzca sus credenciales de usuario. Si inicia sesión en el cortafuegos por primera vez, escriba el administrador predeterminado (admin) en los campos Nombre y Contraseña. Para ver información sobre cómo utilizar una página específica y una explicación de los campos y opciones de la página, haga clic en el icono Ayuda del área superior derecha de la página para abrir el sistema de ayuda en línea. Además de mostrar ayuda contextual de una página, al hacer clic en el icono Ayuda se muestra un panel de navegación de ayuda con opciones para examinar todo el contenido de la ayuda y buscar en él. Los siguientes temas describen cómo empezar a utilizar la interfaz web del cortafuegos:
Navegación en la interfaz web
Compilación de cambios
Uso de páginas de configuración
Campos obligatorios
Bloqueo de transacciones
50
Gestión de dispositivos
Gestión de dispositivos
Interfaces de gestión
Navegación en la interfaz web Se aplican las siguientes convenciones cuando utilice la interfaz web.
Para mostrar los elementos del menú para una categoría de funciones general, haga clic en la pestaña, como Objetos o Dispositivo, junto a la parte superior de la ventana del explorador.
Haga clic en un elemento en el menú lateral para mostrar un panel.
Para mostrar los elementos del menú secundario, haga clic en el icono a la izquierda de un elemento. Para ocultar elementos del menú secundario, haga clic en el icono a la izquierda del elemento.
En la mayoría de las páginas de configuración, puede hacer clic en Añadir para crear un nuevo elemento.
Para eliminar uno o más elementos, seleccione sus casillas de verificación y haga clic en Eliminar. En la mayoría de los casos, el sistema le solicita confirmar haciendo clic en ACEPTAR o cancelar la eliminación haciendo clic en Cancelar.
En algunas páginas de configuración, puede seleccionar la casilla de verificación de un elemento y hacer clic en Duplicar para crear un nuevo elemento con la misma información que el elemento seleccionado.
Gestión de dispositivos
51
Interfaces de gestión
Gestión de dispositivos
Para modificar un elemento, haga clic en su enlace subrayado.
Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior derecha de la página. La ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la lista desplegable Mostrar para filtrar la lista de tareas.
Si no se define una preferencia de idioma, el idioma de la interfaz web estará controlado por el idioma actual del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que utiliza para gestionar el cortafuegos tiene como idioma establecido el español, cuando inicia sesión en el cortafuegos, la interfaz web estará en español.
Para especificar un idioma que se utilizará siempre para una cuenta específica independientemente de la configuración regional del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la página y se abrirá la ventana Preferencia de idioma. Haga clic en la lista desplegable para seleccionar el idioma que desee y, a continuación, haga clic en ACEPTAR para guardar los cambios.
En páginas donde aparecen informaciones que puede modificar (por ejemplo, la página Configuración en la pestaña Dispositivos), haga clic en el icono en la esquina superior derecha de una sección para editar los ajustes.
52
Gestión de dispositivos
Gestión de dispositivos
Interfaces de gestión
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para almacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuración actual de “candidato”.
Compilación de cambios Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de diálogo Compilar.
Las siguientes opciones están disponibles en el cuadro de diálogo compilar. Haga clic en el enlace Avanzado, si es necesario, para mostrar las opciones: –
Incluir configuración de dispositivo y red: Incluir los cambios de configuración de dispositivo y red en la
operación de compilación. –
Incluir configuración de objeto compartido:
(solo cortafuegos de sistemas virtuales) Incluir los cambios de configuración de objetos compartidos en la operación de compilación.
–
Incluir políticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios de configuración
de objetos y políticas en la operación de compilación. –
Incluir configuración del sistema virtual: más sistemas virtuales.
–
Vista previa de cambios: Haga clic en este botón para devolver una ventana con dos paneles que muestra
Incluir todos los sistemas virtuales o elegir Seleccionar uno o
los cambios propuestos en la configuración del candidato en comparación con la configuración actualmente en ejecución. Puede seleccionar el número de líneas de contexto para mostrar o mostrar todas las líneas. Los cambios están indicados con colores dependiendo de los elementos que se han agregado, modificado o eliminado.
Gestión de dispositivos
53
Interfaces de gestión
Gestión de dispositivos
Uso de páginas de configuración Las tablas en las páginas de configuración incluyen opciones para escoger columnas y orden. Haga clic en el encabezado de una columna para ordenar en esa columna y haga clic de nuevo para cambiar el orden. Haga clic en la flecha a la derecha de cualquier columna y seleccione casillas de verificación para elegir qué columnas mostrar.
Campos obligatorios Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratón o hace clic en el área de entrada del campo, aparece un mensaje indicando que el campo es obligatorio.
Bloqueo de transacciones La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de configuración o compilación de información por otro administrador hasta que se elimine el bloqueo. Se permiten los siguientes tipos de bloqueo:
Bloqueo de configuración: Bloquea la realización de cambios en la configuración por otros administradores. Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. Solo puede eliminarse por el administrador que lo configuró o por un superusuario del sistema.
Bloqueo de compilación:
Bloquea los cambios de compilación por parte de otros administradores hasta que se liberen todos los bloqueos. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando dos administradores están realizando cambios a la vez y el primer administrador finaliza y compila cambios antes de que finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios actuales por el administrador que aplicó el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones actuales que están bloqueadas junto con una marca de tiempo para cada una.
54
Gestión de dispositivos
Gestión de dispositivos
Interfaces de gestión
Para bloquear una transacción, haga clic en el icono desbloqueado en la barra superior para abrir el cuadro de diálogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el ámbito del bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales como sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. La transacción está bloqueada y el icono en la barra superior cambia por un icono bloqueado que muestra el número de elementos bloqueados en las paréntesis.
Para desbloquear una transacción, haga clic en el icono bloqueado en la barra superior para abrir la ventana Bloqueos. Haga clic en el icono del bloqueo que desea eliminar y haga clic en Sí para confirmar. Haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. Puede organizar la adquisición de un bloqueo de compilación de forma automática seleccionando la casilla de verificación Adquirir bloqueo de compilación automáticamente en el área de administración de la página Configuración de dispositivo.
Uso de la interfaz de línea de comandos (CLI) La CLI de PAN-OS le permite acceder a cortafuegos y dispositivos de Panorama, ver información de estado y configuración y modificar configuraciones. El acceso a la CLI de PAN-OS se proporciona a través de SSH, Telnet o acceso directo a la consola. Los siguientes temas describen cómo acceder a la CLI de PAN-OS y cómo empezar a utilizarla:
Acceso a la CLI de PAN-OS
Modos de operación y configuración
Para obtener más información sobre la CLI, consulte la Guía de referencia de la interfaz de línea de comandos de PAN-OS.
Acceso a la CLI de PAN-OS Antes de empezar, verifique que el cortafuegos está instalado y que se ha establecido una conexión de SSH, Telnet o directa con la consola. Utilice la siguiente configuración en la conexión directa de la consola: • Tasa de datos: 9600 • Bits de datos: 8 • Paridad: No • Bits de terminación: 1 • Control de flujo: Ninguna
Gestión de dispositivos
55
Interfaces de gestión
Gestión de dispositivos
Acceso a la CLI de PAN-OS
Paso 1
Abra la conexión de la consola.
Paso 2
Introduzca el nombre de usuario administrativo. El valor predeterminado es admin.
Paso 3
Introduzca la contraseña administrativa. El valor predeterminado es admin.
Paso 4
La CLI de PAN-OS se abre en el modo de operación y se muestra el siguiente mensaje de la CLI: username@hostname>
Modos de operación y configuración Cuando inicie sesión, la CLI de PAN-OS se abre en el modo de operación. Puede alternar entre los modos de operación y navegación en cualquier momento. Utilice el modo de operación para ver el estado del sistema, navegar por la CLI de PAN-OS y acceder al modo de configuración. Utilice el modo de configuración para ver y modificar la jerarquía de configuración.
Para entrar en el modo de configuración desde el modo de operación, utilice el comando configure : username@hostname> configure Entering configuration mode [editar] username@hostname#
Para salir del modo de configuración y regresar al modo de operación, utilice el comando quit o exit: username@hostname# quit Exiting configuration mode username@hostname>
Para introducir un comando del modo de operación mientras está en el modo de configuración, utilice el comando run; por ejemplo:
username@hostname# run ping host 1.1.1.2 PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data ... username@hostname#
56
Para dirigir un comando del modo de operación a un VSYS en particular, especifique el VSYS de destino con el siguiente comando: username@hostname# set system setting target-vsys
Gestión de dispositivos
Gestión de dispositivos
Interfaces de gestión
Uso de la API XML La API XML de Palo Alto Networks utiliza solicitudes HTTP estándar para enviar y recibir datos, lo que permite el acceso a varios tipos de datos en el dispositivo para que los datos puedan integrarse fácilmente con otros sistemas y utilizarse en ellos. Utilice la API REST de gestión para ver la configuración de un cortafuegos o Panorama, extraer datos de informes en formato XML y ejecutar comandos de operación. Las llamadas de la API se pueden realizar directamente desde utilidades de la línea de comandos como cURL o wget o usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la REST. Al utilizar la API con herramientas de líneas de comandos, se admiten tanto el método GET como el método POST de HTTP. Debe generar una clave de API para empezar a utilizar la API XML. La clave de API autentica al usuario para el cortafuegos, la aplicación o Panorama. Después de haber generado una clave de API, puede utilizar la clave para realizar la configuración del dispositivo y tareas de operación, recuperar informes y logs e importar y exportar archivos. Consulte Generación de una clave de API para conocer los pasos necesarios para generar una clave de API. La siguiente tabla muestra la estructura de URL para solicitudes de la API: Estructura de URL de la API XML
Antes de PAN-OS 4.1.0
http(s)://hostname/esp/restapi.esp?request-parameters-values
PAN-OS 4.1.0 y posterior
http(s)://hostname/api/?request-parameters-values
Definiciones de elementos de la estructura de URL: • hostname: Dirección IP o nombre de dominio del dispositivo. • request-parameters-values: Serie de varios pares de ‘parámetro=valor’ separados por el carácter &. Estos valores pueden ser palabras clave o valores de datos en formato estándar o XML (los datos de respuesta siempre están en formato XML).
Existen diferentes API para productos PAN-OS, User-ID y WildFire. Para obtener más información sobre cómo utilizar la interfaz de la API, consulte la PAN-OS XML API Usage Guide (Guía de uso de la API XML de PAN-OS). Para acceder a la comunidad en línea para desarrollar secuencias de comandos, visite: https://live.paloaltonetworks.com/community/devcenter.
Generación de una clave de API Para utilizar la API para gestionar un cortafuegos o una aplicación, se necesita una clave de API para autenticar todas las llamadas de la API. Se utilizan credenciales de cuenta de administrador para generar claves de API. La práctica recomendada es crear una cuenta de administrador separada para la administración basada en XML.
Gestión de dispositivos
57
Interfaces de gestión
Gestión de dispositivos
Generación de una clave de API
Paso 1
Paso 2
Cree una cuenta de administrador.
Solicite una clave de API.
1.
En la interfaz web, en la pestaña Dispositivo > Administradores, haga clic en Añadir.
2.
Introduzca un Nombre de inicio de sesión para el administrado.
3.
Introduzca y confirme una Contraseña para el administrador.
4.
Haga clic en ACEPTAR y Confirmar.
Sustituya los parámetros hostname, username y password de la siguiente URL por los valores adecuados de sus credenciales de cuenta de administrador: http(s)://hostname/api/?type=keygen&user=username&password =password
La clave de API aparecerá en un bloque XML. Por ejemplo: 0RgWc42Oi0vDx2WRUIUM6A Paso 3
1.
En la pestaña Dispositivo > Administradores, abra la cuenta de administrador asociada a la clave de API.
2. Para PAN-OS 4.1.0 y versiones posteriores, cada vez que se genera una clave de API con las mismas credenciales 3. de cuenta de administrador, se devuelven claves de API exclusivas; además, todas las claves son válidas. 4. Puede decidir revocar y, a continuación, cambiar una clave de API asociada a una cuenta de administrador cambiando la contraseña asociada a la cuenta de administrador. Las claves de API generadas con las credenciales anteriores dejarán de ser válidas.
Introduzca y confirme una nueva Contraseña para la cuenta de administrador.
(Opcional) Revoque o cambie una clave de API.
Haga clic en ACEPTAR y Confirmar. Las claves de API asociadas a la cuenta de administrador antes del cambio de contraseña se revocarán al seleccionar Confirmar. (Opcional) Utilice las credenciales de cuenta de administrador actualizadas para generar una nueva clave de API. Consulte Paso 2.
Ejemplo de flujo de trabajo utilizando una clave de API: Solicite una clave de API introduciendo la URL con los valores adecuados en un explorador web: https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin Al introducir la URL, aparecerá un bloque XML que contiene la clave de API: 0RgWc42Oi0vDx2WRUIUM6A Siga utilizando la clave de API para crear solicitudes de la API. Por ejemplo, para generar un informe: https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&rep ortname=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM 6A=
58
Gestión de dispositivos
Gestión de dispositivos
Gestión de administradores de cortafuegos
Gestión de administradores de cortafuegos Cada cortafuegos y dispositivo de Palo Alto Networks viene preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso completo de lectura-escritura (también conocido como acceso de superusuario) al dispositivo. Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las funciones de administración o informes del cortafuegos. Esto le permite proteger mejor el dispositivo de la configuración (o modificación) no autorizada y registrar en logs las acciones de cada uno de los administradores.
Los siguientes temas describen las diversas formas de configurar cuentas administrativas y ofrecen procedimientos para configurar accesos administrativos básicos:
Funciones administrativas
Autenticación administrativa
Creación de una cuenta administrativa
Funciones administrativas El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su organización, de que tenga servicios de autenticación previos que desee integrar y del número de funciones administrativas que necesite. Una función define el tipo de acceso al sistema que tiene el administrador asociado. Se pueden asignar dos tipos de funciones:
Funciones dinámicas: Funciones integradas que proporcionan acceso al cortafuegos en las categorías de superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones dinámicas solo tendrá que preocuparse de actualizar las definiciones de función, ya que se añaden nuevas características cuando las funciones se actualizan automáticamente.
Perfiles de función de administrador: Le permiten crear sus propias definiciones de función para ofrecer un control de acceso más granular a las diversas áreas funcionales de la interfaz web, CLI o API XML. Por ejemplo, podría crear un perfil de función de administrador para su personal de operaciones que proporcione acceso a las áreas de configuración de red y dispositivo de la interfaz web y un perfil separado para los administradores de seguridad que proporcione acceso a la definición de política de seguridad, logs e informes. Tenga en cuenta que con los perfiles de función de administrador deberá actualizar los perfiles para asignar privilegios de forma explícita para nuevos componentes/características que se añadan al producto.
Gestión de dispositivos
59
Gestión de administradores de cortafuegos
Gestión de dispositivos
Autenticación administrativa Hay cuatro formas de autenticar a usuarios administrativos:
Cuenta de administrador local con autenticación local: Tanto las credenciales de la cuenta de administrador como los mecanismos de autenticación son locales para el cortafuegos. Puede añadir un nivel de protección adicional a la cuenta del administrador local creando un perfil de contraseña que defina un período de validez para las contraseñas y estableciendo ajustes de complejidad de la contraseña para todo el dispositivo.
Cuenta de administrador local con autenticación basada en SSL: Con esta opción, puede crear las cuentas de administrador en el cortafuegos, pero la autenticación se basa en certificados SSH (para acceso a CLI) o certificados de cliente/tarjetas de acceso común (para la interfaz web). Consulte el artículo How to Configure Certificate-based Authentication for the WebUI (Cómo configurar la autenticación basada en certificados para la IU web) para obtener información sobre cómo configurar este tipo de acceso administrativo.
Cuenta de administrador local con autenticación externa: Las cuentas de administrador se gestionan en el cortafuegos local, pero las funciones de autenticación se derivan a un servicio LDAP, Kerberos o RADIUS existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticación que defina el modo de acceso al servicio de autenticación externa y después crear una cuenta para cada administrador que haga referencia al perfil.
Cuenta y autenticación de administrador externas: La administración y la autenticación de la cuenta las
gestiona un servidor RADIUS externo. Para usar esta opción, primero debe definir atributos específicos de proveedor (VSA) en su servidor RADIUS que se asignen a la función de administrador y, de manera opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte el artículo Radius Vendor Specific Attributes (VSA) (Atributos específicos de proveedor [VSA] en Radius) para obtener información sobre cómo configurar este tipo de acceso administrativo.
Creación de una cuenta administrativa Cree cuentas administrativas para definir privilegios de acceso y administrativos para administradores de cortafuegos. Como es común delegar tareas administrativas específicas a administradores determinados con funciones variables, Palo Alto Networks le recomienda que cree perfiles de función de administrador que permitan que los administradores accedan únicamente a las áreas de la interfaz de gestión que sean necesarias para realizar sus trabajos. Puede asignar las distintas funciones que cree a cuentas de administrador individuales y especificar privilegios de acceso a cada interfaz de gestión: la interfaz web, la interfaz de línea de comandos (CLI) y la API REST de gestión. Mediante la creación de funciones de administrador con privilegios de acceso muy detallados, puede garantizar la protección de los datos confidenciales de la empresa y la privacidad de los usuarios finales. El siguiente procedimiento describe cómo crear una cuenta de administrador local con autenticación local, lo que incluye cómo configurar el acceso de administrador para cada interfaz de gestión.
60
Gestión de dispositivos
Gestión de dispositivos
Gestión de administradores de cortafuegos
Creación de un administrador local
Paso 1
Cree los perfiles de función de administrador que tenga la intención de asignar a sus administradores (esto no es aplicable si tiene la intención de utilizar funciones dinámicas). Los perfiles de función de administrador definen qué tipo de acceso dar a las diferentes secciones de la interfaz web, CLI y API XML para cada administrador al que asigne una función.
Complete los siguientes pasos para cada función que desee crear: 1. Seleccione Dispositivo > Funciones de administrador y, a continuación, haga clic en Añadir. 2.
Introduzca un nombre y, opcionalmente, una descripción para la función.
3.
En las pestañas Interfaz web, Línea de comandos y/o API XML, especifique el acceso que debe permitirse a cada interfaz de gestión: • En las fichas Interfaz web y/o API XML, establezca los niveles de acceso para cada área funcional de la interfaz haciendo clic en el icono para cambiarlo al ajuste deseado: Habilitar , Solo lectura o Deshabilitar .
Puede utilizar este paso para establecer privilegios de acceso especialmente detallados para usuarios de la interfaz web. Si desea información detallada sobre qué habilita una opción específica en la pestaña Interfaz web, consulte Privilegios de acceso a la interfaz web.
• En la ficha Línea de comandos, especifique el tipo de acceso que permitirá a la CLI: superlector, deviceadmin o devicereader (para funciones de dispositivo); vsysadmin o vsysreader (para funciones de sistema virtual); o Ninguno para deshabilitar completamente el acceso a la CLI. 4.
Haga clic en Aceptar para guardar el perfil.
Por ejemplo, conceda a un administrador un acceso completo a un dispositivo mediante la API XML, con la excepción de la importación o la exportación de archivos:
Gestión de dispositivos
61
Gestión de administradores de cortafuegos
Gestión de dispositivos
Creación de un administrador local (Continuación)
Paso 2
(Opcional) Establezca requisitos para contraseñas definidas por usuarios locales.
• Crear perfiles de contraseña: Defina la frecuencia con que los administradores deberán cambiar sus contraseñas. Puede crear varios perfiles de contraseña y aplicarlos a las cuentas de administrador según sea necesario para imponer la seguridad deseada. Para crear un perfil de contraseña, seleccione Dispositivo > Perfiles de la contraseña y, a continuación, haga clic en Añadir. • Configurar ajustes de complejidad mínima de la contraseña: Defina reglas que rijan la complejidad de la contraseña, lo que obligará a los administradores a crear contraseñas más difíciles de adivinar, descifrar o evitar. A diferencia de los perfiles de contraseña, que se pueden aplicar a cuentas individuales, estas reglas son para todo el dispositivo y se aplican a todas las contraseñas. Para configurar los ajustes, seleccione Dispositivo > Configuración y, a continuación, haga clic en el icono Editar de la sección Complejidad de contraseña mínima.
Paso 3
62
Cree una cuenta para cada administrador. 1.
Seleccione Dispositivo > Administradores y, a continuación, haga clic en Añadir.
2.
Introduzca un Nombre de usuario y una Contraseña para el administrador, o cree un Perfil de autenticación para utilizarlo para validar las credenciales de un usuario administrativo en un servidor de autenticación externo. Consulte el Paso 4 para obtener detalles sobre cómo configurar un perfil de autenticación.
3.
Seleccione la función que se asignará a este administrador. Puede seleccionar una de las funciones dinámicas predefinidas o un perfil basado en función personalizado si ha creado uno en el Paso 1.
4.
(Opcional) Seleccione un perfil de contraseña.
5.
Haga clic en ACEPTAR para guardar la cuenta.
Gestión de dispositivos
Gestión de dispositivos
Gestión de administradores de cortafuegos
Creación de un administrador local (Continuación)
Paso 4
(Opcional) Configure la autenticación en 1. un servidor externo: LDAP, RADIUS o Kerberos. 2. El perfil de servidor especifica el modo en el que el cortafuegos puede conectarse al 3. servicio de autenticación que tiene la intención de utilizar.
Seleccione Dispositivo > Perfil de autenticación y, a continuación, haga clic en Añadir. Introduzca un nombre de usuario para identificar un perfil de autenticación. Defina las condiciones para bloquear al usuario administrativo. a. Introduzca el tiempo de bloqueo. Este es el número de minutos que se bloquea a un usuario cuando alcanza el número máximo de intentos fallidos (0-60 minutos; de forma predeterminada es 0). 0 significa que el bloqueo continuará mientras que no se desbloquee manualmente. b. Introduzca el valor en Intentos fallidos. Número de intentos de inicio de sesión fallidos que se permiten antes de bloquear la cuenta (1-10; de forma predeterminada es 0). De forma predeterminada, el número de intentos fallidos es 0, por lo que no se bloquea al usuario aunque la autenticación falle repetidamente.
4.
Especifique a los usuarios y grupos que tienen permiso explícito para autenticar. Al añadir una Lista de permitidas a un perfil de autenticación, puede limitar el acceso a usuarios específicos de un grupo/directorio de usuarios. • Seleccione la casilla de verificación Todos para permitir a todos los usuarios. • Haga clic en Añadir e introduzca los primeros caracteres de un nombre en el campo para que aparezca una lista de todos los usuarios y grupos de usuarios que empiezan por esos caracteres. Repita el proceso para añadir tantos usuarios/grupos de usuarios como sea necesario.
5.
En el menú desplegable Autenticación, seleccione el tipo de autenticación que tiene la intención de utilizar en su red. Si tiene la intención de utilizar una autenticación de base de datos local, deberá crear la base de datos local. Seleccione Dispositivo > Base de datos de usuario local y añada los usuarios y grupos que se autenticarán.
Paso 5
Compile los cambios.
Gestión de dispositivos
6.
Para acceder a un servidor de autenticación externo (que no sea una base de datos local), seleccione el perfil de servidor adecuado en el menú desplegable Perfil de servidor. Para crear un nuevo perfil de servidor, haga clic en el enlace junto a Nuevo y continúe con la configuración del acceso al servidor LDAP, RADIUS o Kerberos.
7.
Haga clic en ACEPTAR.
1.
Haga clic en Confirmar.
63
Referencia: acceso de administrador a la interfaz web
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web Consulte los temas siguientes para obtener información detallada sobre las opciones necesarias para establecer privilegios de acceso especialmente detallados para administradores de la interfaz web de PAN-OS y Panorama.
Privilegios de acceso a la interfaz web
Acceso a la interfaz web de Panorama
Privilegios de acceso a la interfaz web Si desea impedir que un administrador basado en funciones acceda a pestañas específicas de la interfaz web, puede deshabilitar la pestaña y el administrador ni siquiera la verá cuando inicie sesión con la cuenta administrativa basada en funciones asociada. Por ejemplo, podría crear un perfil de función de administrador para su personal de operaciones que únicamente proporcione acceso a las pestañas Dispositivo y Red y un perfil separado para los administradores de seguridad que proporcione acceso a las pestañas Objetos, Política y Supervisar. La siguiente tabla describe los privilegios de acceso a nivel de pestaña que puede asignar al perfil de función de administrador. También proporciona referencias cruzadas a tablas adicionales que indican los privilegios detallados dentro de una pestaña. Para obtener información específica sobre cómo establecer el perfil de función de administrador para proteger la privacidad del usuario final, consulte Definición de ajustes de privacidad de usuario en el perfil de función de administrador. Nivel de acceso
Descripción
Panel
ACC
Habilitar
Solo lectura
Deshabilitar
Controla el acceso a la pestaña Panel. Si Sí deshabilita este privilegio, el administrador no verá la pestaña ni tendrá acceso a ninguno de los widgets del panel.
No
Sí
Controla el acceso al Centro de comando de aplicación (ACC). Si deshabilita este privilegio, la pestaña ACC no aparecerá en la interfaz web. Recuerde que si quiere proteger la privacidad de sus usuarios y a la vez seguir proporcionando acceso al ACC, puede deshabilitar la opción
No
Sí
Sí
Privacidad > Mostrar direcciones IP completas
y/o la opción Mostrar nombres de usuario en logs e informes.
64
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Descripción
Supervisar
Solo lectura
Deshabilitar
Controla el acceso a la pestaña Supervisar. Si Sí deshabilita este privilegio, el administrador no verá la pestaña Supervisar ni tendrá acceso a ninguno de los logs, capturas de paquetes, información de sesión, informes o Appscope. Para obtener un control más detallado sobre qué información de supervisión puede ver el administrador, deje la opción Supervisar habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Supervisar.
No
Sí
Políticas
Controla el acceso a la pestaña Políticas. Si Sí deshabilita este privilegio, el administrador no verá la pestaña Políticas ni tendrá acceso a ninguna información de política. Para obtener un control más detallado sobre qué información de políticas puede ver el administrador, por ejemplo, para habilitar el acceso a un tipo de política específico o para habilitar el acceso de solo lectura a información de políticas, deje la opción Políticas habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Política.
No
Sí
Objetos
Controla el acceso a la pestaña Objetos. Si Sí deshabilita este privilegio, el administrador no verá la pestaña Objetos ni tendrá acceso a ninguno de los objetos, perfiles de seguridad, perfiles de reenvío de logs, perfiles de descifrado o programaciones. Para obtener un control más detallado sobre qué objetos puede ver el administrador, deje la opción Objetos habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Objetos.
No
Sí
Red
Controla el acceso a la pestaña Red. Si deshabilita Sí este privilegio, el administrador no verá la pestaña Red ni tendrá acceso a ninguna información de configuración de interfaz, zona, VLAN, Virtual Wire, enrutador virtual, túnel de IPSec, DHCP, proxy DNS, GlobalProtect o QoS o a los perfiles de red. Para obtener un control más detallado sobre qué objetos puede ver el administrador, deje la opción Red habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Red.
No
Sí
Gestión de dispositivos
Habilitar
65
Referencia: acceso de administrador a la interfaz web
Gestión de dispositivos
Nivel de acceso
Descripción
Dispositivo
Controla el acceso a la pestaña Dispositivo. Si Sí deshabilita este privilegio, el administrador no verá la pestaña Dispositivo ni tendrá acceso a ninguna información de configuración de todo el dispositivo, como información de configuración de User-ID, alta disponibilidad, perfil de servidor o certificado. Para obtener un control más detallado sobre qué objetos puede ver el administrador, deje la opción Objetos habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Dispositivo. Nota
Habilitar
Solo lectura
Deshabilitar
No
Sí
No puede habilitar el acceso a los nodos Funciones de administrador o Administradores para un administrador basado en funciones aunque habilite un acceso completo a la pestaña Dispositivo.
Acceso detallado a la pestaña Supervisar En algunos casos, puede que desee habilitar al administrador para que vea algunas pero no todas las áreas de la pestaña Supervisar. Por ejemplo, puede que desee restringir el acceso de los administradores de operaciones únicamente a los logs de configuración y sistema debido a que no contienen datos de usuario confidenciales. Aunque esta sección de la definición de función de administrador especifica qué áreas de la pestaña Supervisar puede ver el administrador, también puede emparejar los privilegios de esta sección con privilegios de privacidad, como deshabilitar la capacidad de ver nombres de usuarios en logs e informes. Sin embargo, debe recordar que todos los informes generados por el sistema seguirán mostrando nombres de usuario y direcciones IP aunque deshabilite dicha funcionalidad en la función. Por este motivo, si no desea que el administrador vea ninguna de la información de usuario privada, debería deshabilitar el acceso a informes específicos como se indica en la tabla siguiente. Nivel de acceso
Descripción
Supervisar
Habilita o deshabilita el acceso a la pestaña Sí Supervisar. Si está deshabilitado, el administrador no verá esta pestaña ni ninguno de los logs o informes asociados.
66
Habilitar
Solo lectura
Deshabilitar
No
Sí
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Descripción
Logs
Solo lectura
Deshabilitar
Habilita o deshabilita el acceso a todos los Sí archivos de log. También puede dejar este privilegio habilitado y, a continuación, deshabilitar logs específicos que no quiera que vea el administrador. Recuerde que si quiere proteger la privacidad de sus usuarios y a la vez seguir proporcionando acceso a uno o más de los logs, puede deshabilitar la opción Privacidad > Mostrar direcciones IP completas y/o la opción Mostrar nombres de usuario en logs e informes.
No
Sí
Tráfico
Especifica si el administrador puede ver los logs de Sí tráfico.
No
Sí
Amenaza
Especifica si el administrador puede ver los logs de Sí amenaza.
No
Sí
Filtrado de URL
Especifica si el administrador puede ver los logs de Sí filtrado de URL.
No
Sí
Envíos de WildFire
Especifica si el administrador puede ver los logs de Sí WildFire. Estos logs solamente están disponibles si tiene una suscripción a WildFire.
No
Sí
Filtrado de datos
Especifica si el administrador puede ver los logs de Sí filtrado de datos.
No
Sí
Coincidencias HIP
Especifica si el administrador puede ver los logs de Sí coincidencias HIP. Los logs de coincidencias HIP solamente están disponibles si tiene una suscripción a la puerta de enlace y una licencia de portal de GlobalProtect.
No
Sí
Configuración
Especifica si el administrador puede ver los logs de Sí configuración.
No
Sí
Sistema
Especifica si el administrador puede ver los logs de Sí sistema.
No
Sí
Alarmas
Especifica si el administrador puede ver las alarmas generadas por el sistema.
Sí
No
Sí
Captura de paquetes
Especifica si el administrador puede ver capturas Sí de paquetes (pcaps) desde la pestaña Supervisar. Recuerde que las capturas de paquetes son datos de flujo sin procesar y, por lo tanto, pueden contener direcciones IP de usuarios. Si deshabilita los privilegios Mostrar direcciones IP completas, no ocultará la dirección IP en la pcap y, por ello, debería deshabilitar el privilegio Captura de paquetes si le preocupa la privacidad del usuario.
Sí
Sí
Gestión de dispositivos
Habilitar
67
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Descripción
Appscope
Gestión de dispositivos
Solo lectura
Deshabilitar
Especifica si el administrador puede ver las Sí herramientas de análisis y visibilidad de Appscope. Al habilitar Appscope, permite el acceso a todos los gráficos de Appscope.
No
Sí
Explorador de sesión
Especifique si el administrador puede examinar y Sí filtrar las sesiones que se están ejecutando actualmente en el cortafuegos. Recuerde que el explorador de sesión muestra datos de flujo sin procesar y, por lo tanto, puede contener direcciones IP de usuarios. Si deshabilita los privilegios Mostrar direcciones IP completas, no ocultará la dirección IP en el explorador de sesión y, por ello, debería deshabilitar el privilegio Explorador de sesión si le preocupa la privacidad del usuario.
No
Sí
Botnet
Especifica si el administrador puede generar y ver Sí informes de análisis de Botnet o ver informes de Botnet en modo de solo lectura. Si deshabilita los privilegios Mostrar direcciones IP completas, no ocultará la dirección IP en informes de Botnet programados y, por ello, debería deshabilitar el privilegio Botnet si le preocupa la privacidad del usuario.
Sí
Sí
Informes en PDF
Habilita o deshabilita el acceso a todos los informes Sí en PDF. También puede dejar este privilegio habilitado y, a continuación, deshabilitar informes en PDF específicos que no quiera que vea el administrador. Recuerde que si quiere proteger la privacidad de sus usuarios y a la vez seguir proporcionando acceso a uno o más de los informes, puede deshabilitar la opción Privacidad > Mostrar direcciones IP completas y/o la opción Mostrar nombres de usuario en logs e informes.
No
Sí
Gestionar resumen de PDF
Especifica si el administrador puede ver, añadir o Sí eliminar definiciones de informes de resumen en PDF. Con el acceso de solo lectura, el administrador puede ver definiciones de informes de resumen en PDF, pero no puede añadirlas ni eliminarlas. Si deshabilita esta opción, el administrador no podrá ver las definiciones de informes ni añadirlas o eliminarlas.
Sí
Sí
68
Habilitar
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Descripción
Informes de resumen en PDF
Solo lectura
Deshabilitar
Especifica si el administrador puede ver los Sí informes de resumen en PDF generados en Supervisar > Informes. Si deshabilita esta opción, la categoría Informes de resumen en PDF no se mostrará en el nodo Informes.
No
Sí
Informe de actividad del Especifica si el administrador puede ver, añadir o Sí usuario eliminar definiciones de informes de actividad del usuario y descargar los informes. Con el acceso de solo lectura, el administrador puede ver definiciones de informes de actividad del usuario, pero no puede añadirlas, eliminarlas ni descargarlas. Si deshabilita esta opción, el administrador no podrá ver esta categoría de informe en PDF.
Sí
Sí
Especifica si el administrador puede ver, añadir o Sí eliminar definiciones de grupos de informes. Con el acceso de solo lectura, el administrador puede ver definiciones de grupos de informes, pero no puede añadirlas ni eliminarlas. Si deshabilita esta opción, el administrador no podrá ver esta categoría de informe en PDF.
Sí
Sí
Programador de correo Especifica si el administrador puede programar Sí electrónico grupos de informes para correo electrónico. Dado que los informes generados que se envían por correo electrónico pueden contener datos de usuario confidenciales que no se eliminan al deshabilitar la opción Privacidad > Mostrar direcciones IP completas y/o la opción Mostrar nombres de usuario en logs e informes y dado que también pueden mostrar datos de log a los que el administrador no tenga acceso, debería deshabilitar la opción Programador de correo electrónico si tiene requisitos de privacidad de usuario.
Sí
Sí
Grupos de informes
Gestión de dispositivos
Habilitar
69
Referencia: acceso de administrador a la interfaz web
Gestión de dispositivos
Nivel de acceso
Descripción
Habilitar
Solo lectura
Deshabilitar
Gestionar informes personalizados
Habilita o deshabilita el acceso a toda la Sí funcionalidad de informe personalizado. También puede dejar este privilegio habilitado y, a continuación, deshabilitar categorías de informes personalizados específicas a los que no quiera que el administrador pueda acceder. Recuerde que si quiere proteger la privacidad de sus usuarios y a la vez seguir proporcionando acceso a uno o más de los informes, puede deshabilitar la opción
No
Sí
Sí
No
Sí
Log de filtrado de datos Especifica si el administrador puede crear un informe personalizado que incluya datos del log de filtrado de datos.
Sí
No
Sí
Especifica si el administrador puede crear un informe personalizado que incluya datos del log de amenaza.
Sí
No
Sí
Sí
No
Sí
Privacidad > Mostrar direcciones IP completas
y/o la opción Mostrar nombres de usuario en logs e informes. Nota
Estadísticas de aplicación
Registro de amenaza
Los informes programados para ejecutarse en lugar de ejecutarse a petición mostrarán la dirección IP e información de usuario. En este caso, asegúrese de restringir el acceso a las áreas de informe correspondientes. Además, la función de informe personalizado no restringe la capacidad de generar informes que contengan datos de log incluidos en logs que estén excluidos de la función de administrador.
Especifica si el administrador puede crear un informe personalizado que incluya datos de la base de datos de estadísticas de aplicación.
Resumen de amenaza Especifica si el administrador puede crear un informe personalizado que incluya datos de la base de datos de resumen de amenaza. Registro de tráfico
Especifica si el administrador puede crear un informe personalizado que incluya datos del log de tráfico.
Sí
No
Sí
Resumen de tráfico
Especifica si el administrador puede crear un informe personalizado que incluya datos de la base de datos de resumen de tráfico.
Sí
No
Sí
Registro de URL
Especifica si el administrador puede crear un informe personalizado que incluya datos del log de filtrado de URL.
Sí
No
Sí
70
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Descripción
Habilitar
Solo lectura
Deshabilitar
Coincidencia HIP
Especifica si el administrador puede crear un informe personalizado que incluya datos del log de coincidencias HIP.
Sí
No
Sí
Ver informes personalizados programados
Especifica si el administrador puede ver un informe personalizado que se haya programado para su generación.
Sí
No
Sí
Especifica si el administrador puede ver informes Sí Ver informes de aplicación predefinidos de aplicación. Los privilegios de privacidad no afectan a los informes disponibles en el nodo Supervisar > Informes y, por lo tanto, debería deshabilitar el acceso a los informes si tiene requisitos de privacidad de usuario.
No
Sí
Ver informes de Especifica si el administrador puede ver informes Sí amenazas predefinidos de amenazas. Los privilegios de privacidad no afectan a los informes disponibles en el nodo Supervisar > Informes y, por lo tanto, debería deshabilitar el acceso a los informes si tiene requisitos de privacidad de usuario.
No
Sí
Ver informes de filtrado Especifica si el administrador puede ver informes Sí de URL predefinidos de filtrado de URL. Los privilegios de privacidad no afectan a los informes disponibles en el nodo Supervisar > Informes y, por lo tanto, debería deshabilitar el acceso a los informes si tiene requisitos de privacidad de usuario.
No
Sí
Ver informes de tráfico Especifica si el administrador puede ver informes Sí predefinidos de tráfico. Los privilegios de privacidad no afectan a los informes disponibles en el nodo Supervisar > Informes y, por lo tanto, debería deshabilitar el acceso a los informes si tiene requisitos de privacidad de usuario.
No
Sí
Acceso detallado a la pestaña Política Si habilita la opción Política en el perfil de función de administrador, a continuación podrá habilitar, deshabilitar o proporcionar acceso de solo lectura a nodos específicos dentro de la pestaña como sea necesario para la función de administrador que esté definiendo. Al habilitar el acceso a un tipo de política específico, habilita la capacidad de ver, añadir o eliminar reglas de política. Al habilitar un acceso de solo lectura a una política específica, habilita al administrador para que pueda ver la base de reglas de política correspondiente, pero no añadir ni eliminar reglas. Al deshabilitar el acceso a un tipo de política específico, impide que el administrador vea la base de reglas de política.
Gestión de dispositivos
71
Referencia: acceso de administrador a la interfaz web
Gestión de dispositivos
Dado que la política basada en usuarios específicos (por nombre de usuario o dirección IP) debe definirse explícitamente, los ajustes de privacidad que deshabiliten la capacidad de ver direcciones IP completas o nombres de usuario no se aplican a la pestaña Política. Por lo tanto, solamente debería permitir el acceso a la pestaña Política a administradores excluidos de restricciones de privacidad de usuario. Nivel de acceso
Descripción
Seguridad
Solo lectura
Deshabilitar
Habilite este privilegio para permitir que el Sí administrador vea, añada y/o elimine reglas de políticas de seguridad. Establezca el privilegio como de solo lectura si desea que el administrador pueda ver las reglas, pero no modificarlas. Para impedir que el administrador vea la base de reglas de políticas de seguridad, deshabilite este privilegio.
Sí
Sí
NAT
Habilite este privilegio para permitir que el administrador vea, añada y/o elimine reglas de política NAT. Establezca el privilegio como de solo lectura si desea que el administrador pueda ver las reglas, pero no modificarlas. Para impedir que el administrador vea la base de reglas de política NAT, deshabilite este privilegio.
Sí
Sí
Sí
QoS
Habilite este privilegio para permitir que el Sí administrador vea, añada y/o elimine reglas de política de QoS. Establezca el privilegio como de solo lectura si desea que el administrador pueda ver las reglas, pero no modificarlas. Para impedir que el administrador vea la base de reglas de política de QoS, deshabilite este privilegio.
Sí
Sí
Reenvío basado en políticas
Habilite este privilegio para permitir que el administrador vea, añada y/o elimine reglas de política de reenvío basado en políticas (PBF). Establezca el privilegio como de solo lectura si desea que el administrador pueda ver las reglas, pero no modificarlas. Para impedir que el administrador vea la base de reglas de política de PBF, deshabilite este privilegio.
Sí
Sí
Sí
Descifrado
Habilite este privilegio para permitir que el Sí administrador vea, añada y/o elimine reglas de política de descifrado. Establezca el privilegio como de solo lectura si desea que el administrador pueda ver las reglas, pero no modificarlas. Para impedir que el administrador vea la base de reglas de política de descifrado, deshabilite este privilegio.
Sí
Sí
72
Habilitar
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Descripción
Cancelación de aplicación
Portal cautivo
Habilitar
Solo lectura
Deshabilitar
Habilite este privilegio para permitir que el Sí administrador vea, añada y/o elimine reglas de política de cancelación de aplicación. Establezca el privilegio como de solo lectura si desea que el administrador pueda ver las reglas, pero no modificarlas. Para impedir que el administrador vea la base de reglas de política de cancelación de aplicación, deshabilite este privilegio.
Sí
Sí
Habilite este privilegio para permitir que el Sí administrador vea, añada y/o elimine reglas de política de portal cautivo. Establezca el privilegio como de solo lectura si desea que el administrador pueda ver las reglas, pero no modificarlas. Para impedir que el administrador vea la base de reglas de política de portal cautivo, deshabilite este privilegio.
Sí
Sí
Habilite este privilegio para permitir que el Sí Protección contra administrador vea, añada y/o elimine reglas de ataques por denegación de servicio política de protección contra ataques por denegación de servicio. Establezca el privilegio como de solo lectura si desea que el administrador pueda ver las reglas, pero no modificarlas. Para impedir que el administrador vea la base de reglas de política de protección contra ataques por denegación de servicio, deshabilite este privilegio.
Sí
Sí
Acceso detallado a la pestaña Objetos Un objeto es un contenedor que agrupa valores de filtros de políticas específicos (como direcciones IP, URL, aplicaciones o servicios) para una definición de reglas simplificada. Por ejemplo, un objeto de dirección puede contener definiciones de direcciones IP específicas para servidores web y de aplicaciones en su zona DMZ. Al decidir si desea permitir el acceso a la pestaña Objetos en su totalidad, determine si el administrador tendrá responsabilidades de definición de políticas. Si no, probablemente el administrador no necesite acceder a la pestaña. Sin embargo, si el administrador necesitará crear políticas, podrá habilitar el acceso a la pestaña y, a continuación, otorgar privilegios de acceso detallados a nivel de nodo. Al habilitar el acceso a un nodo específico, otorga al administrador el privilegio de ver, añadir y eliminar el tipo de objeto correspondiente. Al otorgar un acceso de solo lectura, permitirá que el administrador vea los objetos ya definidos, pero no podrá crear o eliminar ninguno. Al deshabilitar un nodo, impide que el administrador vea el nodo en la interfaz web.
Gestión de dispositivos
73
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Gestión de dispositivos
Habilitar
Solo lectura
Deshabilitar
Direcciones
Especifica si el administrador puede ver, añadir o Sí eliminar objetos de direcciones para su uso en una política de seguridad.
Sí
Sí
Grupos de direcciones
Especifica si el administrador puede ver, añadir o Sí eliminar objetos de grupos de direcciones para su uso en una política de seguridad.
Sí
Sí
Regiones
Especifica si el administrador puede ver, añadir o Sí eliminar objetos de regiones para su uso en una política de seguridad, de descifrado o DoS.
Sí
Sí
Aplicaciones
Especifica si el administrador puede ver, añadir o Sí eliminar objetos de aplicaciones para su uso en una política.
Sí
Sí
Grupos de aplicaciones Especifica si el administrador puede ver, añadir o Sí eliminar objetos de grupos de aplicaciones para su uso en una política.
Sí
Sí
Filtros de aplicación
Especifica si el administrador puede ver, añadir o Sí eliminar filtros de aplicación para la simplificación de búsquedas repetidas.
Sí
Sí
Servicios
Especifica si el administrador puede ver, añadir o Sí eliminar objetos de servicio para su uso en la creación de políticas que limiten los números de puertos que puede utilizar una aplicación.
Sí
Sí
Grupos de servicios
Especifica si el administrador puede ver, añadir o Sí eliminar objetos de grupos de servicios para su uso en una política de seguridad.
Sí
Sí
Etiquetas (Únicamente en Panorama)
Especifica si el administrador puede ver, añadir o Sí eliminar etiquetas que se hayan definido en el dispositivo.
Sí
Sí
GlobalProtect
Especifica si el administrador puede ver, añadir o Sí eliminar objetos y perfiles HIP. Puede restringir el acceso a ambos tipos de objetos a nivel de GlobalProtect, o bien proporcionar un control más detallado habilitando el privilegio GlobalProtect y restringiendo el acceso a objetos HIP o perfiles HIP.
No
Sí
Objetos HIP
Especifica si el administrador puede ver, añadir o Sí eliminar objetos HIP, que se utilizan para definir perfiles HIP. Los objetos HIP también generan logs de coincidencias HIP.
Sí
Sí
74
Gestión de dispositivos
Gestión de dispositivos
Nivel de acceso
Referencia: acceso de administrador a la interfaz web
Habilitar
Solo lectura
Deshabilitar
Perfiles HIP
Especifica si el administrador puede ver, añadir o Sí eliminar perfiles HIP para su uso en una política de seguridad y/o para generar logs de coincidencias HIP.
Sí
Sí
Listas de bloqueos dinámicos
Especifica si el administrador puede ver, añadir o Sí eliminar listas de bloqueos dinámicos para su uso en una política de seguridad.
Sí
Sí
Objetos personalizados Especifica si el administrador puede ver las firmas Sí personalizadas de spyware y vulnerabilidad. Puede restringir el acceso para habilitar o deshabilitar el acceso a todas las firmas personalizadas a este nivel, o bien proporcionar un control más detallado habilitando el privilegio Objetos personalizados y, a continuación, restringiendo el acceso a cada tipo de firma.
No
Sí
Patrones de datos
Especifica si el administrador puede ver, añadir o Sí eliminar firmas de patrones de datos personalizadas para su uso en la creación de perfiles de protección contra vulnerabilidades personalizados.
Sí
Sí
Spyware
Especifica si el administrador puede ver, añadir o Sí eliminar firmas de spyware personalizadas para su uso en la creación de perfiles de protección contra vulnerabilidades personalizados.
Sí
Sí
Vulnerabilidades
Especifica si el administrador puede ver, añadir o Sí eliminar firmas de vulnerabilidad personalizadas para su uso en la creación de perfiles de protección contra vulnerabilidades personalizados.
Sí
Sí
Categoría de URL
Especifica si el administrador puede ver, añadir o Sí eliminar categorías de URL personalizadas para su uso en una política.
Sí
Sí
Perfiles de seguridad
Especifica si el administrador puede ver perfiles de Sí seguridad. Puede restringir el acceso para habilitar o deshabilitar el acceso a todos los perfiles de seguridad a este nivel, o bien proporcionar un control más detallado habilitando el privilegio Perfiles de seguridad y, a continuación, restringiendo el acceso a cada tipo de perfil.
No
Sí
Antivirus
Especifica si el administrador puede ver, añadir o Sí eliminar perfiles de antivirus.
Sí
Sí
Antispyware
Especifica si el administrador puede ver, añadir o Sí eliminar perfiles de antispyware.
Sí
Sí
Gestión de dispositivos
75
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Gestión de dispositivos
Solo lectura
Deshabilitar
Especifica si el administrador puede ver, añadir o Sí eliminar perfiles de protección contra vulnerabilidades.
Sí
Sí
Especifica si el administrador puede ver, añadir o Sí eliminar perfiles de filtrado de URL.
Sí
Sí
Bloqueo de archivos Especifica si el administrador puede ver, añadir o Sí eliminar perfiles de bloqueo de archivos.
Sí
Sí
Filtrado de datos
Especifica si el administrador puede ver, añadir o Sí eliminar perfiles de filtrado de datos.
Sí
Sí
Protección contra ataques por denegación de servicio
Especifica si el administrador puede ver, añadir o Sí eliminar perfiles de protección contra ataques por denegación de servicio.
Sí
Sí
Grupos de perfiles de seguridad
Especifica si el administrador puede ver, añadir o Sí eliminar grupos de perfiles de seguridad.
Sí
Sí
Reenvío de logs
Especifica si el administrador puede ver, añadir o Sí eliminar perfiles de reenvío de logs.
Sí
Sí
Perfil de descifrado
Especifica si el administrador puede ver, añadir o Sí eliminar perfiles de descifrado.
Sí
Sí
Programaciones
Especifica si el administrador puede ver, añadir o Sí eliminar programaciones para limitar una política de seguridad a una fecha y/o rango de tiempo específico.
Sí
Sí
Protección contra vulnerabilidades Filtrado de URL
Habilitar
Acceso detallado a la pestaña Red Al decidir si desea permitir el acceso a la pestaña Red en su totalidad, determine si el administrador tendrá responsabilidades de administración de red, incluida la administración de GlobalProtect. Si no, probablemente el administrador no necesite acceder a la pestaña. También puede definir el acceso a la pestaña Red a nivel de nodo. Al habilitar el acceso a un nodo específico, otorga al administrador el privilegio de ver, añadir y eliminar las configuraciones de red correspondientes. Al otorgar un acceso de solo lectura, permitirá que el administrador vea la configuración ya definida, pero no podrá crear o eliminar ninguna. Al deshabilitar un nodo, impide que el administrador vea el nodo en la interfaz web. Nivel de acceso
Habilitar
Solo lectura
Deshabilitar
Interfaces
Especifica si el administrador puede ver, añadir o Sí eliminar configuraciones de interfaces.
Sí
Sí
Zonas
Especifica si el administrador puede ver, añadir o Sí eliminar zonas.
Sí
Sí
76
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Habilitar
Solo lectura
Deshabilitar
VLAN
Especifica si el administrador puede ver, añadir o Sí eliminar VLAN.
Sí
Sí
Cables virtuales
Especifica si el administrador puede ver, añadir o Sí eliminar cables virtuales.
Sí
Sí
Enrutadores virtuales
Especifica si el administrador puede ver, añadir, modificar o eliminar enrutadores virtuales.
Sí
Sí
Sí
Túneles de IPSec
Especifica si el administrador puede ver, añadir, Sí modificar o eliminar configuraciones de túneles de IPSec.
Sí
Sí
DHCP
Especifica si el administrador puede ver, añadir, Sí modificar o eliminar configuraciones de servidor DHCP y retransmisión DHCP.
Sí
Sí
Proxy DNS
Especifica si el administrador puede ver, añadir, modificar o eliminar configuraciones de proxy DNS.
Sí
Sí
Sí
GlobalProtect
Especifica si el administrador puede ver, añadir o Sí modificar configuraciones de portal y puerta de enlace de GlobalProtect. Puede deshabilitar el acceso a las funciones de GlobalProtect por completo, o bien puede habilitar el privilegio GlobalProtect y, a continuación, restringir la función a las áreas de configuración del portal o de la puerta de enlace.
No
Sí
Portales
Especifica si el administrador puede ver, añadir, modificar o eliminar configuraciones de portales de GlobalProtect.
Sí
Sí
Sí
Puertas de enlace
Especifica si el administrador puede ver, añadir, modificar o eliminar configuraciones de puertas de enlace de GlobalProtect.
Sí
Sí
Sí
Especifica si el administrador puede ver, añadir, modificar o eliminar configuraciones de servidores MDM de GlobalProtect.
Sí
Sí
Sí
Sí
Sí
Sí
No
Sí
MDM
QoS Perfiles de red
Gestión de dispositivos
Establece el estado predeterminado para habilitar Sí o deshabilitar para todos los ajustes de red descritos a continuación.
77
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Gestión de dispositivos
Habilitar
Solo lectura
Deshabilitar
Sí
Sí
Sí
Sí
Sí
Sí
Sí Criptográfico de IKE Controla el modo en que los dispositivos intercambian información para garantizar una comunicación segura. Especifique los protocolos y algoritmos para la identificación, autenticación y cifrado en túneles de VPN basándose en la negociación de SA de IPSec (IKEv1 de fase 1).
Sí
Sí
Sí
Sí
Sí
Puertas de enlace de IKE
Controla el acceso al nodo Perfiles de red > Puertas de enlace de IKE. Si deshabilita este privilegio, el administrador no verá el nodo Puertas de enlace de IKE ni definirá puertas de enlace que incluyan la información de configuración necesaria para realizar la negociación del protocolo IKE con la puerta de enlace del peer. Si el estado del privilegio está establecido como de solo lectura, podrá ver las puertas de enlace de IKE actualmente configuradas, pero no podrá añadir ni editar puertas de enlace.
Criptográfico de IPSec
Controla el acceso al nodo Perfiles de red > Criptográfico de IPSec. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de red > Criptográfico de IPSec ni especificará protocolos y algoritmos para la identificación, autenticación y cifrado en túneles de VPN basándose en la negociación de SA de IPSec. Si el estado del privilegio está establecido como de solo lectura, podrá ver la configuración criptográfica de IPSec actualmente establecida, pero no podrá añadir ni editar una configuración.
Supervisar
Controla el acceso al nodo Perfiles de red > Supervisar. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de red > Supervisar ni podrá crear o editar un perfil de supervisión que se utilice para supervisar túneles de IPSec y supervisar un dispositivo de siguiente salto para reglas de reenvío basado en políticas (PBF). Si el estado del privilegio está establecido como de solo lectura, podrá ver la configuración de perfil de supervisión actualmente establecida, pero no podrá añadir ni editar una configuración.
78
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Gestión de interfaz
Habilitar
Sí Controla el acceso al nodo Perfiles de red > Gestión de interfaz. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de red > Gestión de interfaz ni podrá especificar los protocolos que se utilizan para gestionar el cortafuegos.
Solo lectura
Deshabilitar
Sí
Sí
Sí
Sí
Sí
Sí
Si el estado del privilegio está establecido como de solo lectura, podrá ver la configuración de perfil de gestión de interfaz actualmente establecida, pero no podrá añadir ni editar una configuración. Sí Protección de zonas Controla el acceso al nodo Perfiles de red > Protección de zonas. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de red > Protección de zonas ni podrá configurar un perfil que determine cómo responde el cortafuegos ante ataques desde zonas de seguridad especificadas. Si el estado del privilegio está establecido como de solo lectura, podrá ver la configuración de perfil de protección de zonas actualmente establecida, pero no podrá añadir ni editar una configuración. Perfil de QoS
Controla el acceso al nodo Perfiles de red > QoS. Sí Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de red > QoS ni podrá configurar un perfil de QoS que determine cómo se tratan las clases de tráfico de QoS. Si el estado del privilegio está establecido como de solo lectura, podrá ver la configuración de perfil de QoS actualmente establecida, pero no podrá añadir ni editar una configuración.
Gestión de dispositivos
79
Referencia: acceso de administrador a la interfaz web
Gestión de dispositivos
Acceso detallado a la pestaña Dispositivo Nivel de acceso
Configuración
Controla el acceso al nodo Configuración. Si deshabilita este privilegio, el administrador no verá el nodo Configuración ni tendrá acceso a información de configuración de todo el dispositivo, como información de configuración de gestión, operaciones, servicio, Content-ID, Wildfire o sesión.
Habilitar
Solo lectura
Deshabilitar
Sí
Sí
Sí
Sí
No
Sí
Sí
Sí
Sí
Sí
Si el estado del privilegio está establecido como de solo lectura, podrá ver la configuración actual, pero no podrá realizar ningún cambio. Auditoría de configuraciones
Controla el acceso al nodo Auditoría de configuraciones. Si deshabilita este privilegio, el administrador no verá el nodo Auditoría de configuraciones ni tendrá acceso a ninguna información de configuración de todo el dispositivo.
Funciones de gestor
Controla el acceso al nodo Funciones de gestor. No Esta función solamente puede permitirse para un acceso de solo lectura. Si deshabilita este privilegio, el administrador no verá el nodo Funciones de gestor ni tendrá acceso a ninguna información de todo el dispositivo relativa a la configuración de funciones de gestor. Si establece este privilegio como de solo lectura, podrá ver la información de configuración de todas las funciones de gestor configuradas en el dispositivo.
Administradores
No Controla el acceso al nodo Administradores. Esta función solamente puede permitirse para un acceso de solo lectura. Si deshabilita este privilegio, el administrador no verá el nodo Administradores ni tendrá acceso a información sobre su propia cuenta de administrador. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de configuración de su propia cuenta de administrador. No verá información sobre las cuentas de otros administradores configuradas en el dispositivo.
80
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Sistemas virtuales
Habilitar
Solo lectura
Deshabilitar
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Controla el acceso al nodo Origen de información Sí de VM que le permite configurar el agente de User-ID de Windows/cortafuegos que recopilará el inventario de VM automáticamente. Si deshabilita este privilegio, el administrador no verá el nodo Origen de información de VM.
Sí
Sí
Controla el acceso al nodo Sistemas virtuales. Si deshabilita este privilegio, el administrador no verá ni podrá configurar sistemas virtuales. Si el estado del privilegio está establecido como de solo lectura, podrá ver los sistemas virtuales actualmente configurados, pero no podrá añadir ni editar una configuración.
Puertas de enlace compartidas
Controla el acceso al nodo Puertas de enlace compartidas. Las puertas de enlace compartidas permiten que los sistemas virtuales compartan una interfaz común para las comunicaciones externas. Si deshabilita este privilegio, el administrador no verá ni podrá configurar puertas de enlace compartidas. Si el estado del privilegio está establecido como de solo lectura, podrá ver las puertas de enlace compartidas actualmente configuradas, pero no podrá añadir ni editar una configuración.
Identificación de usuarios
Controla el acceso al nodo Identificación de usuarios. Si deshabilita este privilegio, el administrador no verá el nodo Identificación de usuarios ni tendrá acceso a información de configuración de identificación de usuarios de todo el dispositivo, como asignación de usuario, agentes de User-ID, servicio, agentes de servicios de terminal, configuración de asignación de grupo o configuración de portal cautivo. Si establece este privilegio como de solo lectura, el administrador podrá ver información de configuración del dispositivo, pero no tendrá permiso para realizar ningún procedimiento de configuración.
Origen de información de VM
Si establece este privilegio como de solo lectura, el administrador podrá ver los orígenes de información de VM configurados, pero no podrá añadir, editar o eliminar ningún origen.
Gestión de dispositivos
81
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Gestión de dispositivos
Solo lectura
Deshabilitar
Sí
Sí
No
Sí
Sí
Sí
Sí
Perfil del certificado Controla el acceso al nodo Perfil del certificado. Sí Si deshabilita este privilegio, el administrador no verá el nodo Perfil del certificado ni podrá crear perfiles del certificado.
Sí
Sí
Alta disponibilidad
Habilitar
Controla el acceso al nodo Alta disponibilidad. Sí Si deshabilita este privilegio, el administrador no verá el nodo Alta disponibilidad ni tendrá acceso a información de configuración de alta disponibilidad de todo el dispositivo, como información de configuración general o supervisión de enlaces y rutas. Si establece este privilegio como de solo lectura, el administrador podrá ver información de configuración de alta disponibilidad del dispositivo, pero no tendrá permiso para realizar ningún procedimiento de configuración.
Gestión de certificados Establece el estado predeterminado para habilitar Sí o deshabilitar para todos los ajustes de certificados descritos a continuación. Certificados
Controla el acceso al nodo Certificados. Si deshabilita este privilegio, el administrador no verá el nodo Certificados ni podrá configurar o acceder a información relativa a certificados de dispositivos o entidades de certificación de confianza predeterminadas. Si establece este privilegio como de solo lectura, el administrador podrá ver información de configuración de certificados del dispositivo, pero no tendrá permiso para realizar ningún procedimiento de configuración.
Si establece este privilegio como de solo lectura, el administrador podrá ver perfiles del certificado actualmente configurados para el dispositivo, pero no tendrá permiso para crear o editar un perfil del certificado.
82
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
OCSP responder
Habilitar
Solo lectura
Deshabilitar
Sí
Sí
Sí
Sí
Establece el estado predeterminado para habilitar Sí o deshabilitar para todos los ajustes de log descritos a continuación.
No
Sí
Controla el acceso al nodo Configuración de log > Sí Sistema. Si deshabilita este privilegio, el administrador no verá el nodo Configuración de log > Sistema ni podrá especificar los niveles de
Sí
Sí
Sí Controla el acceso al nodo OCSP responder. Si deshabilita este privilegio, el administrador no verá el nodo OCSP responder ni podrá definir un servidor que se utilizará para verificar el estado de revocación de los certificados emitidos por el dispositivo PAN-OS. Si establece este privilegio como de solo lectura, el administrador podrá ver la configuración de OCSP responder del dispositivo, pero no tendrá permiso para crear o editar una configuración de OCSP responder.
Páginas de respuesta
Controla el acceso al nodo Páginas de respuesta. Sí Si deshabilita este privilegio, el administrador no verá el nodo Páginas de respuesta ni podrá definir un mensaje HTML personalizado que se descarga y se visualiza en lugar de una página web o archivo solicitado. Si establece este privilegio como de solo lectura, el administrador podrá ver la configuración de Páginas de respuesta del dispositivo, pero no tendrá permiso para crear o editar una configuración de páginas de respuesta.
Configuración de log
Sistema
gravedad de las entradas de logs del sistema que se registran de manera remota con Panorama y se envían como traps SNMP, mensajes de Syslog y/o notificaciones por correo electrónico. Si establece este privilegio como de solo lectura, el administrador podrá ver la configuración de Configuración de log > Sistema del dispositivo, pero no tendrá permiso para crear o editar una configuración.
Gestión de dispositivos
83
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Configurar
Gestión de dispositivos
Habilitar
Controla el acceso al nodo Configuración de log > Sí Configuración. Si deshabilita este privilegio, el administrador no verá el nodo Configuración de log > Configuración ni podrá especificar las
Solo lectura
Deshabilitar
Sí
Sí
Sí
Sí
Sí
Sí
entradas de logs de configuración que se registran de manera remota con Panorama y se envían como mensajes de Syslog y/o notificaciones por correo electrónico. Si establece este privilegio como de solo lectura, el administrador podrá ver la configuración de Configuración de log > Configuración del dispositivo, pero no tendrá permiso para crear o editar una configuración. Coincidencias HIP
Controla el acceso al nodo Configuración de log > Sí Coincidencias HIP. Si deshabilita este privilegio, el administrador no verá el nodo Configuración de log > Coincidencias HIP ni podrá especificar los ajustes de log de coincidencias de perfil de información de host (HIP) que se utilizan para proporcionar información sobre políticas de seguridad que se aplican a clientes de GlobalProtect. Si establece este privilegio como de solo lectura, el administrador podrá ver la configuración de Configuración de log > Coincidencias HIP del dispositivo, pero no tendrá permiso para crear o editar una configuración.
Alarmas
Controla el acceso al nodo Configuración de log > Sí Alarmas. Si deshabilita este privilegio, el administrador no verá el nodo Configuración de log > Alarmas ni podrá configurar notificaciones que se generan cuando una regla de seguridad (o un grupo de reglas) se incumple repetidas veces en un período de tiempo establecido. Si establece este privilegio como de solo lectura, el administrador podrá ver la configuración de Configuración de log > Alarmas del dispositivo, pero no tendrá permiso para crear o editar una configuración.
84
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Gestionar logs
Habilitar
Controla el acceso al nodo Configuración de log > Sí Gestionar logs. Si deshabilita este privilegio, el administrador no verá el nodo Configuración de log > Gestionar logs ni podrá borrar los logs
Solo lectura
Deshabilitar
Sí
Sí
indicados. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Configuración de log > Gestionar logs, pero no podrá borrar ninguno de los logs. Perfiles de servidor
Establece el estado predeterminado para habilitar Sí o deshabilitar para todos los ajustes de perfiles de servidor descritos a continuación.
No
Sí
Trap SNMP
Controla el acceso al nodo Perfiles de servidor > Sí Trap SNMP. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de servidor > Trap SNMP ni podrá especificar uno o más destinos de Trap SNMP que se utilizarán para entradas de logs del sistema.
Sí
Sí
Sí
Sí
Sí
Sí
Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfiles de servidor > Logs de Trap SNMP, pero no podrá especificar destinos de Trap SNMP. Syslog
Controla el acceso al nodo Perfiles de servidor > Sí Syslog. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de servidor > Syslog ni podrá especificar uno o más servidores Syslog. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfiles de servidor > Syslog, pero no podrá especificar servidores Syslog.
Correo electrónico
Controla el acceso al nodo Perfiles de servidor > Sí Correo electrónico. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de servidor > Correo electrónico ni podrá configurar un perfil de correo electrónico que pueda utilizarse para habilitar notificaciones por correo electrónico para entradas de logs del sistema y de configuración. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfiles de servidor > Correo electrónico, pero no podrá configurar un perfil de correo electrónico.
Gestión de dispositivos
85
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Flujo de red
Gestión de dispositivos
Habilitar
Controla el acceso al nodo Perfiles de servidor > Sí Flujo de red. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de servidor > Flujo de red ni podrá definir un perfil de servidor de flujo de red, que especifica la frecuencia de la exportación, junto con los servidores de flujo de red que recibirán los datos exportados.
Solo lectura
Deshabilitar
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Sí
Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfiles de servidor > Flujo de red, pero no podrá definir un perfil de flujo de red. RADIUS
Controla el acceso al nodo Perfiles de servidor > Sí RADIUS. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de servidor > RADIUS ni podrá configurar ajustes para los servidores RADIUS identificados en perfiles de autenticación. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfiles de servidor > RADIUS, pero no podrá configurar ajustes para los servidores RADIUS.
LDAP
Controla el acceso al nodo Perfiles de servidor > Sí LDAP. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de servidor > LDAP ni podrá configurar ajustes para que los servidores LDAP los utilicen para la autenticación mediante perfiles de autenticación. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfiles de servidor > LDAP, pero no podrá configurar ajustes para los servidores LDAP.
Kerberos
Controla el acceso al nodo Perfiles de servidor > Sí Kerberos. Si deshabilita este privilegio, el administrador no verá el nodo Perfiles de servidor > Kerberos ni configurará un servidor Kerberos que permita a los usuarios autenticar de forma nativa en un controlador de dominio. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfiles de servidor > Kerberos, pero no podrá configurar ajustes para servidores Kerberos.
86
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Solo lectura
Deshabilitar
No
Sí
Sí
Sí
Sí
Sí Grupos de usuarios Controla el acceso al nodo Base de datos de usuario local > Usuarios. Si deshabilita este privilegio, el administrador no verá el nodo Base de datos de usuario local > Usuarios ni podrá añadir información de grupos de usuarios a la base de datos local.
Sí
Sí
Sí
Sí
Base de datos de usuario local Usuarios
Habilitar
Establece el estado predeterminado para habilitar Sí o deshabilitar para todos los ajustes de base de datos de usuario local descritos a continuación. Controla el acceso al nodo Base de datos de usuario local > Usuarios. Si deshabilita este privilegio, el administrador no verá el nodo Base de datos de usuario local > Usuarios ni configurará una base de datos local en el cortafuegos para almacenar información de autenticación para usuarios con acceso remoto, administradores de dispositivos y usuarios de portal cautivo. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Base de datos de usuario local > Usuarios, pero no podrá configurar una base de datos local en el cortafuegos para almacenar información de autenticación.
Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Base de datos de usuario local > Usuarios, pero no podrá añadir información de grupos de usuarios a la base de datos local. Perfil de autenticación
Controla el acceso al nodo Perfil de autenticación. Si deshabilita este privilegio, el administrador no verá el nodo Perfil de autenticación ni podrá crear o editar perfiles de
Sí
autenticación que especifiquen ajustes de base de datos local, RADIUS, LDAP o Kerberos que se pueden asignar a cuentas de administrador. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfil de autenticación, pero no podrá crear o editar un perfil de autenticación.
Gestión de dispositivos
87
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Secuencia de autenticación
Controla el acceso al nodo Secuencia de autenticación. Si deshabilita este privilegio, el administrador no verá el nodo Secuencia de autenticación ni podrá crear o editar una
Gestión de dispositivos
Habilitar
Solo lectura
Deshabilitar
Sí
Sí
Sí
Sí
Sí
Sí
No
Sí
Sí
Sí
secuencia de autenticación. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfil de autenticación, pero no podrá crear o editar una secuencia de autenticación. Dominio de acceso
Controla el acceso al nodo Secuencia de autenticación. Si deshabilita este privilegio, el administrador no verá el nodo Secuencia de autenticación ni podrá crear o editar una secuencia de autenticación. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfil de autenticación, pero no podrá crear o editar una secuencia de autenticación.
Programación de la exportación de logs
Controla el acceso al nodo Programación de la Sí exportación de logs. Si deshabilita este privilegio, el administrador no verá el nodo Programación de la exportación de logs ni podrá programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol (FTP) en formato CSV o usar Secure Copy (SCP) para transferir datos de forma segura entre el dispositivo y un host remoto. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Perfil de programación de la exportación de logs, pero no podrá programar la exportación de logs.
Software
Sí Controla el acceso al nodo Software. Si deshabilita este privilegio, el administrador no verá el nodo Software, no verá las versiones más recientes del software PAN-OS disponibles desde Palo Alto Networks, no leerá las notas de cada versión ni seleccionará una versión para su descarga e instalación. Si establece este privilegio como de solo lectura, el administrador podrá ver la información de Software, pero no podrá descargar ni instalar software.
88
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Cliente de GlobalProtect
Habilitar
Solo lectura
Deshabilitar
Sí
Sí
Sí
Sí
Sí
Sí
Sí Controla el acceso al nodo Licencias. Si deshabilita este privilegio, el administrador no verá el nodo Licencias ni podrá ver las licencias instaladas o las licencias activas.
Sí
Sí
Sí
Sí
Controla el acceso al nodo Cliente de GlobalProtect. Si deshabilita este privilegio, el administrador no verá el nodo Cliente de GlobalProtect, no verá las versiones de GlobalProtect disponibles, no descargará el código ni activará el agente de GlobalProtect. Si establece este privilegio como de solo lectura, el administrador podrá ver las versiones de Cliente de GlobalProtect disponibles, pero no podrá descargar ni instalar el software de agente.
Actualizaciones dinámicas
Controla el acceso al nodo Actualizaciones dinámicas. Si deshabilita este privilegio, el administrador no verá el nodo Actualizaciones dinámicas, no podrá ver las actualizaciones más recientes, no podrá leer las notas de versión de cada actualización ni podrá seleccionar una actualización para su carga e instalación. Si establece este privilegio como de solo lectura, el administrador podrá ver las versiones de Actualizaciones dinámicas disponibles y leer las notas de versión, pero no podrá cargar ni instalar el software.
Licencias
Si establece este privilegio como de solo lectura, el administrador podrá ver las Licencias instaladas, pero no podrá realizar funciones de gestión de licencias. Asistencia técnica
Controla el acceso al nodo Asistencia técnica. Si Sí deshabilita este privilegio, el administrador no verá el nodo Asistencia técnica, no podrá acceder a alertas de productos y seguridad de Palo Alto Networks ni generar archivos de asistencia técnica o de volcado de estadísticas. Si establece este privilegio como de solo lectura, el administrador podrá ver el nodo Asistencia técnica y acceder a alertas de productos y seguridad, pero no podrá generar archivos de asistencia técnica o de volcado de estadísticas.
Gestión de dispositivos
89
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Clave maestra y diagnóstico
Gestión de dispositivos
Habilitar
Sí Controla el acceso al nodo Clave maestra y diagnóstico. Si deshabilita este privilegio, el administrador no verá el nodo Clave maestra y diagnóstico ni podrá especificar una clave maestra
Solo lectura
Deshabilitar
Sí
Sí
para cifrar claves privadas en el cortafuegos. Si establece este privilegio como de solo lectura, el administrador podrá ver el nodo Clave maestra y diagnóstico y ver información sobre claves maestras que se han especificado, pero no podrá añadir ni editar una nueva configuración de clave maestra.
Definición de ajustes de privacidad de usuario en el perfil de función de administrador .
Nivel de acceso
Descripción
Privacidad
Solo lectura
Deshabilitar
Establece el estado predeterminado para habilitar o Sí deshabilitar para todos los ajustes de privacidad descritos a continuación.
N/D
Sí
Sí Mostrar direcciones Cuando se establece como deshabilitado, las IP completas direcciones IP completas obtenidas a través del tráfico que pasa por el cortafuegos de Palo Alto Networks no se muestran en logs ni informes. En lugar de las direcciones IP que suelen mostrarse, aparecerá la subred relevante.
N/D
Sí
Nota
90
Habilitar
Los informes programados que aparecen en la interfaz a través de Supervisar > Informes y los informes que se envían a través de correos electrónicos programados seguirán mostrando direcciones IP completas. Debido a esta excepción, recomendamos deshabilitar los siguientes ajustes en la pestaña Supervisar : Informes personalizados, Informes de aplicación, Informes de amenazas, Informes de filtrado de URL, Informes de tráfico y Programador de correo electrónico.
Gestión de dispositivos
Gestión de dispositivos
Nivel de acceso
Referencia: acceso de administrador a la interfaz web
Descripción
Habilitar
Sí Mostrar nombres de Cuando se establece como deshabilitado, los usuario en logs e nombres de usuario obtenidos a través del tráfico informes que pasa por el cortafuegos de Palo Alto Networks no se muestran en logs ni informes. Las columnas donde normalmente aparecerían los nombres de usuario están vacías. Nota
Ver archivos de captura de paquetes
Solo lectura
Deshabilitar
N/D
Sí
N/D
Sí
Los informes programados que aparecen en la interfaz a través de Supervisar > Informes o los informes que se envían a través del programador de correo electrónico seguirán mostrando nombres de usuario. Debido a esta excepción, recomendamos deshabilitar los siguientes ajustes en la pestaña Supervisar: Informes personalizados, Informes de aplicación, Informes de amenazas, Informes de filtrado de URL, Informes de tráfico y Programador de correo electrónico.
Cuando se establece como deshabilitado, los archivos de captura de paquetes que suelen estar disponibles en los logs de tráfico, amenaza y filtrado de datos no se muestran.
Sí
Restricción del acceso de administrador a funciones de confirmación Restricción del acceso de usuarios mediante el ajuste Confirmar Nivel de acceso
Descripción
Habilitar
Commit
Cuando se establece como deshabilitado, un Sí administrador no puede confirmar ningún cambio en una configuración.
Solo lectura
Deshabilitar
N/D
Sí
Solo lectura
Deshabilitar
N/D
Sí
Acceso detallado a ajustes globales Restricción del acceso de usuarios mediante ajustes globales Nivel de acceso
Descripción
Global
Establece el estado predeterminado para habilitar o Sí deshabilitar para todos los ajustes globales descritos a continuación. En este momento, este ajuste solamente es efectivo para Alarmas del sistema.
Gestión de dispositivos
Habilitar
91
Referencia: acceso de administrador a la interfaz web
Gestión de dispositivos
Nivel de acceso
Descripción
Habilitar
Alarmas del sistema
Cuando se establece como deshabilitado, un Sí administrador no puede ver ni reconocer alarmas que se generen.
Solo lectura
Deshabilitar
N/D
Sí
Acceso a la interfaz web de Panorama En Panorama, las funciones de gestor le permiten definir el acceso a las opciones de Panorama y la capacidad de permitir el acceso únicamente a Grupo de dispositivos y Plantilla (pestañas Políticas, Objetos, Red y Dispositivo). Las funciones de gestor que puede crear son: Panorama y Grupo de dispositivos y Plantilla. La función de gestor Grupo de dispositivos y Plantilla no proporciona privilegios de acceso a la CLI. Si un administrador recibe privilegios de superusuario en la CLI, el administrador tendrá un acceso completo a todas las funciones, independientemente de los privilegios otorgados por la interfaz web. Nivel de acceso
Descripción
Habilitar
Solo lectura
Deshabilitar
Panel
Controla el acceso a la pestaña Panel. Si deshabilita este privilegio, el administrador no verá la pestaña ni tendrá acceso a ninguno de los widgets del panel.
Sí
No
Sí
ACC
Controla el acceso al Centro de comando de aplicación (ACC). Si deshabilita este privilegio, la pestaña ACC no aparecerá en la interfaz web. Recuerde que si quiere proteger la privacidad de sus usuarios y a la vez seguir proporcionando acceso al ACC, puede deshabilitar la opción
Sí
No
Sí
Controla el acceso a la pestaña Supervisar. Sí Si deshabilita este privilegio, el administrador no verá la pestaña Supervisar ni tendrá acceso a ninguno de los logs, capturas de paquetes, información de sesión, informes o Appscope. Para obtener un control más detallado sobre qué información de supervisión puede ver el administrador, deje la opción Supervisar habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Supervisar.
No
Sí
Privacidad > Mostrar direcciones IP completas
y/o la opción Mostrar nombres de usuario en logs e informes. Supervisar
92
Gestión de dispositivos
Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web
Nivel de acceso
Descripción
Políticas
Solo lectura
Deshabilitar
Controla el acceso a la pestaña Políticas. Sí Si deshabilita este privilegio, el administrador no verá la pestaña Políticas ni tendrá acceso a ninguna información de política. Para obtener un control más detallado sobre qué información de políticas puede ver el administrador, por ejemplo, para habilitar el acceso a un tipo de política específico o para habilitar el acceso de solo lectura a información de políticas, deje la opción Políticas habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Política.
No
Sí
Objetos
Controla el acceso a la pestaña Objetos. Sí Si deshabilita este privilegio, el administrador no verá la pestaña Objetos ni tendrá acceso a ninguno de los objetos, perfiles de seguridad, perfiles de reenvío de logs, perfiles de descifrado o programaciones. Para obtener un control más detallado sobre qué objetos puede ver el administrador, deje la opción Objetos habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Objetos.
No
Sí
Red
Controla el acceso a la pestaña Red. Si deshabilita Sí este privilegio, el administrador no verá la pestaña Red ni tendrá acceso a ninguna información de configuración de interfaz, zona, VLAN, Virtual Wire, enrutador virtual, túnel de IPSec, DHCP, proxy DNS, GlobalProtect o QoS o a los perfiles de red. Para obtener un control más detallado sobre qué objetos puede ver el administrador, deje la opción Red habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Red.
No
Sí
Gestión de dispositivos
Habilitar
93
Referencia: acceso de administrador a la interfaz web
Gestión de dispositivos
Nivel de acceso
Descripción
Dispositivo
Controla el acceso a la pestaña Dispositivo. Si Sí deshabilita este privilegio, el administrador no verá la pestaña Dispositivo ni tendrá acceso a ninguna información de configuración de todo el dispositivo, como información de configuración de User-ID, alta disponibilidad, perfil de servidor o certificado. Para obtener un control más detallado sobre qué objetos puede ver el administrador, deje la opción Objetos habilitada y, a continuación, habilite o deshabilite nodos específicos en la pestaña como se describe en Acceso detallado a la pestaña Dispositivo. Nota
94
Habilitar
Solo lectura
Deshabilitar
No
Sí
No puede habilitar el acceso a los nodos Funciones de administrador o Administradores para un administrador basado en funciones aunque habilite un acceso completo a la pestaña Dispositivo.
Gestión de dispositivos
Gestión de certificados Los siguientes temas describen los distintos certificados y claves que utilizan los dispositivos de Palo Alto Networks, así como el modo de obtenerlos y gestionarlos:
¿Cómo utilizan los dispositivos las claves y los certificados?
¿Cómo verifican los dispositivos el estado de revocación de certificados?
¿Cómo obtienen los dispositivos los certificados?
Configuración de la verificación del estado de revocación de certificados
Configuración de la clave maestra
Obtención de certificados
Configuración de un perfil de certificado
Revocación y renovación de certificados
Claves seguras con un módulo de seguridad de hardware
Gestión de certificados
95
¿Cómo utilizan los dispositivos las claves y los certificados?
Gestión de certificados
¿Cómo utilizan los dispositivos las claves y los certificados? Para garantizar la confianza entre las partes de una sesión de comunicación segura, los dispositivos de Palo Alto Networks utilizan certificados digitales. Cada certificado contiene una clave criptográfica para cifrar el texto sin formato o descifrar el texto cifrado. Cada certificado también incluye una firma digital para autenticar la identidad del emisor. Este debe estar incluido en la lista de entidades de certificación (CA) de confianza de la parte que realiza la autenticación. De manera opcional, la parte que realiza la autenticación verifica que el emisor no haya revocado el certificado (consulte ¿Cómo verifican los dispositivos el estado de revocación de certificados?). Los dispositivos de Palo Alto Networks utilizan certificados en las siguientes aplicaciones:
Autenticación de usuarios para portal cautivo, GlobalProtect, gestor de seguridad móvil y acceso a la interfaz web del cortafuegos/Panorama.
Autenticación de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).
Autenticación de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet (IKE).
Descifrado de tráfico SSL entrante y saliente. Un cortafuegos descifra el tráfico para aplicar políticas de seguridad y reglas y, a continuación, vuelve a cifrarlo antes de reenviar el tráfico al destino definitivo. Para el tráfico saliente, el cortafuegos actúa como servidor proxy de reenvío, estableciendo una conexión SSL/TLS con el servidor de destino. Para proteger una conexión entre sí mismo y el cliente, el cortafuegos utiliza un certificado de firma para generar automáticamente una copia del certificado del servidor de destino.
La tabla siguiente describe las claves y los certificados que utilizan los dispositivos de Palo Alto Networks. Una práctica recomendada es utilizar diferentes claves y certificados para cada uso. Tabla: Claves/certificados de dispositivo de Palo Alto Networks Uso de clave/certificado
Descripción
Acceso administrativo
Un acceso seguro a las interfaces de administración de dispositivos (acceso HTTPS a la interfaz web) requiere un certificado de servidor para la interfaz de gestión (o una interfaz designada en el plano de datos si el dispositivo no utiliza una interfaz de gestión) y, opcionalmente, un certificado para autenticar al administrador.
Portal cautivo
En las implementaciones en las que el portal cautivo identifique a los usuarios que accedan a recursos HTTPS, designe un certificado de servidor para la interfaz de portal cautivo. Si configura el portal cautivo para que utilice certificados (en lugar o además de credenciales de nombre de usuario/contraseña) para la identificación de usuarios, designe también un certificado de usuario. Si desea obtener más información sobre el portal cautivo, consulte Asignación de direcciones IP a nombres de usuario mediante un portal cautivo.
Reenvío fiable
Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy de reenvío confía en la CA que firmó el certificado del servidor de destino, el cortafuegos utiliza el certificado de CA fiable de reenvío para generar una copia del certificado del servidor de destino y enviarla al cliente. El cortafuegos utiliza la misma clave de descifrado para todos los certificados fiables de reenvío. Para mayor seguridad, almacene la clave en un módulo de seguridad de hardware (si desea información detallada, consulte Claves seguras con un módulo de seguridad de hardware).
96
Gestión de certificados
Gestión de certificados
¿Cómo utilizan los dispositivos las claves y los certificados?
Uso de clave/certificado
Descripción
Reenvío no fiable
Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy de reenvío no confía en la CA que firmó el certificado del servidor de destino, el cortafuegos utiliza el certificado de CA no fiable de reenvío para generar una copia del certificado del servidor de destino y enviarla al cliente.
Inspección de entrada SSL
Claves que descifran el tráfico SSL/TLS entrante para su inspección y la aplicación de la política. Para esta aplicación, importe en el cortafuegos una clave privada para cada servidor que esté sujeto a una inspección entrante SSL/TLS. Consulte Configuración de la inspección de entrada SSL.
Certificado SSL de exclusión Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por ejemplo, si
habilita el descifrado SSL pero su red incluye servidores para los que el cortafuegos no debería descifrar el tráfico (por ejemplo, servicios web para sus sistemas de RR. HH.), importe los correspondientes certificados en el cortafuegos y configúrelos como certificados SSL de exclusión. Consulte Configuración de excepciones de descifrado. GlobalProtect
Toda la interacción entre los componentes de GlobalProtect se realiza a través de conexiones SSL/TLS. Por lo tanto, como parte de la implementación de GlobalProtect, implemente certificados de servidor para todos los portales, puertas de enlace y gestores de seguridad móvil de GlobalProtect. Opcionalmente, implemente certificados también para los usuarios que realizan la autenticación. Observe que la función de VPN a gran escala (LSVPN) de GlobalProtect requiere que una CA firme el certificado.
VPN de sitio a sitio (IKE)
En una implementación de VPN de sitio a sitio de IPSec, los dispositivos de peer utilizan puertas de enlace de intercambio de claves de Internet (IKE) para establecer un canal seguro. Las puertas de enlace de IKE utilizan certificados o claves precompartidas para autenticar los peers entre sí. Los certificados o las claves se configuran y asignan al definir una puerta de enlace de IKE en un cortafuegos. Consulte VPN de sitio a sitio.
Clave maestra
El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas y contraseñas. Si su red requiere una ubicación segura para almacenar claves privadas, puede utilizar una clave de cifrado (ajuste) almacenada en un módulo de seguridad de hardware (HSM) para cifrar la clave maestra. Para obtener más información, consulte Cifrado de una clave maestra utilizando un HSM.
Syslog seguro
Certificado para habilitar conexiones seguras entre el cortafuegos y un servidor Syslog. Consulte Configuración del cortafuegos para autenticarlo con el servidor Syslog.
CA raíz de confianza
Designación de un certificado raíz emitido por una CA en la que confía el cortafuegos. El cortafuegos puede utilizar un certificado de CA raíz autofirmado para emitir certificados automáticamente para otras aplicaciones (por ejemplo, Proxy SSL de reenvío). Asimismo, si un cortafuegos debe establecer conexiones seguras con otros cortafuegos, la CA raíz que emite sus certificados debe estar incluida en la lista de CA raíz de confianza del cortafuegos.
Gestión de certificados
97
¿Cómo verifican los dispositivos el estado de revocación de certificados?
Gestión de certificados
¿Cómo verifican los dispositivos el estado de revocación de certificados? Los dispositivos de Palo Alto Networks utilizan certificados digitales para garantizar la confianza entre las partes de una sesión de comunicación segura. La configuración de un dispositivo para que compruebe el estado de revocación de certificados ofrece una seguridad adicional. Una parte que presente un certificado revocado no es fiable. Cuando un certificado forma parte de una cadena, el dispositivo comprueba el estado de cada certificado de la cadena, excepto el certificado de CA raíz, cuyo estado de revocación no puede verificar el dispositivo. Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son un cambio de nombre, un cambio de asociación entre el sujeto y la entidad de certificación (por ejemplo, un empleado cuyo contrato se resuelva) y la revelación (confirmada o sospechada) de la clave privada. En estas circunstancias, la entidad de certificación que emitió el certificado deberá revocarlo. Los dispositivos de Palo Alto Networks admiten los siguientes métodos para verificar el estado de revocación de certificados. Si configura los dos, los dispositivos primero intentarán utilizar el método OCSP; si el servidor OCSP no está disponible, los dispositivos utilizarán el método CRL.
Lista de revocación de certificados (CRL)
Protocolo de estado de certificado en línea (OCSP) En PAN-OS, la verificación del estado de revocación de certificados es una función opcional. La práctica recomendada es habilitarla para perfiles de certificados, que definen la autenticación de usuarios y dispositivos para portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama.
Lista de revocación de certificados (CRL) Cada entidad de certificación (CA) emite periódicamente una lista de revocación de certificados (CRL) en un repositorio público. La CRL identifica los certificados revocados por su número de serie. Después de que la CA revoque un certificado, la siguiente actualización de la CRL incluirá el número de serie de ese certificado. El cortafuegos de Palo Alto Networks descarga y guarda en caché la última emisión de la CRL de cada CA incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en caché solamente se aplica a certificados validados; si un cortafuegos nunca validó un certificado, el cortafuegos no almacenará la CRL para la CA de emisión. Asimismo, la caché solamente almacena una CRL hasta que vence. Para utilizar las CRL para verificar el estado de revocación de certificados cuando el cortafuegos funcione como proxy SSL de reenvío, consulte Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado SSL/TLS. Para utilizar las CRL para verificar el estado de revocación de certificados que autentiquen usuarios y dispositivos, configure un perfil de certificado y asígnelo a las interfaces específicas de la aplicación: portal cautivo, GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec o acceso a la interfaz web del cortafuegos/Panorama. Para obtener más información, consulte Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de usuarios/dispositivos.
98
Gestión de certificados
Gestión de certificados
¿Cómo verifican los dispositivos el estado de revocación de certificados?
Protocolo de estado de certificado en línea (OCSP) Al establecer una sesión SSL/TLS, los clientes pueden utilizar el protocolo de estado de certificado en línea (OCSP) para comprobar el estado de revocación del certificado de autenticación. El cliente que realiza la autenticación envía una solicitud que contiene el número de serie del certificado al respondedor OCSP (servidor). El respondedor busca en la base de datos de la entidad de certificación (CA) que emitió el certificado y devuelve una respuesta con el estado (Correcto, Revocado o Desconocido) al cliente. La ventaja del método OCSP es que puede verificar el estado en tiempo real, en lugar de depender de la frecuencia de emisión (cada hora, diariamente o semanalmente) de las CRL. El cortafuegos de Palo Alto Networks descarga y guarda en caché información de estado de OCSP de cada CA incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en caché solamente se aplica a certificados validados; si un cortafuegos nunca validó un certificado, la caché del cortafuegos no almacenará la información de OCSP para la CA de emisión. Si su empresa tiene su propia infraestructura de clave pública (PKI), puede configurar el cortafuegos como un respondedor OCSP (consulte Configuración de un respondedor OCSP). Para utilizar el OCSP para verificar el estado de revocación de certificados cuando el cortafuegos funcione como proxy SSL de reenvío, realice los pasos que se indican en Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado SSL/TLS. Las siguientes aplicaciones utilizan certificados para autenticar usuarios y/o dispositivos: portal cautivo, GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Para utilizar OCSP para verificar el estado de revocación de los certificados:
Configure un respondedor OCSP. Habilite el servicio OCSP de HTTP en el cortafuegos. Cree u obtenga un certificado para cada aplicación. Configure un perfil de certificado para cada aplicación. Asigne el perfil de certificado a la aplicación relevante.
Para cubrir situaciones en las que el respondedor OCSP no esté disponible, configure la CRL como método de retroceso. Para obtener más información, consulte Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de usuarios/dispositivos.
Gestión de certificados
99
¿Cómo obtienen los dispositivos los certificados?
Gestión de certificados
¿Cómo obtienen los dispositivos los certificados? Los enfoques básicos para implementar certificados para dispositivos de Palo Alto Networks son los siguientes:
Obtenga certificados de una CA externa de confianza: La ventaja de obtener un certificado de una entidad de certificación (CA) externa de confianza como VeriSign o GoDaddy es que los clientes finales ya confiarán en el certificado debido a que los exploradores comunes incluyen certificados de CA raíz de CA conocidas en sus almacenes de certificados raíz de confianza. Por lo tanto, para aplicaciones que requieran que los clientes finales establezcan conexiones seguras con un dispositivo de Palo Alto Networks, adquiera un certificado de una CA en la que confíen los clientes finales para no tener que implementar previamente certificados de CA raíz en los clientes finales. (Algunas de estas aplicaciones son un portal de GlobalProtect o gestor de seguridad móvil de GlobalProtect.) Sin embargo, observe que la mayoría de CA externas no pueden emitir certificados de firma. Por lo tanto, este tipo de certificado no es adecuado para las aplicaciones (por ejemplo, descifrado SSL/TLS y VPN a gran escala) que requieran que el cortafuegos emita certificados.
Obtenga certificados de una CA de empresa: Las empresas que tengan su propia CA interna podrán utilizarla para emitir certificados para aplicaciones de cortafuegos e importarlos en el cortafuegos. La ventaja es que los clientes finales probablemente ya confíen en la CA de empresa. Puede generar los certificados necesarios e importarlos en el cortafuegos o generar una solicitud de firma de certificado (CSR) en el cortafuegos y enviarla a la CA de empresa para que la firme. La ventaja de este método es que la clave privada no abandona el cortafuegos. Un CA de empresa también puede emitir un certificado de firma, que el cortafuegos utiliza para generar certificados automáticamente (por ejemplo, para VPN a gran escala de GlobalProtect o sitios que requieran un descifrado SSL/TLS).
Genere certificados autofirmados: Puede generar un certificado de CA raíz autofirmado en el cortafuegos y utilizarlo para emitir certificados automáticamente para otras aplicaciones de cortafuegos. Observe que si utiliza este método para generar certificados para una aplicación que requiera que un cliente final confíe en el certificado, los usuarios finales verán un error de certificado debido a que el certificado de CA raíz no está en su almacén de certificados raíz de confianza. Para evitar esto, implemente el certificado de CA raíz autofirmado en todos los sistemas de usuario final. Puede implementar los certificados manualmente o utilizar un método de implementación centralizado como un objeto de directiva de grupo (GPO) de Active Directory.
100
Gestión de certificados
Gestión de certificados
Configuración de la verificación del estado de revocación de certificados
Configuración de la verificación del estado de revocación de certificados Para verificar el estado de revocación de certificados, el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) y/o listas de revocación de certificados (CRL). Si desea información detallada de estos métodos, consulte ¿Cómo verifican los dispositivos el estado de revocación de certificados? Si configura ambos métodos, el cortafuegos primero intentará utilizar el OCSP y solamente retrocederá al método CRL si el respondedor OCSP no está disponible. Si su empresa tiene su propia infraestructura de clave pública (PKI), puede configurar el cortafuegos para que funcione como el respondedor OCSP. Los siguientes temas describen cómo configurar el cortafuegos para verificar el estado de revocación de certificados:
Configuración de un respondedor OCSP
Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de usuarios/dispositivos
Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado SSL/TLS
Configuración de un respondedor OCSP Para utilizar el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados, debe configurar el cortafuegos para que acceda a un respondedor OCSP (servidor). La entidad que gestiona el respondedor OCSP puede ser una entidad de certificación (CA) externa o, si su empresa tiene su propia infraestructura de clave pública (PKI), el propio cortafuegos. Si desea información detallada sobre OCSP, consulte ¿Cómo verifican los dispositivos el estado de revocación de certificados?
Gestión de certificados
101
Configuración de la verificación del estado de revocación de certificados
Gestión de certificados
Configuración de un respondedor OCSP
Paso 1
Defina un respondedor OCSP.
1.
En un cortafuegos, seleccione Dispositivo > Gestión de certificados > OCSP responder y haga clic en Añadir. En Panorama, seleccione Dispositivo > Gestión de certificados > OCSP responder, seleccione una Plantilla y haga clic en Añadir.
2.
Introduzca un Nombre para identificar al respondedor (hasta 31 caracteres). El nombre distingue entre mayúsculas y minúsculas. Debe ser exclusivo y utilizar únicamente letras, números, espacios, guiones y guiones bajos.
3.
Si el cortafuegos admite varios sistemas virtuales, el cuadro de diálogo muestra el menú desplegable Ubicación. Seleccione el sistema virtual donde el respondedor estará disponible o seleccione Compartido para habilitar la disponibilidad en todos los sistemas virtuales.
4.
En el campo Nombre de host, introduzca el nombre de host (recomendado) o la dirección IP del respondedor OCSP. A partir de este valor, PAN-OS deriva automáticamente una URL y la añade al certificado que se está verificando. Si configura el propio cortafuegos como respondedor OCSP, el nombre de host debe resolverse en una dirección IP de la interfaz que utiliza el cortafuegos para servicios de OCSP (especificado en el Paso 3).
5. Paso 2
Habilite la comunicación de OCSP en el cortafuegos.
1.
Haga clic en ACEPTAR. En un cortafuegos, seleccione Dispositivo > Configuración > Gestión.
En Panorama, seleccione Dispositivo > Configuración > Gestión y seleccione una Plantilla. 2.
Paso 3
102
Opcionalmente, para configurar el propio 1. cortafuegos como respondedor OCSP, 2. añada un perfil de gestión de interfaz a la interfaz utilizada para servicios OCSP. 3.
En la sección Configuración de interfaz de gestión, haga clic en el icono Editar , seleccione la casilla de verificación OCSP de HTTP y, a continuación, haga clic en ACEPTAR. Seleccione Red > Perfiles de red > Gestión de interfaz. Haga clic en Añadir para crear un nuevo perfil o haga clic en el nombre de un perfil existente. Seleccione la casilla de verificación OCSP de HTTP y haga clic en ACEPTAR.
4.
Seleccione Red > Interfaces y haga clic en el nombre de la interfaz que utilizará el cortafuegos para servicios OCSP. El Nombre de host de OCSP especificado en el Paso 1 deberá resolverse en una dirección IP de esta interfaz.
5.
Seleccione Avanzada > Otra información y seleccione el perfil de gestión de interfaz que configuró.
6.
Haga clic en ACEPTAR y Confirmar.
Gestión de certificados
Gestión de certificados
Configuración de la verificación del estado de revocación de certificados
Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de usuarios/dispositivos El cortafuegos utiliza certificados para autenticar usuarios y dispositivos para aplicaciones tales como portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Para mejorar la seguridad, la práctica recomendada es configurar el cortafuegos para que verifique el estado de revocación de certificados que utilice para la autenticación de dispositivos/usuarios. Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de usuarios/dispositivos
Paso 1
Configuración de un perfil de certificado Asigne uno o más certificados CA raíz al perfil y seleccione el modo para cada aplicación. en que el cortafuegos verifica el estado de revocación de certificados. El nombre común (FQDN o dirección IP) de un certificado debe coincidir con una interfaz en la que aplique el perfil del Paso 2. Si desea información detallada sobre los certificados que utilizan las distintas aplicaciones, consulte ¿Cómo utilizan los dispositivos las claves y los certificados?
Paso 2
Asigne los perfiles de certificados a las aplicaciones relevantes.
Los pasos para asignar un perfil de certificado dependen de la aplicación que lo requiera.
Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado SSL/TLS El cortafuegos descifra el tráfico SSL/TLS saliente para aplicar políticas de seguridad y reglas y, a continuación, vuelve a cifrar el tráfico antes de reenviarlo. Durante este proceso, el cortafuegos actúa como servidor proxy de reenvío, manteniendo conexiones separadas con el cliente y el servidor de destino. Para la conexión con el cliente, el cortafuegos utiliza un certificado de CA para generar automáticamente un certificado de descifrado que es una copia del certificado del servidor de destino. Puede configurar el cortafuegos para verificar el estado de revocación de certificados del servidor de destino de la manera siguiente. Si habilita la verificación del estado de revocación de certificados de descifrado SSL/TLS, añadirá tiempo al proceso de establecimiento de la sesión. El primer intento de acceder a un sitio puede fallar si la verificación no termina antes de que se acabe el tiempo de espera de la sesión. Por estos motivos, la verificación está deshabilitada de manera predeterminada.
Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado SSL/TLS
Paso 1
Acceda a la página Configuración de revocación de certificado de descifrado.
En un cortafuegos, seleccione Dispositivo > Configuración > Sesión y, en la sección Características de sesión, seleccione Configuración de revocación de certificado de descifrado. En Panorama, seleccione Dispositivo > Configuración > Sesión, seleccione una Plantilla y, en la sección Características de sesión, seleccione Configuración de revocación de certificado de descifrado.
Gestión de certificados
103
Configuración de la verificación del estado de revocación de certificados
Gestión de certificados
Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado SSL/TLS (Continuación)
Paso 2
Defina los intervalos de tiempo de espera Realice uno de los dos pasos siguientes o ambos, dependiendo de si específicos de servicio para las solicitudes el cortafuegos utilizará el método de protocolo de estado de de estado de revocación. certificado en línea (OCSP) o lista de revocación de certificados (CRL) para verificar el estado de revocación de certificados. Si el cortafuegos utiliza ambos, primero intentará utilizar OCSP; si el respondedor OCSP no está disponible, entonces el cortafuegos intenta utilizar el método CRL. 1. En la sección CRL, seleccione la casilla de verificación Habilitar e introduzca el Tiempo de espera de recepción. Este es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del servicio CRL. 2.
En la sección OCSP, seleccione la casilla de verificación Habilitar e introduzca el Tiempo de espera de recepción. Este
es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del respondedor OCSP. Dependiendo del valor de Tiempo de espera del estado del certificado que especifique en el Paso 3, puede que el cortafuegos registre un tiempo de espera antes de que pase cualquiera de los intervalos de Tiempo de espera de recepción o ambos. Paso 3
Defina el intervalo de tiempo de espera total para las solicitudes de estado de revocación.
Introduzca el Tiempo de espera del estado del certificado. Este es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier servicio de estado de certificados y aplica la lógica de bloqueo de sesión que defina opcionalmente en el Paso 4. El Tiempo de espera del estado del certificado se relaciona con el Tiempo de espera de recepción de OCSP/CRL de la manera siguiente: • Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de espera de solicitud después de que pase el menor de dos intervalos: el valor de Tiempo de espera del estado del certificado o la suma de los dos valores de Tiempo de espera de recepción. • Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera de solicitud después de que pase el menor de dos intervalos: el valor de Tiempo de espera del estado del certificado o el valor de Tiempo de espera de recepción de OCSP. • Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera de solicitud después de que pase el menor de dos intervalos: el valor de Tiempo de espera del estado del certificado o el valor de Tiempo de espera de recepción de CRL.
104
Gestión de certificados
Gestión de certificados
Configuración de la verificación del estado de revocación de certificados
Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado SSL/TLS (Continuación)
Paso 4
Defina el comportamiento de bloqueo para el estado de certificado Desconocido o un tiempo de espera de solicitud de estado de revocación.
Si desea que el cortafuegos bloquee sesiones SSL/TLS cuando el servicio OCSP o CRL devuelva el estado de revocación de certificados Desconocido, seleccione la casilla de verificación Bloquear sesión con estado de certificado desconocido. De lo contrario, el cortafuegos continuará con la sesión. Si desea que el cortafuegos bloquee sesiones SSL/TLS después de que registre un tiempo de espera de solicitud, seleccione la casilla de verificación Bloquear sesión al agotar el tiempo de espera de comprobación de estado de certificado. De lo contrario, el cortafuegos continuará con la sesión.
Paso 5
Guarde y aplique sus entradas.
Gestión de certificados
Haga clic en ACEPTAR y Confirmar.
105
Configuración de la clave maestra
Gestión de certificados
Configuración de la clave maestra Cada cortafuegos tiene una clave maestra predeterminada que cifra las claves privadas y otros secretos (como contraseñas y claves compartidas). La clave privada autentica a los usuarios cuando acceden a interfaces administrativas del cortafuegos. La práctica recomendada para proteger las claves es configurar la clave maestra en cada cortafuegos para que sea exclusiva y cambiarla periódicamente. Para mayor seguridad, utilice una clave de ajuste almacenada en un módulo de seguridad de hardware (HSM) para cifrar la clave maestra. Para obtener más información, consulte Cifrado de una clave maestra utilizando un HSM. En una configuración de alta disponibilidad (HA), asegúrese de que ambos dispositivos del par utilizan la misma clave maestra para cifrar claves privadas y certificados. Si las claves maestras son diferentes, la sincronización de la configuración de HA no funcionará correctamente. Cuando exporta una configuración de cortafuegos, la clave maestra cifra las contraseñas de los usuarios gestionados en servidores externos. Para los usuarios gestionados localmente, el cortafuegos añade hash a las contraseñas pero la clave maestra no las cifra.
Configuración de una clave maestra
1.
En un cortafuegos, seleccione Dispositivo > Clave maestra y diagnóstico y, en la sección Clave maestra, haga clic en el icono Editar . En Panorama, seleccione Panorama > Clave maestra y diagnóstico y, en la sección Clave maestra, haga clic en el icono Editar .
2.
Introduzca la Clave maestra actual, si existe.
3.
Defina una Nueva clave principal y, a continuación, seleccione la acción Confirmar clave maestra. La clave debe contener exactamente 16 caracteres.
4.
(Opcional) Para especificar la Duración de la clave maestra, introduzca el número de Días y/u Horas tras los cuales vencerá la clave. Si establece una duración, cree una nueva clave maestra antes de que venza la clave anterior.
5.
(Opcional) Si establece la duración de una clave, introduzca un Tiempo para el recordatorio que especifique el número de Días y Horas que precedan al vencimiento de la clave maestra cuando el cortafuegos le enviará un recordatorio por correo electrónico.
6.
(Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Para obtener más información, consulte Cifrado de una clave maestra utilizando un HSM.
7.
Haga clic en ACEPTAR y Confirmar.
106
Gestión de certificados
Gestión de certificados
Obtención de certificados
Obtención de certificados
Creación de un certificado de CA raíz autofirmado
Generación de un certificado en el cortafuegos
Importación de un certificado y una clave privada
Obtención de un certificado de una CA externa
Creación de un certificado de CA raíz autofirmado Un certificado de una entidad de certificación (CA) raíz autofirmado es el certificado de mayor nivel de una cadena de certificados. Un cortafuegos puede utilizar este certificado para emitir certificados automáticamente para otros usos. Por ejemplo, el cortafuegos emite certificados para el descifrado SSL/TLS y para dispositivos satélite de una VPN a gran escala de GlobalProtect. Al establecer una conexión segura con el cortafuegos, el cliente remoto debe confiar en la CA raíz que emitió el certificado. De lo contrario, el explorador del cliente mostrará una advertencia indicando que el certificado no es válido y podría (dependiendo de la configuración de seguridad) bloquear la conexión. Para evitar esto, después de generar el certificado de CA raíz autofirmado, impórtelo en los sistemas cliente. Generación de un certificado de CA raíz autofirmado
1.
En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione un sistema virtual para el certificado. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la opción compartida descrita en el Paso 6.
3.
Haga clic en Generar.
4.
Introduzca un Nombre de certificado, como GlobalProtect_CA. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.
5.
En el campo Nombre común, introduzca el FQDN (recomendado) o la dirección IP de la interfaz en la que configurará el servicio que utilizará este certificado.
6.
Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla de verificación Compartido. Esta casilla de verificación solamente aparece si el dispositivo admite varios sistemas virtuales.
7.
Deje el campo Firmado por en blanco para designar el certificado como autofirmado.
8.
Seleccione la casilla de verificación Autoridad del certificado.
9.
No seleccione un OCSP responder. La verificación del estado de revocación de certificados no se aplica a certificados de CA raíz.
10. Haga clic en Generar y Confirmar.
Gestión de certificados
107
Obtención de certificados
Gestión de certificados
Generación de un certificado en el cortafuegos El cortafuegos utiliza certificados para autenticar clientes, servidores, usuarios y dispositivos en varias aplicaciones, entre las que se incluyen descifrado SSL/TLS, portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Genere certificados para cada uso. Si desea información detallada sobre certificados específicos de aplicaciones, consulte ¿Cómo utilizan los dispositivos las claves y los certificados? Para generar un certificado, primero debe crear o importar un certificado de CA raíz para firmarlo. Si desea información detallada, consulte Creación de un certificado de CA raíz autofirmado o Importación de un certificado y una clave privada. Para utilizar el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados, realice la acción de Configuración de un respondedor OCSP antes de generar el certificado. Si desea información detallada sobre la verificación del estado, consulte ¿Cómo verifican los dispositivos el estado de revocación de certificados? Generación de un certificado en el cortafuegos
1.
En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione un sistema virtual para el certificado. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la opción compartida descrita en el Paso 6.
3.
Haga clic en Generar.
4.
Introduzca un nombre de certificado. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.
5.
En el campo Nombre común, introduzca el FQDN (recomendado) o la dirección IP de la interfaz en la que configurará el servicio que utilizará este certificado.
6.
Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla de verificación Compartido. Esta casilla de verificación solamente aparece si el dispositivo admite varios sistemas virtuales.
7.
En el campo Firmado por, seleccione el certificado de CA raíz que emitirá el certificado.
8.
Si es aplicable, seleccione un OCSP responder.
9.
(Opcional) Defina la Configuración criptográfica según sea necesario para crear un certificado que funcione con los dispositivos que deben autenticarse con él. El tamaño de clave predeterminado y recomendado (Número de bits) es 2048 bits. El algoritmo de cifrado predeterminado y recomendado (Resumen) es SHA256.
10. (Opcional) Deberá Añadir los Atributos del certificado para identificar de manera exclusiva el cortafuegos y el servicio que vaya a utilizar el certificado. Nota
Si añade un atributo Nombre de host (nombre DNS), la práctica recomendada es que coincida con el Nombre común. El nombre de host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.
11. Haga clic en Generar y, en la pestaña Certificados de dispositivos, haga clic en el Nombre del certificado.
108
Gestión de certificados
Gestión de certificados
Obtención de certificados
Generación de un certificado en el cortafuegos (Continuación)
12. Seleccione las casillas de verificación que se correspondan con el uso que se pretende dar al certificado en el cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para autenticar el acceso de usuario a su interfaz web, seleccione la casilla de verificación Certificado de GUI web segura. 13. Haga clic en ACEPTAR y Confirmar.
Importación de un certificado y una clave privada Si su empresa tiene su propia infraestructura de clave pública (PKI), puede importar un certificado y una clave privada en el cortafuegos desde la entidad de certificación (CA) de su empresa. Los certificados de CA de empresa (a diferencia de la mayoría de certificados adquiridos a una CA externa de confianza) pueden emitir automáticamente certificados de CA para aplicaciones como el descifrado SSL/TLS o VPN a gran escala. En lugar de importar un certificado de CA raíz autofirmado en todos los sistemas cliente, la práctica recomendada es importar un certificado desde la CA de la empresa, dado que los clientes ya mantienen una relación de confianza con la CA de la empresa, lo cual simplifica la implementación. Si el certificado que va a importar forma parte de una cadena de certificados, la práctica recomendada es importar toda la cadena.
Importación de un certificado y una clave privada
1.
Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizará para la autenticación. Al exportar una clave privada, debe introducir una frase de contraseña para cifrar la clave para su transporte. Asegúrese de que el sistema de gestión puede acceder a los archivos de l certificado y clave. Al importar la clave en el cortafuegos, debe introducir la misma frase de contraseña para descifrarla.
2.
En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y seleccione una Plantilla.
3.
Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione un sistema virtual para el certificado. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la opción compartida descrita en el Paso 6.
4.
Haga clic en Importar.
5.
Introduzca un nombre de certificado. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.
6.
Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla de verificación Compartido. Esta casilla de verificación solamente aparece si el dispositivo admite varios sistemas virtuales.
7.
Introduzca la ruta y el nombre del Archivo de certificado que recibió de la CA o seleccione Examinar para buscar el archivo.
Gestión de certificados
109
Obtención de certificados
Gestión de certificados
Importación de un certificado y una clave privada (Continuación)
8.
Seleccione un Formato de archivo: • Clave privada cifrada y certificado (PKCS12): Este es el formato predeterminado y más común, en el que la clave y el certificado están en un único contenedor (Archivo del certificado). Si un módulo de seguridad de hardware (HSM) va a almacenar la clave privada para este certificado, seleccione la casilla de verificación La clave privada reside en el módulo de seguridad de hardware. • Certificado codificado en Base64 (PEM): Debe importar la clave independientemente del certificado. Si un módulo de seguridad de hardware (HSM) almacena la clave privada para este certificado, seleccione la casilla de verificación La clave privada reside en el módulo de seguridad de hardware y omita el paso 9. De lo contrario, seleccione la casilla de verificación Importar clave privada, introduzca el Archivo de clave o seleccione Examinar para buscarlo y, a continuación, realice el paso 9.
9.
Introduzca y vuelva a introducir (confirme) la Frase de contraseña utilizada para cifrar la clave privada.
10. Haga clic en ACEPTAR. La pestaña Certificados de dispositivos muestra el certificado importado.
Obtención de un certificado de una CA externa La ventaja de obtener un certificado de una entidad de certificación (CA) externa es que la clave privada no abandona el cortafuegos. Para obtener un certificado de una CA externa, genere una solicitud de firma de certificado (CSR) y envíela a la CA. Después de que la CA emita un certificado con los atributos especiales, impórtelo en el cortafuegos. La CA puede ser una CA pública conocida o una CA de la empresa. Para utilizar el protocolo de estado de certificación en línea (OCSP) para verificar el estado de revocación del certificado, realice la acción de Configuración de un respondedor OCSP antes de generar la CSR.
110
Gestión de certificados
Gestión de certificados
Obtención de certificados
Obtención de un certificado de una CA externa
Paso 1
Solicite el certificado de una CA externa. 1.
En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione un sistema virtual para el certificado. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la opción compartida descrita en el subpaso 6.
3.
Haga clic en Generar.
4.
Introduzca un Nombre de certificado. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.
5.
En el campo Nombre común, introduzca el FQDN (recomendado) o la dirección IP de la interfaz en la que configurará el servicio que utilizará este certificado.
6.
Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla de verificación Compartido. Esta casilla de verificación solamente aparece si el dispositivo admite varios sistemas virtuales.
7.
En el campo Firmado por, seleccione Autoridad externa (CSR).
8.
Si es aplicable, seleccione un OCSP responder.
9.
(Opcional) Deberá Añadir los Atributos del certificado para identificar de manera exclusiva el cortafuegos y el servicio que vaya a utilizar el certificado.
Nota
Si añade un atributo Nombre de host, la práctica recomendada es que coincida con el Nombre común (esto es obligatorio para GlobalProtect). El nombre de host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.
10. Haga clic en Generar. La pestaña Certificados de dispositivos muestra la CSR con el estado Pendiente. Paso 2
Envíe la CSR a la CA.
Gestión de certificados
1.
Seleccione la CSR y haga clic en Exportar para guardar el archivo .csr en un equipo local.
2.
Cargue el archivo .csr en la CA.
111
Obtención de certificados
Gestión de certificados
Obtención de un certificado de una CA externa (Continuación)
Paso 3
Paso 4
112
Importe el certificado.
Configure el certificado.
1.
Después de que la CA envíe un certificado firmado como respuesta a la CSR, vuelva a la pestaña Certificados de dispositivos y haga clic en Importar.
2.
Introduzca el Nombre de certificado utilizado para generar la CSR en el Paso 1-4.
3.
Introduzca la ruta y el nombre del Archivo del certificado PEM que envió la CA o seleccione Examinar para buscarlo.
4.
Haga clic en ACEPTAR. La pestaña Certificados de dispositivos muestra el certificado con el estado Válido.
1.
Haga clic en el Nombre del certificado.
2.
Seleccione las casillas de verificación que se correspondan con el uso que se pretende dar al certificado en el cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para autenticar a los administradores que acceden a la interfaz web, seleccione la casilla de verificación Certificado de GUI web segura.
3.
Haga clic en ACEPTAR y Confirmar.
Gestión de certificados
Gestión de certificados
Configuración de un perfil de certificado
Configuración de un perfil de certificado Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad móvil y acceso a la interfaz web del cortafuegos/Panorama. Los perfiles especifican qué certificados deben utilizarse, cómo verificar el estado de revocación de certificados y cómo restringe el acceso dicho estado. Configure un perfil de certificado para cada aplicación. La práctica recomendada es habilitar el protocolo de estado de certificado en línea (OCSP) y/o la verificación del estado de la lista de revocación de certificados (CRL) para perfiles de certificados. Si desea información detallada sobre estos métodos, consulte ¿Cómo verifican los dispositivos el estado de revocación de certificados?
Configuración de un perfil de certificado
Paso 1
Obtenga los certificados de la entidad de Realice uno de los pasos siguientes para obtener los certificados de certificación (CA) que asignará. CA que asignará al perfil. Debe asignar al menos uno. • Creación de un certificado de CA raíz autofirmado. • Exporte un certificado de la CA de su empresa y, a continuación, impórtelo en el cortafuegos (consulte Paso 3).
Paso 2
Identifique el perfil de certificado.
1.
En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Perfil del certificado y haga clic en Añadir. En Panorama, seleccione Dispositivo > Gestión de certificados > Perfil del certificado, seleccione una Plantilla y haga clic en Añadir.
Gestión de certificados
2.
Introduzca un Nombre para identificar el perfil. El nombre distingue entre mayúsculas y minúsculas. Debe ser exclusivo y utilizar únicamente letras, números, espacios, guiones y guiones bajos. Puede tener hasta 31 caracteres.
3.
Si el cortafuegos admite varios sistemas virtuales, el cuadro de diálogo muestra el menú desplegable Ubicación. Seleccione el sistema virtual donde el perfil estará disponible o seleccione Compartido para habilitar la disponibilidad en todos los sistemas virtuales.
113
Configuración de un perfil de certificado
Gestión de certificados
Configuración de un perfil de certificado (Continuación)
Paso 3
Asigne uno o más certificados.
Realice los siguientes pasos para cada certificado: 1. En la tabla Certificados de CA, haga clic en Añadir. 2.
Seleccione un Certificado de CA del Paso 1 o haga clic en Importar y realice los siguientes subpasos: a. Introduzca un nombre de certificado. b. Introduzca la ruta y el nombre del Archivo de certificado que exportó desde la CA de su empresa o seleccione Examinar para buscar el archivo. c. Haga clic en ACEPTAR.
3.
Opcionalmente, si el cortafuegos utiliza OCSP para verificar el estado de revocación de certificados, configure los siguientes campos para cancelar el comportamiento predeterminado. Para la mayoría de las implementaciones, estos campos no son aplicables. • De manera predeterminada, el cortafuegos utiliza la URL del respondedor OCSP que estableció en el procedimiento Configuración de un respondedor OCSP. Para cancelar ese ajuste, introduzca una URL de OCSP predeterminada (que comience por http:// o https://). • De manera predeterminada, el cortafuegos utiliza el certificado seleccionado en el campo Certificado de CA para validar las respuestas de OCSP. Para utilizar un certificado diferente para la validación, selecciónelo en el campo Verificación de certificado CA con OCSP.
4.
114
Haga clic en ACEPTAR. La tabla Certificados de CA muestra el certificado asignado.
Gestión de certificados
Gestión de certificados
Configuración de un perfil de certificado
Configuración de un perfil de certificado (Continuación)
Paso 4
Defina los métodos para verificar el estado de revocación de certificados y el comportamiento de bloqueo asociado.
1.
Seleccione Utilizar CRL y/o Utilizar OCSP. Si selecciona ambos métodos, el cortafuegos primero intentará utilizar el OCSP y solamente retrocederá al método CRL si el respondedor OCSP no está disponible.
2.
Dependiendo del método de verificación, introduzca el Tiempo de espera de recepción de CRL y/o Tiempo de espera de recepción de OCSP. Estos son los intervalos (1-60 segundos) tras los cuales el cortafuegos deja de esperar una respuesta del servicio CRL/OCSP.
3.
Introduzca el Tiempo de espera del estado del certificado. Este es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier servicio de estado de certificados y aplica la lógica de bloqueo de sesión que defina. El Tiempo de espera del estado del certificado se relaciona con el Tiempo de espera de recepción de OCSP/CRL de la manera siguiente: • Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de espera de solicitud después de que pase el menor de dos intervalos: el valor de Tiempo de espera del estado del certificado o la suma de los dos valores de Tiempo de espera de recepción. • Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera de solicitud después de que pase el menor de dos intervalos: el valor de Tiempo de espera del estado del certificado o el valor de Tiempo de espera de recepción de OCSP. • Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera de solicitud después de que pase el menor de dos intervalos: el valor de Tiempo de espera del estado del certificado o el valor de Tiempo de espera de recepción de CRL.
4.
Si desea que el cortafuegos bloquee sesiones cuando el servicio OCSP o CRL devuelva el estado de revocación de certificados Desconocido, seleccione la casilla de verificación Bloquear una sesión si el estado del certificado es desconocido. De lo contrario, el cortafuegos continuará con la sesión.
5.
Si desea que el cortafuegos bloquee sesiones después de que registre un tiempo de espera de solicitud de OCSP o CRL, seleccione la casilla de verificación Bloquear una sesión si no se puede recuperar el estado del certificado dentro del tiempo de espera. De lo contrario, el cortafuegos continuará
con la sesión. Paso 5
Guarde y aplique sus entradas.
Gestión de certificados
Haga clic en ACEPTAR y Confirmar.
115
Revocación y renovación de certificados
Gestión de certificados
Revocación y renovación de certificados Los siguientes temas describen cómo revocar o renovar certificados:
Revocación de un certificado
Renovación de un certificado
Revocación de un certificado Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son un cambio de nombre, un cambio de asociación entre el sujeto y la entidad de certificación (por ejemplo, un empleado cuyo contrato se resuelva) y la revelación (confirmada o sospechada) de la clave privada. En estas circunstancias, la entidad de certificación (CA) que emitió el certificado deberá revocarlo. La siguiente tarea describe cómo revocar un certificado para el que el cortafuegos sea la CA. Revocación de un certificado
1.
Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione el sistema virtual al que pertenece el certificado.
3.
Seleccione el certificado que desea revocar.
4.
Haga clic en Revocar. PAN-OS inmediatamente establece el estado del certificado como revocado y añade el número de serie a la caché del respondedor del protocolo de estado de certificado en línea (OCSP) o la lista de revocación de certificados (CRL). No necesita realizar una confirmación.
Renovación de un certificado Si un certificado vence, o lo hará pronto, puede restablecer el período de validez. Si una entidad de certificación (CA) externa firmó el certificado y el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados, el cortafuegos utilizará información del respondedor OCSP para actualizar el estado del certificado (consulte Configuración de un respondedor OCSP). Si el cortafuegos es la CA que emitió el certificado, el cortafuegos lo sustituirá por un nuevo certificado que tenga un número de serie diferente pero los mismos atributos que el certificado anterior. Renovación de un certificado
1.
En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione el sistema virtual al que pertenece el certificado.
3.
Seleccione el certificado que desea renovar y haga clic en Renovar.
4.
Introduzca un Nuevo intervalo de vencimiento (en días).
5.
Haga clic en ACEPTAR y Confirmar.
116
Gestión de certificados
Gestión de certificados
Claves seguras con un módulo de seguridad de hardware
Claves seguras con un módulo de seguridad de hardware Un módulo de seguridad de hardware (HSM) es un dispositivo físico que gestiona claves digitales. Un HSM proporciona un almacenamiento seguro y la generación de claves digitales. Ofrece tanto protección lógica como física de estos materiales ante un uso no autorizado y posibles atacantes. Los clientes HSM integrados con dispositivos de Palo Alto Networks habilitan una seguridad mejorada para las claves privadas utilizadas en el descifrado SSL/TLS (tanto el proxy SSL de reenvío como la inspección de entrada SSL). Además, puede utilizar el HSM para cifrar claves maestras de dispositivos. Los siguientes temas describen cómo integrar un HSM con sus dispositivos de Palo Alto Networks:
Configuración de la conectividad con un HSM
Cifrado de una clave maestra utilizando un HSM
Almacenamiento de claves privadas en un HSM
Gestión de la implementación del HSM
Configuración de la conectividad con un HSM Los clientes HSM están integrados con los cortafuegos de las series PA-3000, PA-4000, PA-5000, PA-7050 y VM-Series y en Panorama (dispositivo virtual y dispositivo M-100) para su uso con los siguientes HSM:
SafeNet Luna SA 5.2.1 o posterior
Thales Nshield Connect 11.62 o posterior La versión del servidor HSM debe ser compatible con estas versiones de cliente. Consulte la documentación del proveedor del HSM para conocer la matriz de compatibilidad de la versión de servidor cliente.
Los siguientes temas describen cómo configurar la conectividad entre el cortafuegos/Panorama y uno de los HSM admitidos:
Configuración de la conectividad con un HSM SafeNet Luna SA
Configuración de la conectividad con un HSM Thales Nshield Connect
Configuración de la conectividad con un HSM SafeNet Luna SA Para configurar la conectividad entre el dispositivo de Palo Alto Networks y un HSM SafeNet Luna SA, debe especificar la dirección del servidor HSM y la contraseña para conectarse a él en la configuración del cortafuegos. Además, debe registrar el cortafuegos con el servidor HSM. Antes de comenzar la configuración, asegúrese de que ha creado una partición para los dispositivos de Palo Alto Networks en el servidor HSM. La configuración del HSM no está sincronizada entre peers de cortafuegos de alta disponibilidad. Por consiguiente, deberá configurar el HSM por separado en cada uno de los peers. En implementaciones de HA activas-pasivas, deberá realizar manualmente una conmutación por error para configurar y autenticar cada peer de HA individualmente en el HSM. Después de realizar esta conmutación por error manual, la interacción del usuario no será necesaria para la función de conmutación por error.
Gestión de certificados
117
Claves seguras con un módulo de seguridad de hardware
Gestión de certificados
Configuración de la conectividad con un HSM SafeNet Luna SA
Paso 1
Nota
Registre el cortafuegos (el cliente 1. HSM) con el HSM y asígnelo a 2. una partición en el HSM. Si el HSM ya tiene un cortafuegos con el mismo registrado, deberá eliminar el registro duplicado utilizando el 3. siguiente comando antes de que el registro pueda realizarse correctamente: client delete -client
Inicie sesión en el HSM desde un sistema remoto. Registre el cortafuegos utilizando el siguiente comando: client register -c -ip
siendo un nombre que asigna al cortafuegos para su uso en el HSM y la dirección IP del cortafuegos que se está configurando como cliente HSM. Asigne una partición al cortafuegos utilizando el siguiente comando: client assignpartition -c -p
siendo el nombre asignado al cortafuegos en el comando client register y el nombre de una partición configurada anteriormente que desee asignar al cortafuegos.
siendo el nombre del registro de cliente (cortafuegos) que desea eliminar. Paso 2
Configure el cortafuegos para que se comunique con el HSM SafeNet Luna SA.
1.
Inicie sesión en la interfaz web del cortafuegos y seleccione Dispositivo > Configuración > HSM.
2.
Edite la sección Proveedor de módulo de seguridad de hardware y seleccione Safenet Luna SA como el Proveedor configurado.
3.
Haga clic en Añadir e introduzca un Nombre de módulo. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres.
4.
Introduzca la dirección IPv4 del HSM como Dirección de servidor. Si está realizando una configuración de HSM de alta disponibilidad, introduzca los nombres de módulos y las direcciones IP de los dispositivos del HSM adicionales.
5.
(Opcional) Si está realizando una configuración de HSM de alta disponibilidad, seleccione la casilla de verificación Alta disponibilidad y añada lo siguiente: un valor para Reintento de recuperación automática y un Nombre de grupo de alta disponibilidad. Si hay dos servidores HSM configurados, debería configurar la alta disponibilidad. De lo contrario, el segundo servidor HSM no se utilizará.
6.
118
Haga clic en ACEPTAR y Confirmar.
Gestión de certificados
Gestión de certificados
Claves seguras con un módulo de seguridad de hardware
Configuración de la conectividad con un HSM SafeNet Luna SA (Continuación)
Paso 3
(Opcional) Configure una ruta de 1. servicio para permitir que el 2. cortafuegos se conecte al HSM. De manera predeterminada, el cortafuegos utiliza la interfaz de gestión para comunicarse con el HSM. Para utilizar una interfaz diferente, debe configurar una ruta de servicio.
Seleccione Dispositivo > Configuración > Servicios. Seleccione Configuración de ruta de servicios en el área Características de servicios.
3.
Seleccione Personalizar en el área Configuración de ruta de servicios.
4.
Seleccione la pestaña IPv4.
5.
Seleccione HSM en la columna Servicio.
6.
Seleccione una interfaz para utilizarla para el HSM en el menú desplegable Interfaz de origen.
Nota
7. Paso 4
Configure el cortafuegos para autenticarlo para el HSM.
Si selecciona un puerto conectado al plano de datos para el HSM, al emitir el comando de la CLI clear session all se borrarán todas las sesiones del HSM existentes, lo que hará que todos los estados del HSM se desconecten y luego se conecten. Durante los segundos que necesita el HSM para recuperarse, fallarán todas las operaciones de SSL/TLS.
Haga clic en ACEPTAR y Confirmar.
1.
Seleccione Dispositivo > Configuración > HSM.
2.
Seleccione Configurar módulo de seguridad de hardware en el área Operaciones de seguridad de hardware.
3.
Seleccione el Nombre de servidor del HSM en el menú desplegable.
4.
Introduzca la Contraseña de administrador para autenticar el cortafuegos para el HSM.
5.
Haga clic en ACEPTAR. El cortafuegos intenta realizar una autenticación con el HSM y muestra un mensaje de estado.
Paso 5
Paso 6
Configure el cortafuegos para conectarlo a la partición del HSM.
6.
Haga clic en ACEPTAR.
1.
Seleccione Dispositivo > Configuración > HSM.
2.
Haga clic en el icono Actualizar.
3.
Seleccione Configurar partición HSM en el área Operaciones de seguridad de hardware.
4.
Introduzca la Contraseña de partición para autenticar el cortafuegos para la partición del HSM.
5.
Haga clic en ACEPTAR.
(Opcional) Configure un HSM 1. adicional para alta disponibilidad (HA). 2.
Siga del Paso 2 al Paso 5 para añadir un HSM adicional para alta disponibilidad (HA). Este proceso añade un nuevo HSM al grupo de HA existente. Si elimina un HSM de su configuración, repita el Paso 5. Esto quitará el HSM eliminado del grupo de HA.
Gestión de certificados
119
Claves seguras con un módulo de seguridad de hardware
Gestión de certificados
Configuración de la conectividad con un HSM SafeNet Luna SA (Continuación)
Paso 7
Verifique la conectividad con el HSM.
1. 2.
Seleccione Dispositivo > Configuración > HSM. Compruebe el Estado de la conexión del HSM: Verde = El HSM está autenticado y conectado. Rojo = El HSM no se ha autenticado o la conectividad de red del HSM está inactiva.
3.
Consulte las columnas siguientes del área Estado de módulo de seguridad de hardware para determinar el estado de autenticación: Número de serie: Número de serie de la partición del HSM si el HSM
se ha autenticado correctamente. Partición: Nombre de la partición del HSM que se asignó al
cortafuegos. Estado de módulo: Estado de funcionamiento actual del HSM. Siempre tiene el valor Autenticado si el HSM se muestra en esta tabla.
Configuración de la conectividad con un HSM Thales Nshield Connect El siguiente flujo de trabajo describe cómo configurar el cortafuegos para comunicarse con un HSM Thales Nshield Connect. Esta configuración requiere que configure un sistema de archivos remoto (RFS) para utilizarlo como concentrador y así sincronizar datos de claves de todos los cortafuegos de su organización que estén utilizando el HSM. La configuración del HSM no está sincronizada entre peers de cortafuegos de alta disponibilidad. Por consiguiente, deberá configurar el HSM por separado en cada uno de los peers. Si la configuración del cortafuegos de alta disponibilidad está en modo activo-pasivo, deberá realizar manualmente una conmutación por error para configurar y autenticar cada peer de HA individualmente en el HSM. Después de realizar esta conmutación por error manual, la interacción del usuario no será necesaria para la función de conmutación por error.
Configuración de la conectividad con un HSM Thales Nshield Connect
Paso 1
Configure el servidor Thales Nshield Connect como el proveedor de HSM del cortafuegos.
1.
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuración > HSM y edite la sección Proveedor de módulo de seguridad de hardware.
2.
Seleccione Thales Nshield Connect como el Proveedor configurado.
3.
Haga clic en Añadir e introduzca un Nombre de módulo. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres.
4.
Introduzca la dirección IPv4 como la Dirección de servidor del HSM. Si está realizando una configuración de HSM de alta disponibilidad, introduzca los nombres de módulos y las direcciones IP de los dispositivos del HSM adicionales.
120
5.
Introduzca la dirección IPv4 de la Dirección de sistema de archivos remoto.
6.
Haga clic en ACEPTAR y Confirmar.
Gestión de certificados
Gestión de certificados
Claves seguras con un módulo de seguridad de hardware
Configuración de la conectividad con un HSM Thales Nshield Connect (Continuación)
Paso 2
(Opcional) Configure una 1. ruta de servicio para 2. permitir que el cortafuegos se conecte 3. al HSM. 4. De manera 5. predeterminada, el 6. cortafuegos utiliza la
Seleccione Dispositivo > Configuración > Servicios. Seleccione Configuración de ruta de servicios en el área Características de servicios. Seleccione Personalizar en el área Configuración de ruta de servicios. Seleccione la pestaña IPv4. Seleccione HSM en la columna Servicio. Seleccione una interfaz para utilizarla para el HSM en el menú desplegable
Interfaz de origen. interfaz de gestión para comunicarse con el HSM. Nota Si selecciona un puerto conectado al plano de datos para el HSM, al emitir Para utilizar una interfaz el comando de la CLI clear session all se borrarán todas las sesiones diferente, debe configurar del HSM existentes, lo que hará que todos los estados del HSM se una ruta de servicio. desconecten y luego se conecten. Durante los segundos que necesita el HSM para recuperarse, fallarán todas las operaciones de SSL/TLS.
Paso 3
Registre el cortafuegos (el cliente HSM) con el servidor HSM.
7.
Haga clic en ACEPTAR y Confirmar.
1.
Inicie sesión en la pantalla del panel frontal de la unidad HSM Thales Nshield Connect.
2.
En el panel frontal de la unidad, utilice el botón de navegación de la derecha para seleccionar Sistema > Configuración del sistema > Configuración de cliente > Nuevo cliente.
Este paso describe brevemente el procedimiento para utilizar la interfaz del panel frontal del HSM Thales Nshield Connect. Si desea información más detallada, consulte la documentación de Thales. 3. 4.
Client configuration Please enter your client IP address 0.0.0.0 Cancel Next
Introduzca la dirección IP del cortafuegos. Seleccione Sistema > Configuración del sistema > Configuración de cliente > Sistema de archivos remoto e introduzca la dirección IP del equipo cliente donde configure el sistema de archivos remoto.
Gestión de certificados
121
Claves seguras con un módulo de seguridad de hardware
Gestión de certificados
Configuración de la conectividad con un HSM Thales Nshield Connect (Continuación)
Paso 4
Configure el sistema de archivos remoto para aceptar conexiones del cortafuegos.
1.
Inicie sesión en el sistema de archivos remoto (RFS) desde un cliente Linux.
2.
Obtenga el número de serie electrónico (ESN) y el hash de la clave KNETI. La clave KNETI autentica el módulo para clientes: anonkneti
siendo la dirección IP del HSM. A continuación se muestra un ejemplo: anonkneti 192.0.2.1 B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
En este ejemplo, B1E2-2D4C-E6A2 es el ESM y 5a2e5107e70d525615a903f6391ad72b1c03352c es el hash de la clave KNETI. 3.
Utilice el siguiente comando de una cuenta de superusuario para realizar la configuración del sistema de archivos remoto: rfs-setup --force
siendo la dirección IP del HSM,
el número de serie electrónico (ESN) y
el hash de la clave KNETI.
El siguiente ejemplo utiliza los valores obtenidos mediante este procedimiento: rfs-setup --force <192.0.2.1> <5a2e5107e70d525615a903f6391ad72b1c03352c>
4.
Utilice el siguiente comando para permitir un envío de cliente en el sistema de archivos remoto: rfs-setup --gang-client --write-noauth
siendo la dirección IP del cortafuegos. Paso 5
Configure el cortafuegos para autenticarlo para el HSM.
1.
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuración > HSM.
2.
Seleccione Configurar módulo de seguridad de hardware en el área Operaciones de seguridad de hardware.
3.
Haga clic en ACEPTAR. El cortafuegos intenta realizar una autenticación con el HSM y muestra un mensaje de estado.
4. Paso 6
122
Sincronice el cortafuegos 1. con el sistema de archivos 2. remoto.
Haga clic en ACEPTAR. Seleccione Dispositivo > Configuración > HSM. Seleccione Sincronizar con sistema de archivos remoto en la sección Operaciones de seguridad de hardware.
Gestión de certificados
Gestión de certificados
Claves seguras con un módulo de seguridad de hardware
Configuración de la conectividad con un HSM Thales Nshield Connect (Continuación)
Paso 7
Verifique que el cortafuegos puede conectarse al HSM.
1.
Seleccione Dispositivo > Configuración > HSM.
2.
Compruebe el indicador de estado para verificar que el cortafuegos está conectado al HSM: Verde = El HSM está autenticado y conectado. Rojo = El HSM no se ha autenticado o la conectividad de red del HSM está inactiva.
3.
Consulte las columnas siguientes de la sección Estado de módulo de seguridad de hardware para determinar el estado de autenticación: Nombre: Nombre del HSM que trata de ser autenticado. Dirección IP: Dirección IP del HSM que se asignó en el cortafuegos. Estado de módulo: Estado de funcionamiento actual del HSM: Autenticado o No autenticado.
Cifrado de una clave maestra utilizando un HSM En un cortafuegos de Palo Alto Networks hay configurada una clave maestra para cifrar todas las claves privadas y contraseñas. Si tiene requisitos de seguridad para almacenar sus claves privadas en una ubicación segura, puede cifrar la clave maestra utilizando una clave de cifrado que se almacene en un HSM. A continuación, el cortafuegos solicitará al HSM que descifre la clave maestra cuando sea necesaria para descifrar una contraseña o clave privada en el cortafuegos. Normalmente, el HSM se encuentra en una ubicación de alta seguridad separada del cortafuegos para mayor seguridad. El HSM cifra la clave maestra mediante una clave de ajuste. Para mantener la seguridad, esta clave de cifrado debe cambiarse de vez en cuando. Por este motivo, se proporciona un comando en el cortafuegos para rotar la clave de ajuste que cambia el cifrado de la clave maestra. La frecuencia de esta rotación de la clave de ajuste depende de su aplicación. El cifrado de clave maestra que utilice un HSM no se admite en cortafuegos configurados en el modo FIPS o CC.
Los temas siguientes describen cómo descifrar la clave maestra inicialmente y cómo actualizar el cifrado de la clave maestra.
Cifrado de la clave maestra
Actualización del cifrado de clave maestra
Cifrado de la clave maestra Si no ha cifrado anteriormente la clave maestra de un dispositivo, utilice el siguiente procedimiento para cifrarla. Utilice este procedimiento la primera vez que cifre una clave o si define una nueva clave maestra y desea descifrarla. Si desea actualizar el cifrado de una clave cifrada anteriormente, consulte Actualización del cifrado de clave maestra.
Gestión de certificados
123
Claves seguras con un módulo de seguridad de hardware
Gestión de certificados
Cifrado de una clave maestra utilizando un HSM
1.
Seleccione Dispositivo > Clave maestra y diagnóstico.
Paso 8
Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseñas del cortafuegos en el campo Clave maestra.
Paso 9
Si está cambiando la clave maestra, introduzca la nueva clave maestra y confírmela.
Paso 10 Seleccione la casilla de verificación HSM. Duración: Número de días y horas tras el cual vence la clave maestra (rango: 1-730 días). Tiempo para el recordatorio: Número de días y horas antes del vencimiento en cuyo momento se notificará al
usuario del vencimiento inminente (rango: 1-365 días). Paso 11 Haga clic en ACEPTAR.
Actualización del cifrado de clave maestra La práctica recomendada es actualizar el cifrado de clave maestra con regularidad rotando la clave de ajuste de clave maestra en el HSM Este comando es el mismo para los HSM SafeNet Luna SA y Thales Nshield Connect. Actualización del cifrado de clave maestra
1.
Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un HSM: > request hsm mkey-wrapping-key-rotation
Si la clave maestra está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste en el HSM y cifrará la clave maestra con la nueva clave de ajuste. Si la clave maestra no está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste en el HSM para su uso en el futuro. Este comando no elimina la clave de ajuste anterior.
Almacenamiento de claves privadas en un HSM Para mayor seguridad, las claves privadas utilizadas para habilitar el descifrado SSL/TLS (tanto el proxy SSL de reenvío como la inspección de entrada SSL) pueden protegerse con un HSM de la manera siguiente:
Proxy SSL de reenvío: La clave privada del certificado de CA que se utiliza para firmar certificados en operaciones de proxy SSL/TLS de reenvío se puede almacenar en el HSM. A continuación, el cortafuegos enviará los certificados que genere durante las operaciones de proxy SSL/TLS de reenvío al HSM para su envío antes de reenviarlos al cliente.
Inspección de entrada SSL: Las claves privadas de los servidores internos para los que está haciendo una inspección de entrada SSL/TLS se pueden almacenar en el HSM.
Para obtener instrucciones sobre cómo importar claves privadas en el HSM, consulte la documentación de su proveedor de HSM. Después de que las claves necesarias se encuentren en el HSM, podrá configurar el cortafuegos para ubicar las claves de la manera siguiente:
124
Gestión de certificados
Gestión de certificados
Claves seguras con un módulo de seguridad de hardware
Almacenamiento de claves privadas en un HSM
Para obtener instrucciones sobre cómo importar claves privadas en el HSM, consulte la documentación de su proveedor de HSM.
Paso 1
Importe las claves privadas utilizadas en sus implementaciones de proxy SSL de reenvío y/o inspección de entrada SSL en el HSM.
Paso 2
1. (Únicamente Thales Nshield Connect) Sincronice los datos de claves del sistema de archivos 2. remoto del HSM con el cortafuegos.
Paso 3
Paso 4
1. Importe los certificados que se correspondan con las claves privadas que esté almacenando en 2. el HSM en el cortafuegos. 3.
Seleccione Sincronizar con sistema de archivos remoto en la sección Operaciones de seguridad de hardware. Desde la interfaz web del cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. Haga clic en Importar. Introduzca el Nombre de certificado.
4.
Introduzca el nombre de archivo del Archivo del certificado que importó en el HSM.
5.
Seleccione el Formato de archivo adecuado en el menú desplegable.
6.
Seleccione la casilla de verificación La clave privada reside en el módulo de seguridad de hardware.
7.
Haga clic en ACEPTAR y Confirmar.
(Únicamente certificados fiables 1. de reenvío) Habilite el certificado para su uso en el proxy SSL/TLS 2. de reenvío. 3. 4.
Paso 5
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuración > HSM.
Verifique que el certificado se ha 1. importado correctamente en el cortafuegos. 2. 3.
Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. Localice el certificado que importó en el Paso 3. Seleccione la casilla de verificación Reenviar certificado fiable. Haga clic en ACEPTAR y Confirmar. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. Localice el certificado que importó en el Paso 3. En la columna Clave, observe lo siguiente: Si se muestra un icono de bloqueo, la clave privada del certificado puede encontrarse en el HSM. Si se muestra un icono de error, la clave privada no se ha importado en el HSM o el HSM no está autenticado o conectado correctamente.
Gestión de certificados
125
Claves seguras con un módulo de seguridad de hardware
Gestión de certificados
Gestión de la implementación del HSM Gestión del HSM
• Visualice los ajustes de configuración del HSM.
Seleccione Dispositivo > Configuración > HSM.
• Muestre la información detallada Seleccione Mostrar información detallada en la sección Operaciones de seguridad del HSM. de hardware. Aparecerá información relativa a los servidores HSM, el estado de HA del HSM y el hardware del HSM. • Exporte un archivo de asistencia. Seleccione Exportar archivo de asistencia en la sección Operaciones de seguridad de hardware. Se creará un archivo de prueba para ayudar en la asistencia a los clientes cuando se trate de solucionar un problema con una configuración del HSM en el cortafuegos. • Restablezca la configuración del Seleccione Restablecer configuración de HSM en la sección Operaciones de HSM. seguridad de hardware. Seleccionar esta opción elimina todas las conexiones del HSM. Todos los procedimientos de autenticación deberán repetirse después de utilizar esta opción.
126
Gestión de certificados
Alta disponibilidad La alta disponibilidad (HA) es una configuración en la que dos cortafuegos se colocan en un grupo y su configuración se sincroniza para prevenir el fallo de un único punto en su red. Una conexión de latido entre los peers del cortafuegos garantiza una conmutación por error sin problemas en el caso de que falle un peer. La configuración de los cortafuegos en un clúster de dos dispositivos proporciona redundancia y le permite garantizar la continuidad empresarial. Los cortafuegos de Palo Alto Networks admiten una alta disponibilidad activa/activa o activa/pasiva de estado con sincronización de sesión y configuración. Algunos modelos del cortafuegos, como los cortafuegos VM-Series y PA-200, únicamente admiten HA lite sin capacidad de sincronización de sesión. Los siguientes temas proporcionan más información sobre la alta disponibilidad y sobre cómo configurarla en su entorno.
Descripción general de la alta disponibilidad
Configuración de la HA activa/pasiva
Si desea más información, consulte los siguientes artículos:
Active/Active HA (en inglés)
High Availability Synchronization (en inglés)
High Availability Failover Optimization (en inglés)
Upgrading an HA pair (en inglés)
Examples: Deploying HA (en inglés)
Alta disponibilidad
127
Descripción general de la alta disponibilidad
Alta disponibilidad
Descripción general de la alta disponibilidad En cortafuegos de Palo Alto Networks, puede configurar dos dispositivos como un par de HA. La HA le permite reducir al mínimo la inactividad al garantizar que haya un dispositivo alternativo disponible en el caso de que falle el dispositivo principal. Los dispositivos utilizan puertos de HA específicos o internos en el cortafuegos para sincronizar datos (configuraciones de red, objeto y política) y mantener información de estado. Los dispositivos no comparten información de la configuración específica de los dispositivos, como la dirección IP del puerto de gestión o perfiles de administrador, la configuración específica de HA, datos de log y el Centro de comando de aplicación (ACC). Para obtener una vista consolidada de aplicaciones y logs a través del par de HA deberá utilizar Panorama, el sistema de gestión centralizado de Palo Alto Networks. Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger el tráfico, el evento se denomina una conmutación por error. Las condiciones que activan una conmutación por error son las siguientes:
Falla una o más de las interfaces supervisadas. (Supervisión de enlaces)
No se puede llegar a uno o más de los destinos especificados en el dispositivo. (Supervisión de rutas)
El dispositivo no responde a sondeos de heartbeat. (Sondeos de heartbeat)
Modos de HA Puede configurar los cortafuegos para la HA en dos modos:
Activo/pasivo: Un dispositivo gestiona activamente el tráfico mientras que el otro está sincronizado y listo para pasar al estado activo en el caso de que se produjera un fallo. En esta configuración, ambos dispositivos comparten los mismos ajustes de configuración y uno gestiona activamente el tráfico hasta que se produce un fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control sin problemas y aplica las mismas políticas para mantener la seguridad de red. La HA activa/pasiva es compatible con las implementaciones de Virtual Wire, capa 2 y capa 3. Si desea información sobre cómo ajustar sus dispositivos en una configuración activa/pasiva, consulte Configuración de la HA activa/pasiva. Los cortafuegos PA-200 y VM-Series admiten una versión lite de la HA activa/pasiva. HA Lite permite la sincronización de la configuración y la sincronización de algunos datos de tiempo de ejecución, como asociaciones de seguridad de IPSec. No admite ninguna sincronización de sesiones y, por lo tanto, HA Lite no ofrece una conmutación por error con estado.
128
Activo/activo: Ambos dispositivos del par están activos y procesan el tráfico. Asimismo, trabajan sincronizadamente para gestionar la configuración y la pertenencia de la sesión. La implementación activa/activa es compatible con las implementaciones de Virtual Wire y capa 3 y únicamente se recomienda para redes con enrutamiento asimétrico. Si desea información sobre el establecimiento de una configuración activa/activa para los dispositivos, consulte Active/Active High Availability Tech Note (Nota técnica sobre alta disponibilidad activa/activa).
Alta disponibilidad
Alta disponibilidad
Descripción general de la alta disponibilidad
Enlaces de HA y enlaces de copia de seguridad Los dispositivos de un par de HA utilizan enlaces de HA para sincronizar datos y mantener información de estado. Algunos modelos del cortafuegos tienen puertos de HA específicos, como enlace de control (HA1) y enlace de datos (HA2), mientras que otros requieren que utilice los puertos internos como enlaces de HA. En dispositivos con puertos de HA específicos como los cortafuegos de las series PA-3000, PA-4000, PA-5000 y PA-7050 (consulte Puertos de HA en el cortafuegos PA-7050), utilice los puertos de HA específicos para gestionar la comunicación y la sincronización entre los dispositivos. Para dispositivos sin puertos de HA específicos, como los cortafuegos de las series PA-200, PA-500 y PA-2000, la práctica recomendada es utilizar el puerto de gestión para el enlace de HA1 para permitir una conexión directa entre los planos de gestión de los dispositivos y un puerto interno para el enlace de HA2. Los enlaces de HA1 y HA2 proporcionan sincronización para funciones que residen en el plano de gestión. Utilizar las interfaces de HA específicas del plano de gestión es más eficaz que utilizar los puertos internos, ya que así se elimina la necesidad de pasar los paquetes de sincronización a través del plano de datos.
Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e información de estado de HA, así como la sincronización del plano de gestión para el enrutamiento e información de User-ID. Este enlace también se utiliza para sincronizar cambios de configuración en el dispositivo activo o pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una dirección IP. Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicación con texto claro; puerto 28 para una comunicación cifrada (SSH sobre TCP).
Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2 siempre es unidireccional (excepto en la conexión persistente de HA2); fluye desde el dispositivo activo al dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera predeterminada. Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (número de protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA abarque las subredes. Asimismo, se utiliza un enlace de HA3 en implementaciones de HA activa/activa. Cuando hay una ruta asimétrica, se utiliza el enlace de HA3 para reenviar paquetes al peer de HA al que pertenece la sesión. El enlace de HA3 es un enlace de capa 2 y no permite el cifrado ni las direcciones de capa 3.
Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes directrices al configurar enlaces de HA de copia de seguridad: –
Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre sí.
–
Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente que la de los enlaces de HA principales.
–
Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos físicos separados. El enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260. Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (que utiliza el puerto 28771 en la interfaz de gestión) si utiliza un puerto interno para los enlaces de copia de seguridad de HA1 o HA2.
Alta disponibilidad
129
Descripción general de la alta disponibilidad
Alta disponibilidad
Puertos de HA en el cortafuegos PA-7050 Para la conectividad de HA en el PA-7050, consulte la siguiente tabla para obtener información detallada sobre qué puertos de la tarjeta de gestión de conmutadores (SMC) son obligatorios y qué puertos de la tarjeta de procesamiento de red (NPC) son adecuados. Para obtener una descripción general de los módulos y las tarjetas de interfaz del cortafuegos PA-7050, consulte la Guía de referencia de hardware de PA-7050. Los siguientes puertos de la SMC están diseñados para la conectividad de HA: Enlaces de HA Puertos de la SMC y enlaces de copia de seguridad
Descripción
Enlace de control
Se utiliza para el control y la sincronización de HA. Conecte este puerto directamente desde el puerto HA1-A del primer dispositivo al puerto HA1-A del segundo dispositivo del par, o bien conéctelos juntos a través de un conmutador o enrutador.
HA1-A Velocidad: Ethernet 10/100/1000
HA1 no se puede configurar en puertos de datos NPC o el puerto MGT. Copia de seguridad de enlace de control
HA1-B Velocidad: Puerto Ethernet 10/100/1000
Se utiliza para el control y la sincronización de HA como copia de seguridad para HA1-A. Conecte este puerto directamente desde el puerto HA1-B del primer dispositivo al puerto HA1-B del segundo dispositivo del par, o bien conéctelos juntos a través de un conmutador o enrutador. La copia de seguridad de HA1 no se puede configurar en puertos de datos de NPC o el puerto de gestión.
Enlace de datos
Las interfaces Quad Port SFP (QSFP) se usan para conectar dos cortafuegos PA-7050 con una configuración de HA. Cada puerto (High Speed Chassis consta de cuatro enlaces internos de 10 gigabits para alcanzar una Interconnect, interconexión velocidad combinada de 40 gigabits y se usa para enlaces de datos de bastidores de alta velocidad) HA2 en la configuración activa/pasiva. En el modo activo/activo, el puerto también se usa para reenvío de paquetes HA3 en sesiones de enrutamiento asimétrica que requieren inspección de capa 7 para App-ID y Content-ID. HSCI-A
En una instalación típica, el puerto HSCI-A del primer bastidor se conecta directamente al HSCI-A del segundo y el HSCI-B del primer bastidor se conecta al HSCI-B del segundo. Así se alcanzan velocidades de transferencia máximas de 80 gigabits. En software, ambos puertos (HSCI-A y HSCI-B) se tratan como una única interfaz HA. Los puertos HSCI no se pueden enrutar y deben conectarse directamente entre sí. Palo Alto Networks recomienda utilizar los puertos HSCI específicos para las conexiones de HA2 y HA3. Sin embargo, pueden configurarse los enlaces de HA2 y HA3 en puertos de datos de NPC, si es necesario.
130
Alta disponibilidad
Alta disponibilidad
Enlaces de HA Puertos de la SMC y enlaces de copia de seguridad
Copia de seguridad de enlace de datos
HSCI-B
Descripción general de la alta disponibilidad
Descripción
Las interfaces Quad Port SFP (QSFP) (consulte la descripción anterior) del puerto HSCI-B se utilizan para aumentar el ancho de banda para HA2/HA3.
(High Speed Chassis Interconnect, interconexión de bastidores de alta velocidad) Los puertos HSCI no se pueden enrutar y deben conectarse directamente entre sí.
Palo Alto Networks recomienda utilizar los puertos HSCI-B específicos para las conexiones de copia de seguridad de HA2 y HA3. Puede configurarse un enlace de copia de seguridad de HA2/HA3 en los puertos de datos de NPC, si es necesario.
Prioridad y preferencia de dispositivos A los dispositivos de un par de HA se les puede asignar un valor de prioridad de dispositivo para indicar una preferencia por el dispositivo que debería asumir el papel activo y gestionar el tráfico. Si necesita utilizar un dispositivo específico del par de HA para proteger de manera activa el tráfico, debe habilitar el comportamiento de preferencia en ambos cortafuegos y asignar un valor de prioridad de dispositivo para cada dispositivo. El dispositivo con el valor numérico más bajo y, por lo tanto, mayor prioridad, se designará como activo y gestionará todo el tráfico de la red. El otro dispositivo estará en un estado pasivo y sincronizará información de configuración y estado con el dispositivo activo, de manera que esté listo para pasar al estado activo en el caso de producirse un fallo. De manera predeterminada, la preferencia está deshabilitada en los cortafuegos y debe habilitarse en ambos dispositivos. Cuando se habilita, el comportamiento de preferencia permite que el cortafuegos con la mayor prioridad (valor numérico más bajo) vuelva a estar activo cuando se recupere de un fallo. Cuando se produce una preferencia, el evento se registra en los logs del sistema.
Activadores de conmutación por error Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger el tráfico, el evento se denomina una conmutación por error. Una conmutación por error se activa cuando falla una métrica supervisada en el dispositivo activo. Las métricas que se supervisan para detectar un fallo de dispositivo son las siguientes:
Mensajes de saludo y sondeos de heartbeat: Los cortafuegos utilizan mensajes de saludo y heartbeats para verificar que el dispositivo peer responde y está operativo. Los mensajes de saludo se envían desde un peer al otro en el intervalo de saludo configurado para verificar el estado del dispositivo. El heartbeat es un ping ICMP para el peer de HA a través del enlace de control y el peer responde al ping para establecer que los dispositivos están conectados y responden. De manera predeterminada, el intervalo para el heartbeat es de 1.000 milisegundos. Si desea información detallada sobre los temporizadores de HA que activan una conmutación por error, consulte Temporizadores de HA.
Alta disponibilidad
131
Descripción general de la alta disponibilidad
Alta disponibilidad
Supervisión de enlaces: Las interfaces físicas que deben supervisarse se agrupan en un grupo de enlaces y se supervisa su estado (enlace activado o desactivado). Un grupo de enlaces puede contener una o más interfaces físicas. Se activa un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo. El comportamiento predeterminado es que el fallo de cualquier enlace del grupo de enlaces hará que el dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto supervisado.
Supervisión de rutas: Supervisa toda la ruta a través de la red hasta direcciones IP de vital importancia. Los pings ICMP se utilizan para verificar que se puede llegar a la dirección IP. El intervalo predeterminado para pings es de 200 ms. Se considera que no se puede llegar a una dirección IP cuando fallan 10 pings consecutivos (el valor predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna o todas las direcciones IP supervisadas. El comportamiento predeterminado es que cualquiera de las direcciones IP a las que no se pueda llegar hará que el dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto supervisado.
Además de los activadores de conmutación por error enumerados anteriormente, también se produce una conmutación por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce una preferencia. En los cortafuegos de las series PA-3000, PA-5000 y PA-7050, se puede producir una conmutación por error si falla una comprobación de estado interna. Esta comprobación de estado no es configurable y se habilita para verificar el estado operativo de todos los componentes del cortafuegos.
Temporizadores de HA Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de cortafuegos y activar una conmutación por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno de los tres perfiles que se han añadido: Recomendada, Agresivo y Avanzado. Estos perfiles cumplimentan automáticamente los valores óptimos del temporizador de HA para la plataforma de cortafuegos específica con el fin de habilitar una implementación de HA más rápida. Utilice el perfil Recomendada para ajustes comunes del temporizador de conmutación por error y el perfil para ajustes más rápidos del temporizador de conmutación por error. El perfil Avanzado le permite personalizar los valores del temporizador para que se adapten a sus requisitos de red. Agresivo
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales de los diferentes modelos de hardware; estos valores se indican únicamente como referencia y pueden cambiar en versiones posteriores.
132
Alta disponibilidad
Alta disponibilidad
Temporizadores
Descripción general de la alta disponibilidad
Descripción
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
Valores actuales de Recomendada/Agresivo por plataforma
Tiempo de espera Intervalo durante el cual el ascendente tras fallo cortafuegos permanecerá de supervisor activo tras un fallo de supervisor de ruta o supervisor de enlace. Se recomienda este ajuste para evitar una conmutación por error de HA debido a los flaps ocasionales de los dispositivos vecinos.
0/0
0/0
0/0
Tiempo de espera para ser preferente
Tiempo que un dispositivo pasivo o secundario activo esperará antes de tomar el control como dispositivo activo o principal activo.
1/1
1/1
1/1
Intervalo de heartbeat
Frecuencia con la que los peers 1000/1000 de HA intercambian mensajes de heartbeat en forma de un ping ICMP.
2000/1000
2000/1000
2000/500
2000/500
2000/500 Tiempo de espera de Tiempo que el dispositivo promoción pasivo (en el modo activo/pasivo) o el dispositivo secundario activo (en el modo activo/activo) esperará antes de tomar el control como dispositivo activo o principal activo después de perder las comunicaciones con el peer de HA. Este tiempo de espera únicamente comenzará después de haber realizado una declaración de fallo de peer.
Alta disponibilidad
133
Descripción general de la alta disponibilidad
Temporizadores
Descripción
Alta disponibilidad
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
Valores actuales de Recomendada/Agresivo por plataforma
500/500 Tiempo de espera Este intervalo de tiempo se ascendente principal aplica al mismo evento que adicional Tiempo de espera ascendente tras fallo de supervisor (rango: 0-60.000 ms; valor predeterminado: 500 ms). El intervalo de tiempo adicional únicamente se aplica al dispositivo activo en el modo activo/pasivo y al dispositivo principal activo en el modo activo/activo. Se recomienda este temporizador para evitar una conmutación por error cuando ambos dispositivos experimentan el mismo fallo de supervisor de enlace/ruta simultáneamente. Intervalo de saludo
Intervalo de tiempo en milisegundos entre los paquetes de saludo enviados para verificar que la funcionalidad de HA del otro cortafuegos está operativo. El rango es de 8000-60000 ms con un valor predeterminado de 8000 ms para todas las plataformas.
8000/8000
3/3 N.º máximo de flaps Se cuenta un flap cuando el cortafuegos deja el estado activo antes de que transcurran 15 minutos desde la última vez que dejó el estado activo. Este valor indica el número máximo de flaps permitidos antes de que se determine suspender el cortafuegos y que el cortafuegos pasivo tome el control (rango: 0-16; valor predeterminado: 3).
134
500/500
7000/5000
8000/8000
8000/8000
3/3
No aplicable
Alta disponibilidad
Alta disponibilidad
Configuración de la HA activa/pasiva
Configuración de la HA activa/pasiva
Requisitos para la HA activa/pasiva
Directrices de configuración para la HA activa/pasiva
Configuración de la HA activa/pasiva
Definición de las condiciones de conmutación por error
Verificación de conmutación por error
Requisitos para la HA activa/pasiva Para configurar la alta disponibilidad en sus cortafuegos de Palo Alto Networks, necesitará un par de cortafuegos que cumplan los siguientes requisitos:
El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de máquina virtual.
La misma versión de PAN-OS: Ambos dispositivos deben ejecutar la misma versión de PAN-OS y estar actualizados en las bases de datos de la aplicación, URL y amenazas. Ambos deben tener la misma función de varios sistemas virtuales (vsys múltiple o único).
El mismo tipo de interfaces: Enlaces de HA específicos o una combinación del puerto de gestión y los puertos internos que se establecen para la HA de tipo de interfaz.
–
Determine la dirección IP de la conexión de HA1 (control) entre el par de dispositivos. La dirección IP de HA1 de ambos peers debe estar en la misma subred si están conectados directamente o si están conectados al mismo conmutador. En el caso de dispositivos sin puertos de HA específicos, puede utilizar el puerto de gestión para la conexión de control. Al utilizar el puerto de gestión obtiene un enlace de comunicación directa entre los planos de gestión de ambos dispositivos. Sin embargo, dado que los puertos de gestión no tienen cables directos entre los dispositivos, asegúrese de que tiene una ruta que conecte estas dos interfaces a través de su red.
–
Si utiliza la capa 3 como método de transporte para la conexión de HA2 (datos), determine la dirección IP para el enlace de HA2. Utilice la capa 3 únicamente si la conexión de HA2 debe comunicarse a través de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de HA1 ni con ninguna otra subred asignada a los puertos de datos del cortafuegos.
El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden compartir entre los dispositivos. Por lo tanto, debe obtener licencias idénticas para ambos dispositivos. Si los dos dispositivos no tienen un conjunto idéntico de licencias, no podrán sincronizar información de configuración y mantener la paridad para una conmutación por error sin problemas. Si tiene un cortafuegos existente, desea añadir un nuevo cortafuegos para HA y el nuevo cortafuegos tiene una configuración existente, se recomienda que realice un restablecimiento de fábrica en el nuevo cortafuegos. Esto garantizará que el nuevo cortafuegos tenga una configuración limpia. Después de configurar la HA, deberá sincronizar la configuración del dispositivo principal con el dispositivo recién introducido con la configuración limpia.
Alta disponibilidad
135
Configuración de la HA activa/pasiva
Alta disponibilidad
Directrices de configuración para la HA activa/pasiva Para establecer un par activo (PeerA) pasivo (PeerB) en HA, debe configurar algunas opciones de manera idéntica en ambos dispositivos y algunas de manera independiente (no coincidentes) en cada dispositivo. Estos ajustes de HA no se sincronizan entre los dispositivos. Si desea información detallada sobre qué se sincroniza y qué no, consulte HA Synchronization (en inglés). Para ir a las instrucciones sobre cómo configurar los dispositivos en HA, consulte Configuración de la HA activa/pasiva. La siguiente tabla enumera los ajustes que debe configurar de manera idéntica en ambos dispositivos: Ajustes de configuración idénticos en PeerA y PeerB
• La HA debe habilitarse en ambos dispositivos. • Ambos dispositivos deben tener el mismo valor de ID de grupo. El valor de ID de grupo se utiliza para crear una dirección MAC virtual para todas las interfaces configuradas. El formato de la dirección MAC virtual es 00-1B-17:00: xx: yy, donde 00-1B-17: ID de proveedor; 00: fijo; xx: ID de grupo de HA; yy: ID de interfaz. Cuando un nuevo dispositivo activo tome el control, se enviarán ARP gratuitos desde cada una de las interfaces conectadas del nuevo miembro activo para informar a los conmutadores de capa 2 conectados acerca de la nueva ubicación de la dirección MAC virtual. • Si se utilizan puertos internos, las interfaces de los enlaces de HA1 y HA2 deberán establecerse con el tipo HA. • El modo de HA deberá establecerse como Activo/pasivo. • Si es necesario, la preferencia debe habilitarse en ambos dispositivos. Sin embargo, el valor de prioridad de dispositivo no debe ser idéntico. • Si es necesario, deberá configurarse el cifrado del enlace de HA1 (para la comunicación entre los peers de HA) en ambos dispositivos. • Basándose en la combinación de puertos de copia de seguridad de HA1 y HA2 que está utilizando, utilice las siguientes recomendaciones para decidir si debería habilitar la copia de seguridad de heartbeat: • HA1: Puerto de HA1 específico Copia de seguridad de HA1: Puerto interno Recomendación: Habilitar copia de seguridad de heartbeat • HA1: Puerto de HA1 específico Copia de seguridad de HA1: Puerto de gestión Recomendación: No habilitar copia de seguridad de heartbeat • HA1: Puerto interno Copia de seguridad de HA1: Puerto interno Recomendación: Habilitar copia de seguridad de heartbeat • HA1: Puerto de gestión Copia de seguridad de HA1: Puerto interno Recomendación: No habilitar copia de seguridad de heartbeat
La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:
136
Alta disponibilidad
Alta disponibilidad
Configuración de la HA activa/pasiva
Ajustes de configuración independientes
PeerA
PeerB
Enlace de control
Dirección IP del enlace de HA1 configurado en este dispositivo (PeerA).
Dirección IP del enlace de HA1 configurado en este dispositivo (PeerB).
En el caso de dispositivos sin puertos de HA específicos, utilice la dirección IP del puerto de gestión para el enlace de control. Enlace de datos
De manera predeterminada, el enlace de HA2 utiliza Ethernet/capa 2.
La información de Si utiliza una conexión de capa 3, configure la enlace de datos se dirección IP para el enlace de datos de este sincroniza entre los dispositivos después de dispositivo (PeerA). habilitar la HA y establecer el enlace de control entre los dispositivos.
De manera predeterminada, el enlace de HA2 utiliza Ethernet/capa 2. Si utiliza una conexión de capa 3, configure la dirección IP para el enlace de datos de este dispositivo (PeerB).
Prioridad de dispositivo (obligatorio si se habilita la preferencia)
El dispositivo que tiene la intención de activar debe tener un valor numérico más bajo que su peer. Por lo tanto, si PeerA va a funcionar como el dispositivo activo, mantenga el valor predeterminado de 100 y aumente el valor de PeerB.
Si PeerB es pasivo, establezca el valor de prioridad de dispositivo con un valor mayor que el de PeerA. Por ejemplo, establezca el valor como 110.
Supervisión de enlaces: Supervise una o más interfaces físicas que gestionen el tráfico vital de este dispositivo y defina la condición de fallo.
Seleccione las interfaces físicas del cortafuegos que desearía supervisar y defina la condición de fallo (todo o alguno) que activará una conmutación por error.
Seleccione un conjunto similar de interfaces físicas que desearía supervisar y defina la condición de fallo (todo o alguno) que activará una conmutación por error.
Supervisión de rutas: Supervise una o más direcciones IP de destino en las que el cortafuegos pueda utilizar pings ICMP para verificar la capacidad de respuesta.
Defina la condición de fallo (todo o alguno), el intervalo de ping y el recuento de pings. Esto es de especial utilidad para supervisar la disponibilidad de otros dispositivos de red interconectados. Por ejemplo, supervise la disponibilidad de un enrutador que se conecte a un servidor, la conectividad del propio servidor o cualquier otro dispositivo vital que se encuentre en el flujo del tráfico.
Seleccione un conjunto similar de dispositivos o direcciones IP de destino que se puedan supervisar para determinar la activación de una conmutación por error para PeerB. Defina la condición de fallo (todo o alguno), el intervalo de ping y el recuento de pings.
Asegúrese de que no sea probable que el nodo/dispositivo que está supervisando no responda, especialmente cuando tenga una carga inferior, ya que esto podría provocar un fallo de supervisión de rutas y activar una conmutación por error.
Alta disponibilidad
137
Configuración de la HA activa/pasiva
Alta disponibilidad
Configuración de la HA activa/pasiva El siguiente procedimiento muestra cómo configurar un par de cortafuegos en una implementación activa/pasiva como se muestra en la topología de ejemplo siguiente.
Conexión y configuración de los dispositivos
Paso 1
Conecte los puertos de HA para establecer una conexión física entre los dispositivos.
• En el caso de dispositivos con puertos de HA específicos, utilice un cable Ethernet para conectar los puertos de HA1 y HA2 específicos del par de dispositivos. Utilice un cable cruzado si los dispositivos están conectados directamente entre sí. • En el caso de dispositivos sin puertos de HA específicos, seleccione dos interfaces de datos para el enlace de HA2 y el enlace de HA1 de copia de seguridad. A continuación, utilice un cable Ethernet para conectar estas interfaces de HA internas entre ambos dispositivos. Utilice el puerto de gestión para el enlace de HA1 y asegúrese de que los puertos de gestión pueden conectarse entre sí a través de su red.
Seleccione un dispositivo del clúster y realice estas tareas:
Paso 2
Paso 3
Habilite los pings en el puerto de gestión. 1. La habilitación de los pings permite que el puerto de gestión intercambie información de copia de seguridad de heartbeat. 2. Si el dispositivo no tiene puertos de HA específicos, configure los puertos de datos para que funcionen como puertos de HA. En el caso de dispositivos con puertos de HA específicos, vaya al Paso 4.
138
Seleccione Dispositivo > Configuración > Gestión y, a continuación, haga clic en el icono Editar de la sección Configuración de interfaz de gestión de la pantalla. Seleccione Ping como servicio permitido en la interfaz.
1.
Seleccione Red > Interfaces.
2.
Confirme que el enlace está activado en los puertos que desee utilizar.
3.
Seleccione la interfaz y establezca el tipo de interfaz como HA.
4.
Establezca los ajustes Velocidad de enlace y Dúplex de enlace según sea adecuado.
Alta disponibilidad
Alta disponibilidad
Configuración de la HA activa/pasiva
Conexión y configuración de los dispositivos (Continuación)
Paso 4
Configure la conexión del enlace de control.
1.
En Dispositivo > Alta disponibilidad > General, edite la sección Enlace de control (HA1).
Este ejemplo muestra un puerto interno configurado con el tipo de interfaz HA.
2.
Seleccione la interfaz a la que ha conectado el cable para utilizarla como el enlace de HA1 en el menú desplegable Puerto. Establezca la dirección IP y la máscara de red. Introduzca una dirección IP de puerta de enlace únicamente si las interfaces de HA1 están en subredes separadas. No añada una puerta de enlace si los dispositivos están conectados directamente.
1.
Exporte la clave de HA desde un dispositivo e impórtela al dispositivo peer.
En el caso de dispositivos que utilicen el puerto de gestión como el enlace de control, la información de dirección IP se cumplimenta previamente de manera automática.
Paso 5
(Opcional) Habilite el cifrado para la conexión del enlace de control.
a. Seleccione Dispositivo > Gestión de certificados > Certificados.
Esto suele utilizarse para proteger el enlace si los dos dispositivos no están conectados directamente, es decir, si los puertos están conectados a un conmutador o un enrutador.
Paso 6
Configure la conexión del enlace de control de copia de seguridad.
Alta disponibilidad
b. Seleccione Exportar clave de HA. Guarde la clave de HA en una ubicación de red a la que pueda acceder el dispositivo peer. c. En el dispositivo peer, desplácese hasta Dispositivo > Gestión de certificados > Certificados y seleccione Importar clave de HA para desplazarse hasta la ubicación donde guardó la clave e importarla en el dispositivo peer. 2.
Seleccione Dispositivo > Alta disponibilidad > General y edite la sección Enlace de control (HA1).
3.
Seleccione Cifrado habilitado.
1.
En Dispositivo > Alta disponibilidad > General, edite la sección Enlace de control (copia de seguridad de HA1).
2.
Seleccione la interfaz de copia de seguridad de HA1 y configure la dirección IP y la máscara de red.
139
Configuración de la HA activa/pasiva
Alta disponibilidad
Conexión y configuración de los dispositivos (Continuación)
Paso 7
Configure la conexión del enlace de datos 1. (HA2) y la conexión de HA2 de copia de seguridad entre los dispositivos. 2. 3.
En Dispositivo > Alta disponibilidad > General, edite la sección Enlace de datos (HA2). Seleccione la interfaz para la conexión del enlace de datos. Seleccione el método Transporte. El valor predeterminado es Ethernet y funcionará cuando el par de HA se conecte directamente o a través de un conmutador. Si necesita enrutar el tráfico del enlace de datos a través de la red, seleccione IP o UDP como modo de transporte.
4.
Si utiliza IP o UDP como método de transporte, introduzca la dirección IP y la máscara de red.
5.
Verifique que se ha seleccionado Habilitar sincronización de sesión.
6.
Seleccione Conexión persistente de HA2 para habilitar la supervisión del enlace de datos de HA2 entre los peers de HA. Si se produce un fallo basado en el umbral establecido (el valor predeterminado son 10.000 ms), se producirá la acción definida. En el caso de una configuración activa/pasiva, se generará un mensaje de log de sistema crítico cuando se produzca un fallo de conexión persistente de HA2.
Nota
Paso 8
7.
Edite la sección Enlace de datos (copia de seguridad de HA2), seleccione la interfaz y añada la dirección IP y la máscara de red.
1. Habilite la copia de seguridad de heartbeat si su enlace de control utiliza un puerto de HA específico o un puerto 2. interno.
En Dispositivo > Alta disponibilidad > General, edite la sección Configuración de elección.
No necesita habilitar la copia de seguridad de heartbeat si está utilizando el puerto de gestión para el enlace de control.
140
Puede configurar la opción Conexión persistente de HA2 en ambos dispositivos o solamente un dispositivo del par de HA. Si la opción se habilita únicamente en un dispositivo, solamente ese dispositivo enviará los mensajes de conexión persistente. Si se produce un fallo, se notificará al otro dispositivo.
Seleccione Copia de seguridad de heartbeat. El enlace de copia de seguridad de heartbeat se utiliza para transmitir mensajes de saludos y heartbeats redundantes. Para permitir la transmisión de heartbeats entre los dispositivos, deberá verificar que el puerto de gestión entre ambos peers puede enrutarse del uno al otro.
Alta disponibilidad
Alta disponibilidad
Configuración de la HA activa/pasiva
Conexión y configuración de los dispositivos (Continuación)
Paso 9
Establezca la prioridad de dispositivo y habilite la preferencia.
1.
En Dispositivo > Alta disponibilidad > General, edite la sección Configuración de elección.
Este ajuste únicamente es necesario si desea asegurarse de que un dispositivo específico es el dispositivo activo preferido. Para obtener información, consulte Prioridad y preferencia de dispositivos.
2.
Establezca el valor numérico de Prioridad de dispositivo. Asegúrese de establecer un valor numérico más bajo en el dispositivo al que desee asignar una mayor prioridad.
Nota
3.
Si ambos cortafuegos tienen el mismo valor de prioridad de dispositivo, el cortafuegos con la dirección MAC más baja en el enlace de control de HA1 será el dispositivo activo.
Seleccione Preferente. Debe habilitar la preferencia tanto en el dispositivo activo como en el pasivo.
Paso 10 (Opcional) Modifique los temporizadores 1. de conmutación por error.
En Dispositivo > Alta disponibilidad > General, edite la sección Configuración de elección.
De manera predeterminada, el perfil del 2. Seleccione el perfil Agresivo para activar la conmutación por error más rápido; seleccione Avanzado para definir valores temporizador de HA se establece como el personalizados para activar la conmutación por error en su perfil Recomendada y es adecuado para configuración. la mayoría de implementaciones de HA. Nota Para ver el valor preestablecido para un temporizador concreto incluido en un perfil, seleccione Avanzado y haga clic en Carga recomendada o Carga intensiva. Los valores preestablecidos para su modelo de hardware aparecerán en la pantalla. Paso 11 (Opcional, únicamente configurado en el dispositivo pasivo) Modifique el estado de enlace de los puertos de HA en el dispositivo pasivo.
Establecer el estado de enlace como Auto permite reducir la cantidad de tiempo que tarda el dispositivo pasivo en tomar el control cuando se produce una conmutación por error y le permite supervisar el estado de enlace.
Nota
Para habilitar el estado de enlace del dispositivo pasivo para que permanezca activado y refleje el estado de cableado de la interfaz física: 1. En Dispositivo > Alta disponibilidad > General, edite la sección Configuración Activa/Pasiva.
El estado de enlace pasivo es Apagar de manera predeterminada. Cuando habilite HA, el estado de enlace de los puertos de HA del dispositivo activo será de color verde; los del dispositivo pasivo estarán desactivados y se mostrarán de color rojo.
2.
Establezca Estado de los enlaces en el pasivo como Auto. La opción automática reduce la cantidad de tiempo que tarda el dispositivo pasivo en tomar el control cuando se produce una conmutación por error.
Nota
Aunque la interfaz se muestre de color verde (cableada y activada), seguirá descartando todo el tráfico hasta que se active una conmutación por error. Cuando modifique el estado de enlace pasivo, asegúrese de que los dispositivos adyacentes no reenvían el tráfico al cortafuegos pasivo basándose únicamente en el estado de enlace del dispositivo.
Alta disponibilidad
141
Configuración de la HA activa/pasiva
Alta disponibilidad
Conexión y configuración de los dispositivos (Continuación)
Paso 12 Habilite la HA.
1. 2. 3.
4. 5.
6.
7. Paso 13 Guarde los cambios de configuración.
Seleccione Dispositivo > Alta disponibilidad > General y edite la sección Configuración. Seleccione Habilitar HA. Establezca un ID de grupo. Este ID identifica de manera exclusiva cada par de HA de su red y es esencial si tiene varios pares de HA que compartan el mismo dominio de difusión en su red. Establezca el modo como Activo Pasivo. Seleccione Habilitar sincronización de configuración. Este ajuste habilita la sincronización de los ajustes de configuración entre los dispositivos activo y pasivo. Introduzca la dirección IP asignada al enlace de control del dispositivo peer en Dirección IP de HA de peer.
En el caso de dispositivos sin puertos de HA específicos, si el peer utiliza el puerto de gestión para el enlace de HA1, introduzca la dirección IP del puerto de gestión del peer. Introduzca Dirección IP de HA1 de copia de seguridad.
Haga clic en Confirmar.
Paso 14 Realice del Paso 2 al Paso 13 en el otro dispositivo del par de HA. 1. Paso 15 Cuando termine de configurar ambos dispositivos, verifique que los dispositivos están emparejados en la HA 2. activa/pasiva. 3. En el dispositivo pasivo: El estado del dispositivo local debería mostrarse como Pasivo y la configuración se sincronizará.
142
Acceda al Panel de ambos dispositivos y visualice el widget Alta disponibilidad. En el dispositivo activo, haga clic en el enlace Sincronizar en el peer. Confirme que los dispositivos están emparejados y sincronizados, como se muestra a continuación: En el dispositivo activo: El estado del dispositivo local debería mostrarse como Activo y la configuración se sincronizará.
Alta disponibilidad
Alta disponibilidad
Configuración de la HA activa/pasiva
Definición de las condiciones de conmutación por error Configuración de los activadores de conmutación por error
Paso 1
Para configurar la supervisión de enlaces, 1. defina las interfaces que desee supervisar. Un cambio en el estado de enlace de estas 2. interfaces activará una conmutación por 3. error.
Seleccione Dispositivo > Alta disponibilidad > Supervisión de enlaces y rutas. En la sección Grupo de enlaces, haga clic en Añadir. Asigne un nombre al Grupo de enlaces, añada las interfaces para su supervisión y seleccione la Condición de fallo para el grupo. El grupo de enlaces que defina se añadirá a la sección Grupo de enlaces.
Paso 2
(Opcional) Modifique la condición de fallo 1. de los grupos de enlaces que configuró (en 2. el paso anterior) en el dispositivo.
Seleccione la sección Supervisión de enlaces. Establezca la Condición de fallo como Todos. El ajuste predeterminado es Cualquiera.
De manera predeterminada, el dispositivo activará una conmutación por error cuando falle cualquier enlace supervisado. Paso 3
1. Para configurar la supervisión de rutas, defina las direcciones IP de destino en las que el cortafuegos debería hacer ping para verificar la conectividad de red. 2.
En la sección Grupo de rutas de la pestaña Dispositivo > Alta disponibilidad > Supervisión de enlaces y rutas, seleccione la opción Añadir para su configuración: Cable virtual, VLAN o Enrutador virtual. Seleccione el elemento adecuado de la lista desplegable para el Nombre y haga clic en Añadir para añadir las direcciones IP
(origen y/o destino, según se le pida) que desee supervisar. A continuación, seleccione la Condición de fallo del grupo. El grupo de rutas que defina se añadirá a la sección Grupo de rutas.
Paso 4
(Opcional) Modifique la condición de fallo para todos los grupos de rutas configurados en el dispositivo.
Establezca la Condición de fallo como Todos. El ajuste predeterminado es Cualquiera.
De manera predeterminada, el dispositivo activará una conmutación por error cuando falle cualquier ruta supervisada. Paso 5
Guarde sus cambios.
Alta disponibilidad
Haga clic en Confirmar.
143
Configuración de la HA activa/pasiva
Alta disponibilidad
Si está utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de motor de SNMPv3 es exclusivo para cada dispositivo; EngineID no se sincroniza entre el par de HA y, por lo tanto, le permite supervisar independientemente cada dispositivo del par de HA. Si desea información sobre cómo configurar SNMP, consulte Configuración de los destinos de Trap SNMP. Como EngineID se genera utilizando el número de serie exclusivo del dispositivo, en el cortafuegos VM-Series deberá aplicar una licencia válida para obtener un EngineID exclusivo para cada cortafuegos.
Verificación de conmutación por error Para comprobar que su configuración de HA funciona correctamente, active una conmutación por error manual y verifique que los dispositivos cambian de estado correctamente. Verificación de conmutación por error
Paso 1
Suspenda el dispositivo activo.
Haga clic en el enlace Suspender dispositivo local en la pestaña Dispositivo > Alta disponibilidad > Comandos de operación.
Paso 2
Verifique que el dispositivo pasivo ha tomado el control como activo.
En el Panel, verifique que el estado del dispositivo pasivo cambia a Activo en el widget Alta disponibilidad.
144
Alta disponibilidad
Alta disponibilidad
Configuración de la HA activa/pasiva
Verificación de conmutación por error (Continuación)
Paso 3
Restablezca el dispositivo suspendido a un estado funcional. Espere un par de minutos y, a continuación, verifique que se ha producido la preferencia, si se ha habilitado.
Alta disponibilidad
1.
En el dispositivo que suspendió anteriormente, seleccione el enlace Hacer que el dispositivo local sea funcional de la pestaña Dispositivo > Alta disponibilidad > Comandos operativos.
2.
En el widget Alta disponibilidad del Panel, confirme que el dispositivo ha tomado el control como dispositivo activo y que el peer ahora está en un estado pasivo.
145
Configuración de la HA activa/pasiva
Alta disponibilidad
146
Alta disponibilidad
Informes y logs El cortafuegos proporciona informes y logs que resultan de utilidad para supervisar la actividad de su red. Puede supervisar los logs y filtrar la información para generar informes con vistas predefinidas o personalizadas. Por ejemplo, puede utilizar plantillas predefinidas para generar informes sobre la actividad de un usuario o analizar los informes y logs para interpretar un comportamiento inusual en su red y generar un informe personalizado sobre el patrón de tráfico. Los siguientes temas describen cómo ver, gestionar, personalizar y generar los informes y logs en el cortafuegos:
Uso del panel
Uso del centro de comando de aplicación
Uso de Appscope
Realización de capturas de paquetes
Supervisión del cortafuegos
Gestión de informes
Análisis de la descripción de campos en logs
Informes y logs
147
Uso del panel
Informes y logs
Uso del panel Los widgets de la pestaña Panel muestran información general del dispositivo, como la versión de software, el estado operativo de cada interfaz, la utilización de recursos y hasta 10 de las entradas más recientes en los logs Sistema, Configuración y Amenaza. Todos los widgets disponibles aparecen de forma predeterminada, pero cada administrador puede eliminar y agregar widgets individuales según sea necesario. Haga clic en el icono para actualizar el panel o un widget individual. Para cambiar el intervalo de actualización automática, seleccione un intervalo del menú desplegable (1 min, 2 min, 5 min o Manual). Para agregar un widget al panel, haga clic en el menú desplegable Widget, seleccione una categoría y luego el nombre del widget. Para eliminar un widget, haga clic en en la barra de títulos. La siguiente tabla describe los widgets del panel. Gráficos del panel
Descripciones
Aplicaciones principales
Muestra las aplicaciones con la mayoría de sesiones. El tamaño del bloque indica el número relativo de sesiones (pase el ratón sobre el bloque para ver el número) y el color indica el riesgo de seguridad, desde verde (más bajo) a rojo (más alto). Haga clic en una aplicación para ver su perfil de aplicación.
Aplicaciones de alto riesgo principales
Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de mayor riesgo con la mayoría de las sesiones.
Información general
Muestra el nombre del dispositivo, el modelo, la versión del software de PAN-OS, la aplicación, las amenazas, las versiones de definición del filtro de URL, la fecha y hora actuales y el período de tiempo transcurrido desde el último reinicio.
Estado de la interfaz
Indica si cada interfaz está activa (verde), no está operativa (rojo) o en un estado desconocido (gris).
Logs de amenaza
Muestra el ID de amenaza, la aplicación y la fecha y hora de las 10 últimas entradas en el log Amenazas. El ID de amenaza es una descripción malintencionada de una URL que incumple el perfil de filtro de URL.
Logs de configuración
Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la fecha y hora de las 10 últimas entradas en el log Configuración.
Logs Filtrado de datos
Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de datos.
Logs Filtrado de URL
Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de URL.
Logs de sistema
Muestra la descripción y la fecha y hora de las últimos 10 entradas en el log Sistema. Nota
Una entrada Configuración instalada indica que se han llevado a cabo cambios en la configuración correctamente.
Recursos del sistema
Muestra el uso de CPU de gestión, el uso de plano de datos y el Número de sesiones que muestra el número de sesiones establecidas a través del cortafuegos.
Administradores registrados
Muestra la dirección IP de origen, el tipo de sesión (Web o CLI) y la hora de inicio de sesión para cada administrador actualmente registrado.
Factor de riesgo de ACC
Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado la semana pasada. Los valores mayores indican un mayor riesgo.
Alta disponibilidad
Si la alta disponibilidad (HA) está activada, indica el estado de la Alta disponibilidad (HA) del dispositivo local y del peer: Verde (activa), amarillo (pasiva) o negro (otro). Si desea más información sobre HA, consulte Alta disponibilidad.
Bloqueos
Muestra bloqueos de configuración realizados por los administradores.
148
Informes y logs
Informes y logs
Uso del centro de comando de aplicación
Uso del centro de comando de aplicación Se muestran 5 gráficos en la pestaña Centro de comando de aplicación (ACC):
Aplicación
Filtrado de URL
Prevención de amenazas
Filtrado de datos
Coincidencias HIP
La pestaña ACC describe visualmente las tendencias e incluye una vista del historial de tráfico de la red.
La pestaña ACC muestra el nivel de riesgo general para todo el tráfico de red, los niveles de riesgo y el número de amenazas detectadas para las aplicaciones más activas y con mayor riesgo en su red, así como el número de amenazas detectadas desde las categorías de aplicación más activas y desde todas las aplicaciones con cualquier nivel de riesgo. Utilice el ACC para visualizar datos de aplicación de la hora, el día, la semana o el mes anterior o cualquier período de tiempo definido de forma personalizada. Los niveles de Riesgo (1=más bajo a 5=más alto) indican el riesgo de seguridad relativo de la aplicación dependiendo de criterios como si la aplicación puede compartir archivos, es proclive al uso indebido o intenta esquivar los cortafuegos.
Informes y logs
149
Uso del centro de comando de aplicación
Informes y logs
La tabla siguiente describe los gráficos que se muestran en la pestaña ACC: Gráficos de ACC
Descripciones
Aplicación
Muestra información de aplicación agrupada por los siguientes atributos: • Aplicaciones • Aplicaciones de alto riesgo • Categorías • Subcategorías • Tecnología • Riesgo Cada gráfico puede incluir el número de sesiones, los bytes transmitidos y recibidos, el número de amenazas, la categoría de aplicación, las subcategorías de aplicación, la tecnología de aplicación y el nivel de riesgo, si es necesario.
Filtrado de URL
Muestra información de URL/categoría agrupada por los siguientes atributos: • Categorías de URL • URL • Categorías de URL bloqueadas • URL bloqueadas Cada gráfico puede incluir la URL, la categoría de URL y el número de repeticiones (número de intentos de acceso, si es necesario).
Prevención de amenazas
Muestra información de amenaza agrupada por los siguientes atributos: • Amenazas • Tipos • Spyware • Llamada a casa de spyware • Descargas de spyware • Vulnerabilidades • Virus Cada gráfico puede incluir el ID de la amenaza, el recuento (número de incidencias), el número de sesiones y el subtipo (como vulnerabilidad), si es necesario.
Filtrado de datos
Muestra información sobre los datos filtrados por el cortafuegos agrupada por los siguientes atributos: • Tipos de contenido/archivo • Tipos • Nombres de archivos
Coincidencias HIP
Muestra la información de host recopilada por el cortafuegos agrupada por: • Objetos HIP • Perfiles HIP
150
Informes y logs
Informes y logs
Uso del centro de comando de aplicación
Para ver información detallada adicional, haga clic en cualquiera de los enlaces de los gráficos de ACC. Se abrirá una página de detalles para mostrar información acerca del elemento en la lista principal y las listas adicionales de los elementos relacionados. Por ejemplo, si hace clic en el enlace de exploración web en el gráfico Aplicación, se abrirá la página Información de aplicación para la exploración web:
El siguiente procedimiento describe cómo utilizar la pestaña ACC y cómo personalizar su vista: Uso del ACC
Paso 1
En ACC , cambie uno o más de los ajustes en la parte superior de la página. • Utilice los menús desplegables para seleccionar Aplicaciones, Categorías de URL, Amenazas, Tipos de contenido/archivo y Objetos de HIP para visualizarlos. • Seleccione un sistema virtual, si los sistemas virtuales están definidos. • Seleccione un período de tiempo en el menú desplegable Tiempo. El valor predeterminado es Última hora. • Seleccione un método de orden en el menú desplegable Ordenar por. Puede ordenar los gráficos en orden descendente por número de sesiones, bytes o amenazas. El valor predeterminado es por número de sesiones. • Para el método de orden seleccionado, seleccione el mayor número de aplicaciones y categorías de aplicación que aparecen en cada gráfico en el menú desplegable Principal. Haga clic en el icono de envío para aplicar los ajustes seleccionados.
Informes y logs
151
Uso del centro de comando de aplicación
Informes y logs
Uso del ACC (Continuación)
Paso 2
Para abrir páginas de logs asociadas a la información en la página, utilice los enlaces de logs en la esquina inferior derecha de la página, como se muestra a continuación. El contexto de los logs coincide con la información que aparece en la página.
Paso 3
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregará ese elemento a la barra de filtrado ubicada sobre los nombres de columna de log. Después de agregar los filtros deseados, haga clic en el icono Aplicar filtro.
152
Informes y logs
Informes y logs
Uso de Appscope
Uso de Appscope Los informes de Appscope introducen herramientas de análisis y visibilidad para ayudar a localizar comportamientos problemáticos, ayudándole a comprender los siguientes aspectos de su red:
Cambios en el uso de la aplicación y la actividad del usuario
Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
Amenazas de red
Con los informes de Appscope (Supervisar >Appscope), puede comprobar rápidamente si algún comportamiento es inusual o inesperado. Cada informe proporciona una ventana dinámica y personalizable por el usuario en la red; al pasar el ratón por encima y hacer clic en las líneas y barras de los gráficos, se abre información detallada acerca de la aplicación específica, categoría de la aplicación, usuario u origen del ACC. Los siguientes informes de Appscope están disponibles:
Informe de resumen
Informe del supervisor de cambios
Informe del supervisor de amenazas
Informe del supervisor de red
Informe del mapa de tráfico
Informes y logs
153
Uso de Appscope
Informes y logs
Informe de resumen El informe Resumen muestra gráficos de los cinco principales ganadores, perdedores, aplicaciones de consumo de ancho de banda, categorías de aplicación, usuarios y orígenes.
Informe del supervisor de cambios El informe del supervisor de cambios muestra cambios realizados en un período de tiempo específico. Por ejemplo, el siguiente gráfico muestra las principales aplicaciones adquiridas en la última hora en comparación con el último período de 24 horas. Las principales aplicaciones se determinan por el recuento de sesiones y se ordenan por porcentajes.
154
Informes y logs
Informes y logs
Uso de Appscope
El informe del supervisor de cambios contiene los siguientes botones y opciones. Elemento del informe del supervisor de cambios
Descripción del elemento
Barra superior
Determina el número de registros con la mayor medición incluidos en el gráfico. Determina el tipo de elemento indicado: Aplicación, Categoría de aplicación, Origen o Destino. Muestra mediciones de elementos que han ascendido durante el período de medición. Muestra mediciones de elementos que han descendido durante el período de medición. Muestra mediciones de elementos que se han agregado durante el período de medición. Muestra mediciones de elementos que se han suspendido durante el período de medición.
Informes y logs
155
Uso de Appscope
Elemento del informe del supervisor de cambios
Informes y logs
Descripción del elemento
Aplica un filtro para mostrar únicamente el elemento seleccionado. Ninguno muestra todas las entradas. Determina si mostrar información de sesión o byte.
Determina si ordenar entradas por porcentajes o incremento bruto.
Barra inferior
Especifica el período durante el que se realizaron las mediciones de cambio.
Informe del supervisor de amenazas El informe del supervisor de amenazas muestra un recuento de las principales amenazas durante el período de tiempo seleccionado. Por ejemplo, la siguiente ilustración muestra los 10 principales tipos de amenaza en las últimas 6 horas.
156
Informes y logs
Informes y logs
Uso de Appscope
Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. El informe del supervisor de amenazas contiene los siguientes botones y opciones. Botón del informe del supervisor de amenazas
Descripción del botón
Barra superior
Determina el número de registros con la mayor medición incluidos en el gráfico. Determina el tipo de elemento medido: Amenaza, Categoría de amenaza, Origen o Destino. Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado. Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. Barra inferior
Especifica el período durante el que se realizaron las mediciones.
Informe del mapa de amenazas El informe del mapa de amenazas muestra una vista geográfica de amenazas, incluyendo la gravedad. Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico.
Informes y logs
157
Uso de Appscope
Informes y logs
Haga clic en un país en el mapa para acercarlo. Haga clic en el botón Alejar en la esquina inferior derecha de la pantalla para alejar. El informe del mapa de amenazas contiene los siguientes botones y opciones. Botón del informe del mapa de amenazas
Descripción del botón
Barra superior
Determina el número de registros con la mayor medición incluidos en el gráfico. Muestra las amenazas entrantes. Muestra las amenazas salientes.
Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado.
Barra inferior
Indica el período durante el que se realizaron las mediciones.
Informe del supervisor de red El informe del supervisor de red muestra el ancho de banda dedicado a diferentes funciones de red durante el período de tiempo especificado. Cada función de red está indicada con colores como se indica en la leyenda debajo del gráfico. Por ejemplo, la imagen siguiente muestra el ancho de banda de aplicación en los 7 últimos días basándose en la información de sesión.
158
Informes y logs
Informes y logs
Uso de Appscope
El informe del supervisor de red contiene los siguientes botones y opciones. Botón del informe del supervisor de red
Descripción del botón
Barra superior
Determina el número de registros con la mayor medición incluidos en el gráfico. Determina el tipo de elemento indicado: Aplicación, Categoría de aplicación, Origen o Destino. Aplica un filtro para mostrar únicamente el elemento seleccionado. Ninguno muestra todas las entradas. Determina si mostrar información de sesión o byte. Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. Barra inferior
Indica el período durante el que se realizaron las mediciones de cambio.
Informe del mapa de tráfico El informe del mapa de tráfico muestra una vista geográfica de los flujos de tráfico según las sesiones o los flujos.
Informes y logs
159
Uso de Appscope
Informes y logs
Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico. El informe del mapa de tráfico contiene los siguientes botones y opciones. Botones del informe del mapa de tráfico
Descripción del botón
Barra superior
Determina el número de registros con la mayor medición incluidos en el gráfico. Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Determina si mostrar información de sesión o byte.
Barra inferior
Indica el período durante el que se realizaron las mediciones de cambio.
Visualización de la información del sistema Seleccione Supervisar > Explorador de sesión para examinar y filtrar las sesiones actuales del cortafuegos. Para obtener información acerca de las opciones de filtrado en esta página, consulte Visualización de la información del sistema.
160
Informes y logs
Informes y logs
Realización de capturas de paquetes
Realización de capturas de paquetes PAN-OS admite capturas de paquetes para la resolución de problemas o la detección de aplicaciones desconocidas. Puede definir filtros de modo que solo se capturen los paquetes que coinciden con los filtros. Las capturas de paquetes se almacenan de forma local en el dispositivo y están disponibles para su descarga en su equipo local. Captura de paquetes está destinado exclusivamente a la resolución de problemas. Esta función puede hacer que el rendimiento del sistema disminuya y solo debe usarse en caso necesario. Recuerde deshabilitar la función después de finalizar la captura de paquetes.
La tabla siguiente describe la configuración de la captura de paquetes en Supervisar > Captura de paquetes. Campo Configuración de Descripción captura de paquetes Configurar filtrado Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Añadir para agregar un nuevo filtro y especifique la siguiente información: • Id: Introduzca o seleccione un identificador para el filtro. • Interfaz de entrada: Seleccione la interfaz del cortafuegos. • Origen: Especifique la dirección IP de origen. • Destino: Especifique la dirección IP de destino. • Puerto de origen: Especifique el puerto de origen. • Puerto de destino: Especifique el puerto de destino. • Proto: Especifique el protocolo para filtrar. • Sin Ip: Seleccione cómo tratar el tráfico sin IP (excluir todo el tráfico IP, incluir todo el tráfico IP, incluir solo tráfico IP o no incluir un filtro de IP). • IPv6: Seleccione la casilla de verificación para incluir paquetes de IPv6 en el filtro.
Filtrado
Haga clic para alternar las selecciones de activar o desactivar filtrado.
Anterior a la coincidencia Haga clic para alternar la opción activar o desactivar anterior a la coincidencia.
La opción anterior a la coincidencia se agrega para fines de resolución de problemas avanzada. Cuando un paquete introduce el puerto de entrada (ingress), avanza a través de varios pasos de procesamiento antes de analizar coincidencias en contra de filtros preconfigurados. Es posible que un paquete, debido a un fallo, no alcance la etapa de filtrado. Eso puede ocurrir, por ejemplo, si falla una búsqueda de ruta. Establezca la configuración anterior a la coincidencia como Activada para emular una coincidencia positiva de cada paquete entrando en el sistema. Eso permite al cortafuegos capturar incluso los paquetes que no alcanzan el proceso de filtrado. Si un paquete puede alcanzar la etapa de filtrado, se procesará de acuerdo con la configuración del filtro y se descartará si no consigue cumplir los criterios de filtrado.
Informes y logs
161
Realización de capturas de paquetes
Informes y logs
Campo Configuración de Descripción captura de paquetes Configurar captura Captura de paquetes
Haga clic para alternar activar o desactivar capturas de paquetes. Para los perfiles de antispyware y protección contra vulnerabilidades, puede habilitar capturas de paquetes extendidas para reglas y excepciones definidas en el perfil. Esta funcionalidad permite al cortafuegos capturar de 1 a 50 paquetes y proporciona más contexto al analizar los logs de amenaza. Para definir la longitud de captura de paquetes extendida: 1. Seleccione Dispositivo > Configuración > Content-ID. 2.
Edite la sección Configuración de detección de amenaza para especificar la Longitud de captura para el número de paquetes que debe capturarse.
3.
Visualice la captura de paquetes en Supervisar > Logs > Amenaza. Localice la entrada de log de amenaza y haga clic en el icono de flecha verde (Captura de paquetes) en la fila correspondiente para ver la captura.
Fase de captura de paquetes
Haga clic en Añadir y especifique lo siguiente: • Etapa: Indique el punto en el que capturar el paquete: • Desplegar: Cuando el procesamiento de paquetes encuentra un error y el paquete no se puede desplegar. • Cortafuegos: Cuando el paquete tiene una coincidencia de sesión o se crea un primer paquete con una sesión correctamente. • Recibir: Cuando se recibe el paquete en el procesador de plano de datos. • Transmitir: Cuando se transmite el paquete en el procesador de plano de datos. • Archivo: Especifica el nombre del archivo de captura. El nombre del archivo debe comenzar por una letra y puede incluir letras, dígitos, puntos, guiones bajos o guiones. • Recuento de paquetes: Especifica el número de paquetes después del que se detiene la captura. • Recuento de bytes: Especifica el número de bytes después del que se detiene la captura.
Archivos capturados Archivos capturados
Seleccione Eliminar para quitar un archivo de captura de paquetes desde la lista donde se muestran los archivos capturados.
Configuración Borrar toda la configuración
162
Seleccione Borrar toda la configuración para borrar completamente la configuración de captura de paquetes.
Informes y logs
Informes y logs
Supervisión del cortafuegos
Supervisión del cortafuegos Las siguientes secciones describen los métodos que puede usar para supervisar el cortafuegos y ofrecer instrucciones de configuración básicas.
Supervisión de aplicaciones y amenazas
Visualización de datos de logs locales
Reenvío de logs a servicios externos
Configuración del cortafuegos para autenticarlo con el servidor Syslog También puede configurar el cortafuegos (excepto los cortafuegos de la serie PA-4000) para que exporte los datos de flujo a un recopilador de flujo de red que elabore análisis e informes. Para configurar los ajustes de NetFlow, consulte PAN-OS-6.0 Web Interface Reference Guide (en inglés).
Supervisión de aplicaciones y amenazas Todos los cortafuegos de próxima generación de Palo Alto Networks están equipados con la tecnología App-ID, que identifica las aplicaciones que cruzan su red, independientemente del protocolo, cifrado o táctica de evasión. Después puede supervisar las aplicaciones desde el Centro de comando de aplicación (ACC). ACC resume gráficamente la base de datos de logs para resaltar las aplicaciones que cruzan su red, quién las usa y su posible impacto en la seguridad. ACC se actualiza de forma dinámica de acuerdo con la clasificación de tráfico continua que App-ID realiza; si una aplicación cambia de puerto o comportamiento, App-ID continúa observando el tráfico, mostrando los resultados en ACC. Puede investigar rápidamente aplicaciones nuevas, peligrosas o desconocidas que aparezcan en ACC con un solo clic que muestra una descripción de la aplicación, sus características clave, sus características de comportamiento y quién la usa. La visibilidad adicional de categorías de URL, amenazas y datos ofrece una perspectiva completa de la actividad de la red. Con ACC, puede obtener información rápidamente acerca del tráfico que cruza su red y traducir la información a una política de seguridad con más información.
Informes y logs
163
Supervisión del cortafuegos
Informes y logs
Visualización de datos de logs locales Todos los cortafuegos de próxima generación de Palo Alto Networks pueden generar logs que ofrecen un seguimiento auditado de las actividades y eventos del cortafuegos. Hay diversos logs para distintos tipos de actividades y eventos. Por ejemplo, los logs de amenaza registran todo el tráfico que genera una alarma de seguridad en el cortafuegos, mientras que los registros de filtrado de URL registran todo el tráfico que coincide con un perfil de filtrado de URL asociado a una política de seguridad, y los logs de configuración registran todos los cambios en la configuración del cortafuegos. Hay varias formas de ver los datos de log en el cortafuegos local:
Visualización de los archivos log
Visualización de los datos de log en el panel
Visualización de informes
Visualización de los archivos log El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas, flujos de tráfico, amenazas, filtrado de URL, filtrado de datos y Perfil de información de host (HIP). Puede visualizar los logs actuales en cualquier momento. Para ubicar entradas específicas, puede aplicar filtros a la mayoría de los campos de log. El cortafuegos muestra la información en logs por lo que se respetan los permisos de administración basado en función. Cuando muestra logs, solo se incluye la información de cuyo permiso dispone. Para obtener información acerca de los permisos de administrador, consulte Funciones administrativas.
De forma predefinida, todos los archivos log se generan y guardan de forma local en el cortafuegos. Puede ver estos archivos log directamente (Supervisar > Logs):
164
Informes y logs
Informes y logs
Para mostrar detalles adicionales, haga clic en el icono de catalejo
Informes y logs
Supervisión del cortafuegos
de una entrada.
165
Supervisión del cortafuegos
Informes y logs
La siguiente tabla incluye información sobre cada tipo de log: Gráficos de descripciones del log
Descripción
Tráfico
Muestra una entrada para el inicio y el final de cada sesión. Cada entrada incluye la fecha y hora, las zonas de origen y destino, las direcciones, los puertos, el nombre de la aplicación, el nombre de la regla de seguridad aplicada al flujo, la acción de la regla (permitir, denegar o desplegar), la interfaz de entrada (ingress) y salida (egress) y el número de bytes. Haga clic en junto a una entrada para ver detalles adicionales acerca de la sesión, como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino (el valor Recuento será superior a uno). La columna Tipo indica si la entrada es para el inicio o el fin de la sesión o si se ha denegado o descartado la sesión. Un descarte indica que la regla de seguridad que ha bloqueado el tráfico ha especificado una aplicación cualquiera, mientras que denegación indica que la regla ha identificado una aplicación específica. Si se descarta el tráfico antes de identificar la aplicación, como cuando una regla descarta todo el tráfico para un servicio específico, la aplicación aparece como no aplicable.
Amenaza
Muestra una entrada cuando el tráfico coincide con un perfil de seguridad (Antivirus, Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Protección DoS) que se haya adjuntado a una política de seguridad del cortafuegos. Cada entrada incluye la fecha y hora, un nombre de amenaza o URL, las zonas de origen y destino, direcciones, puertos, el nombre de aplicación y la acción de alarma (permitir o bloquear) y la gravedad. Haga clic en junto a una entrada para ver detalles adicionales acerca de la amenaza, como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y destino (el valor Recuento será superior a uno). La columna Tipo indica el tipo de amenaza, como “virus” o “spyware”. La columna Nombre es la descripción de la amenaza o URL y la columna Categoría es la categoría de la amenaza (como “Registrador de pulsaciones de teclas”) o la categoría de la URL. Si las capturas de paquetes locales están activadas, haga clic en junto a una entrada para acceder a los paquetes capturados. Para habilitar capturas de paquetes locales, consulte Realización de capturas de paquetes.
Filtrado de URL
Muestra logs para todo el tráfico que coincide con un perfil de filtrado de URL adjuntado a una política de seguridad. Por ejemplo, si la política bloquea el acceso a sitios web y categorías de sitios web específicos o si la política está configurada para generar una alerta cuando se acceda a un sitio web. Para obtener información sobre cómo definir perfiles de filtrado de URL, consulte Filtrado de URL.
Envíos de WildFire
Muestra logs de archivos que ha cargado y analizado la nube de WildFire; los datos de logs se reenvían al dispositivo después del análisis junto con los resultados del análisis.
166
Informes y logs
Informes y logs
Supervisión del cortafuegos
Gráficos de descripciones del log
Descripción
Filtrado de datos
Muestra logs para las políticas de seguridad que ayudan a evitar que informaciones confidenciales como números de tarjetas de crédito o de la seguridad social abandonen el área protegida por el cortafuegos. Consulte Configuración de filtrado de datos para obtener información sobre cómo definir perfiles de filtrado de datos. Este log también muestra información de perfiles de bloqueo de archivos. Por ejemplo, si está bloqueando archivos .exe, el log le mostrará los archivos que estaban bloqueados. Si reenvía archivos a WildFire, podrá ver los resultados de dicha acción. En este caso, si reenvía archivos PE a WildFire, por ejemplo, el log mostrará que el archivo fue reenviado y también el estado para saber si se cargó correctamente en WildFire.
Configuración
Muestra una entrada para cada cambio de configuración. Cada entrada incluye la fecha y hora, el nombre de usuario del administrador, la dirección IP desde la cual se ha realizado el cambio, el tipo de cliente (XML, Web o CLI), el tipo de comando ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de configuración y los valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y hora, la gravedad del evento y una descripción del evento.
Coincidencias HIP
Muestra los flujos de tráfico que coinciden con un Objeto HIP o Perfil HIP que haya configurado.
Cada página de log cuenta con una área de filtro en la parte superior de la página.
Informes y logs
167
Supervisión del cortafuegos
Informes y logs
Utilice la área de filtro de la siguiente forma:
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una opción de filtro de logs. Por ejemplo, si hace clic en el enlace Host en la entrada de log de 10.0.0.252 y Explorador web, se agregarán ambos elementos y la búsqueda encontrará entradas que coinciden con ambos (búsqueda Y).
Para definir otros criterios de búsqueda, haga clic en Añadir filtro de log. Seleccione el tipo de búsqueda (y/o), el atributo a incluir en la búsqueda, el operador asociado y los valores de la coincidencia, si es necesario. Haga clic en Añadir para agregar el criterio al área de filtro en la página de log, luego haga clic en Cerrar para cerrar la ventana emergente. Haga clic en Aplicar filtro para mostrar la lista filtrada. Puede combinar expresiones de filtro agregadas en la página de log con aquellas que ha definido en la ventana emergente Expresión. Cada uno se agrega como una entrada en la línea Filtro de la página de log. Si establece el filtro “en” Tiempo recibido como Últimos 60 segundos, algunos enlaces de la página en el visor de logs podrían no mostrar resultados ya que el número de páginas puede aumentar o reducirse debido a la naturaleza dinámica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en Borrar filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en Guardar filtro, introduzca un nombre para el filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la página, incluyendo cualquier filtro aplicado), haga clic en Guardar filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando la misma opción. Haga clic en ACEPTAR.
Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a CSV. De manera predeterminada, la exportación de la lista de logs al formato CSV genera un informe CSV con hasta 2.000 filas de logs. Para cambiar el límite de filas mostradas en informes CSV, utilice el campo Máx. de filas en exportación CSV en la subficha Exportación e informes de logs (seleccione Dispositivo > Configuración > Gestión > Configuración de log e informes).
Para cambiar el intervalo de actualización automática, seleccione un intervalo de la lista desplegable (1 min, 30 segundos, 10 segundos o Manual). Para cambiar el número de entradas de logs por página, seleccione el número de filas en el menú desplegable Filas. Las entradas de logs se recuperan en bloques de 10 páginas. Utilice los controles de página en la parte inferior de la página para navegar por la lista de logs. Seleccione la casilla de verificación Resolver nombre de host para iniciar la resolución de direcciones IP externas en nombres de dominio.
168
Informes y logs
Informes y logs
Supervisión del cortafuegos
Visualización de los datos de log en el panel También puede supervisar los datos de log locales directamente desde el panel añadiendo los widgets asociados:
Visualización de informes El cortafuegos también usa datos del log para generar informes (Supervisar > Informes) que muestran los datos del log en forma de gráfico o tabla. Consulte Acerca de los informes para obtener información más detallada sobre los informes predefinido y personalizados disponibles en el cortafuegos.
Informes y logs
169
Supervisión del cortafuegos
Informes y logs
Reenvío de logs a servicios externos Dependiendo del tipo y la gravedad de los datos en los archivos log, puede que desee recibir un aviso ante eventos críticos que requieran su atención, o puede que tenga políticas que requieran que archive los datos durante más tiempo del que pueden ser almacenados en el cortafuegos. En estos casos, deseará enviar sus datos de logs a un servicio externo para su archivo, notificación o análisis. Para reenviar datos de logs a un servicio externo, debe completar las siguientes tareas:
Configurar el cortafuegos para que acceda a los servicios remotos que recibirán los logs. Consulte Definición de destinos de logs remotos.
Configurar cada tipo de log para reenvío. Consulte Habilitación del reenvío de logs.
Definición de destinos de logs remotos Para alcanzar un servicio externo, como un servidor Syslog o un gestor de capturas SNMP, el cortafuegos debe conocer los detalles de acceso y, en caso necesario, autenticarse en el servicio. En el cortafuegos, puede definir esta información en un perfil de servidor. Debe crear un perfil de servidor para cada servicio externo con el que desee que interactúe el cortafuegos. El tipo de destino de log que necesita configurar y qué logs se reenvían dependerá de sus necesidades. Algunas situaciones frecuentes de reenvío de logs son:
Para una notificación inmediata de amenazas o eventos críticos del sistema que requieren su atención, puede generar traps SNMP o enviar alertas de correo electrónico. Consulte Configuración de alertas de correo electrónico y/o Configuración de los destinos de Trap SNMP.
Para el almacenamiento a largo plazo y el archivo de datos y para la supervisión centralizada de dispositivos, puede enviar los datos de logs a un servidor Syslog. Consulte Definición de servidores Syslog. Esto permite la integración con herramientas de supervisión de seguridad de terceros, como Splunk! o ArcSight.
Para añadir y elaborar informes de datos de logs de cortafuegos de Palo Alto Networks, puede reenviar los logs a un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Habilitación del reenvío de logs.
Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar logs de tráfico a un servidor Syslog y logs de sistema a uno diferente. También puede incluir varias entradas de servidor en un único perfil de servidor para poder registrarse en varios servidores Syslog y conseguir redundancia. De forma predeterminada, todos los datos de logs se reenvían a través de la interfaz de gestión. Si pretende usar una interfaz que no sea de gestión, deberá configurar una ruta de servicio para cada servicio al que desee reenviar logs, como se describe en el paso 5 del procedimiento para Establecimiento de acceso a la red para servicios externos.
170
Informes y logs
Informes y logs
Supervisión del cortafuegos
Configuración de alertas de correo electrónico Configuración de alertas de correo electrónico
Paso 1
Cree un perfil de servidor para su servidor de correo electrónico.
1.
Seleccione Dispositivo > Perfiles de servidor > Correo electrónico.
2.
Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil.
3.
(Opcional) Seleccione el sistema virtual al que se aplica este perfil en el menú desplegable Ubicación.
4.
Haga clic en Añadir para añadir una nueva entrada de servidor de correo electrónico e introduzca la información necesaria para conectar con el servidor SMTP y enviar mensajes de correo electrónico (puede añadir hasta cuatro servidores de correo electrónico al perfil): • Servidor: Nombre para identificar el servidor de correo electrónico (1-31 caracteres). Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SMTP existente. • Mostrar nombre: El nombre que aparecerá en el campo De del correo electrónico. • De: La dirección de correo electrónico desde la que se enviarán las notificaciones de correo electrónico. • Para: La dirección de correo electrónico a la que se enviarán las notificaciones de correo electrónico. • Destinatario adicional: Si desea que las notificaciones se envíen a una segunda cuenta, introduzca la dirección adicional aquí. Solo puede añadir un destinatario adicional. Para añadir varios destinatarios, añada la dirección de correo electrónico de una lista de distribución. • Puerta de enlace: La dirección IP o el nombre de host de la puerta de enlace SMTP que se usará para enviar los mensajes de correo electrónico.
5.
Haga clic en Aceptar para guardar el perfil de servidor.
Paso 2
(Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea más mensajes de correo electrónico que envía información sobre cómo crear formatos personalizados para los el cortafuegos. distintos tipos de log, consulte Common Event Format Configuration Guide (Guía de configuración de formato de eventos comunes).
Paso 3
Guarde el perfil de servidor y confirme los cambios.
Informes y logs
1.
Haga clic en Aceptar para guardar el perfil.
2.
Haga clic en Confirmar para guardar los cambios en la configuración actual.
171
Supervisión del cortafuegos
Informes y logs
Configuración de los destinos de Trap SNMP SNMP (Protocolo simple de administración de redes) es un servicio estándar para la supervisión de los dispositivos de su red. Puede configurar su cortafuegos para enviar traps SNMP a su software de gestión de SNMP para alertarle de amenazas o eventos críticos del sistema que requieran su atención inmediata. También puede usar SNMP para supervisar el cortafuegos. En este caso, su gestor de SNMP debe estar configurado para obtener estadísticas del cortafuegos en lugar de (o además de) hacer que el cortafuegos envíe traps al gestor. Para obtener más información, consulte Configuración del cortafuegos para autenticarlo con el servidor Syslog.
Configuración de los destinos de Trap SNMP
Paso 1 Nota
Para conocer el ID de motor del cortafuegos, deberá configurar el cortafuegos para SNMP v3 y enviar un mensaje GET desde el gestor En muchos casos, el explorador de MIB o de SNMP o el explorador de MIB de la manera siguiente: 1. Habilite la interfaz para permitir solicitudes SNMP entrantes: el gestor de SNMP detectará (Únicamente SNMP v3) Obtenga el ID de motor para el cortafuegos.
• Si va a recibir mensajes SNMP GET en la interfaz de gestión, seleccione Dispositivo > Configuración > Gestión y haga clic en el icono Editar que hay en la sección Configuración de interfaz de gestión de la pantalla. En la sección Servicios, seleccione la casilla de verificación SNMP y haga clic en Aceptar.
automáticamente el ID de motor tras una conexión correcta al agente de SNMP del cortafuegos. Normalmente encontrará esta información en la sección de configuración del agente de la interfaz. Consulte la documentación de su producto específico para obtener instrucciones sobre cómo encontrar la información del agente.
172
• Si va a recibir mensajes SNMP GET en una interfaz distinta, deberá asociar un perfil de gestión a la interfaz y habilitar la gestión de SNMP. 2.
Configure el cortafuegos para SNMP v3 como se describe en el Paso 2 en Configuración de la supervisión de SNMP. Si no configura el cortafuegos para SNMP v3, su explorador de MIB no le permitirá obtener el ID de motor.
3.
Conecte su explorador de MIB o gestor de SNMP al cortafuegos y ejecute GET para OID 1.3.6.1.6.3.10.2.1.1.0. El valor devuelto es el ID de motor exclusivo del cortafuegos.
Informes y logs
Informes y logs
Supervisión del cortafuegos
Configuración de los destinos de Trap SNMP (Continuación)
Paso 2
Cree un perfil de servidor que contenga la información para conectarse y autenticar los gestores de SNMP. 1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP. 2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil. 3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el menú desplegable Ubicación. 4. Especifique la versión de SNMP que está usando (V2c o V3). 5. Haga clic en Añadir para añadir una nueva entrada de receptor de trap SNMP (puede añadir hasta cuatro receptores de traps por perfil de servidor). Los valores requeridos dependen de si está usando SNMP V2c o V3, como se explica a continuación: SNMP V2c • Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente. • Gestor: Dirección IP del gestor de SNMP al que desea enviar traps. • Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP. SNMP V3 • Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente. • Gestor: Dirección IP del gestor de SNMP al que desea enviar traps. • Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP. • EngineID: ID de motor del cortafuegos, según se ha identificado en el Paso 1. Es un valor hexadecimal de entre 5 y 64 bytes con un prefijo 0x. Cada cortafuegos tiene un ID de motor único. • Contraseña de autenticación: Contraseña que se usará para los mensajes de nivel authNoPriv para el gestor de SNMP. Esta contraseña contará con un algoritmo hash de seguridad (SHA-1), pero no estará cifrada. • Contraseña priv.: Contraseña que se usará para los mensajes de nivel authPriv para el gestor de SNMP. Esta contraseña tendrá un algoritmo hash SHA y estará cifrada con el estándar de cifrado avanzado (AES 128). 6. Haga clic en Aceptar para guardar el perfil de servidor.
Paso 3
(Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envían a través de la para traps SNMP. interfaz de gestión. Si desea utilizar una interfaz diferente para traps SNMP, deberá editar la ruta de servicio para permitir que el cortafuegos acceda a su gestor de SNMP. Consulte Establecimiento de acceso a la red para servicios externos para obtener instrucciones.
Paso 4
Compile los cambios.
Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios.
Paso 5
Habilite el gestor de SNMP para que interprete las traps que recibe del cortafuegos.
Cargue los archivos MIB de PAN-OS en su software de gestión de SNMP y compílelos. Consulte las instrucciones específicas para realizar este proceso en la documentación de su gestor de SNMP.
Informes y logs
173
Supervisión del cortafuegos
Informes y logs
Definición de servidores Syslog Syslog es un mecanismo de transporte de logs estándar que permite añadir datos de logs desde distintos dispositivos de la red, tales como enrutadores, cortafuegos o impresoras, de diferentes proveedores a un repositorio central para su archivo y análisis, así como para elaborar informes. El cortafuegos genera cinco tipos de logs que pueden reenviarse a un servidor Syslog externo: tráfico, amenaza, WildFire, coincidencia del perfil de información de host (HIP), configuración y sistema. Si quiere reenviar todos o algunos de estos logs a un servicio externo para un almacenamiento y un análisis a largo plazo, puede utilizar TCP o SSL para un transporte fiable y seguro de logs, o UDP para un transporte no seguro. Configuración del reenvío de Syslog
Paso 1
Cree un perfil de servidor que contenga 1. la información para conectarse a los 2. servidores Syslog.
Seleccione Dispositivo > Perfiles de servidor > Syslog. Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil.
3.
(Opcional) Seleccione el sistema virtual al que se aplica este perfil en el menú desplegable Ubicación.
4.
Haga clic en Añadir para añadir una nueva entrada del servidor Syslog e introduzca la información necesaria para conectar con el servidor Syslog (puede añadir hasta cuatro servidores Syslog al mismo perfil): • Nombre: Nombre exclusivo para el perfil de servidor. • Servidor: Dirección IP o nombre de dominio completo (FQDN) del servidor Syslog. • Transporte: Seleccione TCP, UDP o SSL como el método de comunicación con el servidor Syslog. • Puerto: Número de puerto por el que se enviarán mensajes de Syslog (el valor predeterminado es UDP en el puerto 514); debe usar el mismo número de puerto en el cortafuegos y en el servidor Syslog. • Formato: Seleccione el formato de mensaje de Syslog que se debe utilizar, BSD o IETF. Tradicionalmente, el formato BSD es a través de UDP y el formato IETF es a través de TCP/SSL. Para configurar el reenvío de Syslog seguro con la autenticación de cliente, consulte Configuración del cortafuegos para autenticarlo con el servidor Syslog. • Instalaciones: Seleccione uno de los valores de Syslog estándar, que se usa para calcular el campo de prioridad (PRI) en la implementación de su servidor Syslog. Debe seleccionar el valor que asigna cómo usa el campo PRI para gestionar sus mensajes de Syslog.
174
5.
(Opcional) Para personalizar el formato de los mensajes de Syslog que envía el cortafuegos, seleccione la pestaña Formato de log personalizado. Si desea más información sobre cómo crear formatos personalizados para los distintos tipos de log, consulte Common Event Format Configuration Guide (Guía de configuración de formato de eventos comunes).
6.
Haga clic en Aceptar para guardar el perfil de servidor.
Informes y logs
Informes y logs
Supervisión del cortafuegos
Configuración del reenvío de Syslog (Continuación)
Paso 2
1. (Opcional) Configure el formato de encabezado utilizado en los mensajes de Syslog. La selección del formato de 2. encabezado ofrece más flexibilidad para 3. filtrar y crear informes sobre los datos de log para algunos SIEM.
Seleccione Dispositivo > Configuración > Gestión y haga clic en el icono Editar de la sección Configuración de log e informes. Seleccione Exportación e informes de logs. Seleccione una de las siguientes opciones en el menú desplegable Enviar nombre de host en Syslog: • FQDN: (Valor predeterminado) Concatena el nombre de host y el nombre de dominio definidos en el dispositivo de envío. • Nombre de host: Utiliza el nombre de host definido en el dispositivo de envío. • Dirección IPv4: Utiliza la dirección IPv4 de la interfaz utilizada
para enviar logs en el dispositivo. De manera predeterminada, esta es la interfaz de gestión del dispositivo.
• Dirección IPv6: Utiliza la dirección IPv6 de la interfaz utilizada
para enviar logs en el dispositivo. De manera predeterminada, esta es la interfaz de gestión del dispositivo.
Nota
Se trata de una configuración global y se aplica a todos los perfiles de servidores Syslog configurados en el dispositivo.
• Ninguno: Deja el campo Nombre de host sin configurar en el dispositivo. No hay ningún identificador para el dispositivo que envía los logs. 4.
Haga clic en ACEPTAR y Confirmar.
Paso 3
Compile los cambios.
Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios.
Paso 4
Habilite el reenvío de logs.
Consulte Habilitación del reenvío de logs. Debe configurar cada tipo de log para el reenvío y especificar la gravedad para la que se registrará el evento. Nota
Paso 5
Revise los logs del servidor Syslog.
Los logs de WildFire son un tipo de log de amenaza, pero no se registran y reenvían junto con los logs de amenaza. Si bien los logs de WildFire utilizan el mismo formato de Syslog que los logs de amenaza, el subtipo de amenaza está predefinido como WildFire. Por lo tanto, debe habilitar el registro/reenvío para logs de WildFire de manera distinta a la de los logs de amenaza.
Para analizar los logs, consulte Análisis de la descripción de campos en logs.
Configuración del cortafuegos para autenticarlo con el servidor Syslog Para habilitar la autenticación de cliente para Syslog a través de SSL, puede utilizar una CA de confianza o una CA de firma automática para generar certificados que puedan utilizarse para una comunicación Syslog segura. Compruebe lo siguiente al generar un certificado para una comunicación Syslog segura:
La clave privada debe estar disponible en el dispositivo de envío; las claves no pueden almacenarse en un módulo de seguridad de hardware (HSM).
Informes y logs
175
Supervisión del cortafuegos
Informes y logs
El sujeto y el emisor del certificado no deben ser idénticos.
El certificado no es una CA de confianza ni una solicitud de firma de certificado (CSR). Ninguno de estos tipos de certificados puede habilitarse para una comunicación Syslog segura.
Configuración del cortafuegos para autenticarlo con el servidor Syslog
Paso 1
Para verificar que el dispositivo de envío está autorizado para Si el servidor Syslog requiere comunicarse con el servidor Syslog, debe habilitar lo siguiente: autenticación de cliente, genere el certificado para la comunicación • El servidor y el dispositivo de envío deben tener certificados segura. Si desea información detallada firmados por la CA de empresa; también puede generar un sobre certificados, consulte Gestión certificado autofirmado en el cortafuegos, exportar el certificado de de certificados. CA raíz desde el cortafuegos e importarlo en el servidor Syslog. • Utilice la CA de empresa o el certificado autofirmado para generar un certificado con la dirección IP del dispositivo de envío (como Nombre común) y habilitado para su uso en una comunicación Syslog segura. El servidor Syslog utiliza este certificado para verificar que el cortafuegos está autorizado para comunicarse con el servidor Syslog. Realice los siguientes pasos para generar el certificado en el cortafuegos o en Panorama: 1. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. 2.
Haga clic en Generar para crear un nuevo certificado que estará firmado por una CA de confianza o la CA autofirmada.
3.
Introduzca un Nombre para el certificado.
4.
En Nombre común, introduzca la dirección IP del dispositivo que enviará logs al servidor Syslog.
5.
Seleccione Compartido si desea que el certificado sea de tipo compartido en Panorama o en todos los sistemas virtuales en un cortafuegos de sistema virtual múltiple.
6.
En Firmado por, seleccione la CA de confianza o la CA autofirmada que sea de confianza para el servidor Syslog y el dispositivo de envío.
7.
Haga clic en Generar. Se generarán el certificado y el par de claves.
8.
Haga clic en el enlace con el nombre del certificado y active la opción para obtener acceso seguro al servidor Syslog.
9.
Confirme los cambios.
10. Verifique los detalles del certificado y que esté marcado para Uso como Certificado para Syslog seguro.
176
Informes y logs
Informes y logs
Supervisión del cortafuegos
Habilitación del reenvío de logs Una vez creados los perfiles de servidor que definen dónde se envían sus logs, debe habilitar el reenvío de logs. Para cada tipo de log, puede especificar si se reenvía a Syslog, correo electrónico, receptor de traps SNMP o Panorama. Antes de poder reenviar archivos log a un gestor de Panorama o a un recopilador de logs de Panorama, el cortafuegos debe estar configurado como un dispositivo gestionado. Entonces podrá habilitar el reenvío de logs a Panorama para cada tipo de log. Para logs reenviados a Panorama, tiene a su disposición la compatibilidad con el reenvío centralizado de logs a un servidor Syslog externo.
La forma de habilitar el reenvío depende del tipo de log:
Logs de tráfico: Habilita el reenvío de logs de tráfico creando un perfil de reenvío de logs (Objetos > Reenvío de logs) y añadiéndolo a las políticas de seguridad que desea que activen el reenvío de logs. Solo el tráfico que coincida con una regla específica dentro de la política de seguridad será registrado y enviado.
Logs de amenaza: Habilita el reenvío de logs de amenaza creando un perfil de reenvío de logs (Objetos > Reenvío de logs) que especifique qué niveles de seguridad desea reenviar y, a continuación, añadiéndolo a las políticas de seguridad para las que desea activar el reenvío de logs. Solo se creará (y enviará) una entrada de log de amenaza si el tráfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Protección DoS). La siguiente tabla resume los niveles de gravedad de las amenazas:
Gravedad
Descripción
Crítico
Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software ampliamente implementado, que comprometen profundamente los servidores y dejan el código de explotación al alcance de los atacantes. El atacante no suele necesitar ningún tipo de credenciales de autenticación o conocimientos acerca de las víctimas y el objetivo no necesita ser manipulado para que realice ninguna función especial.
Alto
Amenazas que tienen la habilidad de convertirse en críticas pero que tienen factores atenuantes; por ejemplo, pueden ser difíciles de explotar, no conceder privilegios elevados o no tener un gran grupo de víctimas.
Medio
Amenazas menores en las que se minimiza el impacto, como ataques DoS que no comprometen al objetivo o explotaciones que requieren que el atacante esté en la misma LAN que la víctima, afectan solo a configuraciones no estándar o aplicaciones oscuras u ofrecen acceso muy limitado. Además, las entradas de log de Presentaciones de WildFire con un veredicto de software malintencionado se registran como amenazas de nivel medio.
Bajo
Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura de la organización. Suelen requerir acceso local o físico al sistema y con frecuencia suelen ocasionar problemas en la privacidad de las víctimas, problemas de DoS y fugas de información. Las coincidencias de perfiles de filtrado de datos se registran como bajas.
Informativo
Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para indicar que podría haber problemas más serios. Las entradas de logs de filtrado de URL y las entradas de logs de Presentaciones de WildFire con un veredicto benigno se registran como informativas.
Informes y logs
177
Supervisión del cortafuegos
Informes y logs
Logs de configuración: Habilita el reenvío de logs de configuración especificando un perfil de servidor en la configuración de ajustes de log. (Dispositivo > Configuración de log > Logs de configuración).
Logs de sistema: Habilita el reenvío de logs de sistema especificando un perfil de servidor en la configuración de ajustes de log. (Dispositivo > Configuración de log > Logs de sistema). Debe seleccionar un perfil de servidor para cada nivel de gravedad que desee reenviar. Para una lista parcial de mensajes de log de sistema y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema). La siguiente tabla resume los niveles de gravedad de los logs de sistema: Gravedad
Descripción
Crítico
Fallos de hardware, lo que incluye la conmutación por error de HA y los fallos de enlaces.
Alto
Problemas graves, incluidas las interrupciones en las conexiones con dispositivos externos, como servidores Syslog y RADIUS.
Medio
Notificaciones de nivel medio, como actualizaciones de paquetes de antivirus.
Bajo
Notificaciones de menor gravedad, como cambios de contraseña de usuario.
Informativo
Inicios de sesión/cierres de sesión, cambio de nombre o contraseña de administrador, cualquier cambio de configuración y el resto de eventos no cubiertos por los otros niveles de gravedad.
Supervisión del cortafuegos mediante SNMP Todos los cortafuegos de Palo Alto Networks son compatibles con módulos de base de información de gestión (MIB) de SNMP de red estándar, así como con módulos MIB empresariales privados. Puede configurar un gestor de SNMP para recibir estadísticas del cortafuegos. Por ejemplo, puede configurar su gestor de SNMP para que supervise las interfaces, sesiones activas, sesiones simultáneas, porcentajes de uso de sesión, temperatura o tiempo de actividad en el cortafuegos. Los cortafuegos de Palo Alto Networks solo son compatibles con solicitudes SNMP GET; no es compatible con las solicitudes SNMP SET.
Configuración de la supervisión de SNMP
Paso 1
Habilite la interfaz para permitir solicitudes SNMP entrantes:
• Si va a recibir mensajes SNMP GET en la interfaz de gestión, seleccione Dispositivo > Configuración > Gestión y haga clic en el icono Editar que hay en la sección Configuración de interfaz de gestión de la pantalla. En la sección Servicios, seleccione la casilla de verificación SNMP y haga clic en Aceptar. • Si va a recibir mensajes SNMP GET en una interfaz distinta, deberá asociar un perfil de gestión a la interfaz y habilitar la gestión de SNMP.
178
Informes y logs
Informes y logs
Supervisión del cortafuegos
Configuración de la supervisión de SNMP (Continuación)
Paso 2
1. Desde la interfaz web del cortafuegos, configure los ajustes para permitir que el agente de SNMP del cortafuegos 2. responda a las solicitudes GET entrantes del gestor de SNMP. 3.
Seleccione Dispositivo > Configuración > Operaciones > Configuración de SNMP. Especifique la ubicación física del cortafuegos y el nombre o dirección de correo electrónico de un contacto de gestión. Seleccione la versión SNMP y, a continuación, introduzca los detalles de configuración de la siguiente forma (según la versión SNMP que utilice) y, a continuación, haga clic en ACEPTAR: • V2c: Introduzca la cadena de comunidad SNMP que permitirá que el gestor de SNMP acceda al agente de SNMP del cortafuegos. El valor predeterminado es público. Como se trata de una cadena de comunidad ampliamente conocida, es recomendable usar un valor que no se adivine tan fácilmente. • V3: Debe crear al menos una vista y un usuario para poder utilizar SNMPv3. La vista especifica a qué información de gestión tiene acceso el gestor. Si desea permitir el acceso a toda la información de gestión, solamente tiene que introducir el OID de nivel más alto de .1.3.6.1 y especificar la opción como incluir (también puede crear vistas que excluyan determinados objetos). Utilice 0xf0 como la máscara. A continuación, cuando cree un usuario, seleccione la vista que acaba de crear y especifique la contraseña de autenticación y la contraseña privada. La configuración de autenticación (la cadena de comunidad para V2c o el nombre de usuario y las contraseñas para V3) establecida en el cortafuegos debe coincidir con el valor configurado en el gestor de SNMP.
4.
Haga clic en ACEPTAR para guardar la configuración.
5.
Haga clic en Confirmar para guardar estos ajustes de SNMP.
Paso 3
Active el gestor de SNMP para interpretar Cargue los archivos MIB de PAN-OS en su software de gestión de las estadísticas del cortafuegos. SNMP y, si es necesario, compílelos. Consulte las instrucciones específicas para realizar este proceso en la documentación de su gestor de SNMP.
Paso 4
Identifique las estadísticas que desee supervisar.
Paso 5
Configure el software de gestión de Consulte las instrucciones específicas para realizar este proceso en la SNMP para que supervise los OID que le documentación de su gestor de SNMP. interesan.
Informes y logs
Use un explorador de MIB para examinar los archivos MIB de PAN-OS y localizar los identificadores de objeto (OID) que se corresponden con las estadísticas que desea supervisar. Por ejemplo, imagínese que desea supervisar el porcentaje de uso de sesión del cortafuegos. Usando un explorador de MIB verá que estas estadísticas se corresponden con los OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 de PAN-COMMON-MIB.
179
Supervisión del cortafuegos
Informes y logs
Configuración de la supervisión de SNMP (Continuación)
Paso 6
180
Cuando haya terminado la configuración A continuación, un ejemplo de la apariencia de un gestor de SNMP al mostrar las estadísticas del porcentaje de uso de sesión en tiempo del cortafuegos y el gestor de SNMP real de un cortafuegos de la serie PA-500 supervisado: podrá empezar a supervisar el cortafuegos desde su software de gestión de SNMP.
Informes y logs
Informes y logs
Gestión de informes
Gestión de informes Las funciones de generación de informes del cortafuegos le permiten comprobar el estado de su red, validar sus políticas y concentrar sus esfuerzos en mantener la seguridad de la red para que sus usuarios estén protegidos y sean productivos.
Acerca de los informes
Visualización de informes
Deshabilitación de informes predefinidos
Generación de informes personalizados
Generación de informes de Botnet
Gestión de informes de resumen en PDF
Generación de informes de actividad del usuario/grupo
Gestión de grupos de informes
Programación de informes para entrega de correos electrónicos
Acerca de los informes El cortafuegos incluye informes predefinidos que puede utilizar tal cual; asimismo, puede crear informes personalizados que cubran sus necesidades en cuanto a datos específicos y tareas útiles o combinar informes predefinidos y personalizados para compilar la información que necesita. El cortafuegos proporciona los siguientes tipos de informes:
Informes predefinidos: Le permiten ver un resumen rápido del tráfico de su red. Hay disponible un conjunto de informes predefinidos divididos en cuatro categorías: Aplicaciones, Tráfico, Amenaza y Filtrado de URL. Consulte Visualización de informes.
Informes de actividad de usuario o grupo: Le permiten programar o crear un informe a petición sobre el uso de la aplicación y la actividad de URL para un usuario específico o para un grupo de usuarios; el informe incluye las categorías de URL y un cálculo del tiempo de exploración estimado para usuarios individuales. Consulte Generación de informes de actividad del usuario/grupo.
Informes personalizados: Cree y programe informes personalizados que muestren exactamente la información que desee ver, filtrando según las condiciones y las columnas que deben incluirse. También puede incluir generadores de consultas para un desglose más específico de los datos de informe. Consulte Generación de informes personalizados.
Informes de resumen en PDF: Agregue hasta 18 informes/gráficos predefinidos o personalizados desde las categorías Amenaza, Aplicación, Tendencia, Tráfico y Filtrado de URL en un documento PDF. Consulte Gestión de informes de resumen en PDF.
Informes de Botnet: Le permiten utilizar mecanismos basados en el comportamiento para identificar posibles hosts infectados por Botnet en la red. Consulte Generación de informes de Botnet.
Grupos de informes: Combine informes personalizados y predefinidos en grupos de informes y compile un único PDF que se enviará por correo electrónico a uno o más destinatarios. Consulte Gestión de grupos de informes.
Los informes se pueden generar según se necesiten, con una planificación recurrente, y se puede programar su envío diario por correo electrónico. Informes y logs
181
Gestión de informes
Informes y logs
Visualización de informes El cortafuegos proporciona una variedad de más de 40 informes predefinidos que se generan cada día; estos informes pueden visualizarse directamente en el cortafuegos. Además de estos informes, puede visualizar informes personalizados e informes de resumen programados. Se asignan aproximadamente 200 MB de almacenamiento para guardar informes en el cortafuegos. El usuario no puede configurar este espacio de almacenamiento; además, los informes más antiguos se purgan para almacenar informes recientes. Por lo tanto, para una retención a largo plazo de informes, puede exportar los informes o programar los informes para una entrega por correo electrónico. Para deshabilitar informes seleccionados y conservar recursos del sistema en el cortafuegos, consulte Deshabilitación de informes predefinidos. Los informes de actividad de usuario/grupo deben generarse a petición o programarse para una entrega por correo electrónico. A diferencia de los otros informes, estos informes no se pueden guardar en el cortafuegos.
Visualización de informes
Paso 1
Seleccione Supervisar > Informes. Los informes se dividen en secciones en el lado derecho de la ventana: Informes personalizados, Informes de aplicación, Informes de tráfico, Informes de amenazas, Informes de filtrado de URL e Informes de resumen en PDF.
Paso 2
Seleccione un informe para visualizarlo. Cuando seleccione un informe, el informe del día anterior se mostrará en la pantalla. Para ver informes de cualquiera de los días anteriores, seleccione una fecha disponible en el calendario de la parte inferior de la página y seleccione un informe dentro de la misma sección. Si cambia secciones, se restablecerá la selección del tiempo.
Paso 3
182
Para visualizar un informe fuera de línea, puede exportar el informe en los formatos PDF, CSV o XML. Haga clic en Exportar a PDF, Exportar a CSV o Exportar a XML en la parte inferior de la página. A continuación, imprima o guarde el archivo.
Informes y logs
Informes y logs
Gestión de informes
Deshabilitación de informes predefinidos El cortafuegos incluye aproximadamente 40 informes predefinidos que se generan automáticamente cada día. Si no utiliza algunos o todos estos informes predefinidos, podrá deshabilitar los informes seleccionados y conservar recursos del sistema en el cortafuegos. Antes deshabilitar uno o más informes predefinidos, asegúrese de que el informe no se incluye en ningún informe de grupos o informe PDF. Si el informe predefinido deshabilitado se incluye en un informe de grupos o PDF, el informe de grupos/PDF se presentará sin datos.
Deshabilitar informes predefinidos
1.
Seleccione Dispositivo > Configuración > Gestión en el cortafuegos.
2.
Haga clic en el icono Editar en la sección Configuración de log e informes y seleccione la pestaña Exportación e informes de logs.
3.
Para deshabilitar informes: • Cancele la selección de la casilla de verificación correspondiente a cada informe que quiera deshabilitar. • Seleccione Anular selección para deshabilitar todos los informes predefinidos.
4.
Haga clic en ACEPTAR y seleccione Confirmar los cambios.
Informes y logs
183
Gestión de informes
Informes y logs
Generación de informes personalizados Para crear informes personalizados con un fin concreto, debe considerar los atributos o la información clave que quiere recuperar y analizar. Esta consideración le guiará a la hora de realizar las siguientes selecciones en un informe personalizado: Selección
Descripción
Origen de datos
Archivo de datos que se utiliza para generar el informe. El cortafuegos ofrece dos tipos de orígenes de datos: bases de datos de resumen y logs detallados. • Las bases de datos de resumen están disponibles para estadísticas de tráfico, amenaza y aplicación. El cortafuegos agrega los logs detallados en tráfico, aplicación y amenaza en intervalos de 15 minutos. Los datos están condensados; es decir, las sesiones están agrupadas y aumentan con un contador de repeticiones y algunos atributos (o columnas) no se incluyen en el resumen. Esta condensación permite un tiempo de respuesta más rápido al generar informes. • Los logs detallados se componen de elementos y son una lista completa de todos los atributos (o columnas) relativos a la entrada de log. Los informes basados en logs detallados tardan mucho más en ejecutarse y no se recomiendan a menos que sea absolutamente necesario.
Atributos
Columnas que quiere utilizar como criterios de coincidencia. Los atributos son las columnas disponibles para su selección en un informe. Desde la lista de Columnas disponibles, puede añadir los criterios de selección para datos coincidentes y para agregar la información detallada (Columnas seleccionadas).
Ordenar por/Agrupar por Los criterios Ordenar por y Agrupar por le permiten organizar/segmentar los datos del informe; los atributos de ordenación y agrupación disponibles varían basándose en el origen de datos seleccionado. La opción Ordenar por especifica el atributo que se utiliza para la agregación. Si no selecciona un atributo según el cuál ordenar, el informe devolverá el primer número N de resultados sin ninguna agregación. La opción Agrupar por le permite seleccionar un atributo y utilizarlo como ancla para agrupar datos; a continuación, todos los datos del informe se presentarán en un conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo, cuando seleccione Hora como la selección de Agrupar por y quiere los 25 grupos principales en un período de tiempo de 24 horas. Los resultados del informe se generarán cada hora en un período de 24 horas. La primera columna del informe será la hora y el siguiente conjunto de columnas será el resto de sus columnas de informe seleccionadas.
184
Informes y logs
Informes y logs
Selección
Gestión de informes
Descripción
El siguiente ejemplo muestra el modo en que los criterios Columnas seleccionadas y Ordenar por/Agrupar por trabajan en conjunto al generar informes:
Las columnas dentro de un círculo rojo (arriba) muestran las columnas seleccionadas, que son los atributos que deben coincidir para generar el informe. Se analiza cada entrada de log del origen de datos y se establecen las coincidencias con estas columnas. Si varias sesiones tienen los mismos valores para las columnas seleccionadas, las sesiones se agregarán y se incrementará el recuento de repeticiones (o sesiones). La columna dentro de un círculo azul indica el orden de clasificación seleccionado. Cuando se especifica el orden de clasificación (Ordenar por), los datos se ordenan (y agregan) según el atributo seleccionado. La columna dentro de un círculo verde indica la selección de Agrupar por, que sirve de ancla para el informe. La columna Agrupar por se utiliza como criterio de coincidencia para filtrar los N grupos principales. A continuación, para cada uno de los N grupos principales, el informe enumera los valores del resto de columnas seleccionadas.
Informes y logs
185
Gestión de informes
Selección
Informes y logs
Descripción
Por ejemplo, si un informe tiene las siguientes selecciones: :
El resultado será el siguiente:
El informe está anclado por Día y se ordena por Sesiones. Enumera los 5 días (5 grupos) con el máximo de tráfico en el período de tiempo de Últimos 7 días. Los datos se enumeran según las 5 principales sesiones de cada día para las columnas seleccionadas: Categoría de aplicación, Subcategoría de aplicación y Riesgo. Período de tiempo
Rango de fechas para el que quiere analizar datos. Puede definir un rango personalizado o seleccionar un período de tiempo que vaya desde los últimos 15 minutos hasta los últimos 30 días. Los informes se pueden ejecutar a petición o se pueden programar para su ejecución cada día o cada semana.
Generador de consultas
El generador de consultas le permite definir consultas específicas para ajustar aun más los atributos seleccionados. Le permite ver solamente lo que desee en su informe utilizando los operadores y y o y un criterio de coincidencia y, a continuación, incluir o excluir datos que coincidan o nieguen la consulta del informe. Las consultas le permiten generar una intercalación de información más centrada en un informe.
186
Informes y logs
Informes y logs
Gestión de informes
Generación de informes personalizados
1.
Seleccione Supervisar > Gestionar informes personalizados.
2.
Haga clic en Añadir y, a continuación, introduzca un Nombre para el informe.
Nota 3.
Para basar un informe en una plantilla predefinida, haga clic en Cargar plantilla y seleccione la plantilla. A continuación, podrá editar la plantilla y guardarla como un informe personalizado.
Seleccione la base de datos que debe utilizarse para el informe.
Nota
Cada vez que cree un informe personalizado, se creará un informe Vista de log automáticamente. Este informe muestra los logs que se utilizaron para crear el informe personalizado. El informe Vista de log utiliza el mismo nombre que el informe personalizado, pero añade la frase “Log View” al nombre del informe. Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para obtener más información, consulte Gestión de grupos de informes.
4.
Seleccione la casilla de verificación Programado para ejecutar el informe cada noche. A continuación, el informe estará disponible para su visualización en la columna Informes del lateral.
5.
Defina los criterios de filtrado. Seleccione el Período de tiempo, el orden Ordenar por y la preferencia Agrupar por y seleccione las columnas que deben mostrarse en el informe.
6.
(Opcional) Seleccione los atributos Generador de consultas si desea ajustar aun más los criterios de selección. Para crear una consulta de informe, especifique lo siguiente y haga clic en Añadir. Repita las veces que sean necesarias para crear la consulta completa. • Conector: Seleccione el conector (y/o) para preceder la expresión que está agregando. • Negar: Seleccione la casilla de verificación para interpretar la consulta como una negativa. Si, por ejemplo, decide hacer coincidir las entradas de las últimas 24 horas y/o se originan en la zona no fiable, la opción de negación produce una coincidencia en las entradas que no se hayan producido en las últimas 24 horas y/o no pertenezcan a la zona no fiable. • Atributo: Seleccione un elemento de datos. Las opciones disponibles dependen de la elección de la base de datos. • Operador: Seleccione el criterio para determinar si se aplica el atributo (como =). Las opciones disponibles dependen de la elección de la base de datos. • Valor: Especifique el valor del atributo para coincidir. Por ejemplo, la siguiente ilustración (basada en la base de datos Log de tráfico) muestra una consulta que coincide si se ha recibido la entrada de log de tráfico en las últimas 24 horas de la zona “no fiable”.
7.
Para comprobar los ajustes de informes, seleccione Ejecutar ahora. Modifique los ajustes según sea necesario para cambiar la información que se muestra en el informe.
8.
Haga clic en ACEPTAR para guardar el informe personalizado.
Informes y logs
187
Gestión de informes
Informes y logs
Generación de informes personalizados (Continuación)
Ejemplos de informes personalizados
Si ahora configuramos un único informe en el que utilizamos la base de datos de resumen de tráfico de los últimos 30 días y ordenamos los datos por las 10 sesiones principales y dichas sesiones se agrupan en 5 grupos por día de la semana. Debería configurar el informe personalizado para que tuviera un aspecto parecido a este:
Y el resultado en PDF del informe debería tener un aspecto parecido a este:
188
Informes y logs
Informes y logs
Gestión de informes
Generación de informes personalizados (Continuación)
Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente a los principales consumidores de los recursos de red dentro de un grupo de usuarios, debería configurar el informe para que tuviera un aspecto parecido a este:
El informe debería mostrar a los principales usuarios del grupo de usuarios de gestión de productos ordenados por bytes, de la manera siguiente:
Informes y logs
189
Gestión de informes
Informes y logs
Generación de informes de Botnet La función Informe de Botnet le permite utilizar mecanismos basados en el comportamiento para identificar posibles hosts infectados por Botnet en la red. Para evaluar las amenazas, el cortafuegos utiliza los logs de amenaza, URL y filtrado de datos que tienen datos sobre la actividad de usuario/red y consulta la lista de URL malintencionadas en PAN-DB, proveedores de DNS dinámico conocidos y dominios registrados recientemente. Utilizando estos orígenes de datos, el cortafuegos correlaciona e identifica a los hosts que visitaron sitios malintencionados y sitios de DNS dinámico, dominios registrados recientemente (en los últimos 30 días), aplicaciones desconocidas utilizadas y búsquedas de la presencia de tráfico de Internet Relay Chat (IRC). Para los host que coincidan con los criterios, se asigna un margen de confianza del 1 al 5 para indicar la probabilidad de infección de Botnet (1 indica la probabilidad de infección más baja y 5 la más alta). Como los mecanismos de detección basados en el comportamiento requieren realizar una correlación de tráfico entre varios logs durante un período de 24 horas, el cortafuegos genera un informe cada 24 horas con una lista de hosts ordenada basándose en un nivel de confianza.
Configuración de informes de Botnet
Generación de informes de Botnet
Configuración de informes de Botnet Utilice estos ajustes para especificar tipos de tráfico sospechoso que pueda indicar actividad de Botnet. Configuración de informes de Botnet
1.
Seleccione Supervisar > Botnet y haga clic en el botón Configuración del lado derecho de la página.
2.
Para el tráfico HTTP, seleccione la casilla de verificación Habilitar para los eventos que desea incluir en los informes: • Visita a URL de software malintencionado: Identifica a los usuarios que se están comunicando con URL con software malintencionado conocidas basándose en las categorías de filtrado de URL de software malintencionado y Botnet. • Uso de DNS dinámica: Busca tráfico de consultas DNS dinámicas que pueden indicar una comunicación de botnet. • Navegación por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL. • Navegación en dominios registrados recientemente: Busca tráfico en dominios que se han registrado en los últimos 30 días. • Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL desconocidas.
3.
Para aplicaciones desconocidas, seleccione aplicaciones con TCP desconocido o UDP desconocido como sospechosas y especifique la siguiente información: • Sesiones por hora: Número de sesiones de aplicación por hora asociadas a la aplicación desconocida. • Destinos por hora: Número de destinos por hora asociados a la aplicación desconocida. • Bytes mínimos: Tamaño mínimo de carga. • Bytes máximos: Tamaño máximo de carga.
4.
190
Seleccione la casilla de verificación para incluir servidores IRC como sospechosos. Los servidores IRC a menudo utilizan bots para funciones automatizadas.
Informes y logs
Informes y logs
Gestión de informes
Generación de informes de Botnet Después de configurar el informe de Botnet, especifique consultas de informe para generar informes de análisis de Botnet. El generador de consultas le permite incluir o excluir atributos tales como direcciones IP de origen o de destino, usuarios, zonas, interfaces, regiones o países para filtrar los resultados del informe. Los informes programadas solo se ejecutan una vez al día. También puede generar y mostrar informes a petición haciendo clic en Ejecutar ahora en la ventana donde define las consultas de informe. El informe generado se muestra en Supervisar > Botnet. Para gestionar informes de Botnet, haga clic en el botón Ajuste de informe en el lado derecho de la pantalla. Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV. Generación de informes de Botnet
1.
En Período de ejecución del informe, seleccione el intervalo de tiempo para el informe (últimas 24 horas o último día del calendario).
2.
Seleccione el N.º de filas que desea incluir en el informe.
3.
Seleccione Programado para ejecutar el informe a diario. De manera alternativa, puede ejecutar el informe manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet.
4.
Cree la consulta de informe especificando lo siguiente y, a continuación, haga clic en Añadir para agregar la expresión configurada a la consulta. Repita las veces que sean necesarias para crear la consulta completa: • Conector: Especifique un conector lógico (Y/O). • Atributo: Especifique la zona, la dirección o el usuario de origen o destino. • Operador: Especifique el operador para relacionar el atributo con un valor. • Valor: Especifique el valor para coincidir.
5.
Seleccione Negar para aplicar la negación a la consulta especificada, lo que significa que el informe contendrá toda la información que no sea resultado de la consulta definida.
6.
Confirme los cambios.
Informes y logs
191
Gestión de informes
Informes y logs
Gestión de informes de resumen en PDF Los informes de resumen en PDF contienen información recopilada de informes existentes, basándose en datos de los 5 principales de cada categoría (en vez de los 50 principales). También pueden contener gráficos de tendencias que no están disponibles en otros informes. Generación de informes de resumen en PDF
Paso 1
Configure un Informe de resumen en PDF: 1. Seleccione Supervisar > Informes en PDF > Gestionar resumen de PDF. 2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el informe. 3. Utilice la lista desplegable para cada grupo de informes y seleccione uno o más de los elementos para diseñar el informe de resumen en PDF. Puede incluir un máximo de 18 elementos de informe.
• Para eliminar un elemento del informe, haga clic en el icono x o cancele la selección del menú desplegable para el grupo de informes adecuado. • Para reorganizar los informes, arrastre y coloque los iconos en otra área del informe. 4. Haga clic en ACEPTAR para guardar el informe. 5. Confirme los cambios.
192
Informes y logs
Informes y logs
Gestión de informes
Generación de informes de resumen en PDF (Continuación)
Paso 2
Para descargar y ver el informe de resumen en PDF, consulte Visualización de informes.
Generación de informes de actividad del usuario/grupo Los informes de actividad del usuario/grupo resumen la actividad web de usuarios individuales o grupos de usuarios. Ambos informes incluyen la misma información con un par de excepciones: Resumen de navegación por categoría de URL y Cálculos de tiempo de exploración se incluyen en Informes de actividad del usuario, pero no se incluyen en Informes de actividad del grupo. User-ID debe configurarse en el cortafuegos para acceder a la lista de usuarios/grupos de usuarios; para obtener información detallada sobre cómo habilitar esta función, consulte User-ID.
Informes y logs
193
Gestión de informes
Informes y logs
Generación de informes de actividad del usuario/grupo
1.
Seleccione Supervisar > Informes en PDF > Informe de actividad del usuario.
2.
Haga clic en Añadir y, a continuación, introduzca un Nombre para el informe.
3.
Cree el informe: • Para un informe de actividad del usuario: Seleccione Usuario e introduzca el Nombre de usuario o la Dirección IP (IPv4 o IPv6) del usuario que será el asunto del informe. • Para informe de actividad de grupo: Seleccione Grupo y seleccione el Nombre de grupo para el que recuperar información de grupos de usuarios en el informe.
4.
Seleccione el período de tiempo para el informe en el menú desplegable.
Nota
5.
El número de logs analizados en un informe de actividad del usuario está determinado por el número de filas definido en Máx. de filas en informe de actividad de usuario en la sección Configuración de log e informes en Dispositivo > Configuración > Gestión.
Seleccione Incluir exploración detallada para incluir logs de URL detallados en el informe. La información de navegación detallada puede incluir un gran volumen de logs (miles de logs) para el usuario o grupo de usuarios seleccionado y puede hacer que el informe sea muy extenso.
6.
Para ejecutar el informe a petición, haga clic en Ejecutar ahora.
7.
Para guardar el informe, haga clic en Aceptar. Los informes de actividad del usuario/grupo no se pueden guardar en el cortafuegos; para programar el informe para una entrega por correo electrónico, consulte Programación de informes para entrega de correos electrónicos.
Gestión de grupos de informes Los grupos de informes le permiten crear conjuntos de informes que el sistema puede recopilar y enviar como un informe agregado en PDF único con una página de título opcional y todos los informes constituyentes incluidos.
194
Informes y logs
Informes y logs
Gestión de informes
Configuración de grupos de informes
Paso 1
Configure grupos de informes.
1.
Nota
Debe configurar un Grupo de informes para enviar informes por correo electrónico.
Cree un perfil de servidor para su servidor de correo electrónico.
2.
Defina el Grupo de informes. Un grupo de informes puede compilar informes predefinidos, informes de resumen en PDF, informes personalizados e informes Vista de log en un único PDF. a. Seleccione Supervisar > Grupo de informes. b. Haga clic en Añadir y, a continuación, introduzca un Nombre para el grupo de informes. c. (Opcional) Seleccione Página de título y añada un Título para el PDF creado. d. Seleccione informes de la columna izquierda y haga clic en Añadir para mover cada informe al grupo de informes en la derecha. El informe Vista de log es un tipo de informe que se crea automáticamente cada vez que crea un informe personalizado y utiliza el mismo nombre que el informe personalizado. Este informe mostrará los logs que se han utilizado para crear el contenido del informe personalizado. Para incluir los datos de vista de log, al crear un grupo de informes, añada su informe personalizado a la lista Informes personalizados y, a continuación, añada el informe Vista de log seleccionando el nombre del informe coincidente de la lista Vista de log. El informe incluirá los datos del informe personalizado y los datos de log que se han utilizado para crear el informe personalizado. e. Haga clic en ACEPTAR para guardar la configuración. f. Para utilizar el grupo de informes, consulte Programación de informes para entrega de correos electrónicos.
Programación de informes para entrega de correos electrónicos Los informes se pueden programar para una entrega diaria o semanal en un día especificado. Los informes programados comienzan a ejecutarse a las 2:00 AM y la entrega de correo electrónico comienza después de que se hayan generado todos los informes programados.
Informes y logs
195
Gestión de informes
Informes y logs
Programación de informes para entrega de correos electrónicos
1.
Seleccione Supervisar > Informes en PDF > Programador de correo electrónico.
2.
Seleccione el Grupo de informes para la entrega de correos electrónicos. Para configurar un grupo de informes, consulte Gestión de grupos de informes.
3.
Seleccione la frecuencia con la que generar y enviar el informe en Periodicidad.
4.
Seleccione el perfil del servidor de correo electrónico que debe utilizarse para entregar los informes. Para configurar un perfil de servidor de correo electrónico, consulte Cree un perfil de servidor para su servidor de correo electrónico.
5.
Cancelar correos electrónicos del destinatario le permite enviar este informe exclusivamente a los destinatarios especificados en este campo. Cuando añade destinatarios a Cancelar correos electrónicos del destinatario, el informe no se envía a los destinatarios configurados en el perfil de servidor de correo electrónico. Utilice esta opción para las ocasiones en las que el informe vaya dirigido a una persona distinta de los administradores o destinatarios definidos en el perfil de servidor de correo electrónico.
196
Informes y logs
Informes y logs
Análisis de la descripción de campos en logs
Análisis de la descripción de campos en logs Esta es una lista de los campos estándar de cada uno de los cinco tipos de logs que se reenvían a un servidor externo. Para facilitar el análisis, la coma es el delimitador; cada campo es una cadena de valores separados por comas (CSV). Los campos que actualmente no estén implementados/reservados para un uso futuro se etiquetan como future_use.
Logs de tráfico
Logs de amenaza
Logs de coincidencias HIP
Logs de configuración
Logs de sistema
Logs de tráfico Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE, Tiempo generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen, Usuario de destino, Aplicación, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz de salida, Perfil de reenvío de logs, FUTURE_USE, ID de sesión, Número de repeticiones, Puerto de origen, Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Acción, Bytes, Bytes enviados, Bytes recibidos, Paquetes, Fecha de inicio, Tiempo transcurrido, Categoría, FUTURE_USE, Número de secuencia, Marcas de acción, Ubicación de origen, Ubicación de destino, FUTURE_USE, Paquetes enviados, Paquetes recibidos. Nombre de campo
Descripción
Fecha de registro (receive_time)
Hora a la que se recibió el log en el plano de gestión.
Número de serie (serial)
Número de serie del dispositivo que generó el log.
Tipo (type)
Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y Denegar. • Iniciar: sesión iniciada. • Finalizar: sesión finalizada. • Colocar: sesión colocada antes de identificar la aplicación; no hay ninguna regla que permita la sesión. • Denegar: sesión colocada después de identificar la aplicación; hay una regla para bloquear o no hay ninguna regla que permita la sesión.
Tiempo generado (time_generated)
Hora a la que se generó el log en el plano de datos.
IP de origen (src)
Dirección IP de origen de la sesión original.
IP de destino (dst)
Dirección IP de destino de la sesión original.
NAT IP origen (natsrc)
Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior.
Informes y logs
197
Análisis de la descripción de campos en logs
Informes y logs
Nombre de campo
Descripción
NAT IP destino (natdst)
Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino posterior.
Nombre de regla (rule)
Nombre de la regla con la que ha coincidido la sesión.
Usuario de origen (srcuser)
Nombre del usuario que inició la sesión.
Usuario de destino (dstuser)
Nombre del usuario para el que iba destinada la sesión.
Aplicación (app)
Aplicación asociada a la sesión.
Sistema virtual (vsys)
Sistema virtual asociado a la sesión.
Zona de origen (from)
Zona de origen de la sesión.
Zona de destino (to)
Zona de destino de la sesión.
Interfaz de entrada (inbound_if)
Interfaz de origen de la sesión.
Interfaz de salida (outbound_if)
Interfaz de destino de la sesión.
Perfil de reenvío de logs (logset)
Perfil de reenvío de logs aplicado a la sesión.
ID de sesión (sessionid)
Identificador numérico interno aplicado a cada sesión.
Número de repeticiones (repeatcnt)
Número de sesiones con el mismo IP de origen, IP de destino, Aplicación y Subtipo observados en 5 segundos. Utilizado únicamente para ICMP.
Puerto de origen (sport)
Puerto de origen utilizado por la sesión.
Puerto de destino (dport)
Puerto de destino utilizado por la sesión.
NAT puerto origen (natsport)
NAT de puerto de origen posterior.
NAT puerto destino (natdport)
NAT de puerto de destino posterior.
198
Informes y logs
Informes y logs
Análisis de la descripción de campos en logs
Nombre de campo
Descripción
Marcas (flags)
Campo de 32 bits que proporciona información detallada sobre la sesión; este campo puede descodificarse añadiendo los valores con Y y con el valor registrado: • 0x80000000: la sesión tiene una captura de paquetes (PCAP) • 0x02000000: sesión IPv6. • 0x01000000: la sesión SSL se ha descifrado (proxy SSL). • 0x00800000: la sesión se ha denegado a través del filtrado de URL. • 0x00400000: la sesión ha realizado una traducción NAT (NAT). • 0x00200000: la información de usuario de la sesión se ha capturado mediante el portal cautivo (Portal cautivo). • 0x00080000: el valor X-Forwarded-For de un proxy está en el campo Usuario de origen. • 0x00040000: el log corresponde a una transacción en una sesión de proxy HTTP (Transacción proxy). • 0x00008000: la sesión es un acceso a la página de contenedor (Página de contenedor). • 0x00002000: la sesión tiene una coincidencia temporal en una regla para la gestión de las dependencias de las aplicaciones implícitas. Disponible en PAN-OS 5.0.0 y posterior. • 0x00000800: se utilizó el retorno simétrico para reenviar tráfico para esta sesión.
Protocolo (proto)
Protocolo IP asociado a la sesión.
Acción (action)
Acción realizada para la sesión; los valores son Permitir o Denegar: • Permitir: la política permitió la sesión. • Denegar: la política denegó la sesión.
Bytes (bytes)
Número total de bytes (transmitidos y recibidos) de la sesión.
Bytes enviados (bytes_sent)
Número de bytes en la dirección cliente a servidor de la sesión. Disponible en todos los modelos excepto la serie PA-4000.
Bytes recibidos (bytes_received)
Número de bytes en la dirección servidor a cliente de la sesión. Disponible en todos los modelos excepto la serie PA-4000.
Paquetes (packets)
Número total de paquetes (transmitidos y recibidos) de la sesión.
Fecha de inicio (start)
Hora de inicio de sesión.
Tiempo transcurrido (elapsed)
Tiempo transcurrido en la sesión.
Categoría (category)
Categoría de URL asociada a la sesión (si es aplicable).
Número de secuencia (seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de log tiene un espacio de número exclusivo.
Marcas de acción (actionflags)
Campo de bits que indica si el log se ha reenviado a Panorama.
Informes y logs
199
Análisis de la descripción de campos en logs
Informes y logs
Nombre de campo
Descripción
Ubicación de origen (srcloc)
País de origen o región interna para direcciones privadas; la longitud máxima es de 32 bytes.
Ubicación de destino (dstloc)
País de destino o región interna para direcciones privadas. La longitud máxima es de 32 bytes.
Paquetes enviados (pkts_sent)
Número de paquetes de cliente a servidor de la sesión. Disponible en todos los modelos excepto la serie PA-4000.
Paquetes recibidos (pkts_received)
Número de paquetes de servidor a cliente de la sesión. Disponible en todos los modelos excepto la serie PA-4000.
Logs de amenaza Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE, Tiempo generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen, Usuario de destino, Aplicación, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz de salida, Perfil de reenvío de logs, FUTURE_USE, ID de sesión, Número de repeticiones, Puerto de origen, Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Acción, Varios, ID de amenaza, Categoría, Gravedad, Dirección, Número de secuencia, Marcas de acción, Ubicación de origen, Ubicación de destino, FUTURE_USE, Tipo de contenido, ID de captura de paquetes*, Resumen de archivo*, Nube*
Nombre de campo
Descripción
Fecha de registro (receive_time) Hora a la que se recibió el log en el plano de gestión. Número de serie (serial)
Número de serie del dispositivo que generó el log.
Tipo (type)
Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de amenaza; los valores son URL, Virus, Spyware, Vulnerabilidades, Archivo, Analizar, Inundación, Datos y WildFire: • URL: log de filtrado de datos • Virus: detección de virus • Spyware: detección de spyware • Vulnerabilidades: detección de exploits de vulnerabilidades • Archivo: log de tipo de archivo • Analizar: exploración detectada mediante un perfil de protección de zona • Inundación: inundación detectada mediante un perfil de protección de zona • Datos: patrón de datos detectado desde un perfil de protección de zona • WildFire: log de WildFire
200
Informes y logs
Informes y logs
Análisis de la descripción de campos en logs
Nombre de campo
Descripción
Tiempo generado (time_generated)
Hora a la que se generó el log en el plano de datos.
IP de origen (src)
Dirección IP de origen de la sesión original.
IP de destino (dst)
Dirección IP de destino de la sesión original.
NAT IP origen (natsrc)
Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior.
NAT IP destino (natdst)
Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino posterior.
Nombre de regla (rule)
Nombre de la regla con la que ha coincidido la sesión.
Usuario de origen (srcuser)
Nombre del usuario que inició la sesión.
Usuario de destino (dstuser)
Nombre del usuario para el que iba destinada la sesión.
Aplicación (app)
Aplicación asociada a la sesión.
Sistema virtual (vsys)
Sistema virtual asociado a la sesión.
Zona de origen (from)
Zona de origen de la sesión.
Zona de destino (to)
Zona de destino de la sesión.
Interfaz de entrada
Interfaz de origen de la sesión.
(inbound_if) Interfaz de salida
Interfaz de destino de la sesión.
(outbound_if) Perfil de reenvío de logs
Perfil de reenvío de logs aplicado a la sesión.
(logset) ID de sesión (sessionid)
Identificador numérico interno aplicado a cada sesión.
Número de repeticiones (repeatcnt)
Número de sesiones con el mismo IP de origen, IP de destino, Aplicación y Subtipo observados en 5 segundos. Utilizado únicamente para ICMP.
Puerto de origen (sport)
Puerto de origen utilizado por la sesión.
Puerto de destino (dport)
Puerto de destino utilizado por la sesión.
NAT puerto origen (natsport)
NAT de puerto de origen posterior.
NAT puerto destino (natdport)
NAT de puerto de destino posterior.
Informes y logs
201
Análisis de la descripción de campos en logs
Informes y logs
Nombre de campo
Descripción
Marcas (flags)
Campo de 32 bits que proporciona información detallada sobre la sesión; este campo puede descodificarse añadiendo los valores con Y y con el valor registrado: • 0x80000000: la sesión tiene una captura de paquetes (PCAP) • 0x02000000: sesión IPv6. • 0x01000000: la sesión SSL se ha descifrado (proxy SSL). • 0x00800000: la sesión se ha denegado a través del filtrado de URL. • 0x00400000: la sesión ha realizado una traducción NAT (NAT). • 0x00200000: la información de usuario de la sesión se ha capturado mediante el portal cautivo (Portal cautivo). • 0x00080000: el valor X-Forwarded-For de un proxy está en el campo Usuario de origen. • 0x00040000: el log corresponde a una transacción en una sesión de proxy HTTP (Transacción proxy). • 0x00008000: la sesión es un acceso a la página de contenedor (Página de contenedor). • 0x00002000: la sesión tiene una coincidencia temporal en una regla para la gestión de las dependencias de las aplicaciones implícitas. Disponible en PAN-OS 5.0.0 y posterior. • 0x00000800: se utilizó el retorno simétrico para reenviar tráfico para esta sesión.
Protocolo (proto)
Protocolo IP asociado a la sesión.
Acción (action)
Acción realizada para la sesión; los valores son Alerta, Permitir, Denegar, Colocar, Colocar todos los paquetes, Restablecer cliente, Restablecer servidor, Restablecer ambos y Bloquear URL. • Alerta: amenaza o URL detectada pero no bloqueada. • Permitir: alerta de detección de inundación. • Denegar: mecanismo de detección de inundación activado y denegación de tráfico basándose en la configuración. • Colocar: amenaza detectada y se descartó la sesión asociada. • Colocar todos los paquetes: amenaza detectada y la sesión permanece, pero se colocan todos los paquetes. • Restablecer cliente: amenaza detectada y se envía un TCP RST al cliente. • Restablecer servidor: amenaza detectada y se envía un TCP RST al servidor. • Restablecer ambos: amenaza detectada y se envía un TCP RST tanto al cliente como al servidor. • Bloquear URL: la solicitud de URL se bloqueó porque coincidía con una categoría de URL que se había establecido como bloqueada.
202
Informes y logs
Informes y logs
Análisis de la descripción de campos en logs
Nombre de campo
Descripción
Varios (misc)
Campo de longitud variable con un máximo de 1.023 caracteres. El URI real cuando el subtipo es URL. Nombre de archivo o tipo de archivo cuando el subtipo es Archivo. Nombre de archivo cuando el subtipo es Virus. Nombre de archivo cuando el subtipo es WildFire.
ID de amenaza (threatid)
Identificador de Palo Alto Networks para la amenaza. Es una cadena de descripción seguida de un identificador numérico de 64 bits entre paréntesis para algunos subtipos: • 8000 - 8099: detección de exploración • 8500 - 8599: detección de inundación • 9999: log de filtrado de URL • 10000 - 19999: detección de llamada a casa de spyware • 20000 - 29999: detección de descarga de spyware • 30000 - 44999: detección de exploits de vulnerabilidades • 52000 - 52999: detección de tipo de archivo • 60000 - 69999: detección de filtrado de datos • 100000 - 2999999: detección de virus • 3000000 - 3999999: distribución de firmas de WildFire • 4000000 - 4999999: firmas de Botnet basadas en DNS
Categoría (category)
Para el subtipo URL, es la categoría de URL; para el subtipo WildFire, es el veredicto del archivo y es “Malo” o “Bueno”; para otros subtipos, el valor es “Cualquiera”.
Gravedad (severity)
Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio, Alto y Crítico.
Dirección (direction)
Indica la dirección del ataque: cliente a servidor o servidor a cliente. • 0: la dirección de la amenaza es cliente a servidor. • 1: la dirección de la amenaza es servidor a cliente.
Número de secuencia (seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de log tiene un espacio de número exclusivo.
Marcas de acción (actionflags)
Campo de bits que indica si el log se ha reenviado a Panorama.
Ubicación de origen (srcloc)
País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes.
Ubicación de destino (dstloc)
País de destino o región interna para direcciones privadas. La longitud máxima es de 32 bytes.
Tipo de contenido (contenttype) Únicamente es aplicable cuando el subtipo es URL. Tipo de contenido de los datos de respuesta HTTP. La longitud máxima es de 32 bytes.
Informes y logs
203
Análisis de la descripción de campos en logs
Nombre de campo
Informes y logs
Descripción
Novedad en v6.0: ID de captura ID de captura de paquetes es un elemento integral no firmado de 64 bits que indica un de paquetes (pcap_id) ID para correlacionar archivos de captura de paquetes de amenaza con capturas de paquetes ampliadas tomadas como parte de dicho flujo. Todos los logs de amenaza contendrán un pcap_id cuyo valor es 0 (ninguna captura de paquetes asociada) o un ID que haga referencia al archivo de captura de paquetes ampliado. Novedad en v6.0: Resumen de
Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
archivo (filedigest)
La cadena filedigest muestra el hash binario del archivo enviado para ser analizado por el servicio WildFire.
Novedad en v6.0: Nube (cloud) Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
La cadena cloud muestra el FQDN del dispositivo WildFire (privado) o la nube de WildFire (pública) desde donde se cargó el archivo para su análisis.
Logs de coincidencias HIP Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE, FUTURE_USE, Usuario de origen, Sistema virtual, Nombre de la máquina, SO*, Dirección de origen, HIP, Número de repeticiones, Tipo HIP, FUTURE_USE, FUTURE_USE, Número de secuencia, Marcas de acción
Nombre de campo
Descripción
Fecha de registro (receive_time)
Hora a la que se recibió el log en el plano de gestión.
Número de serie (serial)
Número de serie del dispositivo que generó el log.
Tipo (type)
Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de coincidencias HIP; no utilizado.
Usuario de origen (srcuser) Nombre del usuario que inició la sesión. Sistema virtual (vsys)
Sistema virtual asociado al log de coincidencias HIP.
Nombre de la máquina (machinename)
Nombre de la máquina del usuario.
Novedad en v6.0: SO
Sistema operativo instalado en la máquina o el dispositivo del usuario (o en el sistema cliente).
Dirección de origen (src)
Dirección IP del usuario de origen.
HIP (matchname)
Nombre del perfil u objeto HIP.
Número de repeticiones (repeatcnt)
Número de veces que ha coincidido el perfil HIP.
Tipo HIP (matchtype)
Especifica si el campo HIP representa un objeto HIP o un perfil HIP.
204
Informes y logs
Informes y logs
Análisis de la descripción de campos en logs
Nombre de campo
Descripción
Número de secuencia (seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de log tiene un espacio de número exclusivo.
Marcas de acción (actionflags)
Campo de bits que indica si el log se ha reenviado a Panorama.
Logs de configuración Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE, FUTURE_USE, Host, Sistema virtual, Comando, Administrador, Cliente, Resultado, Ruta de configuración, Número de secuencia, Marcas de acción
Nombre de campo
Descripción
Fecha de registro (receive_time)
Hora a la que se recibió el log en el plano de gestión.
Número de serie (serial)
Número de serie del dispositivo que generó el log.
Tipo (type)
Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de configuración; no utilizado.
Host (host)
Nombre de host o dirección IP de la máquina cliente.
Sistema virtual (vsys)
Sistema virtual asociado al log de configuración.
Comando (cmd)
Comando ejecutado por el administrador; los valores son Añadir, Duplicar, Compilar, Eliminar, Editar, Mover, Renombrar, Establecer y Validar.
Administrador (admin)
Nombre de usuario del administrador que realiza la configuración.
Cliente (client)
Cliente utilizado por el administrador; los valores son Web y CLI.
Resultado (result)
Resultado de la acción de configuración; los valores son Enviada, Correctamente, Fallo y No autorizado.
Ruta de configuración (path)
Ruta del comando de configuración emitido; puede tener una longitud de hasta 512 bytes.
Número de secuencia (seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de log tiene un espacio de número exclusivo.
Marcas de acción (actionflags)
Campo de bits que indica si el log se ha reenviado a Panorama.
Informes y logs
205
Análisis de la descripción de campos en logs
Informes y logs
Logs de sistema Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE, FUTURE_USE, Sistema virtual, ID de evento, Objeto, FUTURE_USE, FUTURE_USE, Módulo, Gravedad, Descripción, Número de secuencia, Marcas de acción
Nombre de campo
Descripción
Fecha de registro (receive_time)
Hora a la que se recibió el log en el plano de gestión.
Número de serie (serial)
Número de serie del dispositivo que generó el log.
Tipo (type)
Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de sistema; hace referencia al demonio de sistema que genera el log; los valores son Criptográfico, DHCP, Proxy DNS, Denegación de servicio, General, GlobalProtect, HA, Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS, Enrutamiento, satd, Gestor SSL, VPN SSL, User-ID, Filtrado de URL y VPN.
Sistema virtual (vsys)
Sistema virtual asociado al log de configuración.
ID de evento (eventid)
Cadena que muestra el nombre del evento.
Objeto (object)
Nombre del objeto asociado al evento del sistema.
Módulo (module)
Este campo únicamente es válido cuando el valor del campo Subtipo es General. Proporciona información adicional acerca del subsistema que genera el log; los valores son General, Gestión, Autenticación, HA, Actualizar y Bastidor.
Gravedad (severity)
Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y Crítico.
Descripción (opaque)
Descripción detallada del evento, hasta un máximo de 512 bytes.
Número de secuencia (seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de log tiene un espacio de número exclusivo.
Marcas de acción (actionflags)
Campo de bits que indica si el log se ha reenviado a Panorama.
Gravedad de Syslog La gravedad de Syslog se establece basándose en el tipo de log y el contenido. Tipo/gravedad de log
Gravedad de Syslog
Tráfico
Información
Configurar
Información
Amenaza/Sistema: Informativo
Información
206
Informes y logs
Informes y logs
Análisis de la descripción de campos en logs
Tipo/gravedad de log
Gravedad de Syslog
Amenaza/Sistema: Bajo
Aviso
Amenaza/Sistema: Medio
Advertencia
Amenaza/Sistema: Alto
Error
Amenaza/Sistema: Crítico
Crítico
Formato de logs/eventos personalizados Para facilitar la integración con sistemas de análisis de logs externos, el cortafuegos le permite personalizar el formato de logs; también le permite añadir pares de atributos personalizados Clave: Valor. El formato de los mensajes personalizados puede configurarse bajo Dispositivo > Perfiles de servidor > Syslog > Perfil de servidor Syslog > Formato de log personalizado. Para lograr un formato de log que cumpla con el formato de eventos comunes (CEF) de ArcSight, consulte CEF Configuration Guide (en inglés).
Secuencias de escape Cualquier campo que contenga una coma o comillas dobles aparecerá entre comillas dobles. Además, si aparecen comillas dobles dentro de un campo, se definirán como carácter de escape anteponiéndoles otras comillas dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de amenaza siempre aparecerá entre comillas dobles.
Informes y logs
207
Análisis de la descripción de campos en logs
208
Informes y logs
Informes y logs
User-ID La identificación de usuarios (User-ID) es una función de cortafuegos de próxima generación de Palo Alto Networks que le permite crear políticas y realizar informes basándose en usuarios y grupos en lugar de direcciones IP individuales. Las siguientes secciones describen la función User-ID de Palo Alto Networks y ofrecen instrucciones sobre cómo configurar el acceso basado en usuarios y grupos:
Descripción general de User-ID
Asignación de usuarios a grupos
Asignación de direcciones IP a usuarios
Habilitación de política basada en usuarios y grupos
Verificación de la configuración de User-ID
User-ID
209
Descripción general de User-ID
User-ID
Descripción general de User-ID User-ID integra sin problemas los cortafuegos de Palo Alto Networks con una gama de ofertas de servicios de directorio y terminal empresariales, lo que le permite vincular políticas de seguridad y actividad de aplicaciones a usuarios y grupos y no solo direcciones IP. Además, con User-ID habilitado, el centro de comando de aplicación (ACC), Appscope, los informes y los logs incluyen nombres de usuarios además de direcciones IP de usuarios. El cortafuegos de próxima generación de Palo Alto Networks admite la supervisión de los siguientes servicios empresariales:
Microsoft Active Directory
LDAP
eDirectory Novell
Citrix Metaframe Presentation Server o XenApp
Microsoft Terminal Services
Para poder crear políticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos los usuarios disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus políticas. Obtiene esta información de asignación de grupos conectándose directamente a su servidor de directorio LDAP. Consulte Acerca de la asignación de grupos para obtener más información. Para poder aplicar las políticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para obtener estas asignaciones de direcciones IP a nombres de usuarios. Por ejemplo, utiliza agentes para supervisar logs de servidor en busca de eventos de inicio de sesión y/o sondear clientes, así como escuchar mensajes de Syslog de servicios de autenticación. Para identificar asignaciones de direcciones IP que no se asignaron mediante uno de los mecanismos de agente, puede configurar el cortafuegos para que redirija las solicitudes HTTP a un inicio de sesión de portal cautivo. Puede personalizar los mecanismos que utiliza para la asignación de usuarios para que se adapten a su entorno, e incluso puede utilizar diferentes mecanismos en sitios distintos. Consulte Acerca de la asignación de usuarios para obtener más información.
Acerca de la asignación de grupos Para definir las políticas de seguridad basándose en usuarios o grupos, el cortafuegos debe recuperar la lista de grupos y la correspondiente lista de miembros de su servidor de directorio. Para habilitar esta función, debe crear un perfil de servidor LDAP que indique al cortafuegos cómo conectarse al servidor y autenticarlo, así como el modo de buscar en el directorio la información de usuarios y grupos. Tras conectarse al servidor LDAP y configurar la función de asignación de grupos para la identificación de usuarios, podrá seleccionar usuarios o grupos al definir sus políticas de seguridad. El cortafuegos admite una variedad de servidores de directorio LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server.
210
User-ID
User-ID
Descripción general de User-ID
A continuación podrá definir políticas basándose en los miembros de grupos en lugar de en usuarios individuales para una administración simplificada. Por ejemplo, la siguiente política de seguridad permite el acceso a aplicaciones internas específicas basándose en los miembros de grupos:
Acerca de la asignación de usuarios Contar con los nombres de los usuarios y grupos es únicamente una pieza del puzzle. El cortafuegos también necesita saber qué direcciones IP asignar a qué usuarios de modo que las políticas de seguridad puedan aplicarse correctamente. La Ilustración: Asignación de usuario muestra los diferentes métodos que se utilizan para identificar usuarios y grupos en su red y presenta el modo en que la asignación de usuarios y la asignación de grupos trabajan en conjunto para habilitar la visibilidad y la aplicación de la seguridad basada en usuarios y grupos. Para obtener información detallada sobre cómo configurar los diferentes mecanismos para la asignación de usuarios, consulte Asignación de direcciones IP a usuarios.
User-ID
211
Descripción general de User-ID
User-ID
Ilustración: Asignación de usuario Joe
Sondeo de clientes eDirectory
Portal cautivo
GlobalProtect
Controlador de dominios
Agente de servicios Aerohive AP de terminal Blue Coat
AUTENTICACIÓN DE USUARIOS
Juniper UAC RECEPTOR DE SYSLOG
EVENTO DE AUTENTICACIÓN
Directorios
Servicios Servicios de de terminal autenticación
Dispositivos de Joe 11.11.11.11 12.12.12.12
API XML
Directorios
Funciones/grupos de Joe Active Directory LDAP
Administradores de TI Empleados de la sede
INFORMAR Y APLICAR POLÍTICA
Los temas siguientes describen los diferentes métodos de asignación de usuarios:
Supervisión de servidor
Sondeo de cliente
Asignación de puertos
Syslog
Portal cautivo
GlobalProtect
API XML de User-ID
Supervisión de servidor Con la supervisión de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute en un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el cortafuegos) supervisa los logs de eventos de seguridad en busca de Microsoft Exchange Servers especificados, controladores de dominio o servidores Novell eDirectory en busca de eventos de inicio de sesión. Por ejemplo, en un entorno AD, puede configurar el agente de User-ID para que supervise los logs de seguridad en busca de renovaciones o concesiones de tickets de Kerberos, acceso al servidor Exchange (si está configurado) y conexiones de servicio de impresión y archivo. Recuerde que para que estos eventos se registren en el log de seguridad, el dominio AD
212
User-ID
User-ID
Descripción general de User-ID
debe configurarse para registrar eventos de inicio de sesión de cuenta correctos. Además, dado que los usuarios pueden iniciar sesión en cualquiera de los servidores del dominio, debe configurar la supervisión de servidor para todos los servidores con el fin de capturar todos los eventos de inicio de sesión de usuarios. Dado que la supervisión de servidor requiere muy pocos gastos y dado que la mayoría de los usuarios por lo general puede asignarse con este método, se recomienda como el método de asignación de usuarios básico para la mayoría de implementaciones de User-ID. Consulte Configuración de la asignación de usuarios mediante el agente de User-ID de Windows o Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS para obtener información detallada.
Sondeo de cliente En un entorno de Microsoft Windows, puede configurar el agente de User-ID para sondear los sistemas cliente mediante Windows Management Instrumentation (WMI). El agente de User-ID basado en Windows también puede realizar un sondeo de NetBIOS (no compatible con el agente de User-ID integrado en PAN-OS). El sondeo es de especial utilidad en entornos con una alta rotación de direcciones IP, debido a que los cambios se reflejarán en el cortafuegos más rápido, permitiendo una aplicación más precisa de las políticas basadas en usuarios. Sin embargo, si la correlación entre direcciones IP y usuarios es bastante estática, probablemente no necesite habilitar el sondeo de cliente. Ya que el sondeo puede generar una gran cantidad de tráfico de red (basándose en el número total de direcciones IP asignadas), el agente que vaya a iniciar los sondeos debería estar situado lo más cerca posible de los clientes finales. Si el sondeo está habilitado, el agente sondeará periódicamente cada dirección IP obtenida (cada 20 minutos de manera predeterminada, pero esto puede configurarse) para verificar que el mismo usuario sigue conectado. Además, cuando el cortafuegos se encuentre una dirección IP para la que no tenga una asignación de usuarios, enviará la dirección al agente para un sondeo inmediato. Consulte Configuración de la asignación de usuarios mediante el agente de User-ID de Windows o Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS para obtener información detallada.
Asignación de puertos En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos usuarios comparten la misma dirección IP. En este caso, el proceso de asignación de usuario a dirección IP requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignación, debe instalar el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal Windows/Citrix para que sirva de intermediario en la asignación de puertos de origen a los diversos procesos de usuario. Para los servidores de terminal que no admiten el agente de servicios de terminal, como los servidores de terminal de Linux, puede utilizar la API XML para enviar información de asignación de usuarios de eventos de inicio de sesión y cierre de sesión a User-ID. Consulte Configuración de la asignación de usuarios para usuarios del servidor de terminal para obtener información detallada sobre la configuración.
User-ID
213
Descripción general de User-ID
User-ID
Syslog En entornos con servicios de red existentes que autentiquen usuarios, tales como controladores inalámbricos, dispositivos 802.1x, servidores Open Directory de Apple, servidores proxy u otros mecanismos de control de acceso a la red (NAC), el agente de User-ID del cortafuegos (bien el agente de Windows, bien el agente integrado en PAN-OS en el cortafuegos) puede escuchar mensajes de Syslog de autenticación de esos servicios. Los filtros de Syslog, que se proporcionan mediante una actualización de contenido (solamente para agentes de User-ID integrados) o se configuran manualmente, permiten que el agente de User-ID analice y extraiga nombres de usuarios y direcciones IP de eventos de Syslog de autenticación generados por el servicio externo, así como que añada la información a las asignaciones de direcciones IP a nombres de usuarios de User-ID mantenidas por el cortafuegos. Consulte Configuración de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog para obtener información detallada sobre la configuración. Ilustración: Integración de User-ID con Syslog
214
User-ID
User-ID
Descripción general de User-ID
Portal cautivo Si el cortafuegos o el agente de User-ID no puede asignar una dirección IP a un usuario (por ejemplo, si el usuario no ha iniciado sesión o si está utilizando un sistema operativo como Linux que no es compatible con sus servidores de dominio), podrá configurar un portal cautivo. Cuando esté configurado, cualquier tráfico web (HTTP o HTTPS) que coincida con su política de portal cautivo requerirá la autenticación de usuario, ya sea de manera transparente a través de un desafío NT LAN Manager (NTLM) para el explorador, o de manera activa redirigiendo al usuario a un formulario de autenticación web para una autenticación con una base de datos de autenticación RADIUS, LDAP, Kerberos o local o utilizando una autenticación de certificado de cliente. Consulte Asignación de direcciones IP a nombres de usuario mediante un portal cautivo para obtener información detallada.
GlobalProtect En el caso de usuarios móviles o con itinerancia, el cliente GlobalProtect proporciona la información de asignación de usuarios directamente al cortafuegos. En este caso, cada usuario de GlobalProtect tiene un agente o una aplicación ejecutándose en el cliente que requiere que el usuario introduzca credenciales de inicio de sesión para un acceso mediante VPN al cortafuegos. A continuación, esta información de inicio de sesión se añade a la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicación de políticas de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse para poder acceder a la red, la asignación de direcciones IP a nombres de usuarios se conoce de manera explícita. Esta es la mejor solución en entornos confidenciales en los que deba estar seguro de quién es un usuario para permitirle el acceso a una aplicación o un servicio. Para obtener más información sobre cómo configurar GlobalProtect, consulte la Guía del administrador de GlobalProtect.
API XML de User-ID Para otros tipos de acceso de usuario que no se puedan asignar utilizando ninguno de los métodos de asignación de usuarios estándar o el portal cautivo (por ejemplo, para añadir asignaciones de usuarios que se conecten desde una solución de VPN externa o usuarios que se conecten a una red inalámbrica con 802.1x), puede utilizar la API XML de User-ID para capturar eventos de inicio de sesión y enviarlos al agente de User-ID o directamente al cortafuegos. Consulte Envío de asignaciones de usuarios a User-ID mediante la API XML para obtener información detallada.
User-ID
215
Asignación de usuarios a grupos
User-ID
Asignación de usuarios a grupos Utilice el siguiente procedimiento para conectarse a su directorio LDAP y así permitir que el cortafuegos recupere información de asignación de usuario a grupo: Prácticas recomendadas para la asignación de grupos en un entorno de Active Directory: • • •
Si tiene un único dominio, solamente necesita un perfil de servidor LDAP que conecte el cortafuegos con el controlador de dominio utilizando la mejor conectividad. Puede añadir controladores de dominio adicionales para la tolerancia a errores. Si tiene varios dominios y/o varios bosques, deberá crear un perfil de servidor para conectarse a un servidor de dominio en cada dominio/bosque. Tome las medidas oportunas para garantizar que los nombres se usuarios son exclusivos en los distintos bosques. Si tiene grupos universales, cree un perfil de servidor para conectarse con el servidor de catálogo global.
Asignación de usuarios a grupos
Paso 1
216
Cree un perfil de servidor LDAP que especifique cómo conectarse a los servidores de directorio que desee que utilice el cortafuegos para obtener información de asignación de grupos. 1. Seleccione Dispositivo > Perfiles de servidor > LDAP. 2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil. 3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el menú desplegable Ubicación. 4. Haga clic en Añadir para añadir una nueva entrada de servidor LDAP y, a continuación, introduzca un nombre de Servidor para identificar al servidor (de 1 a 31 caracteres) y el número de Dirección IP y Puerto que debería utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para LDAP sobre SSL). Puede añadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que añada a un perfil deberán ser del mismo tipo. Para la redundancia, debería añadir como mínimo dos servidores. 5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que introduzca aquí dependerá de su implementación: • Si está utilizando Active Directory, deberá introducir el nombre de dominio NetBIOS; NO el FQDN (por ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios, deberá crear perfiles de servidor separados. • Si está utilizando un servidor de catálogo global, deje este campo en blanco. 6. Seleccione el Tipo de servidor LDAP al que se esté conectando. Los atributos de LDAP correctos de la configuración de asignación de grupos se cumplimentarán automáticamente según su selección. Sin embargo, si ha personalizado su esquema, puede que tenga que modificar los ajustes predeterminados. 7. En el campo Base, seleccione el DN que se corresponda con el punto del árbol de LDAP donde desee que el cortafuegos comience su búsqueda de información de usuarios y grupos. 8. Introduzca las credenciales de autenticación para el enlace con el árbol de LDAP en los campos Enlazar DN, Enlazar contraseña y Confirmar contraseña de enlace. El valor de Enlazar DN puede tener el formato Nombre principal del usuario (UPN) (por ejemplo, [email protected] ) o puede ser un nombre de LDAP completo (por ejemplo, cn=administrator,cn=users,dc=acme,dc=local ). 9. Si desea que el cortafuegos se comunique con los servidores LDAP a través de una conexión segura, seleccione la casilla de verificación SSL. Si habilita SSL, asegúrese de que también ha especificado el número de puerto adecuado. 10. Haga clic en Aceptar para guardar el perfil.
User-ID
User-ID
Asignación de usuarios a grupos
Asignación de usuarios a grupos (Continuación)
Paso 2
Añada el perfil de servidor LDAP a la configuración de asignación de grupos de User-ID. 1. Seleccione Dispositivo > Identificación de usuarios > Configuración de asignación de grupo y haga clic en Añadir.
2. Seleccione el Perfil de servidor que creó en el Paso 1. 3. Asegúrese de que la casilla de verificación Habilitado está seleccionada. 4. (Opcional) Si desea limitar los grupos que se muestran en la política de seguridad, seleccione la pestaña Lista de inclusión de grupos y, a continuación, examine el árbol de LDAP para localizar los grupos que desea poder utilizar en la política. En el caso de cada grupo que desee incluir, selecciónelo en la lista Grupos disponibles y haga clic en el icono de adición para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar en sus políticas. 5. Haga clic en ACEPTAR para guardar la configuración. Paso 3
User-ID
Guarde la configuración.
Haga clic en Confirmar.
217
Asignación de direcciones IP a usuarios
User-ID
Asignación de direcciones IP a usuarios Las tareas que necesita realizar para asignar direcciones IP a nombres de usuarios dependen del tipo y la ubicación de los sistemas cliente de su red. Realice todas las tareas siguientes que sean necesarias para habilitar la asignación de sus sistemas cliente:
Para asignar usuarios a medida que inicien sesión en sus servidores Exchange, controladores de dominio o servidores eDirectory o clientes de Windows que puedan sondearse directamente, debe configurar un agente de User-ID para supervisar los logs de servidor y/o sondear sistemas cliente. Puede instalar el agente de User-ID de Windows independiente en uno o más servidores miembros en el dominio que contenga los servidores y clientes que vayan a supervisarse (consulte Configuración de la asignación de usuarios mediante el agente de User-ID de Windows) o puede configurar el agente de User-ID del cortafuegos que esté integrado con PAN-OS (Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS). Para obtener orientación sobre qué configuración de agente es adecuada para su red y el número y las ubicaciones de agentes que son obligatorios, consulte Architecting User Identification Deployments (en inglés).
Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server, Citrix Metaframe Presentation Server o XenApp, consulte Configuración del agente de servidor de terminal de Palo Alto Networks para la asignación de usuarios para obtener instrucciones sobre cómo instalar y configurar el agente en un servidor de Windows. Si tiene un sistema multiusuario que no se esté ejecutando en Windows, puede utilizar la API XML de User-ID para enviar las asignaciones de direcciones IP a nombres de usuarios directamente al cortafuegos. Consulte Recuperación de asignaciones de usuarios de un servidor de terminal mediante la API XML de User-ID.
Para obtener asignaciones de usuarios a partir de servicios de red existentes que autentiquen usuarios, tales como controladores inalámbricos, dispositivos 802.1x, servidores Open Directory de Apple, servidores proxy u otros mecanismos de control de acceso a la red (NAC), configure el agente de User-ID (bien el agente de Windows, bien la función de asignación de usuarios sin agente en el cortafuegos) para que escuche mensajes de Syslog de autenticación de esos servicios. Consulte Configuración de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog.
Si tiene usuarios con sistemas cliente que no hayan iniciado sesión en sus servidores de dominio (por ejemplo, usuarios que ejecuten clientes Linux que no inicien sesión en el dominio), consulte Asignación de direcciones IP a nombres de usuario mediante un portal cautivo.
En el caso de otros clientes que no pueda asignar utilizando los métodos anteriores, puede utilizar la API XML de User-ID para añadir asignaciones de usuarios directamente al cortafuegos. Consulte Envío de asignaciones de usuarios a User-ID mediante la API XML.
Como la política es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las asignaciones de direcciones IP a nombres de usuarios para aplicar de forma precisa la política de seguridad según el grupo o usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las asignaciones de usuarios y las distribuya a los otros cortafuegos. Para obtener más información, consulte Configuración de un cortafuegos para compartir datos de asignación de usuarios con otros cortafuegos.
218
User-ID
User-ID
Asignación de direcciones IP a usuarios
Configuración de la asignación de usuarios mediante el agente de User-ID de Windows En la mayoría de los casos, la gran parte de los usuarios de su red tendrán inicios de sesión en sus servicios de dominio supervisados. Para estos usuarios, el agente de User-ID de Palo Alto Networks supervisa los servidores en busca de eventos de inicio de sesión y cierre de sesión y realiza la asignación de direcciones IP a usuarios. El modo en que configure el agente de User-ID dependerá del tamaño de su entorno y la ubicación de sus servidores de dominio. La práctica recomendada es que ubique sus agentes de User-ID cerca de sus servidores supervisados (es decir, los servidores supervisados y el agente de User-ID de Windows no deberían estar separados por un enlace WAN). Esto se debe a que la mayor parte del tráfico para la asignación de usuarios se produce entre el agente y el servidor supervisado, y únicamente una pequeña cantidad del tráfico (la diferencia de asignaciones de direcciones IP desde la última actualización) se produce desde el agente al cortafuegos. Los siguientes temas describen cómo instalar y configurar el agente de User-ID y cómo configurar el cortafuegos para que recupere información de asignación de usuarios del agente:
Instalación del agente de User-ID
Configuración del agente de User-ID para la asignación de usuarios
Instalación del agente de User-ID El siguiente procedimiento muestra cómo instalar el agente de User-ID en un servidor miembro en el dominio y configurar la cuenta de servicio con los permisos obligatorios. Si está actualizando, el instalador eliminará automáticamente la versión anterior; no obstante, es conveniente hacer una copia de seguridad del archivo config.xml antes de ejecutar el instalador. Para obtener información sobre los requisitos del sistema para instalar el agente de User-ID basado en Windows y para obtener información sobre las versiones admitidas del sistema operativo del servidor, consulte “Operating System (OS) Compatibility User-ID Agent” (en inglés) en las notas de versión de agente de User-ID, que están disponibles en la página Actualizaciones de software de Palo Alto Networks.
User-ID
219
Asignación de direcciones IP a usuarios
User-ID
Instalación del agente de User-ID de Windows
Paso 1
Nota
Decida dónde instalar los agentes de User-ID.
• Debe instalar el agente de User-ID en un sistema que ejecute una de las siguientes versiones del sistema operativo (se admiten las versiones de 32 bits y de 64 bits):
El agente de User-ID consulta los logs del • Microsoft Windows XP/Vista/7 controlador de dominio y el servidor Exchange mediante llamadas a • Microsoft Windows Server 2003/2008 procedimiento remoto de Microsoft • Asegúrese de que el sistema en el que tiene la intención de instalar (MSRPC), que requieren una el agente de User-ID sea miembro del dominio al que pertenecen transferencia completa de todo el log en los servidores que supervisará. cada consulta. Por lo tanto, siempre debería instalar uno o más agentes de • La práctica recomendada es instalar el agente de User-ID cerca de User-ID en cada ubicación que tenga los servidores que supervisará (hay más tráfico entre el agente de servidores que tengan que supervisarse. User-ID y los servidores supervisados que entre el agente de User-ID y el cortafuegos, de modo que ubicar el agente cerca de Para obtener información más detallada los servidores supervisados optimiza el uso del ancho de banda). sobre dónde instalar agentes de User-ID, consulte Architecting User Identification • Para garantizar la asignación de usuarios más completa, debe (User-ID) Deployments (en inglés). supervisar todos los servidores que contengan información de inicio de sesión de usuarios. Puede que necesite instalar varios agentes de User-ID para supervisar eficazmente todos sus recursos.
Paso 2
Descargue el instalador de agente de User-ID.
1.
La práctica recomendada es instalar la misma versión del agente de User-ID que 2. la versión de PAN-OS que se esté ejecutando en los cortafuegos. 3.
4. Paso 3
Ejecute el instalador como administrador. 1.
2.
Vaya a https://support.paloaltonetworks.com y haga clic en Inicio de sesión para iniciar sesión en la asistencia técnica de Palo Alto Networks. Seleccione Actualizaciones de software en la sección Gestionar dispositivos. Desplácese hasta la sección Agente de identificación de usuarios de la pantalla y haga clic en Descargar para descargar la versión del agente de User-ID que quiera instalar. Guarde el archivo UaInstall-x.x.x-xx.msi en los sistemas donde tenga la intención de instalar el agente. Para iniciar una línea de comandos como administrador, haga clic en Iniciar, haga clic con el botón derecho en Línea de comandos y, a continuación, seleccione Ejecutar como administrador. Desde la línea de comandos, ejecute el archivo .msi que ha descargado. Por ejemplo, si guardó el archivo .msi en el escritorio, debería introducir lo siguiente: C:\Users\administrator.acme>cd Desktop C:\Users\administrator.acme\Desktop>UaInstall-6.0. 0-1.msi
220
3.
Siga los mensajes de configuración para instalar el agente con los ajustes predeterminados. De manera predeterminada, el agente se instala en la carpeta C:\Program Files (x86)\Palo Alto Networks\User-ID Agent , pero puede hacer clic en Examinar para seleccionar una ubicación diferente.
4.
Cuando finalice la instalación, haga clic en Cerrar para cerrar la ventana de configuración.
User-ID
User-ID
Asignación de direcciones IP a usuarios
Instalación del agente de User-ID de Windows (Continuación)
Paso 4
Inicie la aplicación del agente de User-ID. 1.
Paso 5
(Opcional) Cambie la cuenta de servicio que utiliza el agente de User-ID para iniciar sesión.
User-ID
Haga clic en Iniciar y seleccione Agente de User-ID.
De manera predeterminada, el agente utiliza la cuenta de administrador utilizada para instalar el archivo .msi. Sin embargo, puede que quiera cambiarla por una cuenta restringida de la manera siguiente: 1. Seleccione Identificación de usuarios > Configuración y haga clic en Editar. 2.
Seleccione la pestaña Autenticación e introduzca el nombre de cuenta de servicio que quiera que utilice el agente de User-ID en el campo Nombre de usuario para Active Directory.
3.
Introduzca la Contraseña para la cuenta especificada.
221
Asignación de direcciones IP a usuarios
User-ID
Instalación del agente de User-ID de Windows (Continuación)
Paso 6
(Opcional) Asigne permisos de cuenta a la 1. carpeta de instalación.
Otorgue permisos a la cuenta de servicio para la carpeta de instalación:
Solamente necesita realizar este paso si la cuenta de servicio que configuró para el agente de User-ID no es miembro del grupo de administradores para el dominio o miembro de los grupos Operadores de servidor y Lectores de log de evento.
a. Desde el Explorador de Windows, desplácese hasta C:\Program Files\Palo Alto Networks, haga clic con el botón derecho en la carpeta y seleccione Propiedades. b. En la pestaña Seguridad, haga clic en Añadir para añadir la cuenta de servicio del agente de User-ID y asignarle permisos para Modificar, Leer y ejecutar, Enumerar contenido de carpeta y Leer; a continuación, haga clic en ACEPTAR para guardar la configuración de la cuenta. 2.
Otorgue permisos a la cuenta de servicio para el subárbol de registro del agente de User-ID: a. Ejecute regedit32 y desplácese hasta el subárbol de Palo Alto Networks en una de las siguientes ubicaciones: – Sistemas de 32 bits: HKEY_LOCAL_MACHINE\Software\ Palo Alto Networks
– Sistemas de 64 bits: HKEY_LOCAL_MACHINE\Software\ WOW6432Node\Palo Alto Networks
b. Haga clic con el botón derecho en el nodo de Palo Alto Networks y seleccione Permisos. c. Asigne a la cuenta de servicio de User-ID Control completo y, a continuación, haga clic en ACEPTAR para guardar el ajuste. 3.
En el controlador de dominio, añada la cuenta de servicio a los grupos integrados para habilitar privilegios para leer los eventos de logs de seguridad (grupo Lectores de log de evento) y abrir sesiones (grupo Operadores de servidor): a. Ejecute MMC e inicie el complemento de usuarios y equipos de Active Directory. b. Desplácese hasta la carpeta Builtin del dominio y, a continuación, haga clic con el botón derecho en cada grupo que necesite editar (Lectores de log de evento y Operadores de servidor) y seleccione Añadir al grupo para abrir el cuadro de diálogo de propiedades. c. Haga clic en Añadir e introduzca el nombre de la cuenta de servicio que configuró para ser utilizada por el servicio de User-ID y, a continuación, haga clic en Comprobar nombres para validar que tiene el nombre de objeto adecuado. d. Haga clic en ACEPTAR dos veces para guardar la configuración.
222
User-ID
User-ID
Asignación de direcciones IP a usuarios
Configuración del agente de User-ID para la asignación de usuarios El agente de User-ID de Palo Alto Networks es un servicio de Windows que se conecta con servidores de su red (por ejemplo, servidores Active Directory, Microsoft Exchange y Novell eDirectory) y supervisa los logs en busca de eventos de inicio de sesión y cierre de sesión. El agente utiliza esta información para asignar direcciones IP a nombres de usuarios. Los cortafuegos de Palo Alto Networks se conectan con el agente de User-ID para recuperar esta información de asignación de usuarios, habilitando la visibilidad de la actividad de los usuarios por nombre de usuario en lugar de por dirección IP. Esto también habilita la aplicación de la seguridad basada en usuarios y grupos. Para obtener información sobre las versiones del sistema operativo del servidor admitidas por el agente de User-ID, consulte “Operating System (OS) Compatibility User-ID Agent” (en inglés) en las notas de versión de agente de User-ID, que están disponibles en la página Actualizaciones de software de Palo Alto Networks.
Asignación de direcciones IP a usuarios mediante el agente de User-ID
Paso 1
User-ID
Inicie la aplicación del agente de User-ID. 1.
Haga clic en Iniciar y seleccione Agente de User-ID.
223
Asignación de direcciones IP a usuarios
User-ID
Asignación de direcciones IP a usuarios mediante el agente de User-ID (Continuación)
Paso 2
Defina los servidores que debería supervisar el agente de User-ID para recopilar información de asignación de direcciones IP a usuarios.
1.
Seleccione Identificación de usuarios > Descubrimiento.
2.
En la sección Servidores de la pantalla, haga clic en Añadir.
3.
Introduzca un Nombre y una Dirección de servidor para el servidor que vaya a supervisarse. La dirección de red puede ser un FQDN o una dirección IP.
El agente de User-ID puede supervisar hasta 100 servidores y escuchar mensajes 4. de Syslog de hasta 100 emisores de Syslog. Recuerde que para recopilar todas las asignaciones necesarias, deberá conectarse a todos los servidores en los que sus usuarios inician sesión para supervisar los archivos de log de seguridad en todos los servidores que contengan eventos de inicio de sesión.
5.
(Opcional) Para permitir que el cortafuegos detecte automáticamente controladores de dominio en su red mediante búsquedas de DNS, haga clic en Descubrir automáticamente.
Nota
6.
224
Seleccione el Tipo de servidor (Microsoft Active Directory, Microsoft Exchange, Novell eDirectory, o Emisor de syslog) y, a continuación, haga clic en ACEPTAR para guardar la entrada del servidor. Repita este paso para este servidor que vaya a supervisarse.
La detección automática únicamente localiza los controladores de dominio del dominio local; deberá añadir manualmente los servidores Exchange, los servidores eDirectory y los emisores de Syslog.
(Opcional) Para ajustar la frecuencia con la que el cortafuegos sondea los servidores configurados en busca de información de asignación, seleccione Identificación de usuarios > Configuración y haga clic en Editar para editar la sección Configuración. En la pestaña Supervisión de servidor, modifique el valor del campo Frecuencia de supervisión de log de servidor (segundos). La práctica recomendada es que debería aumentar el valor de este campo a 5 segundos en entornos con controladores de dominio de mayor antigüedad o enlaces de alta latencia. Haga clic en ACEPTAR para guardar los cambios.
User-ID
User-ID
Asignación de direcciones IP a usuarios
Asignación de direcciones IP a usuarios mediante el agente de User-ID (Continuación)
Paso 3
1. (Opcional) Si ha configurado el agente para que se conecte a un servidor Novell eDirectory, debe especificar el modo en 2. que el agente debería buscar el directorio.
Seleccione Identificación de usuarios > Configuración y haga clic en Editar en la sección Configuración de la ventana. Seleccione la pestaña eDirectory y, a continuación, cumplimente los campos siguientes: • Base de búsqueda: Punto de partida o contexto raíz para las consultas del agente, por ejemplo: dc=domain1, dc=example, dc=com . • Enlazar nombre distintivo: Cuenta que debe utilizarse para enlazarla con el directorio, por ejemplo: cn=admin, ou=IT, dc=domain1, dc=example, dc=com . • Enlazar contraseña: Contraseña de la cuenta de enlace. El agente guardará la contraseña cifrada en el archivo de configuración. • Filtro de búsqueda: Consulta de búsqueda para entradas de usuarios (el valor predeterminado es objectClass=Person ). • Prefijo del dominio de servidor: Prefijo que identifica de manera exclusiva al usuario. Esto solamente es obligatorio si hay espacios de nombres solapados, como diferentes usuarios con el mismo nombre de dos directorios diferentes. • Utilizar SSL: Seleccione la casilla de verificación para utilizar SSL para el enlace de eDirectory. • Comprobar certificado de servidor: Seleccione la casilla de verificación para comprobar el certificado de servidor de eDirectory al utilizar SSL.
Paso 4
(Opcional) Habilite el sondeo de clientes. 1.
En la pestaña Sondeo de clientes, seleccione la casilla de verificación Habilitar sondeo de WMI y/o la casilla de verificación Habilitar sondeo de NetBIOS.
El sondeo de clientes es de utilidad en entornos en los que las direcciones IP no están estrechamente ligadas a los usuarios, 2. Asegúrese de que el cortafuegos de Windows permitirá el sondeo de clientes añadiendo una excepción de administración porque garantiza que las direcciones remota al cortafuegos de Windows para cada cliente sondeado. asignadas anteriormente siguen siendo válidas. Sin embargo, a medida que Nota Para que el sondeo de NetBIOS funcione de forma aumenta el número total de direcciones IP efectiva, cada PC cliente sondeado debe proporcionar un obtenidas, también lo hace la cantidad de puerto 139 en el cortafuegos de Windows y debe tener los tráfico generado. La práctica servicios de uso compartido de archivos e impresoras recomendada es habilitar el sondeo activados. El sondeo de WMI siempre es preferible antes únicamente en segmentos de red en los que el sondeo de NetBIOS cuando sea posible. que la rotación de direcciones IP sea elevada. Para obtener información más detallada sobre la colocación de agentes de User-ID mediante el sondeo de clientes, consulte Architecting User Identification (User-ID) Deployments (en inglés).
User-ID
225
Asignación de direcciones IP a usuarios
User-ID
Asignación de direcciones IP a usuarios mediante el agente de User-ID (Continuación)
Paso 5
Guarde la configuración.
Haga clic en ACEPTAR para guardar los ajustes de configuración del agente de User-ID y, a continuación, haga clic en Confirmar para reiniciar el agente de User-ID y cargar los nuevos ajustes.
Paso 6
(Opcional) Defina el conjunto de usuarios para los que no necesite proporcionar asignaciones de dirección IP a nombre de usuario, como cuentas de servicio o cuentas de kiosco.
Cree un archivo ignore_user_list.txt y guárdelo en la carpeta User-ID Agent del servidor de dominio donde el agente esté instalado.
Nota
Enumere las cuentas de usuario que deben ignorarse; no hay ningún límite en el número de cuentas que puede añadir a la lista. Separe las entradas con un espacio. Por ejemplo:
También puede utilizar la lista para identificar a usuarios SPAdmin SPInstall TFSReport que desee obligar a autenticar mediante un portal cautivo.
ignore-user
Paso 7
226
Configure los cortafuegos para conectarlos al agente de User-ID.
Realice los siguientes pasos en cada cortafuegos que quiera conectar al agente de User-ID para recibir asignaciones de usuarios: 1. Seleccione Dispositivo > Identificación de usuarios > Agentes de User-ID y haga clic en Añadir. 2.
Introduzca un Nombre para el agente de User-ID.
3.
Introduzca la dirección IP del Host de Windows en el que está instalado el agente de User-ID.
4.
Introduzca el número de Puerto en el que el agente escuchará solicitudes de asignación de usuarios. Este valor debe coincidir con el valor configurado en el agente de User-ID. De manera predeterminada, el puerto se establece como 5007 en el cortafuegos y en versiones más recientes del agente de User-ID. Sin embargo, algunas versiones anteriores del agente de User-ID utilizan el puerto 2010 como valor predeterminado.
5.
Asegúrese de que la configuración esté Habilitada y, a continuación, haga clic en ACEPTAR.
6.
Confirme los cambios.
7.
Verifique que el estado Conectado aparece como conectado.
User-ID
User-ID
Asignación de direcciones IP a usuarios
Asignación de direcciones IP a usuarios mediante el agente de User-ID (Continuación)
Paso 8
Verifique que el agente de User-ID está 1. asignando correctamente direcciones IP a nombres de usuarios y que los 2. cortafuegos pueden conectarse con el agente.
Inicie el agente de User-ID y seleccione Identificación de usuarios. Verifique que el estado del agente muestra El agente se está ejecutando. Si el agente no se está ejecutando, haga clic en Iniciar.
3.
Para verificar que el agente de User-ID se puede conectar con servidores supervisados, asegúrese de que el estado de cada servidor sea Conectado.
4.
Para verificar que los cortafuegos se pueden conectar con el agente de User-ID, asegúrese de que el estado de cada dispositivo conectado sea Conectado.
5.
Para verificar que el agente de User-ID está asignando direcciones IP a nombres de usuarios, seleccione Supervisando y asegúrese de que la tabla de asignaciones se cumplimenta. También puede seleccionar Búsqueda para buscar usuarios específicos o Eliminar para borrar asignaciones de usuarios de la lista.
Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS El siguiente procedimiento muestra cómo configurar el agente integrado en PAN-OS en el cortafuegos para la asignación de usuarios. El agente de User-ID integrado realiza las mismas tareas que el agente basado en Windows a excepción del sondeo de clientes de NetBIOS (se admite el sondeo de WMI).
User-ID
227
Asignación de direcciones IP a usuarios
User-ID
Asignación de direcciones IP a usuarios mediante el agente de User-ID integrado
Paso 1
• Servidores de dominio Windows 2008 o posteriores: Añada la Cree una cuenta de Active Directory cuenta al grupo Lectores de log de evento. Si está utilizando el (AD) para el agente del cortafuegos que agente de User-ID incluido en el dispositivo, la cuenta también tenga los niveles de privilegios necesarios debe ser miembro del grupo Usuarios COM distribuidos. para iniciar sesión en cada servicio o host que tenga la intención de supervisar para • Servidores de dominio Windows 2003: Asigne permisos recopilar datos de asignación de usuarios. Gestionar logs de seguridad y auditoría a través de políticas de grupo. • Sondeo de WMI: Asegúrese de que la cuenta tiene los derechos necesarios para leer el espacio de nombres CIMV2; de manera predeterminada, las cuentas de administrador de dominio y operador de servidor tienen este permiso. • Autenticación de NTLM: Como el cortafuegos debe unirse al dominio si está utilizando la autenticación de NTLM con un agente de User-ID incluido en el dispositivo, la cuenta de Windows que cree para el acceso a NTLM deberá tener privilegios administrativos. Tenga en cuenta que, debido a las restricciones de AD sobre los sistemas virtuales que se ejecutan en el mismo host, si ha configurado varios sistemas virtuales, únicamente vsys1 podrá unirse al dominio.
228
User-ID
User-ID
Asignación de direcciones IP a usuarios
Asignación de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuación)
Paso 2
1. Defina los servidores que debería supervisar el cortafuegos para recopilar información de asignación de dirección 2. IP a usuario. Puede definir entradas para hasta 100 servidores Microsoft Active 3. Directory, Microsoft Exchange o Novell eDirectory en su red. 4. Recuerde que para recopilar todas las 5. asignaciones necesarias, deberá conectarse a todos los servidores en los que sus usuarios inician sesión para que el 6. cortafuegos pueda supervisar los archivos de log de seguridad en todos los servidores que contengan eventos de inicio de sesión.
Seleccione Dispositivo > Identificación de usuarios > Asignación de usuario. En la sección Supervisor del servidor de la pantalla, haga clic en Añadir. Introduzca un Nombre y una Dirección de red para el servidor. La dirección de red puede ser un FQDN o una dirección IP. Seleccione el Tipo de servidor. Asegúrese de que la casilla de verificación Habilitado está seleccionada y, a continuación, haga clic en ACEPTAR. (Opcional) Para permitir que el cortafuegos detecte automáticamente controladores de dominio en su red mediante búsquedas de DNS, haga clic en Descubrir.
Nota
7.
Paso 3
User-ID
Establezca las credenciales de dominio de 1. la cuenta que utilizará el cortafuegos para acceder a recursos de Windows. Esto es 2. necesario para supervisar servidores Exchange y controladores de dominio, así como para el sondeo de WMI.
La función de detección automática es únicamente para controladores de dominio; deberá añadir manualmente los servidores Exchange o eDirectory que desee supervisar.
(Opcional) Para ajustar la frecuencia con la que el cortafuegos sondea servidores configurados para obtener información de asignación, en la sección Configuración del agente de User-ID de Palo Alto Networks de la pantalla, haga clic en el icono Editar y, a continuación, seleccione la pestaña Supervisor del servidor. Modifique el valor del campo Frecuencia del supervisor de log del servidor (seg.). La práctica recomendada es que debería aumentar el valor de este campo a 5 segundos en entornos con DC de mayor antigüedad o enlaces de alta latencia. Haga clic en ACEPTAR para guardar los cambios. Haga clic en el icono Editar
de la sección Configuración del agente de User-ID de Palo Alto Networks de la pantalla.
En la pestaña Autenticación de WMI, introduzca el Nombre de usuario y la Contraseña de la cuenta que se utilizará para sondear los clientes y supervisar los servidores. Introduzca el nombre de usuario mediante la sintaxis de dominio/nombre de usuario.
229
Asignación de direcciones IP a usuarios
User-ID
Asignación de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuación)
Paso 4
(Opcional) Habilite el sondeo de WMI.
Nota
El agente incluido en el dispositivo no admite el sondeo de NetBIOS; únicamente se admite en el agente de User-ID basado en Windows.
Paso 5
Paso 6
Nota
Guarde la configuración.
1.
En la pestaña Sondeo de clientes, seleccione la casilla de verificación Habilitar pruebas.
2.
(Opcional) Si es necesario, modifique el valor de Intervalo de sondeo para garantizar que sea lo suficientemente largo para que se sondeen todas las direcciones IP obtenidas.
3.
Asegúrese de que el cortafuegos de Windows permitirá el sondeo de cliente añadiendo una excepción de administración remota al cortafuegos de Windows para cada cliente sondeado.
1.
Haga clic en Aceptar para guardar los ajustes de configuración de agente de User-ID.
2.
Haga clic en Confirmar para guardar la configuración.
(Opcional) Defina el conjunto de usuarios 1. para los que no necesite proporcionar 2. asignaciones de dirección IP a nombre de usuario, como cuentas de servicio o cuentas de kiosco.
set user-id-collector ignore-user
También puede utilizar la lista ignore-user para identificar a usuarios que desee obligar a autenticar mediante un portal cautivo.
donde es una lista de las cuentas de usuario que hay que ignorar; no hay ningún límite en el número de cuentas que puede añadir a la lista. Separe las entradas con un espacio y no incluya el nombre de dominio con el nombre de usuario. Por ejemplo:
Abra una sesión de CLI al cortafuegos. Para añadir la lista de cuentas de usuario para las que no desea que el cortafuegos realice la asignación, ejecute el comando siguiente:
setuser-id-collectorignore-userSPAdminSPInstall TFSReport
3. Paso 7
Verifique la configuración.
1.
Compile sus cambios.
Desde la CLI, introduzca el siguiente comando: show user server-monitor state all
2.
En la pestaña Dispositivo > Identificación de usuarios > Asignación de usuario de la interfaz web, verifique que el Estado de cada servidor que ha configurado para la supervisión de servidor está Conectado.
Configuración de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog Los siguientes temas describen cómo configurar el agente de User-ID (ya sea el agente de Windows o el agente integrado en el cortafuegos) como receptor de Syslog:
Configuración del agente de User-ID integrado como receptor de Syslog
Configuración del agente de User-ID de Windows como receptor de Syslog
230
User-ID
User-ID
Asignación de direcciones IP a usuarios
Configuración del agente de User-ID integrado como receptor de Syslog El siguiente flujo de trabajo describe cómo configurar el agente de User-ID integrado en PAN-OS para recibir mensajes de Syslog de servicios de autenticación. El agente de User-ID integrado en PAN-OS acepta Syslogs únicamente a través de SSL y UDP.
Recopilación de asignaciones de usuarios de emisores de Syslog
Paso 1
Nota
User-ID
Determine si hay un filtro de Syslog predefinido para sus emisores de Syslog en concreto.
1.
Verifique que su base de datos de aplicaciones o aplicaciones y amenazas esté actualizada: a. Seleccione Dispositivo > Actualizaciones dinámicas.
Palo Alto Networks proporciona varios filtros de Syslog predefinidos, que se distribuyen como actualizaciones de contenido de aplicación y, por lo tanto, se actualizan dinámicamente como filtros nuevos. Los filtros predefinidos son generales para el cortafuegos, mientras 2. que los filtros manuales solo se aplican a un sistema virtual.
b. Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda de la ventana) para comprobar las actualizaciones más recientes.
Los filtros de Syslog nuevos de una actualización de contenido en particular se documentarán en la nota de versión correspondiente junto con la regex específica utilizada para definir el filtro.
b. En la sección Supervisor del servidor de la pantalla, haga clic en Añadir.
c. Si hay una nueva actualización disponible, haga clic en Descargar e Instalar para descargarla e instalarla. Compruebe qué filtros predefinidos están disponibles: a. Seleccione Dispositivo > Identificación de usuarios > Asignación de usuario.
c. Seleccione Emisor de syslog como el Tipo de servidor. d. Seleccione el menú desplegable Filtro y compruebe si hay un filtro para el fabricante y el producto desde los que tiene la intención de reenviar Syslogs. Si el filtro que necesita está disponible, vaya al Paso 5 para obtener instrucciones sobre cómo definir los servidores. Si el filtro que necesita no está disponible, vaya al Paso 2.
231
Asignación de direcciones IP a usuarios
User-ID
Recopilación de asignaciones de usuarios de emisores de Syslog (Continuación)
Paso 2
Defina manualmente los filtros de Syslog 1. para extraer la información de asignación de direcciones IP a nombres de usuario de User-ID desde mensajes de Syslog.
Revise los Syslogs generados por el servicio de autenticación para identificar la sintaxis de los eventos de inicio de sesión. Esto le permite crear los patrones de coincidencias que permitirán que el cortafuegos identifique y extraiga los eventos de autenticación de los Syslogs.
Para que el agente de User-ID los analice, los mensajes de Syslog deben cumplir los Nota siguientes criterios: • Cada mensaje de Syslog debe ser una cadena de texto de una sola línea. Los saltos de línea están delimitados por un retorno de carro y una nueva línea (\r\n ) o por una nueva línea (\n ). • El tamaño máximo permitido de un mensaje de Syslog individual es de 2.048 bytes. • Los mensajes de Syslog enviados a través de UDP deben estar incluidos en un único paquete; los mensajes enviados a través de SSL pueden repartirse entre varios paquetes. • Un único paquete puede contener varios mensajes de Syslog.
2.
Mientras revisa los Syslogs, determine también si el nombre de dominio se incluye en las entradas de log. Si los logs de autenticación no contienen información de dominio, considere la opción de definir un nombre de dominio personalizado cuando añada el emisor de Syslog a la lista de servidores supervisados en el Paso 5.
Seleccione Dispositivo > Identificación de usuarios > Asignación de usuario y edite la sección Configuración del agente de User-ID de Palo Alto Networks.
3.
En la pestaña Filtrados de Syslog, haga clic en Añadir para añadir un nuevo perfil de análisis de Syslog.
4.
Introduzca un nombre para el Perfil de análisis de Syslog.
5.
Especifique el Tipo de análisis que debe utilizarse para filtrar y descartar la información de asignación de usuarios seleccionando una de las opciones siguientes: • Identificador Regex: Con este tipo de análisis puede especificar expresiones regulares para describir patrones de búsqueda e identificar y extraer información de asignación de usuario de los mensajes de Syslog. Vaya al Paso 3 para obtener instrucciones sobre cómo crear los identificadores regex. • Identificador de campo: Con este tipo de análisis, se especifica una cadena para que coincida con el evento de autenticación y cadenas de prefijo y sufijo para identificar la información de asignación de usuarios en los Syslogs. Vaya al Paso 4 para obtener instrucciones sobre cómo crear los identificadores de campo.
232
User-ID
User-ID
Asignación de direcciones IP a usuarios
Recopilación de asignaciones de usuarios de emisores de Syslog (Continuación)
Paso 3
Si seleccionó Identificador Regex como 1. el Tipo de análisis, cree los patrones de coincidencias de regex para identificar los eventos de autenticación y extraer la información de asignación de usuarios. El ejemplo siguiente muestra una configuración de regex para mensajes de Syslog coincidentes con el siguiente formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication success User:johndoe1 Source:192.168.3.212
2.
Especifique cómo hacer coincidir eventos de autenticación correctos en los Syslogs introduciendo un patrón de coincidencias en el campo Regex de eventos. Por ejemplo, cuando se hacen coincidir con el mensaje de Syslog del ejemplo, la siguiente regex pide al cortafuegos que extraiga la primera {1} instancia de la cadena authentication success. La barra invertida antes del espacio es un carácter regex de "escape" estándar que indica al motor de regex que no trate el espacio como carácter especial: (authentication\ success){1} . Introduzca la regex para identificar el principio del nombre de usuario en los mensajes de autenticaciones realizadas con éxito en el campo Regex de nombre de usuario. Por ejemplo, la regex User:([a-zA-Z0-9\\\._]+) coincidiría con la cadena User:johndoe1 en el mensaje de ejemplo y extraería acme\johndoe1 como User-ID.
Nota
Nota
Si el Syslog contiene un espacio y/o una tabulación independiente como 3. delimitador, debe utilizar \s (para un espacio) y/o \t (para una tabulación) con el fin de que el agente analice el Syslog.
4.
User-ID
Si los Syslogs no contienen información de dominio y requiere nombres de dominio en sus asignaciones de usuarios, asegúrese de introducir el Nombre de dominio predeterminado al definir la entrada del servidor supervisado en el Paso 5.
Introduzca la regex para identificar la parte de la dirección IP de los mensajes de autenticación correcta en el campo Regex de dirección. Por ejemplo, la expresión regular Source:([0-9] coincidiría {1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) con una dirección IPv4 (Source:192.168.0.212 en el Syslog de ejemplo). Haga clic en ACEPTAR.
233
Asignación de direcciones IP a usuarios
User-ID
Recopilación de asignaciones de usuarios de emisores de Syslog (Continuación)
Paso 4
1. Si seleccionó Identificador de campo como el Tipo de análisis, defina los patrones de coincidencias de cadenas para identificar los eventos de autenticación y extraer la información de asignación de usuarios.
Especifique cómo hacer coincidir eventos de autenticación correctos en los Syslogs introduciendo un patrón de coincidencias en el campo Cadena de eventos. Por ejemplo, cuando coincidan con el mensaje de Syslog de muestra, debería introducir la cadena authentication success para identificar eventos de autenticación en el Syslog.
2. El ejemplo siguiente muestra una configuración de identificador de campo para mensajes de Syslog coincidentes con el siguiente formato:
Introduzca la cadena de coincidencia para identificar el principio del campo del nombre de usuario en el mensaje de Syslog de autenticación en el campo Prefijo de nombre de usuario. Por ejemplo, la cadena User: identifica el principio del campo del nombre de usuario en el Syslog de muestra.
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication success User:johndoe1 Source:192.168.3.212
Nota
3.
Introduzca el Delimitador de nombre de usuario para marcar el final del campo del nombre de usuario en un mensaje de Syslog de autenticación. Por ejemplo, si el nombre de usuario está seguido de un espacio, debería introducir \s para indicar que el campo del nombre de usuario está delimitado por un espacio independiente en el log de muestra.
4.
Introduzca la cadena de coincidencia para identificar el principio del campo de la dirección IP en el log de eventos de autenticación en el campo Prefijo de dirección. Por ejemplo, la cadena Source: identifica el principio del campo de la dirección en el log de ejemplo.
Si el Syslog contiene un espacio y/o una 5. tabulación independiente como delimitador, debe utilizar \s (para un espacio) y/o \t (para una tabulación) con el fin de que el agente analice el Syslog. 6.
Paso 5
Nota
234
Introduzca el Delimitador de dirección para marcar el final del campo de la dirección IP en el mensaje de autenticación correcta en el campo. Por ejemplo, si la dirección está seguida de un salto de línea, debería introducir \n para indicar que el campo de la dirección está delimitado por una nueva línea. Haga clic en ACEPTAR.
Defina los servidores que enviarán 1. mensajes de Syslog al cortafuegos para la asignación de usuarios. 2.
Seleccione Dispositivo > Identificación de usuarios > Asignación de usuario.
Puede definir hasta 50 emisores de Syslog por sistema virtual y hasta un total de 100 servidores supervisados, incluidos emisores de Syslog o servidores Microsoft Active Directory, Microsoft Exchange o Novell eDirectory. El cortafuegos descartará los mensajes de Syslog recibidos de servidores que no estén en esta lista.
Añadir.
En la sección Supervisor del servidor de la pantalla, haga clic en
3.
Introduzca un Nombre y una Dirección de red para el servidor.
4.
Seleccione Emisor de syslog como el Tipo de servidor.
5.
Asegúrese de que la casilla de verificación Habilitado está seleccionada.
6.
(Opcional) Si los Syslogs que envía el dispositivo de autenticación no incluyen información de dominio en los logs de eventos de inicio de sesión, introduzca el Nombre de dominio predeterminado que deberá adjuntarse a las asignaciones de usuarios.
Un emisor de Syslog que utilice SSL para conectarse solamente mostrará el Estado 7. Conectado cuando haya una conexión SSL activa. Los emisores de Syslog que utilicen UDP no mostrarán ningún valor para Estado.
Haga clic en ACEPTAR para guardar la configuración.
User-ID
User-ID
Asignación de direcciones IP a usuarios
Recopilación de asignaciones de usuarios de emisores de Syslog (Continuación)
Paso 6
Habilite servicios de receptor de Syslog en el perfil de gestión asociado a la interfaz utilizada para la asignación de usuarios.
1.
Seleccione Red > Perfiles de red > Gestión de interfaz y, a continuación, seleccione un perfil de interfaz para editarlo o haga clic en Añadir para crear un nuevo perfil.
2.
Seleccione SSL de escucha de Syslog de User-ID y/o UDP de escucha de Syslog de User-ID, dependiendo de los protocolos que definió cuando configuró sus emisores de Syslog en la lista Supervisión de servidor.
Nota
3.
Haga clic en Aceptar para guardar el perfil de gestión de interfaz.
Nota
Paso 7
User-ID
Guarde la configuración.
En el agente de User-ID de Windows, el puerto de escucha predeterminado para Syslog a través de UDP o TCP es 514, pero el valor del puerto puede configurarse. Para la función Asignación de usuario sin agente en el cortafuegos, solamente se admiten Syslogs a través de UDP y SSL y los puertos de escucha (514 para UDP y 6514 para SSL) no pueden configurarse; se habilitan únicamente a través del servicio de gestión.
Incluso después de habilitar el servicio de receptor de Syslog de User-ID en la interfaz, esta solamente aceptará conexiones con Syslog desde servidores que tengan una entrada correspondiente en la configuración de los servidores supervisados de User-ID. Las conexiones o los mensajes de servidores que no estén en la lista se descartarán.
Haga clic en Confirmar para guardar la configuración.
235
Asignación de direcciones IP a usuarios
User-ID
Recopilación de asignaciones de usuarios de emisores de Syslog (Continuación)
Paso 8
Verifique la configuración abriendo una conexión de SSH con el cortafuegos y, a continuación, ejecutando los siguientes comandos de la CLI:
Para ver el estado de un emisor de Syslog en concreto: admin@PA-5050> show user server-monitor state Syslog2 UDP Syslog Listener Service is enabled SSL Syslog Listener Service is enabled Proxy: Syslog2(vsys: vsys1) Host: Syslog2(10.5.204.41) number of log messages : number of auth. success messages : number of active connections : total connections made :
1000 1000 0 4
Para ver cuántos mensajes de log entraron a través de emisores de Syslog y cuántas entradas se asignaron correctamente: admin@PA-5050> show user server-monitor statistics Directory Servers: Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD AD 10.2.204.43 vsys1 Connected
Syslog Servers: Name Connection Host Vsys Status ----------------------------------------------------------------------------Syslog1 UDP 10.5.204.40 vsys1 N/A Syslog2 SSL 10.5.204.41 vsys1 Not connected
Para ver cuántas asignaciones de usuarios se detectaron a través de emisores de Syslog: admin@PA-5050> show user ip-user-mapping all type SYSLOG IP axTimeout(s) --------------192.168.3.8 476 192.168.5.39 480 192.168.2.147 476 192.168.2.175 476 192.168.4.196 480 192.168.4.103 480 192.168.2.193 476 192.168.2.119 476 192.168.3.176 478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick 2476 2 vsys1
SYSLOG
acme\jdonaldson
2480
2
vsys1
SYSLOG
acme\ccrisp
2476
2
vsys1
SYSLOG
acme\jjaso
2476
2
vsys1
SYSLOG
acme\jblevins
2480
2
vsys1
SYSLOG
acme\bmoss
2480
2
vsys1
SYSLOG
acme\esogard
2476
2
vsys1
SYSLOG
acme\acallaspo
2476
2
vsys1
SYSLOG
acme\jlowrie
2478
2
Total: 9 users
Configuración del agente de User-ID de Windows como receptor de Syslog El siguiente flujo de trabajo describe cómo configurar un agente de User-ID basado en Windows para escuchar Syslogs de servicios de autenticación. El agente de User-ID de Windows acepta Syslogs únicamente a través de TCP y UDP.
236
User-ID
User-ID
Asignación de direcciones IP a usuarios
Configuración del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de Syslog
Paso 1
Inicie la aplicación del agente de User-ID. 1.
Haga clic en Iniciar y seleccione Agente de User-ID.
Paso 2
Defina manualmente los filtros de Syslog 1. para extraer la información de asignación de direcciones IP a nombres de usuario de User-ID desde mensajes de Syslog.
Revise los Syslogs generados por el servicio de autenticación para identificar la sintaxis de los eventos de inicio de sesión. Esto le permite crear los patrones de coincidencias que permitirán que el cortafuegos identifique y extraiga los eventos de autenticación de los Syslogs.
Para que el agente de User-ID los analice, los mensajes de Syslog deben cumplir los Nota siguientes criterios: • Cada mensaje de Syslog debe ser una cadena de texto de una sola línea. Los saltos de línea están delimitados por un retorno de carro y una nueva línea (\r\n ) o por una nueva línea (\n ). • El tamaño máximo permitido de un mensaje de Syslog individual es de 2.048 bytes. • Los mensajes de Syslog enviados a través de UDP deben estar incluidos en un único paquete; los mensajes enviados a través de SSL pueden repartirse entre varios paquetes. • Un único paquete puede contener varios mensajes de Syslog.
Mientras revisa los Syslogs, determine también si el nombre de dominio se incluye en las entradas de log. Si los logs de autenticación no contienen información de dominio, considere la opción de definir un nombre de dominio personalizado cuando añada el emisor de Syslog a la lista de servidores supervisados en el Paso 5.
2.
Seleccione Identificación de usuarios > Configuración y haga clic en Editar en la sección Configuración del cuadro de diálogo.
3.
En la pestaña Syslog, haga clic en Añadir para añadir un nuevo perfil de análisis de Syslog.
4.
Introduzca un Nombre de perfil y una Descripción.
5.
Especifique el Tipo de análisis que debe utilizarse para filtrar y descartar la información de asignación de usuarios seleccionando una de las opciones siguientes: • Regex: Con este tipo de análisis puede especificar expresiones regulares para describir patrones de búsqueda e identificar y extraer información de asignación de usuarios de los mensajes de Syslog. Vaya al Paso 3 para obtener instrucciones sobre cómo crear los identificadores regex. • Campo: Con este tipo de análisis, se especifica una cadena para que coincida con el evento de autenticación y cadenas de prefijo y sufijo para identificar la información de asignación de usuarios en los Syslogs. Vaya al Paso 4 para obtener instrucciones sobre cómo crear los identificadores de campo.
User-ID
237
Asignación de direcciones IP a usuarios
User-ID
Configuración del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de Syslog (Continuación)
Paso 3
1. Si seleccionó Regex como el Tipo de análisis, cree los patrones de coincidencias de regex para identificar los eventos de autenticación y extraer la información de asignación de usuarios. El ejemplo siguiente muestra una configuración de Regex para mensajes de Syslog coincidentes con el siguiente formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication success User:johndoe1 Source:192.168.3.212
2.
Especifique cómo hacer coincidir eventos de autenticación correctos en los Syslogs introduciendo un patrón de coincidencias en el campo Regex de eventos. Por ejemplo, cuando se hacen coincidir con el mensaje de Syslog del ejemplo, la siguiente regex pide al cortafuegos que extraiga la primera {1} instancia de la cadena authentication success. La barra invertida antes del espacio es un carácter regex de "escape" estándar que indica al motor de regex que no trate el espacio como carácter especial: (authentication\ success){1} . Introduzca la regex para identificar el principio del nombre de usuario en los mensajes de autenticaciones realizadas con éxito en el campo Regex de nombre de usuario. Por ejemplo, la regex User:([a-zA-Z0-9\\\._]+) coincidiría con la cadena User:johndoe1 en el mensaje de ejemplo y extraería acme\johndoe1 como User-ID.
Nota
Nota
238
Si el Syslog contiene un espacio y/o una tabulación independiente como delimitador, debe utilizar \s (para un espacio) y/o \t (para una tabulación) con el fin de que el agente analice el Syslog.
Si los Syslogs no contienen información de dominio y requiere nombres de dominio en sus asignaciones de usuarios, asegúrese de introducir el Nombre de dominio predeterminado al definir la entrada del servidor supervisado en el Paso 5.
3.
Introduzca la regex para identificar la parte de la dirección IP de los mensajes de autenticación correcta en el campo Regex de dirección. Por ejemplo, la expresión regular Source:([0-9] coincidiría {1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) con una dirección IPv4 (Source:192.168.0.212 en el Syslog de ejemplo).
4.
Haga clic en Aceptar para guardar el perfil.
User-ID
User-ID
Asignación de direcciones IP a usuarios
Configuración del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de Syslog (Continuación)
Paso 4
1. Si seleccionó Identificador de campo como el Tipo de análisis, defina los patrones de coincidencias de cadenas para identificar los eventos de autenticación y extraer la información de asignación de usuarios.
Especifique cómo hacer coincidir eventos de autenticación correctos en los Syslogs introduciendo un patrón de coincidencias en el campo Cadena de eventos. Por ejemplo, cuando coincidan con el mensaje de Syslog de muestra, debería introducir la cadena authentication success para identificar eventos de autenticación en el Syslog.
2. El ejemplo siguiente muestra una configuración de identificador de campo para mensajes de Syslog coincidentes con el siguiente formato:
Introduzca la cadena de coincidencia para identificar el principio del campo del nombre de usuario en el mensaje de Syslog de autenticación en el campo Prefijo de nombre de usuario. Por ejemplo, la cadena User: identifica el principio del campo del nombre de usuario en el Syslog de muestra.
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication success User:johndoe1 Source:192.168.3.212
Nota
Paso 5
3.
Introduzca el Delimitador de nombre de usuario para marcar el final del campo del nombre de usuario en un mensaje de Syslog de autenticación. Por ejemplo, si el nombre de usuario está seguido de un espacio, debería introducir \s para indicar que el campo del nombre de usuario está delimitado por un espacio independiente en el log de muestra.
4.
Introduzca la cadena de coincidencia para identificar el principio del campo de la dirección IP en el log de eventos de autenticación en el campo Prefijo de dirección. Por ejemplo, la cadena Source: identifica el principio del campo de la dirección en el log de ejemplo.
Si el Syslog contiene un espacio y/o una 5. tabulación independiente como delimitador, debe utilizar \s (para un espacio) y/o \t (para una tabulación) con el fin de que el agente analice el Syslog.
Introduzca el Delimitador de dirección para marcar el final del campo de la dirección IP en el mensaje de autenticación correcta en el campo. Por ejemplo, si la dirección está seguida de un salto de línea, debería introducir \n para indicar que el campo de la dirección está delimitado por una nueva línea.
Habilite el servicio de escucha de Syslog en el agente.
6.
Haga clic en Aceptar para guardar el perfil.
1.
Seleccione la casilla de verificación Habilitar servicio de Syslog.
2.
(Opcional) Modifique el número del Puerto del servicio de Syslog para que coincida con el número del puerto utilizado por
3.
Para guardar la configuración de Syslog de agente, haga clic en ACEPTAR.
el emisor de Syslog (valor predeterminado = 514).
Paso 6
User-ID
1. Defina los servidores que enviarán mensajes de Syslog al agente de User-ID. 2.
Seleccione Identificación de usuarios > Descubrimiento.
Puede definir hasta 100 emisores de Syslog. El agente de User-ID descartará los mensajes de Syslog recibidos de servidores que no estén en esta lista.
3.
Introduzca un Nombre y una Dirección de servidor para el servidor que vaya a enviar Syslogs al agente.
4.
Seleccione Emisor de syslog como el Tipo de servidor.
5.
Seleccione un Filtro que definió en el Paso 2.
6.
(Opcional) Si los Syslogs que envía el dispositivo de autenticación no incluyen información de dominio en los logs de eventos de inicio de sesión, introduzca el Nombre de dominio predeterminado que deberá adjuntarse a las asignaciones de usuarios.
7.
Haga clic en ACEPTAR para guardar la configuración.
En la sección Servidores de la pantalla, haga clic en Añadir.
239
Asignación de direcciones IP a usuarios
User-ID
Configuración del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de Syslog (Continuación)
Paso 7
Guarde la configuración.
Haga clic en Confirmar para guardar la configuración.
Paso 8
Verifique la configuración abriendo una conexión de SSH con el cortafuegos y, a continuación, ejecutando los siguientes comandos de la CLI:
Para ver el estado de un emisor de Syslog en concreto: admin@PA-5050> show user server-monitor state Syslog2 UDP Syslog Listener Service is enabled SSL Syslog Listener Service is enabled Proxy: Syslog2(vsys: vsys1) Host: Syslog2(10.5.204.41) number of log messages : number of auth. success messages : number of active connections : total connections made :
1000 1000 0 4
Para ver cuántos mensajes de log entraron a través de emisores de Syslog y cuántas entradas se asignaron correctamente: admin@PA-5050> show user server-monitor statistics Directory Servers: Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD AD 10.2.204.43 vsys1 Connected Syslog Servers: Name Connection Host Vsys Status ----------------------------------------------------------------------------Syslog1 UDP 10.5.204.40 vsys1 N/A Syslog2 SSL 10.5.204.41 vsys1 Not connected
Para ver cuántas asignaciones de usuarios se detectaron a través de emisores de Syslog: admin@PA-5050> show user ip-user-mapping all type SYSLOG IP axTimeout(s) --------------192.168.3.8 476 192.168.5.39 480 192.168.2.147 476 192.168.2.175 476 192.168.4.196 480 192.168.4.103 480 192.168.2.193 476 192.168.2.119 476 192.168.3.176 478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick 2476 2 vsys1
SYSLOG
acme\jdonaldson
2480
2
vsys1
SYSLOG
acme\ccrisp
2476
2
vsys1
SYSLOG
acme\jjaso
2476
2
vsys1
SYSLOG
acme\jblevins
2480
2
vsys1
SYSLOG
acme\bmoss
2480
2
vsys1
SYSLOG
acme\esogard
2476
2
vsys1
SYSLOG
acme\acallaspo
2476
2
vsys1
SYSLOG
acme\jlowrie
2478
2
Total: 9 users
240
User-ID
User-ID
Asignación de direcciones IP a usuarios
Asignación de direcciones IP a nombres de usuario mediante un portal cautivo Si el cortafuegos recibe una solicitud de una zona que tiene habilitado identificación de usuarios (User-ID) y la dirección IP de origen no tiene datos de usuario asociados con la misma todavía, comprobará su política de portal cautivo en busca de una coincidencia para determinar si se realizará la autenticación. Esto es de utilidad en entornos donde tenga clientes que no hayan iniciado sesión en sus servidores de dominio, como clientes Linux. Este método de asignación de usuarios únicamente se activa para el tráfico web (HTTP o HTTPS) que coincida con una política/regla de seguridad, pero que no se haya asignado utilizando un método diferente.
Métodos de autenticación de portal cautivo El portal cautivo utiliza los siguientes métodos para obtener datos de usuario del cliente cuando una solicitud coincide con una política de portal cautivo: Método de autenticación
Descripción
Autenticación de NTLM
El cortafuegos utiliza un mecanismo de respuesta por desafío cifrado para obtener las credenciales del usuario desde el explorador. Si se configura correctamente, el explorador proporcionará las credenciales al cortafuegos de manera transparente sin preguntar al usuario, pero mostrará un mensaje de solicitud de credenciales si es necesario. Si el explorador no puede realizar la autenticación NTLM o esta falla, el cortafuegos retrocederá a una autenticación con formato web o certificado de cliente, dependiendo de su configuración de portal cautivo. De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden configurarse para utilizarlo. No puede utilizar NTLM para autenticar clientes que no sean de Windows.
Formato web
Las solicitudes se redirigen a un formato web para su autenticación. Puede configurar un portal cautivo para que utilice una base de datos de usuario local, RADIUS, LDAP o Kerberos para autenticar usuarios. Aunque siempre se solicitarán las credenciales a los usuarios, este método de autenticación funciona con todos los exploradores y sistemas operativos.
Certificado de autenticación de cliente Solicita al explorador que presente un certificado de cliente válido para autenticar al
usuario. Para utilizar este método debe proporcionar certificados de cliente en cada sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir esos certificados en el cortafuegos. Este es el único método de autenticación que habilita una autenticación transparente para clientes de Mac OS y Linux.
User-ID
241
Asignación de direcciones IP a usuarios
User-ID
Modos de portal cautivo El modo de portal cautivo define cómo se capturan las solicitudes para su autenticación: Modo
Descripción
Transparente
El cortafuegos intercepta el tráfico del explorador mediante la regla de portal cautivo y representa la URL de destino original, emitiendo un HTTP 401 para invocar la autenticación. Sin embargo, como el cortafuegos no tiene el certificado real para la URL de destino, el explorador mostrará un error de certificado a los usuarios que intenten acceder a un sitio seguro. Por lo tanto, únicamente debería utilizar este modo cuando sea absolutamente necesario, como en implementaciones de capa 2 o cable virtual (Virtual Wire).
Redirigir
El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y las redirige a una interfaz de capa 3 en el cortafuegos utilizando una redirección HTTP 302 para realizar la autenticación. Este es el modo preferido porque proporciona una mejor experiencia de usuario final (sin errores de certificado). Sin embargo, requiere una configuración de capa 3 adicional. Otra ventaja del modo Redirigir es que permite el uso de cookies de sesión, que permiten que el usuario siga explorando sitios autenticados sin tener que volver a asignar cada vez que venza el tiempo. Esto es de especial utilidad para los usuarios que se desplazan de una dirección IP a otra (por ejemplo, de la LAN corporativa a la red inalámbrica) porque no tendrán que volver a autenticar al cambiar de dirección IP siempre que la sesión permanezca abierta. Además, si tiene la intención de utilizar la autenticación de NTLM, deberá utilizar el modo Redirigir porque el explorador únicamente proporcionará credenciales a sitios fiables.
Configuración de portal cautivo El siguiente procedimiento muestra cómo configurar un portal cautivo utilizando el agente de User-ID integrado en PAN-OS para redirigir solicitudes que coincidan con una política de portal cautivo a una interfaz de capa 3 en el cortafuegos. Si tiene la intención de utilizar un portal cautivo sin utilizar las otras funciones de User-ID (asignación de usuarios y grupos), no necesita configurar un agente.
Configuración de portal cautivo mediante el agente de User-ID integrado en PAN-OS
En esta versión del producto, el cortafuegos debe ser capaz de comunicarse con los servidores a través de la interfaz de gestión, así que debe asegurarse de que la red en la que se encuentran sus servidores de directorio es accesible desde esta interfaz. Si esta configuración no funciona en su entorno, deberá configurar el portal cautivo utilizando el agente de User-ID basado en Windows.
Paso 1
Asegúrese de que el cortafuegos tiene una ruta hacia los servidores que supervisará para recopilar datos de usuario (por ejemplo, sus controladores de dominio y sus servidores Exchange).
Paso 2
Asegúrese de que DNS está configurado Para verificar que la resolución es correcta, haga ping en el FQDN para resolver sus direcciones de del servidor. Por ejemplo: controlador de dominio. admin@PA-200> ping host dc1.acme.com
242
User-ID
User-ID
Asignación de direcciones IP a usuarios
Configuración de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuación)
Paso 3
(Únicamente en el modo Redirigir) Cree una interfaz de capa 3 a la que redirigir solicitudes de portal cautivo.
1.
Cree un perfil de gestión para habilitar la interfaz para que muestre páginas de respuesta de portal cautivo: a. Seleccione Red > Gestión de interfaz y haga clic en Añadir. b. Introduzca un Nombre para el perfil, seleccione Páginas de respuesta y, a continuación, haga clic en Aceptar.
Paso 4
Nota
(Únicamente en el modo Redirigir) Para redirigir usuarios de forma transparente sin mostrar errores de certificado, instale un certificado que coincida con la dirección IP de la interfaz a la que está redirigiendo solicitudes. Puede generar un certificado autofirmado o importar un certificado firmado por una CA externa.
2.
Cree la interfaz de capa 3. Asegúrese de adjuntar el perfil de gestión que creó en el Paso 1 (en la pestaña Avanzada > Otra información del cuadro de diálogo Interfaz Ethernet).
3.
Cree un registro DNS “A” que asigne la dirección IP que configuró en la interfaz de capa 3 a un nombre de host de intranet (es decir, un nombre de host que no tiene ningún punto en el nombre, como ntlmhost ).
Para utilizar un certificado autofirmado, primero deberá crear un certificado de CA raíz y, a continuación, utilizar esa CA para firmar el certificado que utilizará para el portal cautivo de la manera siguiente: 1. Para crear un certificado de CA raíz, seleccione Dispositivo >
Al configurar un portal cautivo por primera vez, puede que los certificados importados no funcionen. Si tiene la intención de utilizar un certificado importado, complete la configuración 2. inicial sin especificar un Certificado de servidor. Después de poner en funcionamiento el portal cautivo, podrá volver y cambiar al certificado importado.
3.
User-ID
Gestión de certificados > Certificados > Certificados de dispositivos y, a continuación, haga clic en Generar. Introduzca un Nombre de certificado, como RootCA. No seleccione ningún valor en el campo Firmado por (esto es lo que indica que
está autofirmado). Asegúrese de seleccionar la casilla de verificación Autoridad del certificado y, a continuación, haga clic en Generar para generar el certificado. Para crear el certificado que se utilizará para el portal cautivo, haga clic en Generar. Introduzca un Nombre de certificado e introduzca el nombre de DNS del host de intranet para la interfaz como el Nombre común. En el campo Firmado por, seleccione la CA que creó en el paso anterior. Añada un atributo de dirección IP y especifique la dirección IP de la interfaz de capa 3 a la que redirigirá las solicitudes. Seleccione Generar el certificado.
Para configurar clientes para que confíen en el certificado, seleccione el certificado de CA en la pestaña Certificados de dispositivos y haga clic en Exportar. A continuación deberá importar el certificado como una CA raíz de confianza en todos los exploradores de cliente, ya sea configurando manualmente el explorador o añadiendo el certificado a las raíces de confianza en un objeto de directiva de grupo (GPO) de Active Directory.
243
Asignación de direcciones IP a usuarios
User-ID
Configuración de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuación)
Paso 5
1. Configure un mecanismo de autenticación para utilizarlo cuando se invoque el formato web. Tenga en cuenta que aunque tenga la intención de utilizar NTLM, también deberá configurar un mecanismo de autenticación secundario que pueda utilizarse si falla la autenticación de NTLM o si el agente de usuario no la admite.
Configure el cortafuegos para conectarse al servicio de autenticación que tiene intención de utilizar para que pueda acceder a las credenciales de autenticación.
Prácticas recomendadas:
• Si tiene la intención de utilizar una autenticación de base de datos local, primero deberá crear la base de datos local. Seleccione Dispositivo > Base de datos de usuario local y añada los usuarios y grupos que se autenticarán.
• Si utiliza RADIUS para autenticar a usuarios desde el formato web, asegúrese de introducir un dominio de RADIUS. Esto se utilizará como el 2. dominio predeterminado si los usuarios no proporcionan uno al iniciar sesión. • Si utiliza AD para autenticar a usuarios desde el formato web, asegúrese de introducir sAMAccountName como LogonAttribute.
244
• Si tiene la intención de autenticar mediante LDAP, Kerberos o RADIUS, deberá crear un perfil de servidor que indique al cortafuegos cómo conectarse al servidor y acceder a las credenciales de autenticación de sus usuarios. Seleccione Dispositivo > Perfiles de servidor y añada un nuevo perfil para el servicio específico al que accederá.
Cree un perfil de autenticación que haga referencia al perfil de servidor o base de datos de usuario local que acaba de crear. Seleccione Dispositivo > Perfil de autenticación y añada un nuevo perfil para utilizarlo con el portal cautivo. Para obtener información detallada sobre cómo crear un tipo específico de perfil de autenticación, consulte la ayuda en línea.
User-ID
User-ID
Asignación de direcciones IP a usuarios
Configuración de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuación)
Paso 6
Nota
(Opcional) Configure la autenticación de 1. certificado de cliente. Tenga en cuenta que no necesita configurar tanto un perfil 2. de autenticación como un perfil de 3. certificado de cliente para habilitar el portal cautivo. Si configura los dos, el usuario deberá autenticar utilizando los dos métodos. Consulte la ayuda en línea para obtener detalles de otros campos de perfil de certificado, como si debe usar CRL u OCSP.
Genere certificados para cada usuario que vaya a autenticar mediante el portal cautivo. Descargue el certificado de CA en el formato Base64. Importe el certificado de CA raíz desde la CA que generó los certificados de cliente al cortafuegos: a. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y haga clic en Importar. b. Introduzca un Nombre de certificado que identifique al certificado como su certificado de CA de cliente. c. Seleccione Examinar para desplazarse al Archivo del certificado que descargó de la CA. d. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y, a continuación, haga clic en Aceptar. e. Seleccione el certificado que acaba de importar en la pestaña Certificados de dispositivos para abrirlo. f. Seleccione CA raíz de confianza y, a continuación, haga clic en Aceptar.
4.
Cree el perfil de certificado de cliente que utilizará cuando configure el portal cautivo. a. Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil del certificado, haga clic en Añadir e introduzca un Nombre de perfil. b. En el menú desplegable Campo de nombre de usuario, seleccione el campo de certificado que contenga la información de la identidad del usuario. c. En el campo Certificados de CA, haga clic en Añadir, seleccione el certificado de CA raíz de confianza que importó en el Paso 3 y, a continuación, haga clic en ACEPTAR.
Paso 7
Habilite la autenticación de NTLM.
Nota
Al utilizar el agente de identificación de usuarios incluido en el dispositivo, el cortafuegos debe poder resolver correctamente el nombre de DNS de su controlador de dominio para que el cortafuegos se una al dominio. Las credenciales que proporcione aquí se utilizarán para unir el cortafuegos al dominio tras la correcta resolución de DNS.
User-ID
1.
Seleccione Dispositivo > Identificación de usuarios > Asignación de usuario y haga clic en el icono Editar de la sección Configuración del agente de User-ID de Palo Alto Networks de la pantalla.
2.
En la pestaña NTLM, seleccione la casilla de verificación Habilitar procesamiento de autenticación de NTLM.
3.
Introduzca el dominio de NTLM con el que el agente de User-ID del cortafuegos debería comprobar las credenciales de NTLM.
4.
Introduzca el nombre de usuario y la contraseña de la cuenta de Active Directory que creó en el Paso 1 de Asignación de direcciones IP a usuarios mediante el agente de User-ID integrado para la autenticación de NTLM.
245
Asignación de direcciones IP a usuarios
User-ID
Configuración de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuación)
Paso 8
Configure los ajustes del portal cautivo. 1. Seleccione Dispositivo > Identificación de usuarios > Configuración de portal cautivo
y haga clic en el icono Editar Portal cautivo de la pantalla.
de la sección
2. Asegúrese de que la casilla de verificación Habilitado está seleccionada. 3. Establezca el Modo. Este ejemplo muestra cómo configurar el modo Redirigir. 4. (Únicamente en el modo Redirigir) Seleccione el Certificado de servidor que el cortafuegos debería utilizar para redirigir solicitudes a través de SSL. Este es el certificado que creó en el Paso 4. 5. (Únicamente en el modo Redirigir) Especifique el valor de Redirigir host, que es el nombre de host de intranet que resuelve a la dirección IP de la interfaz de capa 3 a la que está redirigiendo solicitudes, según lo especificado en el Paso 3. 6. Seleccione el método de autenticación que deberá utilizarse si falla NTLM (o si no está utilizando NTLM): • Si está utilizando la autenticación de LDAP, Kerberos, RADIUS o base de datos local, seleccione el Perfil de autenticación que creó en el Paso 5. • Si está utilizando la autenticación de certificado de cliente, seleccione el Perfil de certificado que creó en el Paso 6. 7. Haga clic en Aceptar para guardar la configuración. 8. Haga clic en Confirmar para guardar la configuración de portal cautivo.
Configuración de la asignación de usuarios para usuarios del servidor de terminal Los usuarios individuales del servidor de terminal parecen tener la misma dirección IP y, por lo tanto, una asignación de direcciones IP a nombres de usuarios no es suficiente para identificar a un usuario específico. Para habilitar la identificación de usuarios específicos en servidores de terminal basados en Windows, el agente de servicios de terminal (agente de TS) de Palo Alto Networks asignará un intervalo de puertos a cada usuario. A continuación, notificará a cada cortafuegos conectado sobre el intervalo de puertos asignado, lo que permitirá que el cortafuegos cree una tabla de asignaciones de direcciones IP, puertos y usuarios y habilite la aplicación de políticas de seguridad basadas en usuarios y grupos. Para los servidores de terminal que no sean de Windows, puede configurar la API XML de User-ID para que extraiga información de asignación de usuarios. Las siguientes secciones describen cómo configurar la asignación de usuarios para usuarios del servidor de terminal:
Configuración del agente de servidor de terminal de Palo Alto Networks para la asignación de usuarios
Recuperación de asignaciones de usuarios de un servidor de terminal mediante la API XML de User-ID
246
User-ID
User-ID
Asignación de direcciones IP a usuarios
Configuración del agente de servidor de terminal de Palo Alto Networks para la asignación de usuarios Utilice el siguiente procedimiento para instalar el agente de TS en el servidor de terminal. Debe instalar el agente de TS en todos los servidores de terminal en los que sus usuarios inicien sesión para asignar correctamente a todos sus usuarios. Para obtener información sobre los servidores de terminal admitidos por el agente de TS, consulte “Operating System (OS) Compatibility TS Agent” (en inglés) en las notas de versión de agente de servicios de terminal, que están disponibles en la página Actualizaciones de software de Palo Alto Networks.
Instalación del agente de servidor de terminal de Windows
Paso 1
Descargue el instalador de agente de TS.
1.
Vaya a https://support.paloaltonetworks.com y haga clic en Inicio de sesión para iniciar sesión en la asistencia técnica de Palo Alto Networks.
2.
Seleccione Actualizaciones de software en la sección Gestionar dispositivos.
3.
Desplácese hasta la sección Terminal Services Agent y haga clic en Descargar para descargar la versión del agente que quiera instalar.
4.
Guarde el archivo TaInstall64.x64-x.x.x-xx.msi o TaInstall-x.x.x-xx.msi (asegúrese de seleccionar la versión
adecuada basándose en si el sistema Windows está ejecutando un sistema operativo de 32 bits o de 64 bits) en los sistemas en los que tenga la intención de instalar el agente. Paso 2
Ejecute el instalador como administrador. 1.
2.
Para iniciar una línea de comandos como administrador, haga clic en Iniciar, haga clic con el botón derecho en Línea de comandos y, a continuación, seleccione Ejecutar como administrador. Desde la línea de comandos, ejecute el archivo .msi que ha descargado. Por ejemplo, si guardó el archivo .msi en el escritorio, debería introducir lo siguiente: C:\Users\administrator.acme>cd Desktop C:\Users\administrator.acme\Desktop>TaInstall-6.0. 0-1.msi
3.
Siga los mensajes de configuración para instalar el agente con los ajustes predeterminados. De manera predeterminada, el agente se instala en la carpeta C:\Program Files (x86)\Palo Alto Networks\Terminal Server Agent , pero puede hacer clic en Examinar para seleccionar una ubicación diferente.
4.
Cuando finalice la instalación, haga clic en Cerrar para cerrar la ventana de configuración.
Nota
User-ID
Si está actualizando a una versión de agente de TS con un controlador más reciente que el de la instalación existente, el asistente de instalación le solicitará reiniciar el sistema después de actualizar con el fin de utilizar el controlador más reciente.
247
Asignación de direcciones IP a usuarios
User-ID
Instalación del agente de servidor de terminal de Windows (Continuación)
Paso 3
Inicie la aplicación del agente de servidor Haga clic en Iniciar y seleccione Agente de servidor de terminal. de terminal.
Paso 4
Defina el intervalo de puertos para el agente de TS que debe asignarse a los usuarios finales.
Nota
1.
Seleccione Configurar.
2.
Establezca el Intervalo de asignación del puerto de origen (valor predeterminado: 20000-39999). Este es el intervalo completo de números de puertos que el agente de TS adjudicará para la asignación de usuarios. El intervalo de puertos que especifique no puede solaparse con el Intervalo de asignación del puerto de origen del sistema.
3.
(Opcional) Si hay puertos/intervalos de puertos en la asignación del puerto de origen que no desea que el agente de TS adjudique a sesiones de usuario, especifíquelos como Puertos de origen reservados. Para incluir varios intervalos, utilice comas sin espacios, por ejemplo: 2000-3000,3500,4000-5000 .
4.
Especifique el número de puertos que deben asignarse a cada usuario individual tras su inicio de sesión en el servidor de terminal en el campo Tamaño de inicio de asignación de puertos por usuario (valor predeterminado: 200).
Los campos Intervalo de asignación del puerto de origen del sistema y Puertos 5. de origen reservados del sistema especifican el intervalo de puertos que se asignará a las sesiones que no sean de 6. usuarios. Asegúrese de que los valores especificados en estos campos no se solapan con los puertos que designó para el tráfico de usuarios. Estos valores solamente pueden cambiarse editando los correspondientes ajustes de registro de Windows.
248
Especifique el Tamaño máximo de asignación de puertos por usuario, que es el número máximo de puertos que el agente de servidor de terminal puede asignar a un usuario individual. Especifique si desea continuar procesando el tráfico del usuario si el usuario se queda sin puertos asignados. De manera predeterminada, está seleccionada la opción Fallo en el enlace de puertos cuando se utilizan los puertos disponibles, que indica que la aplicación no enviará tráfico cuando se hayan utilizado todos los puertos. Para habilitar a los usuarios para que sigan utilizando aplicaciones cuando se queden sin puertos, cancele la selección de esta casilla de verificación. Recuerde que puede que este tráfico no se identifique con User-ID.
User-ID
User-ID
Asignación de direcciones IP a usuarios
Instalación del agente de servidor de terminal de Windows (Continuación)
Paso 5
Paso 6
User-ID
Configure los cortafuegos para conectarlos al agente de servidor de terminal.
Verifique que el agente de servidor de terminal está asignando correctamente direcciones IP a nombres de usuarios y que los cortafuegos pueden conectarse con el agente.
Realice los siguientes pasos en cada cortafuegos que quiera conectar al agente de servidor de terminal para recibir asignaciones de usuarios: 1. Seleccione Dispositivo > Identificación de usuarios > Agentes de servidor de terminal y haga clic en Añadir. 2.
Introduzca un Nombre para el agente de servidor de terminal.
3.
Introduzca la dirección IP del Host de Windows en el que está instalado el agente de servidor de terminal.
4.
Introduzca el número de Puerto en el que el agente escuchará solicitudes de asignación de usuarios. Este valor debe coincidir con el valor configurado en el agente de servidor de terminal. De manera predeterminada, el puerto se establece como 5009 en el cortafuegos y en el agente. Si lo cambia aquí, también debe cambiar el campo Puerto de escucha en la pantalla Configurar del agente de servidor de terminal.
5.
Asegúrese de que la configuración esté Habilitada y, a continuación, haga clic en ACEPTAR.
6.
Confirme los cambios.
7.
Verifique que el estado Conectado aparece como conectado.
1.
Inicie el agente de servidor de terminal y verifique que los cortafuegos pueden conectarse asegurándose de que el Estado de conexión de cada dispositivo de la lista de conexión es Conectado.
2.
Para verificar que el agente de servidor de terminal está asignando correctamente intervalos de puertos a nombres de usuarios, seleccione Supervisando y asegúrese de que la tabla de asignaciones se cumplimenta.
249
Asignación de direcciones IP a usuarios
User-ID
Recuperación de asignaciones de usuarios de un servidor de terminal mediante la API XML de User-ID La API XML de User-ID es una API REST que utiliza solicitudes HTTP estándar para enviar y recibir datos. Las llamadas de la API se pueden realizar directamente desde utilidades de la línea de comandos como cURL o usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la REST. Para habilitar un servidor de terminal que no sea de Windows para que envíe información de asignación de usuarios directamente al cortafuegos, cree secuencias de comandos que extraigan los eventos de inicio de sesión y cierre de sesión de usuarios y utilícelas para introducirlos en el formato de solicitud de API XML de User-ID. A continuación defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o wget y proporcionando la clave de API del cortafuegos para lograr comunicaciones seguras. La creación de asignaciones de usuarios desde sistemas multiusuario como servidores de terminal requiere el uso de los siguientes mensajes de la API:
: Establece la configuración para un sistema multiusuario de la API XML en el cortafuegos. Este mensaje permite la definición de la dirección IP de servidor de terminal (esta será la dirección de origen para todos los usuarios de ese servidor de terminal). Además, el mensaje de configuración especifica el intervalo de números de puertos de origen que debe adjudicarse para la asignación de usuarios y el número de puertos que debe adjudicarse a cada usuario individual después de iniciar sesión (lo que se denomina tamaño de bloque). Si quiere utilizar el intervalo de asignación del puerto de origen predeterminado (1025-65534) y el tamaño de bloque (200), no necesita enviar un evento de configuración al cortafuegos. En vez de eso, el cortafuegos generará automáticamente la configuración del sistema multiusuario de la API XML con los ajustes predeterminados tras recibir el primer mensaje de evento de inicio de sesión de usuario.
: Se utiliza con los mensajes y para indicar el número de puerto de origen de partida asignado al usuario. A continuación, el cortafuegos utiliza el tamaño de bloque para determinar el intervalo de números de puertos que debe asignarse a la dirección IP y al nombre de usuario del mensaje de inicio de sesión. Por ejemplo, si el valor de es 13200 y el tamaño de bloque configurado para el sistema multiusuario es 300, el intervalo del puerto de origen asignado al usuario es del 13200 al 13499. Cada conexión iniciada por el usuario debería utilizar un número de puerto de origen exclusivo dentro del intervalo asignado, permitiendo que el cortafuegos identifique al usuario basándose en sus asignaciones de direcciones IP, puertos y usuarios para la aplicación de reglas de políticas de seguridad basadas en usuarios y grupos. Cuando un usuario agota todos los puertos asignados, el servidor de terminal debe enviar un nuevo mensaje que asigne un nuevo intervalo de puertos para el usuario con el fin de que el cortafuegos pueda actualizar la asignación de direcciones IP, puertos y usuarios. Además, un único nombre de usuario puede tener varios bloques de puertos asignados simultáneamente. Cuando un cortafuegos recibe un mensaje que incluye un parámetro , elimina la correspondiente asignación de dirección IP, puerto y usuario de su tabla de asignaciones. Cuando el cortafuegos recibe un mensaje con un nombre de usuario y una dirección IP, pero sin , elimina al usuario de su tabla. Y si el cortafuegos recibe un mensaje únicamente con una dirección IP, elimina el sistema multiusuario y todas las asignaciones asociadas al mismo. Los archivos XML que el servidor de terminal envía al cortafuegos pueden contener varios tipos de mensajes y estos mensajes no tienen que estar en ningún orden específico dentro del archivo. Sin embargo, al recibir un archivo XML que contenga varios tipos de mensajes, el cortafuegos los procesará en el siguiente orden: solicitudes multiusersystem en primer lugar, seguidas de inicios de sesión y cierres de sesión.
250
User-ID
User-ID
Asignación de direcciones IP a usuarios
El siguiente flujo de trabajo ofrece un ejemplo de cómo utilizar la API XML de User-ID para enviar asignaciones de usuarios desde un servidor de terminal que no sea de Windows al cortafuegos. Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean de Windows
Paso 1
Genere la clave de API que se utilizará para autenticar la comunicación de la API entre el cortafuegos y el servidor de terminal. Para generar la clave, debe proporcionar credenciales de inicio de sesión para una cuenta administrativa; la API está disponible para todos los administradores (incluidos los administradores basados en funciones con privilegios de la API XML habilitados).
Desde un explorador, inicie sesión en el cortafuegos. A continuación, para generar la clave de API para el cortafuegos, abra una nueva ventana del explorador e introduzca la siguiente URL: https:///api/?type=keygen&user=& password=
donde es la dirección IP o FQDN del cortafuegos y y son las credenciales para la cuenta de usuario administrativo del cortafuegos. Por ejemplo: https://10.1.2.5/api/?type=keygen&user=admin&password=admin
El cortafuegos responde con un mensaje que contiene la clave, por ejemplo: k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=
Nota
Todos los caracteres especiales de la contraseña deben estar codificados con URL/porcentaje.
Paso 2
A continuación puede ver un mensaje de configuración de muestra: (Opcional) Genere un mensaje de configuración que el servidor de terminal enviará para especificar el intervalo de puertos y el tamaño de bloque utiliza su agente de servicios de terminal. update Si el agente de servicios de 1.0 terminal no envía un mensaje de configuración, el cortafuegos automáticamente donde entry ip especifica la dirección IP asignada a los usuarios del servidor de terminal, startport y endport especifican el intervalo de puertos que debe creará una configuración de utilizarse al asignar puertos a usuarios individuales y blocksize especifica el agente de servidor de terminal número de puertos que debe asignarse a cada usuario. El tamaño de bloque mediante los siguientes ajustes máximo es 4000 y cada sistema multiusuario puede asignar un máximo de 1000 predeterminados tras recibir el bloques. primer mensaje de inicio de sesión: Si define un tamaño de bloque y/o intervalo de puertos personalizado, recuerde que debe configurar los valores de modo que se asignen todos los puertos del • Intervalo de puertos predeterminado: De 1025 a intervalo y que no haya huecos ni puertos sin utilizar. Por ejemplo, si establece el intervalo de puertos como 1000-1499, podría establecer el tamaño de bloque 65534 como 100, pero no como 200. Esto se debe a que si lo estableciera como 200, • Tamaño de bloque por habría puertos sin utilizar al final del intervalo. usuario: 200
• Número máximo de sistemas multiusuario: 1000
User-ID
251
Asignación de direcciones IP a usuarios
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean de Windows (Continuación)
Paso 3
Cree una secuencia de comandos que extraiga los eventos de inicio de sesión y cree el archivo de entrada XML que debe enviarse al cortafuegos. Asegúrese de que la secuencia de comandos aplica la asignación de intervalos de números de puertos con límites fijos y sin que los puertos se solapen. Por ejemplo, si el intervalo de puertos es 1000-1999 y el tamaño de bloque es 200, los valores aceptables de blockstart serían 1000, 1200, 1400, 1600 o 1800. Los valores de blockstart 1001, 1300 o 1850 no serían aceptables porque algunos de los números de puertos del intervalo se quedarían sin utilizar.
Nota
252
A continuación se muestra el formato del archivo de entrada de un evento de inicio de sesión XML de User-ID: update 1.0
El cortafuegos utiliza esta información para cumplimentar su tabla de asignaciones de usuarios. Basándose en las asignaciones extraídas del ejemplo anterior, si el cortafuegos recibiera un paquete cuya dirección y cuyo puerto de origen fueran 10.1.1.23:20101, asignaría la solicitud al usuario jparker para la aplicación de políticas. Nota
Cada sistema multiusuario puede asignar un máximo de 1.000 bloques de puertos.
La carga de eventos de inicio de sesión que el servidor de terminal envía al cortafuegos puede contener varios eventos de inicio de sesión.
User-ID
User-ID
Asignación de direcciones IP a usuarios
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean de Windows (Continuación)
Paso 4
Cree una secuencia de comandos que extraiga los eventos de cierre de sesión y cree el archivo de entrada XML que debe enviarse al cortafuegos.
A continuación se muestra el formato del archivo de entrada de un evento de cierre de sesión XML de User-ID: update 1.0
Tras recibir un mensaje de evento logout con un parámetro blockstart , el cortafuegos elimina la correspondiente asignación de Nota dirección IP, puerto y usuario. Si el mensaje logout contiene un nombre de usuario y una dirección IP, pero ningún parámetro blockstart , el cortafuegos eliminará todas las asignaciones del usuario. Si el mensaje logout solamente contiene una dirección IP, el cortafuegos eliminará el sistema multiusuario y todas las asignaciones asociadas. Paso 5
User-ID
Asegúrese de que las secuencias de comandos que cree incluyan un modo de aplicar dinámicamente que el intervalo de bloques de puertos asignado mediante la API XML coincida con el puerto de origen asignado al usuario en el servidor de terminal y que la asignación se elimine cuando el usuario cierre sesión o cuando cambie la asignación de puertos.
También puede borrar del cortafuegos la entrada del sistema multiusuario mediante el siguiente comando de la CLI: clear xml-api multiusersystem
Una forma de hacerlo sería utilizar reglas de NAT netfilter para ocultar sesiones de usuarios detrás de los intervalos de puertos específicos asignados a través de la API XML basándose en el UID. Por ejemplo, para garantizar que un usuario cuyo User-ID sea jjaso se asigne a una traducción de direcciones de red de origen (SNAT) cuyo valor sea 10.1.1.23:20000-20099, la secuencia de comandos que cree debería incluir lo siguiente: [root@ts1 ~]# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso -p tcp -j SNAT --to-source 10.1.1.23:20000-20099
Del mismo modo, las secuencias de comandos que cree también deberían garantizar que la configuración de enrutamiento de la tabla de IP elimine dinámicamente la asignación de SNAT cuando el usuario cierre sesión o cuando cambie la asignación de puertos: [root@ts1 ~]# iptables -t nat -D POSTROUTING 1
253
Asignación de direcciones IP a usuarios
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean de Windows (Continuación)
Paso 6
Defina cómo empaquetar los archivos de entrada XML que contienen los eventos de configuración, inicio de sesión y cierre de sesión en mensajes wget o cURL para su transmisión al cortafuegos.
Para aplicar los archivos al cortafuegos mediante wget: > wget --post file “https:///api/?type=user-id&key=&file-name=< input_filename.xml>&client=wget&vsys=”
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml al cortafuegos en 10.2.5.11 utilizando la clave k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg con wget tendría el siguiente aspecto: > wget --post file login.xml “https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZu gWx7ot%2BgzEA9UOnlZRg&file-name=login.xml&client=wget&vsys=vsys1”
Para aplicar el archivo al cortafuegos mediante cURL: > curl --form file=@ https:///api/?type=user-id&key=&vsys=
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml al cortafuegos en 10.2.5.11 utilizando la clave k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRgconcURLtendríael siguiente aspecto: > curl --form [email protected] “https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx7ot% 2BgzEA9UOnlZRg&vsys=vsys1”
Paso 7
Verifique que el cortafuegos esté recibiendo correctamente eventos de inicio de sesión de los servidores de terminal.
Verifique la configuración abriendo una conexión de SSH con el cortafuegos y, a continuación, ejecutando los siguientes comandos de la CLI: Para verificar si el servidor de terminal se está conectando con el cortafuegos a través de XML: admin@PA-5050> show user xml-api multiusersystem Host Vsys Users Blocks ---------------------------------------10.5.204.43 vsys1 5 2
Para verificar que el cortafuegos está recibiendo asignaciones de un servidor de terminal a través de XML: admin@PA-5050> show user ip-port-user-mapping all Global max host index 1, host hash count 1 XML API Multi-user System 10.5.204.43 Vsys 1, Flag 3 Port range: 20000 - 39999 Port size: start 200; max 2000 Block count 100, port count 20000 20000-20199: acme\administrator Total host: 1
Envío de asignaciones de usuarios a User-ID mediante la API XML Aunque la función User-ID proporciona muchos de los métodos listos para usar para obtener información de asignación de usuarios, puede que tenga algunas aplicaciones o algunos dispositivos que capturen información de usuario que no se pueda integrar de forma nativa con User-ID. En este caso, puede utilizar la API XML de User-ID para crear secuencias de comandos personalizadas que le permitan aprovechar datos de usuarios existentes y enviarlos al agente de User-ID o directamente al cortafuegos.
254
User-ID
User-ID
Asignación de direcciones IP a usuarios
La API XML de User-ID es una API REST que utiliza solicitudes HTTP estándar para enviar y recibir datos. Las llamadas de la API se pueden realizar directamente desde utilidades de la línea de comandos como cURL o usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la REST. Para aprovechar datos de usuarios de un sistema existente (como una aplicación personalizada desarrollada internamente u otro dispositivo que no esté admitido por uno de los mecanismos de asignación de usuarios existentes) puede crear secuencias de comandos personalizadas para extraer los datos y enviarlos al cortafuegos o al agente de User-ID mediante la API XML. Para habilitar un sistema externo para que envíe información de asignación de usuarios al agente de User-ID o directamente al cortafuegos, puede crear secuencias de comandos que extraigan los eventos de inicio de sesión y cierre de sesión de usuarios y utilizarlas para introducirlos en el formato de solicitud de API XML de User-ID. A continuación defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o wget mediante la clave de API del cortafuegos para lograr comunicaciones seguras. Para obtener información más detallada, consulte PAN-OS XML API Usage Guide (en inglés).
Configuración de un cortafuegos para compartir datos de asignación de usuarios con otros cortafuegos Como la política es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las asignaciones de direcciones IP a nombres de usuarios para aplicar de forma precisa la política de seguridad según el grupo o usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las asignaciones de usuarios y, a continuación, las redistribuya a los otros cortafuegos. El cortafuegos de redistribución puede utilizar cualquier método para recopilar asignaciones de usuarios y asignaciones de grupos y, a continuación, actuará como agente de User-ID para compartir esa información con otros cortafuegos. Los cortafuegos receptores deben estar configurados para extraer la información de asignación directamente desde el cortafuegos de redistribución y no necesitan comunicarse directamente con ningún servidor de dominio.
El siguiente procedimiento describe cómo configurar la redistribución de información de User-ID.
User-ID
255
Asignación de direcciones IP a usuarios
User-ID
Configuración de un cortafuegos para redistribuir asignaciones de usuarios
Paso 1
Configure el cortafuegos de redistribución.
Nota
Las configuraciones de User-ID solamente se aplican a un único sistema virtual. Para redistribuir asignaciones de User-ID de varios sistemas virtuales, debe configurar los ajustes de asignación de usuarios en cada sistema virtual por separado, utilizando una clave precompartida exclusiva en cada configuración.
Paso 2
256
1.
Seleccione Dispositivo > Identificación de usuarios > Asignación de usuario y edite la sección Configuración del agente de User-ID de Palo Alto Networks.
2.
Seleccione Redistribución.
3.
Introduzca un Nombre del recopilador.
4.
Introduzca y confirme la Clave precompartida que permitirá que otros cortafuegos se conecten con este cortafuegos para recuperar información de asignación de usuarios.
5.
Haga clic en ACEPTAR para guardar la configuración de redistribución.
Cree un perfil de gestión de interfaz que 1. habilite el servicio de User-ID y adjúntelo a la interfaz a la que se conectarán el resto 2. de cortafuegos para recuperar asignaciones de usuarios.
Seleccione Red > Perfiles de red > Gestión de interfaz y haga clic en Añadir. Introduzca un Nombre para el perfil y, a continuación, seleccione los servicios permitidos. Como mínimo, seleccione Servicio de User-ID y HTTPS.
3.
Haga clic en Aceptar para guardar el perfil.
4.
Seleccione Red > Interfaces > Ethernet y seleccione la interfaz que tiene la intención de utilizar para la redistribución.
5.
En la pestaña Avanzada > Otra información, seleccione el Perfil de gestión que acaba de crear.
6.
Haga clic en ACEPTAR y Confirmar.
User-ID
User-ID
Asignación de direcciones IP a usuarios
Configuración de un cortafuegos para redistribuir asignaciones de usuarios (Continuación)
Realice los siguientes pasos en cada cortafuegos que quiera que pueda recuperar asignaciones de usuarios: 1. Seleccione Dispositivo > Identificación de usuarios > Agentes de User-ID.
Paso 3
Configure los otros cortafuegos para recuperar asignaciones de usuarios del cortafuegos de redistribución.
Nota
Si el cortafuegos de redistribución tiene varios sistemas virtuales configurados 2. para la redistribución, asegúrese de que está utilizando la clave precompartida que 3. corresponda al sistema virtual del que quiera que este cortafuegos recupere asignaciones de User-ID. 4.
Haga clic en Añadir e introduzca un Nombre de agente de User-ID para el cortafuegos de redistribución. Introduzca el nombre de host o la dirección IP de la interfaz del cortafuegos que configuró para la redistribución en el campo Host. Introduzca 5007 como número de Puerto en el que el cortafuegos de redistribución escuchará solicitudes de User-ID.
5.
Introduzca el Nombre del recopilador que especificó en la configuración del cortafuegos de redistribución (Paso 1-3).
6.
Introduzca y confirme la Recopilador anterior a la clave compartida. El valor de clave que introduzca aquí debe coincidir con el valor configurado en el cortafuegos de redistribución (Paso 1-4).
7.
(Opcional) Si está utilizando el cortafuegos de redistribución para recuperar asignaciones de grupos además de asignaciones de usuarios, seleccione la casilla de verificación Utilizar como Proxy LDAP.
8.
(Opcional) Si está utilizando el cortafuegos de redistribución para la autenticación de portal cautivo, seleccione la casilla de verificación Utilizar para autenticación NTLM.
9.
Asegúrese de que la configuración esté Habilitada y, a continuación, haga clic en ACEPTAR.
10. Confirme los cambios. Paso 4
Verifique la configuración.
En la pestaña Agentes de User-ID, verifique que la entrada del cortafuegos de redistribución que acaba de añadir muestra un icono verde en la columna Conectado. Si aparece un icono rojo, compruebe los logs de tráfico (Supervisar > Logs > Tráfico) para identificar el problema. También puede comprobar si se han recibido datos de asignación de usuarios ejecutando los siguientes comandos de operación de la CLI: show user ip-user-mapping (para ver información de asignación
de usuarios en el plano de datos) show user ip-user-mapping-mp (para ver asignaciones en el plano
de gestión).
User-ID
257
Habilitación de política basada en usuarios y grupos
User-ID
Habilitación de política basada en usuarios y grupos Para habilitar una política de seguridad basada en usuarios y/o grupos, debe habilitar User-ID para cada zona que contenga usuarios que desee identificar. A continuación, podrá definir políticas que permitan o denieguen el tráfico basándose en el nombre de usuario o la pertenencia a un grupo. Además, puede crear políticas de portal cautivo para habilitar la identificación de direcciones IP que todavía no tienen datos de usuario asociados a las mismas. Habilitación de política basada en usuarios y grupos
Paso 1
Habilite User-ID en las zonas de origen que contengan los usuarios que enviarán solicitudes que requieran controles de acceso basados en usuarios. 1. Seleccione Red > Zonas. 2. Haga clic en el Nombre de la zona en la que desee habilitar User-ID para abrir el cuadro de diálogo Zona. 3. Seleccione la casilla de verificación Habilitación de la identificación de usuarios y, a continuación, haga clic en Aceptar.
258
User-ID
User-ID
Habilitación de política basada en usuarios y grupos
Habilitación de política basada en usuarios y grupos (Continuación)
Paso 2
Cree políticas de seguridad basadas en usuarios y/o grupos.
Nota
La práctica recomendada es crear políticas basadas en grupos en lugar de en usuarios siempre que sea posible. Esto evita que tenga que actualizar continuamente sus políticas (lo que requiere una confirmación) cada vez que cambie su base de usuarios.
1.
Después de configurar User-ID, podrá seleccionar un nombre de usuario o grupo al definir el origen o el destino de una regla de seguridad: a. Seleccione Políticas > Seguridad y haga clic en Añadir para crear una nueva política o haga clic en un nombre de regla de política existente para abrir el cuadro de diálogo Regla de política de seguridad. b. Especifique qué usuarios y/o grupos deben coincidir en la política de una de las siguientes formas: – Si desea especificar usuarios/grupos en concreto como criterios de coincidencia, seleccione la pestaña Usuario y haga clic en el botón Añadir en la sección Usuario de origen para mostrar una lista de usuarios y grupos detectados por la función de asignación de grupos del cortafuegos. Seleccione los usuarios y/o grupos que deben añadirse a la política. – Si desea que la política coincida con cualquier usuario que se haya autenticado correctamente o no y no necesita conocer el nombre específico del usuario o grupo, seleccione Usuario conocido o Desconocido en la lista desplegable que se encuentra encima de la lista Usuario de origen.
2.
User-ID
Configure el resto de la política según sea adecuado y, a continuación, haga clic en Aceptar para guardarla. Para obtener información detallada sobre otros campos de la política de seguridad, consulte Configuración de políticas de seguridad básicas.
259
Habilitación de política basada en usuarios y grupos
User-ID
Habilitación de política basada en usuarios y grupos (Continuación)
Paso 3
Cree sus políticas de portal cautivo. 1. Seleccione Políticas > Portal cautivo. 2. Haga clic en Añadir e introduzca un Nombre para la política. 3. Defina los criterios de coincidencia para la regla cumplimentando las pestañas Origen, Destino y Categoría de URL/servicio según sea adecuado para que coincidan con el tráfico que desee autenticar. Los criterios de coincidencia de estas pestañas son los mismos que los criterios que definió al crear una política de seguridad. Consulte Configuración de políticas de seguridad básicas para obtener información detallada. 4. Defina la Acción que se debe realizar en el tráfico que coincida con la regla. Puede elegir entre lo siguiente: • No hay ningún portal cautivo: Permite el paso del tráfico sin abrir una página de portal cautivo para su autenticación. • Formato web: Abre una página de portal cautivo en la que el usuario debe introducir explícitamente las credenciales de autenticación o utilizar la autenticación de certificado de cliente. • Reto de explorador: Abre una solicitud de autenticación de NTLM en el explorador web del usuario. El explorador web responderá utilizando las credenciales de inicio de sesión actuales del usuario. Si las credenciales de inicio de sesión no están disponibles, se pedirá al usuario que las proporcione. 5. Haga clic en ACEPTAR. El ejemplo siguiente muestra una política de portal cautivo que indica al cortafuegos que debe abrir un formato web para autenticar a usuarios desconocidos que envíen solicitudes de HTTP desde la zona fiable a la zona no fiable.
Paso 4
260
Guarde sus ajustes de política.
Haga clic en Confirmar.
User-ID
User-ID
Verificación de la configuración de User-ID
Verificación de la configuración de User-ID Después de configurar la asignación de grupos y la asignación de usuarios y habilitar User-ID en sus políticas de seguridad y políticas de portal cautivo, debería verificar que funciona correctamente. Verificación de la configuración de User-ID
Paso 1 Paso 2
Verifique que la asignación de grupos funciona.
Desde la CLI, introduzca el siguiente comando: show user group-mapping statistics
Verifique que la asignación de usuarios funciona.
Si está utilizando el agente de User-ID incluido en el dispositivo, podrá verificarlo desde la CLI utilizando el siguiente comando: show user ip-user-mapping-mp all IP (sec)
Vsys
From
User
Timeout
-----------------------------------------------------192.168.201.1 vsys1 UIA 192.168.201.11vsys1UIA 192.168.201.50 vsys1 UIA
acme\george acme\duane acme\betsy
210 210 210
192.168.201.10vsys1UIA
acme\administrator
210
192.168.201.100vsys1AD
acme\administrator
748
Total: 5 users *: WMI probe succeeded
Paso 3
Compruebe su política de seguridad.
• Desde una máquina en la zona donde esté habilitado User-ID, intente acceder a sitios y aplicaciones para comprobar las reglas que ha definido en su política y asegúrese de que el tráfico se permite y deniega del modo esperado. • También puede utilizar el comando test security-policy-match para determinar si la política se ha configurado correctamente. Por ejemplo, supongamos que tiene una regla que bloquea al usuario duane y le impide jugar a World of Warcraft. Podría comprobar la política del modo siguiente: test security-policy-match application worldofwarcraft source-user acme\duane source any destination any destination-port any protocol 6 "deny worldofwarcraft" { from corporate; source any; source-region any; to internet; destination any; destination-region any; user acme\duane; category any; application/service worldofwarcraft; action deny; terminal no; }
User-ID
261
Verificación de la configuración de User-ID
User-ID
Verificación de la configuración de User-ID (Continuación)
Paso 4
Compruebe su configuración de portal cautivo.
1.
Desde la misma zona, vaya a una máquina que no sea miembro de su directorio, como un sistema Mac OS, e intente hacer ping a un sistema externo a la zona. El ping debería funcionar sin requerir autenticación.
2.
Desde la misma máquina, abra un explorador y desplácese hasta un sitio web en una zona de destino que coincida con una política de portal cautivo que haya definido. Debería ver el formato web de portal cautivo.
3.
Inicie sesión utilizando las credenciales correctas y confirme que se le ha redirigido a la página solicitada.
4.
También puede comprobar su política de portal cautivo utilizando el comando test cp-policy-match de la manera siguiente: test cp-policy-match from corporate to internet source 192.168.201.10 destination 8.8.8.8
Matched rule: 'captive portal' action: web-form
Paso 5
262
Verifique que los nombres de usuario se muestran en los archivos de log (Supervisar > Logs).
User-ID
User-ID
Verificación de la configuración de User-ID
Verificación de la configuración de User-ID (Continuación)
Paso 6
User-ID
Verifique que los nombres de usuario se muestran en los informes (Supervisar > Informes). Por ejemplo, al examinar el informe de aplicaciones denegadas, debería ver una lista de los usuarios que intentaron acceder a las aplicaciones como en el ejemplo siguiente.
263
Verificación de la configuración de User-ID
264
User-ID
User-ID
App-ID Para habilitar aplicaciones de forma segura en su red, los cortafuegos de próxima generación de Palo Alto Networks ofrecen protección tanto para aplicaciones como para Internet (App-ID y filtrado de URL) frente a una amplia gama de riesgos legales, normativos, de productividad y de uso de recursos. App-ID le permite visualizar las aplicaciones de la red, para que así pueda saber cómo funcionan y comprender las características de su comportamiento y su riesgo relativo. Los conocimientos de esta aplicación le permiten crear y aplicar políticas de seguridad para habilitar, inspeccionar y moldear las aplicaciones que desee y bloquear las que no desee. Cuando defina políticas para empezar a permitir el tráfico, App-ID empezará a clasificar el tráfico sin ninguna configuración adicional.
¿Qué es App-ID?
¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas?
Prácticas recomendadas para utilizar App-ID en políticas
Aplicaciones con compatibilidad implícita
Acerca de las puertas de enlace de nivel de aplicación
Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP
App-ID
265
¿Qué es App-ID?
App-ID
¿Qué es App-ID? App-ID, un sistema de clasificación de tráfico patentado únicamente disponible en cortafuegos de Palo Alto Networks, determina qué es la aplicación, independientemente del puerto, el protocolo, el cifrado (SSH o SSL) o cualquier otra táctica evasiva utilizada por la aplicación. Aplica múltiples mecanismos de clasificación (firmas de aplicaciones, descodificación de protocolos de aplicaciones y heurística) al flujo de tráfico de su red para identificar aplicaciones de forma precisa. App-ID identifica las aplicaciones que pasan por su red de la siguiente forma:
El tráfico se compara con la política para comprobar si está permitido en la red.
A continuación, se aplican firmas al tráfico permitido para identificar la aplicación en función de sus propiedades y características de transacciones. La firma también determina si la aplicación se está utilizando en su puerto predeterminado o si está utilizando un puerto no estándar. Si la política permite el tráfico, a continuación este se examina en busca de amenazas y se analiza en mayor profundidad para identificar la aplicación de manera más granular.
Si App-ID determina que el cifrado (SSL o SSH) ya está en uso y se está aplicando una política de descifrado, la sesión se descifra y las firmas de la aplicación se aplican de nuevo sobre el flujo descifrado.
Posteriormente, los descifradores de protocolos conocidos se utilizan para aplicar firmas adicionales basadas en contextos para detectar otras aplicaciones que podrían estar pasando por dentro del protocolo (por ejemplo, Yahoo! Instant Messenger a través de HTTP). Los descifradores validan que el tráfico cumple con la especificación del protocolo y ofrecen asistencia para la NAT transversal y la apertura de pinholes dinámicos para aplicaciones como SIP y FTP.
Para aplicaciones que son especialmente evasivas y que no se pueden identificar mediante firmas avanzadas y análisis de protocolos, podrán utilizarse la heurística o los análisis de comportamiento para determinar la identidad de la aplicación.
Cuando se identifica la aplicación, la comprobación de la política determina cómo tratar la aplicación: por ejemplo, bloquearla o autorizarla y analizarla en busca de amenazas, inspeccionar la transferencia no autorizada de archivos y patrones de datos o moldearla utilizando QoS.
266
App-ID
App-ID
¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas?
¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas? Palo Alto Networks proporciona actualizaciones semanales de App-ID para identificar nuevas aplicaciones. De manera predeterminada, App-ID siempre está habilitado en el cortafuegos y no necesita habilitar una serie de firmas para identificar aplicaciones conocidas. Normalmente, las únicas aplicaciones clasificadas como tráfico desconocido (tcp, udp o tcp no sincronizado) en el ACC y los logs de tráfico son aplicaciones disponibles comercialmente que todavía no se han añadido a App-ID, aplicaciones internas o personalizadas de su red o posibles amenazas. En ocasiones, el cortafuegos puede determinar que una aplicación es desconocida por los siguientes motivos:
Datos incompletos: Se establece un protocolo, pero no se ha enviado ningún paquete de datos antes del tiempo de espera.
Datos insuficientes: Se establece un protocolo seguido por uno o más paquetes de datos; sin embargo, no se han intercambiado suficientes paquetes de datos para identificar la aplicación.
Las siguientes opciones están disponibles para gestionar aplicaciones desconocidas:
Cree políticas de seguridad para controlar aplicaciones desconocidas por TCP desconocido, UDP desconocido o por una combinación de zona de origen, zona de destino y direcciones IP.
Solicite una App-ID de Palo Alto Networks: Si desea inspeccionar y controlar las aplicaciones que atraviesan su red, en el caso de cualquier tráfico desconocido, puede registrar una captura de paquetes. Si la captura de paquetes revela que la aplicación es una aplicación comercial, puede enviar esta captura de paquetes a Palo Alto Networks para que App-ID lo desarrolle. Si es una aplicación interna, puede crear una App-ID personalizada y/o definir una política de cancelación de aplicación.
Cree una App-ID personalizada con una firma y adjúntela a una política de seguridad, o bien cree una App-ID personalizada y defina una política de cancelación de aplicación. Una App-ID personalizada le permite personalizar la definición de la aplicación interna (sus características, categoría y subcategoría, riesgo, puerto y tiempo de espera) y ejercer un control granular de las políticas para reducir al mínimo el rango de tráfico no identificado en su red. La creación de una App-ID personalizada también le permite identificar correctamente la aplicación en el ACC y los logs de tráfico y resulta de utilidad a la hora de realizar auditorías/informes de las aplicaciones de su red. En el caso de una aplicación personalizada, puede especificar una firma y un patrón que identifiquen de manera exclusiva la aplicación y la adjunten a una política de seguridad que permita o niegue la aplicación. Para recopilar los datos correctos y así crear una firma de aplicación personalizada, necesitará comprender bien las capturas de paquetes y cómo se forman los datagramas. Si la firma se crea de manera demasiado amplia, puede que incluya otro tráfico similar de forma accidental; si se define de manera demasiado reducida, el tráfico evadirá la detección si no coincide exactamente con el patrón. Las App-ID personalizadas se almacenan en una base de datos separada del cortafuegos y su base de datos no se ve afectada por las actualizaciones semanales de App-ID. Los descifradores de protocolos de aplicaciones admitidos que habilitan el cortafuegos para que detecte las aplicaciones que puedan estar pasando a través de un túnel por dentro del protocolo incluyen los siguientes, según la actualización de contenido 424: HTTP, HTTPS, DNS, FTP, IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH, GNU-Debugger, GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (también conocido como CIFS). Además, con la versión 4.0 de PAN-OS, esta capacidad de App-ID personalizada se ha ampliado para incluir también TCP desconocido y UDP desconocido.
App-ID
267
¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas?
App-ID
De forma alternativa, si desea que el cortafuegos procese la aplicación personalizada utilizando el método rápido (la inspección de capa 4 en lugar de utilizar App-ID para la inspección de capa 7), puede hacer referencia a la App-ID personalizada en una política de cancelación de aplicación. Una cancelación de aplicación con una aplicación personalizada evitará que el motor de App-ID procese la sesión, lo cual es una inspección de capa 7. Por el contrario, obliga a que el cortafuegos gestione la sesión como un cortafuegos de inspección de estado normal en la capa 4, con lo que ahorra tiempo de procesamiento de la aplicación. Por ejemplo, si crea una aplicación personalizada que se activa en el encabezado de un host www.misitioweb.com, los paquetes se identifican primero como exploración web y, a continuación, se identifican con su aplicación personalizada (cuya aplicación principal es exploración web). Dado que la aplicación principal es exploración web, la aplicación personalizada se inspecciona como capa 7 y se examina en busca de contenido y vulnerabilidades. Si define una cancelación de aplicación, el cortafuegos deja de procesar en la capa 4. El nombre de la aplicación personalizada se asigna a la sesión para ayudar a identificarla en los logs y no se examina el tráfico en busca de amenazas. Si desea información más detallada, consulte los siguientes artículos:
Handling Unknown Applications (en inglés)
Vídeo: Create a Custom App-ID (en inglés)
Custom Application Signatures (en inglés)
268
App-ID
App-ID
Prácticas recomendadas para utilizar App-ID en políticas
Prácticas recomendadas para utilizar App-ID en políticas 1.
Consulte el ACC para obtener la lista de aplicaciones de su red y determine qué aplicaciones permitir o bloquear. Si está migrando desde un cortafuegos donde definió reglas basadas en puertos, para obtener una lista de las aplicaciones que se ejecutan en un puerto determinado, busque el número de puerto en el explorador de aplicaciones (Objetos > Aplicaciones) del cortafuegos de Palo Alto Networks o en Applipedia.
2.
Utilice predeterminado de aplicación para el Servicio. El cortafuegos compara el puerto utilizado con la lista de puertos predeterminados para esa aplicación. Si el puerto utilizado no es un puerto predeterminado para la aplicación, el cortafuegos descarta la sesión y registra en el log el mensaje appid policy lookup deny. Si tiene una aplicación a la que se accede desde varios puertos y desea limitar los puertos en los que se utiliza la aplicación, especifíquelo en los objetos Servicio/Grupo de servicios de las políticas.
3.
Utilice filtros de aplicación para incluir dinámicamente nuevas aplicaciones en reglas de política existentes. Vea un ejemplo.
App-ID
269
Aplicaciones con compatibilidad implícita
App-ID
Aplicaciones con compatibilidad implícita Cuando cree una política para permitir aplicaciones específicas, también debe asegurarse de permitir cualquier otra aplicación de la que dependa la aplicación en cuestión. En muchos casos, no tiene que permitir de manera explícita el acceso a las aplicaciones dependientes para que el tráfico fluya, ya que el cortafuegos es capaz de determinar las dependencias y permitirlas de manera implícita. Esta compatibilidad implícita también se aplica a las aplicaciones personalizadas que se basen en HTTP, SSL, MS-RPC o RTSP. Las aplicaciones para las que el cortafuegos no pueda determinar las aplicaciones dependientes a tiempo requerirán que permita de manera explícita las aplicaciones dependientes al definir sus políticas. Puede determinar las dependencias de las aplicaciones en Applipedia. La tabla siguiente enumera las aplicaciones para las que el cortafuegos tiene una compatibilidad implícita (según la actualización de contenido 436). Tabla: Aplicaciones con compatibilidad implícita Aplicación
Admite implícitamente
360-safeguard-update
http
apple-update
http
apt-get
http
as2
http
avg-update
http
avira-antivir-update
http, ssl
blokus
rtmp
bugzilla
http
clubcooee
http
corba
http
cubby
http, ssl
dropbox
ssl
esignal
http
evernote
http, ssl
ezhelp
http
facebook
http, ssl
facebook-chat
jabber
facebook-social-plugin
http
fastviewer
http, ssl
forticlient-update
http
gmail
http
270
App-ID
App-ID
Aplicaciones con compatibilidad implícita
Aplicación
Admite implícitamente
good-for-enterprise
http, ssl
google-cloud-print
http, ssl, jabber
google-desktop
http
google-drive-web
http
google-talk
jabber
google-update
http
gotomypc-desktop-sharing
citrix-jedi
gotomypc-file-transfer
citrix-jedi
gotomypc-printing
citrix-jedi
hipchat
http
iheartradio
ssl, http, rtmp
ifront
http
instagram
http, ssl
issuu
http, ssl
java-update
http
jepptech-updates
http
kerberos
rpc
kik
http, ssl
lastpass
http, ssl
logmein
http, ssl
mcafee-update
http
megaupload
http
metatrader
http
mocha-rdp
t_120
mount
rpc
ms-frs
msrpc
ms-rdp
t_120
ms-scheduler
msrpc
ms-service-controller
msrpc
nfs
rpc
oovoo
http, ssl
paloalto-updates
ssl
App-ID
271
Aplicaciones con compatibilidad implícita
App-ID
Aplicación
Admite implícitamente
panos-global-protect
http
panos-web-interface
http
pastebin
http
pastebin-posting
http
pinterest
http, ssl
portmapper
rpc
prezi
http, ssl
rdp2tcp
t_120
renren-im
jabber
roboform
http, ssl
salesforce
http
stumbleupon
http
supremo
http
symantec-av-update
http
trendmicro
http
trillian
http, ssl
twitter
http
whatsapp
http, ssl
xm-radio
rtsp
272
App-ID
App-ID
Acerca de las puertas de enlace de nivel de aplicación
Acerca de las puertas de enlace de nivel de aplicación El cortafuegos de Palo Alto Networks no clasifica el tráfico por puerto y protocolo; en lugar de eso, identifica la aplicación basándose en sus propiedades y características de transacciones exclusivas mediante la tecnología App-ID. Sin embargo, algunas aplicaciones requieren que el cortafuegos abra pinholes dinámicamente para establecer la conexión, determinar los parámetros de la sesión y negociar los puertos que se utilizarán para la transferencia de datos; estas aplicaciones utilizan la carga de la capa de aplicación para comunicar los puertos TCP o UDP dinámicos en los que la aplicación abre conexiones de datos. Para dichas aplicaciones, el cortafuegos sirve de puerta de enlace de nivel de aplicación (ALG) y abre un pinhole durante un tiempo limitado y para transferir exclusivamente datos o tráfico de control. El cortafuegos también realiza una reescritura de la NAT de la carga cuando es necesario. El cortafuegos de Palo Alto Networks funciona como ALG para los siguientes protocolos: FTP, SIP, H.323, RTSP, Oracle/SQLNet/TNS, MGCP, Unistim y SCCP. Cuando el cortafuegos sirve de ALG para el protocolo de inicio de sesión (SIP), de manera predeterminada realiza la NAT en la carga y abre pinholes dinámicos para los puertos de medios. En algunos casos, dependiendo de las aplicaciones del SIP en uso en su entorno, los puntos de finalización del SIP tienen inteligencia de NAT incorporada en sus clientes. En esos casos, quizás deba deshabilitar la función de ALG del SIP para evitar que el cortafuegos modifique las sesiones de señalización. Cuando la ALG del SIP está deshabilitada, si App-ID determina que una sesión es de tipo SIP, no se traduce la carga y no se abren pinholes dinámicos. Consulte Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP.
App-ID
273
Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP
App-ID
Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP El cortafuegos de Palo Alto Networks utiliza la puerta de enlace de nivel de aplicación (ALG) del protocolo de inicio de sesión (SIP) para abrir pinholes dinámicos en el cortafuegos donde la NAT está habilitada. Sin embargo, algunas aplicaciones (como las de VoIP) tienen inteligencia de NAT incorporada en la aplicación cliente. En estos casos, la ALG del SIP del cortafuegos puede interferir en las sesiones de señalización y provocar que la aplicación cliente deje de funcionar. Una solución a este problema es definir una política de cancelación de aplicación para el SIP, pero utilizar este enfoque deshabilita la App-ID y la función de detección de amenazas. Un enfoque mejor es deshabilitar la ALG del SIP, lo cual no deshabilita la App-ID ni la detección de amenazas. El siguiente procedimiento describe cómo deshabilitar la ALG del SIP. Deshabilitación de la ALG del SIP
Paso 1
Seleccione Objetos > Aplicaciones.
Paso 2
Seleccione la aplicación sip. Puede escribir sip en el cuadro Búsqueda para ayudar a encontrar la aplicación sip.
Paso 3
Seleccione Personalizar... para ALG en la sección Opciones del cuadro de diálogo Aplicación.
Paso 4
Seleccione la casilla de verificación Deshabilitar ALG del cuadro de diálogo Aplicación - sip y haga clic en ACEPTAR.
Paso 5
Cierre el cuadro de diálogo Aplicación y compile el cambio.
274
App-ID
Prevención de amenazas El cortafuegos de próxima generación de Palo Alto Networks protege y defiende su red ante amenazas de productos y amenazas avanzadas persistentes (APT). Los mecanismos de detección con varios elementos del cortafuegos incluyen un enfoque basado en firmas (IPS/comando y control/antivirus), un enfoque basado en la heurística (detección de bots), un enfoque basado en Sandbox (WildFire) y un enfoque basado en análisis con el protocolo de capa 7 (App-ID). Las amenazas de productos son exploits que son menos sofisticados y que se detectan y previenen más fácilmente con una combinación de las capacidades de antivirus, antispyware, protección contra vulnerabilidades y filtrado de URL/identificación de aplicaciones del cortafuegos. Las amenazas avanzadas son cometidas por cibercriminales organizados o grupos malintencionados que utilizan vectores de ataque sofisticados que tienen como objetivo su red, habitualmente para robar propiedad intelectual y datos financieros. Estas amenazas son más evasivas y requieren mecanismos de supervisión inteligentes para realizar una investigación detallada de host y de red en busca de software malintencionado. El cortafuegos de próxima generación de Palo Alto Networks, junto con WildFire y Panorama, proporciona una solución completa que intercepta y detiene la cadena de ataque y ofrece visibilidad para evitar un incumplimiento de la seguridad en sus infraestructuras de red, incluidas las móviles y las virtualizadas.
Concesión de licencias para la prevención de amenazas
Acerca de los perfiles de seguridad
Configuración de políticas y perfiles de seguridad
Prevención de ataques de fuerza bruta
Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7
Infraestructura de Content Delivery Network para actualizaciones dinámicas
Si desea más información, consulte los siguientes artículos:
Creating Custom Threat Signatures (en inglés)
Threat Prevention Deployment (en inglés)
Understanding DoS Protection (en inglés)
Para ver una lista de las amenazas y aplicaciones que los productos de Palo Alto Networks pueden identificar, utilice los siguientes enlaces:
Applipedia: Ofrece información sobre las aplicaciones que Palo Alto Networks puede identificar.
Cámara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al número de ID para obtener más información acerca de una amenaza.
Prevención de amenazas
275
Concesión de licencias para la prevención de amenazas
Prevención de amenazas
Concesión de licencias para la prevención de amenazas En las siguientes secciones se describen las licencias disponibles requeridas para utilizar las funciones de prevención de amenazas y se describe el proceso de activación:
Acerca de las licencias de prevención de amenazas
Obtención e instalación de licencias
Acerca de las licencias de prevención de amenazas A continuación se indica una lista de las licencias necesarias para habilitar todas las funciones de prevención de amenazas en el cortafuegos:
Prevención de amenazas: Proporciona protección antivirus, antispyware y contra vulnerabilidades.
Filtrado de URL: Proporciona la capacidad de controlar el acceso a los sitios web basándose en la categoría de URL. Puede adquirir e instalar una suscripción para PAN-DB (base de datos de Palo Alto Networks) o las bases de datos de filtrado de URL de BrightCloud.
WildFire: La función WildFire se incluye como parte del producto básico. Esto significa que cualquiera puede configurar un perfil de bloqueo de archivos para reenviar archivos Portable Executable (PE) a WildFire para su análisis. Se requiere una suscripción a la prevención de amenazas para recibir las actualizaciones de firmas de antivirus, lo que incluye las firmas descubiertas por WildFire. El servicio de suscripción a WildFire ofrece servicios mejorados para aquellas organizaciones que necesitan una seguridad inmediata, y permite actualizaciones de firmas de WildFire con una frecuencia inferior a una hora, el reenvío de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. También se requiere una suscripción a WildFire si sus cortafuegos van a reenviar archivos a un dispositivo WF-500 WildFire privado.
Reflejo de puerto de descifrado: Permite crear una copia del tráfico descifrado desde el cortafuegos y enviarla a una herramienta de recopilación de tráfico que sea capaz de recibir capturas de paquetes sin formato (como NetWitness o Solera) para su archivado y análisis. Actualmente esta licencia está disponible de manera gratuita a través del portal de asistencia técnica de Palo Alto Networks; esta función es compatible únicamente en las plataformas de las series PA-7050, PA-5000 y PA-3000. Para obtener más información, consulte Configuración del reflejo del puerto de descifrado.
Obtención e instalación de licencias Para adquirir licencias, póngase en contacto con el departamento de ventas de Palo Alto Networks. Después de obtener una licencia, desplácese hasta Dispositivo > Licencias. Puede realizar las siguientes tareas en función de cómo vaya a obtener sus licencias:
276
Obtención de claves de licencia del servidor de licencias: Use esta opción si su licencia se ha activado en el portal de asistencia técnica.
Prevención de amenazas
Prevención de amenazas
Acerca de los perfiles de seguridad
Activación de la función usando un código de autorización: Use esta opción para habilitar las suscripciones adquiridas con un código de autorización para licencias que no han sido previamente activadas en el portal de asistencia técnica.
Carga manual de la clave de licencia: Use esta opción si su dispositivo no tiene conectividad con el sitio de asistencia técnica de Palo Alto Networks. En este caso, debe descargar un archivo de clave de licencia del sitio de asistencia técnica a través de un ordenador conectado a Internet y después cargarlo en el dispositivo.
Para obtener más información sobre el registro y la activación de licencias en su cortafuegos, consulte Activación de servicios de cortafuegos.
Acerca de los perfiles de seguridad Los perfiles de seguridad proporcionan protección ante amenazas en políticas de seguridad. Por ejemplo, puede aplicar un perfil de antivirus a una política de seguridad y todo el tráfico que coincida con las políticas de seguridad se analizará para buscar virus. Para ver ejemplos básicos de configuración que le ayuden con los aspectos esenciales de estas funciones, consulte Configuración de políticas y perfiles de seguridad. La siguiente tabla ofrece una descripción general de los perfiles de seguridad que se pueden aplicar a las políticas de seguridad y una descripción básica de los perfiles de protección de zonas y DoS: Función de prevención de amenazas
Descripción
Antivirus
Protege contra virus, gusanos, troyanos y descargas de spyware. Al usar un motor de prevención contra software malintencionado basado en secuencias, que analiza el tráfico nada más recibir el primer paquete, la solución antivirus Palo Alto Networks puede ofrecer protección para clientes sin que esto tenga un impacto significativo en el rendimiento del cortafuegos. Esta función analizará una gran variedad de software malintencionado en archivos ejecutables, PDF, HTML y virus JavaScript, incluida la compatibilidad con el análisis dentro de archivos comprimidos y esquemas de codificación de datos. Análisis de contenido sin cifrar que se puede realizar activando el descifrado del cortafuegos. El perfil predeterminado inspecciona todos los descodificadores de protocolos enumerados para virus y genera alertas para protocolos SMTP, IMAP y POP3 al tiempo que bloquea protocolos FTP, HTTP y SMB. Los perfiles personalizados se pueden utilizar para minimizar la exploración antivirus para el tráfico entre zonas de seguridad fiables y para maximizar la inspección o el tráfico recibido de zonas no fiables, como Internet, así como el tráfico enviado a destinos altamente sensibles, como granjas de servidores. El sistema WildFire de Palo Alto Networks también ofrece firmas para amenazas persistentes más evasivas y que todavía no han sido descubiertas por otras soluciones de antivirus. A medida que WildFire detecta amenazas, se van creando las firmas rápidamente y después se integran en las firmas de antivirus estándar que los suscriptores de prevención de amenazas pueden descargar todos los días (o cada hora o menos en el caso de suscriptores de WildFire).
Prevención de amenazas
277
Acerca de los perfiles de seguridad
Prevención de amenazas
Función de prevención de amenazas
Descripción
Antispyware
Impide que el spyware en hosts comprometidos realice llamadas a casa o balizamiento a servidores externos de comando y control (C2). Puede aplicar diversos niveles de protección entre zonas. Por ejemplo, tal vez desee tener perfiles antispyware personalizados que reduzcan al mínimo la inspección entre zonas fiables y amplían al máximo la inspección del tráfico procedente de una zona no fiable, como zonas de Internet. Puede elegir entre dos perfiles predefinidos al aplicar antispyware a una política de seguridad. • Predeterminado: El perfil predeterminado usará la acción predeterminada para cada firma, tal como especifica Palo Alto Networks al crear la firma. • Estricto: El perfil estricto anulará la acción de amenazas de gravedad crítica, alta y media para bloquear la acción, independientemente de la acción definida en el archivo de firma. La acción predeterminada se usa con firmas de gravedad media e informativa. En PAN-OS 6.0, se ha añadido la función DNS sinkhole. La acción DNS sinkhole que puede habilitarse en perfiles de antispyware permite que el cortafuegos genere una respuesta errónea a una consulta DNS para un dominio malintencionado conocido, haciendo que el nombre de dominio malintencionado se resuelva en una dirección IP que usted defina. Esta función se puede utilizar para identificar hosts infectados en la red protegida mediante tráfico DNS en situaciones en las que el cortafuegos no pueda ver la consulta DNS del cliente infectado (es decir, el cortafuegos no puede ver al originador de la consulta DNS). En una implementación típica, donde el cortafuegos está antes del servidor DNS local, el log de amenazas identificará la resolución DNS local como el origen del tráfico en lugar del host infectado. Las consultas DNS de software malintencionado falsificadas resuelven este problema de visibilidad generando respuestas erróneas a las consultas de host de cliente dirigidas a dominios malintencionados, de modo que los clientes que intenten conectarse a dominios malintencionados (mediante comando y control, por ejemplo) intenten conectarse en su lugar a una dirección IP sinkhole que usted defina. Los hosts infectados pueden identificarse fácilmente en los logs de tráfico y amenaza porque cualquier host que intente conectarse a la dirección IP sinkhole está infectado casi con toda seguridad con software malintencionado. Los perfiles de protección contra vulnerabilidades y antispyware se configuran de forma similar. El principal objetivo del antispyware es detectar tráfico malintencionado que salga de la red desde clientes infectados, mientras que la protección contra vulnerabilidades evita que las amenazas entren en la red.
Protección contra vulnerabilidades
Detiene los intentos de explotación de fallos del sistema y de acceso no autorizado a los sistemas. Por ejemplo, esta función protege contra desbordamiento de búfer, ejecución de código ilegal y otros intentos de explotar las vulnerabilidades del sistema. El perfil predeterminado de protección contra vulnerabilidades protege a clientes y servidores de todas las amenazas conocidas de gravedad crítica, alta y media. También puede crear excepciones, que le permiten cambiar la respuesta a una firma concreta. Los perfiles de protección contra vulnerabilidades y antispyware se configuran de forma similar. El principal objetivo de la protección contra vulnerabilidades es detectar el tráfico malintencionado que entra en la red desde clientes infectados, mientras que la protección contra vulnerabilidades evita las amenazas que salen de la red.
278
Prevención de amenazas
Prevención de amenazas
Acerca de los perfiles de seguridad
Función de prevención de amenazas
Descripción
Filtrado de URL
Permite controlar el tráfico web de usuarios basándose en sitios web específicos y/o categorías de sitios web tales como para adultos, compras, apuestas, etc. La base de datos de URL PAN-DB de Palo Alto Networks y la base de datos de BrightCloud están disponibles para la categorización y la aplicación de políticas de filtrado de URL en el cortafuegos. Para configurar el filtrado de URL, consulte Filtrado de URL.
Bloqueo de archivo
Bloquea tipos de archivos especificados en aplicaciones especificadas y en la dirección de flujo de sesión especificada (entrante/saliente/ambas). Puede establecer el perfil para emitir alertas o realizar bloqueos en cargas y descargas y puede especificar qué aplicaciones quedarán sujetas al perfil de bloqueo de archivos. También puede configurar páginas de bloqueo personalizadas que aparecerán cuando un usuario intente descargar el tipo de archivo especificado. Esto permite al usuario dedicar unos instantes a considerar si desea o no descargar el archivo. Se pueden establecer las siguientes acciones cuando se detecte el archivo especificado. • Alertar: Cuando se detecta el tipo de archivo especificado, se genera un log en el log de filtrado de datos. • Bloquear: Cuando se detecta el tipo de archivo especificado, se bloquea el archivo y se presenta al usuario una página de bloqueo personalizable. También se genera un log en el log de filtrado de datos. • Continuar: Cuando se detecta el tipo de archivo especificado, se presenta al usuario una página de continuación. El usuario puede hacer clic en la página para descargar el archivo. También se genera un log en el log de filtrado de datos. • Reenviar: Cuando se detecta el tipo de archivo especificado, se envía a WildFire para analizarlo. También se genera un log en el log de filtrado de datos. • Continuar y reenviar: Cuando se detecta el tipo de archivo especificado, se presenta al usuario una página de continuación personalizable. El usuario puede hacer clic en la página para descargar el archivo. Si el usuario hace clic en la página de continuación para descargar el archivo, el archivo se envía a WildFire para analizarlo. También se genera un log en el log de filtrado de datos.
Filtrado de datos
Ayuda a evitar que la información confidencial, como los números de tarjetas de crédito o seguridad social, salga de la red protegida. También puede filtrar por palabras clave, como el nombre de un proyecto confidencial o la palabra confidencial. Es importante centrar su perfil en el tipo de archivos deseado para reducir los falsos positivos. Por ejemplo, puede que solo quiera buscar documentos de Word o Excel. O tal vez solo quiera analizar el tráfico de navegación web o FTP. Puede usar perfiles predeterminados o crear patrones de datos personalizados. Hay dos perfiles predeterminados: • CC# (tarjeta de crédito): Identifica números de tarjetas de crédito usando un algoritmo de hash. El contenido debe coincidir con el algoritmo de hash para detectar los datos como un número de tarjeta de crédito. Este método reduce los falsos positivos. • SSN# (número de la seguridad social): Usa un algoritmo para detectar los nueve dígitos, independientemente del formato. Hay dos campos: SSN# y SSN# (sin guión).
Prevención de amenazas
279
Acerca de los perfiles de seguridad
Prevención de amenazas
Función de prevención de amenazas
Descripción
Filtrado de datos (continuación)
Valores de peso y umbral
Es importante comprender el modo en que se calcula el peso de un objeto (patrón de SSN, CC#) con objeto de establecer el umbral adecuado para una condición que está intentando filtrar. Cada ocurrencia multiplicada por el valor de peso se añade para alcanzar un umbral de acción (alerta o bloqueo). Ejemplo 1
Para simplificar, si solamente quiere filtrar los archivos con números de la seguridad social (SSN) y define un peso de 3 para SSN#, usaría la siguiente fórmula: cada ejemplo de un SSN x peso = incremento del umbral. En este caso, si un documento de Word tiene 10 números de la seguridad social, se multiplica esa cantidad por 3, de modo que 10 x 3 = 30. Para realizar acciones con un archivo que contiene 10 números de la seguridad social, debería establecer el umbral en 30. Puede que desee establecer una alerta a los 30 y después un bloqueo a los 60. Puede que también quiera establecer un peso en el campo SSN# (sin guión) para los números de la seguridad social que no contengan guiones. Si se usan varios ajustes, irán sumándose para alcanzar un umbral concreto. Ejemplo 2
En este ejemplo, filtraremos archivos que contengan números de la seguridad social y el patrón personalizado confidencial. Dicho de otro modo, si un archivo tiene números de la seguridad social además de la palabra confidencial y los ejemplos combinados de esos elementos alcanzan el umbral, el archivo desencadenará una alerta o un bloqueo, dependiendo del ajuste de acción. Multiplicador de SSN# = 3 Multiplicador de confidencial del patrón personalizado = 20 Nota
El patrón personalizado distingue entre mayúsculas y minúsculas.
Si el archivo contiene 20 números de la seguridad social y se configura un multiplicador 3, el cálculo es 20 x 3 = 60. Si el archivo también contiene un ejemplo del término confidencial y se configura un multiplicador 20, el cálculo es 1 x 20 = 20, que hace un total de 80. Si el umbral para el bloqueo se configura en 80, en este ejemplo se bloquearía el archivo. La acción de alerta o bloqueo se dispara en cuanto se alcanza el umbral.
280
Prevención de amenazas
Prevención de amenazas
Acerca de los perfiles de seguridad
Función de prevención de amenazas
Descripción
Protección contra ataques por denegación de servicio
Ofrece un control detallado de las políticas de protección contra ataques por denegación de servicio (DoS). Las políticas DoS permiten controlar el número de sesiones entre interfaces, zonas, direcciones y países, basadas en sesiones agregadas o direcciones IP de origen o destino. Hay dos mecanismos de protección DoS compatibles con los cortafuegos de Palo Alto Networks. • Protección contra inundaciones: Detecta y evita los ataques en los que la red está inundada con paquetes y esto provoca que haya muchas sesiones a medio abrir o servicios que no pueden responder a cada solicitud. En este caso la dirección de origen del ataque suele estar falsificada. • Protección de recursos: Detecta y previene los ataques de agotamiento por sesiones. En este tipo de ataque, se usa un gran número de hosts (bots) para establecer el mayor número posible de sesiones completas para consumir todos los recursos del sistema. Estos dos mecanismos de protección pueden definirse en un único perfil DoS. El perfil DoS se usa para especificar el tipo de acción que se llevará a cabo y los detalles de los criterios de coincidencia para la política DoS. El perfil DoS define ajustes para inundaciones de ICMP, SYN y UDP, puede habilitar la protección de recursos y define el número máximo de conexiones simultáneas. Una vez configurado el perfil de protección DoS, agréguelo a una política DoS. Al configurar protección DoS, es importante analizar su entorno para establecer los umbrales correctos y, debido a algunas de las complejidades para definir las políticas de protección DoS, esta guía no ofrece ejemplos detallados. Para obtener más información, consulte Threat Prevention Tech Note (en inglés).
Protección de zonas
Ofrece protección adicional entre zonas de red específicas para protegerlas de los ataques. El perfil debe aplicarse a toda la zona, así que es importante probar cuidadosamente los perfiles para evitar que surjan problemas cuando el tráfico normal cruce la zona. Si define límites de umbral de paquetes por segundo (pps) de perfiles de protección de zonas, el umbral se basa en los paquetes por segundo que no coinciden con ninguna sesión establecida previamente. Para obtener más información, consulte Threat Prevention Tech Note (en inglés).
Prevención de amenazas
281
Configuración de políticas y perfiles de seguridad
Prevención de amenazas
Configuración de políticas y perfiles de seguridad Las siguientes secciones ofrecen ejemplos de configuración de prevención de amenazas básica.
Configuración de antivirus, antispyware y protección contra vulnerabilidades
Configuración de filtrado de datos
Configuración de bloqueo de archivos
Para obtener información sobre cómo controlar el acceso web como parte de su estrategia de prevención de amenazas, consulte Configuración de filtrado de URL.
Configuración de antivirus, antispyware y protección contra vulnerabilidades A continuación se describen los pasos necesarios para configurar los perfiles predeterminados de antivirus, antispyware y protección contra vulnerabilidades. Estas funciones tienen objetivos muy similares, por lo que estos pasos son solo de carácter general y sirven para habilitar los perfiles predeterminados. Todas las firmas antispyware y de protección contra vulnerabilidades tienen una acción predeterminada definida por Palo Alto Networks. Puede ver la acción predeterminada navegando hasta Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de seguridad > Protección contra vulnerabilidades y, a continuación, seleccionando un perfil. Haga clic en la pestaña Excepciones y después en Mostrar todas las firmas; verá una lista de las firmas con la acción predeterminada en la columna Acción. Para cambiar la acción predeterminada, debe crear un nuevo perfil y, a continuación, crear reglas con una acción no predeterminada y/o añadir excepciones de firma individuales a Excepciones en el perfil.
Configuración de antivirus/antispyware/protección contra vulnerabilidades
Paso 1
Compruebe que tiene una licencia de prevención de amenazas.
• La licencia de prevención de amenazas reúne en una licencia las funciones de antivirus, antispyware y protección contra vulnerabilidades. • Seleccione Dispositivo > Licencias para verificar que la licencia de Prevención de amenazas está instalada y comprobar la fecha de vencimiento.
Paso 2
Descargue las firmas de amenazas de antivirus más recientes.
1.
Seleccione Dispositivo > Actualizaciones dinámicas y haga clic en Comprobar ahora en la parte inferior de la página para recuperar las firmas más recientes.
En la columna Acciones, haga clic en Descargar para instalar las firmas más recientes de antivirus y de aplicaciones y amenazas.
282
Prevención de amenazas
Prevención de amenazas
Configuración de políticas y perfiles de seguridad
Configuración de antivirus/antispyware/protección contra vulnerabilidades (Continuación)
Paso 3
Programe actualizaciones de firmas.
1.
Desde Dispositivo > Actualizaciones dinámicas, haga clic en el texto que hay a la derecha de Programación para recuperar automáticamente las actualizaciones de firmas de Antivirus y Aplicaciones y amenazas.
2.
Especifique la frecuencia y sincronización de las actualizaciones y si la actualización se descargará e instalará o únicamente se descargará. Si selecciona Únicamente descargar, tendrá que entrar manualmente y hacer clic en el enlace Instalar de la columna Acción para instalar la firma. Cuando hace clic en ACEPTAR, se programa la actualización. No es necesario realizar una compilación.
3.
(Opcional) También puede introducir un número de horas en el campo Umbral para indicar el tiempo mínimo que debe tener una firma antes de realizar la descarga. Por ejemplo, si introduce 10, la firma debe tener al menos 10 horas de antigüedad antes de poder descargarla, independientemente de la programación.
4.
En una configuración de HA, también puede hacer clic en la opción Sincronizar en el peer para sincronizar la actualización de contenido con el peer de HA tras la descarga/instalación. Esto no hará que se apliquen los ajustes de programación al dispositivo del peer, sino que tendrá que configurar la programación en cada dispositivo.
Recomendaciones para las programaciones de antivirus
La recomendación general para programar las actualizaciones de firmas de antivirus es realizar una descarga e instalación diariamente en el caso de los antivirus y semanalmente para las aplicaciones y vulnerabilidades. Recomendaciones para configuraciones de HA:
• HA activa/pasiva: Si el puerto de gestión se usa para descargar firmas de antivirus, configure una programación en ambos dispositivos y ambos dispositivos realizarán las descargas e instalaciones de forma independiente. Si usa un puerto de datos para las descargas, el dispositivo pasivo no realizará descargas mientras esté en estado pasivo. En este caso debería establecer una programación en ambos dispositivos y, a continuación, seleccionar la opción Sincronizar en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarán las actualizaciones y después se aplicarán al dispositivo pasivo. • HA activa/activa: Si el puerto de gestión se usa para descargas de firmas de antivirus en ambos dispositivos, programe la descarga/instalación en ambos dispositivos, pero no seleccione la opción Sincronizar en el peer. Si usa un puerto de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo garantizará que si un dispositivo en la configuración activa/activa pasa al estado activo secundario, el dispositivo activo descargará/instalará la firma y después la aplicará al dispositivo activo secundario.
Prevención de amenazas
283
Configuración de políticas y perfiles de seguridad
Prevención de amenazas
Configuración de antivirus/antispyware/protección contra vulnerabilidades (Continuación)
Paso 4
Añada los perfiles de seguridad a una política de seguridad.
1.
Seleccione Políticas > Seguridad, seleccione la política deseada para modificarla y, a continuación, haga clic en la pestaña Acciones.
2.
En Ajuste de perfil, haga clic en el menú desplegable junto a cada perfil de seguridad que desea activar. En este ejemplo seleccionamos Antivirus, Protección contra vulnerabilidades y Antispyware.
Nota
Si no se había definido ningún perfil de seguridad anteriormente, seleccione Perfiles en el menú desplegable Tipo de perfil. Verá una lista de opciones para
seleccionar los perfiles de seguridad.
Paso 5
Compile la configuración.
Configuración de filtrado de datos A continuación se describen los pasos necesarios para configurar un perfil de filtrado de datos que detecte los números de la seguridad social y un patrón identificado en documentos .doc y .docx. Ejemplo de configuración de filtrado de datos
Paso 1
Cree un perfil de seguridad de filtrado de 1. datos.
Seleccione Objetos > Perfiles de seguridad > Filtrado de datos y haga clic en Añadir.
2.
Introduzca un Nombre y una Descripción para el perfil. En este ejemplo, el nombre es FD_Perfil1 y la descripción es Detección de números de la seguridad social.
3.
(Opcional) Si quiere recopilar los datos bloqueados por el filtro, marque la casilla de verificación Captura de datos.
Nota
284
Debe establecer una contraseña como se describe en el Paso 2 si está utilizando la función de captura de datos.
Prevención de amenazas
Prevención de amenazas
Configuración de políticas y perfiles de seguridad
Ejemplo de configuración de filtrado de datos (Continuación)
Paso 2
Paso 3
(Opcional) Proteja el acceso a los logs de 1. filtrado de datos para evitar que otros 2. administradores vean datos confidenciales. 3. Cuando habilite esta opción, se le pedirá la contraseña cuando visualice logs en Supervisar > Logs > Filtrado de datos.
Seleccione Dispositivo > Configuración > Content-ID. Haga clic en Gestionar protección de datos en la sección Características de ID de contenido. Establezca la contraseña obligatoria para ver los logs de filtrado de datos.
Defina el patrón de datos que se usará en el perfil de filtrado de datos. En este ejemplo, usaremos la palabra clave confidencial y estableceremos la opción de buscar números de la seguridad social con guiones (p. ej.: 987-654-4320). Es recomendable establecer los umbrales apropiados y definir las palabras clave dentro de los documentos para reducir los falsos positivos. 1. Desde la página Perfil de filtrado de datos, haga clic en Añadir y seleccione Nuevo en el menú desplegable Patrón de datos. También puede configurar patrones de datos desde Objetos > Firmas personalizadas > Patrones de datos. 2. Para este ejemplo, dé a la firma de patrón de datos el nombre Detectar números de la seguridad social y añada la descripción Patrón de datos para detectar números de la seguridad social. 3. En la sección Ponderación de SSN# introduzca 3. Consulte Valores de peso y umbral para obtener más información. 4. (Opcional) También puede establecer patrones personalizados que quedarán sujetos a este perfil. En este caso, especifique un patrón en el campo Regex de los patrones personalizados y determine una ponderación. Puede añadir múltiples expresiones coincidentes al mismo perfil del patrón de datos. En este ejemplo, crearemos un patrón personalizado llamado SSN_Personalizado con un patrón personalizado de confidencial (el patrón distingue entre mayúsculas y minúsculas) y usaremos una ponderación de 20. Usamos el término confidencial en este ejemplo porque sabemos que nuestros documentos de Word de la seguridad social contienen esta palabra, así que definimos esa concretamente.
Prevención de amenazas
285
Configuración de políticas y perfiles de seguridad
Prevención de amenazas
Ejemplo de configuración de filtrado de datos (Continuación)
Paso 4
Paso 5
286
Especifique qué aplicaciones se filtrarán y 1. determine los tipos de archivo.
Establezca Aplicaciones como Cualquiera. Esto detectará las aplicaciones compatibles tales como: exploración web, FTP o SMTP. Si quiere concretar más la aplicación, puede seleccionarla de la lista. Para aplicaciones como Microsoft Outlook Web App que usan SSL, tendrá que habilitar el descifrado. Asegúrese de que comprende el nombre de cada aplicación. Por ejemplo, Outlook Web App, que es el nombre de Microsoft para esta aplicación, se identifica como la aplicación outlook-web en la lista de aplicaciones de PAN-OS. Puede comprobar los logs de una aplicación determinada para identificar el nombre definido en PAN-OS.
2.
Establezca Tipos de archivos como doc y docx para analizar únicamente archivos doc y docx.
Especifique la dirección del tráfico que se 1. filtrará y los valores de umbral.
Establezca la dirección como Ambos. Se analizarán tanto los archivos que se cargan como los que se descargan.
2.
Establezca el Umbral de alerta como 35. En este caso, se iniciará una alerta si hay 5 casos de números de la seguridad social y un caso del término confidencial. La fórmula es 5 casos de SSN con una ponderación de 3 = 15, más 1 caso del término confidencial con una ponderación de 20 = 35.
3.
Establezca el umbral de bloqueo en 50. El archivo se bloqueará si hay 50 casos de un SSN o existe el término confidencial en el archivo. En este caso, si el archivo doc contenía 1 caso de la palabra confidencial con una ponderación de 20 que equivale a 20 hacia el umbral, y el archivo doc tiene 15 números de la seguridad social con una ponderación de 3, equivale a 45. Si suma 20 y 45 obtendrá 65, que supera el umbral de bloqueo de 50.
Prevención de amenazas
Prevención de amenazas
Configuración de políticas y perfiles de seguridad
Ejemplo de configuración de filtrado de datos (Continuación)
Paso 6
Adjunte el perfil de filtrado de datos a la regla de seguridad.
Paso 7
Compile la configuración.
Paso 8
Compruebe la configuración de filtrado de datos.
1.
Seleccione Políticas > Seguridad y seleccione la regla de política de seguridad a la que aplicar el perfil.
2.
Haga clic en la regla de la política de seguridad para modificarla y después haga clic en la pestaña Acciones. En el menú desplegable Filtrado de datos, seleccione el nuevo perfil de filtrado de datos que ha creado y haga clic en Aceptar para guardar. En este ejemplo, el nombre de la regla de filtrado de datos es FD_Perfil1.
En la prueba debe usar números de la seguridad social reales y cada número debe ser exclusivo. Asimismo, al definir patrones personalizados como hicimos en este ejemplo con la palabra Si tiene problemas para conseguir que confidencial, el patrón distingue entre mayúsculas y minúsculas. funcione el filtrado de datos, puede Para que la prueba sea sencilla, tal vez prefiera hacerla usando comprobar el log Filtrado de datos o el primero solo un patrón de datos y después probando los números de log Tráfico para comprobar la aplicación la seguridad social. que está probando y asegurarse de que el 1. Acceda a un PC cliente en la zona fiable del cortafuegos y envíe documento de prueba tiene el número una solicitud de HTTP para cargar un archivo .doc o .docx que adecuado de instancias de números contenga la información exacta que definió para el filtrado. exclusivos de la seguridad social. Por ejemplo, una aplicación como Microsoft 2. Cree un documento de Microsoft Word con una instancia del término confidencial y cinco números de la seguridad social con Outlook Web App puede que se guiones. identifique como exploración web, pero si observa los logs, verá que la aplicación es 3. Cargue el archivo a un sitio web. Use un sitio HTTP a menos outlook-web. Aumente también la que tenga configurado el descifrado, en cuyo caso puede usar cantidad de números de la seguridad HTTPS. social o el patrón predeterminado para 4. Seleccione los logs Supervisar > Logs > Filtrado de datos. asegurarse de que alcanza los umbrales. 5. Localice el log que se corresponda con el archivo que acaba de cargar. Para ayudar a filtrar los logs, utilice el origen de su PC cliente y el destino del servidor web. La columna Acción del log mostrará Restablecer ambos. Ahora puede incrementar la cantidad de números de la seguridad social en el documento para comprobar el umbral de bloqueo.
Prevención de amenazas
287
Configuración de políticas y perfiles de seguridad
Prevención de amenazas
Ejemplo de configuración de filtrado de datos (Continuación)
Configuración de bloqueo de archivos Este ejemplo describe los pasos básicos necesarios para configurar el bloqueo y el reenvío de archivos. En esta configuración, ajustaremos las opciones necesarias para indicar a los usuarios que continúen antes de descargar archivos .exe de los sitios web. Al probar este ejemplo, tenga en cuenta que puede haber otros sistemas entre usted y el origen que bloquean el contenido. Configuración de bloqueo de archivos
Paso 1
Paso 2
288
Cree el perfil de bloqueo de archivos.
Configure las opciones de bloqueo de archivos.
1.
Seleccione Objetos > Perfiles de seguridad > Bloqueo de archivos y haga clic en Añadir.
2.
Introduzca un nombre para el perfil de bloqueo de archivos, por ejemplo, Bloquear_EXE. Opcionalmente, introduzca una descripción, como Bloquear la descarga de archivos exe desde sitios web por parte de usuarios.
1.
Haga clic en Añadir para definir estos ajustes de perfil.
2.
Introduzca un nombre, como Bloquear_EXE.
3.
Establezca las Aplicaciones para el filtrado, por ejemplo exploración web.
4.
En Tipos de archivos seleccione exe.
5.
En Dirección seleccione descarga.
6.
En Acción seleccione continuar. Al seleccionar la opción de continuar, se mostrará a los usuarios una página de respuesta que les indica que hagan clic en continuar antes de que se descargue el archivo.
7.
Haga clic en Aceptar para guardar el perfil.
Prevención de amenazas
Prevención de amenazas
Configuración de políticas y perfiles de seguridad
Configuración de bloqueo de archivos (Continuación)
Paso 3
Añada el perfil de bloqueo de archivos a una política de seguridad.
1.
Seleccione Políticas > Seguridad y bien seleccione una política existente o cree una nueva política según se describe en Configuración de políticas de seguridad básicas.
2.
Haga clic en la pestaña Acciones dentro de la regla de política.
3.
En la sección Ajuste de perfil, haga clic en el menú desplegable y seleccione el perfil de bloqueo de archivos que ha configurado. En este caso, el nombre de perfil es Bloquear_EXE.
4.
Compile la configuración.
Si no se ha definido ningún perfil de seguridad previamente, seleccione el menú desplegable Tipo de perfil y seleccione Perfiles. Verá una lista de opciones para seleccionar los perfiles de seguridad. Paso 4
Para comprobar su configuración de bloqueo de archivos, acceda a un PC cliente en la zona fiable del cortafuegos y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debería aparecer una página de respuesta. Haga clic en Continuar para descargar el archivo. También puede establecer otras acciones, como únicamente alertar, reenviar (que reenviará a WildFire) o bloquear, que no proporcionará al usuario una página que le pregunte si desea continuar. A continuación se muestra la página de respuesta predeterminada de Bloqueo de archivos:
Ejemplo: Página de respuesta de bloqueo de archivos predeterminada
Paso 5
(Opcional) Defina páginas de respuesta de bloqueo de archivos (Dispositivo > Páginas de respuesta). Esto le permite ofrecer más información a los usuarios cuando ven una página de respuesta. Puede incluir información como la información de políticas de empresa e información de contacto de un departamento de soporte técnico.
Nota
Cuando crea un perfil de bloqueo de archivos con la acción Continuar o Continuar y reenviar (utilizado para el reenvío de WildFire), únicamente puede elegir la aplicación de navegación web. Si elige cualquier otra aplicación, el tráfico que coincida con la política de seguridad no fluirá hacia el cortafuegos debido al hecho de que los usuarios no verán una página que les pregunte si desean continuar. Asimismo, si el sitio web utiliza HTTPS, necesitará tener instaurada una política de descifrado.
Tal vez desee comprobar sus logs para confirmar qué aplicación se está usando al probar esta característica. Por ejemplo, si está utilizando Microsoft Sharepoint para descargar archivos, aunque esté utilizando un explorador web para acceder al sitio, la aplicación en realidad es sharepoint-base o sharepoint-document . Tal vez quiera establecer el tipo de aplicación como Cualquiera para probar.
Prevención de amenazas
289
Prevención de ataques de fuerza bruta
Prevención de amenazas
Prevención de ataques de fuerza bruta Un ataque de fuerza bruta utiliza un gran volumen de solicitudes/respuestas de la misma dirección IP de origen o destino para introducirse en un sistema. El atacante emplea un método de ensayo y error para adivinar la respuesta a un reto o una solicitud. El perfil de protección contra vulnerabilidades del cortafuegos incluye firmas para protegerle de ataques de fuerza bruta. Cada firma tiene un ID, Nombre de amenaza y Gravedad y se activa cuando se registra un patrón. El patrón especifica las condiciones y el intervalo en los que el tráfico se identifica como un ataque de fuerza bruta; algunas firmas están asociadas a otra firma secundaria de una gravedad menor que especifica el patrón con el que debe coincidir. Cuando un patrón coincide con la firma o la firma secundaria, activa la acción predeterminada de la firma. Para aplicar la protección:
Añada el perfil de vulnerabilidad a una regla de seguridad. Consulte Configuración de antivirus, antispyware y protección contra vulnerabilidades.
Instale actualizaciones de contenido que incluyan nuevas firmas para proteger ante amenazas emergentes. Consulte Gestión de la actualización de contenidos.
¿Cómo se activa una firma para un ataque de fuerza bruta?
Personalización de la acción y las condiciones de activación para una firma de fuerza bruta
¿Cómo se activa una firma para un ataque de fuerza bruta? La tabla siguiente enumera algunas firmas para ataques de fuerza bruta y las condiciones que las activan: ID de firma
Nombre de amenaza
ID de firma secundaria Condiciones de activación
40001
FTP: Intento de fuerza bruta en el inicio de sesión
40000
40003
40004
290
Frecuencia: 10 veces en 60 segundos Patrón: La firma secundaria 40000 registra el mensaje de respuesta de FTP con el código de error 430 para indicar que se envió un nombre de usuario o una contraseña no válido después del comando de aprobación.
DNS: Intento de registro 40002 en caché con replicación
Frecuencia: 100 veces en 60 segundos
SMB: Intento de fuerza 31696 bruta en la contraseña de usuario
Frecuencia: 14 veces en 60 segundos
Patrón: La firma secundaria 40002 registra un encabezado de respuesta de DNS con un recuento de 1 para los campos de registro Pregunta, Respuesta, Autoridad y Recurso adicional. Patrón: La firma secundaria 31696 registra el código de error de respuesta 0x50001 y el código de error 0xc000006d para cualquier comando smb.
Prevención de amenazas
Prevención de amenazas
Prevención de ataques de fuerza bruta
ID de firma
Nombre de amenaza
40005
LDAP: Intento de fuerza 31706 bruta en el inicio de sesión de usuario
Frecuencia: 20 veces en 60 segundos
HTTP: Intento de fuerza 31708 bruta en autenticación de usuario
Frecuencia: 100 veces en 60 segundos
CORREO: Intento de fuerza bruta en el inicio de sesión de usuario
Frecuencia: 10 veces en 60 segundos
40006
40007
ID de firma secundaria Condiciones de activación
31709
Patrón: La firma secundaria 31706 busca el código de resultado 49 en un bindResponse(27) de LDAP; el código de resultado 49 indica credenciales no válidas. Patrón: La firma secundaria 31708 busca el código de estado HTTP 401 con WWW-Authenticate en el campo de encabezado de respuesta; el código de estado 401 indica un fallo de autenticación. Patrón: La firma secundaria 31709 funciona en aplicaciones smtp, pop3 e imap. La condición de activación de cada aplicación es la siguiente: smtp: código de respuesta 535 imap: fallo de inicio de sesión/registro ausente/incorrecto pop3: ERR en el comando PASS de pop3.
40008
40009
40010
40011
40012
40013
Intento de fuerza bruta en autenticación de MySQL
31719
Intento de fuerza bruta en autenticación de Telnet
31732
Intento de fuerza bruta en autenticación de usuario de Microsoft SQL Server
31753
Patrón: La firma secundaria 31719 busca el código de error 1045 en la etapa mysql clientauth. Frecuencia: 10 veces en 60 segundos Patrón: La firma secundaria 31732 busca inicio de sesión incorrecto en el paquete de respuesta.
Intento de fuerza bruta 31754 en autenticación de usuario de base de datos de Postgres Intento de fuerza bruta 31761 en autenticación de usuario de base de datos de Oracle Intento de fuerza bruta 31763 en autenticación de usuario de base de datos de Sybase
Prevención de amenazas
Frecuencia: 25 veces en 60 segundos
Frecuencia: 20 veces en 60 segundos Patrón: La firma secundaria 31753 busca Fallo de inicio de sesión del usuario en el paquete de respuesta. Frecuencia: 10 veces en 60 segundos Patrón: La firma secundaria 31754 busca Fallo de autenticación de contraseña del usuario en el paquete de respuesta. Frecuencia: 7 veces en 60 segundos Patrón: La firma secundaria 31761 busca Fallo de autenticación de contraseña del usuario en el paquete de respuesta. Frecuencia: 10 veces en 60 segundos Patrón: La firma secundaria 31763 busca Fallo de inicio de sesión en el paquete de respuesta.
291
Prevención de ataques de fuerza bruta
Prevención de amenazas
ID de firma
Nombre de amenaza
40014
Intento de fuerza bruta 31764 en autenticación de usuario de base de datos de DB2
Frecuencia: 20 veces en 60 segundos
Intento de fuerza bruta en autenticación de usuario de SSH
Frecuencia: 20 veces en 60 segundos
40015
40016
40017
40018
40019
40020
40021
40022
292
ID de firma secundaria Condiciones de activación
31914
Patrón: La firma secundaria 31764 busca el punto de código 0x1219 con código de gravedad 8 y código de comprobación de seguridad 0xf. Patrón: La firma secundaria 31914 recibe una alerta por cada conexión al servidor SSH.
Intento de inundación de 31993 solicitudes con el método INVITE de SIP
Frecuencia: 20 veces en 60 segundos
VPN: Intento de fuerza 32256 bruta en autenticación de VPN SSL de caja de PAN
Frecuencia: 10 veces en 60 segundos
HTTP: Intento de denegación de servicio de Apache
32452
Frecuencia: 40 veces en 60 segundos
HTTP: Intento de denegación de servicio de IIS
32513
Intento de agotamiento de número de llamadas de Digium Asterisk IAX2
32785
MS-RDP: Intento de conexión a escritorio remoto de MS
33020
Patrón: La firma secundaria 31993 busca el método INVITE en sesiones de SIP en las que se haya invitado a un cliente para que participe en una llamada. Patrón: La firma secundaria 32256 busca x-private-pan-sslvpn: auth-failed en el encabezado de respuesta HTTP. Patrón: La firma secundaria busca 32452 que tenga longitud de contenido pero no incluya \r\n\r\n en la solicitud. Frecuencia: 10 veces en 20 segundos Patrón: La firma secundaria 32513 busca %3f en la ruta de uri http con .aspx. Frecuencia: 10 veces en 30 segundos Patrón: La firma secundaria 32785 busca el campo de número de llamadas en un mensaje de Asterisk.
HTTP: Intento de fuerza 33435 bruta con fuga de información de Microsoft ASP.Net
Frecuencia: 8 veces en 100 segundos Patrón: La firma secundaria 33020 busca la acción CONNECT en la solicitud de ms-rdp. Frecuencia: 30 veces en 60 segundos Patrón: La firma secundaria 33435 busca el código de respuesta 500 y el encabezado de respuesta contiene \nX-Powered-By: ASP\.NET
Prevención de amenazas
Prevención de amenazas
Prevención de ataques de fuerza bruta
ID de firma
Nombre de amenaza
40023
SIP: Intento de solicitud 33592 de registro de SIP
Frecuencia: 60 veces en 60 segundos
SIP: Ataque de fuerza bruta en mensaje SIP Bye
Frecuencia: 20 veces en 60 segundos
40028
40030
40031
40032
40033
40034
ID de firma secundaria Condiciones de activación
34520
Patrón: La firma secundaria 33592 busca el método REGISTER de SIP que registra la dirección indicada en el campo de encabezado Para con un servidor SIP. Patrón: La firma secundaria 34520 busca la solicitud SIP BYE que se utiliza para finalizar una llamada.
HTTP: Ataque de fuerza 34548 bruta en autenticación de NTLM HTTP
Frecuencia: 20 veces en 60 segundos
HTTP: Ataque de fuerza 34556 bruta con HTTP prohibido
Frecuencia: 100 veces en 60 segundos
HTTP: Ataque de fuerza 34767 bruta con herramienta HOIC
Frecuencia: 100 veces en 60 segundos
DNS: Ataque de denegación de servicio de fuerza bruta en consultas ANY
34842
SMB: Vulnerabilidad de 35364 falta de entropía en la autenticación NTLM en SMB de de Microsoft Windows
Patrón: La firma secundaria 34548 busca el código de estado HTTP 407 y un fallo de autenticación con un servidor proxy de NTLM. Patrón: La firma secundaria 34556 busca la respuesta HTTP 403 que indica que el servidor está rechazando una solicitud de HTTP válida. Patrón: La firma secundaria 34767 busca la solicitud de HTTP desde la herramienta de denegación distribuida de servicio High Orbit Ion Cannon (HOIC). Frecuencia: 60 veces en 60 segundos Patrón: La firma secundaria 34842 busca consultas de registro DNS ANY. Frecuencia: 60 veces en 60 segundos Patrón: La firma secundaria 35364 busca una solicitud de negociación de SMB (0x72). Varias solicitudes en un breve período de tiempo podrían indicar un ataque para CVE-2010-0231.
Personalización de la acción y las condiciones de activación para una firma de fuerza bruta El cortafuegos incluye dos tipos de firmas de fuerza bruta predefinidas: firma principal y firma secundaria. Una firma secundaria es una única incidencia de un patrón de tráfico que coincide con la firma. Una firma principal está asociada a una firma secundaria y se activa cuando se producen varios eventos dentro de un intervalo de tiempo y coinciden con el patrón de tráfico definido en la firma secundaria.
Prevención de amenazas
293
Prevención de ataques de fuerza bruta
Prevención de amenazas
Por lo general, una firma secundaria tiene de manera predeterminada la acción Permitir porque un único evento no es indicativo de un ataque. En la mayoría de los casos, la acción de una firma secundaria está establecida como Permitir para que el tráfico legítimo no quede bloqueado y no se generen logs de amenaza para eventos que no sean destacados. Por lo tanto, Palo Alto Networks únicamente le recomienda cambiar la acción predeterminada después de haberlo considerado detenidamente. En la mayoría de los casos, la firma de fuerza bruta es un evento destacado debido a su patrón recurrente. Si desea personalizar la acción de una firma de fuerza bruta, puede realizar una de las siguientes acciones:
Cree una regla para modificar la acción predeterminada para todas las firmas de la categoría de fuerza bruta. Puede definir la acción para permitir, alertar, bloquear, restablecer o descartar el tráfico.
Defina una excepción para una firma específica. Por ejemplo, puede buscar una CVE y definir una excepción para ella. Para una firma principal, puede modificar tanto las condiciones de activación como la acción; para una firma secundaria, solamente puede modificarse la acción. Para mitigar un ataque de manera eficaz, se recomienda la acción Bloquear dirección IP antes que la acción Colocar o Restaurar para la mayoría de firmas de fuerza bruta.
Personalización del umbral y la acción para una firma
Paso 1
Cree un nuevo perfil de protección contra vulnerabilidades.
1. Seleccione Objetos > Perfiles de seguridad > Protección de vulnerabilidades. 2. Haga clic en Añadir e introduzca un Nombre para el perfil de protección contra vulnerabilidades.
Paso 2
Cree una regla que defina la acción para todas las firmas de una categoría.
1. Seleccione Reglas, haga clic en Añadir e introduzca un Nombre para la regla. 2.
Establezca la Acción. En este ejemplo, está establecida como Bloquear.
294
3.
Establezca la Categoría como Fuerza bruta.
4.
(Opcional) Si está bloqueando, especifique si desea bloquear el servidor o el cliente; el valor predeterminado es cualquiera.
5.
Consulte el Paso 3 para personalizar la acción para una firma específica.
6.
Consulte el Paso 4 para personalizar el umbral de activación para una firma principal.
7.
Haga clic en Aceptar para guardar la regla y el perfil.
Prevención de amenazas
Prevención de amenazas
Prevención de ataques de fuerza bruta
Personalización del umbral y la acción para una firma (Continuación)
Paso 3
(Opcional) Personalice la acción para una 1. firma específica.
Seleccione Excepciones y haga clic en Mostrar todas las firmas para buscar la firma que desee modificar. Para ver todas las firmas de la categoría Fuerza bruta, busque (la categoría contiene 'fuerza bruta').
2.
Para editar una firma específica, haga clic en la acción predeterminada predefinida en la columna Acción.
3.
Establezca la acción como Permitir, Alertar o Bloquear IP.
4.
Si selecciona Bloquear IP, realice estas tareas adicionales: a. Especifique el Período de tiempo (en segundos) después del cual activar la acción. b. En el campo Seguir por, defina si desea bloquear la dirección IP por Origen de IP o por Origen y destino de IP.
Paso 4
5.
Haga clic en ACEPTAR.
6.
Para cada firma modificada, seleccione la casilla de verificación de la columna Habilitar.
7.
Haga clic en ACEPTAR.
Personalice las condiciones de activación 1. para una firma principal.
Haga clic en para editar el atributo de tiempo y los criterios de agregación para la firma.
Una firma principal que pueda editarse se marcará con este icono: . En este ejemplo, los criterios de búsqueda fueron la categoría Fuerza bruta y CVE-2008-1447.
2.
Para modificar el umbral de activación, especifique el Número de resultados por x segundos.
3.
Especifique si desea agregar el número de resultados por Origen, Destino u Origen y destino.
Paso 5
Añada este nuevo perfil a una regla de seguridad.
Paso 6
Guarde sus cambios.
Prevención de amenazas
4.
Haga clic en ACEPTAR.
1.
Haga clic en Confirmar.
295
Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7
Prevención de amenazas
Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 Para supervisar y proteger su red de la mayoría de ataques de capa 4 y capa 7, aquí tiene un par de recomendaciones.
Para servidores web, cree una política de seguridad para que solo se permitan los protocolos que admite el servidor. Por ejemplo, garantice que solo se permite el tráfico HTTP a un servidor web. Si ha definido una política de anulación de aplicaciones para una aplicación personalizada, asegúrese de restringir el acceso a una zona de origen específica o un conjunto de direcciones IP.
Adjunte los siguientes perfiles de seguridad a sus políticas de seguridad para proporcionar una protección basada en firmas.
–
Cree un perfil de protección contra vulnerabilidades para bloquear todas las vulnerabilidades con gravedad baja y alta.
–
Cree un perfil de antispyware para bloquear todo el spyware.
–
Cree un perfil de antivirus para bloquear todo el contenido que coincida con una firma de antivirus.
Cree un perfil de bloqueo de archivos que bloquee tipos de archivos Portable Executable (PE) para tráfico de SMB (bloqueo de mensajes del servidor) basado en Internet para que no pase de las zonas fiables a las no fiables (aplicaciones ms-ds-smb). Para lograr una protección adicional, cree una política antivirus para detectar y bloquear los archivos DLL malintencionados conocidos.
Cree un perfil de protección de zona configurado para descartar segmentos de TCP no coincidentes y superpuestos, para así proteger frente a los ataques basados en paquetes. Al establecer deliberadamente conexiones con datos superpuestos pero diferentes en ellos, los atacantes pueden intentar conseguir una interpretación equivocada de la intención de la conexión. Esto puede utilizarse para inducir deliberadamente falsos positivos o falsos negativos. Un atacante puede utilizar la replicación de IP y la predicción de números de secuencia para interceptar la conexión de un usuario e introducir sus propios datos en la conexión. PAN-OS utiliza este campo para descartar dichas tramas con datos no coincidentes y superpuestos. Las situaciones en las que el segmento recibido se descartará son las siguientes:
–
El segmento recibido está incluido dentro de otro segmento.
–
El segmento recibido está superpuesto a parte de otro segmento.
–
El segmento está incluido completamente dentro de otro segmento.
Verifique que está habilitada la compatibilidad con IPv6 si ha configurado direcciones IPv6 en sus hosts de red. (Red > Interfaces > Ethernet > IPv6) Esto permite acceder a hosts IPv6 y filtra los paquetes IPv6 que estén resumidos en paquetes IPv4. Al habilitar la compatibilidad con IPv6 se evita que las direcciones de multidifusión IPv6 sobre IPv4 se aprovechen para el reconocimiento de red.
296
Habilite la compatibilidad con tráfico de multidifusión para que el cortafuegos pueda aplicar la política sobre tráfico de multidifusión. (Red > Enrutador virtual > Multidifusión)
Prevención de amenazas
Prevención de amenazas
Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7
Habilite el siguiente comando de la CLI para borrar la marca de bit URG en el encabezado TCP y desautorice el procesamiento de paquetes fuera de banda. El puntero de urgencia en el encabezado TCP se utiliza para promover un paquete para su procesamiento inmediato retirándolo de la cola de procesamiento y enviándolo a través de la pila TCP/IP en el host. Este proceso se denomina procesamiento fuera de banda. Debido a que la implementación del puntero de urgencia varía según el host, para eliminar la ambigüedad, utilice el siguiente comando de la CLI para desautorizar el procesamiento fuera de banda; el byte fuera de banda en la carga se convierte en parte de la carga y el paquete no se procesa con urgencia. Al hacer este cambio eliminará la ambigüedad sobre el procesamiento del paquete en el cortafuegos y en el host, y el cortafuegos ve exactamente el mismo flujo en la pila de protocolos como el host al que va destinado el paquete. set deviceconfig setting tcp urgent-data clear
Habilite el siguiente comando de la CLI para deshabilitar bypass-exceed-queue. La derivación de cola excedente es obligatoria para los paquetes que no funcionan. Esta situación es más común en un entorno asimétrico en el que el cortafuegos recibe paquetes que no funcionan. Para la identificación de determinadas aplicaciones (App-ID), el cortafuegos realiza un análisis heurístico. Si los paquetes se reciben sin que funcionen, los datos deben copiarse en una cola para realizar el análisis para la aplicación. set deviceconfig setting application bypass-exceed-queue no
Habilite los siguientes comandos de la CLI para deshabilitar la inspección de paquetes cuando se alcance el límite de paquetes que no funcionan. El cortafuegos de Palo Alto Networks puede recopilar hasta 32 paquetes que no funcionan por sesión. Este contador identifica si los paquetes han superado el límite de 32 paquetes. Cuando el ajuste de derivación se establece como no, el dispositivo descarta los paquetes que no funcionan que superan el límite de 32 paquetes. Es necesario confirmar. set deviceconfig setting tcp bypass-exceed-oo-queue no set deviceconfig setting ctd bypass-exceed-queue no
Habilite los siguientes comandos de la CLI para comprobar la marca de tiempo de TCP. La marca de tiempo de TCP registra cuándo se envió el segmento y permite que el cortafuegos verifique si la marca de tiempo es válida para esa sesión. set deviceconfig setting tcp check-timestamp-option yes
Prevención de amenazas
297
Infraestructura de Content Delivery Network para actualizaciones dinámicas
Prevención de amenazas
Infraestructura de Content Delivery Network para actualizaciones dinámicas Palo Alto Networks mantiene una infraestructura de Content Delivery Network (CDN, Red de entrega de contenidos) para entregar actualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos dispositivos acceden a los recursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones y de ID de contenidos. Para activar y programar las actualizaciones de contenidos, consulte Gestión de la actualización de contenidos. La siguiente tabla enumera los recursos de Internet a los que accede el cortafuegos para una función o aplicación: Recurso
URL
Direcciones estáticas (si se requiere un servidor estático)
Base de datos de aplicaciones
• updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com o la dirección IP 199.167.52.15
Base de datos amenazas/antivirus
• updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com o la dirección IP 199.167.52.15
• downloads.paloaltonetworks.com:443 Como práctica recomendada, establezca el servidor de actualizaciones para que acceda a updates.paloaltonetworks.com. De esta forma el dispositivo de Palo Alto Networks podrá recibir actualizaciones de contenidos desde el servidor que esté más cercano en la infraestructura de CDN.
Filtrado de URL de PAN-DB
• *.urlcloud.paloaltonetworks.com
• 50.18.116.114 • 174.129.212.185 • 46.51.252.65 • 46.137.75.101
Filtrado de URL de BrightCloud
298
• database.brightcloud.com:443/80 • service.brightcloud.com:80
Póngase en contacto con el Servicio de atención al cliente de BrightCloud.
Prevención de amenazas
Prevención de amenazas
Infraestructura de Content Delivery Network para actualizaciones dinámicas
Recurso
URL
WildFire
• beta.wildfire.paloaltonetworks.com:443/80 mail.wildfire.paloaltonetworks.com:25 • beta-s1.wildfire.paloaltonetworks.com:443 /80
Direcciones estáticas (si se requiere un servidor estático)
o la dirección IP 54.241.16.83
Nota
wildfire.paloaltonetworks.com:443/80
Solo es posible acceder a los sitios or 54.241.8.199 Beta por un cortafuegos que esté Las direcciones URL/IP específicas de región ejecutando una versión Beta. son las siguientes: • mail.wildfire.paloaltonetworks.com:25 • wildfire.paloaltonetworks.com:443/80
Prevención de amenazas
ca-s1.wildfire.paloaltonetworks.com:44 o 54.241.34.71
va-s1.wildfire.paloaltonetworks.com:443 o 174.129.24.252
eu-s1.wildfire.paloaltonetworks.com:443 o 54.246.95.247
sg-s1.wildfire.paloaltonetworks.com:443 o 54.251.33.241
jp-s1.wildfire.paloaltonetworks.com:443 o 54.238.53.161
portal3.wildfire.paloaltonetworks.com:4 43/80 o 54.241.8.199
ca-s3.wildfire.paloaltonetworks.com:443 o 54.241.34.71
va-s3.wildfire.paloaltonetworks.com:443 o 23.21.208.35
eu-s3.wildfire.paloaltonetworks.com:443 o 54.246.95.247
sg-s3.wildfire.paloaltonetworks.com:443 o 54.251.33.241
jp-s3.wildfire.paloaltonetworks.com:443 o 54.238.53.161
wildfire.paloaltonetworks.com.jp:443/8 0 o 180.37.183.53
wf1.wildfire.paloaltonetowrks.jp:443 o 180.37.180.37
wf2.wildfire.paloaltonetworks.jp:443 o 180.37.181.18
portal3.wildfire.paloaltonetworks.jp:443 /80 o 180.37.183.53 299
Infraestructura de Content Delivery Network para actualizaciones dinámicas
300
Prevención de amenazas
Prevención de amenazas
Descifrado Los cortafuegos de Palo Alto Networks ofrecen la posibilidad de descifrar y examinar el tráfico para ofrecer gran visibilidad, control y seguridad granular. El descifrado de un cortafuegos de Palo Alto Networks ofrece la capacidad de aplicar políticas de seguridad al tráfico cifrado, que de otra manera no podrían bloquearse ni moldearla de acuerdo con los ajustes de seguridad que ha configurado. Use el descifrado en un cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido sensible, escondido como tráfico cifrado. La activación del descifrado en un cortafuegos de Palo Alto Networks puede incluir la preparación de claves y certificados necesarios para el descifrado, la creación de una política de descifrado y la configuración de un reflejo de puerto de descifrado. Consulte los siguientes temas para saber más sobre el descifrado y configurarlo:
Descripción general del descifrado
Configuración del proxy SSL de reenvío
Configuración de la inspección de entrada SSL
Configuración del Proxy SSH
Configuración de excepciones de descifrado
Configuración del reflejo del puerto de descifrado
Descifrado
301
Descripción general del descifrado
Descifrado
Descripción general del descifrado Para saber más sobre las claves y certificados para el descifrado, las políticas de descifrado y el reflejo de los puertos de descifrado, consulte los siguientes temas:
Políticas de claves y certificados para el descifrado
Proxy SSL de reenvío
Inspección de entrada SSL
Proxy SSH
Excepciones de descifrado
Reflejo del puerto de descifrado
Los protocolos SSL (Secure Sockets Layer, Capa de sockets seguros) y SSH (Secure Shell, Shell seguro) se usan para asegurar el tráfico entre dos entidades, como un servidor web y un cliente. El SSL y el SSH encapsulan el tráfico, cifrando los datos de modo que sean ininteligibles para todas las entidades excepto el cliente y el servidor que cuenten con las claves para descodificar los datos y los certificados, lo que garantiza la confianza entre los dispositivos. El tráfico que se ha cifrado con los protocolos SSL y SSH puede descifrarse para garantizar que esos protocolos se están usando únicamente para los fines deseados y no para ocultar una actividad no deseada o contenido malicioso. Los cortafuegos de Palo Alto Networks descifran el tráfico cifrado mediante claves que transforman las cadenas (contraseñas y secretos compartidos) de texto cifrado a texto sin cifrar (descifrado) y de texto sin cifrar a texto cifrado (recifrado del tráfico cuando abandone el dispositivo). Los certificados se usan para definir al cortafuegos como un interlocutor de confianza y crear una conexión segura. El cifrado SSL (tanto en la inspección entrante como el proxy de reenvío) requiere certificados para establecer la confianza entre dos entidades para asegurar una conexión SSL/TLS. Los certificados también pueden usarse al excluir a los servidores del descifrado SSL. Puede integrar un módulo de seguridad de hardware (HSM) con un cortafuegos para permitir una seguridad mejorada para las claves privadas usadas en el proxy de envío SSL como en el descifrado de inspección entrante SSL. Si desea más información sobre el almacenamiento y generación de claves mediante un HSM en su cortafuegos, consulte Claves seguras con un módulo de seguridad de hardware. El descifrado SSH no requiere certificados. El descifrado del cortafuegos de Palo Alto Networks se basa en políticas y puede usarse para descifrar, examinar y controlar las conexiones SSL y SSH entrantes y salientes. Las políticas de descifrado le permiten especificar el tráfico que se desea descifrar en función de la categoría de URL, destino u origen para poder bloquear o restringir el tráfico especificado según sus ajustes de seguridad. El cortafuegos usa certificados y claves para descifrar el tráfico especificado por la política en texto sin cifrar, y después refuerza los ajustes de seguridad y App-ID en el tráfico de texto sin cifrar, incluidos los perfiles de descifrado, antivirus, vulnerabilidad, anti-spyware, filtrado de URL y bloqueo de archivos. Cuando el tráfico se haya descifrado y examinado en el cortafuegos, el tráfico de texto sin cifrar se volverá a cifrar a medida que salga del cortafuegos para asegurar su privacidad y seguridad. Use el descifrado basado en políticas en el cortafuegos para conseguir resultados como los siguientes:
Evite que el software malintencionado oculto como tráfico cifrado se introduzca en una red de su empresa.
Evite que la información corporativa sensible salga de la red corporativa.
Asegúrese de que las aplicaciones correctas se ejecuten en una red segura.
Descifre el tráfico de forma selectiva; por ejemplo, puede excluir del descifrado el tráfico de sitios financieros o sanitarios mediante la configuración de excepciones de descifrado.
302
Descifrado
Descifrado
Descripción general del descifrado
Las tres políticas de descifrado que se ofrecen en el cortafuegos, Proxy SSL de reenvío, Inspección de entrada SSL y Proxy SSH, proporcionan métodos para detectar y examinar específicamente tráfico saliente SSL, tráfico SSL entrante y tráfico SSH, respectivamente. Las políticas de descifrado proporcionan los ajustes para que especifique qué tráfico descifrar y qué perfiles de descifrado se pueden seleccionar al crear una política con el objetivo de aplicar ajustes de seguridad más granulares al tráfico descifrado, como por ejemplo para buscar certificados del servidor, modos no admitidos y fallos. Este descifrado basado en políticas en el cortafuegos le ofrece visibilidad y controla del tráfico cifrado SSL y SSH de acuerdo con parámetros configurables. También puede optar por extender una configuración de descifrado en el cortafuegos para incluir el Reflejo del puerto de descifrado, lo que permite el reenvío de tráfico descifrado como texto sin cifrar a una solución externa para su análisis y archivo.
Políticas de claves y certificados para el descifrado Las claves son cadenas de números que suelen generarse mediante una operación matemática que incluye números aleatorios y números primos altos. Las claves se usan para transformar otras cadenas (como contraseñas y secretos compartidos) de texto sin cifrar en texto cifrado (en un proceso llamado cifrado) y texto cifrado en texto sin cifrar (en el proceso de descifrado). Las claves pueden ser simétricas (se usa la misma clave para cifrar y descifrar) o asimétricas (se usa una clave para el cifrado y una clave relacionada matemáticamente para el descifrado). Cualquier sistema puede generar una clave. Los certificados X.509 se usan para establecer la confianza entre un cliente y un servidor para establecer una conexión SSL. Un cliente que intente autenticar un servidor (o un servidor que autentique un cliente) conoce la estructura del certificado X.509 y por ello sabe cómo extraer la información de identificación del servidor de los campos del certificado, como su FQDN o dirección IP (llamados nombre común o CN en el certificado) o el nombre de la organización, departamento o usuario para el que se emitió el certificado. Todos los certificados debe emitirlos una entidad de certificación (CA). Cuando la CA verifica un cliente o servidor, la CA emite el certificado y lo firma con su clave privada. Cuando se configura una política de descifrado, la sesión SSL/TLS entre el cliente y el servidor solo se establece si el cortafuegos confía en la CA que firmó el certificado del servidor. Para establecer esa confianza, el cortafuegos debe tener el certificado de la CA raíz del servidor en su lista de certificados de confianza (CTL) y usa la clave pública de ese certificado de CA raíz para comprobar la firma. A continuación, el cortafuegos presenta una copia del certificado del servidor con la firma del certificado de reenvío fiable al cliente para que lo autentique. También puede configurar el cortafuegos para que utilice una CA de empresa como certificado de reenvío fiable para el proxy SSL de reenvío. Si el cortafuegos no tiene el certificado de CA raíz del servidor en su CTL, el cortafuegos presentará una copia del certificado de servidor firmado por el certificado no fiable de reenvío al cliente. El certificado no fiable de reenvío garantiza que a los clientes les aparezca un mensaje con una advertencia de certificación cuando intenten acceder a los sitios alojados en un servidor con certificados que no sean de confianza. Si desea información detallada sobre los certificados, consulte Gestión de certificados. Para controlar las CA de confianza en las que confía su dispositivo, consulte “Entidades de certificación de confianza predeterminadas”.
La Tabla: Claves y certificados de dispositivos de Palo Alto Networks describe las distintas claves y certificados que usan los dispositivos de Palo Alto Networks para el descifrado. Una práctica recomendada es utilizar diferentes claves y certificados para cada uso.
Descifrado
303
Descripción general del descifrado
Descifrado
Tabla: Claves y certificados de dispositivos de Palo Alto Networks Uso de clave/certificado
Descripción
Reenvío fiable
Es el certificado que presenta el cortafuegos a los clientes durante el descifrado si el sitio con el que el cliente intenta conectar tiene un certificado firmado con una CA en la que confía el cortafuegos. Para configurar un certificado de reenvío fiable en el cortafuegos, consulte el Paso 2 en la tarea Configuración del proxy SSL de reenvío. Para una mayor seguridad, el certificado de reenvío fiable puede almacenarse en un módulo de seguridad de hardware (HSM), consulte Almacenamiento de claves privadas en un HSM.
Reenvío no fiable
Es el certificado que presenta el cortafuegos a los clientes durante el descifrado si el sitio con el que el cliente intenta conectar tiene un certificado firmado con una CA en la que el cortafuegos NO confía. Para configurar un certificado no fiable de reenvío en el cortafuegos, consulte el Paso 3 en la tarea Configuración del proxy SSL de reenvío.
Certificado SSL de exclusión Certificados de servidores que quiere excluir del descifrado SSL/TLS. Por ejemplo, si
ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el descifrado SSL (por ejemplo, servicios web de sus sistemas de RR. HH.), importe los correspondientes certificados en el cortafuegos y configúrelos como certificados SSL de exclusión. Consulte Exclusión de un servidor del descifrado. Inspección de entrada SSL
Certificado que se usa para descifrar el tráfico SSL/TLS entrante para su inspección y la aplicación de políticas. Para este uso, debe importar el certificado de servidor para los servidores cuya inspección entrante SSL está realizando, o almacenarlos en un HSM (consulte Almacenamiento de claves privadas en un HSM).
Proxy SSL de reenvío Utilice una política de descifrado del proxy SSL de reenvío para descifrar y examinar el tráfico SSL/TLS de usuarios internos a Internet. El descifrado del proxy SSL de reenvío evita que el software malintencionado oculto como tráfico cifrado SSL se introduzca en la red de su empresa; por ejemplo, si un empleado está usando su cuenta de Gmail desde la oficina y abre un archivo adjunto con un virus, el descifrado del proxy SSL de reenvío evitará que el virus infecte el sistema del cliente y entre en la red de la empresa. Con el descifrado del proxy SSL de reenvío, el cortafuegos se encuentra entre el cliente interno y el servidor externo. El cortafuegos usa los certificados de reenvío fiable y de reenvío no fiable para establecerse como tercero de confianza en la sesión entre el cliente y el servidor (si desea información detallada sobre los certificados, consulte Políticas de claves y certificados para el descifrado). Cuando el cliente inicia una sesión SSL con el servidor, el cortafuegos intercepta la solicitud SSL del servidor y reenvía la solicitud SSL al servidor. El servidor envía un certificado destinado al cliente, que el cortafuegos intercepta. Si el certificado del servidor está firmado por una entidad CA en la que el cortafuegos confía, el cortafuegos creará una copia del certificado del servidor firmado con el certificado de reenvío fiable, y enviará el certificado al cliente para que lo autentique. Si el certificado del servidor está firmado por una CA en la que el cortafuegos no confía, el cortafuegos creará una copia del certificado del servidor, lo firmará con el certificado no fiable de reenvío y lo enviará al cliente. En este caso, el cliente verá una advertencia de página bloqueada indicando que el sitio con el que intenta conectar no es fiable, y tendrá la opción de continuar o terminar la sesión. Cuando el cliente autentique el certificado, la sesión SSL se establecerá y el cortafuegos funcionará como proxy de reenvío fiable hacia el sitio al que está accediendo el cliente.
304
Descifrado
Descifrado
Descripción general del descifrado
A medida que el cortafuegos siga recibiendo tráfico SSL del servidor que esté destinado al cliente, lo descifrará en un tráfico de texto claro y aplicará políticas de seguridad al tráfico. A continuación el tráfico se recifrará en el cortafuegos, que enviará el tráfico cifrado al cliente. Ilustración: Proxy SSL de reenvío muestra este proceso en detalle. Ilustración: Proxy SSL de reenvío
Consulte Configuración del proxy SSL de reenvío si desea más detalles sobre la configuración del proxy SSL de reenvío.
Inspección de entrada SSL Use Inspección de entrada SSL para descifrar y examinar el tráfico SSL entrante de un cliente a un servidor de destino (cualquier servidor para el que tenga el certificado y pueda importar en el cortafuegos). Por ejemplo, si un empleado se ha conectado remotamente a un servidor web alojado en la red de la compañía e intenta agregar documentos internos restringidos a su carpeta de Dropbox (que usa SSL para la transmisión de datos), se puede usar la inspección de entrada SSL para asegurar que los datos sensibles no salen fuera de la red segura de la empresa mediante un bloqueo o restricción de la sesión. La configuración de la inspección de entrada SSL incluye la importación de un certificado y clave del servidor de destino en el cortafuegos. Como el certificado y la clave del servidor de destino se importan al cortafuegos, este puede acceder a la sesión SSL entre el servidor y el cliente y descifran y examinan el tráfico de forma transparente, en lugar de actuar como un proxy. El cortafuegos puede aplicar políticas de seguridad al tráfico descifrado, detectar contenido malicioso y controlar la ejecución de aplicaciones en este canal seguro.
Descifrado
305
Descripción general del descifrado
Descifrado
Ilustración: Inspección de entrada SSL muestra este proceso en detalle. Ilustración: Inspección de entrada SSL
Consulte Configuración de la inspección de entrada SSL si desea más detalles sobre la configuración del proxy SSL de reenvío.
Proxy SSH El proxy SSH permite que el cortafuegos descifre las conexiones de SSH entrantes y salientes que lo atraviesan para asegurar que el SSH no se use para encubrir aplicaciones y contenido no deseado. El descifrado SSH no requiere ningún certificado, y la clave que se usa para el descifrado SSH se genera automáticamente al iniciar el cortafuegos. Durante el proceso de inicio, el cortafuegos comprueba si ya existe una clave. De lo contrario, se genera una clave. Esta clave se usa para descifrar las sesiones SSH de todos los sistemas virtuales configurados en el dispositivo. La misma clave se usa para descifrar todas las sesiones SSH v2. En una configuración Proxy SSH, el cortafuegos se encuentra entre un cliente y un servidor. Cuando el cliente inicia una solicitud SSH al servidor, el cortafuegos intercepta la solicitud la reenvía al servidor. A continuación el cortafuegos intercepta la respuesta del servidor y la reenvía al cliente, estableciendo un túnel SSH entre el cortafuegos y el cliente y un túnel SSH entre el cortafuegos y el servidor, por lo que el cortafuegos funciona como proxy. A medida que el tráfico fluye entre el cliente y el servidor, el cortafuegos puede distinguir si el tráfico SSH se enruta normalmente o si usa un túnel SSH (reenvío de puertos). Las inspecciones de contenido y amenazas no se realizan en los túneles SSH, sin embargo, si el cortafuegos identifica túneles SSH, el tráfico con túnel SSH se bloqueará y restringirá de acuerdo con las políticas de seguridad configuradas. Ilustración: Descifrado del proxy SSH muestra este proceso en detalle.
306
Descifrado
Descifrado
Descripción general del descifrado
Ilustración: Descifrado del proxy SSH
Consulte Configuración del Proxy SSH si desea más detalles sobre la configuración de una política de proxy SSH.
Excepciones de descifrado Hay tráfico que puede excluirse del descifrado mediante criterios de comparación (con una política de descifrado) o mediante la especificación del servidor de destino (mediante certificados); mientras que algunas aplicaciones se excluyen del descifrado por defecto. Las aplicaciones que no funcionen adecuadamente cuando las descifra el cortafuegos se excluirán automáticamente del descifrado SSL. Las aplicaciones que se excluyen por defecto del descifrado SSL son aquellas que suelen fallar por el descifrado porque la aplicación busca detalles específicos en el certificado que pueden no estar presentes en el certificado generado por el proxy SSL de reenvío. Consulte el artículo de la base de conocimientos (KB) List of Applications Excluded from SSL Decryption (Lista de aplicaciones excluidas del cifrado SSL) si desea una lista actualizada de las aplicaciones excluidas por defecto del descifrado SSL en el cortafuegos. Puede configurar excepciones de descifrado para ciertas categorías o aplicaciones de URL que pueden no funcionar adecuadamente cuando el descifrado está activado o por cualquier otro motivo, incluidos los fines legales o de privacidad. Puede usar una política de descifrado para excluir el tráfico del descifrado en función del origen, el destino y la categoría de URL. Por ejemplo, con el descifrado SSL activado, puede excluir el tráfico que se categoriza como financiero o sanitario del descifrado mediante la selección de categoría URL. Para crear una política de descifrado que excluya el tráfico del descifrado:
Descifrado
307
Descripción general del descifrado
Descifrado
También puede excluir servidores del descifrado SSL según el nombre común (CN) del certificado del servidor. Por ejemplo, si ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el descifrado SSL (por ejemplo, servicios web de sus sistemas de RR. HH.), puede excluir esos servidores del descifrado importando el certificado del servidor al cortafuegos y modificándolo para que sea un certificado SSL de exclusión. Para excluir el tráfico del descifrado según la aplicación, origen, destino o categoría de URL o para excluir el tráfico de un servidor específico del descifrado, consulte Configuración de excepciones de descifrado.
Reflejo del puerto de descifrado El reflejo del puerto de descifrado permite crear una copia del tráfico descifrado desde un cortafuegos y enviarlo a una herramienta de recopilación de tráfico que sea capaz de recibir capturas de paquetes sin formato, como NetWitness o Solera, para su archivo y análisis. Esta función es necesaria para aquellas organizaciones que necesitan la captura integral de datos con fines forenses o históricos o para prevenir la fuga de datos (DLP). El reflejo del puerto de descifrado solo está disponible en las plataformas de las series PA-7050, PA-5000 y PA-3000 y necesita la instalación de una licencia gratuita para su activación. Tenga en cuenta que el descifrado, almacenamiento, inspección y uso del tráfico SSL está legislado en algunos países y puede que sea necesario tener el consentimiento del usuario para poder usar la función de reflejo del puerto de cifrado. Además, el uso de esta función podría hacer que usuarios maliciosos con accesos administrativos al cortafuegos recopilaran nombres de usuario, contraseñas, números de la seguridad social, números de tarjetas de crédito u otra información sensible para enviarla a través de un canal cifrado. Palo Alto Networks le recomienda consultar a su asesor corporativo antes de activar y usar esta función en un entorno de producción. La Ilustración: Reflejo del puerto de descifrado muestra el proceso del reflejo del puerto de descifrado y la sección Configuración del reflejo del puerto de descifrado describe como otorgar una licencia a esta función y utilizarla. Ilustración: Reflejo del puerto de descifrado
308
Descifrado
Descifrado
Configuración del proxy SSL de reenvío
Configuración del proxy SSL de reenvío La configuración del descifrado del Proxy SSL de reenvío en el cortafuegos requiere configurar los certificados necesarios para el descifrado del proxy SSL de reenvío y crear una política de descifrado del proxy SSL de reenvío. El cortafuegos puede utilizar certificados autofirmados o certificados firmados por una CA de empresa para realizar el descifrado del proxy SSL de reenvío. Utilice la siguiente tarea para configurar el proxy SSL de reenvío, incluido cómo configurar los certificados y crear una política de descifrado. Configuración del proxy SSL de reenvío
Paso 1
Asegúrese de que las interfaces adecuadas están configuradas como interfaces de Virtual Wire, capa 2 o capa 3.
Visualice las interfaces configuradas en la pestaña Red > Interfaces > Ethernet. La columna Tipo de interfaz muestra si una interfaz está configurada para ser una interfaz de Virtual Wire, Capa 2 o Capa 3. Puede seleccionar una interfaz para modificar su configuración, incluido qué tipo de interfaz es.
Paso 2
Configure el certificado fiable de reenvío. Para utilizar un certificado autofirmado: Utilice un certificado autofirmado o un 1. Seleccione Dispositivo > Gestión de certificados > Certificados. certificado firmado por una CA de empresa. 2. Haga clic en Generar en la parte inferior de la ventana. Uso de certificados autofirmados
3.
Introduzca un nombre de certificado, como mi-reenvio-fiable.
4.
Introduzca un Nombre común, como 192.168.2.1. Debería ser la dirección IP o el FQDN que aparecerá en el certificado. En este caso estamos usando la IP de la interfaz fiable. Evite usar espacios en este campo.
Cuando el certificado del servidor al que se esté conectando el cliente esté firmado por una CA incluida en la lista de CA de confianza del cortafuegos, este firmará una 5. copia del certificado del servidor con un certificado fiable de reenvío autofirmado 6. que deberá presentarse al cliente para su autenticación. En este caso, el certificado autofirmado debe importarse en cada sistema cliente para que el cliente reconozca el cortafuegos como una CA de confianza. 7. Utilice certificados autofirmados para el 8. descifrado del proxy SSL de reenvío si no utiliza una CA de empresa o si solamente 9. debe realizar el descifrado para un número limitado de sistemas cliente (o si tiene la intención de utilizar una implementación centralizada).
Deje en blanco el campo Firmado por. Haga clic en la casilla de verificación Autoridad del certificado para habilitar el cortafuegos para que emita el certificado. Al seleccionar esta casilla de verificación, se crea una entidad de certificación (CA) en el cortafuegos que se importará a los exploradores de los clientes, de modo que los clientes confíen en el cortafuegos como CA. Haga clic en Generar para generar el certificado. Haga clic en el nuevo certificado my-fwd-trust para modificarlo y habilite la opción Reenviar certificado fiable. Exporte el certificado fiable de reenvío para importarlo en sistemas cliente resaltando el certificado y haciendo clic en Exportar en la parte inferior de la ventana. Elija el formato PEM y no seleccione la opción Exportar clave privada. Como el certificado está autofirmado, impórtelo en la lista de CA raíz de confianza del explorador de los sistemas cliente para que los clientes confíen en él. Al importar en el explorador del cliente, asegúrese de que el certificado se añade al almacén de certificados de entidades de certificación raíz de confianza. En sistemas Windows, la ubicación de importación predeterminada es el almacén de certificados personales. También puede simplificar este proceso utilizando una implementación centralizada, como un objeto de directiva de grupo (GPO) de Active Directory. Nota Si el certificado fiable de reenvío no se importa en los sistemas cliente, los usuarios verán advertencias de certificación en cada sitio SSL que visiten.
10. Haga clic en Aceptar para guardar.
Descifrado
309
Configuración del proxy SSL de reenvío
Descifrado
Configuración del proxy SSL de reenvío (Continuación) Uso de una CA de empresa
Para utilizar un certificado firmado por una CA de empresa:
1. Una CA de empresa puede emitir un certificado de firma que el cortafuegos puede utilizar para, a continuación, firmar los certificados de los sitios que requieran un descifrado SSL. Envíe una solicitud de firma de certificado (CSR) para que la CA de empresa lo firme y lo valide. A continuación, el cortafuegos podrá utilizar el certificado de CA de empresa firmado para el descifrado del proxy SSL de reenvío. Dado que los sistemas cliente ya confían en la CA de empresa, con esta opción, no necesita distribuir el certificado a los sistemas cliente antes de configurar el descifrado. 2.
Genere una CSR: a. Seleccione Dispositivo > Gestión de certificados > Certificados y haga clic en Generar. b. Introduzca un Nombre de certificado, como my-fwd-proxy. c. En el menú desplegable Firmado por, seleccione Autoridad externa (CSR). d. (Opcional) Si su CA de empresa lo requiere, añada Atributos del certificado para identificar más información detallada del cortafuegos, como el país o el departamento. e. Haga clic en ACEPTAR para guardar la CSR. El certificado pendiente ahora aparecerá en la pestaña Certificados de dispositivos:
Exporte la CSR: a. Seleccione el certificado pendiente que aparece en la pestaña Certificados de dispositivos. b. Haga clic en Exportar para descargar y guardar el archivo del certificado. Nota Deje Exportar clave privada sin seleccionar para garantizar que la clave privada permanezca protegida en el cortafuegos. c. Haga clic en ACEPTAR. d. Proporcione el archivo del certificado a su CA de empresa. Cuando reciba el certificado de CA de empresa firmado de su CA de empresa, guárdelo para importarlo en el cortafuegos.
3.
Importe el certificado de CA de empresa firmado en el cortafuegos: a. Seleccione Dispositivo > Gestión de certificados > Certificados y haga clic en Importar. b. Introduzca el Nombre de certificado pendiente de manera exacta (en este caso, my-fwd-trust). El Nombre de certificado que introduzca debe coincidir de manera exacta con el nombre del certificado pendiente para que este se valide. c. Seleccione el Archivo del certificado que recibió de su CA de empresa. d. Haga clic en ACEPTAR. El certificado se muestra como válido con las casillas de verificación Clave y CA seleccionadas:
e. Seleccione el certificado validado, en este caso, my-fwd-proxy, para habilitarlo como Reenviar certificado fiable y utilizarlo para el descifrado del proxy SSL de reenvío. f. Haga clic en ACEPTAR.
310
Descifrado
Descifrado
Configuración del proxy SSL de reenvío
Configuración del proxy SSL de reenvío (Continuación)
Paso 3
Configure el certificado no fiable de reenvío. 1. Con el descifrado del proxy SSL de reenvío, cuando el sitio al que se esté conectando el cliente utilice un certificado firmado por una CA que no se encuentre en la lista de CA de confianza del cortafuegos, este presentará un certificado no fiable de reenvío al cliente. El certificado no fiable de reenvío garantiza que a los clientes les aparezca un mensaje con una advertencia de certificación cuando intenten acceder a los sitios alojados en un servidor con certificados que no sean de confianza.
Paso 4
Haga clic en Generar en la parte inferior de la página de certificados.
2.
Introduzca un nombre de certificado, como mi-reenvio-nofiable.
3.
Defina el nombre común, por ejemplo 192.168.2.1. Deje Firmado por en blanco.
4.
Haga clic en la casilla de verificación Autoridad del certificado para habilitar el cortafuegos para que emita el certificado.
5.
Haga clic en Generar para generar el certificado.
6.
Haga clic en Aceptar para guardar.
7.
Haga clic en el nuevo certificado my-ssl-fw-untrust para modificarlo y habilite la opción Reenviar certificado no fiable.
Nota
No exporte el certificado no fiable de reenvío para su importación en sistemas cliente. Si el certificado fiable de reenvío se importa en sistemas cliente, los usuarios no verán advertencias de certificación en los sitios SSL con certificados no fiables.
8.
Haga clic en Aceptar para guardar.
1.
Seleccione Objetos > Perfiles de descifrado y haga clic en Añadir.
Los perfiles de descifrado se pueden asociar 2. a una política de descifrado, habilitando el cortafuegos para que bloquee y controle diversos aspectos del tráfico que se está descifrando. Se puede utilizar un perfil de descifrado del proxy SSL de reenvío para 3. realizar comprobaciones de certificados de servidor, modos no compatibles y fallos y bloquear o restringir el tráfico según los resultados. Para obtener una lista completa de las comprobaciones que se pueden realizar, desplácese hasta Objetos > Perfiles de descifrado en el cortafuegos y haga clic en el icono de ayuda.
Seleccione la pestaña Proxy SSL de reenvío para bloquear y controlar aspectos específicos del tráfico de túnel de SSL. Por ejemplo, puede decidir finalizar sesiones si los recursos del sistema no están disponibles para procesar el descifrado seleccionando Bloquear sesiones si no hay recursos disponibles.
(Opcional) Cree un perfil de descifrado.
Descifrado
Haga clic en ACEPTAR para guardar el perfil.
311
Configuración del proxy SSL de reenvío
Descifrado
Configuración del proxy SSL de reenvío (Continuación)
Paso 5
Configure una política de descifrado.
1.
Seleccione Políticas > Descifrado y haga clic en Añadir.
2.
En la pestaña General, otorgue a la política un Nombre descriptivo.
3.
En las pestañas Origen y Destino, seleccione Cualquiera para la Zona de origen y la Zona de destino para descifrar todo el tráfico SSL destinado a un servidor externo. Si desea especificar tráfico con determinados orígenes o destinos para el descifrado, haga clic en Añadir.
4.
En la pestaña Categoría de URL, deje Cualquiera para descifrar todo el tráfico. Si solamente desea aplicar este perfil a determinadas categorías de sitios web, haga clic en Añadir.
Nota
Paso 6
312
Compile la configuración.
La selección de una categoría de URL resulta de utilidad cuando se excluyen determinados sitios del descifrado. Consulte Configuración de excepciones de descifrado.
5.
En la pestaña Opciones, seleccione Descifrar y seleccione Proxy SSL de reenvío como el Tipo de descifrado que debe realizarse.
6.
(Opcional) Seleccione un Perfil de descifrado para aplicar ajustes adicionales al tráfico descifrado (consulte el Paso 4).
7.
Haga clic en ACEPTAR para guardar.
Con una política de descifrado del proxy SSL de reenvío habilitada, todo el tráfico identificado por la política se descifrará. El tráfico descifrado se bloquea y restringe de acuerdo con los perfiles configurados en el cortafuegos (incluidos los perfiles de descifrado asociados a la política y los perfiles Antivirus, Vulnerabilidad, Antispyware, Filtrado de URL y Bloqueo de archivo). El tráfico vuelve a cifrarse a medida que sale del cortafuegos.
Descifrado
Descifrado
Configuración de la inspección de entrada SSL
Configuración de la inspección de entrada SSL La configuración de Inspección de entrada SSL incluye la instalación del certificado del servidor de destino en el cortafuegos y la creación de una política de descifrado de inspección de entrada SSL. Utilice la siguiente tarea para configurar la inspección de entrada SSL. Configuración de la inspección de entrada SSL
Paso 1
Asegúrese de que las interfaces adecuadas Visualice las interfaces configuradas en la pestaña Red > Interfaces > Ethernet. La columna Tipo de interfaz muestra si una interfaz está están configuradas como interfaces de Virtual Wire, capa 2 o capa 3. configurada para ser una interfaz de Virtual Wire, Capa 2 o Capa 3. Puede seleccionar una interfaz para modificar su configuración, incluido qué tipo de interfaz es.
Paso 2
Asegúrese de que el certificado del servidor de destino esté instalado en el cortafuegos.
En la interfaz web, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos para ver los certificados instalados en el cortafuegos. Para importar el certificado del servidor de destino en el cortafuegos: 1. En la pestaña Certificados de dispositivos, seleccione Importar.
Paso 3
(Opcional) Cree un perfil de descifrado.
2.
Introduzca un Nombre de certificado descriptivo.
3.
Busque y seleccione el Archivo del certificado del servidor de destino.
4.
Haga clic en ACEPTAR.
1.
Seleccione Objetos > Perfiles de descifrado y haga clic en Añadir.
Los perfiles de descifrado se pueden 2. asociar a una política de descifrado, habilitando el cortafuegos para que bloquee y controle diversos aspectos del tráfico que se está descifrando. Se puede utilizar un perfil de descifrado de inspección de entrada SSL para realizar 3. comprobaciones de modos no compatibles y fallos y bloquear o restringir el tráfico según los resultados. Para obtener una lista completa de las comprobaciones que se pueden realizar, seleccione Objetos > Perfiles de descifrado y, a continuación, haga clic en el icono de ayuda.
Descifrado
Seleccione la pestaña Inspección de entrada SSL para bloquear y controlar aspectos específicos del tráfico SSL. Por ejemplo, puede decidir finalizar sesiones si los recursos del sistema no están disponibles para procesar el descifrado seleccionando Bloquear sesiones si no hay recursos disponibles. Haga clic en ACEPTAR para guardar el perfil.
313
Configuración de la inspección de entrada SSL
Descifrado
Configuración de la inspección de entrada SSL (Continuación)
Paso 4
Configure una política de descifrado.
1.
Seleccione Políticas > Descifrado y haga clic en Añadir.
2.
En la pestaña General, otorgue a la política un Nombre descriptivo.
3.
En la pestaña Destino, haga clic en Añadir para añadir la Dirección de destino del servidor de destino.
4.
En la pestaña Categoría de URL, deje Cualquiera para descifrar todo el tráfico. Si solamente desea aplicar este perfil a determinadas categorías de sitios web, haga clic en Añadir.
Nota
5.
La selección de una categoría de URL resulta de utilidad cuando se excluyen determinados sitios del descifrado. Consulte Configuración de excepciones de descifrado.
En la pestaña Opciones, seleccione Descifrar y seleccione Inspección de entrada SSL como el Tipo de tráfico que debe descifrarse. Seleccione el Certificado para el servidor interno que sea el destino del tráfico de entrada SSL.
Paso 5
314
Compile la configuración.
6.
(Opcional) Seleccione un Perfil de descifrado para aplicar ajustes adicionales al tráfico descifrado (consulte el Paso 4).
7.
Haga clic en Aceptar para guardar.
Con una política de descifrado de inspección de entrada SSL habilitada, todo el tráfico SSL identificado por la política se descifrará e inspeccionará. El tráfico descifrado se bloquea y restringe de acuerdo con los perfiles configurados en el cortafuegos (incluidos los perfiles de descifrado asociados a la política y los perfiles Antivirus, Vulnerabilidad, Antispyware, Filtrado de URL y Bloqueo de archivo). El tráfico vuelve a cifrarse a medida que sale del cortafuegos.
Descifrado
Descifrado
Configuración del Proxy SSH
Configuración del Proxy SSH La configuración de Proxy SSH no requiere certificados y la clave utilizada para descifrar sesiones SSH se genera automáticamente en el cortafuegos durante el inicio. Utilice la siguiente tarea para configurar el descifrado del proxy SSL. Configuración del descifrado del proxy SSH
Paso 1
Paso 2
Asegúrese de que las interfaces adecuadas están configuradas como interfaces de Virtual Wire o capa 3. El descifrado solamente puede realizarse en interfaces de Virtual Wire, capa 2 o capa 3.
Visualice las interfaces configuradas en la pestaña Red > Interfaces > Ethernet. La columna Tipo de interfaz muestra si una interfaz está configurada para ser una interfaz de Virtual Wire, Capa 2 o Capa 3.
(Opcional) Cree un perfil de descifrado.
1.
Puede seleccionar una interfaz para modificar su configuración, incluido qué tipo de interfaz es.
Los perfiles de descifrado se pueden 2. asociar a una política de descifrado, habilitando el cortafuegos para que bloquee y controle diversos aspectos del tráfico que se está descifrando. El perfil de descifrado se puede utilizar para realizar comprobaciones de certificados de 3. servidor, modos no compatibles y fallos y bloquear o restringir el tráfico según los resultados. Para obtener una lista completa de las comprobaciones que se pueden realizar, desplácese hasta Objetos > Perfiles de descifrado en el cortafuegos y, a continuación, haga clic en el icono de ayuda. Paso 3
Paso 4
Configure una política de descifrado.
Compile la configuración.
Descifrado
Seleccione Objetos > Perfiles de descifrado y haga clic en Añadir. Seleccione la pestaña SSH para bloquear y controlar aspectos específicos del tráfico de túnel de SSH. Por ejemplo, puede decidir finalizar sesiones si los recursos del sistema no están disponibles para procesar el descifrado seleccionando Bloquear sesiones si no hay recursos disponibles. Haga clic en ACEPTAR para guardar el perfil.
1.
Seleccione Políticas > Descifrado y haga clic en Añadir.
2.
En la pestaña General, otorgue a la política un Nombre descriptivo.
3.
En las pestañas Origen y Destino, seleccione Cualquiera para descifrar todo el tráfico SSH.
4.
En la pestaña Categoría de URL, seleccione Cualquiera para descifrar todo el tráfico SSH.
5.
En la pestaña Opciones, seleccione Descifrar y seleccione Proxy SSH como el Tipo de tráfico que debe descifrarse.
6.
(Opcional) Seleccione un Perfil de descifrado para aplicar ajustes adicionales al tráfico descifrado (consulte el Paso 3).
7.
Haga clic en ACEPTAR para guardar.
Con una política de descifrado del proxy SSH habilitada, todo el tráfico SSH identificado por la política se descifrará e identificará como tráfico SSH regular o como tráfico de túnel de SSH. El tráfico de túnel de SSH se bloquea y restringe de acuerdo con los perfiles configurados en el cortafuegos. El tráfico vuelve a cifrarse a medida que sale del cortafuegos.
315
Configuración de excepciones de descifrado
Descifrado
Configuración de excepciones de descifrado Puede excluir a propósito tráfico del descifrado basándose en criterios de coincidencia, como la aplicación, el origen o destino del tráfico o la categoría de URL. También puede excluir del descifrado el tráfico de un servidor específico. Consulte los siguientes temas para configurar Excepciones de descifrado:
Exclusión de tráfico del descifrado
Exclusión de un servidor del descifrado
Exclusión de tráfico del descifrado Para excluir a propósito aplicaciones o un determinado tráfico de otras políticas de descifrado SSL o SSH existentes, puede crear una nueva política de descifrado que defina el tráfico que debe excluirse del descifrado y con la acción No hay ningún descifrado seleccionada en la política. Puede definir el tráfico para una exclusión basada en políticas de acuerdo con criterios de coincidencia, como la aplicación, el origen, el destino o las categorías de URL. Asegúrese de que la política de descifrado que excluye el tráfico del descifrado aparece en el primer lugar de su lista de políticas de descifrado. Para ello, arrastre y suelte la política por encima del resto de políticas de descifrado. Consulte el siguiente procedimiento para configurar una política de descifrado que excluya el tráfico del descifrado SSL o SSH. Exclusión de tráfico de una política de descifrado
Paso 1
316
Cree una política de descifrado.
1.
Vaya a Políticas > Descifrado y haga clic en Añadir.
Utilice una política de descifrado para excluir tráfico del descifrado de acuerdo con las zonas o direcciones de origen y destino y las categorías de URL del tráfico. Este ejemplo muestra cómo excluir el tráfico categorizado como financiero o sanitario del descifrado del proxy SSL de reenvío.
2.
Otorgue a la política un Nombre descriptivo, como No-Decrypt-Finance-Health.
3.
En las pestañas Origen y Destino, seleccione Cualquiera para la Zona de origen y la Zona de destino para aplicar la regla No-Decrypt-Finance-Health en todo el tráfico SSL destinado a un servidor externo.
4.
En la pestaña Categoría de URL, haga clic en Añadir para añadir las categorías de URL servicios financieros y salud y medicina a la política, especificando que el tráfico que coincida con estas categorías no se descifrará.
5.
En la pestaña Opciones, seleccione No hay ningún descifrado y seleccione el Tipo de política de descifrado de la que está excluyendo el tráfico. Por ejemplo, para excluir el tráfico categorizado como financiero o sanitario de una política de descifrado del proxy SSL de reenvío configurada por separado, seleccione Proxy SSL de reenvío como el Tipo.
6.
Haga clic en ACEPTAR para guardar la política de descifrado No-Decrypt-Finance-Health.
Descifrado
Descifrado
Configuración de excepciones de descifrado
Exclusión de tráfico de una política de descifrado (Continuación)
Paso 2
Mueva la política de descifrado a la parte En la página Descifrado > Políticas, seleccione la política superior de la lista de políticas de No-Decrypt-Finance-Health y haga clic en Mover hacia arriba hasta que descifrado. aparezca en la parte superior de la lista (o puede arrastrarla y soltarla). El orden en que aparecen las políticas de descifrado es el mismo orden en que se aplican al tráfico de red. Si mueve la política con la acción No hay ningún descifrado aplicada a la parte superior de la lista, garantizará que el tráfico especificado no se descifre de acuerdo con otra política configurada.
Paso 3
Compile la configuración.
Una política de descifrado con la opción No hay ningún descifrado habilitada garantiza que el tráfico especificado permanezca cifrado a medida que pasa por el cortafuegos y que el tráfico no se descifre de acuerdo con otras políticas de descifrado configuradas y enumeradas en la página Políticas > Descifrado.
Exclusión de un servidor del descifrado Puede excluir el tráfico de un servidor de destino del descifrado SSL según el nombre común (CN) del certificado del servidor. Por ejemplo, si tiene el descifrado SSL habilitado, puede configurar una excepción de descifrado para el servidor de su red corporativa que aloje los servicios web para sus sistemas de RR. HH. Consulte el siguiente procedimiento para configurar o modificar el certificado de un servidor de modo que el tráfico del servidor de destino se excluya del descifrado: Exclusión de un servidor del descifrado
Paso 1
Importe el certificado del servidor de destino en el cortafuegos: 1. En la pestaña Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivo, seleccione Importar. 2. Introduzca un Nombre de certificado descriptivo. 3. Busque y seleccione el Archivo del certificado del servidor de destino. 4. Haga clic en ACEPTAR.
Paso 2
Seleccione el certificado del servidor de destino en la pestaña Certificados de dispositivo y habilítelo como un Certificado SSL de exclusión. Con el certificado del servidor de destino importado en el cortafuegos y designado como Certificado SSL de exclusión, el tráfico del servidor no se descifrará cuando pase a través del cortafuegos.
Descifrado
317
Configuración del reflejo del puerto de descifrado
Descifrado
Configuración del reflejo del puerto de descifrado Antes de que pueda habilitar el reflejo del puerto de descifrado, debe obtener e instalar una licencia de reflejo del puerto de descifrado. La licencia es gratuita y puede activarse a través del portal de asistencia técnica como se describe en el siguiente procedimiento. Después de instalar la licencia de reflejo del puerto de descifrado y reiniciar el cortafuegos, puede habilitar el reflejo del puerto de descifrado. La habilitación del reflejo del puerto de descifrado incluye la habilitación del reenvío de tráfico descifrado y la configuración de una interfaz de reflejo de descifrado. A continuación puede crear un perfil de descifrado que especifique la interfaz y la adjunte a una política de descifrado. Para obtener más información sobre cómo implementar el reflejo del puerto de descifrado, consulte Reflejo del puerto de descifrado. Utilice el siguiente procedimiento para obtener e instalar una licencia de reflejo del puerto de descifrado y configurar el reflejo del puerto de descifrado. Configuración del reflejo del puerto de descifrado
Paso 1
318
Solicite una licencia para cada dispositivo 1. en el que quiera habilitar el reflejo del puerto de descifrado.
Inicie sesión en el portal de asistencia técnica a través del sitio web de asistencia técnica de Palo Alto Networks (https://support.paloaltonetworks.com) y desplácese hasta la pestaña Activos.
2.
Seleccione la entrada del dispositivo para el que quiera obtener una licencia y seleccione Acciones.
3.
Seleccione Reflejo de puerto de descifrado. Aparecerá un aviso legal.
4.
Si está de acuerdo con los requisitos y las posibles implicaciones legales, haga clic en Comprendo las condiciones y deseo continuar.
5.
Haga clic en Activar.
Descifrado
Descifrado
Configuración del reflejo del puerto de descifrado
Configuración del reflejo del puerto de descifrado (Continuación)
Paso 2
Paso 3
Instale la licencia de reflejo del puerto de 1. descifrado en el cortafuegos.
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Licencias.
2.
Haga clic en Recuperar claves de licencia del servidor de licencias.
3.
Verifique que la licencia se ha activado en el cortafuegos.
4.
Reinicie el cortafuegos (Dispositivo > Configuración > Operaciones). Esta función no estará disponible para su configuración hasta que no vuelva a cargarse PAN-OS.
Habilite la capacidad de reflejar el tráfico En un cortafuegos con un único sistema virtual: descifrado. Se necesitan permisos de 1. Seleccione Dispositivo > Configuración > Content-ID. superusuario para realizar este paso. 2. Seleccione la casilla de verificación Permitir reenvío de contenido descifrado. 3.
Haga clic en Aceptar para guardar.
En un cortafuegos con varios sistemas virtuales: 1. Seleccione Dispositivo > Sistema virtual.
Paso 4
Configure una interfaz de reflejo de descifrado.
2.
Seleccione un sistema virtual para su edición o cree un nuevo sistema virtual seleccionando Añadir.
3.
Seleccione la casilla de verificación Permitir reenvío de contenido descifrado.
4.
Haga clic en Aceptar para guardar.
1.
Seleccione Red > Interfaces > Ethernet.
2.
Seleccione la interfaz Ethernet que quiera configurar para el reflejo del puerto de descifrado.
3.
Seleccione Reflejo de descifrado como el Tipo de interfaz. Este tipo de interfaz solamente aparecerá si la licencia de reflejo del puerto de descifrado está instalada.
4.
Descifrado
Haga clic en Aceptar para guardar.
319
Configuración del reflejo del puerto de descifrado
Descifrado
Configuración del reflejo del puerto de descifrado (Continuación)
Paso 5
Configure un perfil de descifrado para habilitar el reflejo del puerto de descifrado.
1. 2.
Seleccione Objetos > Perfiles de descifrado. Seleccione la Interfaz que debe utilizarse para Reflejo de descifrado.
El menú desplegable Interfaz contiene todas las interfaces Ethernet que se han definido como el tipo: Reflejo de descifrado. 3.
Especifique si desea reflejar el tráfico descifrado antes o después de aplicar las políticas. De manera predeterminada, el cortafuegos reflejará todo el tráfico descifrado en la interfaz antes de la búsqueda de políticas de seguridad, lo que le permitirá reproducir eventos y analizar el tráfico que genere una amenaza o active una acción de descarte. Si solamente desea reflejar el tráfico descifrado después de aplicar las políticas de seguridad, seleccione la casilla de verificación Reenviado solo. Con esta opción, solamente se reflejará el tráfico reenviado a través del cortafuegos. Esta opción es de utilidad si está reenviando el tráfico descifrado a otros dispositivos de detección de amenazas, como un dispositivo de DLP u otro sistema de prevención de intrusiones (IPS).
4. Paso 6
Paso 7
320
Establezca una política de descifrado para 1. el reflejo del puerto de descifrado. 2.
Guarde la configuración.
Haga clic en ACEPTAR para guardar el perfil de descifrado. Seleccione Políticas > Descifrado. Haga clic en Añadir para configurar una política de descifrado o seleccione una política de descifrado existente para editarla.
3.
En la pestaña Opciones, seleccione Descifrar y el Perfil de descifrado creado en el Paso 4.
4.
Haga clic en ACEPTAR para guardar la política.
Haga clic en Confirmar.
Descifrado
Filtrado de URL La solución de filtrado de URL de Palo Alto Networks es una potente función de PAN-OS que se utiliza para supervisar y controlar el modo en que los usuarios acceden a Internet a través de HTTP y HTTPS. Los siguientes temas ofrecen una descripción general del filtrado de URL, información de configuración y solución de problemas y las prácticas recomendadas para sacar el máximo partido de esta función:
Descripción general del filtrado de URL
Componentes y flujo de trabajo de filtrado de URL
Configuración de filtrado de URL
Ejemplos de casos de uso del filtrado de URL
Solución de problemas del filtrado de URL
Filtrado de URL
321
Descripción general del filtrado de URL
Filtrado de URL
Descripción general del filtrado de URL La función de filtrado de URL de Palo Alto Networks complementa la función App-ID permitiéndole configurar su cortafuegos para identificar y controlar el acceso al tráfico web (HTTP y HTTPS). Al implementar perfiles de filtrado de URL en políticas de seguridad y al utilizar categorías de URL como criterios de coincidencia en políticas (portal cautivo, descifrado, seguridad y QoS), obtendrá una visibilidad y un control completos del tráfico que atraviesa su cortafuegos y podrá habilitar y controlar de forma segura el modo en que sus usuarios acceden a Internet. Los siguientes temas describen los componentes del filtrado de URL y cómo se utilizan en un cortafuegos de Palo Alto Networks:
¿Cómo funciona el filtrado de URL?
Interacción entre App-ID y categorías de URL
Control de URL basado en categoría
Perfiles de filtrado de URL
¿Cómo se utilizan las categorías de URL como criterios de coincidencia en las políticas?
Componentes y flujo de trabajo de filtrado de URL
¿Cómo funciona el filtrado de URL? La solución de filtrado de URL de Palo Alto Networks utiliza una base de datos de filtrado de URL que contiene millones de sitios web y en la que cada sitio web se ubica en una de aproximadamente 60 categorías diferentes. A continuación, se aplica un perfil de filtrado de URL que contiene la lista de categorías a una política de seguridad que permite el tráfico web (HTTP/HTTPS) de los usuarios internos a Internet. Después de aplicar el perfil de filtrado de URL y establecer la categoría de la acción de alerta o bloqueo, obtendrá una completa visibilidad de los sitios web a los que acceden los usuarios y, a continuación, podrá decidir qué sitios web o categorías de sitios web deberían permitirse, bloquearse o registrarse en logs. También puede definir una lista de URL en el perfil de filtrado de URL que siempre se bloqueará o permitirá; asimismo, puede crear categorías de URL personalizadas que contengan una lista de URL que puedan utilizarse del mismo modo que la lista de categorías predeterminadas. Estas mismas categorías de URL también se pueden utilizar como criterio de coincidencia en otras políticas, como portal cautivo, descifrado y QoS. Los cortafuegos de Palo Alto Networks admiten dos proveedores para el filtrado de URL:
PAN-DB: Base de datos de filtrado de URL desarrollada por Palo Alto Networks, que está estrechamente integrada en PAN-OS mediante el uso de almacenamiento en caché local de alto rendimiento para lograr el máximo rendimiento en línea de las búsquedas de URL, mientras que una arquitectura de nube distribuida proporciona cobertura para los sitios web más recientes.
BrightCloud: Base de datos de URL externa, propiedad de Webroot, Inc., que está integrada en los cortafuegos de PAN-OS. Para obtener información sobre la base de datos de URL de BrightCloud, visite http://brightcloud.com.
322
Filtrado de URL
Filtrado de URL
Descripción general del filtrado de URL
Interacción entre App-ID y categorías de URL La función de filtrado de URL de Palo Alto Networks, junto con la función de identificación de aplicaciones (App-ID), proporciona una protección sin precedentes ante una amplia gama de riesgos legales, normativos, de productividad y de uso de recursos. Mientras que App-ID le permite controlar a qué aplicaciones pueden acceder los usuarios, el filtrado de URL ofrece control sobre la actividad web relacionada. Cuando se combinan con User-ID, también puede aplicar estos controles basándose en usuarios y grupos. Con el panorama actual de aplicaciones y el modo en que muchas aplicaciones utilizan HTTP y HTTPS, deberá determinar cuándo utilizar App-ID y cuándo utilizar el filtrado de URL para definir políticas de acceso web completas. En la mayoría de los casos, si existe una firma de App-ID, sería conveniente que utilizara App-ID para controlar el contenido a nivel de aplicación. Por ejemplo, aunque puede controlar el acceso a Facebook y/o LinkedIn mediante el filtrado de URL, esto no bloquearía el uso de todas las aplicaciones relacionadas, como el correo electrónico, el chat y cualquier aplicación nueva que se introduzca después de que implemente su política. En algunos casos, le interesará utilizar tanto el filtrado de URL como App-ID, pero para garantizar que no haya conflictos en sus políticas, es importante comprender cuál es el comportamiento de estas funciones cuando se utilizan en conjunto. Palo Alto Networks genera firmas para muchas aplicaciones y dichas firmas pueden ser muy detalladas con respecto a diversas funciones dentro de las aplicaciones basadas en Internet, mientras que el filtrado de URL solamente aplicaría acciones basándose en un sitio web o una categoría de URL en concreto. Por ejemplo, puede que desee bloquear los sitios de redes sociales en general, pero quiera permitir que varios sitios de dicha categoría sean accesibles para departamentos específicos y, a continuación, controlar qué funciones del sitio web estarán disponibles para los usuarios con permiso. Para obtener más información, consulte Ejemplos de casos de uso del filtrado de URL.
Control de URL basado en categoría Cada sitio web definido en la base de datos de filtrado de URL tiene asignada una de las aproximadamente 60 categorías diferentes. Posteriormente, estas categorías pueden utilizarse en un perfil de filtrado de URL para bloquear o permitir el acceso basándose en la categoría, o bien puede configurar el cortafuegos para que utilice una categoría como criterio de coincidencia en la política. Por ejemplo, para bloquear todos los sitios web de juegos, en el perfil de filtrado de URL debería establecer la acción de bloqueo para la categoría de URL juegos. Como ejemplo de uso de una categoría de URL como criterio de coincidencia en una política, podría utilizar la categoría de URL aplicaciones de transmisión multimedia en una política de QoS para aplicar controles de ancho de banda a todos los sitios web categorizados como aplicaciones de transmisión multimedia. Al agrupar sitios web en categorías, resulta más fácil definir acciones basándose en determinados tipos de sitios web. Además de las categorías de URL estándar, hay tres categorías adicionales:
No resuelto: Indica que el sitio web no se ha encontrado en la base de datos de filtrado de URL local y que el cortafuegos no ha podido conectarse con la base de datos de la nube para comprobar la categoría. Cuando se realiza una búsqueda de categoría de URL, en primer lugar, el cortafuegos comprueba la caché del plano de datos en busca de la URL; si no se encuentra ninguna coincidencia, a continuación comprueba la caché del plano de gestión; y si no se encuentra ninguna coincidencia allí, consulta la base de datos de URL en la nube. Al decidir qué acción realizar para el tráfico categorizado como No resuelto, tenga en cuenta que si establece una acción de bloqueo, puede perjudicar mucho a los usuarios.
Filtrado de URL
323
Descripción general del filtrado de URL
Filtrado de URL
Para obtener más información sobre la solución de problemas de búsqueda, consulte Solución de problemas del filtrado de URL.
Direcciones IP privadas: Indica que el sitio web es un único dominio (no tiene subdominios), la dirección IP está en el intervalo de IP privadas o el dominio raíz de la URL es desconocido para la nube.
Desconocido: El sitio web todavía no se ha categorizado, así que no existe en la base de filtrado de URL del cortafuegos o en la base de datos de la nube de URL. Al decidir qué acción realizar para el tráfico categorizado como Desconocido, tenga en cuenta que si establece una acción de bloqueo, puede perjudicar mucho a los usuarios, ya que podría haber muchos sitios válidos que todavía no estén en la base de datos de URL. Si desea tener una política muy estricta, podría bloquear esta categoría, de modo que no se pueda acceder a los sitios web que no existan en la base de datos de URL.
Perfiles de filtrado de URL Un perfil de filtrado de URL es un conjunto de controles de filtrado de URL que se aplican a políticas de seguridad individuales para aplicar su política de acceso web. El cortafuegos incluye un perfil predeterminado que está configurado para bloquear sitios web tales como sitios conocidos de software malintencionado, de phishing y con contenido para adultos. Puede utilizar el perfil predeterminado en una política de seguridad, duplicarlo para utilizarlo como punto de partida para nuevos perfiles de filtrado de URL o añadir un nuevo perfil de URL que tenga todas las categorías establecidas como permitidas para lograr visibilidad del tráfico de su red. A continuación, podrá personalizar los perfiles de URL recién añadidos y añadir listas de sitios web específicos que siempre deberían bloquearse o permitirse, lo que proporciona un control más detallado de las categorías de URL. Por ejemplo, puede que desee bloquear los sitios de redes sociales, pero permitir algunos sitios web que formen parte de la categoría de redes sociales. La sección describe cómo se aplican los perfiles de filtrado de URL y la diversas opciones que pueden definirse:
Acciones de filtrado de URL
Cómo utilizar las listas de bloqueadas y de permitidas
Forzaje de búsquedas seguras
Acerca de la página de contenedor de log
Acciones de filtrado de URL Cada categoría de filtrado de URL puede establecerse para realizar las siguientes acciones: Acción
Descripción
Alerta
El sitio web está permitido y se genera una entrada de log en el log de filtrado de URL.
Permitir
El sitio web está permitido y no se genera ninguna entrada de log.
Bloquear
El sitio web está bloqueado y el usuario verá una página de respuesta y no podrá ir al sitio web. Se generará una entrada de log en el log de filtrado de URL.
324
Filtrado de URL
Filtrado de URL
Descripción general del filtrado de URL
Acción
Descripción
Continuar
El usuario recibirá una página de respuesta indicando que el sitio se ha bloqueado debido a la política de la empresa, pero se le dará la opción de ir al sitio web. La acción Continuar suele utilizarse para categorías que se consideran buenas y se utiliza para mejorar la experiencia del usuario dándole la opción de continuar si considera que el sitio se ha categorizado incorrectamente. El mensaje de la página de respuesta se puede personalizar para incluir información detallada específica de su empresa. Se generará una entrada de log en el log de filtrado de URL. Nota
Cancelar
La página Continuar no se mostrará correctamente en máquinas cliente configuradas para utilizar un servidor proxy.
El usuario verá una página de respuesta que indica que se requiere una contraseña para permitir el acceso a los sitios web de la categoría en cuestión. Con esta opción, el administrador de seguridad o el miembro del departamento de soporte técnico proporcionaría una contraseña que concedería un acceso temporal a todos los sitios web de la categoría en cuestión. Se generará una entrada de log en el log de filtrado de URL. Nota
La página Cancelar no se mostrará correctamente en máquinas cliente configuradas para utilizar un servidor proxy.
Cómo utilizar las listas de bloqueadas y de permitidas Las listas de bloqueadas y de permitidas le permiten definir URL o direcciones IP específicas en el perfil de filtrado de URL que siempre se permitirán o siempre se bloquearán, independientemente de la acción definida para la categoría de URL. Al introducir las URL en la Lista de bloqueadas o Lista de permitidas, introduzca cada URL o dirección IP en una nueva fila separada por una nueva línea. Cuando utilice comodines en las URL, siga estas reglas:
No incluya HTTP y HTTPS al definir las URL. Por ejemplo, introduzca www.paloaltonetworks.com o paloaltonetworks.com en lugar de https://www.paloaltonetworks.com.
Las entradas de la lista de bloqueo deben ser una coincidencia exacta y no distinguen entre mayúsculas y minúsculas. Por ejemplo: Si desea impedir que un usuario acceda a cualquier sitio web que esté dentro del dominio paloaltonetworks.com, también debería añadir *.paloaltonetworks.com para que se realice la acción especificada, independientemente del prefijo de dominio que se añada a la dirección (http://, www o un prefijo de subdominio, como mail.paloaltonetworks.com). Lo mismo ocurre con el sufijo de subdominio; si desea bloquear paloaltonetworks.com/en/US, debe añadir también paloaltonetworks.com/*. Las listas de bloqueadas y permitidas admiten patrones de comodines. Los siguientes caracteres se consideran separadores: . / ? & = ; +
Filtrado de URL
325
Descripción general del filtrado de URL
Filtrado de URL
Toda cadena separada por el carácter anterior se considera un testigo. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *. Por ejemplo, los siguientes patrones son válidos: *.yahoo.com (los testigos son: "*", "yahoo" y "com") www.*.com (los testigos son: "www", "*" and "com") www.yahoo.com/search=* (los testigos son: "www", "yahoo", "com", "search", "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo. ww*.yahoo.com www.y*.com
Forzaje de búsquedas seguras Forzaje de búsquedas seguras es una opción que puede habilitarse en un perfil de filtrado de URL y que se utiliza para impedir que los usuarios que buscan en Internet utilicen uno de los tres principales proveedores de búsquedas (Google, Bing o Yahoo!) para ver los resultados de la búsqueda, a menos que la opción de búsqueda segura estricta del proveedor de búsquedas esté establecida en los exploradores o en la cuenta de usuario. El ajuste de búsqueda segura estricta se utiliza en los proveedores de búsquedas para evitar que aparezca contenido sexual explícito en los resultados de la búsqueda. Este ajuste es la mejor opción, si bien los proveedores de búsquedas no garantizan que funcione con todos los sitios web. Si Forzaje de búsquedas seguras está habilitado en el cortafuegos y la opción de búsqueda segura estricta no está establecida en el explorador o la cuenta del proveedor de búsquedas, cuando el usuario realice una búsqueda, el usuario verá una página de bloqueo que indica que el ajuste de búsqueda estricta es obligatorio. También se proporcionará un enlace en la página de bloqueo que llevará al usuario a la página de configuración de búsquedas seguras del explorador. Después de establecer la opción de búsqueda segura estricta, el usuario podrá ver de nuevo los resultados de la búsqueda. El ajuste de búsqueda segura puede establecerse de una de las siguientes maneras o de ambas:
Ajuste de cuenta: Si inicia sesión en un proveedor de búsquedas y establece el ajuste de búsqueda estricta, puede utilizar cualquier equipo o cualquier explorador y, mientras esté registrado en el sitio del proveedor de búsquedas, el ajuste estricto le acompañará. Por ejemplo, si inicia sesión en bing.com y establece la búsqueda segura estricta, puede utilizar cualquier equipo o explorador e iniciar sesión en bing.com, y el ajuste estricto se configurará.
Ajuste de explorador: Si no inicia sesión en el sitio del proveedor de búsquedas, deberá establecer el ajuste de búsqueda estricta para cada explorador que utilice para conectarse con el proveedor de búsquedas.
Si un usuario inicia sesión en el sitio de un proveedor de búsquedas, la conexión se realizará a través de SSL, de modo que el descifrado debe estar habilitado en el cortafuegos para que Forzaje de búsquedas seguras funcione. Asimismo, ahora algunos proveedores de búsquedas solamente muestran los resultados de la búsqueda a través de SSL, así que aunque el usuario no se haya registrado, el descifrado debe configurarse en el cortafuegos. Si está realizando una búsqueda en Yahoo! Japan (yahoo.co.jp) mientras está registrado en su cuenta de Yahoo!, la opción de bloqueo para el ajuste de búsqueda también debe estar habilitada.
326
Filtrado de URL
Filtrado de URL
Descripción general del filtrado de URL
La habilidad del cortafuegos para detectar el ajuste de búsqueda segura dentro de estos tres proveedores se actualizará con la firma Aplicaciones y amenazas. Si un proveedor de búsquedas cambia el método de ajuste de búsqueda segura que utiliza Palo Alto Networks para detectar los ajustes o si se añade la compatibilidad con un nuevo proveedor de búsquedas, se realizará una actualización a esta firma. Cada proveedor de búsquedas es el que valora si un sitio es seguro o no, y no Palo Alto Networks. El valor predeterminado de la opción Forzaje de búsquedas seguras es estar deshabilitada; además, no se requiere una licencia de filtrado de URL para usarla.
Acerca de la página de contenedor de log Una página de contenedor es la página principal a la que accede un usuario al visitar un sitio web, pero se pueden cargar sitios web adicionales dentro de la página principal. Si se habilita la opción Página de contenedor de log únicamente en el perfil de filtrado de URL, solamente se registrará la página de contenedor principal y no las páginas posteriores que puedan cargarse dentro de la página de contenedor. Dado que el filtrado de URL potencialmente puede generar muchas entradas de log, puede que quiera activar esta opción; de este modo, las entradas de log solamente incluirán esos URI cuando el nombre de archivo de la página solicitada coincida con los tipos MIME específicos. El conjunto predeterminado incluye los siguientes tipos MIME:
application/pdf
application/soap+xml
application/xhtml+xml
text/html
text/plain
text/xml Si ha habilitado la opción Página de contenedor de log únicamente, puede que no siempre haya una entrada de log de URL correlacionada para amenazas detectadas por antivirus o protección contra vulnerabilidades.
¿Cómo se utilizan las categorías de URL como criterios de coincidencia en las políticas? Las categorías de URL pueden utilizarse como criterios de coincidencia en una política para que esta sea más detallada. Por ejemplo, puede que tenga definida una política de descifrado, pero le gustaría que determinados sitios web eludieran el descifrado. Para ello, debe configurar una política de descifrado con la acción No descifrar y debe definir una categoría de URL como criterio de coincidencia para la regla de política, de modo que la política solamente coincida con los flujos de tráfico hacia los sitios web que formen parte de la categoría especificada.
Filtrado de URL
327
Descripción general del filtrado de URL
Filtrado de URL
La siguiente tabla describe los tipos de políticas que pueden utilizar categorías de URL: Tipo de política
Descripción
Portal cautivo
Para garantizar que los usuarios están autenticados antes de permitirles el acceso a una categoría específica, puede adjuntar una categoría de URL como criterio de coincidencia para la política de portal cautivo.
Descifrado
Las políticas de descifrado pueden utilizar categorías de URL como criterios de coincidencia para determinar si determinados sitios web deberían descifrarse o no. Por ejemplo, si tiene una política de descifrado con la acción Descifrar para todo el tráfico entre dos zonas, puede haber categorías de sitios web específicas, como servicios financieros y/o salud y medicina, que no deberían descifrarse. En este caso, debe crear una nueva política de descifrado con la acción No descifrar que precede a la política de descifrado y, a continuación, define una lista de categorías de URL como criterios de coincidencia para la política. Al hacer esto, no se descifrará ninguna categoría de URL que forme parte de la política de no descifrado. También podría configurar una categoría de URL personalizada para definir su propia lista de URL que, a continuación, podrá utilizarse en la política de no descifrado.
QoS
Una política de QoS puede utilizar categorías de URL para determinar los niveles de rendimiento de categorías específicas de sitios web. Por ejemplo, puede que quiera permitir la categoría aplicaciones de transmisión multimedia y al mismo tiempo limitar el rendimiento añadiendo la categoría de URL como criterio de coincidencia a la política de QoS.
Seguridad
Las categorías de URL se pueden definir directamente en las políticas de seguridad para utilizarlas como criterios de coincidencia en la pestaña Categoría de URL/servicio y los perfiles de filtrado de URL se pueden configurar en la pestaña Acciones. Por ejemplo, puede que el grupo de seguridad de una empresa necesite acceder a la categoría hacking, pero debería evitarse que el resto de usuarios accediera a estos sitios. Para ello, deberá crear una regla de seguridad que permita el acceso entre las zonas utilizadas para el acceso web, la pestaña Categoría de URL/servicios contendrá la categoría hacking y el grupo de seguridad se definirá a continuación en la pestaña Usuarios de la política. A continuación, la regla de seguridad principal que permite un acceso web general a todos los usuarios tendrá un perfil de filtrado de URL que bloqueará todos los sitios de hacking. La política que permite el acceso al hacking deberá indicarse antes de la política que bloquea el hacking. De este modo, cuando un usuario que forme parte del grupo de seguridad intente acceder a un sitio de hacking, la política permitirá el acceso y se detendrá el procesamiento de reglas. Es importante comprender que al crear políticas de seguridad, las reglas de bloqueo no son terminales y las reglas de permiso son terminales. Esto significa que si establece una regla de bloqueo y hay una coincidencia de tráfico para esa regla, se comprobará si las otras reglas que vienen después de la regla de bloqueo coinciden. Con una regla de permiso, que es terminal, cuando el tráfico coincide con la regla, el tráfico se permite y las reglas posteriores no se comprueban. Por ejemplo, puede que tenga configurada una regla de bloqueo que bloquee la categoría compras para todos los usuarios, pero luego tenga una regla de permiso que permita las compras para un grupo de usuarios específico. En este ejemplo, un usuario del grupo permitido probablemente también forma parte del grupo general que incluye a todo el mundo. Debido a esto, lo mejor es indicar una regla de permiso específica antes de la regla de bloqueo, para que se detenga el procesamiento de reglas después de que el tráfico coincida y se realice la acción Permitir.
328
Filtrado de URL
Filtrado de URL
Componentes y flujo de trabajo de filtrado de URL
Componentes y flujo de trabajo de filtrado de URL Esta sección describe los componentes de PAN-DB y el flujo de trabajo de resolución de categorización de URL que se produce a medida que los usuarios acceden a diferentes URL a través del cortafuegos.
Componentes de categorización de URL de PAN-DB
Flujo de trabajo de categorización de URL de PAN-DB
Componentes de categorización de URL de PAN-DB La tabla siguiente describe los componentes de PAN-DB de manera detallada. El sistema BrightCloud funciona de manera similar, pero no utiliza una base de datos de envíos iniciales. Componente
Descripción
Base de datos de envíos de filtrado de URL
La base de datos de envíos iniciales descargada en el cortafuegos es un pequeño subconjunto de la base de datos que se mantiene en los servidores de la nube de URL de Palo Alto Networks. El motivo de esto es que la base de datos completa contiene millones de URL y puede que sus usuarios nunca accedan a muchas de estas URL. Al descargar la base de datos de envíos iniciales, se selecciona una región (Norteamérica, Europa, APAC o Japón) y cada región contiene un subconjunto de las URL a las que más se accede en dicha región. Al hacer esto, el cortafuegos almacenará una base de datos de URL mucho más pequeña, lo que mejora enormemente el rendimiento de búsqueda. Si un usuario accede a un sitio web que no esté en la base de datos de URL local, se consultará la base de datos completa de la nube y, a continuación, el cortafuegos añadirá la nueva URL a la base de datos local. Dicho de otro modo, la base de datos local del cortafuegos se cumplimentará/personalizará continuamente basándose en la actividad de los usuarios. Tenga en cuenta que la base de datos de URL personalizada local se borrará si la base de datos de envíos de PAN-DB se vuelve a descargar o si cambia el proveedor de la base de datos de URL de PAN-DB a BrightCloud.
Servicio de la nube
El servicio de la nube de PAN-DB se implementa mediante Amazon Web Services (AWS). AWS proporciona un alto rendimiento distribuido y un entorno estable para descargas de la base de datos de envíos y búsquedas de URL para cortafuegos de Palo Alto Networks; asimismo, la comunicación se realiza a través de SSL. Los sistemas de la nube de AWS incluyen la totalidad de PAN-DB, que se actualiza cuando se identifican nuevas URL. El servicio de la nube de PAN-DB admite un mecanismo automatizado para actualizar la base de datos de URL local del cortafuegos si la versión no coincide. Cada vez que el cortafuegos consulta a los servidores de la nube con búsquedas de URL, también comprueba si hay actualizaciones clave. Si no se han producido consultas en los servidores de la nube en más de 30 minutos, el cortafuegos comprueba si hay actualizaciones en los sistemas de la nube. El sistema de la nube también proporciona un mecanismo para enviar solicitudes de cambio de categoría de URL. Esto se realiza a través del servicio de comprobación de sitios web, que está disponible directamente desde el dispositivo (configuración de perfil de filtrado de URL) y desde el sitio web Test A Site (en inglés) de Palo Alto Networks. También puede enviar una solicitud de cambio de categorización de URL directamente desde el log de filtrado de URL del cortafuegos en la sección Detalles de log.
Filtrado de URL
329
Componentes y flujo de trabajo de filtrado de URL
Filtrado de URL
Componente
Descripción
Caché de URL del plano de gestión (MP)
Cuando se activa PAN-DB en el cortafuegos, se descarga una base de datos de envíos desde uno de los servidores de la nube de PAN-DB para cumplimentar inicialmente la caché local; esto se hace para mejorar el rendimiento de búsqueda. Cada base de datos de envíos regional contiene las principales URL de la región. Asimismo, el tamaño de la base de datos de envíos (número de entradas de URL) también depende de la plataforma del dispositivo. La caché de URL del plano de gestión se escribe automáticamente en la unidad local del cortafuegos cada ocho horas, antes de que se reinicie el cortafuegos o cuando la nube actualiza la versión de la base de datos de URL en el cortafuegos. Después de reiniciar el cortafuegos, el archivo que se guardó en la unidad local se cargará en la caché del plano de gestión. También se implementa el mecanismo de usados menos recientemente (LRU) en la caché de URL del plano de gestión en el caso de que la caché esté llena. Si la caché se llena, las URL a las que se ha accedido menos se sustituirán por las URL más recientes.
Caché de URL del plano de datos (DP)
Se trata de un subconjunto de la caché del plano de gestión. Es una base de datos de URL dinámica personalizada que se almacena en el plano de datos (DP) y se utiliza para mejorar el rendimiento de búsqueda de URL. La caché de URL del plano de datos se borra tras cada reinicio del cortafuegos. El número de URL que se almacenan en la caché de URL del plano de datos varía según la plataforma de hardware y las URL almacenadas actualmente en el TRIE (estructura de datos). Se implementa el mecanismo de usados menos recientemente (LRU) en la caché del plano de datos en el caso de que la caché esté llena. Si la caché se llena, las URL a las que se ha accedido menos se sustituirán por las URL más recientes. Las entradas de la caché de URL del plano de datos vencen tras un período de tiempo especificado. Además, el administrador no puede cambiar el período de vencimiento.
Flujo de trabajo de categorización de URL de PAN-DB Cuando un usuario intenta acceder a una URL y hay que determinar la categoría de URL, el cortafuegos comparará la URL con los siguientes componentes (por orden) hasta que se encuentre una coincidencia:
330
Filtrado de URL
Filtrado de URL
Componentes y flujo de trabajo de filtrado de URL
Si una consulta de URL coincide con una entrada caducada de la caché de URL del plano de datos, la caché responderá con la categoría caducada, pero también enviará una consulta de categorización de URL al plano de gestión. Se hace esto para evitar retrasos innecesarios en el plano de datos, suponiendo que la frecuencia de cambio de categorías sea baja. Del mismo modo, en la caché de URL del plano de gestión, si una consulta de URL del plano de datos coincide con una entrada caducada del plano de gestión, el plano de gestión responderá al plano de datos con la categoría caducada y también enviará una solicitud de categorización de URL al servicio de la nube. Al obtener la respuesta de la nube, el cortafuegos reenviará la respuesta actualizada al plano de datos. A medida que se definan nuevas URL y categorías o si se necesitan actualizaciones clave, la base de datos de la nube se actualizará. Cada vez que el cortafuegos consulte a la nube con una búsqueda de URL o si no se producen búsquedas en la nube durante 30 minutos, las versiones de la base de datos del cortafuegos se compararán y, si no coinciden, se realizará una actualización progresiva.
Filtrado de URL
331
Configuración de filtrado de URL
Filtrado de URL
Configuración de filtrado de URL Esta sección describe los pasos necesarios para empezar a utilizar la función de filtrado de URL. Después de configurar el filtrado de URL, podrá supervisar la actividad web y, a continuación, determinar qué acciones realizar en sitios web y categorías de sitios web específicos. Para controlar el tráfico HTTPS, el cortafuegos debe contar con una política de descifrado entre las zonas que permiten el tráfico web.
Habilitación del filtrado de URL
Determinación de los requisitos de la política de filtrado de URL
Definición de controles del sitio web
Habilitación del filtrado de URL Para asignar una licencia y habilitar el filtrado de URL en un cortafuegos de Palo Alto Networks: Habilitación del filtrado de URL
Paso 1
Obtenga e instale una licencia de filtrado 1. de URL y confirme que se haya instalado.
Desde Dispositivo > Licencias de la sección Gestión de licencias, seleccione el método de instalación de licencia
Nota
El modo de funcionamiento de PAN-DB y BrightCloud después del vencimiento de la licencia de filtrado de URL es diferente. BrightCloud tiene una opción en el perfil de URL para permitir todas las 2. categorías o bloquear todas las categorías si la licencia vence. Con PAN-DB, si la licencia vence, el filtrado de URL seguirá funcionando basándose en la información de categorías de URL que existe en las cachés del plano de datos y del plano de gestión, pero las búsquedas en la nube de URL y otras actualizaciones basadas en la nube no funcionarán hasta que no se instale una licencia válida.
basándose en el tipo de clave de licencia que haya recibido. Puede ser una clave que recuperará del servidor de licencias, un código de autorización o un archivo de licencia cargado manualmente.
(Solamente PAN-DB) Descargue la base 1. de datos de envíos iniciales y active PAN-DB URL Filtering. 2.
Haga clic en Descargar junto a Descargar estado en la sección PAN-DB URL Filtering.
Paso 2
3.
Cuando la licencia se haya instalado, confirme que aparece una fecha válida en el campo Fecha de caducidad de la base de datos correspondiente.
Seleccione una región (Norteamérica, Europa, APAC, Japón) y, a continuación, haga clic en Aceptar para iniciar la descarga. Cuando finalice la descarga, haga clic en Activar.
Nota
332
Si PAN-DB ya es el proveedor de filtrado de URL activo y hace clic en Volver a descargar, volverá a activar PAN-DB al eliminar las cachés del plano de datos y del plano de gestión y sustituirlas por el contenido de la nueva base de datos de envíos. Debería evitar hacer esto a menos que sea necesario, ya que perderá su caché, que está personalizada según el tráfico web que ha pasado anteriormente por el cortafuegos basándose en la actividad de los usuarios.
Filtrado de URL
Filtrado de URL
Configuración de filtrado de URL
Habilitación del filtrado de URL (Continuación)
Paso 3
(Solo BrightCloud) Active búsquedas en 1. la nube para categorizar dinámicamente 2. una URL si la categoría no está disponible en la base de datos local.
Acceda a la CLI en el cortafuegos. Introduzca los siguientes comandos para activar el Filtrado de URL dinámica. a. configure b. set deviceconfig setting url dynamic-url yes c. commit
Paso 4
Configure Actualizaciones dinámicas para 1. Aplicaciones y amenazas y, si está 2. utilizando BrightCloud, configure las actualizaciones de filtrado de URL. 3. Las actualizaciones de Aplicaciones y amenazas pueden contener actualizaciones para el filtrado de URL relacionado con la opción Forzaje de búsquedas seguras disponible en el perfil de filtrado de URL. Por ejemplo, si Palo Alto Networks añade compatibilidad con un nuevo proveedor de búsquedas o si cambia el método utilizado para detectar el ajuste de búsqueda segura de un proveedor existente, la actualización se incluirá en las actualizaciones de Aplicaciones y amenazas.
Seleccione Dispositivo > Actualizaciones dinámicas. En la sección Aplicaciones y amenazas, configure una programación para recibir actualizaciones periódicamente. (Solamente BrightCloud) En la sección Filtrado de URL, configure una programación para recibir actualizaciones periódicamente.
Las actualizaciones de BrightCloud incluyen una base de datos de aproximadamente 20 millones de sitios web que se almacenan en la unidad del cortafuegos, de modo que la actualización de filtrado de URL debe programarse para recibir estas actualizaciones. Nota
Se requiere una licencia de prevención de amenazas para recibir actualizaciones de contenido, la cual cubre Antivirus y Aplicaciones y amenazas.
Determinación de los requisitos de la política de filtrado de URL La práctica recomendada para implementar el filtrado de URL en su organización es empezar con un perfil de filtrado de URL pasivo que enviará alertas sobre la mayoría de las categorías. Tras establecer la acción de alerta, puede supervisar la actividad web de los usuarios durante varios días para determinar los sitios web a los que se está accediendo. Después de hacerlo, podrá tomar decisiones sobre los sitios web y las categorías de sitios web que deberían controlarse.
Configuración y aplicación de un perfil de filtrado de URL pasivo
Supervisión de las actividades web
Filtrado de URL
333
Configuración de filtrado de URL
Filtrado de URL
Configuración y aplicación de un perfil de filtrado de URL pasivo Dado que el perfil de filtrado de URL predeterminado bloquea el contenido de riesgo y propenso a las amenazas, la práctica recomendada es duplicar este perfil cuando cree un nuevo perfil para conservar esta configuración predeterminada. En el procedimiento siguiente, los sitios web propensos a las amenazas se establecerán como bloqueados y las otras categorías se establecerán como alerta, lo que hará que se registre el tráfico de todos los sitios web. Esto podría crear una gran cantidad de archivos de log, así que lo mejor es realizar esta acción para una supervisión inicial con el fin de determinar los tipos de sitios web a los que están accediendo sus usuarios. Tras determinar las categorías que su empresa aprueba, dichas categorías deberían establecerse como permitidas, lo cual no generará logs. También puede reducir los logs de filtrado de URL habilitando la opción Página de contenedor de log únicamente en el perfil de URL, para que solamente se registre la página principal que coincida con la categoría y no las páginas/categorías posteriores que puedan cargarse dentro de la página de contenedor. Configuración y aplicación de un perfil de filtrado de URL pasivo
Paso 1
334
Duplique el perfil de filtrado de URL predeterminado.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
2.
Seleccione el perfil predeterminado y, a continuación, haga clic en Duplicar. El nuevo perfil se denominará predeterminado-1.
3.
Seleccione el nuevo perfil y cámbiele el nombre. Por ejemplo, cámbiele el nombre por Supervisión-URL.
Filtrado de URL
Filtrado de URL
Configuración de filtrado de URL
Configuración y aplicación de un perfil de filtrado de URL pasivo (Continuación)
Paso 2
1. Configure la acción para todas las categorías como Alertar, excepto para las categorías propensas a las amenazas, que deberían permanecer bloqueadas.
En la sección que enumera todas las categorías de URL, seleccione todas las categorías y, a continuación, cancele la selección de las siguientes categorías:
Consejo: Para seleccionar todos los elementos de la lista de categorías de un sistema Windows, haga clic en la primera categoría y, a continuación, mantenga pulsada la tecla Mayús y haga clic en la última categoría; esto seleccionará todas las categorías. Mantenga pulsada la tecla Ctrl y haga clic en los elementos cuya selección debería cancelarse. En un Mac, haga lo mismo utilizando las teclas Mayúsculas y Comando. También podría 2. establecer todas las categorías como Alertar y cambiar manualmente las categorías recomendadas de nuevo a Bloquear.
• contenido para adultos
3. Paso 3
Aplique el perfil de URL a la política de 1. seguridad que permite el tráfico web para los usuarios. 2.
3. Paso 4
Guarde la configuración.
Filtrado de URL
• consumo de drogas • juegos • hacking • software malintencionado • phishing • contenido cuestionable • armas A la derecha del encabezado de la columna Acción, pase el ratón por encima, seleccione la flecha hacia abajo, a continuación, seleccione Establecer acciones seleccionadas y seleccione Alertar.
Haga clic en Aceptar para guardar. Seleccione Políticas > Seguridad y seleccione la política de seguridad adecuada para modificarla. Seleccione la pestaña Acciones y, en la sección Ajuste de perfil, haga clic en el menú desplegable Filtrado de URL y seleccione el nuevo perfil. Haga clic en Aceptar para guardar.
Haga clic en Confirmar.
335
Configuración de filtrado de URL
Filtrado de URL
Configuración y aplicación de un perfil de filtrado de URL pasivo (Continuación)
Paso 5
Visualice los logs de filtrado de URL para determinar todas las categorías de sitios web a las que están accediendo sus usuarios. En este ejemplo, algunas categorías se establecen como bloqueadas, de modo que dichas categorías también aparecerán en los logs.
Seleccione Supervisar > Logs > Filtrado de URL. Se creará una entrada de log para cualquier sitio web que exista en la base de datos de filtrado de URL que esté en una categoría establecida con una acción distinta de Permitir.
Para obtener información sobre cómo visualizar los logs y generar informes, consulte Supervisión de las actividades web.
Supervisión de las actividades web Los informes y logs de filtrado de URL muestran toda la actividad web de los usuarios para las categorías de URL establecidas como Alertar, Bloquear, Continuar o Cancelar. Al supervisar los logs, puede obtener una mayor comprensión de la actividad web de su base de usuarios para determinar una política de acceso web. Esta sección da por hecho que se ha configurado un perfil de URL del modo descrito en Configuración y aplicación de un perfil de filtrado de URL pasivo. Los siguientes temas describen cómo supervisar la actividad web:
Interpretación de los logs de filtrado de URL
Uso del ACC para supervisar la actividad web
Visualización de informes de filtrado de URL
Configuración de informes de filtrado de URL personalizados
Interpretación de los logs de filtrado de URL Los siguientes puntos muestran ejemplos de los logs de filtrado de URL (Supervisar > Logs > Filtrado de URL).
Log Alertar: En este log, la categoría es compras y la acción es Alertar.
Log Bloquear: En este log, la categoría alcohol y tabaco se estableció como Bloquear, por lo que la acción es Bloquear URL y el usuario verá una página de respuesta que indica que el sitio web se ha bloqueado.
336
Filtrado de URL
Filtrado de URL
Configuración de filtrado de URL
Log Alertar en sitio web cifrado: En este ejemplo, la categoría es redes sociales y la aplicación es base de facebook, que es obligatoria para acceder al sitio web de Facebook y otras aplicaciones de Facebook. Dado que facebook.com siempre está cifrado con SSL, el cortafuegos descifró el tráfico, lo que permite reconocer y controlar el sitio web si es necesario.
También puede añadir otras columnas a su vista de log de filtrado de URL, como las zonas de origen y destino, el tipo de contenido y si se realizó o no una captura de paquetes. Para modificar qué columnas mostrar, haga clic en la flecha hacia abajo en cualquier columna y seleccione el atributo que debe mostrarse.
Para ver la información detallada completa del log y/o solicitar un cambio de categoría para la URL específica a la que se accedió, haga clic en el icono de información detallada del log en la primera columna del log.
Uso del ACC para supervisar la actividad web Para obtener una vista rápida de las categorías más comunes a las que se está accediendo en su entorno, solamente tiene que seleccionar la pestaña ACC y desplácese hacia abajo a la sección Filtrado de URL. En la parte superior de esta ventana, también puede establecer el rango de tiempo, ordenar por opción y definir cuántos resultados aparecerán. Aquí verá las categorías más populares a las que acceden sus usuarios ordenadas de mayor
Filtrado de URL
337
Configuración de filtrado de URL
Filtrado de URL
a menor popularidad en la lista. En este ejemplo, información de equipo e internet es la categoría a la que más se ha accedido, seguida de direcciones ip privadas (servidores internos) y motores de búsqueda. En el menú desplegable de la esquina superior derecha de las estadísticas, también puede decidir enumerar por Categorías de URL, Categorías de URL bloqueadas y URL bloqueadas.
Visualización de informes de filtrado de URL Para visualizar los informes de filtrado de URL predeterminados, seleccione Supervisar > Informes y, bajo la sección Informes de filtrado de URL, seleccione uno de los informes. Puede generar informes sobre Categorías de URL, Usuarios de URL, Sitios web a los que se ha accedido, Categorías bloqueadas, etc. Los informes se basan en un período de 24 horas y el día se elige seleccionando un día en la sección de calendario. También puede exportar el informe a PDF, CSV o XML.
338
Filtrado de URL
Filtrado de URL
Configuración de filtrado de URL
Visualización del informe de actividad del usuario Este informe proporciona un método rápido para visualizar la actividad de un usuario o grupo y también ofrece la opción de visualizar la actividad de tiempo de exploración. Generación de un informe de actividad del usuario
Paso 1
Configure un informe de actividad del usuario.
1.
Seleccione Supervisar > Informes en PDF > Informe de actividad del usuario.
2.
Introduzca un Nombre de informe y seleccione el tipo de informe. Seleccione Usuario para generar un informe para una persona o seleccione Grupo para un grupo de usuarios.
Nota
Paso 2
Ejecute el informe de actividad del usuario y, a continuación, descargue el informe.
Filtrado de URL
User-ID debe estar configurado para seleccionar nombres de usuarios o de grupos. Si User-ID no está configurado, puede seleccionar el tipo Usuario e introducir una dirección IP del equipo del usuario. Para obtener más información, consulte User-ID.
3.
Introduzca el nombre de usuario/dirección IP de un informe de usuario o introduzca el nombre de grupo de un informe de grupo de usuarios.
4.
Seleccione el período de tiempo. Puede seleccionar un período de tiempo existente o seleccionar Personalizado.
5.
Seleccione la casilla de verificación Incluir exploración detallada para que se incluya información de exploración en el informe.
1.
Haga clic en Ejecutar ahora.
2.
Después de generar el informe, haga clic en el enlace Descargar informe de actividad de usuario.
3.
Después de descargar el informe, haga clic en Cancelar y, a continuación, haga clic en ACEPTAR para guardar el informe.
339
Configuración de filtrado de URL
Filtrado de URL
Generación de un informe de actividad del usuario (Continuación)
Paso 3
Visualice el informe de actividad del usuario abriendo el archivo PDF que se descargó. La parte superior del informe incluirá un índice parecido al siguiente:
Paso 4
Haga clic en un elemento del índice para ver información detallada. Por ejemplo, haga clic en Resumen de tráfico por categoría de URL para ver estadísticas para el usuario o grupo seleccionado.
Configuración de informes de filtrado de URL personalizados Para generar un informe detallado que también pueda programarse, puede configurar un informe personalizado y seleccionar elementos en una lista de todos los campos de log de filtrado de URL disponibles. Configuración de un informe de filtrado de URL personalizado
Paso 1
Añada un nuevo informe personalizado.
1.
Seleccione Supervisar > Gestionar informes personalizados y haga clic en Añadir.
2.
Introduzca un nombre de informe en el campo Nombre. Por ejemplo, Mi-informe-personalizado-de-URL.
3.
Desde el menú desplegable Base de datos, seleccione Registro de URL.
340
Filtrado de URL
Filtrado de URL
Configuración de filtrado de URL
Configuración de un informe de filtrado de URL personalizado (Continuación)
Paso 2
Configure opciones de informe.
1.
Seleccione el menú desplegable Período de tiempo y seleccione un rango.
2.
(Opcional) Para personalizar el modo en que el informe se ordena y agrupa, seleccione Ordenar por y seleccione el número de elementos que deben mostrarse (por ejemplo, los 25 principales) y, a continuación, seleccione Agrupar por y seleccione una opción como Categoría y luego seleccione cuántos grupos se definirán.
3.
En la lista Columnas disponibles, seleccione los campos que deben incluirse en el informe. Las siguientes columnas suelen utilizarse para un informe de URL: • Acción • Categoría • País de destino • Usuario de origen • URL
Paso 3
Paso 4
Ejecute el informe para comprobar los resultados. Si los resultados son satisfactorios, establezca una programación para ejecutar el informe automáticamente.
1.
Haga clic en el icono Ejecutar ahora para generar inmediatamente el informe que aparecerá en una nueva pestaña.
2.
(Opcional) Haga clic en la casilla de verificación Programación para ejecutar el informe una vez al día. Esto generará un informe diario con información detallada de la actividad web las últimas 24 horas. Para acceder al informe, seleccione Supervisar > Informe y, a continuación, amplíe Informes personalizados en la columna derecha y seleccione el informe.
Guarde la configuración.
Haga clic en Confirmar.
Filtrado de URL
341
Configuración de filtrado de URL
Filtrado de URL
Definición de controles del sitio web Después de seguir los procedimientos del tema Determinación de los requisitos de la política de filtrado de URL, debería tener unos conocimientos básicos sobre los tipos de sitios web y categorías de sitios web a los que están accediendo sus usuarios. Con esta información, ya está listo para personalizar sus políticas de filtrado de URL para controlar el modo en que sus usuarios acceden a Internet. Los procedimientos siguientes describen cómo cambiar las acciones de los perfiles de URL, utilizar la opción Forzaje de búsquedas seguras y utilizar otras funciones relacionadas con el control del contenido. Configuración de controles del sitio web
Paso 1
Paso 2
Personalice su perfil de URL para 1. controlar los sitios web y las categorías de sitios web. 2.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL y modifique su perfil de URL.
1.
En el perfil de filtrado de URL, introduzca las URL o direcciones IP en Lista de bloqueadas y seleccione una acción:
Configure los sitios web que siempre deberían bloquearse o permitirse. Por ejemplo, para reducir los logs de filtrado de URL, puede que quiera introducir todos sus sitios web corporativos en la lista de permitidos, para que no se genere ningún log para esos sitios. Si hay un sitio web que se utiliza demasiado y que no está relacionado con el trabajo de ningún modo, puede añadirlo a la lista de bloqueados. Los elementos de la lista de bloqueados siempre se bloquearán independientemente de la acción de la categoría en cuestión, del mismo modo que las URL de la lista de permitidos siempre se permitirán. Para obtener más información sobre el formato correcto y los comodines que se pueden utilizar en las listas de permitidos y bloqueados, consulte Cómo utilizar las listas de bloqueadas y de permitidas.
342
En la lista Categoría, seleccione la acción adecuada para cada categoría de URL que desee controlar. Por ejemplo, puede que quiera bloquear categorías como subastas, juegos y citas, pero permitir redes sociales.
• Bloquear: Bloquea la URL. • Continuar: Los usuarios verán una página de respuesta al visitar un sitio que coincida con la categoría de URL definida. Si el usuario hace clic en Continuar, la página web se abrirá. • Cancelar: Se solicitará al usuario una contraseña para ir al sitio web. • Alertar: Permite al usuario acceder al sitio web y añade una entrada de log de alerta en el log de URL. 2.
Para Lista de permitidas, introduzca las direcciones IP o URL que deberían permitirse siempre. Cada fila debe estar separada por una nueva línea.
La siguiente captura de pantalla muestra un perfil de filtrado de URL típico. En este ejemplo, la categoría redes sociales está bloqueada, pero Facebook está permitido. El sitio web corporativo paloaltonetworks.com también está permitido, así que no se registrará ningún log. La lista de bloqueadas contiene una dirección IP de servidor que siempre se bloqueará.
Filtrado de URL
Filtrado de URL
Configuración de filtrado de URL
Configuración de controles del sitio web (Continuación)
Paso 3
Seleccione la casilla de verificación Forzaje de búsquedas seguras. Habilite Forzaje de búsquedas seguras para impedir que los usuarios que buscan en Internet utilicen uno de los tres principales proveedores de búsquedas (Google, Bing o Yahoo!) para ver los resultados de la búsqueda, a menos que la opción de búsqueda segura estricta esté establecida en sus exploradores y/o en la cuenta del proveedor de búsquedas. Para obtener más información sobre esta opción, consulte Forzaje de búsquedas seguras.
Paso 4
Habilite la opción Página de contenedor. Seleccione la casilla de verificación Página de contenedor de log únicamente. Para obtener más información, consulte Acerca de la página de contenedor de log.
Paso 5
Guarde el perfil de filtrado de URL.
Haga clic en ACEPTAR.
Paso 6
(Opcional) Si la acción Continuar está configurada para cualquier categoría de URL, debe habilitar la opción de página de respuesta en la interfaz de entrada (la interfaz que recibe el tráfico de sus usuarios en primer lugar).
1. Seleccione Red > Perfiles de red > Gestión de interfaz y añada un nuevo perfil o edite un perfil existente.
Filtrado de URL
2.
Haga clic en la casilla de verificación Páginas de respuesta para habilitarla.
3.
Haga clic en Aceptar para guardar el perfil.
4.
Seleccione Red > Interfaces y, a continuación, edite la interfaz de capa 3 o la interfaz de VLAN que sea su interfaz de entrada.
5.
Haga clic en la pestaña Avanzado y seleccione el perfil Gestión de interfaz que tenga la opción de página de respuesta habilitada y selecciónelo en el menú desplegable.
6.
Haga clic en ACEPTAR para guardar la configuración de interfaz.
343
Configuración de filtrado de URL
Filtrado de URL
Configuración de controles del sitio web (Continuación)
Paso 7
(Opcional) Personalice las páginas de respuesta de filtrado de URL.
1.
Seleccione Dispositivo > Páginas de respuesta.
2.
Hay tres páginas de respuesta diferentes para el filtrado de URL:
Haga clic en la página de respuesta de filtrado de URL que desee modificar.
3.
Seleccione la página de respuesta (predefinida o compartida) y, a continuación, haga clic en el enlace Exportar y guarde el archivo en su escritorio.
• Página de bloqueo de URL: Acceso bloqueado por un perfil de filtrado de URL o porque la categoría de URL está bloqueada por una política de seguridad. • Página de continuación y cancelación de filtrado de URL: Página con política de bloqueo inicial que permite que los usuarios eludan el bloqueo. Con la página de cancelación, el usuario necesita una contraseña para cancelar la política que bloquea la URL. • Página de bloque de búsqueda segura de filtrado de URL: Acceso bloqueado por una política de seguridad con un perfil de filtrado de URL que tiene habilitada la opción Forzaje de búsquedas seguras. El usuario verá esta página si se realiza una búsqueda con Google, Bing o Yahoo y la configuración de cuenta de su explorador o motor de búsqueda no está establecida como estricta.
344
Nota
La página de respuesta predeterminada es una página predefinida y una página compartida es una página de respuesta personalizada creada por un administrador.
4.
Modifique la página de respuesta mediante un editor de texto y, a continuación, guarde el archivo.
5.
Desde el cuadro de diálogo de la página de respuesta, haga clic en Importar, seleccione la página de respuesta recién modificada y, a continuación, haga clic en ACEPTAR para importar el archivo.
6.
La página de respuesta recién importada se convertirá en la página de respuesta activa.
Filtrado de URL
Filtrado de URL
Configuración de filtrado de URL
Configuración de controles del sitio web (Continuación)
Paso 8
Configure una cancelación de filtrado de 1. URL para crear una contraseña temporal 2. que puedan utilizar usuarios específicos para acceder a sitios que estén 3. bloqueados.
4.
Seleccione Dispositivo > Configuración > Content-ID. En la sección Cancelación de administración de URL, haga
clic en Añadir para configurar una contraseña.
(Opcional) Establezca un período de cancelación personalizado introduciendo un nuevo valor en el campo Tiempo de espera de cancelación de administrador de URL. De manera predeterminada, los usuarios pueden acceder a categorías de URL bloqueadas durante 15 minutos. Al establecer la contraseña, puede elegir entre Transparente o Redirigir.
• Transparente: El cortafuegos intercepta el tráfico del explorador y representa la URL de destino original, emitiendo un HTTP 401 para invocar la autenticación. Sin embargo, como el cortafuegos no tiene el certificado real para la URL de destino, el explorador mostrará un error de certificado a los usuarios que intenten acceder a un sitio seguro. Por lo tanto, únicamente debería utilizar este modo cuando sea absolutamente necesario, como en implementaciones de capa 2 o cable virtual (Virtual Wire). • Redirigir: El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y las redirige a una interfaz de capa 3 en el cortafuegos utilizando una redirección HTTP 302 para realizar la autenticación. Este es el modo preferido porque proporciona una mejor experiencia de usuario final (sin errores de certificado). Sin embargo, requiere una configuración de capa 3 adicional. Otra ventaja del modo Redirigir es que permite el uso de cookies de sesión, que permiten que el usuario siga explorando sitios autenticados sin tener que volver a asignar cada vez que venza el tiempo de espera. Paso 9
Guarde la configuración.
Nota
Para comprobar la configuración de filtrado de URL, solamente tiene que acceder a un sitio web de una categoría establecida como Bloquear o Continuar para comprobar si se realiza la acción adecuada.
Filtrado de URL
Haga clic en Confirmar.
345
Ejemplos de casos de uso del filtrado de URL
Filtrado de URL
Ejemplos de casos de uso del filtrado de URL Configuración de filtrado de URL ha demostrado cómo configurar un perfil básico de filtrado de URL para controlar el acceso a sitios web basándose en categorías de URL. Los siguientes casos de uso muestran cómo utilizar App-ID para controlar un conjunto específico de aplicaciones basadas en Internet y cómo utilizar categorías de URL como criterios de coincidencia en una política. Al trabajar con App-ID, es importante comprender que cada firma de App-ID puede tener dependencias que sean obligatorias para controlar una aplicación por completo. Por ejemplo, en el caso de aplicaciones de Facebook, la base de facebook de App-ID es obligatoria para acceder al sitio web de Facebook y controlar otras aplicaciones de Facebook. Por ejemplo, para configurar el cortafuegos con el fin de que controle el correo electrónico de Facebook, tendría que permitir la base de facebook y el correo de facebook de App-ID. Como otro ejemplo, si busca en Applipedia (la base de datos de App-ID) LinkedIn, verá que para controlar el correo de LinkedIn, deberá aplicar la misma acción a ambos App-ID: base de linkedin y correo de linkedin. Para determinar las dependencias de las aplicaciones para firmas de App-ID, visite Applipedia, busque la aplicación en cuestión y, a continuación, haga clic en la aplicación para obtener información detallada. La función User-ID es obligatoria para implementar políticas basadas en usuarios y grupos y una política de descifrado es obligatoria para identificar y controlar sitios web que se hayan cifrado con SSL.
Esta sección incluye dos casos de uso:
Caso de uso: control de acceso web
Caso de uso: uso de categorías de URL en la política
Caso de uso: control de acceso web Al utilizar el filtrado de URL para controlar el acceso a sitios web de usuarios, puede que haya instancias en las que un control detallado sea obligatorio para un sitio web específico. En este caso de uso, se aplica una política de filtrado de URL a la política de seguridad que permite el acceso web para sus usuarios y la categoría de URL redes sociales se establece como Bloquear, pero la lista de permitidas del perfil de URL se configura para permitir el sitio web de redes sociales de Facebook. Para tener un control adicional sobre Facebook, la política de la empresa también determina que solamente el departamento de marketing tiene un acceso completo a Facebook y que el resto de usuarios de la empresa solamente pueden leer publicaciones de Facebook y no pueden utilizar ninguna otra aplicación de Facebook, como el correo electrónico, las publicaciones, el chat y el intercambio de archivos. Para lograr este requisito, debe utilizarse App-ID para proporcionar un control detallado sobre Facebook.
346
Filtrado de URL
Filtrado de URL
Ejemplos de casos de uso del filtrado de URL
La primera regla de seguridad permitirá que el departamento de marketing acceda al sitio web de Facebook, así como a todas las aplicaciones de Facebook. Como esta regla de permiso también permitirá el acceso a Internet, se aplican perfiles de prevención de amenazas a la regla, para que el tráfico que coincida con la política se examine en busca de amenazas. Esto es importante porque la regla de permiso es terminal y no continuará para comprobar otras reglas si hay una coincidencia de tráfico. Control de acceso web
Paso 1
Paso 2
Confirme que el filtrado de URL tiene licencia.
1.
Seleccione Dispositivo > Licencias y confirme que aparece una fecha válida para la base de datos de filtrado de URL que se utilizará. Será PAN-DB o BrightCloud.
2.
Si no hay ninguna licencia válida instalada, consulte Habilitación del filtrado de URL.
Confirme que User-ID funciona. User-ID 1. es obligatorio para crear políticas basadas en usuarios y grupos. 2.
Para comprobar la asignación de grupos, desde la CLI, introduzca el siguiente comando: show user group-mapping statistics Para comprobar la asignación de usuarios, desde la CLI, introduzca el siguiente comando: show user ip-user-mapping-mp all
Paso 3
Paso 4
Configure un perfil de filtrado de URL duplicando el perfil predeterminado.
Configure el perfil de filtrado de URL para que bloquee redes sociales y permita Facebook.
Filtrado de URL
3.
Si no aparecen estadísticas y/o no se muestra información de asignación de IP a usuario, consulte User-ID.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL y seleccione el perfil predeterminado.
2.
Haga clic en el icono Duplicar. Debería aparecer un nuevo perfil denominado predeterminado-1.
3.
Seleccione el nuevo perfil y cámbiele el nombre.
1.
Modifique el nuevo perfil de filtrado de URL y, en la lista Categoría, desplácese hasta redes sociales y, en la columna Acción,
haga clic en Permitir y cambie la acción a Bloquear. 2.
En el cuadro Lista de permitidas, escriba facebook.com, pulse Intro para iniciar una nueva línea y, a continuación, escriba *.facebook.com. Ambos formatos son obligatorios, así que se identificarán todas las variantes de URL que un usuario pueda utilizar, como facebook.com, www.facebook.com y https://facebook.com.
3.
Haga clic en Aceptar para guardar el perfil.
347
Ejemplos de casos de uso del filtrado de URL
Filtrado de URL
Control de acceso web (Continuación)
Paso 5
Aplique el nuevo perfil de filtrado de URL 1. al perfil de seguridad que permita el acceso web desde la red de usuario a 2. Internet.
3. Paso 6
Seleccione Políticas > Seguridad y haga clic en la política que permite el acceso web de usuario. En la pestaña Acciones, seleccione el perfil de URL que acaba de crear en el menú desplegable Filtrado de URL.
Haga clic en Aceptar para guardar.
Cree la política de seguridad que permitirá al departamento de marketing acceder al sitio web de Facebook y a todas las aplicaciones de Facebook. Esta regla debe preceder a otras reglas porque es más específica que las otras políticas y porque es una regla de permiso, que finalizará cuando se produzca una coincidencia de tráfico. 1. Seleccione Políticas > Seguridad y haga clic en Añadir. 2. Introduzca un Nombre y, opcionalmente, una Descripción y Etiqueta. 3. En la pestaña Origen, añada la zona donde los usuarios estén conectados. 4. En la pestaña Usuario de la sección Usuario de origen, haga clic en Añadir. 5. Seleccione el grupo de directorios que incluya a sus usuarios de marketing. 6. En la pestaña Destino, seleccione la zona conectada a Internet. 7. En la pestaña Aplicaciones, haga clic en Añadir y añada la firma de App-ID facebook. 8. En la pestaña Acciones, añada los perfiles predeterminados para Antivirus, Protección contra vulnerabilidades y Antispyware.
9.
Haga clic en ACEPTAR para guardar el perfil de seguridad.
La firma de App-ID facebook utilizada en esta política engloba todas las aplicaciones de Facebook, como base de facebook, chat de facebook y correo de facebook, por lo que esta es la única firma de App-ID obligatoria en esta regla. Cuando esta política está establecida, si un empleado de marketing intenta acceder al sitio web de Facebook o cualquier aplicación de Facebook, la regla coincide basándose en el hecho de que el usuario forma parte del grupo de marketing. Para el tráfico de cualquier usuario que no pertenezca al departamento de marketing, la regla se omitirá porque no habrá ninguna coincidencia de tráfico y el procesamiento de reglas continuará.
348
Filtrado de URL
Filtrado de URL
Ejemplos de casos de uso del filtrado de URL
Control de acceso web (Continuación)
Paso 7
Configure la política de seguridad para bloquear al resto de usuarios y que no puedan utilizar ninguna aplicación de Facebook que no sea una exploración web básica. La forma más sencilla de hacer esto es duplicar la política de permiso de marketing y, a continuación, modificarla. 1. Desde Políticas > Seguridad, haga clic en la política de permiso de Facebook de marketing que creó anteriormente para resaltarla y, a continuación, haga clic en el icono Duplicar. 2. Introduzca un Nombre y, opcionalmente, introduzca una Descripción y Etiqueta. 3. En la pestaña Usuario, resalte el grupo de marketing y elimínelo; en el menú desplegable, seleccione cualquiera. 4. En la pestaña Aplicaciones, haga clic en la firma de App-ID facebook y elimínela. 5. Haga clic en Añadir y añada las siguientes firmas de App-ID: • aplicaciones de facebook • chat de facebook • intercambio de archivos de facebook • correo de facebook • publicaciones de facebook • complemento social de facebook 6. En la pestaña Acciones, en la sección Configuración de acción, seleccione Denegar. La configuración del perfil ya debería ser correcta porque esta regla se duplicó.
7. Haga clic en ACEPTAR para guardar el perfil de seguridad. 8. Asegúrese de que esta nueva regla de denegación se enumera después de la regla de permiso de marketing para garantizar que el procesamiento de reglas se realiza en el orden correcto con el fin de permitir a los usuarios de marketing y, a continuación, denegar/limitar al resto de usuarios. 9. Haga clic en Confirmar para guardar la configuración.
Con estas políticas establecidas, cualquier usuario que forme parte del grupo de marketing tendrá un acceso completo a todas las aplicaciones de Facebook y cualquier usuario que no forme parte del grupo de marketing solamente tendrá acceso de solo lectura al sitio web de Facebook y no podrá utilizar determinadas funciones de Facebook, como la publicación, el chat, el correo electrónico y el intercambio de archivos.
Filtrado de URL
349
Ejemplos de casos de uso del filtrado de URL
Filtrado de URL
Caso de uso: uso de categorías de URL en la política Las categorías de URL también se pueden utilizar como criterios de coincidencia en los siguientes tipos de políticas: portal cautivo, descifrado, seguridad y QoS. En este caso de uso, las categorías de URL se utilizarán en políticas de descifrado para controlar qué categorías web deben descifrarse o no. La primera regla es una regla de no descifrado que no descifrará el tráfico de usuario si la categoría del sitio web es servicios financieros o salud y medicina y la segunda regla descifrará el resto del tráfico. El tipo de política de descifrado es proxy ssl de reenvío, que se utiliza para controlar el descifrado para todas las conexiones salientes realizadas por los usuarios. Configuración de una política de descifrado basándose en la categoría de URL
Paso 1
Cree la regla de no descifrado que se incluirá primero en la lista de políticas de descifrado. Esto impedirá el descifrado de cualquier sitio web que tenga las categorías de URL servicios financieros o salud y medicina. 1. Seleccione Políticas > Descifrado y haga clic en Añadir. 2. Introduzca un Nombre y, opcionalmente, introduzca una Descripción y Etiqueta. 3. En la pestaña Origen, añada la zona donde los usuarios estén conectados. 4. En la pestaña Destino, introduzca la zona conectada a Internet. 5. En la pestaña Categoría de URL, haga clic en Añadir y seleccione las categorías de URL servicios financieros y salud y medicina. 6. En la pestaña Opciones, establezca la acción como No hay ningún descifrado y el Tipo como Proxy SSL de reenvío.
7.
350
Haga clic en ACEPTAR para guardar la política.
Filtrado de URL
Filtrado de URL
Ejemplos de casos de uso del filtrado de URL
Configuración de una política de descifrado basándose en la categoría de URL (Continuación)
Paso 2
Cree la política de descifrado que descifrará el resto del tráfico. Esta política se enumerará después de la política de no descifrado. 1. Seleccione la política de no descifrado que creó anteriormente y, a continuación, haga clic en Duplicar. 2. Introduzca un Nombre y, opcionalmente, introduzca una Descripción y Etiqueta. 3. En la pestaña Categoría de URL, seleccione servicios financieros y salud y medicina y, a continuación, haga clic en el icono Eliminar. 4. En la pestaña Opciones, establezca la acción como Descifrar y el Tipo como Proxy SSL de reenvío.
5. Asegúrese de que esta nueva regla de descifrado se enumera después de la regla de no descifrado como se muestra en la captura de pantalla anterior. Esto garantizará que el procesamiento de reglas se produzca en el orden correcto, de modo que los sitios web de las categorías servicios financieros y salud y medicina no se descifren 6. Haga clic en ACEPTAR para guardar la política. Paso 3
(Solo BrightCloud) Active búsquedas en la nube para categorizar dinámicamente una URL cuando la categoría no está disponible en la base de datos local del cortafuegos.
1.
Acceda a la CLI en el cortafuegos.
2.
Introduzca los siguientes comandos para activar el Filtrado de URL dinámica. a. configure b. set deviceconfig setting url dynamic-url yes c. commit
Paso 4
Guarde la configuración.
Haga clic en Confirmar.
Con estas dos políticas de descifrado establecidas, cualquier tráfico destinado a las categorías de URL servicios financieros o salud y medicina no se descifrará. El resto del tráfico sí se descifrará. También puede definir un control más detallado sobre las políticas de descifrado definiendo políticas de descifrado, que se utilizan para realizar comprobaciones como verificaciones de certificados de servidor o para bloquear sesiones con certificados vencidos. A continuación, el perfil se añade a la pestaña Opciones de la política de descifrado. Para obtener una lista completa de las comprobaciones que se pueden realizar, seleccione Objetos > Perfiles de descifrado en el cortafuegos y, a continuación, haga clic en el icono de ayuda. Ahora que tiene unos conocimientos básicos de las potentes funciones del filtrado de URL, App-ID y User-ID, puede aplicar políticas similares a su cortafuegos para controlar cualquier aplicación de la base de datos de firmas de App-ID de Palo Alto Networks y controlar cualquier sitio web incluido en la base de datos de filtrado de URL. Para obtener ayuda para solucionar problemas del filtrado de URL, consulte Solución de problemas del filtrado de URL.
Filtrado de URL
351
Solución de problemas del filtrado de URL
Filtrado de URL
Solución de problemas del filtrado de URL Los siguientes temas proporcionan directrices de solución de problemas para diagnosticar y resolver problemas comunes del filtrado de URL.
Problemas en la activación de PAN-DB
Problemas de conectividad con la nube de PAN-DB
URL clasificadas como no resueltas
Categorización incorrecta
Base de datos de URL vencida
Problemas en la activación de PAN-DB Esta sección describe los procedimientos que pueden realizarse para resolver problemas en la activación de PAN-DB. 1.
Acceda a la CLI en el cortafuegos.
2.
Verifique si la PAN-DB se ha activado ejecutando el comando show system setting url-database. Si la respuesta es paloaltonetworks, PAN-DB es el proveedor activo.
3.
Compruebe que el cortafuegos tenga una licencia de PAN-DB ejecutando el comando request license info. Debería de ver la entrada de licencia Feature: PAN_DB URL Filtering. Si la licencia no está instalada, deberá obtener e instalar una licencia. Consulte Configuración de filtrado de URL.
4.
Después de que la licencia esté instalada, descargue una nueva base de datos de envíos de PAN-DB ejecutando el comando request url-filtering download paloaltonetworks region .
5.
Compruebe el estado de descarga ejecutando el comando request url-filtering download status vendor paloaltonetworks. a. Si el mensaje es diferente de PAN-DB download: Finished successfully, deténgase aquí; puede que haya un problema al conectarse a la nube. Intente solucionar el problema de conectividad realizando una solución de problemas de red básica entre el cortafuegos e Internet. Para obtener más información, consulte Problemas de conectividad con la nube de PAN-DB. b. Si el mensaje es PAN-DB download: Finished successfully, el cortafuegos habrá descargado correctamente la base de datos de envíos de URL. Trate de volver a habilitar PAN-DB ejecutando el comando set system setting url-database paloaltonetworks.
6.
Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto Networks.
Problemas de conectividad con la nube de PAN-DB Para comprobar la conectividad de la nube, ejecute show url-cloud status. Si la nube está operativa, la respuesta esperada debería ser similar a la siguiente: admin@PA-200> show url-cloud status PAN-DB URL Filtering License : Current cloud server : Cloud connection :
352
válido s0000.urlcloud.paloaltonetworks.com connected
Filtrado de URL
Filtrado de URL
URL database version URL database version 2013/11/19 13:20:51 ) URL database status : URL protocol version URL protocol version Protocol compatibility
Solución de problemas del filtrado de URL
device : cloud :
2013.11.18.000 2013.11.18.000
device : cloud : status :
good pan/0.0.2 pan/0.0.2 compatible
( last update time
Si la conexión de la nube no está operativa, la respuesta esperada será similar a la siguiente: admin@PA-200> show url-cloud status PAN-DB URL Filtering License : válido Cloud connection : not connected URL database version - device : 2013.11.18.000 URL database version - cloud : 2013.11.18.000 2013/11/19 13:20:51 ) URL database status : good URL protocol version - device : pan/0.0.2 URL protocol version - cloud : pan/0.0.2 Protocol compatibility status : compatible
( last update time
Para solucionar problemas de conectividad de la nube, realice los pasos siguientes: 1.
Si la licencia de PAN-DB muestra invalid , obtenga e instale una licencia de PAN-DB válida.
2.
El estado de la base de datos de URL es out-of-date . Descargue una nueva base de datos de envíos ejecutando el comando request url-filtering download paloaltonetworks region .
3.
La versión del protocolo de URL muestra not compatible. Actualice la versión del software PAN-OS a la versión más reciente.
4.
Si el cortafuegos tiene una configuración de HA, verifique que el estado de HA de los dispositivos admita la conectividad con los sistemas de la nube. Puede determinar el estado de HA ejecutando el comando show high-availability state . La conexión con la nube se bloqueará si el cortafuegos no tiene uno de los siguientes estados: • activa • activa-principal • activa-secundaria
5.
Intente hacer ping en la nube desde su equipo de gestión para verificar que responde y, a continuación, intente hacer ping desde una interfaz del cortafuegos que pueda acceder a Internet. Por ejemplo: ping host s0000.urlcloud.paloaltonetworks.com . Para hacer ping desde una IP de interfaz diferente, introduzca el origen. Por ejemplo: p ing source IP-Address host s0000.urlcloud.paloaltonetworks.com .
6.
Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto Networks.
Filtrado de URL
353
Solución de problemas del filtrado de URL
Filtrado de URL
URL clasificadas como no resueltas Si la mayoría de las URL se clasifican como No resuelto en el log de filtrado de URL, siga estos pasos: 1.
Compruebe la conexión de la nube de PAN-DB ejecutando el comando show url-cloud status. Si la nube no está operativa, todas las entradas que no existan en la caché de URL del plano de gestión se categorizarán como No resuelto. Solucione los problemas de conexión de la nube consultando la sección Problemas de conectividad con la nube de PAN-DB.
2.
Si la nube está operativa, compruebe el uso actual del cortafuegos. Si el rendimiento del cortafuegos tiene picos, puede que las solicitudes de URL se descarten (puede que no lleguen al plano de gestión) y se categoricen como No resuelto.
3.
Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto Networks.
Categorización incorrecta Los siguientes pasos describen los procedimientos que pueden utilizarse si una categoría de URL es incorrecta. Por ejemplo, si la URL paloaltonetworks.com se categoriza como alcohol y tabaco, la categorización no será correcta; la categoría debería ser información de equipo e internet. 1.
Verifique si la categoría está en el plano de datos (DP) ejecutando el comando show running url . Por ejemplo, show running url paloaltonetworks.com. Si la URL almacenada en la caché del plano de datos tiene la categoría correcta (información de equipo e internet en este ejemplo), entonces la categorización será correcta y no será necesario realizar ninguna otra acción. Si la categoría no es correcta, vaya al paso siguiente.
2.
Verifique si la categoría está en el plano de gestión (MP) ejecutando el comando test url-info-host . Por ejemplo, test url-info-host paloaltonetworks.com. Si la URL almacenada en la caché del plano de gestión tiene la categoría correcta, elimine la URL de la caché de URL del plano de datos ejecutando el comando clear url-cache url . La próxima vez que el dispositivo solicite la categoría de esta URL, la solicitud se reenviará al plano de gestión. Esto solucionará el problema y no será necesario realizar ninguna otra acción. Si esto no soluciona el problema, vaya al paso siguiente para comprobar la categoría de URL en los sistemas de la nube.
3.
Verifique si la categoría está en la nube ejecutando el comando test url-info-cloud . Si la URL almacenada en la nube tiene la categoría correcta, elimine la URL de la caché de URL del plano de datos/plano de gestión utilizando los siguientes comandos de la CLI: Ejecute el siguiente comando para eliminar una URL de la caché del plano de datos: clear url-cache url Ejecute el siguiente comando para eliminar una URL de la caché del plano de gestión: delete url-database url La próxima vez que el dispositivo solicite la categoría de esta URL, la solicitud se reenviará al plano de gestión y, a continuación, a la nube. Esto debería solucionar el problema de búsqueda de categoría. Si el problema persiste, consulte el paso siguiente para enviar una solicitud de cambio de categorización.
4.
354
Si la nube muestra una categoría incorrecta, envíe una solicitud de cambio desde la interfaz web; para ello, vaya al log de URL y seleccione la entrada de log con la URL que desee cambiar. Haga clic en el enlace Solicitar cambio de categorización y siga las instrucciones proporcionadas. También puede solicitar un cambio de categoría en el sitio web Test A Site (en inglés) de Palo Alto Networks buscando la URL y, a continuación, haciendo clic en el icono Solicitar cambio.
Filtrado de URL
Filtrado de URL
Solución de problemas del filtrado de URL
Base de datos de URL vencida Si ha observado a través de Syslog o la CLI que su base de datos está desactualizada, esto significa que la conexión del cortafuegos a la nube de URL está bloqueada. Esto suele suceder cuando la base de datos de URL del cortafuegos es demasiado antigua (la diferencia de la versión es de más de tres meses) y la nube no puede actualizar el cortafuegos automáticamente. Para solucionar este problema, deberá volver a descargar una base de datos de envíos iniciales desde la nube (esta operación no está bloqueada). El resultado será una reactivación automática de PAN-DB. Para actualizar la base de datos manualmente, realice uno de los pasos siguientes: CLI: request url-filtering download paloaltonetworks region Interfaz web: Seleccione Dispositivo > Licencias y, en la sección PAN-DB URL Filtering, haga clic en el enlace Volver a descargar. Cuando se realice una nueva descarga de la base de datos de envíos, el contenido de las cachés del plano de gestión y del plano de datos se purgarán. A continuación, la caché del plano de gestión volverá a cumplimentarse con la base de datos de envíos recién descargada.
Filtrado de URL
355
Solución de problemas del filtrado de URL
356
Filtrado de URL
Filtrado de URL
Calidad de servicio La calidad de servicio (QoS) es un conjunto de tecnologías que funciona en una red para garantizar su capacidad de ejecutar de manera fiable aplicaciones de alta prioridad y tráfico bajo una capacidad de red limitada. Las tecnologías de QoS lo consiguen ofreciendo una gestión diferenciada y una asignación de capacidad a flujos específicos del tráfico de red. Esto permite que el administrador de red asigne el orden el en que se gestiona el tráfico y la cantidad de ancho de banda permitida para el tráfico. La calidad de servicio (QoS) de aplicaciones de Palo Alto Networks ofrece una QoS básica aplicada a redes y la amplía para proporcionar QoS a aplicaciones y usuarios. Utilice los siguientes temas para obtener información sobre la QoS de aplicaciones de Palo Alto Networks y configurarla:
Descripción general de QoS
Configuración de QoS
Configuración de QoS para un sistema virtual
Ejemplos de casos de uso de QoS
Calidad de servicio
357
Descripción general de QoS
Calidad de servicio
Descripción general de QoS Utilice la QoS para establecer la prioridad y ajustar los aspectos de calidad del tráfico de red. Puede asignar el orden en el que se gestionan los paquetes y adjudicar el ancho de banda, garantizando que el tratamiento preferido y los niveles óptimos de rendimiento se permiten para el tráfico, las aplicaciones y los usuarios seleccionados. Las medidas de calidad de servicio sujetas a una implementación de QoS son el ancho de banda (tasa de transferencia máxima), el rendimiento (tasa de transferencia real), la latencia (retraso) y la vibración (varianza en latencia). La capacidad de moldear o controlar estas medidas de calidad de servicio hace que QoS sea de especial importancia para el ancho de banda alto, el tráfico en tiempo real como la voz sobre IP (VoIP), las videoconferencias y el vídeo a petición con una alta sensibilidad a la latencia y la vibración. Asimismo, utilice QoS para lograr resultados como los siguientes:
Establezca la prioridad del tráfico de red y aplicaciones, garantizando una alta prioridad para el tráfico importante o limitando el tráfico no esencial.
Logre un ancho de banda equivalente compartiendo diferentes subredes, clases o usuarios en una red.
Asigne el ancho de banda externa o internamente o de ambas formas, aplicando QoS tanto al tráfico de carga como al de descarga o solamente al tráfico de carga o al de descarga.
Garantice una baja latencia para el tráfico generador de ingresos y de clientes en un entorno empresarial.
Realice la generación de perfiles de tráfico de aplicaciones para garantizar el uso del ancho de banda.
Cada modelo de cortafuegos admite un número máximo de puertos que se puede configurar con QoS. Consulte la hoja de especificaciones de su modelo de cortafuegos. Para obtener más información sobre la QoS en un cortafuegos de Palo Alto Networks, consulte los siguientes temas:
Implementación de QoS
Conceptos de QoS
Implementación de QoS La implementación de QoS en un cortafuegos de Palo Alto Networks comienza con tres componentes de configuración principales que admiten una solución completa de QoS:
Perfil de QoS
Política de QoS
QoS en la interfaz física
Cada una de estas opciones de la tarea de configuración de QoS facilita un proceso más amplio que optimiza y establece la prioridad del flujo de tráfico y asigna y garantiza el ancho de banda de acuerdo con los parámetros configurables. La Ilustración: flujo de tráfico de QoS muestra el tráfico a medida que se desplaza desde el origen, es moldeado por el cortafuegos con la QoS habilitada y, por último, recibe su prioridad y se entrega en su destino.
358
Calidad de servicio
Calidad de servicio
Descripción general de QoS
Ilustración: flujo de tráfico de QoS
Las opciones de configuración de QoS le permiten controlar el flujo de tráfico y definirlo en puntos diferentes del flujo. La Ilustración: flujo de tráfico de QoS indica en qué lugar las opciones configurables definen el flujo de tráfico. Utilice el perfil de QoS para definir clases de QoS y utilice la política de QoS para asociar clases de QoS al tráfico seleccionado. Habilite el perfil de QoS en una interfaz física para moldear el tráfico de acuerdo con la configuración de QoS a medida que se desplaza por la red. Puede configurar un perfil de QoS y una política de QoS individualmente o en cualquier orden, de acuerdo con sus preferencias. Cada una de las opciones de configuración de QoS tiene componentes que influyen en la definición de las otras opciones. Además, las opciones de configuración de QoS se pueden utilizar para crear una política de QoS completa y detallada o se pueden utilizar con moderación con un mínimo de acciones del administrador.
Conceptos de QoS Utilice los siguientes temas para obtener información sobre los diferentes componentes y mecanismos de una configuración de QoS en un cortafuegos de Palo Alto Networks:
QoS para aplicaciones y usuarios
Perfil de QoS
Clases de QoS
Política de QoS
Interfaz de salida de QoS
Tráfico de texto claro y de túnel de QoS
QoS para aplicaciones y usuarios Un cortafuegos de Palo Alto Networks proporciona una QoS básica, que controla el tráfico que sale del cortafuegos de acuerdo con la red o la subred y amplía la capacidad de la QoS para también clasificar y moldear el tráfico de acuerdo con la aplicación y el usuario. El cortafuegos de Palo Alto Networks ofrece esta capacidad
Calidad de servicio
359
Descripción general de QoS
Calidad de servicio
integrando las funciones App-ID y User-ID con la configuración de QoS. Las entradas de App-ID y User-ID que existen para identificar aplicaciones y usuarios específicos de su red están disponibles en la configuración de QoS para que pueda especificar fácilmente aplicaciones y usuarios a los que aplicar la QoS. Puede utilizar una política de QoS en la interfaz web (Políticas > QoS) para aplicar la QoS específicamente al tráfico de una aplicación:
O al tráfico de un usuario:
Consulte App-ID y User-ID para obtener más información sobre estas funciones.
360
Calidad de servicio
Calidad de servicio
Descripción general de QoS
Perfil de QoS Utilice un perfil de QoS para definir los valores de hasta ocho clases de QoS incluidas en ese perfil individual (Red > Perfiles de red > Perfil de QoS):
QoS se habilita aplicando un perfil de QoS a la interfaz de salida para el tráfico de red, aplicación o usuario (o, específicamente, para el tráfico de texto claro o de túnel). Una interfaz configurada con QoS moldea el tráfico de acuerdo con las definiciones de clases del perfil de QoS y el tráfico asociado a dichas clases en la política de QoS. Hay un perfil de QoS predeterminado disponible en el cortafuegos. El perfil predeterminado y las clases definidas en el perfil no tienen límites de ancho de banda garantizado o máximo predefinidos. Puede establecer límites de ancho de banda para un perfil de QoS y/o establecer límites para clases de QoS individuales dentro del perfil de QoS. Los límites de ancho de banda garantizados totales de las ocho clases de QoS de un perfil de QoS no pueden superar el ancho de banda total asignado a dicho perfil de QoS. La habilitación de QoS en una interfaz física incluye el establecimiento del ancho de banda máximo para el tráfico que sale del cortafuegos a través de esta interfaz. El ancho de banda garantizado de un perfil de QoS (el campo Salida garantizada) no debería superar el ancho de banda asignado a la interfaz física en el que está habilitada la QoS. Si desea información detallada, consulte Cree un perfil de QoS.
Calidad de servicio
361
Descripción general de QoS
Calidad de servicio
Clases de QoS Una clase de QoS determina la prioridad y el ancho de banda del tráfico al que está asignada. En la interfaz web, utilice el perfil de QoS para definir clases de QoS (Red > Perfiles de red > Perfil de QoS):
La definición de una clase de QoS incluye el establecimiento de la prioridad de la clase, el ancho de banda máximo (Máximo de salida) y el ancho de banda garantizado (Salida garantizada). La prioridad en tiempo real suele utilizarse para aplicaciones que son especialmente sensibles a la latencia, como las aplicaciones de voz y vídeo.
Utilice la política de QoS para asignar una clase de QoS al tráfico especificado (Políticas > QoS):
Hay hasta ocho clases de QoS definibles en un único perfil de QoS. A menos que esté configurado de otra forma, al tráfico que no coincida con una clase de QoS se le asignará la clase 4.
362
Calidad de servicio
Calidad de servicio
Descripción general de QoS
El establecimiento de colas de prioridad y la gestión del ancho de banda de QoS, los mecanismos fundamentales de una configuración de QoS, se configuran dentro de la definición de la clase de QoS (consulte el Paso 3). El establecimiento de colas de prioridad se determina por la prioridad establecida para una clase de QoS. La gestión del ancho de banda se determina según los anchos de banda máximo y garantizado establecidos para una clase de QoS.
Los mecanismos de establecimiento de colas y gestión del ancho de banda determinan el orden del tráfico y el modo en que se gestiona el tráfico al entrar o salir de una red:
Prioridad de QoS: Se puede definir una de las cuatro prioridades de QoS siguientes en una clase de QoS: en tiempo real, alta, media y baja. Cuando una clase de QoS se asocia a un tráfico específico, la prioridad definida en esa clase de QoS se asigna al tráfico. A continuación, los paquetes del flujo de tráfico se ponen en cola según su prioridad hasta que la red esté lista para procesarlos. Este método de establecimiento de colas de prioridad proporciona la capacidad de garantizar que el tráfico, las aplicaciones o los usuarios importantes tengan prioridad.
Gestión del ancho de banda de clase de QoS: La gestión del ancho de banda de clase de QoS proporciona la capacidad de controlar los flujos de tráfico de una red para que el tráfico no supere la capacidad de la red, lo que provocaría la congestión de la red, o asignar límites de ancho de banda específicos para el tráfico, aplicaciones o usuarios. Puede establecer límites generales en el ancho de banda utilizando el perfil de QoS o establecer límites para clases de QoS individuales. Un perfil de QoS y las clases de QoS del perfil tienen límites de ancho de banda garantizado y máximo. El límite de ancho de banda garantizado (Salida garantizada) asegura que se procesará cualquier cantidad de tráfico hasta ese límite de ancho de banda establecido. El límite de ancho de banda máximo (Máximo de salida) establece el límite total del ancho de banda asignado al perfil de QoS o a la clase de QoS. El tráfico que supere el límite de ancho de banda máximo se descartará. Los límites de ancho de banda total y límites de ancho de banda garantizado de las clases de QoS de un perfil de QoS no pueden superar el límite de ancho de banda del perfil de QoS.
Calidad de servicio
363
Descripción general de QoS
Calidad de servicio
Política de QoS En una configuración de QoS, la política de QoS identifica el tráfico que requiere un tratamiento de QoS (ya sea un tratamiento preferente o una limitación del ancho de banda) mediante un parámetro definido o varios parámetros y le asigna una clase. Utilice la política de QoS, parecida a una política de seguridad, para establecer los criterios que identifican el tráfico:
Aplicaciones y grupos de aplicaciones.
Zonas de origen, direcciones de origen y usuarios de origen.
Zonas de destino y direcciones de destino.
Servicios y grupos de servicios limitados a números de puertos TCP y/o UDP concretos.
Categorías de URL, incluidas categorías de URL personalizadas.
La política de QoS de la interfaz web (Políticas > QoS) le permite asociar los criterios utilizados para especificar el tráfico con una clase de QoS.
Interfaz de salida de QoS La habilitación de un perfil de QoS en la interfaz de salida del tráfico identificado para el tratamiento de QoS finaliza una configuración de QoS. La interfaz de entrada del tráfico de QoS es la interfaz por la que el tráfico entra en el cortafuegos. La interfaz de salida del tráfico de QoS es la interfaz por la que el tráfico sale del cortafuegos. La QoS siempre está habilitada e implementada en la interfaz de salida de un flujo de tráfico. La interfaz de salida de una configuración de QoS puede ser la interfaz de orientación externa o de orientación interna del cortafuegos, dependiendo del flujo de tráfico que reciba el tratamiento de QoS. Por ejemplo, en una red empresarial, si está limitando el tráfico de descarga de los empleados en un sitio web específico, la interfaz de salida de la configuración de QoS es la interfaz interna del cortafuegos, dado que el flujo de tráfico proviene de Internet, pasa por el cortafuegos y se dirige a su red empresarial. De manera alternativa, al limitar el tráfico de carga de los empleados en el mismo sitio web, la interfaz de salida de la configuración de QoS es la interfaz externa del cortafuegos, dado que el tráfico que está limitando se desplaza desde su red empresarial, pasando por el cortafuegos, hasta Internet.
364
Calidad de servicio
Calidad de servicio
Descripción general de QoS
Consulte el Paso 3 para saber cómo Identifique la interfaz de salida para las aplicaciones que identifique que necesitan un tratamiento de QoS.
Tráfico de texto claro y de túnel de QoS Dentro de la configuración de la interfaz física de QoS, puede proporcionar ajustes de QoS más detallados para el tráfico de texto claro y el tráfico de túnel que sale a través de la interfaz. A las interfaces de túnel individuales se les puede asignar diferentes perfiles de QoS. Al tráfico de texto claro se les pueden asignar diferentes perfiles de QoS según la interfaz de origen y la subred de origen del tráfico. En este caso, se pueden asociar una interfaz de origen y una subred de origen a un perfil de QoS. Si decide no seleccionar tráfico de texto claro o de túnel para el tratamiento de QoS exclusivo, la habilitación de QoS en una interfaz requiere la selección de un perfil de QoS predeterminado para determinar cómo moldear el tráfico para interfaces de túnel específicas o, en el caso de tráfico de texto claro, interfaces de origen y subredes de origen. En los cortafuegos de Palo Alto Networks, el término “tráfico de túnel” hace referencia al tráfico de interfaz de túnel, específicamente el tráfico de IPSec en el modo de túnel.
Calidad de servicio
365
Configuración de QoS
Calidad de servicio
Configuración de QoS Utilice la siguiente tarea para configurar la calidad de servicio (QoS), incluido cómo crear un perfil de QoS, crear una política de QoS y habilitar QoS en una interfaz. Configuración de QoS
Paso 1
Seleccione ACC para ver la página Centro de control de aplicaciones. Utilice los ajustes y los gráficos de la página ACC para ver tendencias y el Este ejemplo muestra cómo utilizar la QoS tráfico relacionado con aplicaciones, filtrado de URL, prevención de para limitar la exploración web. amenazas, filtrado de datos y coincidencias HIP. Identifique el tráfico al que aplicar la QoS.
Haga clic en cualquier nombre de aplicación para mostrar información de aplicación detallada. Paso 2
Identifique la interfaz de salida para las aplicaciones que identifique que necesitan un tratamiento de QoS.
Seleccione Supervisar > Logs > Tráfico para ver los logs de tráfico del dispositivo. Para filtrar y mostrar únicamente los logs de una aplicación específica:
Consejo: La interfaz de salida del tráfico
• Si se muestra una entrada para la aplicación, haga clic en el enlace depende del flujo de tráfico. Si está subrayado de la columna Aplicación y, a continuación, haga clic en el moldeando el tráfico entrante, la interfaz de icono de envío . salida es la interfaz de orientación interna. Si • Si una entrada no se muestra para la aplicación, haga clic en el icono está moldeando el tráfico saliente, la interfaz Añadir log y busque la aplicación . de salida es la interfaz de orientación La Interfaz de salida de los logs de tráfico muestra la interfaz de salida externa. de cada aplicación. Para mostrar la columna Interfaz de salida si no aparece de manera predeterminada: • Haga clic en cualquier encabezado de columna para añadir una columna al log:
• Haga clic en el icono de catalejo a la izquierda de cualquier entrada para mostrar un log detallado que incluye la interfaz de salida de la aplicación indicada en la sección Destino:
En este ejemplo, la interfaz de salida para el tráfico de exploración web es Ethernet 1/1.
366
Calidad de servicio
Calidad de servicio
Configuración de QoS
Configuración de QoS (Continuación)
Paso 3
Cree un perfil de QoS.
1.
Puede editar cualquier perfil de QoS existente, incluido el valor predeterminado, 2. haciendo clic en el nombre del perfil 3. de QoS. 4.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en Añadir para abrir el cuadro de diálogo Perfil de QoS. Introduzca un Nombre de perfil descriptivo. Introduzca un Máximo de salida para establecer la asignación del ancho de banda total para el perfil de QoS. Introduzca una Salida garantizada para establecer el ancho de banda garantizado para el perfil de QoS. Nota Todo el tráfico que supere el límite garantizado de salida del perfil de QoS será la mejor opción pero no estará garantizado.
5.
En la sección Clases, especifique cómo tratar hasta ocho clases de QoS individuales: a. Haga clic en Añadir para añadir una clase al perfil de QoS. b. Seleccione la Prioridad de la clase. c. Introduzca un Máximo de salida para la clase para establecer el límite de ancho de banda total para esa clase individual. d. Introduzca una Salida garantizada para la clase para establecer el ancho de banda garantizado para esa clase individual.
6.
Haga clic en ACEPTAR para guardar el perfil de QoS.
En el siguiente ejemplo, el perfil de QoS denominado Limit Web Browsing limita el tráfico identificado como tráfico de clase 2 a un ancho de banda máximo de 50 Mbps y un ancho de banda garantizado de 2 Mbps. Cualquier tráfico asociado a la clase 2 en la política de QoS (Paso 4) estará sujeto a estos límites.
Calidad de servicio
367
Configuración de QoS
Calidad de servicio
Configuración de QoS (Continuación)
Paso 4
Cree una política de QoS.
1.
Seleccione Políticas > QoS y haga clic en Añadir para abrir el cuadro de diálogo Regla de política de QoS.
2.
En la pestaña General, otorgue a la regla de política de QoS un Nombre descriptivo.
3.
Especifique el tráfico al que se aplicará la regla de política de QoS. Utilice las pestañas Origen, Destino, Aplicación y Categoría de URL/servicio para definir los parámetros de coincidencia para identificar el tráfico. Por ejemplo, seleccione la pestaña Aplicación, haga clic en Añadir y seleccione la exploración web para aplicar la regla de política de QoS a esa aplicación:
(Opcional) Defina parámetros adicionales. Por ejemplo, en la pestaña Origen, haga clic en Añadir para limitar la exploración web de un usuario específico, en este caso, user1:
368
4.
En la pestaña Otros ajustes, seleccione una clase de QoS que asignar a la regla de política de QoS. Por ejemplo, asigne la clase 2 al tráfico de exploración web de user1:
5.
Haga clic en ACEPTAR para guardar la regla de política de QoS.
Calidad de servicio
Calidad de servicio
Configuración de QoS
Configuración de QoS (Continuación)
Paso 5
Habilite el perfil de QoS en una interfaz física.
1.
2. Puede configurar los ajustes para seleccionar tráfico de texto claro y de túnel para el tratamiento de QoS exclusivo, además de la configuración de QoS en la interfaz física:
Seleccione Red > QoS y haga clic en Añadir para abrir el cuadro de diálogo Interfaz de QoS. Habilite QoS en la interfaz física: a. En la pestaña Interfaz física, seleccione el Nombre de interfaz de la interfaz a la que se aplicará el perfil de QoS. En el ejemplo, Ethernet 1/1 es la interfaz de salida para el tráfico de exploración web (consulte el Paso 2).
• Para configurar ajustes específicos para el b. Seleccione Activar la función QoS en esta interfaz. tráfico de texto claro mediante la interfaz de origen y la subred de origen del tráfico 3. En la pestaña Interfaz física, seleccione un perfil de QoS que debe como criterios para la identificación y el aplicarse de manera predeterminada a todo el tráfico de tipo Tráfico tratamiento de QoS, realice el paso 5 - 4. en claro. • Para aplicar un perfil de QoS a una (Opcional) Utilice el campo Interfaz de túnel para aplicar un perfil interfaz de túnel específica, realice el de QoS de manera predeterminada a todo el tráfico de túnel. paso 5 - 5 Por ejemplo, habilite QoS en Ethernet 1/1 y aplique el perfil de QoS denominado Limit Web Browsing como el perfil de QoS Para obtener más información, consulte Tráfico de texto claro y de túnel de QoS. predeterminado para el tráfico de texto claro. Nota La práctica recomendada es definir siempre el valor de Máximo de salida para una interfaz de QoS.
4.
(Opcional) En la pestaña Tráfico en claro, configure ajustes de QoS más detallados para el tráfico de texto claro: • Establezca los anchos de banda de Salida garantizada y Máximo de salida para el tráfico de texto claro. • Haga clic en Añadir para aplicar un perfil de QoS al tráfico de texto claro seleccionado, seleccionando el tráfico para el tratamiento de QoS de acuerdo con la interfaz de origen y la subred de origen (creando un nodo de QoS).
5.
(Opcional) En la pestaña Tráfico de túnel, configure ajustes de QoS más detallados para interfaces de túnel: • Establezca los anchos de banda de Salida garantizada y Máximo de salida para el tráfico de túnel. • Haga clic en Añadir para asociar una interfaz de túnel seleccionada a un perfil de QoS.
Calidad de servicio
6.
Haga clic en ACEPTAR para guardar el perfil de QoS.
7.
Confirme los cambios para habilitar el perfil de QoS en la interfaz.
369
Configuración de QoS
Calidad de servicio
Configuración de QoS (Continuación)
Paso 6
Verifique la configuración de QoS.
Seleccione Red > QoS para ver la página Políticas de QoS y haga clic en el enlace Estadísticas para ver el ancho de banda de QoS, las sesiones activas de un nodo o una clase de QoS que haya seleccionado y las aplicaciones activas del nodo o la clase de QoS que haya seleccionado. Por ejemplo, vea las estadísticas de Ethernet 1/1 con la QoS habilitada:
Tráfico de clase 2 limitado a 2 Mbps de ancho de banda garantizado y un ancho de banda máximo de 50 Mbps. Siga haciendo clic en las pestañas para mostrar más información relativa a las aplicaciones, los usuarios de origen, los usuarios de destino, las reglas de seguridad y las reglas de QoS. Nota
Los límites de ancho de banda que se muestran en la ventana Estadísticas de QoS incluyen un factor de ajuste de hardware.
370
Calidad de servicio
Calidad de servicio
Configuración de QoS para un sistema virtual
Configuración de QoS para un sistema virtual La QoS se puede configurar para uno o varios sistemas virtuales en un cortafuegos de Palo Alto Networks. Como un sistema virtual es un cortafuegos independiente, la QoS debe configurarse independientemente para que un único sistema virtual aplique una configuración de QoS solamente a ese sistema virtual. La configuración de QoS para un sistema virtual es similar a configurar QoS en un cortafuegos físico, a excepción de que configurar QoS para un sistema virtual requiere la especificación de las zonas de origen y destino y las interfaces de origen y destino del flujo de tráfico. Dado que un sistema virtual existe sin límites físicos establecidos (como una interfaz física) a través de los cuales pase el tráfico, la especificación de zonas e interfaces de origen y destino de un flujo de tráfico le permite controlar y moldear el tráfico de ese sistema virtual específicamente, dado que un flujo de tráfico abarca más de un sistema virtual en un entorno virtual. El ejemplo siguiente muestra dos sistemas virtuales configurados en un cortafuegos. VSYS 1 (púrpura) y VSYS 2 (rojo) han configurado QoS para establecer la prioridad o limitar dos flujos de tráfico distintos, indicados por sus correspondientes líneas púrpura (VSYS 1) y roja (VSYS 2). Los nodos de QoS indican los puntos en los que el tráfico de QoS se identifica y, a continuación, se moldea en cada sistema virtual.
Consulte Virtual Systems (VSYS) tech note (en inglés) para obtener información sobre los sistemas virtuales y sobre cómo configurarlos.
Calidad de servicio
371
Configuración de QoS para un sistema virtual
Calidad de servicio
Configuración de QoS en un entorno de sistema virtual
Paso 1
Paso 2
Confirme que las interfaces, los enrutadores virtuales y las zonas de seguridad adecuados están asociados a cada sistema virtual.
• Para ver interfaces configuradas, seleccione Red > Interfaz. • Para ver zonas configuradas, seleccione Red > Zonas. • Para ver información sobre enrutadores virtuales definidos, seleccione Red > Enrutadores virtuales.
Identifique el tráfico al que aplicar la QoS. Seleccione ACC para ver la página Centro de control de aplicaciones. Utilice los ajustes y los gráficos de la página ACC para ver tendencias y el tráfico relacionado con aplicaciones, filtrado de URL, prevención de amenazas, filtrado de datos y coincidencias HIP. Para ver información de un sistema virtual específico, seleccione el sistema virtual en el menú desplegable Sistema virtual:
Haga clic en cualquier nombre de aplicación para mostrar información de aplicación detallada.
372
Calidad de servicio
Calidad de servicio
Configuración de QoS para un sistema virtual
Configuración de QoS en un entorno de sistema virtual (Continuación)
Paso 3
Seleccione Supervisar > Logs > Tráfico para ver los logs de tráfico Identifique la interfaz de salida para las aplicaciones que identifique que necesitan del dispositivo. Cada entrada tiene la opción de mostrar columnas un tratamiento de QoS. con información necesaria para configurar QoS en un entorno de sistema virtual: En un entorno de sistema virtual, la QoS se aplica al tráfico del punto de salida del • sistema virtual tráfico en el sistema virtual. Dependiendo de la configuración del sistema virtual y la política de QoS, el punto de salida del tráfico de QoS podría asociarse a una interfaz física o podría ser una zona configurada. Este ejemplo muestra cómo limitar el tráfico de exploración web en VSYS 1.
• interfaz de salida • interfaz de entrada • zona de origen • zona de destino Para mostrar una columna si no aparece de manera predeterminada: • Haga clic en cualquier encabezado de columna para añadir una columna al log:
• Haga clic en el icono de catalejo a la izquierda de cualquier entrada para mostrar un log detallado que incluye la interfaz de salida de la aplicación, así como zonas de origen y destino, en las secciones Origen y Destino:
Por ejemplo, para el tráfico de exploración web desde VSYS 1, la interfaz de entrada es Ethernet 1/2, la interfaz de salida es Ethernet1/1, la zona de origen es fiable y la zona de destino es no fiable.
Calidad de servicio
373
Configuración de QoS para un sistema virtual
Calidad de servicio
Configuración de QoS en un entorno de sistema virtual (Continuación)
Paso 4
Cree un perfil de QoS. Puede editar cualquier perfil de QoS existente, incluido el valor predeterminado, haciendo clic en el nombre del perfil.
1.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en Añadir para abrir el cuadro de diálogo Perfil de QoS.
2.
Introduzca un Nombre de perfil descriptivo.
3.
Introduzca un Máximo de salida para establecer la asignación del ancho de banda total para el perfil de QoS.
4.
Introduzca una Salida garantizada para establecer el ancho de banda garantizado para el perfil de QoS. Nota Todo el tráfico que supere el límite garantizado de salida del perfil de QoS será la mejor opción pero no estará garantizado.
5.
En la sección Clases del Perfil de QoS, especifique cómo tratar hasta ocho clases de QoS individuales: a. Haga clic en Añadir para añadir una clase al perfil de QoS. b. Seleccione la Prioridad de la clase. c. Introduzca un Máximo de salida para la clase para establecer el límite de ancho de banda total para esa clase individual. d. Introduzca una Salida garantizada para la clase para establecer el ancho de banda garantizado para esa clase individual.
6.
374
Haga clic en ACEPTAR para guardar el perfil de QoS.
Calidad de servicio
Calidad de servicio
Configuración de QoS para un sistema virtual
Configuración de QoS en un entorno de sistema virtual (Continuación)
Paso 5
Cree una política de QoS.
1.
En un entorno de VSYS múltiple, el tráfico puede abarcar más de un sistema 2. virtual antes del punto de entrada del sistema virtual para el que está 3. configurando QoS. La especificación de zonas de origen y destino para el tráfico de QoS garantiza que el tráfico se identifique correctamente a medida que pase por el sistema virtual específico (en este ejemplo, VSYS 1) y que la QoS se aplique solamente al tráfico de ese sistema virtual designado (y no se aplique al tráfico de otros sistemas virtuales configurados).
Calidad de servicio
Seleccione Políticas > QoS y haga clic en Añadir para abrir el cuadro de diálogo Regla de política de QoS. En la pestaña General, otorgue a la regla de política de QoS un Nombre descriptivo. Especifique el tráfico al que se aplicará la regla de política de QoS. Utilice las pestañas Origen, Destino, Aplicación y Categoría de URL/servicio para definir los parámetros de coincidencia para identificar el tráfico. Por ejemplo, seleccione la pestaña Aplicación, haga clic en Añadir y seleccione la exploración web para aplicar la regla de política de QoS a esa aplicación:
4.
En la pestaña Origen, haga clic en Añadir para seleccionar la zona de origen del tráfico de exploración web de VSYS 1.
5.
En la pestaña Destino, haga clic en Añadir para seleccionar la zona de destino del tráfico de exploración web de VSYS 1.
6.
En la pestaña Otros ajustes, seleccione una Clase de QoS que asignar a la regla de política de QoS. Por ejemplo, asigne la clase 2 al tráfico de exploración web de VSYS 1:
7.
Haga clic en ACEPTAR para guardar la regla de política de QoS.
375
Configuración de QoS para un sistema virtual
Calidad de servicio
Configuración de QoS en un entorno de sistema virtual (Continuación)
Paso 6
Habilite el perfil de QoS en una interfaz física.
1.
Nota La práctica recomendada es definir 2. siempre el valor de Máximo de salida para una interfaz de QoS.
Seleccione Red > QoS y haga clic en Añadir para abrir el cuadro de diálogo Interfaz de QoS. Habilite QoS en la interfaz física: a. En la pestaña Interfaz física, seleccione el Nombre de interfaz de la interfaz a la que se aplicará el perfil de QoS. En este ejemplo, Ethernet 1/1 es la interfaz de salida para el tráfico de exploración web de VSYS 1 (consulte el Paso 2).
b. Seleccione Activar la función QoS en esta interfaz. 3.
En la pestaña Interfaz física, seleccione el perfil de QoS predeterminado que debe aplicarse a todo el tráfico de tipo Tráfico en claro. (Opcional) Utilice el campo Interfaz de túnel para aplicar un perfil de QoS predeterminado a todo el tráfico de túnel.
4.
(Opcional) En la pestaña Tráfico en claro, configure ajustes de QoS adicionales para el tráfico de texto claro: • Establezca los anchos de banda de Salida garantizada y Máximo de salida para el tráfico de texto claro. • Haga clic en Añadir para aplicar un perfil de QoS al tráfico de texto claro seleccionado, seleccionando el tráfico para el tratamiento de QoS de acuerdo con la interfaz de origen y la subred de origen (creando un nodo de QoS).
5.
(Opcional) En la pestaña Tráfico de túnel, configure ajustes de QoS adicionales para interfaces de túnel: • Establezca los anchos de banda de Salida garantizada y Máximo de salida para el tráfico de túnel. • Haga clic en Añadir para asociar una interfaz de túnel seleccionada a un perfil de QoS.
376
6.
Haga clic en ACEPTAR para guardar los cambios.
7.
Confirme los cambios.
Calidad de servicio
Calidad de servicio
Configuración de QoS para un sistema virtual
Configuración de QoS en un entorno de sistema virtual (Continuación)
Paso 7
Verifique la configuración de QoS.
• Seleccione Red > QoS para ver la página Políticas de QoS. La página Políticas de QoS verifica que QoS está habilitada e incluye el enlace Estadísticas. Haga clic en el enlace Estadísticas para ver el ancho de banda de QoS, las sesiones activas de un nodo o una clase de QoS que haya seleccionado y las aplicaciones activas del nodo o la clase de QoS que haya seleccionado. • En un entorno de VSYS múltiple, las sesiones no pueden abarcar varios sistemas. Se crean varias sesiones para un flujo de tráfico si el tráfico pasa por más de un sistema virtual. Para examinar las sesiones que se ejecuten en el cortafuegos y ver las reglas de QoS y las clases de QoS aplicadas, seleccione Supervisar > Explorador de sesión.
Calidad de servicio
377
Ejemplos de casos de uso de QoS
Calidad de servicio
Ejemplos de casos de uso de QoS Los siguientes casos de uso demuestran cómo utilizar QoS en situaciones frecuentes:
QoS para un único usuario
QoS para aplicaciones de voz y vídeo
QoS para un único usuario Una directora ejecutiva observa que durante los períodos en los que la red se utiliza mucho, no puede acceder a aplicaciones empresariales ni responder de manera eficaz a comunicaciones empresariales clave. El administrador de TI quiere asegurarse de que todo el tráfico hacia y desde la directora ejecutiva recibe un tratamiento preferente frente al tráfico de otros empleados, de manera que tenga garantizado, no solamente el acceso, sino un alto rendimiento de los recursos de red clave. Aplicación de QoS para un único usuario
Paso 1
El administrador crea el perfil de QoS CEO_traffic para definir el modo en que el tráfico originado en la directora ejecutiva se tratará y moldeará a medida que salga de la red empresarial:
El administrador asigna un ancho de banda garantizado (Salida garantizada) de 50 Mbps para garantizar que la directora ejecutiva disponga de esa cantidad de ancho de banda garantizado en todo momento (más de lo que necesitaría utilizar), independientemente de la congestión de la red. El administrador sigue designando el tráfico de clase 1 como alta prioridad y establece el uso del ancho de banda máximo del perfil (Máximo de salida) como 1000 Mbps, el mismo ancho de banda máximo para la interfaz en el que el administrador habilitará QoS. El administrador ha decidido no restringir el uso del ancho de banda de la directora ejecutiva de ningún modo. Nota La práctica recomendada es cumplimentar el campo Máximo de salida para un perfil de QoS, aunque el ancho de banda máximo del perfil coincida con el ancho de banda máximo de la interfaz. El ancho de banda máximo del perfil de QoS nunca debería superar el ancho de banda máximo de la interfaz en la que tenga la intención de habilitar QoS.
378
Calidad de servicio
Calidad de servicio
Ejemplos de casos de uso de QoS
Aplicación de QoS para un único usuario (Continuación)
Paso 2
El administrador crea una política de QoS para identificar el tráfico de la directora ejecutiva (Políticas > QoS) y asignarle la clase que definió en el perfil de QoS (consulte el Paso 1). Como se ha configurado User-ID, el administrador utiliza la pestaña Origen de la política de QoS para identificar de manera exclusiva el tráfico de la directora ejecutiva por su nombre de usuario de red empresarial. (Si no se ha configurado User-ID, el administrador podría Añadirla dirección IP de la directora ejecutiva bajo Dirección de origen. Consulte User-ID.):
El administrador asocia el tráfico de la directora ejecutiva a la clase 1 (pestaña Otros ajustes) y, a continuación, sigue cumplimentando los campos obligatorios restantes de la política; el administrador otorga a la política un Nombre descriptivo (pestaña General) y selecciona Cualquiera para la Zona de origen (pestaña Origen) y Zona de destino (pestaña Destino):
Paso 3
Ahora que la clase 1 está asociada al tráfico de la directora ejecutiva, el administrador habilita QoS seleccionando Activar la función QoS en esta interfaz y seleccionando la interfaz de salida del flujo de tráfico. La interfaz de
salida del flujo de tráfico de la directora ejecutiva es la interfaz de orientación externa, en este caso, Ethernet 1/2:
Como el administrador quiere asegurarse de que todo el tráfico originado en la directora ejecutiva está garantizado por el perfil de QoS y la política de QoS asociada que creó, selecciona CEO_traffic para aplicarlo al tráfico de tipo Tráfico en claro que se desplaza desde Ethernet 1/2.
Calidad de servicio
379
Ejemplos de casos de uso de QoS
Calidad de servicio
Aplicación de QoS para un único usuario (Continuación)
Paso 4
Después de confirmar la configuración de QoS, el administrador se desplaza a la página Red > QoS para confirmar que CEO_traffic del perfil de QoS está habilitado en la interfaz de orientación externa, Ethernet 1/2:
Hace clic en Estadísticas para ver cómo se está moldeando el tráfico originado en la directora ejecutiva (clase 1) a medida que se desplaza desde Ethernet 1/2:
Nota
380
Este caso demuestra cómo aplicar QoS a tráfico originado en un único usuario de origen. Sin embargo, si también quisiera garantizar o moldear el tráfico para un usuario de destino, podría realizar una configuración de QoS similar. En lugar o además de este flujo de trabajo, cree una política de QoS que especifique la dirección IP del usuario como la Dirección de destino en la página Políticas > QoS (en lugar de especificar la información de origen del usuario, como se muestra en el Paso 2) y, a continuación, habilite QoS en la interfaz de orientación interna de la red en la página Red > QoS (en lugar de la interfaz de orientación externa, como se muestra en el Paso 3).
Calidad de servicio
Calidad de servicio
Ejemplos de casos de uso de QoS
QoS para aplicaciones de voz y vídeo El tráfico de voz y vídeo es especialmente sensible a las mediciones que la función QoS moldea y controla, especialmente la latencia y la vibración. Para que las transmisiones de voz y vídeo sean audibles y claras, los paquetes de voz y vídeo no se pueden descartar, retrasar ni entregar de manera incoherente. La práctica recomendada para aplicaciones de voz y vídeo, además de garantizar el ancho de banda, es garantizar la prioridad del tráfico de voz y vídeo. En este ejemplo, los empleados de una sucursal de la empresa están teniendo dificultades y experimentan una falta de fiabilidad al utilizar tecnologías de videoconferencia y voz sobre IP (VoIP) para realizar comunicaciones empresariales con otras sucursales, socios y clientes. Un administrador de TI tiene la intención de implementar QoS para solucionar estos problemas y garantizar una comunicación empresarial eficaz y fiable para los empleados de la sucursal. Como el administrador quiere garantizar QoS tanto para el tráfico de red entrante como saliente, habilitará QoS tanto en la interfaz de orientación interna como en el de orientación externa del cortafuegos. Garantía de calidad para aplicaciones de voz y vídeo
Paso 1
El administrador crea un perfil de QoS, definiendo la clase 2 para que todo el tráfico asociado a la clase 2 reciba una prioridad en tiempo real y, en una interfaz con un ancho de banda máximo de 1000 Mbps, se garantice un ancho de banda de 250 Mbps en todo momento, incluidos los períodos en los que más se utilice la red. La prioridad en tiempo real suele recomendarse para las aplicaciones afectadas por la latencia y es de especial utilidad a la hora de garantizar el rendimiento y la calidad de aplicaciones de voz y vídeo. En la página Red > Perfiles de red > Perfil de QoS, el administrador hace clic en Añadir, introduce el Nombre de perfil ensure voip-video traffic y define el tráfico de clase 2.
Calidad de servicio
381
Ejemplos de casos de uso de QoS
Calidad de servicio
Garantía de calidad para aplicaciones de voz y vídeo (Continuación)
Paso 2
El administrador crea una política de QoS para identificar el tráfico de voz y vídeo. Como la empresa no tiene una aplicación de voz y vídeo estándar, el administrador quiere asegurarse de que la QoS se aplica en un par de aplicaciones utilizadas ampliamente y con frecuencia por los empleados para comunicarse con otras oficinas, socios y clientes. En la pestaña Políticas > QoS > Regla de política de QoS > Aplicaciones, el administrador hace clic en Añadir y abre la ventana Filtro de aplicación. El administrador sigue seleccionando criterios para filtrar las aplicaciones en las que quiere aplicar la QoS, seleccionando la Subcategoría voip-video y restringiéndola al especificar únicamente aplicaciones de VoIP y vídeo que tengan un riesgo bajo y que se utilicen ampliamente. El filtro de aplicación es una herramienta dinámica que, cuando se utiliza para filtrar aplicaciones en la política de QoS, permite aplicar QoS en todas las aplicaciones que cumplan los criterios de VoIP y vídeo, riesgo bajo y ampliamente utilizado en cualquier momento.
El administrador asigna al Filtro de aplicación el nombre voip-video-low-risk y lo incluye en la política de QoS:
El administrador asigna a la política de QoS el nombre Voice-Video y asocia el filtro de aplicación voip-video-low-risk al tráfico de clase 2 (como lo definió en el Paso 1). Va a utilizar la política de QoS Voice-Video tanto para el tráfico de QoS entrante como el saliente, así que establece la información de Origen y Destino como Cualquiera:
382
Calidad de servicio
Calidad de servicio
Ejemplos de casos de uso de QoS
Garantía de calidad para aplicaciones de voz y vídeo (Continuación)
Paso 3
Como el administrador quiere garantizar la QoS tanto para comunicaciones de voz y vídeo entrantes como salientes, habilita QoS en la interfaz de orientación externa de la red (para aplicar QoS a comunicaciones salientes) y en la interfaz de orientación interna (para aplicar QoS a comunicaciones entrantes). El administrador empieza habilitando el perfil de QoS que creó en el Paso 1, ensure voice-video traffic (la clase 1 de este perfil está asociada a la política creada en el Paso 2, Voice-Video) en la interfaz de orientación externa, en este caso, Ethernet 1/2.
A continuación, habilita el mismo perfil de QoS, ensure voip-video traffic, en la interfaz de orientación interna, en este caso, Ethernet 1/1.
Paso 4
El administrador confirma que la QoS se ha habilitado tanto para el tráfico de voz y vídeo entrante como para el saliente:
El administrador ha habilitado la QoS correctamente tanto en la interfaz de orientación interna de la red como en la externa. Ahora se garantiza la prioridad en tiempo real para el tráfico de aplicaciones de voz y vídeo a medida que se desplaza hacia adentro y hacia afuera de la red, garantizando que estas comunicaciones, que son especialmente sensibles a la latencia y la vibración, puedan utilizarse de manera fiable y eficaz para realizar comunicaciones empresariales tanto internas como externas.
Calidad de servicio
383
Ejemplos de casos de uso de QoS
384
Calidad de servicio
Calidad de servicio
VPN Las redes privadas virtuales (VPN) crean túneles que permiten que los usuarios o sistemas se conecten de manera segura a través de una red pública como si se estuvieran conectando a través de una red de área local (LAN). Para configurar un túnel VPN, hacen falta dos dispositivos que puedan autenticarse mutuamente y cifrar el flujo de información entre ellos. Los dispositivos pueden ser una pareja de cortafuegos de Palo Alto Networks, o bien un cortafuegos de Palo Alto Networks y un dispositivo de otro proveedor con capacidad para VPN.
Implementaciones de VPN
VPN de sitio a sitio
Configuración de VPN de sitio a sitio
Configuraciones rápidas de VPN de sitio a sitio
Redes privadas virtuales
385
Implementaciones de VPN
VPN
Implementaciones de VPN El cortafuegos de Palo Alto Networks admite las siguientes implementaciones de VPN:
VPN de sitio a sitio: Una sencilla VPN que se conecta a un sitio central y a un sitio remoto, o bien una VPN de concentrador y radio que se conecta a un sitio central con múltiples sitios remotos. El cortafuegos usa conjunto de protocolos de Seguridad IP (IPSec) para configurar un túnel seguro entre los dos sitios. Consulte VPN de sitio a sitio.
VPN de usuario remoto a sitio: Una solución que usa el agente GlobalProtect para permitir a un usuario remoto establecer una conexión segura a través del cortafuegos. Esta solución usa SSL e IPSec para establecer una conexión segura entre el usuario y el sitio. Consulte la Guía del administrador de GlobalProtect.
VPN a gran escala: La VPN a gran escala de GlobalProtect de Palo Alto Networks (LSVPN) ofrece un mecanismo simplificado para implementar una VPN de concentrador y radio con un máximo de 1024 oficinas satélite. Esta solución requiere que haya cortafuegos de Palo Alto Networks implementados en el concentrador y en todos los radios. Usa certificados para la autenticación de dispositivos, SSL para la protección entre todos los componentes e IPSec para proteger los datos. Consulte VPN a gran escala (LSVPN).
La siguiente ilustración muestra cómo se usan conjuntamente las diferentes implementaciones de VPN para proteger una empresa:
386
Redes privadas virtuales
VPN
VPN de sitio a sitio
VPN de sitio a sitio Una conexión VPN que permita conectar dos redes de área local (LAN) se llama VPN de sitio a sitio. Puede configurar VPN basadas en rutas para conectar cortafuegos de Palo Alto Networks en dos ubicaciones, o bien conectar cortafuegos de Palo Alto Networks a dispositivos de seguridad de terceros en otras ubicaciones. El cortafuegos también puede interoperar con dispositivos VPN basados en políticas de terceros; el cortafuegos de Palo Alto Networks es compatible con VPN basado en rutas.
Descripción general
Conceptos de VPN de sitio a sitio
Descripción general El cortafuegos de Palo Alto Networks configura una VPN basada en rutas, donde el cortafuegos toma una decisión de enrutamiento basada en la dirección IP de destino. Si el tráfico se enruta a un destino específico a través de un túnel de VPN, se cifrará como tráfico VPN. El conjunto de protocolos de seguridad IP (IPSec) se utiliza para configurar un túnel seguro para el tráfico VPN. Asimismo, la información de los paquetes de TCP/IP está protegida (y cifrada si el tipo de túnel es ESP). El paquete IP (encabezado y carga) está incrustado en otra carga de IP, se aplica un nuevo encabezado y se envía a través del túnel IPSec. La dirección IP de origen en el nuevo encabezado es la del peer VPN local y la dirección IP de destino es la del peer VPN del otro extremo del túnel. Cuando el paquete llega al peer VPN remoto (el cortafuegos en el otro extremo del túnel), el encabezado exterior se elimina y se envía el paquete original a su destino. Para configurar el túnel VPN, primero deben autenticarse los peers. Tras autenticarse correctamente, los peers negocian los algoritmos y el mecanismo de cifrado para proteger la comunicación. El proceso de Intercambio de claves por red (IKE) se usa para autenticar a los peers VPN, y las asociaciones de seguridad (SA) IPSec se definen en cada extremo del túnel para proteger la comunicación VPN. IKE usa certificados digitales o claves previamente compartidas, así como las claves Diffie Hellman, para configurar las SA para el túnel IPSec. Las SA especifican todos los parámetros necesarios para un cifrado de transmisión seguro (incluyendo el índice de parámetros de seguridad [SPI], el protocolo de seguridad, claves criptográficas y la dirección IP de destino IP), autenticación de datos, integridad de datos y autenticación de extremo. La siguiente ilustración muestra un túnel de VPN entre dos sitios. Cuando un cliente que está protegido por el peer A de la VPN necesita contenido de un servidor ubicado en el otro sitio, el peer A de la VPN inicia una solicitud de conexión al peer B de la VPN. Si la política de seguridad permite la conexión, el peer A de la VPN usa los parámetros del perfil criptográfico de IKE (IKE de fase 1) para establecer una conexión segura y autenticar al peer B de la VPN. A continuación, el peer A de la VPN establece el túnel VPN usando el perfil criptográfico IPSec, que define los parámetros del IKE de fase 2 para permitir la transferencia segura de datos entre los dos sitios.
Redes privadas virtuales
387
VPN de sitio a sitio
VPN
VPN de sitio a sitio
Conceptos de VPN de sitio a sitio Una conexión VPN ofrece acceso seguro a la información entre dos o más sitios. Para proporcionar acceso seguro a los recursos y una conectividad fiable, una conexión VPN necesita los siguientes componentes:
Puertas de enlace de IKE
Interfaces de túnel
Supervisión de túnel
Intercambio de claves por red (IKE) para VPN
Puertas de enlace de IKE Los cortafuegos Palo Alto Networks o un cortafuegos y otro dispositivo de seguridad que inicien y terminen conexiones VPN entre dos redes se llaman puertas de enlace de IKE. Para configurar el túnel VPN y enviar tráfico entre las puertas de enlace de IKE, cada peer debe tener una dirección IP (estática o dinámica) o FQDN. Los peers VPN usan claves previamente compartidas o certificados para autenticarse mutuamente. Los peers también deben negociar el modo (principal o agresivo) para configurar la duración del túnel VPN y la SA en IKE de fase 1. El modo principal protege la identidad de los peers y es más seguro porque se intercambian más paquetes al configurar el túnel. Si ambos peers lo admiten, el modo principal es el recomendado para la negociación IKE. El modo agresivo usa menos paquetes para configurar el túnel VPN, por lo que es una opción más rápida, aunque menos segura, de configurar el túnel VPN.
Interfaces de túnel Para configurar un túnel VPN, la interfaz de capa 3 en cada extremo debe tener una interfaz de túnel lógica para que el cortafuegos se conecte y establezca un túnel VPN. Una interfaz de túnel es una interfaz (virtual) lógica que se usa para enviar tráfico entre dos extremos. Cada interfaz de túnel puede tener un máximo de 10 túneles IPSec; lo que significa que se pueden asociar hasta 10 redes con la misma interfaz de túnel en el cortafuegos. La interfaz de túnel debe pertenecer a una zona de seguridad para aplicar una política; asimismo, debe estar asignada a un enrutador virtual para usar la infraestructura de enrutamiento existente. Compruebe que la interfaz de túnel y la interfaz física estén asignadas al mismo enrutador virtual, de modo que el cortafuegos pueda realizar una búsqueda de rutas y determinar el mejor túnel que puede usar.
388
Redes privadas virtuales
VPN
VPN de sitio a sitio
Normalmente, la interfaz de capa 3 a la que está vinculada la interfaz de túnel pertenece a una zona externa, por ejemplo, la zona no fiable. Aunque la interfaz de túnel también puede estar en la misma zona de seguridad que la interfaz física, puede crear una zona separada la para la interfaz de túnel con el fin de lograr una mayor seguridad y mejor visibilidad. Si crea una zona separada para la interfaz de túnel (p. ej., una zona VPN), necesitará crear políticas de seguridad que habiliten el flujo del tráfico entre la zona VPN y la zona fiable. Para enrutar tráfico entre los sitios, una interfaz de túnel no necesita una dirección IP. Solo es necesaria una dirección IP si quiere habilitar la supervisión de túneles o si está usando un protocolo de enrutamiento dinámico para enrutar tráfico a través del túnel. Con enrutamiento dinámico, la dirección IP del túnel funciona como dirección IP de próximo salto para el enrutamiento de tráfico al túnel VPN. Si está configurando el cortafuegos Palo Alto Networks con un peer VPN que utiliza una VPN basada en políticas, debe configurar un ID de proxy local y remoto cuando configure el túnel IPSec. Cada peer compara los ID de proxy que tiene configurados con lo que se recibe realmente en el paquete para permitir una negociación IKE de fase 2 correcta. Si se requieren varios túneles, configure ID de proxy exclusivos para cada interfaz de túnel; una interfaz de túnel puede tener un máximo de 250 ID de proxy. Cada ID de proxy se tendrá en cuenta a la hora de calcular la capacidad del túnel VPN de IPSec del cortafuegos, y la capacidad del túnel varía en función del modelo de cortafuegos.
Supervisión de túnel Para un túnel VPN, puede comprobar la conectividad con una dirección IP de destino a través del túnel. El perfil de supervisión de la red del cortafuegos le permite verificar la conectividad (mediante ICMP) con una dirección IP de destino o un próximo salto en el intervalo de sondeo especificado, así como especificar una acción o fallo para acceder a la dirección IP supervisada. Si no es posible alcanzar la IP de destino, puede configurar el cortafuegos para que espere a que se recupere el túnel o configurar una conmutación por error a otro túnel. En cada caso, el cortafuegos genera un log de sistema que le alerta de un fallo del túnel y renegocia las claves de IPSec para acelerar la recuperación. El perfil de supervisión predeterminado está configurado para esperar a que el túnel se recupere; el intervalo de sondeo es de 3 segundos y el umbral de fallo es 5.
Intercambio de claves por red (IKE) para VPN El proceso IKE permite a los peers VPN en ambos extremos del túnel cifrar y descifrar paquetes usando claves o certificados acordados mutuamente y un método de cifrado. El proceso IKE se realiza en dos fases: IKE de fase 1 e IKE de fase 2. Cada una de estas fases usa claves y algoritmos de cifrado que se definen usando perfiles criptográficos (perfil criptográfico IKE y perfil criptográfico IPSec), y el resultado de la negociación IKE es una asociación de seguridad (SA). Una SA es un conjunto de claves y algoritmos acordados mutuamente que serán usados por ambos peers VPN para permitir el flujo de datos a través del túnel VPN. La siguiente ilustración muestra el proceso de intercambio de claves para configurar un túnel VPN:
Redes privadas virtuales
389
VPN de sitio a sitio
VPN
IKE de fase 1 En esta fase, los cortafuegos usan los parámetros definidos en la configuración de la puerta de enlace de IKE y el perfil criptográfico de IKE para autenticarse mutuamente y establecer un canal de control. La fase IKE es compatible con el uso de claves compartidas previamente o certificados digitales (que usan infraestructuras de clave públicas, PKI) para la autenticación mutua de los peers VPN. Las claves previamente compartidas son una solución sencilla para proteger redes pequeñas, ya que no necesitan ser compatibles con una infraestructura PKI. Los certificados digitales pueden ser más adecuados para redes o implementaciones de mayor tamaño que requieren de mayor seguridad para la autenticación. Al usar certificados, asegúrese de que la CA que emite el certificado es de confianza para ambos peers de la puerta de enlace y que la longitud máxima de la cadena de certificados es 5 o menos. Con la fragmentación IKE habilitada, el cortafuegos puede volver a juntar mensajes de IKE con hasta 5 certificados en la cadena de certificados y establecer correctamente el túnel VPN. El perfil criptográfico de IKE define las siguientes opciones que se usan en la negociación de SA de IKE:
Grupo Diffie-Hellman (DH) para la generación de claves simétricas para IKE. El algoritmo Diffie Hellman usa la clave privada de una parte y la clave pública de la otra para crear un secreto compartido, que es una clave cifrada compartida por ambos peers del túnel VPN. Los grupos DH compatibles con el cortafuegos son: grupo 1: 768 bits; grupo 2: 1024 bits (predeterminado); grupo 5: 1536 bits; grupo 14: 2048 bits.
Opciones de autenticación: sha1; sha 256; sha 384; sha 512; md5
Algoritmos de cifrado: 3des; aes128; aes192; aes256
IKE de fase 2 Una vez protegido y autenticado el túnel, en la fase 2 se aumenta la protección del canal para la transferencia de datos entre las redes. IKE de fase 2 usa las claves que se establecieron en la fase 1 del proceso y el perfil criptográfico de IPSec, que define los protocolos y las claves IPSec usadas para la SA en el IKE de fase 2. IPSEC usa los siguientes protocolos para habilitar una comunicación segura:
390
Redes privadas virtuales
VPN
VPN de sitio a sitio
Carga de seguridad encapsulada (ESP): Le permite cifrar el paquete de IP completo, así como autenticar la fuente y verificar la integridad de los datos. Aunque que ESP necesita que cifre y autentique el paquete, puede elegir solo cifrar o solo autenticar definiendo la opción de cifrado como Null; no se recomienda usar cifrado sin autenticación.
Encabezado de autenticación (AH): Autentica el origen del paquete y verifica la integridad de datos. AH no cifra la carga de datos y se desaconseja su uso en implementaciones en las que es importante la privacidad de los datos. AH se suele usar cuando el principal objetivo es verificar la legitimidad del peer y no se requiere privacidad de datos.
Algoritmos compatibles con cifrado y autenticación IPSEC ESP
AH
Opciones de Diffie Hellman Exchange compatibles
• Grupo 1: 768 bits • Grupo 2: 1024 bits (predeterminado) • Grupo 5: 1536 bits • Grupo 14: 2048 bits. • no-pfs: Predeterminado, secreto perfecto hacia adelante (pfs) está habilitado. Si PFS está habilitado, se genera una nueva clave DH en IKE de fase 2 usando uno de los grupos enumerados anteriormente; esta clave es independiente de las claves intercambiadas en el IKE de fase 1 y, por lo tanto, permite una transferencia de datos más segura. No-pfs implica que la clave DH creada en la fase 1 no se renueva y que se usa una única clave para las negociaciones con la SA de IPSEC. Ambos peers VPN deben estar habilitados o deshabilitados para el secreto perfecto hacia adelante. Algoritmos de cifrado compatibles
• 3des • aes128 • aes192 • aes256 • aes128ccm16 • null Algoritmos de autenticación compatibles
• md5
• md5
• sha 1
• sha 1
• sha 256
• sha 256
• sha 384
• sha 384
• sha512
• sha 512
• ninguno
Redes privadas virtuales
391
VPN de sitio a sitio
VPN
Métodos de protección de túneles VPN de IPSec (IKE de fase 2) Los túneles VPN de IPSec se pueden proteger usando claves manuales o automáticas. Asimismo, las opciones de configuración de IPSec incluyen un grupo Diffie-Hellman para acordar claves o un algoritmo de cifrado y un hash para la autenticación de mensajes.
Clave manual: La clave manual se suele usar si el cortafuegos Palo Alto Networks está estableciendo un túnel VPN con un dispositivo antiguo o si quiere reducir los gastos de la generación de claves de sesión. Si usa claves manuales, debe configurarse la misma en ambos peers. Las claves manuales no son recomendables para establecer un túnel VPN porque las claves de sesión pueden verse comprometidas cuando transmitan la información de claves entre peers; si las claves ven comprometida su seguridad, la transferencia de datos deja de ser segura.
Clave automática: La clave automática le permite generar claves automáticamente para configurar y mantener el túnel IPSec basado en algoritmos definidos en el perfil criptográfico de IPSec.
392
Redes privadas virtuales
VPN
Configuración de VPN de sitio a sitio
Configuración de VPN de sitio a sitio Para configurar VPN de sitio a sitio: 1.
Asegúrese de que sus interfaces Ethernet, enrutadores virtuales y zonas están configurados correctamente. Para obtener más información, consulte Configuración de interfaces y zonas.
2.
Cree sus interfaces de túnel. Lo ideal sería colocar las interfaces de túnel en una zona separada para que el tráfico de túnel pueda utilizar políticas diferentes.
3.
Configure rutas estáticas o asigne protocolos de enrutamiento para redirigir el tráfico a los túneles VPN. Para admitir el enrutamiento dinámico (son compatibles OSPF, BGP, RIP), debe asignar una dirección IP a la interfaz del túnel.
4.
Defina puertas de enlace de IKE para establecer comunicación entre peers a cada lado del túnel VPN; defina también el perfil criptográfico que especifica los protocolos y algoritmos para identificación, autenticación y cifrado que se usarán para configurar túneles VPN en IKEv1 de fase 1. Consulte Configuración de una puerta de enlace de IKE y Definición de perfiles criptográficos de IKE.
5.
Configure los parámetros necesarios para establecer la conexión IPSec para transferencia de datos a través del túnel VPN; consulte Configuración de un túnel de IPSec. Para IKEv1 de fase 2, consulte Definición de perfiles criptográficos de IPSec.
6.
(Opcional) Especifique el modo en que el cortafuegos supervisará los túneles de IPSec. Consulte Configuración de la supervisión de túnel.
7.
Defina políticas de seguridad para filtrar e inspeccionar el tráfico. Si hay una regla de denegación en el extremo de la base de reglas de seguridad, el tráfico intrazona se bloquea a menos que se permita de otro modo. Las reglas para permitir aplicaciones de IKE e IPSec deben incluirse de manera explícita por encima de la regla de denegación.
Cuando haya terminado estas tareas, el túnel estará listo para su uso. El tráfico destinado a zonas/direcciones definidas en la política se enruta automáticamente correctamente basándose en la ruta de destino de la tabla de enrutamiento y se gestiona como tráfico VPN. Para ver algunos ejemplos de VPN de sitio a sitio, consulte Configuraciones rápidas de VPN de sitio a sitio.
Configuración de una puerta de enlace de IKE Para configurar un túnel VPN, los peers o puertas de enlace VPN debe autenticarse mutuamente usando claves previamente compartidas o certificados digitales y establecer un canal seguro en el que negociar la asociación de seguridad (SA) de IPSec que se usará para proteger el tráfico entre los hosts en ambos lados. Configuración de una puerta de enlace de IKE
Paso 1
Defina la nueva puerta de enlace
Redes privadas virtuales
1.
Seleccione Red > Perfiles de red > Puerta de enlace de IKE e introduzca un Nombre para la nueva configuración de la puerta de enlace.
2.
Seleccione la Interfaz saliente en el cortafuegos.
3.
Desde la lista desplegable Dirección IP local, seleccione la dirección IP que se usará como extremo para la conexión VPN. Esta es la interfaz externa con una dirección IP enrutable públicamente en el cortafuegos.
393
Configuración de VPN de sitio a sitio
VPN
Configuración de una puerta de enlace de IKE (Continuación)
Paso 2
Defina la configuración del peer en el extremo del túnel.
1. 2.
Paso 3
Paso 4
Seleccione si el peer usa una IP estática o dinámica en Tipo de IP de peer.
Si la Dirección IP del peer es estática, introduzca la dirección IP del peer.
Seleccione el método de autenticación del • Para configurar una clave previamente compartida, consulte el peer. Paso 4. Esto es necesario tanto para peers estáticos como dinámicos.
• Para configurar certificados digitales, consulte el Paso 5.
Configure una clave previamente compartida
1.
Introduzca una clave de seguridad que se utilizará para la autenticación a través del túnel. Esta clave debe ser idéntica para ambos peers. Genere una clave que sea difícil de averiguar con ataques por diccionario; use un generador de claves previamente compartidas en caso necesario.
Paso 5
Configure la autenticación basada en certificados.
Nota
Los requisitos previos para la autenticación basada en certificados son:
2.
Continúe con el Paso 6.
1.
Seleccione Certificado para el método de Autenticación y el certificado firmado en el menú desplegable Certificado local.
– Obtener un certificado de firmado: Consulte Generación de un certificado en 2. el cortafuegos u Obtención de un certificado de una CA externa. – Configurar el perfil del certificado: El perfil del certificado proporciona la configuración que usa la puerta de enlace 3. de IKE para negociar y validar la autenticación del certificado con su peer. Consulte Configuración de un perfil de 4. certificado. 5.
394
En el caso de que su dispositivo esté habilitado para sistemas virtuales múltiples, si el certificado pertenece a un sistema virtual, debe estar en el mismo sistema virtual que la interfaz usada para la puerta de enlace de IKE. Desde la lista desplegable Identificación local, seleccione uno de los siguientes tipos e introduzca el valor: dirección IP, FQDN (nombre de host), FQDN de usuario (dirección de correo electrónico), nombre distintivo (asunto). Desde la lista desplegable Identificación del peer, seleccione uno de los siguientes tipos e introduzca el valor: dirección IP, FQDN (nombre de host), FQDN de usuario (dirección de correo electrónico), nombre distintivo (asunto). Seleccione el Perfil del certificado que va a usar. Continúe con el Paso 6.
Redes privadas virtuales
VPN
Configuración de VPN de sitio a sitio
Configuración de una puerta de enlace de IKE (Continuación)
Paso 6
Configure los parámetros adicionales para 1. las negociaciones del IKE de fase 1: modo de intercambio, perfil criptográfico, 2. fragmentación IKE, detección de fallo del peer.
Seleccione Red > Perfiles de red> Puertas de enlace de IKE y seleccione la pestaña Opciones de fase 1 avanzadas. Seleccione automático, agresivo o principal para Modo de intercambio. Cuando se establece que un dispositivo utilice el modo de intercambio Automático, puede aceptar solicitudes de negociación tanto del modo principal como del modo agresivo; sin embargo, siempre que sea posible, inicia la negociación y permite intercambios en el modo principal.
Nota
Si no se ha definido en automático el modo de intercambio, debe configurar ambos peers de la VPN con el mismo modo de intercambio para permitir que acepten las solicitudes de negociación.
3.
Seleccione un perfil existente o mantenga el perfil predeterminado del menú desplegable Perfil criptográfico de IKE. Para obtener detalles sobre cómo definir un perfil criptográfico de IKE, consulte Definición de perfiles criptográficos de IKE.
4.
Seleccione Modo pasivo si quiere que el cortafuegos solamente responda a las conexiones de IKE y que nunca las inicie.
5.
Seleccione NAT transversal para utilizar la encapsulación UDP en los protocolos IKE y UDP, permitiéndoles pasar a través de dispositivos de NAT intermedios.
6.
(Solo si utiliza autenticación basada en certificados y el modo de intercambio no está definido en agresivo) Seleccione Habilitar fragmentación para habilitar que el cortafuegos opere con fragmentación IKE.
7.
Marque la casilla de verificación Detección de fallo del peer e introduzca un intervalo (2 - 100 segundos); en Reintentar, defina el tiempo de espera (2 - 100 segundos) antes de volver a comprobar la disponibilidad. La detección de fallo del peer identifica peers de IKE inactivos o no disponibles enviando una carga de notificación de IKE de fase 1 al peer y esperando a que la reconozca.
Paso 7
Guarde los cambios.
Haga clic en ACEPTAR y Confirmar.
Definición de perfiles criptográficos Un perfil criptográfico especifica las cifras usadas para autenticación o cifrado entre dos peers IKE y la duración de esta clave. El período entre cada negociación se conoce como duración; cuando el tiempo especificado vence, el cortafuegos vuelve a negociar un nuevo conjunto de claves.
Redes privadas virtuales
395
Configuración de VPN de sitio a sitio
VPN
Para proteger las comunicaciones a través del túnel VPN, el cortafuegos requiere perfiles criptográficos de IKE e IPSec para completar las negociaciones del IKE de fase 1 y de fase 2, respectivamente. El cortafuegos incluye un perfil criptográfico predeterminado de IKE y un perfil criptográfico predeterminado de IPSec que está listo para usarse.
Definición de perfiles criptográficos de IKE
Definición de perfiles criptográficos de IPSec
Definición de perfiles criptográficos de IKE El perfil criptográfico de IKE se usa para configurar algoritmos de cifrado y autenticación que sirven para el proceso de intercambio de claves en IKE de fase 1, y una duración de las claves que especifica el tiempo que serán validas. Para invocar un perfil, debe vincularlo a la configuración de puerta de enlace de IKE. Todas las puertas de enlace de IKE configuradas en la misma interfaz o dirección IP local deben usar el mismo perfil criptográfico.
Definición de un perfil criptográfico de IKE
Paso 1
Paso 2
Creación de un nuevo perfil de IKE.
Seleccione el grupo DH que usará para configurar el intercambio de claves.
1.
Seleccione Red > Perfiles de red > Criptográfico de IKE y seleccione Añadir.
2.
Introduzca un Nombre para el nuevo perfil.
Haga clic en Añadir y seleccione el nivel de la clave que quiere usar para el grupo DH. Seleccione más de un grupo DH si no sabe con seguridad cuál es compatible con el peer VPN. Priorice la lista de cifras por nivel para que se use la cifra de mayor nivel al configurar el túnel.
Paso 3
Seleccione el algoritmo de cifrado y la autenticación.
Haga clic en Añadir y seleccione los algoritmos de cifrado y la autenticación que quiere usar para la comunicación entre peers del IKE. Si selecciona varios algoritmos, los peers pueden usar la cifra/algoritmo de mayor nivel compatible con ambos peers.
Paso 4
Especifique la duración de la validez de la Seleccione la duración de la clave. El período entre cada negociación clave. se conoce como duración; cuando el tiempo especificado vence, el cortafuegos vuelve a negociar un nuevo conjunto de claves.
Paso 5
Guarde su perfil criptográfico de IKE.
Paso 6
Adjunte el perfil criptográfico de IKE y la Consulte el Paso 6 en Configuración de una puerta de enlace de IKE. configuración de la puerta de enlace de IKE.
396
Haga clic en ACEPTAR y en Confirmar.
Redes privadas virtuales
VPN
Configuración de VPN de sitio a sitio
Definición de perfiles criptográficos de IPSec El perfil criptográfico de IPSec se invoca en el IKE de fase 2. Especifica el modo en que se protegen los datos dentro del túnel cuando se usa IKE de clave automática para generar claves automáticamente para las SA del IKE. Definición del perfil criptográfico de IPSec
Paso 1
Cree un nuevo perfil de IPSec.
1.
Seleccione Red > Perfiles de red > Criptográfico de IPSec y seleccione Añadir.
2.
Introduzca un Nombre para el nuevo perfil.
3.
Seleccione el protocolo de IPSec (ESP o AH) que quiere aplicar para proteger los datos cuando atraviesan el túnel.
4.
Haga clic en Añadir y seleccione la autenticación y los algoritmos de cifrado para ESP, así como los algoritmos de autenticación para AH, de modo que los peers de IKE puedan negociar las claves para proteger la transferencia de datos a través del túnel. Si selecciona varios algoritmos, los peers pueden usar la cifra/algoritmo de mayor nivel compatible con ambos peers.
Paso 2
Paso 3
Seleccione el grupo DH para usar las 1. negociaciones de SA de IPSec en el IKE de fase 2.
Seleccione el nivel de la clave que quiere usar para el grupo DH en el menú desplegable.
2.
Seleccione no-pfs, si no quiere renovar la clave que se creó en la fase 1, la clave actual se vuelve a utilizar para las negociaciones de SA de IPSEC.
Especifique la duración de la clave (tiempo y volumen del tráfico).
Seleccione más de un grupo DH si no sabe con seguridad qué nivel de clave admite el peer en el otro extremo. Se usará la cifra de mayor nivel para la configuración del túnel.
Usar una combinación de tiempo y volumen del tráfico le permite garantizar la seguridad de los datos. Seleccione la duración o el período de tiempo de validez de la clave. Cuando vence el tiempo especificado, el cortafuegos vuelve a negociar un nuevo conjunto de claves. Seleccione la duración o el volumen de datos que establecerán cuándo han de volver a negociarse las claves.
Paso 4
Guarde su perfil de IPSec.
Haga clic en ACEPTAR y en Confirmar.
Paso 5
Adjunte el perfil de IPSec a una configuración de túnel de IPSec.
Consulte el Paso 4 en
Redes privadas virtuales
397
Configuración de VPN de sitio a sitio
VPN
Configuración de un túnel de IPSec La configuración del túnel de IPSec le permite autenticar o cifrar los datos (paquete de IP) cuando cruzan el túnel. Si está configurando un cortafuegos de Palo Alto Networks para trabajar con un peer compatible con VPN basada en políticas, debe definir ID de proxy. Los dispositivos compatibles con VPN basadas en políticas usan reglas/políticas o listas de acceso de seguridad específicas (direcciones de origen, direcciones de destino y puertos) para permitir el tráfico interesante a través de un túnel IPSec. Se hace referencia a estas reglas durante la negociación de IKE de fase 2/modo rápido y se intercambian como ID de proxy en el primer o segundo mensaje del proceso. Por lo tanto, si está configurando el cortafuegos Palo Alto Networks para trabajar con un peer de VPN basada en políticas, para una negociación de fase 2 correcta debe definir el ID de proxy, de modo ambos peers tenga en el mismo ajuste. Si el ID de proxy no está configurado, porque el cortafuegos de Palo Alto Networks es compatible con VPN basadas en rutas, los valores predeterminados usados por el ID de proxy son ip de origen: 0.0.0.0/0, ip de destino: 0.0.0.0/0 y aplicación: cualquiera; y cuando estos valores se intercambian con el peer, se produce un fallo al configurar la conexión VPN. Configuración de un túnel de IPSec
Paso 1 Paso 2
Seleccione Red > Túneles de IPSec > General e introduzca un Nombre para el nuevo túnel. Seleccione la interfaz de túnel que se usará para configurar el túnel de IPSec. – Para crear una nueva interfaz de túnel: 1. Seleccione Red > Interfaces > Túnel y haga clic en Añadir. 2. En el campo Nombre de interfaz, especifique un sufijo numérico, como .2. 3. En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad para definir la zona del siguiente modo: • Para usar una zona fiable como punto de finalización del túnel, seleccione la zona del menú desplegable. Asociar la interfaz del túnel con la misma zona (y enrutador virtual) que la interfaz externa por la que entran los paquetes al cortafuegos reduce la necesidad de crear enrutamiento entre zonas. • (Recomendado) Para crear una zona separada para terminación del túnel de VPN, haga clic en Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo vn-corp, y haga clic en Aceptar. 4. En el menú desplegable Enrutador virtual, seleccione predeterminado. 5. (Opcional) Si quiere asignar una dirección IPv4 a la interfaz de túnel, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo: 10.31.32.1/32. 6. Si quiere asignar una dirección IPv6 a la interfaz de túnel, consulte el Paso 3. 7. Para guardar la configuración de la interfaz, haga clic en Aceptar.
398
Redes privadas virtuales
VPN
Configuración de VPN de sitio a sitio
Configuración de un túnel de IPSec (Continuación)
Paso 3
(Opcional) Habilite IPv6 en la interfaz de 1. túnel. 2.
Seleccione la pestaña IPv6 en Red > Interfaces > Túnel > IPv6. Seleccione la casilla de verificación para habilitar las direcciones IPv6 en la interfaz. Esta opción permite enrutar el tráfico IPv6 en un túnel IPv4 IPSec y ofrece confidencialidad entre redes IPv6. El tráfico IPv6 se encapsula mediante IPv4 y, a continuación, mediante ESP. Para enrutar tráfico IPv6 al túnel, puede usar una ruta estática al túnel, OSPFv3 o una regla de reenvío basado en políticas (PBF) para dirigir tráfico al túnel.
3.
Introduzca el ID de interfaz exclusivo ampliado de 64 bits en formato hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. De manera predeterminada, el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física.
4.
Para introducir una dirección IPv6, haga clic en Añadir e introduzca una dirección IPv6 y la longitud del prefijo, por ejemplo 2001:400:f00::1/64. Si no se selecciona Prefijo, la dirección IPv6 asignada a la interfaz será la que especifique completamente en el cuadro de texto de la dirección. a. Seleccione Usar ID de interfaz como parte de host para asignar una dirección IPv6 a la interfaz que utilizará el ID de interfaz como la parte de host de la dirección. b. Seleccione Difusión por proximidad para incluir el enrutado mediante el nodo más cercano.
Paso 4
Seleccione el tipo de clave que se usará para proteger el túnel IPSec: Para clave automática o clave manual, siga las instrucciones que correspondan en el siguiente paso.
a. Configure el intercambio de clave automática.
Redes privadas virtuales
1.
Seleccione la puerta de enlace de IKE. Para configurar una puerta de enlace de IKE, consulte Configuración de una puerta de enlace de IKE.
2.
(Opcional) Seleccione el perfil criptográfico de IPSec predeterminado. Para crear un nuevo perfil de IPSec, consulte Definición de perfiles criptográficos de IPSec.
399
Configuración de VPN de sitio a sitio
VPN
Configuración de un túnel de IPSec (Continuación)
b. Configure el intercambio de clave manual.
1.
Configure los parámetros para el cortafuegos local: a. Especifique el SPI para el cortafuegos local: SPI es un índice hexadecimal de 32 bits que se añade al encabezado de tunelización de IPSec para ayudar a diferenciar los distintos flujos de tráfico de IPSec; se usa para crear la SA requerida a fin de establecer un túnel de VPN. b. Seleccione la interfaz que constituirá el extremo del túnel y, de manera opcional, seleccione la dirección IP para la interfaz local que es el extremo del túnel. c. Seleccione el protocolo que se usará: AH o ESP. d. Para AH, seleccione el método de autenticación del menú desplegable, introduzca una clave y, a continuación, confirme la clave. e. Para ESP, seleccione el método de autenticación del menú desplegable, introduzca una clave y, a continuación, confirme la clave. A continuación, seleccione el método de cifrado, introduzca una clave y, a continuación, confirme la clave, en caso necesario.
2.
Configure los parámetros relativos al peer VPN remoto. a. Especifique el SPI para el peer remoto. b. Introduzca la dirección remota, la dirección IP y el peer remoto.
Paso 5
Protección contra un ataque de reproducción. Un ataque de reproducción consiste en interceptar un paquete de forma malintencionada y retransmitirlo.
Marque la casilla de verificación Mostrar opciones avanzadas, seleccione Habilitar protección de reproducción para detectar y neutralizar ataques de reproducción.
Paso 6
Conserve el encabezado Tipo de servicio En la sección Mostrar opciones avanzadas, seleccione Copiar para la prioridad o el tratamiento de encabezado de TOS. De este modo se copia el encabezado de TOS paquetes de IP. (Tipo de servicio) desde el encabezado IP interno en el encabezado IP externo de los paquetes resumidos con el fin de preservar la información original de TOS.
Paso 7
Habilite la supervisión de túnel.
Nota
Deberá asignar una dirección IP a la interfaz de túnel para su supervisión.
Para alertar al administrador de dispositivo de los fallos del túnel y proporcionar una conmutación por error automática a otra interfaz: 1. Especifique una IP de destino en el otro lado del túnel que el supervisor de túnel utilizará para determinar si el túnel funciona correctamente. 2.
400
Seleccione un perfil para determinar la acción cuando falla un túnel. Para crear un nuevo perfil, consulte Definición de un perfil de supervisión de túnel.
Redes privadas virtuales
VPN
Configuración de VPN de sitio a sitio
Configuración de un túnel de IPSec (Continuación)
Paso 8
(Requerido solo si el peer VPN usa una 1. VPN basada en políticas). Cree un ID de 2. proxy para identificar a los peers de VPN.
Seleccione Red > Túneles de IPSec > ID de proxy. Haga clic en Añadir e introduzca una dirección IP para los peers
de la puerta de enlace de VPN. Paso 9
Guarde los cambios.
Haga clic en ACEPTAR y Confirmar.
Configuración de la supervisión de túnel Para ofrecer un servicio VPN ininterrumpido, puede usar la capacidad Detección de fallo del peer junto con la capacidad de supervisión del túnel en el cortafuegos. También puede supervisar el estado del túnel. Para obtener más información, consulte:
Definición de un perfil de supervisión de túnel
Visualización del estado de los túneles
Definición de un perfil de supervisión de túnel Un perfil de supervisión de túnel le permite verificar la conectividad entre los peers VPN; puede configurar la interfaz de túnel para hacer ping a una dirección IP de destino con un intervalo determinado y especificar la acción si la comunicación a través del túnel está cortada. Definición de un perfil de supervisión de túnel
Paso 1
Seleccione Red > Perfiles de red > Supervisar. Hay un perfil de supervisión de túnel disponible para su uso.
Paso 2
Haga clic en Añadir e introduzca un Nombre para el perfil.
Paso 3
Seleccione la acción si no es posible alcanzar la dirección IP de destino. • Esperar recuperación: El cortafuegos espera a que el túnel se recupere. Continúa usando la interfaz del túnel para las decisiones de enrutamiento como si el túnel siguiera activo. • Conmutación por error: Desvía el tráfico a una ruta alternativa si hay alguna disponible. El cortafuegos deshabilita la interfaz del túnel y, por lo tanto, deshabilita cualquier ruta en la tabla de rutas que use la interfaz. En ambos casos, el cortafuegos intenta acelerar la recuperación negociando nuevas claves IPSec.
Paso 4
Especifique el intervalo y el umbral para iniciar la acción especificada. El umbral especifica el número de latidos de espera antes de iniciar la acción especificada. Puede tomar valores de 2 a 100 y es de 5 latidos de forma predeterminada. El intervalo mide el tiempo entre latidos. Puede tomar valores de 2 a 10 y es de 3 segundos de forma predeterminada.
Redes privadas virtuales
401
Configuración de VPN de sitio a sitio
VPN
Definición de un perfil de supervisión de túnel (Continuación)
Paso 5
Adjunte el perfil de supervisión a una configuración de túnel de IPSec. Consulte Habilite la supervisión de túnel.
Visualización del estado de los túneles El estado del túnel informa de si se han establecido SA de IKE de fase 1 y de fase 2 válidas, y de si está operativa la interfaz del túnel para el paso de tráfico. Dado que la interfaz del túnel es una interfaz lógica, no puede indicar el estado del enlace físico. Por lo tanto, debe habilitar la supervisión de túnel para que la interfaz del túnel pueda verificar la conectividad a una dirección IP y determinar si la ruta sigue siendo utilizable. Si no se puede alcanzar la dirección IP, el cortafuegos esperará a la recuperación del túnel o una conmutación por error. Cuando se produce una conmutación por error, se anula el túnel existente y se inician cambios de enrutamiento para establecer un nuevo túnel y redirigir el tráfico. Visualización del estado de túnel
1.
Seleccione Red > Túneles de IPSec.
2.
Visualización del estado de túnel • El color verde indica que el túnel de SA de IPSec es válido. • El color rojo indica que las SA de IPSec no están disponibles o han vencido.
3.
Vea el estado de la puerta de enlace de IKE. • El color verde indica que la SA del IKE de fase 1 es válida. • El color rojo indica que la SA de IKE de fase 1 no está disponibles o ha vencido.
4.
Vea el estado de la interfaz del túnel • El color verde indica que la interfaz del túnel está activa. • El color rojo indica que la interfaz de túnel no está activa porque la supervisión del túnel está habilitada y el estado es desactivado.
Para solucionar problemas de un túnel VPN que aún no esté activo, consulte Interpretación de mensajes de error de VPN.
402
Redes privadas virtuales
VPN
Configuración de VPN de sitio a sitio
Prueba de conectividad VPN Prueba de conectividad
• Inicie el IKE de fase 1 haciendo un ping a un host a través del túnel o usando el siguiente comando de la CLI: test vpn ike-sa gateway gateway_name
• A continuación, introduzca el siguiente comando para probar si el IKE de fase 1 está configurado: gateway_name En el resultado, compruebe si se muestra la asociación de seguridad. De lo contrario, revise los mensajes del log del sistema para interpretar el motivo del fallo.
show vpn ike-sa gateway
• Inicie el IKE de fase 2 haciendo un ping a un host desde el túnel o usando el siguiente comando de la CLI: test vpn ipsec-sa tunnel
tunnel_name
• A continuación, introduzca el siguiente comando para probar si el IKE de fase 1 está configurado: show vpn ipsec-sa tunnel tunnel_name En el resultado, compruebe si se muestra la asociación de seguridad. De lo contrario, revise los mensajes del log del sistema para interpretar el motivo del fallo.
• Para ver la información del flujo de tráfico VPN, use el siguiente comando: show vpn-flow admin@PA-500> show vpn flow total tunnels configured:
1
filter - type IPSec, state any total IPSec tunnel configured:
1
total IPSec tunnel shown:
1
name
id
state
local-ip
peer-ip
tunnel-i/f
----------------------------------------------------------------------------vpn-to-siteB
5
active
100.1.1.1
200.1.1.1
tunnel.41
Interpretación de mensajes de error de VPN La siguiente tabla enumera algunos de los mensajes de error de VPN más comunes que se registran en el log del sistema. Mensajes de error de Syslog para problemas de VPN
Si el error es:
Redes privadas virtuales
Pruebe a:
403
Configuración de VPN de sitio a sitio
VPN
Mensajes de error de Syslog para problemas de VPN IKE phase-1 negotiation is failed as initiator, main mode. Failed SA: x.x.x.x[500]-y.y.y.y[50 0] cookie:84222f276c2fa2e9 :0000000000000000 due to timeout.
• Verificar si la dirección IP pública de cada peer VPN es precisa en la configuración de la puerta de enlace de IKE. • Verificar si se puede hacer ping a las direcciones IP y que los problemas de enrutamiento no están provocando el fallo de conexión.
o IKE phase 1 negotiation is failed. Couldn’t find configuration for IKE phase-1 request for peer IP x.x.x.x[1929] Received unencrypted notify payload (no proposal chosen) from IP x.x.x.x[500] to y.y.y.y[500], ignored...
Comprobar el perfil criptográfico de IKE para verificar que las propuestas en ambos lados tienen un cifrado, autenticación y propuesta de grupo DH comunes.
o IKE phase-1 negotiation is failed. Unable to process peer’s SA payload. pfs group mismatched:my: 2peer: 0 o IKE phase-2 negotiation failed when processing SA payload. No suitable proposal found in peer’s SA payload. IKE phase-2 negotiation failed when processing Proxy ID. Received local id x.x.x.x/x type IPv4 address protocol 0 port 0, received remote id y.y.y.y/y type IPv4 address protocol 0 port 0.
404
Comprobar la configuración del perfil criptográfico de IPSec para verificar que • los dos peers VPN tienen el mismo valor de pfs: habilitado o deshabilitado • los grupos DH propuestos por cada peer tienen al menos un grupo DH en común
El peer VPN de un extremo está usando una VPN basada en políticas. Debe configurar un ID de proxy en el cortafuegos de Palo Alto Networks. Consulte Paso 8.
Redes privadas virtuales
VPN
Configuraciones rápidas de VPN de sitio a sitio
Configuraciones rápidas de VPN de sitio a sitio En las siguientes secciones se proporcionan instrucciones detalladas para configurar algunas implementaciones globales de VPN:
VPN de sitio a sitio con rutas estáticas
VPN de sitio a sitio con OSPF
VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico
VPN de sitio a sitio con rutas estáticas Los siguientes ejemplos muestran una conexión VPN entre dos sitios que usan rutas estáticas. Sin enrutamiento dinámico, las interfaces de túnel en el peer A de VPN y el peer B de VPN no necesitan una dirección IP porque el cortafuegos usa automáticamente la interfaz del túnel como el próximo salto para el enrutamiento de tráfico a través de los sitios. Sin embargo, para habilitar la supervisión del túnel, se ha asignado una dirección IP estática a cada interfaz de túnel.
Redes privadas virtuales
405
Configuraciones rápidas de VPN de sitio a sitio
VPN
Configuración rápida: VPN de sitio a sitio con rutas estáticas
Paso 1
Configure una interfaz de capa 3.
1.
Esta interfaz se usa para el túnel IKE de fase 1.
Seleccione Red > Interfaces> Ethernet y, a continuación, seleccione la interfaz que quiera configurar para la VPN.
2.
Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
3.
En la pestaña Configurar, seleccione la Zona de seguridad a la que pertenezca la interfaz: • La interfaz debe ser accesible desde una zona de fuera de su red fiable. Considere la posibilidad de crear una zona de VPN específica para lograr la visibilidad y el control necesarios del tráfico de su VPN. • Si todavía no ha creado la zona, seleccione Nueva zona en el menú desplegable Zona de seguridad, defina un Nombre para la nueva zona y, a continuación, haga clic en ACEPTAR.
4. 5.
Seleccione el Enrutador virtual que debe utilizarse. Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 192.168.210.26/24. 6.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
En este ejemplo, la configuración para el peer A de VPN es: • Interfaz: ethernet1/7 • Zona de seguridad: no fiable • Enrutador virtual: predeterminado • IPv4: 192.168.210.26/24 La configuración para el peer B de VPN es: • • • •
406
Interfaz: ethernet1/11 Zona de seguridad: no fiable Enrutador virtual: predeterminado IPv4: 192.168.210.120/24
Redes privadas virtuales
VPN
Configuraciones rápidas de VPN de sitio a sitio
Configuración rápida: VPN de sitio a sitio con rutas estáticas (Continuación)
Paso 2
Cree una interfaz de túnel y vincúlela a un 1. enrutador virtual y una zona de seguridad. 2. 3.
Seleccione Red > Interfaces > Túnel y haga clic en Añadir. En el campo Nombre de interfaz, especifique un sufijo numérico, como .1. En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad para definir la zona del siguiente modo: • Para usar una zona fiable como punto de finalización del túnel, seleccione la zona del menú desplegable. • (Recomendado) Si quiere crear una zona separada para la finalización del túnel de VPN, haga clic en Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo vpn-tun, y haga clic en Aceptar.
4.
Seleccione el Enrutador virtual.
5.
(Opcional) Asigne una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4 o IPv6, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz. Con rutas estáticas, la interfaz de túnel no necesita una dirección IP. Para el tráfico destinado a una subred/dirección IP específica, la interfaz de túnel se convertirá automáticamente en el próximo salto. Plantéese añadir una dirección IP si quiere habilitar la supervisión de túnel.
6.
Para guardar la configuración de la interfaz, haga clic en Aceptar. En este ejemplo, la configuración para el peer A de VPN es: • Interfaz: túnel.11 • Zona de seguridad: vpn_tun • Enrutador virtual: predeterminado • IPv4: 172.19.9.2/24 La configuración para el peer B de VPN es: • • • •
Paso 3
Interfaz: túnel.12 Zona de seguridad: vpn_tun Enrutador virtual: predeterminado IPv4: 192.168.69.2/24
Configure una ruta estática, en el servidor 1. virtual, a la subred de destino.
Seleccione Red > Enrutador virtual y haga clic en el enrutador que ha definido en el paso 4 más arriba.
2.
Seleccione Ruta estática, haga clic en Añadir e introduzca una nueva ruta para acceder a la subred que se encuentra en el otro extremo del túnel. En este ejemplo, la configuración para el peer A de VPN es: • Destino: 192.168.69.0/24 • Interfaz: túnel.11 La configuración para el peer B de VPN es: • Destino: 172.19.9.0/24 • Interfaz: túnel.12
Redes privadas virtuales
407
Configuraciones rápidas de VPN de sitio a sitio
VPN
Configuración rápida: VPN de sitio a sitio con rutas estáticas (Continuación)
Paso 4
Configure los perfiles criptográficos (perfil criptográfico IKE para 1 y perfil criptográfico IPSec para fase 2).
1.
Seleccione Red > Perfiles de red > Criptográfico de IKE. En este ejemplo, hemos usado el perfil predeterminado.
2.
Seleccione Red > Perfiles de red > Criptográfico de IPSec. En este ejemplo, hemos usado el perfil predeterminado.
1.
Seleccione Red > Perfiles de red > Puerta de enlace de IKE.
Complete esta tarea en ambos peers y asegúrese de definir valores idénticos.
Paso 5
Configure la puerta de enlace de IKE
2.
Haga clic en Añadir y configure las opciones en la pestaña General.
En este ejemplo, la configuración para el peer A de VPN es: • • • • •
Interfaz: ethernet1/7 Dirección IP local: 192.168.210.26/24 Tipo/Dirección IP del peer: estática/192.168.210.120 Claves previamente compartidas: introduzca un valor Identificación local: ninguna; significa que la dirección
IP local se utilizará como el valor de identificación local. La configuración para el peer B de VPN es: • • • •
3.
408
Interfaz: ethernet1/11 Dirección IP local: 192.168.210.120/24 Tipo/Dirección IP del peer: estática/192.168.210.26 Claves previamente compartidas: introduzca el mismo
valor que el del peer A • Identificación local: ninguna Seleccione Opciones de fase 1 avanzadas y seleccione el perfil criptográfico de IKE que ha creado anteriormente para usar IKE de fase 1.
Redes privadas virtuales
VPN
Configuraciones rápidas de VPN de sitio a sitio
Configuración rápida: VPN de sitio a sitio con rutas estáticas (Continuación)
Paso 6
Configure el túnel de IPSec
1.
Seleccione Red > Túneles de IPSec.
2.
Haga clic en Añadir y configure las opciones en la pestaña General.
En este ejemplo, la configuración para el peer A de VPN es: • Interfaz de túnel: túnel.11 • Tipo: clave automática • Puerta de enlace de IKE: seleccione la puerta de enlace de IKE definida más arriba. • Perfil criptográfico de IPSec: seleccione el perfil criptográfico de IPSec definido en el Paso 4. La configuración para el peer B de VPN es:
3.
4.
Paso 7
Cree políticas para permitir el tráfico entre los sitios (subredes).
• Interfaz de túnel: túnel.12 • Tipo: clave automática • Puerta de enlace de IKE: seleccione la puerta de enlace de IKE definida más arriba. • Perfil criptográfico de IPSec: seleccione el Criptográfico de IPSec definido en el Paso 4. (Opcional) Seleccione Mostrar opciones avanzadas, seleccione Supervisor de túnel y especifique una dirección IP de destino para hacer ping para verificar la conectividad. Normalmente, se usa la dirección IP de la interfaz de túnel del peer de VPN. (Opcional) Para definir la acción que se realizará si no es posible establecer conectividad, consulte Definición de un perfil de supervisión de túnel.
1.
Seleccione Políticas > Seguridad.
2.
Cree reglas para permitir el trafico entre la zona no fiable y la zona vpn-tun y la zona vpn-tun y la zona no fiable para tráfico que se origine desde el origen especificado y las direcciones IP de destino.
Paso 8
Guarde cualquier cambio de configuración pendiente.
Haga clic en Confirmar.
Paso 9
Pruebe la conectividad VPN.
Consulte Visualización del estado de los túneles.
Redes privadas virtuales
409
Configuraciones rápidas de VPN de sitio a sitio
VPN
VPN de sitio a sitio con OSPF En este ejemplo, cada sitio usa OSPF para enrutamiento o tráfico dinámicos. La dirección IP del túnel en cada peer de VPN se asigna estáticamente y sirve como el próximo salto para el enrutamiento de tráfico entre dos sitios.
410
Redes privadas virtuales
VPN
Configuraciones rápidas de VPN de sitio a sitio
Configuración rápida: VPN de sitio a sitio con enrutamiento dinámico usando OSPF
Paso 1
Configure las interfaces de capa 3 en cada 1. cortafuegos.
Seleccione Red > Interfaces> Ethernet y, a continuación, seleccione la interfaz que quiera configurar para la VPN.
2.
Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
3.
En la pestaña Configurar, seleccione la Zona de seguridad a la que pertenezca la interfaz: • La interfaz debe ser accesible desde una zona de fuera de su red fiable. Considere la posibilidad de crear una zona de VPN específica para lograr la visibilidad y el control necesarios del tráfico de su VPN. • Si todavía no ha creado la zona, seleccione Nueva zona en el menú desplegable Zona de seguridad, defina un Nombre para la nueva zona y, a continuación, haga clic en ACEPTAR.
4.
Seleccione el Enrutador virtual que debe utilizarse.
5.
Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 192.168.210.26/24.
6.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
En este ejemplo, la configuración para el peer A de VPN es: • Interfaz: ethernet1/7 • Zona de seguridad: no fiable • Enrutador virtual: predeterminado • IPv4: 100.1.1.1/24 La configuración para el peer B de VPN es: • • • •
Redes privadas virtuales
Interfaz: ethernet1/11 Zona de seguridad: no fiable Enrutador virtual: predeterminado IPv4: 200.1.1.1/24
411
Configuraciones rápidas de VPN de sitio a sitio
VPN
Configuración rápida: VPN de sitio a sitio con enrutamiento dinámico usando OSPF (Continuación)
Paso 2
Cree una interfaz de túnel y vincúlela a un 1. enrutador virtual y una zona de seguridad. 2. 3.
Seleccione Red > Interfaces > Túnel y haga clic en Añadir. En el campo Nombre de interfaz, especifique un sufijo numérico, p. ej., .11. En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad para definir la zona del siguiente modo: • Para usar una zona fiable como punto de finalización del túnel, seleccione la zona del menú desplegable. • (Recomendado) Si quiere crear una zona separada para la finalización del túnel de VPN, haga clic en Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo vpn-tun, y haga clic en Aceptar.
4.
Seleccione el Enrutador virtual.
5.
Asigne una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4 o IPv6, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 172.19.9.2/24. Esta dirección IP se usará como dirección IP de próximo salto para enrutar el tráfico al túnel y también puede usarse para supervisar el estado del túnel.
6.
Para guardar la configuración de la interfaz, haga clic en Aceptar. En este ejemplo, la configuración para el peer A de VPN es: • Interfaz: túnel.41 • Zona de seguridad: vpn_tun • Enrutador virtual: predeterminado • IPv4: 2.1.1.141/24 La configuración para el peer B de VPN es: • • • •
Paso 3
Configure los perfiles criptográficos (perfil criptográfico IKE para 1 y perfil criptográfico IPSec para fase 2).
Interfaz: túnel.40 Zona de seguridad: vpn_tun Enrutador virtual: predeterminado IPv4: 2.1.1.140/24
1.
Seleccione Red > Perfiles de red > Criptográfico de IKE. En este ejemplo, hemos usado el perfil predeterminado.
2.
Seleccione Red > Perfiles de red > Criptográfico de IPSec. En este ejemplo, hemos usado el perfil predeterminado.
Complete esta tarea en ambos peers y asegúrese de definir valores idénticos.
412
Redes privadas virtuales
VPN
Configuraciones rápidas de VPN de sitio a sitio
Configuración rápida: VPN de sitio a sitio con enrutamiento dinámico usando OSPF (Continuación)
Paso 4
Establezca la configuración OSPF en el 1. enrutador virtual y adjunte las áreas OSPF con las interfaces apropiadas en el 2. cortafuegos.
Seleccione Red > Enrutadores virtuales y seleccione el enrutador predeterminado o añada uno nuevo.
Para obtener más información sobre las opciones OSPF disponibles en el cortafuegos, consulte Configuración de OSPF.
En este ejemplo, la configuración OSPF para el peer A de VPN es:
3.
Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione Habilitar. – ID del enrutador: 192.168.100.141 – ID de área: 0.0.0.0 que se asigna a la interfaz del túnel.1 con el tipo de enlace: p2p – ID de área: 0.0.0.10 que se asigna a la interfaz Ethernet1/1 con el tipo de enlace: Difusión
Use Difusión como el tipo de enlace cuando haya más de dos enrutadores OSPF que necesiten intercambiar información de enrutamiento.
La configuración OSPF para el peer B de VPN es: – ID del enrutador: 192.168.100.140 – ID de área: 0.0.0.0 que se asigna a la interfaz del túnel.1 con el tipo de enlace: p2p – ID de área: 0.0.0.20 que se asigna a la interfaz Ethernet1/15 con el tipo de enlace: Difusión
Paso 5
Configure la puerta de enlace de IKE
1.
Seleccione Red > Perfiles de red > Puerta de enlace de IKE.
2.
Haga clic en Añadir y configure las opciones en la pestaña General.
En este ejemplo, la configuración para el peer A de VPN es: Estos ejemplos usan direcciones IP estáticas para ambos peers VPN. Normalmente, la sede usa una dirección IP configurada estáticamente y la sucursal puede usar una dirección IP dinámica; las direcciones IP dinámicas no son las más indicadas para configurar servicios estables como VPN.
• Interfaz: ethernet1/7 • Dirección IP local: 100.1.1.1/24 • Dirección IP del peer: 200.1.1.1/24 • Claves previamente compartidas: introduzca un valor La configuración para el peer B de VPN es: • • • • 3.
Redes privadas virtuales
Interfaz: ethernet1/11 Dirección IP local: 200.1.1.1/24 Dirección IP del peer: 100.1.1.1/24 Claves previamente compartidas: introduzca el mismo
valor que el del peer A Seleccione el perfil criptográfico de IKE que ha creado anteriormente para usar IKE de fase 1.
413
Configuraciones rápidas de VPN de sitio a sitio
VPN
Configuración rápida: VPN de sitio a sitio con enrutamiento dinámico usando OSPF (Continuación)
Paso 6
Configure el túnel de IPSec
1. 2.
Seleccione Red > Túneles de IPSec. Haga clic en Añadir y configure las opciones en la pestaña General.
En este ejemplo, la configuración para el peer A de VPN es: • Interfaz de túnel: túnel.41 • Tipo: clave automática • Puerta de enlace de IKE: seleccione la puerta de enlace de IKE definida más arriba. • Perfil criptográfico de IPSec: seleccione la puerta de enlace de IKE definida en más arriba. La configuración para el peer B de VPN es:
3.
4.
Paso 7
414
Cree políticas para permitir el tráfico entre los sitios (subredes).
• Interfaz de túnel: túnel.40 • Tipo: clave automática • Puerta de enlace de IKE: seleccione la puerta de enlace de IKE definida más arriba. • Perfil criptográfico de IPSec: seleccione la puerta de enlace de IKE definida en más arriba. Seleccione Mostrar opciones avanzadas, seleccione Supervisor de túnel y especifique una dirección IP de destino para hacer ping para verificar la conectividad. Para definir la acción que se realizará si no es posible establecer conectividad, consulte Definición de un perfil de supervisión de túnel.
1.
Seleccione Políticas > Seguridad.
2.
Cree reglas para permitir el trafico entre la zona no fiable y la zona vpn-tun y la zona vpn-tun y la zona no fiable para tráfico que se origine desde el origen especificado y las direcciones IP de destino.
Redes privadas virtuales
VPN
Configuraciones rápidas de VPN de sitio a sitio
Configuración rápida: VPN de sitio a sitio con enrutamiento dinámico usando OSPF (Continuación)
Paso 8
Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre sí con estado desde la CLI. completo. Confirme además la dirección IP de la interfaz del túnel del peer de VPN y el ID del enrutador de OSPF. Use los siguientes comandos de la CLI con cada peer de VPN: • show routing protocol ospf neighbor
• show routing route type ospf
Paso 9
Pruebe la conectividad VPN.
Redes privadas virtuales
Consulte Configuración de la supervisión de túnel y Visualización del estado de los túneles.
415
Configuraciones rápidas de VPN de sitio a sitio
VPN
VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico En este ejemplo, un sitio usa rutas estáticas y el otro sitio usa OSPF. Cuando el protocolo de enrutamiento no es el mismo entre ubicaciones, la interfaz del túnel en cada cortafuegos debe estar configurada con una dirección IP estática. A continuación, permita el intercambio de información de enrutamiento, el cortafuegos que participa tanto en el proceso de enrutamiento estático como el dinámico debe configurarse con un Perfil de redistribución. Configurar el perfil de redistribución habilita al enrutador virtual para redistribuir y filtrar rutas entre protocolos (rutas estáticas, rutas conectadas y hosts) desde el sistema autónomo estático al sistema autónomo OSPF. Sin este perfil de redistribución, cada protocolo funciona por su cuenta y no intercambia ninguna información de ruta con otros protocolos que se ejecutan en el mismo enrutador virtual. En este ejemplo, la oficina satélite tiene rutas estáticas y todo el tráfico destinado a la red 192.168.x.x se enruta al túnel .41. El enrutador virtual del peer B de VPN participa tanto en el proceso de enrutamiento dinámico como el estático y está configurado como un perfil de redistribución para propagar (exportar) las rutas estáticas al sistema autónomo OSPF.
416
Redes privadas virtuales
VPN
Configuraciones rápidas de VPN de sitio a sitio
Configuración rápida: VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico
Paso 1
Configure las interfaces de capa 3 en cada 1. cortafuegos.
Seleccione Red > Interfaces> Ethernet y, a continuación, seleccione la interfaz que quiera configurar para la VPN.
2.
Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
3.
En la pestaña Configurar, seleccione la Zona de seguridad a la que pertenezca la interfaz: • La interfaz debe ser accesible desde una zona de fuera de su red fiable. Considere la posibilidad de crear una zona de VPN específica para lograr la visibilidad y el control necesarios del tráfico de su VPN. • Si todavía no ha creado la zona, seleccione Nueva zona en el menú desplegable Zona de seguridad, defina un Nombre para la nueva zona y, a continuación, haga clic en ACEPTAR.
4.
Seleccione el Enrutador virtual que debe utilizarse.
5.
Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 192.168.210.26/24.
6.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
En este ejemplo, la configuración para el peer A de VPN es: • Interfaz: ethernet1/7 • Zona de seguridad: no fiable • Enrutador virtual: predeterminado • IPv4: 100.1.1.1/24 La configuración para el peer B de VPN es: • • • • Paso 2
Configure los perfiles criptográficos (perfil criptográfico IKE para 1 y perfil criptográfico IPSec para fase 2).
Interfaz: ethernet1/11 Zona de seguridad: no fiable Enrutador virtual: predeterminado IPv4: 200.1.1.1/24
1.
Seleccione Red > Perfiles de red > Criptográfico de IKE. En este ejemplo, hemos usado el perfil predeterminado.
2.
Seleccione Red > Perfiles de red > Criptográfico de IPSec. En este ejemplo, hemos usado el perfil predeterminado.
Complete esta tarea en ambos peers y asegúrese de definir valores idénticos.
Redes privadas virtuales
417
Configuraciones rápidas de VPN de sitio a sitio
VPN
Configuración rápida: VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico (Continuación)
Paso 3
Configure la puerta de enlace de IKE.
1. 2.
Seleccione Red > Perfiles de red > Puerta de enlace de IKE. Haga clic en Añadir y configure las opciones en la pestaña General.
En este ejemplo, la configuración para el peer A de VPN es: • • • • •
Con claves compartidas previamente, para añadir el escrutinio de autenticación al configurar el túnel IKE de fase 1, puede configurar atributos de identificación de peer y local, y un valor correspondiente con el que coincide en el proceso de negociación.
e introduzca un valor para el peer A de VPN. • Identificación del peer: seleccione FQDN(nombre de host) e introduzca un valor para el peer B de VPN. La configuración para el peer B de VPN es: • • • •
3.
418
Interfaz: ethernet1/7 Dirección IP local: 100.1.1.1/24 Tipo de IP de peer: dinámica Claves previamente compartidas: introduzca un valor Identificación local: seleccione FQDN(nombre de host)
Interfaz: ethernet1/11 Dirección IP local: 200.1.1.1/24 Dirección IP de peer: dinámica Claves previamente compartidas: introduzca el mismo
valor que el del peer A. • Identificación local: seleccione FQDN(nombre de host) e introduzca un valor para el peer B de VPN. • Identificación del peer: seleccione FQDN(nombre de host) e introduzca un valor para el peer A de VPN. Seleccione el perfil criptográfico de IKE que ha creado anteriormente para usar IKE de fase 1.
Redes privadas virtuales
VPN
Configuraciones rápidas de VPN de sitio a sitio
Configuración rápida: VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico (Continuación)
Paso 4
Cree una interfaz de túnel y vincúlela a un 1. enrutador virtual y una zona de seguridad. 2. 3.
Seleccione Red > Interfaces > Túnel y haga clic en Añadir. En el campo Nombre de interfaz, especifique un sufijo numérico, p. ej., .41. En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad para definir la zona del siguiente modo: • Para usar una zona fiable como punto de finalización del túnel, seleccione la zona del menú desplegable. • (Recomendado) Si quiere crear una zona separada para la finalización del túnel de VPN, haga clic en Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo vpn-tun, y haga clic en Aceptar.
4.
Seleccione el Enrutador virtual.
5.
Asigne una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4 o IPv6, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 172.19.9.2/24. Esta dirección IP se usará para enrutar el tráfico al túnel y supervisar el estado del túnel.
6.
Para guardar la configuración de la interfaz, haga clic en Aceptar. En este ejemplo, la configuración para el peer A de VPN es: • Interfaz: túnel.41 • Zona de seguridad: vpn_tun • Enrutador virtual: predeterminado • IPv4: 2.1.1.141/24 La configuración para el peer B de VPN es: • • • •
Paso 5
Especifique la interfaz para enruta el 1. tráfico a un destino en la red 192.168.x.x. 2.
Redes privadas virtuales
Interfaz: túnel.42 Zona de seguridad: vpn_tun Enrutador virtual: predeterminado IPv4: 2.1.1.140/24
En el peer A de VPN, seleccione el enrutador virtual. Seleccione Rutas estáticas y añada túnel.41 como la interfaz para el enrutamiento de tráfico con un Destino en la red 192.168.x.x.
419
Configuraciones rápidas de VPN de sitio a sitio
VPN
Configuración rápida: VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico (Continuación)
Paso 6
Establezca la ruta estática y la configuración OSPF en el enrutador virtual y adjunte las áreas OSPF con las interfaces apropiadas en el cortafuegos.
1.
En el peer B de VPN, seleccione Red > Enrutadores virtuales y seleccione el enrutador predeterminado o añada uno nuevo.
2.
Seleccione Rutas estáticas y Añada la dirección IP del túnel como el próximo salto para el tráfico en la red 172.168.x.x. Asigne la métrica de ruta deseada; usando un valor bajo se aumenta la prioridad para la selección de ruta en la tabla de reenvíos.
3.
Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione Habilitar.
4.
En este ejemplo, la configuración OSPF para el peer B de VPN es: • ID del enrutador: 192.168.100.140 • ID de área: 0.0.0.0 se asigna a la interfaz Ethernet1/12 con el tipo de enlace: Difusión • ID de área: 0.0.0.10 que se asigna a la interfaz Ethernet1/1 con el tipo de enlace: Difusión • ID de área: 0.0.0.20 se asigna a la interfaz Ethernet1/15 con el tipo de enlace: Difusión
Paso 7
Cree un perfil de redistribución para inyectar las rutas estáticas en el sistema autónomo OSPF.
1.
Cree un perfil de redistribución en el peer B de VPN. a. Seleccione Red > Enrutadores virtuales y seleccione el enrutador que ha usado más arriba. b. Seleccione Perfiles de redistribución y haga clic en Añadir. c. Introduzca un nombre para el perfil, seleccione Redistr. y asigne un valor de Prioridad. Si ha configurado múltiples perfiles, coincidirá primero el perfil con el valor de propiedad más bajo. d. Defina Tipo de origen como estático y haga clic en Aceptar. Se usará la ruta estática definida en el Paso 6-2 para la redistribución.
2.
Inyecte rutas estáticas en el sistema OSPF. a. Seleccione OSPF> Exportar reglas (para IPv4) o OSPFv3> Exportar reglas (para IPv6). b. Haga clic en Añadir y seleccione el perfil de redistribución que acaba de crear. c. Seleccione cómo se llevan las rutas externas al sistema OSPF. La opción predeterminada, Ext2, calcula el coste total de la ruta usando solo métricas externas. Para usar métricas OSPF tanto internas como externas, use Ext1. d. Asigne una métrica (valor de coste) a las rutas inyectadas en el sistema OSPF. Esta opción le permite cambiar la métrica para la ruta inyectada al entrar en el sistema OSPF. e. Haga clic en ACEPTAR para guardar los cambios.
420
Redes privadas virtuales
VPN
Configuraciones rápidas de VPN de sitio a sitio
Configuración rápida: VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico (Continuación)
Paso 8
Configure el túnel de IPSec.
1.
Seleccione Red > Túneles de IPSec.
2.
Haga clic en Añadir y configure las opciones en la pestaña General.
En este ejemplo, la configuración para el peer A de VPN es: • Interfaz de túnel: túnel.41 • Tipo: clave automática • Puerta de enlace de IKE: seleccione la puerta de enlace de IKE definida más arriba. • Perfil criptográfico de IPSec: seleccione la puerta de enlace de IKE definida en más arriba. La configuración para el peer B de VPN es:
3.
Paso 9
Cree políticas para permitir el tráfico entre los sitios (subredes).
Redes privadas virtuales
• Interfaz de túnel: túnel.40 • Tipo: clave automática • Puerta de enlace de IKE: seleccione la puerta de enlace de IKE definida más arriba. • Perfil criptográfico de IPSec: seleccione la puerta de enlace de IKE definida en más arriba. Seleccione Mostrar opciones avanzadas, seleccione Supervisor de túnel y especifique una dirección IP de destino para hacer ping para verificar la conectividad.
4.
Para definir la acción que se realizará si no es posible establecer conectividad, consulte Definición de un perfil de supervisión de túnel.
1.
Seleccione Políticas > Seguridad.
2.
Cree reglas para permitir el trafico entre la zona no fiable y la zona vpn-tun y la zona vpn-tun y la zona no fiable para tráfico que se origine desde el origen especificado y las direcciones IP de destino.
421
Configuraciones rápidas de VPN de sitio a sitio
VPN
Configuración rápida: VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico (Continuación)
Paso 10 Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre sí con estado desde la CLI. completo. Confirme además la dirección IP de la interfaz del túnel del peer de VPN y el ID del enrutador de OSPF. Use los siguientes comandos de la CLI con cada peer de VPN: • show routing protocol ospf neighbor
• show routing route A continuación se muestra un ejemplo de salida en cada peer de VPN.
Paso 11 Pruebe la conectividad VPN.
422
Consulte Configuración de la supervisión de túnel y Visualización del estado de los túneles.
Redes privadas virtuales
VPN a gran escala (LSVPN) La función VPN a gran escala (LSVPN) de GlobalProtect de cortafuegos de próxima generación de Palo Alto Networks simplifica la implementación de VPN de concentrador y radio tradicionales, lo que le permite implementar rápidamente redes empresariales con varias sucursales con una cantidad mínima de configuración obligatoria en los dispositivos satélite remotos. Esta solución utiliza certificados para la autenticación de dispositivos e IPSec para proteger datos. LSVPN habilita VPN de sitio a sitio entre cortafuegos de Palo Alto Networks. Para configurar una VPN de sitio a sitio entre un cortafuegos de Palo Alto Networks y otro dispositivo, consulte VPN.
Los siguientes temas describen los componentes de LSVPN y cómo configurarlos para habilitar servicios de VPN de sitio a sitio entre cortafuegos de Palo Alto Networks:
Creación de interfaces y zonas para la LSVPN
Habilitación de SSL entre componentes de LSVPN de GlobalProtect
Configuración del portal para autenticar satélites
Configuración de puertas de enlace de GlobalProtect para LSVPN
Configuración del portal de GlobalProtect para LSVPN
Preparación del dispositivo satélite para unirse a la LSVPN
Verificación de la configuración de LSVPN
Configuraciones rápidas de LSVPN
VPN a gran escala
423
Componentes de LSVPN
VPN a gran escala (LSVPN)
Componentes de LSVPN GlobalProtect proporciona una completa infraestructura para gestionar el acceso seguro a recursos corporativos desde sus ubicaciones remotas. Esta infraestructura incluye los siguientes componentes:
Portal de GlobalProtect: Proporciona las funciones de gestión necesarias para su infraestructura de LSVPN de GlobalProtect. Cada satélite que participa en la LSVPN de GlobalProtect recibe información de configuración del portal, incluida información de configuración para permitir que los satélites (los radios) se conecten a las puertas de enlace (los concentradores). El portal se configura en una interfaz de cualquier cortafuegos de última generación de Palo Alto Networks.
Puertas de enlace de GlobalProtect: Cortafuegos de Palo Alto Networks que proporciona el extremo del túnel para conexiones de satélites. Los recursos a los que acceden los satélites están protegidos por la política de seguridad de la puerta de enlace. No es obligatorio tener un portal y una puerta de enlace separados; un único cortafuegos puede actuar tanto de portal como de puerta de enlace.
Satélite de GlobalProtect: Cortafuegos de Palo Alto Networks en una ubicación remota que establece túneles de IPSec con las puertas de enlace de sus sedes para lograr un acceso seguro a recursos centralizados. La configuración del cortafuegos del satélite es mínima, lo que le permite ajustar rápida y fácilmente su VPN a medida que añada nuevas ubicaciones.
El siguiente diagrama muestra cómo funcionan los componentes de LSVPN de GlobalProtect en conjunto.
424
VPN a gran escala
VPN a gran escala (LSVPN)
Creación de interfaces y zonas para la LSVPN
Creación de interfaces y zonas para la LSVPN Debe configurar las siguientes interfaces y zonas para su infraestructura de LSVPN:
Portal de GlobalProtect: Requiere una interfaz de capa 3 para que se conecten los satélites de GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma interfaz. El portal debe estar en una zona accesible desde sus sucursales.
Puertas de enlace de GlobalProtect: Requiere tres interfaces: una interfaz de capa 3 en la zona a la que pueden acceder los satélites remotos, una interfaz interna en la zona fiable que se conecta con los recursos protegidos y una interfaz de túnel lógica para finalizar los túneles de VPN desde los satélites. A diferencia de otras soluciones de VPN de sitio a sitio, la puerta de enlace de GlobalProtect solamente requiere una única interfaz de túnel, que utilizará para las conexiones de túnel con todos sus satélites remotos (punto a multipunto). Si tiene la intención de utilizar el enrutamiento dinámico, deberá asignar una dirección IP a la interfaz de túnel.
Satélite de GlobalProtect: Requiere una única interfaz de túnel para establecer una VPN con las puertas de enlace remotas (hasta un máximo de 25 puertas de enlace). Si tiene la intención de utilizar el enrutamiento dinámico, deberá asignar una dirección IP a la interfaz de túnel.
Si desea más información sobre portales, puertas de enlace y satélites, consulte Componentes de LSVPN. Configuración de interfaces y zonas para la LSVPN de GlobalProtect
Paso 1
Configure una interfaz de capa 3.
1.
El portal, cada puerta de enlace y cada satélite requieren una interfaz de capa 3 para permitir que el tráfico se enrute entre 2. las distintas ubicaciones. 3. Si la puerta de enlace y el portal se encuentran en el mismo cortafuegos, puede utilizar una única interfaz para ambos componentes. Nota
Seleccione Red > Interfaces> Ethernet y, a continuación, seleccione la interfaz que quiera configurar para la LSVPN de GlobalProtect. Seleccione Capa 3 en el menú desplegable Tipo de interfaz. En la pestaña Configurar, seleccione la Zona de seguridad a la que pertenezca la interfaz: • La interfaz debe ser accesible desde una zona de fuera de su red fiable. Considere la posibilidad de crear una zona de VPN específica para lograr la visibilidad y el control necesarios del tráfico de su VPN.
Las direcciones IPv6 no son compatibles con LSVPN.
• Si todavía no ha creado la zona, seleccione Nueva zona en el menú desplegable Zona de seguridad, defina un Nombre para la nueva zona y, a continuación, haga clic en ACEPTAR. 4.
Seleccione el Enrutador virtual que debe utilizarse.
5.
Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo, 203.0.11.100/24.
6.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
VPN a gran escala
425
Creación de interfaces y zonas para la LSVPN
VPN a gran escala (LSVPN)
Configuración de interfaces y zonas para la LSVPN de GlobalProtect (Continuación)
Paso 2
Nota
Nota
1. En los cortafuegos donde se alojen puertas de enlace de GlobalProtect, 2. configure la interfaz de túnel lógica que finalizará los túneles de VPN establecidos 3. por los satélites de GlobalProtect. No se requieren direcciones IP en la interfaz de túnel a menos que tenga la intención de utilizar el enrutamiento dinámico. Sin embargo, asignar una dirección IP a la interfaz de túnel puede resultar útil para solucionar problemas de conexión. Asegúrese de habilitar User-ID en la zona donde finalizan los túneles de VPN.
Seleccione Red > Interfaces > Túnel y haga clic en Añadir. En el campo Nombre de interfaz, especifique un sufijo numérico, como .2. En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad para definir la zona del siguiente modo: • Para usar una zona fiable como punto de finalización del túnel, seleccione la zona del menú desplegable. • (Recomendado) Si quiere crear una zona separada para la finalización del túnel de VPN, haga clic en Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para la nueva zona (por ejemplo, lsvpn-tun), seleccione la casilla de verificación Habilitar identificación de usuarios y, a continuación, haga clic en ACEPTAR.
4.
Seleccione el Enrutador virtual.
5.
(Opcional) Si quiere asignar una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo: 203.0.11.33/24.
6.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
Paso 3
Si ha creado una zona separada para la finalización del túnel de las conexiones VPN, cree una política de seguridad para habilitar el flujo de tráfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de política habilita el tráfico entre la zona lsvpn-tun y la zona L3-Trust.
Paso 4
Guarde la configuración.
426
Haga clic en Confirmar.
VPN a gran escala
VPN a gran escala (LSVPN)
Habilitación de SSL entre componentes de LSVPN de GlobalProtect
Habilitación de SSL entre componentes de LSVPN de GlobalProtect Toda la interacción entre los componentes de GlobalProtect se realiza a través de una conexión SSL. Por lo tanto, debe generar y/o instalar los certificados necesarios antes de configurar cada componente, de modo que pueda hacer referencia a los certificados y/o perfiles de certificados adecuados en las configuraciones de cada componente. En las siguientes secciones se describen los métodos compatibles de implementación de certificados, las descripciones y las directrices de recomendaciones para los diversos certificados de GlobalProtect, además de ofrecer instrucciones para la generación e implementación de los certificados necesarios.
Acerca de la implementación de certificados
Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect
Acerca de la implementación de certificados Hay dos métodos básicos para implementar certificados para LSVPN de GlobalProtect:
Autoridad de certificación empresarial: Si ya cuenta con su propia entidad de certificación empresarial, puede utilizar esta CA interna para emitir un certificado de CA intermedio para el portal de GlobalProtect para habilitarlo con el fin de que emita certificados para las puertas de enlace y los satélites de GlobalProtect.
Certificados autofirmados: Puede generar un certificado de CA raíz autofirmado en el cortafuegos y usarlo para emitir certificados de servidor para el portal, las puertas de enlace y los satélites. La práctica recomendada es crear un certificado de CA raíz autofirmado en el portal y utilizarlo para emitir certificados de servidor para las puertas de enlace y los satélites. De este modo, la clave privada utilizada para la firma del certificado permanece en el portal.
Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect Los componentes de LSVPN de GlobalProtect utilizan SSL/TLS para autenticarse mutuamente. Antes de implementar el LSVPN, debe emitir certificados de servidor en el portal y las puertas de enlace. No necesita crear certificados de servidor para los dispositivos satélite debido a que el portal emitirá un certificado de servidor para cada satélite durante la primera conexión. Además, debe importar el certificado de CA raíz utilizado para emitir los certificados de servidor en cada cortafuegos que tenga la intención de alojar como puerta de enlace o satélite. Por último, en cada puerta de enlace y satélite que participe en la LSVPN, deberá configurar un perfil de certificado que los habilitará para establecer una conexión SSL/TLS mediante la autenticación mutua. El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los componentes de LSVPN de GlobalProtect: No necesita emitir certificados de servidor para los dispositivos satélite debido a que el portal los emitirá como parte del proceso de registro de satélites.
VPN a gran escala
427
Habilitación de SSL entre componentes de LSVPN de GlobalProtect
VPN a gran escala (LSVPN)
Implementación de certificados de servidores SSL en los componentes de GlobalProtect
Paso 1
En el cortafuegos que aloja el portal, cree el certificado de CA raíz para la emisión de certificados autofirmados para los componentes de GlobalProtect.
Para usar certificados autofirmados, primero debe crear un certificado de CA raíz que servirá para firmar los certificados de componentes de GlobalProtect del siguiente modo: 1. Para crear un certificado de CA raíz, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y, a continuación, haga clic en Generar.
Paso 2
Nota
Genere certificados de servidor para el portal y las puertas de enlace de GlobalProtect.
2.
Introduzca un Nombre de certificado, como LSVPN_CA. El nombre de certificado no puede puede contener espacios.
3.
No seleccione ningún valor en el campo Firmado por (esto es lo que indica que está autofirmado).
4.
Seleccione la casilla de verificación Autoridad del certificado y, a continuación, haga clic en Aceptar para generar el certificado.
Utilice la CA raíz en el portal para generar certificados de servidor para cada puerta de enlace que tenga la intención de implementar: 1. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y, a continuación, haga clic en Generar.
Debe emitir un certificado de servidor autofirmado exclusivo para el portal y 2. para cada puerta de enlace de GlobalProtect. La práctica recomendada es emitir todos los certificados necesarios 3. en el portal, para que el certificado de firma (con la clave privada) no tenga que exportarse. 4. Si el portal y la puerta de enlace de GlobalProtect se encuentran en la misma 5. interfaz del cortafuegos, puede utilizar el mismo certificado de servidor para ambos componentes.
6.
428
Introduzca un nombre de certificado. El nombre de certificado no puede puede contener espacios. Introduzca el FQDN (recomendado) o la dirección IP de la interfaz donde pretende configurar la puerta de enlace en el campo Nombre común. En el campo Firmado por, seleccione LSVPN_CA, que creó en el paso anterior. En la sección Atributos del certificado, haga clic en Añadir y defina los atributos para identificar de forma exclusiva la puerta de enlace. Tenga en cuenta que si añade un atributo Nombre de host (que cumplimenta el campo SAN del certificado), debe coincidir exactamente con el valor que haya definido en el campo Nombre común. Seleccione Generar el certificado.
VPN a gran escala
VPN a gran escala (LSVPN)
Habilitación de SSL entre componentes de LSVPN de GlobalProtect
Implementación de certificados de servidores SSL en los componentes de GlobalProtect (Continuación)
Paso 3
Implemente los certificados de servidor autofirmados en las puertas de enlace.
1.
certificado de puerta de enlace que quiere implementar y haga clic en Exportar.
Prácticas recomendadas: • Exporte los certificados de servidor autofirmados emitidos por la CA raíz desde el portal e impórtelos en las puertas de enlace. • Asegúrese de emitir un único certificado de servidor para cada puerta de enlace. • El campo de nombre común (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir con la dirección IP o con el nombre de dominio completo (FQDN) de la interfaz donde configure la puerta de enlace.
VPN a gran escala
En el portal, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos, seleccione el
2.
Seleccione Clave privada cifrada y certificado (PKCS12) en el menú desplegable Formato de archivo.
3.
Introduzca dos veces una Frase de contraseña para cifrar la clave privada asociada al certificado y, a continuación, haga clic en ACEPTAR para descargar el archivo PKCS12 en su ordenador.
4.
En la puerta de enlace, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivo y haga clic en Importar.
5.
Introduzca un nombre de certificado.
6.
Introduzca la ruta y el nombre en el archivo de certificado que acaba de descargar del portal o seleccione Examinar para buscar el archivo.
7.
Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo.
8.
Introduzca la ruta y nombre en el archivo PKCS#12 en el campo Archivo de clave o seleccione Examinar para encontrarla.
9.
Vuelva a introducir la frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave.
429
Habilitación de SSL entre componentes de LSVPN de GlobalProtect
VPN a gran escala (LSVPN)
Implementación de certificados de servidores SSL en los componentes de GlobalProtect (Continuación)
Paso 4
Importe el certificado de CA raíz utilizado 1. para la emisión de certificados de servidor para los componentes de LSVPN.
Descargue el certificado de CA raíz del portal.
Debe importar el certificado de CA raíz en todas las puertas de enlace y los satélites. Por motivos de seguridad, asegúrese de exportar únicamente el certificado, no la clave privada asociada.
b. Seleccione el certificado de CA raíz utilizado para la emisión de certificados para los componentes de LSVPN y haga clic en Exportar.
a. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos.
c. Seleccione Certificado codificado en Base64 (PEM) en la lista desplegable Formato de archivo y haga clic en ACEPTAR para descargar el certificado. (No exporte la clave privada). 2.
En los cortafuegos que alojan las puertas de enlace y los satélites, importe el certificado de CA raíz. a. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y haga clic en Importar. b. Introduzca un Nombre de certificado que identifique al certificado como su certificado de CA de cliente. c. Seleccione Examinar para desplazarse al Archivo del certificado que descargó de la CA. d. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y, a continuación, haga clic en Aceptar. e. Seleccione el certificado que acaba de importar en la pestaña Certificados de dispositivos para abrirlo. f. Seleccione CA raíz de confianza y, a continuación, haga clic en Aceptar. g. Confirme los cambios.
Paso 5
Paso 6
430
Cree un perfil de certificado.
1.
El portal y cada puerta de enlace de LSVPN de GlobalProtect requieren un perfil de certificado que especifique qué certificado utilizar para autenticar los satélites.
2.
Guarde la configuración.
Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil del certificado, haga clic en Añadir e introduzca un Nombre de perfil. Asegúrese de establecer Campo de nombre de usuario como Ninguno.
3.
En el campo Certificados de CA, haga clic en Añadir y seleccione el certificado de CA raíz de confianza que importó en el Paso 4.
4.
(Opcional pero recomendado) Habilite el uso de CRL y/o OCSP para habilitar la verificación del estado de certificado.
5.
Haga clic en Aceptar para guardar el perfil.
Haga clic en Confirmar.
VPN a gran escala
VPN a gran escala (LSVPN)
Configuración del portal para autenticar satélites
Configuración del portal para autenticar satélites Para registrarse en la LSVPN, cada satélite debe establecer una conexión SSL/TLS con el portal. Tras establecer la conexión, el portal autentica el dispositivo satélite para asegurarse de que está autorizado para unirse a la LSVPN. Después de autenticar correctamente el satélite, el portal emitirá un certificado de servidor para el satélite y enviará la configuración de LSVPN que especifica las puertas de enlace a las que puede conectarse el satélite y el certificado de CA raíz necesario para establecer una conexión SSL con las puertas de enlace. Hay dos formas en las que el satélite puede autenticar en el portal durante su conexión inicial:
Número de serie: Puede configurar el portal con el número de serie de los cortafuegos satélite autorizados para unirse a la LSVPN. Durante la conexión inicial del satélite al portal, el satélite presenta su número de serie al portal y, si el portal tiene el número de serie en su configuración, el satélite se autenticará correctamente. Los números de serie de los satélites autorizados se añaden al configurar el portal. Consulte Configuración del portal.
Nombre de usuario y contraseña: Si prefiere proporcionar sus satélites sin introducir manualmente los números de serie de los dispositivos satélite en la configuración de portal, puede solicitar al administrador de satélites que los autentique al establecer la conexión inicial con el portal. Aunque el portal siempre buscará el número de serie en la solicitud inicial del satélite, si no puede identificar el número de serie, el administrador de satélites deberá proporcionar un nombre de usuario y una contraseña para autenticarlo en el portal. Debido a que el portal siempre retrocederá a esta forma de autenticación, debe crear un perfil de autenticación para confirmar la configuración del portal. Esto requiere que configure un perfil de autenticación para la configuración de LSVPN del portal, aunque tenga la intención de autenticar los satélites mediante el número de serie.
El siguiente flujo de trabajo describe el modo de configurar el portal para la autenticación de satélites mediante un servicio de autenticación existente. LSVPN de GlobalProtect admite la autenticación externa mediante una base de datos local, LDAP (incluido Active Directory), Kerberos o RADIUS.
VPN a gran escala
431
Configuración del portal para autenticar satélites
VPN a gran escala (LSVPN)
Configuración de la autenticación de satélites
Paso 1
Cree un perfil de servidor en el portal.
1.
El perfil de servidor indica al cortafuegos 2. cómo conectar con un servicio de autenticación externo para validar las credenciales de autenticación 3. proporcionadas por el administrador de satélites. 4. Si está utilizando la autenticación local, puede omitir este paso y, en su lugar, añadir una configuración de usuario local 5. para autenticar el administrador de satélites. Nota
Seleccione Dispositivo > Perfiles de servidor y seleccione el tipo de perfil (LDAP, Kerberos o RADIUS). Haga clic en Añadir e introduzca un Nombre para el perfil, como LSVPN-Auth. (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se esté conectando. Haga clic en Añadir en la sección Servidores e introduzca la información requerida para el servicio de autenticación, incluido el Nombre, Dirección IP (o FQDN) y Puerto del servidor. (Solo RADIUS y LDAP) Especifique la configuración para habilitar la autenticación del cortafuegos en el servicio de autenticación del siguiente modo: • RADIUS: Introduzca el Secreto compartido al añadir la entrada del servidor.
Si está usando LDAP para conectarse a Active Directory (AD), debe crear un perfil de servidor LDAP diferente para cada dominio de AD.
• LDAP: Introduzca el valor de Enlazar DN y Enlazar contraseña. 6.
(Únicamente LDAP y Kerberos) Especifique dónde buscar las credenciales en el servicio del directorio: • LDAP: DN de Base especifica el punto en el árbol del LDAP donde empezar a buscar usuarios y grupos. Este campo debería cumplimentarse automáticamente al introducir el puerto y la dirección del servidor. De no ser así, compruebe la ruta del servicio al servidor LDAP. • Kerberos: Introduzca el nombre del Dominio de Kerberos.
Paso 2
Cree un perfil de autenticación. El perfil de autenticación especifica qué perfil de servidor debe utilizarse para autenticar satélites.
7.
Especifique el nombre del Dominio (sin puntos, por ejemplo acme, no acme.com).
8.
Haga clic en Aceptar para guardar el perfil de servidor.
1.
Seleccione Dispositivo > Perfil de autenticación y haga clic en Añadir.
2.
Introduzca un Nombre para el perfil y, a continuación, seleccione el tipo de Autenticación (Base de datos local, LDAP, Kerberos o RADIUS).
3.
Seleccione el Perfil de servidor que creó en el Paso 1.
4.
(LDAP AD) Introduzca sAMAccountName como el Atributo de inicio de sesión.
5. Paso 3
432
Guarde la configuración.
Haga clic en ACEPTAR.
Haga clic en Confirmar.
VPN a gran escala
VPN a gran escala (LSVPN)
Configuración de puertas de enlace de GlobalProtect para LSVPN
Configuración de puertas de enlace de GlobalProtect para LSVPN Puesto que la configuración de GlobalProtect que el portal entrega a los satélites incluye la lista de puertas de enlace a las que puede conectarse el satélite, es recomendable configurar las puertas de enlace antes de configurar el portal.
Tareas previamente necesarias Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes:
Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Debe configurar tanto la interfaz física como la interfaz de túnel virtual. Consulte Creación de interfaces y zonas para la LSVPN.
Configure los certificados de servidor de puerta de enlace y el perfil de certificado necesario para habilitar el satélite y la puerta de enlace de GlobalProtect para que establezcan una conexión SSL/TLS mutua. Consulte Habilitación de SSL entre componentes de LSVPN de GlobalProtect.
Configuración de la puerta de enlace Una vez completadas las Tareas previamente necesarias, configure cada puerta de enlace de GlobalProtect para que participe en la LSVPN de la manera siguiente: Configuración de la puerta de enlace para LSVPN
Paso 1
Añada una plantilla.
VPN a gran escala
1.
Seleccione Red > GlobalProtect > Puertas de enlace y haga clic en Añadir.
2.
En la pestaña General, introduzca un Nombre para la puerta de enlace. El nombre de la puerta de enlace no debería contener espacios y la práctica recomendada es que debería incluir la ubicación u otra información descriptiva que ayude a identificar la puerta de enlace.
3.
(Opcional) Seleccione el sistema virtual al que pertenece esta puerta de enlace en el campo Ubicación.
433
Configuración de puertas de enlace de GlobalProtect para LSVPN
VPN a gran escala (LSVPN)
Configuración de la puerta de enlace para LSVPN (Continuación)
Paso 2
Especifique la información de red que permita a los satélites conectarse a la puerta de enlace.
1.
Seleccione la Interfaz que utilizarán los satélites para acceder a la puerta de enlace.
2.
Seleccione la Dirección IP para el acceso a la puerta de enlace.
Si aún no ha creado la interfaz de red para 3. la puerta de enlace, consulte las instrucciones de Creación de interfaces y zonas para la LSVPN. Si aún no ha creado un certificado de servidor para la puerta de enlace, consulte Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect. Paso 3
Seleccione el Certificado de servidor para la puerta de enlace en el menú desplegable.
Seleccione el Perfil del certificado que creó para la comunicación Seleccione el perfil de certificado que SSL entre los componentes de LSVPN. debe utilizar la puerta de enlace para autenticar satélites que intenten establecer túneles. Si no ha configurado aún el perfil de certificado, consulte las instrucciones de Habilitación de SSL entre componentes de LSVPN de GlobalProtect.
Paso 4
Paso 5
Configure los parámetros del túnel y habilite la tunelización.
(Opcional) Habilite la supervisión de túnel.
1.
En el cuadro de diálogo Puerta de enlace de GlobalProtect, seleccione Configuración Satélite > Ajustes de túnel.
2.
Seleccione la casilla de verificación Configuración de túnel para habilitar la tunelización.
3.
Seleccione la Interfaz de túnel que definió en el Paso 2 en Creación de interfaces y zonas para la LSVPN.
4.
(Opcional) Si desea conservar la información de tipo de servicio (ToS) en los paquetes resumidos, seleccione la casilla de verificación Copiar TOS.
1.
Seleccione la casilla de verificación Supervisión de túnel.
2.
Especifique la dirección IP de destino que los dispositivos satélite deberían utilizar para determinar si la puerta de enlace está activa. De forma alternativa, si ha configurado una dirección IP para la interfaz de túnel, puede dejar este campo en blanco y, en su lugar, el monitor de túnel utilizará la interfaz de túnel para determinar si la conexión está activa.
La supervisión de túnel habilita los dispositivos satélites para que supervisen su conexión de túnel de puerta de enlace, lo que permite realizar una conmutación por error a una puerta de enlace de reserva si falla la conexión. La 3. conmutación por error a otra puerta de enlace es el único tipo de perfil de supervisión de túnel permitido con LSVPN.
434
Seleccione Conmutación por error en el menú desplegable Perfil de monitor de túnel (este es el único perfil de monitor de túnel admitido para LSVPN).
VPN a gran escala
VPN a gran escala (LSVPN)
Configuración de puertas de enlace de GlobalProtect para LSVPN
Configuración de la puerta de enlace para LSVPN (Continuación)
Paso 6
Seleccione el perfil criptográfico que debe Seleccione predeterminado en el menú desplegable Perfil criptográfico de IPSec u, opcionalmente, seleccione Nuevo perfil utilizarse al establecer conexiones de túnel. criptográfico de IPSec para definir un nuevo perfil. Si desea información detallada sobre las opciones de autenticación y cifrado El perfil criptográfico especifica el tipo de en el perfil criptográfico, consulte la ayuda en línea. cifrado de IPSec y/o el método de autenticación para proteger los datos que atraviesen el túnel. Dado que ambos extremos del túnel de una LSVPN son cortafuegos fiables de su organización, por lo general puede utilizar el perfil predeterminado, que utiliza cifrado ESP-DH group2-AES 128 con SHA-1. Sin embargo, si requiere una mezcla diferente de mecanismos de cifrado y autenticación, puede crear opcionalmente un perfil criptográfico de IPSec personalizado.
VPN a gran escala
435
Configuración de puertas de enlace de GlobalProtect para LSVPN
VPN a gran escala (LSVPN)
Configuración de la puerta de enlace para LSVPN (Continuación)
Paso 7
Nota
Configure los ajustes de red para asignar 1. los satélites durante el establecimiento del túnel de IPSec. 2. También puede configurar el dispositivo satélite para que envíe la configuración DNS a sus clientes locales configurando un servidor DHCP en el cortafuegos que aloja el satélite. En esta configuración, el satélite enviará la configuración DNS que obtenga de la puerta de enlace a los clientes DHCP.
En el cuadro de diálogo Puerta de enlace de GlobalProtect, seleccione Configuración Satélite > Configuración de red. (Opcional) Si los clientes locales del dispositivo satélite necesitan resolver FQDN en la red corporativa, configure la puerta de enlace para que envíe la configuración DNS a los satélites de una de las maneras siguientes: • Defina manualmente los ajustes DNS principal, DNS secundario y Sufijo DNS para enviarlos a los satélites. • Si la puerta de enlace tiene una interfaz configurada como cliente DHCP, puede establecer el Origen de herencia en esa interfaz y a los satélites de GlobalProtect se les asignarán los mismos ajustes que haya recibido el cliente DHCP.
3.
Para especificar el Grupo de IP de direcciones para asignar la interfaz de túnel en los dispositivos satélite cuando se establezca la VPN, haga clic en Añadir y, a continuación, especifique los intervalos de direcciones IP que deben utilizarse. Si está utilizando el enrutamiento dinámico, asegúrese de que el grupo de direcciones IP que designe a los satélites no se solape con las direcciones IP que asignó manualmente a las interfaces de túnel de sus puertas de enlace y satélites.
4.
Para definir a qué subredes de destino enrutar a través del túnel, haga clic en Añadir en el área de Acceder a ruta y, a continuación, introduzca las rutas del siguiente modo: • Si desea enrutar todo el tráfico desde los satélites a través del túnel, deje este campo en blanco. • Para enrutar únicamente parte del tráfico a través de la puerta de enlace (lo que se denomina túneles divididos), especifique las subredes de destino que deberán tunelizarse. En este caso, el satélite enrutará el tráfico no destinado a una ruta de acceso especificada mediante su propia tabla de rutas. Por ejemplo, puede decidir tunelizar únicamente el tráfico destinado a su red corporativa y utilizar el satélite local para permitir el acceso a Internet de forma segura. • Si desea habilitar el enrutamiento entre satélites, introduzca la ruta de resumen para la red protegida por cada satélite.
436
VPN a gran escala
VPN a gran escala (LSVPN)
Configuración de puertas de enlace de GlobalProtect para LSVPN
Configuración de la puerta de enlace para LSVPN (Continuación)
Paso 8
(Opcional) Defina qué rutas, si las hubiera, aceptará la puerta de enlace de los satélites. De manera predeterminada, la puerta de enlace no añadirá ninguna ruta que los satélites anuncien en su tabla de rutas. Si no desea que la puerta de enlace acepte rutas de puertas de enlace, no necesita realizar este paso.
Paso 9
Guarde la configuración de puerta de enlace.
VPN a gran escala
1.
Para habilitar la puerta de enlace para que acepte rutas anunciadas por satélites, seleccione Configuración Satélite > Filtro de ruta.
2.
Seleccione la casilla de verificación Aceptar rutas publicadas.
3.
Para filtrar cuáles de las rutas anunciadas por los satélites deben añadirse a la tabla de rutas de la puerta de enlace, haga clic en Añadir y, a continuación, defina las subredes que hay que incluir. Por ejemplo, si todos los satélites están configurados con la subred 192.168.x.0/24 en el extremo de la LAN, configurando una ruta permitida de 192.168.0.0/16 para habilitar la puerta de enlace con el fin de que solamente acepte rutas del satélite si está en la subred 192.168.0.0/16.
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo de la puerta de enlace de GlobalProtect.
2.
Compile la configuración.
437
Configuración del portal de GlobalProtect para LSVPN
VPN a gran escala (LSVPN)
Configuración del portal de GlobalProtect para LSVPN El portal de GlobalProtect proporciona las funciones de gestión para su LSVPN de GlobalProtect. Todos los sistemas satélite que participan en la LSVPN reciben información de configuración desde el portal, incluida información sobre las puertas de enlace disponibles, así como el certificados que necesitan para conectarse a las puertas de enlace. Las siguientes secciones describen los procedimientos para configurar el portal:
Tareas previamente necesarias
Configuración del portal
Definición de las configuraciones de satélites
Tareas previamente necesarias Antes de poder configurar el portal de GlobalProtect, debe haber realizado las tareas siguientes:
Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal. Consulte Creación de interfaces y zonas para la LSVPN.
Emitir el certificado de servidor del portal y certificados de servidor de la puerta de enlace, así como configurar el portal para emitir certificados de servidor para los satélites. Consulte Habilitación de SSL entre componentes de LSVPN de GlobalProtect.
Definir el perfil de autenticación que se utilizará para autenticar satélites de GlobalProtect en el caso de que el número de serie no esté disponible. Consulte Configuración del portal para autenticar satélites.
Configurar las puertas de enlace de GlobalProtect Consulte Configuración de puertas de enlace de GlobalProtect para LSVPN.
438
VPN a gran escala
VPN a gran escala (LSVPN)
Configuración del portal de GlobalProtect para LSVPN
Configuración del portal Una vez completadas las Tareas previamente necesarias, configure el portal de GlobalProtect del siguiente modo: Configuración del portal para LSVPN
Paso 1
Paso 2
Añada el portal.
1.
Seleccione Red > GlobalProtect > Portales y haga clic en Añadir.
2.
En la pestaña Configuración portal, introduzca un Nombre para el portal. El nombre del portal no debe contener espacios.
3.
(Opcional) Seleccione el sistema virtual al que pertenece este portal en el campo Ubicación.
1. Especifique la información de red que permita a los satélites conectarse al portal.
Seleccione la Interfaz que utilizarán los satélites para acceder al portal.
Si aún no ha creado la interfaz de red para 2. el portal, consulte las instrucciones de Creación de interfaces y zonas para la 3. LSVPN. Si aún no ha creado un certificado de servidor para la puerta de enlace ni emitido certificados de puerta de enlace, consulte Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect.
Seleccione la Dirección IP para que los satélites accedan al portal. Seleccione el Certificado de servidor que generó para habilitar el satélite con el fin de que establezca una conexión SSL con el portal.
• Seleccione el Perfil de autenticación que definió para autenticar satélites.
Paso 3
Especifique un perfil de autenticación para autenticar dispositivos satélite.
Nota
Aunque tenga la intención de configurar • Si no ha configurado aún el perfil de autenticación, seleccione manualmente el portal con los números Nuevo perfil de autenticación para crear uno ahora. Consulte de serie de los satélites, debe definir un Configuración del portal para autenticar satélites para obtener perfil de autenticación o no podrá guardar instrucciones. Si el portal no puede validar el número de serie de la configuración. un satélite que se esté conectando, retrocederá al perfil de autenticación y, por lo tanto, deberá configurar un perfil de autenticación para guardar la configuración del portal.
Paso 4
Siga definiendo las configuraciones que Haga clic en ACEPTAR para guardar la configuración de portal o vaya deben enviarse a los satélites o, si ya ha a Definición de las configuraciones de satélites. creado las configuraciones de los satélites, guarde la configuración del portal.
VPN a gran escala
439
Configuración del portal de GlobalProtect para LSVPN
VPN a gran escala (LSVPN)
Definición de las configuraciones de satélites Cuando un satélite de GlobalProtect se conecta y autentica correctamente en el portal de GlobalProtect, el portal proporciona una configuración de satélite, que especifica a qué puertas de enlace puede conectarse el satélite. Si todos sus satélites van a utilizar las mismas configuraciones de puerta de enlace y certificado, puede crear una única configuración de satélite para proporcionarla a todos los satélites tras una autenticación correcta. Sin embargo, si requiere diferentes configuraciones de satélites (por ejemplo, si desea que un grupo de satélites se conecte a una puerta de enlace y otro grupo de satélite se conecte a una puerta de enlace diferente), puede crear una configuración de satélite separada para cada uno. El portal utilizará entonces el nombre de usuario/nombre de grupo de inscripción o el número de serie del dispositivo satélite para determinar qué configuración de satélite debe implementarse. Como con la evaluación de reglas de seguridad, el portal busca una coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia, proporciona la configuración correspondiente al satélite. Por ejemplo, la siguiente ilustración muestra una red en la que determinadas sucursales requieren un acceso de tipo VPN a las aplicaciones corporativas protegidas por sus cortafuegos de perímetro y otra ubicación necesita un acceso de tipo VPN al centro de datos.
Utilice el siguiente procedimiento para crear una o más configuraciones de satélites.
440
VPN a gran escala
VPN a gran escala (LSVPN)
Configuración del portal de GlobalProtect para LSVPN
Creación de una configuración de satélite de GlobalProtect
Paso 1
Especifique los certificados necesarios para 1. habilitar satélites con el fin de que participen en la LSVPN.
Seleccione Red > GlobalProtect > Portales y seleccione la configuración de portal para la que quiera añadir una configuración de satélite y, a continuación, seleccione la pestaña Configuración Satélite.
2.
En el campo CA raíz de confianza, haga clic en Añadir y, a continuación, seleccione el certificado de CA utilizado para emitir los certificados de servidor de la puerta de enlace. El portal implementará los certificados de CA raíz que añada aquí a todos los satélites como parte de la configuración para habilitar el satélite con el fin de que pueda establecer una conexión SSL con las puertas de enlace. Se recomienda usar el mismo emisor para todas las puertas de enlace.
Nota
3.
Paso 2
Añada una configuración de satélite.
Si el certificado de CA raíz utilizado para emitir sus certificados de servidor de la puerta de enlace no está en el portal, haga clic en Importar para importarlo ahora. Consulte Habilitación de SSL entre componentes de LSVPN de GlobalProtect para obtener información detallada sobre cómo importar un certificado de CA raíz.
Seleccione el certificado de CA raíz que el portal utilizará para emitir certificados para satélites tras autenticarlos correctamente desde el menú desplegable Emisor del certificado. Si todavía no ha importado un certificado de firma ni generado un certificado de CA raíz autofirmado, consulte Habilitación de SSL entre componentes de LSVPN de GlobalProtect para obtener información detallada.
En la sección Configuración Satélite, haga clic en Añadir e introduzca un Nombre para la configuración.
La configuración de satélite especifica los ajustes de configuración de LSVPN de GlobalProtect Si pretende crear múltiples configuraciones, asegúrese de que el que deberán implementarse en los satélites que nombre que defina para cada una sea suficientemente descriptivo para distinguirlas. se conecten. Debe definir al menos una configuración de satélite.
VPN a gran escala
441
Configuración del portal de GlobalProtect para LSVPN
VPN a gran escala (LSVPN)
Creación de una configuración de satélite de GlobalProtect (Continuación)
Paso 3
Especifique en qué satélites desea implementar Especifique los criterios de coincidencia para la configuración de satélite de la manera siguiente: esta configuración. Hay dos formas de especificar qué satélites recibirán la • Para restringir esta configuración a dispositivos satélite con configuración: por nombre de usuario/grupo números de serie específicos, seleccione la pestaña Dispositivos, de inscripción y/o mediante el número de serie haga clic en Añadir e introduzca un número de serie (no necesita de los dispositivos satélite. introducir el nombre de host de satélite; se añadirá automáticamente cuando el satélite se conecte). Repita este paso El portal utiliza los ajustes Usuario de para cada satélite que quiera que reciba esta configuración. inscripción/Grupo de usuarios y/o los números de serie de Dispositivos para hacer • Seleccione la pestaña Usuario de inscripción/Grupo de coincidir un satélite con una configuración. Por usuarios, haga clic en Añadir y, a continuación, seleccione el lo tanto, si tiene múltiples configuraciones, usuario o grupo que quiera que reciba esta configuración. Los asegúrese de ordenarlas correctamente. En satélites que no coinciden en el número de serie deberán cuanto el portal encuentre una coincidencia, autenticarse como un usuario especificado aquí (bien como un distribuirá la configuración. Así, las usuario individual, bien como un miembro de grupo). configuraciones más específicas deberán preceder a las más generales. Consulte el Paso 6 Nota Antes de poder restringir la configuración a grupos específicos, debe asignar a los usuarios a grupos, como se las instrucciones sobre cómo ordenar la lista de describe en Asignación de usuarios a grupos. configuraciones de satélites.
Paso 4
Nota
Paso 5
Especifique las puertas de enlace con las que los 1. satélites con esta configuración podrán 2. establecer túneles de VPN. Las rutas publicadas por la puerta de enlace se instalan en el satélite como rutas estáticas. La medida para la ruta estática es 10 veces la prioridad de enrutamiento. Si tiene más de una 3. puerta de enlace, asegúrese también de establecer la prioridad de enrutamiento para garantizar que las rutas anunciadas por puertas de enlace de reserva tienen medidas más altas en comparación con las mismas rutas anunciadas 4. por puertas de enlace principales. Por ejemplo, si establece la prioridad de enrutamiento para la puerta de enlace principal y la puerta de enlace de reserva como 1 y 10 respectivamente, el satélite utilizará 10 como medida para la puerta de enlace principal y 100 como medida para la puerta de enlace de reserva. Guarde la configuración de satélite.
En la pestaña Puertas de enlace, haga clic en Añadir. Introduzca un Nombre descriptivo para la puerta de enlace. El nombre que introduzca aquí debería coincidir con el nombre que definió al configurar la puerta de enlace y debería ser lo suficientemente descriptivo para identificar la ubicación de la puerta de enlace. Introduzca el FQDN o la dirección IP de la interfaz donde está configurada la puerta de enlace en el campo Puertas de enlace. La dirección que especifique debe coincidir exactamente con el nombre común (CN) en el certificado del servidor de la puerta de enlace. (Opcional) Si está añadiendo dos o más puertas de enlace a la configuración, la Prioridad del enrutador ayuda al satélite a seleccionar la puerta de enlace preferida. Introduzca un valor de entre 1 y 25; cuanto menor sea el número, mayor será la prioridad (es decir, la puerta de enlace a la que se conectará el satélite si todas las puertas de enlace están disponibles). El satélite multiplicará la prioridad de enrutamiento por 10 para determinar la medida de enrutamiento.
1.
Haga clic en ACEPTAR para guardar la configuración de satélite.
2.
Si quiere añadir otra configuración de satélite, repita del Paso 2 al Paso 5.
Paso 6
Prepare las configuraciones de satélites para que • Para subir una configuración de satélite en la lista de se implemente la configuración correcta en cada configuraciones, selecciónela y haga clic en Mover hacia arriba. satélite. • Para bajar una configuración de satélite en la lista de configuraciones, selecciónela y haga clic en Mover hacia abajo.
Paso 7
Guarde la configuración del portal.
442
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo Portal de GlobalProtect.
2.
Compile sus cambios.
VPN a gran escala
VPN a gran escala (LSVPN)
Preparación del dispositivo satélite para unirse a la LSVPN
Preparación del dispositivo satélite para unirse a la LSVPN Para participar en la LSVPN, los dispositivos satélite necesitan una cantidad mínima de configuración. Ya que la configuración exigida es mínima, puede preconfigurar los dispositivos antes de enviarlos a sus sucursales para su instalación. Preparación del dispositivo satélite para unirse a la LSVPN de GlobalProtect
Paso 1
Configure una interfaz de capa 3.
Paso 2
Configure la interfaz de túnel lógica para 1. el túnel que deberá utilizarse para 2. establecer túneles de VPN con las puertas de enlace de GlobalProtect. 3. No se requieren direcciones IP en la interfaz de túnel a menos que tenga la intención de utilizar el enrutamiento dinámico. Sin embargo, asignar una dirección IP a la interfaz de túnel puede 4. resultar útil para solucionar problemas de conexión. 5.
Nota
Esta es la interfaz física que el satélite utilizará para conectarse al portal y la puerta de enlace. Esta interfaz debe estar en una zona que permita el acceso fuera de la red fiable local. La práctica recomendada es crear una zona específica para conexiones de VPN con el fin de lograr visibilidad y control sobre el tráfico destinado a las puertas de enlace corporativas.
6.
VPN a gran escala
Seleccione Red > Interfaces > Túnel y haga clic en Añadir. En el campo Nombre de interfaz, especifique un sufijo numérico, como .2. En la pestaña Configuración, amplíe el menú desplegable Zona de seguridad y seleccione una zona existente o cree una zona separada para el tráfico de túnel de VPN haciendo clic en Nueva zona y definiendo un Nombre para la nueva zona (por ejemplo, lsvpnsat). En el menú desplegable Enrutador virtual, seleccione predeterminado. (Opcional) Si quiere asignar una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo: 2.2.2.11/24. Para guardar la configuración de la interfaz, haga clic en Aceptar.
443
Preparación del dispositivo satélite para unirse a la LSVPN
VPN a gran escala (LSVPN)
Preparación del dispositivo satélite para unirse a la LSVPN de GlobalProtect (Continuación)
Paso 3
1. Si generó el certificado de servidor del portal mediante una CA raíz que no es de confianza para los satélites (por ejemplo, si utilizó certificados autofirmados), importe el certificado de CA raíz utilizado para emitir el certificado de servidor del portal. El certificado de CA raíz es obligatorio para habilitar el dispositivo satélite con el fin de que establezca la conexión inicial con el portal para obtener la configuración de LSVPN.
Descargue el certificado de CA que se utilizó para generar los certificados de servidor del portal. Si está utilizando certificados autofirmados, exporte el certificado de CA raíz desde el portal de la manera siguiente: a. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. b. Seleccione el certificado de CA y haga clic en Exportar. c. Seleccione Certificado codificado en Base64 (PEM) en la lista desplegable Formato de archivo y haga clic en ACEPTAR para descargar el certificado. (No necesita exportar la clave privada.)
2.
Importe el certificado de CA raíz que acaba de exportar en cada satélite de la manera siguiente. a. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y haga clic en Importar. b. Introduzca un Nombre de certificado que identifique al certificado como su certificado de CA de cliente. c. Seleccione Examinar para desplazarse al Archivo del certificado que descargó de la CA. d. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y, a continuación, haga clic en Aceptar. e. Seleccione el certificado que acaba de importar en la pestaña Certificados de dispositivos para abrirlo. f. Seleccione CA raíz de confianza y, a continuación, haga clic en Aceptar.
Paso 4
444
Realice la configuración de túnel de IPSec. 1.
Seleccione Red > Túneles de IPSec y haga clic en Añadir.
2.
En la pestaña General, introduzca un Nombre para la configuración de IPSec.
3.
Seleccione la Interfaz de túnel que creó para el satélite.
4.
Seleccione Satélite de GlobalProtect como el Tipo.
5.
Introduzca la dirección IP o el FQDN del portal como la Dirección IP del portal.
6.
Seleccione la Interfaz de capa 3 que configuró para el satélite.
7.
Seleccione la Dirección IP local que debe utilizarse en la interfaz seleccionada.
VPN a gran escala
VPN a gran escala (LSVPN)
Preparación del dispositivo satélite para unirse a la LSVPN
Preparación del dispositivo satélite para unirse a la LSVPN de GlobalProtect (Continuación)
Paso 5
Paso 6
Paso 7
1.
Para permitir que el satélite envíe rutas a la puerta de enlace, en la pestaña Avanzado, seleccione Publicar todas las rutas estáticas y conectadas a la puerta de enlace.
Enviar rutas a la puerta de enlace permite 2. el tráfico de las subredes locales al satélite a través de la puerta de enlace. Sin embargo, la puerta de enlace también debe configurarse para aceptar las rutas.
(Opcional) Si solamente desea enviar rutas para subredes específicas en lugar de a todas las rutas, haga clic en Añadir en la sección Subred y especifique qué rutas de subredes deben publicarse.
Guarde la configuración de satélite.
1.
Haga clic en ACEPTAR para guardar la configuración de túneles de IPSec.
2.
Haga clic en Confirmar.
(Opcional) Configure el satélite para publicar rutas locales en la puerta de enlace.
Si se le pide, proporcione las credenciales 1. para permitir que el satélite se autentique en el portal.
Seleccione Red > Túneles de IPSec y haga clic en el enlace IP de puerta de enlace en la columna Estado de la configuración de túnel que creó para la LSVPN.
Este paso solamente es obligatorio si el 2. portal no ha podido encontrar un número de serie coincidente en su configuración o si el número de serie no ha funcionado. En este caso, el satélite no podrá establecer el túnel con las puertas de enlace.
Haga clic en el enlace introducir credenciales del campo Estado del portal e introduzca el nombre de usuario y la
VPN a gran escala
contraseña necesarios para autenticar el satélite en el portal. Después de que el satélite se autentique correctamente en el portal, recibirá su certificado firmado y su configuración, que deberá utilizar para conectarse a las puertas de enlace. Debería ver cómo se establece el túnel y cómo cambia el Estado a Activo.
445
Verificación de la configuración de LSVPN
VPN a gran escala (LSVPN)
Verificación de la configuración de LSVPN Después de configurar el portal, las puertas de enlace y los dispositivos satélite, verifique que los satélites pueden conectarse al portal y la puerta de enlace y establecer túneles de VPN con las puertas de enlace. Verificación de la configuración de LSVPN
Paso 1
Verifique la conectividad del satélite con el portal.
Desde el cortafuegos que aloje el portal, verifique que los satélites se estén conectando correctamente seleccionando Red > GlobalProtect > Portales y haciendo clic en Información de satélite en la columna Información de la entrada de configuración del portal.
Paso 1
Verifique la conectividad del satélite con las puertas de enlace.
En cada cortafuegos que aloje una puerta de enlace, verifique que los satélites pueden establecer túneles de VPN seleccionando Red > GlobalProtect > Puertas de enlace y haciendo clic en Información de satélite en la columna Información de la entrada de configuración de la puerta de enlace. Los satélites que hayan establecido túneles correctamente con la puerta de enlace aparecerán en la pestaña Activar satélites.
Paso 1
Verifique el estado del túnel de LSVPN en el satélite.
En cada cortafuegos que aloje un satélite, verifique el estado del túnel seleccionando Red > Túneles de IPSec y verifique que tiene un estado activo, lo cual está indicado por un icono verde.
446
VPN a gran escala
VPN a gran escala (LSVPN)
Configuraciones rápidas de LSVPN
Configuraciones rápidas de LSVPN Las siguientes secciones proporcionan instrucciones detalladas para configurar algunas implementaciones comunes de LSVPN de GlobalProtect:
Configuración básica de LSVPN con rutas estáticas
Configuración avanzada de LSVPN con enrutamiento dinámico
VPN a gran escala
447
Configuración básica de LSVPN con rutas estáticas
VPN a gran escala (LSVPN)
Configuración básica de LSVPN con rutas estáticas Esta configuración rápida muestra la forma más rápida de empezar a utilizar la LSVPN. En este ejemplo, un único cortafuegos de la ubicación de la sede de la empresa se configura como portal y como puerta de enlace. Los dispositivos satélite pueden implementarse rápida y fácilmente con una configuración mínima para una escalabilidad optimizada.
El siguiente flujo de trabajo muestra los pasos para establecer esta configuración básica: Configuración rápida: básica de LSVPN con rutas estáticas
Paso 1
Configure una interfaz de capa 3.
En este ejemplo, la interfaz de capa 3 del portal/puerta de enlace requiere la siguiente configuración: • Interfaz: ethernet1/11 • Zona de seguridad: lsvpn-unt • IPv4: 203.0.113.11/24
Paso 2
En los cortafuegos donde se alojen puertas de enlace de GlobalProtect, configure la interfaz de túnel lógica que finalizará los túneles de VPN establecidos por los satélites de GlobalProtect.
En este ejemplo, la interfaz de túnel del portal/puerta de enlace requiere la siguiente configuración: • Interfaz: túnel.1 • Zona de seguridad: lsvpn-tun
Nota
Para permitir la visibilidad de los usuarios y grupos que se conecten a través de la VPN, habilite User-ID en la zona donde finalicen los túneles de VPN.
Paso 3
Cree la regla de política de seguridad para habilitar el flujo de tráfico entre la zona de la VPN donde finaliza el túnel (lsvpn-tun) y la zona fiable donde residen las aplicaciones corporativas (L3-Trust).
448
VPN a gran escala
VPN a gran escala (LSVPN)
Configuración básica de LSVPN con rutas estáticas
Configuración rápida: básica de LSVPN con rutas estáticas (Continuación)
Paso 4
Emita un certificado de servidor autofirmado para el portal/puerta de enlace. El nombre de asunto del certificado debe coincidir con el FQDN o la dirección IP de la interfaz de capa 3 que cree para el portal/puerta de enlace.
1.
En el cortafuegos que aloja el portal, cree el certificado de CA raíz para la emisión de certificados autofirmados para los componentes de GlobalProtect. En este ejemplo, el certificado de CA raíz, lsvpn-CA, se utilizará para emitir el certificado de servidor para el portal/puerta de enlace. Además, el portal utilizará este certificado de CA raíz para firmar las CSR de los dispositivos satélite.
2.
Genere certificados de servidor para el portal y las puertas de enlace de GlobalProtect. Como el portal y la puerta de enlace estarán en la misma interfaz en este ejemplo, pueden compartir un certificado de servidor. En este ejemplo, el certificado de servidor se denomina lsvpnserver.
Paso 5
Cree un perfil de certificado.
Paso 6
Configure un perfil de autenticación para 1. que lo utilice el portal si el número de 2. serie del satélite no está disponible.
Paso 7
En este ejemplo, el perfil del certificado, lsvpn-profile, hace referencia al certificado de CA raíz lsvpn-CA. La puerta de enlace utilizará este perfil de certificado para autenticar satélites que intenten establecer túneles de VPN. Cree un perfil de servidor en el portal. Cree un perfil de autenticación. En este ejemplo, el perfil lsvpn-sat se utiliza para autenticar satélites.
Configuración de la puerta de enlace para Seleccione Red > GlobalProtect > Puertas de enlace y haga clic en LSVPN. Añadir para añadir una configuración. Este ejemplo requiere la siguiente configuración de puerta de enlace: • Interfaz: ethernet1/11 • Dirección IP: 203.0.113.11/24 • Certificado de servidor: lsvpnserver • Perfil del certificado: lsvpn-profile • Interfaz de túnel: túnel.1 • DNS principal/DNS secundario: 4.2.2.1/4.2.2.2 • Grupo de IP: 2.2.2.111-2.2.2.120 • Acceder a ruta: 10.2.10.0/24
Paso 8
Configuración del portal para LSVPN.
Seleccione Red > GlobalProtect > Portales y haga clic en Añadir para añadir una configuración. Este ejemplo requiere la siguiente configuración de portal: • Interfaz: ethernet1/11 • Dirección IP: 203.0.113.11/24 • Certificado de servidor: lsvpnserver • Perfil de autenticación: lsvpn-sat
VPN a gran escala
449
Configuración básica de LSVPN con rutas estáticas
VPN a gran escala (LSVPN)
Configuración rápida: básica de LSVPN con rutas estáticas (Continuación)
Paso 9
Creación de una configuración de satélite En la pestaña Configuración Satélite de la configuración del portal, de GlobalProtect. haga clic en Añadir para añadir una configuración de satélite y una CA raíz de confianza y especifique la CA que utilizará el portal para emitir certificados para los satélites. En este ejemplo, los ajustes obligatorios son los siguientes: • Puerta de enlace: 203.0.113.11 • Emisor del certificado: lsvpn-CA • CA raíz de confianza: lsvpn-CA
Paso 10 Preparación del dispositivo satélite para unirse a la LSVPN.
La configuración de satélite de este ejemplo requiere los siguientes ajustes: Configuración de interfaz
• Interfaz de capa 3: ethernet1/1, 203.0.113.13/24 • Interfaz de túnel: túnel.2 • Zona: lsvpnsat Certificado de CA raíz del portal
• lsvpn-CA Configuración de túnel de IPSec
• Interfaz de túnel: túnel.2 • Dirección IP del portal: 203.0.113.11 • Interfaz: ethernet1/1 • Dirección IP local: 203.0.113.13/24 • Publicar todas las rutas estáticas y conectadas a puerta de enlace: habilitado
450
VPN a gran escala
VPN a gran escala (LSVPN)
Configuración avanzada de LSVPN con enrutamiento dinámico
Configuración avanzada de LSVPN con enrutamiento dinámico En implementaciones de LSVPN de mayor tamaño con varias puertas de enlace y varios satélites, invertir algo más de tiempo en la configuración inicial para establecer el enrutamiento dinámico simplificará el mantenimiento de las configuraciones de puertas de enlace, ya que las rutas de acceso se actualizarán dinámicamente. La siguiente configuración de ejemplo muestra cómo ampliar la configuración básica de LSVPN para configurar OSPF como el protocolo de enrutamiento dinámico. El establecimiento de una LSVPN para utilizar OSPF para el enrutamiento dinámico requiere los siguientes pasos adicionales en las puertas de enlace y los satélites:
Asignación manual de direcciones IP a interfaces de túnel en todas las puertas de enlace y todos los satélites.
Configuración de OSPF de punto a multipunto (P2MP) en el enrutador virtual en todas las puertas de enlace y todos los satélites. Además, como parte de la configuración de OSPF de cada puerta de enlace, debe definir manualmente la dirección IP de túnel de cada satélite como un vecino OSPF. Del mismo modo, en cada satélite, debe definir manualmente la dirección IP de túnel de cada puerta de enlace como un vecino OSPF.
Aunque el enrutamiento dinámico requiere una configuración adicional durante la configuración inicial de la LSVPN, reduce las tareas de mantenimiento asociadas a la actualización de las rutas a medida que se producen cambios de topología en su red. La siguiente ilustración muestra una configuración de enrutamiento dinámico de LSVPN. Este ejemplo muestra cómo configurar OSPF como el protocolo de enrutamiento dinámico para la VPN.
Para realizar una configuración básica de una LSVPN, siga los pasos de Configuración básica de LSVPN con rutas estáticas. A continuación, podrá realizar los pasos del siguiente flujo de trabajo para ampliar la configuración con el fin de utilizar el enrutamiento dinámico en lugar de rutas estáticas.
VPN a gran escala
451
Configuración avanzada de LSVPN con enrutamiento dinámico
VPN a gran escala (LSVPN)
Configuración rápida: LSVPN con enrutamiento dinámico
Paso 1
Añada una dirección IP a la configuración de interfaz de túnel en cada puerta de enlace y cada satélite. Importante:
Realice los siguientes pasos en cada puerta de enlace y cada satélite: 1. Seleccione Red > Interfaces > Túnel y seleccione la configuración de túnel que creó para la LSVPN para abrir el cuadro de diálogo Interfaz de túnel.
Las direcciones IP que asigne a las interfaces de túnel de satélite deben estar en subredes separadas de las direcciones 2. IP que asigne a las interfaces de túnel de puerta de enlace. Además, las direcciones IP que asigne a satélites no deben solaparse con el grupo de IP designado 3. definido en la configuración de puerta de enlace o los dispositivos no podrán establecer adyacencias. Paso 2
452
Configure el protocolo de enrutamiento dinámico en la puerta de enlace.
Si todavía no ha creado la interfaz de túnel, consulte el Paso 2 en Configuración rápida: básica de LSVPN con rutas estáticas. En la pestaña IPv4, haga clic en Añadir y, a continuación, introduzca una dirección IP y una máscara de subred. Por ejemplo, para añadir una dirección IP para la interfaz de túnel de puerta de enlace, debería introducir 2.2.2.100/24. Haga clic en ACEPTAR para guardar la configuración.
Para configurar OSPF en la puerta de enlace: 1. Seleccione Red > Enrutadores virtuales y seleccione el enrutador virtual asociado a sus interfaces de VPN. 2.
En la pestaña Áreas, haga clic en Añadir para crear el área troncal, o bien, si ya está configurada, haga clic en el ID de área para editarlo.
3.
Si está creando una nueva área, introduzca un ID de área en la pestaña Tipo.
4.
En la pestaña Interfaz, haga clic en Añadir y seleccione la Interfaz de túnel que creó para la LSVPN.
5.
Seleccione p2mp como Tipo de enlace.
6.
Haga clic en Añadir en la sección Vecinos e introduzca la dirección IP de la interfaz de túnel de cada dispositivo satélite, por ejemplo, 2.2.2.111.
7.
Haga clic en ACEPTAR dos veces para guardar la configuración del enrutador virtual y, a continuación, haga clic en Confirmar para confirmar los cambios en la puerta de enlace.
8.
Repita este paso cada vez que añada un nuevo satélite a la LSVPN.
VPN a gran escala
VPN a gran escala (LSVPN)
Configuración avanzada de LSVPN con enrutamiento dinámico
Configuración rápida: LSVPN con enrutamiento dinámico (Continuación)
Paso 3
Configure el protocolo de enrutamiento dinámico en el satélite.
VPN a gran escala
Para configurar OSPF en el satélite: 1. Seleccione Red > Enrutadores virtuales y seleccione el enrutador virtual asociado a sus interfaces de VPN. 2.
En la pestaña Áreas, haga clic en Añadir para crear el área troncal, o bien, si ya está configurada, haga clic en el ID de área para editarlo.
3.
Si está creando una nueva área, introduzca un ID de área en la pestaña Tipo.
4.
En la pestaña Interfaz, haga clic en Añadir y seleccione la Interfaz de túnel que creó para la LSVPN.
5.
Seleccione p2mp como Tipo de enlace.
6.
Haga clic en Añadir en la sección Vecinos e introduzca la dirección IP de la interfaz de túnel de cada puerta de enlace de GlobalProtect, por ejemplo, 2.2.2.100.
7.
Haga clic en ACEPTAR dos veces para guardar la configuración del enrutador virtual y, a continuación, haga clic en Confirmar para confirmar los cambios en la puerta de enlace.
8.
Repita este paso cada vez que añada una nueva puerta de enlace.
453
Configuración avanzada de LSVPN con enrutamiento dinámico
VPN a gran escala (LSVPN)
Configuración rápida: LSVPN con enrutamiento dinámico (Continuación)
Paso 4
Verifique que las puertas de enlace y los satélites pueden formar adyacencias de enrutador. • En cada satélite y cada puerta de enlace, confirme que se han formado adyacencias de peer y que se han creado entradas de tabla de rutas para los peers (es decir, que los satélites tienen rutas hacia las puertas de enlace y las puertas de enlace tienen rutas hacia los satélites). Seleccione Red > Enrutador virtual y haga clic en el enlace Más estadísticas de tiempo de ejecución para el enrutador virtual que esté utilizando para la LSVPN. En la pestaña Enrutamiento, verifique que el peer de la LSVPN tiene una ruta.
• En la pestaña OSPF > Interfaz, verifique que el Tipo es p2mp.
• En la pestaña OSPF > Vecino, verifique que los cortafuegos que alojan a sus puertas de enlace han establecido adyacencias de enrutador con los cortafuegos que alojan a sus satélites y viceversa. Verifique también que el Estado es Completo, lo que indica que se han establecido adyacencias completas.
454
VPN a gran escala
Redes Todos los cortafuegos de próxima generación de Palo Alto Networks proporcionan una arquitectura de red flexible que incluye la compatibilidad con el enrutamiento dinámico, la conmutación y la conectividad de VPN, lo que le permite implementar el cortafuegos en prácticamente cualquier entorno de red. Al configurar los puertos Ethernet en su cortafuegos, podrá elegir entre una implementación de interfaz de cable virtual, capa 2 o capa 3. Además, para permitirle integrar una variedad de segmentos de red, podrá configurar diferentes tipos de interfaces en diferentes puertos. Las secciones siguientes ofrecen información básica sobre cada tipo de implementación. Si desea información de implementación más detallada, consulte Designing Networks with Palo Alto Networks cortafuegos (en inglés); si desea información sobre la distribución de rutas, consulte Understanding Route Redistribution and Filtering (en inglés). Los siguientes temas describen cómo integrar cortafuegos de próxima generación de Palo Alto Networks en su red.
Implementaciones de cortafuegos
Configuración de un enrutador virtual
Configuración de rutas estáticas
Configuración de RIP
Configuración de OSPF
Configuración de BGP
Integración en la red
455
Implementaciones de cortafuegos
Redes
Implementaciones de cortafuegos
Implementaciones de cable virtual
Implementaciones de capa 2
Implementaciones de capa 3
Implementaciones de modo tap
Implementaciones de cable virtual En una implementación de Virtual Wire, el cortafuegos se instala de manera transparente en un segmento de red uniendo dos puertos y únicamente debería utilizarse cuando no se necesite conmutación o enrutamiento. Una implementación de Virtual Wire permite las siguientes mejoras:
Simplifica la instalación y la configuración.
No requiere ningún cambio de configuración en los dispositivos de red adyacentes o que se encuentren alrededor.
El “default-vwire” que se entrega como configuración predeterminada de fábrica, conecta los puertos Ethernet 1 y 2 y permite todo el tráfico sin etiquetar. No obstante, puede utilizar un Virtual Wire para conectar dos puertos cualquiera y configurarlo para que bloquee o permita el tráfico basándose en las etiquetas de la LAN virtual (VLAN); la etiqueta “0” de la VLAN indica el tráfico sin etiquetar. También puede crear varias subinterfaces, añadirlas a diferentes zonas y, a continuación, clasificar el tráfico de acuerdo con una etiqueta de la VLAN, o una combinación de una etiqueta de la VLAN con clasificadores IP (dirección, intervalo o subred) para aplicar un control detallado de las políticas para etiquetas específicas de la VLAN o para etiquetas de la VLAN de una dirección IP de origen, intervalo o subred en concreto. Ilustración: Implementación de cable virtual
No se ha realizado enrutamiento ni cambio
Red de usuario
Internet
Subinterfaces de Virtual Wire Las subinterfaces de Virtual Wire ofrecen flexibilidad a la hora de aplicar distintas políticas cuando necesita gestionar el tráfico de varias redes de clientes. Le permite separar y clasificar el tráfico en diferentes zonas (las zonas pueden pertenecer a sistemas virtuales separados, si es necesario) utilizando los siguientes criterios:
456
Integración en la red
Redes
Implementaciones de cortafuegos
Etiquetas de la VLAN: El ejemplo de Ilustración: Implementación de Virtual Wire con subinterfaces (únicamente etiquetas de la VLAN) muestra un proveedor de servicios de Internet (ISP) utilizando subinterfaces de Virtual Wire con etiquetas de la VLAN para separar el tráfico para dos clientes diferentes.
Etiquetas de la VLAN junto con clasificadores IP (dirección, intervalo o subred): El siguiente ejemplo muestra un proveedor de servicios de Internet (ISP) con dos sistemas virtuales separados en un cortafuegos que gestiona el tráfico de dos clientes diferentes. En cada sistema virtual, el ejemplo ilustra cómo se utilizan las subinterfaces de Virtual Wire con etiquetas de la VLAN y clasificadores IP para clasificar el tráfico en zonas separadas y aplicar la política relevante para los clientes de cada red.
Flujo de trabajo de subinterfaces de Virtual Wire
Paso 1
Configure dos interfaces Ethernet con el tipo Virtual Wire y asigne estas interfaces a un Virtual Wire.
Paso 2
Cree subinterfaces en el Virtual Wire principal para separar el tráfico del cliente A del cliente B. Asegúrese de que las etiquetas de la VLAN definidas en cada par de subinterfaces configuradas como Virtual Wire sean idénticas. Esto es esencial, porque un Virtual Wire no conmuta etiquetas de la VLAN.
Paso 3
Cree nuevas subinterfaces y defina clasificadores IP. Esta tarea es opcional y solamente es necesaria si desea añadir subinterfaces adicionales con clasificadores IP para gestionar aun más el tráfico de un cliente basándose en la combinación de etiquetas de la VLAN y una dirección IP de origen, intervalo o subred en concreto. También puede utilizar clasificadores IP para gestionar el tráfico sin etiquetar. Para ello, debe crear una subinterfaz con la etiqueta “0” de la VLAN y definir subinterfaces con clasificadores IP para gestionar el tráfico sin etiquetar mediante clasificadores IP.
La clasificación de IP solamente puede utilizarse en las subinterfaces asociadas con un lado del Virtual Wire. Las subinterfaces definidas en el lado correspondiente del Virtual Wire deben utilizar la misma etiqueta de la VLAN, pero no deben incluir un clasificador IP.
Ilustración: Implementación de Virtual Wire con subinterfaces (únicamente etiquetas de la VLAN) Cable virtual con subinterfaces Etiquetas permitidas: 1-99; 101-199; 201-4094
Cliente A VLAN100
Cable virtual Ethernet 1/1 (entrada)
Cable virtual Ethernet 1/2 (salida) Internet
Cliente B VLAN200
Cliente A en VLAN100 Subinterfaz e1/1.1 Zona 1
Cliente A en VLAN100 Subinterfaz e1/2.1 Zona 2
Cliente B en VLAN200 Subinterfaz e1/1.2 Zona 3
Cliente B en VLAN200 Subinterfaz e1/2.2 Zona 4
Ilustración: Implementación de Virtual Wire con subinterfaces (únicamente etiquetas de la VLAN) muestra al cliente A y al cliente B conectados al cortafuegos mediante una interfaz física, Ethernet 1/1, configurada como Virtual Wire, que es la interfaz de entrada. Una segunda interfaz física, Ethernet 1/2, también forma parte del Virtual Wire y se utiliza como la interfaz de salida que proporciona acceso a Internet. Para el cliente A, también tiene las subinterfaces Ethernet 1/1.1 (entrada) y Ethernet 1/2.1 (salida). Para el cliente B, tiene las subinterfaces
Integración en la red
457
Implementaciones de cortafuegos
Redes
Ethernet 1/1.2 (entrada) y Ethernet 1/2.2 (salida). Cuando configure las subinterfaces, debe asignar la etiqueta de la VLAN y la zona correctas para aplicar las políticas a cada uno de los clientes. En este ejemplo, las políticas del cliente A se crean entre la zona 1 y la zona 2, y las políticas del cliente B se crean entre la zona 3 y la zona 4. Cuando el tráfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete entrante primero deberá coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este ejemplo, una subinterfaz simple coincide con la etiqueta de la VLAN en el paquete entrante, por lo que se seleccionará esa subinterfaz. Las políticas definidas para la zona se evalúan y aplican antes de que el paquete salga de la subinterfaz correspondiente. No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
Ilustración: Implementación de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP) muestra al cliente A y al cliente B conectados a un cortafuegos físico que tiene dos sistemas virtuales (vsys), además del sistema virtual predeterminado (vsys1). Cada sistema virtual es un cortafuegos virtual independiente que se gestiona por separado para cada cliente. Cada vsys tiene adjuntadas interfaces/subinterfaces y zonas de seguridad que se gestionan de manera independiente. Ilustración: Implementación de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP) Subinterfaz e1/1.1 y e1/2.1 etiquetada para VLAN 100 e1/1.1 en la zona 3 y e1/2.1 en la zona 4 Subinterfaz e1/1.2 y e1/2.2 etiquetada para VLAN 100 para la subred IP 192.1.0.0/16 e1/1.2 en la zona 5 y e1/2.2 en la zona 6
VLAN 100 del cliente A
Subinterfaz e1/1.3 de entrada (ingress) y e1/2.3 etiquetada para VLAN 100 para la subred IP 192.2.0.0/16 e1/1.3 en la zona 7 y e1/2.3 en la zona 8
Zona 1 e1/1 Vsys2
VLAN 200 del cliente B
Vsys
1
Zona 2 e1/2
Internet
Vsys3
Subinterfaz e1/1.4 y e1/2.4 etiquetada para VLAN 200 e1/1.1 en la zona 9 y e1/2.1 en la zona 10
Vsys1 está configurado para utilizar las interfaces físicas Ethernet 1/1 y Ethernet 1/2 como Virtual Wire; Ethernet 1/1 es la interfaz de entrada y Ethernet 1/2 es la interfaz de salida que proporciona el acceso a Internet. Este Virtual Wire está configurado para aceptar todo el tráfico etiquetado y sin etiquetar a excepción de las etiquetas 100 y 200 de la VLAN que están asignadas a las subinterfaces. El cliente A se gestiona en vsys2 y el cliente B se gestiona en vsys3. En vsys2 y vsys3, se crean las siguientes subinterfaces de vwire con las etiquetas de la VLAN y las zonas adecuadas para aplicar las medidas incluidas en las políticas.
458
Integración en la red
Redes
Implementaciones de cortafuegos
Cliente
Vsys
Subinterfaces de Vwire
Zona
Etiqueta de la Clasificador IP VLAN
A
2
e1/1.1 (entrada)
Zona 3
100
e1/2.1 (salida)
Zona 4
100
e1/1.2 (entrada)
Zona 5
100
Subred IP
e1/2.2 (salida)
Zona 6
100
192.1.0.0/16
e1/1.3 (entrada)
Zona 7
100
Subred IP
e1/2.3 (salida)
Zona 8
100
192.2.0.0/16
e1/1.4 (entrada)
Zona 9
200
Ninguna
e1/2.4 (salida)
Zona 10
200
2 2
B
3
Ninguna
Cuando el tráfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete entrante primero deberá coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este caso, para el cliente A, hay varias subinterfaces que utilizan la misma etiqueta de la VLAN. De este modo, el cortafuegos primero acota la clasificación a una subinterfaz basándose en la dirección IP de origen del paquete. Las políticas definidas para la zona se evalúan y aplican antes de que el paquete salga de la subinterfaz correspondiente. Para el tráfico de ruta de retorno, el cortafuegos compara la dirección IP de destino del modo definido en el clasificador IP en la subinterfaz del cliente y selecciona el Virtual Wire adecuado para enrutar el tráfico a través de la subinterfaz precisa. No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
Implementaciones de capa 2 En una implementación de capa 2, el cortafuegos permite cambiar entre dos o más redes. Cada grupo de interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos ejecutará el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN común. Seleccione esta opción cuando necesite poder alternar. Ilustración: Implementación de capa 2
Cambio entre dos redes
Red de usuario
Integración en la red
Internet
459
Implementaciones de cortafuegos
Redes
Implementaciones de capa 3 En una implementación de capa 3, el cortafuegos enruta el tráfico entre múltiples puertos. Se debe asignar una dirección IP a cada interfaz y definir un enrutador virtual para enrutar el tráfico. Seleccione esta opción cuando necesite enrutamiento. Ilustración: Implementación de capa 3
Enrutamiento entre dos redes 10.1.2.1/24
10.1.1.1/24
Red de usuario
Internet
Además, dado que el cortafuegos debe enrutar tráfico en una implementación de capa 3, deberá configurar un enrutador virtual. Consulte Configuración de un enrutador virtual.
Compatibilidad con protocolo punto a punto sobre Ethernet Puede configurar el cortafuegos para que sea un punto de finalización del protocolo punto a punto sobre Ethernet (PPPoE) con el fin de permitir la conectividad en un entorno de línea de suscripción digital (DSL) en el que existe un módem DSL, pero ningún otro dispositivo PPPoE que finalice la conexión. Puede seleccionar la opción PPPoE y configurar los parámetros asociados si se define una interfaz como interfaz de capa 3. PPPoE no es compatible en modo HA activo/activo.
Cliente DHCP Puede configurar la interfaz del cortafuegos para que funcione como un cliente DHCP y recibir una dirección IP asignada dinámicamente. El cortafuegos también permite propagar los ajustes recibidos mediante la interfaz del cliente DHCP en un servidor DHCP que funciona mediante cortafuegos. Esta opción se suele utilizar para propagar los ajustes del servidor DNS desde un proveedor de servicios de Internet a las máquinas cliente de la red que están protegidas por el cortafuegos. El cliente DHCP no es compatible en modo HA activo/activo.
460
Integración en la red
Redes
Implementaciones de cortafuegos
Implementaciones de modo tap Un tap de red es un dispositivo que proporciona acceso al flujo de datos de un equipo de la red. La implementación de modo tap permite supervisar de forma pasiva los flujos de datos de una red mediante un conmutador SPAN o un puerto espejo. El puerto SPAN o de espejo permite copiar el tráfico de otros puertos en el conmutador. Al configurar una interfaz del cortafuegos como interfaz de modo tap y conectarla con un puerto SPAN de conmutación, este puerto proporciona al cortafuegos un reflejo del tráfico. De esta forma es posible visualizar la aplicación en la red sin necesidad de estar en el flujo del tráfico de red. En una implementación de modo tap, el cortafuegos no puede realizar ninguna acción como bloquear el tráfico o aplicar controles QoS.
Integración en la red
461
Configuración de un enrutador virtual
Redes
Configuración de un enrutador virtual El cortafuegos utiliza enrutadores virtuales para obtener rutas a otras subredes definiendo manualmente una ruta (rutas estáticas) o mediante la participación en protocolos de enrutamiento de capa 3 (rutas dinámicas). Las mejores rutas obtenidas a través de estos métodos se utilizan para cumplimentar la tabla de rutas IP del cortafuegos. Cuando un paquete esté destinado a una subred diferente, el enrutador virtual obtendrá la mejor ruta a partir de esta tabla de rutas IP y reenviará el paquete al siguiente enrutador de salto definido en la tabla. Las interfaces Ethernet y VLAN definidas en el cortafuegos reciben y reenvían el tráfico de capa 3. La zona de destino se deriva de la interfaz de salida basada en los criterios de reenvío y se consultas las normativas para identificar las políticas de seguridad aplicadas. Además de enrutar a otros dispositivos de red, los enrutadores virtuales pueden enrutar a otros enrutadores virtuales en el mismo cortafuegos si se especifica un siguiente salto que señale a otro enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento dinámico (BGP, OSPF o RIP), así como añadir rutas estáticas. También puede crear varios enrutadores virtuales, cada uno de los cuales mantendrá un conjunto separado de rutas que no se comparten entre enrutadores virtuales, lo que le permitirá configurar diferentes comportamientos de enrutamiento para diferentes interfaces. Todas las interfaces de capa 3, de bucle invertido y VLAN definidas en el cortafuegos se deben asociar con un enrutador virtual. Si bien cada interfaz únicamente puede pertenecer a un enrutador virtual, se pueden configurar varios protocolos de enrutamiento y rutas estáticas para un enrutador virtual. Independientemente de las rutas estáticas y los protocolos de enrutamiento dinámico configurados para un enrutador virtual, es necesario contar con una configuración general común. El cortafuegos utiliza la conmutación de Ethernet para leer otros dispositivos de la misma subred IP. Los siguientes protocolos de enrutamiento de capa 3 son compatibles desde enrutadores virtuales:
RIP
OSPF
OSPFv3
BGP
Definición de una configuración general de enrutador virtual
Paso 1
Paso 2
462
Obtenga la información necesaria de su administrador de red.
• Interfaces que quiere enrutar
Cree el enrutador virtual y asígnele un nombre.
1.
Seleccione Red > Enrutadores virtuales.
2.
Haga clic en Añadir e introduzca un nombre para el enrutador virtual.
3.
Seleccione las interfaces que deben aplicarse al enrutador virtual.
4.
Haga clic en ACEPTAR.
• Distancias administrativas para rutas estáticas, internas de OSFP, externas de OSPF, IBGP, EBGP y RIP
Integración en la red
Redes
Configuración de un enrutador virtual
Definición de una configuración general de enrutador virtual (Continuación)
Paso 3
Paso 4
Seleccione las interfaces que deben aplicarse al enrutador virtual.
Establezca las distancias administrativas para las rutas estáticas y el enrutamiento dinámico.
1.
Haga clic en Añadir en el cuadro Interfaces.
2.
Seleccione una interfaz ya definida en el menú desplegable.
3.
Repita el paso 2 para todas las interfaces que quiera añadir al enrutador virtual.
1.
Establezca las distancias administrativas según sea necesario. • Estático: Intervalo: 10-240, Valor predeterminado: 10 • Interna de OSPF: Intervalo: 10-240, Valor predeterminado: 30 • Externa de OSPF: Intervalo: 10-240, Valor predeterminado: 110 • IBGP: Intervalo: 10-240, Valor predeterminado: 200 • EBGP: Intervalo: 10-240, Valor predeterminado: 20 • RIP: Intervalo: 10-240, Valor predeterminado: 120
Paso 5
Guarde la configuración general del enrutador virtual.
Haga clic en Aceptar para guardar la configuración.
Paso 6
Compile los cambios.
Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios.
Integración en la red
463
Configuración de rutas estáticas
Redes
Configuración de rutas estáticas El siguiente procedimiento muestra cómo integrar el cortafuegos en la red mediante rutas estáticas. Configuración de interfaces y zonas
Paso 1
Configure una ruta predeterminada hacia su enrutador de Internet.
1.
Seleccione Red > Enrutador virtual y, a continuación, seleccione el enlace predeterminado para abrir el cuadro de diálogo Enrutador virtual.
2.
Seleccione la pestaña Rutas estáticas y haga clic en Añadir. Introduzca un Nombre para la ruta e introduzca la ruta en el campo Destino (por ejemplo, 0.0.0.0/0).
3.
Seleccione el botón de opción Dirección IP en el campo Siguiente salto y, a continuación, introduzca la dirección IP y la máscara de red para su puerta de enlace de Internet (por ejemplo, 208.80.56.1).
Paso 2
Configure la interfaz externa (la interfaz que se conecta a Internet).
4.
Haga clic en Aceptar dos veces para guardar la configuración de enrutador virtual.
1.
Seleccione Red > Interfaces y, a continuación, seleccione la interfaz que quiera configurar. En este ejemplo, estamos configurando Ethernet1/3 como la interfaz externa.
2.
Seleccione el Tipo de interfaz. Aunque su decisión aquí depende de la topología de su red, este ejemplo muestra los pasos para Capa 3.
3.
En el menú desplegable Enrutador virtual, seleccione predeterminado.
4.
5.
En la pestaña Configuración, seleccione Nueva zona en el menú desplegable Zona de seguridad. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo No fiable y, a continuación, haga clic en Aceptar. Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4 y el botón de opción Estático. Haga clic en Añadir en la
sección IP e introduzca la dirección IP y la máscara de red que debe asignarse a la interfaz; por ejemplo, 208.80.56.100/24.
464
6.
Para que pueda hacer ping en la interfaz, seleccione Avanzada > Otra información, amplíe el menú desplegable Perfil de gestión y seleccione Nuevo perfil de gestión. Introduzca un Nombre para el perfil, seleccione Ping y, a continuación, haga clic en Aceptar.
7.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
Integración en la red
Redes
Configuración de rutas estáticas
Configuración de interfaces y zonas (Continuación)
1.
Paso 3
Configure la interfaz que se conecta a su red interna.
Nota
En este ejemplo, la interfaz se conecta a un segmento de red que utiliza direcciones IP 2. privadas. Dado que las direcciones IP 3. privadas no se pueden enrutar externamente, deberá configurar NAT. Consulte Configuración de políticas de NAT para obtener información detallada. 4.
Paso 4
Configure la interfaz que se conecta a DMZ.
Seleccione Red > Interfaces y seleccione la interfaz que desee configurar. En este ejemplo, estamos configurando Ethernet1/4 como la interfaz interna. Seleccione Capa 3 en el menú desplegable Tipo de interfaz. En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad y seleccione Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo Fiable y, a continuación, haga clic en Aceptar. Seleccione el mismo enrutador virtual que utilizó en el Paso 2; en este ejemplo, el predeterminado.
5.
Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4 y el botón de opción Estático, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red que debe asignarse a la interfaz; por ejemplo, 192.168.1.4/24.
6.
Para que pueda hacer ping en la interfaz, seleccione el perfil de gestión que creó en el Paso 2-6.
7.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
1.
Seleccione la interfaz que desee configurar.
2.
Seleccione Capa 3 en el menú desplegable Tipo de interfaz. En este ejemplo, estamos configurando Ethernet1/13 como la interfaz de DMZ.
3.
En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad y seleccione Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo DMZ y, a continuación, haga clic en Aceptar.
4.
Seleccione el enrutador virtual que utilizó en el Paso 2; en este ejemplo, el predeterminado.
5.
Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4 y el botón de opción Estático, haga clic en Añadir en la
sección IP e introduzca la dirección IP y la máscara de red que debe asignarse a la interfaz; por ejemplo, 10.1.1.1/24. 6.
Para que pueda hacer ping en la interfaz, seleccione el perfil de gestión que creó en el Paso 2-6.
7.
Para guardar la configuración de la interfaz, haga clic en Aceptar.
Paso 5
Guarde la configuración de la interfaz.
Haga clic en Confirmar.
Paso 6
Conecte los cables del cortafuegos.
Conecte cables directos desde las interfaces que ha configurado al conmutador o enrutador de cada segmento de red.
Paso 7
Verifique que las interfaces estén activas.
Desde la interfaz web, seleccione Red > Interfaces y verifique que el icono de la columna Estado de enlace es de color verde. También puede supervisar el estado de enlace desde el widget Interfaces en el Panel.
Integración en la red
465
Configuración de RIP
Redes
Configuración de RIP RIP se ha diseñado para redes IP de pequeño tamaño y se basa en el recuento de saltos para determinar las rutas; las mejores rutas tienen el menor número de saltos. RIP se basa en UDP y utiliza el puerto 520 para las actualizaciones de rutas. Al limitar las rutas a un máximo de 15 saltos, el protocolo ayuda a evitar el desarrollo de bucles de enrutamiento, además de limitar el tamaño de red admitido. Si se requieren más de 15 saltos, el tráfico no se enruta. RIP también puede tardar más en converger que OSPF y otros protocolos de enrutamiento. El cortafuegos admite RIP v2. Configuración de RIP
Paso 1
Configure los ajustes de configuración Consulte Configuración de un enrutador virtual para obtener general de enrutador virtual. información detallada.
Paso 2
Configure los ajustes de configuración 1. general de RIP. 2.
Paso 3
466
Configure interfaces para el protocolo RIP.
Seleccione la pestaña RIP. Seleccione la casilla de verificación Habilitar para habilitar el protocolo RIP.
3.
Seleccione la casilla Rechazar ruta por defecto si no desea conocer ninguna ruta predeterminada a través de RIP. Este es el ajuste predeterminado recomendado.
4.
Cancele la selección de la casilla de verificación Rechazar ruta por defecto si desea permitir la redistribución de rutas predeterminadas a través de RIP.
1.
Seleccione la pestaña secundaria Interfaces.
2.
Seleccione una interfaz del menú desplegable en el cuadro de configuración Interfaz.
3.
Seleccione una interfaz ya definida en el menú desplegable.
4.
Seleccione la casilla de verificación Habilitar.
5.
Seleccione la casilla de verificación Anunciar para anunciar una ruta predeterminada a peers de RIP con el valor de medida especificado.
6.
Opcionalmente, puede seleccionar un perfil del menú desplegable Perfil de autenticación. Consulte el Paso 5 para obtener más detalles.
7.
En el menú desplegable Modo, seleccione Normal, Pasivo o Enviar únicamente.
8.
Haga clic en ACEPTAR.
Integración en la red
Redes
Configuración de RIP
Configuración de RIP (Continuación)
Paso 4
Paso 5
Configure los temporizadores de RIP. 1.
(Opcional) Configure perfiles de autenticación.
Seleccione la pestaña secundaria Temporizadores.
2.
Introduzca un valor en el cuadro Segundos del intervalo (seg), que define la duración del intervalo del temporizador en segundos. Esta duración se utiliza para el resto de los campos de temporización de RIP. Valor predeterminado: 1. Intervalo: 1 - 60.
3.
Introduzca un valor en el cuadro Intervalo de actualizaciones, que define el número de intervalos entre los anuncios de actualización de rutas. Valor predeterminado: 30. Intervalo: 1 - 3600.
4.
Introduzca un valor en el cuadro Intervalo de eliminación, que define el número de intervalos entre el momento en el que vence la ruta y su eliminación. Valor predeterminado: 180. Intervalo: 1 - 3600.
5.
Introduzca un valor en el cuadro Intervalos de vencimiento, que define el número de intervalos entre el momento de la última actualización de la ruta hasta su vencimiento. Valor predeterminado: 120. Intervalo: 1 - 3600.
De manera predeterminada, el cortafuegos no utiliza autenticación de RIP para el intercambio entre vecinos de RIP. Opcionalmente, puede configurar una autenticación de RIP entre vecinos de RIP mediante una contraseña simple o mediante la autenticación MD5. Autenticación de contraseña simple de RIP 1. Seleccione la pestaña secundaria Perfiles de autenticación. 2.
Haga clic en Añadir.
3.
Introduzca un nombre para el perfil de autenticación para autenticar los mensajes RIP.
4.
Seleccione Contraseña simple como Tipo de contraseña.
5.
Introduzca una contraseña simple y, a continuación, confírmela.
Autenticación MD5 de RIP 1. Seleccione la pestaña secundaria Perfiles de autenticación. 2.
Haga clic en Añadir.
3.
Introduzca un nombre para el perfil de autenticación para autenticar los mensajes RIP.
4.
Seleccione MD5 como Tipo de contraseña.
5.
Haga clic en Añadir.
6.
Introduzca una o más entradas de contraseña, incluidos: • ID de clave, intervalo 0-255 • Clave
Integración en la red
7.
Opcionalmente, puede seleccionar el estado Preferido.
8.
Haga clic en ACEPTAR para especificar la clave que deberá utilizarse para autenticar el mensaje saliente.
9.
Vuelva a hacer clic en ACEPTAR en el cuadro de configuración Enrutador virtual - RIP - Perfil de autenticación.
467
Configuración de OSPF
Redes
Configuración de OSPF Open Shortest Path First (OSPF) es un protocolo de puerta de enlace interior (IGP) que suele utilizarse la mayoría de las veces para gestionar dinámicamente rutas de red en redes de empresas de gran tamaño. Determina las rutas de forma dinámica obteniendo la información de otros enrutadores y anunciando las rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). La información recopilada de los LSA se utiliza para construir un mapa de topología de la red. Este mapa de topología se comparte entre los enrutadores de la red y se utiliza para cumplimentar la tabla de rutas de IP con rutas disponibles. Los cambios en la topología de la red se detectan dinámicamente y se utilizan para generar un nuevo mapa de topología en cuestión de segundos. Se calcula un árbol con la ruta más corta de cada ruta. Se utilizan las medidas asociadas a cada interfaz de enrutamiento para calcular la mejor ruta. Pueden incluir distancia, rendimiento de red, disponibilidad de enlaces, etc. Además, estas medidas pueden configurarse de manera estática para dirigir el resultado del mapa de topología de OSPF. La implementación de Palo Alto Networks de OSPF admite por completo los siguientes RFC:
RFC 2328 (para IPv4)
RFC 5340 (para IPv6)
Los siguientes temas ofrecen más información sobre el OSPF y los procedimientos para configurar OSPF en el cortafuegos:
Conceptos de OSPF
Configuración de OSPF
Configuración de OSPFv3
Configuración del reinicio correcto de OSPF
Confirmación del funcionamiento de OSPF
Consulte también How to Configure OSPF Tech Note (en inglés).
Conceptos de OSPF Los siguientes temas presentan los conceptos de OSPF que deberá comprender para configurar el cortafuegos con el fin de que participe en la red de OSPF:
OSPFv3
Vecinos OSPF
Áreas OSPF
Tipos de enrutadores de OSPF
468
Integración en la red
Redes
Configuración de OSPF
OSPFv3 OSPFv3 permite la compatibilidad con el protocolo de enrutamiento OSPF dentro de una red IPv6. Como tal, permite la compatibilidad con direcciones y prefijos IPv6. Conserva la mayor parte de la estructura y las funciones de OSPFv2 (para IPv4) con algunos cambios menores. A continuación se indican algunas de las adiciones y los cambios en OSPFv3:
Compatibilidad con varias instancias por enlace: Con OSPFv3, puede ejecutar varias instancias del protocolo OSPF a través de un único enlace. Esto se consigue al asignar un número de ID de instancia de OSPFv3. Una interfaz que esté asignada a una ID de instancia descartará paquetes que contengan un ID diferente.
Procesamiento de protocolos por enlace: OSPFv3 funciona según enlace en lugar de hacerlo según subred IP como en OSPFv2.
Cambios en las direcciones: Las direcciones IPv6 no están presentes en paquetes OSPFv3, excepto en el caso de cargas de LSA en paquetes de actualización de estado de enlace. Los enrutadores vecinos se identifican mediante el ID de enrutador.
Cambios de autenticación: OSPFv3 no incluye ninguna capacidad de autenticación. Para configurar OSPFv3 en un cortafuegos, es necesario un perfil de autenticación que especifique una carga de seguridad encapsulada (ESP) o un encabezado de autenticación (AH) de IPv6. El procedimiento de nueva asignación de claves especificado en el RFC 4552 no se admite en esta versión.
Compatibilidad con varias instancias por enlace: Cada instancia se corresponde con un ID de instancia incluido en el encabezado de paquete OSPFv3.
Nuevos tipos de LSA: OSPFv3 admite dos nuevos tipos de LSA: LSA de enlace y LSA de prefijo intraárea.
Todos los cambios adicionales se describen de manera detallada en el RFC 5340.
Vecinos OSPF Dos enrutadores con OSPF conectados por una red común y en la misma área OSPF que forman una relación son vecinos OSPF. La conexión entre estos enrutadores puede ser a través de un dominio de difusión común o mediante una conexión de punto a punto. Esta conexión se realiza a través del intercambio de paquetes de saludo del protocolo OSPF. Estas relaciones de vecinos se utilizan para intercambiar actualizaciones de enrutamiento entre enrutadores.
Áreas OSPF OSPF funciona en un único sistema autónomo (AS). No obstante, las redes de dentro de este AS único pueden dividirse en distintas áreas. De manera predeterminada, se crea el área 0. El área 0 puede funcionar por sí sola o actuar como la red troncal de OSPF para un mayor número de áreas. Cada área OSPF recibe un nombre que es un identificador de 32 bits, el cual, en la mayoría de los casos, se escribe en la misma notación decimal con puntos que una dirección IP4. Por ejemplo, el área 0 suele escribirse como 0.0.0.0.
Integración en la red
469
Configuración de OSPF
Redes
La topología de un área se mantiene en su propia base de datos de estados de enlaces y se oculta de otras áreas, lo que reduce la cantidad de tráfico de enrutamiento que necesita OSPF. A continuación, la topología se comparte de manera resumida entre áreas mediante un enrutador de conexión.
Tipos de áreas OSPF Área troncal: El área 0 es el núcleo de una red de OSPF. El resto de las áreas se conectan a ella y todo el tráfico entre las áreas debe atravesarla. Todo el enrutamiento entre las áreas se distribuye a través del área troncal. Si bien el resto de las áreas OSPF debe conectarse al área troncal, esta conexión no tiene que ser directa y puede realizarse a través de un enlace virtual. Área OSPF normal: En un área OSPF normal, no hay restricciones; el área puede aceptar todo tipo de rutas. Área OSPF de código auxiliar: Un área de código auxiliar no recibe rutas de otros sistemas autónomos. El enrutamiento desde el área de código auxiliar se realiza a través de la ruta predeterminada hasta el área troncal. Área de NSSA: Not So Stubby Area (NSSA) es un tipo de área de código auxiliar que puede importar rutas externas con algunas excepciones limitadas.
Tipos de enrutadores de OSPF Dentro de un área OSPF, los enrutadores se dividen en las siguientes categorías. Enrutador interno: Enrutador que solamente tiene relaciones de vecino OSPF con los dispositivos de la misma área. Enrutador de borde de área (ABR): Enrutador que tiene relaciones de vecino OSPF con los dispositivos de varias áreas. Los ABR recopilan información de topología de sus áreas adjuntas y la distribuyen al área troncal. Enrutador troncal: Cualquier enrutador de OSPF adjunto a la red troncal de OSPF. Como los ABR siempre están conectados a la red troncal, siempre se clasifican como enrutadores troncales. Enrutador de límite de sistema autónomo (ASBR): Enrutador que se conecta a más de un protocolo de enrutamiento e intercambia información de enrutamiento entre ellos.
Configuración de OSPF OSPF determina las rutas de forma dinámica obteniendo la información de otros enrutadores y anunciando las rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El enrutador mantiene la información sobre los enlaces entre él y el destino y puede realizar decisiones de enrutamiento de gran eficacia. Se asigna un coste a cada interfaz de enrutador y las mejores rutas son aquellas con menor coste, después de sumar todas las interfaces de enrutador saliente detectadas y la interfaz que recibe los LSA. Las técnicas jerárquicas se utilizan para limitar el número de rutas que se deben anunciar y los LSA asociados. Como OSPF procesa dinámicamente una cantidad considerable de información de enrutamiento, tiene mayores requisitos de procesador y memoria que RIP.
470
Integración en la red
Redes
Configuración de OSPF
Configuración de OSPF
Paso 1
Configure los ajustes de configuración general de enrutador virtual.
Consulte Configuración de un enrutador virtual para obtener información detallada.
Paso 2
Configure los ajustes de configuración general de OSPF.
1.
Seleccione la pestaña OSPF.
2.
Seleccione la casilla de verificación Habilitar para habilitar el protocolo OSPF.
3.
Seleccione la casilla Rechazar ruta por defecto si no desea conocer ninguna ruta predeterminada a través de OSPF. Este es el ajuste predeterminado recomendado.
4.
Cancele la selección de la casilla de verificación Rechazar ruta por defecto si desea permitir la redistribución de rutas predeterminadas a través de OSPF.
Integración en la red
471
Configuración de OSPF
Redes
Configuración de OSPF (Continuación)
Paso 3
Configure el tipo de áreas para el 1. protocolo OSPF. 2.
Seleccione la pestaña secundaria Áreas y haga clic en Añadir. Introduzca un identificador de área en formato x.x.x.x. Es el identificador que cada vecino debe aceptar para formar parte de la misma área.
3.
Seleccione la pestaña secundaria Tipo.
4.
Seleccione una de las siguientes opciones en el cuadro desplegable Tipo de área: • Normal: No hay restricciones; el área puede aceptar todos los tipos de rutas. • Código auxiliar: No hay salida desde el área. Para acceder a un destino fuera del área, es necesario atravesar el límite, que conecta con el resto de áreas. Si selecciona esta opción, configure lo siguiente: – Aceptar resumen: Los anuncios de estado de enlaces (LSA) se aceptan desde otras áreas. Si esta opción de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada, el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. – Anunciar ruta predeterminada: Los LSA de ruta predeterminada se incluirán en los anuncios al área de código auxiliar junto con un valor de medida configurado dentro del siguiente intervalo configurado: 1-255. • NSSA (Not-So-Stubby Area, área no totalmente de código auxiliar): El cortafuegos solamente puede salir del área por rutas que no sean rutas de OSPF. Si está seleccionado, configure Aceptar resumen y Anunciar ruta predeterminada como se describe para Código auxiliar. Si selecciona esta opción, configure lo siguiente: – Tipo: Seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar el LSA predeterminado. – Intervalos extendidos: Haga clic en Añadir en la sección para introducir intervalos de rutas externas para los que quiera habilitar o suprimir los anuncios.
5.
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. Si el valor es cero, el enrutador no se designará como DR ni BDR.
• Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida. • Vecinos: En interfaces p2pmp, introduzca la dirección IP de todos los vecinos accesibles mediante esta interfaz.
472
6.
Seleccione Normal, Pasivo o Enviar únicamente como el Modo.
7.
Haga clic en ACEPTAR.
Integración en la red
Redes
Configuración de OSPF
Configuración de OSPF (Continuación)
Paso 4
Paso 5
Configure el intervalo de áreas para el protocolo OSPF.
1.
Seleccione la pestaña secundaria Intervalo.
2.
Haga clic en Añadir para añadir direcciones de destino LSA en el área en subredes.
3.
Seleccione Anunciar o Suprimir los anuncios de LSA que coincidan con la subred y haga clic en ACEPTAR. Repita esta acción para añadir intervalos adicionales.
Configure las interfaces de áreas 1. para el protocolo OSPF. 2.
Seleccione la pestaña secundaria Interfaz. Haga clic en Añadir e introduzca la siguiente información para cada interfaz que se incluirá en el área y haga clic en ACEPTAR. • Interfaz: Seleccione una interfaz en el cuadro desplegable. • Habilitar: Al seleccionar esta opción, la configuración de la interfaz OSPF surte efecto. • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. Aunque los paquetes OSPF no se envían ni reciben, si selecciona esta opción, la interfaz se incluirá en la base de datos de LSA. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. La definición manual de vecino solo se permite en modo p2mp. • Métrica: Introduzca una medida de OSPF para esta interfaz. Valor predeterminado: 10. Intervalo: 0-65535. • Prioridad: Introduzca una prioridad de OSPF para esta interfaz. Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR). Valor predeterminado: 1. Intervalo: 0 - 255. Si el valor se configura como cero, el enrutador no se designará como DR ni BDR. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. • Sincronización: Los siguientes ajustes de sincronización de OSPF se pueden establecer aquí: Intervalo de saludo, Recuentos fallidos, Intervalo de retransmisión y Retraso de tránsito. Palo Alto Networks recomienda que mantenga los ajustes de sincronización predeterminados. • Si se selecciona p2mp como Tipo de enlace, introduzca las direcciones IP de todos los vecinos a los que se pueda acceder a través de esta interfaz.
Integración en la red
473
Configuración de OSPF
Redes
Configuración de OSPF (Continuación)
Paso 6
Configure enlaces virtuales de áreas.
1.
Seleccione la pestaña secundaria Enlace virtual.
2.
Haga clic en Añadir e introduzca la siguiente información para cada enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR: • Nombre: Introduzca un nombre para el enlace virtual. • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual. • Área de tránsito: Introduzca el ID del área de tránsito que contenga físicamente el enlace virtual. • Habilitar: Selecciónelo para habilitar el enlace virtual. • Sincronización: Es recomendable que mantenga su configuración temporal predeterminada. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente.
Paso 7
(Opcional) Configure perfiles de De manera predeterminada, el cortafuegos no utiliza autenticación de OSPF autenticación. para el intercambio entre vecinos de OSPF. Opcionalmente, puede configurar una autenticación de OSPF entre vecinos de OSPF mediante una contraseña simple o mediante la autenticación MD5. Autenticación de contraseña simple de OSPF 1. Seleccione la pestaña secundaria Perfiles de autenticación. 2.
Haga clic en Añadir.
3.
Introduzca un nombre para el perfil de autenticación para autenticar los mensajes OSPF.
4.
Seleccione Contraseña simple como Tipo de contraseña.
5.
Introduzca una contraseña simple y, a continuación, confírmela.
Autenticación MD5 de OSPF 1. Seleccione la pestaña secundaria Perfiles de autenticación. 2.
Haga clic en Añadir.
3.
Introduzca un nombre para el perfil de autenticación para autenticar los mensajes OSPF.
4.
Seleccione MD5 como Tipo de contraseña.
5.
Haga clic en Añadir.
6.
Introduzca una o más entradas de contraseña, incluidos: • ID de clave, intervalo 0-255 • Clave • Seleccione la opción Preferido para especificar que la clave debe utilizarse para autenticar mensajes salientes.
474
7.
Haga clic en ACEPTAR.
8.
Vuelva a hacer clic en ACEPTAR en el cuadro de configuración Enrutador virtual - OSPF - Perfil de autenticación.
Integración en la red
Redes
Configuración de OSPF
Configuración de OSPF (Continuación)
Paso 8
Configure las opciones avanzadas de OSPF.
1.
Seleccione la pestaña secundaria Avanzado.
2.
Seleccione la casilla de verificación Compatibilidad RFC 1583 para garantizar la compatibilidad con RFC 1583.
3.
Configure un valor para el temporizador Retraso de cálculo SPF (seg). Este temporizador le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. Los valores menores permiten una reconvergencia OSPF más rápida. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia.
4.
Configure un valor para el tiempo Intervalo LSA (seg). Este temporizador especifica el tiempo mínimo entre las transmisiones de dos instancias del mismo LSA (mismo enrutador, mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en RFC 2328. Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología.
Configuración de OSPFv3 Configuración de OSPFv3
Paso 1
Configure los ajustes de configuración general de enrutador virtual.
Consulte Configuración de un enrutador virtual para obtener información detallada.
Paso 2
Configure los ajustes de configuración general de OSPF.
1.
Seleccione la pestaña OSPF.
2.
Seleccione la casilla de verificación Habilitar para habilitar el protocolo OSPF.
3.
Seleccione la casilla Rechazar ruta por defecto si no desea conocer ninguna ruta predeterminada a través de OSPF. Este es el ajuste predeterminado recomendado.
4.
Cancele la selección de la casilla de verificación Rechazar ruta por defecto si desea permitir la redistribución de rutas predeterminadas a través de OSPF.
Paso 3
Configure los ajustes de configuración general de OSPFv3.
1.
Seleccione la pestaña OSPFv3.
2.
Seleccione la casilla de verificación Habilitar para habilitar el protocolo OSPF.
3.
Seleccione la casilla Rechazar ruta por defecto si no desea conocer ninguna ruta predeterminada a través de OSPFv3. Este es el ajuste predeterminado recomendado. Cancele la selección de la casilla de verificación Rechazar ruta por defecto si desea permitir la redistribución de rutas predeterminadas a través de OSPFv3.
Integración en la red
475
Configuración de OSPF
Redes
Configuración de OSPFv3 (Continuación)
Paso 4
Configure el perfil de autenticación para el protocolo OSFPv3.
Al configurar un perfil de autenticación, debe utilizar una carga de seguridad encapsulada (ESP) o un encabezado de autenticación (AH) de IPv6.
OSPFv3 no incluye ninguna capacidad de autenticación propia; por el contrario, se Autenticación de ESP OSPFv3 1. Seleccione la pestaña secundaria Perfiles de autenticación. basa completamente en IPSec para proteger las comunicaciones entre 2. Haga clic en Añadir. vecinos. 3. Introduzca un nombre para el perfil de autenticación para autenticar los mensajes OSPFv3. 4.
Especifique un índice de política de seguridad (SPI). El SPI debe coincidir entre ambos extremos de la adyacencia de OSPFv3. El número del SPI debe ser un valor hexadecimal entre 00000000 y FFFFFFFF.
5.
Seleccione ESP como Protocolo.
6.
Seleccione un Algoritmo criptográfico del cuadro desplegable. Puede no seleccionar ninguno o uno de los siguientes algoritmos: SHA1, SHA256, SHA384, SHA512 o MD5.
7.
Si en lugar de no seleccionar ningún valor, selecciona uno de estos valores para el Algoritmo criptográfico, introduzca un valor para Clave y, a continuación, confírmelo.
Autenticación de AH OSPFv3 1. Seleccione la pestaña secundaria Perfiles de autenticación. 2.
Haga clic en Añadir.
3.
Introduzca un nombre para el perfil de autenticación para autenticar los mensajes OSPFv3.
4.
Especifique un índice de política de seguridad (SPI). El SPI debe coincidir entre ambos extremos de la adyacencia de OSPFv3. El número del SPI debe ser un valor hexadecimal entre 00000000 y FFFFFFFF.
5.
Seleccione AH como Protocolo.
6.
Seleccione un Algoritmo criptográfico del menú desplegable. Debe introducir uno de los siguientes algoritmos: SHA1, SHA256, SHA384, SHA512 o MD5.
476
7.
Introduzca un valor para Clave y, a continuación, confírmelo.
8.
Haga clic en ACEPTAR.
9.
Vuelva a hacer clic en ACEPTAR en el cuadro de diálogo Enrutador virtual - OSPF - Perfil de autenticación.
Integración en la red
Redes
Configuración de OSPF
Configuración de OSPFv3 (Continuación)
Paso 5
Configure el tipo de áreas para el protocolo OSPF.
1.
Seleccione la pestaña secundaria Áreas.
2.
Haga clic en Añadir.
3.
Introduzca un ID de área. Es el identificador que cada vecino debe aceptar para formar parte de la misma área.
4.
Seleccione la pestaña secundaria General.
5.
Seleccione una de las siguientes opciones en el menú desplegable Tipo de área: • Normal: No hay restricciones; el área puede aceptar todos los tipos de rutas. • Código auxiliar: No hay salida desde el área. Para acceder a un destino fuera del área, es necesario atravesar el límite, que conecta con el resto de áreas. Si selecciona esta opción, configure lo siguiente: – Aceptar resumen: Los anuncios de estado de enlaces (LSA) se aceptan desde otras áreas. Si esta opción de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada, el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. – Anunciar ruta predeterminada: Los LSA de ruta predeterminada se incluirán en los anuncios al área de código auxiliar junto con un valor de medida configurado dentro del siguiente intervalo configurado: 1-255. • NSSA (Not-So-Stubby Area, área no totalmente de código auxiliar): El cortafuegos solamente puede salir del área por rutas que no sean rutas de OSPF. Si está seleccionado, configure Aceptar resumen y Anunciar ruta predeterminada como se describe para Código auxiliar. Si selecciona esta opción, configure lo siguiente: – Tipo: Seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar el LSA predeterminado. – Intervalos extendidos: Haga clic en Añadir en la sección para introducir intervalos de rutas externas para los que quiera habilitar o suprimir los anuncios.
Integración en la red
477
Configuración de OSPF
Redes
Configuración de OSPFv3 (Continuación)
Paso 6
Asocie un perfil de autenticación OSPFv3 Para un área a un área o una interfaz. 1. Seleccione la pestaña secundaria Áreas. 2.
Seleccione un área existente de la tabla.
3.
Seleccione un Perfil de autenticación definido previamente del menú desplegable Autenticación de la pestaña secundaria General.
4.
Haga clic en ACEPTAR.
Para una interfaz 1. Seleccione la pestaña secundaria Áreas.
Paso 7
(Opcional) Configure reglas de exportación.
2.
Seleccione un área existente de la tabla.
3.
Seleccione la pestaña secundaria Interfaz y haga clic en Añadir.
4.
Seleccione el perfil de autenticación que desee asociar a la interfaz OSPF desde el menú desplegable Perfil de autenticación.
1.
Seleccione la pestaña secundaria Exportar.
2.
Haga clic en Añadir.
3.
Seleccione la casilla de verificación Permitir redistribución de ruta predeterminada para permitir la redistribución de rutas predeterminadas a través de OSPFv3.
4.
Seleccione el nombre del perfil de redistribución. El valor debe ser una subred IP o un nombre de perfil de redistribución válido.
5.
Seleccione una medida que debe aplicarse al Nuevo tipo de ruta.
6.
Especifique una Nueva etiqueta para la ruta coincidente que tenga un valor de 32 bits.
7.
Asigne una medida para la nueva regla. El valor puede ser: 1 - 65535.
8.
478
Haga clic en ACEPTAR.
Integración en la red
Redes
Configuración de OSPF
Configuración de OSPFv3 (Continuación)
Paso 8
Configure las opciones avanzadas de OSPFv3.
1.
Seleccione la pestaña secundaria Avanzado.
2.
Seleccione la casilla de verificación Deshabilitar enrutamiento de tránsito para el cálculo de SPF si quiere que el cortafuegos participe en la distribución de la topología de OSPF sin ser utilizado para reenviar tráfico de tránsito.
3.
Configure un valor para el temporizador Retraso de cálculo SPF (seg). Este temporizador le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. Los valores menores permiten una reconvergencia OSPF más rápida. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia.
4.
Configure un valor para el tiempo Intervalo LSA (seg). Este temporizador especifica el tiempo mínimo entre las transmisiones de dos instancias del mismo LSA (mismo enrutador, mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en RFC 2328. Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología.
5.
Configure la sección Reinicio correcto como se describe en Configuración del reinicio correcto de OSPF.
Configuración del reinicio correcto de OSPF Reinicio correcto de OSPF dirige a los vecinos OSPF para que sigan utilizando rutas a través de un dispositivo durante una breve transición cuando esté fuera de servicio. Esto aumenta la estabilidad de red reduciendo la frecuencia de reconfiguración de la tabla de rutas y los flaps de ruta relacionados que pueden producirse durante breves tiempos de inactividad periódicos. Para un cortafuegos de Palo Alto Networks, esto implica las siguientes operaciones:
Cortafuegos como dispositivo de reinicio: En una situación en la que el cortafuegos vaya a estar inactivo durante un breve período de tiempo o no esté disponible durante intervalos breves, enviará LSA de gracia a sus vecinos OSPF. Los vecinos deben estar configurados para ejecutarse en el modo auxiliar de reinicio correcto. En el modo auxiliar, los vecinos reciben los LSA de gracia que le informan que el cortafuegos realizará un reinicio correcto en un período de tiempo especificado definido como el Período de gracia. Durante el período de gracia, el vecino sigue reenviando rutas a través del cortafuegos y enviando LSA que anuncian rutas a través del cortafuegos. Si el cortafuegos reanuda su funcionamiento antes de que venza el período de gracia, el reenvío de tráfico seguirá como antes sin ninguna interrupción de la red. Si el cortafuegos no reanuda su funcionamiento después de que venza el período de gracia, los vecinos saldrán del modo auxiliar y reanudarán el funcionamiento normal, lo que implicará la reconfiguración de la tabla de rutas para eludir el cortafuegos.
Integración en la red
479
Configuración de OSPF
Redes
Cortafuegos como auxiliar de reinicio correcto: En una situación en la que los enrutadores vecinos puedan estar inactivos durante breves períodos de tiempo, se puede configurar el cortafuegos para que funcione en el modo auxiliar de reinicio correcto. Si se configura con este modo, el cortafuegos se configurará con un Máx. de hora de reinicio del mismo nivel. Cuando el cortafuegos reciba los LSA de gracia de su vecino OSFP, seguirá enrutando tráfico al vecino y anunciando rutas a través del vecino hasta que venza el período de gracia o el máximo de hora de reinicio del mismo nivel. Si ninguno de los dos vence antes de que el vecino vuelva a estar en funcionamiento, el reenvío de tráfico continuará como antes sin ninguna interrupción de la red. Si ninguno de los dos períodos vence antes de que el vecino vuelva a estar en funcionamiento, el cortafuegos saldrá del modo auxiliar y reanudará el funcionamiento normal, que implicará la reconfiguración de la tabla de rutas para eludir el vecino.
Configuración del reinicio correcto de OSPF
Paso 1
Seleccione Red > Enrutadores virtuales y seleccione el enrutador virtual que quiera configurar.
Paso 2
Seleccione OSPF > Avanzado.
Paso 3
Verifique que las siguientes casillas de verificación están seleccionadas (están habilitadas de manera predeterminada). Seleccione Habilitar reinicio correcto, Habilitar modo auxiliar y Habilitar comprobación de LSA estricta. Las tres opciones deberían permanecer seleccionadas a menos que su topología lo requiera.
Paso 4
Configure un Período de gracia en segundos.
Paso 5
Configure un Máx. de hora de reinicio del mismo nivel en segundos.
Confirmación del funcionamiento de OSPF Una vez se haya compilado una configuración de OSPF, podrá utilizar cualquiera de las operaciones siguientes para confirmar que OSPF está funcionando:
Visualización de la tabla de rutas
Confirmación de adyacencias de OSPF
Confirmación de que se han establecido conexiones de OSPF
Visualización de la tabla de rutas Al visualizar la tabla de rutas, puede ver si se han establecido rutas de OSPF. Se puede acceder a la tabla de rutas desde la interfaz web o la CLI. Si está utilizando la CLI, utilice los siguientes comandos:
show routing route
show routing fib
El siguiente procedimiento describe cómo utilizar la interfaz web para ver la tabla de rutas.
480
Integración en la red
Redes
Configuración de OSPF
Visualización de la tabla de rutas
Paso 1
Seleccione Red > Enrutadores virtuales.
Paso 2
Seleccione la pestaña Enrutamiento y examine la columna Marcas de la tabla de rutas para determinar qué rutas ha obtenido OSPF.
Confirmación de adyacencias de OSPF Visualizando la pestaña Vecino como se describe en el procedimiento siguiente, puede confirmar que las adyacencias de OSPF se han establecido. Visualización de la pestaña Vecino para confirmar adyacencias de OSPF
Paso 1
Seleccione Red > Enrutadores virtuales.
Integración en la red
481
Configuración de OSPF
Redes
Visualización de la pestaña Vecino para confirmar adyacencias de OSPF (Continuación)
Paso 2
Seleccione OSPF > Vecino y examine la columna Estado para determinar si se han establecido adyacencias de OSPF.
Confirmación de que se han establecido conexiones de OSPF Al visualizar el log de sistema, puede confirmar que se han establecido conexiones de OSPF según se describe en el procedimiento siguiente: Examen del log de sistema
Paso 1
Seleccione Supervisar > Sistema y busque mensajes que confirmen que se han establecido adyacencias de OSPF.
Paso 2
Seleccione la pestaña secundaria OSPF > Vecino y examine la columna Estado para determinar si se han establecido adyacencias de OSPF.
482
Integración en la red
Redes
Configuración de BGP
Configuración de BGP El protocolo de puerta de enlace de borde (BGP) es el principal protocolo de enrutamiento de Internet. BGP determina el alcance de la red en función de los prefijos IP que están disponibles en sistemas autónomos (AS), donde un sistema autónomo es un conjunto de prefijos IP que un proveedor de red ha designado para formar parte de una política de enrutamiento simple. En el proceso de enrutamiento, las conexiones se establecen entre pares BGP (o vecinos). Si la política permite una ruta, se guarda en la base de información de enrutamiento (RIB). Cada vez que se actualiza la RIB del cortafuegos local, el cortafuegos determina las rutas óptimas y envía una actualización a la RIB externa, si se activa la exportación. Los anuncios condicionales se utilizan para controlar la forma en que se anuncian las rutas BGP. Las rutas BGP deben cumplir las normas de anuncios condicionales para poder anunciarse a los peers. BGP admite la especificación de agregados, que combinan múltiples rutas en una ruta única. Durante el proceso de agregación, el primer paso es encontrar la regla de agregación correspondiente ejecutando la correspondencia más larga que compare la ruta entrante con los valores de prefijo de otras reglas de agregación. Para obtener más información sobre BGP, consulte How to Configure BGP Tech Note (Nota técnica sobre cómo configurar BGP). El cortafuegos proporciona una implementación completa de BGP que incluye las siguientes funciones:
Especificación de una instancia de enrutamiento BGP por enrutador virtual.
Políticas de enrutamiento basadas en asignaciones de rutas para controlar los procesos de importación, exportación y anuncios, filtrado basado en prefijos y agregación de direcciones.
Funciones BGP avanzadas que incluyen un reflector de ruta, confederación de AS, amortiguación de flap de ruta y reinicio correcto.
Interacción IGP-BGP para introducir rutas en BGP utilizando perfiles de redistribución.
La configuración BGP se compone de los siguientes elementos:
Configuraciones por instancia de enrutamiento, que incluyen parámetros básicos como opciones avanzadas de ID de ruta local y AS local como selección de ruta, reflector de ruta, confederación AS, flap de ruta y perfiles de amortiguación.
Perfiles de autenticación que especifican la clave de autenticación MD5 para conexiones BGP.
Ajustes de vecino y grupos de peers, que incluyen opciones avanzadas de direcciones de vecino y AS como atributos y conexiones de vecino.
Política de enrutamiento, que especifica conjuntos de reglas que peers y grupos de peers utilizan para implementar las importaciones, exportaciones, anuncios condicionales y controles de agregación de dirección.
Configuración de BGP
Paso 1
Configure los ajustes de configuración Consulte Configuración de un enrutador virtual para obtener general de enrutador virtual. información detallada.
Integración en la red
483
Configuración de BGP
Redes
Configuración de BGP (Continuación)
Paso 2
Paso 3
Configure los ajustes de configuración 1. general de BGP. 2.
Seleccione la pestaña BGP. Seleccione la casilla de verificación Habilitar para habilitar el protocolo BGP.
3.
Asigne una dirección IP al enrutador virtual en el cuadro ID del enrutador.
4.
Introduzca el número del AS al que pertenece el enrutador virtual en el cuadro Número AS, basándose en el ID del enrutador. Intervalo: 1-4294967295
Configure los ajustes de configuración 1. general de BGP. 2.
Seleccione BGP > General. Seleccione la casilla de verificación Rechazar ruta por defecto para ignorar todas las rutas predeterminadas anunciadas por peers BGP.
3.
Seleccione la casilla de verificación Instalar ruta para instalar rutas BGP en la tabla de rutas global.
4.
Seleccione la casilla de verificación Agregar MED para habilitar la agregación de rutas, incluso cuando las rutas tengan valores diferentes de discriminador de salida múltiple (MED).
5.
Introduzca un valor para la Preferencia local predeterminada que especifique un valor que puede utilizarse para determinar las preferencias entre diferentes rutas.
6.
Seleccione uno de los siguientes valores para el formato AS con fines de interoperabilidad: • 2 bytes (valor predeterminado) • 4 bytes
7.
Habilite o deshabilite cada uno de los siguientes valores de Selección de rutas: • Comparar siempre MED: Habilite esta comparación para elegir rutas de vecinos en diferentes sistemas autónomos. • Comparación determinista de MED: Habilite esta comparación para elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo sistema autónomo).
8.
Haga clic en Añadir para incluir un nuevo perfil de autenticación y configurar los siguientes ajustes: • Nombre del perfil: Introduzca un nombre para identificar el perfil. • Secreto/Confirmar secreto: Introduzca y confirme la contraseña para comunicaciones de peer BGP.
484
Integración en la red
Redes
Configuración de BGP
Configuración de BGP (Continuación)
Paso 4
Configure los ajustes avanzados de BGP (opcional).
1.
En la pestaña secundaria Avanzado, seleccione Reinicio correcto y configure los siguientes temporizadores: • Tiempo de ruta obsoleto (seg): Especifica la cantidad de tiempo en segundos que una ruta puede permanecer en el estado obsoleto. Intervalo: 1 - 3600 segundos. Valor predeterminado: 120 segundos. • Hora de reinicio local (seg): Especifica la cantidad de tiempo en segundos que el dispositivo local tarda en reiniciar. Este valor se anuncia a los peers. Intervalo: 1 - 3600 segundos. Valor predeterminado: 120 segundos. • Máx. de hora de reinicio del peer (seg): Especifica el tiempo máximo en segundos que el dispositivo local acepta como período de gracia para reiniciar los dispositivos peer. Intervalo: 1 - 3600 segundos. Valor predeterminado: 120 segundos.
2.
Especifique un identificador IPv4 que represente el clúster reflector en el cuadro ID de clúster reflector.
3.
Especifique el identificador de la confederación AS que se presentará como un AS único a los peers BGP externos en el cuadro AS de miembro de confederación.
4.
Haga clic en Añadir e introduzca la siguiente información para cada perfil de amortiguación que quiera configurar, seleccione Habilitar y haga clic en ACEPTAR: • Nombre del perfil: Introduzca un nombre para identificar el perfil. • Corte: Especifique un umbral de retirada de ruta por encima del cual se suprime un anuncio de ruta. Intervalo: 0,0-1000,0. Valor predeterminado: 1,25. • Reutilizar: Especifique un umbral de retirada de ruta por debajo del cual una ruta suprimida se vuelve a utilizar. Intervalo: 0,0-1000,0. Valor predeterminado: 5. • Máx. de tiempo de espera (seg): Especifique el tiempo máximo en segundos durante el que una ruta se puede suprimir, con independencia de su inestabilidad. Intervalo: 0-3600 segundos. Valor predeterminado: 900 segundos. • Media vida de disminución alcanzable (seg): Especifique el tiempo en segundos después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera alcanzable. Intervalo: 0-3600 segundos. Valor predeterminado: 300 segundos. • Media vida de disminución no alcanzable (seg): Especifique el tiempo en segundos después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera no alcanzable. Intervalo: 0 - 3600 segundos. Valor predeterminado: 300 segundos.
5.
Integración en la red
Haga clic en ACEPTAR.
485
Configuración de BGP
Redes
Configuración de BGP (Continuación)
Paso 5
Configure el grupo del peer BGP.
1.
Seleccione la pestaña secundaria Grupo del peer y haga clic en Añadir.
2.
Introduzca un Nombre para el grupo del peer y seleccione Habilitar.
3.
Seleccione la casilla de verificación Agregar ruta AS confederada para incluir una ruta a la AS de confederación agregada configurada.
4.
Seleccione la casilla de verificación Restablecimiento parcial con información almacenada para ejecutar un restablecimiento parcial del cortafuegos después de actualizar los ajustes de peer.
5.
Especifique el tipo o grupo de peer en el cuadro desplegable Tipo y configure los ajustes asociados (consulte la tabla siguiente para ver las descripciones de Importar siguiente salto y Exportar siguiente salto). • IBGP: Exportar siguiente salto: Especifique Original o Utilizar automático. • EBGP confederado: Exportar siguiente salto: Especifique Original o Utilizar automático. • EBGP confederado: Exportar siguiente salto: Especifique Original o Utilizar automático. • EBGP: Importar siguiente salto: Especifique Original o Utilizar automático, Exportar siguiente salto: Especifique Resolver o Utilizar automático. Seleccione Eliminar AS privado si desea forzar que BGP elimine números AS privados.
6.
486
Haga clic en Aceptar para guardar.
Integración en la red
Redes
Configuración de BGP
Configuración de BGP (Continuación)
Paso 6
Configure reglas de importación y exportación.
1.
Las reglas de importación/exportación 2. se utilizan para importar/exportar rutas desde/hacia otros enrutadores. Por ejemplo, puede importar la ruta 3. predeterminada desde su proveedor de servicios de Internet.
Paso 7
Configure los anuncios condicionales, que le permiten controlar la ruta que se anunciará en caso de que no exista ninguna ruta diferente en la tabla de rutas BGP local (LocRIB), indicando un fallo de peering o alcance. Esta función es muy útil si desea probar y forzar rutas de un AS a otro, por ejemplo, si tiene enlaces a Internet con varios ISP y desea enrutar el tráfico a un único proveedor, en lugar de a los otros, salvo que se produzca una pérdida de conectividad con el proveedor preferido.
Integración en la red
Seleccione la pestaña Importar y, a continuación, haga clic en Añadir e introduzca un nombre en el campo Reglas y seleccione la casilla de verificación Habilitar. Haga clic en Añadir y seleccione el Grupo del peer desde el que se importarán las rutas. Haga clic en la pestaña Coincidencia y defina las opciones utilizadas para filtrar la información de enrutamiento. También puede definir el valor de discriminador de salida múltiple (MED) y un valor de siguiente salto como enrutadores o subredes para el filtrado de rutas. La opción MED es una medida externa que permite que los vecinos sepan cuál es la ruta preferida de un AS. Se prefiere un valor más bajo antes que un valor más alto.
4.
Haga clic en la pestaña Acción y defina la acción que debería producirse (permitir/denegar) basándose en las opciones de filtrado definidas en la pestaña Coincidencia. Si se selecciona Denegar, no será necesario definir más opciones. Si se selecciona la acción Permitir, defina los otros atributos.
5.
Haga clic en la pestaña Exportar y defina atributos de exportación, que son similares a los ajustes de Importar, pero que se utilizan para controlar la información de rutas que se exporta desde el cortafuegos a los vecinos.
6.
Haga clic en Aceptar para guardar.
1.
Seleccione la pestaña Anuncio condicional, haga clic en Añadir e introduzca un nombre en el campo Política.
2.
Seleccione la casilla de verificación Habilitar.
3.
Haga clic en Añadir y, en la sección Utilizado por, introduzca los grupos del que utilizarán la política de anuncios condicionales.
4.
Seleccione la pestaña Filtro no existente y defina los prefijos de red de la ruta preferida. Especifica la ruta que desea anunciar, si está disponible en la tabla de ruta de BGP local. Si un prefijo se va a anunciar y coincide con un filtro no existente, el anuncio se suprimirá.
5.
Seleccione la pestaña Anunciar filtros y defina los prefijos de la ruta de la tabla de rutas Local-RIB que se debería anunciar en caso de que la ruta del filtro no existente no esté disponible en la tabla de rutas local. Si un prefijo se va a anunciar y no coincide con un filtro no existente, el anuncio se producirá.
487
Configuración de BGP
Redes
Configuración de BGP (Continuación)
Paso 8
Paso 9
488
1. Configure opciones agregadas para rutas de resúmenes en la configuración de BGP. 2.
Seleccione la pestaña Agregado, haga clic en Añadir e introduzca un nombre para la dirección agregada. En el campo Prefijo, introduzca el prefijo de red que será el prefijo principal de los prefijos agregados.
La agregación de rutas de BGP se utiliza para controlar el modo en que 3. BGP agrega direcciones. Cada entrada de la tabla da como resultado la 4. creación de una dirección agregada. El resultado será una entrada agregada en la tabla de rutas cuando se obtiene al menos una o más rutas específicas que coinciden con la dirección especificada.
Seleccione la pestaña Anunciar filtros y defina los atributos que harán que las rutas coincidentes se anuncien siempre a los peers.
Configure las reglas de redistribución. 1.
Seleccione la pestaña Reglas de redistr. y haga clic en Añadir.
Esta regla se utiliza para redistribuir las 2. rutas de host y las rutas desconocidas que no se encuentran en la RIB local de los enrutadores de peers. 3.
En el campo Nombre, introduzca una subred IP o seleccione un perfil de redistribución. También puede configurar un nuevo perfil de redistribución desde el menú desplegable si es necesario.
Seleccione la pestaña Suprimir filtros y defina los atributos que harán que las rutas coincidentes se supriman.
Haga clic en la casilla de verificación Habilitar para habilitar la regla.
4.
En el campo Medida, introduzca la medida de la ruta que se utilizará para la regla.
5.
En el menú desplegable Establecer origen, seleccione Incompleto, IGP o EGP.
6.
Opcionalmente, establezca MED, preferencia local, límite de ruta AS y valores de comunidad.
Integración en la red