Configuración del cortafuegos
Transcripción
Configuración del cortafuegos
Palo Alto Networks® Guía de referencia de interfaz web Versión 6.1 Información de contacto Sede de la empresa: Guía del administrador 4401 Great America Parkway Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/ Acerca de esta guía Esta guía describe el cortafuegos de última generación de Palo Alto Networks y las interfaces web de Panorama. Proporciona información sobre cómo usar la interfaz web e información de referencia para rellenar campos de la interfaz: Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation. Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte https://live.paloaltonetworks.com. Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com. Para leer las notas sobre la última versión, vaya la página de descarga de software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates. Para enviar sus comentarios sobre la documentación, diríjase a: [email protected]. Palo Alto Networks, Inc. www.paloaltonetworks.com © 2014 Palo Alto Networks. Todos los derechos reservados. Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc. Fecha de revisión: noviembre 14, 2014 2 noviembre 26, 2014 - Palo Alto Networks CONFIDENCIAL DE EMPRESA Contenido Capítulo 1 Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Descripción general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Características y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Interfaces de gestión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Capítulo 2 Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Preparación del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Configuración del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Uso de la interfaz web del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Compilación de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Navegación a páginas de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uso de tablas en páginas de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Campos obligatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 20 20 20 21 21 Obtención de ayuda para la configuración del cortafuegos . . . . . . . . . . . 22 Cómo obtener más información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Capítulo 3 Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración del sistema, configuración y gestión de licencias . . . . . . . . . . . . . . Definición de la configuración de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de la configuración de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de módulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de la configuración de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de la configuración de ID de contenido (content-id) . . . . . . . . . . . . . . . Configuración de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de la configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tiempos de espera de sesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ajustes de descifrado: Comprobación de revocación de certificado . . . . . . . Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy. Palo Alto Networks 23 24 24 38 42 45 46 50 52 53 54 55 57 58 • 3 Comparación de archivos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Instalación de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Definición de orígenes de información de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Instalación de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Actualización de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 68 Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Definición de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Definición de perfiles de contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Requisitos de nombre de usuario y contraseña . . . . . . . . . . . . . . . . . . . . . . . . 74 Creación de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Especificación de dominios de acceso para administradores . . . . . . . . . . . . . . . . 77 Configuración de perfiles de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Creación de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 80 Cómo añadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Configuración de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . 81 Configuración de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Configuración de ajustes de Kerberos (autenticación nativa de Active Directory) . . 83 Configuración de una secuencia de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . 84 Programación de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Definición de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Definición de la configuración del log Configuración . . . . . . . . . . . . . . . . . . . . . . 87 Definición de la configuración del log Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Definición de la configuración de log Coincidencias HIP . . . . . . . . . . . . . . . . . . . 88 Definición de la configuración del log Alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Gestión de configuración de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Configuración de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Configuración de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Descripción de los campos personalizados de Syslog . . . . . . . . . . . . . . . . . . 95 Configuración de ajustes de notificaciones por correo electrónico . . . . . . . . . . . 103 Configuración de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Gestión de certificados de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Gestión de entidades de certificación de confianza predeterminadas . . . . 109 Creación un perfil de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Cómo añadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Cifrado de claves privadas y contraseñas del cortafuegos . . . . . . . . . . . . . . . . 112 Habilitación de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Definición de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Configuración de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 127 Definición de páginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 128 Visualización de información de asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . 130 Capítulo 4 Configuración de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Definición de cables virtuales (Virtual Wire) . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de una interfaz Ethernet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de una subinterfaz Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de interfaces de cable virtual (Virtual Wire) . . . . . . . . . . . . Configuración de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . . Configuración de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . . 131 132 132 141 148 149 150 151 4 • Palo Alto Networks Configuración de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . . Configuración de los grupos de interfaces de agregación . . . . . . . . . . . . . Configuración de una interfaz Ethernet de agregación. . . . . . . . . . . . . . . . Configuración de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de una interfaz de loopback . . . . . . . . . . . . . . . . . . . . . . . . Configuración de una interfaz de túnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la pestaña Rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la pestaña Perfiles de redistribución . . . . . . . . . . . . . . . . Configuración de la pestaña RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la pestaña OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la pestaña OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la pestaña BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la pestaña Multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servidor y retransmisión DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de perfiles de gestión de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de perfiles de supervisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de perfiles de protección de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la protección contra inundaciones . . . . . . . . . . . . . . . . . . Configuración de la protección de reconocimiento . . . . . . . . . . . . . . . . . . . Configuración de la protección de ataque basada en paquetes . . . . . . . . 151 152 155 157 157 161 163 165 166 166 167 168 171 176 182 191 195 196 197 199 201 202 202 204 205 206 Capítulo 5 Políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Tipos de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Directrices de definición de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Especificación de usuarios y aplicaciones para las políticas . . . . . . . . . . . . Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Políticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Determinación de configuración de zona en NAT y política de seguridad. . Opciones de regla NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejemplos de política NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de políticas de traducción de dirección de red . . . . . . . . . . . . . . . . . Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Políticas de reenvío basado en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 212 214 215 217 218 219 219 221 221 222 223 225 227 227 228 228 229 233 234 234 235 237 Palo Alto Networks • 5 Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Destino/aplicación/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Políticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . URL/servicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de políticas de application override . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Protocolo/Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de políticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Acción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de políticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Opción/Protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Página de perfil de antivirus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pestaña Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Perfiles de protección de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Otros objetos de las políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de objetos de direcciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aplicaciones y grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definición de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Filtros de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Trabajo con etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Categorías de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Listas de bloqueos dinámicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . . . Definición de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 • 237 238 239 239 240 241 241 242 243 243 244 245 245 246 246 247 247 248 248 248 249 249 250 251 252 252 253 254 255 255 256 256 259 263 269 274 276 278 279 280 282 284 288 291 291 292 293 294 295 296 297 298 298 Palo Alto Networks Definición de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . . . 299 Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 Reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 Capítulo 6 Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 Centro de comando de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 Visualización de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 329 Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Configuración del informe de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 Gestión de informes de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 332 Gestión de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 334 Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Programación de informes para entrega de correos electrónicos . . . . . . . 335 Visualización de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Capítulo 7 Configuración del cortafuegos para la identificación de usuarios . . . . 341 Configuración del cortafuegos para la identificación de usuarios . . . . . . . . . . . 341 Pestaña Asignación de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Pestaña Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Pestaña Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 Pestaña Asignación de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Pestaña Configuración de portal cautivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Capítulo 8 Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Definición de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Pestaña General de puerta de enlace de IKE. . . . . . . . . . . . . . . . . . . . . . . . 358 Pestaña Opciones de fase 1 avanzadas de puertas de enlace de IKE . . . . 358 Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 Pestaña General del túnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 Pestaña Identificador proxy de Túnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . 362 Visualización del estado del túnel de IPSec en el cortafuegos . . . . . . . . . . . 362 Palo Alto Networks • 7 Definición de perfiles criptográficos de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . 364 Capítulo 9 Configuración de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Pestaña Configuración de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Pestaña Configuración clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374 Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . 376 Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 Pestaña Configuración clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 Configuración del acceso de la puerta de enlace a un gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 Creación de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385 Pestaña Dispositivo móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Pestaña Administración de parches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Pestaña Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Pestaña Antispyware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Pestaña Copia de seguridad de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 Pestaña Cifrado de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Pestaña Prevención de pérdida de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . 394 Pestaña Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 394 Configuración de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 Configuración y activación del agente de GlobalProtect . . . . . . . . . . . . . . . . . . 396 Configuración del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Capítulo 10 Configuración de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . 399 Configuración de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . 399 Definición de perfiles de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Definición de políticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Visualización de estadísticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Capítulo 11 Gestión centralizada del dispositivo mediante Panorama . . . . . . . . . . . 409 Pestaña Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . Configuración de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cómo añadir dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . . 411 414 414 415 418 421 8 • Palo Alto Networks Definición de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421 Objetos y políticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 Aplicación de políticas a un dispositivo específico de un grupo de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 Definición de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 424 Creación de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . . 425 Especificación de dominios de acceso de Panorama para administradores . . . . 428 Compilación de los cambios en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 428 Plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 Cancelación de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Eliminación de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 Gestión de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 Cómo añadir un recopilador de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 Instalación de una actualización de software en un recopilador . . . . . . . . . 438 Definición de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . 438 Generación de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . . . . . . 441 Visualización de la información de implementación del cortafuegos . . . . . . . . . 442 Programación de actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 Programación de exportaciones de configuración . . . . . . . . . . . . . . . . . . . . . . . 444 Actualización del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 Habilitación del reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 Registro del cortafuegos de la serie VM como servicio en el administrador NSX . 450 Actualización de información del administrador de servicios VMware . . . . . 452 Apéndice A Páginas personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 Página de bloqueo de antivirus y antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . 454 Página de bloqueo de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 Página de bloqueo de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 Página de exclusión de descifrado de SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 Página de confort del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 Página de inicio de sesión de VPN SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 Página de notificación de certificado SSL revocado . . . . . . . . . . . . . . . . . . . . . . 458 Página de bloqueo de coincidencia de categoría y filtro de URL . . . . . . . . . . . 458 Página de continuación y cancelación de filtrado de URL . . . . . . . . . . . . . . . . . . 459 Página de bloqueo de aplicación de búsqueda segura de filtro de URL . . . . . . 460 Apéndice B Categorías, subcategorías, tecnologías y características de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 Categorías y subcategorías de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . 461 Tecnologías de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 Características de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 Palo Alto Networks • 9 Apéndice C Compatibilidad con los estándares federales de procesamiento de la información/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Activación del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 Apéndice D Licencias de código abierto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467 Licencia artística . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Licencia pública general de GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Licencia pública general reducida de GNU . . . . . . . . . . . . . . . . . . . . . . . . MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 469 470 475 482 482 486 487 488 Apéndice E Acceso de los cortafuegos a recursos web externos . . . . . . . . . . . . . . . . 489 Base de datos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Base de datos de amenazas/antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . Base de datos de filtrado de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . . Base de datos de filtrado de URL de Brightcloud . . . . . . . . . . . . . . . . . . . WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490 490 490 490 490 Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493 10 • Palo Alto Networks Capítulo 1 Introducción Esta sección proporciona una descripción general del cortafuegos: • “Descripción general del cortafuegos” • “Características y ventajas” • “Interfaces de gestión” Descripción general del cortafuegos El cortafuegos de Palo Alto Networks le permite especificar políticas de seguridad basadas en la identificación precisa de cada una de las aplicaciones que quieran acceder a su red. A diferencia de los cortafuegos tradicionales que únicamente identifican las aplicaciones por su protocolo y número de puerto, este cortafuegos utiliza la inspección de paquetes y una biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y puertos idénticos, así como para identificar aplicaciones potencialmente malintencionadas que no utilicen puertos estándar. Por ejemplo, puede definir políticas de seguridad para aplicaciones específicas, en lugar de basarse en una única política para todas las conexiones al puerto 80. Puede especificar una política de seguridad para cada aplicación identificada con el fin de bloquear o permitir el tráfico basándose en las zonas y direcciones de origen y destino (IPv4 e IPv6). Asimismo, cada política de seguridad puede especificar perfiles de seguridad como protección frente a virus, spyware y otras amenazas. Palo Alto Networks Introducción • 11 Características y ventajas Características y ventajas El cortafuegos ofrece un control detallado del tráfico que tiene permiso para acceder a su red. Las principales características y ventajas incluyen las siguientes: • Cumplimiento de políticas basadas en aplicaciones: El control de acceso según aplicaciones es mucho más eficaz cuando la identificación de las aplicaciones no se basa únicamente en el protocolo y el número de puerto. Se pueden bloquear las aplicaciones de alto riesgo y los comportamientos de alto riesgo, como el intercambio de archivos. El tráfico cifrado con el protocolo Secure Socket Layer (SSL) puede descifrarse e inspeccionarse. • Identificación de usuarios (ID de usuarios): La identificación de usuarios (User-ID) permite que los administradores configuren y apliquen políticas de cortafuegos basadas en usuarios y grupos de usuarios, en lugar de zonas y direcciones de red, o además de estas. El cortafuegos puede comunicarse con numerosos servidores de directorio, como Microsoft Active Directory, eDirectory, SunOne, OpenLDAP y la mayoría de los otros servidores de directorio basados en LDAP para la información de usuarios y grupos proporcionada al cortafuegos. A continuación, esta información puede utilizarse para ofrecer un inestimable método con el que permitir una habilitación de aplicaciones segura que puede definirse por usuario o grupo. Por ejemplo, el administrador podría permitir que una organización utilizara una aplicación basada en Internet y que ninguna otra organización de la empresa pudiera utilizarla. También puede configurar un control detallado de determinados componentes de una aplicación basándose en usuarios y grupos. Consulte “Configuración del cortafuegos para la identificación de usuarios”. • Prevención de amenazas: Los servicios de prevención de amenazas que protegen la red frente a virus, gusanos, spyware y otro tráfico malintencionado pueden variar según la aplicación y el origen del tráfico (consulte “Perfiles de seguridad”). • Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios web inadecuados (consulte “Perfiles de filtrado de URL”). • Visibilidad del tráfico: Los extensos informes, registros y mecanismos de notificación ofrecen una visibilidad detallada del tráfico de aplicaciones y los eventos de seguridad en la red. El centro de comando de aplicación (ACC) de la interfaz web identifica las aplicaciones con mayor tráfico y el más alto riesgo de seguridad (consulte “Informes y logs”). • Versatilidad de red y velocidad: El cortafuegos puede añadirse o sustituir a su cortafuegos existente, y puede instalarse de manera transparente en cualquier red o configurarse para permitir un entorno conmutado o enrutado. Las velocidades de varios gigabits y la arquitectura de un único paso ofrecen todos los servicios sin apenas afectar a la latencia de red. • GlobalProtect: GlobalProtect protege los sistemas cliente, como ordenadores portátiles, que se utilizan a nivel de campo permitiendo iniciar sesión de manera fácil y segura desde cualquier parte del mundo. • Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad ofrece una tolerancia a fallos automática en el caso de cualquier interrupción en el hardware o el software (consulte “Habilitación de HA en el cortafuegos”). 12 • Introducción Palo Alto Networks Interfaces de gestión • Elaboración de análisis e informes sobre software malintencionado: WildFire proporciona análisis e informes detallados sobre el software malintencionado que pasa por el cortafuegos. • Cortafuegos de la serie VM: Proporciona una instancia virtual de PAN-OS situada para su uso en un entorno de centro de datos virtual y adaptada especialmente para implementaciones en nubes privadas y públicas. Se instala en cualquier dispositivo x86 que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar hardware de Palo Alto Networks. • Gestión y Panorama: Cada cortafuegos se gestiona mediante una interfaz web intuitiva o una interfaz de línea de comandos (CLI). Del mismo modo, todos los dispositivos pueden gestionarse de manera centralizada mediante el sistema de gestión centralizado de Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los dispositivos. Interfaces de gestión El cortafuegos admite las siguientes interfaces de gestión. Consulte “Exploradores compatibles” para obtener una lista de los exploradores compatibles. • Interfaz web: La configuración y la supervisión se realizan a través de HTTP o HTTPS desde un explorador web. • CLI: La configuración y la supervisión basadas en texto se realizan a través de Telnet, Secure Shell (SSH) o el puerto de la consola (consulte la Guía de referencia de la interfaz de línea de comandos de PAN-OS). • Panorama: Es un producto de Palo Alto Networks que permite una gestión, una elaboración de informes y un registro basados en Internet para varios cortafuegos. La interfaz de Panorama es parecida a la interfaz web de los dispositivos e incluye funciones de gestión adicionales. Consulte “Gestión centralizada del dispositivo mediante Panorama” para obtener información sobre Panorama. • Protocolo de gestión de red simple (SNMP): Los productos de Palo Alto Networks son compatibles con SNMPv2c y SNMPv3, acceso de solo lectura a través de SNMP y compatibilidad con TRAPS. Consulte “Configuración de destinos de traps SNMP”. • Syslog: Permite la generación de mensajes para uno o más servidores Syslog remotos (consulte “Configuración de servidores Syslog”). • API XML: Proporciona una interfaz basada en la transferencia de estado representacional (REST) para acceder a la configuración de dispositivos, el estado de funcionamiento, informes y capturas de paquetes desde el cortafuegos. Hay disponible un explorador de API en el cortafuegos en https://cortafuegos/api, donde cortafuegos es el nombre de host o la dirección IP del cortafuegos. Este enlace proporciona ayuda sobre los parámetros necesarios para cada tipo de llamada de la API. Hay disponible una guía de uso de la API XML en la comunidad en línea del centro de desarrollo en http://live.paloaltonetworks.com. Palo Alto Networks Introducción • 13 Interfaces de gestión 14 • Introducción Palo Alto Networks Capítulo 2 Primeros pasos Este capítulo describe cómo configurar y comenzar a utilizar el cortafuegos: • “Preparación del cortafuegos” • “Configuración del cortafuegos” • “Uso de la interfaz web del cortafuegos” • “Obtención de ayuda para la configuración del cortafuegos” Preparación del cortafuegos Realice las siguientes tareas para preparar el cortafuegos para la configuración: 1. Monte el cortafuegos en un rack y enciéndalo como se indica en la Guía de referencia de hardware. 2. Registre su cortafuegos en https://support.paloaltonetworks.com para obtener las últimas actualizaciones de software y de identificación de aplicaciones (App-ID) así como activar las suscripciones y asistencia con los códigos de autorización enviados a su cuenta de correo electrónico. 3. Obtenga una dirección IP de su administrador de redes para configurar el puerto de gestión en el cortafuegos. Configuración del cortafuegos Para llevar a cabo la configuración inicial del cortafuegos: 1. Conecte su equipo al puerto de gestión (MGT) en el cortafuegos utilizando un cable Ethernet RJ-45. 2. Encienda su equipo. Asigne una dirección IP estática a su equipo en la red 192.168.1.0 (por ejemplo, 192.168.1.5) con una máscara de red de 255.255.255.0. 3. Inicie un explorador web compatible e introduzca https://192.168.1.1. El explorador abre la página de inicio de sesión de Palo Alto Networks automáticamente. Palo Alto Networks Primeros pasos • 15 Configuración del cortafuegos 4. Introduzca admin en los campos Nombre y Contraseña y haga clic en Inicio de sesión. El sistema presenta una advertencia para cambiar la contraseña predeterminada. Haga clic en ACEPTAR para continuar. 5. En la pestaña Dispositivo, seleccione Configuración y configure lo siguiente (para obtener instrucciones generales acerca de los ajustes de configuración en la interfaz web, consulte “Uso de la interfaz web del cortafuegos”): – En la pestaña Administración en Configuración de interfaz de gestión, introduzca la dirección IP, la máscara de red y la puerta de enlace predeterminada del cortafuegos. – En la pestaña Servicios, introduzca la dirección IP del servidor DNS (Domain Name System). Introduzca la dirección IP o el nombre de dominio o de host del servidor de protocolo de tiempo de red (NTP) y seleccione su zona horaria. – Haga clic en Asistencia en el menú lateral. Si se trata del primer cortafuegos de Palo Alto Networks para su empresa, haga clic en Registrar dispositivo para registrar el cortafuegos. (Si ya ha registrado un cortafuegos, ha recibido un nombre de usuario y contraseña.) Haga clic en el enlace Activar soporte mediante código de autorización e introduzca los códigos de autorización recibidos para cualquier función adicional. Utilice un espacio para separar varios códigos de autorización. 6. Haga clic en Administradores bajo la pestaña Dispositivos. 7. Haga clic en admin. 8. En los campos Nueva contraseña y Confirmar nueva contraseña, introduzca y confirme una contraseña que distingue entre mayúsculas y minúsculas (hasta 15 caracteres). 9. Haga clic en ACEPTAR para enviar la nueva contraseña. 10. Compile la configuración para activar estos ajustes. Una vez compile los cambios, el cortafuegos será alcanzable a través de la dirección IP asignada en Paso 5. Para obtener información acerca de la compilación de cambios, consulte “Compilación de cambios”. La configuración predeterminada de fábrica del cortafuegos o después de realizar un restablecimiento de fábrica es un cable virtual (Virtual Wire) entre los puertos Ethernet 1 y 2 con una política predeterminada para denegar todo el tráfico entrante y seguir todo el tráfico saliente. 16 • Primeros pasos Palo Alto Networks Uso de la interfaz web del cortafuegos Uso de la interfaz web del cortafuegos Se aplican las siguientes convenciones cuando utilice la interfaz del cortafuegos. • Para mostrar los elementos del menú para una categoría de funciones general, haga clic en la pestaña, como Objetos o Dispositivo, junto a la parte superior de la ventana del explorador. • Haga clic en un elemento en el menú lateral para mostrar un panel. • Para mostrar los elementos del menú secundario, haga clic en el icono a la izquierda de un elemento. Para ocultar elementos del menú secundario, haga clic en el icono la izquierda del elemento. a • En la mayoría de las páginas de configuración, puede hacer clic en Añadir para crear un nuevo elemento. • Para eliminar uno o más elementos, seleccione sus casillas de verificación y haga clic en Eliminar. En la mayoría de los casos, el sistema Ie solicita confirmar haciendo clic en ACEPTAR o cancelar la eliminación haciendo clic en Cancelar. • En algunas páginas de configuración, puede seleccionar la casilla de verificación de un elemento y hacer clic en Duplicar para crear un nuevo elemento con la misma información que el elemento seleccionado. Palo Alto Networks Primeros pasos • 17 Uso de la interfaz web del cortafuegos • Para modificar un elemento, haga clic en su enlace subrayado. • Para visualizar información de ayuda en una página, haga clic en el icono Ayuda en el área superior derecha de la página. • Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior derecha de la página. La ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la lista desplegable Mostrar para filtrar la lista de tareas. • Si no se define una preferencia de idioma, el idioma de la interfaz web estará controlado por el idioma actual del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que utiliza para gestionar el cortafuegos tiene como idioma establecido el español, cuando inicia sesión en el cortafuegos, la interfaz web estará en español. Para especificar un idioma que se utilizará siempre para una cuenta dada en lugar del idioma del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la página y se abrirá la ventana Preferencia de idioma. Haga clic en la lista desplegable para seleccionar el idioma que desee y haga clic en ACEPTAR para guardar los cambios. 18 • Primeros pasos Palo Alto Networks Uso de la interfaz web del cortafuegos • En páginas donde aparecen informaciones que puede modificar (por ejemplo, la página Configuración en la pestaña Dispositivos), haga clic en el icono en la esquina superior derecha de una sección para editar los ajustes. • Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para almacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuración actual de “candidato”. Compilación de cambios Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de diálogo compilar. Las siguientes opciones están disponibles en el cuadro de diálogo compilar. Haga clic en el enlace Avanzado, si es necesario, para mostrar las opciones: – Incluir configuración de dispositivo y red: Incluir los cambios de configuración de dispositivo y red en la operación de compilación. – Incluir configuración de objeto compartido: (solo cortafuegos de sistemas virtuales) Incluir los cambios de configuración de objetos compartidos en la operación de compilación. – Incluir políticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios de configuración de objetos y políticas en la operación de compilación. Palo Alto Networks Primeros pasos • 19 Uso de la interfaz web del cortafuegos – Incluir configuración del sistema virtual: Incluir todos los sistemas virtuales o elegir Seleccionar uno o más sistemas virtuales. Para obtener más información acerca de la compilación de cambios, consulte “Definición de la configuración de operaciones”. – Vista previa de cambios: Haga clic en este botón para devolver una ventana con dos paneles que muestra los cambios propuestos en la configuración del candidato en comparación con la configuración actualmente en ejecución. Puede seleccionar el número de líneas de contexto para mostrar o mostrar todas las líneas. Los cambios están indicados con colores dependiendo de los elementos que se han agregado, modificado o eliminado. La función Dispositivo > Auditoría de configuraciones realiza la misma función, consulte “Comparación de archivos de configuración”. Navegación a páginas de configuración Cada sección de configuración en la guía muestra la ruta del menú a la página de configuración. Por ejemplo, para llegar a la página Protección de vulnerabilidades, seleccione la pestaña Objetos y luego seleccione Protección de vulnerabilidades en Perfiles de seguridad del menú lateral. Eso está indicado en esta guía con la siguiente ruta: Objetos > Perfiles de seguridad > Protección de vulnerabilidades Uso de tablas en páginas de configuración Las tablas en las páginas de configuración incluyen opciones para escoger columnas y orden. Haga clic en el encabezado de una columna para ordenar en esa columna y haga clic de nuevo para cambiar el orden. Haga clic en la flecha a la derecha de cualquier columna y seleccione casillas de verificación para elegir qué columnas mostrar. Campos obligatorios Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratón o hace clic en el área de entrada del campo, aparece un mensaje indicando que el campo es obligatorio. 20 • Primeros pasos Palo Alto Networks Uso de la interfaz web del cortafuegos Bloqueo de transacciones La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de configuración o compilación de información por otro administrador hasta que se elimine el bloqueo. Se permiten los siguientes tipos de bloqueo: • Bloqueo de configuración: Bloquea la realización de cambios en la configuración por otros administradores. Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. Solo puede eliminarse por el administrador que lo configuró o por un superusuario del sistema. • Bloqueo de compilación: Bloquea los cambios de compilación por parte de otros administradores hasta que se liberen todos los bloqueos. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando dos administradores están realizando cambios a la vez y el primer administrador finaliza y compila cambios antes de que finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios actuales por el administrador que aplicó el bloqueo o de forma manual. Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones actuales que están bloqueadas junto con una marca de tiempo para cada una. Para bloquear una transacción, haga clic en el icono desbloqueado en la barra superior para abrir el cuadro de diálogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el ámbito del bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales como sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. La transacción está bloqueada y el icono en la barra superior cambia por un icono bloqueado que muestra el número de elementos bloqueados en las paréntesis. Para desbloquear una transacción, haga clic en el icono bloqueado en la barra superior para abrir la ventana Bloqueos. Haga clic en el icono del bloqueo que desea eliminar y haga clic en Sí para confirmar. Haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. Puede organizar la adquisición de un bloqueo de compilación de forma automática seleccionando la casilla de verificación Adquirir bloqueo de compilación automáticamente en el área de administración de la página Configuración de dispositivo. Consulte “Configuración del sistema, configuración y gestión de licencias”. Palo Alto Networks Primeros pasos • 21 Obtención de ayuda para la configuración del cortafuegos Exploradores compatibles Los siguientes exploradores web son compatibles para acceder a la interfaz web del cortafuegos: • Internet Explorer 7+ • Firefox 3.6+ • Safari 5+ • Chrome 11+ Obtención de ayuda para la configuración del cortafuegos Utilice la información que aparece en esta sección para obtener ayuda acerca del uso del cortafuegos. Cómo obtener más información Para obtener más información acerca del cortafuegos, consulte: • Información general: Visite http://www.paloaltonetworks.com. • Documentación: Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el cortafuegos, consulte https://www.paloaltonetworks.com/documentation. • Ayuda en línea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web para acceder al sistema de ayuda en línea. • Base de conocimientos: Para acceder a la base de conocimientos, área de colaboración para la interacción cliente/socio, foros foros de debate y vídeos, vaya a https://live.paloaltonetworks.com. Asistencia técnica Para obtener asistencia técnica, información sobre los programas de asistencia técnica o gestionar la cuenta o los dispositivos, vaya a https://support.paloaltonetworks.com. 22 • Primeros pasos Palo Alto Networks Capítulo 3 Gestión de dispositivos Utilice las siguientes secciones para obtener referencia de campo sobre la configuración de sistema básica y tareas de mantenimiento en el cortafuegos: • “Configuración del sistema, configuración y gestión de licencias” • “Definición de orígenes de información de VM” • “Instalación de software” • “Actualización de definiciones de aplicaciones y amenazas” • “Funciones, perfiles y cuentas de administrador” • “Configuración de perfiles de autenticación” • “Configuración de una secuencia de autenticación” • “Creación un perfil de certificados” • “Programación de exportaciones de logs” • “Definición de destinos de logs” • “Definición de la configuración del log Alarma” • “Configuración de ajustes de flujo de red” • “Uso de certificados” • “Cifrado de claves privadas y contraseñas del cortafuegos” • “Habilitación de HA en el cortafuegos” • “Definición de sistemas virtuales” • “Definición de páginas de respuesta personalizadas” • “Visualización de información de asistencia técnica” Palo Alto Networks Gestión de dispositivos • 23 Configuración del sistema, configuración y gestión de licencias En las siguientes secciones se describe cómo definir la configuración de red para el acceso de gestión (el cual define las rutas de servicio y los servicios), y cómo gestionar las opciones de configuración (como los tiempos de espera de sesión globales, identificación de contenido, análisis e informes de software malintencionado de WildFire): • “Definición de la configuración de gestión” • “Definición de la configuración de operaciones” • “Definición de módulos de seguridad de hardware” • “SNMP” • “Definición de la configuración de servicios” • “Definición de la configuración de ID de contenido (content-id)” • “Configuración de ajustes de WildFire” • “Definición de la configuración de sesión” • “Comparación de archivos de configuración” • “Instalación de una licencia” Definición de la configuración de gestión Dispositivo > Configuración > Gestión Panorama > Configuración > Gestión En un cortafuegos, utilice la pestaña Dispositivo > Configuración > Gestión para configurar la configuración de gestión. En Panorama, utilice la pestaña Dispositivo > Configuración > Gestión para configurar los cortafuegos usando plantillas de Panorama. Utilice la pestaña Panorama > Configuración > Gestión para configurar los ajustes de Panorama. Para la gestión de cortafuegos, de forma optativa también puede utilizar la dirección IP de una interfaz de loopback para el puerto de gestión (consulte “Configuración de una interfaz de loopback”). 24 • Gestión de dispositivos Palo Alto Networks Tabla 1. Configuración de gestión Elemento Descripción Configuración general Nombre de host Introduzca un nombre de host (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Dominio Introduzca el nombre de dominio completo (FQDN) del cortafuegos (de hasta 31 caracteres). Titular de inicio de sesión Introduzca el texto personalizado que aparecerá en la página de inicio de sesión del cortafuegos. El texto se muestra debajo de los campos Nombre y Contraseña. Zona horaria Seleccione la zona horaria del cortafuegos. Configuración regional Seleccione un idioma para los informes en PDF de la lista desplegable. Consulte “Gestión de informes de resumen en PDF”. Aunque haya establecido una preferencia de idioma específica para la interfaz web, los informes en PDF seguirán utilizando el idioma especificado en este ajuste de configuración regional. Consulte las preferencias de idioma en “Uso de la interfaz web del cortafuegos”. Fecha y hora Número de serie (solo máquinas virtuales) Para establecer la fecha y la hora del cortafuegos, haga clic en Establecer fecha y hora. Introduzca la fecha actual en (AAAA/MM/DD) o haga clic en el icono de calendario para seleccionar un mes y un día. Introduzca la hora actual con el formato de 24 horas (HH:MM:SS). También puede definir un servidor NTP desde Dispositivo > Configuración > Servicios. Introduzca el número de serie del cortafuegos/Panorama. Busque el número de serie en el correo electrónico de ejecución de pedido que se le ha enviado. Ubicación geográfica Introduzca la latitud (de -90,0 a 90,0) y la longitud (de -180,0 a 180,0) del cortafuegos. Adquirir bloqueo de compilación automáticamente Aplique automáticamente un bloqueo de compilación cuando cambie la configuración candidata. Para obtener más información, consulte “Bloqueo de transacciones”. Comprobación del vencimiento del certificado Indique al cortafuegos que deberá crear mensajes de advertencia cuando se acerque la fecha de vencimiento de los certificados integrados. Capacidad de cortafuegos virtuales Activa el uso de varios sistemas virtuales (si el modelo de cortafuegos admite esa función). Para obtener más información, consulte “Definición de sistemas virtuales”. Configuración de autenticación Perfil de autenticación Seleccione el perfil de autenticación que debe utilizar el administrador para acceder al cortafuegos. Para obtener instrucciones sobre cómo configurar perfiles de autenticación, consulte “Configuración de perfiles de autenticación”. Perfil del certificado Seleccione el perfil del certificado que debe utilizar el administrador para acceder al cortafuegos. Para obtener instrucciones sobre cómo configurar perfiles de autenticación, consulte “Creación un perfil de certificados”. Palo Alto Networks Gestión de dispositivos • 25 Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Tiempo de espera de inactividad Introduzca el intervalo de tiempo de espera en minutos (0-1440). Si el valor es 0, la sesión de gestión, web o de CLI no presenta ningún tiempo de espera. N.º de intentos fallidos Introduzca el número de intentos de inicio de sesión fallidos (0-10, predeterminado 0) que PAN-OS permite para la interfaz web y la CLI antes de bloquear la cuenta. Un valor de 0 significa que el número de intentos es ilimitado. Tiempo de bloqueo Introduzca el número de minutos (0-60) que PAN-OS bloquea a un usuario si se alcanza el límite de N.º de intentos fallidos. El valor predeterminado de 0 significa que el número de intentos es ilimitado. Ajustes de Panorama: Dispositivo > Configuración > Gestión Si usa Panorama para gestionar el cortafuegos, configure los siguientes ajustes en el cortafuegos o en una plantilla de Panorama. Estos ajustes establecen una conexión entre el cortafuegos y Panorama y determinan los tiempos de espera de la conexión. Si edita la configuración en un cortafuegos (no en una plantilla en Panorama), también puede activar o desactivar la propagación de políticas, objetos, grupos de dispositivos e información de plantilla desde Panorama al cortafuegos. Nota: También debe configurar los tiempos de espera y los ajustes de uso compartido del objeto en Panorama: consulte “Ajustes de Panorama: Panorama > Configuración > Gestión”. Servidores de Panorama Introduzca la dirección IP del servidor de Panorama. Si Panorama tiene una configuración de alta disponibilidad (HA), introduzca la dirección IP del servidor secundario de Panorama en el segundo campo Servidores de Panorama. Tiempo de espera de recepción para conexión a Panorama Introduzca el tiempo de espera para recibir mensajes de TCP de Panorama (1-240 segundos; valor predeterminado: 240). Tiempo de espera de envío para conexión a Panorama Introduzca el tiempo de espera para enviar mensajes de TCP a Panorama (1-240 segundos; valor predeterminado: 240). Reintentar recuento de envíos SSL a Panorama Introduzca el número de reintentos para enviar mensajes de capa de sockets seguros (SSL) a Panorama (1-64; valor predeterminado: 25). 26 • Gestión de dispositivos Palo Alto Networks Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Deshabilitar/Habilitar objetos y política de Panorama Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). De forma predeterminada, Panorama propaga las políticas y objetos que se definen para un grupo de dispositivos a los cortafuegos asignados a ese grupo. Si hace clic en Desactivar política y objetos de Panorama, se desactiva esa propagación. De forma predeterminada, esta operación también elimina estas políticas y objetos del cortafuegos. Para conservar una copia local de las políticas y objetos del grupo de dispositivos del cortafuegos antes de desactivar la propagación, en el cuadro de diálogo que abre el botón, seleccione la casilla de verificación Importar política y objetos de Panorama antes de desactivar. En ese momento, cuando hace clic en Aceptar, PAN-OS copia las políticas y objetos en la configuración candidata actual. Después de realizar una compilación, las políticas y objetos pasan a formar parte de la configuración del cortafuegos: Panorama deja de gestionarlos. En condiciones normales de funcionamiento, desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración del cortafuegos. Esta opción suele aplicarse a situaciones en las que el cortafuegos necesita reglas y valores de objeto distintos a los definidos en el grupo de dispositivos. Un ejemplo de situación es cuando saca un cortafuegos de la producción y lo introduce en un entorno de laboratorio para realizar pruebas. Para invertir la política de cortafuegos y la gestión de objetos en Panorama, haga clic en Habilitar objetos y política de Panorama. Deshabilitar/habilitar plantilla de dispositivo y red Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). De forma predeterminada, Panorama propaga las configuraciones de dispositivo y red definidas para una plantilla a los cortafuegos asignados a esa plantilla. Si hace clic en Deshabilitar plantilla de dispositivo y red, desactivará la propagación. De forma predeterminada, esta operación también elimina la información de plantilla del cortafuegos. Para conservar una copia local de la información de plantilla del cortafuegos antes de desactivar la propagación, en el cuadro de diálogo que se abre al hacer clic en el botón, seleccione la casilla de verificación Importar plantillas de dispositivos y red antes de deshabilitarlas. En ese momento, cuando hace clic en Aceptar, PAN-OS copia la información definida en la plantilla en la configuración candidata actualgdel cortafuegos. Después de realizar una compilación, la información de la plantilla pasa a formar parte de la configuración del cortafuegos: Panorama deja de gestionar esa información. En condiciones normales de funcionamiento, desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración del cortafuegos. Esta opción suele aplicarse a situaciones en las que el cortafuegos necesita reglas y valores de objeto distintos a los definidos en el grupo de dispositivos. Un ejemplo de situación es cuando saca un cortafuegos de la producción y lo introduce en un entorno de laboratorio para realizar pruebas. Para que el cortafuegos deje de aceptar plantillas, haga clic en Habilitar plantilla de dispositivo y red. Palo Alto Networks Gestión de dispositivos • 27 Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Ajustes de Panorama: Panorama > Configuración > Gestión Si usa Panorama para gestionar los cortafuegos, configure los siguientes ajustes en Panorama. Estos ajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones entre Panorama y los cortafuegos gestionados, así como los parámetros de uso compartido de los objetos. Nota: También debe configurar los ajustes de conexión de Panorama en el cortafuegos o en una plantilla en Panorama: consulte “Ajustes de Panorama: Dispositivo > Configuración > Gestión”. Tiempo de espera de recepción para conexión a dispositivo Introduzca el tiempo de espera para recibir mensajes de TCP de todos los cortafuegos gestionados (1-240 segundos; valor predeterminado: 240). Enviar tiempo de espera de conexión a dispositivo Introduzca el tiempo de espera para enviar mensajes de TCP a todos los cortafuegos gestionados (1-240 segundos; valor predeterminado: 240). Reintentar recuento de envío SSL a dispositivo Introduzca el número de reintentos para enviar mensajes de capa de sockets seguros (SSL) a los cortafuegos gestionados (1-64; valor predeterminado: 25). Compartir dirección sin utilizar y objetos de servicio con dispositivos Seleccione esta casilla de verificación para compartir todos los objetos compartidos de Panorama y los objetos específicos de grupos de dispositivos con cortafuegos gestionados. Este ajuste está deshabilitado de manera predeterminada. Si desactiva la casilla de verificación, PAN-OS busca en las políticas de Panorama referencias a direcciones, grupos de direcciones, servicios y objetos de grupo de servicio y no comparte ningún objeto sin referencia. Esta opción reduce el recuento total de objetos asegurándose de que PAN-OS solo envía los objetos necesarios a cortafuegos gestionados. Los objetos compartidos tienen prioridad Seleccione la casilla de verificación para especificar que los objetos compartidos preceden a los objetos de grupos de dispositivos. En este caso, los objetos de grupos de dispositivos no pueden cancelar los objetos correspondientes con el mismo nombre de una ubicación compartida; PAN-OS descarta cualquier objeto de un grupo de dispositivos con el mismo nombre que un objeto compartido. De forma predeterminada, se desactiva este ajuste del sistema: los grupos de dispositivos cancelan los objetos correspondientes que tengan el mismo nombre. 28 • Gestión de dispositivos Palo Alto Networks Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Configuración de interfaz de gestión Esta interfaz se aplica al cortafuegos, dispositivo M-100 de Panorama o dispositivo virtual de Panorama. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestión (MGT) para configuración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo, si configura Eth1 o Eth2 para la recopilación de logs o comunicación de grupos del recopilador, se recomienda definir una subred distinta para la interfaz MGT que sea más privada que las subredes Eth1 o Eth2. Defina la subred de la Máscara de red (para IPv4) o el campo Dirección IPv6/longitud de prefijo (para IPv6). El dispositivo virtual de Panorama no admite interfaces separadas. Nota: Para completar la configuración de la interfaz de gestión, debe especificar la dirección IP, la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una configuración parcial (por ejemplo, podría omitir la puerta de enlace predeterminada), solo puede acceder al dispositivo a través del puerto de la consola para futuros cambios de configuración. Recomendamos que compile una configuración completa. Dirección IP (IPv4) Si la red utiliza IPv4, asigne una dirección IPv4 al puerto de gestión. De forma alternativa, puede asignar la dirección IP de una interfaz de loopback para la gestión de dispositivos. De manera predeterminada, esta es la dirección de origen para el reenvío de logs. Máscara de red (IPv4) Si ha asignado una dirección IPv4 al puerto de gestión, introduzca una máscara de red (por ejemplo, 255.255.255.0). Puerta de enlace predeterminada Si ha asignado una dirección IPv4 al puerto de gestión, asigne una dirección IPv4 al enrutador predeterminado (debe estar en la misma subred que el puerto de gestión). Dirección IPv6/longitud de prefijo Si la red utiliza IPv6, asigne una dirección IPv6 al puerto de gestión. Para indicar la máscara de red, introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 al puerto de gestión, asigne una dirección IPv6 al enrutador predeterminado (debe estar en la misma subred que el puerto de gestión). Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz de gestión. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dúplex completo o medio. Utilice el ajuste de negociación automática predeterminado para que el dispositivo (Panorama o el cortafuegos) determine la velocidad de interfaz. Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500, opción predeterminada 1500). Servicios Seleccione los servicios que quiere que se habiliten en la dirección de interfaz de gestión especificada: HTTP, OCSP de HTTP, HTTPS, Telnet, SSH (Secure Shell), Ping, SNMP, ID de usuario (User-ID), SSL de escucha de Syslog de ID de usuario, UDP de escucha de Syslog de ID de usuario. Palo Alto Networks Gestión de dispositivos • 29 Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de cortafuegos. Cuando utilice esta opción para el dispositivo M-100 de Panorama, agregue la dirección IP de cada cortafuegos gestionado o, de lo contrario, el cortafuegos no podrá conectar ni reenviar logs a Panorama, ni recibir actualizaciones de configuración. Ajustes de la interfaz Eth1 Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panorama ni el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestión para configuración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo, si habilita Eth1, puede configurarlo para la recopilación de logs o comunicación de grupos de recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados). Nota: No puede compilar la configuración de Eth1 a no ser que especifique la dirección IP, la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Eth1 Seleccione esta casilla de verificación para activar la interfaz Eth1. Dirección IP (IPv4) Si la red utiliza IPv4, asigne una dirección IPv4 al puerto Eth1. Máscara de red (IPv4) Si ha asignado una dirección IPv4 al puerto, introduzca una máscara de red (por ejemplo, 255.255.255.0). Puerta de enlace predeterminada Si ha asignado una dirección IPv4 al puerto, asigne una dirección IPv4 al enrutador predeterminado (debe estar en la misma subred que el puerto Eth1). Dirección IPv6/longitud de prefijo Si la red utiliza IPv6, asigne una dirección IPv6 al puerto Eth1. Para indicar la máscara de red, introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 al puerto, asigne una dirección IPv6 al enrutador predeterminado (debe estar en la misma subred que el puerto Eth1). Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth1. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dúplex completo o medio. Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz. Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500, opción predeterminada 1500). Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth1. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth1. Ajustes de la interfaz Eth2 Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panorama ni el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestión para configuración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo, si habilita Eth2, puede configurarlo para la recopilación de logs o comunicación de grupos de recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados). Nota: No puede compilar la configuración de Eth2 a no ser que especifique la dirección IP, la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Eth2 30 • Gestión de dispositivos Seleccione esta casilla de verificación para activar la interfaz Eth2. Palo Alto Networks Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Dirección IP (IPv4) Si la red utiliza IPv4, asigne una dirección IPv4 al puerto Eth2. Máscara de red (IPv4) Si ha asignado una dirección IPv4 al puerto, introduzca una máscara de red (por ejemplo, 255.255.255.0). Puerta de enlace predeterminada Si ha asignado una dirección IPv4 al puerto, asigne una dirección IPv4 al enrutador predeterminado (debe estar en la misma subred que el puerto Eth2). Dirección IPv6/longitud de prefijo Si la red utiliza IPv6, asigne una dirección IPv6 al puerto Eth2. Para indicar la máscara de red, introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Puerta de enlace IPv6 predeterminada Si ha especificado una dirección IPv6 al puerto, asigne una dirección IPv6 al enrutador predeterminado (debe estar en la misma subred que el puerto Eth2). Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth2. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dúplex completo o medio. Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz. Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500, opción predeterminada 1500). Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth2. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth2. Palo Alto Networks Gestión de dispositivos • 31 Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Configuración de log e informes Utilice esta sección de la interfaz para modificar para modificar las siguientes opciones: • Cuotas de almacenamiento de logs para el cortafuegos (Dispositivo > Configuración > Gestión). • Cuotas de almacenamiento de logs para una máquina virtual de Panorama VM o en un dispositivo M-100 en modo Panorama (Panorama > Configuración > Gestión). Nota: Para configurar las cuotas para cada tipo de log en un dispositivo M-100 en modo de recopilador de logs, seleccione Panorama > Grupos de recopiladores > General y seleccione el enlace Almacenamiento de log. Consulte “Instalación de una actualización de software en un recopilador”. • Atributos para calcular y exportar informes de actividad de usuarios. • Informes predefinidos creados en el cortafuegos/Panorama. 32 • Gestión de dispositivos Palo Alto Networks Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Pestaña secundaria Almacenamiento de log Especifique el porcentaje de espacio asignado a cada tipo de log en el disco duro. (El cortafuegos PA-7050 tiene Almacenamiento de tarjeta de log y Almacenamiento de tarjeta de gestión) Al cambiar un valor de porcentaje, la asignación de disco asociada cambia automáticamente. Si el total de todos los valores supera el 100%, aparecerá un mensaje en la página de color rojo y un mensaje de error cuando intente guardar la configuración. Si esto sucede, reajuste los porcentajes de modo que el total quede por debajo del límite del 100%. Haga clic en ACEPTAR para guardar la configuración y en Restablecer valores predeterminados para restablecer todos los ajustes predeterminados. El cortafuegos PA-7050 almacena los logs en la tarjeta de procesamiento de logs (LPC) y en la tarjeta de gestión de conmutadores (SMC) y de esta forma divide las cuotas de registro en estas dos áreas. La pestaña Almacenamiento de log tiene la configuración de la cuota para el tráfico del tipo de datos en la LPC (por ejemplo, logs de tráfico y amenazas). El almacenamiento de la tarjeta de gestión tiene configuración de cuota para el tráfico de tipo de gestión almacenado en la SMC (por ejemplo, los logs de configuración, los logs del sistema y logs de alarmas). Nota: Cuando un log alcanza el tamaño máximo, el cortafuegos empieza a sustituir las entradas del log más antiguas por las nuevas. Si reduce el tamaño de un log, el cortafuegos elimina los logs más antiguos cuando compila los cambios. Palo Alto Networks Gestión de dispositivos • 33 Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Pestaña secundaria Exportación e informes de log Número de versiones para auditoría de configuraciones: Introduzca el número de versiones de configuración que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). Puede utilizar estas versiones guardadas para auditar y comparar cambios en la configuración. Máx. de filas en exportación CSV: Introduzca el número máximo de filas que aparecerán en los informes CSV generados desde el icono Exportar a CSV de la vista de logs de tráfico (rango 1-1048576, valor predeterminado: 5000). Máx. de filas en informe de actividad de usuario: Introduzca el número máximo de filas que se admite para los informes de actividad de usuario detallada (1-1048576; valor predeterminado: 65535). Número de versiones para Configurar copias de seguridad: (Solo Panorama) Introduzca el número de copias de seguridad de configuraciones que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). Tiempo medio de exploración (seg): Configure esta variable para ajustar cómo se calcula el tiempo de exploración en el informe de actividad de usuario. El cálculo ignorará los sitios categorizados como anuncios web y redes de entrega de contenido. El cálculo del tiempo de exploración se basa en las páginas contenedoras registradas en los logs de filtrado de URL. Las páginas contenedoras se utilizan como base para este cálculo debido a que muchos sitios cargan contenido de sitios externos que no debería considerarse. Para obtener más información sobre la página contenedora, consulte “Páginas contenedoras”. El ajuste de tiempo medio de exploración es el tiempo medio que el administrador considera que tardará un usuario en explorar una página web. Cualquier solicitud realizada después de que haya transcurrido el tiempo medio de exploración se considerará una nueva actividad de exploración. El cálculo ignorará las páginas web nuevas que se carguen entre el momento de la primera solicitud (hora de inicio) y el tiempo medio de exploración. Este comportamiento se ha diseñado para excluir los sitios externos que se carguen dentro de la página web de interés Ejemplo: si el tiempo medio de exploración es de 2 minutos y un usuario abre una página web y visualiza dicha página durante 5 minutos, el tiempo de exploración de dicha página seguirá siendo de 2 minutos. Esto es así porque no hay forma de determinar durante cuánto tiempo un usuario visualiza una página concreta. (Rango: 0-300 segundos; valor predeterminado: 60 segundos) Umbral de carga de página (seg): Esta opción le permite ajustar el tiempo previsto que tardan los elementos de una página en cargarse en la página. Cualquier solicitud que se produzca entre la primera carga de la página y el umbral de carga de página se considerará que son elementos de la página. Cualquier solicitud que se produzca fuera del umbral de carga de página se considerará que es el usuario haciendo clic en un enlace de la página. El umbral de carga de página también se utiliza en los cálculos para el informe de actividad de usuario. (Rango: 0-60 segundos; valor predeterminado: 20 segundos) Formato de nombre de host de Syslog: Seleccione si desea utilizar el nombre de dominio completo (FQDN), el nombre de host, la dirección IP (v4 o V6) en el encabezado del mensaje de Syslog; este encabezado identifica el cortafuegos/Panorama desde el que se origina el mensaje. 34 • Gestión de dispositivos Palo Alto Networks Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Detener tráfico cuando LogDb esté lleno: Seleccione la casilla de verificación si desea que se detenga el tráfico a través del cortafuegos cuando la base de datos de logs esté llena (desactivada de manera predeterminada). Habilitar log con carga alta: Seleccione esta casilla de verificación si desea que se genere una entrada de log del sistema cuando la carga de procesamiento del paquete del cortafuegos esté al 100% de la utilización de la CPU. Una carga alta de CPU puede degradar el funcionamiento porque la CPU no tiene suficientes ciclos para procesar todos los paquetes. El log del sistema le avisa sobre este problema (se genera una entrada de log cada minuto) y le permite investigar la posible causa. De forma predeterminada, esta opción está deshabilitada. (Solo en Panorama) Reenvío de log en búfer desde dispositivo: Permite al cortafuegos almacenar en búfer las entradas de log en su disco duro (almacenamiento local) cuando pierde la conexión con Panorama. Cuando se restaura la conexión con Panorama, la entradas de log se reenvían a la aplicación; el espacio en disco disponible para el almacenamiento en búfer depende de la cuota de almacenamiento de logs para la plataforma y el volumen de los logs que quedan por ejecutar. Si se consume el espacio, las entradas más antiguas se eliminarán para permitir el registro de nuevos eventos. De forma predeterminada, esta opción está habilitada. Obtener únicamente nuevos logs al convertir a principal: Esta opción solo es aplicable cuando Panorama escribe logs en un recurso compartido de archivos de red (NFS). Con los logs de NFS solo se monta la instancia principal de Panorama en el NFS. Por lo tanto, los cortafuegos solo envían logs en la instancia activa principal de Panorama. Esta opción permite que un administrador configure los cortafuegos gestionados para que solo envíen los logs recién generados a Panorama cuando se produce un error de HA y la instancia secundaria de Panorama continúa creando logs para el NFS (después de promocionarse como principal). Este comportamiento suele habilitarse para impedir que los cortafuegos envíen grandes volúmenes de logs almacenados en búfer cuando se restablezca la conexión con Panorama después de un período de tiempo significativo. Solo logs principales activos al disco local: le permite configurar solo la instancia principal activa para guardar logs en el disco local. Esta opción es válida para una máquina virtual de Panorama con un disco virtual y para el dispositivo M-100 en modo Panorama. Palo Alto Networks Gestión de dispositivos • 35 Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Informes predefinidos: Hay informes predefinidos para aplicación, tráfico, amenazas y filtrado de URL disponibles en el cortafuegos y en Panorama. De forma predeterminada, estos informes predefinidos están habilitados. Debido a que los cortafuegos consumen recursos de memoria para generar resultados cada hora (y enviarlos a Panorama cuando se agrega y se compila para visualización), puede deshabilitar los informes que no sean relevantes, reduciendo así el uso de memoria; para deshabilitar un informe, quite la marca de la casilla de verificación de los mismos. Utilice las opciones Seleccionar todo o Anular selección para habilitar o deshabilitar completamente la generación de los informes predefinidos. Nota: Antes deshabilitar un informe, asegúrese de que no se incluye en ningún informe de grupos o informe PDF. Si un informe predefinido forma parte de un conjunto de de informes y se deshabilita, el conjunto de informes al completo dejará de contener datos. Complejidad de contraseña mínima Habilitado Habilite los requisitos de contraseña mínimos para cuentas locales. Con esta función, puede garantizar que las cuentas de administrador locales del cortafuegos cumplan un conjunto definido de requisitos de contraseña. También puede crear un perfil de contraseña con un subconjunto de estas opciones que cancelará estos ajustes y que puede aplicarse a cuentas específicas. Para obtener más información, consulte “Definición de perfiles de contraseña”. Consulte “Definición de funciones de administrador” para obtener información sobre los caracteres válidos que pueden utilizarse en las cuentas. Note: La longitud de contraseña máxima que puede introducirse es de 31 caracteres. Al ajustar los requisitos, asegúrese de no crear una combinación que no pueda aceptarse. Por ejemplo, no puede establecer un requisito de 10 mayúsculas, 10 minúsculas, 10 números y 10 caracteres especiales, ya que esto excedería la longitud máxima de 31. Note: Si tiene configurada la alta disponibilidad (HA), utilice siempre el dispositivo principal cuando configure opciones de complejidad de contraseña y compile lo antes posible después de realizar cambios. Longitud mínima Exija una longitud mínima de 1-15 caracteres. Letras en mayúscula mínimas Exija un número mínimo de letras en mayúscula de 0-15 caracteres. Letras en minúscula mínimas Exija un número mínimo de letras en minúscula de 0-15 caracteres. Letras numéricas mínimas Exija un número mínimo de letras numéricas de 0-15 números. Caracteres especiales mínimos Exija un número mínimo de caracteres especiales (no alfanuméricos) de 0-15 caracteres. Bloquear caracteres repetidos No permita caracteres repetidos basándose en el valor especificado. Por ejemplo, si el valor se establece como 4, la contraseña prueba2222 no se aceptará, pero prueba222 sí se aceptará (rango: 2-15). 36 • Gestión de dispositivos Palo Alto Networks Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Bloquear inclusión de nombre de usuario (incluida su inversión) Seleccione esta casilla de verificación para impedir que el nombre de usuario de la cuenta (o la versión invertida del nombre) se utilice en la contraseña. La nueva contraseña difiere por caracteres Cuando los administradores cambien sus contraseñas, los caracteres deben diferir según el valor especificado. Es necesario cambiar la contraseña al iniciar sesión por primera vez. Seleccione esta casilla de verificación para pedir a los administradores que cambien sus contraseñas la primera vez que inicien sesión en el dispositivo. Evitar límite de reutilización de contraseña Exija que no se reutilice una contraseña anterior basándose en el recuento especificado. Por ejemplo, si el valor se establece como 4, no podrá reutilizar ninguna de sus últimas 4 contraseñas (rango: 0-50). Bloquear período de cambio de contraseña (días) El usuario no podrá cambiar sus contraseñas hasta que no se haya alcanzado el número de días especificado (rango: 0-365 días). Período necesario para el cambio de contraseña (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido, de 0 a 365 días. Por ejemplo, si el valor se establece como 90, se pedirá a los administradores que cambien su contraseña cada 90 días. También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. Período de advertencia de vencimiento (días) Si se establece un período necesario para el cambio de contraseña, este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días). Inicio de sesión de administrador caducado permitido (recuento) Permita que el administrador inicie sesión el número de veces especificado después de que la cuenta haya vencido. Por ejemplo, si el valor se ha establecido como 3 y su cuenta ha vencido, podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión). Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que la cuenta haya vencido (rango: 0-30 días). Palo Alto Networks Gestión de dispositivos • 37 Definición de la configuración de operaciones Dispositivo > Configuración > Operaciones Cuando cambia un ajuste de configuración y hace clic en ACEPTAR, se actualiza la configuración “candidata” actual, no la configuración activa. Al hacer clic en Compilar en la parte superior de la página, se aplica la configuración candidata a la configuración activa, lo que activa todos los cambios de configuración desde la última compilación. Este método le permite revisar la configuración antes de activarla. Si activa varios cambios simultáneamente, ayudará a evitar estados de configuración no válidos que pueden producirse cuando se aplican cambios en tiempo real. Puede guardar y restablecer la configuración candidata con la frecuencia que sea necesario y también cargar, validar, importar y exportar configuraciones. Si pulsa Guardar, se creará una copia de la configuración candidata actual, mientras que si selecciona Compilar, actualizará la configuración activa con el contenido de la configuración candidata. Es conveniente guardar periódicamente los ajustes de configuración que haya introducido haciendo clic en el enlace Guardar de la esquina superior derecha de la pantalla. Para gestionar configuraciones, seleccione las funciones de gestión de configuración adecuadas que se describen en la tabla siguiente. Tabla 2. Funciones de gestión de configuración Función Descripción Gestión de configuración Validar configuración candidata Comprueba si la configuración candidata tiene errores. Volver a la última configuración guardada Restablece la última configuración candidata guardada desde la unidad local. La configuración candidata actual se sobrescribirá. Se producirá un error si no se ha guardado la configuración candidata. Volver a la configuración en ejecución Restablece la última configuración en ejecución. La configuración en ejecución actual se sobrescribirá. Guardar instantánea de configuración con nombre Guarda la configuración candidata en un archivo. Introduzca un nombre de archivo o seleccione un archivo existente para sobrescribirlo. Tenga en cuenta que el archivo de configuración activa actual (running-config.xml) no puede sobrescribirse. Guardar configuración candidata Guarda la configuración candidata en la memoria flash (del mismo modo que si hiciera clic en Guardar en la parte superior de la página). Cargar instantánea de configuración con nombre Carga una configuración candidata desde la configuración activa (running-config.xml) o desde una configuración guardada o importada anteriormente. Seleccione el archivo de configuración que debe cargarse. La configuración candidata actual se sobrescribirá. Cargar versión de configuración Carga una versión especificada de la configuración. Exportar instantánea de configuración con nombre Exporta la configuración activa (running-config.xml) o una configuración guardada o importada anteriormente. Seleccione el archivo de configuración que debe exportarse. Puede abrir el archivo y/o guardarlo en cualquier ubicación de red. 38 • Gestión de dispositivos Palo Alto Networks Tabla 2. Funciones de gestión de configuración (Continuación) Función Descripción Exportar versión de configuración Exporta una versión especificada de la configuración. Exportar estado de dispositivo Esta función se utiliza para exportar la información dinámica y de configuración de un cortafuegos configurado como portal de GlobalProtect con la función de VPN a gran escala activada. Si el portal tiene un fallo, se puede importar el archivo exportado para restablecer la información dinámica y de configuración del portal. La exportación incluye una lista de todos los dispositivos satélite gestionados por el portal, la configuración en ejecución en el momento de la exportación y toda la información de los certificados (certificados de CA raíz, servidor y satélite). Importante: Debe realizar manualmente la exportación del estado del dispositivo o crear una secuencia de comandos programada de la API XML para exportar el archivo a un servidor remoto. Esto debe hacerse con regularidad, ya que puede que los certificados de satélite cambien a menudo. Para crear el archivo de estado del dispositivo a partir de la CLI, en el modo de configuración, ejecute save device state. El archivo se denominará device_state_cfg.tgz y se guardará en /opt/ pancfg/mgmt/device-state. El comando de operación para exportar el archivo de estado del dispositivo es scp export device-state (también puede utilizar tftp export device-state). Para obtener información sobre cómo utilizar la API XML, consulte el documento “PAN-OS XML-Based Rest API Usage Guide” (Guía de uso de la API Rest basada en XML de PAN-OS, en inglés) en http://www.paloaltonetworks.com/documentation. Importar instantánea de configuración con nombre Importa un archivo de configuración desde cualquier ubicación de red. Haga clic en Examinar y seleccione el archivo de configuración que debe importarse. Importar estado de dispositivo Importa la información de estado del dispositivo que se exportó mediante la opción Exportar estado de dispositivo. Esto incluye la configuración en ejecución actual, plantillas de Panorama y políticas compartidas. Si el dispositivo es un portal de GlobalProtect, la exportación incluirá la información de la Entidad de certificación (CA) y la lista de los dispositivos satélite con su información de autenticación. Operaciones de dispositivo Reiniciar Para reiniciar el cortafuegos/Panorama, haga clic en Reiniciar dispositivo. Cerrará sesión y se volverán a cargar el software PAN-OS y la configuración activa. Las sesiones existentes también se cerrarán y registrarán. Asimismo, se creará una entrada de log de sistema que mostrará el nombre del administrador que inició el apagado. Todos los cambios de configuración que no se hayan guardado o compilado se perderán (consulte “Definición de la configuración de operaciones”). Nota: Si la interfaz web no está disponible, utilice el comando de la CLI request restart system. Consulte la Guía de referencia de la interfaz de línea de comandos de PAN-OS para obtener información detallada. Palo Alto Networks Gestión de dispositivos • 39 Tabla 2. Funciones de gestión de configuración (Continuación) Función Descripción Apagar Para realizar un apagado correcto del cortafuegos/Panorama, haga clic en Apagar dispositivo o Apagar Panorama y, a continuación, haga clic en Sí en el mensaje de confirmación. Todos los cambios de configuración que no se hayan guardado o compilado se perderán. Todos los administradores cerrarán sesión y se producirán los siguientes procesos: • Se cerrarán todas las sesiones de inicio de sesión. • Se deshabilitarán las interfaces. • Se detendrán todos los procesos del sistema. • Se cerrarán y registrarán las sesiones existentes. • Se crearán logs del sistema que mostrarán el nombre del administrador que inició el apagado. Si no se puede crear esta entrada de log, aparecerá una advertencia y el sistema no se apagará. • Ahora podrá desmontar de manera limpia las unidades de disco y el dispositivo dejará de recibir alimentación. Deberá desenchufar la fuente de alimentación y volver a enchufarla antes de poder activar el dispositivo. Note: Si la interfaz web no está disponible, utilice el comando de la CLI request shutdown system . Consulte la Guía de referencia de la interfaz de línea de comandos de PAN-OS para obtener información detallada. Reiniciar plano de datos Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo, haga clic en Reiniciar plano de datos. Esta opción no está disponible en el modelo PA-200 y Panorama. Nota: Si la interfaz web no está disponible, utilice el comando de la CLI request restart dataplane. Consulte la Guía de referencia de la interfaz de línea de comandos de PAN-OS para obtener información detallada. 40 • Gestión de dispositivos Palo Alto Networks Tabla 2. Funciones de gestión de configuración (Continuación) Función Descripción Varios Logotipos personalizados Utilice esta opción para personalizar cualquiera de los siguientes elementos: • Imagen de fondo de la pantalla de inicio de sesión • Imagen de encabezado de la interfaz de usuario principal • Imagen de la página de título del informe en PDF. Consulte “Gestión de informes de resumen en PDF”. • Imagen de pie de página del informe en PDF Haga clic en para cargar un archivo de imagen, en para obtener una vista previa o en para eliminar una imagen cargada anteriormente. Tenga en cuenta lo siguiente: • Los tipos de archivos admitidos son png, gif y jpg. Los archivos de imagen con un canal alfa no son compatibles y, cuando se utilizan en informes en PDF, los informes no se generan correctamente. Puede que tenga que ponerse en contacto con el creador de la imagen para eliminar los canales alfa de la imagen o asegurarse de que el software de gráficos que está utilizando no guarda los archivos con la función de canal alfa. • Para volver al logotipo predeterminado, elimine su entrada y realice una compilación. • El tamaño de imagen máximo para cualquier imagen de logotipo es de 128 KB. • En el caso de las opciones de la pantalla de inicio de sesión y de la interfaz de usuario principal, al hacer clic en , la imagen se mostrará del modo en que se visualizará. Si es necesario, se recortará la imagen para ajustarla. En el caso de informes en PDF, el tamaño de las imágenes se ajustará automáticamente sin recortarlas. En todos los casos, la vista previa muestra las dimensiones de imagen recomendadas. Para obtener información sobre cómo generar informes en PDF, consulte “Gestión de informes de resumen en PDF”. Configuración de SNMP Palo Alto Networks Especifique parámetros de SNMP. Consulte “SNMP”. Gestión de dispositivos • 41 Tabla 2. Funciones de gestión de configuración (Continuación) Función Descripción Configuración del servicio de estadísticas La función Servicio de estadísticas permite que el cortafuegos envíe información de aplicaciones anónimas, amenazas y bloqueos al equipo de investigación de Palo Alto Networks. La información recopilada permite que el equipo de investigación mejore continuamente la eficacia de los productos de Palo Alto Networks basándose en información del mundo real. Este servicio está deshabilitado de manera predeterminada y, una vez habilitado, se cargará información cada 4 horas. Puede permitir que el cortafuegos envíe cualquiera de los siguientes tipos de información: • Informes de aplicación y amenazas • Informes de aplicaciones desconocidas • Informes de URL • Seguimientos de bloqueos de dispositivos Para ver una muestra del contenido de un informe estadístico que se enviará, haga clic en el icono de informe . Se abrirá la pestaña Muestra de informe para mostrar el código del informe. Para ver un informe, haga clic en la casilla de verificación que aparece junto al informe deseado y, a continuación, haga clic en la pestaña Muestra de informe. Definición de módulos de seguridad de hardware Dispositivo > Configuración > HSM La pestaña HSM le permite ver el estado y configurar un módulo de seguridad de hardware (HSM). La siguiente configuración de estado aparece en la sección del proveedor de módulo de seguridad de hardware. Tabla 3. Configuración de estado del proveedor de módulo HSM Campo Descripción Proveedor configurado Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos. Alta disponibilidad Si se selecciona, se configura la alta disponibilidad del HSM. Solo Luna SA de Safenet. Nombre de grupo de alta disponibilidad. Nombre de grupo configurado en el cortafuegos para la alta disponibilidad del HSM. Solo Luna SA de Safenet. Dirección de origen de cortafuegos Dirección del puerto utilizado para el servicio HSM. De forma predeterminada, se trata de la dirección del puerto de gestión. Sin embargo, se puede especificar como un puerto diferente a través de la opción Configuración de ruta de servicios en Dispositivo > Configuración > Servicios. Clave maestra asegurada por HSM Si se activa, la clave maestra se asegura en el HSM. 42 • Gestión de dispositivos Palo Alto Networks Tabla 3. Configuración de estado del proveedor de módulo HSM Campo Descripción Estado Consulte “Configuración del estado del módulo de seguridad de hardware de Luna SA de Safenet” o “Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect” como corresponda. Para configurar un módulo de seguridad de hardware (HSM) en el cortafuegos, haga clic en el icono Editar de la sección Proveedor de módulo de seguridad de hardware y configure los siguientes ajustes. Tabla 4. Ajustes de configuración de HSM Campo Proveedor configurado Descripción Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. No se necesita otra configuración. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos. Nombre de módulo Especifique un nombre de módulo para el HSM. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. Cree varios nombres de módulos si está definiendo una configuración de alta disponibilidad del HSM. Dirección de servidor Especifique una dirección de IPv4 para cualquier módulo HSM que esté configurando. Alta disponibilidad Solo Luna SA de Safenet Seleccione esta casilla de verificación si está definiendo módulos HSM en una configuración de alta disponibilidad. Se debe configurar el nombre del módulo y la dirección del servidor de todos los módulos HSM. Reintento de recuperación automática Especifique el número de intentos que debe realizar el cortafuegos para recuperar la conexión con HSM antes de conmutarse por error a otro HSM en una configuración de alta disponibilidad del HSM. Rango 0 -500. Solo Luna SA de Safenet Nombre de grupo de alta disponibilidad. Solo Luna SA de Safenet Especifique el nombre de grupo que se debe utilizar para el grupo de alta disponibilidad del HSM. Este nombre lo utiliza el cortafuegos de forma interna. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. Dirección de sistema de archivos remoto Configure la dirección IPv4 del sistema de archivos remoto utilizado en la configuración de HSM de Thales Nshield Connect. Solo Thales Nshield Connect Seleccione Configurar módulo de seguridad de hardware y configure los siguientes ajustes para autenticar el cortafuegos en el HSM. Palo Alto Networks Gestión de dispositivos • 43 Tabla 5. Ajustes de Configurar módulo de seguridad de hardware Campo Descripción Nombre de servidor Seleccione un nombre de servidor HSM en el cuadro desplegable. Contraseña de administrador Introduzca la contraseña del administrador de HSM para autenticar el cortafuegos en el HSM. La sección Estado de módulo de seguridad de hardware proporciona la siguiente información sobre los HSM que se han autenticado correctamente. La pantalla mostrará opciones diferentes dependiendo el proveedor HSM configurado. Tabla 6. Configuración del estado del módulo de seguridad de hardware de Luna SA de Safenet Campo Descripción Número de serie Se muestra el número de serie de la partición del HSM si la partición de HSM se ha autenticado correctamente. Partición Nombre de la partición en el HSM que se asignó en el cortafuegos. Estado de módulo Estado de funcionamiento actual del HSM. Este ajuste tendrá el valor Autenticado si el HSM aparece en esta tabla. Tabla 7. Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect Campo Descripción Nombre Nombre del servidor del HSM. Dirección IP Dirección IP del HSM que se asignó en el cortafuegos. Estado de módulo Estado de funcionamiento actual del HSM. • Autenticado • No autenticado 44 • Gestión de dispositivos Palo Alto Networks SNMP Dispositivo > Configuración > Operaciones SNMP (Protocolo simple de administración de redes) es un servicio estándar para la supervisión de los dispositivos de su red. Utilice esta página para configurar el cortafuegos de forma que utilice la versión de SNMP (SNMPv2c y SNMPv3) admitida por su estación de gestión de red. Para configurar el perfil del servidor que habilita el cortafuegos para comunicarse con los destinos de trap SNMP de su red, consulte “Configuración de destinos de traps SNMP”. El módulo de bases de información de gestión SNMP define todos los traps SNMP generados por el sistema. El trap SNMP identifica un evento con un ID de objeto único (OID) y los campos individuales se definen como una lista de enlaces de variables (varbind). Haga clic en Configuración de SNMP en la página Configuración y especifique los siguientes ajustes para permitir las solicitudes GET SNMP desde su estación de gestión de red: Tabla 8. Configuración de SNMP Campo Descripción Ubicación física Especifique la ubicación física del cortafuegos. Cuando se genera un log o trap, esta información le permite identificar el dispositivo que ha generado la notificación. Contacto Introduzca el nombre o la dirección de correo electrónico de la persona responsable del mantenimiento del cortafuegos Este ajuste se indica en la MIB de información del sistema estándar. Utilizar definiciones de traps específicas Seleccione la casilla de verificación para utilizar un OID exclusivo para cada trap SNMP basándose en el tipo de evento (está seleccionado el valor predeterminado). Palo Alto Networks Gestión de dispositivos • 45 Tabla 8. Configuración de SNMP (Continuación) Campo Descripción Versión Seleccione la versión de SNMP (V2c o V3). Este ajuste controla el acceso a la información de la MIB. De manera predeterminada, se selecciona V2c con la cadena de comunidad “pública”. • En el caso de V2c, configure el siguiente ajuste: – Cadena de comunidad SNMP: Introduzca la cadena de comunidad SNMP para el acceso al cortafuegos (valor predeterminado: público). Son necesarias las cadenas de comunidad SNMP para SNMPv2c. SNMPv3 utiliza una autenticación de nombre de usuario/contraseña, junto con una clave de cifrado. • En el caso de V3, configure los siguientes ajustes: – Vistas: Las vistas le permiten limitar los objetos MIB a los que puede acceder un gestor SNMP. Haga clic en Añadir y configure los siguientes ajustes: – Nombre: Especifique un nombre para un grupo de vistas. – Ver: Especifique un nombre para una vista. – OID: Especifique el identificador de objeto (OID) (por ejemplo, 1.2.3.4). – Opción: Seleccione si el OID debe incluirse en la vista o excluirse de ella. – Máscara: Especifique un valor de máscara para un filtro del OID en formato hexadecimal (por ejemplo, 0xf0). • Usuarios: Haga clic en Añadir y configure los siguientes ajustes: – Usuarios: Especifique un nombre de usuario. – Ver: Especifique el grupo de vistas del usuario. – Contraseña de autenticación: Especifique la contraseña de autenticación del usuario (8 caracteres como mínimo, 256 caracteres como máximo y sin restricciones de caracteres). (Se permiten todos los caracteres.) Únicamente se admite el algoritmo de hash seguro (SHA). – Contraseña priv.: Especifique la contraseña de cifrado del usuario (8 caracteres como mínimo, 256 caracteres como máximo y sin restricciones de caracteres). Únicamente se admite el estándar de cifrado avanzado (AES). Definición de la configuración de servicios Dispositivo > Configuración > Servicios La pestaña Servicios muestra secciones para Servicios y Características de servicios. Utilice estas secciones para configurar los servicios que utiliza el cortafuegos para funcionar de forma eficaz: • Utilice la sección Servicios para definir la configuración del sistema de nombre de dominio (DNS), de los servidores de actualización y servidores proxy. Utilice la pestaña NTP específica en la sección Servicios para configurar los ajustes del protocolo de tiempo de red (NTP). Consulte la Tabla 9 para conocer descripciones de los campos de las opciones disponibles en la sección Servicios. • Utilice la sección Características de servicios para seleccionar o personalizar una configuración de ruta de servicios. Especifique el modo en que el cortafuegos se comunicará con otros servidores/dispositivos para la comunicación de servicios, como DNS, correo electrónico, actualizaciones de Palo Alto y NTP. Haga clic en Configuración de ruta de servicios en los ajustes de Características de servicios para seleccionar una de las opciones descritas en Tabla 10. 46 • Gestión de dispositivos Palo Alto Networks Tabla 9. Configuración de servicios Función Descripción Servicios DNS Seleccione el tipo de servicio de DNS. Este ajuste se utiliza para todas las consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos de dirección FQDN, logs y la gestión de dispositivos. Las opciones incluyen las siguientes: • Servidores DNS principal y secundario para la resolución de nombres de dominio • Proxy de DNS configurado en el cortafuegos Servidor DNS principal Introduzca la dirección IP del servidor DNS primario. El servidor se utiliza para las consultas de DNS del cortafuegos; por ejemplo, para buscar el servidor de actualizaciones, para resolver entradas de DNS en logs o para objetos de dirección basados en FDQN. Servidor de DNS secundario Introduzca la dirección IP de un servidor DNS secundario que deberá utilizarse si el servidor principal no está disponible (opcional). Actualizar servidor Este ajuste representa la dirección IP o el nombre de host del servidor utilizado para descargar actualizaciones de Palo Alto Networks. El valor actual es updates.paloaltonetworks.com. No cambie el nombre del servidor a menos que se lo indique la asistencia técnica. Verificar identidad del servidor de actualización Si se habilita esta opción, el cortafuegos o Panorama verificarán que el servidor desde el que se descarga el software o el paquete de contenidos cuenta con un certificado SSL firmado por una autoridad fiable. Esta opción añade un nivel de seguridad adicional para la comunicación entre el servidor del cortafuegos/Panorama y el servidor de actualización. Sección Servidor proxy Servidor Si el dispositivo necesita utilizar un servidor proxy para acceder a los servicios de actualización de Palo Alto Networks, introduzca la dirección IP o el nombre de host del servidor. Puerto Introduzca el puerto para el servidor proxy. Usuario Introduzca el nombre de usuario para acceder al servidor. Contraseña/ Confirmar contraseña Introduzca y confirme la contraseña para que el usuario acceda al servidor proxy. Palo Alto Networks Gestión de dispositivos • 47 Tabla 9. Configuración de servicios (Continuación) Función Descripción NTP Dirección de servidor NTP Introduzca la dirección IP o el nombre de host del servidor NTP que dese usar para sincronizar el reloj del cortafuegos. De forma optativa, introduzca la dirección IP o nombre de host de un segundo servidor NTP con el que sincronizar el reloj del cortafuegos si el servidor primario no está disponible. Puede activar el cortafuegos para autenticar las actualizaciones de hora desde un servidor NTP. Para cada servidor NTP, seleccione el tipo de autenticación que debe utilizar el cortafuegos: • Ninguno: Seleccione esta opción para desactivar la autenticación del NTP (predeterminado). Tipo de autenticación • Clave simétrica: Seleccione esta opción para que el cortafuegos utilice intercambio de clave simétrica (secretos compartidos) para autenticar las actualizaciones temporales del servidor NTP. Si selecciona la clave simétrica, continúe introduciendo los siguientes campos: –ID de clave: Introduzca el ID de clave (1- 65534). –Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticación del NTP (MD5 o SHA1). –Clave de autenticación/Confirmar clave de autenticación: Introduzca y confirme la clave de autenticación del algoritmo de autenticación. • Clave automática: Seleccione esta opción para que el cortafuegos utilice la clave automática (criptografía de clave pública) para autenticar las actualizaciones de hora del servidor NTP. Tabla 10. Características de servicios Función: Descripción Configuración de ruta de servicios Utilizar interfaz de gestión para todos 48 • Gestión de dispositivos Esta opción forzará todas las comunicaciones de servicios de cortafuegos con servidores externos a través de la interfaz de gestión (MGT). Si se selecciona esta opción, deberá configurar la interfaz de gestión para permitir las comunicaciones entre el cortafuegos y los servidores/dispositivos que proporcionan servicios. Para configurar la interfaz de gestión, desplácese hasta la pestaña Dispositivo > Configuración > Gestión y edite la sección Configuración de interfaz de gestión. Palo Alto Networks Tabla 10. Características de servicios (Continuación) Función: Descripción Personalizar Seleccione esta opción para configurar un control detallado de la comunicación del servicio utilizando una interfaz de origen y dirección IP específicas. Por ejemplo, puede configurar una IP/interfaz de origen específica para toda la comunicación por correo electrónico entre el cortafuegos y un servidor de correo electrónico y utilizar una interfaz/IP de origen diferente para las actualizaciones de Palo Alto. • IPv4/IPv6: En las pestañas IPv4 o IPv6, seleccione en la lista desplegable de servicios disponibles la interfaz de origen y la dirección de origen. La dirección de origen muestra la dirección IPv4 o IPv6 asignada a la interfaz seleccionada; la dirección IP seleccionada será el origen del tráfico de servicios. No tiene que definir la dirección de destino, ya que el destino se configura al configurar el servicio en cuestión. Por ejemplo, cuando defina sus servidores DNS en la pestaña Dispositivo > Configuración > Servicios, dicha acción establecerá el destino de las consultas de DNS. • Destino: Puede definir la interfaz y la dirección de origen que utilizará el servicio que desea enviar, pero que no aparece en la columna Servicio, Los servicios no enumerados incluyen elementos como Kerberos, LDAP y comunicaciones de recopilador de logs de Panorama. No necesita introducir la subred de la dirección de destino. En entornos multiempresa, se exigirán rutas de servicios basadas en IP de destino, mientras que los servicios comunes requerirán una dirección de origen diferente. Por ejemplo, si dos empresas necesitan utilizar RADIUS. Es importante que las rutas y políticas se establezcan correctamente para la interfaz que se utilizará para enviar el servicio. Por ejemplo, si desea enviar solicitudes de autenticación de Kerberos en una interfaz que no sea el puerto de gestión (MGT), deberá configurar IP Destino y Dirección de origen en la sección de la derecha de la ventana Configuración de ruta de servicios, ya que Kerberos no se enumera en la columna Servicio predeterminada. Por ejemplo, puede tener la dirección IP de origen 192.168.2.1 en Ethernet1/3 y, a continuación, el destino 10.0.0.240 para un servidor Kerberos. Deberá añadir Ethernet1/3 a un enrutador virtual existente con una ruta predeterminada. Asimismo, puede crear un nuevo enrutador virtual desde Red > Enrutadores virtuales y añadir las rutas estáticas que sea necesario. Esto garantizará que todo el tráfico de la interfaz se enviará a través del enrutador virtual para llegar a sus correspondientes destinos. En este caso, la dirección de destino es 10.0.0.240 y la interfaz Ethernet1/3 tiene la IP de origen 192.168.2.1/24. El resultado de la CLI para IP Destino y Dirección de origen tendría el siguiente aspecto: PA-200-Test# show route destination { 10.0.0.240 { source address 192.168.2.1/24 } Con esta configuración, todo el tráfico de la interfaz Ethernet1/3 utilizará la ruta predeterminada definida en el enrutador virtual y se enviará a 10.0.0.240. Palo Alto Networks Gestión de dispositivos • 49 Definición de la configuración de ID de contenido (content-id) Dispositivo > Configuración > ID de contenido Utilice la pestaña ID de contenido (Content-ID) para definir la configuración del filtrado de URL, la protección de datos y las páginas contenedoras. Tabla 11. Configuración de inspección de contenidos (Content-ID) Función Descripción Filtrado de URL Tiempo de espera de caché de URL dinámica Haga clic en Editar e introduzca el tiempo de espera (en horas). Este valor se utiliza en el filtrado de URL dinámica para determinar la cantidad de tiempo que una entrada permanece en la caché después de ser devuelta por el servicio de filtrado de URL. Esta opción únicamente es aplicable al filtrado de URL que utilice la base de datos de BrightCloud. Si desea más información sobre el filtrado de URL, consulte “Perfiles de filtrado de URL”. Tiempo de espera de caché de URL dinámica Especifique el intervalo que transcurre desde una acción de “continuación” por parte del usuario hasta el momento en que el usuario debe volver a pulsar el botón de continuación para las URL de la misma categoría (rango: 1-86.400 minutos; valor predeterminado: 15 minutos). Tiempo de espera de cancelación de administrador de URL Especifique el intervalo que transcurre desde que el usuario introduce la contraseña de cancelación de administrador hasta que el usuario debe volver a introducir la contraseña de cancelación de administrador para las URL de la misma categoría (rango: 1-86.400 minutos; valor predeterminado: 900 minutos). Tiempo de espera de bloqueo de administrador de URL Especifique el período de tiempo que un usuario está bloqueado y no puede utilizar la contraseña de cancelación de administrador de URL después de tres intentos incorrectos (1-86.400 minutos; valor predeterminado: 1.800 minutos). x-forwarded-for Incluya el encabezado x-forwarded-for que contiene la dirección IP de origen. Cuando se selecciona esta opción, el cortafuegos examina los encabezados HTTP en busca del encabezado x-forwarded-for, que un proxy puede utilizar para almacenar la dirección IP de origen del usuario original. El sistema toma el valor e introduce Src: x.x.x.x en el campo Usuario de origen de los logs de URL (donde x.x.x.x es la dirección IP leída en el encabezado). Quitar x-forwarded-for Elimine el encabezado x-forwarded-for que contiene la dirección IP de origen. Cuando esta opción está seleccionada, el cortafuegos borra el valor del encabezado antes de reenviar la solicitud y los paquetes reenviados no contienen información de IP de origen interna. Permitir reenvío de contenido descifrado Seleccione la casilla de verificación para permitir que el cortafuegos reenvíe contenido descifrado a un servicio externo. Por ejemplo, cuando se establece esta opción, el cortafuegos puede enviar contenido descifrado a WildFire para su análisis. En el caso de configuraciones de VSYS múltiple, esta opción depende de VSYS. 50 • Gestión de dispositivos Palo Alto Networks Tabla 11. Configuración de inspección de contenidos (Content-ID) (Continuación) Función Descripción Cancelación de administrador de URL Configuración de la cancelación de administrador de URL Especifique la configuración que se utiliza cuando se bloquea una página con el perfil de filtrado de URL y se especifica la acción Cancelar. Consulte “Perfiles de filtrado de URL”. Haga clic en Añadir y configure los siguientes ajustes para todos los sistemas virtuales en los que desee configurar una cancelación de administrador de URL. • Ubicación: Seleccione el sistema virtual en la lista desplegable (únicamente dispositivos de VSYS múltiple). • Contraseña/Confirmar contraseña: Introduzca la contraseña que el usuario debe introducir para cancelar la página de bloque. • Certificado de servidor: Seleccione el certificado de servidor que se utilizará con comunicaciones SSL al redirigir a través del servidor especificado. • Modo: Determina si la página de bloque se entrega de manera transparente (parece originarse en el sitio web bloqueado) o se redirige al usuario al servidor especificado. Si selecciona Redirigir, introduzca la dirección IP para el redireccionamiento. Haga clic en Gestionar protección de datos para eliminar una entrada. Aumente la protección para acceder a logs que puedan incluir información confidencial, como números de tarjetas de crédito o números de la Seguridad Social. Haga clic en Gestionar protección de datos y configure lo siguiente: • Para establecer una nueva contraseña si todavía no se ha establecido una, haga clic en Establecer contraseña. Introduzca y confirme la contraseña. • Para cambiar la contraseña, haga clic en Cambiar contraseña. Introduzca la contraseña anterior y, a continuación, introduzca y confirme la nueva contraseña. • Para eliminar la contraseña y los datos que se han protegido, haga clic en Eliminar contraseña. Páginas contenedoras Utilice estos ajustes para especificar los tipos de URL que el cortafuegos seguirá o registrará basándose en el tipo de contenido, como application/ pdf, application/soap+xml, application/xhtml+, text/html, text/plain y text/xml. Las páginas contenedoras se establecen según el sistema virtual, el cual puede seleccionar en la lista desplegable Ubicación. Si un sistema virtual no tiene una página contenedora explícita definida, se utilizarán los tipos de contenido predeterminados. Haga clic en Añadir e introduzca o seleccione un tipo de contenido. La adición de nuevos tipos de contenido para un sistema virtual cancela la lista predeterminada de tipos de contenido. Si no hay tipos de contenido asociados a un sistema virtual, se utilizará la lista predeterminada de tipos de contenido. Configuración de ID de contenidos Longitud de captura de paquetes extendida Palo Alto Networks Establezca el número de paquetes que se deben capturar cuando la opción de captura extendida se habilita en perfiles de antispyware y vulnerabilidad. El rango es 1-50 y el valor predeterminado es 5. Gestión de dispositivos • 51 Configuración de ajustes de WildFire Dispositivo > Configuración > WildFire Utilice la pestaña WildFire para configurar los ajustes de WildFire en el cortafuegos. Estos ajustes determinarán si los archivos se enviarán a la nube de WildFire o al dispositivo WildFire. También puede establecer los límites de tamaño de archivo y la información de sesión sobre la que se informará. Para reenviar contenido descifrado a WildFire, deberá seleccionar la casilla de verificación “Permitir reenvío de contenido descifrado” del cuadro Configuración de Dispositivo > Configuración > ID de contenido > Filtrado de URL. Tabla 12. Ajustes de WildFire en el cortafuegos Campo Descripción Configuración general Servidor de WildFire Especifique la dirección IP o FQDN de un dispositivo WildFire o especifique el valor wildfire-default-cloud para utilizar la nube de WildFire. Los servidores de nube de WildFire disponibles cuentan de forma predeterminada con la nube de WildFire alojada en EE. UU. y wildfire.paloaltonetworks.jp con la nube de WildFire alojada en Japón. Puede que desee utilizar el servidor japonés si no desea que se envíen archivos benignos a los servidores de nube estadounidenses. Si se determina que un archivo enviado a la nube de Japón es malintencionado, este se reenviará a los servidores de EE. UU., donde se volverá a analizar y se generarán las firmas. Si se encuentra en la región de Japón, puede que también experimente una respuesta más rápida en los envíos de muestras y la generación de informes. También se puede configurar Panorama para la nube de Japón. En Panorama, el nombre del servidor de EE. UU. es wildfire-public-cloud y el de japón es wildfire.paloaltonetworks.jp. Tamaño de archivo máximo (MB) Especifique el tamaño de archivo máximo que se reenviará al servidor WildFire. Los rangos disponibles son: • flash (Adobe Flash): 1-10 MB, 5 MB de forma predeterminada • apk (aplicaciones para Android): 1-50 MB, 10 MB de forma predeterminada • pdf (Portable Document Format) 100 KB-1000 KB, 200 KB de forma predeterminada • jar (archivo de clase de Java empaquetado): 1-10 MB, 1 MB de forma predeterminada • pe (Portable Executable): 1-10 MB, 2 MB de forma predeterminada • ms-office (Microsoft Office): 200 KB-10000 KB, 500 KB de forma predeterminada Nota: Los valores anteriores pueden variar según la versión de PAN-OS o la versión de contenido instalada. Para ver los intervalos válidos, haga clic en el campo Límite de tamaño y aparecerá un mensaje emergente que mostrará el intervalo disponible y el valor predeterminado. 52 • Gestión de dispositivos Palo Alto Networks Tabla 12. Ajustes de WildFire en el cortafuegos (Continuación) Campo Descripción Informar de archivos benignos Cuando esta opción está activada (desactivada de forma predeterminada), los archivos analizados por WildFire indicados como benignos aparecerán en el log Supervisar > Envíos de WildFire. Nota: Incluso si esta opción está activada en el cortafuegos, los enlaces de correo electrónico que WildFire considera benignos no se registrarán debido a la cantidad potencial de enlaces procesados. Ajustes de información de sesión Configuración Especifique la información que se reenviará al servidor WildFire. De manera predeterminada, todo está seleccionado: • IP de origen: Dirección IP de origen que envió el archivo sospechoso. • Puerto de origen: Puerto de origen que envió el archivo sospechoso. • IP de destino: Dirección IP de destino del archivo sospechoso. • Puerto de destino: Puerto de destino del archivo sospechoso. • Vsys: Sistema virtual del cortafuegos que identificó al posible software malintencionado. • Aplicación: Aplicación de usuario que se utilizó para transmitir el archivo. • Usuario: Usuario de destino. • URL: URL asociada al archivo sospechoso. • Nombre de archivo: Nombre del archivo que se envió. • Remitente de correo electrónico: Proporciona el nombre del remitente en los logs de WildFire e informes de WildFire detallados cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. • Destinatario de correo electrónico: Proporciona el nombre del destinatario en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. • Asunto de correo electrónico: Proporciona el asunto del correo electrónico en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. Definición de la configuración de sesión Dispositivo > Configuración > Sesión Utilice la pestaña Sesión para configurar los tiempos de vencimiento de las sesiones, la configuración de certificados de descifrado y los ajustes globales relacionados con las sesiones, como aplicar cortafuegos al tráfico IPv6 y volver a hacer coincidir la política de seguridad con las sesiones existentes cuando cambia la política. La pestaña presenta las siguientes secciones: • “Configuración de sesión” • “Tiempos de espera de sesión” • “Ajustes de descifrado: Comprobación de revocación de certificado” • “Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy” Palo Alto Networks Gestión de dispositivos • 53 Configuración de sesión Tabla 13. Configuración de sesión Campo Descripción Reanalizar sesiones establecidas Haga clic en Editar y seleccione Reanalizar sesiones establecidas para que el cortafuegos aplique las políticas de seguridad recién configuradas a las sesiones que ya están en curso. Esta capacidad está habilitada de manera predeterminada. Si este ajuste está deshabilitado, cualquier cambio de política se aplica solo a las sesiones iniciadas después de que se haya compilado un cambio de política. Por ejemplo, si se ha iniciado una sesión de Telnet mientras había configurada una política que permitía Telnet y, en consecuencia, ha compilado un cambio de política para denegar Telnet, el cortafuegos aplica la política revisada a la sesión actual y la bloquea. Tamaño de depósito de testigo de ICMPv6 Introduzca el tamaño de depósito para la limitación de tasa de mensajes de error de ICMPv6. El tamaño de depósito de testigo es un parámetro del algoritmo de depósito de testigo que controla la intensidad de las ráfagas de transmisión de los paquetes de error de ICMPv6 (rango: 10-65.535 paquetes; valor predeterminado: 100). Tasa de paquetes de error de ICMPv6 Introduzca el número medio de paquetes de error de ICMPv6 por segundo que se permiten globalmente a través del cortafuegos (el intervalo es 10-65535 paquetes/segundo, de forma predeterminada es 100 paquetes/ segundo). Este valor se aplica a todas las interfaces. Si el cortafuegos alcanza la tasa de paquetes de error de ICMPv6, el depósito de testigo de ICMPv6 se utiliza para activar la limitación de mensajes de error de ICMPv6. Habilitar cortafuegos IPv6 Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y seleccione la casilla de verificación Cortafuegos IPv6. Todas las configuraciones basadas en IPv6 se ignorarán si IPv6 no se habilita. Incluso si IPv6 está activado para una interfaz, el ajuste Cortafuegos IPv6 también debe estar activado para que IPv6 funcione. Trama gigante MTU global Seleccione esta opción para habilitar la compatibilidad con tramas gigantes en interfaces de Ethernet. Las tramas gigantes tienen una unidad de transmisión máxima (MTU) de 9192 bytes y están disponibles en determinadas plataformas. • Si no activa Habilitar trama gigante, la MTU global vuelve al valor predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes. • Si activa Habilitar trama gigante, la MTU global vuelve al valor predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes. Si activa las tramas gigantes y tiene interfaces donde la MTU no está específicamente configurada, estas interfaces heredarán automáticamente el tamaño de la traga gigante. Por lo tanto, antes de que active las tramas gigantes, si no desea que alguna interfaz las adopte, debe establecer la MTU para esa interfaz en 1500 bytes u otro valor. Tamaño mínimo de MTU para NAT64 en IPv6 54 • Gestión de dispositivos Introduzca la MTU global para el tráfico IPv6 traducido. El valor predeterminado de 1280 bytes se basa en la MTU mínima estándar para el tráfico IPv6. Palo Alto Networks Tabla 13. Configuración de sesión (Continuación) Campo Descripción Ratio de sobresuscripción NAT Seleccione la velocidad de sobresuscripción NAT, es decir, el número de ocasiones en las que el mismo par de dirección IP y puerto traducido se pueden usar de forma simultánea. La reducción de la velocidad de sobresuscripción disminuirá el número de traducciones de dispositivo origen, pero proporcionará más capacidades de regla de NAT. • Valor predeterminado de plataforma: La configuración explícita de la velocidad de sobresuscripción está desactivada; se aplica la velocidad de sobresuscripción predeterminada para la plataforma. Consulte las velocidades predeterminadas de la plataforma en https://www.paloaltonetworks.com/products/product-selection.html. • 1x: 1 vez Esto significa que no existe ninguna sobresuscripción; cada par de dirección IP y puerto traducido se puede utilizar solo una vez en cada ocasión. • 2x: 2 veces • 4x: 4 veces • 8x: 8 veces Vencimiento acelerado Activa el vencimiento acelerado de las sesiones inactivas. Seleccione la casilla de verificación para habilitar el vencimiento acelerado y especificar el umbral (%) y el factor de escala. Cuando la tabla de sesión alcanza el umbral de vencimiento acelerado (% lleno), PAN-OS aplica el factor de escala de vencimiento acelerado a los cálculos de vencimiento de todas las sesiones. El factor de escala predeterminado es 2, lo que significa que el vencimiento acelerado se produce a una velocidad dos veces más rápida que el tiempo de espera de inactividad configurado. El tiempo de espera de inactividad configurado dividido entre 2 tiene como resultado un tiempo de espera más rápido (la mitad). Para calcular el vencimiento acelerado de la sesión, PAN-OS divide el tiempo de inactividad configurado (para ese tipo de sesión) entre el factor de escala para determinar un tiempo de espera más corto. Por ejemplo, si se utiliza el factor de escala de 10, una sesión que por lo general vencería después de 3600 segundos lo hará 10 veces más rápido (en 1/10 del tiempo), es decir, 360 segundos. Tiempos de espera de sesión El tiempo de espera de una sesión define la duración para la que PAN-OS mantiene una sesión en el cortafuegos después de la inactividad en esa sesión. De forma predeterminada, cuando la sesión agota su tiempo de espera para el protocolo, PAN-OS cierra la sesión. En el cortafuegos, puede definir un número de tiempos de espera para sesiones TCP, UDP e ICMP por separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de sesión. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas la sesiones de ese tipo en el cortafuegos. Además de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada aplicación en la pestaña Objetos > Aplicaciones. Los tiempos de espera disponibles para esa aplicación aparecen en la ventana Opciones. El cortafuegos aplica los tiempos de espera de la aplicación a una aplicación que esté en estado Establecido. Cuando se configuran, los tiempos de espera para una aplicación anulan los tiempos de espera globales de la sesión TCP o UDP. Palo Alto Networks Gestión de dispositivos • 55 Utilice las opciones de esta sección para configurar los ajustes de los tiempos de espera globales: específicamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de sesiones. Los valores predeterminados son valores óptimos. Sin embargo, puede modificarlos según las necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten retrasos mínimos en la red, lo que podría producir errores a la hora de establecer conexiones con el cortafuegos. Si configura un valor demasiado alto, entonces podría retrasarse la detección de errores. Tabla 14. Tiempos de espera de sesión Campo Descripción Valor predeterminado Tiempo máximo que una sesión que no es TCP/UDP ni ICMP se puede abrir sin una respuesta. El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos. Descartar tiempo de espera – Descartar valor predeterminado – Descartar TCP PAN-OS aplica el tiempo de espera de descarte cuando se deniega una sesión debido a las políticas de seguridad configuradas en el cortafuegos. Solo se aplica al tráfico que no es de TCP/UDP. El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos. Se aplica al tráfico de TCP. El valor predeterminado es 90 segundos; el intervalo es 1-1599999 segundos. – Descartar UDP Se aplica al tráfico de UDP. El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos. ICMP Tiempo máximo que una sesión ICMP puede permanecer abierta sin una respuesta de ICMP. El valor predeterminado es 6 segundos; el intervalo es 1-1599999 segundos. Analizar Tiempo máximo que cualquier sesión puede permanecer abierta después de ser considerada inactiva. PAN-OS considera inactiva una aplicación cuando supera el umbral de generación definido para la misma. El valor predeterminado es 10 segundos; el intervalo es 5-30 segundos. TCP Tiempo máximo que una sesión TCP permanece abierta sin una respuesta después de que una sesión TCP active el estado Establecido (después de que se complete el protocolo o la transmisión de datos haya comenzado). El valor predeterminado es 3600 segundos; el intervalo es 1-1599999 segundos. Protocolo de enlace TCP Tiempo máximo entre la recepción de SYN-ACK y la siguiente ACK para establecer completamente la sesión. El valor predeterminado es 10 segundos; el intervalo es 1-60 segundos. Inicialización de TCP Tiempo máximo entre la recepción de SYN y SYN-ACK antes de iniciar el temporizador del protocolo de enlace TCP. Valor predeterminado: 5 segundos; el intervalo es 1-60 segundos TCP semicerrado Tiempo máximo entre la recepción del primer FIN y la recepción del segundo FIN o RST. Valor predeterminado: 120 segundos; el intervalo es 1-604800 segundos 56 • Gestión de dispositivos Palo Alto Networks Tabla 14. Tiempos de espera de sesión (Continuación) Campo Descripción Tiempo de espera TCP Tiempo máximo después de recibir el segundo FIN o RST. Valor predeterminado: 15 segundos; el intervalo es 1-600 segundos RST sin verificar Tiempo máximo después de recibir un RST que no se puede verificar (el RST está dentro de la ventana TCP pero tiene un número de secuencia inesperado o el RST procede de una ruta asimétrica). Valor predeterminado: 30 segundos; el intervalo es 1-600 segundos UDP Tiempo máximo que una sesión UDP permanece abierta sin una respuesta de UDP. El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos. Portal cautivo Tiempo de espera de la sesión de autenticación para el formato web del portal cautivo. Para acceder al contenido solicitado, el usuario debe introducir las credenciales de autenticación en este formato y autenticarse correctamente. El valor predeterminado es 0 segundos; el intervalo es 1-1599999 segundos. Para definir otros tiempos de espera del portal cautivo, como el temporizador de inactividad y el tiempo que debe pasar para volver a autenticar al usuario, utilice la pestaña Dispositivo > Identificación de usuario > Configuración de portal cautivo. Consulte “Pestaña Configuración de portal cautivo”. Ajustes de descifrado: Comprobación de revocación de certificado En la pestaña Sesión, sección Ajustes de descifrado, seleccione Comprobación de revocación de certificado para establecer los parámetros descritos en la siguiente tabla. Tabla 15. Características de sesión: Comprobación de revocación de certificado Campo Descripción Habilitar: CRL Seleccione esta casilla de verificación para utilizar el método de la lista de revocación de certificados (CRL) y verificar el estado de revocación de los certificados. Si también activa el protocolo de estado de certificado en línea (OCSP), el cortafuegos primero prueba con él; si el servidor OCSP no está disponible, entonces el cortafuegos intenta utilizar el método CRL. Para obtener más información sobre los certificados de descifrado, consulte “Políticas de descifrado”. Tiempo de espera de recepción: CRL Si ha activado el método CLR para verificar el estado de revocación de certificados, especifique el intervalo en segundos (1-60, 5 de forma predeterminada) después del cual el cortafuegos deja de esperar una respuesta procedente del servicio de CRL. Habilitar: OCSP Seleccione la casilla de verificación para utilizar OCSP y verificar el estado de revocación de los certificados. Tiempo de espera de recepción: OCSP Si ha activado el método OCSP para verificar el estado de revocación de certificados, especifique el intervalo en segundos (1-60, 5 de forma predeterminada) después del cual el cortafuegos deja de esperar una respuesta procedente del servicio de OCSP. Palo Alto Networks Gestión de dispositivos • 57 Tabla 15. Características de sesión: Comprobación de revocación de certificado (ContiCampo Descripción Bloquear sesión con estado de certificado desconocido Seleccione la casilla de verificación para bloquear sesiones SSL/TLS cuando el servicio OCSP o CRL devuelva un estado de revocación de certificados desconocido. De lo contrario, el cortafuegos continuará con la sesión. Bloquear sesión al agotar el tiempo de espera de comprobación de estado de certificado Seleccione la casilla de verificación para bloquear sesiones SSL/TLS después de que el cortafuegos registre un tiempo de espera de la solicitud de OCSP o CRL. De lo contrario, el cortafuegos continuará con la sesión. Tiempo de espera del estado del certificado Especifique el intervalo en segundos (1-60 segundos, 5 de forma predeterminada) tras el cual el cortafuegos deja de esperar una respuesta de cualquier servicio de estado de certificados y aplica la lógica de bloqueo de sesión que opcionalmente defina. El Tiempo de espera del estado del certificado se relaciona con el Tiempo de espera de recepción de OCSP/ CRL de la manera siguiente: • Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de espera de solicitud después de que pase el menor de dos intervalos: el valor de Tiempo de espera del estado del certificado o la suma de los dos valores de Tiempo de espera de recepción. • Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera de solicitud después de que pase el menor de dos intervalos: el valor de Tiempo de espera del estado del certificado o el valor de Tiempo de espera de recepción de OCSP. • Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera de solicitud después de que pase el menor de dos intervalos: el valor de Tiempo de espera del estado del certificado o el valor de Tiempo de espera de recepción de CRL. Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy En la pestaña Sesión, sección Ajustes de descifrado, seleccione Reenviar los ajustes de certificados del servidor proxy para configurar el tamaño de clave y el algoritmo de hash de los certificados que presenta el cortafuegos a los clientes cuando establecen sesiones para el descifrado del proxy de reenvío SSL/TLS. La siguiente tabla describe los parámetros. 58 • Gestión de dispositivos Palo Alto Networks Tabla 16. Características de sesión: Reenviar los ajustes de certificados del servidor proxy Campo Descripción Definido por el host de destino Seleccione esta opción si desea que PAN-OS genere certificados basados en la clave que utiliza el servidor de destino. • Si el servidor de destino utiliza una clave RSA de 1024 bits, PAN-OS genera un certificado con ese tamaño de clave y un algoritmo de hash SHA-1. • Si el servidor de destino utiliza un tamaño de clave superior a 1024 bits (por ejemplo, 2048 o 4096 bits), PAN-OS genera un certificado que utiliza una clave de 2048 bits y un algoritmo SHA-256. Es el ajuste predeterminado. RSA de 1024 bits Seleccione esta opción si desea que PAN-OS genere certificados que utilicen una clave RSA de 1024 bits y un algoritmo de hash SHA-1 independientemente del tamaño de clave que utiliza el servidor de destino. A fecha de 31 de diciembre de 2013, las entidades de certificación públicas (CA) y navegadores más populares han limitado la compatibilidad con los certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro, según su configuración de seguridad, cuando el navegador presente dichas claves, el usuario podría recibir un aviso o se podría bloquear completamente la sesión SSL/TLS. RSA de 2048 bits Seleccione esta opción si desea que PAN-OS genere certificados que utilicen una clave RSA de 2048 bits y un algoritmo de hash SHA-256 independientemente del tamaño de clave que utiliza el servidor de destino. Las CA públicas y los navegadores más populares admiten claves de 2048 bits, que proporcionan más seguridad que las claves de 1024 bits. Comparación de archivos de configuración Dispositivo > Auditoría de configuraciones Puede ver y comparar archivos de configuración utilizando la página Auditoría de configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas. Seleccione el número de líneas que desee incluir para el contexto y haga clic en Ir. El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente ilustración. La página también incluye los botones y junto a las listas desplegables, que se habilitan al comparar dos versiones de configuración consecutivas. Haga clic en para cambiar las configuraciones que se están comparando por el conjunto anterior de configuraciones guardadas y en para cambiar las configuraciones que se están comparando por el conjunto siguiente de configuraciones guardadas. Palo Alto Networks Gestión de dispositivos • 59 Ilustración 1. Comparación de configuraciones Panorama guarda automáticamente todos los archivos de configuración que se han compilado en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a través de la interfaz de Panorama o localmente en el cortafuegos. Instalación de una licencia Dispositivo > Licencias Al adquirir una suscripción de Palo Alto Networks, recibirá un código de autorización para activar una o más claves de licencia. Las siguientes acciones están disponibles en la página Licencias: • Recuperar claves de licencia del servidor de licencias: Para habilitar suscripciones adquiridas que requieren un código de autorización y que se han activado en el portal de asistencia técnica, haga clic en Recuperar claves de licencia del servidor de licencias. • Activar característica mediante código de autorización: Para habilitar suscripciones adquiridas que requieren un código de autorización y que no se han activado anteriormente en el portal de asistencia técnica, haga clic en Activar característica mediante código de autorización. Introduzca su código de autorización y haga clic en ACEPTAR. 60 • Gestión de dispositivos Palo Alto Networks • Clave de licencia de carga manual: Si el cortafuegos no tiene conexión con el servidor de licencias y desea cargar claves de licencia manualmente, realice los siguientes pasos: a. Descargue el archivo de clave de licencia en http://support.paloaltonetworks.com y guárdelo localmente. b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el archivo y haga clic en ACEPTAR. Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PANDB for URL Filtering), tendrá que hacer clic en Descargar para recuperar en primer lugar la base de datos de semilla inicial y, a continuación, hacer clic en Activar. También puede ejecutar el comando de CLI "request url-filtering download paloaltonetworks region <region name>". Si vence la suscripción de prevención de amenazas en el cortafuegos, ocurrirá lo siguiente: • Una entrada de log aparecerá en el log del sistema indicando que se ha cancelado la suscripción. • Todas las funciones de prevención de amenazas continuarán funcionado con las firmas que se instalaron en el momento en que caducó la licencia. • Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia válida. De igual forma, la capacidad de restablecimiento a una versión anterior de las firmas no es compatible si la licencia ha caducado. • Las firmas de App-ID personalizadas continuarán funcionando y se pueden modificar. La licencia de derechos de soporte técnico no está vinculada a la suscripción de la prevención de amenazas. Si la licencia de soporte caduca, la prevención de amenazas y sus actualizaciones continuarán funcionando normalmente. Si los derechos de soporte caducan, las actualizaciones de software del sistema dejarán de funcionar. Deberá renovar su licencia para continuar teniendo acceso a las actualizaciones de software e interactuar con el grupo de soporte técnico. Póngase en contacto con el equipo de operaciones y ventas de Palo Alto Networks para obtener información sobre cómo renovar sus licencias o suscripciones. Definición de orígenes de información de VM Dispositivo > Orígenes de información de VM Utilice esta pestaña para registrar cambios activamente en las máquinas virtuales (VM) implementadas en cualquier de estos orígenes (servidor ESXi de VMware, servidor vCenter de VMware o Amazon Web Services, Virtual Private Cloud (AWS-VPC). Hay dos formas de supervisar los orígenes de información de VM. Palo Alto Networks Gestión de dispositivos • 61 • El cortafuegos puede supervisar el servidor ESXi de VMware, el servidor vCenter de VMware y los entornos AWS-VPC, así como y recuperar cambios conforme realiza el abastecimiento o modifica los invitados en estos orígenes supervisados. En cada cortafuegos o sistema virtual de cortafuegos que admita varios sistemas virtuales, puede configurar hasta 10 orígenes. Si sus cortafuegos están configurados con alta disponibilidad: – En una configuración activa/pasiva, solo el cortafuegos activo supervisa los orígenes de la información de la máquina virtual. – En una configuración activa/pasiva, solo el cortafuegos con el valor de prioridad principal supervisa los orígenes de la máquina virtual. Para obtener información sobre cómo funcionan de forma sincronizada los orígenes de información de la VM y los grupos de direcciones dinámicas, y poder supervisar los cambios en el el entorno virtual, consulte la Guía de implementación de la serie VM. • Para la dirección IP de la identificación de usuario, puede configurar los orígenes de la información de VM en el agente de User-ID de Windows o en el cortafuegos para supervisar los servidores ESXi de VMware y vCenter y recuperar los cambios conforme realiza el abastecimiento o modifica los invitados configurados en el servidor. Se admiten hasta 100 orígenes en el agente de User-ID de Windows; el agente de User-ID de Windows no admite AWS. Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y en ejecución. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores asignados a cada VM. 62 • Gestión de dispositivos Palo Alto Networks Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los siguientes atributos. Atributos supervisados en un origen de VMware Atributos supervisados en el AWS-VPC • UUID • Arquitectura • Nombre • Sistema operativo invitado • Sistema operativo invitado • ID de imagen • Estado de máquina virtual: el estado de alimentación es apagado, encendido, en espera y desconocido. • ID de instancia • Estado de instancia • Anotación • Tipo de instancia • Versión • Nombre de clave • Red: nombre del conmutador virtual, nombre del grupo de puerto e ID de VLAN • Colocación: arrendamiento, nombre de grupo, zona de disponibilidad • Nombre del contenedor: nombre de vCenter, nombre del objeto del centro de datos, nombre del grupo de recursos, nombre del clúster, host, dirección IP del host. • Nombre de DNS privado • Nombre de DNS público • ID de subred • Etiqueta (clave, valor) (se admiten hasta 5 etiquetas por instancia) • ID de VPC Añadir: para añadir un nuevo origen para la supervisión de VM, haga clic en Añadir y, a continuación, complete los detalles basados en el origen que se está supervisando: • Para el servidor ESXi de VMware o vCenter, consulte “Activación de los orígenes de información de la VM para los servidores ESXi de VMware o vCenter”. • Para AWS-VPC, consulte “Activación de los orígenes de información de la VM para AWS VPC”. Actualizar conectados: Haga clic para actualizar el estado de la conexión; se actualiza la visualización en pantalla. Este botón no actualiza la conexión entre el cortafuegos y los orígenes supervisados. Eliminar: Seleccione un origen de información de máquina virtual configurado y haga clic para eliminar el origen configurado. Palo Alto Networks Gestión de dispositivos • 63 Tabla 17. Activación de los orígenes de información de la VM para los servidores ESXi de VMware o vCenter Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Tipo Seleccione si el host/origen que se está supervisando es un servidor ESXi o vCenter. Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen. Puerto Especifique el puerto en el que está escuchando el host/origen. (puerto predeterminado 443). Habilitado De forma predeterminada, la comunicación entre el cortafuegos y el origen configurado está activada. El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente; el estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos. Tiempo de espera Introduzca el intervalo en horas después del cual se cierra la conexión al origen supervisado, si el host no responde. (de forma predeterminada: 2 horas, rango de 2-10 horas) (Optativo) Para cambiar el valor predeterminado, seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado y especifique el valor. Cuando se alcanza el límite especificado o si no se puede acceder al host o este no responde, el cortafuegos cerrará la conexión al origen. IP Origen Introduzca el FQDN o la dirección IP del host/origen que se está supervisando. Nombre de usuario Especifique el nombre de usuario necesario para autenticar para el origen. Contraseña Introduzca la contraseña y confirme la entrada. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen. (de forma predeterminada, 5 segundos, el rango es de 5-600 segundos) 64 • Gestión de dispositivos Palo Alto Networks Tabla 18. Activación de los orígenes de información de la VM para AWS VPC Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Tipo Seleccione VPC de AWS. Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen. Habilitado De forma predeterminada, la comunicación entre el cortafuegos y el origen configurado está activada. El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente; El estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos. IP Origen Añada la URI en la que reside la Virtual Private Cloud. Por ejemplo, ec2.us-west-1.amazonaws.com. La sintaxis es: ec2.<su_región_AWS>.amazonaws.com Introduzca la cadena de texto alfanumérico que identifica de forma exclusiva al usuario propietario o con autorización de acceso a la cuenta de AWS. ID de clave de acceso Esta información es una parte de las credenciales de seguridad de AWS. El cortafuegos necesitas las credenciales (ID de clave de acceso y clave de acceso secreto) para firmar digitalmente las llamadas de API realizadas a los servicios de AWS. Clave de acceso secreto Introduzca la contraseña y confirme la entrada. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen. (de forma predeterminada, 60 segundos, el rango es de 60-1200 segundos) Tiempo de espera Intervalo en horas después del cual se cierra la conexión al origen supervisado, si el host no responde. (valor predeterminado 2 horas) (Optativo) Seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado. Cuando se alcanza el límite especificado o si no se puede acceder al origen o este no responde, el cortafuegos cerrará la conexión al origen. ID de VPC Introduzca el ID del AWS-VPC para supervisar, por ejemplo, vpc1a2b3c4d. Solo se supervisan las instancias de EC2 implementadas en este VPC. Si su cuenta se configura para usar un VPC predeterminado, el ID del VPC predeterminado aparecerá en los atributos de cuenta de AWS. Palo Alto Networks Gestión de dispositivos • 65 Instalación de software Dispositivo > Software Utilice esta página para instalar una versión del software: vea las versiones disponibles, seleccione la versión que desea descargar e instalar (se necesita una licencia de asistencia técnica), acceda y lea las notas de la versión concreta y actualice o desactualice la versión. Siga estas recomendaciones antes de actualizar o desactualizar la versión de software: • Lea las notas de la versión para ver una descripción de los cambios de una versión y la ruta de migración para instalar el software. • Realice una copia de seguridad de su configuración actual, ya que una versión con características puede migrar determinadas configuraciones para admitir nuevas características. (Haga clic en la pestaña Dispositivo > Configuración > Operaciones y seleccione Exportar instantánea de configuración con nombre, seleccione runningconfig.xml y, a continuación, haga clic en ACEPTAR para guardar el archivo de configuración en su ordenador.) • Cuando realice una desactualización, se recomienda que lo haga a una configuración que coincida con la versión del software. • Al actualizar un par de alta disponibilidad (HA) a una nueva versión con características (en la que cambie el primero o el segundo dígito de la versión de PAN-OS; p. ej., de 4.1. o 5.0 a 6.0), puede que se migre la configuración para admitir nuevas características. Si está habilitada la sincronización de sesiones, las sesiones no se sincronizarán si un dispositivo del clúster tiene una versión con características de PAN-OS diferente. • Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS está firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva versión. Si el ajuste de fecha del cortafuegos no está actualizado, puede que el dispositivo crea equivocadamente que la firma del software es futura, por lo que mostrará el mensaje Error de descifrado: la edición de GnuPG no es cero, con código 171072; error al cargar en el gestor de software PAN. En la siguiente tabla se proporciona ayuda para utilizar esta pantalla. Tabla 19. Opciones de software Campo Descripción Versión Muestra las versiones de software que están disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks. Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks, haga clic en Comprobar ahora. El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones. Si hay actualizaciones disponibles, las muestra al principio de la lista. Tamaño Tamaño de la imagen del software. Fecha de versión Fecha y hora en la que Palo Alto Networks publicó la versión. Descargado Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la imagen de software en el cortafuegos. Instalado actualmente Una marca de verificación en esta columna indica que se ha activado o se está ejecutando actualmente la versión correspondiente de la imagen de software en el cortafuegos. 66 • Gestión de dispositivos Palo Alto Networks Tabla 19. Opciones de software (Continuación) Campo Descripción Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: la versión de software correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. Haga clic en el enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a Internet, utilice un ordenador conectado a Internet para ir al sitio Actualizar software para buscar y Descargar la versión de software en su ordenador local. A continuación, haga clic en el botón Cargar para cargar manualmente la imagen de software en el cortafuegos. • Instalar: Se ha descargado la versión de software correspondiente en el cortafuegos. Haga clic en el enlace para instalar el software. Se necesita reiniciar para completar el proceso de actualización. • Reinstalar: se ha instalado la versión de software correspondiente. Para volver a instalar la misma versión, haga clic en el enlace. Notas de versión Proporciona un enlace a las notas de la versión de la versión correspondiente. Elimine la imagen de software descargada anteriormente del cortafuegos. Únicamente puede eliminar la imagen base en el caso de versiones anteriores que no necesiten actualizarse. Por ejemplo, si está ejecutando 5.1, probablemente no necesitará las imágenes base de 5.0 y 4.0, a menos que tenga la intención de desactualizar el software a dichas versiones. Palo Alto Networks Gestión de dispositivos • 67 Actualización de definiciones de aplicaciones y amenazas Dispositivo > Actualizaciones dinámicas Panorama > Actualizaciones dinámicas Palo Alto Networks publica periódicamente actualizaciones para la detección de aplicaciones, protección frente amenazas y archivos de datos de GlobalProtect mediante actualizaciones dinámicas para las siguientes funciones: • Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio en la nube WildFire. Debe contar con una suscripción a prevención de amenazas para obtener estas actualizaciones. Se publican nuevas firmas de antivirus todos los días. • Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualización no requiere suscripciones adicionales, pero sí un contrato de asistencia/mantenimiento en vigor. Todas las semanas se publican nuevas actualizaciones de aplicaciones. • Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta actualización está disponible si cuenta con una suscripción de prevención de amenazas (y la obtiene en lugar de la actualización de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas. • Archivo de datos de GlobalProtect: Contiene la información específica del proveedor para definir y evaluar los datos del perfil de información del host (HIP) proporcionados por los agentes de GlobalProtect. Debe tener una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas actualizaciones. Además, debe crear una programación para estas actualizaciones antes de que GlobalProtect funcione. • Filtrado de URL de BrightCloud: Ofrece actualizaciones únicamente para la base de datos de filtrado de URL de BrightCloud. Debe contar con una suscripción a BrightCloud para obtener estas actualizaciones. Todos los días se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen sincronizados con los servidores de forma automática. • WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por el servicio de la nube de WildFire. Sin la suscripción, debe esperar de 24 a 48 horas para que las firmas entren a formar parte de la actualización de aplicaciones y amenazas. • WF-Private: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por un dispositivo de WildFire (WF-500). Para recibir actualizaciones de contenido procedentes de un WF-500, el cortafuegos y el dispositivo se deben ejecutar en PAN-OS 6.1 o superior y el cortafuegos debe estar configurado para el uso del dispositivo de WildFire para el análisis de enlaces de correo electrónico/archivos. Puede ver las actualizaciones más recientes, leer las notas de versión de cada actualización y, a continuación, seleccionar la actualización que desee descargar e instalar. También puede revertir a una versión de una actualización instalada anteriormente. Si está administrando sus cortafuegos con Panorama y desea programar actualizaciones dinámicas para uno o varios cortafuegos, consulte “Programación de actualizaciones dinámicas”. 68 • Gestión de dispositivos Palo Alto Networks En la siguiente tabla se proporciona ayuda para utilizar esta página. Tabla 20. Opciones de las actualizaciones dinámicas Campo Descripción Versión Muestra las versiones disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks. Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks, haga clic en Comprobar ahora. El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones. Si hay actualizaciones disponibles, las muestra al principio de la lista. Última comprobación Muestra la fecha y hora en la que el cortafuegos se conectó por última vez al servidor de actualizaciones y comprobó si había alguna actualización disponible. Programación Le permite programar la frecuencia de recuperación de actualizaciones. Defina la frecuencia y el momento para la descarga de software (día o fecha y hora), ya sea solo para la descarga de las actualizaciones o para la descarga e instalación de estas en el cortafuegos. Cuando programa una descarga, puede especificar el tiempo de espera antes de la actualización de contenidos, si desea retrasar la instalación de nuevas actualizaciones hasta que haya transcurrido un determinado número de horas desde su publicación. Para ello, introduzca el número de horas que debe esperarse en el campo Umbral (Horas). Nombre de archivo Muestra el nombre de archivo; incluye información de la versión de contenido. Tipo Indica si la descarga es una actualización completa o una actualización incremental. Tamaño Muestra el tamaño de la imagen del software. Fecha de versión Fecha y hora en la que Palo Alto Networks publicó la versión. Descargado Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la imagen de software en el cortafuegos. Instalado actualmente Una marca de verificación en esta columna indica que se ha activado o se está ejecutando actualmente la versión correspondiente de la imagen de software en el cortafuegos. Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: la versión de software correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. Haga clic en el enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a Internet, utilice un ordenador conectado a Internet para ir al sitio Actualizar software para buscar y descargar la versión de software en su ordenador local. A continuación, haga clic en el botón Cargar para cargar manualmente la imagen de software en el cortafuegos. • Instalar: Se ha descargado la versión de software correspondiente en el cortafuegos. Haga clic en el enlace para instalar el software. Se necesita reiniciar para completar el proceso de actualización. • Revertir: Anteriormente se ha descargado la versión de software correspondiente. Para volver a instalar la misma versión, haga clic en el enlace. Palo Alto Networks Gestión de dispositivos • 69 Tabla 20. Opciones de las actualizaciones dinámicas (Continuación) Campo Descripción Notas de versión Proporciona un enlace a las notas de la versión de la versión correspondiente. Elimine la imagen de software descargada anteriormente del cortafuegos. Únicamente puede eliminar la imagen base en el caso de versiones anteriores que no necesiten actualizarse. Por ejemplo, si está ejecutando 5.1, probablemente no necesitará las imágenes base de 5.0 y 4.0, a menos que tenga la intención de desactualizar el software a dichas versiones. Funciones, perfiles y cuentas de administrador El cortafuegos admite las siguientes opciones para autenticar a usuarios administrativos que intentan iniciar sesión en el cortafuegos: • Base de datos local: La información de inicio de sesión y contraseña de usuario se introduce directamente en la base de datos del cortafuegos. • RADIUS: Se utilizan servidores Remote Authentication Dial In User Service (RADIUS) existentes para autenticar a los usuarios. • LDAP: Se utilizan servidores Lightweight Directory Access Protocol (LDAP) existentes para autenticar a los usuarios. • Kerberos: Se utilizan servidores Kerberos existentes para autenticar a los usuarios. • Certificado de cliente: Se utilizan certificados de cliente existentes para autenticar a los usuarios. Cuando crea una cuenta administrativa, debe especificar autenticación local o certificado de cliente (sin perfil de autenticación), o bien un perfil de autenticación (RADIUS, LDAP, Kerberos o autenticación de base de datos local). Este ajuste determina el modo en que se comprueba la autenticación del administrador. Las funciones de administrador determinan las funciones que el administrador tiene permitido realizar tras iniciar sesión. Puede asignar funciones directamente a una cuenta de administrador o definir perfiles de funciones, que especifican privilegios detallados, y asignarlos a cuentas de administrador. Consulte las siguientes secciones para obtener información adicional: • Para obtener instrucciones sobre cómo configurar perfiles de autenticación, consulte “Configuración de perfiles de autenticación”. • Para obtener instrucciones sobre cómo configurar perfiles de funciones, consulte “Definición de funciones de administrador”. • Para obtener instrucciones sobre cómo configurar cuentas, consulte “Creación de cuentas administrativas”. • Para obtener información sobre redes privadas virtuales (VPN) SSL, consulte “Configuración de GlobalProtect”. 70 • Gestión de dispositivos Palo Alto Networks • Para obtener instrucciones sobre cómo definir dominios de sistemas virtuales para administradores, consulte “Especificación de dominios de acceso para administradores”. • Para obtener instrucciones sobre cómo definir perfiles de certificado para administradores, consulte “Creación un perfil de certificados”. Definición de funciones de administrador Dispositivo > Funciones de administrador Utilice la página Funciones de administrador para definir perfiles de funciones que determinen el acceso y las responsabilidades disponibles para los usuarios administrativos. Para obtener instrucciones sobre cómo añadir cuentas de administrador, consulte “Creación de cuentas administrativas”. También hay tres funciones de administrador predefinidas que se pueden utilizar con fines de criterios comunes. Primero utiliza la función Superusuario para la configuración inicial del dispositivo y para crear las cuentas de administrador para el administrador de seguridad, el administrador de auditoría y el administrador criptográfico. Una vez se hayan creado las cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas, podrá iniciar sesión utilizando esas cuentas. La cuenta Superusuario predeterminada en el modo CC o FIPS es admin y la contraseña predeterminada es paloalto. En el modo de funcionamiento estándar, la contraseña predeterminada de admin es admin. Las funciones de administrador predefinidas se han creado donde las capacidades no se solapan, excepto en que todas tienen un acceso de solo lectura a la traza de auditoría (excepto el administrador de auditoría con acceso de lectura/eliminación completo). Estas funciones de administrador no se pueden modificar y se definen de la manera siguiente: • Administrador de auditoría: El administrador de auditoría es responsable de la revisión regular de los datos de auditoría del cortafuegos. • Administrador criptográfico: El administrador criptográfico es responsable de la configuración y el mantenimiento de los elementos criptográficos relacionados con el establecimiento de conexiones seguras con el cortafuegos. • Administrador de seguridad: El administrador de seguridad es responsable del resto de tareas administrativas (p. ej., la creación de la política de seguridad del cortafuegos) no asumidas por las otras dos funciones administrativas. Palo Alto Networks Gestión de dispositivos • 71 Para añadir una función de administrador, haga clic en Añadir y especifique la siguiente información. Tabla 21. Configuración de funciones de administrador Campo Descripción Nombre Introduzca un nombre para identificar esta función de administrador (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción opcional de la función (de hasta 255 caracteres). Función Seleccione el ámbito de responsabilidad administrativa: dispositivo o sistema virtual (para dispositivos habilitados para sistemas virtuales múltiples). Interfaz de usuario web Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la interfaz web: • Habilitar: acceso de lectura/escritura a la pestaña seleccionada. • Solo lectura: acceso de solo lectura a la pestaña seleccionada. • Deshabilitar: sin acceso a la pestaña seleccionada. API XML Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la API XML. Línea de comandos Seleccione el tipo de función para el acceso a la CLI: • Ninguno: El acceso a la CLI del dispositivo no está permitido. • Superusuario: El acceso al dispositivo actual es completo. • Superlector: El acceso al dispositivo actual es de solo lectura. • Deviceadmin: El acceso a un dispositivo seleccionado es completo, excepto al definir nuevas cuentas o sistemas virtuales. • Devicereader: El acceso a un dispositivo seleccionado es de solo lectura. Definición de perfiles de contraseña Dispositivo > Perfiles de contraseña y Panorama > Perfiles de contraseña Los perfiles de contraseña le permiten establecer requisitos de contraseña básicos para una cuenta local individual. Si habilita Complejidad de contraseña mínima (consulte “Complejidad de contraseña mínima”), que proporciona requisitos de contraseña para todas las cuentas locales, este perfil de contraseña cancelará esos ajustes. 72 • Gestión de dispositivos Palo Alto Networks Para crear un perfil de contraseña, haga clic en Añadir y especifique la siguiente información. Tabla 22. Configuración de perfil de contraseña Campo Descripción Nombre Introduzca un nombre para identificar el perfil de contraseña (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Período necesario para el cambio de contraseña (días) Período de advertencia de vencimiento (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido, de 0 a 365 días. Por ejemplo, si el valor se establece como 90, se pedirá a los administradores que cambien su contraseña cada 90 días. También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. Si se establece un período necesario para el cambio de contraseña, este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días). Recuento de inicio de sesión de administrador posterior al vencimiento Permita que el administrador inicie sesión el número de veces especificado después de que su cuenta haya vencido. Por ejemplo, si el valor se ha establecido como 3 y su cuenta ha vencido, podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión). Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que su cuenta haya vencido (rango: 0-30 días). Para aplicar un perfil de contraseña a una cuenta, seleccione Dispositivo > Administradores (para cortafuegos) o Panorama > Administradores, seleccione una cuenta y, a continuación, seleccione el perfil en la lista desplegable Perfil de la contraseña. Palo Alto Networks Gestión de dispositivos • 73 Requisitos de nombre de usuario y contraseña La tabla siguiente enumera los caracteres válidos que se pueden utilizar en nombres de usuario y contraseñas para cuentas de PAN-OS y Panorama. Tabla 23. Caracteres válidos para nombres de usuario y contraseñas Tipo de cuenta Restricciones Conjunto de caracteres de contraseña No hay ninguna restricción en los conjuntos de caracteres de los campos de contraseña. Administrador remoto, VPN SSL o portal cautivo Los siguientes caracteres no están permitidos para el nombre de usuario: • Acento grave (`) • Corchetes angulares (< y >) • Y comercial (&) • Asterisco (*) • Arroba (@) • Signos de interrogación (¿ y ?) • Barra vertical (|) • Comilla simple (‘) • Punto y coma (;) • Comillas (“ y ”) • Signo del dólar ($) • Paréntesis (“(” y “)”) • Dos puntos (:) Cuentas de administrador locales Los siguientes son los caracteres permitidos para los nombres de usuario locales: • Minúsculas (a-z) • Mayúsculas (A-Z) • Números (0-9) • Guión bajo (_) • Punto (.) • Guión (-) Nota: Los nombres de inicio de sesión no pueden empezar por guión (-). Creación de cuentas administrativas Dispositivo > Administradores Panorama > Administradores Las cuentas de administrador controlan el acceso a los dispositivos. Un administrador de cortafuegos (Dispositivo > Administradores) puede tener acceso completo o de solo lectura a un único cortafuegos o a un sistema virtual en un único cortafuegos. Un administrador de Panorama (Panorama > Administradores) puede tener acceso completo o de solo lectura a Panorama y a todos los cortafuegos que gestiona. Para obtener más información específica de Panorama, consulte “Creación de cuentas administrativas de Panorama”. Tanto Panorama como los cortafuegos individuales tienen una cuenta de administrador predefinida con acceso completo. 74 • Gestión de dispositivos Palo Alto Networks Se admiten las siguientes opciones de autenticación: • Autenticación con contraseña: El administrador introduce un nombre de usuario y una contraseña para iniciar sesión. No se necesitan certificados. Puede utilizar este método junto con los perfiles de autenticación o para la autenticación de base de datos local. • Autenticación con certificado de cliente (web): Esta autenticación no necesita nombre de usuario o contraseña; el certificado será suficiente para autenticar el acceso al dispositivo. • Autenticación con clave pública (SSH): El administrador genera un par de claves pública y privada en la máquina que requiere acceso al dispositivo y, a continuación, carga la clave pública en el dispositivo para permitir un acceso seguro sin exigir que el administrador introduzca un nombre de usuario y una contraseña. Para garantizar la seguridad de la interfaz de gestión del dispositivo, se recomienda cambiar periódicamente las contraseñas administrativas utilizando una mezcla de minúsculas, mayúsculas y números. También puede aplicar “Complejidad de contraseña mínima” desde Configuración > Gestión. Para añadir un administrador, haga clic en Añadir y especifique la siguiente información. Tabla 24. Configuración de cuentas de administrador Campo Descripción Nombre Introduzca un nombre de inicio de sesión para el administrador (de hasta 15 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, guiones, puntos y guiones bajos. Los nombres de inicio de sesión no pueden empezar por guión (-). Perfil de autenticación Seleccione un perfil de autenticación para la autenticación del administrador. Este ajuste se puede utilizar para RADIUS, LDAP, Kerberos o la autenticación de base de datos local. Si desea información más detallada, consulte “Configuración de perfiles de autenticación”. Utilizar únicamente el certificado de autenticación de cliente (web) Seleccione la casilla de verificación para utilizar la autenticación con certificado de cliente para el acceso web. Si selecciona esta casilla de verificación, no es necesario ni el nombre de usuario ni la contraseña; el certificado es suficiente para autenticar el acceso al dispositivo. Nueva contraseña Confirmar nueva contraseña Introduzca y confirme una contraseña que haga distinción entre mayúsculas y minúsculas para el administrador (de hasta 15 caracteres). También puede aplicar “Contraseña mínima” desde Configuración > Gestión. Utilizar autenticación de clave pública (SSH) Seleccione la casilla de verificación para utilizar la autenticación con clave pública SSH. Haga clic en Importar clave y explore para seleccionar el archivo de clave pública. La clave cargada se muestra en el área de texto de solo lectura. Los formatos de archivo de clave admitidos son IETF SECSH y OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits) y RSA (768-4096 bits). Nota: Si falla la autenticación con clave pública, se mostrará un mensaje de nombre de usuario y contraseña para el administrador. Palo Alto Networks Gestión de dispositivos • 75 Tabla 24. Configuración de cuentas de administrador (Continuación) Campo Descripción Función Asigne una función a este administrador. La función determina lo que el administrador puede ver y modificar. Si elige Basado en función, seleccione un perfil de función personalizado en la lista desplegable. Si desea información más detallada, consulte “Definición de funciones de administrador” o “Definición de funciones de administrador de Panorama”. Si selecciona la opción de dinámica, las funciones preconfigurados que puede seleccionar en la lista desplegable dependerán de la plataforma: • Cortafuegos: – Superusuario: El acceso al cortafuegos actual es completo. – Superusuario (solo lectura): Acceso de solo lectura al cortafuegos actual. – Administrador de dispositivo: El acceso a un cortafuegos seleccionado es completo, excepto al definir nuevas cuentas o sistemas virtuales. – Administrador de dispositivo (solo lectura): El acceso a un cortafuegos seleccionado es de solo lectura. – Administrador de Vsys: El acceso a un sistema virtual seleccionado en un cortafuegos específico (si hay varios sistemas virtuales habilitados) es completo. – Administrador de Vsys (solo lectura): El acceso a un sistema virtual seleccionado en un cortafuegos específico es de solo lectura. • Panorama: – Superusuario: Acceso completo a Panorama y a todos los grupos de dispositivos, plantillas y cortafuegos gestionados. – Superusuario (solo lectura): Acceso de solo lectura a Panorama y a todos los grupos de dispositivos, plantillas y cortafuegos gestionados. – Administrador de Panorama: Acceso completo a Panorama (excepto a las cuentas y funciones de administrador) y todos los grupos de dispositivos y plantillas. Sin acceso a los cortafuegos gestionados. Sistema virtual (Solo para una función de administrador de sistema virtual del cortafuegos) Perfil de la contraseña Haga clic en Añadir para seleccionar los sistemas virtuales a los que puede acceder el administrador. Seleccione el perfil de contraseña, si es aplicable. Para crear un nuevo perfil de contraseña, consulte “Definición de perfiles de contraseña”. En la página Administradores de Panorama para “Superusuario”, se muestra un icono de bloqueo en la columna de la derecha si una cuenta está bloqueada. El administrador puede hacer clic en el icono para desbloquear la cuenta. 76 • Gestión de dispositivos Palo Alto Networks Especificación de dominios de acceso para administradores Dispositivo > Dominio de acceso Panorama > Dominio de acceso Utilice la página Dominio de acceso para especificar dominios para el acceso del administrador al cortafuegos o Panorama. El dominio de acceso está vinculado a atributos específicos del proveedor (VSA) RADIUS y únicamente se admite si se utiliza un servidor RADIUS para la autenticación del administrador. Si desea más información sobre cómo configurar RADIUS, consulte “Configuración de ajustes de servidor RADIUS”. Para información sobre los dominios de acceso específicos de Panorama, consulte “Especificación de dominios de acceso de Panorama para administradores”. Cuando un administrador intenta iniciar sesión en el cortafuegos, este consulta al servidor RADIUS acerca del dominio de acceso del administrador. Si hay un dominio asociado en el servidor RADIUS, se devuelve y el administrador se restringe a los sistemas virtuales definidos de dentro del dominio de acceso con nombre del dispositivo. Si no se utiliza RADIUS, los ajustes de dominio de acceso de esta página se ignorarán. Tabla 25. Configuración de dominio de acceso Campo Descripción Nombre Introduzca un nombre para el dominio de acceso (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, guiones y guiones bajos. Sistemas virtuales Seleccione sistemas virtuales en la columna Disponibles y haga clic en Añadir para seleccionarlos. Los dominios de acceso únicamente son compatibles en dispositivos que admiten sistemas virtuales. Configuración de perfiles de autenticación Dispositivo > Perfil de autenticación Panorama > Perfil de autenticación Utilice la página Perfil de autenticación para configurar ajustes de autenticación que podrán aplicarse a cuentas para gestionar el acceso al cortafuegos o Panorama. Los perfiles de autenticación especifican ajustes de base de datos local, RADIUS, LDAP o Kerberos y pueden asignarse a cuentas de administrador, acceso a VPN SSL y portal cautivo. Cuando un administrador intenta iniciar sesión en el cortafuegos directamente o a través de una VPN SSL o un portal cautivo, el cortafuegos comprueba el perfil de autenticación que está asignado a la cuenta y autentica al usuario basándose en la configuración de autenticación. Si el usuario no tiene una cuenta de administrador local, el perfil de autenticación que se especifica en la página Configuración del dispositivo determina el modo en que el usuario se autentica (consulte “Definición de la configuración de gestión”): Palo Alto Networks Gestión de dispositivos • 77 • Si especifica ajustes de autenticación RADIUS en la página Configuración y el usuario no tiene una cuenta local en el cortafuegos, entonces el cortafuegos solicitará información de autenticación del usuario (incluida la función) al servidor RADIUS. El archivo de diccionario de RADIUS de Palo Alto Networks que contiene los atributos de las diversas funciones está disponible en el sitio web de asistencia técnica en https://live.paloaltonetworks.com/docs/DOC-3189. • Si se especifica Ninguna como perfil de autenticación en la página Configuración, entonces el cortafuegos deberá autenticar localmente al usuario de acuerdo con el perfil de autenticación especificado para el usuario. Tabla 26. Configuración de perfiles de autenticación Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el cortafuegos está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Tiempo de bloqueo Introduzca el número de minutos que se bloquea a un usuario si se alcanza el número de intentos fallidos (0-60 minutos; valor predeterminado: 0). 0 significa que el bloqueo continuará mientras que no se desbloquee manualmente. Intentos fallidos Introduzca el número de intentos de inicio de sesión fallidos que se permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0). 0 significa que no hay ningún límite. Lista de permitidas Especifique a los usuarios y grupos que tienen permiso explícito para autenticar. Haga clic en Editar lista de permitidos y realice cualquiera de las siguientes acciones: • Seleccione la casilla de verificación junto al usuario o grupo de usuarios en la columna Disponibles y haga clic en Añadir para añadir sus selecciones a la columna Seleccionados. • Utilice la casilla de verificación Todos para aplicarlo a todos los usuarios. • Introduzca los primeros caracteres de un nombre en el campo Búsqueda para enumerar a todos los usuarios y grupos de usuarios que comienzan por esos caracteres. Al seleccionar un elemento de la lista, se establece la casilla de verificación en la columna Disponibles. Repita este proceso tantas veces como sean necesarias y luego haga clic en Añadir. • Para eliminar usuarios o grupos de usuarios, seleccione las casillas de verificación adecuadas en la columna Seleccionados y haga clic en Eliminar o seleccione Cualquiera para borrar a todos los usuarios. Autenticación Seleccione el tipo de autenticación: • Ninguna: No utilice ninguna autenticación del cortafuegos. • Base de datos local: Utilice la base de datos de autenticación del cortafuegos. • RADIUS: Utilice un servidor RADIUS para la autenticación. • LDAP: Utilice LDAP como método de autenticación. • Kerberos: Utilice Kerberos como método de autenticación. 78 • Gestión de dispositivos Palo Alto Networks Tabla 26. Configuración de perfiles de autenticación (Continuación) Campo Descripción Perfil de servidor Si selecciona RADIUS, LDAP o Kerberos como método de autenticación, elija el servidor de autenticación en la lista desplegable. Los servidores se configuran en las páginas Servidor. Consulte “Configuración de ajustes de servidor RADIUS”, “Configuración de ajustes de servidor LDAP” y “Configuración de ajustes de Kerberos (autenticación nativa de Active Directory)”. Atributo de inicio de sesión Si ha seleccionado LDAP como método de autenticación, introduzca el atributo de directorio LDAP que identifica de manera exclusiva al usuario. Aviso de caducidad de contraseña Si crea un perfil de autenticación que se usará para autenticar a los usuarios de GlobalProtect y ha seleccionado LDAP como método de autenticación, introduzca el número de días previos a la caducidad de la contraseña para empezar a mostrar mensajes de notificación a los usuarios y alertarlos de que sus contraseñas caducan en x número de días. De forma predeterminada, los mensajes de notificación se mostrarán 7 días antes de la caducidad de la contraseña (de 1-255 días). Los usuarios no podrán acceder a la VPN si las contraseñas caducan. Consejo: Se recomienda configurar los agentes para que utilicen el método de conexión anterior al inicio de sesión. Esto permitirá a los usuarios conectarse al dominio para cambiar sus contraseñas incluso aunque la contraseña haya caducado. Consejo: Si los usuarios dejan caducar sus contraseñas, el administrador puede asignar una contraseña de LDAP temporal que permita a los usuarios iniciar sesión en la VPN. En este flujo de trabajo, se recomienda establecer el modificador de autenticación en la configuración del portal para la autenticación de cookies para la actualización de configuración (de lo contrario, la contraseña temporal se utilizará para autenticarse en el portal, pero el inicio de sesión de la puerta de enlace fallará, lo que evitará el acceso a la VPN). Consulte “Configuración de GlobalProtect”para obtener más información sobre la autenticación de cookies y la conexión anterior al inicio de sesión. Palo Alto Networks Gestión de dispositivos • 79 Creación de una base de datos de usuario local Dispositivo > Base de datos de usuario local > Usuarios Puede establecer una base de datos local en el cortafuegos para almacenar información de autenticación para usuarios con acceso remoto, administradores de dispositivos y usuarios de portal cautivo. No se requiere ningún servidor de autenticación externo con esta configuración, de modo que toda la gestión de cuentas se realiza en el cortafuegos o desde Panorama. Tabla 27. Configuración de usuario local Campo Descripción Nombre de usuario local Introduzca un nombre para identificar al usuario (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Seleccione un sistema virtual o seleccione Compartido para que el certificado esté disponible para todos los sistemas virtuales. Modo Utilice este campo para especificar la opción de autenticación: • Contraseña: Introduzca y confirme una contraseña para el usuario. • Hash de la contraseña: Introduzca una cadena de contraseña con hash. Habilitar Seleccione la casilla de verificación para activar la cuenta de usuario. Utilice la página Usuarios locales para añadir información de usuario a la base de datos local. Al configurar el portal cautivo, primero debe crear la cuenta local, añadirla a un grupo de usuarios y crear un perfil de autenticación utilizando el nuevo grupo. A continuación, debe habilitar el portal cautivo desde Dispositivo > Autenticación de usuario > Portal cautivo y seleccionar el perfil de autenticación. Una vez haya configurado esto, podrá crear una política desde Políticas > Portal cautivo. Consulte “Configuración del cortafuegos para la identificación de usuarios” para obtener más información. 80 • Gestión de dispositivos Palo Alto Networks Cómo añadir grupos de usuarios locales Dispositivo > Base de datos de usuario local > Grupos de usuarios Utilice la página Grupos de usuarios para añadir información de grupo de usuarios a la base de datos local. Tabla 28. Configuración de grupo de usuarios local Campo Descripción Nombre de grupo de usuarios local Introduzca un nombre para identificar el grupo (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Seleccione un sistema virtual o seleccione Compartido para permitir el acceso de usuario a todos los sistemas virtuales disponibles. Todos los usuarios locales Haga clic en Añadir para seleccionar a los usuarios que desee añadir al grupo. Configuración de ajustes de servidor RADIUS Dispositivo > Perfiles de servidor > RADIUS Panorama > Perfiles de servidor > RADIUS Utilice la página RADIUS para configurar los ajustes de los servidores RADIUS identificados en perfiles de autenticación. Consulte “Configuración de perfiles de autenticación”. Tabla 29. Configuración de servidor RADIUS Campo Descripción Nombre Introduzca un nombre para identificar el servidor (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Seleccione un sistema virtual o seleccione Compartido para que el perfil esté disponible para todos los sistemas virtuales. Únicamente uso de administrador Utilice este perfil de servidor únicamente para la autenticación del administrador. Dominio Introduzca el dominio del servidor RADIUS. El ajuste de dominio se utiliza si el usuario no especifica un dominio al iniciar sesión. Tiempo de espera Introduzca un intervalo tras el cual vence una solicitud de autenticación (1-30 segundos; valor predeterminado: 3 segundos). Reintentos Introduzca el número de reintentos automáticos tras un tiempo de espera antes de que falle la solicitud (1-5; valor predeterminado: 3). Obtener grupo de usuarios Seleccione la casilla de verificación para utilizar VSA RADIUS para definir el grupo que ha accedido al cortafuegos. Palo Alto Networks Gestión de dispositivos • 81 Tabla 29. Configuración de servidor RADIUS (Continuación) Campo Descripción Servidores Configure información para cada servidor en el orden preferido. • Nombre: Introduzca un nombre para identificar el servidor. • Dirección IP: Introduzca la dirección IP del servidor. • Puerto: Introduzca el puerto del servidor para solicitudes de autenticación. • Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar y cifrar la conexión entre el cortafuegos y el servidor RADIUS. Configuración de ajustes de servidor LDAP Dispositivo > Perfiles de servidor > LDAP Panorama > Perfiles de servidor > LDAP Utilice la página LDAP para configurar los ajustes que los servidores LDAP deben utilizar para la autenticación mediante perfiles de autenticación. Consulte “Configuración de perfiles de autenticación”. Tabla 30. Configuración de servidor LDAP Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Seleccione un sistema virtual o seleccione Compartido para que el perfil esté disponible para todos los sistemas virtuales. Únicamente uso de administrador Utilice este perfil de servidor únicamente para la autenticación del administrador. Servidores Especifique los nombres de host, las direcciones IP y los puertos los servidores LDAP. Dominio Introduzca el nombre de dominio del servidor. Este nombre de dominio debe ser el nombre NetBIOS del dominio y se añadirá al nombre de usuario cuando se realice la autenticación. Por ejemplo, si su dominio es paloaltonetworks.com, únicamente necesita introducir paloaltonetworks. Tipo Seleccione el tipo de servidor de la lista desplegable. Base Especifique el contexto raíz del servidor de directorio para acotar la búsqueda de información de usuario o grupo. Enlazar DN Especifique el nombre de inicio de sesión (nombre distintivo) del servidor de directorio. Enlazar contraseña/ Confirmar contraseña de enlace Especifique la contraseña de la cuenta de enlace. El agente guardará la contraseña cifrada en el archivo de configuración. SSL Seleccione esta opción para utilizar comunicaciones SSL o Transport Layer Security (TLS) seguras entre el dispositivo de Palo Alto Networks y el servidor de directorio. 82 • Gestión de dispositivos Palo Alto Networks Tabla 30. Configuración de servidor LDAP (Continuación) Campo Descripción Límite de tiempo Especifique el límite de tiempo impuesto al realizar búsquedas de directorio (1-30 segundos; valor predeterminado: 30 segundos). Enlazar límite de tiempo Especifique el límite de tiempo impuesto al conectar con el servidor de directorio (1-30 segundos; valor predeterminado: 30 segundos). Intervalo de reintento Especifique el intervalo tras el cual el sistema intentará conectarse al servidor LDAP después de un intento fallido anterior (1-3.600 segundos). Configuración de ajustes de Kerberos (autenticación nativa de Active Directory) Dispositivo > Perfiles de servidor > Kerberos Panorama > Perfiles de servidor > Kerberos Utilice la página Kerberos para configurar la autenticación de Active Directory sin exigir que los clientes inicien el servicio de autenticación de Internet (IAS) para admitir RADIUS. La configuración de un servidor Kerberos permite que los usuarios autentiquen de forma nativa a un controlador de dominio. Después de configurar los ajustes de Kerberos, Kerberos pasa a estar disponible como opción al definir perfiles de autenticación. Consulte “Configuración de perfiles de autenticación”. Puede configurar los ajustes de Kerberos para que reconozcan una cuenta de usuario con cualquiera de los formatos siguientes, en los que el dominio y el territorio se especifican como parte de la configuración del servidor Kerberos: • dominio\nombre de usuario • nombreusuario@territorio • nombre de usuario Palo Alto Networks Gestión de dispositivos • 83 Tabla 31. Configuración de servidor Kerberos Campo Descripción Nombre Introduzca un nombre para identificar el servidor (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Seleccione un sistema virtual o seleccione Compartido para que el perfil esté disponible para todos los sistemas virtuales. Únicamente uso de administrador Utilice este perfil de servidor únicamente para la autenticación del administrador. Dominio Especifique la parte del nombre de host del nombre de inicio de sesión del usuario (de hasta 127 caracteres) Ejemplo: El nombre de cuenta de usuario [email protected] tiene el territorio ejemplo.local. Dominio Especifique el dominio de la cuenta de usuario (de hasta 63 caracteres). Servidores En el caso de cada servidor Kerberos, haga clic en Añadir y especifique los siguientes ajustes: • Servidor: Introduzca la dirección IP del servidor. • Host: Introduzca el FQDN del servidor. • Puerto: Introduzca un número de puerto opcional para la comunicación con el servidor. Configuración de una secuencia de autenticación Dispositivo > Secuencia de autenticación Panorama > Secuencia de autenticación En algunos entornos, las cuentas de usuario residen en varios directorios (base de datos local, LDAP, RADIUS, por ejemplo). Una secuencia de autenticación es un conjunto de perfiles de autenticación que se aplican por orden cuando un usuario intenta iniciar sesión en el dispositivo (cortafuegos o Panorama). El dispositivo siempre prueba primero la base de datos local y, a continuación, cada perfil en secuencia hasta que identifica el usuario. El acceso al dispositivo se deniega únicamente si falla la autenticación de alguno de los perfiles de la secuencia de autenticación. Utilice la página Secuencia de autenticación para configurar conjuntos de perfiles de autenticación que se prueban por orden cuando un usuario solicita acceder al dispositivo. Se concederá acceso al usuario si la autenticación se realiza correctamente mediante cualquiera de los perfiles de autenticación de la secuencia. Para obtener más información, consulte “Configuración de perfiles de autenticación”. 84 • Gestión de dispositivos Palo Alto Networks Tabla 32. Configuración de secuencias de autenticación Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir su uso compartido por todos los sistemas virtuales. Tiempo de bloqueo Introduzca el número de minutos que se bloquea a un usuario si se alcanza el número de intentos fallidos (0-60 minutos; valor predeterminado: 0). 0 significa que el bloqueo continuará mientras que no se desbloquee manualmente. Intentos fallidos Introduzca el número de intentos de inicio de sesión fallidos que se permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0). 0 significa que no hay ningún límite. Lista de perfiles Seleccione los perfiles de autenticación que deben incluirse en la secuencia de autenticación. Para cambiar el orden de la lista, seleccione una entrada y haga clic en Mover hacia arriba o Mover hacia abajo. Programación de exportaciones de logs Dispositivo > Programación de la exportación de logs Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol (FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura entre el dispositivo y un host remoto. Los perfiles de logs contienen la información de programación y servidor FTP. Por ejemplo, puede que un perfil especifique la recogida de los logs del día anterior cada día a las 3:00 y su almacenamiento en un servidor FTP específico. Haga clic en Añadir y especifique los siguientes ajustes: Tabla 33. Configuración de la programación de la exportación de logs Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. No podrá cambiar el nombre después de crear el perfil. Descripción Introduzca una descripción opcional (de hasta 255 caracteres). Habilitado Seleccione la casilla de verificación para habilitar la programación de exportaciones de logs. Tipo de log Seleccione el tipo de log (Tráfico, Amenaza, URL, Datos o Coincidencia HIP). El valor predeterminado es Tráfico. Hora de inicio de exportación programada (a diario) Introduzca la hora del día (hh:mm) a la que comenzará la exportación en el formato de 24 horas (00:00 - 23:59). Palo Alto Networks Gestión de dispositivos • 85 Tabla 33. Configuración de la programación de la exportación de logs (Continuación) Campo Descripción Protocolo Seleccione el protocolo que debe utilizarse para exportar logs desde el cortafuegos a un host remoto. Puede utilizar SCP para exportar logs de manera segura o puede utilizar FTP, que no es un protocolo seguro. Si está utilizando SCP, deberá hacer clic en el botón Conexión de servidor SCP de prueba para probar la conectividad entre el cortafuegos y el servidor SCP. Además, deberá verificar y aceptar la clave de host del servidor SCP. Nombre de host Introduzca el nombre de host o dirección IP del servidor FTP que se utilizará para la exportación. Puerto Introduzca el número de puerto que utilizará el servidor FTP. El valor predeterminado es 21. Ruta Especifique la ruta ubicada en el servidor FTP que se utilizará para almacenar la información exportada. Habilitar modo pasivo de FTP Seleccione la casilla de verificación para utilizar el modo pasivo para la exportación. De manera predeterminada, esta opción está seleccionada. Nombre de usuario Introduzca el nombre de usuario para acceder al servidor FTP. El valor predeterminado es anónimo. Contraseña Introduzca la contraseña para acceder al servidor FTP. No se necesita contraseña si el usuario es “anónimo”. Definición de destinos de logs Utilice esta página para habilitar el cortafuegos y que registre cambios de configuración, eventos del sistema, logs de coincidencias HIP y alarmas. En cada log puede habilitar el funcionamiento remoto para Panorama (el sistema de gestión central de Palo Alto Networks) y generar traps SNMP, mensajes de Syslog y notificaciones por correo electrónico. La siguiente tabla describe los destinos de logs remotos. Tabla 34. Destinos de logs remotos IP Destino Descripción Panorama Todas las entradas de logs pueden reenviarse a Panorama. Para especificar la dirección del servidor de Panorama, consulte “Definición de la configuración de gestión”. Trap SNMP Se pueden generar traps SNMP según el nivel de gravedad para entradas de los logs Sistema, Amenaza y Tráfico, pero no para entradas del log Configuración. Para definir los nuevos destinos de traps SNMP, consulte “Configuración de destinos de traps SNMP”. 86 • Gestión de dispositivos Palo Alto Networks Tabla 34. Destinos de logs remotos (Continuación) Syslog Se pueden generar mensajes de Syslog según el nivel de gravedad para entradas de los logs de sistema, amenazas y tráfico, así como para las entradas de log de configuración. Para definir los destinos de syslog, consulte “Configuración de servidores Syslog”. Correo electrónico Se pueden enviar notificaciones de correo electrónico según el nivel de gravedad para entradas de los logs de sistema, amenazas y tráfico, así como para las entradas de log de configuración. Para definir los servidores y destinatarios de correo electrónico, consulte “Configuración de ajustes de notificaciones por correo electrónico”. • Para configurar los destinos de los logs del sistema, consulte “Definición de la configuración del log Sistema” • Para configurar los destinos de los logs de configuración, consulte “Definición de la configuración del log Configuración” • Para configurar los destinos de los logs de las coincidencias HIP, consulte “Definición de la configuración de log Coincidencias HIP” • Para configurar los destinos de los logs de tráfico, consulte “Reenvío de logs” Definición de la configuración del log Configuración Dispositivo > Configuración de log > Configuración La configuración del log Configuración especifica las entradas del log Configuración que se registran de manera remota con Panorama y se envían como mensajes de Syslog y/o notificaciones por correo electrónico. Tabla 35. Configuración del log Configuración Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. Traps SNMP Para generar traps SNMP para entradas del log Configuración, seleccione el nombre del trap. Para especificar los nuevos destinos de traps SNMP, consulte “Configuración de destinos de traps SNMP”. Correo electrónico Para generar notificaciones por correo electrónico para entradas del log Configuración, seleccione un perfil de correo electrónico en el menú desplegable. Para crear un nuevo perfil de correo electrónico, consulte “Configuración de ajustes de notificaciones por correo electrónico”. Syslog Para generar mensajes de Syslog para entradas del log Configuración, seleccione el nombre del servidor Syslog. Para especificar nuevos servidores Syslog, consulte “Configuración de servidores Syslog”. Palo Alto Networks Gestión de dispositivos • 87 Definición de la configuración del log Sistema Dispositivo > Configuración de log > Sistema La configuración del log Sistema especifica los niveles de gravedad de las entradas del log Sistema que se registran de manera remota con Panorama y se envían como traps SNMP, mensajes de Syslog y/o notificaciones por correo electrónico. El log Sistema muestra eventos del sistema, como fallos de HA, cambios de estado de enlaces e inicios de sesión y cierres de sesión de administradores. Tabla 36. Configuración del log Sistema Campo Descripción Panorama Seleccione la casilla de verificación para cada nivel de gravedad de las entradas del log Sistema que se enviarán al sistema de gestión centralizado de Panorama. Para especificar la dirección del servidor de Panorama, consulte “Definición de la configuración de gestión”. Los niveles de gravedad son los siguientes: • Crítico: Fallos de hardware, lo que incluye la conmutación por error de HA y los fallos de enlaces. • Alto: Problemas graves, incluidas las interrupciones en las conexiones con dispositivos externos, como servidores Syslog y RADIUS. • Medio: Notificaciones de nivel medio, como actualizaciones de paquetes de antivirus. • Bajo: Notificaciones de menor gravedad, como cambios de contraseña de usuario. • Informativo: Inicios de sesión/cierres de sesión, cambio de nombre o contraseña de administrador, cualquier cambio de configuración y el resto de eventos no cubiertos por los otros niveles de gravedad. Traps SNMP Correo electrónico Syslog Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log Sistema. Para definir nuevos destinos, consulte: • “Configuración de destinos de traps SNMP”. • “Configuración de servidores Syslog”. • “Configuración de ajustes de notificaciones por correo electrónico”. Definición de la configuración de log Coincidencias HIP Dispositivo > Configuración de log > Coincidencias HIP La configuración del log Coincidencias HIP (perfil de información de host) se utiliza para proporcionar información sobre las políticas de seguridad que se aplican a clientes de GlobalProtect. 88 • Gestión de dispositivos Palo Alto Networks Tabla 37. Configuración del log Coincidencias HIP Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. Traps SNMP Para generar traps SNMP para entradas del log Coincidencias HIP, seleccione el nombre del destino de trap. Para especificar los nuevos destinos de traps SNMP, consulte “Configuración de destinos de traps SNMP”. Correo electrónico Para generar notificaciones por correo electrónico para entradas del log Configuración, seleccione el nombre de la configuración de correo electrónico que especifica las direcciones de correo electrónico adecuadas. Para especificar nuevos ajustes de correo electrónico, consulte “Configuración de ajustes de notificaciones por correo electrónico”. Syslog Para generar mensajes de Syslog para entradas del log Configuración, seleccione el nombre del servidor Syslog. Para especificar nuevos servidores Syslog, consulte “Configuración de servidores Syslog”. Definición de la configuración del log Alarma Dispositivo > Configuración de log > Alarmas Utilice la página Alarmas para configurar las notificaciones que se envían cuando se incumplen reglas de seguridad (o grupos de reglas) repetidas veces en un período de tiempo establecido. Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas situado en la esquina inferior derecha de la interfaz web cuando la opción Alarma está configurada. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas del log de alarmas actual. Para reconocer alarmas, seleccione sus casillas de verificación y haga clic en Reconocer. Esta acción pasa las alarmas a la lista Alarmas de reconocimiento. La ventana Alarmas también incluye controles de páginas, orden de columnas y actualización. Para añadir una alarma, edite la sección Configuración de alarma y utilice la siguiente tabla para definirla: Tabla 38. Configuración del log Alarma Campo Descripción Habilitar alarmas Habilite alarmas basándose en los eventos enumerados en esta página. El botón Alarmas solo es visible cuando la casilla de verificación Habilitar alarmas está seleccionada. Habilitar notificaciones de alarmas por CLI Habilite notificaciones de alarmas por CLI cuando se produzca una alarma. Habilitar notificaciones de alarma web Abra una ventana para mostrar alarmas en las sesiones de usuario, incluyendo el momento en que se producen y cuándo se reconocen. Habilitar alarmas audibles El cortafuegos seguirá reproduciendo una alarma sonora cuando existan alarmas no reconocidas en la interfaz web o la CLI. Umbral de fallo de cifrado/descifrado Especifique el número de fallos de cifrado/descifrado tras los cuales se genera una alarma. Palo Alto Networks Gestión de dispositivos • 89 Tabla 38. Configuración del log Alarma (Continuación) Campo Descripción Umbral de alarma de base de datos de log (% lleno) Genere una alarma cuando una base de datos de logs alcance el porcentaje indicado del tamaño máximo. Límites de política de seguridad Se genera una alarma si un puerto o una dirección IP en concreto incumple una regla de denegación el número de veces especificado en el ajuste Umbral de infracciones de seguridad dentro del período (segundos) especificado en el ajuste Período de tiempo de infracciones de seguridad. Límites de grupos de políticas de seguridad Se genera una alarma si el conjunto de reglas alcanza el número de infracciones del límite de reglas especificado en el campo Umbral de infracciones durante el período especificado en el campo Período de tiempo de infracciones. Los incumplimientos se cuentan cuando una sesión coincide con una política de denegación explícita. Utilice Etiquetas de política de seguridad para especificar las etiquetas con las que los umbrales de límite de reglas generarán alarmas. Estas etiquetas están disponibles para su especificación al definir políticas de seguridad. Auditoría selectiva Nota: Estos ajustes aparecen en la página Alarmas únicamente en el modo Criterios comunes. Especifique los siguientes ajustes: • Logging específico de CC: Permite logs ampulosos necesarios para el cumplimiento de criterios comunes (CC). • Logs de inicios de sesión correctos: Registra los inicios de sesión correctos en el cortafuegos por parte del administrador. • Logs de inicios de sesión incorrectos: Registra los inicios de sesión incorrectos en el cortafuegos por parte del administrador. • Administradores suprimidos: No genera logs para los cambios que realizan los administradores enumerados en la configuración del cortafuegos. 90 • Gestión de dispositivos Palo Alto Networks Gestión de configuración de logs Dispositivo > Configuración de log > Gestionar logs Cuando se configura para la creación de logs, el cortafuegos registra cambios en la configuración, eventos del sistema, amenazas de seguridad, flujos de tráfico y alarmas generadas por el dispositivo. Utilice la página Gestionar logs para borrar los logs del dispositivo. Haga clic en el enlace que corresponde al log (tráfico, amenazas, URL, datos, configuración, sistema, coincidencia HIP, alarma) que le gustaría borrar. Configuración de destinos de traps SNMP Dispositivo > Perfiles de servidor > Trap SNMP Panorama > Perfiles de servidor > Trap SNMP SNMP (Protocolo simple de administración de redes) es un servicio estándar para la supervisión de los dispositivos de su red. Para poder alertarle sobre eventos o amenazas del sistema de su red, los dispositivos supervisados envían traps SNMP a las estaciones de gestión de red SNMP (denominadas "destinos de traps SNMP"), permitiendo las alertas centralizadas para todos sus dispositivos de red. Utilice esta página para configurar el perfil del servidor que habilita el cortafuegos o Panorama para comunicarse con los destinos de trap SNMP de su red. Para habilitar GET SNMP, consulte “SNMP”. Después de crear el perfil de servidor que especifica cómo conectar a los destinos de traps SNMP, debe especificar qué tipos de logs (y, para algunos tipos de logs, sus niveles de gravedad) activarán el cortafuegos para que envíe traps SNMP a los destinos configurados correspondientes (consulte “Definición de la configuración del log Sistema”). Además, para que el software de gestión de SNMP interprete los traps, debe instalar los MIB de PAN-OS, disponibles en la siguiente ubicación de la categoría de MIB de SNMP para empresas: https://live.paloaltonetworks.com/community/documentation. Tabla 39. Configuración de destinos de traps SNMP Campo Descripción Nombre Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir su uso compartido por todos los sistemas virtuales. Versión Seleccione la versión de SNMP (V2c o V3). Palo Alto Networks Gestión de dispositivos • 91 Tabla 39. Configuración de destinos de traps SNMP (Continuación) Campo Descripción Configuración de V2c Si selecciona V2c, configure los siguientes ajustes: • Servidor: Especifique un nombre para el destino de trap SNMP (de hasta 31 caracteres). • Gestor: Especifique la dirección IP del destino de trap. • Comunidad: Especifique la cadena de comunidad necesaria para enviar traps al destino especificado (valor predeterminado: público). Configuración de V3 Si selecciona V3, configure los siguientes ajustes: • Servidor: Especifique el nombre del destino de trap SNMP (de hasta 31 caracteres). • Gestor: Especifique la dirección IP del destino de trap. • Usuario: Especifique el usuario de SNMP. • EngineID: Especifique el ID de motor del cortafuegos. La entrada es una cadena con una representación hexadecimal. El ID de motor es cualquier número entre 5 y 64 bytes. Cuando se representa como una cadena hexadecimal, tiene entre 10 y 128 caracteres (2 por cada byte) con dos caracteres adicionales para 0x que debe utilizar como prefijo en la cadena de entrada. Cada cortafuegos tiene un ID de motor exclusivo, que puede obtener utilizando un explorador de MIB para ejecutar GET para OID 1.3.6.1.6.3.10.2.1.1.0. • Contraseña de autenticación: Especifique la contraseña de autenticación del usuario (8 caracteres como mínimo, 256 caracteres como máximo y sin restricciones de caracteres). (Se permiten todos los caracteres.) Únicamente se admite el algoritmo de hash seguro (SHA). • Contraseña priv.: Especifique la contraseña de cifrado del usuario (8 caracteres como mínimo, 256 caracteres como máximo y sin restricciones de caracteres). Únicamente se admite el estándar de cifrado avanzado (AES). No elimine un destino que se utilice en algún ajuste del log Sistema o algún perfil de logs. 92 • Gestión de dispositivos Palo Alto Networks MIB SNMP El cortafuegos admite las siguientes MIB SNMP: • "RFC 1213: MIB-II - Compatibilidad con el grupo de sistema, grupo de interfaces. • "RFC 2863: IF-MIB - MIB de grupo de interfaces • "RFC 2790: HOST-RESOURCES-MIB - Compatibilidad con hrDeviceTable y hrProcessorTable. • "RFC 3433: ENTITY-SENSOR-MIB - Compatibilidad con entPhySensorTable. • PAN-PRODUCT-MIB • PAN-COMMON-MIB • PAN-TRAPS-MIB • PAN-LC-MIB El conjunto completo de MIB empresariales está disponible en la sección de documentación técnica del sitio web de Palo Alto Networks en https://live.paloaltonetworks.com/community/ documentation. Configuración de servidores Syslog Dispositivo > Perfiles de servidor > Syslog Panorama > Perfiles de servidor > Syslog Para generar mensajes de Syslog para logs Sistema, Configuración, Tráfico, Amenaza o Coincidencias HIP, debe especificar uno o más servidores Syslog. Después de definir los servidores Syslog, podrá utilizarlos para las entradas de los logs Sistema y Configuración (consulte “Definición de la configuración del log Sistema”). Tabla 40. Nuevo servidor Syslog Campo Descripción Nombre Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir su uso compartido por todos los sistemas virtuales. Pestaña Servidores Nombre Haga clic en Añadir e introduzca un nombre para el servidor Syslog (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Servidor Introduzca la dirección IP del servidor Syslog. Transporte Elija si desea transportar los mensajes de Syslog en UDP, TCP o SSL. Palo Alto Networks Gestión de dispositivos • 93 Tabla 40. Nuevo servidor Syslog (Continuación) Campo Descripción Puerto Introduzca el número de puerto del servidor Syslog (el puerto estándar para UDP es 514; el puerto estándar para SSL es 6514; para TCP debe especificar un número de puerto). Formato Especifique el formato de Syslog que se debe utilizar: BSD (valor predeterminado) o IETF. Instalaciones Seleccione un nivel de la lista desplegable. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado. En el cuadro de diálogo, haga clic en un campo para añadirlo al área Formato de log. Otras cadenas de texto se pueden editar directamente en el área Formato de log. Haga clic en ACEPTAR para guardar la configuración. Para obtener información detallada sobre los campos que se pueden utilizar para logs personalizados, consulte “Descripción de los campos personalizados de Syslog”. Escape Especifique secuencias de escape. Utilice el cuadro Caracteres de escape para enumerar todos los caracteres que se escaparán sin espacios. No puede eliminar un servidor que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. 94 • Gestión de dispositivos Palo Alto Networks Descripción de los campos personalizados de Syslog Puede configurar un formato de log personalizado en un perfil de servidor Syslog seleccionando la pestaña Formato de log personalizado en Dispositivo > Perfiles de servidor > Syslog. Haga clic en el tipo de log deseado (Configuración, Sistema, Amenaza, Tráfico o Coincidencias HIP) y, a continuación, haga clic en los campos que desee ver en los logs. Las tablas siguientes muestran el significado de cada campo para cada tipo de log. Tabla 41. Campos de Configuración Campo Significado marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama. Disponible en PAN-OS 4.0.0 y posterior. administrador Nombre de usuario del administrador que realiza la configuración. detalles después del cambio Detalles de la configuración después de realizar un cambio. detalles antes del cambio Detalles de la configuración antes de realizar un cambio. hora de recepción formateada Hora a la que se recibió el log en el plano de gestión, mostrada en un formato de tiempo compatible con CEF. hora de generación formateada según cef Hora a la que se generó el log, mostrada en un formato de tiempo compatible con CEF. cliente Cliente utilizado por el administrador; los valores son Web y CLI. cmd Comando ejecutado por el administrador; los valores son Añadir, Duplicar, Compilar, Eliminar, Editar, Mover, Renombrar, Establecer y Validar. Host Nombre de host o dirección IP de la máquina cliente. ruta Ruta del comando de configuración emitido. Puede tener una longitud de hasta 512 bytes. hora de recepción Hora a la que se recibió el log en el plano de gestión. resultado Resultado de la acción de configuración. Los valores son Enviada, Correctamente, Fallo y No autorizado. número secuencial Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de log tiene un espacio de número exclusivo. Disponible en PAN-OS 4.0.0 y posterior. serie Número de serie del dispositivo que generó el log. subtipo Subtipo del log Configuración (no utilizado). hora de generación Hora a la que se recibió el log en el plano de datos. tipo Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP. vsys Sistema virtual asociado al log Configuración. Palo Alto Networks Gestión de dispositivos • 95 Tabla 42. Campos de Sistema Campo Significado marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama. Disponible en PAN-OS 4.0.0 y posterior. hora de recepción formateada según cef Hora a la que se recibió el log en el plano de gestión, mostrada en un formato de tiempo compatible con CEF. hora de generación formateada según cef Hora a la que se generó el log, mostrada en un formato de tiempo compatible con CEF. id de evento Cadena que muestra el nombre del evento. fmt Descripción detallada del evento. Puede tener una longitud de hasta 512 bytes. módulo Este campo únicamente es válido cuando el valor del campo Subtipo es General. Proporciona información adicional acerca del subsistema que genera el log. Los valores son General, Gestión, Autenticación, HA, Actualizar y Bastidor. número de gravedad Nivel de gravedad como número entero: 1, Informativo; 2, Bajo; 3, Medio; 4, Alto; y 5, Crítico. objeto Nombre del objeto asociado al log Sistema. opaco Descripción detallada del evento. Puede tener una longitud de hasta 512 bytes. hora de recepción Hora a la que se recibió el log en el plano de gestión. número secuencial Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de log tiene un espacio de número exclusivo. Disponible en PAN-OS 4.0.0 y posterior. serie Número de serie del dispositivo que generó el log. gravedad Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y Crítico. subtipo Subtipo del log Sistema. Hace referencia al demonio de sistema que genera el log; los valores son Criptográfico, DHCP, Proxy DNS, Denegación de servicio, General, GlobalProtect, HA, Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS, Enrutamiento, satd, Gestor SSL, VPN SSL, ID de usuario, Filtrado de URL y VPN. hora de generación Hora a la que se recibió el log en el plano de datos. tipo Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP. vsys Sistema virtual asociado al log Sistema. 96 • Gestión de dispositivos Palo Alto Networks Tabla 43. Campos de Amenaza Campo Significado Acción Acción realizada para la sesión; los valores son Alerta, Permitir, Denegar, Colocar, Colocar todos los paquetes, Restablecer cliente, Restablecer servidor, Restablecer ambos y Bloquear URL. Consulte la tabla de campos de Acción para conocer el significado de cada valor. marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama. Disponible en PAN-OS 4.0.0 y posterior. aplicación Aplicación asociada a la sesión. categoría Para el subtipo URL, es la categoría de URL; para el subtipo WildFire, es el veredicto del archivo y es “Malo” o “Bueno”; para otros subtipos, el valor es “Cualquiera”. hora de recepción formateada según cef Hora a la que se recibió el log en el plano de gestión, mostrada en un formato de tiempo compatible con CEF. hora de generación formateada según cef Hora a la que se generó el log, mostrada en un formato de tiempo compatible con CEF. tipo de contenido Tipo de contenido de los datos de respuesta HTTP. La longitud máxima es de 32 bytes. Únicamente es aplicable cuando el subtipo es URL. Disponible en PAN-OS 4.0.0 y posterior. dirección Indica la dirección del ataque: “cliente a servidor” o “servidor a cliente”. puerto de destino Puerto de destino utilizado por la sesión. destino Dirección IP de destino de la sesión original. ubicación de destino País de destino o región interna para direcciones privadas. La longitud máxima es de 32 bytes. Disponible en PAN-OS 4.0.0 y posterior. usuario de destino Nombre del usuario para el que iba destinada la sesión. marcas Campo de 32 bits que proporciona información detallada sobre la sesión. Consulte la tabla de campos de Marcas para conocer el significado de cada valor. De Zona de origen de la sesión. entrante si Interfaz de origen de la sesión. conjunto de logs Perfil de reenvío de logs aplicado a la sesión. varios El URI real cuando el subtipo es URL; Nombre de archivo o Tipo de archivo cuando el subtipo es Archivo; Nombre de archivo cuando el subtipo es Virus; y Nombre de archivo cuando el subtipo es WildFire. La longitud es de 63 caracteres en versiones de PAN-OS anteriores a 4.0. A partir de la versión 4.0, tiene una longitud variable con un máximo de 1.023 caracteres. nat de puerto de destino NAT de puerto de destino posterior. nat de destino Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino posterior. nat de puerto de origen NAT de puerto de origen posterior. nat de origen Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior. Palo Alto Networks Gestión de dispositivos • 97 Tabla 43. Campos de Amenaza (Continuación) Campo Significado número de gravedad Nivel de gravedad como número entero: 1, Informativo; 2, Bajo; 3, Medio; 4, Alto; y 5, Crítico. saliente si Interfaz de destino de la sesión. protocolo Protocolo IP asociado a la sesión. hora de recepción Hora a la que se recibió el log en el plano de gestión. recuento de repeticiones Número de logs con el mismo IP de origen, IP de destino e ID de amenaza observados en 5 segundos. Se aplica a todos los subtipos excepto URL. regla Nombre de la regla con la que ha coincidido la sesión. número secuencial Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de log tiene un espacio de número exclusivo. Disponible en PAN-OS 4.0.0 y posterior. serie Número de serie del dispositivo que generó el log. id de sesión Identificador numérico interno aplicado a cada sesión. gravedad Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio, Alto y Crítico. puerto de origen Puerto de origen utilizado por la sesión. origen Dirección IP de origen de la sesión original. ubicación de origen País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes. Disponible en PAN-OS 4.0.0 y posterior. usuario de origen Nombre del usuario que inició la sesión. subtipo Subtipo del log Amenaza; los valores son URL, Virus, Spyware, Vulnerabilidades, Archivo, Analizar, Inundación, Datos y WildFire. id de amenaza Identificador de Palo Alto Networks para la amenaza. Es una cadena de descripción seguida de un identificador numérico entre paréntesis para algunos subtipos. El identificador numérico es un número de 64 bits de PAN-OS 5.0 y posterior. hora de generación Hora a la que se generó el log en el plano de datos. hora de recepción Hora a la que se recibió el log en el plano de datos. Para Zona de destino de la sesión. tipo Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP. vsys Sistema virtual asociado a la sesión. wildfire Logs generados por WildFire. 98 • Gestión de dispositivos Palo Alto Networks Tabla 44. Campos de Tráfico Campo Significado Acción Acción realizada para la sesión; los valores son Permitir o Denegar. Consulte la tabla de campos de Acción. marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama. Disponible en PAN-OS 4.0.0. aplicación Aplicación asociada a la sesión. bytes Número total de bytes (transmitidos y recibidos) de la sesión. bytes recibidos Número de bytes en la dirección servidor a cliente de la sesión. Disponible en PAN-OS 4.1.0 en todos los modelos excepto la serie PA-4000. bytes enviados Número de bytes en la dirección cliente a servidor de la sesión. Disponible en PAN-OS 4.1.0 en todos los modelos excepto la serie PA-4000. categoría Categoría de URL asociada a la sesión (si es aplicable). hora de recepción formateada según cef Hora a la que se recibió el log en el plano de gestión, mostrada en un formato de tiempo compatible con CEF. hora de generación formateada según cef Hora a la que se generó el log, mostrada en un formato de tiempo compatible con CEF. puerto de destino Puerto de destino utilizado por la sesión. destino Dirección IP de destino de la sesión original. ubicación de destino País de destino o región interna para direcciones privadas. La longitud máxima es de 32 bytes. Disponible en PAN-OS 4.0.0 y posterior. usuario de destino Nombre del usuario para el que iba destinada la sesión. transcurrido Tiempo transcurrido en la sesión. marcas Campo de 32 bits que proporciona información detallada sobre la sesión. Consulte la tabla de campos de Marcas para conocer el significado de cada valor. Este campo puede descodificarse añadiendo los valores con Y y con el valor registrado. De Zona de origen de la sesión. entrante si Interfaz de origen de la sesión. conjunto de logs Perfil de reenvío de logs aplicado a la sesión. nat de puerto de destino NAT de puerto de destino posterior. nat de destino Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino posterior. nat de puerto de origen NAT de puerto de origen posterior. nat de origen Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior. saliente si Interfaz de destino de la sesión. paquetes Número total de paquetes (transmitidos y recibidos) de la sesión. paquetes recibidos Números de paquetes de servidor a cliente de la sesión. Disponible en PAN-OS 4.1.0 en todos los modelos excepto la serie PA-4000. Palo Alto Networks Gestión de dispositivos • 99 Tabla 44. Campos de Tráfico (Continuación) Campo Significado paquetes enviados Números de paquetes de cliente a servidor de la sesión. Disponible en PAN-OS 4.1.0 en todos los modelos excepto la serie PA-4000. protocolo Protocolo IP asociado a la sesión. hora de recepción Hora a la que se recibió el log en el plano de gestión. recuento de repeticiones Número de sesiones con el mismo IP de origen, IP de destino, Aplicación y Subtipo observados en 5 segundos. Utilizado únicamente para ICMP. regla Nombre de la regla con la que ha coincidido la sesión. número secuencial Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de log tiene un espacio de número exclusivo. Disponible en PAN-OS 4.0.0 y posterior. serie Número de serie del dispositivo que generó el log. 100 • Gestión de dispositivos Palo Alto Networks Tabla 44. Campos de Tráfico (Continuación) Campo Significado session_end_reason Razón por la que ha finalizado una sesión. Si la finalización ha tenido varias causas, este campo solo muestra la más importante. Los valores de la posible razón de finalización de la sesión son los siguientes en orden de prioridad (el primero es el más importante): • threat: el cortafuegos ha detectado una amenaza asociada con una acción de restablecimiento, borrado o bloqueo (dirección IP). • policy-deny: la sesión ha hecho coincidir una política de seguridad con una acción de denegación o borrado. • tcp-rst-from-client: el cliente ha enviado un restablecimiento de TCP al servidor. • tcp-rst-from-server: el servidor ha enviado un restablecimiento de TCP al cliente. • resources-unavailable: la sesión se ha cancelado debido a una limitación de recursos del sistema. Por ejemplo, la sesión podría haber superado el número de paquetes que no funcionan permitidos por flujo o por la cola de paquetes que no funcionan globales. • tcp-fin: uno o varios hosts de la conexión han enviado un mensaje FIN de TCP para cerrar la sesión. • tcp-reuse: se reutiliza una sesión y el cortafuegos cierra la sesión anterior. • decoder: el decodificador detecta una nueva conexión en el protocolo (como HTTP-Proxy) y finaliza la conexión anterior. • aged-out: la sesión ha caducado. • unknown: este valor se aplica en las siguientes situaciones: – Para logs generados en una versión de PAN-OS que no admite el campo de razón de finalización de sesión (versiones posteriores a 6.1), el valor será unknown (desconocido) después de una actualización de la versión actual de PAN-OS o después de que los logs se carguen en el cortafuegos. – En Panorama, los logs recibidos de los cortafuegos para los que la versión de PAN-OS no admite razones de finalización de sesión tendrán un valor unknown. id de sesión Identificador numérico interno aplicado a cada sesión. puerto de origen Puerto de origen utilizado por la sesión. origen Dirección IP de origen de la sesión original. ubicación de origen País de origen o región interna para direcciones privadas. La longitud máxima es de 32 bytes. Disponible en PAN-OS 4.0.0 y posterior. usuario de origen Nombre del usuario que inició la sesión. inicio Hora de inicio de sesión. subtipo Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y Denegar. Consulte la tabla de campos de Subtipo para conocer el significado de cada valor. Palo Alto Networks Gestión de dispositivos • 101 Tabla 44. Campos de Tráfico (Continuación) Campo Significado hora de generación Hora a la que se generó el log en el plano de datos. hora de recepción Hora a la que se recibió el log en el plano de datos. Para Zona de destino de la sesión. tipo Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP. vsys Sistema virtual asociado a la sesión. Tabla 45. Campos de Coincidencias HIP Campo Significado marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama. Disponible en PAN-OS 4.0.0 y posterior. hora de recepción formateada según cef Hora a la que se recibió el log en el plano de gestión, mostrada en un formato de tiempo compatible con CEF. hora de generación formateada según cef Hora a la que se generó el log, mostrada en un formato de tiempo compatible con CEF. nombre de máquina Nombre de la máquina del usuario. nombre de coincidencia Nombre del perfil u objeto HIP. tipo de coincidencia Especifica si el campo HIP representa un objeto HIP o un perfil HIP. hora de recepción Hora a la que se recibió el log en el plano de gestión. recuento de repeticiones Número de veces que ha coincidido el perfil HIP. número secuencial Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de log tiene un espacio de número exclusivo. Disponible en PAN-OS 4.0.0 y posterior. serie Número de serie del dispositivo que generó el log. origen Dirección IP del usuario de origen. usuario de origen Nombre del usuario de origen. subtipo Subtipo del log Coincidencias HIP (no utilizado). hora de generación Hora a la que se generó el log en el plano de datos. tipo Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias HIP. vsys Sistema virtual asociado al log Coincidencias HIP. 102 • Gestión de dispositivos Palo Alto Networks Configuración de ajustes de notificaciones por correo electrónico Dispositivo > Perfiles de servidor > Correo electrónico Panorama > Perfiles de servidor > Correo electrónico Para generar mensajes de correo electrónico para logs, debe configurar un perfil de correo electrónico. Después de definir la configuración de correo electrónico, podrá habilitar las notificaciones por correo electrónico para entradas de los logs Sistema y Configuración (consulte “Definición de la configuración del log Sistema”). Para obtener información sobre cómo programar la entrega de informes por correo electrónico, consulte “Programación de informes para entrega de correos electrónicos”. Tabla 46. Configuración de notificaciones por correo electrónico Campo Descripción Nombre Introduzca un nombre para la configuración de correo electrónico (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Pestaña Servidores Servidor Introduzca un nombre para identificar el servidor (1-31 caracteres). Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SMTP existente. Mostrar nombre Introduzca el nombre mostrado en el campo De del correo electrónico. De Introduzca la dirección de correo electrónico del remitente, como “[email protected]”. Para Introduzca la dirección de correo electrónico del destinatario. Destinatario adicional También puede introducir la dirección de correo electrónico de otro destinatario. Solo puede añadir un destinatario adicional. Para añadir varios destinatarios, añada la dirección de correo electrónico de una lista de distribución. Puerta de enlace Introduzca la dirección IP o el nombre de host del servidor Simple Mail Transport Protocol (SMTP) utilizado para enviar el correo electrónico. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado. En el cuadro de diálogo, haga clic en un campo para añadirlo al área Formato de log. Haga clic en ACEPTAR para guardar la configuración. Escape Incluya los caracteres de escape y especifique el carácter o los caracteres de escape. No puede eliminar un ajuste de correo electrónico que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. Palo Alto Networks Gestión de dispositivos • 103 Configuración de ajustes de flujo de red Dispositivo > Perfiles de servidor > Flujo de red El cortafuegos puede generar y exportar registros de la versión 9 de flujo de red con información de flujo de tráfico IP unidireccional a un recopilador externo. El cortafuegos admite las plantillas de flujo de red estándar y selecciona la correcta basándose en los datos que se van a exportar. La exportación de flujo de red se puede habilitar en cualquier interfaz de entrada (ingress) del cortafuegos. Se definen registros de plantillas independientes para tráfico IPv4, IPv4 con NAT e IPv6. Asimismo, también se pueden exportar campos específicos de PAN-OS para la identificación de aplicaciones y usuarios (App-ID y User-ID). Esta función está disponible en todas las plataformas, excepto en los cortafuegos de la serie PA-4000 y PA-7050. Para configurar exportaciones de datos de flujo de red, defina un perfil de servidor de flujo de red, que especifica la frecuencia de la exportación junto con los servidores de flujo de red que recibirán los datos exportados. A continuación, cuando asigne el perfil a una interfaz de cortafuegos existente, todo el tráfico que pase por dicha interfaz se exportará a los servidores especificados. Todos los tipos de interfaces admiten la asignación de un perfil de flujo de red. Consulte “Configuración de la interfaz de un cortafuegos” para obtener información sobre cómo asignar un perfil de flujo de red a una interfaz. Tabla 47. Configuración de flujo de red Campo Descripción Nombre Introduzca un nombre para la configuración de flujo de red (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Tasa de actualización de plantilla Especifique el número de minutos (1-3600, de forma predeterminada 30) o paquetes (1-600, de forma predeterminada 20) después de los cuales el cortafuegos actualiza la plantilla de flujo de red para aplicar cualquier cambio. La frecuencia de actualización necesaria depende del recopilador de flujo de red: Si añade varios recopiladores de flujo de red al perfil del servidor, utilice el valor del recopilador con la velocidad de actualización más rápida. Tiempo de espera activo Especifique la frecuencia (en minutos) a la que el cortafuegos exporta registros de datos para cada sesión (1-60, 5 de forma predeterminada). Establezca la frecuencia basada en cuántas veces quiere que el recopilador del flujo de datos actualice las estadísticas de tráfico. Exportar tipos de campos específicos de PAN-OS Exporte campos específicos de PAN-OS como los de identificación de aplicaciones y usuario (App-ID y User-ID) en registros de flujo de red. Servidores Nombre Especifique un nombre para identificar el servidor (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Servidor Especifique el nombre de host o la dirección IP del servidor. Puede añadir un máximo de dos servidores por perfil. Puerto Especifique el número de puerto para el acceso al servidor (valor predeterminado: 2.055). 104 • Gestión de dispositivos Palo Alto Networks Uso de certificados Dispositivo > Gestión de certificados > Certificados Certificados utilizados para cifrar datos y garantizar la comunicación en una red. • “Gestión de certificados de dispositivos”: Utilice la pestaña Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos para gestionar (generar, importar, renovar, eliminar, revocar) los certificados de dispositivos utilizados para garantizar una comunicación segura. También puede exportar e importar la clave de HA que se utiliza para garantizar la conexión entre los peers de HA en la red. • “Gestión de entidades de certificación de confianza predeterminadas”: Utilice la pestaña Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas para ver, habilitar y deshabilitar las entidades de certificados (CA) en las que confía el cortafuegos. • “Creación un perfil de certificados”: Utilice la pestaña Dispositivo > Gestión de certificados > Perfil del certificado para • “Cómo añadir un respondedor OCSP” Gestión de certificados de dispositivos Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos Panorama > Gestión de certificados > Certificados Indique los certificados que quiere que el cortafuegos o Panorama utilice para tareas como asegurar el acceso a la interfaz web, descifrado de SSL o LSVPN. Utilice esta pestaña para generar certificados de seguridad para los siguientes usos: • Fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA de la lista de CA de confianza del cortafuegos. Si se utiliza un certificado autofirmado para el descifrado de proxy de reenvío, deberá hacer clic en el nombre del certificado en la página Certificados y seleccionar la casilla de verificación Reenviar certificado fiable. • No fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA que no está en la lista de CA de confianza del cortafuegos. • CA raíz de confianza: El certificado está marcado como CA de confianza con fines de descifrado de reenvío. Cuando el cortafuegos descifra tráfico, comprueba si el certificado ascendente ha sido emitido por una CA de confianza. Si no es así, utiliza un certificado de CA no fiable especial para firmar el certificado de descifrado. En este caso, el usuario verá la página de error de certificado habitual al acceder al cortafuegos y deberá desestimar la advertencia de inicio de sesión. El cortafuegos tiene una extensa lista de CA de confianza existentes. El certificado de CA raíz de confianza es para CA adicionales que son fiables para su empresa pero que no forman parte de la lista de CA fiables preinstalada. Palo Alto Networks Gestión de dispositivos • 105 • Exclusión de SSL: Este certificado excluye las conexiones si se encuentran durante el descifrado de proxy de reenvío SSL. • Certificado de GUI web segura: Este certificado autentica a los usuarios para que accedan a la interfaz web del cortafuegos. Si se selecciona esta casilla de verificación para un certificado, el cortafuegos utilizará este certificado para todas las sesiones de gestión basadas en web futuras tras la próxima operación de compilación. • Certificado de Syslog seguro: Este certificado activa el reenvío seguro de syslogs en un servidor de syslog externo. Para generar un certificado, haga clic en Generar y especifique la siguiente información. Tabla 48. Configuración para generar un certificado Campo Descripción Nombre del certificado Introduzca un nombre (de hasta 31 caracteres) para identificar el certificado. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se requiere el nombre. Nombre común Introduzca la dirección IP o FQDN que aparecerá en el certificado. Ubicación Seleccione un sistema virtual o seleccione Compartido para que el certificado esté disponible para todos los sistemas virtuales. Firmado por Un certificado se puede firmar con un certificado de CA importado al cortafuegos o se puede utilizar un certificado autofirmado donde el propio cortafuegos es la CA. Si está utilizando Panorama, también tiene la opción de generar un certificado autofirmado para Panorama. Si ha importado certificados de CA o los ha emitido en el propio dispositivo (autofirmados), el menú desplegable incluye los CA disponibles para firmar el certificado que se está creando. Para generar una solicitud de firmado de certificado, seleccione una autoridad externa (CSR). Se generarán el certificado y el par de claves; ahora puede exportar la CSR. Autoridad del certificado Si desea que el cortafuegos emita el certificado, seleccione la casilla de verificación Autoridad del certificado Marcar este certificado como CA le permitirá utilizarlo para firmar otros certificados en el cortafuegos. OCSP responder Seleccione un perfil de respondedor OSCP de la lista desplegable. El perfil del respondedor OCSP se configura en la pestaña Dispositivo > Gestión de certificados > OCSP responder. Cuando selecciona un respondedor OCSP, el nombre de host correspondiente aparece en el certificado. Número de bits Seleccione la longitud de la clave del certificado. Si el cortafuegos está en modo FIPS/CC, las claves RSA generadas deben tener 2048 bits o más Resumen Seleccione el algoritmo de resumen del certificado. Si el cortafuegos está en modo FIPS/CC, las firmas de certificados deben ser SHA256 o superiores. 106 • Gestión de dispositivos Palo Alto Networks Tabla 48. Configuración para generar un certificado (Continuación) Campo Descripción Vencimiento (días) Especifique el número de días que el certificado será válido. El valor predeterminado es de 365 días. Si especifica un Período de validez en una configuración del satélite del portal de GlobalProtect, ese valor cancelará el valor introducido en este campo. Atributos del certificado De forma alternativa, haga clic en Añadir para especificar atributos del certificado adicionales que se deben utilizar para identificar la entidad para la que está emitiendo el certificado. Puede añadir cualquiera de los siguientes atributos: País, Estado, Localidad, Organización, Departamento, Correo electrónico. Además, puede especificar uno de los siguientes campos de nombre alternativo del asunto: Nombre de host (SubjectAltName:DNS), IP (SubjectAltName:IP), y Correo electrónico alternativo (SubjectAltName:email). Nota: Para añadir un país como atributo de certificado, seleccione País en la columna Tipo y, a continuación, haga clic en la columna Valor para ver los códigos de país ISO 6366. Si ha configurado un HSM, las claves privadas se almacenan en el HSM externo en lugar de en el propio cortafuegos. Palo Alto Networks Gestión de dispositivos • 107 Después de generar el certificado, los detalles aparecen en la página. Tabla 49. Otras acciones admitidas Acciones Descripción Eliminar Seleccione el certificado que desea eliminar y haga clic en Eliminar. Revocar Seleccione el certificado que desea revocar y haga clic en Revocar. El certificado se establecerá instantáneamente en estado revocado. No es necesario realizar una compilación. Renovar En caso de que un certificado caduque o esté a punto de caducar, seleccione el certificado correspondiente y haga clic en Renovar. Establezca el periodo de validez (en días) para el certificado y haga clic en Aceptar. Si el cortafuegos es la CA que emitió el certificado, el cortafuegos lo sustituirá por un nuevo certificado que tenga un número de serie diferente pero los mismos atributos que el certificado anterior. Si una entidad de certificación (CA) externa firmó el certificado y el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados, el cortafuegos utilizará información del respondedor OCSP para actualizar el estado del certificado. Importar Para importar un certificado, haga clic en Importar y especifique los siguientes detalles – Nombre para identificar el certificado. – Utilice la opción Examinar para buscar el archivo de certificado. Si está importando un certificado PKCS #12 y una clave privada, este será el único archivo que contiene a ambos objetos. Si utiliza PEM, este será únicamente el certificado público. – Seleccione el formato de archivo para el archivo de certificado. – Seleccione la casilla La clave privada reside en el módulo de seguridad de hardware si está utilizando un HSM par almacenar la clave privada para este certificado. Si desea más información sobre HSM, consulte “Definición de módulos de seguridad de hardware”. – Seleccione la casilla de verificación Importar clave privada para cargar la clave privada e introducir la frase de contraseña dos veces. Si utiliza PKCS #12, el archivo de clave se seleccionó anteriormente. Si utiliza PEM, busque el archivo de clave privada cifrada (por lo general, denominado *.key). – Seleccione el sistema virtual al que desea importar el certificado de la lista desplegable. Generar Consulte generar. Exportar Para exportar un certificado, seleccione el certificado que desea exportar y haga clic en Exportar. Seleccione el formato de archivo que desea que utilice el certificado exportado (.pfx para PKCS#12 o .pem para formato de codificación base64). Seleccione la casilla de verificación Exportar clave privada e introduzca una frase de contraseña dos veces para exportar la clave privada además del certificado. 108 • Gestión de dispositivos Palo Alto Networks Tabla 49. Otras acciones admitidas Acciones Descripción Importar clave de HA Las claves de HA se deben intercambiar entre ambos peers del cortafuegos; es decir, se debe exportar la clave del cortafuegos 1 y, a continuación, importarse al cortafuegos 2 y viceversa. Exportar clave de HA Para importar claves para alta disponibilidad (HA), haga clic en Importar clave de HA y explore para especificar el archivo de clave que se importará. Para exportar claves para HA, haga clic en Exportar clave de HA y especifique una ubicación en la que guardar el archivo. Defina el uso del certificado En la columna Nombre, seleccione el enlace para el certificado y las casillas de verificación para indicar cómo planea utilizar el certificado. Para obtener una descripción de cada uno de ellos, consulte usos. Gestión de entidades de certificación de confianza predeterminadas Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas Utilice esta página para ver, deshabilitar o exportar las entidades de certificación (CA) preincluidas en las que confía el cortafuegos. Aparece el nombre, asunto, emisor, fecha de vencimiento y estado de validez de cada una de ellas. Esta lista no incluye los certificados de CA generados en el cortafuegos. Tabla 50. Configuración de entidades de certificación de confianza Campo Descripción Habilitar Si ha deshabilitado una CA y desea habilitarla, haga clic en la casilla de verificación junto a la CA y, a continuación, haga clic en Habilitar. Deshabilitar Haga clic en la casilla de verificación junto a la CA que desee deshabilitar y, a continuación, haga clic en Deshabilitar. Puede que le interese esto si solamente desea confiar en determinadas CA o eliminarlas todas para únicamente confiar en su CA local. Exportar Haga clic en la casilla de verificación junto a la CA y, a continuación, haga clic en Exportar para exportar el certificado de CA. Puede realizar esta acción para importar el certificado a otro sistema o si desea verlo fuera de línea. Creación un perfil de certificados Dispositivo > Gestión de certificados > Perfil del certificado Panorama > Gestión de certificados > Perfil del certificado Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad móvil y acceso a la interfaz web del cortafuegos/Panorama. Los perfiles especifican qué certificados deben utilizarse, cómo verificar el estado de revocación de certificados y cómo restringe el acceso dicho estado. Configure un perfil de certificado para cada aplicación. Palo Alto Networks Gestión de dispositivos • 109 Tabla 51. Configuración de perfiles de certificado Tipo de página Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Si el cortafuegos admite varios sistemas virtuales, el cuadro de diálogo muestra el menú desplegable Ubicación. Seleccione el sistema virtual donde el perfil estará disponible o seleccione Compartido para habilitar la disponibilidad en todos los sistemas virtuales. Campo de nombre de usuario Si GlobalProtect solo utiliza certificados para la autenticación del portal/puerta de enlace, PAN-OS utiliza el campo de certificado que seleccione en la lista desplegable Campo de nombre de usuario como nombre de usuario y busca coincidencias con la dirección IP del ID de usuario (User-ID): • Asunto: PAN-OS utiliza el nombre común. • Asunto alternativo: Seleccione si PAN-OS utiliza el correo electrónico o nombre principal. • Ninguno: Suele destinarse al dispositivo GlobalProtect o a la autenticación anterior al inicio de sesión. Dominio Introduzca el dominio NetBIOS para que PAN-OS pueda identificar a los usuarios mediante el ID de usuario. Certificados de CA Haga clic en Añadir y seleccione un certificado de CA para asignarlo al perfil. Opcionalmente, si el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados, configure los siguientes campos para cancelar el comportamiento predeterminado. Para la mayoría de las implementaciones, estos campos no son aplicables. • De manera predeterminada, el cortafuegos utiliza la URL del • respondedor OCSP que estableció en el procedimiento “Cómo añadir un respondedor OCSP”. Para cancelar ese ajuste, introduzca una URL de OCSP predeterminada (que comience por http:// o https://). De manera predeterminada, el cortafuegos utiliza el certificado seleccionado en el campo Certificado de CA para validar las respuestas de OCSP. Para utilizar un certificado diferente para la validación, selecciónelo en el campo Verificación de certificado CA con OCSP. Utilizar CRL Seleccione la casilla de verificación para utilizar una lista de revocación de certificados (CRL) para verificar el estado de revocación de los certificados. Utilizar OCSP Seleccione la casilla de verificación para utilizar OCSP y verificar el estado de revocación de los certificados. Nota: Si selecciona OCSP y CRL, el cortafuegos primero intentará utilizar el OCSP y solamente retrocederá al método CRL si el respondedor OCSP no está disponible. Tiempo de espera de recepción de CRL 110 • Gestión de dispositivos Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del servicio CRL. Palo Alto Networks Tabla 51. Configuración de perfiles de certificado (Continuación) Tipo de página Descripción Tiempo de espera de recepción de OCSP Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del respondedor OCSP. Tiempo de espera del estado del certificado Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier servicio de estado de certificados y aplica la lógica de bloqueo de sesión que defina. Bloquear una sesión si el estado del certificado es desconocido Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones cuando el servicio OCSP o CRL devuelva un estado de revocación de certificados desconocido (unknown). De lo contrario, el cortafuegos continuará con la sesión. Bloquear sesiones si no se puede recuperar el estado del certificado dentro del tiempo de espera Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones después de registrar un tiempo de espera de la solicitud de OCSP o CRL. De lo contrario, el cortafuegos continuará con la sesión. Cómo añadir un respondedor OCSP Dispositivo > Gestión de certificados > OCSP responder Utilice la página OCSP responder para definir un respondedor (servidor) del protocolo de estado de certificado en línea (OCSP) que verifique el estado de la revocación de los certificados. Además de añadir un respondedor OCSP, habilitar un OCSP requiere las siguientes tareas: • Activar la comunicación entre el cortafuegos y el servidor del OCSP: seleccione Dispositivo > Configuración > Gestión, edite la sección Configuración de interfaz de gestión, seleccione OCSP de HTTP y, a continuación, haga clic en Aceptar. • Si el cortafuegos descifra el tráfico SSL/TLS saliente, configúrelo de forma optativa para verificar el estado de revocación de los certificados del servidor de destino: seleccione Dispositivo > Configuración > Sesiones, haga clic en Configuración de revocación de certificados de descifrado, seleccione la opción para habilitar en la sección OCSP, introduzca el tiempo de espera de recepción (intervalo después del cual el cortafuegos deja de esperar una respuesta del OCSP) y, a continuación, haga clic en Aceptar. • Opcionalmente, para configurar el propio cortafuegos como respondedor OCSP, añada un perfil de gestión de interfaz a la interfaz utilizada para servicios OCSP. En primer lugar, seleccione Red > Perfiles de red > Gestión de interfaz, haga clic en Añadir, seleccione OCSP de HTTP y, a continuación, haga clic en Aceptar. En segundo lugar, seleccione Red > Interfaces, haga clic en el nombre de la interfaz que utilizará el cortafuegos para los servicios del OCSP, seleccione Avanzado > Otra información, seleccione el perfil de gestión de la interfaz que ha configurado y, a continuación, haga clic en Aceptar y Compilar. Palo Alto Networks Gestión de dispositivos • 111 Tabla 52. Configuración de respondedor OCSP Campo Descripción Nombre Introduzca un nombre para identificar al respondedor (hasta 31 caracteres). El nombre distingue entre mayúsculas y minúsculas. Debe ser exclusivo y utilizar únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Si el cortafuegos admite varios sistemas virtuales, el cuadro de diálogo muestra el menú desplegable Ubicación. Seleccione el sistema virtual donde el respondedor estará disponible o seleccione Compartido para habilitar la disponibilidad en todos los sistemas virtuales. Nombre de host Especifique el nombre de host (recomendado) o la dirección IP del respondedor OCSP. A partir de este valor, PAN-OS deriva automáticamente una URL y la añade al certificado que se está verificando. Si configura el propio cortafuegos como respondedor OCSP, el nombre de host debe resolverse en una dirección IP de la interfaz que utiliza el cortafuegos para servicios de OCSP. Cifrado de claves privadas y contraseñas del cortafuegos Dispositivo > Clave maestra y diagnóstico Panorama > Clave maestra y diagnóstico Utilice la página Clave maestra y diagnóstico para especificar una clave maestra para cifrar las claves privadas en el dispositivo (cortafuegos o dispositivo de Panorama). La clave maestra se utiliza para cifrar claves privadas como la clave RSA (utilizada para autenticar el acceso a la CLI), la clave privada utilizada para autenticar el acceso a la interfaz web del dispositivo y cualquier otra clave cargada en el dispositivo. Como la clave maestra se utiliza para cifrar el resto de claves, asegúrese de almacenarla en un lugar seguro. Incluso aunque no se especifique una clave maestra nueva, las claves privadas siempre se almacenan de forma cifrada en el dispositivo, de forma predeterminada. Esta opción de clave maestra ofrece una capa añadida de seguridad. Si los dispositivos tienen una configuración de alta disponibilidad (HA), asegúrese de utilizar la misma clave maestra en ambos dispositivos para garantizar que las claves privadas y los certificados se cifran con la misma clave. Si las claves maestras son diferentes, la sincronización de la configuración de HA no funcionará correctamente. Para añadir una clave maestra, haga clic en el botón de edición en la sección Clave maestra y utilice la siguiente tabla para introducir los valores: Tabla 53. Configuración de clave maestra y diagnóstico Campo Descripción Clave maestra actual Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseñas del dispositivo. Nueva clave principal Para cambiar la clave maestra, introduzca una cadena de 16 caracteres y confirme la nueva clave. Confirmar clave maestra 112 • Gestión de dispositivos Palo Alto Networks Tabla 53. Configuración de clave maestra y diagnóstico (Continuación) Campo Descripción Duración Especifique el número de días y horas tras el cual vence la clave maestra (rango: 1-730 días). Deberá actualizar la clave maestra antes de su vencimiento. Para obtener información sobre cómo actualizar claves maestras, consulte “Habilitación de HA en el cortafuegos”. Tiempo para el recordatorio Especifique el número de días y horas antes del vencimiento, en cuyo momento se notificará al usuario del vencimiento inminente (rango: 1-365 días). Almacenado en HSM Marque esta casilla si la clave maestra se cifra en un módulo de seguridad de hardware (HSM). No puede utilizar HSM en una interfaz dinámica como un cliente DHCP o PPPoE. La configuración HSM no está sincronizada entre dispositivos de peer en modo de alta disponibilidad. Por lo tanto, cada peer del par de HA se puede conectar a un origen HSM diferente. Si utiliza Panorama y desea mantener sincronizada la configuración en ambos peers, utilice las plantillas de Panorama para configurar el origen de HSM en los cortafuegos gestionados. HSM no es compatible con los cortafuegos de las series PA-200, PA-500 y PA-2000. Criterios comunes Palo Alto Networks En el modo Criterios comunes, hay disponibles botones adicionales para ejecutar una prueba automática de algoritmos criptográficos y una prueba automática de integridad del software. También se incluye un programador para especificar los momentos en los que se ejecutarán las dos pruebas automáticas. Gestión de dispositivos • 113 Habilitación de HA en el cortafuegos Dispositivo > Alta disponibilidad Para redundancia, el cortafuegos se puede implementar en una configuración activa/pasiva o activa/pasiva de alta disponibilidad (HA). Cuando se configura en HA, los peers de HA se reflejan entre sí en la configuración. En un par de HA, ambos cortafuegos deben tener el mismo modelo, deben ejecutar la misma versión de PAN-OS y deben tener el mismo conjunto de licencias. Para cada sección de la página Alta disponibilidad, haga clic en Editar en el encabezado y especifique la información correspondiente descrita en la tabla siguiente. Tabla 54. Configuración de HA Campo Descripción Pestaña General Configuración Especifique los siguientes ajustes: • Habilitar HA: Active las prestaciones de HA. • ID de grupo: Introduzca un número para identificar el par activo/pasivo (de 1 a 63). Permite que varios pares de cortafuegos activos/pasivos residan en la misma red. El ID debe ser exclusivo cuando hay más de un par de alta disponibilidad residiendo en una red de capa 2. • Descripción: Introduzca una descripción del par activo/pasivo (opcional). • Modo: Seleccione activo-activo o activo-pasivo. • Dirección IP de HA del peer: Introduzca la dirección IP de la interfaz de HA1 que se especifica en la sección Enlace de control del otro cortafuegos. • Crear copia de seguridad de la dirección IP de HA del peer: Introduzca la dirección IP del enlace de control de copia de seguridad del peer. • Habilitar sincronización de configuración: Sincronice la configuración entre peers. • Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). • Dúplex de enlace: Seleccione una opción de dúplex para el enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). 114 • Gestión de dispositivos Palo Alto Networks Tabla 54. Configuración de HA (Continuación) Campo Descripción Configuración de elección Especifique o habilite los siguientes ajustes: • Prioridad de dispositivo: Introduzca un valor de prioridad para identificar el cortafuegos activo. El cortafuegos con el valor más bajo (alta prioridad) se convierte en el cortafuegos activo (rango 0-255) cuando la función Preferente está activada en ambos cortafuegos del par. • Copia de seguridad de heartbeat: Utiliza los puertos de gestión en los dispositivos de HA para proporcionar una ruta de copia de seguridad para mensajes de latidos y saludos. La dirección IP del puerto de gestión se compartirá con el peer de HA a través del enlace de control HA1. No se requiere ninguna configuración adicional. • Preferente: Habilite el cortafuegos de mayor prioridad para reanudar el funcionamiento activo tras recuperarse de un fallo. La opción Preferencia debe estar habilitada en ambos dispositivos para que el cortafuegos de mayor prioridad reanude el funcionamiento activo tras recuperarse de un fallo. Si este ajuste está desactivado, el cortafuegos de menor prioridad permanecerá activo incluso después de que el cortafuegos de mayor prioridad se recupere de un fallo. • Configuración de temporizador de HA: Seleccione uno de los perfiles preestablecidos: – Recomendada: Para configuración de temporizador de conmutación por error típica. – Agresivo: Para configuración de temporizador de conmutación por error más rápida. Para ver el valor preestablecido para un temporizador concreto incluido en un perfil, seleccione Avanzado y haga clic en Carga recomendada o Carga intensiva. Los valores preestablecidos para su modelo de hardware aparecerán en la pantalla. – Avanzado: Le permite personalizar los valores para adaptarse a sus requisitos de red para cada uno de los siguientes temporizadores: › Tiempo de espera de promoción: Introduzca el tiempo que el dispositivo pasivo (en el modo activo/ pasivo) o el dispositivo secundario activo (en el modo activo/activo) esperará antes de tomar el control como dispositivo activo o principal activo después de perder las comunicaciones con el peer de HA. Este tiempo de espera únicamente comenzará después de haber realizado una declaración de fallo de peer. › Intervalo de saludo: Introduzca el número de milisegundos entre los paquetes de saludo enviados para verificar que el programa de HA del otro cortafuegos está operativo. El rango es de 8000-60000 ms con un valor predeterminado de 8000 ms para todas las plataformas. › Intervalo de heartbeat: Especifique con qué frecuencia los peers de HA intercambian mensajes de latidos con la forma de un ping ICMP (rango: 1.000-60.000 ms; valor predeterminado: 1.000 ms). Palo Alto Networks Gestión de dispositivos • 115 Tabla 54. Configuración de HA (Continuación) Campo Descripción › N.º máximo de flaps: Se cuenta un flap cuando el cortafuegos deja el estado activo antes de que transcurran 15 minutos desde la última vez que dejó el estado activo. Puede especificar el número máximo de flaps permitidos antes de que se determine suspender el cortafuegos y que el cortafuegos pasivo tome el control (rango: 0-16; valor predeterminado: 3). El valor 0 significa que no hay máximo (se necesita un número infinito de flaps antes de que el cortafuegos pasivo tome el control). › Tiempo de espera para ser preferente: Introduzca el tiempo que un dispositivo secundario pasivo o activo esperará antes de tomar el control como dispositivo activo o principal activo (rango: 1-60 min.; valor predeterminado: 1 min.). › Tiempo de espera ascendente tras fallo de supervisor (ms): Especifique el intervalo durante el cual el cortafuegos permanecerá activo tras un fallo de supervisor de ruta o supervisor de enlace. Se recomienda este ajuste para evitar una conmutación por error de HA debido a los flaps ocasionales de los dispositivos vecinos (rango: 0-60.000 ms; valor predeterminado: 0 ms). › Tiempo de espera ascendente principal adicional (min.): Este intervalo de tiempo se aplica al mismo evento que Supervisar fallo de tiempo de espera ascendente (rango: 0-60.000 ms; valor predeterminado: 500 ms). El intervalo de tiempo adicional únicamente se aplica al dispositivo activo en el modo activo/pasivo y al dispositivo principal activo en el modo activo/activo. Se recomienda este temporizador para evitar una conmutación por error cuando ambos dispositivos experimentan el mismo fallo de supervisor de enlace/ruta simultáneamente. 116 • Gestión de dispositivos Palo Alto Networks Tabla 54. Configuración de HA (Continuación) Campo Descripción Enlace de control (HA1)/Enlace de control (copia de seguridad de HA1) La configuración recomendada para la conexión del enlace de control de HA es utilizar el enlace HA1 específico entre los dos dispositivos y utilizar el puerto de gestión como interfaz de enlace de control (copia de seguridad de HA). En este caso, no necesita habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección. Si está utilizando un puerto HA1 físico para el enlace de HA de enlace de control y un puerto de datos para el enlace de control (copia de seguridad de HA), se recomienda habilitar la opción Copia de seguridad de heartbeat. En el caso de dispositivos que no tienen un puerto de HA específico, como el PA-200, debe configurar el puerto de gestión para la conexión de HA del enlace de control y una interfaz de puerto de datos configurada con el tipo HA para la conexión de copia de seguridad de HA1 del enlace de control. Como en este caso se está utilizando el puerto de gestión, no es necesario habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección porque las copias de seguridad de latidos ya se realizarán a través de la conexión de interfaz de gestión. Al utilizar un puerto de datos para el enlace de control de HA, debe tener en cuenta que, dado que los mensajes de control tienen que comunicarse desde el plano de datos hasta el plano de gestión, si se produce un fallo en el plano de datos, la información del enlace de control de HA no podrá comunicarse entre los dispositivos y se producirá una conmutación por error. Lo mejor es utilizar los puertos de HA específicos o, en dispositivos que no tengan ningún puerto de HA específico, el puerto de gestión. Especifique los siguientes ajustes para los enlaces de control de HA principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. Nota: El puerto de gestión también se puede utilizar como enlace de control. • Dirección IPv4/IPv6: Introduzca la dirección IPv4 o IPv6 de la interfaz de HA1 para las interfaces de HA1 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. • Máscara de red: Introduzca la máscara de red de la dirección IP (como “255.255.255.0”) para las interfaces de HA1 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. • Puerta de enlace: Introduzca la dirección IP de la puerta de enlace predeterminada para las interfaces de HA1 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos para el puerto de HA1 específico. • Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos para el puerto de HA1 específico. • Cifrado habilitado: Habilite el cifrado después de exportar la clave de HA desde el peer de HA e importarla a este dispositivo. La clave de HA de este dispositivo también debe exportarse desde este dispositivo e importarse al peer de HA. Configure este ajuste para la interfaz de HA1 principal. La importación/exportación de claves se realiza en la página Certificados. Consulte “Importación, exportación y generación de certificados de seguridad” en la página 60. Palo Alto Networks Gestión de dispositivos • 117 Tabla 54. Configuración de HA (Continuación) Campo Descripción • Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo (milisegundos) que el cortafuegos esperará antes de declarar un fallo de peer debido a un fallo del enlace de control (1.000-60.000 ms; valor predeterminado: 3.000 ms). Esta opción supervisa el estado del enlace físico de los puertos de HA1. Enlace de datos (HA2) Especifique los siguientes ajustes para el enlace de datos principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA. Configure este ajuste para las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. • Dirección IP: Especifique la dirección IPv4 o IPv6 de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. • Máscara de red: Especifique la máscara de red de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. • Puerta de enlace: Especifique la puerta de enlace predeterminada de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. Si las direcciones IP de HA2 de los cortafuegos del par de HA están en la misma subred, el campo Puerta de enlace debería quedarse en blanco. • Habilitar sincronización de sesión: Habilite la sincronización de la información de la sesión con el cortafuegos pasivo y seleccione una opción de transporte. • Transporte: Seleccione una de las siguientes opciones de transporte: – Ethernet: Utilice esta opción cuando los cortafuegos estén conectados opuesto con opuesto o a través de un conmutador (Ethertype 0x7261). – IP: Utilice esta opción cuando se requiera el transporte de capa 3 (número de protocolo IP: 99). – UDP: Utilice esta opción para aprovechar el hecho de que la suma de comprobación se calcula sobre todo el paquete y no solamente el encabezado, como en la opción IP (puerto UDP 29281). • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. • Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. • Conexión persistente de HA2: Seleccione esta casilla de verificación para habilitar la supervisión del enlace de datos de HA2 entre los peers de HA. Si se produce un fallo basado en el umbral establecido, se producirá la acción definida (log o ruta de datos divididos). La opción está deshabilitada de manera predeterminada. Puede configurar la opción Conexión persistente de HA2 en ambos dispositivos o solamente un dispositivo del par de HA. Si la opción se establece únicamente en un dispositivo, solamente ese dispositivo enviará los mensajes de conexión persistente. Sin embargo, se notificará al otro dispositivo si se produce un fallo y pasará al modo de ruta de datos divididos si se selecciona esa acción. 118 • Gestión de dispositivos Palo Alto Networks Tabla 54. Configuración de HA (Continuación) Campo Descripción – Acción: Seleccione la acción que debe realizarse si fallan los mensajes de supervisión basándose en el ajuste de umbral. › Únicamente log: Seleccione esta opción para generar un mensaje del log Sistema de nivel crítico cuando se produzca un fallo de HA2 basándose en el ajuste de umbral. Si la ruta de HA2 se recupera, se generará un log informativo. En una configuración activa/pasiva, debe utilizar esta acción, ya que no es necesario dividir los datos porque no hay más de un dispositivo activo en un momento concreto. › Ruta de datos divididos: Esta acción está diseñada para una configuración de HA activa/activa. En una configuración activa/activa, si el administrador o un fallo de supervisión deshabilita la sincronización de sesiones, la propiedad de sesión y la configuración de sesión se establecerán como el dispositivo local y las nuevas sesiones se procesarán localmente durante la sesión. › Umbral (ms): Tiempo durante el cual los mensajes de conexión persistente han fallado antes de que se haya activado una de las acciones anteriores (rango: 5.000-60.000 ms; valor predeterminado: 10.000 ms). Nota: Cuando se configura un enlace de copia de seguridad de HA2, se producirá una conmutación por error en el enlace de copia de seguridad si hay un fallo en el enlace físico. Con la opción Conexión persistente de HA2 habilitada, la conmutación por error también se producirá si fallan los mensajes de conexión persistente de HA basados en el umbral definido. Palo Alto Networks Gestión de dispositivos • 119 Tabla 54. Configuración de HA (Continuación) Campo Descripción Pestaña Supervisión de enlaces y rutas Supervisión de rutas Especifique lo siguiente: • Habilitado: Habilite la supervisión de rutas. La supervisión de rutas permite que el cortafuegos supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden. Utilice la supervisión de rutas para configuraciones de Virtual Wire, capa 2 o capa 3 cuando se necesite la supervisión de otros dispositivos de red en caso de conmutación por error y la supervisión de enlaces no sea suficiente por sí sola. • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de rutas supervisados presentan fallos al responder. Grupo de rutas Defina uno o más grupos de rutas para supervisar direcciones de destino específicas. Para agregar un grupo de rutas, haga clic en Añadir para el tipo de interfaz (Virtual Wire, VLAN o Enrutador virtual) y especifique lo siguiente: • Nombre: Seleccione un cable virtual, VLAN o enrutador virtual en la lista de selección desplegable (la selección desplegable se rellena dependiendo de si añade un cable virtual, VLAN o ruta de enrutador virtual). • Habilitado: Habilite el grupo de rutas. • Condición de fallo: Seleccione si se produce un fallo cuando alguna o todas las direcciones de destino especificadas presentan fallos al responder. • IP de origen: En el caso de interfaces de Virtual Wire y de VLAN, introduzca la dirección IP de origen utilizada en los paquetes sonda enviados al enrutador de siguiente salto (dirección IP de destino). El enrutador local debe ser capaz de enrutar la dirección al cortafuegos. La dirección IP de origen para grupos de rutas asociados a enrutadores virtuales se configurará automáticamente como la dirección IP de interfaz que se indica en la tabla de rutas como la interfaz de salida (egress) para la dirección IP de destino especificada. • IP de destino: Introduzca una o más direcciones de destino (separadas por comas) que se supervisarán. • Intervalo de ping: Especifique el intervalo entre los pings que se envían a la dirección de destino (rango: 200-60.000 milisegundos; valor predeterminado: 200 milisegundos). • Recuento de pings: Especifique el número de pings fallidos antes de declarar un fallo (rango: 3-10 pings; valor predeterminado: 10 pings). 120 • Gestión de dispositivos Palo Alto Networks Tabla 54. Configuración de HA (Continuación) Campo Descripción Supervisión de enlaces Especifique lo siguiente: • Habilitado: Habilite la supervisión de enlaces. La supervisión de enlaces permite activar una conmutación por error cuando falla un enlace físico o un grupo de enlaces físicos. • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de enlaces supervisados presentan fallos. Grupos de enlaces Defina uno o más grupos de enlaces para supervisar enlaces Ethernet específicos. Para añadir un grupo de enlaces, especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre de grupo de enlaces. • Habilitado: Habilite el grupo de enlaces. • Condición de fallo: Seleccione si se produce un fallo cuando alguno o todos los enlaces seleccionados presentan fallos. • Interfaces: Seleccione una o más interfaces Ethernet que se supervisarán. Pestaña Activo Pasivo Estado de los enlaces en el pasivo Seleccione una de las siguientes opciones: • Automático: Hace que el estado de los enlaces refleje la conectividad física, pero descarta todos los paquetes recibidos. Esta opción permite que el estado de los enlaces de la interfaz permanezca activo hasta que se produzca una conmutación por error, disminuyendo la cantidad de tiempo que tarda el dispositivo pasivo en tomar el control. Esta opción es compatible con el modo de capa 2, capa 3 y Virtual Wire. La opción Automático es conveniente si es viable para su red. • Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. Esta es la opción predeterminada, que garantiza que no se creen bucles en la red. Supervisar fallo de tiempo de espera descendente Especifique la cantidad de tiempo (minutos) que un cortafuegos pasará en el estado no funcional antes de volverse pasivo. Este temporizador únicamente se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de enlace (rango: 1-60; valor predeterminado: 1). Pestaña Configuración Activa/Activa Reenvío de paquetes Palo Alto Networks Seleccione la casilla de verificación Habilitar para permitir el reenvío de paquetes a través del enlace de HA3. Esto es obligatorio para sesiones enrutadas asimétricamente que requieren la inspección de capa 7 para inspección de identificación de aplicaciones y usuarios (App-ID y Content-ID). Gestión de dispositivos • 121 Tabla 54. Configuración de HA (Continuación) Campo Descripción Interfaz de HA3 Seleccione la interfaz para reenviar paquetes entre peers de HA cuando está configurada en el modo activo/activo. Cuando utilice la interfaz de HA3, debe activar las tramas gigantes (Jumbo Frames) en el cortafuegos y en todos los dispositivos de red intermediarios. Para habilitar las tramas gigantes (Jumbo Frames), seleccione Dispositivo > Configuración < Sesión y la opción Habilitar trama gigante en la sección Configuración de sesión. Sincronización de VR Fuerce la sincronización de todos los enrutadores virtuales configurados en los dispositivos de HA. La sincronización del enrutador virtual se puede utilizar cuando el enrutador virtual no está empleando protocolos de enrutamiento dinámico. Ambos dispositivos deben conectarse al mismo enrutador de siguiente salto a través de una red conmutada y deben utilizar únicamente rutas estáticas. Sincronización de QoS Sincronice la selección de perfil de QoS en todas las interfaces físicas. Utilice esta opción cuando ambos dispositivos tengan velocidades de enlace similares y requieran los mismos perfiles de QoS en todas las interfaces físicas. Este ajuste afecta a la sincronización de la configuración de QoS en la pestaña Red. La política de QoS se sincroniza independientemente de este ajuste. Tiempo de espera de tentativa (seg.) Cuando falla un cortafuegos en un estado activo/activo de HA, este entrará en estado de tentativa. Este temporizador define la duración que tendrá en ese estado. Durante el periodo de tentativa, el cortafuegos intentará crear adyacencias de ruta y completar su tabla de ruta antes de procesar los paquetes. Sin este temporizador, el cortafuegos de recuperación entraría en estado activo-secundario inmediatamente y bloquearía los paquetes, ya que carecería de las rutas necesarias (de forma predeterminada, 60 segundos). Selección de propietario de sesión Especifique una de las siguientes opciones para seleccionar el propietario de sesión: • Dispositivo principal: Seleccione esta opción para que el cortafuegos principal activo gestione la inspección de capa 7 para todas las sesiones. Este ajuste se recomienda principalmente para operaciones de solución de problemas. • Primer paquete: Seleccione esta opción para que el cortafuegos que reciba el primer paquete de la sesión sea responsable de la inspección de la capa 7 de manera que admita identificación de aplicaciones y usuarios (App-ID y Content-ID). Esta es la configuración recomendada para reducir al mínimo el uso del enlace de reenvío de paquetes de HA3. Configuración de sesión Seleccione el método para la configuración de sesión inicial. • Módulo de IP: Selecciona un cortafuegos basado en la paridad de la dirección IP de origen. • Dispositivo principal: Garantiza que todas las sesiones se configuran en el cortafuegos principal. • Hash de IP: Determina el cortafuegos de configuración mediante un hash de la dirección IP de origen o dirección IP de origen y destino y un valor de inicialización de hash si se desea una mayor aleatorización. 122 • Gestión de dispositivos Palo Alto Networks Tabla 54. Configuración de HA (Continuación) Campo Descripción Dirección virtual Haga clic en Añadir, seleccione la pestaña IPv4 o IPv6 y, a continuación, vuelva a hacer clic en Añadir para introducir opciones para una dirección virtual de HA que utilizará el clúster activo/activo de HA. Puede seleccionar el tipo de dirección virtual para que sea Flotante o Uso compartido de carga de ARP. También puede mezclar los tipos de direcciones virtuales del clúster: por ejemplo, puede utilizar el uso compartido de carga de ARP en la interfaz de LAN y una IP flotante en la interfaz de WAN. • Flotante: Introduzca una dirección IP que se desplazará entre los dispositivos de HA en el caso de un fallo de enlace o dispositivo. Debe configurar dos direcciones IP flotantes en la interfaz, de modo que cada cortafuegos posea una y, a continuación, establezca la prioridad. Si falla alguno de los cortafuegos, la dirección IP flotante pasará al peer de HA. – Prioridad de dispositivo 0: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. El dispositivo con el valor más bajo tendrá la prioridad. – Prioridad de dispositivo 1: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. El dispositivo con el valor más bajo tendrá la prioridad. – Dirección de conmutación por error si el estado de enlace no está operativo: Utilice la dirección de conmutación por error cuando el estado del enlace esté desactivado en la interfaz. • Uso compartido de carga de ARP: Introduzca una dirección IP que compartirá el par de HA y proporcionará servicios de puerta de enlace para hosts. Esta opción únicamente debería utilizarse cuando el cortafuegos y los host se encuentren en el mismo dominio de difusión. Seleccione Algoritmo de selección de dispositivo: – Módulo de IP: Si se selecciona esta opción, el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en la paridad de la dirección IP de los solicitantes de ARP. – Hash de IP: Si se selecciona esta opción, el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en un hash de la dirección IP de los solicitantes de ARP. Comandos de operación Suspender dispositivo local Cambia a Make local device functional Hace que el dispositivo de HA entre en el modo de suspensión y deshabilita temporalmente las prestaciones de HA en el cortafuegos. Si suspende el cortafuegos activo actual, el otro peer tomará el control. Para volver a poner un dispositivo suspendido en un estado funcional, CLI Para probar la conmutación por error, puede desconectar el cable del dispositivo activo (o activo-principal) o puede hacer clic en este enlace para suspender el dispositivo activo. Aspectos importantes que hay que tener en cuenta al configurar la HA • La subred utilizada para la IP local y del peer no debe utilizarse en ningún otro lugar del enrutador virtual. • Las versiones del sistema operativo y del contenido deben ser las mismas en cada dispositivo. Una falta de coincidencia puede impedir que los dispositivos del par se sincronicen. Palo Alto Networks Gestión de dispositivos • 123 • Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color ámbar en el cortafuegos pasivo. • Puede comparar la configuración de los cortafuegos local y peer mediante la herramienta Auditoría de configuraciones de la pestaña Dispositivo, seleccionando la configuración local deseada en el cuadro de selección de la izquierda y la configuración del peer en el cuadro de selección de la derecha. • Sincronice los cortafuegos desde la interfaz web pulsando el botón Introducir configuración ubicado en el widget de HA en la pestaña Panel. Tenga en cuenta que la configuración del dispositivo desde el que introducirá la configuración sobrescribirá la configuración del dispositivo del peer. Para sincronizar los cortafuegos desde la CLI del dispositivo activo, utilice el comando request high-availability sync-toremote running-config. En una configuración activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de SFP+ de 10 gigabits, cuando se produce una conmutación por error y el dispositivo activo cambia a un estado pasivo, el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el puerto, pero no permite la transmisión hasta que el dispositivo vuelve a activarse. Si cuenta con un software de supervisión en el dispositivo vecino, este verá el puerto como flap debido a su desactivación y posterior activación. Este comportamiento es distinto al otros puertos, como el puerto Ethernet de 1 gigabit. Aunque se desactive, este puerto sigue permitiendo la transmisión, por lo que el dispositivo vecino no detecta ningún flap. HA Lite Los cortafuegos de las series PA-200 y VM admiten una versión “lite” de la HA activa/pasiva que no incluye ninguna sincronización de sesiones. HA Lite permite la sincronización de la configuración y la sincronización de algunos elementos de tiempo de ejecución. También admite la conmutación por error de túneles de IPSec (las sesiones deben volver a establecerse), información de concesión de servidor DHCP, información de concesión de cliente DHCP, información de concesión de PPPoE y la tabla de reenvío del cortafuegos cuando está configurado en el modo de capa 3. Definición de sistemas virtuales Dispositivo > Sistemas virtuales Los sistemas virtuales son instancias de cortafuegos independientes (virtuales) que se pueden gestionar de forma separada dentro de un cortafuegos físico. Todos los sistemas virtuales pueden ser cortafuegos independientes con su propia política de seguridad, interfaces y administradores; un sistema virtual le permite segmentar la administración de todas las políticas (de seguridad, NAT, QoS, etc.), así como todas las funciones de creación de informes y visibilidad proporcionadas por el cortafuegos. Por ejemplo, si desea personalizar las características de seguridad para el tráfico asociado al departamento financiero, puede definir un sistema virtual financiero y, a continuación, definir políticas de seguridad que pertenezcan únicamente a ese departamento. Para optimizar la administración de políticas, puede mantener cuentas de administrador distintas para todo el dispositivo y las funciones de red, y crear a su vez cuentas de administrador de sistema virtual que permitan el acceso a sistemas virtuales individuales. Esto permite al administrador de sistemas virtuales del departamento financiero gestionar las políticas de seguridad únicamente de dicho departamento. 124 • Gestión de dispositivos Palo Alto Networks Las funciones de red que incluyen rutas dinámicas y estáticas pertenecen a todo el cortafuegos (y a todos los sistemas virtuales en él); las funciones de nivel de red y de dispositivo no las controlan los sistemas virtuales. Para cada sistema virtual puede especificar un conjunto de interfaces de cortafuegos físicas y lógicas (incluidas VLAN y Virtual Wire) y zonas de seguridad. Si necesita segmentación de rutas para cada sistema virtual, debe crear/asignar enrutadores virtuales adicionales y asignar interfaces, VLAN, Virtual Wire, según corresponda. De forma predeterminada, todas las interfaces, zonas y políticas pertenecen al sistema virtual predeterminado (vsys1). Los cortafuegos de las series PA-4000 y PA-5000 admiten varios sistemas virtuales. Los cortafuegos de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala la licencia adecuada. Los cortafuegos PA-500 y PA-200 no admiten sistemas virtuales. Cuando habilite varios sistemas virtuales, tenga en cuenta lo siguiente: • Un administrador de sistemas virtuales crea y administra todos los elementos necesarios para las políticas. • Las zonas son objetos dentro de sistemas virtuales. Antes de definir una política o un objeto de las políticas, seleccione el sistema virtual en la lista desplegable Sistema virtual de la pestaña Políticas u Objetos. • Los destinos de logs remotos (SNMP, Syslog y correo electrónico), así como aplicaciones, servicios y perfiles, pueden compartirse entre todos los sistemas virtuales o limitarse a un sistema virtual seleccionado. Antes de definir los sistemas virtuales, debe habilitar la función para admitir varios sistemas virtuales en el cortafuegos. Para habilitar la función de varios sistemas virtuales, en la página Dispositivo > Configuración > Gestión, haga clic en el enlace Editar de la sección Configuración general y seleccione la casilla de verificación Capacidad de cortafuegos virtuales. Esto añadirá el enlace Sistemas virtuales al menú lateral. Palo Alto Networks Gestión de dispositivos • 125 Ahora podrá abrir la pestaña Sistemas virtuales, hacer clic en Añadir y especificar la información siguiente. Tabla 55. Configuración de sistemas virtuales Campo Descripción ID Introduzca un identificador que sea un número entero para el sistema virtual. Consulte la hoja de datos de su modelo de cortafuegos para obtener información sobre el número de sistemas virtuales admitidos. Nombre Introduzca un nombre (de hasta 31 caracteres) para identificar el sistema virtual. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se requiere el nombre. Pestaña General Seleccione un perfil de proxy de DNS en la lista desplegable si desea aplicar reglas de proxy de DNS a esta interfaz. Consulte “Proxy DNS”. Para incluir objetos de un tipo especial, seleccione la casilla de verificación de ese tipo (Interfaz, VLAN, Virtual Wire, Enrutador virtual o Sistema virtual visible). Haga clic en Añadir y seleccione un elemento de la lista desplegable. Puede añadir uno o más objetos de cualquier tipo. Para eliminar un objeto, selecciónelo y haga clic en Eliminar. Pestaña Recurso Introduzca los siguientes ajustes: • Límite de sesiones: Número máximo de sesiones permitido para este sistema virtual. • Reglas de seguridad: Número máximo de reglas de seguridad permitido para este sistema virtual. • Reglas de NAT: Número máximo de reglas de NAT permitido para este sistema virtual. • Reglas de descifrado: Número máximo de reglas de descifrado permitido para este sistema virtual. • Reglas de QoS: Número máximo de reglas de QoS permitido para este sistema virtual. • Reglas de application override: Número máximo de reglas de application override permitido para este sistema virtual. • Reglas de PBF: Número máximo de reglas de reenvío basado en políticas (PBF) permitido para este sistema virtual. • Reglas de portal cautivo: Número máximo de reglas de portal cautivo permitido para este sistema virtual. • Reglas de denegación de servicio: Número máximo de reglas de denegación de servicio permitido para este sistema virtual. • Túneles VPN de sitio a sitio: Número máximo de túneles de VPN de sitio a sitio permitido para este sistema virtual. • Usuarios del modo de túnel de GlobalProtect simultáneos: Número máximo de usuarios de GlobalProtect remotos simultáneos permitido para este sistema virtual. 126 • Gestión de dispositivos Palo Alto Networks Configuración de puertas de enlace compartidas Dispositivo > Puertas de enlace compartidas Las puertas de enlace compartidas permiten a los sistemas virtuales múltiples compartir una única comunicación externa (tradicionalmente conectada a una red ascendente común como un proveedor de servicios de Internet). El resto de sistemas virtuales se comunican con el mundo exterior a través de la interfaz física mediante una única dirección IP. Se utiliza un único enrutador virtual para enrutar el tráfico de todos los sistemas virtuales a través de la puerta de enlace compartida. Las puertas de enlace compartidas utilizan interfaces de capa 3 y, como mínimo, una interfaz de capa 3 debe configurarse como puerta de enlace compartida. Las comunicaciones que se originan en un sistema virtual y que salen del cortafuegos mediante una puerta de enlace compartida requieren una política similar para las comunicaciones que pasan entre dos sistemas virtuales. Puede configurar una zona “Vsys externa” para definir las reglas de seguridad en el sistema virtual. Tabla 56. Configuración de puertas de enlace compartidas Campo Descripción ID Identificador de la puerta de enlace (no utilizado por el cortafuegos). Nombre Introduzca un nombre para la puerta de enlace compartida (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se requiere el nombre. Proxy DNS (Optativo) Si hay un proxy DNS configurado, seleccione qué servidores DNS se deben utilizar para las consultas de nombre de dominio. Interfaces Seleccione casillas de verificación para las interfaces que utilizará la puerta de enlace compartida. Palo Alto Networks Gestión de dispositivos • 127 Definición de páginas de respuesta personalizadas Dispositivo > Páginas de respuesta Las páginas de respuesta personalizadas son las páginas web que se muestran cuando un usuario intenta acceder a una URL. Puede proporcionar un mensaje HTML personalizado que se descargará y mostrará en lugar del archivo o la página web que ha solicitado. Cada sistema virtual puede tener sus propias páginas de respuesta personalizadas. La siguiente tabla describe los tipos de páginas de respuesta personalizadas que admiten mensajes del cliente. Consulte Apéndice A, “Páginas personalizadas” para obtener ejemplos de las páginas de respuesta predeterminadas. Tabla 57. Tipos de páginas de respuesta personalizadas Tipo de página Descripción Antivirus Página de bloqueo Acceso bloqueado debido a una infección por virus. Aplicación Página de bloqueo Acceso bloqueado debido a que la aplicación está bloqueada por una política de seguridad. Confort de portal cautivo Página Página para que los usuarios verifiquen su nombre de usuario y contraseña para máquinas que no formen parte del dominio. Opción continua de bloqueo de archivo Página Página para que los usuarios confirmen que la descarga debe continuar. Esta opción únicamente está disponible si las prestaciones de opción continua están habilitadas en el perfil de seguridad. Consulte “Perfiles de bloqueo de archivo”. Bloqueo de archivo Página de bloqueo Acceso bloqueado debido a que el acceso al archivo está bloqueado. Ayuda de portal de GlobalProtect Página Página de ayuda personalizada para usuarios de GlobalProtect (accesible desde el portal). Inicio de sesión de portal de GlobalProtect Página Página para los usuarios que intenten acceder al portal de GlobalProtect. Página de bienvenida de GlobalProtect Página de bienvenida para los usuarios que intenten iniciar sesión en el portal de GlobalProtect. Página de notificación de errores de certificado SSL Notificación de que un certificado SSL se ha revocado. Página de exclusión de descifrado de SSL Página de advertencia para el usuario que indica que esta sesión se inspeccionará. Página de bloque de URL Acceso bloqueado por un perfil de filtrado de URL o porque la categoría de URL está bloqueada por una política de seguridad. 128 • Gestión de dispositivos Palo Alto Networks Tabla 57. Tipos de páginas de respuesta personalizadas (Continuación) Tipo de página Descripción Página de continuación y cancelación de filtrado de URL Página con política de bloqueo inicial que permite que los usuarios deriven el bloqueo. Por ejemplo, un usuario que piense que la página se bloqueó de manera inadecuada puede hacer clic en el botón Continuar para ir a la página. Con la página de cancelación, el usuario necesita una contraseña para cancelar la política que bloquea esta URL. Consulte la sección “Cancelación de administrador de URL” de la Tabla 1 para obtener instrucciones sobre cómo configurar la contraseña de cancelación. Página de bloqueo de aplicación de búsqueda segura de filtro de URL Acceso bloqueado por una política de seguridad con un perfil de filtrado de URL que tiene habilitada la opción Forzaje de búsquedas seguras. El usuario verá esta página si se realiza una búsqueda con Bing, Google, Yahoo, Yandex o YouTube y la configuración de cuenta de su explorador o motor de búsqueda no está establecida como estricta. La página de bloque pedirá al usuario que establezca la configuración de búsqueda segura como estricta. Puede realizar cualquiera de las siguientes funciones bajo Páginas de respuesta: • Para importar una página de respuesta HTML personalizada, haga clic en el enlace del tipo de página que desee cambiar y, a continuación, haga clic en Importar o Exportar. Explore para ubicar la página. Se mostrará un mensaje para indicar si la importación se ha realizado con éxito. Para que la importación tenga éxito, el archivo debe estar en formato HTML. • Para exportar una página de respuesta HTML personalizada, haga clic en el enlace Exportar del tipo de página. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando la misma opción. • Para habilitar o deshabilitar la página Bloqueo de aplicación o las páginas Exclusión de descifrado de SSL, haga clic en el enlace Habilitar del tipo de página. Seleccione o cancele la selección de la casilla de verificación Habilitar. • Para usar la página de respuesta predeterminada de una página personalizada cargada anteriormente, elimine la página de bloqueo personalizada y realice una compilación. Esto establecerá la página de bloqueo predeterminada como la nueva página activa. Palo Alto Networks Gestión de dispositivos • 129 Visualización de información de asistencia técnica Dispositivo > Asistencia técnica Panorama > Asistencia técnica La página de asistencia le permite acceder a las opciones relacionadas. Puede ver la información de contacto de Palo Alto Networks, la fecha de vencimiento y alertas de producto y seguridad de Palo Alto Networks, según el número de serie de su dispositivo (cortafuegos o dispositivo de Panorama). Realice cualquiera de las siguientes funciones en esta página: • Asistencia técnica: Utilice esta sección para ver la información de contacto de la asistencia técnica de Palo Alto Networks, el estado de la asistencia técnica del dispositivo o activar su contrato usando un código de autorización. • Alertas de producción/Alertas de aplicación y amenazas: Estas alertas se recuperarán desde los servidores de actualización de Palo Alto Networks cuando se acceda a esta página o se actualice. Para ver los detalles de las alertas de producción o las alertas de aplicación y amenazas, haga clic en el nombre de la alerta. Las alertas de producción se publicarán si hay una recuperación a gran escala o un problema urgente relacionado con una determinada publicación. Se publicarán alertas de aplicación y amenazas si se descubren alertas de importancia. • Enlaces: Esta sección proporciona un enlace a la página de inicio de asistencia técnica, donde puede gestionar sus casos y un enlace para registrar el dispositivo mediante el inicio de sesión de asistencia técnica. • Archivo de asistencia técnica: Utilice el enlace Generar archivo de asistencia técnica para generar un archivo del sistema que pueda utilizar el grupo de asistencia técnica para facilitar la resolución de los problemas que pudiera estar experimentando el dispositivo. Después de generar el archivo, haga clic en Descargar archivo de asistencia técnica para recuperarlo y, a continuación, envíelo al departamento de asistencia técnica de Palo Alto Networks. • Archivo de volcado de estadísticas: Utilice el enlace Generar archivo de volcado de estadísticas para generar un conjunto de informes de XML que resuma el tráfico de red en los últimos 7 días. Una vez generado el informe, haga clic en el enlace Descargar archivo de volcado de estadísticas para recuperar el informe. El ingeniero de sistemas de Palo Alto Networks o de un socio autorizado utiliza el informe para generar un informe de riesgos y visibilidad de la aplicación (Informe AVR). El AVR resalta lo que se ha encontrado en la red y los riesgos asociados con la empresa o de seguridad que pueden existir. Tradicionalmente se utiliza como parte del proceso de evaluación. Para obtener más información sobre el informe AVR, póngase en contacto con el ingeniero de sistemas de Palo Alto Networks o de un socio autorizado. 130 • Gestión de dispositivos Palo Alto Networks Capítulo 4 Configuración de red • “Definición de cables virtuales (Virtual Wire)” • “Configuración de la interfaz de un cortafuegos” • “Configuración de un enrutador virtual” • “Compatibilidad de VLAN” • “Servidor y retransmisión DHCP” • “Proxy DNS” • “Definición de perfiles de gestión de interfaz” • “Definición de perfiles de supervisión” • “Definición de perfiles de protección de zonas” Definición de cables virtuales (Virtual Wire) Red > Cables virtuales Utilice esta página para definir cables virtuales (Virtual Wire) después de especificar dos interfaces de cable virtual en el cortafuegos. Tabla 58. Configuración de cable virtual (Virtual Wire) Campo Descripción Nombre de cable virtual Introduzca un nombre para el cable virtual (Virtual Wire) (de hasta 31 caracteres). Este nombre aparece en la lista de cables virtuales cuando se configuran interfaces. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Interfaces Seleccione dos interfaces Ethernet de la lista de configuración de cable virtual. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de cable virtual y no se han asignado a otro cable virtual. Palo Alto Networks Configuración de red • 131 Tabla 58. Configuración de cable virtual (Virtual Wire) (Continuación) Campo Descripción Tags permitidos Introduzca el número de etiqueta (0 a 4094) o el intervalo de números de etiqueta (tag1-tag2) del tráfico permitido en el cable virtual. Un valor de cero indica tráfico sin etiquetar (opción predeterminada). Si especifica varias etiquetas o intervalos, deben estar separados por comas. El tráfico que se excluye del valor de la etiqueta se descarta. Tenga en cuenta que los valores de etiqueta no se cambian en los paquetes de entrada o de salida. Si utiliza subinterfaces de cable virtual, la lista Tags permitidos causará que todo el tráfico con las etiquetas de la lista se clasifique en el cable virtual principal. Las subinterfaces de cable virtual deben utilizar etiquetas que no existen en la lista principal Tags permitidos. Cortafuegos de multicast Seleccione esta opción si desea poder aplicar reglas de seguridad al tráfico de multicast. Si este ajuste no está activado, el tráfico de multicast se reenvía por el cable virtual. Envío del estado del enlace Seleccione esta casilla de verificación si desea desactivar el otro puerto en un cable virtual cuando se detecta un estado de enlace no operativo. Si no selecciona esta casilla de verificación, el estado del enlace no se propaga por el cable virtual. Configuración de la interfaz de un cortafuegos Red > Interfaces Utilice esta página para configurar los puertos del cortafuegos. Estos puertos permiten que el cortafuegos se conecte con otros dispositivos de red, así como a otros puertos dentro el cortafuegos. Para configurar la interfaz de un cortafuegos, seleccione una de las siguientes pestañas: • Pestaña Ethernet: Las interfaces configuradas en la pestaña Ethernet incluyen tap, HA, tarjeta de log (solo cortafuegos PA-7050), reflejo de descrifrado (solo cortafuegos de las series PA-7050, serie PA-5000 y serie PA-3000), cable virtual, capa 2 (interfaz y subinterfaz), Capa 3 (interfaz y subinterfaz) y interfaz Ethernet. Consulte “Configuración de una interfaz Ethernet”. • Pestaña VLAN: Consulte “Configuración de una interfaz VLAN”. • Pestaña loopback: Consulte “Configuración de una interfaz de loopback”. • Pestaña Túnel: Consulte “Configuración de una interfaz de túnel”. Configuración de una interfaz Ethernet Red > Interfaces > Ethernet Todas las configuraciones de la interfaz Ethernet tienen una configuración básica y pestañas de configuración adicionales. Para establecer la configuración básica para una interfaz de Ethernet, haga clic en el nombre de la interfaz de la pestaña Ethernet y configure los siguientes parámetros. 132 • Configuración de red Palo Alto Networks Tabla 59. Ajustes de interfaz básica Campo Descripción Nombre de interfaz Seleccione la interfaz de la lista desplegable. Puede modificar el nombre si lo desea. En una interfaz de cable virtual (Virtual Wire), PAN-OS rellena automáticamente el nombre de la interfaz basándose en la interfaz Ethernet seleccionada y no se puede editar. Tipo de interfaz Seleccione el tipo de interfaz: • • • • • • • Perfil de flujo de red Capa 2 Capa 3 Puntear Virtual Wire Tarjeta de log (solo cortafuegos PA-7050) Reflejo de descifrado (solo cortafuegos de las series PA-7050, PA-5000 y PA-3000) Agregar Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga clic en Nuevo para definir un nuevo perfil. Para obtener más información, consulte “Configuración de ajustes de flujo de red”. Nota: Este campo no se aplica a la HA, la tarjeta de log, el reflejo de descifrado o los tipos de la interfaz de Ethernet de agregación. De igual forma, el cortafuegos de la serie PA-4000 no admite esta función. Comentarios Introduzca una descripción opcional de la interfaz. Para configurar otras las pestañas de configuración para una interfaz Ethernet, consulte lo siguiente: • “Configuración de una interfaz Ethernet de capa 2” • “Configuración de una interfaz Ethernet de capa 3” • “Configuración de una subinterfaz Ethernet de capa 2” • “Configuración de una subinterfaz Ethernet de capa 3” • “Configuración de interfaces de cable virtual (Virtual Wire)” • “Configuración de una interfaz de Tap” • “Configuración de una interfaz de tarjeta de log” • “Configuración de una interfaz de reflejo de descifrado” • “Configuración de los grupos de interfaces de agregación” • “Configuración de una interfaz Ethernet de agregación” • “Configuración de una interfaz HA” Palo Alto Networks Configuración de red • 133 Configuración de una interfaz Ethernet de capa 2 Red > Interfaces > Ethernet La configuración de una interfaz Ethernet de capa 2 necesita la configuración de los siguientes ajustes en las pestañas Configurar y Avanzado: Tabla 60. Configuración de interfaz Ethernet de capa 2 Campo Descripción Pestaña Configuración VLAN Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN (consulte “Configuración de una interfaz VLAN”). Si selecciona Ninguno, se elimina la asignación actual de VLAN de la interfaz. Para permitir el intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a través de una interfaz de VLAN, debe configurar un objeto VLAN. Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la interfaz. Pestaña Avanzada Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo automático. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado (Desactivado) o determinado automáticamente (Auto). Configuración de una interfaz Ethernet de capa 3 Red > Interfaces > Ethernet Para una interfaz Ethernet de capa 3, debe configurar los ajustes en las siguientes pestañas: • Configuración (necesaria) • Avanzado (necesaria) • IPv4 (optativa) • IPv6 (optativa) Pestañas secundarias Configurar y Avanzado de la interfaz Ethernet de capa 3 Además de la configuración de la interfaz Ethernet básica, haga clic en el nombre de la interfaz en la pestaña Ethernet y especifique la siguiente información en las pestañas secundarias Configurar y Avanzado. 134 • Configuración de red Palo Alto Networks Tabla 61. Configuración de interfaz de capa 3: Pestañas secundarias Configurar y Avanzado Campo Descripción Pestaña Configuración Enrutador virtual Seleccione un enrutador virtual o haga clic en Nuevo para definir un nuevo enrutador virtual (consulte “Configuración de un enrutador virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador virtual actual de la interfaz. Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la interfaz. Pestaña Avanzada Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo automático. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado (Desactivado) o determinado automáticamente (Auto). Otra información • Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno, se elimina la asignación de perfil actual de la interfaz. • MTU: introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-1500, de forma predeterminada 1500). Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU, el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. • Ajustar TCP MSS: active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bites menos que la MTU de la interfaz. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. Si un paquete no cabe en el MSS sin fragmentarse, este parámetro permite ajustarlo. • Subinterfaz no etiquetada: Especifica que todas las interfaces que pertenecen a esta interfaz de capa 3 no se etiqueten. PAN-OS selecciona una subinterfaz sin etiquetar como la interfaz de entrada (ingress) basada en el destino del paquete. Si el destino es la dirección IP de una subinterfaz sin etiquetar, se asignará a la subinterfaz. Esto también significa que un paquete que va en dirección inversa debe tener su dirección de origen traducida a la dirección IP de la subinterfaz sin etiquetar. Otra variable de esta forma de clasificación es que todos los paquetes de multicast y difusión se asignarán a la interfaz de base en lugar de a cualquiera de las subinterfaces. Como OSPF utiliza multicast, no es compatible con subinterfaces sin etiquetar. Palo Alto Networks Configuración de red • 135 Tabla 61. Configuración de interfaz de capa 3: Pestañas secundarias Configurar y Avanzado (Continuación) Campo Descripción Entradas ARP/Interfaz Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP), haga clic en Añadir y, a continuación, introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). Para eliminar una entrada, selecciónela y haga clic en Eliminar. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. Entradas de ND Para añadir un vecino para el descubrimiento, haga clic en Añadir y, a continuación, introduzca la dirección IP y MAC del vecino. Pestaña secundaria IPv4 de la interfaz Ethernet de capa 3 Para configurar una interfaz Ethernet de capa 3 en una red IPv4, debe configurar los siguientes ajustes en la pestaña secundaria IPv4: Tabla 62. Configuración de interfaz de capa 3: Pestaña secundaria IPv4 Campo/Pestaña secundaria Tipo Descripción Seleccione un método para definir la información de dirección IP: • Estática: debe especificar manualmente la dirección IP. • PPPoE: el cortafuegos utilizará la interfaz para el protocolo punto a punto sobre Ethernet (PPPoE). • Cliente DHCP: permite a la interfaz actual como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. Nota: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/ activo no admiten el cliente PPPoE o DHCP. Los otros campos que muestra la pestaña dependen de la selección del tipo, como se describe más abajo. Estático IP (tabla de dirección) Haga clic en Añadir y, a continuación, realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo, 192.168.2.0/24 para IPv4 o 2001:db8::/32 para IPv6). • Seleccione un objeto de dirección existente de tipo máscara de red IP. • Seleccione Nuevo para crear un objeto de dirección de tipo máscara de red IP. Puede introducir múltiples direcciones IP para la interfaz. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. Para eliminar una dirección IP, seleccione la dirección y haga clic en Eliminar. 136 • Configuración de red Palo Alto Networks Tabla 62. Configuración de interfaz de capa 3: Pestaña secundaria IPv4 (Continuación) Campo/Pestaña secundaria Descripción PPPoE General (pestaña secundaria) • Habilitar: seleccione la casilla de verificación para activar la interfaz para terminación PPPoE. • Nombre de usuario: Introduzca el nombre de usuario de la conexión de punto a punto. • Contraseña/Confirmar contraseña: Introduzca y confirme la contraseña del nombre de usuario. • Mostrar información de tiempo de ejecución de cliente PPPoE: de forma opcional, haga clic en este enlace para abrir un cuadro de diálogo que muestre los parámetros que el cortafuegos ha negociado con el proveedor de servicios de Internet (ISP) para establecer una conexión. La información específica depende del ISP. Avanzada (pestaña secundaria) • Autenticación: seleccione el protocolo de autenticación para las comunicaciones PPPoE: CHAP (Protocolo de autenticación por desafío mutuo), PAP (Protocolo de autenticación de contraseña) o, de forma predeterminada, Auto (el cortafuegos determina el protocolo). Si selecciona Ninguno, se elimina la asignación del protocolo actual de la interfaz. • Dirección estática: realice uno de los siguientes pasos para especificar la dirección IP que ha asignado el proveedor de servicios de Internet (no predeterminado): – Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo, 192.168.2.0/24 para IPv4 o 2001:db8::/32 para IPv6). – Seleccione un objeto de dirección existente de tipo máscara de red IP. – Seleccione Nuevo para crear un objeto de dirección de tipo máscara de red IP. – Seleccione Ninguno para eliminar la asignación de dirección actual de la interfaz. • Crear automáticamente ruta predeterminada que apunte al peer: Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte al peer PPPoE cuando se conecte. • Métrica de ruta predeterminada: para la ruta entre el cortafuegos y el proveedor de servicios de Internet, introduzca una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (optativa, intervalo 1-65535). El nivel de prioridad aumenta conforme disminuye el valor numérico. • Acceder a concentrador: de forma optativa, introduzca el nombre del concentrador de acceso, en el proveedor de servicios de Internet, al que se conecta el cortafuegos (no predeterminado). • Servicio: de forma optativa, introduzca la cadena de servicio (no predeterminado). • Pasivo: Seleccione la casilla de verificación para utilizar el modo pasivo. En modo pasivo, un extremo PPPoE espera a que el concentrador de acceso envíe la primera trama. Cliente DHCP Habilitar Palo Alto Networks Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. Configuración de red • 137 Tabla 62. Configuración de interfaz de capa 3: Pestaña secundaria IPv4 (Continuación) Campo/Pestaña secundaria Descripción Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. Métrica de ruta predeterminada Para la ruta entre el cortafuegos y el servidor DHCP, introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535, no predeterminada). El nivel de prioridad aumenta conforme disminuye el valor numérico. Mostrar información de tiempo de ejecución de cliente DHCP Haga clic para mostrar todos los ajustes recibidos desde el servidor DHCP, incluidos el estado de concesión de DHCP, la asignación de IP dinámica, la máscara de subred, la puerta de enlace, la configuración del servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP). Pestaña secundaria IPv6 de la interfaz Ethernet de capa 3 Para configurar una interfaz Ethernet de capa 3 en una red IPv6, debe configurar los siguientes ajustes en la pestaña secundaria IPv6: Tabla 63. Configuración de interfaz de capa 3: Pestaña secundaria IPv6 Campo Descripción Habilitar IPv6 en la interfaz Seleccione la casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. ID de interfaz Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo en blanco, el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección, el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. 138 • Configuración de red Palo Alto Networks Tabla 63. Configuración de interfaz de capa 3: Pestaña secundaria IPv6 (Continuación) Campo Descripción Dirección Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. ej. 2001:400:f00::1/64). También puede seleccionar un objeto de dirección IPv6 existente o seleccionar Nuevo para crear un objeto de dirección. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. • Enviar anuncio de enrutador: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz.) Si desea información sobre el RA, consulte “Sección de anuncio de enrutador” en esta tabla. Los campos restantes solo se aplican si habilita el RA. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. La duración válida debe ser igual o superar la duración preferida. El valor predeterminado es de 2592000. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida, lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. Cuando caduca la duración preferida, el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones, pero cualquier conexión existente es válida hasta que caduque la duración válida. El valor predeterminado es de 604800. – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. Sección Resolución de dirección Habilitar detección de direcciones duplicadas Active la casilla de verificación para habilitar la detección de dirección duplicada (DAD) y, a continuación, configure los otros campos de esta sección. Intentos DAD Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10, predeterminado 1). Tiempo alcanzable Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36.000 segundos, predeterminado 30). Intervalo NS (intervalo de solicitación de vecinos) Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos, predeterminado 1). Palo Alto Networks Configuración de red • 139 Tabla 63. Configuración de interfaz de capa 3: Pestaña secundaria IPv6 (Continuación) Campo Descripción Sección de anuncio de enrutador Habilitar anuncio de enrutador Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6, active la casilla de verificación y configure los otros campos de esta sección. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. Esta opción es un ajuste global de la interfaz. Si desea establecer las opciones de RA para direcciones IP individuales, haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles, consulte “Dirección” en esta tabla). Si establece las opciones de RA para cualquier dirección IP, debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. Mín. de intervalo (segundos) Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350, predeterminado 200). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Máx. de intervalo (segundos) Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800, predeterminado 600). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Límite de salto Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca 0 si no desea ningún límite de salto. MTU de enlace Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192, predeterminado no especificado). Tiempo alcanzable (ms) Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000, predeterminado no especificado). Tiempo de retransmisión (ms) Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295, predeterminado no especificado). Duración de enrutador (segundos) Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000, predeterminado 1800). Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. Cuando acaba la duración, el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. 140 • Configuración de red Palo Alto Networks Tabla 63. Configuración de interfaz de capa 3: Pestaña secundaria IPv6 (Continuación) Campo Descripción Preferencia de enrutador Si el segmento de la red tiene múltiples enrutadores de IPv6, el cliente utiliza este campo para seleccionar un enrutador preferido. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta, Media (predeterminada) o Baja en relación a otros enrutadores del segmento. Configuración gestionada Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. Otras configuraciones Seleccione la casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo, configuración relacionada con DNS) mediante DHCPv6. Comprobación de coherencia Seleccione la casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. El cortafuegos envía logs sobre cualquier incoherencia. Configuración de una subinterfaz Ethernet Red > Interfaces > Ethernet Todas las configuraciones de la subinterfaz Ethernet tienen una configuración básica y pestañas de configuración adicionales. Para establecer la configuración básica para una interfaz de Ethernet, haga clic en el enlace para la interfaz en la pestaña Ethernet y configure los siguientes parámetros. Tabla 64. Ajustes de interfaz básica Campo Descripción Nombre de interfaz Introduzca un número (1-9999) para identificar la subinterfaz. Etiqueta Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga clic en Nuevo para definir un nuevo perfil. Para obtener más información, consulte “Configuración de ajustes de flujo de red”. Nota: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Introduzca una descripción optativa de la subinterfaz. Para configurar otras pestañas para una interfaz Ethernet, consulte lo siguiente: • “Configuración de una subinterfaz Ethernet de capa 2” • “Configuración de una subinterfaz Ethernet de capa 3” Configuración de una subinterfaz Ethernet de capa 2 En todos los puertos Ethernet configurados como interfaz de capa 2 puede definir una interfaz de capa 2 lógica adicional (subinterfaz) para cada etiqueta VLAN que se asigne al tráfico que reciba el puerto. Para configurar las interfaces de capa 2 principales, consulte “Configuración de una interfaz Ethernet de capa 2”. Para permitir el intercambio entre subinterfaces de capa 2, asígneles el mismo objeto VLAN. Palo Alto Networks Configuración de red • 141 Para configurar una subinterfaz Ethernet de capa 2, establezca los ajustes de la Ethernet básica (consulte “Configuración de una subinterfaz Ethernet”) y la siguiente información adicional. Tabla 65. Configuración de subinterfaz de capa 2 Campo Descripción VLAN Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN (consulte “Configuración de una interfaz VLAN”). Si selecciona Ninguno, se elimina la asignación actual de VLAN de la interfaz. Para permitir el intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a través de una interfaz de VLAN, debe configurar un objeto VLAN. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la interfaz. Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Configuración de una subinterfaz Ethernet de capa 3 Red > Interfaces >Ethernet Para una subinterfaz Ethernet de capa 3 debe configurar los ajustes Ethernet básicos (consulte “Configuración de una subinterfaz Ethernet”) e información adicional en las siguientes pestañas: • Configuración (necesaria) • Avanzado (necesaria) • IPv4 (optativa) • IPv6 (optativa) 142 • Configuración de red Palo Alto Networks Pestañas secundarias Configurar y Avanzado de la interfaz Ethernet de capa 3 Tabla 66. Configuración de subinterfaz de capa 3: Pestañas secundarias Configurar y Avanzado Campo Descripción Pestaña Configuración Enrutador virtual Seleccione un enrutador virtual o haga clic en Nuevo para definir un nuevo enrutador virtual (consulte “Configuración de un enrutador virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador virtual actual de la subinterfaz. Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Zona de seguridad Seleccione una zona de seguridad para la subinterfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la subinterfaz. Pestaña secundaria Avanzado Otra información • Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno, se elimina la asignación de perfil actual de la interfaz. • MTU: introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-1500, de forma predeterminada 1500). Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la subinterfaz recibe un paquete que supera la MTU, el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. • Ajustar TCP MSS: active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bites menos que la MTU de la subinterfaz. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. Si un paquete no cabe en el MSS sin fragmentarse, este parámetro permite ajustarlo. Entradas de ARP Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP), haga clic en Añadir y, a continuación, introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). Para eliminar una entrada, selecciónela y haga clic en Eliminar. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. Entradas de ND Para añadir un vecino para el descubrimiento, haga clic en Añadir y, a continuación, introduzca la dirección IP y MAC del vecino. Palo Alto Networks Configuración de red • 143 Pestaña secundaria IPv4 de la interfaz Ethernet de capa 3 Para configurar una subinterfaz Ethernet de capa 3 en una red IPv4, debe configurar los siguientes ajustes en la pestaña secundaria IPv4: Tabla 67. Configuración de subinterfaz de capa 3: Pestaña secundaria IPv4 Campo Tipo Descripción Seleccione un método para definir la información de dirección IP: • Estática: debe especificar manualmente la dirección IP. • Cliente DHCP: permite a la subinterfaz actual como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. Nota: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/ activo no admiten el cliente DHCP. Los otros campos que muestra la pestaña dependen de la selección del tipo, como se describe más abajo. Estático IP (tabla de dirección) Haga clic en Añadir y, a continuación, realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la subinterfaz. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo, 192.168.2.0/24 para IPv4 o 2001:db8::/32 para IPv6). • Seleccione un objeto de dirección existente de tipo máscara de red IP. • Seleccione Nuevo para crear un objeto de dirección de tipo máscara de red IP. Puede introducir múltiples direcciones IP para la interfaz. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. Para eliminar una dirección IP, seleccione la dirección y haga clic en Eliminar. Cliente DHCP Habilitar Seleccione la casilla de verificación para activar el cliente DHCP en la subinterfaz. Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. Métrica de ruta predeterminada Para la ruta entre el cortafuegos y el servidor DHCP, introduzca una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535, optativa). El nivel de prioridad aumenta conforme disminuye el valor numérico. Mostrar información de tiempo de ejecución de cliente DHCP Haga clic para mostrar todos los ajustes recibidos desde el servidor DHCP, incluidos el estado de concesión de DHCP, la asignación de IP dinámica, la máscara de subred, la puerta de enlace, la configuración del servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP). 144 • Configuración de red Palo Alto Networks Pestaña secundaria IPv6 de la subinterfaz Ethernet de capa 3 Para configurar una subinterfaz Ethernet de capa 3 en una red IPv6, debe configurar los siguientes ajustes en la pestaña secundaria IPv6: Tabla 68. Configuración de subinterfaz de capa 3: Pestaña IPv6 Campo Descripción Habilitar IPv6 en la interfaz Seleccione la casilla de verificación para habilitar las direcciones IPv6 en esta subinterfaz. ID de interfaz Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo en blanco, el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección, el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. Palo Alto Networks Configuración de red • 145 Tabla 68. Configuración de subinterfaz de capa 3: Pestaña IPv6 (Continuación) Campo Descripción Dirección Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. ej. 2001:400:f00::1/64). También puede seleccionar un objeto de dirección IPv6 existente o seleccionar Nuevo para crear un objeto de dirección. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la subinterfaz. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. • Enviar anuncio de enrutador: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la subinterfaz.) Si desea información sobre el RA, consulte “Sección de anuncio de enrutador” en esta tabla. Los campos restantes solo se aplican si habilita el RA. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. La duración válida debe ser igual o superar la duración preferida. El valor predeterminado es de 2592000. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida, lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. Cuando caduca la duración preferida, el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones, pero cualquier conexión existente es válida hasta que caduque la duración válida. El valor predeterminado es de 604800. – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. Sección Resolución de dirección Habilitar detección de direcciones duplicadas Active la casilla de verificación para habilitar la detección de dirección duplicada (DAD) y, a continuación, configure los otros campos de esta sección. Intentos DAD Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10, predeterminado 1). Tiempo alcanzable Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36.000 segundos, predeterminado 30). Intervalo NS (intervalo de solicitación de vecinos) Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos, predeterminado 1). 146 • Configuración de red Palo Alto Networks Tabla 68. Configuración de subinterfaz de capa 3: Pestaña IPv6 (Continuación) Campo Descripción Sección de anuncio de enrutador Habilitar anuncio de enrutador Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en la subinterfaz, active la casilla de verificación y configure los otros campos de esta sección. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. Esta opción es un ajuste global de la subinterfaz. Si desea establecer las opciones de RA para direcciones IP individuales, haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles, consulte “Dirección” en esta tabla). Si establece las opciones de RA para cualquier dirección IP, debe seleccionar la opción Habilitar anuncio de enrutador para la subinterfaz. Mín. de intervalo (segundos) Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350, predeterminado 200). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Máx. de intervalo (segundos) Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800, predeterminado 600). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Límite de salto Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca 0 si no desea ningún límite de salto. MTU de enlace Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192, predeterminado no especificado). Tiempo alcanzable (ms) Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000, predeterminado no especificado). Tiempo de retransmisión (ms) Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295, predeterminado no especificado). Duración de enrutador (segundos) Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000, predeterminado 1800). Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. Cuando acaba la duración, el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. Palo Alto Networks Configuración de red • 147 Tabla 68. Configuración de subinterfaz de capa 3: Pestaña IPv6 (Continuación) Campo Descripción Preferencia de enrutador Si el segmento de la red tiene múltiples enrutadores, el cliente utiliza este campo para seleccionar un enrutador preferido. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta, Media (predeterminada) o Baja en relación a otros enrutadores del segmento. Configuración gestionada Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. Otras configuraciones Seleccione la casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo, configuración relacionada con DNS) mediante DHCPv6. Comprobación de coherencia Seleccione la casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. El cortafuegos envía logs sobre cualquier incoherencia. Configuración de interfaces de cable virtual (Virtual Wire) Red > Interfaces > Ethernet Una interfaz de cable virtual (Virtual Wire) une dos puertos Ethernet, permitiendo que pase todo el tráfico entre los puertos, o solo el tráfico con etiquetas VLAN seleccionadas (no hay disponible ningún otro servicio de enrutamiento o conmutación). También puede crear subinterfaces de cable virtual y clasificar el tráfico en función de una dirección o intervalo IP, o una subred. Un cable virtual no requiere ningún tipo de cambio en los dispositivos de red adyacentes. Para configurar un cable virtual (Virtual Wire) en el cortafuegos, primero debe definir las interfaces Virtual Wire, tal y como se describe en el siguiente procedimiento y, a continuación, crear el cable virtual usando las interfaces que ha creado. 1. Identifique la interfaz que desee utilizar para el cable virtual en la pestaña Ethernet y elimínela de la zona de seguridad actual, si la hubiera. 2. Haga clic en el nombre de la interfaz y especifique la siguiente información. Tabla 69. Configuración de cable virtual (Virtual Wire) Campo Descripción Pestaña Configuración Virtual Wire Seleccione un cable virtual (Virtual Wire) o haga clic en Nuevo para definir un nuevo cable virtual (consulte “Definición de cables virtuales (Virtual Wire)”). Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la interfaz. 148 • Configuración de red Palo Alto Networks Tabla 69. Configuración de cable virtual (Continuación) (Virtual Wire) Campo Descripción Pestaña Avanzada Velocidad de enlace Especifique la velocidad de la interfaz. Si la interfaz seleccionada es una interfaz de 10 Gbps, la única opción es Auto. En el resto de casos, las opciones son: 10, 100, 1000 o Auto. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado (Desactivado) o determinado automáticamente (Auto). Configuración de una subinterfaz de cable virtual (Virtual Wire) Red > Interfaces Las subinterfaces de cable virtual (Virtual Wire) le permiten separar el tráfico según las etiquetas VLAN o una combinación de etiqueta VLAN y clasificador IP, asignar el tráfico etiquetado a una zona y sistema virtual diferentes y, a continuación, aplicar políticas de seguridad para el tráfico que coincida con los criterios definidos. Para añadir una subinterfaz de cable virtual, seleccione la interfaz de cable virtual donde quiera añadirla y haga clic en Añadir subinterfaz y especifique la siguiente información. Tabla 70. Configuración de subinterfaces de cable virtual (Virtual Wire) Campo Descripción Nombre de interfaz El nombre de interfaz principal aparece automáticamente basándose en la interfaz que haya seleccionado; la etiqueta no se puede editar. Para definir la subinterfaz, introduzca un número (1 a 9999) junto al nombre de la interfaz física para formar el nombre de la interfaz lógica. El formato de nombre general es: ethernetx/y.<1-9999> Para configurar el cable virtual, consulte “Configuración de interfaces de cable virtual (Virtual Wire)”. Etiqueta Introduzca el número de etiqueta (0 a 4094) o el tráfico recibido en esta interfaz. Si define un valor de etiqueta de 0 coincidirá con tráfico sin etiquetar. Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga clic en Nuevo para definir un nuevo perfil. Para obtener más información, consulte “Configuración de ajustes de flujo de red”. Nota: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Palo Alto Networks Introduzca una descripción opcional de la interfaz. Configuración de red • 149 Tabla 70. Configuración de subinterfaces de cable virtual (Virtual Wire) (Continuación) Campo Descripción Clasificador IP Haga clic en Añadir para añadir una dirección IP, subred, intervalo IP o cualquier combinación de clasificadores IP. Esto permitirá clasificar el tráfico entrante en el cortafuegos mediante este puerto físico en esta subinterfaz en función de su dirección IP de origen. El tráfico de ruta de retorno entrante en cortafuegos por el otro extremo del cable virtual asociado se comparará con su dirección de destino. En una subinterfaz de cable virtual (Virtual Wire), la clasificación IP solo se puede utilizar en combinación con una clasificación basada en VLAN. Asignar interfaz a Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la interfaz. Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Virtual Wire Seleccione un cable virtual (Virtual Wire) o haga clic en Nuevo para definir un nuevo cable virtual (consulte “Definición de cables virtuales (Virtual Wire)”). Configuración de una interfaz de Tap Red > Interfaces > Ethernet Se puede configurar una interfaz de Tap según sea necesario para supervisar el tráfico de un puerto. Además de la configuración básica de la interfaz Ethernet, haga clic en el nombre de la interfaz en la pestaña Ethernet y especifique la siguiente información en las pestañas Configurar y Avanzado. . Tabla 71. Configuración de interfaz de Tap Campo Descripción Pestaña Configuración Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la interfaz. Pestaña Avanzada Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo automático. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado (Desactivado) o determinado automáticamente (Auto). 150 • Configuración de red Palo Alto Networks Configuración de una interfaz de tarjeta de log Red > Interfaces > Ethernet En un cortafuegos de PA-7050, un puerto de datos debe tener un tipo de interfaz Tarjeta de log. Esto se debe a que las funciones de tráfico y logs de esta plataforma superan las del puerto de gestión. Un puerto de datos de tarjeta de log realiza el reenvío de log para Syslog, Correo electrónico, SNMP y WildFire. Solo un puerto del cortafuegos puede ser una interfaz de tarjeta de log. Si activa el reenvío de logs pero no configura ninguna interfaz como la tarjeta de log, se produce un error de compilación. En la pestaña Ethernet, haga clic en el nombre de la interfaz, configure la información de la interfaz Ethernet básica y, a continuación, configure la siguiente información en las pestañas Reenvío de tarjeta de log y Avanzado. . Tabla 72. Configuración de la interfaz de tarjeta de log Campo Descripción Reenvío de tarjeta de log IPv4 Si la red utiliza IPv4, introduzca la siguiente información de dirección IPv4 para el puerto: • Dirección IP: Dirección IPv4 del puerto. • Máscara de red: Máscara de red para la dirección IPv4 del puerto. • Puerta de enlace predeterminada: Dirección IPv4 de la puerta de enlace para el puerto. IPv6 Si la red utiliza IPv6, introduzca la siguiente información de dirección IPv6 para el puerto: • Dirección IP: Dirección IPv6 del puerto. • Puerta de enlace predeterminada: Dirección IPv6 de la puerta de enlace predeterminada para el puerto. Pestaña Avanzada Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo automático. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado (Desactivado) o determinado automáticamente (Auto). Configuración de una interfaz de reflejo de descifrado Red > Interfaces > Ethernet Para utilizar la función Reflejo de puerto de descifrado, debe seleccionar el tipo de la interfaz Reflejo de descifrado. Esta función permite crear una copia del tráfico descifrado desde un cortafuegos y enviarla a una herramienta de recopilación de tráfico que pueda recibir capturas de paquetes sin formato (como NetWitness o Solera) para su archivado o análisis. Aquellas organizaciones que necesitan la captura integral de datos con fines forenses o históricos o para prevenir la fuga de datos (DLP) necesitan esta función. El reflejo del puerto de descrifrado solo está disponible en los cortafuegos de las series PA-7050, PA-5000 y PA-3000. Para permitir la función, debe adquirir e instalar la licencia gratuita. Palo Alto Networks Configuración de red • 151 En la pestaña Ethernet, haga clic en el nombre de la interfaz, configure la información de la interfaz Ethernet básica y, a continuación, especifique la siguiente información en la pestaña Avanzado. . Tabla 73. Configuración de interfaz de reflejo de descifrado Campo Descripción Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo automático. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado (Desactivado) o determinado automáticamente (Auto). Configuración de los grupos de interfaces de agregación Red > Interfaces Un grupo de interfaces de agregación le permite combinar varias interfaces Ethernet usando la agregación de enlace IEEE 802.1AX. Puede agregar XFP de 1 Gbps o 10 Gbps y Ethernet de SPF+. La interfaz de agregación que cree se convertirá en una interfaz lógica. Las siguientes propiedades pertenecen a la interfaz lógica, no a las interfaces subyacentes físicas: asignaciones de configuración (sistema virtual, enrutador virtual, cable virtual, VLAN, zona de seguridad), direcciones IP, perfil de gestión, configuración de Protocolo de control de agregación de enlace (LACP), entradas de Protocolo de resolución de direcciones (ARP) y entradas de Detección de vecinos (ND). Por lo tanto, una vez creado el grupo, realice operaciones como configurar parámetros de capa 2 o capa 3 en el grupo de agregación en lugar de en interfaces individuales. Las siguientes reglas se aplican a los grupos de agregación: • En un grupo, los enlaces de 1 Gbps deben ser completamente de cobre o de fibra. • Un grupo puede tener hasta 8 interfaces. • Los grupos de agregación admiten HA, cable virtual, interfaces de capa 2 o capa 3. En un grupo, todas las interfaces deben ser del mismo tipo. PAN-OS valida esto durante la operación de compilación. • Puede usar grupos de agregación para el escalado de la redundancia y rendimiento en el enlace HA3 (reenvío de paquetes) en implementaciones de HA Activo/Activo. La compatibilidad para HA3 está limitada a los cortafuegos de las series PA-500, PA-3000, PA-4000 y PA-5000. • Si activa LACP para un grupo de agregación, la compatibilidad se limita a las interfaces HA3, de capa 2 capa 3. No puede habilitar LACP para interfaces de cable virtual. La compatibilidad para los grupos que tienen LACP activado se limita a los cortafuegos de las series PA-500, PA-3000, PA-4000, PA-5000 y PA-7050 . Para configurar un grupo de agregación, haga clic en Añadir grupo de agregación y especifique la información en la siguiente tabla. A continuación, asigne interfaces al grupo según lo descrito en “Configuración de una interfaz Ethernet de agregación”. 152 • Configuración de red Palo Alto Networks Tabla 74. Configuración de interfaz de grupo de agregación Campo Descripción Nombre de interfaz Introduzca un nombre y un sufijo numérico para identificar el grupo de agregación. El nombre aparece como mm.n donde mm es el nombre y n es el sufijo (1-8). Tipo de interfaz Seleccione el tipo de interfaz, que controla los requisitos de configuración y opciones que quedan: • HA: solo debe seleccionar esta opción si la interfaz es un enlace de HA3 entre dos cortafuegos en una implementación activa/activa. No se requiere ninguna configuración adicional. De forma optativa, configure LACP como se describe a continuación. • Virtual Wire (Cable virtual): no se necesita configuración adicional. Este tipo no está disponible si activa el LACP. • Capa 2: configure la pestaña Configurar y, de forma optativa, la pestaña LACP como se describe más adelante. A continuación, configure la pestaña Avanzado según se describe en Tabla 65. • Capa 3: configure la pestaña Configurar y, de forma optativa, la pestaña LACP como se describe más adelante. A continuación, configure otras pestañas según se describe en Tabla 66, Tabla 67 y Tabla 68. Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga clic en Nuevo para definir un nuevo perfil. Para obtener más información, consulte “Configuración de ajustes de flujo de red”. Nota: Este campo no se aplica al tipo de interfaz de HA. De igual forma, el cortafuegos de la serie PA-4000 no admite esta función. Comentarios Introduzca una descripción opcional de la interfaz. Configurar Asignar interfaz a La asignación de la interfaz depende del tipo de interfaz: • HA: este tipo no tiene opciones de la pestaña Configurar que deban especificarse. • Virtual Wire (Cable virtual): especifique un cable virtual y una zona de seguridad según se describe en Tabla 70. • Capa 2: especifique una VLAN y una zona de seguridad según se describe en Tabla 65. • Capa 3: especifique un enrutador virtual y una zona de seguridad según se describe en Tabla 66. Sistema virtual Palo Alto Networks Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Configuración de red • 153 Tabla 74. Configuración de interfaz de grupo de agregación (Continuación) Campo Descripción LACP Esta sección solo se aplica a las interfaces HA (solo HA3), de capa 2 y capa 3. Habilitar LACP Seleccione esta casilla de verificación si desea habilitar el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. LACP está deshabilitada de manera predeterminada. Modo Seleccione el modo de LACP del cortafuegos. Entre cualquier par de peers LACP, se recomienda que uno sea activo y otro pasivo. LACP no puede funcionar si los dos peers son pasivos. • Activo: el cortafuegos consulta de forma activa el estado del LACP (disponible o sin respuesta) de dispositivos de peer. • Pasivo (predeterminado): el cortafuegos responde pasivamente a las consultas de estado del LACP procedentes de los dispositivos peer. Velocidad de transmisión Seleccione la velocidad con la que el cortafuegos intercambia consultas y responde a los dispositivos peer. • Rápido: cada segundo • Lento: cada 30 segundos (este es el ajuste predeterminado) Conmutación rápida Seleccione esta casilla de verificación si, cuando una interfaz tenga un fallo, quiere que el cortafuegos cambie a una interfaz operativa en 1 segundo. De lo contrario, el fallo se produce a la velocidad estándar definida en IEEE 802.1AX (al menos tres segundos). Prioridad del sistema Número que determina si el cortafuegos o su peer sobrescribe el otro con respecto a las prioridades del puerto (consulte la descripción del campo Puertos máx. que aparece a continuación). Observe que cuanto más bajo es el número, más alta es la prioridad. El intervalo es 1-65535 y el valor predeterminado es 32768. Puertos máx. Número de interfaces (1-8) que puede ser activo en cualquier momento en un grupo de agregación del LACP. El valor no puede superar el número de interfaces asignadas al grupo. Si el número de interfaces asignadas supera el número de interfaces activas, el cortafuegos utiliza las prioridades del puerto de las interfaces para determinar cuáles están en modo de espera. Puede establecer prioridades de puerto al configurar interfaces individuales para el grupo. 154 • Configuración de red Palo Alto Networks Tabla 74. Configuración de interfaz de grupo de agregación (Continuación) Campo Descripción Misma dirección MAC del sistema para modo Activo-Pasivo de HA Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo valor de prioridad del sistema. Sin embargo, en una implementación activa/pasiva, el ID del sistema de cada uno puede ser igual o distinto, dependiendo de si asigna o no la misma dirección MAC. Cuando los peers del LACP (también en modo de HA) se virtualizan (apareciendo para la red como un dispositivo único), usando la misma dirección MAC del sistema para los cortafuegos, se recomienda minimizar la latencia durante el fallo. Cuando los peers del LACP no se virtualizan, usando la dirección MAC única de cada cortafuegos, se recomienda minimizar la latencia del fallo. Si los cortafuegos no están en modo de HA activo/ pasivo, PAN-OS ignora este campo. (Los cortafuegos de una implementación activa/activa requieren direcciones MAC únicas, de forma que PAN-OS las asigne automáticamente.) LACP utiliza la dirección MAC para derivar un ID de sistema a cada peer del LACP. Si el par del cortafuegos y el par de peers tienen valores de prioridad del sistema idénticos, el LACP utiliza los valores de ID del sistema para determinar qué cancela al otro con respecto a las prioridades del puerto. Si ambos cortafuegos tienen la misma dirección MAC, ambos tendrán el mismo ID del sistema, que será mayor o menor que el ID del sistema de los peers del LACP. Si los cortafuegos de HA tienen direcciones MAC únicas, es posible que uno tenga un ID del sistema mayor que los peers del LACP y el otro un ID del sistema menor. En este caso, cuando el fallo se produzca en los cortafuegos, la prioridad de puerto cambia entre los peers del LACP y el cortafuegos que se activa. Dirección MAC Si ha activado Usar la misma dirección MAC del sistema, seleccione una dirección MAC generada por el sistema, o introduzca la suya propia, para ambos cortafuegos del par de HA. Debe verificar que la dirección es única globalmente. Configuración de una interfaz Ethernet de agregación Red > Interfaces Para configurar una interfaz de Ethernet de agregación, añada primero el grupo de agregación al que asignará la interfaz (consulte “Configuración de los grupos de interfaces de agregación”). En segundo lugar, haga clic en el nombre de la interfaz que asignará al grupo de agregación. La interfaz que seleccione debe ser del mismo tipo que la definida para el grupo de agregación, aunque cambiará el tipo a Agregar Ethernet cuando la configure. Especifique la siguiente información para la interfaz. Palo Alto Networks Configuración de red • 155 Tabla 75. Configuración de interfaz de Ethernet de agregación Campo Descripción Tipo de interfaz Seleccione Agregar Ethernet. Agregar grupo Asigne la interfaz a un grupo de agregación. Comentarios Introduzca una descripción opcional de la interfaz. Pestaña Avanzada Nota: Si activa el LACP para el grupo de agregación, se recomienda establecer la misma velocidad de enlace y valores duplicados para cada interfaz del grupo. Para los valores que no coinciden, la operación de compilación muestra un aviso y PAN-OS activa el valor predeterminado de la velocidad más alta y dúplex completo. Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo automático. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado (Desactivado) o determinado automáticamente (Auto). Prioridad de puerto LACP El cortafuegos solo utiliza este campo si ha activado el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. Un grupo de agregación podría tener más interfaces de las que admite en los estados activos. (En la configuración del grupo de agregación, el parámetro Puertos máx. determina el número de interfaces activas). En esta caso, la prioridad de puerto asignada a cada interfaz determina si está activa o en espera. Cuanto más bajo es el valor numérico, más alta es la prioridad. El intervalo es 1-65535 y el valor predeterminado es 32768. 156 • Configuración de red Palo Alto Networks Configuración de una interfaz HA Red > Interfaces Todas las interfaces HA tienen una función específica: una interfaz se utiliza para la sincronización de la configuración y latidos y la otra interfaz se utiliza para la sincronización del estado. Si se activa la opción de alta disponibilidad, se puede utilizar una tercera interfaz HA para reenviar paquetes. Algunos cortafuegos de Palo Alto Networks incluyen puertos físicos exclusivos para su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de datos). En el caso de cortafuegos que no incluyen puertos exclusivos, debe especificar los puertos de datos que se utilizarán para HA. Si desea más información sobre HA, consulte “Habilitación de HA en el cortafuegos”. Para definir interfaces HA, haga clic en un nombre de interfaz y especifique la siguiente información. Tabla 76. Configuración de interfaz HA Campo Descripción Nombre de interfaz Seleccione la interfaz de la lista desplegable. Puede modificar el nombre si lo desea. Tipo de interfaz Seleccione HA de la lista desplegable. Comentarios Introduzca una descripción opcional de la interfaz. Pestaña Avanzada Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo automático. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado (Desactivado) o determinado automáticamente (Auto). Configuración de una interfaz VLAN Red > Interfaces > VLAN Se puede configurar una interfaz VLAN para proporcionar enrutamiento en una red de capa 3 (IPv4 e IPv6). Se pueden añadir uno o varios puertos Ethernet de capa 2 (“Configuración de una interfaz Ethernet de capa 2”) a una interfaz VLAN. Todas las configuraciones de la interfaz VLAN tienen una configuración básica y pestañas de configuración adicionales. Para configurar una interfaz VLAN, seleccione la pestaña VLAN y haga clic en Añadir. Especifique los ajustes de configuración básica y, a continuación, los ajustes de IPv4 e IPv6 según corresponda. Palo Alto Networks Configuración de red • 157 Tabla 77. Configuración básica de la interfaz VLAN Campo Descripción Nombre de interfaz Especifique un sufijo numérico a la interfaz (1-4999). Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga clic en Nuevo para definir un nuevo perfil. Para obtener más información, consulte “Configuración de ajustes de flujo de red”. Nota: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Añada una descripción opcional de la interfaz. Pestaña Configuración VLAN Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN (consulte “Configuración de una interfaz VLAN”). Si selecciona Ninguno, se elimina la asignación actual de VLAN de la interfaz. Enrutador virtual Seleccione un enrutador virtual o haga clic en Nuevo para definir un nuevo enrutador virtual (consulte “Configuración de un enrutador virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador virtual actual de la interfaz. Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la interfaz. Pestaña Avanzada Otra información Especifique lo siguiente: • Perfil de gestión: Seleccione un perfil que especifique los protocolos, si existen, que se pueden utilizar para gestionar el cortafuegos en esta interfaz. • MTU: Introduzca la MTU en bytes para los paquetes enviados en esta interfaz (512-1500; opción predeterminada 1500). Si las máquinas de ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU se devolverá en un mensaje con necesidad de fragmentación ICMP indicando que la MTU es demasiado larga. Ajustar TCP MSS: Si selecciona esta casilla de verificación, el tamaño de segmento máximo (MSS) se ajusta a 40 bytes menos que la MTU de interfaz. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor. Si un paquete no cabe en el MSS sin fragmentarse, este parámetro permite ajustarlo. Entradas ARP/Interfaz Para añadir una o más entradas ARP estáticas, haga clic en Añadir e introduzca una dirección IP y la dirección (MAC) de su hardware asociado y una interfaz de capa 3 que pueda acceder a la dirección del hardware. Entradas de ND Haga clic en Añadir para introducir la dirección IP y MAC de los vecinos que se añadirán al descubrimiento. 158 • Configuración de red Palo Alto Networks Pestaña IPv4 de VLAN Si configura una VLAN para su acceso a una red IPv4, debe configurar los siguientes ajustes en la pestaña IPv4: Tabla 78. Configuración de IPv4 de la interfaz VLAN Campo Descripción Pestaña IPv4 Estático Seleccione Estático para asignar direcciones IP estáticas. Haga clic en Añadir e introduzca una dirección IP y una máscara de red para la interfaz en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo, 192.168.2.0/24). Puede introducir múltiples direcciones IP para la interfaz. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. Cliente DHCP Seleccione DHCP para utilizar la asignación de direcciones DHCP para la interfaz y especifique los siguientes ajustes: • Habilitar: seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. • Crear automáticamente ruta predeterminada que apunte al servidor: Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte al servidor DHCP cuando se conecte. • Métrica de ruta predeterminada: Especifique la métrica de ruta asociada con la ruta predefinida que se utilizará para seleccionar la ruta (opcional, intervalo 1-65535). Haga clic en Mostrar información de tiempo de ejecución de cliente DHCP para abrir una ventana que muestre todos los ajustes recibidos del servidor DHCP, incluyendo el estado de concesión de DHCP, la asignación de IP dinámica, la máscara de subred, la puerta de enlace, la configuración del servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP). Entradas de ARP Para añadir una o más entradas ARP, introduzca una dirección IP y su hardware asociado (MAC) y haga clic en Añadir. Para eliminar una entrada estática, seleccione la entrada y haga clic en Eliminar. Pestaña IPv6 de VLAN Si configura una VLAN para su acceso a una red IPv6, debe configurar los siguientes ajustes en la pestaña IPv6: Tabla 79. Configuración de IPv6 de la interfaz VLAN Campo Descripción Pestaña IPv6 Habilitar IPv6 en la interfaz Seleccione la casilla de verificación para habilitar las direcciones IPv6 en la subinterfaz. ID de interfaz Introduzca el identificador único ampliado de 64 bits en formato hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz se deja en blanco, el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. Palo Alto Networks Configuración de red • 159 Tabla 79. Configuración de IPv6 de la interfaz VLAN (Continuación) Campo Descripción Dirección Haga clic en Añadir e introduzca una dirección IPv6 y la longitud del prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz como parte de host para asignar una dirección IPv6 a la interfaz que utilizará el ID de interfaz como la parte de host de la dirección. Seleccione Difusión por proximidad para incluir el enrutador mediante el nodo más cercano. Si no se selecciona Prefijo, la dirección IPv6 asignada a la interfaz será la que especifique completamente en el cuadro de texto de la dirección. Utilice la opción Enviar anuncio de enrutador (Enviar RA) para habilitar el anuncio del enrutador en esta dirección IP. También puede configurar que se envíe la marca Autónomo y definir la opción Enlace activo. Debe habilitar la opción Habilitar anuncio de enrutador de forma global en la interfaz antes de activar Enviar anuncio de enrutador para una dirección IP concreta. Resolución de dirección (Duplicar detección de dirección) Seleccione la casilla de verificación para habilitar Duplicar detección de dirección (DAD) y especifique la siguiente información. • Intentos DAD: Especifique el número de intentos del intervalo de solicitación de vecinos de DAD antes de que falle el intento de identificar a los vecinos (intervalo 1-10). • Tiempo alcanzable: Especifique el tiempo que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36.000 segundos). Intervalo de solicitación de vecinos (NS): Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos). Habilitar anuncio de enrutador Seleccione la casilla de verificación para habilitar Anuncio de enrutador (RA) para proporcionar la configuración automática de direcciones sin estado (SLAAC) de interfaces IPv6. De esta forma el cortafuegos puede actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionará al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. Se puede utilizar un servidor DHCPv6 diferente en conjunción con esta función para proporcionar DNS y otros ajustes a los clientes. Esta opción es un ajuste global de la interfaz. También puede definir las opciones de anuncio de enrutador por dirección IP haciendo clic en Añadir e introduciendo una dirección IP. Debe activar esta opción en la interfaz si va a especificar la opción Enviar anuncio de enrutador por dirección. Especifique la siguiente información que utilizarán los clientes que reciban los mensajes RA. • Min. de intervalo (seg): Especifique el intervalo mínimo por segundos en el que el cortafuegos enviará anuncios de enrutador. Los anuncios de enrutador se enviarán a intervalos aleatorios entre los valores mínimo y máximo configurados (intervalo 3-1350 segundos; opción predefinida 200 segundos). • Máx. de intervalo (seg): Especifique el intervalo máximo por segundos en el que el cortafuegos enviará anuncios de enrutador. Los anuncios de enrutador se enviarán a intervalos aleatorios entre los valores mínimo y máximo configurados (intervalo 4-1800 segundos; opción predefinida 600 segundos). 160 • Configuración de red Palo Alto Networks Tabla 79. Configuración de IPv6 de la interfaz VLAN (Continuación) Campo Descripción Habilitar anuncio de enrutador (Continuación) • Límite de salto: Especifique el límite de salto que se aplicará a los clientes para paquetes salientes. Introduzca 0 si no desea ningún límite de salto (intervalo 1-255; opción predefinida 64). • MTU de enlace: Especifique la MTU de enlace que se aplicará a los clientes. Seleccione sin especificar para establecer una MTU sin enlace (intervalo: 1280-9192; opción predeterminada: sin especificar). • Tiempo alcanzable (ms): Especifique el tiempo que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación. Seleccione sin especificar para especificar un valor de tiempo no alcanzable (intervalo: 0-3600000 milisegundos; opción predeterminada: sin especificar). • Tiempo de retransmisión (ms) Especifique el temporizador de transmisión que el cliente utilizará para determinar cuánto tiempo debe esperar antes de retransmitir los mensajes de solicitación de vecinos. Seleccione sin especificar para no establecer ningún tiempo de retransmisión (intervalo 0-4294967295 milisegundos; opción predeterminada: sin especificar). • Duración de enrutador (seg): Especifique la duración del enrutador que indicará al cliente cuánto tiempo se utilizará el cortafuegos/enrutador como el enrutador predeterminado (intervalo: 0-9.000 segundos; opción predeterminada 1.800). • Configuración gestionada: Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. • Otras configuraciones: Seleccione la casilla de verificación para indicar al cliente que existen otras direcciones de información mediante DHCPv6, como ajustes relacionados con DNS. Comprobación de coherencia: Seleccione la casilla de verificación para activar comprobaciones de coherencia que utilizará el cortafuegos para verificar que el anuncio del enrutador enviado desde otros enrutadores está transmitiendo información coherente en el enlace. Si se detectan incoherencias, se creará un log. Configuración de una interfaz de loopback Red > Interfaces > Loopback Puede configurar una o varias interfaces de loopback si la topología de la red las requiere (IPv4 y IPv6). Las configuraciones de interfaz de loopback tienen una configuración básica y pestañas de configuración adicionales. Para configurar una interfaz de loopback, seleccione Red > Interfaces > Loopback y haga clic en Añadir. Especifique los ajustes de configuración básica en primer lugar, después los ajustes avanzados y, a continuación, los ajustes de IPv4 e IPv6. Palo Alto Networks Configuración de red • 161 Tabla 80. Configuración avanzada y básica de la interfaz de loopback Campo Descripción Nombre de interfaz Especifique un sufijo numérico a la interfaz (1-4999). Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga clic en Nuevo para definir un nuevo perfil. Para obtener más información, consulte “Configuración de ajustes de flujo de red”. Nota: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Añada una descripción opcional de la interfaz. Pestaña Configuración Enrutador virtual Seleccione un enrutador virtual o haga clic en Nuevo para definir un nuevo enrutador virtual (consulte “Configuración de un enrutador virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador virtual actual de la interfaz. Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la interfaz. Pestaña Avanzada Otra información Especifique los siguientes ajustes: • Perfil de gestión: Seleccione un perfil que especifique los protocolos, si existen, que se pueden utilizar para gestionar el cortafuegos en esta interfaz. • MTU: Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (de 576 a 1500, opción predeterminada 1500). Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD), el valor de MTU se devolverá en un mensaje con necesidad de fragmentación ICMP indicando que la MTU es demasiado larga. • Ajustar TCP MSS: Si selecciona esta casilla de verificación, el tamaño de segmento máximo (MSS) se ajusta a 40 bytes menos que la MTU de interfaz. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor. Si un paquete no cabe en el MSS sin fragmentarse, este parámetro permite ajustarlo. 162 • Configuración de red Palo Alto Networks Pestaña IPv4 de la interfaz de loopback Si configura una interfaz de loopback para su acceso a una red IPv4, debe configurar los siguientes ajustes en la pestaña IPv4: Tabla 81. Configuración de IPv4 de la interfaz de loopback Campo Descripción Dirección IP Haga clic en Añadir para introducir una dirección IP y máscaras de red para la interfaz. Pestaña IPv6 de la interfaz de loopback Si configura una interfaz de loopback para su acceso a una red IPv6, debe configurar los siguientes ajustes en la pestaña IPv6: Tabla 82. Configuración de IPv6 de la interfaz de loopback Campo Descripción Habilitar IPv6 en la interfaz Seleccione la casilla de verificación para habilitar las direcciones IPv6 en la subinterfaz. ID de interfaz Especifique el identificador hexadecimal de 64 bits de la subinterfaz. Dirección Introduzca la dirección IPv6. Seleccione Usar ID de interfaz como parte de host para asignar una dirección IPv6 a la interfaz que utilizará el ID de interfaz como la parte de host de la dirección. Seleccione Difusión por proximidad para incluir el enrutador mediante el nodo más cercano. Configuración de una interfaz de túnel Red > Interfaces > Túnel Se pueden configurar una o varias interfaces de túnel según exija su topología de red (IPv4 e IPv6). Todas las configuraciones de la interfaz de túnel tienen una configuración básica y pestañas de configuración adicionales. Para configurar una interfaz de túnel, seleccione la pestaña Túnel y haga clic en Añadir. Especifique los ajustes de configuración básica y, a continuación, los ajustes de IPv4 e IPv6 según corresponda. Tabla 83. Configuración de interfaz de túnel Campo Descripción Nombre de interfaz Especifique un sufijo numérico a la interfaz (1-4999). Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga clic en Nuevo para definir un nuevo perfil. Para obtener más información, consulte “Configuración de ajustes de flujo de red”. Nota: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Añada una descripción opcional de la interfaz. Pestaña Configuración Enrutador virtual Palo Alto Networks Seleccione un enrutador virtual o haga clic en Nuevo para definir un nuevo enrutador virtual (consulte “Configuración de un enrutador virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador virtual actual de la interfaz. Configuración de red • 163 Tabla 83. Configuración de interfaz de túnel (Continuación) Campo Descripción Sistema virtual Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está activada, seleccione un vsys para la interfaz o haga clic en Nuevo para definir un nuevo vsys. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la asignación de zona actual de la interfaz. Pestaña Avanzada Otra información Especifique lo siguiente: • Perfil de gestión: Seleccione un perfil que especifique los protocolos, si existen, que se pueden utilizar para gestionar el cortafuegos en esta interfaz. • MTU: Introduzca la MTU en bytes para los paquetes enviados en esta interfaz (512-1500; opción predeterminada 1500). Si las máquinas de ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU se devolverá en un mensaje con necesidad de fragmentación ICMP indicando que la MTU es demasiado larga. El cortafuegos considera de forma automática la sobrecarga del túnel al ejecutar la fragmentación de IP y también ajusta el tamaño máximo del segmento (MSS) según sea necesario. Pestaña IPv4 de la interfaz de túnel Si configura una interfaz de túnel para su acceso a una red IPv4, debe configurar los siguientes ajustes en la pestaña IPv4: Tabla 84. Configuración de IPv4 de la interfaz de túnel Campo Descripción Dirección IP Haga clic en Añadir para introducir direcciones IP y máscaras de red para la interfaz. 164 • Configuración de red Palo Alto Networks Pestaña IPv6 de la interfaz de túnel Si configura una interfaz de túnel para su acceso a una red IPv6, debe configurar los siguientes ajustes en la pestaña IPv6: Tabla 85. Configuración de IPv6 de la interfaz de túnel Campo Descripción Habilitar IPv6 en la interfaz Seleccione la casilla de verificación para habilitar las direcciones IPv6 en la interfaz. Esta opción permite enrutar el tráfico IPv6 en un túnel IPv4 IPSec y ofrece confidencialidad entre redes IPv6. El tráfico IPv6 se encapsula mediante IPv4 y, a continuación, mediante ESP. Para enrutar el tráfico IPv6 hacia el túnel, puede utilizar una ruta estática hacia el túnel, o bien utilizar una regla de reenvío basado en políticas (PBF) para dirigir el tráfico y ofrecer redundancia al supervisar el otro extremo del túnel y conmutación por error cuando sea necesario. ID de interfaz Introduzca el identificador único ampliado de 64 bits en formato hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz se deja en blanco, el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. Dirección Haga clic en Añadir e introduzca una dirección IPv6 y la longitud del prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz como parte de host para asignar una dirección IPv6 a la interfaz que utilizará el ID de interfaz como la parte de host de la dirección. Seleccione Difusión por proximidad para incluir el enrutador mediante el nodo más cercano. Si no se selecciona Prefijo, la dirección IPv6 asignada a la interfaz será la que especifique completamente en el cuadro de texto de la dirección. Configuración de un enrutador virtual Red > Enrutador virtual Utilice esta página para definir enrutadores virtuales. La definición de enrutadores virtuales permite configurara reglas de reenvío de capa 3 y activar el uso de protocolos de enrutamiento dinámicos. Todas las interfaces de capa 3, de loopback y VLAN definidas en el cortafuegos se deben asociar con un enrutador virtual. Cada interfaz solo puede pertenecer a un único enrutador virtual. La definición de un enrutador virtual requiere la configuración de la asignación de los ajustes en la pestaña General y en cualquiera de las siguientes pestañas, según exija su topología de red: • Pestaña Rutas estáticas: Consulte “Configuración de la pestaña Rutas estáticas”. • Pestaña Perfil de redistribución: Consulte “Configuración de la pestaña Perfiles de redistribución”. • Pestaña RIP: Consulte “Configuración de la pestaña RIP”. • Pestaña OSPF: Consulte “Configuración de la pestaña OSPF”. • Pestaña OSPFv3: Consulte “Configuración de la pestaña OSPFv3”. • Pestaña BGP: Consulte “Configuración de la pestaña BGP”. • Pestaña Multicast: Consulte “Configuración de la pestaña Multicast”. Palo Alto Networks Configuración de red • 165 Configuración de la pestaña General Red > Enrutador virtual > General Todas las configuraciones del enrutador virtual exigen que añada interfaces de capa 3 y cifras de distancia administrativa según se describe en la siguiente tabla: Tabla 86. Configuración de enrutador virtual - Pestaña General Campo Descripción Nombre Especifique un nombre para identificar el enrutador virtual (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Interfaces Seleccione las interfaces que desea incluir en el enrutador virtual. Cuando selecciona una interfaz, se incluye en el enrutador virtual y se puede utilizar como una interfaz de salida en la pestaña de enrutamiento del enrutador virtual. Para especificar el tipo de interfaz, consulte “Configuración de la interfaz de un cortafuegos”. Cuando añade una interfaz, sus rutas conectadas se añaden automáticamente. Distancias administrativas Especifique las siguientes distancias administrativas: • Rutas estáticas (10-240, opción predefinida 10). • OSPF Int (10-240, opción predefinida 30). • OSPF Ext (10-240, opción predefinida 110). • IBGP (10-240, opción predefinida 200). • EBGP (10-240, opción predefinida 20). • RIP (10-240, opción predefinida 120). Configuración de la pestaña Rutas estáticas Red > Enrutador virtual > Rutas estáticas Opcionalmente puede introducir una o más rutas estáticas. Haga clic en la pestaña IP o IPv6 para especificar la ruta mediante direcciones IPv4 o IPv6. Aquí suele ser necesario configurar las rutas predefinidas (0.0.0.0/0). Las rutas predefinidas se aplican a destinos que de otro modo no se encontrarían en la tabla de enrutamiento del enrutador virtual. Tabla 87. Configuración de enrutador virtual - Pestaña Rutas estáticas Campo Descripción Nombre Introduzca un nombre para identificar la ruta estática (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. IP Destino Introduzca una dirección IP y una máscara de red en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo, 192.168.2.0/24 para IPv4 o 2001:db8::/32 para IPv6). Interfaz Seleccione la interfaz para reenviar paquetes al destino o configure el siguiente salto, o ambos. 166 • Configuración de red Palo Alto Networks Tabla 87. Configuración de enrutador virtual - Pestaña Rutas estáticas (Continuación) Campo Siguiente salto Descripción Especifique los siguientes ajustes de salto: • Ninguno: Seleccione esta opción si no existe el siguiente salto en la ruta. • Dirección IP: Especifique la dirección IP del siguiente enrutador de salto. • Descartar: Seleccione esta opción si desea descartare l tráfico que se dirige a este destino. • Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como el siguiente salto. Esta opción permite configurar rutas internamente entre enrutadores virtuales en un único cortafuegos. Distancia administrativa Especifique la distancia administrativa de la ruta estática (10-240; opción predefinida 10). Métrica Especifique una medida para la ruta estática (1 - 65535). No instalar Seleccione esta opción si no desea instalar la ruta en la tabla de reenvíos. La ruta se retiene en la configuración para su referencia futura. Configuración de la pestaña Perfiles de redistribución Red > Enrutador virtual > Perfiles de redistribución Los perfiles de redistribución dirigen el cortafuegos para filtrar, establecer la prioridad y realizar acciones basadas en el comportamiento de red deseado. La redistribución de rutas permite a las rutas estáticas y a las rutas adquiridas por otros protocolos anunciarse mediante protocolos de enrutamiento específicos. Los perfiles de redistribución se deben aplicar a los protocolos de enrutamiento para que surtan efecto. Sin las reglas de redistribución, cada uno de los protocolos se ejecuta de forma separada y no se comunican fuera de su ámbito. Los perfiles de redistribución se pueden añadir o modificar después de configurar todos los protocolos de enrutamiento y de establecer la topología de red resultante. Aplique perfiles de redistribución a los protocolos RIP y OSPF definiendo reglas de exportación. Aplique perfiles de redistribución a BGP en la pestaña Reglas de distribución. Consulte la tabla siguiente. Tabla 88. Configuración de enrutador virtual - Pestaña Perfiles de redistribución Campo Descripción Nombre Haga clic en Añadir para mostrar la página Perfil de redistribución e introduzca el nombre del perfil. Prioridad Introduzca un nivel de prioridad (intervalo 1-255) para este perfil. Los perfiles se muestran en orden (con los números más bajos primero). Redistribuir Seleccione si la redistribución de la ruta se realizará según los ajustes de esta ventana. • Redistr.: Seleccione si la redistribución se realizará con rutas de candidato coincidentes. Si selecciona esta opción, introduzca un nuevo valor métrico. Un valor métrico inferior significa una ruta más preferible. • No hay ninguna redistribución: Seleccione si no se realizará ningún tipo de redistribución. Palo Alto Networks Configuración de red • 167 Tabla 88. Configuración de enrutador virtual - Pestaña Perfiles de redistribución (ContiCampo Descripción Pestaña Filtro general Tipo Seleccione las casillas de verificación para especificar los tipos de ruta de candidato. Interfaz Seleccione las interfaces para especificar las interfaces de reenvío de la ruta de candidato. IP Destino Para especificar el destino de la ruta de candidato, introduzca la dirección IP o la subred de destino (con el formato x.x.x.x o x.x.x.x/n) y haga clic en Añadir. Para eliminar una entrada, haga clic en el icono asociado con la entrada. Siguiente salto Para especificar la puerta de enlace de la ruta de candidato, introduzca la dirección IP o la subred (con el formato x.x.x.x o x.x.x.x/n) que represente el siguiente salto y haga clic en Añadir. Para eliminar una entrada, haga clic en el icono asociado con la entrada. Pestaña Filtro OSPF Tipo de ruta Seleccione las casillas de verificación para especificar los tipos de ruta de candidato OSPF. Área Especifique el identificador de área de la ruta de candidato OSPF. Introduzca el ID de área OSPF (con el formato x.x.x.x), y haga clic en Añadir. Para eliminar una entrada, haga clic en el icono asociado con la entrada. Etiqueta Especifique los valores de etiqueta OSPF. Introduzca un valor de etiqueta numérica (1-255) y haga clic Añadir. Para eliminar una entrada, haga clic en el icono asociado con la entrada. Pestaña Filtro BGP Comunidad Especifique una comunidad para la política de enrutamiento BGP. Comunidad extendida Especifique una comunidad extendida para la política de enrutamiento BGP. Configuración de la pestaña RIP Red > Enrutador virtual > RIP La configuración del protocolo de información de enrutamiento (RIP) requiere que se establezcan los siguientes ajustes generales: Tabla 89. Configuración de enrutador virtual - Pestaña RIP Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo RIP. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante RIP. Es muy recomendable seleccionar esta casilla de verificación. 168 • Configuración de red Palo Alto Networks Además, se deben configurar ajustes en las siguientes pestañas: • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”. • Pestaña Temporizadores: Consulte “Configuración de la pestaña Temporizadores”. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”. Configuración de la pestaña Interfaces Red > Enrutador virtual > RIP > Interfaces En la siguiente tabla se describen los ajustes de la pestaña Interfaces. Tabla 90. Configuración de RIP – Pestaña Interfaces Campo Descripción Interfaces Interfaz Seleccione la interfaz que ejecuta el protocolo RIP. Habilitar Seleccione esta opción para habilitar estos ajustes. Anunciar Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor métrico especificado. Métrica Especifique un valor métrico para el anuncio del enrutador. Este campo solo es visible si se ha seleccionado la casilla de verificación Anunciar. Perfil de autenticación Seleccione el perfil. Modo Seleccione Normal, Pasivo o Enviar únicamente. Configuración de la pestaña Temporizadores Red > Enrutador virtual > RIP > Temporizadores En la siguiente tabla se describen los ajustes de la pestaña Temporizadores. Tabla 91. Configuración de RIP – Pestaña Interfaces Campo Descripción Temporizadores Segundos del intervalo (seg) Defina la duración del intervalo de tiempo en segundos. Esta duración se utiliza para el resto de los campos de temporización de RIP (1 - 60). Intervalo de actualizaciones Introduzca el número de intervalos entre los anuncios de actualización de rutas (1 - 3600). Intervalos de vencimiento Introduzca el número de intervalos entre la última hora de actualización de la ruta hasta su vencimiento (1- 3600). Intervalo de eliminación Introduzca el número de intervalos entre la hora de vencimiento de la ruta hasta su eliminación (1- 3600). Palo Alto Networks Configuración de red • 169 Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > RIP > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. Tabla 92. Configuración de RIP – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Tipo de contraseña Introduzca un nombre para el perfil de autenticación para autenticar los mensajes RIP. Para autenticar mensajes RIP, primero defina los perfiles de autenticación y a continuación, aplíquelos a las interfaces en la pestaña RIP. Seleccione el tipo de contraseña (simple o MD5). • Si selecciona Sencillo, introduzca la contraseña sencilla y, a continuación, confirme. • Si selecciona MD5, introduzca una o más entradas de contraseña, incluyendo ID de clave (0-255), Clave y, opcionalmente el estado Preferido. Haga clic en Añadir en cada entrada y, a continuación, haga clic en ACEPTAR. Para especificar la clave que se debe utilizar para autenticar el mensaje saliente, seleccione la opción Preferido. Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > RIP > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. Tabla 93. Configuración de RIP – Pestaña Reglas de exportación Campo Descripción Reglas de exportación Reglas de exportación (Solo lectura) Muestra las rutas aplicables a las rutas que envía el enrutador virtual a un enrutador de recepción. • Permitir redistribución de ruta predeterminada: Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predeterminada a los peers. • Perfil de redistribución: Seleccione un perfil de redistribución que permite modificar la redistribución de la ruta, el filtro, la prioridad y la acción, en función del comportamiento de red deseado. Consulte “Configuración de la pestaña Perfiles de redistribución”. 170 • Configuración de red Palo Alto Networks Configuración de la pestaña OSPF Red > Enrutador virtual > OSPF La configuración del protocolo OSPF (Open Shortest Path First) necesita que se establezcan los siguientes ajustes generales: Tabla 94. Configuración del enrutador virtual - Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta casilla de verificación, especialmente en rutas estáticas. ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. Además, se deben configurar ajustes en las siguientes pestañas: • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. Configuración de la pestaña Áreas Red > Enrutador virtual > OSPF > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. Tabla 95. Configuración de OSPF – Pestaña Áreas Campo Descripción Áreas ID de área Configure el área en el que los parámetros OSPF se pueden aplicar. Introduzca un identificador del área en formato x.x.x.x. Es el identificador que cada vecino debe aceptar para formar parte de la misma área. Palo Alto Networks Configuración de red • 171 Tabla 95. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Tipo Descripción Seleccione una de las siguientes opciones. • Normal: No hay restricciones; el área puede aceptar todos los tipos de rutas. • Código auxiliar: No hay salida desde el área. Para acceder a un destino fuera del área, es necesario atravesar el límite, que conecta con el resto de áreas. Si selecciona esta opción, seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar, junto con el valor métrico asociado (1-255). Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada, el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. • NSSA (Not-So-Stubby Area, área no totalmente de código auxiliar): Es posible salir del área directamente, pero solo mediante rutas que no sean OSPF. Si selecciona esta opción, seleccione Aceptar resumen si desea aceptar este tipo de LSA. Seleccione Anunciar ruta predeterminada para especificar si desea incluir una LSA de ruta predeterminada en los anuncios del área de código auxiliar, junto con el valor métrico asociado (1-255). También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas. Intervalo 172 • Configuración de red Haga clic en Añadir para añadir direcciones de destino LSA en el área en subredes. Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. Repita esta acción para añadir intervalos adicionales. Palo Alto Networks Tabla 95. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. • Interfaz: Seleccione la interfaz. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. Aunque los paquetes OSPF no se envían ni reciben, si selecciona esta opción, la interfaz se incluirá en la base de datos de LSA. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. La definición manual de vecino solo se permite en modo p2mp. • Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535). • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. Si el valor es cero, el enrutador no se designará como DR ni BDR. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos. • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino, antes de que OSPF considere que ese vecino tiene un fallo. En intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de temporizador de fallos. Intervalo: 3-20. Valor predeterminado: 4. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor predeterminado: 1 segundo. Palo Alto Networks Configuración de red • 173 Tabla 95. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Interfaz (Continuación) • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/ pasiva. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo. Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. Durante el reinicio, el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. Si el temporizador de fallos es demasiado corto, la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. Por lo tanto, se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto. Por ejemplo, un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos. Si el retraso de saludo de reinicio correcto se establece en 10 segundos, ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos, de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. Intervalo: 1-10 segundos. Valor predeterminado: 10 segundos. Enlace virtual Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal. Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0.0.0.0). Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR. • Nombre: Introduzca un nombre para el vínculo virtual. • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual. • Habilitar: Seleccione para habilitar el enlace virtual. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPF > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. Tabla 96. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil 174 • Configuración de red Introduzca un nombre para el perfil de autenticación. Para autenticar mensajes OSPF, primero defina los perfiles de autenticación y a continuación, aplíquelos a las interfaces en la pestaña OSPF. Palo Alto Networks Tabla 96. Configuración de OSPF – Pestaña Perfiles de autenticación (Continuación) Campo Tipo de contraseña Descripción Seleccione el tipo de contraseña (simple o MD5). • Si selecciona Simple, introduzca la contraseña. • Si selecciona MD5, introduzca una o más entradas de contraseña, incluyendo ID de clave (0-255), Clave y, opcionalmente el estado Preferido. Haga clic en Añadir en cada entrada y, a continuación, haga clic en ACEPTAR. Para especificar la clave que se debe utilizar para autenticar el mensaje saliente, seleccione la opción Preferido. Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. Tabla 97. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF. Nombre Seleccione el nombre del perfil de redistribución. El valor debe ser una subred IP o un nombre de perfil de redistribución válido. Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará. Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional, intervalo 1-65535). Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. Tabla 98. Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Compatibilidad RFC 1583 Palo Alto Networks Selecciona la casilla de verificación para garantizar la compatibilidad con RFC 1583. Configuración de red • 175 Tabla 98. Configuración de OSPF – Pestaña Avanzado (Continuación) Campo Descripción Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. Los valores menores permiten una reconvergencia OSPF más rápida. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia. • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador, mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en RFC 2328. Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología. Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada; un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente. • Habilitar modo auxiliar: Habilitado de forma predeterminada; un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo. • Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada; esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. • Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. Intervalo: 5 - 1800 segundos. Valor predeterminado: 120 segundos. • Máx. de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia, el cortafuegos no entrará en modo auxiliar. Intervalo: 5 - 1800 segundos. Valor predeterminado: 140 segundos. Configuración de la pestaña OSPFv3 Red > Enrutador virtual > OSPFv3 La configuración del protocolo OSPFv3 (Open Shortest Path First v3) necesita que se establezcan los siguientes ajustes generales: Tabla 99. Configuración del enrutador virtual - Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta casilla de verificación, especialmente en rutas estáticas. ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. Además, se deben configurar ajustes en las siguientes pestañas: 176 • Configuración de red Palo Alto Networks • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. Configuración de la pestaña Áreas Red > Enrutador virtual > OSPFv3 > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. Tabla 100. Configuración del enrutador virtual - Pestaña Áreas Campo Descripción Autenticación Seleccione el nombre del perfil de autenticación que desea especificar para esta área de OSPFarea. Tipo Seleccione una de las siguientes opciones. • Normal: No hay restricciones; el área puede aceptar todos los tipos de rutas. • Código auxiliar: No hay salida desde el área. Para acceder a un destino fuera del área, es necesario atravesar el límite, que conecta con el resto de áreas. Si selecciona esta opción, seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar, junto con el valor métrico asociado (1-255). Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada, el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. • NSSA (Not-So-Stubby Area, área no totalmente de código auxiliar): Es posible salir del área directamente, pero solo mediante rutas que no sean OSPF. Si selecciona esta opción, seleccione Aceptar resumen si desea aceptar este tipo de LSA. Especifique si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar, junto con el valor métrico asociado (1-255). También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas. Intervalo Palo Alto Networks Haga clic en Añadir para que la subred añada direcciones IPv6 de destino LSA en el área. Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. Repita esta acción para añadir intervalos adicionales. Configuración de red • 177 Tabla 100. Configuración del enrutador virtual - Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. • Interfaz: Seleccione la interfaz. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. • ID de instancia: Introduzca un número de ID de instancia OSPFv3. • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. Aunque los paquetes OSPF no se envían ni reciben, si selecciona esta opción, la interfaz se incluirá en la base de datos de LSA. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. La definición manual de vecino solo se permite en modo p2mp. • Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535). • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. Si el valor es cero, el enrutador no se designará como DR ni BDR. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos. • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino, antes de que OSPF considere que ese vecino tiene un fallo. En intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de temporizador de fallos. Intervalo: 3-20. Valor predeterminado: 4. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor predeterminado: 1 segundo. 178 • Configuración de red Palo Alto Networks Tabla 100. Configuración del enrutador virtual - Pestaña Áreas (Continuación) Campo Descripción Interfaz (Continuación) • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/ pasiva. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo. Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. Durante el reinicio, el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. Si el temporizador de fallos es demasiado corto, la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. Por lo tanto, se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto. Por ejemplo, un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos. Si el retraso de saludo de reinicio correcto se establece en 10 segundos, ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos, de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. Intervalo: 1-10 segundos. Valor predeterminado: 10 segundos. • Vecinos: En interfaces p2pmp, introduzca la dirección IP de todos los vecinos accesibles mediante esta interfaz. Enlaces virtuales Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal. Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0.0.0.0). Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR. • Nombre: Introduzca un nombre para el vínculo virtual. • ID de instancia: Introduzca un número de ID de instancia OSPFv3. • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual. • Habilitar: Seleccione para habilitar el enlace virtual. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. Palo Alto Networks Configuración de red • 179 Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPFv3 > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. Tabla 101. Configuración de OSPFv3 – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Introduzca un nombre para el perfil de autenticación. Para autenticar mensajes OSPF, primero defina los perfiles de autenticación y a continuación, aplíquelos a las interfaces en la pestaña OSPF. SPI Especifique el índice de parámetros de seguridad (SPI) para los paquetes transversales desde el cortafuegos remoto hasta el peer. Protocolo Especifique uno de los siguientes protocolos: • ESP: Protocolo de carga de seguridad encapsulada. • AH: Protocolo del encabezado de autenticación Algoritmo criptográfico Especifique una de las siguientes opciones: • Ninguno: No se utilizará ningún algoritmo criptográfico. • SHA1: Algoritmo de hash seguro 1. • SHA256: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de hash con un resumen de 256 bits. • SHA384: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de hash con un resumen de 384 bits. • SHA512: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de hash con un resumen de 512 bits. • MD5: Algoritmo de resumen de mensaje de MD5. Clave/Confirmar clave Introduzca y confirme una clave de autenticación. Cifrado Especifica una de las siguientes opciones: • aes128: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 128 bits. • aes192: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 192 bits. • aes256: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 256 bits. • nulo: No se utiliza ningún cifrado. No está disponible si no se ha seleccionado el protocolo AH. Clave/Confirmar clave 180 • Configuración de red Introduzca y confirme una clave de cifrado. Palo Alto Networks Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. Tabla 102. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF. Nombre Seleccione el nombre del perfil de redistribución. El valor debe ser una subred IP o un nombre de perfil de redistribución válido. Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará. Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional, intervalo 1-65535). Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. Tabla 103. Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Deshabilitar enrutamiento de tránsito para el cálculo de SPF Seleccione esta casilla de verificación si desea establecer el R-bit en los LSA del enrutador enviados desde este dispositivo para indicar que el enrutador no está activo. Cuando está en este estado, el dispositivo participa en OSPFv3 pero ningún otro enrutador envía tráfico de tránsito. En este estado, el tráfico local seguirá reenviándose al dispositivo. Es útil cuando se realiza mantenimiento con una red de dos bases porque el tráfico se puede volver a enrutar en el dispositivo mientras este siga siendo accesible. Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. Los valores menores permiten una reconvergencia OSPF más rápida. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia. • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador, mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en RFC 2328. Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología. Palo Alto Networks Configuración de red • 181 Tabla 103. Configuración de OSPF – Pestaña Avanzado (Continuación) Campo Descripción Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada; un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente. • Habilitar modo auxiliar: Habilitado de forma predeterminada; un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo. • Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada; esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. • Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. Intervalo: 5 - 1800 segundos. Valor predeterminado: 120 segundos. • Máx. de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia, el cortafuegos no entrará en modo auxiliar. Intervalo: 5 - 1800 segundos. Valor predeterminado: 140 segundos. Configuración de la pestaña BGP Red > Enrutador virtual > BGP La configuración del protocolo de puerta de enlace de borde (BGP) requiere que se establezcan los siguientes ajustes: Tabla 104. Configuración de enrutador virtual - Pestaña BGP Campo Descripción Habilitar Seleccione la casilla de verificación para activar funciones de BGP. ID del enrutador Introduzca la dirección IP para asignarla al enrutador virtual. Número AS Introduzca el número AS al que pertenece el enrutador virtual, en función del ID del enrutador (intervalo 1-4294967295). Además, se deben configurar ajustes en las siguientes pestañas: • Pestaña General: Consulte “Configuración de la pestaña General”. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. • Pestaña Grupo del peer: Consulte “Configuración de la pestaña Grupo del peer”. • Pestaña Importar: Consulte “Configuración de las pestañas Importar y Exportar”. • Pestaña Exportar: Consulte “Configuración de las pestañas Importar y Exportar”. • Pestaña Anuncio condicional: Consulte “Configuración de la pestaña Anuncio condicional”. 182 • Configuración de red Palo Alto Networks • Pestaña Agregado: Consulte “Configuración de la pestaña Anuncio condicional”. • Pestaña Reglas de redistr.: Consulte “Configuración de la pestaña Reglas de distr.”. Configuración de la pestaña General Red > Enrutador virtual > BGP > General La tabla siguiente describe los ajustes de la pestaña General. Tabla 105. Configuración de BGP – Pestaña General Campo Descripción Pestaña General Rechazar ruta por defecto Seleccione la casilla de verificación para ignorar todas las rutas predeterminadas anunciadas por peers BGP. Instalar ruta Seleccione la casilla de verificación para instalar rutas BGP en la tabla de enrutamiento global. Agregar MED Seleccione esta opción para activar la agregación de rutas incluso si las rutas tienen valores diferentes de discriminador de salida múltiple (MED). Preferencia local predeterminada Especifica un valor que se puede asignar para determinar preferencias entre diferentes rutas. Formato AS Seleccione el formato de 2 (predefinido) o 4 bytes. Este ajuste es configurable por motivos de interoperabilidad. Comparar siempre MED Permite comparar MED para rutas de vecinos en diferentes sistemas autónomos. Comparación determinista de MED Active la comparación MED para elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo sistema autónomo). Perfiles de autenticación Haga clic en Añadir para incluir un nuevo perfil de autenticación y configurar los siguientes ajustes: • Nombre del perfil: Introduzca un nombre para identificar el perfil. • Secreto/Confirmar secreto: Introduzca y confirme la contraseña para comunicaciones de peer BGP. Haga clic en el icono Palo Alto Networks para eliminar un perfil. Configuración de red • 183 Configuración de la pestaña Avanzado Red > Enrutador virtual > BGP > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado: Tabla 106. Configuración de BGP – Pestaña Avanzado Campo Descripción Pestaña Avanzada Reinicio correcto Active la opción de reinicio correcto. • Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede permanecer inhabilitada (intervalo 1-3600 segundos; opción predefinida 120 segundos). • Hora de reinicio local: Especifique el tiempo que el dispositivo local tarda en reiniciar. Este valor se le comunica a los peers (intervalo 1-3600 segundos; opción predefinida 120 segundos). • Máx. de hora de reinicio del peer: Especifique el tiempo máximo que el dispositivo local acepta como período de gracia para reiniciar los dispositivos peer (intervalo 1-3600 segundos; opción predefinida 120 segundos). ID de clúster reflector Especifique un identificador IPv4 para representar el clúster reflector. AS de miembro de confederación Especifique el identificador de la confederación AS que se presentará como un AS único a los peers BGP externos. Perfiles de amortiguación Entre los parámetros se incluyen: • Nombre del perfil: Introduzca un nombre para identificar el perfil. • Habilitar: activa el perfil. • Corte: Especifique un umbral retirada de ruta por encima del cual, se suprime un anuncio de ruta (intervalo 0,0-1000,0; opción predefinida 1,25). • Reutilizar: Especifique un umbral de retirada de ruta por debajo del cual una ruta suprimida se vuelve a utilizar (intervalo 0,0-1000,0; opción predeterminada 5). • Máx. de tiempo de espera: Especifique el tiempo máximo durante el que una ruta se puede suprimir, con independencia de su inestabilidad (intervalo 0-3600 segundos; opción predeterminada 900 segundos). • Media vida de disminución alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera alcanzable (intervalo 0-3600 segundos; opción predefinida 300 segundos). • Media vida de disminución no alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos; opción predefinida 300 segundos). Haga clic en el icono 184 • Configuración de red para eliminar un perfil. Palo Alto Networks Configuración de la pestaña Grupo del peer Red > Enrutador virtual > BGP > Grupo del peer La tabla siguiente describe los ajustes de la pestaña Grupo del peer. Tabla 107. Configuración de BGP – Pestaña Grupo del peer Campo Descripción Pestaña Grupo del peer Nombre Introduzca un nombre para identificar el peer. Habilitar Seleccione para activar el peer. Agregar ruta AS confederada Seleccione la casilla de verificación para incluir una ruta a la AS de confederación agregada configurada. Restablecimiento parcial con información almacenada Seleccione la casilla de verificación para ejecutar un restablecimiento parcial del cortafuegos después de actualizar los ajustes de peer. Tipo Especifique el tipo o grupo de peer y configure los ajustes asociados (consulte la tabla siguiente para ver las descripciones de Importar siguiente salto y Exportar siguiente salto). • IBGP: Especifique lo siguiente: – Exportar siguiente salto • EBGP confederado: Especifique lo siguiente; – Exportar siguiente salto • IBGP confederado: Especifique lo siguiente: – Exportar siguiente salto • EBGP: Especifique lo siguiente: – Importar siguiente salto – Exportar siguiente salto – Eliminar AS privado (seleccione si desea forzar que BGP elimine números AS privados). Importar siguiente salto Seleccione una opción para importar el siguiente salto: • original: Utilice la dirección del salto siguiente en el anuncio de la ruta original. • uso-peer: Utilice la dirección IP del peer como la dirección del salto siguiente. Exportar siguiente salto Seleccione una opción para exportar el siguiente salto: • resolver: Resuelve la dirección del siguiente salto mediante la tabla de reenvío local. • usar mismas: Sustituya la dirección del siguiente salto con la dirección de esta dirección IP del enrutador para garantizar que estará en la ruta de reenvío. Palo Alto Networks Configuración de red • 185 Tabla 107. Configuración de BGP – Pestaña Grupo del peer (Continuación) Campo Descripción Peer Para agregar un nuevo peer, haga clic en Nuevo y configure los siguientes ajustes: • Nombre: Introduzca un nombre para identificar el peer. • Habilitar: Seleccione para activar el peer. • As del peer: Especifique el AS del peer. • Dirección local: Seleccione una interfaz de cortafuegos y una dirección IP local. • Opciones de conexión: Especifique las siguientes opciones: – Perfil de autenticación: Seleccione el perfil. – Intervalo entre mensajes de mantenimiento de conexión: Especifique un intervalo después del cual las rutas de un peer se supriman según el parámetro de tiempo de espera (intervalo 0-1200 segundos; opción predeterminada: 30 segundos). – Salto múltiple: Defina el valor del tiempo de vida (TTL) en el encabezado IP (intervalo 1-255; opción predefinida 0). El valor predeterminado 0 significa 2 para eBGP y 255 para iBGP. – Abrir tiempo de retraso: Especifique el tiempo de retraso entre la apertura de la conexión TCP del peer y el envío del primer mensaje abierto de BGP (intervalo 0-240 segundos; opción predeterminada: 0 segundos). – Tiempo de espera: Especifique el período de tiempo que puede transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un peer antes de cerrar la conexión del peer. (rango: 3-3600 segundos; valor predeterminado: 90 segundos) – Tiempo de espera de inactividad: Especifique el tiempo de espera en estado de inactividad antes de volver a intentar la conexión con el peer (intervalo 1-3600 segundos; opción predeterminada: 15 segundos). • Dirección del peer: Especifique la dirección IP y el puerto del peer. • Opciones avanzadas: Configure los siguientes ajustes: – Cliente reflector: Seleccione el tipo de cliente reflector (No cliente, Cliente o Cliente en malla). Las rutas que se reciben de los clientes reflector se comparten con todos los peers BGP internos y externos. – Tipo del peer: Especifique un peer bilateral o déjelo sin especificar. – Máx. de prefijos: Especifique el número máximo de prefijos de IP compatibles (1 - 100000 o ilimitado). • Conexiones entrantes/Conexiones salientes: Especifique los números de puertos entrantes y salientes y seleccione la casilla de verificación Permitir para permitir el tráfico desde o hacia estos puertos. 186 • Configuración de red Palo Alto Networks Configuración de las pestañas Importar y Exportar Red > Enrutador virtual > BGP > Importar Red > Enrutador virtual > BGP > Exportar La tabla siguiente describe los ajustes de la pestaña Importar y Exportar. Tabla 108. Configuración de BGP – Pestañas Importar y Exportar Campo Descripción Pestañas Importar reglas/Exportar reglas Importar reglas/ Exportar reglas Haga clic en la pestaña secundaria de BGP Importar reglas o Exportar reglas. Para agregar una nueva regla, haga clic en Añadir y configure los siguientes ajustes: • Pestaña secundaria General: – Nombre: Especifique un nombre para identificar la regla. – Habilitar: Seleccione para activar la regla. – Utilizada por: Seleccione los grupos de peer que utilizarán esta regla. • Pestaña secundaria Coincidencia: – Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. – Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. – Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. – Prefijo de dirección: Especifique direcciones o prefijos IP para el filtrado de rutas. – MED: Especifique un valor de MED para el filtrado de rutas. – Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. – Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. • Pestaña secundaria Acción: – Acción: Especifique una acción (Permitir o Denegar) que se realizará cuando se cumplan las condiciones especificadas. – Preferencia local: Especifique un valor de preferencia local únicamente si la acción es Permitir. – MED: Especifique un valor de MED, únicamente si la acción es Permitir (0- 65535). – Peso: Especifique un valor de de peso, únicamente si la acción es Permitir. (0- 65535). – Siguiente salto: Especifique un enrutador de siguiente salto, únicamente si la acción es Permitir. – Origen: Especifique el tipo de la ruta original: IGP, EGP o incompleta, únicamente si la acción es Permitir. – Límite de ruta AS: Especifique un límite de ruta AS, únicamente si la acción es Permitir. – Ruta AS: Especifique una ruta AS: Ninguna, Eliminar, Preceder, Eliminar y preceder, únicamente si la acción es Permitir. Palo Alto Networks Configuración de red • 187 Tabla 108. Configuración de BGP – Pestañas Importar y Exportar (Continuación) Campo Importar reglas/ Exportar reglas (Continuación) Descripción – Comunidad: Especifique una opción de comunidad: Ninguna, Eliminar todo, Eliminar Regex, Anexar o Sobrescribir, únicamente si la acción es Permitir. – Comunidad extendida: Especifique una opción de comunidad: Ninguna, Eliminar todo, Eliminar Regex, Anexar o Sobrescribir, únicamente si la acción es Permitir. Amortiguación: Especifique un parámetro de amortiguación, únicamente si la acción es Permitir.Haga clic en el icono para eliminar un grupo. Haga clic en Duplicar para añadir un nuevo grupo con los mismos ajustes que el grupo seleccionado. Se añade un sufijo al nombre del nuevo grupo para distinguirlo del original. Configuración de la pestaña Anuncio condicional Red > Enrutador virtual > BGP > Anuncio condicional La tabla siguiente describe los ajustes de la pestaña Anuncio condicional. Tabla 109. Configuración de BGP – Pestañas Anuncio condicional Campo Descripción Pestaña Anuncio condicional La función de anuncio condicional BGP permite controlar la ruta que se anunciará en caso de que no exista ninguna ruta diferente en la tabla de enrutamiento BGP local (LocRIB), indicando un fallo de peering o alcance. Esta función es muy útil si desea probar y forzar rutas de un AS a otro, por ejemplo, si tiene enlaces a Internet con varios ISP y desea enrutar el tráfico a un único proveedor, en lugar de a los otros, salvo que se produzca una pérdida de conectividad con el proveedor preferido. Con la función de anuncio condicional, puede configurar un filtro no existente que busque el prefijo de la ruta preferida. Si se encuentra alguna ruta coincidente con el filtro no existente en la tabla de enrutamiento BGP local, solo entonces el dispositivo permitirá el anuncio de la ruta alternativa (la ruta al otro proveedor no preferido) tal y como se especifica en su filtro de anuncio. Para configurar el anuncio condicional, seleccione la pestaña Anuncio condicional y haga clic en Añadir. A continuación se describe cómo se configuran los valores en los campos. Política Especifique el nombre de la política para esta regla de anuncio condicional. Habilitar Seleccione la casilla de verificación para activar el anuncio condicional de BGP. Utilizado por Haga clic en Añadir y seleccione los grupos de peer que utilizarán esta política de anuncio condicional. 188 • Configuración de red Palo Alto Networks Tabla 109. Configuración de BGP – Pestañas Anuncio condicional (Continuación) Campo Descripción Pestaña secundaria Filtros no existentes Utilice esta pestaña para especificar el prefijo de la ruta preferida. Especifica la ruta que desea anunciar, si está disponible en la tabla de ruta de BGP local. Si un prefijo se va a anunciar y coincide con un filtro no existente, el anuncio se suprimirá. Haga clic en Añadir para crear un filtro no existente. • Filtros no existentes: Especifique un nombre para identificar este filtro. • Habilitar: Seleccione para activar el filtro. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. • Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. • MED: Especifique un valor de MED para el filtrado de rutas. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto de la ruta preferida. • Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. • Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. Pestaña secundaria Anunciar filtros Utilice esta pestaña para especificar el prefijo de la ruta de la tabla de enrutamiento Local-RIB que se debería anunciar en caso de que la ruta del filtro no existente no esté disponible en la tabla de enrutamiento local. Si un prefijo se va a anunciar y no coincide con un filtro no existente, el anuncio se producirá. Haga clic en Añadir para crear un filtro de anuncio. • Anunciar filtros: Especifique un nombre para identificar este filtro. • Habilitar: Seleccione para activar el filtro. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. • Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. • MED: Especifique un valor de MED para el filtrado de rutas. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto para anunciar la ruta si la ruta preferida no está disponible. • Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. • Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. Palo Alto Networks Configuración de red • 189 Configuración de la pestaña Agregado Red > Enrutador virtual > BGP > Agregado La tabla siguiente describe los ajustes de la pestaña Agregado: Tabla 110. Configuración de BGP – Pestaña Agregado Campo Descripción Pestaña Agregado Nombre Introduzca un nombre para la configuración de agregación. Suprimir filtros Defina los atributos que harán que las rutas coincidentes se supriman. Anunciar filtros Defina los atributos para los filtros anunciados que asegurarán que cualquier enrutador que coincida con el filtro definido se publicará en los peers. Agregar atributos de ruta Defina los atributos que se utilizarán para hacer coincidir las rutas que se agregarán. Configuración de la pestaña Reglas de distr. Red > Enrutador virtual > BGP > Reglas de distr. En la siguiente tabla se describe la configuración de la pestaña Reglas de redistr.: Tabla 111. Configuración de BGP – Reglas de distr. Campo Descripción Pestaña Reglas de redistr. Nombre Seleccione el nombre del perfil de redistribución. Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predefinida a los peers BGP. Reglas de redistr. Para agregar una nueva regla, haga clic en Añadir, configure los siguientes ajustes y haga clic en Listo. Los parámetros de esta tabla se han descrito anteriormente en las pestañas Importar reglas y Exportar reglas. Haga clic en el icono 190 • Configuración de red para eliminar una regla. Palo Alto Networks Configuración de la pestaña Multicast Red > Enrutador virtual > Multicast La configuración de protocolos de multicast necesita que se configuren los siguientes ajustes estándar: Tabla 112. Configuración de enrutador virtual - Pestaña Multicast Campo Descripción Habilitar Seleccione la casilla de verificación para activar el enrutamiento multicast. Además, se deben configurar ajustes en las siguientes pestañas: • Pestaña Punto de encuentro: Consulte “Configuración de la pestaña Espacio de dirección específico de origen”. • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”. • Pestaña Umbral SPT: Consulte “Configuración de la pestaña Umbral SPT”. • Pestaña Espacio de dirección específico de origen: Consulte “Configuración de la pestaña Espacio de dirección específico de origen”. Palo Alto Networks Configuración de red • 191 Configuración de la pestaña Espacio de dirección específico de origen Red > Enrutador virtual > Multicast > Punto de encuentro La tabla siguiente describe los ajustes de la pestaña Punto de encuentro: Tabla 113. Configuración de multicast – Pestaña Punto de encuentro Campo Descripción Pestaña secundaria Punto de encuentro Tipo de RP Seleccione el tipo de Punto de encuentro (RP) que se ejecutará en este enrutador virtual. Se debe configurar un RP estático de forma explícita en otros enrutadores PIM, mientras que se elige automáticamente un RP candidato. • Ninguno: Seleccione esta opción si no hay ningún RP ejecutándose en este enrutador virtual. • Estático: Especifique una dirección IP estática para el RP y seleccione las opciones de Interfaz de RP y Dirección de RP en las listas desplegables. Active la casilla de verificación Cancelar RP obtenido para el mismo grupo si desea utilizar el RP especificado del RP elegido para este grupo. • Candidato:: Especifique la siguiente información para el candidato del RP que se ejecuta en este enrutador virtual: – Interfaz de RP: Seleccione una interfaz para el RP. Los tipos de interfaz válidos incluyen loopback, L3, VLAN, Ethernet agregada y túnel. – Dirección de RP: Seleccione una dirección IP para el RP. – Prioridad: Especifique una prioridad para los mensajes de RP candidato (opción predefinida 192). – Intervalo de anuncio: Especifique un intervalo entre anuncios para mensajes RP candidatos. • Lista de grupos: Si selecciona Estático o Candidato, haga clic en Añadir para especificar una lista de grupos en los que este RP candidato se propone para ser el RP. Punto de encuentro remoto Haga clic en Añadir y especifique la siguiente información: • Dirección IP: Especifique la dirección IP del RP. • Cancelar RP obtenido para el mismo grupo: Active esta casilla de verificación si desea utilizar el RP especificado del RP elegido para este grupo. • Grupo: Especifique una lista de grupos en los que la dirección especificada actuará como RP. 192 • Configuración de red Palo Alto Networks Configuración de la pestaña Interfaces Red > Enrutador virtual > Multicast > Interfaces En la siguiente tabla se describe la configuración de la pestaña Interfaces: Tabla 114. Configuración de multicast – Pestaña Interfaces Campo Descripción Pestaña secundaria Interfaces Nombre Introduzca un nombre para identificar un grupo de interfaces. Descripción Introduzca una descripción opcional. Interfaz Haga clic en Añadir para especificar una o más interfaces de cortafuegos. Permisos de grupos Especifique las reglas generales para el tráfico de multicast: • Cualquier fuente: Haga clic en Añadir para especificar una lista de grupos de multicast para los que se permite el tráfico PIM-SM. • Origen específico: Haga clic en Añadir para especificar una lista de grupos de multicast y pares de origen de multicast para los que se permite el tráfico PIM-SSM. IGMP Especifique reglas para el tráfico IGMP. IGMP se debe activar para el host del lado de las interfaces (enrutador IGMP) o para interfaces de host proxy IGMP. • Habilitar: Active la casilla de verificación para activar la configuración IGMP. • Versión IGMP: Seleccione la versión 1, 2 o 3 que se ejecutará en la interfaz. • Aplicar opción de IP de enrutador-alerta: Seleccione la casilla de verificación para solicitar la opción IP de alerta de enrutador cuando se comunique mediante IGMPv2 o IGMPv3. Esta opción se debe deshabilitar para su compatibilidad con IGMPv1. • Potencia: Seleccione un valor entero para las cuentas de pérdida de paquete en una red (intervalo 1-7; opción predefinida 2). Si la pérdida del paquete es común, seleccione un valor mayor. • Máx. de fuentes: Especifique la cantidad máxima de pertenencias específicas de origen permitido en esta interfaz (0 = ilimitado). • Máx. de grupos: Especifique la cantidad máxima de grupos permitidos en esta interfaz. • Configuración de consultas: Especifique lo siguiente: – Intervalo de consulta: Especifique el intervalo al que se enviarán las consultas generales a todos los hosts. – Máx. de tiempo de respuesta de consulta: Especifique el tiempo máximo entre una consulta general y una respuesta de un host. – Último intervalo de consulta de miembro: Especifique el intervalo entre los mensajes de consulta entre grupos o de origen específico (incluyendo los enviados en respuesta a los mensajes salientes del grupo). – Salida inmediata: Active la casilla de verificación para salir del grupo inmediatamente cuando reciba un mensaje de salida. Palo Alto Networks Configuración de red • 193 Tabla 114. Configuración de multicast – Pestaña Interfaces (Continuación) Campo Descripción Configuración PIM Especifique los siguientes ajustes de multicast independiente de protocolo (PIM): • Habilitar: Seleccione la casilla de verificación para permitir que esta interfaz reciba y/o reenvíe mensajes PIM • Imponer intervalo: Especifique el intervalo entre mensajes de imposición de PIM. • Intervalo de saludo: Especifique el intervalo entre mensajes de saludo de PIM. • Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de unión y poda de PIM (segundos). El valor predeterminado es 60. • Prioridad de DR: Especifique la prioridad del enrutador que se ha designado para esta interfaz • Borde de BSR: Active la casilla de verificación para utilizar la interfaz como borde de arranque. • Vecinos PIM: Haga clic en Añadir para especificar la lista de vecinos que se comunicarán mediante PIM. Configuración de la pestaña Umbral SPT Red > Enrutador virtual > Multicast > Umbral SPT La tabla siguiente describe los ajustes de la pestaña Umbral SPT. Tabla 115. Configuración de multicast – Pestaña Umbral SPT Campo Descripción Pestaña secundaria Umbral SPT Nombre El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en kbps) a la que el enrutamiento multicast cambiará desde la distribución del árbol compartido (con origen en el punto de encuentro) a la distribución del árbol de origen. Haga clic en Añadir para especificar los siguientes ajustes de SPT: • Grupo/prefijo de multicast: Especifique la dirección/prefijo IP para el que SPT se cambiará a la distribución del árbol de origen cuando el rendimiento alcance los umbrales deseados (kbps). • Umbral: Especifique el rendimiento al que se cambiará desde la distribución del árbol compartido a la distribución del árbol de origen. 194 • Configuración de red Palo Alto Networks Configuración de la pestaña Espacio de dirección específico de origen Red > Enrutador virtual > Multicast > Espacio de dirección específico de origen La tabla siguiente describe los ajustes de la pestaña Espacio de dirección específico de origen. Tabla 116. Configuración de multicast – Pestaña Espacio de dirección específico de origen Campo Descripción Pestaña secundaria Espacio de dirección específico de origen Nombre Define los grupos de multicast a los que el cortafuegos proporcionará servicios de multicast de origen específico (SSM). Haga clic en Añadir para especificar los siguientes ajustes de direcciones de origen específico: • Nombre: Introduzca un nombre para identificar este grupo de ajustes. • Grupo: Especifique los grupos del espacio de dirección SSM. • Incluido: Active esta casilla de verificación para incluir los grupos especificados en el espacio de dirección SSM. Definición de zonas de seguridad Red > Zonas Para que la interfaz de un cortafuegos pueda procesar el tráfico, se debe asignar a una zona de seguridad. Para definir zonas de seguridad, haga clic en Nueva y especifique la siguiente información: Tabla 117. Configuración de zona de seguridad Campo Descripción Nombre Introduzca un nombre de una zona (hasta 15 caracteres). Este nombre aparece en la lista de zonas cuando se definen políticas de seguridad y se configuran interfaces. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, puntos, guiones y guiones bajos. Ubicación Este campo solo aparece si el dispositivo admite varios sistemas virtuales (vsys) y esa función está activada. Seleccione el vsys que se aplicará a esta zona. Tipo Seleccione un tipo de zona (Capa 2, Capa 3, Cable virtual, Tap, o sistema virtual externo) para enumerar todas las interfaces de ese tipo que no tengan una zona asignada. Los tipos de zona de capa 2 y capa 3 enumeran todas las interfaces y subinterfaces Ethernet de ese tipo. El tipo de sistema virtual externo es para comunicaciones entre los sistemas virtuales del cortafuegos. Cada interfaz puede pertenecer a una zona en un sistema virtual. Perfiles de protección de zonas Palo Alto Networks Seleccione un perfil que especifique cómo responde la puerta de enlace de seguridad a los ataques en esta zona. Para añadir nuevos perfiles, consulte “Definición de perfiles de protección de zonas”. Configuración de red • 195 Tabla 117. Configuración de zona de seguridad (Continuación) Campo Descripción Ajuste de log Seleccione un perfil para reenviar logs de protección de zonas a un sistema externo. Si tiene un perfil de reenvío de logs denominado predeterminado, este se seleccionará automáticamente para este campo cuando defina una nueva zona de seguridad. Puede cancelar esta configuración predeterminada en cualquier momento seleccionado un perfil de reenvío de logs diferente cuando establezca una nueva zona de seguridad. Para definir o añadir un nuevo perfil de reenvío de logs (y para denominar a un perfil predeterminado y que este campo se rellene automáticamente), haga clic en Nuevo (consulte “Reenvío de logs”). Habilitar identificación de usuarios Habilite la función de identificación de usuarios por zonas. ACL de identificación de usuarios Lista de permitidos Introduzca la dirección IP o la dirección IP/máscara de un usuario o grupo para su identificación (por ejemplo, 10.1.1.1/24). Haga clic en Añadir. Repita el procedimiento las veces que sea necesario. Si no se ha configurado una lista de permitidos, se permiten todas las direcciones IP. ACL de identificación de usuarios Lista de excluidos Introduzca la dirección IP o la dirección IP/máscara de un usuario o grupo que no debe ser identificado explícitamente (por ejemplo, 10.1.1.1/24). Haga clic en Añadir. Repita el procedimiento las veces que sea necesario. Si no se ha configurado una lista de excluidos, se permiten todas las direcciones IP. Compatibilidad de VLAN Red > VLAN El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802.1Q. Cada una de las interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. La misma VLAN se puede asignar a varias interfaces de capa 2, pero cada interfaz solo puede pertenecer a una VLAN. Tabla 118. Configuración de VLAN Campo Descripción Nombre Introduzca un nombre de VLAN (de hasta 31 caracteres). Este nombre aparece en la lista de redes VLAN cuando se configuran interfaces. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Interfaz de VLAN Seleccione una interfaz VLAN para permitir enrutar el tráfico fuera de la VLAN. Para definir una interfaz VLAN, consulte “Configuración de una interfaz VLAN”. Interfaces Especifique interfaces del cortafuegos para VLAN. Configuración de MAC estática Especifique la interfaz mediante la que una dirección MAC es alcanzable. Sustituye a todas las asignaciones obtenidas de interfaz a MAC. 196 • Configuración de red Palo Alto Networks Servidor y retransmisión DHCP Red > DHCP Se puede configurar una interfaz en el cortafuegos como servidor DHCP o como agente de retransmisión DHCP. Un servidor DHCP en una interfaz Ethernet de capa 2, Ethernet de agregación o VLAN de capa 3 puede asignar direcciones IP y proporcionar opciones de DHCP a los clientes. Se admiten varios servidores DHCP. Las solicitudes de los clientes se pueden reenviar a todos los servidores, con la primera respuesta del servidor devuelta al cliente. La tabla enumera los campos de las pestañas Servidor DHCP y Retransmisión DHCP. Tabla 119. Configuración de DHCP Campo Descripción Pestaña servidor DHCP Interfaz Seleccione la interfaz del cortafuegos para que actúe como servidor DHCP. Modo Especifique si desea que el servidor de DHCP se active o desactive o seleccione el modo automático, que activará el servidor DHCP, pero que lo desactivará si otro servidor de DHCP se detecta en la red. Hacer ping a la IP al asignar IP nuevas Seleccione la casilla de verificación para que el servidor DHCP envíe un mensaje ping cuando se asigne una dirección IP a un cliente. Si el ping recibe una respuesta, significará que ya hay un dispositivo diferente con esa dirección, por lo que no está disponible para su asignación. El servidor DHCP asigna la siguiente dirección desde el grupo. Concesión Duración que el servidor DHCP asigna a una dirección IP para un cliente. Seleccione Ilimitado o seleccione Tiempo de espera e introduzca la duración de la concesión en días, horas y, de forma optativa, minutos. Por ejemplo, si solo introduce horas la concesión se restringe a ese número de horas. Origen de herencia Seleccione una interfaz de cliente DHCP de origen o una interfaz de cliente PPPoE para propagar distintos ajustes de servidor en el servidor de DHCP. Si especifica un origen de herencia, seleccione una o varias opciones que desee como heredadas desde este origen. El servidor puede heredar direcciones de servidor DNS, WINS, NIS, NTP, POP3 y SMTP, y un sufijo DNS. Puerta de enlace Introduzca la dirección IP de la puerta de enlace de red que se utiliza para acceder a cualquier dispositivo que no esté en la misma LAN que este servidor DHCP. Subred de Ippool Introduzca la máscara de red (formato x.x.x.x) que se aplica a las direcciones del campo Grupos de IP. DNS principal Seleccione como heredada o introduzca la dirección IP del servidor del sistema de nombre de dominio (DNS) que prefiera. DNS secundario Seleccione como heredada o introduzca la dirección IP del servidor DNS alternativo. WINS principal Seleccione como heredada o introduzca la dirección IP del servidor del servicio de nomenclatura de Internet de Windows (DNS) que prefiera. WINS secundario Seleccione como heredada o introduzca la dirección IP del servidor WINS alternativo. Palo Alto Networks Configuración de red • 197 Tabla 119. Configuración de DHCP (Continuación) Campo Descripción NIS principal Seleccione como heredada o introduzca la dirección IP del servidor del servicio de información de red (NIS) que prefiera. NIS secundario Seleccione como heredada o introduzca la dirección IP del servidor NIS alternativo. NTP principal Seleccione como heredada o introduzca la dirección IP del protocolo de tiempo de red primario (NTP) que prefiera. Si especifica un servidor NTP primario y uno secundario, el cortafuegos los utilizará indistintamente. NTP secundario Seleccione como heredada o introduzca la dirección IP del servidor NTP secundario. Servidor POP3 Seleccione como heredada o introduzca la dirección IP del servidor del Protocolo de oficina de correo (POP3) . Servidor SMTP Seleccione como heredada o introduzca la dirección IP del Protocolo simple de transferencia de correo (SMTP). Sufijo DNS Seleccione como heredada o introduzca un sufijo que el cliente pueda utilizar localmente cuando se introduzca un nombre de host sin restricciones que no pueda resolver. Grupos de IP Haga clic en Añadir y especifique el intervalo de direcciones IP que este servidor puede asignar a los clientes y al que se aplica esta configuración de DHCP. Puede introducir una IP y una máscara de subred (por ejemplo, 192.168.1.0/24) o un intervalo de direcciones IP (por ejemplo, 192.168.1.10-192.168.1.20). Se necesita al menos un grupo de IP; puede introducir varios grupos de IP. Para editar una entrada existente, haga clic en Editar, realice los cambios necesarios y, a continuación, haga clic en Listo. Para eliminar una entrada, haga clic en Eliminar. Dirección reservada Especifique una dirección IP (formato x.x.x.x) desde los grupos de IP que no quiera que asigne dinámicamente el servidor DHCP a un cliente. De forma opcional, introduzca la dirección MAC (formato xx:xx:xx:xx:xx:xx) del dispositivo al que desea asignar de forma permanente la dirección reservada. Cuando el cliente que tiene esa dirección MACenvía una solicitud al servidor, el servidor asignará la dirección reservada al cliente. Puede introducir varias direcciones reservadas y direcciones MAC. Para editar una entrada existente, haga clic en Editar, realice los cambios necesarios y, a continuación, haga clic en Listo. Para eliminar una entrada, haga clic en Eliminar. Si deja esta área en blanco, no se reservarán direcciones IP. Pestaña Retransmisión DHCP Interfaz Seleccione la interfaz del cortafuegos para que actúe como agente de retransmisión DHCP. IPv4 Active la casilla de verificación IPv4 para utilizar direcciones IPv4 para retransmisiones DHCP y especifique direcciones IPv4 para hasta cuatro servidores DHCP. IPv6 Active la casilla de verificación IPv6 para utilizar direcciones IPv6 para retransmisiones DHCP y especifique direcciones IPv6 para hasta cuatro servidores DHCP. Especifique una interfaz de salida si utiliza una dirección de multicast IPv6 para su servidor. 198 • Configuración de red Palo Alto Networks Proxy DNS Red > Proxy DNS En el caso de todas las consultas DNS que se dirigen a una dirección IP de interfaz, el cortafuegos admite la dirección selectiva de consultas a diferentes servidores DNS en función de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envían mediante la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una consulta DNS es demasiado larga para un único paquete UDP. Si el nombre de dominio no es encuentra en la caché proxy de DNS, el nombre de dominio se busca según la configuración de las entradas e el objeto proxy DNS específico (en la interfaz en la que se recibe la consulta DNS) y se reenvía a un servidor de nombres en función de los resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los servidores predefinidos. También se admiten entradas estáticas y caché. Tabla 120. Configuración de Proxy DNS Campo Descripción Nombre Especifique un nombre para identificar el proxy DNS (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Habilitar Seleccione la casilla de verificación para activar proxy DNS. Origen de herencia Seleccione un origen para heredar las configuraciones del servidor DNS predefinido. Se suele utilizar en implementaciones de sucursales, en las que a la interfaz WAN del cortafuegos se accede mediante DHCP o PPPoE. Principal Especifique las direcciones IP de los servidores DNS primario y secundario. Si el servidor DNS primario no se encuentra, se utilizará el secundario. Secundario Comprobar origen de herencia Haga clic en el enlace para ver la configuración del servidor asignada actualmente a las interfaces del cliente DHCP y PPoE. Pueden incluir DNS, WINS, NTP, POP3, SMTP o sufijo DNS. Interfaz Active las casillas de verificación Interfaz para especificar las interfaces del cortafuegos que admiten las reglas de proxy DNS. Seleccione una interfaz de la lista desplegable y haga clic en Añadir. Puede añadir varias interfaces. Para eliminar una interfaz, selecciónela y haga clic en Eliminar. Palo Alto Networks Configuración de red • 199 Tabla 120. Configuración de Proxy DNS (Continuación) Campo Descripción Reglas de proxy DNS Identifique reglas del servidor proxy DNS. Haga clic en Añadir y especifique la siguiente información: • Nombre: Se requiere un nombre para poder designar la entrada estática y modificar mediante CLI. • Activar el almacenamiento en caché de dominios resueltos por esta asignación: Active esta casilla de verificación para activar el almacenamiento en caché de dominios resueltos por esta asignación. • Nombre de dominio: Haga clic en Añadir e introduzca el nombre de dominio del servidor proxy. Repita esta acción para añadir más nombres. Para eliminar un nombre, selecciónelo y haga clic en Eliminar. En el caso de una regla de proxy DNS, el número de testigos en una cadena comodín debe coincidir con el número de testigos en el dominio solicitado. Por ejemplo, “*.ingeniería.local” no coincidirá con “ingeniería.local”. Se deben especificar ambos. • Principal/Secundario: Introduzca el nombre de host o la dirección IP de los servidores DNS principal y secundario. Entradas estáticas Proporcione un FQDN estático a las asignaciones de dirección IP que se distribuirán en respuesta a consultas DNS realizadas por los hosts. Haga clic en Añadir y especifique la siguiente información: • Nombre: Introduzca un nombre para la entrada estática. • FQDN: Introduzca el nombre de dominio completo (FQDN) que se asignará a las direcciones IP estáticas definidas en el campo Dirección. • Dirección: Haga clic en Añadir e introduzca las direcciones IP que se asignan a este dominio. Repita esta acción para añadir más direcciones. Para eliminar una dirección, selecciónela y haga clic en Eliminar. Avanzado Especifique la siguiente información: • Caché: Seleccione la casilla de verificación para activar el almacenamiento DNS y especifique la siguiente información: – Tamaño: Especifique el número de entradas que retendrá la caché (intervalo 1024-10240; opción predefinida 1024). – Tiempo de espera: Especifique la duración (horas) después de la que se eliminarán todas las entradas. Los valores de tiempo de vida DNS se utilizan para eliminar las entradas de caché cuando se han almacenado durante menos tiempo que el período configurado. Tras el tiempo de espera, las nuevas solicitudes se deben resolver y volver a guardar en la caché (intervalo 4 a 24, opción predefinida 4 horas). • Consultas TCP: Seleccione la casilla de verificación para activar las consultas DNS utilizando DNS y especifique la siguiente información: – Máx. de solicitudes pendientes: Especifique el límite superior del número de solicitudes DNS sTCP pendientes simultáneas que admitirá el cortafuegos (intervalo 64-256, opción predefinida 64). 200 • Configuración de red Palo Alto Networks Tabla 120. Configuración de Proxy DNS (Continuación) Campo Descripción Avanzado (Continuación) • Reintentos de consultas de UDP: Especifique los ajustes de reintentos de consultas UDP: – Intervalo: Especifique el tiempo en segundos después del cual se enviará otra solicitud si no se ha recibido respuesta (intervalo 1-30, opción predefinida 2 segundos). – Intentos: Especifique el número máximo de intentos (sin incluir el primer intento) después de los cuales se intentará el siguiente servidor DNS (intervalo 1-30, opción predefinida 5). Definición de perfiles de gestión de interfaz Red > Perfiles de red > Gestión de interfaz Utilice esta página para especificar los protocolos que se utilizan para gestionar el cortafuegos. Para asignar perfiles de gestión a cada interfaz, consulte “Configuración de una interfaz Ethernet de capa 3” y “Configuración de una subinterfaz Ethernet de capa 3”. Tabla 121. Configuración del Perfil de gestión de interfaz Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de gestión de interfaz cuando se configuran interfaces. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ping Active la casilla de verificación de cada servicio para activarlo en las interfaces donde se aplique el perfil. Telnet SSH HTTP OCSP de HTTP HTTPS SNMP Páginas de respuesta Servicio de ID de usuario Direcciones IP permitidas Palo Alto Networks La casilla de verificación Páginas de respuesta controla si los puertos utilizados como páginas de respuesta de portal cautivo y filtrado URL se abren con interfaces de capa 3. Los puertos 6080 y 6081 se mantienen abiertos si se activa este ajuste. La opción Servicio de ID de usuario es necesaria para permitir la comunicación entre cortafuegos si un cortafuegos actúa como un punto de redistribución para proporcionar información de asignación de usuarios a otros cortafuegos de PAN-OS. Consulte “Pestaña Agentes de ID de usuarios”. Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la gestión de cortafuegos. Configuración de red • 201 Definición de perfiles de supervisión Red > Perfiles de red > Supervisar Un perfil de supervisor se utiliza para supervisar las reglas de reenvío basado en políticas (PFB) de túneles de IPSec y dispositivos de siguiente salto. En ambos casos, el perfil de supervisión se utiliza para especificar la medida que se adoptará cuando un recurso (túnel de IPSec o dispositivo de siguiente salto) no esté disponible. Los perfiles de supervisión son opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para garantizar el cumplimiento de las reglas PBF. Los siguientes ajustes se utilizan para configurar un perfil de supervisión. Tabla 122. Configuración de supervisión Campo Descripción Nombre Introduzca un nombre para identificar el perfil de supervisión (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Acción Especifique la acción que se realizará si el túnel no está disponible. Si el número de umbral de latidos se pierde, el cortafuegos realiza la acción especificada. • Esperar recuperación: Espera a que el túnel se recupere, no realiza ninguna acción adicional. Los paquetes continuarán enviándose de acuerdo con la regla PBF. • Conmutación por error: El tráfico cambiará a una ruta de seguridad, si existe una disponible. El cortafuegos utiliza la búsqueda de tabla de enrutamiento para determinar el enrutamiento durante la sesión. En ambos casos, el cortafuegos intentará negociar nuevas claves de IPSec para acelerar la recuperación. Intervalo Especifique el tiempo entre latidos (intervalo 2-10; opción predefinida 3). Umbral Especifique el número de latidos que se perderán antes de que el cortafuegos realice la acción especificada (intervalo 2-100; opción predefinida 5). Definición de perfiles de protección de zonas Red > Perfiles de red > Protección de zona Un perfil de protección de zona ofrece protección frente a las inundaciones más comunes, ataques de reconocimiento y otros ataques basados en paquetes. Está diseñado para proporcionar una protección amplia en la zona de entrada (p. ej. la zona donde el tráfico entra al cortafuegos) y no están diseñados para proteger un host de extremo específico o el tráfico que vaya a una zona de destino particular. Para aumentar las capacidades de protección de zona en el cortafuegos, utilice la base de reglas de protección DoS para la coincidencia con una zona específica, interfaz, dirección IP o usuario. Nota: La protección de zona solo se aplica cuando no hay ninguna coincidencia de sesión para el paquete. Si el paquete coincide con una sesión existente, sorteará el ajuste de protección de zona. 202 • Configuración de red Palo Alto Networks Para configurar un perfil Protección de zona, haga clic en Añadir y especifique los siguientes ajustes: Tabla 123. Configuración de Perfil de protección de zonas Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de protección de zonas cuando se configuran zonas. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios y guiones bajos. Descripción Introduzca una descripción opcional para el perfil de protección de zonas. Cuando se define un perfil Protección de zona, debe configurar los ajustes en la pestaña General y en cualquiera de las siguientes pestañas, según sea necesario según su topología de red: • Pestaña Protección contra inundaciones: Consulte “Configuración de la protección contra inundaciones”. • Pestaña Protección de reconocimiento: Consulte “Configuración de la protección de reconocimiento”. • Pestaña Protección de ataque basada en paquetes: Consulte “Configuración de la protección de ataque basada en paquetes”. Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para permitir la fragmentación de IP y la protección de ICMPv6 debe crear un perfil de protección de zona distinto para la puerta de enlace compartida. Para activar la protección frente a inundaciones SYN en una puerta de enlace compartida puede aplicar un perfil de protección de inundación SYN con descarte aleatorio temprano o cookies SYN; en una zona externa solo está disponible el descarte aleatorio temprano para la protección frente a inundación SYN Palo Alto Networks Configuración de red • 203 Configuración de la protección contra inundaciones Red > Perfiles de red > Protección de zona > Protección contra inundaciones La tabla siguiente describe los ajustes de la pestaña Protección contra inundaciones. Tabla 124. Configuración de la pestaña Protección contra inundaciones Campo Descripción Umbrales de protección contra inundaciones: Inundación SYN Acción Seleccione la acción que se adoptará en respuesta a un ataque de inundación SYN. • Descarte aleatorio temprano: Permite descartar paquetes SYN para mitigar un ataque de inundación: – Si el flujo supera el umbral de tasa de alerta, se genera una alarma. – Si el flujo supera el umbral de tasa de activación, se descartan paquetes SYN individuales de forma aleatoria para reducir el flujo. – Si el flujo supera el umbral de tasa de máxima, se descartan todos los paquetes. • Cookies SYN: Calcula un número de secuencia de paquetes SYN-ACK que no requieren almacenar las conexiones pendientes en memoria. Es el método preferido. Alerta (paquetes/seg.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera una alarma de ataque. Las alarmas se pueden en el panel (consulte “Uso del panel”) y en el log de amenazas (consulte “Realización de capturas de paquetes”). Activar (paquetes/seg.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera la acción especificada. Máximo (paquetes/seg.) Introduzca el número máximo de paquetes SYN que se pueden recibir por segundo. Cualquier número de paquetes que supere el máximo se descartará. Umbrales de protección contra inundaciones: Inundación ICMP Alerta (paquetes/seg.) Introduzca el número de solicitudes de eco ICMP (pings) recibidos por segundo que genera una alarma de ataque. Activar (paquetes/seg.) Introduzca el número de paquetes ICMP recibidos por la zona (en un segundo) que causa que se descarten los siguientes paquetes ICMP. Máximo (paquetes/seg.) Introduzca el número máximo de paquetes ICMP que se pueden recibir por segundo. Cualquier número de paquetes que supere el máximo se descartará. Umbrales de protección contra inundaciones: ICMPv6 Alerta (paquetes/seg.) Introduzca el número de solicitudes de eco ICMPv6 (pings) recibidos por segundo que genera una alarma de ataque. Activar (paquetes/seg.) Introduzca el número de paquetes ICMPv6 recibidos por segundo en la zona que causa que se descarten los siguientes paquetes ICMPv6. La medición se detiene cuando el número de paquetes ICMPv6 es inferior al umbral. Máximo (paquetes/seg.) Introduzca el número máximo de paquetes ICMPv6 que se pueden recibir por segundo. Cualquier número de paquetes que supere el máximo se descartará. 204 • Configuración de red Palo Alto Networks Tabla 124. Configuración de la pestaña Protección contra inundaciones (Continuación) Campo Descripción Umbrales de protección contra inundaciones: UDP Alerta (paquetes/seg.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera una alarma de ataque. Alerta (paquetes/seg.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes UDP. La respuesta se desactiva si el número de paquetes UDP es inferior al umbral. Máximo (paquetes/seg.) Introduzca el número máximo de paquetes UDP que se pueden recibir por segundo. Cualquier número de paquetes que supere el máximo se descartará. Umbrales de protección contra inundaciones: Otras IP Alerta (paquetes/seg.) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera una alarma de ataque. Activar (paquetes/seg.) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes IP. La respuesta se desactiva si el número de paquetes IP es inferior al umbral. Cualquier número de paquetes que supere el máximo se descartará. Máximo (paquetes/seg.) Introduzca el número máximo de paquetes IP que se pueden recibir por segundo. Cualquier número de paquetes que supere el máximo se descartará. Configuración de la protección de reconocimiento Red > Perfiles de red > Protección de zona > Protección de reconocimiento La tabla siguiente describe los ajustes de la pestaña Protección de reconocimiento. Tabla 125. Configuración de la pestaña Protección de reconocimiento Campo Descripción Protección de reconocimiento: Examen de puerto TCP, Examen de puerto de UDP, Limpieza de host Intervalo (seg) Introduzca el intervalo de tiempo para la detección de exámenes puerto y limpieza de host (segundos). Umbral (eventos) Introduzca el número de puertos explorados en el intervalo de tiempo especificado que activarán este tipo de protección (eventos). Acción Introduzca la acción que el sistema adoptará como respuesta a este tipo de evento: • Permitir: Permite la exploración de puerto de reconocimiento de limpieza de host. • Alerta: Genera una alerta para cada exploración o limpieza que coincida con el umbral del intervalo de tiempo especificado. • Bloquear: Descarta todos los paquetes enviados desde el origen al destino durante el resto del intervalo de tiempo especificado. • Bloquear IP: Descarta el resto de paquetes durante un período de tiempo especificado. Seleccione si se bloqueará el tráfico de origen, destino, o el de origen y destino, e introduzca la duración (segundos). Palo Alto Networks Configuración de red • 205 Tabla 125. Configuración de la pestaña Protección de reconocimiento (Continuación) Campo Descripción IPv6 Colocar paquetes con Encabezado de enrutamiento tipo 0 Active la casilla de verificación para colocar los paquetes de IPv6 que incluirán un encabezado de enrutador de tipo 0. Dirección compatible de IPv4 Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección compatible con IPv4. Dirección de origen de multicast Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de origen de multicast. Dirección de fuente de difusión por proximidad Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de fuente de difusión por proximidad. Configuración de la protección de ataque basada en paquetes Red > Perfiles de red > Protección de zona > Protección de ataque basada en paquetes Las siguientes pestañas se utilizan para la configuración de la protección de ataque basada en paquetes: • Colocar TCP/IP: Consulte “Configuración de la pestaña Colocar TCP/IP”. • Colocación de ICMP: Consulte “Configuración de la pestaña Colocación de ICMP”. • Colocación de IPv6: Consulte “”. • ICMPv6: Consulte “Configuración de la pestaña Colocación de IPv6”. Configuración de la pestaña Colocar TCP/IP Para configurar Colocar TCP/IP, especifique los siguientes ajustes: Tabla 126. Configuración de la pestaña Protección de ataque basada en paquetes Campo Descripción Pestaña secundaria Colocar TCP/IP Dirección IP de réplica Active la casilla de verificación para activar la protección contra replicación de dirección IP. Tráfico fragmentado Descarta los paquetes IP fragmentados. Segmento TCP superpuesto no coincidente Este ajuste hará que el cortafuegos informe sobre una falta de coincidencia de superposición y coloque el paquete cuando los datos de segmento no coincidan en estas situaciones: • El segmento está dentro de otro segmento. • El segmento está superpuesto a parte de otro segmento. • El segmento cubre otro segmento. Este mecanismo de protección utiliza números de secuencia para determinar el lugar donde residen los paquetes dentro del flujo de datos TCP. Eliminar marca de tiempo de TCP 206 • Configuración de red Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y, si es así, la elimina. Palo Alto Networks Tabla 126. Configuración de la pestaña Protección de ataque basada en paquetes (ContiCampo Descripción Rechazar TCP sin SYN Determina si el paquete se rechazará, si el primer paquete de la configuración de sesión TCP no es un paquete SYN: • Global: Utilice el ajuste del sistema asignado mediante CLI. • Sí: Rechaza TCP sin SYN. • No: Acepta TCP sin SYN. Tenga en cuenta que permitir el tráfico que no es de sincronización de TCP puede impedir que las políticas de bloqueo de archivos funcionen de la forma esperada en aquellos casos en los que no se establece la conexión del cliente o servidor después de que se produzca el bloqueo. Ruta asimétrica Determine si los paquetes que contienen números de secuencia fuera del umbral o ACK de fallo de sincronización se descartarán o se derivarán: • Global: Utilice el ajuste del sistema asignado mediante CLI. • Colocar: Descarte los paquetes que contienen una ruta asimétrica. • Derivar: Derive los paquetes que contienen una ruta asimétrica. Descartar opciones IP Enrutamiento de fuente estricto Descarta paquetes con la opción de IP de enrutamiento de origen estricto activada. Enrutamiento de origen no estricto Descarta paquetes con la opción de IP de enrutamiento de origen no estricto activada. Marca de tiempo Descarta paquetes con la opción de marca de tiempo activada. Ruta de log Descarta paquetes con la opción de ruta de log activada. Seguridad Descarta paquetes con la opción de seguridad activada. ID de secuencia Descarta paquetes con la opción de ID de secuencia activada. Desconocido Descarta paquetes si no se conoce la clase ni el número. Forma incorrecta Descarta paquetes si tienen combinaciones incorrectas de clase, número y longitud basadas en RFC 791, 1108, 1393 y 2113. Palo Alto Networks Configuración de red • 207 Configuración de la pestaña Colocación de ICMP Para configurar Colocación de ICMP, especifique los siguientes ajustes: Tabla 127. Configuración de la pestaña Colocación de ICMP Campo Descripción Pestaña secundaria Colocación de ICMP ID de 0 de ping de ICMP Descarta paquetes si el paquete de ping de ICMP tiene un identificador con el valor de 0. Fragmento de ICMP Descarta paquetes formados con fragmentos ICMP. Paquete de ICMP de gran tamaño (>1024) Descarta paquetes ICMP con un tamaño mayor de 1024 bytes. Suprimir error caducado ICMP TTL Detiene el envío de mensajes caducados ICMP TTL. Suprimir fragmento de ICMP necesario Detiene el envío de mensajes necesarios por la fragmentación ICMP en respuesta a paquetes que exceden la interfaz MTU y tienen el bit no fragmentar (DF) activado. Este ajuste interfiere el proceso PMTUD que ejecutan los hosts tras el cortafuegos. Configuración de la pestaña Colocación de IPv6 Para configurar Colocación de IPv6, especifique los siguientes ajustes: Tabla 128. Configuración de la pestaña Colocación de IPv6 Campo Descripción Pestaña secundaria ICMPv6 Destino ICMPv6 no alcanzable: requiere regla de seguridad explícita Requiere una búsqueda de política de seguridad explícita para errores de destinos ICMPv6 no alcanzables incluso con una sesión existente. Paquete de ICMPv6 demasiado grande: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de paquetes ICMPv6 demasiado grandes incluso con una sesión existente. Tiempo superado de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de tiempo de ICMPv6 superado incluso con una sesión existente. Problema de parámetro de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de problema de parámetro de ICMPv6 incluso con una sesión existente. Redirección de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de redireccionamiento de ICMPv6 incluso con una sesión existente. 208 • Configuración de red Palo Alto Networks Configuración de la pestaña Colocación de IPv6 Para configurar Colocación de IPv6, especifique los siguientes ajustes: Tabla 129. Configuración de la pestaña Colocación de IPv6 Campo Descripción Pestaña secundaria ICMPv6 Destino ICMPv6 no alcanzable: requiere regla de seguridad explícita Requiere una búsqueda de política de seguridad explícita para errores de destinos ICMPv6 no alcanzables incluso con una sesión existente. Paquete de ICMPv6 demasiado grande: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de paquetes ICMPv6 demasiado grandes incluso con una sesión existente. Tiempo superado de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de tiempo de ICMPv6 superado incluso con una sesión existente. Problema de parámetro de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de problema de parámetro de ICMPv6 incluso con una sesión existente. Redirección de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de redireccionamiento de ICMPv6 incluso con una sesión existente. Palo Alto Networks Configuración de red • 209 210 • Configuración de red Palo Alto Networks Capítulo 5 Políticas y perfiles de seguridad Esta sección describe cómo configurar políticas y perfiles de seguridad: • “Tipos de políticas” • “Directrices de definición de políticas” • “Perfiles de seguridad” • “Otros objetos de las políticas” Tipos de políticas Las políticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y tomando las medidas necesarias de forma automática. Se admiten los siguientes tipos de políticas: • Políticas básicas de seguridad para bloquear o permitir una sesión de red basada en la aplicación, las zonas y direcciones de origen y destino y, opcionalmente, el servicio (puerto y protocolo). Las zonas identifican interfaces físicas o lógicas que envían o reciben tráfico. Consulte “Definición de políticas de seguridad”. • Políticas de traducción de dirección de red (NAT) para traducir direcciones y puertos, según sea necesario. Consulte “Definición de políticas de traducción de dirección de red”. • Políticas de reenvío basado en políticas para determinar la interfaz de salida (egress) utilizada después del procesamiento. Consulte “Políticas de reenvío basado en políticas”. • Políticas de descifrado para especificar el descifrado del tráfico de las políticas de seguridad. Cada una de las políticas puede especificar las categorías de las URL del tráfico que desea descifrar. El descifrado SSH se utiliza para identificar y controlar los túneles SSH, así como el acceso SSH (Secure Shell). Consulte “Políticas de descifrado”. • Políticas de cancelación para anular las definiciones de la aplicación proporcionadas por el cortafuegos. Consulte “Definición de políticas de application override”. • Políticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el tráfico para su tratamiento, cuando pasa por una interfaz con QoS activado. Consulte “Definición de políticas de QoS”. Palo Alto Networks Políticas y perfiles de seguridad • 211 • Políticas de portal cautivo para solicitar la autenticación de los usuarios no identificados. Consulte “Definición de políticas de portal cautivo”. • Políticas de denegación de servicio (DoS) para proteger de ataques DoS y tomar las medidas de protección en respuesta que coincidan con las reglas. Consulte “Definición de políticas DoS”. Las políticas compartidas introducidas en Panorama se muestran en color verde en las páginas de la interfaz web del cortafuegos y no se pueden editar a nivel de dispositivo. Directrices de definición de políticas Las siguientes directrices específicas son aplicables cuando interactúa con las páginas de la pestaña Políticas: • Las reglas predeterminadas que indican al cortafuegos cómo gestionar el tráfico que no coincida con ninguna otra regla en la base de reglas se muestran en la parte inferior de la base de reglas de seguridad. Estas reglas se predefinen en el cortafuegos para permitir todo el tráfico de intrazona y denegar todo el tráfico de interzona. Como son parte de la configuración predefinida, debe cancelarlas con el fin de editar la configuración de políticas seleccionada. Si usa Panorama, también puede cancelar las reglas predeterminadas y, a continuación, enviarlas a los cortafuegos de un grupo de dispositivos o contexto compartido. También puede revertir las reglas predeterminadas, lo que restaura la configuración predefinida o la configuración enviada a Panorama. • Para aplicar un filtro a la lista, selecciónelo de la lista desplegable Reglas de filtro. Para añadir un valor que defina un filtro, haga clic en la flecha hacia abajo del elemento y seleccione Filtro. Observe que las reglas predeterminadas no son parte del filtro de la base de reglas y siempre aparecen en la lista de reglas filtradas. • Para ver información sobre grupos de aplicaciones, filtros o sobre el contenedor cuando cree o visualice políticas de seguridad, PBF o QoS, coloque el ratón sobre el objeto en la columna Aplicación, haga clic en la flecha hacia abajo y seleccione Valor. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política, sin tener que desplazarse a las pestañas de objetos. • Para añadir una nueva regla de política, realice una de las siguientes acciones: – Haga clic en Añadir en la parte inferior de la página. – Seleccione una regla en la que basar este nueva regla y haga clic en Duplicar regla o bien, seleccione una regla haciendo clic en el espacio en blanco, y seleccione Duplicar regla en la parte inferior de la página (una regla seleccionada tiene el fondo de color amarillo). La regla copiada, “regla n” se inserta debajo de la regla seleccionada, donde n es el siguiente número entero disponible que hace que el nombre de la regla sea único. 212 • Políticas y perfiles de seguridad Palo Alto Networks • El orden en que aparecen las reglas es el mismo orden en que las reglas se comparan con el tráfico de red. Puede cambiar el orden de una regla de una de las siguientes maneras: – Seleccione la regla y haga clic en Mover hacia arriba, Mover hacia abajo, Mover a la parte superior o Mover a la parte inferior. – Haga clic en la flecha hacia abajo del nombre de la regla y seleccione Mover. En la ventana emergente, seleccione una regla y elija si moverá la regla que ha seleccionado, para reordenar antes o después de esta regla. • Para habilitar una regla, selecciónela y haga clic en Habilitar. • Para mostrar las reglas que no se están utilizando actualmente, seleccione la casilla de verificación Resaltar reglas no utilizadas. Regla en uso Regla no utilizada (fondo de puntos amarillos) • Para mostrar el log de la política, haga clic en la flecha hacia abajo del nombre de la regla y seleccione Visor de log. • En algunas entradas puede visualizar el valor actual haciendo clic en la flecha hacia abajo de la entrada, y seleccionando Valor. También puede editar, filtrar o eliminar algunos elementos directamente desde el menú de la columna. Palo Alto Networks Políticas y perfiles de seguridad • 213 • Si tiene un gran de políticas definidas, puede utilizar la barra de filtros para buscar objetos que se utilicen en una política basada en el nombre del objeto o en la dirección IP. La búsqueda también incluirá los objetos incrustados para buscar una dirección en un objeto de dirección o en un grupo de direcciones. En la siguiente captura de pantalla, la dirección IP 10.8.10.177 se ha introducido en la barra de filtros y se muestra la política “aaa”. Esa política utiliza un objeto de grupo de dirección denominado “aaagroup”, que contiene la dirección IP. Barra de filtros Resultados de filtros • Puede mostrar u ocultar columnas concretas en la vista de cualquiera de las páginas de Políticas. 214 • Políticas y perfiles de seguridad Palo Alto Networks Especificación de usuarios y aplicaciones para las políticas Políticas > Seguridad Políticas > Descifrado Puede restringir las políticas de seguridad que se deben aplicar a aplicaciones o usuarios seleccionados haciendo clic en el enlace del usuario o aplicación en la página de reglas del dispositivo Seguridad o Descifrado. Para obtener más información sobre cómo restringir las reglas según la aplicación, consulte “Definición de aplicaciones”. Para restringir una política a los usuarios/grupos seleccionados, realice los siguientes pasos: 1. En la página de reglas del dispositivo Seguridad o Descifrado, haga clic en la pestaña Usuario para abrir la ventana de selección. Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. 2. Haga clic en el menú desplegable situado encima de la tabla Usuario de origen para seleccionar el tipo de usuario: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. – Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect, cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Puede crear estas políticas para usuarios anteriores al inicio de sesión y, aunque el usuario no haya iniciado sesión directamente, sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. – Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de usuario asignados. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. – Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP que no estén asignadas a un usuario. Por ejemplo, podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red, pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede que quiera añadir a un usuario, una lista de individuos, algunos grupos o añadir usuarios manualmente. 3. Para añadir grupos de usuarios, seleccione la casilla de verificación Grupos de usuarios disponibles y haga clic en Añadir grupo de usuarios. También puede escribir el texto de uno o más grupos y hacer clic en Añadir grupo de usuarios. 4. Para añadir usuarios individuales, introduzca una cadena de búsqueda en el campo Usuario y haga clic en Buscar. Puede seleccionar los usuarios y hacer clic en Añadir usuario. También puede introducir los nombres de usuarios individuales en el área Más usuarios. 5. Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o de descripción. Palo Alto Networks Políticas y perfiles de seguridad • 215 Definición de políticas en Panorama Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada en los dispositivos gestionados (o cortafuegos). Las políticas definidas en Panorama se crean como reglas previas o reglas posteriores; las reglas previas y las reglas posteriores le permiten implementar la política siguiendo un sistema de capas. Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas compartidas para todos los dispositivos gestionados o, en un grupo de dispositivos, como específicas para un determinado grupo de dispositivos. Debido a que las reglas previas y posteriores se definen en Panorama y, a continuación, se envían de Panorama a los dispositivos gestionados, podrá ver las reglas en los cortafuegos gestionados, pero solo podrá editarlas en Panorama. • Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se evalúan en primer lugar. Puede utilizar las reglas previas para aplicar la política de uso aceptable para una organización; por ejemplo, para bloquear el acceso a categorías de URL específicas o permitir el tráfico DNS a todos los usuarios. • Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan después de las reglas previas y de las reglas definidas localmente en el dispositivo. Las reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID, ID de usuario o servicio. • Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico que no coincide con ninguna regla previa, regla posterior o regla local de un dispositivo. Estas reglas son parte de la configuración predefinida de Panorama. Debe cancelarlas para permitir la edición de determinados ajustes en ellas. Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos gestionados. En cada base de reglas, la jerarquía de las mismas se marca visualmente para cada grupo de dispositivos (y dispositivo gestionado), lo que permite revisarlas entre un gran número de reglas. Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y, opcionalmente, elimine o deshabilite las reglas. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos. Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. Panorama supervisa cada dispositivo, obtiene y agrega la lista de reglas sin coincidencia. Dado que la marca se restablece cuando se produce un restablecimiento del plano de datos al reiniciar, la práctica recomendada es supervisar esta lista periódicamente para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de eliminarla o deshabilitarla. Para crear políticas, consulte la sección relevante de cada base de reglas. • “Definición de políticas de seguridad” • “Definición de políticas de traducción de dirección de red” • “Definición de políticas de QoS” • “Políticas de reenvío basado en políticas” • “Políticas de descifrado” • “Definición de políticas de application override” • “Definición de políticas de portal cautivo” • “Definición de políticas DoS” 216 • Políticas y perfiles de seguridad Palo Alto Networks Definición de políticas de seguridad Políticas > Seguridad Use esta página para definir políticas de seguridad que determinarán si se bloqueará o permitirá una nueva sesión de red en función de los atributos de tráfico, como la aplicación, zonas de seguridad y direcciones de origen y destino, el servicio de aplicación (como HTTP) o el usuario/grupo. Las políticas de seguridad pueden ser tan generales o específicas como sea necesario. Las reglas de política se comparan con el tráfico entrante en secuencia y al aplicar la primera regla que coincida con el tráfico, las reglas más específicas deben anteceder a las reglas más generales. Por ejemplo, una regla de una aplicación simple debe anteceder a una regla para todas las aplicaciones si el resto de configuraciones de tráfico son las mismas. Para el tráfico que no coincide con ninguna regla definida, se aplican las reglas predeterminadas. Las reglas predeterminadas (que aparecen en la parte inferior de la base de reglas de seguridad) se predefinen para permitir todo el tráfico de intrazona (en la zona) y denegar el tráfico interzona (entre zonas). Aunque estas reglas son parte de la configuración predefinida y son de solo lectura de forma predeterminada, puede cancelarlas y cambiar un número limitado de ajustes, incluidas las etiquetas, acción (permitir o denegar) configuración de log y perfiles de seguridad. Si usa Panorama, también puede cancelar las reglas predeterminadas y, a continuación, enviarlas a los cortafuegos gestionados como parte de un grupo de dispositivos o contexto compartido. En este caso, puede seguir cancelando estas reglas predeterminadas en el cortafuegos, de la misma forma a cómo puede cancelar ajustes enviados desde una plantilla. Si desea volver a la configuración predefinida o a la configuración enviada desde Panorama, puede revertir las reglas predeterminadas. Para obtener información y directrices de configuración acerca de otros tipos de políticas, consulte “Políticas y perfiles de seguridad”. Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de políticas en Panorama”. Haga clic en Añadir para definir una nueva regla, haga clic en Duplicar para copiar una regla existente o haga clic en el nombre de una regla para editar una existente. Las tablas siguientes describen los campos para añadir o editar una regla de seguridad: • “Pestaña General” • “Pestaña Origen” • “Pestaña Usuario” • “Pestaña Destino” • “Pestaña Aplicación” • “Pestaña Categoría de URL/servicio” • “Pestaña Acciones” Palo Alto Networks Políticas y perfiles de seguridad • 217 Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de seguridad. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Tabla 130. Configuración de políticas de seguridad (pestaña General) Campo Descripción Nombre Introduzca un nombre para identificar la regla (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se requiere el nombre. Tipo de regla Especifica si la regla se aplica al tráfico en una zona, entre zonas o ambas. • universal (predeterminado): aplica la regla a todo el tráfico coincidente de interzona e intrazona en las zonas de origen y destino especificadas. Por ejemplo, si crea una regla universal con las zonas de origen A y B y las zonas de destino A y B, esta se aplicará a todo el tráfico dentro de la zona A, a todo el tráfico de la zona B, a todo el tráfico que vaya de la zona A a la B y a todo el tráfico de la zona B a la A. • intrazona: aplica la regla a todo el tráfico coincidente dentro de las zonas de origen especificadas (no puede especificar una zona de destino para las reglas de intrazona). Por ejemplo, si establece la zona de origen en A y B, la regla se aplicará a todo el tráfico dentro de la zona A y a todo el tráfico dentro de la zona B, pero no al tráfico entre las zonas A y B. • interzona: aplica la regla a todo el tráfico coincidente entre la zona de origen especificada y las zonas de destino. Por ejemplo, si establece la zona de origen en A, B, y C y la zona de destino en A y B, la regla se aplicará al tráfico que va de la zona a A a la B, de la zona B a la A, de la zona C a la A y de la zona C a la B, pero no al tráfico dentro de las zonas A, B o C. Descripción Introduzca una descripción de la política (hasta 255 caracteres). Etiqueta Si necesita añadir una etiqueta a la política, haga clic en Añadir para especificar la etiqueta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ, políticas de descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. También puede añadir etiquetas a las reglas predeterminadas. 218 • Políticas y perfiles de seguridad Palo Alto Networks Tabla 130. Configuración de políticas de seguridad (pestaña General) (Continuación) Campo Descripción Otros ajustes Especifique cualquier combinación de las siguientes opciones: • Programación: Para limitar los días y horas en los que la regla está en vigor, seleccione una programación de la lista desplegable. Para definir nuevas programaciones, haga clic en Nueva (consulte “Programaciones”). • Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en paquetes que coincidan con la regla, seleccione IP DSCP o Precedencia de IP e introduzca el valor de QoS en formato binario o seleccione un valor predeterminado de la lista desplegable. Para obtener más información sobre QoS, consulte “Configuración de la calidad de servicio”. • Deshabilitar inspección de respuesta de servidor: Para deshabilitar la inspección de paquetes del servidor en el cliente, seleccione esta casilla de verificación. Esta opción puede ser de utilidad en condiciones con gran carga del servidor. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política. Tabla 131. Configuración de políticas de seguridad (pestaña Origen) Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas zonas, consulte “Definición de zonas de seguridad”. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo, si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable, puede crear una regla que cubra todas las clases. Dirección de origen Haga clic en Añadir para añadir las direcciones, direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección, Grupo de direcciones, o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Pestaña Usuario Utilice la pestaña Usuario para hacer que la política realice las acciones definidas basándose en un usuario individual o un grupo de usuarios. Si está usando GlobalProtect con Perfil de información del host (HIP) habilitado, también puede basar la política en información recopilada por GlobalProtect. Por ejemplo, el nivel de acceso del usuario puede estar determinado por un perfil de información del host (HIP) que informe al cortafuegos acerca de la configuración local del usuario. La información HIP se puede utilizar para un control de acceso granular basado en los programas de seguridad en ejecución en el host, los valores de registro y muchas más comprobaciones si el host tiene instalado software antivirus. Palo Alto Networks Políticas y perfiles de seguridad • 219 Tabla 132. Configuración de políticas de seguridad (pestaña Usuario) Campo Descripción Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect, cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Puede crear estas políticas para usuarios anteriores al inicio de sesión y, aunque el usuario no haya iniciado sesión directamente, sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. • Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de usuario asignados. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. • Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP que no estén asignadas a un usuario. Por ejemplo, podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red, pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede que quiera añadir a un usuario, una lista de individuos, algunos grupos o añadir usuarios manualmente. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Perfiles HIP 220 • Políticas y perfiles de seguridad Haga clic en Añadir para seleccionar los perfiles de información de host (HIP) para identificar a los usuarios. Palo Alto Networks Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Tabla 133. Configuración de políticas de seguridad (pestaña Destino) Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas zonas, consulte “Definición de zonas de seguridad”. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo, si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable, puede crear una regla que cubra todas las clases. Nota: En las reglas de intrazona, no puede definir una zona de destino porque estos tipos de reglas solo pueden hacer coincidir tráfico con un origen y un destino dentro de la misma zona. Para especificar las zonas que coincidan con una regla de intrazona, solo necesita establecer la zona de origen. Dirección de destino Haga clic en Añadir para añadir las direcciones, direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección, en el enlace en la parte inferior de la lista desplegable y especifique la configuración de la dirección. Pestaña Aplicación Use la pestaña Aplicación para que la acción de la política se produzca basándose en una aplicación o grupo de aplicaciones. Un administrador también puede usar una firma de identificación de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de propiedad reservada o para detectar atributos específicos de una aplicación existente. Las aplicaciones personalizadas se definen en Objetos > Aplicaciones. Tabla 134. Configuración de políticas de seguridad (pestaña Aplicación) Campo Descripción Aplicación Seleccione si desea especificar aplicaciones a la regla de seguridad. Si una aplicación tiene múltiples funciones, puede seleccionar una aplicación general o aplicaciones individuales. Si selecciona una aplicación general se incluirán todas las funciones y la definición de la aplicación se actualizará automáticamente a medida que se añadan futuras funciones. Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de seguridad, podrá ver los detalles de estos objetos al pasar el ratón por encima del objeto en la columna Aplicación, haciendo clic en la flecha hacia abajo y seleccionando Valor. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política, sin tener que desplazarse a las pestañas de objetos. Palo Alto Networks Políticas y perfiles de seguridad • 221 Pestaña Categoría de URL/servicio Use la pestaña Categoría de URL/servicio para hacer que la acción de la política se realice en función de números de puerto TCP o UDP específicos. Una categoría de URL también puede usarse como un atributo para la política. Tabla 135. Configuración de políticas de seguridad (pestaña Categoría de URL/servicio) Campo Descripción Servicio Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto. • Valor predeterminado de aplicación: Las aplicaciones seleccionadas se permiten o deniegan únicamente según sus puertos predeterminados por Palo Alto Networks. Esta opción se recomienda para políticas de permiso porque impide que las aplicaciones se ejecuten en puertos y protocolos no habituales, que si no es a propósito, puede ser una señal de comportamiento y uso de aplicaciones no deseados. Tenga en cuenta que cuando usa esta opción, el dispositivo sigue comprobando todas las aplicaciones en todos los puertos, pero con esta configuración, las aplicaciones solo tienen permiso en sus puertos/protocolos predeterminados. • Seleccionar: Haga clic en Añadir. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada. Consulte “Servicios” y “Grupos de servicios”. Categoría de URL Seleccione las categorías URL de la regla de seguridad. • Seleccione Cualquiera para permitir o denegar todas las sesiones, con independencia de la categoría URL. • Para especificar una categoría, haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. Puede añadir varias categorías. Consulte “Categorías de URL personalizadas” para obtener más información sobre cómo definir categorías personalizadas. 222 • Políticas y perfiles de seguridad Palo Alto Networks Pestaña Acciones Use la pestaña Acciones para determinar la acción que se llevará a cabo con el tráfico que coincida con los atributos de política definidos. Tabla 136. Configuración de políticas de seguridad (pestaña Acciones) Campo Descripción Configuración de acción Haga clic en Permitir o Denegar para permitir o bloquear una nueva sesión de red para el tráfico que coincida con esta regla. También puede cambiar la configuración de Acción en las reglas predeterminadas. Ajuste de perfil Asocie perfiles o grupos de perfiles con la regla de seguridad: • Para especificar la comprobación realizada por los perfiles de • • Palo Alto Networks seguridad predeterminados, seleccione los perfiles individuales de Antivirus, Antispyware, Protección de vulnerabilidades, Filtrado de URL, Bloqueo de archivo o Filtrado de datos. Para especificar un grupo de perfil en lugar de perfiles individuales, seleccione Grupo en Tipo de perfil y, a continuación, seleccione un grupo de perfil de la lista desplegable Perfil de grupo. Si tiene configurado un grupo de perfiles de seguridad denominado predeterminado, la configuración del perfil se rellenará automáticamente para usar el grupo de perfiles de seguridad predeterminado: Tipo de perfil se establecerá en Grupo y el campo Perfil de grupo mostrará el grupo de perfiles de seguridad predeterminado seleccionado de forma predeterminada. Vaya a Objeto > Grupos de perfiles de seguridad para añadir un grupo de perfiles de seguridad y ponga al grupo el nombre predeterminado, para que las nuevas políticas de seguridad se asocien automáticamente con el grupo de perfiles seguridad predeterminado. Puede cancelar esta configuración predeterminada en cualquier momento modificando los campos Ajuste de perfil como desee. Para definir nuevos perfiles o grupos de perfiles, haga clic en Nuevo junto al perfil o grupo adecuado (consulte “Grupos de perfiles de seguridad”). Políticas y perfiles de seguridad • 223 Tabla 136. Configuración de políticas de seguridad (pestaña Acciones) Campo Descripción Ajuste de log Especifique cualquier combinación de las siguientes opciones: • Para generar entradas de tráfico en el log de tráfico local que cumplan esta regla, seleccione las siguientes opciones: – Log al iniciar sesión. Genera una entrada de log de tráfico al inicio de la sesión (deshabilitada de forma predeterminada). – Log al finalizar sesión. Genera una entrada de log de tráfico al final de la sesión (habilitada de forma predeterminada). • Si las entradas de inicio o fin de la sesión se registran, también lo harán las entradas de colocación y denegación. • Perfil de reenvío de logs: Para enviar el log del tráfico local y las entradas del log de amenazas a destinos remotos, como servidores de Panorama y Syslog, seleccione un perfil de logs de la lista desplegable Perfil de reenvío de logs. Tenga en cuenta que la generación de entradas del log de amenazas está determinada por los perfiles de seguridad. Si tiene un perfil de reenvío de logs denominado predeterminado, este se seleccionará automáticamente para este campo cuando cree nuevas políticas de seguridad. Puede cancelar esta configuración predeterminada en cualquier momento seleccionado un perfil de reenvío de logs diferente cuando establezca una nueva política de seguridad. Para definir o añadir un nuevo perfil de reenvío de logs (y para denominar a un perfil predeterminado y que este campo se rellene automáticamente), haga clic en Nuevo (consulte “Reenvío de logs”). También puede cambiar la configuración del log en las reglas predeterminadas. Otros ajustes Especifique cualquier combinación de las siguientes opciones: • Programación: Para limitar los días y horas en los que la regla está en vigor, seleccione una programación de la lista desplegable. Para definir nuevas programaciones, haga clic en Nueva (consulte “Programaciones”). • Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en paquetes que coincidan con la regla, seleccione IP DSCP o Precedencia de IP e introduzca el valor de QoS en formato binario o seleccione un valor predeterminado de la lista desplegable. Para obtener más información sobre QoS, consulte “Configuración de la calidad de servicio”. • Deshabilitar inspección de respuesta de servidor: Para deshabilitar la inspección de paquetes del servidor en el cliente, seleccione esta casilla de verificación. Esta opción puede ser de utilidad en condiciones con gran carga del servidor. 224 • Políticas y perfiles de seguridad Palo Alto Networks Políticas NAT Si define interfaces de capa 3 en el cortafuegos, puede utilizar políticas de traducción de dirección de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino se convertirán entre públicos y privados. Por ejemplo, las direcciones de origen privadas se pueden traducir a direcciones públicas en el tráfico enviado desde una zona interna (fiable) a una zona pública (no fiable). NAT también es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de cable virtual, es recomendable que traduzca las direcciones de origen a una subred diferente de la subred con la que se comunican los dispositivos vecinos. Proxy ARP no es compatible con cables virtuales y los dispositivos vecinos solo podrán resolver solicitudes ARP para direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual. Si configura NAT en el cortafuegos, es importante tener en cuenta que también se debe configurar una política de seguridad para permitir el tráfico NAT. La política de seguridad se basará en la dirección de la zona posterior y anterior a NAT. El cortafuegos admite los siguientes tipos de traducción de dirección: • IP dinámica/Puerto: Para el tráfico saliente. Múltiples clientes pueden utilizar las mismas direcciones IP públicas con diferentes números de puerto de origen. Las reglas de IP dinámica/NAT de puerto permiten traducir una dirección IP única, un intervalo de direcciones IP, una subred o una combinación de todas ellas. Si una interfaz de salida tiene una dirección IP asignada dinámicamente, puede ser de utilidad especificar la interfaz como la dirección traducida. Si especifica la interfaz en la regla de IP dinámica/ puerto, la política NAT se actualizará automáticamente para utilizar cualquier dirección adquirida por la interfaz para subsiguientes traducciones. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de direcciones y puertos IP disponibles. El cortafuegos puede utilizar direcciones IP y combinaciones de puertos hasta dos veces (de forma simultánea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro veces en PA-4020 y PA-5020, y ocho veces en dispositivos PA-4050, PA-4060, PA-5050, PA-5060 y PA-7050 cuando las direcciones IP de destino son exclusivas. • IP dinámica: Para el tráfico saliente. Las direcciones de origen privadas se traducen a la siguiente dirección disponible en el intervalo de direcciones especificado. Las políticas de NAT de IP dinámica permiten especificar una dirección IP única, múltiples IP, múltiples intervalos IP o múltiples subredes como el grupo de direcciones traducidas. Si el grupo de direcciones de origen es mayor que el grupo de direcciones traducidas, las nuevas direcciones IP que buscan traducción se verán bloqueadas, mientras que el grupo de direcciones traducidas se utiliza en su totalidad. Para evitar este problema, puede especificar un grupo de reserva que se utilizará si el grupo primario agota sus direcciones IP. • IP dinámica: Para el tráfico entrante o saliente. Puede utilizar la IP estática de origen o destino, mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados, los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. Palo Alto Networks Políticas y perfiles de seguridad • 225 Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred), no se necesitará una ruta estática para esa dirección en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT, el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. Para especificar un único puerto, como TCP 80, debe definir un nuevo servicio. La siguiente tabla resume los tipos de NAT. Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son números diferentes. N también puede ser 1. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto, mientras que permanecen inalterables con NAT de IP dinámica. También existen límites diferentes del tamaño del grupo de IP traducido, tal y como se indica a continuación. Con NAT de IP estática, existe una asignación de uno a uno entre cada dirección original y su dirección traducida. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una. Tabla 137. Tipos de NAT Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar Tipo de asignación IP dinámica/ puerto No No Muchas a 1 MaN Hasta 254 direcciones consecutivas Sí No MaN Hasta 32.000 direcciones consecutivas Sí No 1a1 Ilimitado IP dinámica IP estática Tamaño del grupo de direcciones traducidas MaN MIP Opcional 226 • Políticas y perfiles de seguridad 1 a muchas PAT VIP Palo Alto Networks Determinación de configuración de zona en NAT y política de seguridad Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP anteriores a NAT configuradas en la política. Por ejemplo, si traduce el tráfico entrante a un servidor interno (al que se accede mediante una IP pública de servidores de Internet), es necesario configurar la política NAT mediante la zona en la que reside la dirección IP pública. En este caso, las zonas de origen y destino serían las mismas. Como ejemplo adicional, si traduce el tráfico de host saliente a una dirección IP pública, es necesario configurar la política NAT con una zona de origen correspondiente a las direcciones IP privadas de esos hosts. La zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que NAT haya modificado el paquete. La política de seguridad es diferente de la política NAT en que las zonas posteriores a NAT se deben utilizar para controlar el tráfico. NAT puede afectar a las direcciones IP de origen o destino y pueden llegar a modificar la interfaz saliente y la zona. Si crea políticas de seguridad con direcciones IP específicas, es importante tener en cuenta que las direcciones IP anteriores a NAT se utilizarán en la correspondencia de políticas. La política de seguridad debe permitir de forma explícita el tráfico sujeto a NAT, si el tráfico atraviesa múltiples zonas. Opciones de regla NAT El cortafuegos admite reglas no NAT y reglas NAT bidireccionales. Reglas no NAT Las reglas no NAT están configuradas para permitir la exclusión de direcciones IP definidas en el intervalo de las reglas NAT definidas posteriormente en la política NAT. Para definir una política no NAT, especifique todos los criterios coincidentes y seleccione Sin traducción de origen en la columna de traducción de origen. Reglas NAT bidireccionales El ajuste bidireccional en reglas NAT de origen estáticas crea una regla NAT de destino para el tráfico en los mismo recursos en la dirección opuesta. En este ejemplo, se utilizan dos reglas NAT para crear una traducción de origen del tráfico saliente desde la IP 10.0.1.10 a la IP pública 3.3.3.1; y una traducción de destino para el tráfico destinado de la IP pública 3.3.3.1 a la IP privada 10.0.1.10. Este par de reglas se pueden simplificar configurando únicamente la tercera regla NAT, utilizando la función bidireccional. Ilustración 2. Reglas NAT bidireccionales Palo Alto Networks Políticas y perfiles de seguridad • 227 Ejemplos de política NAT La siguiente regla de políticas NAT traduce un intervalo de direcciones de origen privadas (10.0.0.1 a 10.0.0.100 en la zona “L3Trust”) en una dirección IP pública única (200.10.2.100 en la zona “L3Untrust”) y un número de puerto de origen único (traducción de origen dinámica). La regla solo se aplica al tráfico recibido en una interfaz Capa 3 en la zona “L3Trust” que se destina a una interfaz en la zona “L3Untrust”. Como las direcciones privadas están ocultas, las sesiones de red no se pueden iniciar desde la red pública. Si la dirección pública no está en una dirección de interfaz de cortafuegos (o en la misma subred), el enrutador local requiere una ruta estática para dirigir el tráfico de retorno al cortafuegos. La política de seguridad debe configurarse explícitamente para permitir el tráfico coincidente con esta regla NAT. Cree una política de seguridad con zonas y direcciones de origen/destino que coincidan con la regla NAT. Ilustración 3. Traducción de dirección de origen dinámica En el siguiente ejemplo, la primera regla NAT traduce la dirección privada de un servidor de correo interno en una dirección IP pública estática. La regla solo se aplica al correo saliente enviado desde la zona “L3Trust” a la zona “L3Untrust”. Para el tráfico en dirección opuesta (correo electrónico entrante), la segunda regla traduce la dirección de destino de la dirección pública del servidor a su dirección privada. La regla 2 utiliza “L3Untrust” para las zonas de origen y destino porque la política NAT se basa en la zona de direcciones anterior a NAT. En este caso, esa dirección anterior a NAT es una dirección IP Pública y, por lo tanto, se encuentra en la zona “L3Untrust”. Ilustración 4. Origen estático y Traducción de dirección de destino En ambos ejemplos, si la dirección pública no está en la dirección de la interfaz del cortafuegos (o en la misma subred), debe añadir una ruta estática al enrutador local para enrutar el tráfico al cortafuegos. NAT64 NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e IPv4. Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4 acceder a servidores IPv6. Existen tres mecanismos principales de transición definidos por IETF: pila doble, túneles y transición. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicación, debe utilizar la traducción. Si utiliza políticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga de una solución DNS64 externa para desacoplar la función de consultas de DNS de la función NAT. 228 • Políticas y perfiles de seguridad Palo Alto Networks Las siguientes funciones NAT64 son compatibles: • Stateful NAT64, que permite mantener las direcciones IPv4 para que una dirección IPv4 pueda asignarse a múltiples direcciones IPv6. Una dirección IPv4 también se puede compartir con NAT44. En contraste, Stateless NAT64 asigna una dirección IPv4 a una dirección IPv6. • Traducción de comunicación IPv4 iniciada. El enlace estático de IPv4 asigna una dirección/número de puerto IPv4 a una dirección IP IPv6. PAN-OS también admite la reescritura, lo que le permite conservar aún más direcciones IPv4. • Permite traducir subredes /32, /40, /48, /56, /64 y /96. • Compatibilidad de varios prefijos. Puede asignar un prefijo NAT64 por regla. • No requiere que conserve un grupo de direcciones IPv4 específicamente para NAT64. Por lo tanto, puede utilizar una dirección IP simple para NAT44 y NAT64. • Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques de bucle de hairpinning. • Permite la traducción de paquetes TCP/UDP/ICMP por RFC, así como otros protocolos sin ALG (best effort). Por ejemplo, es posible traducir un paquete GRE. Esta traducción tiene la misma limitación que NAT44. • Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamaño máximo de segmento) para TCP. • Permite configurar el parámetro IPv6 MTU. El valor predeterminado es 1280, que es el valor mínimo de MTU para el tráfico IPv6. Este ajuste se configura en la pestaña Dispositivo > Configuración > Sesiones en Ajustes de sesión. • Traduce el atributo de longitud entre IPv4 e IPv6. • Admitido en interfaces y subinterfaces de capa 3, túnel e interfaces VLAN. Ejemplos de NAT64 Puede configurar dos tipos de traducción con el cortafuegos: comunicación IPv6 iniciada, que es similar al origen NAT en IPv4, y comunicación IPv4 iniciada con un servidor IPv6, que es similar al destino NAT en IPv4. Comunicación IPv6 iniciada En este tipo de traducción, la dirección IPv6 de destino de la regla NAT es un prefijo que sigue al formato RFC 6052 (/32, /40,/48,/56,/64 y /96). La máscara de red de la dirección IPv6 de destino en la regla se utilizaría para extraer la dirección IPv4. La traducción de origen necesita tener un “puerto e IP dinámicas” para implementar Stateful NAT64. La dirección IPv4 definida como origen se configura de la misma forma que una traducción de destino NAT44. El campo de traducción de destino no está definido. Sin embargo, debe realizarse una traducción de destino ya que la dirección se extrae de la dirección IPv6 en el paquete. Utiliza el prefijo definido en los criterios de coincidencia de IP de destino. Debe tener en cuenta que en un prefijo /96, está en los últimos 4 octetos, pero la ubicación de la dirección IPv4 sería diferente si el prefijo no es /96. Palo Alto Networks Políticas y perfiles de seguridad • 229 Servidor DNS64 Cortafuegos Puerta de enlace NAT64 Red IPv6 Fiable No fiable Internet IPv4 Host IPv6 Ilustración 5. Diagrama de red de cliente NAT64 IPv6 a IPv4 La tabla siguiente describe los valores necesarios en esta política NAT64. Tabla 138. IP de origen IP de destino Traducción de origen Traducción de destino Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC6052 IP dinámica y modo de puerto (usar direcciones IPv4) Ninguno (Extraída de las direcciones IPv6 de destino) Comunicación IPv4 iniciada La dirección IPv4 se asigna a la dirección IPv6 y puede usar el modo de IP estática en la traducción de origen. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y se adjunta a la dirección IPv4 de origen. La dirección de destino es la dirección IP definida en la columna de traducción de destino. Es posible reescribir el puerto de destino. Este método permite que una única dirección IP comparta múltiples servidores IPv6 mediante una asignación estática en el puerto. Servidor IPv6 Servidor DNS Cortafuegos Puerta de enlace NAT64 Internet IPv4 Red IPv6 No fiable Fiable Host IPv4 Ilustración 6. Diagrama de red de cliente NAT64 IPv4 Internet a IPv6 230 • Políticas y perfiles de seguridad Palo Alto Networks La tabla siguiente describe los valores necesarios en esta política NAT64. Tabla 139. Valores de IPv4 iniciada IP de origen IP de destino Traducción de origen Traducción de destino Cualquier dirección IPv4 Dirección IPv4 Modo de IP estática Dirección simple IPv6 (dirección IP del servidor real) (Prefijo IPv6 en formato RFC 6052) Note: Puede especificar una reescritura del puerto del servidor. El motor de procesamiento del paquete del cortafuegos debe realizar una búsqueda en la ruta para buscar la zona de destino antes de buscar en la regla NAT. En NAT64, es importante solucionar la accesibilidad del prefijo NAT64 para la asignación de la zona de destino, porque el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. Es muy probable que el prefijo NAT64 acierte con la ruta predeterminada, o que se cancele porque no hay ninguna ruta. Puede configurar una interfaz de túnel sin punto de finalización porque este tipo de interfaz actuará como un puerto de loopback y aceptará otras máscaras de subred además de /128. Aplique el prefijo NAT64 al túnel y aplique la zona adecuada para garantizar que el tráfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. También podrá cancelar el tráfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia. Escenarios IETF para la transición IPv4/IPv6 Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144. El cortafuegos de Palo Alto Networks admite todos los escenarios menos uno de ellos, tal y como se indica en la siguiente tabla. Tabla 140. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS Escenario Red IPv6 a Internet IPv4 IP de origen Cualquier dirección IPv6 IP de destino Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052. Modo de IP dinámica y puerto. Modo de IP estática. Internet IPv4 a una red IPv6 Cualquier dirección IPv4 Dirección IPv4 simple Internet IPv6 a una red IPv4 Cualquier dirección IPv6 Prefijo IPv6 enrutable globalmente con máscara de red compatible con RFC 6052. Red IPv4 a Internet IPv6 No admitida actualmente Palo Alto Networks Traducción de origen Traducción de destino Ninguno (extraída de direcciones IPv6 de destino) Usar dirección IPv4 pública Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 IP dinámica y puerto. Usar dirección IPv4 privada Ninguno (extraída de direcciones IPv6 de destino) Políticas y perfiles de seguridad • 231 Tabla 140. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS (Continuación) IP de origen Escenario Red IPv4 a red IPv6 Red IPv6 a red IPv4 • IP de destino Traducción de origen Cualquier dirección IPv4 Dirección IPv4 simple Modo de IP estática. Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052. Traducción de destino Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 IP dinámica y puerto. Usar dirección IPv4 privada Ninguno (extraída de direcciones IPv6 de destino) IP estática: Para tráfico entrante o saliente. Puede utilizar la IP estática de origen o destino, mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados, los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred), no se necesitará una ruta estática para esa dirección en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT, el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. Para especificar un único puerto, como TCP 80, debe definir un nuevo servicio. La siguiente tabla resume los tipos de NAT. Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son números diferentes. N también puede ser 1. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto, mientras que permanecen inalterables con NAT de IP dinámica. También existen límites diferentes del tamaño del grupo de IP traducido, tal y como se indica a continuación. Con NAT de IP estática, existe una asignación de uno a uno entre cada dirección original y su dirección traducida. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una. Tabla 141. Tipos de NAT Tipos de NAT de PAN-OS IP dinámica/ puerto IP dinámica El puerto de destino es el mismo El puerto de destino puede cambiar Tipo de asignación Tamaño del grupo de direcciones traducidas No No Muchas a 1 Hasta 254 direcciones consecutivas MaN Sí 232 • Políticas y perfiles de seguridad No MaN Hasta 32.000 direcciones consecutivas Palo Alto Networks Tabla 141. Tipos de NAT (Continuación) Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar Tipo de asignación Tamaño del grupo de direcciones traducidas IP estática Sí No 1a1 Ilimitado MaN MIP Opcional 1 a muchas PAT VIP Definición de políticas de traducción de dirección de red Políticas > NAT Las reglas de traducción NAT se basan en las zonas de origen y destino, en las direcciones de origen y destino, y en el servicio de aplicación (como HTTP). Al igual que las políticas de seguridad, las reglas de política NAT se comparan con el tráfico entrante en secuencia, y se aplica la primera regla que coincida. A medida que sea necesario, añada rutas estáticas al enrutador local para enrutar el tráfico a todas las direcciones públicas hacia el cortafuegos. Es posible que también necesite añadir reglas estáticas a la interfaz de destino en el cortafuegos para reducir el tráfico en la dirección privada. Para obtener información y directrices de configuración acerca de otros tipos de políticas, consulte “Políticas y perfiles de seguridad”. Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de políticas en Panorama”. Las siguientes tablas describen la configuración de políticas NAT: • “Pestaña General” • “Pestaña Paquete original” • “Pestaña Paquete traducido” Palo Alto Networks Políticas y perfiles de seguridad • 233 Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política NAT. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Tabla 142. Configuración reglas NAT (pestaña General) Campo Descripción Nombre Cambie cambiar el nombre predeterminado de la regla y/o introducir una descripción de la regla. Descripción Introduzca una descripción de la política (hasta 255 caracteres). Etiqueta Si necesita añadir una etiqueta a la política, haga clic en Añadir para especificar la etiqueta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ, políticas de descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Tipo de NAT Especifique ipv4 para NAT entre direcciones IPv4 o traducción nat64 entre direcciones IPv6 e IPv4. No puede combinar intervalos de direcciones IPv4 e IPv6 en una única regla NAT. Pestaña Paquete original Use la pestaña Paquete original para definir el tráfico de origen y destino que se traducirá, así como el tipo de interfaz de destino y el tipo de servicio. Se pueden configurar varias zonas de origen y destino del mismo tipo y es posible definir la regla para que se aplique a redes o direcciones IP específicas. Tabla 143. Configuración de reglas NAT (pestaña Paquete original) Campo Descripción Zona de origen Zona de destino Seleccione una o más zonas de origen y destino para el paquete original (no NAT). (El valor predeterminado es cualquiera.) Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas zonas, consulte “Definición de zonas de seguridad”. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo, puede configurar los ajustes para que múltiples direcciones NAT internas se dirijan a la misma dirección IP externa. Interfaz de destino 234 • Políticas y perfiles de seguridad Especifique el tipo de interfaz de traducción. La interfaz de destino se puede utilizar para traducir direcciones IP de manera diferente en caso de que la red esté conectada a dos proveedores de Internet con grupos diferentes de direcciones IP. Palo Alto Networks Tabla 143. Configuración de reglas NAT (pestaña Paquete original) Campo Descripción Servicio Especifique los servicios para los que las direcciones de origen y destino se traducen. Para definir nuevos grupos de servicio, consulte “Grupos de servicios”. Dirección de origen Dirección de destino Especifique una combinación de direcciones de origen y destino para las que las direcciones de origen y destino se deben traducir. Pestaña Paquete traducido Use la pestaña Paquete traducido para determinar el tipo de traducción que se realizará en el origen y la dirección o puerto a la que se traducirá. También se puede configurar una traducción de dirección de destino para un host interno que al que se necesite acceder desde una dirección IP pública. En este caso, defina una dirección de origen (pública) y una dirección de destino (privada) en la pestaña Paquete original para un host interno y habilite Traducción de dirección de destino en la pestaña Paquete traducido e introduzca la dirección traducida. Cuando se acceda a la dirección pública, se traducirá a la dirección interna (destino) del host interno. Palo Alto Networks Políticas y perfiles de seguridad • 235 Tabla 144. Configuración de reglas NAT (pestaña Paquete traducido) Campo Descripción Traducción de dirección de origen Introduzca una dirección o un intervalo de direcciones IP (dirección1dirección2) a la que se traduce la dirección de origen, y seleccione un grupo de direcciones dinámicas o estáticas. El tamaño del intervalo de direcciones está limitado por el tipo del grupo de direcciones: • IP dinámica y puerto: La selección de direcciones se basa en un hash de la dirección de IP de origen. Para una dirección de IP de origen, el cortafuegos utilizará la misma dirección de origen traducida para todas las sesiones. IP dinámica y NAT de puerto origen admite aproximadamente 64.000 sesiones simultáneas en cada dirección IP en el grupo NAT. En algunas plataformas, se permite un exceso de suscripciones, lo que permite a una única IP albergar más de 64.000 sesiones simultáneas. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de direcciones y puertos IP disponibles. El cortafuegos puede utilizar direcciones IP y combinaciones de puertos hasta dos veces (de forma simultánea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro veces en PA-4020 y PA-5020, y ocho veces en dispositivos PA-4050, PA-4060, PA-5050 y PA-5060 cuando las direcciones IP de destino son exclusivas. • IP dinámica: Se utiliza la siguiente dirección disponible en el intervalo especificado, pero el número de puerto no se cambia. Se admiten hasta 32.000 direcciones IP consecutivas. Un grupo de direcciones IP dinámicas puede contener varias subredes, por lo que podrá traducir sus direcciones de red internas a dos o más subredes públicas diferentes. – Avanzado (traducción de IP dinámica de reserva): Utilice esta opción para crear un grupo de reserva que ejecutará la traducción de IP y puerto, y que se utilizará si el grupo primario agota sus direcciones. Puede definir las direcciones del grupo utilizando la opción Dirección traducida o Dirección de interfaz, para interfaces que reciben una dirección IP dinámica. Si crea un grupo de reserva, asegúrese de que las direcciones no se solapan con las direcciones del grupo primario. • IP estática: Se utiliza la misma dirección y el puerto permanece inalterable. Por ejemplo, si el intervalo de origen es 192.168.0.1192.168.0.10 y el intervalo de traducción es 10.0.0.1-10.0.0.10, la dirección 192.168.0.2 siempre se traduce a 10.0.0.2. El intervalo de dirección es casi ilimitado. • Ninguna: La traducción no se ejecuta. Traducción de dirección de destino 236 • Políticas y perfiles de seguridad Introduzca una dirección o intervalo de direcciones IP y un número de puerto traducido (1 a 65535) al que la dirección y número de puerto de destino se traducirán. Si el campo Puerto traducido se deja en blanco, el puerto de destino no se modifica. La traducción de destino se suele utilizar para permitir un servidor interno, como un servidor de correo electrónico al que se accede desde la red pública. Palo Alto Networks Políticas de reenvío basado en políticas Políticas > Reenvío basado en políticas Normalmente, cuando el tráfico entra en el cortafuegos, el enrutador virtual de la interfaz de entrada (ingress) indica la ruta que determina la interfaz de salida y la zona de seguridad de destino basada en la dirección IP de destino. Gracias al reenvío basado en políticas (PBF), puede especificar otra información para determinar la interfaz de salida, incluyendo la zona, dirección y usuario de origen, así como la dirección, aplicación y servicio de destino. La sesión inicial de una dirección IP y puerto de destino concretos asociados con una aplicación no coincidirá con una regla de aplicación específica y se reenviarán de acuerdo con reglas PBF subsiguientes (que no especifican ninguna aplicación) o la tabla de reenvío del enrutador virtual. El resto de sesiones de esa dirección IP y puerto de destino de la misma aplicación coincidirán con una regla específica de aplicación. Para garantizar el reenvío mediante reglas PBF, no se recomienda el uso de reglas específicas de la aplicación. Cuando sea necesario, las reglas PBF se pueden utilizar para forzar el tráfico mediante un sistema virtual adicional con la acción de reenvío Reenviar a Vsys. En este caso, es necesario definir una regla PBF adicional que reenvíe el paquete desde el sistema virtual de destino mediante una interfaz de salida (egress) concreta en el cortafuegos. Para obtener información y directrices de configuración acerca de otros tipos de políticas, consulte “Políticas y perfiles de seguridad”. Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de políticas en Panorama”. Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Pestaña General” • “Pestaña Origen” • “Pestaña Destino/aplicación/servicio” • “Pestaña Reenvío” Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política PBF. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Campo Descripción Nombre Introduzca un nombre para identificar la regla (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se requiere el nombre. Descripción Introduzca una descripción de la política (hasta 255 caracteres). Etiqueta Si necesita añadir una etiqueta a la política, haga clic en Añadir para especificar la etiqueta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ, políticas de descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Palo Alto Networks Políticas y perfiles de seguridad • 237 Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de reenvío. Campo Descripción Zona de origen Para elegir zonas de origen (el valor predeterminado es cualquiera), haga clic en Añadir y seleccione una de la lista desplegable. Para definir nuevas zonas, consulte “Definición de zonas de seguridad”. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo, si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable, puede crear una regla que cubra todas las clases. Note: Solo se admiten zonas de tipo Capa 3 para reenvío basado en políticas. Dirección de origen Haga clic en Añadir para añadir las direcciones, direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección, Grupo de direcciones, o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect, cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Puede crear estas políticas para usuarios anteriores al inicio de sesión y, aunque el usuario no haya iniciado sesión directamente, sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. • Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de usuario asignados. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. • Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP que no estén asignadas a un usuario. Por ejemplo, podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red, pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede que quiera añadir a un usuario, una lista de individuos, algunos grupos o añadir usuarios manualmente. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. 238 • Políticas y perfiles de seguridad Palo Alto Networks Pestaña Destino/aplicación/servicio Use la pestaña Destino/aplicación/servicio para definir la configuración de destino que se aplicará al tráfico que coincida con la regla de reenvío. Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones, direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección, Grupo de direcciones, o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Aplicación Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir nuevas aplicaciones, consulte “Definición de aplicaciones”. Para definir grupos de aplicaciones, consulte “Definición de grupos de aplicaciones”. Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de PFB, podrá ver los detalles de estos objetos al pasar el ratón por encima del objeto en la columna Aplicación, haciendo clic en la flecha hacia abajo y seleccionando Valor. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política, sin tener que ir hasta las pestañas de objetos. Pestaña Reenvío Use la pestaña Reenvío para definir la acción y la información de red que se aplicará al tráfico que coincida con la política de reenvío. El tráfico se puede reenviar a una dirección IP de siguiente salto, un sistema virtual o bien se puede interrumpir el tráfico. Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones, direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección, Grupo de direcciones, o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Aplicación Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir nuevas aplicaciones, consulte “Definición de aplicaciones”. Para definir grupos de aplicaciones, consulte “Definición de grupos de aplicaciones”. Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de PFB, podrá ver los detalles de estos objetos al pasar el ratón por encima del objeto en la columna Aplicación, haciendo clic en la flecha hacia abajo y seleccionando Valor. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política, sin tener que ir hasta las pestañas de objetos. Acción Seleccione una de las siguientes opciones: • Reenviar: Especifique la dirección IP del próximo salto y la interfaz de salida (egress) (la interfaz que toma el paquete para el siguiente salto especificado). • Reenviar a VSYS: Seleccione el sistema virtual de reenvío en la lista desplegable. • Descartar: descarta el paquete. • No hay ningún PBF: No altera la ruta que tomará el paquete. Palo Alto Networks Políticas y perfiles de seguridad • 239 Campo Descripción Programación Para limitar los días y horas en los que la regla está en vigor, seleccione una programación de la lista desplegable. Para definir nuevas programaciones, consulte “Programaciones”. Políticas de descifrado Políticas > Descifrado Puede configurar el cortafuegos para descifrar el tráfico y ganar en visibilidad, control y seguridad granular. Las políticas de descifrado se pueden aplicar a una capa de sockets seguros (SSL) y a tráfico Secure Shell (SSH). El descifrado SSH se puede utilizar para descifrar el tráfico SSH entrante y saliente para asegurar que los protocolos no se están utilizando para túneles de aplicaciones y contenido no permitido. Cada una de las políticas de descifrado especifica las categorías o URL para descifrar o no. El descifrado SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus, Vulnerabilidades, Antispyware, Filtrado de URL y Bloqueo de archivos al tráfico SSL descifrado antes de volverse a cifrar a medida que el tráfico sale del dispositivo. Puede aplicar perfiles de descifrado a sus políticas con objeto de bloquear y controlar diferentes aspectos del tráfico. Para obtener más información, consulte “Perfiles de descifrado”. Con el descifrado activado, la seguridad de punto a punto entre clientes y servidores se mantiene, y el cortafuegos actúa como un agente externo de confianza durante la conexión. Ningún tipo de tráfico descifrado sale del dispositivo. Las políticas de descifrado pueden ser tan generales o específicas como sea necesario. Las reglas de las políticas se comparan con el tráfico en secuencias, por lo que las reglas más específicas deben preceder a las reglas más generales. Para mover una regla a la parte superior de las políticas y que tenga preferencia, selecciónela y haga clic en Mover hacia arriba. Una política que excluya el tráfico del descifrado (con la acción No hay ningún descifrado) siempre debe tener preferencia para poder entrar en vigor. El cifrado de proxy SSL de reenvío requiere que se le presente al usuario la configuración de un certificado de confianza, si el servidor al que se conecta el usuario posee un certificado firmado por una entidad de certificación de confianza del cortafuegos. Para configurar este certificado, cree uno en la página Dispositivo > Gestión de certificados > Certificados y, a continuación, haga clic en el nombre del certificado y active la casilla Reenviar certificado fiable. Consulte “Gestión de certificados de dispositivos”. Para obtener información y directrices de configuración acerca de otros tipos de políticas, consulte “Políticas y perfiles de seguridad”. Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de políticas en Panorama”. Algunas aplicaciones no funcionarán si las descifra el cortafuegos. Para evitarlo, PAN-OS no descifrará el tráfico SSL de estas aplicaciones y los ajustes de reglas de cifrado no se aplicarán. Para ver una lista de estas aplicaciones, consulte el artículo de ayuda ubicado en https://live.paloaltonetworks.com/docs/DOC-1423. 240 • Políticas y perfiles de seguridad Palo Alto Networks Las siguientes tablas describen la configuración de políticas de descifrado: • “Pestaña General” • “Pestaña Origen” • “Pestaña Destino” • “URL/servicio” • “Pestaña Opciones” Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de descifrado. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Campo Descripción Nombre Introduzca un nombre para identificar la regla (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se requiere el nombre. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Etiqueta Si necesita añadir una etiqueta a la política, haga clic en Añadir para especificar la etiqueta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ, políticas de descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de descifrado. Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas zonas, consulte “Definición de zonas de seguridad”. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo, si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable, puede crear una regla que cubra todas las clases. Palo Alto Networks Políticas y perfiles de seguridad • 241 Campo Descripción Dirección de origen Haga clic en Añadir para añadir las direcciones, direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección, Grupo de direcciones, o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect, cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Puede crear estas políticas para usuarios anteriores al inicio de sesión y, aunque el usuario no haya iniciado sesión directamente, sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. • Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de usuario asignados. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. • Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP que no estén asignadas a un usuario. Por ejemplo, podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red, pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede que quiera añadir a un usuario, una lista de individuos, algunos grupos o añadir usuarios manualmente. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas zonas, consulte “Definición de zonas de seguridad”. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo, si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable, puede crear una regla que cubra todas las clases. 242 • Políticas y perfiles de seguridad Palo Alto Networks Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones, direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección, Grupo de direcciones, o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. URL/servicio Use la pestaña Categoría de URL para aplicar la política de descifrado a cualquier categoría de URL, o bien especifique una lista de categorías de URL a las que se aplicará la política. Campo Descripción Pestaña Categoría de URL Seleccione las categorías URL de la regla de descifrado. • Seleccione Cualquiera para buscar en todas las sesiones, con independencia de la categoría URL. • Para especificar una categoría, haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. Puede añadir varias categorías. Consulte “Categorías de URL personalizadas” para obtener más información sobre cómo definir categorías personalizadas. Pestaña Opciones Use la pestaña Opciones para determinar si el tráfico coincidente debería descifrarse o no. Si se ha definido Descifrar, especifique el tipo de descifrado. También puede añadir funciones de descifrado adicionales configurando o seleccionando un perfil de descifrado. Campo Descripción Acción Seleccione Descifrar o No descifrar para el tráfico. Tipo Seleccione el tipo de tráfico para descifrar de la lista desplegable: • Proxy SSL de reenvío: Especifique que la política descifrará el tráfico del cliente destinado a un servidor externo. • Proxy SSH: Especifique que la política descifrará el tráfico SSH. Esta opción permite controlar los túneles SSH en políticas, especificando el ID de aplicación (App-ID) de túnel ssh. • Inspección de entrada SSL: Especifique que la política descifrará el tráfico de inspección entrante SSL. Perfil de descifrado Palo Alto Networks Seleccione un perfil de descifrado existente o cree uno nuevo. Consulte “Perfiles de descifrado”. Políticas y perfiles de seguridad • 243 Definición de políticas de application override Políticas > Application override Para cambiar la forma en la que el cortafuegos clasifica el tráfico de la red en las aplicaciones, puede especificar políticas de application override. Por ejemplo, si desea controlar una de sus aplicaciones personalizadas, puede utilizar una política de application override para identificar el tráfico de esa aplicación en función de la zona, dirección de origen y destino, puerto y protocolo. Si tiene aplicaciones de red clasificadas como “desconocidas”, puede crear nuevas definiciones de aplicaciones (consulte “Definición de aplicaciones”). Al igual que las políticas de seguridad, las políticas de application override pueden ser tan generales o específicas como sea necesario. Las reglas de las políticas se comparan con el tráfico en secuencias, por lo que las reglas más específicas deben preceder a las reglas más generales. Como el motor de ID de aplicaciones (App-ID) de PAN-OS clasifica el tráfico identificando el contenido específico de la aplicación en el tráfico de red, la definición de aplicación personalizada no puede utilizar un número de puerto para identificar una aplicación. La definición de la aplicación también debe incluir el tráfico (restringido por zona y dirección IP de origen, y zona y dirección IP de destino). Para crear una aplicación personalizada con application override: 1. Defina la aplicación personalizada. Consulte “Definición de aplicaciones”. No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de application override. 2. Defina una política de application override que especifique si la aplicación personalizada se debe activar. Una política suele incluir la dirección IP del servidor que ejecuta la aplicación personalizada y un conjunto restringido de direcciones IP o una zona de origen. Para obtener información y directrices de configuración acerca de otros tipos de políticas, consulte “Políticas y perfiles de seguridad”. Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de políticas en Panorama”. Use las siguientes tablas para configurar una regla de application override. • “Pestaña General” • “Pestaña Origen” • “Pestaña Destino” • “Pestaña Protocolo/Aplicación” 244 • Políticas y perfiles de seguridad Palo Alto Networks Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de application override. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Campo Descripción Nombre Introduzca un nombre para identificar la regla (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se requiere el nombre. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Etiqueta Si necesita añadir una etiqueta a la política, haga clic en Añadir para especificar la etiqueta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ, políticas de descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de application override. Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas zonas, consulte “Definición de zonas de seguridad”. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo, si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable, puede crear una regla que cubra todas las clases. Dirección de origen Palo Alto Networks Haga clic en Añadir para añadir las direcciones, direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección, Grupo de direcciones, o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Políticas y perfiles de seguridad • 245 Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas zonas, consulte “Definición de zonas de seguridad”. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo, si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable, puede crear una regla que cubra todas las clases. Dirección de destino Haga clic en Añadir para añadir las direcciones, direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección, Grupo de direcciones, o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Pestaña Protocolo/Aplicación Use la pestaña Protocolo/Aplicación para definir el protocolo (TCP o UDP), puerto y aplicación que definen con mayor exactitud los atributos de la aplicación para que coincida con la política. Campo Descripción Protocolo Seleccione el protocolo por el que la aplicación se puede cancelar. Puerto Introduzca el número de puerto (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) de las direcciones de origen especificadas. Si especifica varios puertos o intervalos, deben estar separados por comas. Aplicación Seleccione la aplicación de cancelación de los flujos de tráfico que coincidan con los criterios de la regla anterior. Si cancela una aplicación personalizada, no se realizará una inspección de amenazas. La excepción es si cancela una aplicación predeterminada que admite la inspección de amenazas. Para definir nuevas aplicaciones, consulte “Definición de aplicaciones”. 246 • Políticas y perfiles de seguridad Palo Alto Networks Definición de políticas de portal cautivo Políticas > Portal cautivo Use la siguiente tabla para configurar y personalizar un portal cautivo para dirigir la autenticación de usuarios mediante un perfil de autenticación, una secuencia de autenticación o un perfil de certificado. El portal cautivo se utiliza junto con el agente de ID de usuario (User-ID) para aumentar las funciones de identificación de usuarios más allá del dominio de Active Directory. Los usuarios se dirigen hacia el portal y se autentican, creando una asignación de usuario a dirección IP. Antes de definir políticas de portal cautivo, habilite las funciones y configure los ajustes de portal cautivo en la página Identificación de usuarios, tal y como se describe en “Configuración del cortafuegos para la identificación de usuarios”. Para obtener información y directrices de configuración acerca de otros tipos de políticas, consulte “Políticas y perfiles de seguridad”. Las siguientes tablas describen la configuración de políticas de portal cautivo: • “Pestaña General” • “Pestaña Origen” • “Pestaña Destino” • “Pestaña Categoría de URL/servicio” • “Pestaña Acción” Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de portal cautivo. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Campo Descripción Nombre Introduzca un nombre para identificar la regla (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se requiere el nombre. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Etiqueta Si necesita añadir una etiqueta a la política, haga clic en Añadir para especificar la etiqueta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ, políticas de descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Palo Alto Networks Políticas y perfiles de seguridad • 247 Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de portal cautivo. Campo IP Origen Descripción Especifique la siguiente información: • Seleccione una zona de origen si necesita aplicar la política al tráfico entrante de todas las interfaces de una zona concreta. Haga clic en Añadir para especificar múltiples interfaces o zonas. • Especifique el parámetro Dirección de origen que se aplicará a la política del portal cautivo desde las direcciones de origen específicas. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Haga clic en Añadir para especificar múltiples interfaces o zonas. Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Campo IP Destino Descripción Especifique la siguiente información: • Seleccione una zona de destino si necesita aplicar la política al tráfico de todas las interfaces de una zona concreta. Haga clic en Añadir para especificar múltiples interfaces o zonas. • Especifique el parámetro Dirección de destino que se aplicará a la política del portal cautivo desde las direcciones de destino específicas. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Haga clic en Añadir para especificar múltiples interfaces o zonas. Pestaña Categoría de URL/servicio Use la pestaña Categoría de URL/servicio para hacer que la acción de la política se realice en función de números de puerto TCP o UDP específicos. Una categoría de URL también puede usarse como un atributo para la política. Campo Descripción Servicio Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: los servicios seleccionados se permiten o deniegan en cualquier protocolo o puerto. • Valor predeterminado de aplicación: Los servicios seleccionados se permiten o deniegan únicamente según los puertos predeterminados por Palo Alto Networks. Esta opción es la recomendada para políticas de permiso. • Seleccionar: Haga clic en Añadir. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada. Consulte “Servicios” y “Grupos de servicios”. 248 • Políticas y perfiles de seguridad Palo Alto Networks Campo Categoría de URL Descripción Seleccione las categorías URL de la regla de portal cautivo. • Seleccione Cualquiera para aplicar las acciones especificadas en la pestaña Servicio/Acción con independencia de la categoría de URL. • Para especificar una categoría, haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. Puede añadir varias categorías. Consulte “Categorías de URL personalizadas” para obtener más información sobre cómo definir categorías personalizadas. Pestaña Acción Use la pestaña Acciones para determinar si el usuario verá un formato web, un cuadro de diálogo de reto de explorador o si no se producirá ningún desafío de portal cautivo. Campo Descripción Configuración de acción Seleccione la acción que se realizará: • Formato web: Abre una página de portal cautivo en la que el usuario puede introducir explícitamente las credenciales de autenticación. • portal no cautivo: Permite el paso del tráfico sin abrir una página de portal cautivo para su autenticación. • reto de explorador: Abre una solicitud de autenticación NT LAN Manager (NTLM) en el explorador web del usuario. El explorador web responderá utilizando las credenciales de inicio de sesión actuales del usuario. Definición de políticas DoS Políticas > Protección DoS Las políticas de protección DoS permiten controlar el número de sesiones entre interfaces, zonas, direcciones y países, basadas en sesiones agregadas o direcciones IP de origen y/o destino. Por ejemplo, puede controlar el tráfico desde y hacia determinadas direcciones o grupos de direcciones o desde determinados usuarios y para servicios concretos. Una política DoS puede incluir un perfil DoS que especifique los umbrales (sesiones o paquetes por segundo) que indican un ataque. Entonces podrá seleccionar una acción protectora en una política cuando se active una coincidencia. Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de políticas en Panorama”. Use esta página para añadir, editar o eliminar reglas de políticas DoS. Para añadir una nueva regla de política, haga clic en Añadir y, a continuación, cumplimente los siguientes campos. Palo Alto Networks Políticas y perfiles de seguridad • 249 Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política DoS. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Campo Descripción Nombre Introduzca un nombre para identificar la regla (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se requiere el nombre. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Etiqueta Si necesita añadir una etiqueta a la política, haga clic en Añadir para especificar la etiqueta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ, políticas de descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. 250 • Políticas y perfiles de seguridad Palo Alto Networks Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política DoS. Campo IP Origen Descripción Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. Haga clic en Añadir para especificar múltiples interfaces o zonas. • Especifique el parámetro Dirección de origen que se aplicará a la política DoS desde las direcciones de origen específicas. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Haga clic en Añadir para especificar varias direcciones. • Especifique el parámetro Usuario de origen que se aplicará a la política DoS para el tráfico procedente de los usuarios específicos. Los siguientes tipos de usuarios de origen son compatibles: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. – Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect, cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Puede crear estas políticas para usuarios anteriores al inicio de sesión y, aunque el usuario no haya iniciado sesión directamente, sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. – Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de usuario asignados. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. – Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP que no estén asignadas a un usuario. Por ejemplo, podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red, pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede que quiera añadir a un usuario, una lista de individuos, algunos grupos o añadir usuarios manualmente. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Palo Alto Networks Políticas y perfiles de seguridad • 251 Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Campo IP Destino Descripción Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. Haga clic en Añadir para especificar múltiples interfaces o zonas. • Especifique el parámetro Dirección de destino que se aplicará a la política DoS para el tráfico a las direcciones de destino específicas. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Haga clic en Añadir para especificar varias direcciones. Pestaña Opción/Protección Use la pestaña Opción/Protección para configurar opciones adicionales de la política DoS, como el tipo de servicio (http o https) o la acción que se realizará y decidir si se activará un reenvío de log para el tráfico coincidente. También puede definir una programación que determine cuándo estará activa la política y seleccionar un perfil DoS agregado o clasificado que defina más atributos para la protección DoS. Campo Descripción Servicio Seleccione en la lista desplegable la política DoS que se aplicará únicamente a los servicios configurados. Acción Seleccione la acción en la lista desplegable: • Denegar: Cancela todo el tráfico. • Permitir: Permite todo el tráfico. • Proteger: Aplica las protecciones proporcionadas en los umbrales que se configuran como parte del perfil DoS aplicado a esta regla. Programación Seleccione una programación preconfigurada de la lista desplegable, que se aplicará a la regla DoS a una fecha/hora concretas. Reenvío de logs Si quiere activar el reenvío de entradas de logs de amenazas a un servicio externo, como un servidor syslog o Panorama, seleccione un perfil de reenvío de logs de la lista desplegable o haga clic en Perfil para crear uno nuevo. Tenga en cuenta que solo será registrado y reenviado el tráfico que coincida con una acción de la regla. Agregado Seleccione un perfil de protección DoS de la lista desplegable para determinar la tasa a la que desea adoptar las medidas en respuesta a las amenazas DoS. Esta configuración se aplica al total del tráfico del origen especificado al destino especificado. 252 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Campo Descripción Clasificado Seleccione la casilla de verificación y especificar los siguientes ajustes: • Perfil: Seleccione un perfil de la lista desplegable. • Dirección: Seleccione si la regla se aplicará al origen, destino, o a las direcciones IP de origen y destino. Si se especifica un perfil clasificado, las limitaciones del perfil se aplican a una dirección IP de origen, dirección IP de destino, o pares de direcciones IP de origen y destino. Por ejemplo, puede especificar un perfil clasificado con un límite de sesión de 100 y especificar un parámetro Dirección de “origen” en la regla. El resultado sería un límite de 100 sesiones en cualquier momento para esa dirección IP de origen en particular. Perfiles de seguridad Cada una de las políticas de seguridad puede incluir especificaciones de uno o más perfiles de seguridad, lo que proporciona aún más nivel de protección y control. También puede añadir excepciones de amenazas a los perfiles de antispyware y vulnerabilidades. Con objeto de facilitar aún más la gestión de amenazas, puede añadir excepciones de amenazas directamente desde la lista Supervisar > Logs > Amenazas. Las excepciones de amenazas se suelen configurar cuando se producen falsos positivos. En este caso, puede definir una excepción para una amenaza hasta que Palo Alto Networks emita una nueva firma para el falso positivo que se ha producido. Los siguientes tipos de perfil están disponibles: • Perfiles de antivirus como protección contra gusanos y virus o bloqueo de descargas de spyware. Consulte “Perfiles de antivirus”. • Perfiles de antispyware para bloquear intentos de acceso a la red protegida por parte de spyware. Consulte “Perfiles de antispyware”. • Perfiles de protección de vulnerabilidades para detener los intentos de explotación de fallos del sistema y de acceso no autorizado a los sistemas. Consulte “Perfiles de protección de vulnerabilidades”. • Perfiles de filtrado de URL para restringir el acceso a sitios web específicos y a categorías de sitios web. Consulte “Perfiles de filtrado de URL”. • Perfiles de bloqueo de archivos para bloquear los tipos de archivos seleccionados. Consulte “Perfiles de bloqueo de archivo”. • Perfiles de filtrado de datos que ayudan a evitar que información confidencial, como números de tarjetas de crédito o números de la seguridad social salgan de la zona protegida por el cortafuegos. Consulte “Perfiles de filtrado de datos”. Además de los perfiles individuales, puede crear grupos en Objetos > Grupos de perfiles de seguridad para combinar los perfiles que se apliquen con frecuencia conjuntamente. No puede eliminar un perfil que se utiliza en una política de seguridad. Antes debe quitar el perfil de la política de seguridad y luego eliminarlo. Palo Alto Networks Políticas y perfiles de seguridad • 253 Perfiles de seguridad Puede elegir entre las siguientes acciones cuando define perfiles de antivirus y antispyware. • Predeterminado: Realiza la acción predeterminada especificada internamente en la firma de cada amenaza. • Permitir: Permite el tráfico de la aplicación. • Alerta: Genera una alerta para el flujo de tráfico de cada aplicación. La alerta se guarda en el log de amenazas. • Bloquear: Cancela el tráfico de la aplicación. Las siguientes acciones están disponibles cuando se definen objetos de spyware y vulnerabilidades personalizados: • Alerta: Genera una alerta para el flujo de tráfico de cada aplicación. La alerta se guarda en el log de amenazas. • Colocar paquetes: Evita que todos los paquetes salgan del cortafuegos. • Restablecer ambos: Restablece el cliente y el servidor. • Restablecer cliente: Restablece el cliente. • Restablecer servidor: Restablece el servidor. • Bloquear IP: Esta acción bloquea el tráfico de un par de origen u origen-destino (configurable) durante un período de tiempo especificado. Perfiles de antivirus Objetos > Perfiles de seguridad > Antivirus En la página Perfiles de antivirus puede configurar opciones para que el cortafuegos busque virus mediante análisis del tráfico definido. Defina en qué aplicaciones se buscarán virus mediante inspecciones y la acción que se llevará a cabo si se encuentra uno. El perfil predeterminado busca virus en todos los descodificadores de protocolo enumerados, genera alertas de Simple Mail Transport Protocol (SMTP), Internet Message Access Protocol (IMAP), y Post Office Protocol Version 3 (POP3), y toma las medidas predeterminadas para el resto de las aplicaciones (alerta o denegación), dependiendo del tipo de virus detectado. El perfil se adjuntará después a una política de seguridad para determinar la inspección del tráfico que atraviese zonas específicas. Los perfiles personalizados se pueden utilizar para minimizar la exploración antivirus para el tráfico entre zonas de seguridad fiables y para maximizar la inspección o el tráfico recibido de zonas no fiables, como Internet, así como el tráfico enviado a destinos altamente sensibles, como granjas de servidores. Consulte “Perfiles de seguridad” para ver una lista completa de los tipos de perfiles de seguridad y las acciones que se aplicarán al tráfico coincidente. Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Página de perfil de antivirus” • “Pestaña Antivirus” • “Pestaña Excepciones” 254 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Página de perfil de antivirus Use esta página para definir un nombre y una descripción del perfil. Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de antivirus cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, puntos, guiones y guiones bajos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Pestaña Antivirus Use la pestaña Antivirus para definir el tipo de tráfico que se inspeccionará, como ftp y http, y especifique a continuación la acción aplicable. Puede definir diferentes acciones para firmas de antivirus estándar (columna Acción) y firmas generadas por el sistema WildFire (Acción de WildFire). Algunos entornos pueden requerir pruebas de estabilidad más largas para firmas de antivirus, por lo que esta opción permite definir distintas acciones para los dos tipos de firmas de antivirus ofrecidos por Palo Alto Networks. Por ejemplo, las firmas de antivirus estándar pasan pruebas de estabilidad más largas (24 horas) en comparación con las firmas de WildFire, que se pueden generar y emitir en 15 minutos o menos tras la detección de la amenaza. Por ello, tal vez prefiera elegir la acción de alerta en las firmas de WildFire en lugar del bloqueo. Use la tabla Excepción de aplicaciones para definir las aplicaciones que no serán inspeccionadas. Por ejemplo, puede que quiera permitir http pero no inspeccionar el tráfico de una aplicación específica que funcione a través de http. Campo Descripción Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. Descodificadores y Acciones Para cada tipo de tráfico en el que desee buscar virus, seleccione una acción de la lista desplegable. También puede adoptar la medida específica en función de las firmas creadas por WildFire. Excepciones de aplicación y acciones Identifique aplicaciones que se considerarán excepciones a la regla de antivirus. Por ejemplo, para bloquear todo el tráfico HTTP excepto el de una aplicación específica, puede definir un perfil de antivirus para el que la aplicación es una excepción. Bloquear es la acción del descodificador HTTP, y Permitir es la excepción de la aplicación. Para buscar una aplicación, comience escribiendo el nombre de la aplicación en el cuadro de texto. Se mostrará una lista con las aplicaciones coincidentes, en la que podrá realizar una selección. La aplicación se añade a la tabla y puede asignar una acción. Para cada excepción de la aplicación, seleccione la acción que se adoptará cuando se detecte la amenaza. Palo Alto Networks Políticas y perfiles de seguridad • 255 Perfiles de seguridad Pestaña Excepciones Use la pestaña Excepciones para definir la lista de amenazas que ignorará el perfil de antivirus. Campo Descripción ID de amenaza Añada amenazas específicas que deberían ignorarse. Aparecerán las excepciones ya especificadas. Puede añadir amenazas adicionales introduciendo el ID de amenaza y haciendo clic en Añadir. Los ID de amenaza se presentan como parte de la información del log de amenaza. Consulte “Visualización de logs”. Perfiles de antispyware Objetos > Perfiles de seguridad > Antispyware Una política de seguridad puede incluir información de un perfil antispyware para detectar “llamada a casa” (detección del tráfico del spyware instalado). El perfil antispyware predeterminado detecta la protección de llamada a casa en todos los niveles de gravedad, excepto los niveles bajo e informativo. Los perfiles personalizados se pueden utilizar para minimizar la exploración antispyware para el tráfico entre zonas de seguridad fiables y para maximizar la inspección o el tráfico recibido de zonas no fiables, como Internet, así como el tráfico enviado a destinos altamente sensibles, como granjas de servidores. Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo, puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete seleccionado, que genera una alerta. El ajuste de firmas DNS proporciona un método adicional de identificación de hosts infectados en una red. Estas firmas detectan búsquedas DNS concretas de nombres de host asociados con malware. Las firmas DNS se pueden configurar para permitir, alertar o (por defecto) bloquear cuando se observen estas consultas, al igual que las firmas de antivirus normales. Además, los hosts que realizan consultas DNS en dominios malware aparecerán en el informe de botnet. Las firmas DNS se descargan como parte de las actualizaciones de antivirus. La página Antispyware muestra un conjunto predeterminado de columnas. Existen más columnas de información disponibles en el selector de columnas. Haga clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas. Para obtener más información, consulte “Uso de tablas en páginas de configuración”. Las siguientes tablas describen la configuración de perfil de antispyware: Tabla 145. Configuración de perfil de antispyware Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de antispyware cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, puntos, guiones y guiones bajos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). 256 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Tabla 145. Configuración de perfil de antispyware (Continuación) Campo Descripción Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Pestaña Reglas Nombre de regla Especifique el nombre de la regla. Nombre de amenaza Introduzca Cualquiera para buscar todas las firmas o introduzca el texto para buscar cualquier firma con el texto indicado como parte del nombre de la firma. Gravedad Seleccione un nivel de gravedad (crítico, alto, medio, bajo o informativo). Acción Seleccione una acción (Predeterminada, Alerta, Permitir o Colocar) para cada amenaza. Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. Seleccione paquete único para capturar un paquete cuando se detecta, o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas. Para ver la captura de paquetes, desplácese hasta Supervisar > Logs > Amenaza, busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. Para definir el número de paquetes que deben capturarse, desplácese hasta Dispositivo > Configuración > ID de contenido y edite la sección Configuración de detección de amenaza. Solo se producirá captura de paquetes si la acción está permitida o alerta. Si está definida la opción de bloqueo, la sesión finaliza inmediatamente. Pestaña Excepciones Excepciones Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción, o seleccionar Todas para responder a todas las amenazas indicadas. La lista depende del host, categoría y gravedad seleccionada. Si la lista está vacía, no hay amenazas en las selecciones actuales. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza. Si las direcciones IP se añaden a una excepción de amenaza, la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla, si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. Puede añadir hasta 100 direcciones IP por firma. Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. Pestaña firma DNS Palo Alto Networks Políticas y perfiles de seguridad • 257 Perfiles de seguridad Tabla 145. Configuración de perfil de antispyware (Continuación) Campo Descripción Acción para consultas de DNS Seleccione la medida que se adoptará cuando se realicen búsquedas DNS en sitios conocidos de software malintencionado (Alertar, Permitir, sinkhole o predeterminada (Bloquear)). La acción sinkhole de DNS ofrece a los administradores un método para identificar hosts infectados en la red usando tráfico DNS, incluso aunque el cortafuegos esté antes de un servidor de DNS local (es decir, que el cortafuegos no puede ver el originador de una solicitud de DNS). Si tiene instalada una licencia de prevención de amenazas y tiene activado un perfil antispyware, las firmas basadas en DNS se activarán en las solicitudes de DNS destinadas a dominios de software malintencionado. En una implementación típica, donde el cortafuegos está antes del servidor DNS local, el log de amenazas identificará la resolución DNS local como el origen del tráfico en lugar del host infectado. Las consultas DNS de software malintencionado falsificadas resuelven este problema de visibilidad generando respuestas erróneas a las consultas dirigidas a dominios malintencionados, de modo que los clientes que intenten conectarse a dominios malintencionados (mediante comando y control, por ejemplo) intenten conectarse en su lugar a una dirección IP especificada por el administrador. Los hosts infectados pueden identificarse fácilmente en los logs de tráfico porque cualquier host que intente conectarse a la IP sinkhole está infectado casi con toda seguridad con software malintencionado. Tras seleccionar la acción sinkhole, especifique una dirección IPv4 o IPv6 que se usará como sinkhole (la predeterminada es la IP del loopback, que resolverá los dominios al host local). Cuando se configura una dirección IP sinkhole, los clientes infectados pueden ser identificados filtrando los logs de tráfico o generando un informe personalizado que compruebe las sesiones de la dirección IP especificada. Es importante seleccionar una dirección IP mediante la cual una sesión tenga que enrutarse a través del cortafuegos para que este pueda ver la sesión; por ejemplo, una IP no usada en otra zona interna. A continuación se detalla la secuencia de eventos que se sucederán al habilitar la función sinkhole: Captura de paquetes 258 • Políticas y perfiles de seguridad 1. El software malintencionado en el ordenador de un cliente infectado envía una consulta DNS para resolver un host malintencionado en Internet. 2. La consulta DNS del cliente se envía a un servidor DNS interno, que a su vez realiza una consulta al servidor de DNS público al otro lado del cortafuegos. 3. La consulta DNS coincide con una entrada DNS en la base de datos de firmas DNS, de modo que la acción sinkhole se llevará a cabo en la consulta. 4. El cliente infectado intenta entonces iniciar una sesión en el host, pero usa la dirección IP falsificada en su lugar. La dirección IP falsificada es la dirección definida en la pestaña Firmas DNS del perfil Antispyware al seleccionar la acción sinkhole. 5. Se alerta al administrador de la consulta DNS malintencionada en el log de amenazas, quien puede entonces buscar en los logs de tráfico la dirección IP sinkhole y localizar fácilmente la dirección IP del cliente que intenta iniciar una sesión con la dirección IP sinkhole. Seleccione la casilla de verificación para capturar paquetes identificados. Palo Alto Networks Perfiles de seguridad Tabla 145. Configuración de perfil de antispyware (Continuación) Campo Descripción Habilitar supervisión de DNS pasivo Se trata de una función opcional que permite al cortafuegos actuar como un sensor DNS pasivo y enviar información de DNS escogida a Palo Alto Networks para que sea analizada y poder mejorar así las funciones de inteligencia y prevención de amenazas. Los datos recopilados incluyen consultas DNS no recursivas (es decir, con origen en la resolución recursiva local, no en clientes individuales) y cargas de paquetes de respuesta. El equipo de investigación de amenazas de Palo Alto Networks usa esta información para conocer mejor cómo funciona la propagación de software malintencionado y las técnicas de evasión que se aprovechan del sistema DNS. La información recopilada a través de estos datos se usa para mejorar la precisión y la capacidad para detectar software malintencionado dentro del filtrado de URL PAN-DB (PAN-DB URL filtering), las firmas de comando y control basadas en DNS y WildFire. Se recomienda habilitar esta función. Cuando el cortafuegos se configura con rutas de servicio personalizadas, la función de DNS pasivo utilizará la ruta de servicio de WildFire para enviar la información de DNS a Palo Alto Networks. La opción está deshabilitada de manera predeterminada. ID de amenaza Introduzca manualmente excepciones de firma DNS (intervalo 40000004999999). Perfiles de protección de vulnerabilidades Objetos > Perfiles de seguridad > Protección de vulnerabilidades Una política de seguridad puede incluir especificaciones de un perfil de protección de vulnerabilidades que determine el nivel de protección contra desbordamiento de búfer, ejecución de código ilegal y otros intentos de explotar las vulnerabilidades del sistema. Hay dos perfiles predefinidos disponibles para la función de protección de vulnerabilidades: • El perfil predeterminado aplica la acción predeterminada a todas las vulnerabilidades de gravedad crítica, alta y media del servidor y del cliente. No detecta los eventos de protección de vulnerabilidad informativos y bajos. • El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de gravedad crítica, alta y media y utiliza la acción predeterminada para los eventos de protección de vulnerabilidad bajos e informativos. Los perfiles personalizados se pueden utilizar para minimizar la comprobación de vulnerabilidades para el tráfico entre zonas de seguridad fiables y para maximizar la protección del tráfico recibido de zonas no fiables, como Internet; y el tráfico enviado a destinos altamente sensibles, como granjas de servidores. Para aplicar los perfiles de protección de vulnerabilidades a las políticas de seguridad, consulte “Definición de políticas de seguridad”. Los parámetros de Reglas especifican conjuntos de firmas para habilitar, así como las medidas que se deben adoptar cuando se active una firma de un conjunto. Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo, puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete seleccionado, que genera una alerta. La pestaña Excepción admite funciones de filtrado. Palo Alto Networks Políticas y perfiles de seguridad • 259 Perfiles de seguridad La página Protección de vulnerabilidades muestra un conjunto predeterminado de columnas. Existen más columnas de información disponibles en el selector de columnas. Haga‘ nclic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas. Para obtener más información, consulte “Uso de tablas en páginas de configuración”. Las siguientes tablas describen la configuración de perfil de protección de vulnerabilidades: Tabla 146. Configuración del perfil de protección de vulnerabilidades Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de protección de vulnerabilidades cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, puntos, guiones y guiones bajos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Pestaña Reglas Nombre de regla Especifique un nombre para identificar la regla. Nombre de amenaza Especifique una cadena de texto para buscar. El cortafuegos aplica un conjunto de firmas a la regla buscando nombres de firmas para esta cadena de texto. Acción Seleccione la acción (Alertar, Permitir, Predeterminada o Bloquear) que se realizará cuando se active la regla. La acción Predeterminada se basa en la acción por defecto que forma parte de cada firma proporcionada por Palo Alto Networks. Para ver la acción predeterminada de una firma, desplácese a Objetos > Perfiles de seguridad > Protección de vulnerabilidades y haga clic en Añadir o seleccione un perfil existente. Haga clic en la pestaña Excepciones y, a continuación, haga clic en Mostrar todas las firmas. Aparecerá una lista de todas las firmas y verá una columna Acción. Host Especifique si desea limitar las firmas de la regla a las del lado del cliente, lado del servidor o (cualquiera). Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. Seleccione paquete único para capturar un paquete cuando se detecta, o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas. Para ver la captura de paquetes, desplácese hasta Supervisar > Logs > Amenaza, busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. Para definir el número de paquetes que deben capturarse, desplácese hasta Dispositivo > Configuración > ID de contenido y edite la sección Configuración de detección de amenaza. Solo se producirá captura de paquetes si la acción está permitida o alerta. Si está definida la opción de bloqueo, la sesión finaliza inmediatamente. Categoría 260 • Políticas y perfiles de seguridad Seleccione una categoría de vulnerabilidad si desea limitar las firmas a las que coinciden con esa categoría. Palo Alto Networks Perfiles de seguridad Tabla 146. Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Descripción Lista CVE Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea limitar las firmas a las que también coinciden con las CVE especificadas. Cada CVE tiene el formato CVE-aaaa-xxxx, donde aaaa es el año y xxxx es un identificador único. Puede realizar una búsqueda de cadenas en este campo. Por ejemplo, para buscar las vulnerabilidades del año 2011, introduzca “2011”. ID de proveedor Especifique el ID del proveedor si desea limitar las firmas a las coincidentes con la de los Id de los proveedores especificados. Por ejemplo, los ID de proveedor de Microsoft tienen el formato MSaa-xxx, donde aa es el año en formato de dos dígitos y xxx es el identificador único. Por ejemplo, para buscar Microsoft en el año 2009, introduzca “MS09”. Gravedad Palo Alto Networks Seleccione el nivel de gravedad (informativo, bajo, medio, alto o crítico) si desea limitar las firmas a las coincidentes con los niveles de gravedad especificados. Políticas y perfiles de seguridad • 261 Perfiles de seguridad Tabla 146. Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Descripción Pestaña Excepciones Amenazas Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción, o seleccionar Todas para responder a todas las amenazas indicadas. La lista depende del host, categoría y gravedad seleccionada. Si la lista está vacía, no hay amenazas en las selecciones actuales. Seleccione una acción de la lista desplegable o seleccione una opción de la lista desplegable Acción en la parte superior de la lista para aplicar la misma acción a todas las amenazas. Si la casilla de verificación Mostrar todo está seleccionada, aparecerán todas las firmas. Si la casilla de verificación Mostrar todo no está seleccionada, solo se mostrarán las firmas que son excepciones. Seleccione la casilla de verificación Captura de paquetes si desea capturar paquetes identificados. La base de datos de firma de vulnerabilidad contiene firmas que indican un ataque de fuerza bruta; por ejemplo, el ID de amenaza 40001 se activa en un ataque de fuerza bruta de FTP. Las firmas de fuerza bruta se activan cuando se produce una condición en un determinado umbral temporal. Los umbrales están preconfigurados para firmas de fuerza bruta y se pueden modificar haciendo clic en el icono de lápiz junto al nombre de la amenaza de la pestaña Vulnerabilidad (con la opción Personalizada seleccionada). Puede especificar el número de resultados por unidad de tiempo y si se aplicarán los umbrales de origen, destino u origen-destino. Los umbrales se pueden aplicar en una IP de origen, IP de destino o una combinación de IP de origen y destino. La acción predeterminada se muestra entre paréntesis. La columna CVE muestra los identificadores de vulnerabilidades y exposiciones comunes (CVE). Estos identificadores únicos y comunes son para vulnerabilidades de seguridad de información públicamente conocidas. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza. Si las direcciones IP se añaden a una excepción de amenaza, la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla, si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. Puede añadir hasta 100 direcciones IP por firma. Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. 262 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Perfiles de filtrado de URL Objetos > Perfiles de seguridad > Filtrado de URL Una política de seguridad puede incluir la especificación de un perfil de filtrado de una URL que bloquee el acceso a sitios web y a categorías de sitios web específicas, que aplique Safe Search o que genere una alerta cuando se accede a sitios web concretos (se requiere una licencia de filtrado URL). También puede definir una “lista de bloqueo” de sitios web que esté siempre bloqueada (o que generen alertas) y una “lista de permiso” de sitios web que esté siempre permitida. Para aplicar los perfiles de filtrado de URL a las políticas de seguridad, consulte “Definición de políticas de seguridad”. Para crear categorías de URL personalizadas con sus propias listas de URL, consulte “Categorías de URL personalizadas”. Las siguientes tablas describen la configuración de perfil de filtrado de URL: Tabla 147. Configuración de perfil de filtrado de URL Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de filtrado de URL cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Categorías (configurable solo para BrightCloud) Seleccione la medida que se adoptará si vence la licencia de filtrado de URL: Acción tras el vencimiento de la licencia • Bloquear: Bloquea el acceso a todos los sitios web. • Permitir: Permite el acceso a todos los sitios web. Nota: Si usa la base de datos BrightCloud y define esta opción para bloquear al vencimiento de la licencia, se bloquearán todas las URL, no solo las categorías de URL definidas para bloquearse. Si elige Permitir, se permitirán todas las URL. Si usa PAN-DB, el filtrado de URL seguirá funcionando y las categorías de URL que se encuentran en caché actualmente se usarán para bloquear o permitir en función de su configuración. Palo Alto Networks Políticas y perfiles de seguridad • 263 Perfiles de seguridad Tabla 147. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de bloqueadas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee bloquear o cuyas alertas desee generar. Introduzca las URL una a una. Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista. Las entradas de la lista de bloqueo deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas. Por ejemplo, “www.paloaltonetworks.com” es diferente de “paloaltonetworks.com”. Si desea bloquear el dominio entero, debe incluir “*.paloaltonetworks.com” y “paloaltonetworks.com”. Ejemplos: • www.paloaltonetworks.com • 198.133.219.25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines. Los siguientes caracteres se consideran separadores: . / ? & = ; + Toda cadena separada por el carácter anterior se considera un testigo. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *. Por ejemplo, los siguientes patrones son válidos: *.yahoo.com www.*.com www.yahoo.com/search=* (Los testigos son: "*", "yahoo" y "com") (Los testigos son: "www", "*" and "com") (Los testigos son: "www", "yahoo", "com", "search", "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo. ww*.yahoo.com www.y*.com Acción Seleccione la medida que se adoptará cuando se acceda a un sitio web de la lista de bloqueo. • Alertar: Permite al usuario acceder al sitio web, pero añade una alerta al log de URL. • Bloquear: Bloquea el acceso al sitio web. • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada. • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña. La contraseña y el resto de parámetros de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración. Consulte la Tabla 1 en “Definición de la configuración de gestión”. 264 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Tabla 147. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de permitidas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee permitir o cuyas alertas desee generar. Introduzca una dirección IP o URL en cada línea. Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista. Las entradas de la lista de permitidas deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas. Por ejemplo, “www.paloaltonetworks.com” es diferente de “paloaltonetworks.com”. Si desea permitir el dominio entero, debe incluir “*.paloaltonetworks.com” y “paloaltonetworks.com”. Ejemplos: • www.paloaltonetworks.com • 198.133.219.25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines. Los siguientes caracteres se consideran separadores: . / ? & = ; + Toda cadena separada por el carácter anterior se considera un testigo. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *. Por ejemplo, los siguientes patrones son válidos: *.yahoo.com www.*.com www.yahoo.com/search=* (Los testigos son: "*", "yahoo" y "com") (Los testigos son: "www", "*" and "com") (Los testigos son: "www", "yahoo", "com", "search", "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo. ww*.yahoo.com www.y*.com Esta lista tiene prioridad sobre las categorías de sitios web seleccionados. Palo Alto Networks Políticas y perfiles de seguridad • 265 Perfiles de seguridad Tabla 147. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Categoría/Acción Seleccione, para cada categoría, la medida que se adoptará cuando accede a un sitio web de esa categoría. • Alertar: Permite al usuario acceder al sitio web, pero añade una alerta al log de URL. • Permitir: Permite al usuario acceder al sitio web. • Bloquear: Bloquea el acceso al sitio web. • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada. • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña. La contraseña y el resto de parámetros de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración. Consulte la Tabla 11 en “Definición de la configuración de gestión”. Nota: Las páginas Continuar y Cancelar no se mostrarán correctamente en máquinas cliente configuradas para utilizar un servidor proxy. Comprobar categoría de URL Haga clic para acceder al sitio web donde podrá introducir una URL o dirección IP para ver información de categorización. Filtrado de URL dinámica Seleccione para activar las búsquedas en la nube y categorizar la URL. Esta opción se activa si la base de datos local no puede categorizar la URL. Valor predeterminado: Deshabilitado (configurable solo para BrightCloud) Si la URL no se resuelve después de que aparezca la ventana de tiempo de espera de 5 segundos, la respuesta aparece como “URL no resuelta”. Con PAN-DB, esta opción está habilitada de forma predeterminada y no es configurable. Página de contenedor de log únicamente Seleccione la casilla de verificación para incluir en el log únicamente las URL que coinciden con el tipo de contenido especificado. Valor predeterminado: Habilitado 266 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Tabla 147. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Habilitar forzaje de búsquedas seguras Seleccione esta casilla de verificación para forzar el filtrado de búsquedas seguras estricto. Valor predeterminado: Deshabilitado Al habilitarla, esta opción evitará que los usuarios que realicen búsquedas en Internet usando uno de los tres principales proveedores de búsquedas (Bing, Google, Yahoo, Yandex o YouTube) vean los resultados de búsqueda, a menos que tengan definida la opción de búsqueda segura estricta en sus exploradores para estos motores de búsqueda. Si un usuario realiza una búsqueda usando uno de estos motores y su explorador o motor de búsqueda no tiene configurada la opción búsqueda segura en la opción estricta, los resultados de búsqueda serán bloqueados (dependiendo de la acción definida en el perfil) y se pedirá al usuario que defina la opción estricta en la configuración de búsqueda segura. Para usar esta función, no es necesaria una licencia de filtrado de URL. Nota: Si está realizando una búsqueda en Yahoo! Japan (yahoo.co.jp) mientras está registrado en su cuenta de Yahoo!, la opción de bloqueo para el ajuste de búsqueda también debe estar habilitada. Para forzar la búsqueda segura, debe añadirse el perfil a la política de seguridad. Y, para activar la búsqueda segura para los sitios cifrados (HTTPS), debe añadirse el perfil a una política de cifrado. La habilidad del cortafuegos para detectar la configuración de búsquedas seguras dentro de estos tres proveedores se actualizará usando la actualización de firma Aplicaciones y amenazas. Si un proveedor cambia el método de configuración de búsquedas seguras que usa Palo Alto Networks para detectar estas configuraciones, se llevará a cabo una actualización de firmas para garantizar que se detecta la configuración adecuadamente. Además, la evaluación para determinar si un sitio se considera seguro o no la realizan los proveedores de búsquedas, no Palo Alto Networks. Para evitar que los usuarios omitan esta función usando otros proveedores de búsquedas, configure el perfil de filtrado de URL para que bloquee la categoría de los motores de búsqueda y que se puedan permitir Bing, Google, Yahoo, Yandex y YouTube. Consulte la Guía del administrador de PAN-OS para obtener más información. Palo Alto Networks Políticas y perfiles de seguridad • 267 Perfiles de seguridad Tabla 147. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Logging de la cabecera HTTP La activación del logging de la cabecera HTTP proporciona visibilidad sobre los atributos incluidos en la solicitud de HTTP enviada a un servidor. Cuando están activados, uno o varios de los siguientes pares de valores de atributos se graban en el log de filtrado de URL: • Agente-usuario (User-Agent): El navegador web que utilizaba el usuario para acceder a la URL. Esta información se envía en la solicitud de HTTP al servidor. Por ejemplo, el agente-usuario puede ser Internet Explorer o Firefox. El valor Agente-usuario del log admite hasta 1024 caracteres. • Sitio de referencia: URL de la página web que enlazaba el usuario a otra página web; se trata del origen que ha redirigido (referencia) al usuario a la página web que se está solicitando. El valor del sitio de referencia en el log admite hasta 256 caracteres. • X reenviado para: opción del campo de encabezado que conserva la dirección IP del usuario que ha solicitado la página web. Le permite identificar la dirección IP del usuario. Es especialmente útil si tiene un servidor proxy en su red o ha implementado NAT de origen, algo que enmascara la dirección IP del usuario de tal forma que todas las solicitudes parecen originarse desde la dirección IP del servidor proxy o una dirección IP común. El valor de x reenviado para en el log admite hasta 128 caracteres. 268 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Perfiles de bloqueo de archivo Objetos > Perfiles de seguridad > Bloqueo de archivo Una política de seguridad puede incluir la especificación de un perfil de bloqueo de archivos que impida que los tipos de archivos seleccionados se carguen o descarguen, o que genere una alerta cuando se detecten. Si se selecciona la acción Reenviar, los tipos de archivos compatibles se enviarán a WildFire, donde serán analizados para buscar comportamientos malintencionados. La Tabla 149 enumera los formatos de archivo compatibles en el momento de esta publicación. Sin embargo, dado que en una actualización de contenido se puede añadir una nueva compatibilidad con un tipo de archivo, para ver la lista más actualizada, haga clic en Añadir en el campo Tipos de archivo del cuadro de diálogo Perfil de bloqueo de archivo. Para aplicar los perfiles de bloqueo de archivo a las políticas de seguridad, consulte “Definición de políticas de seguridad”. Las siguientes tablas describen la configuración de perfil de bloqueo de archivo: Tabla 148. Configuración de perfil de bloqueo de archivo Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de bloqueo de archivos cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Palo Alto Networks Políticas y perfiles de seguridad • 269 Perfiles de seguridad Tabla 148. Configuración de perfil de bloqueo de archivo (Continuación) Campo Descripción Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Reglas Defina una o más reglas para especificar la medida que se adoptará (si se especifica alguna) para los tipos de archivos seleccionados. Para añadir una regla, especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre para la regla (hasta 31 caracteres). • Aplicaciones: Seleccione las aplicaciones a las que afectará la regla o seleccione Cualquiera. • Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o para los que desee generar alertas. • Dirección: Seleccione la dirección de la transferencia de archivos (Cargar, Descargar o Ambos). • Acción: Seleccione la medida que se adoptará cuando se detecten archivos de los tipos seleccionados: – Alertar: Se añade una entrada al log de amenazas. – Bloquear: El archivo se bloquea. – Continuar: Aparecerá un mensaje para el usuario indicando que se ha solicitado una descarga y le pide confirmación para continuar. El propósito es advertir al usuario de una posible descarga desconocida (también se conocen como descargas drive-by) y darle al usuario la opción de continuar o detener la descarga. Cuando crea un perfil de bloqueo de archivos con la acción Continuar o Continuar y reenviar (utilizado para el reenvío de WildFire), únicamente puede elegir la aplicación navegación web. Si elige cualquier otra aplicación, el tráfico que coincida con la política de seguridad no fluirá hacia el cortafuegos debido al hecho de que los usuarios no verán una página que les pregunte si desean continuar. – Reenviar: El archivo se envía automáticamente a WildFire. – Continuar y reenviar: Aparece una página de continuación y el archivo se envía a WildFire (combina las acciones Continuar y Reenviar). Esta acción solo funciona con tráfico basado en web. Esto se debe al hecho de que un usuario debe hacer clic en continuar antes de que el archivo se reenvíe y la opción de página de respuesta de continuación solo está disponible con http/https. 270 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Tabla 149. Formatos de archivo compatibles con bloqueo de archivos Campo Descripción apk Archivo de paquete de aplicaciones Android avi Archivo de vídeo basado en el formato Microsoft AVI (RIFF) avi-divx Archivo de vídeo AVI codificado con el códec DivX avi-xvid Archivo de vídeo AVI codificado con el códec XviD bat Archivo por lotes MS DOS bmp-upload Archivo de imagen de mapa de bits (carga únicamente) cab Archivo comprimido de Microsoft Windows cdr Archivo de Corel Draw class Archivo bytecode de Java cmd Archivo de comandos de Microsoft dll Biblioteca de vínculos dinámicos de Microsoft Windows doc Documento de Microsoft Office docx Documento de Microsoft Office 2007 dpx Archivo Digital Picture Exchange dsn Archivo Database Source Name dwf Archivo Design Web Format de Autodesk dwg Archivo Autodesk AutoCAD edif Archivo Electronic Design Interchange Format email-link Al enviar el tipo de archivo email-link, el cortafuegos extrae los enlaces de HTTP/HTTPS contenidos en los mensajes de correo electrónico POP3 y SMTP y los envía a la nube de WildFire para su análisis (esta función no está admitida en el dispositivo WF-5000 WildFire). Observe que el cortafuegos solo extrae enlaces e información de sesión asociada (emisor, receptor y asunto) de los mensajes de correo electrónico que atraviesan el cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo electrónico. Después de recibir un enlace de correo electrónico de un cortafuegos, WildFire visita los enlaces para determinar si la página web correspondiente alberga alguna explotación. Si determina que la página es benigna, no se enviará ninguna entrada de log al cortafuegos. Si el enlace es malintencionado, se genera un informe de análisis detallado de WildFire en el log de presentaciones de WildFire y la URL se añade a PAN-DB. encrypted-doc Documento cifrado de Microsoft Office encrypted-docx Documento cifrado de Microsoft Office 2007 encrypted-office2007 Archivo cifrado de Microsoft Office 2007 encrypted-pdf Documento cifrado de Adobe PDF encrypted-ppt Documento cifrado de Microsoft PowerPoint encrypted-pptx Documento cifrado de Microsoft PowerPoint 2007 encrypted-rar Archivo cifrado rar Palo Alto Networks Políticas y perfiles de seguridad • 271 Perfiles de seguridad Tabla 149. Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción encrypted-xls Archivo cifrado de Microsoft Office Excel encrypted-xlsx Archivo cifrado de Microsoft Office Excel 2007 encrypted-zip Archivo cifrado zip exe Ejecutable de Microsoft Windows flash Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC. El archivo SWF suministra gráficos de vector, texto, vídeo y sonido en Internet; este contenido se ve en el reproductor Adobe Flash. El archivo SWC es un paquete comprimido de componentes SWF. flv Archivo de Adobe Flash Video gds Archivo Graphics Data System gif-upload Archivo de imagen GIF (carga únicamente) gzip Archivos comprimidos con la aplicación gzip hta Archivo de aplicación HTML iso Imagen de disco según la normativa ISO-9660 iwork-keynote Documentos de iWork Keynote de Apple iwork-numbers Documentos de iWork Numbers de Apple iwork-pages Documentos de iWork Pages de Apple jar Archivo Java jpeg-upload Archivo de imagen JPG/JPEG (carga únicamente) lnk Acceso directo a archivo de Microsoft Windows lzh Archivo comprimido con la utilidad/algoritmo lha/lhz mdb Archivo Microsoft Access Database mdi Archivo Microsoft Document Imaging mkv Archivo Matroska Video mov Archivo Apple Quicktime Movie mp3 Archivo de audio MP3 mp4 Archivo de audio MP4 mpeg Archivo de audio y vídeo con la compresión MPEG-1 o MPEG-2 msi Archivo paquete de Microsoft Windows Installer msoffice Archivo de Microsoft Office (doc, docx, ppt, pptx, pub, pst, rtf, xls, xlsx). Si quiere que el cortafuegos bloquee/reenvíe archivos de MS Office, se recomienda que seleccione el grupo “msoffice” para asegurarse de que se identificarán todos los tipos de archivos de MS Office admitidos en lugar de seleccionar individualmente cada tipo de archivo. ocx Archivo Microsoft ActiveX pdf Archivo Adobe Portable Document PE Microsoft Windows Portable Executable (exe, dll, com, scr, ocx, cpl, sys, drv, tlb) 272 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Tabla 149. Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción pgp Clave de seguridad o firma digital cifrada con software PGP pif Archivo de información de programas de Windows con instrucciones ejecutables pl Archivo de comandos Perl png-upload Archivo de imagen PNG (carga únicamente) ppt Presentación en Microsoft Office PowerPoint pptx Presentación en Microsoft Office PowerPoint 2007 psd Documento de Adobe Photoshop rar Archivo comprimido creado con winrar reg Archivo de registro de Windows rm Archivo RealNetworks Real Media rtf Archivo de documento de formato de texto enriquecido de Windows sh Archivo de comandos Shell de Unix stp Archivo de gráficos estándar para el intercambio de datos de modelo de productos en 3D tar Archivo comprimido tar de Unix tdb Archivo Tanner Database (www.tannereda.com) tif Archivo Windows Tagged Image torrent Archivo de BitTorrent wmf Metaarchivo de Windows para guardar imágenes de vectores wmv Archivo de vídeo Windows Media wri Archivo de documento de Windows Write wsf Archivo de comandos de Windows xls Microsoft Office Excel xlsx Microsoft Office 2007 Excel zcompressed Archivo Z comprimido en Unix, se descomprime con la utilidad uncompress Código postal Archivo Winzip/pkzip Palo Alto Networks Políticas y perfiles de seguridad • 273 Perfiles de seguridad Perfiles de filtrado de datos Objetos > Perfiles de seguridad > Filtrado de datos Una política de seguridad puede incluir la especificación de un perfil de filtrado de datos que ayuda a identificar información confidencial como números de tarjetas de crédito o de la seguridad social y que evita que dicha información salga del área protegida por el cortafuegos. Para aplicar los perfiles de filtrado de datos a las políticas de seguridad, consulte “Definición de políticas de seguridad”. Las siguientes tablas describen la configuración de perfil de filtrado de datos: Tabla 150. Configuración de Perfiles de filtrado de datos Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Captura de datos Seleccione la casilla de verificación para recopilar automáticamente los datos bloqueados por el filtro. Especifique una contraseña para Gestionar protección de datos en la página Configuración para ver sus datos capturados. Consulte “Definición de la configuración de gestión”. Para añadir un patrón de datos, haga clic en Añadir y especifique la siguiente información. 274 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Tabla 151. Configuración de patrones de datos Campo Descripción Patrón de datos Seleccione un patrón de datos existente de la lista desplegable Patrón de datos o configure un nuevo patrón de datos seleccionando Patrón de datos de la lista y especificando la siguiente información: • Nombre: Configure un nombre para el patrón de datos. • Descripción: Configure una descripción para el patrón de datos. • Compartido: Seleccione esta opción si el objeto del patrón de datos se compartirá en diferentes sistemas virtuales. • Peso: Especifique valores de unidades para los patrones especificados que se utilizarán en el cálculo de umbrales. Por ejemplo, si designa un peso de 5 para SSN#, cada instancia de un patrón SSN superará el umbral en 5. En otras palabras, la detección de diez patrones SSN dará como resultado 10 x 5 (peso) = 50. – CC#: Especifique un peso para el campo de tarjeta de crédito (intervalo 0-255). – SSN#: Especifique un peso para el campo del número de la seguridad social, donde el campo incluye guiones, como 123-45-6789 (intervalo 0-255, 255 es el peso máximo). – SSN# (sin guión): Especifique un peso para el campo del número de la seguridad social, donde la entrada se realiza sin guiones, como 123456789 (intervalo 0-255, 255 es el peso máximo). • Patrones personalizados: Para buscar un patrón de datos personalizado para el tráfico que cumpla este perfil, cree un patrón de datos personalizado haciendo clic en Añadir y especifique el nombre del patrón, expresión regular (regex) que se buscará y peso (0-255, 255 es el peso máximo). Puede añadir múltiples expresiones coincidentes al mismo perfil del patrón de datos. Aplicaciones Especifique las aplicaciones que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones enumeradas. Esta selección no bloquea todas las aplicaciones posibles, solo las enumeradas. • Haga clic en Añadir para especificar aplicaciones individuales. Tipos de archivos Especifique los tipos de archivos que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos enumerados. Esta selección no bloquea todos los posibles tipos de archivo, solo los enumerados. • Haga clic en Añadir para especificar tipos de archivos individuales. Dirección Especifique si desea aplicar el filtro en la dirección de la carga, descarga o ambas. Umbral de alerta Especifique el valor que activará la alerta. Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5, la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). Umbral de bloqueo Especifique el valor que activará el bloqueo. Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5, la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). Palo Alto Networks Políticas y perfiles de seguridad • 275 Perfiles de seguridad Perfiles DoS Objetos > Perfiles de seguridad > Protección DoS Los perfiles de protección DoS están diseñados para una selección muy precisa y los perfiles de protección de zona de aumento. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia para detectar un ataque de DoS. Estos perfiles se adjuntan a políticas de protección de DoS para permitirle controlar el tráfico entre interfaces, zonas, direcciones y países según sesiones agregadas o direcciones IP únicas de origen o o destino. Para aplicar perfiles DoS a políticas DoS, consulte “Definición de políticas DoS”. Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para permitir la fragmentación de IP y la protección de ICMPv6, debe crear un perfil de protección de zona distinto para la puerta de enlace compartida. Para activar la protección frente a inundaciones SYN en una puerta de enlace compartida, puede aplicar un perfil de protección de inundación SYN con descarte aleatorio temprano o cookies SYN; en una zona externa solo está disponible el descarte aleatorio temprano para la protección frente a inundación SYN 276 • Políticas y perfiles de seguridad Palo Alto Networks Perfiles de seguridad Las siguientes tablas describen la configuración de perfil de DoS: Tabla 152. Configuración de perfiles DoS Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Tipo Especifique uno de los tipos de perfil siguientes: • Agregar: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplan los criterios de la regla en la que se aplica el perfil. Por ejemplo, una regla de agregación con un umbral de inundación SYN de 10000 paquetes por segundo (pps) cuenta todos los paquetes que cumplen esa regla DoS concreta. • Clasificado: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplen el criterio de clasificación (IP de origen, IP de destino, o IP de origen y destino). Pestaña Protección contra inundaciones Pestaña secundaria Inundación SYN Seleccione la casilla de verificación para activar la protección de inundación SYN y especificar los siguientes ajustes: Pestaña secundaria Inundación de UDP • Acción: (Inundación SYN únicamente) Seleccione entre las siguientes opciones: Pestaña secundaria Inundación de ICMP – Descarte aleatorio temprano: Descarta paquetes de forma aleatoria antes de alcanzar el límite DoS. Otras pestañas secundarias – Cookies SYN: Utilice esta opción para generar confirmaciones, de forma que no sea necesario cancelar conexiones en presencia de un ataque de inundación SYN. • Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma DoS (intervalo 0-2000000 pps, por defecto, 10000 pps). • Activar tasa: Seleccione la tasa (pps) a la que se activará la respuesta DoS (intervalo 0-2000000 pps, por defecto, 10000 pps). • Tasa máxima: Especifique la tasa a la que los paquetes se descartarán o se bloquearán. • Duración del bloqueo: Especifique la duración (en segundos) durante la que los paquetes infractores se denegarán. Los paquetes que lleguen durante la duración del bloqueo no afectarán al recuento para activar las alertas. Nota: Si define límites de umbral de paquetes por segundo (pps) de perfiles de protección de zonas, el umbral se basa en los paquetes por segundo que no coinciden con ninguna sesión establecida previamente. Palo Alto Networks Políticas y perfiles de seguridad • 277 Otros objetos de las políticas Tabla 152. Configuración de perfiles DoS (Continuación) Campo Descripción Pestaña Protección de recursos Sesiones Seleccione la casilla de verificación para habilitar la protección de los recursos. Máx. de límites simultáneos Especifique el número máximo de sesiones simultáneas. Si el tipo de perfil DoS es de agregación, este límite se aplica a todo el tráfico entrante que cumple la regla DoS en la que se aplica el perfil DoS. Si el tipo de perfil DoS es de clasificación, este límite se aplica a todo el tráfico clasificado (IP de origen, IP de destino, o IP de origen y destino) que cumple la regla DoS en la que se aplica el perfil DoS. Otros objetos de las políticas Los objetos de las políticas son los elementos que le permiten construir, programar y buscar políticas. Los siguientes tipos de elementos son compatibles: • Direcciones y grupos de direcciones para determinar el ámbito de la política. Consulte “Definición de grupos de direcciones”. • Aplicaciones y grupos de aplicaciones que permiten especificar cómo se tratan las aplicaciones de software en las políticas. Consulte “Aplicaciones y grupos de aplicaciones”. • Filtros de aplicación que permiten simplificar búsquedas. Consulte “Filtros de aplicación”. • Servicios y grupos de servicios que limitan los números de puertos. Consulte “Servicios”. • Etiquetas para ordenar y filtrar objetos. Consulte “Trabajo con etiquetas”. • Patrones de datos para definir categorías de información confidencial para políticas de filtrado de datos. Consulte “Patrones de datos”. • Categorías URL personalizadas que contienen sus propias listas de URL que se incluyen como grupo en perfiles de filtrado URL. Consulte “Categorías de URL personalizadas”. • Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las amenazas. Consulte “Grupos de perfiles de seguridad”. • Reenvío de log para especificar configuraciones de log. Consulte “Reenvío de logs”. • Programaciones para especificar cuándo están las políticas activas. Consulte “Programaciones”. 278 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas Definición de objetos de direcciones Objetos > Direcciones Un objeto de dirección puede incluir una dirección IPv4 o IPv6 (dirección IP simple, intervalo, subred) o FQDN. Le permite reutilizar el mismo objeto como dirección de origen o destino en todas las bases de reglas de políticas sin tener que añadirlas cada vez de forma manual. Se configura usando la interfaz web o la CLI y se requiere una operación de compilación para hacer que el objeto forme parte de la configuración. Para definir un objeto de dirección, haga clic en Añadir y cumplimente los siguientes campos. Tabla 153. Configuración de nuevas direcciones Campo Descripción Nombre Introduzca un nombre que describe las direcciones que se definirán (de hasta 63 caracteres). Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está habilitado para operar en el modo de varios sistemas virtuales, seleccione esta casilla de verificación para compartir el objeto de dirección con todos los sistemas virtuales del dispositivo. En Panorama, seleccione la casilla de verificación de Compartido para compartir el objeto con todos los grupos del dispositivo. Si no está seleccionada, el objeto pertenecerá al grupo del dispositivo que se muestre en la lista desplegable Grupo de dispositivos. Descripción Introduzca una descripción del objeto (hasta 255 caracteres). Tipo Especifique una dirección o intervalo de direcciones IPv4 o IPv6 o FQDN. Máscara de red IP: Introduzca la dirección IPv4 o IPv6 o la el intervalo de la dirección IP con la siguiente notación: dirección_ip/máscara o dirección_ip donde la máscara es el número de dígitos binarios significativos utilizados para la porción de red de la dirección. Ejemplo: “192.168.80.150/32” indica una dirección y “192.168.80.0/24” indica todas las direcciones desde 192.168.80.0 hasta 192.168.80.255. Ejemplo: “2001:db8:123:1::1” o “2001:db8:123:1::/64” Intervalo de IP: Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un intervalo de direcciones. El formato es: dirección_ip–dirección_ip donde cada dirección puede ser IPv4 o IPv6. Ejemplo: “2001:db8:123:1::1 - 2001:db8:123:1::22” Palo Alto Networks Políticas y perfiles de seguridad • 279 Otros objetos de las políticas Tabla 153. Configuración de nuevas direcciones (Continuación) Campo Descripción Tipo (continuación) FQDN: Para especificar una dirección mediante FQDN, seleccione FQDN e introduzca el nombre de dominio. FQDN se resuelve inicialmente en el momento de la compilación. Por tanto, las entradas se actualizan cuando el cortafuegos realiza una comprobación cada 30 minutos; todos los cambios en la dirección IP de las entradas se recogen en el ciclo de actualización. FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy DNS, si se configura un proxy. Para obtener información acerca del proxy DNS, consulte “Proxy DNS”. Etiquetas Seleccione o introduzca etiquetas que desee aplicar a este objeto de dirección. Puede definir una etiqueta aquí o usar la pestaña Objetos > Etiquetas para crear etiquetas nuevas. Si desea más información sobre etiquetas, consulte “Trabajo con etiquetas”. Definición de grupos de direcciones Objetos > Grupos de direcciones Para simplificar la creación de políticas de seguridad, las direcciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de direcciones. Un grupo de direcciones puede ser estático o dinámico. • Grupos de direcciones dinámicas: Un grupo de direcciones dinámicas cumplimenta sus miembros dinámicamente usando búsquedas de etiquetas y filtros basados en etiquetas. Los grupos de direcciones dinámicas son muy útiles si tiene una infraestructura virtual amplia con cambios frecuentes en la ubicación de la máquina virtual o la dirección IP. Por ejemplo, si tiene una configuración de conmutación por error o incluye nuevas máquinas virtuales con frecuencia y le gustaría aplicar una política al tráfico que va o que procede de la nueva máquina sin modificar la configuración o las reglas del cortafuegos. A diferencia de los grupos de direcciones estáticas, en los que se especifica una dirección de red en un host, los miembros de un grupo de direcciones dinámicas se cumplimentan definiendo un criterio de coincidencia. El criterio de coincidencia usa operadores lógicos y u o; cada host que quiera añadir al grupo de direcciones dinámicas debe incluir la etiqueta o atributo definido en el criterio de coincidencia. Las etiquetas se pueden definir directamente en el cortafuegos o en Panorama, así como definirse dinámicamente usando la API XML y registrarse en el cortafuegos. Cuando se registra una dirección IP y la etiqueta correspondiente (una o más), cada grupo dinámico evalúa las etiquetas y actualiza la lista de miembros de su grupo. Para registrar una nueva dirección IP y etiquetas o cambios en las direcciones IP o etiquetas actuales, debe usar secuencias de comandos que activen la API XML en el cortafuegos. Si dispone de un entorno virtual con VMware, en lugar de usar secuencias de comandos para activar la API XML, puede usar la función Orígenes de información de VM (pestaña Dispositivo > Orígenes de información de VM) para configurar el 280 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas cortafuegos de modo que supervise el host ESX(i) o vCenterServer y recuperar información (dirección de red y etiquetas correspondientes) de nuevos servidores/ invitados implementados en estas máquinas virtuales. Para usar un grupo de direcciones dinámicas en la política, debe realizar las siguientes tareas. – Defina un grupo de direcciones dinámicas y haga referencia al mismo en la regla de política. – Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que puedan formarse los grupos de direcciones dinámicas. Esto se puede hacer usando secuencias de comandos externas que usen la API XML en el cortafuegos o un entorno basado en VMware configurando en la pestaña Dispositivo > Orígenes de información de VM en el cortafuegos. Los grupos de direcciones dinámicas también pueden incluir objetos de direcciones definidas estáticamente. Si crea un objeto de dirección y aplica las mismas etiquetas que ha asignado al grupo de direcciones dinámicas, este incluirá todos los objetos estáticos y dinámicos que coincidan con las etiquetas. Por lo tanto, puede usar etiquetas para agrupar objetos tanto dinámicos como estáticos en el mismo grupo de direcciones. • Grupos de direcciones estáticas: Un grupo de direcciones estáticas puede incluir objetos de dirección que sean estáticas, grupos de direcciones dinámicas o puede ser una combinación de objetos de dirección y grupos de direcciones dinámicas. Para crear un grupo de direcciones, haga clic en Añadir y cumplimente los siguientes campos. Palo Alto Networks Políticas y perfiles de seguridad • 281 Otros objetos de las políticas Tabla 154. Grupo de direcciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de direcciones (de hasta 63 caracteres). Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está habilitado para operar en el modo de varios sistemas virtuales, seleccione esta casilla de verificación para compartir el objeto de dirección con todos los sistemas virtuales del dispositivo. En Panorama, seleccione la casilla de verificación de Compartido para compartir el objeto con todos los grupos del dispositivo. Si no está seleccionada, el objeto pertenecerá al grupo del dispositivo que se muestre en la lista desplegable Grupo de dispositivos. Descripción Tipo Introduzca una descripción del objeto (hasta 255 caracteres). Seleccione Estático o Dinámico. Para usar un grupo de direcciones dinámicas, use el criterio de coincidencia para incluir los miembros en el grupo. Defina el criterio Coincidencia usando los operadores Y u O. Nota: Para ver la lista de atributos del criterio de coincidencia, debe haber configurado el cortafuegos para acceder y recuperar los atributos desde el origen/ host. Cada máquina virtual en el origen de información configurado se registra en el cortafuegos, que puede realizar un sondeo de la máquina para recuperar cambios en direcciones IP o en la configuración sin modificaciones en el cortafuegos. Para un grupo de direcciones estáticas, haga clic en Añadir y seleccione una o más direcciones. Haga clic en Añadir para añadir un objeto o un grupo de direcciones al grupo de direcciones. El grupo puede contener objetos de direcciones y grupos de direcciones tanto estáticas como dinámicas. Etiquetas Seleccione o introduzca etiquetas que desee aplicar a este grupo de direcciones. Si desea más información sobre etiquetas, consulte “Trabajo con etiquetas”. Definición de regiones Objetos > Regiones El cortafuegos permite la creación de reglas de políticas aplicables a países concretos y otras regiones. La región está disponible como una opción si especifica el origen y el destino de las políticas de seguridad, políticas de descifrado y políticas DoS. Puede elegir entre una lista estándar de países o usar los ajustes de región que se describen en esta región, para definir las regiones personalizadas que se incluirán como opciones para reglas de política de seguridad. 282 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas Las siguientes tablas describen la configuración regional: Tabla 155. Configuración de nuevas direcciones Campo Descripción Nombre Introduzca un nombre que describe la región (de hasta 31 caracteres). Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación geográfica Para especificar la latitud y la longitud, seleccione la casilla de verificación y los valores (formato xxx.xxxxxx). Esta información se utiliza en los mapas de tráfico y amenazas de Appscope. Consulte “Uso de Appscope” . Direcciones Especifique una dirección IP, un intervalo de direcciones IP o una subred para identificar la región, utilizando cualquiera de los siguientes formatos: x.x.x.x x.x.x.x-a.a.a.a x.x.x.x/n Palo Alto Networks Políticas y perfiles de seguridad • 283 Otros objetos de las políticas Aplicaciones y grupos de aplicaciones Objetos > Aplicaciones La página Aplicaciones muestra los diferentes atributos de cada definición de aplicación, como el riesgo de seguridad relativo de la aplicación (1 a 5). El valor del riesgo se basa en criterios como si la aplicación puede compartir archivos, si es proclive a un uso incorrecto o a intentos de evasión de cortafuegos. Los valores mayores indican un mayor riesgo. El área superior de navegación de la aplicación muestra los atributos que puede utilizar para filtrar la vista. El número a la izquierda de cada entrada representa el número total de aplicaciones con ese atributo. El cortafuegos busca los patrones definidos de forma personalizada en el tráfico de la red y toma las medidas especificadas para la aplicación. PAN-OS proporciona la capacidad de desarrollar firmas para los contextos dentro de los siguientes protocolos: Se agregan periódicamente nuevos descodificadores y contextos en publicaciones semanales de contenido. Según la actualización de contenido 424, se admiten los siguientes descodificadores: HTTP, HTTPS, DNS, FTP, IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH, GNU-Debugger, GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (también conocido como CIFS). Además, según la versión 4.0 de PAN-OS, esta capacidad de App-ID personalizada se ha ampliado para incluir también TCP desconocido y UDP desconocido. Puede realizar cualquiera de las siguientes funciones en esta página: • Para aplicar filtros de aplicación, haga clic en un elemento que desee utilizar como base para el filtrado. Por ejemplo, para restringir la lista a la categoría de redes, haga clic en Networking y la lista solo mostrará las aplicaciones de red. • Para filtrar por más columnas, seleccione una entrada en otra de las columnas. El filtrado es sucesivo: en primer lugar se aplican los filtros de categoría, a continuación los filtros de subcategoría, riesgos y, finalmente, los filtros de características. Por ejemplo, la siguiente ilustración muestra el resultado de aplicar una categoría, subcategoría y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnología se restringe automáticamente a las tecnologías que cumplen los requisitos de la categoría y subcategorías seleccionadas, aunque no se haya aplicado explícitamente un filtro de tecnología. Cada vez que se aplica un filtro, la lista de aplicaciones de la parte inferior de la página se actualiza automáticamente, tal y como se muestra en la siguiente ilustración. Los filtros guardados se pueden visualizar en Objetos > Filtros de aplicación. 284 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas • Para buscar una aplicación concreta, introduzca el nombre o descripción de la aplicación en el campo Búsqueda y pulse Intro. Se mostrará la aplicación y las columnas de filtrado se actualizarán con las estadísticas de las aplicaciones que coinciden con la búsqueda. Una búsqueda incluye cadenas parciales. Cuando defina políticas de seguridad, puede escribir reglas que se aplicarán a todas las aplicaciones que coincidan con un filtro guardado. Estas reglas se actualizan dinámicamente cuando se añade una nueva aplicación mediante una actualización de contenido que coincida con el filtro. • Para ver detalles adicionales sobre la aplicación o personalizar el riesgo y los valores de tiempo de espera, como se describe en la siguiente tabla, haga clic en el nombre de la aplicación. Un lápiz amarillo sobre el icono que aparece a la izquierda del nombre de la aplicación significa que la aplicación se ha personalizado. Observe que los ajustes disponibles varían de una aplicación a otra. Palo Alto Networks Políticas y perfiles de seguridad • 285 Otros objetos de las políticas Las siguientes tablas describen la configuración de la aplicación: Tabla 156. Detalles de la aplicación Elemento descripción Nombre Nombre de la aplicación. Descripción Descripción de la aplicación (hasta 255 caracteres). Información adicional Enlaces a sitios web (Wikipedia, Google o Yahoo!) que contienen más información sobre la aplicación. Puertos estándar Puertos que utiliza la aplicación para comunicarse con la red. Depende de aplicaciones Lista de otras aplicaciones necesarias para el funcionamiento de esta aplicación. Evasiva Indica si la aplicación intenta evitar los cortafuegos. Uso de ancho de banda excesivo Indica si la aplicación utiliza un ancho de banda excesivo que puede comprometer el rendimiento de la red. Utilizada por software malintencionado Indica si hay software malintencionado que utiliza la aplicación. Capaz de transferir archivos Indica si la aplicación puede transferir archivos o no. Tiene vulnerabilidades conocidas Indica si la aplicación tiene vulnerabilidades conocidas actualmente. Tuneliza otras aplicaciones Indica si la aplicación puede utilizar otras aplicaciones en los mensajes que envía. Proclive al uso indebido Indica si la aplicación tiende a inducir un uso indebido. Ampliamente utilizado Indica si los efectos de la aplicación son amplios. Categoría Categoría de aplicación. Subcategoría Subcategoría de aplicación. Tecnología Tecnología de la aplicación. Riesgo asignado de la aplicación. Riesgo Tiempo de espera de sesión Para personalizar este ajuste, haga clic en el enlace Personalizar e introduzca un valor (1-5), y haga clic en ACEPTAR. Período de tiempo (en segundos) necesario para agotar el tiempo de espera por inactividad (1-604800 segundos). Este tiempo de espera es para protocolos diferentes a TCP o UDP. En el caso de TCP y UDP, consulte las siguientes filas de esta tabla. Para personalizar este ajuste, haga clic en el enlace Personalizar introduzca un valor (segundos), y haga clic en ACEPTAR. Tiempo de espera para finalizar un flujo de aplicación TCP (1-604800 segundos). Tiempo de espera de TCP (segundos) 286 • Políticas y perfiles de seguridad Para personalizar este ajuste, haga clic en el enlace Personalizar introduzca un valor (segundos), y haga clic en ACEPTAR. Un valor de 0 no indica la ausencia de tiempo de espera, indica que se usará el temporizador de sesión global, que es 3600 segundos para TCP. Palo Alto Networks Otros objetos de las políticas Tabla 156. Detalles de la aplicación (Continuación) Elemento Tiempo de espera de UDP (segundos): descripción Tiempo de espera para finalizar un flujo de aplicación UDP (1-604800 segundos). Para personalizar este ajuste, haga clic en el enlace Personalizar introduzca un valor (segundos), y haga clic en ACEPTAR. Tiempo máximo que una sesión permanece en la tabla de la sesión entre la recepción del primer FIN y la recepción del segundo FIN o RST. Cuando el temporizador caduca, la sesión se cierra. TCP semicerrado (segundos) Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación, se utiliza el ajuste global. El rango es 1-604800 segundos Si este valor se configura en el nivel de aplicación, cancela el ajuste global TCP semicerrado. Tiempo máximo que una sesión permanece en la tabla de la sesión después de la recepción del segundo FIN o RST. Cuando el temporizador caduca, la sesión se cierra. Tiempo de espera TCP (segundos) Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación, se utiliza el ajuste global. El rango es 1-600 segundos Si este valor se configura en el nivel de aplicación, cancela el ajuste global Tiempo de espera TCP. Si el cortafuegos no puede identificar una aplicación utilizando el ID de la aplicación, el tráfico se clasifica como desconocido: TCP desconocido o UDP desconocido. Este comportamiento se aplica a todas las aplicaciones desconocidas, excepto aquellas que emulan HTTP completamente. Para obtener más información, consulte “Trabajo con informes de Botnet”. Puede crear nuevas definiciones para aplicaciones desconocidas y a continuación, definir políticas de seguridad para las nuevas definiciones de la aplicación. Además, las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones para simplificar la creación de políticas de seguridad. Palo Alto Networks Políticas y perfiles de seguridad • 287 Otros objetos de las políticas Definición de aplicaciones Objetos > Aplicaciones Utilice la página Aplicaciones para añadir una nueva aplicación a la evaluación del cortafuegos cuando aplique políticas. Tabla 157. Configuración de nuevas aplicaciones Campo Descripción Pestaña Configuración Nombre Introduzca el nombre de la aplicación (de hasta 31 caracteres). Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, puntos, guiones y guiones bajos. El primer carácter debe ser una letra. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir la aplicación entre todos los sistemas virtuales. Descripción Introduzca una descripción de la aplicación como referencia general (hasta 255 caracteres). Categoría Seleccione la categoría de la aplicación, como correo electrónico o base de datos. Para ver una descripción de cada categoría, consulte “Categorías y subcategorías de aplicación”. Esta categoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de comando de aplicación”). Subcategoría Seleccione la subcategoría de la aplicación, como correo electrónico o base de datos. Para ver una descripción de cada subcategoría, consulte “Categorías y subcategorías de aplicación”. Esta subcategoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de comando de aplicación”). Tecnología Seleccione la tecnología de la aplicación. Para ver una descripción de cada tecnología, consulte “Tecnologías de la aplicación”. Aplicación primaria Especifique una aplicación principal para esta aplicación. Este ajuste se aplica cuando en una sesión coinciden las aplicaciones principal y personalizadas; sin embargo, se registra la aplicación personalizada porque es más específica. Riesgo Seleccione el nivel de riesgo asociado con esta aplicación (1= el más bajo a 5= el más alto). Características Seleccione las características de la aplicación que pueden poner en riesgo la aplicación. Para ver una descripción de cada característica, consulte “Características de la aplicación”. Pestaña Avanzada 288 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas Tabla 157. Configuración de nuevas aplicaciones (Continuación) Campo Descripción Puerto Si el protocolo que utiliza la aplicación es TCP y/o UDP, seleccione Puerto e introduzca una o más combinaciones del protocolo y número de puerto (una entrada por línea). El formato general es: <protocolo>/<puerto> donde <puerto> es un número de puerto único; o dinámica para una asignación dinámica de puertos. Ejemplos: TCP/dinámica o UDP/32. Este ajuste se aplica si utiliza app-default en la columna Service de una regla de seguridad. Protocolo IP Especifique un protocolo IP diferente a TCP o UDP, seleccionando Protocolo IP e introduciendo el número del protocolo (1 a 255). Tipo de ICMP Especifique un tipo de protocolo de mensajes de control de Internet versión 4 (ICMP), seleccionando Tipo de ICMP e introduciendo el número (intervalo 0-255). Tipo de ICMP6 Especifique un tipo de protocolo de mensajes de control de Internet versión 6 (ICMPv6), seleccionando Tipo de ICMP6 e introduciendo el número (intervalo 0-255). Ninguno Especifique firmas independientes de protocolo, seleccionando Ninguno. Tiempo de espera Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación (intervalo 0-604800 segundos). Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Este valor se utiliza para protocolos diferentes de TCP y UDP en todos los casos y para tiempos de espera TCP y UDP cuando no se especifican los tiempos de espera TCP y UDP. Tiempo de espera de TCP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación TCP (intervalo 0-604800 segundos). Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Tiempo de espera de UDP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación UDP (intervalo 0-604800 segundos). Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. TCP semicerrado Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión entre la recepción del primer FIN y la recepción del segundo FIN o RST. Cuando el temporizador caduca, la sesión se cierra. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación, se utiliza el ajuste global. El rango es 1-604800 segundos. Si este valor se configura en el nivel de aplicación, cancela el ajuste global TCP semicerrado. Tiempo de espera TCP Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión después de la recepción del segundo FIN o RST. Cuando el temporizador caduca, la sesión se cierra. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación, se utiliza el ajuste global. El rango es 1-600 segundos Si este valor se configura en el nivel de aplicación, cancela el ajuste global Tiempo de espera TCP. Palo Alto Networks Políticas y perfiles de seguridad • 289 Otros objetos de las políticas Tabla 157. Configuración de nuevas aplicaciones (Continuación) Campo Descripción Analizando Seleccione las casillas de verificación de los tipos de análisis que desee permitir, en función de los perfiles de seguridad (tipos de archivos, patrones de datos y virus). Pestaña Firma Firmas Haga clic en Añadir para agregar una firma nueva y especificar la siguiente información: • Nombre de firma: Introduzca un nombre para identificar la firma. • Comentarios: Introduzca una descripción opcional. • Ámbito: Seleccione si desea aplicar esta firma a la transacción actual únicamente o a la sesión completa del usuario. • Importa el orden de las condiciones: Seleccione si el orden en que se definen las condiciones de la firma es importante. Especifique las condiciones para definir las firmas: • Añada una condición haciendo clic en Añadir condición AND o Añadir condición OR. Para añadir una condición en un grupo, seleccione el grupo y haga clic en Añadir condición. • Seleccione un operador entre Coincidencia de patrones e Igual que. Si selecciona el operador de coincidencia de patrones, especifique las siguientes opciones: – Contexto: Seleccione uno de los contextos disponibles. – Patrón: Especifique una expresión regular. Consulte Tabla 162 para ver reglas de patrones de expresiones regulares. – Calificador y Valor: Puede añadir pares de calificador/valor. • Si selecciona el operador de coincidencia igual que, especifique las siguientes opciones: – Contexto: Seleccione entre solicitudes desconocidas y respuestas de TCP o UDP. – Posición: Seleccione los primeros cuatro bytes o los segundos cuatro en la carga. – Máscara: Especifique un valor hexadecimal de 4 bytes, por ejemplo, 0xffffff00. – Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo, 0xaabbccdd. • Para mover una condición en un grupo, seleccione la condición y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover un grupo, seleccione el grupo y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. No puede mover condiciones de un grupo a otro. No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de application override. Para importar una aplicación, haga clic en Importar. Navegue y seleccione el archivo y el sistema virtual de destino en la lista desplegable Destino. Para exportar la aplicación, seleccione la casilla de verificación de la aplicación y haga clic en Exportar. Siga las instrucciones para guardar el archivo. 290 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas Definición de grupos de aplicaciones Objetos > Grupos de aplicaciones Para simplificar la creación de políticas de seguridad, las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en un grupo de aplicaciones. (Para definir una nueva aplicación, consulte “Definición de aplicaciones”.) Tabla 158. Nuevo grupo de aplicaciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de aplicaciones (de hasta 31 caracteres). Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Aplicaciones Haga clic en Añadir y seleccione las aplicaciones, filtros de aplicaciones y/o grupos de aplicaciones diferentes que se incluirán en este grupo. Filtros de aplicación Objetos > Filtros de aplicaciones Puede definir filtros de aplicaciones para simplificar las búsquedas repetidas. Para definir filtros de aplicaciones para simplificar las búsquedas repetidas, haga clic en Añadir e introduzca el nombre del filtro. En el área superior de la ventana, haga clic en un elemento que desee utilizar como base para el filtrado. Por ejemplo, para restringir la lista a la categoría de redes, haga clic en networking. Para filtrar por más columnas, seleccione una entrada las columnas para mostrar las casillas de verificación. El filtrado es sucesivo: en primer lugar se aplican los filtros de categoría, a continuación los filtros de subcategoría, riesgos y, finalmente, los filtros de características. Por ejemplo, la siguiente ilustración muestra el resultado de elegir una categoría, subcategoría y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnología se restringe automáticamente a las tecnologías que cumplen los requisitos de la categoría y subcategorías seleccionadas, aunque no se haya aplicado explícitamente un filtro de tecnología. A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza automáticamente, tal y como se muestra en la ilustración. Palo Alto Networks Políticas y perfiles de seguridad • 291 Otros objetos de las políticas Servicios Objetos > Servicios Cuando define políticas de seguridad de aplicaciones específicas, puede seleccionar uno o más servicios para limitar el número de puertos que las aplicaciones pueden utilizar. El servicio predeterminado es Cualquiera, que permite todos los puertos TCP y UDP. Los servicios HTTP y HTTPS son los predefinidos, pero puede agregar más definiciones de servicios. Los servicios que se suelen asignar juntos se pueden combinar en grupos de servicios para simplificar la creación de políticas de seguridad (consulte “Grupos de servicios”). 292 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas La siguiente tabla describe la configuración del servicio: Tabla 159. Configuración de servicios Campo Descripción Nombre Introduzca el nombre del servicio (de hasta 63 caracteres). Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción del servicio (hasta 255 caracteres). Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir su uso compartido por todos los sistemas virtuales. Protocolo Seleccione el protocolo que utiliza el servicio (TCP o UDP). Puerto de destino Introduzca el número de puerto de destino (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica varios puertos o intervalos, deben estar separados por comas. El puerto de destino es obligatorio. Puerto de origen Introduzca el número de puerto de origen (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica varios puertos o intervalos, deben estar separados por comas. El puerto de origen es opcional. Grupos de servicios Objetos > Grupos de servicios Para simplificar la creación de políticas de seguridad, puede combinar los servicios con los mismos ajustes de seguridad en grupos de servicios. Para definir nuevos servicios, consulte “Servicios”. La siguiente tabla describe la configuración del grupo de servicios: Tabla 160. Configuración de grupos de servicios Campo Descripción Nombre Introduzca el nombre del grupo de servicios (de hasta 63 caracteres). Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Servicio Haga clic en Añadir para agregar servicios al grupo. Realice su selección en la lista desplegable o haga clic en Servicio, en el enlace en la parte inferior de la lista desplegable y especifique la configuración. Consulte “Servicios” para obtener una descripción de la configuración. Palo Alto Networks Políticas y perfiles de seguridad • 293 Otros objetos de las políticas Trabajo con etiquetas Objetos > Etiquetas Las etiquetas le permiten agrupar objetos usando palabras clave o frases. Las etiquetas pueden aplicarse a objetos de dirección, grupos de direcciones (estáticas y dinámicas), zonas, servicios, grupos de servicios y reglas de políticas. Al etiquetarla, la palabra clave sirve para ordenar o filtrar objetos; para distinguir objetos visualmente, también puede aplicar un color a una etiqueta. Al aplicar un color a una etiqueta, la pestaña Política muestra el objeto con el color de fondo. Use esta etiqueta para crear, asignar un color, eliminar, renombrar y duplicar etiquetas. Cada objeto puede tener hasta 64 etiquetas; cuando un objeto tiene varias etiquetas, muestra el color de la primera etiqueta de la lista de etiquetas aplicada. La pestaña Objetos > Etiquetas solo muestra las etiquetas definidas localmente en el cortafuegos (o en Panorama). Si ha configurado grupos de direcciones dinámicas, esta pestaña no muestra las etiquetas que se recuperan dinámicamente desde los orígenes de información de VM del cortafuegos. Para añadir una nueva pestaña, haga clic en Añadir y, a continuación, cumplimente los siguientes campos: Tabla 161. Configuración de etiqueta Campo Descripción Nombre Introduzca un nombre de etiqueta exclusivo (de hasta 127 caracteres). El nombre no distingue entre mayúsculas y minúsculas. Compartido Seleccione la opción Compartido si quiere compartir la etiqueta con todos los sistemas virtuales en un cortafuegos con capacidad para múltiples sistemas virtuales. Si no la selecciona, la etiqueta pertenecerá al Sistema virtual seleccionado actualmente en la lista desplegable. En Panorama, una etiqueta puede pertenecer al grupo de dispositivos seleccionado o puede ser un objeto compartido con todos los grupos de dispositivos. Color Seleccione un color de la paleta de colores de la lista desplegable. El valor predeterminado es Ninguno. Comentarios Añada una etiqueta o descripción para recordar la función de la etiqueta. 294 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas Patrones de datos El patrón de datos le permite especificar categorías de información confidencial que desea someter al filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre cómo configurar patrones de datos, consulte “Listas de bloqueos dinámicos”. Cuando añade un nuevo patrón (expresión regular), se aplican los siguientes requisitos generales: • El patrón debe tener una cadena de al menos 7 bytes. Puede contener más de 7 bytes, pero no menos. • La búsqueda de cadenas distingue entre mayúsculas y minúsculas, como la mayoría de motores de expresiones regulares. La búsqueda de “confidencial” es diferente de la búsqueda de “Confidencial” o “CONFIDENCIAL”. La sintaxis de expresión regular en PAN-OS es similar a la de los motores de expresiones regulares tradicionales, pero cada motor es único. La tabla siguiente describe la sintaxis compatible con PAN-OS. Tabla 162. Reglas de patrones Sintaxis Descripción . Busca cualquier carácter único. ? Busca el carácter o la expresión anterior 0 o 1 veces. La expresión general DEBE estar entre paréntesis. Ejemplo: (abc)? * Busca el carácter o la expresión anterior 0 o más veces. La expresión general DEBE estar entre paréntesis. Ejemplo: (abc)* + Busca el carácter o la expresión anterior 1 o más veces. La expresión general DEBE estar entre paréntesis. Ejemplo: (abc)+ | Equivalente a “o”. Ejemplo: ((bif)|(scr)|(exe)) busca “bif”, “scr” o “exe”. Tenga en cuenta que las subcadenas deben estar entre paréntesis. - Se utiliza para crear expresiones de intervalo. Ejemplo: [c-z] busca cualquier carácter entre c y z, ambos inclusive. [] Busca cualquier carácter. Ejemplo: [abz]: coincide con cualquiera de los caracteres a, b o z. ^ Busca cualquier carácter excepto. Ejemplo: [^abz] busca cualquier carácter excepto a, b, o z. {} Número mínimo/máximo de bytes. Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de una cadena fija y solo admite “-”. \ Para realizar una búsqueda literal de uno de los caracteres especiales anteriores, DEBE definirse como carácter de escape precediéndolo de “\” (barra diagonal inversa). & & es un carácter especial, por lo que para buscar “&” en una cadena debe utilizar “&”. Palo Alto Networks Políticas y perfiles de seguridad • 295 Otros objetos de las políticas Ejemplos de patrones de datos A continuación se incluyen algunos ejemplos de patrones personalizados válidos: • .*((Confidencial)|(CONFIDENCIAL)) – Busca la palabra “Confidencial” o “CONFIDENCIAL” en cualquier parte – “.*” al principio especifica que se debe buscar en cualquier parte en la secuencia – No busca “confidencial” (todas en minúscula) • .*((Privado & Confidencial)|(Privado y Confidencial)) – Busca “Privado & Confidencial” o “Privado y Confidencial” – Es más preciso que buscar “Confidencial” • .*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador)) – Busca “Comunicado de prensa” seguido de las diferentes formas de la palabra borrador, lo que puede indicar que el comunicado de prensa no está preparado aún para ser emitido. • .*(Trinidad) – Busca un nombre de código de proyecto, como “Trinidad” Categorías de URL personalizadas Objetos > Categorías URL personalizadas La función de categorías URL personalizadas permite crear sus propias listas de URL que puede seleccionar en cualquier perfil de filtrado de URL. Cada una de las categorías se puede controlar de forma independiente y tendrá una acción asociada en cada perfil de filtrado URL (permitir, bloquear, continuar, cancelar, alertar o ninguno). La acción ninguno solo se aplica a las categorías de URL personalizadas. El objetivo de seleccionar la opción ninguno es garantizar que si existen varios perfiles de URL, la categoría personalizada no influirá en otros perfiles. Por ejemplo, si tiene dos perfiles URL y la categoría URL personalizada se establece para bloquear en uno de los perfiles, el otro perfil debería tener la acción establecida en ninguno si no quiere que se aplique. Las entradas URL se pueden agregar individualmente o puede importar una lista de URL. Para ello, cree un archivo de texto con las URL que se incluirán, con una URL por línea. Cada URL puede tener el formato “www.ejemplo.com” y puede contener * como comodín, como en “*.ejemplo.com”. Para obtener información adicional sobre comodines, consulte la descripción de lista de bloqueadas en Tabla 147 en la página 263. Las entradas URL añadidas a las categorías personalizadas no distinguen entre mayúsculas y minúsculas. De igual forma, para eliminar una categoría personalizada después de que se haya añadido a un perfil de URL y de que se haya establecido una acción, la acción debe estar establecida en Ninguno para poder eliminar la categoría personalizada. Para obtener instrucciones sobre cómo configurar perfiles de filtrado URL, consulte “Perfiles de filtrado de URL”. 296 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas La siguiente tabla describe la configuración de URL personalizada: Tabla 163. Categorías de URL personalizadas Campo Descripción Nombre Introduzca un nombre para identificar la categoría de URL personalizada (de hasta 31 caracteres). Este nombre aparece en la lista de categorías cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción de la categoría URL (hasta 255 caracteres). Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Sitios En el área Sitios, haga clic en Añadir para introducir una URL o haga clic en Importar y navegue para seleccionar el archivo de texto que contiene la lista de URL. Listas de bloqueos dinámicos Objetos > Listas de bloqueos dinámicos Utilice la página Listas de bloqueos dinámicos para crear un objeto de dirección basado en una lista importada de direcciones IP. El origen de la lista debe ser un archivo de texto y se debe encontrar en un servidor web. Puede definir la opción Repetir para que actualice automáticamente la lista de dispositivos cada hora, día, semana o mes. Una vez haya creado un objeto de lista de bloqueo dinámico, puede utilizar el objeto de la dirección en los campos de origen y destino en las políticas de seguridad. Cada lista importada puede contener hasta 5.000 direcciones IP (IPv4 o IPv6), que pueden incluir intervalos o subredes de IP. La lista debe contener una dirección IP, intervalo o subred por línea, por ejemplo: “192.168.80.150/32” indica una dirección y “192.168.80.0/24” indica todas las direcciones desde 192.168.80.0 hasta 192.168.80.255. Ejemplo: “2001:db8:123:1::1” o “2001:db8:123:1::/64” Intervalo de IP: Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un intervalo de direcciones. El formato es: dirección_ip–dirección_ip donde cada dirección puede ser IPv4 o IPv6. Ejemplo: “2001:db8:123:1::1 - 2001:db8:123:1::22” Palo Alto Networks Políticas y perfiles de seguridad • 297 Otros objetos de las políticas La siguiente tabla describe la configuración de lista de bloqueadas dinámicas: Tabla 164 Listas de bloque dinámico Campo Descripción Nombre Introduzca un nombre para identificar la lista de bloqueos dinámicos (de hasta 32 caracteres). Este nombre aparecerá cuando seleccione el origen o el destino de una política. Descripción Introduzca una descripción de la lista de bloqueos dinámicos (hasta 255 caracteres). IP Origen Introduzca una ruta URL HTTP o HTTPS que contenga el archivo de texto. Por ejemplo, http://1.1.1.1/miarchivo.txt. Repetir Especifique la frecuencia en la que la lista se debe importar. Puede elegir cada hora, día, semana o mes. En el intervalo especificado, la lista se importará a la configuración. No es necesario realizar una compilación completa para que este tipo de actualización tenga lugar. Probar URL de origen Comprueba que la URL de origen o la ruta del servidor está disponible. Firmas personalizadas de spyware y vulnerabilidades Esta sección describe las opciones disponibles para crear firmas personalizadas de spyware y vulnerabilidades que se pueden utilizar para crear perfiles personalizados de vulnerabilidades. Objetos > Firmas personalizadas > Patrones de datos Objetos > Firmas personalizadas > Spyware Objetos > Firmas personalizadas > Vulnerabilidad Definición de patrones de datos Objetos > Firmas personalizadas > Patrones de datos Utilice la página Patrones de datos para definir las categorías de información confidencial que desea someter al filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre cómo definir perfiles de filtrado de datos, consulte “Perfiles de filtrado de datos”. 298 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas La siguiente tabla describe la configuración de patrones de datos: Tabla 165. Configuración de patrones de datos Campo Descripción Nombre Introduzca el nombre de patrón de datos (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción del patrón de datos (hasta 255 caracteres). Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Peso Introduzca el peso de los tipos de patrones especificados de forma predeterminada. El peso es un número entre 1 y 255. Los umbrales de alerta y bloqueo especificados en el perfil de filtrado de datos son una función de este peso. • CC#: Especifique un peso para el campo de tarjeta de crédito (intervalo 0-255). • SSN#: Especifique un peso para el campo del número de la seguridad social, donde el campo incluye guiones, como 123-45-6789 (intervalo 0-255, 255 es el peso máximo). • SSN# (sin guión): Especifique un peso para el campo del número de la seguridad social, donde la entrada se realiza sin guiones, como 123456789 (intervalo 0-255, 255 es el peso máximo). Patrones personalizados Los patrones predefinidos incluyen el número de la tarjeta de crédito y el de la seguridad social (con y sin guiones). Haga clic en Añadir para agregar un patrón nuevo. Especifique un nombre para el patrón, introduzca la expresión regular que define el patrón e introduzca un valor de peso para asignarlo al patrón. Añada los patrones que sean necesarios. Definición de firmas de spyware y vulnerabilidad Objetos > Firmas personalizadas > Spyware y vulnerabilidades El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas del cortafuegos. Puede escribir patrones de expresiones regulares para identificar comunicaciones de llamada a casa de spyware o intentos de explotar las vulnerabilidades. Los patrones de spyware y vulnerabilidades resultantes están disponibles para su uso en cualquier perfil de vulnerabilidad personalizado. El cortafuegos busca los patrones definidos de forma personalizada en el tráfico de la red y toma las medidas especificadas para la explotación de la vulnerabilidad. PAN-OS proporciona la capacidad de desarrollar firmas para los contextos dentro de los siguientes protocolos: Se agregan periódicamente nuevos descodificadores y contextos en publicaciones semanales de contenido. Según la actualización de contenido 424, se admiten los siguientes descodificadores: HTTP, HTTPS, DNS, FTP, IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH, GNU-Debugger, GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (también conocido como CIFS). Palo Alto Networks Políticas y perfiles de seguridad • 299 Otros objetos de las políticas También puede incluir un atributo temporal cuando defina firmas personalizadas especificando un umbral por intervalo para activar posibles acciones en respuesta a un ataque. Las acciones solo se activan una vez alcanzado el umbral. Utilice la página Firmas personalizadas para definir firmas de perfiles de vulnerabilidades. Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware Campo Descripción Pestaña Configuración ID de amenaza Introduzca un identificador numérico para la configuración. En el caso de firmas de spyware, el intervalo es 15000-18000; para firmas de vulnerabilidades, el intervalo es 41000-45000. Nombre Especifique el nombre de la amenaza. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Comentarios Introduzca un comentario opcional. Gravedad Asigne un nivel que indique la gravedad de la amenaza. Acción predeterminada Asigne la acción predefinida que se activará si se cumplen las condiciones de la amenaza: • Alertar: Genera una alerta. • Colocar paquetes: No permite el paso de paquetes. • Restablecer ambos: Restablece el cliente y el servidor. • Restablecer cliente: Restablece el cliente. • Restablecer servidor: Restablece el servidor. • Bloquear IP: Bloquea el tráfico durante un período de tiempo especificado. Seleccione si se bloqueará únicamente el tráfico de origen o el de origen y destino, e introduzca la duración (segundos). Dirección Indique si la amenaza se evaluará desde el cliente al servidor, desde el servidor al cliente, o ambos. Sistema afectado Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos o a ambos. Se aplica a las firmas de vulnerabilidades, pero no a las firmas de spyware. CVE Especifique las vulnerabilidades y exposiciones comunes (CVE) como una referencia externa de información y análisis adicional. Proveedor Especifique el identificador del proveedor de la vulnerabilidad como una referencia externa de información y análisis adicional. Bugtraq Especifique la bugtraq (similar a CVE) como una referencia externa de información y análisis adicional. Referencia Añada vínculos a la información o al análisis. La información se muestra cuando un usuario hace clic en la amenaza desde ACC, logs o el perfil de vulnerabilidad. 300 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación) Campo Descripción Pestaña Firmas Firma estándar Seleccione el botón de opción Estándar y haga clic en Añadir para añadir una firma nueva. Especifique la siguiente información: • Estándar: Introduzca un nombre para identificar la firma. • Comentarios: Introduzca una descripción opcional. • Importa el orden de las condiciones: Seleccione si el orden en que se definen las condiciones de la firma es importante. • Ámbito: Seleccione si desea aplicar esta firma a la transacción actual únicamente o a la sesión completa del usuario. Especifique las condiciones para definir las firmas: • Añada una condición haciendo clic en Añadir condición AND o Añadir condición OR. Para añadir una condición en un grupo, seleccione el grupo y haga clic en Añadir condición. Realice su selección en la lista desplegable Método y Contexto. Especifique una expresión regular en el campo Patrón. Añada los patrones que sean necesarios. • Para mover una condición en un grupo, seleccione la condición y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover un grupo, seleccione el grupo y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. No puede mover condiciones de un grupo a otro. Firma de combinación Seleccione el botón de opción Combinación. En el área por encima de las pestañas secundarias, especifique la siguiente información: En la pestaña secundaria Firmas de combinación, especifique las condiciones que definirán las firmas: • Añada una condición haciendo clic en Añadir condición AND o Añadir condición OR. Para añadir una condición en un grupo, seleccione el grupo y haga clic en Añadir condición. Realice su selección en la lista desplegable Método y Contexto. Especifique una expresión regular en el campo Patrón. Añada los patrones que sean necesarios. • Para mover una condición en un grupo, seleccione la condición y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover un grupo, seleccione el grupo y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. No puede mover condiciones de un grupo a otro. En la pestaña secundaria Atributo de fecha y hora, especifique la siguiente información: • Número de resultados: Especifique el umbral que activará una acción basada en una política como un número de resultados (1-1000) en un número especificado de segundos (1-3600) • Criterios de agregación: Especifique si los resultados los supervisará la dirección IP de origen, la dirección IP de destino o una combinación de las direcciones IP de origen y destino. Palo Alto Networks Políticas y perfiles de seguridad • 301 Otros objetos de las políticas Grupos de perfiles de seguridad Objetos > Grupos de perfiles de seguridad El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que se pueden tratar como una unidad y añadirse posteriormente a las políticas de seguridad. Por ejemplo, puede crear un grupo de perfil de seguridad “amenazas” que incluya perfiles de antivirus, antispyware y vulnerabilidades y crear una política de seguridad que incluya el perfil “amenazas”. Los perfiles de antivirus, antispyware, protección de vulnerabilidades, filtrado URL y bloqueo de archivos que se suelen asignar juntos pueden combinarse en grupos de perfiles para simplificar la creación de las políticas de seguridad. Para definir nuevos perfiles de seguridad, consulte “Definición de políticas de seguridad”. La siguiente tabla describe la configuración de perfil de seguridad: Tabla 167. Configuración de grupos de perfiles de seguridad Campo Descripción Nombre Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir compartir el perfil entre todos los sistemas virtuales. Perfiles Seleccione un perfil de antivirus, antispyware, protección de vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluirá en este grupo. Los perfiles de filtrado de datos también se pueden especificar en grupos de perfiles de seguridad. Consulte “Perfiles de filtrado de datos”. 302 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas Reenvío de logs Objetos > Reenvío de logs Cada política de seguridad puede especificar un perfil de reenvío de log que determine si las entradas de log de tráfico y amenazas se registran de forma remota con Panorama, y/o se envían como traps SNMP, mensajes de Syslog o notificaciones por correo electrónico. De forma predefinida, solo se realizan logs locales. Los log de tráfico registran información sobre cada flujo de tráfico, mientras que los logs de amenazas registran las amenazas o problemas con el tráfico de la red, como la detección de virus o spyware. Tenga en cuenta que los perfiles de antivirus, antispyware y protección de vulnerabilidades asociados con cada regla determinan las amenazas que se registran (de forma local o remota). Para aplicar los perfiles de log a políticas de seguridad, consulte “Definición de políticas de seguridad”. En un cortafuegos PA-7050, se debe configurar un tipo de interfaz especial (Tarjeta de log) antes de que el cortafuegos reenvíe los siguientes tipos de logs: Syslog, correo electrónico y SNMP. Esto también se aplica al reenvío a WildFire. Una vez configurado el puerto, se usará este puerto automáticamente para el reenvío de logs y de WildFire y no hará falta ninguna configuración especial para ello. Solo tiene que configurar el puerto de datos en uno de los NPC PA-7050 como tipo de interfaz Tarjeta de log y comprobar que la red que se va a usar puede establecer contacto con sus servidores de logs. Para reenvío de WildFire, la red necesitará comunicarse con la nube WildFire o dispositivo WildFire. Si desea más información sobre cómo configurar esta interfaz, consulte “Configuración de una interfaz de tarjeta de log” . La siguiente tabla describe la configuración de reenvío de logs: Tabla 168. Configuración de perfiles de reenvío de logs Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir su uso compartido por todos los sistemas virtuales. Configuración de tráfico Panorama Palo Alto Networks Seleccione la casilla de verificación para habilitar el envío de entradas del log de tráfico al sistema de gestión centralizado de Panorama. Para definir la dirección del servidor de Panorama, consulte “Definición de la configuración de gestión”. Políticas y perfiles de seguridad • 303 Otros objetos de las políticas Tabla 168. Configuración de perfiles de reenvío de logs (Continuación) Campo Descripción Traps SNMP Correo electrónico Syslog Seleccione los ajustes de SNMP, Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas de tráfico. Para definir nuevos destinos, consulte: • “Configuración de destinos de traps SNMP”. • “Descripción de los campos personalizados de Syslog” • “Configuración de servidores Syslog” Configuración del log de amenazas Panorama Haga clic en la casilla de verificación de cada nivel de seguridad de las entradas del log de amenazas que se enviarán a Panorama. Los niveles de gravedad son los siguientes: • Crítico: Ataques muy graves detectados por el motor de seguridad de amenazas. • Alto: Ataques graves detectados por el motor de seguridad de amenazas. • Medio: Ataques leves detectados por el motor de seguridad de amenazas, incluyendo el bloqueo de URL. • Bajo: Ataques de advertencias detectados por el motor de seguridad de amenazas. • Informativo: El resto de eventos no incluidos en los niveles de seguridad anteriores, incluyendo búsquedas de objeto de ataques informativos. Traps SNMP Correo electrónico Syslog En cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log de amenazas. Perfiles de descifrado Objetos > Perfiles de descifrado Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de reenvío, inspección entrante SSL y tráfico SSH. Una vez haya creado un perfil de descifrado, puede aplicar ese perfil a una política de descifrado. También puede controlar las CA de confianza de su dispositivo. Para obtener más información, consulte “Gestión de entidades de certificación de confianza predeterminadas”. La siguiente tabla describe la configuración de perfil de descifrado: Tabla 169. Configuración de perfiles de descifrado Campo Descripción Pestaña Proxy SSL de reenvío Comprobaciones de certificado de servidor Seleccione las opciones para controlar los certificados del servidor. Bloquear sesiones con certificados caducados Finalice la conexión SSL si el certificado del servidor está caducado. De esta forma se evita que un usuario acepte un certificado caducado y continúe con una sesión SSL. 304 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas Tabla 169. Configuración de perfiles de descifrado (Continuación) Campo Descripción Bloquear sesiones con emisores no fiables Finalice la sesión SSL si el emisor del certificado del servidor no es fiable. Restringir extensiones de certificado Limita las extensiones de certificados utilizados en el certificado de servidor dinámico al uso de claves y claves extendidas. Detalles: Muestra los detalles de los valores utilizados para el uso de claves y claves extendidas. Comprobaciones de modo no admitidas Seleccione las opciones para controlar aplicaciones SSL no compatibles. Bloquear sesiones con versión no compatible Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3, TLS1.0 y TLS1.1. Bloquear sesiones con conjuntos de cifras no compatibles Finalice la sesión si el conjunto de cifrado especificado en el protocolo de enlace SSL si no es compatible con PAN-OS. Bloquear sesiones con autenticación de cliente Finalice las sesiones con autenticación de cliente para el tráfico de proxy de reenvío SSL. Comprobaciones de error Seleccione la acción que se adoptará si los recursos del sistema no están disponibles para procesar el descifrado. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Bloquear sesiones si HSM no está disponible Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM) disponible para firmar certificados. Note: En el caso de modos no compatibles y de fallos, la información de la sesión se guarda en caché durante 12 horas, por lo que las futuras sesiones entre los mismos pares de hosts y servidor no se descifran. En su lugar, utilice las casillas de verificación para bloquear esas sesiones. Pestaña Inspección de entrada SSL Comprobaciones de modo no admitidas Proporciona opciones de selección de control de sesiones si se detectan modos no compatibles en el tráfico SSL. Bloquear sesiones con versiones no compatibles Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3, TLS1.0 y TLS1.1. Bloquear sesiones con conjuntos de cifras no compatibles Finalice la sesión si el conjunto de cifrado utilizado no es compatible con PAN-OS. Comprobaciones de error Seleccione la acción que se adoptará si los recursos del sistema no están disponibles. Palo Alto Networks Políticas y perfiles de seguridad • 305 Otros objetos de las políticas Tabla 169. Configuración de perfiles de descifrado (Continuación) Campo Descripción Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Bloquear sesiones si HSM no está disponible Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM) disponible para descifrar la clave de sesión. Pestaña SSH Comprobaciones de modo no admitidas Proporciona opciones de selección de control de sesiones si se detectan modos no compatibles en el tráfico SSH. La versión SSH compatible es la versión 2. Bloquear sesiones con versiones no compatibles Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible con PAN-OS. Bloquear sesiones con algoritmos no compatibles Finalice las sesiones si el algoritmo especificado por el cliente o el servidor no es compatible con PAN-OS. Comprobaciones de error Seleccione las medidas que se adoptarán si se producen errores de aplicación SSH y si no hay recursos del sistema disponibles. Bloquear sesiones con errores SSH Finalice las sesiones si se producen errores SSH. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Programaciones Objetos > Programaciones De forma predeterminada, cada una de las políticas de seguridad se aplica a todas las fechas y horas. Para limitar una política de seguridad a una hora concreta, puede definir programaciones y aplicarlas a las políticas correctas. Para cada programación puede especificar una fecha y un intervalo horario fijo, o bien una programación diaria o semanal recurrente. Para aplicar las programaciones a las políticas de seguridad, consulte “Definición de políticas de seguridad”. Cuando se activa una política de seguridad en una programación definida, solo se verán afectadas por la política de seguridad las sesiones nuevas. Las sesiones actuales no se ven afectadas por la política programada. 306 • Políticas y perfiles de seguridad Palo Alto Networks Otros objetos de las políticas La siguiente tabla describe la configuración de la programación: Tabla 170. Ajustes de programación Campo Descripción Nombre Introduzca un nombre de la programación (de hasta 31 caracteres). Este nombre aparece en la lista de programaciones cuando se definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta casilla de verificación para permitir su uso compartido por todos los sistemas virtuales. Periodicidad Seleccione la periodicidad (Diaria, Semanal o Sin repetición). Diario Haga clic en Añadir y especifique una hora de inicio y de finalización en formato de 24 horas (HH:MM). Semanal Haga clic en Añadir, seleccione un día de la semana y especifique una hora de inicio y de finalización en formato de 24 horas (HH:MM). Sin repetición Haga clic en Añadir y especifique una fecha y hora de inicio y de finalización. Palo Alto Networks Políticas y perfiles de seguridad • 307 Otros objetos de las políticas 308 • Políticas y perfiles de seguridad Palo Alto Networks Capítulo 6 Informes y logs Esta sección describe cómo visualizar los informes y logs proporcionados con el cortafuegos: • “Uso del panel” • “Centro de comando de aplicación” • “Uso de Appscope” • “Visualización de logs” • “Trabajo con informes de Botnet” • “Gestión de informes de resumen en PDF” • “Gestión de informes de actividad del usuario/grupo” • “Gestión de grupos de informes” • “Programación de informes para entrega de correos electrónicos” • “Visualización de informes” • “Generación de informes personalizados” • “Realización de capturas de paquetes” • “Realización de capturas de paquetes” Palo Alto Networks Informes y logs • 309 Uso del panel La mayoría de los informes de esta sección admiten la selección opcional de un sistema virtual en la lista desplegable de la parte superior de la página. Uso del panel Panel Los widgets de la página Panel muestran información general del dispositivo, como la versión de software, el estado operativo de cada interfaz, la utilización de recursos y hasta 10 entradas en los logs Sistema, Configuración y Amenaza. Aparecen las entradas de los logs de los últimos 60 minutos. Todos los widgets disponibles aparecen de forma predeterminada, pero cada usuario puede eliminar y agregar widgets individuales según sea necesario. Haga clic en el icono para actualizar el panel o un widget individual. Para cambiar el intervalo de actualización automática, seleccione un intervalo de la lista desplegable (1 min, 2 min, 5 min o Manual). Para agregar un widget al panel, haga clic en el menú desplegable Widget, seleccione una categoría y luego el nombre del widget. Para eliminar un widget, haga clic en en la barra de títulos. Tabla 171. Gráficos del panel Gráfico Descripción Aplicaciones principales Muestra las aplicaciones con la mayoría de sesiones. El tamaño del bloque indica el número relativo de sesiones (pase el ratón sobre el bloque para ver el número) y el color indica el riesgo de seguridad, desde verde (más bajo) a rojo (más alto). Haga clic en una aplicación para ver su perfil de aplicación. Aplicaciones principales de alto riesgo Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de mayor riesgo con la mayoría de las sesiones. Información general Muestra el nombre del dispositivo, el modelo, la versión del software de PAN-OS, la aplicación, las amenazas, las versiones de definición del filtro de URL, la fecha y hora actuales y el período de tiempo transcurrido desde el último reinicio. Estado de la interfaz Indica si cada interfaz está activa (verde), no está operativa (rojo) o en un estado desconocido (gris). Registros de amenazas Muestra el ID de amenaza, la aplicación y la fecha y hora de las 10 últimas entradas en el log Amenazas. El ID de amenaza es una descripción malintencionada de una URL que incumple el perfil de filtro de URL. Solo aparecen las entradas de los logs de los últimos 60 minutos. Logs de configuración Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la fecha y hora de las 10 últimas entradas en el log Configuración. Solo aparecen las entradas de los últimos 60 minutos. Logs de filtrado de datos Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de datos. Registros de filtrado de URL Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de URL. 310 • Informes y logs Palo Alto Networks Centro de comando de aplicación Tabla 171. Gráficos del panel (Continuación) Gráfico Descripción Registros del sistema Muestra la descripción y la fecha y hora de las últimos 10 entradas en el log Sistema. Tenga en cuenta que una entrada “Configuración instalada” indica que se han llevado a cabo cambios en la configuración correctamente. Solo aparecen las entradas de los últimos 60 minutos. Recursos del sistema Muestra el uso de CPU de gestión, el uso de plano de datos y el Número de sesiones que muestra el número de sesiones establecidas a través del cortafuegos. Administradores registrados Muestra la dirección IP de origen, el tipo de sesión (Web o CLI) y la hora de inicio de sesión para cada administrador actualmente registrado. Factor de riesgo de ACC Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado la semana pasada. Los valores mayores indican un mayor riesgo. Alta disponibilidad Si la alta disponibilidad (HA) está activada, indica el estado de la Alta disponibilidad (HA) del dispositivo local y del peer: Verde (activa), amarillo (pasiva) o negro (otro). Para obtener más información sobre la HA, consulte “Habilitación de HA en el cortafuegos”. Bloqueos Muestra bloqueos de configuración realizados por los administradores. Centro de comando de aplicación ACC Se muestran 5 gráficos en la página Centro de comando de aplicación (ACC): • “Aplicación” • “Filtrado de URL” • “Prevención de amenazas” • “Filtrado de datos” • “Coincidencias HIP” La página Centro de comando de aplicación (ACC) describe visualmente las tendencias e incluye una vista del historial de tráfico de la red. Muestra el nivel de riesgo general para su tráfico de red, los niveles de riesgo y el número de amenazas detectadas para las aplicaciones más activas y con mayor riesgo en su red, así como el número de amenazas detectadas desde las categorías de aplicación más activas y desde todas las aplicaciones con cualquier nivel de riesgo. Se puede visualizar el ACC para la hora, el día o la semana anterior o cualquier período de tiempo definido de forma personalizada. Los niveles de Riesgo (1=más bajo a 5=más alto) indican el riesgo de seguridad relativo de la aplicación dependiendo de criterios como si la aplicación puede compartir archivos, es proclive al uso indebido o intenta esquivar los cortafuegos. Palo Alto Networks Informes y logs • 311 Centro de comando de aplicación Para ver el Centro de comando de aplicación: 1. En la pestaña ACC, cambie uno o varios de los ajustes siguientes en la parte superior de la página: a. Seleccione un sistema virtual, si los sistemas virtuales están definidos. b. Seleccione un período de tiempo en la lista desplegable Tiempo. El valor predeterminado es Última hora. c. Seleccione un método de orden en la lista desplegableOrdenar por. Puede ordenar los gráficos en orden descendente por número de sesiones, bytes o amenazas. El valor predeterminado es por número de sesiones. d. Para el método de orden seleccionado, seleccione el mayor número de aplicaciones y categorías de aplicación que aparecen en cada gráfico en la lista desplegable Principal. e. (Solo para Panorama) Seleccione el Origen de datos que se usa para generar la visualización gráfica de las tendencias de tráfico. Haga clic en el icono de envío para aplicar los ajustes seleccionados. El Origen de datos predeterminado para instalaciones nuevas es Panorama; Panorama usa los logs enviados por los dispositivos gestionados. Para recuperar y visualizar una vista agregada de los datos desde los dispositivos gestionados tendrá que cambiar el origen de Panorama a Datos de dispositivo remoto. En una actualización, el origen de datos predeterminado es Datos de dispositivo remoto. Ilustración 7. Página del Centro de comando de aplicación 312 • Informes y logs Palo Alto Networks Centro de comando de aplicación 2. Para abrir páginas de logs asociadas a la información en la página, utilice los enlaces de logs en la esquina inferior derecha de la página, como se muestra a continuación. El contexto de los logs coincide con la información que aparece en la página. 3. Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregará ese elemento a la barra de filtrado ubicada sobre los nombres de columna de log. Después de agregar los filtros deseados, haga clic en el icono Aplicar filtro . 4. Selecciona una vista desde la lista desplegable del área de su interés, como se describe en la siguiente tabla. 5. Utilice las listas desplegables para Aplicaciones, Categorías de URL, Amenazas, Tipos de contenido/archivo y Objetos de HIP. Palo Alto Networks Informes y logs • 313 Centro de comando de aplicación Tabla 172. Gráficos del Centro de comando de aplicación Gráfico Descripción Aplicación Muestra información organizada según la selección del menú. La información incluye el número de sesiones, los bytes transmitidos y recibidos, el número de amenazas, la categoría de aplicación, las subcategorías de aplicación, la tecnología de aplicación y el nivel de riesgo, si es necesario. • Aplicaciones • Aplicaciones de alto riesgo • Categorías • Subcategorías • Tecnología • Riesgo Filtrado de URL Muestra información organizada según la selección del menú. La información incluye la URL, la categoría de URL, el número de repeticiones (número de intentos de acceso, si es necesario) • Categorías de URL • URL • Categorías de URL bloqueadas • URL bloqueadas Prevención de amenazas Muestra información organizada según la selección del menú. La información incluye el ID de la amenaza, el recuento (número de incidencias), el número de sesiones y el subtipo (como vulnerabilidad), si es necesario. • Amenazas • Tipos • Spyware • Llamada a casa de spyware • Descargas de spyware • Vulnerabilidades • Virus Filtrado de datos • Tipos de contenido/archivo • Tipos • Nombres de archivos Coincidencias HIP • Objetos HIP • Perfiles HIP 6. Para ver detalles adicionales, haga clic en cualquiera de los enlaces. Se abrirá una página de detalles para mostrar información acerca del elemento en la lista principal y las listas adicionales de los elementos relacionados. 314 • Informes y logs Palo Alto Networks Centro de comando de aplicación Ilustración 8. Página Examinar Centro de comando de aplicación Palo Alto Networks Informes y logs • 315 Uso de Appscope Uso de Appscope Supervisar > Appscope Los informes de Appscope proporcionan visibilidad gráfica en los siguientes aspectos de la red: • Cambios en el uso de la aplicación y la actividad del usuario • Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red • Amenazas de red Con los informes de Appscope, puede ver rápidamente si se produce algún comportamiento inusual o inesperado y que la detección de cualquier comportamiento problemático sea más sencilla; cada informe proporciona una ventana dinámica y personalizable por el usuario en la red. Los informes incluyen opciones para seleccionar los datos e intervalos para mostrar. En Panorama puede seleccionar también el origen de datos de la información que se muestra. El origen de datos predeterminado (en instalaciones nuevas de Panorama) usa la base de datos local de Panorama que almacena los logs enviados por los dispositivos remotos, en una actualización el origen de datos predeterminado son los datos de dispositivo remoto. Para recuperar y visualizar una vista agregada de los datos directamente desde los dispositivos gestionados tendrá que cambiar el origen de Panorama a Datos de dispositivo remoto. Al pasar el ratón por encima y hacer clic en las líneas o barras de los gráficos, se pasa al ACC y se proporciona información detallada sobre la aplicación específica, la categoría de la aplicación, el usuario o el origen. Tabla 173. Gráficos del Centro de comando de aplicación Gráfico Descripción Resumen “Informe de resumen” Supervisor de cambios “Informe del supervisor de cambios” Supervisor de amenazas “Informe del supervisor de amenazas” Mapa de amenazas “Informe del mapa de amenazas” Supervisor de red “Informe del supervisor de red” Mapa de tráfico “Informe del mapa de tráfico” 316 • Informes y logs Palo Alto Networks Uso de Appscope Informe de resumen El informe Resumen (Ilustración 9) muestra gráficos de los cinco principales ganadores, perdedores, aplicaciones de consumo de ancho de banda, categorías de aplicación, usuarios y orígenes. Para exportar los gráficos en el informe de resumen como un PDF, haga clic en Cada gráfico se guarda como una página en el PDF creado. . Ilustración 9. Informe de resumen de Appscope Palo Alto Networks Informes y logs • 317 Uso de Appscope Informe del supervisor de cambios El informe Supervisor de cambios (Ilustración 10) muestra cambios realizados en un período de tiempo específico. Por ejemplo, Ilustración 10 muestra las principales aplicaciones adquiridas en la última hora en comparación con el último período de 24 horas. Las principales aplicaciones se determinan por el recuento de sesiones y se ordenan por porcentajes. Ilustración 10. Informe del supervisor de cambios de Appscope Este informe contiene los siguientes botones y las siguientes opciones. 318 • Informes y logs Palo Alto Networks Uso de Appscope Tabla 174. Opciones del informe del supervisor de cambios Elemento descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Determina el tipo de elemento indicado: Aplicación, Categoría de aplicación, Origen o Destino. Muestra mediciones de elementos que han ascendido durante el período de medición. Muestra mediciones de elementos que han descendido durante el período de medición. Muestra mediciones de elementos que se han agregado durante el período de medición. Muestra mediciones de elementos que se han suspendido durante el período de medición. Aplica un filtro para mostrar únicamente el elemento seleccionado. Ninguno muestra todas las entradas. Determina si mostrar información de sesión o byte. Determina si ordenar entradas por porcentajes o incremento bruto. Exporta el gráfico como imagen .png o PDF. Barra inferior Especifica el período durante el que se realizaron las mediciones de cambio. Informe del supervisor de amenazas El informe del supervisor de amenazas (Ilustración 11) muestra un recuento de las principales amenazas durante el período de tiempo seleccionado. Por ejemplo, Ilustración 11 muestra los 10 principales tipos de amenaza en las últimas 6 horas. Palo Alto Networks Informes y logs • 319 Uso de Appscope Ilustración 11. Informe del supervisor de amenazas de Appscope 320 • Informes y logs Palo Alto Networks Uso de Appscope Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. Este informe contiene los siguientes botones y las siguientes opciones. Tabla 175. Botones del Informe del supervisor de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Determina el tipo de elemento medido: Amenaza, Categoría de amenaza, Origen o Destino. Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado. Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. Exporta el gráfico como imagen .png o PDF. Barra inferior Especifica el período durante el que se realizaron las mediciones. Informe del mapa de amenazas El informe del mapa de amenazas (Ilustración 12) muestra una vista geográfica de amenazas, incluyendo la gravedad. Ilustración 12. Informe del mapa de amenazas de Appscope Palo Alto Networks Informes y logs • 321 Uso de Appscope Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. Haga clic en un país en el mapa para acercarlo. Haga clic en el botón Alejar en la esquina inferior derecha de la pantalla para alejar. Este informe contiene los siguientes botones y las siguientes opciones. Tabla 176. Botones del Informe del mapa de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Muestra las amenazas entrantes. Muestra las amenazas salientes. Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado. Acerque y aleje el mapa. Exporta el gráfico como imagen .png o PDF. Barra inferior Indica el período durante el que se realizaron las mediciones. Informe del supervisor de red El informe Supervisor de red (Ilustración 13) muestra el ancho de banda dedicado a diferentes funciones de red durante el período de tiempo especificado. Cada función de red está indicada con colores como se indica en la leyenda debajo del gráfico. Por ejemplo, la Ilustración 13 muestra el ancho de banda de aplicación en los 7 últimos días basándose en la información de sesión. 322 • Informes y logs Palo Alto Networks Uso de Appscope Ilustración 13. Informe del supervisor de red de Appscope El informe contiene los siguientes botones y opciones. Tabla 177. Botones del Informe del supervisor de red Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Determina el tipo de elemento indicado: Aplicación, Categoría de aplicación, Origen o Destino. Aplica un filtro para mostrar únicamente el elemento seleccionado. Ninguno muestra todas las entradas. Determina si mostrar información de sesión o byte. Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. Exporta el gráfico como imagen .png o PDF. Barra inferior Indica el período durante el que se realizaron las mediciones de cambio. Palo Alto Networks Informes y logs • 323 Uso de Appscope Informe del mapa de tráfico El informe Mapa de tráfico (Ilustración 14) muestra una vista geográfica de los flujos de tráfico según las sesiones o los flujos. Ilustración 14. Informe del mapa de tráfico de Appscope Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico. Este informe contiene los siguientes botones y las siguientes opciones. 324 • Informes y logs Palo Alto Networks Visualización de logs Tabla 178. Botones del Informe del mapa de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Muestra las amenazas entrantes. Muestra las amenazas salientes. Determina si mostrar información de sesión o byte. Acerque y aleje el mapa. Exporta el gráfico como imagen .png o PDF. Barra inferior Indica el período durante el que se realizaron las mediciones de cambio. Visualización de logs Supervisar > Logs El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas, flujos de tráfico, amenazas, filtrado de URL, filtrado de datos y Perfil de información de host (HIP). Puede visualizar los logs actuales en cualquier momento. Para ubicar entradas específicas, puede aplicar filtros a la mayoría de los campos de log. El cortafuegos muestra la información en logs por lo que se respetan los permisos de administración basado en función. Cuando muestra logs, solo se incluye la información de cuyo permiso dispone. Para obtener información acerca de los permisos de administrador, consulte “Definición de funciones de administrador”. Para ver los logs, haga clic en los tipos de logs en el lado izquierdo de la página en la pestaña Supervisar. Cada página de log cuenta con una área de filtro en la parte superior de la página. Utilice la área de filtro de la siguiente forma: • Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una opción de filtro de logs. Por ejemplo, si hace clic en el enlace Host en la entrada de log de 10.0.0.252 y Explorador web, se agregarán ambos elementos y la búsqueda encontrará entradas que coinciden con ambos (búsqueda Y). Palo Alto Networks Informes y logs • 325 Visualización de logs • Para definir otro criterio de búsqueda, haga clic en el icono Añadir filtro de log. Seleccione el tipo de búsqueda (y/o), el atributo a incluir en la búsqueda, el operador asociado y los valores de la coincidencia, si es necesario. Haga clic en Añadir para agregar el criterio al área de filtro en la página de log, luego haga clic en Cerrar para cerrar la ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada. Puede combinar expresiones de filtro agregadas en la página de log con aquellas que ha definido en la ventana emergente Expresión. Cada uno se agrega como una entrada en la línea Filtro de la página de log. Si establece el filtro “en” Tiempo recibido como Últimos 60 segundos, algunos enlaces de la página en el visor de logs podrían no mostrar resultados ya que el número de páginas puede aumentar o reducirse debido a la naturaleza dinámica de la hora seleccionada. • Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botón Borrar filtro. • Para guardar sus selecciones como un nuevo filtro, haga clic en el botón Guardar filtro, introduzca un nombre para el filtro y haga clic en ACEPTAR. • Para exportar la lista actual de logs (como se muestra en la página, incluyendo cualquier filtro aplicado), haga clic en el botón Guardar filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando la misma opción. Haga clic en ACEPTAR. • Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a CSV . De manera predeterminada, la exportación de la lista de logs al formato CSV genera un informe CSV con hasta 2.000 líneas de logs. Para cambiar el límite de línea de los informes CSV generados, utilice el campo Máx. de filas en exportación CSV (seleccione Dispositivo > Configuración > Gestión > Configuración de log e informes > Exportación e informes de logs o consulte “Definición de la configuración de gestión”). Para cambiar el intervalo de actualización automática, seleccione un intervalo de la lista desplegable (1 min, 30 segundos, 10 segundos o Manual). Para cambiar el número de entradas de logs por página, seleccione el número de filas en la lista desplegable Filas. Las entradas de logs se recuperan en bloques de 10 páginas. Utilice los controles de página en la parte inferior de la página para navegar por la lista de logs. Seleccione la casilla de verificación Resolver nombre de host para iniciar la resolución de direcciones IP externas en nombres de dominio. Seleccione el icono Exportar a CSV 326 • Informes y logs para exportar un log a formato CSV. Palo Alto Networks Visualización de logs Para mostrar detalles adicionales, haga clic en el icono de catalejo de una entrada. Si el origen o el destino cuentan con una dirección IP para la asignación de nombres definida en la página Direcciones, se presentará el nombre en lugar de la dirección IP. Para ver la dirección IP asociada, mueva su cursor sobre el nombre. Palo Alto Networks Informes y logs • 327 Visualización de logs Revise la siguiente información en cada log. Tabla 179. Descripciones del log Gráfico Descripción Tráfico Muestra una entrada para el inicio y el final de cada sesión. Todas las entradas incluyen la fecha y la hora, las zonas de origen y destino, las direcciones y puertos, el nombre de la aplicación, el nombre de la regla de seguridad aplicada al flujo, la acción de la regla (permitir, denegar o borrar), la interfaz de entrada y salida, el número de bytes y la razón para finalizar la sesión. Haga clic en junto a una entrada para ver detalles adicionales acerca de la sesión, como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino (el valor Recuento será superior a uno). Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin de la sesión o si se ha denegado o asignado la sesión. Una “asignación” indica que la regla de seguridad que ha bloqueado el tráfico ha especificado una aplicación “cualquiera”, mientras que “denegación” indica que la regla ha identificado una aplicación específica. Si se asigna el tráfico antes de identificar la aplicación, como cuando una regla asigna todo el tráfico a un servicio específico, la aplicación aparece como “no aplicable”. Amenaza Muestra una entrada para cada alarma de seguridad generada por el cortafuegos. Cada entrada incluye la fecha y hora, un nombre de amenaza o URL, las zonas de origen y destino, direcciones, puertos, el nombre de aplicación y la acción de alarma (permitir o bloquear) y la gravedad. Haga clic en junto a una entrada para ver detalles adicionales acerca de la amenaza, como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y destino (el valor Recuento será superior a uno). Tenga en cuenta que la columna Tipo indica el tipo de amenaza, como “virus” o “spyware.” La columna Nombre es la descripción de la amenaza o URL y la columna Categoría es la categoría de la amenaza (como “Registrador de pulsaciones de teclas”) o la categoría de la URL. Si las capturas de paquetes locales están activadas, haga clic en junto a una entrada para acceder a los paquetes capturados, como se indica en la siguiente ilustración. Para activar las capturas de paquetes locales, consulte las subdivisiones en “Perfiles de seguridad”. Filtrado de URL Muestra logs de filtros de URL que bloquean el acceso a sitios web y categorías de sitio web específicos o generan una alerta cuando se accede a un sitio web. Puede activar la creación de logs de las opciones de encabezados HTTP para la URL. Consulte “Perfiles de filtrado de URL” para obtener más información sobre cómo definir perfiles de filtrado de URL. Envíos a WildFire Muestra logs de archivos que se han cargado y actualizado por el servidor WildFire, los datos de logs se reenvían al dispositivo después del análisis junto con los resultados del análisis. 328 • Informes y logs Palo Alto Networks Trabajo con informes de Botnet Tabla 179. Descripciones del log (Continuación) Gráfico Descripción Filtrado de datos Muestra logs para las políticas de seguridad que ayudan a evitar que informaciones confidenciales como números de tarjetas de crédito o de la seguridad social abandonen el área protegida por el cortafuegos. Consulte “Perfiles de filtrado de datos” para obtener más información sobre cómo definir perfiles de filtrado de datos. Para configurar la protección de contraseña para el acceso a detalles de una entrada de log, haga clic en el icono . Introduzca la contraseña y haga clic en ACEPTAR. Consulte “Definición de páginas de respuesta personalizadas” para obtener instrucciones acerca de cómo cambiar o eliminar la contraseña de protección de datos. Nota: El sistema le solicitará introducir la contraseña solo una vez por sesión. Este log también muestra información de perfiles de bloqueo de archivos. Por ejemplo, si está bloqueando archivos .exe, el log le mostrará los archivos que estaban bloqueados. Si reenvía archivos a WildFire, podrá ver los resultados de dicha acción. En este caso, si reenvía archivos PE a WildFire, por ejemplo, el log mostrará que el archivo fue reenviado y también el estado para saber si se cargó correctamente en WildFire. Configuración Muestra una entrada para cada cambio de configuración. Cada entrada incluye la fecha y hora, el nombre de usuario del administrador, la dirección IP desde la cual se ha realizado el cambio, el tipo de cliente (Web o CLI), el tipo de comando ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de configuración y los valores anteriores y posteriores al cambio. Sistema Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y hora, la gravedad del evento y una descripción del evento. Coincidencias HIP Muestra información acerca de las políticas de seguridad aplicadas a clientes de GlobalProtect. Para obtener más información, consulte “Configuración del portal de GlobalProtect”. Alarmas El log Alarmas registra información detallada sobre las alarmas que genera el sistema. La información de este log también se indica en la ventana Alarmas. Consulte “Definición de la configuración del log Alarma”. Visualización de la información del sistema Supervisar > Explorador de sesión Abra la página Explorador de sesión para explorar y filtrar sesiones actualmente en ejecución en el cortafuegos. Para obtener información acerca de las opciones de filtrado en esta página, consulte “Visualización de logs”. Trabajo con informes de Botnet La función informes de botnet le permite utilizar mecanismos basados en el comportamiento para identificar potenciales hosts infectados por botnet en la red. Mediante el uso de logs de filtrado de datos, URL, amenazas y red, el cortafuegos evalúa las amenazas según criterios que incluyen visitas a sitios de malware y sitios de DNS dinámicos, visitas a dominios registrados recientemente (en los 30 últimos días), uso de aplicaciones desconocidas y la existencia de tráfico de Internet Relay Chat (IRC). Palo Alto Networks Informes y logs • 329 Trabajo con informes de Botnet Después de establecer una correlación e identificación de los hosts que coinciden con un comportamiento de botnet infectado, el cortafuegos asigna a cada posible host infectado un margen de confianza del 1 al 5 para indicar la probabilidad de infección del botnet (1 indica la probabilidad de infección más baja y 5 la probabilidad más alta). Como los mecanismos de detección basados en el comportamiento requieren realizar una correlación de tráfico entre varios logs durante un período de 24 horas, el cortafuegos genera un informe cada 24 horas con una lista de hosts ordenada basándose en un nivel de confianza. Configuración del informe de Botnet Supervisar > Botnet Utilice estos ajustes para especificar tipos de tráfico sospechoso (tráfico que puede indicar actividad de botnet). Para configurar los ajustes, haga clic en el botón Configuración en el lado derecho de la página Botnet. Tabla 180. Ajustes de configuración de Botnet Campo Descripción Tráfico HTTP Seleccione la casilla de verificación Habilitar para los eventos que desea incluir en los informes: • Visita a URL de software malintencionado: Identifica a los usuarios que se están comunicando con URL con software malintencionado conocidas basándose en las categorías de filtrado de URL de software malintencionado y Botnet. • Uso de DNS dinámica: Busca tráfico de consultas DNS dinámicas que pueden indicar una comunicación de botnet. • Navegación por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL. • Navegación en dominios registrados recientemente: Busca tráfico en dominios que se han registrado en los últimos 30 días. • Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL desconocidas. Aplicaciones desconocidas Seleccione las casillas de verificación para marcar TCP desconocidos o aplicaciones de UDP desconocidas como sospechosas y especifique las siguiente información: • Sesiones por hora: Número de sesiones de aplicación por hora asociadas a la aplicación desconocida. • Destinos por hora: Número de destinos por hora asociados a la aplicación desconocida. • Bytes mínimos: Tamaño mínimo de carga • Bytes máximos: Tamaño máximo de carga. IRC 330 • Informes y logs Seleccione la casilla de verificación para incluir servidores IRC como sospechosos. Palo Alto Networks Trabajo con informes de Botnet Gestión de informes de Botnet Supervisar > Botnet > Configuración de informes Puede especificar consultas de informes y luego generar y ver informes de análisis de botnet. Los informes están basados en los ajustes de configuración de botnet (consulte“Configuración del informe de Botnet”). Puede incluir o excluir direcciones IP de origen o destino, usuarios, zonas, interfaces, regiones o países. Los informes programadas solo se ejecutan una vez al día. También puede generar y mostrar informes a petición haciendo clic en Ejecutar ahora en la ventana donde define las consultas de informe. El informe generado aparece en la página Botnet. Para gestionar informes de botnet, haga clic en el botón Ajuste de informe en el lado derecho de la página Botnet. Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV. Tabla 181. Configuración de informe de Botnet Campo Descripción Período de ejecución del informe Seleccione el intervalo de tiempo para el informe (últimas 24 horas o último día del calendario). # Filas Especifique el número de filas en el informe. Programado Seleccione la casilla de verificación para ejecutar el informe diariamente. Si no se selecciona la casilla de verificación, puede ejecutar el informe manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet. Generador de consultas Cree la consulta de informe especificando lo siguiente y luego haga clic en Añadir para agregar la expresión configurada a la consulta. Repita las veces que sean necesarias para crear la consulta completa: • Conector: Especifique un conector lógico (Y/O). • Atributo: Especifique la zona, la dirección o el usuario de origen o destino. • Operador: Especifique el operador para relacionar el atributo con un valor. • Valor: Especifique el valor para coincidir. Negar Palo Alto Networks Seleccione la casilla de verificación para aplicar la negación a la consulta especificada, lo que significa que el informe contendrá toda la información que no sea resultado de la consulta definida. Informes y logs • 331 Gestión de informes de resumen en PDF Gestión de informes de resumen en PDF Supervisar > Informes en PDF > Gestionar resumen de PDF Los informes de resumen en PDF contienen información recopilada de informes existentes, basándose en los 5 principales de cada categoría (en vez de los 50 principales). También pueden contener gráficos de tendencias que no están disponibles en otros informes. Ilustración 15. Informe de resumen en PDF 332 • Informes y logs Palo Alto Networks Gestión de informes de resumen en PDF Para crear informes de resumen en PDF, haga clic en Añadir. La página Gestionar informes de resumen en PDF se abre para mostrar todos los elementos de informe disponibles. Ilustración 16. Gestión de informes en PDF Utilice una o más de estas opciones para diseñar el informe: • Para eliminar un elemento del informe, haga clic en el icono en la esquina superior derecha del cuadro de icono del elemento o elimine la casilla de verificación del elemento en el cuadro de lista desplegable correcto junto a la parte superior de la página. • Seleccione elementos adicionales seleccionándolos de los cuadros de la lista desplegable junto a la parte superior de la página. • Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra área del informe. Se permite un máximo de 18 elementos de informe. Es posible que necesite elementos existentes para agregar otros adicionales. Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en ACEPTAR. Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo de informe de la lista desplegable en la parte inferior de la página para mostrar los informes creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el informe. Palo Alto Networks Informes y logs • 333 Gestión de informes de actividad del usuario/grupo Gestión de informes de actividad del usuario/grupo Supervisar > Informes en PDF > Informe de actividad del usuario Utilice esta página para crear informes que resumen la actividad de usuarios individuales o grupos de usuarios. Haga clic en Nuevo y especifique la siguiente información. Tabla 182. Configuración del informe de actividad del usuario/grupo Campo Descripción Nombre Introduzca un nombre para identificar el informe (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Tipo Para informe de actividad de usuario: Seleccione Usuario e introduzca el nombre de usuarioo dirección IP (IPv4 o IPv6) del usuario que será el asunto del informe. En Panorama, debe haber configurado un dispositivo principal para cada grupo de dispositivo para recuperar la información del grupo de usuarios y generar el informe. Para informe de actividad de grupo: Seleccione grupo e introduzca el nombre del grupo. En Panorama no puede crear informes de actividad del grupo porque Panorama no tiene la información para asignar usuarios a los grupos. Período de tiempo Seleccione el período de tiempo para el informe en la lista desplegable. Incluir navegación detallada Seleccione esta opción si quiere incluir logs de URL detallados en el informe. La información de navegación detallada puede incluir un gran volumen de logs (miles de logs) para el usuario o grupo de usuarios seleccionado y puede hacer que el informe sea muy extenso. El informe de actividad de grupo no incluye Resumen de navegación por categoría de URL; el resto de información es común para el informe de actividad de usuarios y el informe de actividad de grupo. Para ejecutar el informe a petición, haga clic en Ejecutar ahora; para cambiar el número máximo de filas que mostrará el informe, consulte “Configuración de log e informes”. Para guardar el informe, haga clic en Aceptar. Puede programar el entrega del informe por correo electrónico; consulte “Programación de informes para entrega de correos electrónicos”. 334 • Informes y logs Palo Alto Networks Gestión de grupos de informes Gestión de grupos de informes Supervisar > Informes en PDF > Grupos de informes Los grupos de informes le permiten crear conjuntos de informes que un sistema puede recopilar y enviar como un informe agregado en PDF único con una página de título opcional y todos los informes constituyentes incluidos. Tabla 183. Configuración de grupo de informes Campo Descripción Nombre Introduzca un nombre para identificar el grupo de informe (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Página de título Seleccione la casilla de verificación para incluir una página de título en el informe. Título Introduzca el nombre que aparecerá como el título del informe. Selección del informe Seleccione informes de la columna izquierda y haga clic en Añadir para mover cada informe al grupo de informes en la derecha. Puede seleccionar tipos de informe Predefinidos, Personalizados, De resumen en PDF y Vista de log. El informe Vista de log es un tipo de informe que se crea automáticamente cada vez que crea un informe personalizado y utiliza el mismo nombre que el informe personalizado. Este informe mostrará los logs que se han utilizado para crear el contenido del informe personalizado. Para incluir los datos de vista de log, al crear un grupo de informes, agregue su informe personalizado a la lista Informes personalizados y luego agregue el informe de vista de log seleccionando el nombre del informe coincidente de la lista Vista de log. Cuando reciba el informe, verá sus datos del informe personalizado seguidos por los datos de log que se han utilizado para crear el informe personalizado. Para utilizar el grupo de informes, consulte “Programación de informes para entrega de correos electrónicos”. Palo Alto Networks Informes y logs • 335 Programación de informes para entrega de correos electrónicos Programación de informes para entrega de correos electrónicos Supervisar > Informes en PDF > Programador de correo electrónico Utilice el programador de correo electrónico para programar informes para la entrega de correo electrónico. Antes de agregar un programa, debe definir grupos de informe y un perfil de correo electrónico. Consulte “Gestión de grupos de informes” y “Configuración de ajustes de notificaciones por correo electrónico”. Los informes programados comienzan a ejecutarse a las 2:00 AM y el reenvío de correo electrónico se produce después de que finalice la ejecución de todos los informes programados. Tabla 184. Configuración del programador de correo electrónico Campo Descripción Nombre Permite introducir un nombre para identificar el programa (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Grupo de informes Seleccione el grupo de informes (consulte “Gestión de grupos de informes”). Periodicidad Seleccione la frecuencia con la que generar y enviar el informe. Perfil de correo electrónico Seleccione el perfil que define los ajustes de correo electrónico. Consulte “Configuración de ajustes de notificaciones por correo electrónico” para obtener más información sobre cómo definir perfiles de correo electrónico. Cancelar correos electrónicos del destinatario Introduzca una dirección de correo electrónico opcional para utilizar en lugar del destinatario especificado en el perfil de correo electrónico. Visualización de informes Supervisar > Informes El cortafuegos proporciona varios informes “50 principal” de las estadísticas de tráfico del día anterior o un día seleccionado de la semana anterior. Para ver los informes, haga clic en los nombres de informes en la parte derecha de la página (Informes personalizados, Informes de aplicación, Informes de tráfico, Informes de amenazas, Informes de filtrado de URL e Informes de resumen en PDF). De forma predeterminada, aparecen todos los informes del día de calendario anterior. Para ver informes de cualquiera de los días anteriores, seleccione una fecha de creación de informe en la lista desplegable Seleccionar en la parte inferior de la página. Los informes aparecen en secciones. Puede visualizar la información en cada informe del período de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar a CSV. Para abrir la información de log en formato PDF, haga clic en Exportar a PDF. Los archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte superior de la ventana para imprimir o guardar el archivo. 336 • Informes y logs Palo Alto Networks Generación de informes personalizados Generación de informes personalizados Supervisar > Gestionar informes personalizados Puede crear informes personalizados basados opcionalmente en plantillas de informe existentes. Los informes se pueden ejecutar a petición o programar para su ejecución cada noche. Para ver informes definidos previamente, seleccione Informes en el menú lateral. Haga clic en Añadir para crear un nuevo informe personalizado. Para basar un informe en una plantilla existente, haga clic en Cargar plantilla y seleccione la plantilla. Especifique los siguientes ajustes para definir el informe. Tabla 185. Configuración de informes personalizados Campo Nombre Descripción Introduzca un nombre para identificar el informe (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Base de datos Seleccione la base de datos para utilizar como el origen de datos para el informe. Período de tiempo Seleccione un período de tiempo fijo o seleccione Personalizado y especifique un intervalo de fecha y hora. Ordenar por cantidad de información para incluir en el informe. Las opciones Seleccione opciones de orden para organizar el informe, incluyendo la disponibles dependen de la elección de la base de datos. Seleccione opciones de orden para organizar el informe, incluyendo la Agrupar por cantidad de información para incluir en el informe. Las opciones disponibles dependen de la elección de la base de datos. Programado Seleccione la casilla de verificación para ejecutar el informe cada noche. Los informes luego estarán disponibles seleccionando Informes en el menú lateral. Columnas Seleccione columnas para incluir en el informe desde la lista Disponible Columna y utilice las el icono para moverlas a la lista Seleccionadas Columnas. Utilice las flechas hacia arriba y hacia abajo para volver a ordenar las columnas seleccionadas y utilice el icono menos para eliminar las columnas seleccionadas anteriormente. Palo Alto Networks Informes y logs • 337 Realización de capturas de paquetes Tabla 185. Configuración de informes personalizados (Continuación) Campo Descripción Para crear una consulta de informe, especifique lo siguiente y haga clic en Añadir. Repita las veces que sean necesarias para crear la consulta completa. Generador de consultas • Conector: Seleccione el conector (y/o) para preceder la expresión que está agregando. • Negar: Seleccione la casilla de verificación para interpretar la consulta como una negativa. En el ejemplo anterior, la opción negar causa una coincidencia en entradas que no se han producido en las últimas 24 horas ni de la zona “no fiable”. • Atributo: Seleccione un elemento de datos. Las opciones disponibles dependen de la elección de la base de datos. • Operador: Seleccione el criterio para determinar si se aplica el atributo (como =). Las opciones disponibles dependen de la elección de la base de datos. • Valor: Especifique el valor del atributo para coincidir. Por ejemplo, la siguiente ilustración (basada en la base de datos Log de tráfico) muestra una consulta que coincide si se ha recibido la entrada de log de tráfico en las últimas 24 horas de la zona “no fiable”. Realización de capturas de paquetes Supervisar > Captura de paquetes PAN-OS admite capturas de paquetes para la resolución de problemas o la detección de aplicaciones desconocidas. Puede definir filtros de modo que solo se capturen los paquetes que coinciden con los filtros. Las capturas de paquetes se almacenan de forma local en el dispositivo y están disponibles para su descarga en su equipo local. Captura de paquetes está destinado exclusivamente a la resolución de problemas. Esta función puede hacer que el rendimiento del sistema disminuya y solo debe usarse en caso necesario. Cuando la captura se haya completado, recuerde deshabilitar la característica. Para especificar opciones de captura y filtrado, especifique la información en la siguiente tabla. 338 • Informes y logs Palo Alto Networks Realización de capturas de paquetes Para borrar todos los ajustes de captura y filtrado, haga clic en Borrar toda la configuración. Para seleccionar archivos de captura para descargar, haga clic en el nombre del archivo en la lista de archivos de captura en el lado derecho de la página. Tabla 186. Configuración de captura de paquetes Campo Descripción Configurar filtrado Gestionar filtros Haga clic en Gestionar filtros, haga clic en Añadir para agregar un nuevo filtro y especifique la siguiente información: • Id: Introduzca o seleccione un identificador para el filtro. • Interfaz de entrada: Seleccione la interfaz del cortafuegos. • Origen: Especifique la dirección IP de origen. • Destino: Especifique la dirección IP de destino. • Puerto de origen: Especifique el puerto de origen. • Puerto de destino: Especifique el puerto de destino. • Proto: Especifique el protocolo para filtrar. • Sin Ip: Seleccione cómo tratar el tráfico sin IP (excluir todo el tráfico IP, incluir todo el tráfico IP, incluir solo tráfico IP o no incluir un filtro de IP). • IPv6: Seleccione la casilla de verificación para incluir paquetes de IPv6 en el filtro. Filtrado Haga clic para alternar las selecciones de activar o desactivar filtrado. Anterior a la coincidencia Haga clic para alternar la opción activar o desactivar anterior a la coincidencia. La opción anterior a la coincidencia se agrega para fines de resolución de problemas avanzada. Cuando un paquete introduce el puerto de entrada (ingress), avanza a través de varios pasos de procesamiento antes de analizar coincidencias en contra de filtros preconfigurados. Es posible que un paquete, debido a un fallo, no alcance la etapa de filtrado. Eso puede ocurrir, por ejemplo, si falla una búsqueda de ruta. Establezca la configuración anterior a la coincidencia como Activada para emular una coincidencia positiva de cada paquete entrando en el sistema. Eso permite al cortafuegos capturar incluso los paquetes que no alcanzan el proceso de filtrado. Si un paquete puede alcanzar la etapa de filtrado, se procesará de acuerdo con la configuración del filtro y se descartará si no consigue cumplir los criterios de filtrado. Palo Alto Networks Informes y logs • 339 Realización de capturas de paquetes Tabla 186. Configuración de captura de paquetes (Continuación) Campo Descripción Configuración de captura Captura de paquetes Haga clic para alternar activar o desactivar capturas de paquetes. Fase de captura de paquetes • Etapa: Indique el punto en el que capturar el paquete: Haga clic en Añadir y especifique la siguiente información: – Desplegar: Cuando el procesamiento de paquetes encuentra un error y el paquete no se puede desplegar. – Cortafuegos: Cuando el paquete tiene una coincidencia de sesión o se crea un primer paquete con una sesión correctamente – Recibir: Cuando se recibe el paquete en el procesador de plano de datos. – Transmitir: Cuando se transmite el paquete en el procesador de plano de datos. • Archivo: Especifica el nombre del archivo de captura. El nombre del archivo debe comenzar por una letra y puede incluir letras, dígitos, puntos, guiones bajos o guiones. • Recuento de paquetes: Especifica el número de paquetes después del que se detiene la captura. • Recuento de bytes: Especifica el número de bytes después del que se detiene la captura. Archivos capturados Archivos capturados Haga clic en Eliminar para quitar un archivo de captura de paquetes desde la lista donde se muestran los archivos capturados. Configuración Borrar toda la configuración 340 • Informes y logs Haga clic en Borrar toda la configuración para borrar completamente la configuración de captura de paquetes. Palo Alto Networks Capítulo 7 Configuración del cortafuegos para la identificación de usuarios • “Configuración del cortafuegos para la identificación de usuarios” • “Pestaña Asignación de usuario” • “Pestaña Agentes de ID de usuarios” • “Pestaña Agentes de servicios de terminal” • “Pestaña Asignación de grupos” • “Pestaña Configuración de portal cautivo” Configuración del cortafuegos para la identificación de usuarios Dispositivo > Identificación de usuarios La identificación de usuarios (User-ID) es una función de cortafuegos de próxima generación de Palo Alto Networks que le permite crear políticas y realizar informes basándose en usuarios y grupos en lugar de direcciones IP individuales. Si está configurando un cortafuegos con varios sistemas virtuales, debe crear una configuración de identificación de usuarios distinta para cada sistema virtual; la información de asignación de usuarios no se comparte entre los distintos sistemas virtuales. Seleccione el sistema virtual que quiere configurar para identificación de usuarios en el menú desplegable Ubicación de la parte superior de la página Identificación de usuarios. Después de seleccionar un sistema virtual (si corresponde), utilice los ajustes de esta página para establecer la configuración de la identificación de usuario. • “Pestaña Asignación de usuario” • “Pestaña Agentes de ID de usuarios” • “Pestaña Agentes de servicios de terminal” • “Pestaña Asignación de grupos” • “Pestaña Configuración de portal cautivo” Palo Alto Networks Configuración del cortafuegos para la identificación de usuarios • 341 Pestaña Asignación de usuario Utilice la pestaña Asignación de usuario para configurar un cortafuegos que recupere los datos de asignación de dirección IP a nombre de usuario directamente de los servidores de dominio. Esta función no requiere la instalación de un agente de ID de usuarios en los servidores de dominio. El cortafuegos también puede configurarse para redistribuir la información de asignación del usuario a otros cortafuegos. Tabla 187. Configuración de asignación de usuarios Campo Descripción Configuración de agente de ID de usuario de Palo Alto Networks Esta sección de la pantalla muestra los ajustes que utilizará el cortafuegos para realizar la asignación de dirección IP a usuario. Para configurar o editar los ajustes, haga clic en el icono Editar , que abre el cuadro de diálogo de configuración, el cual contiene las siguientes pestañas secundarias: • Autenticación WMI • Supervisión de servidor • Sondeo de cliente • Caché • NTLM • Redistribución • Filtrados de Syslog Pestaña secundaria Autenticación WMI Utilice esta pestaña secundaria para establecer las credenciales de dominio de la cuenta que utilizará el cortafuegos para acceder a recursos de Windows. Esto es necesario para supervisar servidores Exchange y controladores de dominio, así como para el sondeo de WMI. Nombre de usuario: Especifique la cuenta con permisos para realizar consultas de WMI en equipos cliente y supervisión de servidor. Introduzca el nombre de usuario mediante la sintaxis de dominio/ nombre de usuario. Contraseña/Confirmar contraseña: Especifique la contraseña de la cuenta. 342 • Configuración del cortafuegos para la identificación de usuarios Palo Alto Networks Tabla 187. Configuración de asignación de usuarios (Continuación) Campo Descripción Pestaña secundaria Supervisión de servidor Habilitar log de seguridad: Seleccione la casilla de verificación para habilitar la supervisión de logs de seguridad en servidores Windows. Se consultarán los logs de seguridad para ubicar la información de asignación de dirección IP a nombre de usuario en los servidores especificados en la lista Supervisión de servidor. Frecuencia del supervisor de log del servidor (seg.): Especifique con qué frecuencia consultará el cortafuegos los servidores de Windows para obtener información de asignación de dirección IP a nombre de usuario (valor predeterminado: 1 segundo, intervalo: 1-3600 segundos). Habilitar sesión: Seleccione la casilla de verificación para habilitar la supervisión de sesiones del usuario en los servidores especificados en la lista Supervisión de servidor. Cada vez que un usuario se conecta a un servidor, se crea una sesión y esta información se puede utilizar también para identificar la dirección IP del usuario. Frecuencia de lectura de sesión o del servidor (seg.): Especifique con qué frecuencia consultará el cortafuegos las sesiones del usuario del servidor de Windows para obtener información de asignación de dirección IP a nombre de usuario (valor predeterminado: 10 segundos, intervalo: 1-3600 segundos). Intervalo de consulta de eDirectory Novell (seg.): Especifique con qué frecuencia consultará el cortafuegos los servidores de eDirectory Novell para obtener información de asignación de dirección IP a nombre de usuario (valor predeterminado: 30 segundos, intervalo: 1-3600 segundos). Pestaña Prueba de cliente Habilitar pruebas: Seleccione esta casilla de verificación para habilitar el sondeo WMI/NetBIOS para cada PC cliente identificado por el proceso de asignación del usuario. El sondeo ayudará a garantizar que el mismo usuario está aún registrado en el PC cliente con el fin de proporcionar información precisa de usuario a IP. Intervalo de sondeo (min.): Especifique el intervalo de sondeo del PC cliente (valor predeterminado 20 minutos, intervalo 1-1440 minutos). En implementaciones de gran tamaño, es importante establecer el intervalo de sondeo correctamente para proporcionar tiempo para sondear cada cliente identificado. Por ejemplo, si dispone de 6.000 usuarios y un intervalo de 10 minutos, puede necesitar 10 consultas WMI por segundo de cada cliente. Note: Para que el sondeo de WMI funcione de forma eficaz, se debe configurar el perfil Asignación de usuario con una cuenta de administrador de dominio, y cada PC cliente sondeado debe tener una excepción de administración remota configurada en el cortafuegos de Windows. Para que el sondeo de NetBIOS funcione de forma efectiva, cada PC cliente sondeado debe proporcionar un puerto 139 en el cortafuegos de Windows y debe tener los servicios de uso compartido de archivos e impresoras activados. Palo Alto Networks Configuración del cortafuegos para la identificación de usuarios • 343 Tabla 187. Configuración de asignación de usuarios (Continuación) Campo Descripción Pestaña secundaria Caché Habilitar identificación de usuario: Seleccione esta casilla de verificación para activar un valor de tiempo de espera para entradas de asignación de dirección IP a nombre de usuario. Cuando se alcanza el valor de tiempo de espera, se borrará la asignación de dirección IP a usuario y se recopilará una nueva asignación. Eso garantizará que el cortafuegos tiene la información más actual sobre los desplazamientos de los usuarios y permitirá obtener nuevas direcciones IP. Tiempo de espera de identificación de usuario (min.): Establezca el valor del tiempo de espera para las entradas de asignación de dirección IP a nombre de usuario (valor predeterminado: 45 minutos, intervalo: 1-1440). Pestaña secundaria NTLM Habilitar procesamiento de autenticación de NTLM—Seleccione esta casilla de verificación para habilitar el proceso de autenticación de NT LAN Manager (NTLM). Cuando se configura el Portal cautivo con un formulario web para capturar información de asignación de usuario, se autentica al cliente de forma transparente a través de un desafío de NTLM. Con esta opción habilitada, el cortafuegos recopilará esta información desde el dominio NTLM. Si el recopilador de ID de usuario de PAN-OS y el agente de ID de usuarios están instalados en controladores de dominio, las respuestas de NTLM irán directamente al controlador de dominio. Cuando el cortafuegos está configurado para compartir su información de ID de usuario con otros cortafuegos, puede entregar consultas de NTLM procedentes de otros cortafuegos de PAN-OS, realizando la función del agente de ID de usuarios. Dominio de NTLM: Introduzca el nombre de dominio de NTLM. Nombre de usuario del administrador: Introduzca la cuenta del administrador que tiene acceso al dominio de NTLM. Contraseña/Confirmar contraseña: Introduzca la contraseña del administrador que tiene acceso al dominio de NTLM. Nota: Solo puede habilitar el proceso de autenticación de NTLM en un sistema virtual (seleccione el sistema virtual en el menú desplegable Ubicación en la parte superior de la página). Pestaña secundaria Redistribución Nombre del recopilador: Especifique el nombre del recopilador si desea que este cortafuegos actúe como punto de redistribución para la asignación de usuarios para cada cortafuegos en su red. El nombre del recopilador y la clave compartida previamente se utilizan cuando se configuran los agentes del ID de usuario en los cortafuegos que arrastrarán la información de asignación del usuario. Para permitir a un cortafuegos actuar como un punto de redistribución, necesita también activar Servidor de ID de usuario en Red > Perfiles de red > Gestión de interfaz. Clave preconvertida/Confirmar clave precompartida: Introduzca la clave precompartida utilizada por otros cortafuegos para establecer una conexión segura para transferencias de asignación de usuarios. 344 • Configuración del cortafuegos para la identificación de usuarios Palo Alto Networks Tabla 187. Configuración de asignación de usuarios (Continuación) Campo Descripción Pestaña secundaria Filtrados de Syslog Utilice esta pestaña secundaria para especificar cómo debe analizar el cortafuegos los mensajes de Syslog para extraer información de asignación (dirección IP y nombre de usuario) a partir de los mensajes de Syslog que recibe. Para añadir un filtro de Syslog, haga clic en Añadir y, a continuación, cumplimente los siguientes campos. Puede crear filtros distintos de diferentes emisores de Syslogs. Debe especificar qué filtro se debe utilizar cuando agregue al emisor a la lista de servidores supervisados. Además, antes de que los mensajes de Syslog sean aceptados en una interfaz, el servicio de escucha de Syslog debe estar habilitado en el perfil de gestión asociado con la interfaz. Perfil de análisis de Syslog: Introduzca un nombre para el perfil de análisis (hasta 63 caracteres alfanuméricos). Palo Alto Networks proporciona varios filtros de Syslog predefinidos, que se distribuyen como actualizaciones de contenido de aplicación y, por lo tanto, se actualizan dinámicamente como filtros nuevos. Los filtros predefinidos son generales para el cortafuegos, mientras que los filtros manuales solo se aplican a un sistema virtual. Descripción: Introduzca una descripción para el perfil (hasta 255 caracteres alfanuméricos). Tipo: Especifique el tipo de análisis que se debe utilizar para filtrar la información de asignación de usuario. Se admiten dos tipos: Identificador Regex y Identificador de campo. Para crear los filtros, debe conocer el formato de los mensajes de autenticación en los Syslogs. Las siguientes descripciones de campo muestran ejemplos de cómo crear filtros para mensajes de Syslog que tengan el siguiente formato: [Tue Jul 5 13:15:04 2005 CDT] Administrator authentication success User:domain\johndoe_4 Source:192.168.0.212 • Identificador Regex: Con este tipo de análisis puede especificar expresiones regulares para describir patrones de búsqueda e identificar y extraer información de asignación de usuario de los mensajes de Syslog. Si selecciona esta opción, debe especificar el regex que se debe utilizar para hacer coincidir los eventos de autenticación del mensaje de Syslog y los campos de dirección IP y usuario en los mensajes de coincidencia. • Regex de eventos: Utilice este campo para especificar el regex e identificar los eventos de autenticación correctos dentro de los mensajes de Syslog. Por ejemplo, cuando se hacen coincidir con el mensaje de Syslog de ejemplo anterior, el siguiente regex indica que el cortafuegos debe coincidir con la primera {1} instancia de la cadena authentication success. La barra invertida antes del espacio es un carácter regex de "escape" estándar que indica al motor de regex que no trate el espacio como carácter especial: (authentication\ success){1}" Palo Alto Networks Configuración del cortafuegos para la identificación de usuarios • 345 Tabla 187. Configuración de asignación de usuarios (Continuación) Campo Pestaña secundaria Filtrados de Syslog (Continuación) Descripción – Regex de nombre de usuario: Introduzca el regex para identificar el principio del nombre de usuario en los mensajes de autenticaciones realizadas con éxito. Por ejemplo, el regex User:([a-zA-Z0-9\\\._]+) coincidiría con la cadena User:johndoe_4 en el mensaje de ejemplo y se extraería acme\johndoe1 como ID de usuario (User-ID). Utilice este campo para especificar el regex e identificar el campo del nombre de usuario en los mensajes de autenticaciones realizadas con éxito. – Regex de dirección: Utilice este campo para especificar el campo de dirección IP en los mensajes de autenticaciones realizadas con éxito. Por ejemplo, la siguiente expresión regular Source:([0-9]{1,3}\. [0-9]){1,3}\.[0-9]{1,3}\.0-9]{1,3}) coincidiría con la cadena Source:192.168.0.212 en el mensaje de ejemplo y se extraería y añadiría 192.168.0.212 como la dirección IP en la asignación de dirección IP a nombre de usuario de identificación de usuario (User-ID) que se crea. • Identificador de campo: Con este tipo de análisis se especifica una cadena para que coincida con el evento de autenticación y cadenas de prefijo y sufijo para identificar la información de asignación de usuario en los Syslogs de la siguiente forma: – Cadena de eventos: Especifique la cadena que debe identificar el tipo de log de evento desde el que extraer la información de asignación de usuario. Por ejemplo, usando el formato de syslog de ejemplo que aparece anteriormente, debe introducir la cadena authentication success para la coincidencia en los eventos de autenticación correctos del log. – Prefijo de nombre de usuario: Introduzca la cadena de coincidencia para identificar el principio del campo del nombre de usuario en el mensaje de Syslog de autenticación. Por ejemplo, usando el formato de Syslog del ejemplo anterior, debe introducir la cadena User: para identificar el principio del nombre de usuario. – Delimitador de nombre de usuario: Introduzca el delimitador utilizado para marcar el final del campo de nombre de usuario en un mensaje de log de autenticación. Por ejemplo, en el formato del mensaje de log de ejemplo, al nombre de usuario le sigue un espacio, por lo que debe introducir \s para indicar que el campo de nombre de usuario está delimitado por un espacio. – Prefijo de dirección: Especifique una cadena para que coincida — Especifique la cadena que debe extraerse de la dirección IP del mensaje de log. Por ejemplo, usando el formato de Syslog de ejemplo que aparece anteriormente, debe introducir la cadena Source: para identificar el campo de log del que extraer la dirección. – Delimitador de dirección: Introduzca la cadena coincidente utilizada para marcar el final del campo de dirección IP en el mensaje de autenticación realizada con éxito. Por ejemplo, en el formato del mensaje de log de ejemplo, a la dirección le sigue un salto de línea, por lo que debe introducir \n para indicar que el campo de dirección está delimitado por una nueva línea. 346 • Configuración del cortafuegos para la identificación de usuarios Palo Alto Networks Tabla 187. Configuración de asignación de usuarios (Continuación) Campo Descripción Supervisión de servidor Utilice esta sección de la pantalla para definir los servidores de Microsoft Exchange, controladores de dominio, servidores Novell eDirectory o emisores de Syslog con el fin de supervisar eventos de inicio de sesión. Por ejemplo, en un entorno AD, el agente supervisará los logs de seguridad en busca de renovaciones o concesiones de tickets de Kerberos, acceso al servidor Exchange (si está configurado) y conexiones de servicio de impresión y archivo (en el caso de servidores supervisados). Puede definir entradas para hasta 50 emisores de Syslog por sistema virtual y hasta un total de 100 servidores supervisados, incluidos emisores de Syslog, Microsoft Active Directory, Microsoft Exchange o Novell eDirectory. Nota: Recuerde que para que los eventos AD se registren en el log de seguridad, el dominio AD debe configurarse para registrar eventos de inicio de sesión de cuenta correctos. Puede añadir otros tipos de dispositivos para el descubrimiento de información de asignación de usuario (como controladores inalámbricos, dispositivos 802.1 o servicios Network Access Control, NAC) que el cortafuegos no puede supervisar directamente configurándolos como emisores de Syslog. Esto es útil en entornos donde ya hay configurado otro dispositivos para autenticar usuarios finales. Para que esto funcione, también debe configurar el cortafuegos para escuchar Syslog y definir cómo filtrar los mensajes de Syslog entrantes para extraer la información de asignación de usuario. Consulte “Definición de perfiles de gestión de interfaz” para obtener más información sobre cómo habilitar el servicio de Syslog en la interfaz. Para descubrir automáticamente los controladores de dominio de Microsoft Active Directory mediante DNS, haga clic en Descubrir. El cortafuegos descubrirá controladores de dominio basados en el nombre de dominio introducido en el campo Dispositivo > Configuración > Gestión > Configuración general Dominio. A continuación, puede habilitar los servidores que desea utilizar para obtener información de asignación de usuarios. Nota: La función Descubrir funciona solo para controladores de dominio; no puede utilizarla para descubrir automáticamente servidores de Exchange o eDirectory. Para definir nuevos servidores de supervisión manualmente o emisores de Syslog a los que escuchar, haga clic en Añadir y, a continuación, cumplimente los siguientes campos: • Nombre: Introduzca un nombre para el servidor. • Descripción: Introduzca una descripción del servidor que se debe supervisar. • Habilitado: Seleccione la casilla de verificación para habilitar la supervisión de log de este servidor. • Tipo: Seleccione el tipo de servidor que se debe supervisar (Microsoft Active Directory, Microsoft Exchange, Novell eDirectory o emisor de Syslog). Según el tipo de servidor seleccionado, aparece uno o varios de los siguientes campos: – Dirección de red: Introduzca la dirección IP o el nombre de dominio completo (FQDN) del servidor de Exchange o Active Directory que se debe supervisar. – Perfil de servidor: Seleccione el perfil de servidor LDAP que se debe usar para conectar al servidor Novell eDirectory. – Tipo de conexión: Especifica si el agente del cortafuegos escuchará los mensajes de Syslog en UDP (puerto 514) o SSL (puerto 6514). Palo Alto Networks Configuración del cortafuegos para la identificación de usuarios • 347 Tabla 187. Configuración de asignación de usuarios (Continuación) Campo Supervisión de servidor (Continuación) Descripción – Filtro: Seleccione el filtro de Syslog que se debe usar para extraer nombres de usuario y direcciones IP a partir de los mensajes de Syslog recibidos desde este servidor. – Nombre de dominio predeterminado: (optativo) Especifique un nombre de dominio que preceda al nombre de usuario si no hay ningún nombre de dominio presente en la entrada de log. Para terminar de añadir el servidor, haga clic en ACEPTAR. El cortafuegos tratará de conectar al servidor. Cuando se conecte correctamente, el estado aparecerá como Conectado. Si el cortafuegos no puede conectarse, el estado mostrará un error, como conexión rehusada o la conexión ha agotado el tiempo de espera. Incluir/excluir redes Utilice esta sección de la pestaña para definir subredes específicas que deban incluirse o excluirse de la asignación dirección de IP a nombre de usuario. Por ejemplo, si excluye 10.1.1.0/24, el identificador de usuario (User-ID) no intentará encontrar nombres de usuarios para direcciones IP en el intervalo excluido. Esto, a su vez incluirá o excluirá intervalos para asignaciones enviadas a otros cortafuegos de PAN-OS. Cuando defina un intervalo de red de inclusión o exclusión, se realizará una exclusión total implícita. Por ejemplo, si incluye 10.1.1.0/24, se excluirá el resto de redes. Si excluye 10.1.1.0/24, se excluirán todas las redes, por lo que, cuando utilice la exclusión, también deberá contar con una red de inclusión. De lo contrario, todas las redes se excluyen de la asignación de usuario. Para añadir una red incluida/excluida, haga clic en Añadir y, a continuación, cumplimente los siguientes campos. Nombre: Introduzca un nombre para identificar el perfil que incluirá o excluirá una red para fines de descubrimiento de identificación de usuario (User-ID). Habilitada: Seleccione esta opción para habilitar el perfil incluir/excluir. Descubrimiento: Seleccione la opción para incluir o excluirel intervalo de red definido. Dirección de red: Introduzca el intervalo de red que le gustaría incluir o excluir del descubrimiento de asignación de dirección IP a usuario. Por ejemplo, 10.1.1.0/24. Secuencia de red de inclusión exclusión personalizada: Le permite especificar una orden en la que el cortafuegos debe evaluar qué redes deben incluirse o excluirse de la asignación de usuario. Si no especifica una secuencia personalizada, el cortafuegos evaluará la lista en el orden en el que se hayan añadido las entradas. Pestaña Agentes de ID de usuarios Utilice la pestaña Agentes de ID de usuarios para configurar el cortafuegos y que interactúe con los agentes de identificación de usuarios (agentes de User-ID) instalados en los servidores del directorio de la red o con los cortafuegos configurados para identificación de usuarios que no tengan agentes en el intercambio de información de asignación de dirección IP a usuario. El agente de identificación de usuario (User-ID) recopila información de asignación de dirección IP a nombre de usuario en los recursos de red y la proporciona al cortafuegos para su uso en logs y políticas de seguridad. 348 • Configuración del cortafuegos para la identificación de usuarios Palo Alto Networks La asignación de identificación de usuario necesita que el cortafuegos obtenga la dirección IP origen del usuario antes de que la dirección IP se traduzca con NAT. Si varios servidores tienen la misma dirección origen, debido a NAT o por el uso de un dispositivo proxy, no será posible una identificación de usuario precisa. En entornos donde otros dispositivos de red ya están autenticando usuarios, puede configurar el servicio de autenticación para que reenvíe logs de eventos al agente de identificación de usuario que utiliza Syslog. El agente podría entonces extraer los eventos de autenticación desde los Syslogs y añadirlos a las asignaciones de dirección IP a nombre de usuario de identificación de usuario. Para añadir un nuevo agente de identificación de usuario a la lista de agentes con los que se comunica este cortafuegos, haga clic en Añadir y, a continuación, complete los siguientes campos. Tabla 188. Configuración del agente de ID de usuario (User-ID) Campo Descripción Nombre Introduzca un nombre para identificar al agente de identificación de usuario (User-ID) (hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Host Introduzca la dirección IP del host de Windows en el que está instalado el agente de identificación de usuarios (User-ID). Puerto Introduzca el número de puerto en el que está configurado el servicio del agente de identificación de usuarios (User-ID) para escuchar las solicitudes del cortafuegos. El número predeterminado del puerto del servicio del agente de identificación de usuarios (User-ID) de Windows es 5007. Sin embargo, puede utilizar cualquier puerto disponible siempre que el cortafuegos y el servicio del agente de identificación de usuarios utilicen el mismo valor. Además, puede utilizar distintos números de puerto en diferentes agentes. Nota: Algunas versiones anteriores del agente de identificación de usuarios utilizan 2010 como el puerto predeterminado. Nombre del recopilador Si este cortafuegos está recibiendo información de asignación de usuario de otro cortafuegos configurado para redistribución, especifique el nombre del recopilador configurado en el cortafuegos que recopilará los datos de asignación del usuario (se muestra en la pestaña Dispositivo > Identificación de usuarios > Asignación de usuario). Clave precompartida del recopilador/Confirmar clave precompartida del recopilador Introduzca la clave precompartida que se utilizará para autorizar la conectividad de SSL entre el agente de ID de usuarios y el cortafuegos que actúa como un punto de distribución para la asignación de usuarios. Utilizar como Proxy LDAP Seleccione la casilla de verificación para utilizar este agente de identificación de usuarios (User-ID) como proxy de LDAP para las consultas al servidor LDAP (en lugar de que el cortafuegos se conecte directamente al servicio de directorio). Esta opción es útil en entornos donde se deseable el almacenamiento en caché o no es posible el acceso directo del cortafuegos al servidor del directorio. Palo Alto Networks Configuración del cortafuegos para la identificación de usuarios • 349 Tabla 188. Configuración del agente de ID de usuario (User-ID) (Continuación) Campo Descripción Utilizar para autenticación NTLM Seleccione la casilla de verificación para utilizar el agente de ID de usuarios configurado para comprobar la autenticación de cliente de NTLM desde el portal cautivo con el dominio de Active Directory. Habilitado Seleccione la casilla de verificación para permitir que el cortafuegos se comunique con este agente de identificación de usuarios. Para terminar de añadir la entrada del agente de identificación de usuarios (User-ID), haga clic en ACEPTAR. El nuevo agente de identificación de usuarios aparece en la lista de agentes. Compruebe que el icono de la columna Conectado es verde, lo que indica que el cortafuegos puede comunicarse correctamente con el agente. Haga clic en Actualizar conectados para intentar volver a conectar con los agentes configurados. Si desea que el cortafuegos se comunique con agentes en orden concreto (por ejemplo, basándose en su proximidad a ellos o en si son una copia de seguridad o principal), haga clic en Secuencia de agente personalizada y, a continuación, ordene los agentes en el orden que desee. Pestaña Agentes de servicios de terminal Utilice la pestaña Agentes de servicios de terminal para configurar el cortafuegos y que interactúe con los agentes de servicios de terminal (agentes TS) instalados en el red. El agente TS identifica los usuarios individuales que admite el mismo servidor de terminal y que, por lo tanto, tienen la misma dirección IP. El agente TS de un servidor terminal identifica a usuarios individuales asignando intervalos de un puerto específico a cada uno de los usuarios. Cuando se asigna un intervalo de puerto a un usuario particular, el Agente de servicios de terminal notifica el intervalo de puerto asignado a cada cortafuegos por lo que esa política se puede aplicar basándose en usuarios y grupos de usuarios. Para añadir un agente TS a la configuración de cortafuegos, haga clic en Añadir y, a continuación, cumplimente los siguientes campos. Tabla 189. Configuración de agentes de servicios de terminal Campo Descripción Nombre Introduzca un nombre para identificar el agente TS (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Host Introduzca la dirección IP del servidor del terminal en el que está instalado el agente TS. Puerto Introduzca el número de puerto en el que está configurado el servicio del agente TS para comunicarse con el cortafuegos. El puerto predeterminado es 5009. 350 • Configuración del cortafuegos para la identificación de usuarios Palo Alto Networks Tabla 189. Configuración de agentes de servicios de terminal (Continuación) Campo Descripción Direcciones IP alternativas Si el servidor de terminal donde está instalado el agente TS tiene varias direcciones IP que pueden aparecer como la dirección IP de origen para el tráfico saliente, haga clic en Añadir y, a continuación, introduzca hasta ocho direcciones IP adicionales. Habilitado Seleccione la casilla de verificación para permitir que el cortafuegos se comunique con este agente de identificación de usuarios. Para terminar de añadir la entrada del agente TS, haga clic en ACEPTAR. El nuevo agente TS aparece en la lista de agentes. Compruebe que el icono de la columna Conectado es verde, lo que indica que el cortafuegos puede comunicarse correctamente con el agente. Haga clic en Actualizar conectados para intentar volver a conectar con los agentes configurados. Pestaña Asignación de grupos Para definir las políticas de seguridad basándose en usuarios o grupos, el cortafuegos debe recuperar la lista de grupos y la correspondiente lista de miembros de su servidor de directorio. Para habilitar esta función, debe crear un perfil de servidor LDAP que indique al cortafuegos cómo conectarse al servidor de directorios LDAP y autenticarse. El cortafuegos admite una variedad de servidores de directorio LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server. Después de crear el perfil de servidor, utilice la pestaña Asignación de grupos para definir cómo buscar en el directorio la información de grupos y usuarios. Para añadir configuración de asignación de grupos, haga clic en Añadir y, a continuación, introduzca un nombre único para identificar la configuración. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres, incluidas letras, números, espacios, guiones y guiones bajos. A continuación, debe completar los campos de las siguientes pestañas secundarias: • “Pestaña secundaria Perfil de servidor” • “Pestaña secundaria Lista de inclusión de grupos” Pestaña secundaria Perfil de servidor Utilice la pestaña secundaria Perfil de servidor para seleccionar un perfil de servidor LDAP que se utilizará para la asignación de grupos y especifique cómo buscar en el directorio objetos específicos que contengan información de grupo y usuario. Tabla 190. Configuración del perfil de servidor de asignación de grupos Campo Descripción Perfil de servidor Seleccione el perfil de servidor LDAP que se debe utilizar para la asignación de grupos en este cortafuegos. Para obtener instrucciones sobre cómo crear un perfil de servidor LDAP, consulte la guía de inicio de PAN-OS. Intervalo de actualización Especifique el intervalo (segundos) tras el cual el cortafuegos iniciará una conexión con el servidor de directorios LDAP para obtener actualizaciones realizadas en grupos que se utilizan en políticas de cortafuegos (intervalo de 60 a 86.400 segundos). Palo Alto Networks Configuración del cortafuegos para la identificación de usuarios • 351 Tabla 190. Configuración del perfil de servidor de asignación de grupos (Continuación) Campo Descripción Objetos de grupo • Filtro de búsqueda: Especifique una consulta LDAP que se puede utilizar para controlar qué grupos se recuperan y siguen. • Clase de objeto: Especifique la definición de un grupo. Por ejemplo, el valor predeterminado es objectClass=group, lo que significa que el sistema recupera todos los objetos en el directorio que coinciden con el filtro de grupo y cuentan con objectClass=group. • Nombre de grupo: Introduzca el atributo que especifica el nombre del grupo. Por ejemplo, en Active Directory, este atributo es “CN” (Nombre común). • Miembro del grupo: Especifique el atributo que contiene los miembros de este grupo. Por ejemplo, en Active Directory, este atributo es “miembro”. Objetos de usuario • Filtro de búsqueda: Especifique una consulta LDAP que se puede utilizar para controlar qué usuarios se recuperan y siguen. • Clase de objeto: Especifique la definición de un objeto de usuario. Por ejemplo, en Active Directory, el objectClass es “usuario”. • Nombre de usuario: Especifique el atributo para el nombre de usuario. Por ejemplo, en Active Directory, el atributo de nombre de usuario predeterminado es “samAccountName”. Dominios de correo Cuando el cortafuegos recibe un log de WildFire por un correo electrónico malintencionado, la información del receptor del correo electrónico se hace coincidir con la información de usuario recogida por el ID de usuario (User-ID) El log contendrá un enlace para el usuario y, cuando se haga clic en él, aparecerá el ACC y el usuario lo filtrará. Si el correo electrónico se envía a una lista de distribución, los usuarios que contiene la lista filtran el ACC. El encabezado de correo electrónico y la información del ID de usuario (User-ID) le ayudarán a realizar un seguimiento rápido y a evitar las amenazas que lleguen por correo electrónico, facilitando la identificación de usuarios que han recibido el correo electrónico. • Atributos de correo electrónico: Este campo se rellena automáticamente según el tipo de servidor de LDAP (Sun/RFC, Active Directory y Novell). • Lista de dominios: Introduzca la lista de dominios de correo electrónico de su organización usando una lista separada por comas de hasta 256 caracteres. Habilitado Para habilitar este perfil de usuario para la asignación de grupos, asegúrese de que esta casilla de verificación está seleccionada. Pestaña secundaria Lista de inclusión de grupos Utilice la pestaña secundaria Lista de inclusión de grupos para limitar el número de grupos que aparecen cuando se crea una política de seguridad. Busque en el árbol de LDAP los grupos cuyo uso desea en la política. En el caso de cada grupo que desee incluir, selecciónelo en la lista Grupos disponibles y haga clic en el icono de adición para moverlo a la lista Grupos incluidos. Haga clic en el icono para eliminar grupos de la lista. Repita este paso con cada grupo cuyo uso desea en las políticas y, a continuación, haga clic en ACEPTAR para guardar la lista de grupos incluidos. 352 • Configuración del cortafuegos para la identificación de usuarios Palo Alto Networks Pestaña Configuración de portal cautivo Utilice la pestaña Configuración de portal cautivo para configurar la autenticación de portal cautivo en el cortafuegos. Si el cortafuegos recibe una solicitud de una zona que tiene habilitado identificación de usuarios (User-ID) y la dirección IP de origen no tiene datos de usuario asociados con la misma todavía, comprobará su política de portal cautivo en busca de una coincidencia para determinar si se realizará la autenticación. Esto es de utilidad en entornos donde tenga clientes que no hayan iniciado sesión en sus servidores de dominio, como clientes Linux. Este método de asignación de usuarios únicamente se activa para el tráfico web (HTTP o HTTPS) que coincida con una política/regla de seguridad, pero que no se haya asignado utilizando un método diferente. Para el tráfico que no se basa en web o el tráfico que no coincide con una política de portal cautivo, el cortafuegos utiliza sus políticas de seguridad basadas en IP, en lugar de utilizar las basadas en usuarios. Para establecer o editar la configuración de portal cautivo, haga clic en el icono Editar a continuación, complete los siguientes campos: Tabla 191. y, Configuración de portal cautivo Campo Descripción Habilitado Seleccione esta casilla de verificación para habilitar el portal cautivo para la identificación de usuario. Temporizador de inactividad (minutos) Esta es la configuración TTL (Tiempo de vida de usuario) para una sesión de portal cautivo. Este temporizador se restaura cada vez que hay actividad de un usuario del portal cautivo. Si el tiempo que un usuario permanece inactivo supera el del temporizador de inactividad, la asignación del usuario del portal cautivo se eliminará y el usuario tendrá que volver a iniciar sesión. (1-1440 minutos, valor predeterminado: 15 minutos). Caducidad (min) Duración máxima del TTL, máxima cantidad de tiempo que una sesión del portal cautivo puede permanecer asignada. Una vez transcurrido el tiempo de vencimiento, la asignación se eliminará y los usuario tendrán que volver a autenticarse incluso aunque la sesión siga activa. Este temporizador se utiliza para garantizar las asignaciones obsoletas y el valor establecido aquí anula el tiempo de espera de inactividad. Por lo tanto, se recomienda que establezca el vencimiento en un valor superior al del temporizador de inactividad (intervalo 1 - 1440 minutos; valor predeterminado: 60 minutos). Redirigir host (Solo modo Redirigir) Especifique el nombre de host de intranet que resuelve a la dirección IP de la interfaz de capa3 a la que está redirigiendo solicitudes. Certificado de servidor (Únicamente en el modo Redirigir) Seleccione el certificado de servidor que debería utilizar el cortafuegos para redirigir solicitudes a través de SSL. Para redirigir usuarios de forma transparente sin mostrar errores de certificado, instale un certificado que coincida con la dirección IP de la interfaz a la que está redirigiendo solicitudes. Puede generar un certificado autofirmado o importar un certificado firmado por una CA externa. Nota: Si selecciona Ninguno, el cortafuegos utilizará el certificado local predeterminado para la conexiones SSL. Palo Alto Networks Configuración del cortafuegos para la identificación de usuarios • 353 Tabla 191. (Continuación)Configuración de portal cautivo Campo Descripción Perfil de autenticación Seleccione el perfil de autenticación que se debe utilizar para autenticar usuarios que se redirigen a un formulario web para su autenticación. Tenga en cuenta que incluso aunque planee utilizar NTLM para la autenticación, debe configurar un perfil de autenticación o un perfil de certificado para autenticar usuarios por si la autenticación de NTLM falla o no se puede utilizar porque el cliente o el explorador no la admite. Modo Seleccione uno de los siguientes modos para definir la forma en que se capturan las solicitudes web para la autenticación: • Transparente: El cortafuegos intercepta el tráfico del explorador mediante la regla de portal cautivo y representa la URL de destino original, emitiendo un HTTP 401 para invocar la autenticación. Sin embargo, como el cortafuegos no tiene el certificado real para la URL de destino, el explorador mostrará un error de certificado a los usuarios que intenten acceder a un sitio seguro. Por lo tanto, únicamente debería utilizar este modo cuando sea absolutamente necesario, como en implementaciones de capa 2 o cable virtual (Virtual Wire). • Redirigir: El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y las redirige a una interfaz de capa 3 en el cortafuegos utilizando una redirección HTTP 302 para realizar la autenticación. Este es el modo preferido porque proporciona una mejor experiencia de usuario final (sin errores de certificado). Sin embargo, requiere una configuración de capa 3 adicional. Otra ventaja del modo Redirigir es que permite el uso de cookies de sesión, que permiten que el usuario siga explorando sitios autenticados sin tener que volver a asignar cada vez que venza el tiempo. Esto es de especial utilidad para los usuarios que se desplazan de una dirección IP a otra (por ejemplo, de la LAN corporativa a la red inalámbrica) porque no tendrán que volver a autenticar al cambiar de dirección IP siempre que la sesión permanezca abierta. Además, si tiene la intención de utilizar la autenticación de NTLM, deberá utilizar el modo Redirigir porque el explorador únicamente proporcionará credenciales a sitios fiables. Para utilizar el portal cautivo en modo de redireccionamiento, debe habilitar páginas de respuesta en el perfil de gestión de la interfaz asignado a la interfaz Capa 3 a la que está redirigiendo el portal cautivo. Consulte “Definición de perfiles de gestión de interfaz” y “Configuración de una interfaz Ethernet de capa 3”. Cookie de sesión • Habilitar: Seleccione la casilla de verificación para habilitar las cookies de sesión. Esta opción solo es válida si selecciona Redirigir como Modo. • Tiempo de espera: Si las cookies de sesión están habilitadas, este temporizador especifica el número de minutos que la cookie de una sesión es válida. (intervalo: 60 - 10080 minutos; valor predeterminado: 1440 minutos). • Movilidad: Seleccione la casilla de verificación para mantener la cookie si la dirección IP cambia mientras la sesión está activa (por ejemplo, si el cliente cambia de una red con cable a una red inalámbrica). El usuario solo tendrá que volver a autenticarse si la cookie agota el tiempo de espera o el usuario cierra el explorador. 354 • Configuración del cortafuegos para la identificación de usuarios Palo Alto Networks Tabla 191. (Continuación)Configuración de portal cautivo Campo Descripción Autenticación del certificado Perfil del certificado: Seleccione el perfil del certificado que se debe utilizar para autenticar a los usuarios del portal cautivo. Cuando utiliza este tipo de autenticación, el portal cautivo pedirá al explorador que presente un certificado de cliente válido para autenticar al usuario. Para utilizar este método debe proporcionar certificados de cliente en cada sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir esos certificados en el cortafuegos. Este es el único método de autenticación que habilita una autenticación transparente para clientes de Mac OS y Linux. Autenticación de NTLM Cuando el portal cautivo se configura para la autenticación NTLM, el cortafuegos utiliza un mecanismo de respuesta por desafío cifrado para obtener las credenciales de usuario del explorador. Si se configura correctamente, el explorador proporcionará las credenciales al cortafuegos de manera transparente sin preguntar al usuario, pero mostrará un mensaje de solicitud de credenciales si es necesario. Si el explorador no puede realizar la autenticación NTLM o esta falla, el cortafuegos retrocederá a una autenticación con formato web o certificado de cliente, dependiendo de su configuración de portal cautivo. De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden configurarse para utilizarlo. No puede utilizar NTLM para autenticar clientes que no sean de Windows. Para configurar NTLM para su uso con agentes de identificación de usuarios (User-ID) basados en Windows, especifique lo siguiente: • Intentos: Especifique el número de intentos antes de que falle la autenticación de NTLM (intervalo: 1-60; valor predeterminado: 1). • Tiempo de espera: Especifique el número de segundos antes de que se agote el tiempo de espera de la autenticación de NTLM (intervalo: 1-60; valor predeterminado: 2 segundos). • Tiempo de revisión: Especifique el tiempo después del que el cortafuegos vuelva a intentar ponerse en contacto con el primer agente en la lista de los agentes de ID de usuarios cuando el agente deje de estar disponible (intervalo: 60-3600 segundos; valor predeterminado: 300 segundos). Estas opciones solo se aplican a los agentes de identificación de usuarios (User-ID) instalados en los servidores de dominio. Al utilizar el agente de identificación de usuarios incluido en el dispositivo, el cortafuegos debe poder resolver correctamente el nombre de DNS de su controlador de dominio para que el cortafuegos se una al dominio. A continuación, puede habilitar la autenticación de NTLM en la pestaña Asignación de usuario y proporcionar las credenciales para que el cortafuegos se una al dominio. Para obtener instrucciones detalladas, consulte la guía de inicio de PAN-OS. Palo Alto Networks Configuración del cortafuegos para la identificación de usuarios • 355 356 • Configuración del cortafuegos para la identificación de usuarios Palo Alto Networks Capítulo 8 Configuración de túneles de IPSec Esta sección describe la tecnología de red privada virtual (VPN) básica y proporciona información detallada sobre la configuración de VPN de seguridad de IP (IPSec) en cortafuegos de Palo Alto Networks. Consulte los siguientes temas: • “Definición de puertas de enlace de IKE” • “Configuración de túneles de IPSec” • “Definición de perfiles criptográficos de IKE” • “Definición de perfiles criptográficos de IPSec” Definición de puertas de enlace de IKE Red > Perfiles de red > Puertas de enlace de IKE Utilice esta página para definir puertas de enlace que incluyan la información de configuración necesaria para realizar la negociación del protocolo IKE con puertas de enlace del peer. Para configurar una puerta de enlace de IKE, usa las dos pestañas siguientes: • “Pestaña General de puerta de enlace de IKE” • “Pestaña Opciones de fase 1 avanzadas de puertas de enlace de IKE” Palo Alto Networks Configuración de túneles de IPSec • 357 Pestaña General de puerta de enlace de IKE Tabla 192. Configuración general de la puerta de enlace Campo Descripción Nombre Introduzca un nombre para identificar la puerta de enlace (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Interfaz Especifique la interfaz del cortafuegos saliente. Dirección IP local Seleccione la dirección IP de la interfaz local que es el extremo del túnel. Tipo de peer Dirección IP estática u opción dinámica del peer del extremo más alejado del túnel. Dirección IP del peer Si se selecciona la opción Estático para el tipo de peer, especifique la dirección IP del peer del extremo más alejado del túnel. Anterior a la clave compartida Introduzca una clave de seguridad que se utilizará para la autenticación a través del túnel. Se aplica a los tipos de peer estáticos y dinámicos. Confirmar clave precompartida Pestaña Opciones de fase 1 avanzadas de puertas de enlace de IKE Tabla 193. Configuración general de la puerta de enlace Campo Descripción Identificación local Seleccione entre los siguientes tipos e introduzca el valor: Dirección IP, FQDN (nombre de host), FQDN de usuario (dirección de correo electrónico) y KEYID (cadena de ID de formato binario en hexadecimal). Si no se especifica ningún valor, la dirección IP local se utilizará como el valor de identificación local. Identificación del peer Seleccione entre los siguientes tipos e introduzca el valor: Dirección IP, FQDN (nombre de host), FQDN de usuario (dirección de correo electrónico) y KEYID (cadena de ID de formato binario en hexadecimal). Si no se especifica ningún valor, la dirección IP del peer se utilizará como el valor de identificación del peer. Modo de intercambio Seleccione Automático, Agresivo o Principal. Perfil criptográfico de IKE Seleccione un perfil existente o mantenga el perfil predeterminado. Habilitar modo pasivo Seleccione esta opción para que el cortafuegos únicamente responda a las conexiones de IKE y nunca las inicie. 358 • Configuración de túneles de IPSec Palo Alto Networks Tabla 193. Configuración general de la puerta de enlace (Continuación) Campo Descripción Habilitar NAT Transversal Seleccione esta opción para utilizar la encapsulación UDP en los protocolos IKE y UDP, permitiéndoles pasar a través de dispositivos de NAT intermedios. La NAT transversal se utiliza cuando se han establecido direcciones de NAT entre los puntos de finalización de VPN de IPSec. Detección de fallo del peer Seleccione la casilla de verificación para habilitar e introducir un intervalo (2-100 segundos) y un retraso antes de volver a intentarlo (2-100 segundos). La detección de fallo del peer identifica peers de IKE inactivos o no disponibles a través de un ping ICMP y puede ayudar a restablecer recursos que se pierden cuando un peer no está disponible. Cuando se establece que un dispositivo utilice el modo de intercambio Automático, puede aceptar solicitudes de negociación tanto del modo principal como del modo agresivo; sin embargo, siempre que sea posible, inicia la negociación y permite intercambios en el modo principal. Debe configurar el dispositivo del peer con el modo de intercambio coincidente para permitir que acepte solicitudes de negociación iniciadas desde el primer dispositivo. Configuración de túneles de IPSec Red > Túneles de IPSec Utilice la página Túneles de IPSec para configurar los parámetros necesarios para establecer túneles de VPN de IPSec entre cortafuegos. Para configurar un túnel IPSec, use las dos pestañas siguientes: • “Pestaña General del túnel IPSec” • “Pestaña Identificador proxy de Túnel de IPSec” Consulte lo siguiente cuando vea el estado del túnel IPSec: • “Visualización del estado del túnel de IPSec en el cortafuegos” Palo Alto Networks Configuración de túneles de IPSec • 359 Pestaña General del túnel IPSec Tabla 194. Configuración de pestaña General del túnel IPSec Campo Descripción Nombre Introduzca un nombre para identificar el túnel (de hasta 63 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. El límite de 63 caracteres de este campo incluye el nombre del túnel además del ID de proxy, que está separado por dos puntos. Interfaz de túnel Seleccione una interfaz de túnel existente o haga clic en Nueva interfaz de túnel para crear una nueva interfaz de túnel. Para obtener información acerca de la creación de una interfaz de túnel, consulte “Configuración de una interfaz de túnel”. Tipo Seleccione si se utilizará una clave de seguridad generada automáticamente o introducida manualmente. Se recomienda seleccionar Clave automática. Clave automática Si selecciona Clave automática, especifique lo siguiente: • Puerta de enlace de IKE: Consulte “Definición de puertas de enlace de IKE” para obtener descripciones de los ajustes de puertas de enlace de IKE. • Perfil criptográfico de IPSec: Seleccione un perfil existente o mantenga el perfil predeterminado. Para definir un nuevo perfil, haga clic en Nuevo y siga las instrucciones de “Definición de perfiles criptográficos de IPSec”. Avanzado • Habilitar protección de reproducción: Seleccione esta opción para proteger la reproducción ante ataques. • Copiar encabezado de TOS: Copie el encabezado de TOS (Tipo de servicio) desde el encabezado IP interno en el encabezado IP externo de los paquetes encapsulados con el fin de conservar la información original de TOS. • Monitor de túnel: Seleccione esta opción para alertar al administrador de dispositivo de los fallos del túnel y proporcionar una conmutación por error automática a otra interfaz. Tenga en cuenta que deberá asignar una dirección IP a la interfaz de túnel para su supervisión. – IP de destino: Especifique una dirección IP en el otro lado del túnel que el supervisor de túnel utilizará para determinar si el túnel funciona correctamente. – Perfil: Seleccione un perfil existente que determine las acciones que se realizarán si falla el túnel. Si la acción especificada en el perfil del supervisor es Esperar recuperación, el cortafuegos seguirá utilizando la interfaz de túnel en decisiones de enrutamiento como si el túnel siguiera activo. Si se utiliza la acción de conmutación por error, el cortafuegos deshabilitará la interfaz de túnel, deshabilitando de este modo todas las rutas de la tabla de enrutamiento que utilicen la interfaz. Para obtener más información, consulte “Definición de perfiles de supervisión”. 360 • Configuración de túneles de IPSec Palo Alto Networks Tabla 194. Configuración de pestaña General del túnel IPSec (Continuación) Campo Clave manual Descripción Si selecciona Clave manual, especifique lo siguiente: • SPI local: Especifique el índice de parámetros de seguridad (SPI) local para los paquetes transversales desde el cortafuegos local hasta el peer. SPI es un índice hexadecimal que se añade al encabezado para ayudar a los túneles de IPSec a diferenciar entre flujos de tráfico de IPSec. • Interfaz: Seleccione la interfaz que es el extremo del túnel. • Dirección local: Seleccione la dirección IP de la interfaz local que es el extremo del túnel. • SPI remoto: Especifique el índice de parámetros de seguridad (SPI) remoto para los paquetes transversales desde el cortafuegos remoto hasta el peer. • Protocolo: Seleccione el protocolo para el tráfico a través del túnel (ESP o AH). • Autenticación: Seleccione el tipo de autenticación para el acceso al túnel (SHA1, SHA256, SHA384, SHA512, MD5 o Ninguna). • Clave/Confirmar clave: Introduzca y confirme una clave de autenticación. • Cifrado: Seleccione una opción de cifrado para el tráfico de túnel (3des, aes128, aes192, aes256, aes128ccm16 o Null [sin cifrado]). • Clave/Confirmar clave: Introduzca y confirme una clave de cifrado. Satélite de GlobalProtect Si selecciona Satélite de GlobalProtect, especifique lo siguiente: • Nombre: Introduzca un nombre para identificar el túnel (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. • Interfaz de túnel: Seleccione una interfaz de túnel existente o haga clic en Nueva interfaz de túnel. • Dirección IP del portal: Introduzca la dirección IP del portal de GlobalProtect. • Interfaz: Seleccione la interfaz en la lista desplegable que sea la interfaz de salida (egress) para llegar al portal de GlobalProtect. • Dirección IP local: Introduzca la dirección IP de la interfaz de salida (egress) que se conecta con el portal de GlobalProtect. Opciones avanzadas • Publicar todas las rutas estáticas y conectadas hacia la puerta de enlace: Seleccione esta opción para publicar todas las rutas desde el dispositivo satélite hacia la puerta de enlace de GlobalProtect en la que este satélite está conectado. • Subred: Haga clic en Añadir para añadir subredes locales manualmente para la ubicación del satélite. Si otros satélites están utilizando la misma información de subred, debe aplicar la NAT a todo el tráfico hacia la IP de interfaz de túnel. Asimismo, el satélite no debe compartir rutas en este caso, así que todo el enrutamiento se realizará a través de la IP de túnel. • Entidad de certificación externa: Seleccione esta opción si va a utilizar una CA externa para gestionar certificados. Una vez haya generado sus certificados, deberá importarlos al dispositivo y seleccionar el Certificado local y el Perfil del certificado que se utilizarán. Palo Alto Networks Configuración de túneles de IPSec • 361 Pestaña Identificador proxy de Túnel de IPSec Tabla 195. Configuración de la pestaña General de Túnel IPSec Campo Descripción Identificador proxy Haga clic en Añadir e introduzca un nombre para identificar el proxy. Local Introduzca una subred o dirección IP con el formato dirección_ip/máscara (por ejemplo, 10.1.2.1/24). Remoto Si el peer lo requiere, introduzca una subred o dirección IP con el formato dirección_ip/máscara (por ejemplo, 10.1.1.1/24). Protocolo Especifique los números de protocolo y puerto para los puertos locales y remotos: • Número: Especifique el número de protocolo (utilizado para la interoperabilidad con dispositivos de terceros). • Cualquiera: Permita el tráfico de TCP y/o UDP. • TCP: Especifique los números de puertos TCP locales y remotos. • UDP: Especifique los números de puertos UDP locales y remotos. Cada ID de proxy configurado se tendrá en cuenta a la hora de calcular la capacidad de túnel de VPN de IPSec del cortafuegos. Visualización del estado del túnel de IPSec en el cortafuegos Red > Túneles de IPSec Para ver el estado de los túneles de VPN de IPSec definidos actualmente, abra la página Túneles de IPSec. En la página se indica la siguiente información de estado: • Estado del túnel (primera columna de estado): El color verde indica un túnel de SA de IPSec. El color rojo indica que las SA de IPSec no están disponibles o han vencido. • Estado de la puerta de enlace de IKE: El color verde indica unas SA de fase 1 de IKE válidas. El color rojo indica que la SA de IKE de fase 1 no está disponibles o ha vencido. • Estado de la interfaz de túnel: El color verde indica que la interfaz de túnel está activada (porque el supervisor de túnel está deshabilitado o porque el estado del supervisor de túnel es ACTIVADO). El color rojo indica que la interfaz de túnel está desactivada porque el supervisor de túnel está habilitado y el estado es DESACTIVADO. 362 • Configuración de túneles de IPSec Palo Alto Networks Definición de perfiles criptográficos de IKE Red > Perfiles de red > Criptográfico de IKE Utilice la página Perfiles criptográficos de IKE para especificar protocolos y algoritmos para la identificación, la autenticación y el cifrado en túneles de VPN basándose en la negociación de SA de IPSec (IKEv1 de fase 1). Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione el elemento y, a continuación, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden determina la primera opción cuando se negocian los ajustes con un peer remoto. En primer lugar se intenta el ajuste de la parte superior de la lista, continuando hacia abajo en la lista hasta que un intento tiene éxito. Tabla 196. Configuración de perfiles criptográficos de IKE Campo Descripción Grupo DH Especifique la prioridad de grupos Diffie-Hellman (DH). Haga clic en Añadir y seleccione grupos. Para mayor seguridad, seleccione un elemento y, a continuación, haga clic en el icono Mover hacia arriba o Mover hacia abajo para mover los grupos con identificadores numéricos más altos a la parte superior de la lista. Por ejemplo, mueva el grupo14 encima del grupo2. Autenticación Especifique la prioridad de los algoritmos de hash. Haga clic en Añadir y seleccione los algoritmos (MD5, SHA1, SHA256, SHA384 o SHA512). Para mayor seguridad, utilice las flechas para mover SHA1 a la parte superior de la lista. Cifrado Seleccione las casillas de verificación para las opciones de autenticación de carga de seguridad encapsulada (ESP) deseada. Haga clic en Añadir y seleccione los algoritmos (aes256, aes192, aes128 o 3des). Para mayor seguridad, seleccione un elemento y, a continuación, haga clic en el icono Mover hacia arriba o Mover hacia abajo para cambiar el orden por el siguiente: aes256, aes192, aes128, 3des. Duración Seleccione unidades e introduzca la cantidad de tiempo que la clave negociada permanecerá efectiva. Palo Alto Networks Configuración de túneles de IPSec • 363 Definición de perfiles criptográficos de IPSec Red > Perfiles de red > Criptográfico de IPSec Utilice la página Perfiles criptográficos de IPSec para especificar protocolos y algoritmos para la identificación, la autenticación y el cifrado en túneles de VPN basándose en la negociación de SA de IPSec (IKEv1 de fase 2). Tabla 197. Configuración de perfiles criptográficos de IPSec Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Protocolo de IPSec Seleccione una opción de la lista desplegable. ESP: • Haga clic en Añadir bajo Cifrado y seleccione los algoritmos de cifrado de ESP deseados. Para mayor seguridad, utilice las flechas para cambiar el orden de lo siguiente: 3des, aes128, aes192, aes256 o aes128ccm16. • Haga clic en Añadir bajo Autenticación y seleccione los algoritmos de autenticación de ESP deseados (MD5, SHA1, SHA256, SHA384, SHA512 o Ninguna). AH: • Haga clic en Añadir bajo Autenticación y seleccione los algoritmos de autenticación de AH deseados (MD5, SHA1, SHA256, SHA384 o SHA512). Grupo DH Seleccione el grupo DH. Para mayor seguridad, seleccione el grupo con el identificador más alto. Duración Seleccione unidades e introduzca la cantidad de tiempo que la clave negociada permanecerá efectiva. El valor predeterminado es de 1 hora. Duración Seleccione unidades opcionales e introduzca la cantidad de datos que la clave puede utilizar para el cifrado. Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione un elemento y, a continuación, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden de la lista determina el orden en el que se aplican los algoritmos y puede afectar al rendimiento del túnel. 364 • Configuración de túneles de IPSec Palo Alto Networks Capítulo 9 Configuración de GlobalProtect Configuración del portal de GlobalProtect Red > GlobalProtect > Portales Utilice esta página para configurar y gestionar la configuración de un portal de GlobalProtect. El portal proporciona las funciones de gestión para la infraestructura de GlobalProtect. Todos los sistemas clientes que participan en la red de GlobalProtect recibe información de configuración desde el portal, incluida información sobre las puertas de enlace disponibles, así como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace. Además, el portal controla el comportamiento y la distribución del software del agente de GlobalProtect para los portátiles con Mac y Windows. (En dispositivos móviles, la aplicación GlobalProtect se distribuye a través de la Apple App Store para los dispositivos iOS o mediante Google Play para dispositivos Android.) Para añadir una configuración de portal, haga clic en Añadir para abrir el cuadro de diálogo Portal de GlobalProtect. Para obtener información detallada sobre los campos de todas las pestañas del cuadro de diálogo, consulte las siguientes secciones: • “Pestaña Configuración de portal” • “Pestaña Configuración clientes” • “Pestaña Configuración Satélite” Para obtener instrucciones detalladas sobre cómo configurar el portal, consulte la sección para configurar un portal de GlobalProtect en la guía del administrador de GlobalProtect. Pestaña Configuración de portal Utilice la pestaña Configuración de portal para definir la configuración de red de forma que permita a los agentes conectarse al portal y especificar cómo autenticará el portal a los clientes finales. Además, puede utilizar esta pestaña para especificar, de forma optativa, el inicio de sesión personalizado de portal de GlobalProtect y las páginas de ayuda. Para obtener información sobre cómo crear e importar estas páginas personalizadas, consulte la sección sobre personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda de portal en la guía del administrador de GlobalProtect. Palo Alto Networks Configuración de GlobalProtect • 365 Tabla 198. Configuración del portal de GlobalProtect Campo Descripción Nombre Introduzca un nombre para el portal (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Seleccione el sistema virtual, si la opción varios sistemas virtuales está activada. Configuración de red Interfaz Seleccione la interfaz del cortafuegos que se utilizará como entrada (ingress) para clientes/cortafuegos remotos. Dirección IP Especifique la dirección IP en la que se ejecutará el servicio web del portal de GlobalProtect. Certificado de servidor Seleccione el certificado de servidor de SSL que se debe utilizar para el portal de GlobalProtect. El campo de nombre común (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con la dirección IP o con el nombre de dominio completo (FQDN) de la interfaz seleccionada. En las configuraciones de VPN de GlobalProtect, es recomendable utilizar un certificado de una CA de terceros de confianza o un certificado generado por su CA de empresa interna. Si aún no ha generado/importado el certificado del servidor, puede generarlo ahora (si ya ha creado un certificado de CA de raíz para autofirmado) o puede importar un certificado desde una CA externa. Autenticación Perfil de autenticación Seleccione un perfil de autenticación para autenticar a los clientes/ satélites que acceden al portal. Si está configurando LSVPN, no podrá guardar la configuración a menos que seleccione un perfil de autenticación. Incluso si planea autenticar los satélites usando números de serie, el portal necesita un perfil de autenticación al que retroceder si no puede situar o validar el número de serie. Consulte “Configuración de perfiles de autenticación”. Mensaje de autenticación Introduzca un mensaje que ayude a los usuarios finales a saber qué credenciales deben utilizar para iniciar sesión en el portal o utilizar el mensaje predeterminado. El mensaje puede tener hasta 50 caracteres de longitud. Certificado de cliente (Optativo) Si planea utilizar una autenticación de SSL mutua, seleccione el certificado que el cliente presentará a las puertas de enlace. Este certificado de cliente se distribuirá a todos los agentes que se hayan autenticado correctamente al portal, a no ser que la configuración correspondiente del cliente contenga un certificado de cliente diferente. Si utiliza una CA interna para distribuir certificados a los clientes, deje este campo en blanco. Perfil del certificado (Optativo) Seleccione el perfil del certificado que se debe utilizar para autenticar a los usuarios en el portal. Utilice esta opción solo si los extremos ya tienen un certificado de cliente previamente implementado usando una infraestructura de clave pública interna (PKI). 366 • Configuración de GlobalProtect Palo Alto Networks Tabla 198. Configuración del portal de GlobalProtect (Continuación) Campo Descripción Apariencia Deshabilitar página de inicio de sesión Seleccione esta opción para deshabilitar el acceso a la página de inicio de sesión de portal de GlobalProtect desde un navegador web. Página de inicio de sesión personalizada Seleccione una página de inicio de sesión personalizada opcional para el acceso de usuario al portal. Página de ayuda personalizada Seleccione una página de ayuda personalizada optativa para asistir al usuario con GlobalProtect. Pestaña Configuración clientes Utilice la pestaña Configuración clientes para definir los ajustes de configuración del cliente de GlobalProtect que el portal implementará para el agente/aplicación al conectar y autenticar correctamente. Esta pestaña también le permite implementar automáticamente cualquier certificado de CA raíz de confianza y certificados intermedios que necesitará el cliente final para establecer conexiones HTTPS con las puertas de enlace de GlobalProtect y/o el gestor de seguridad móvil de GlobalProtect, si estos componentes utilizan certificados de servidor en los que no confían los clientes finales. Cualquier certificado que añada aquí será aplicado a los clientes con configuración cliente. Para añadir un certificado de CA raíz de confianza, haga clic en Añadir y, a continuación, seleccione un certificado de la lista o haga clic en Importar para buscar e importar el certificado en el cortafuegos. Si tiene clases de usuarios distintas que necesitan distintas configuraciones, puede crear una configuración cliente distinta para cada uno. El portal utilizará entonces el nombre de usuario/nombre de grupo o el sistema operativo del cliente para determinar qué configuración cliente implementar. Como con la evaluación de reglas de seguridad, el portal busca una coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia, proporciona la configuración correspondiente al agente/aplicación. Por lo tanto, si tiene varias configuraciones cliente, es importante ordenarlas, para que las más específicas (configuraciones para usuarios o sistemas operativos concretos) estén por encima de configuraciones más genéricas. Utilice los botones Mover hacia arriba y Mover hacia abajo para ordenar las configuraciones. Haga clic en Añadir para abrir el cuadro de diálogo Configuraciones y cree una nueva configuración cliente. Para obtener información detallada sobre cómo configurar el portal y crear configuraciones cliente, consulte la sección para configurar el portal del GlobalProtect en la guía del administrador de GlobalProtect. El cuadro de diálogo Configuración contiene cinco pestañas, que se describen en la siguiente tabla: • Pestaña General • Pestaña Usuario/grupo de usuarios • Pestaña Puertas de enlace • Pestaña Agente • Pestaña Recopilación de datos Palo Alto Networks Configuración de GlobalProtect • 367 Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect Campo Descripción Pestaña General Nombre Introduzca un nombre para identificar la configuración de este cliente. Utilizar registro único Seleccione la casilla de verificación para que GlobalProtect utiliza las credenciales de inicio de sesión de Windows de los usuarios para conectar y autenticar de manera transparente a las puertas de enlace y al portal de GlobalProtect. A los usuarios no se les pedirá que introduzcan nombre de usuario ni contraseña en la pestaña Configuración del agente. Intervalo de actualización de configuración (horas) Especifique el intervalo en horas para actualizar la configuración del agente GlobalProtect (de forma predeterminada, 24 horas; rango de 1-168 horas). Modificador de autenticación • Ninguno: El portal siempre autentica al agente usando el perfil de autenticación especificado y/o el perfil de certificado y envía las credenciales de autenticación a la puerta de enlace. Es el ajuste predeterminado. • Autenticación de cookies para actualización de configuración: Permite la autenticación basada en cookies del agente al portal para actualizar una configuración de cliente en caché. • Caducidad de cookies (días): Esta opción solo aparece si selecciona la opción Autenticación de cookies para actualización de configuración en el campo Modificador de autenticación. Utilícela para especificar el número de días que el agente puede utilizar la cookie para autenticarse en el portal con el fin de actualizar la configuración; un valor de 0 (predeterminado) indica que la cookie nunca caduca. • Contraseña diferente para puerta de enlace: indica que el portal y la puerta de enlace utilizan credenciales de autenticación diferentes y pide al usuario la contraseña de la puerta de enlace después de que la autenticación de portal se realice correctamente. De forma predeterminada, el portal enviará la misma contraseña que ha utilizado el agente para autenticarse en el portal o en la puerta de enlace. • Solo puerta de enlace manual: Esta opción solo aparece si selecciona Contraseña diferente para puerta de enlace en el campo Modificador de autenticación. Seleccione esta casilla de verificación si desea utilizar mecanismos de autenticación diferentes en distintas puertas de enlace configuradas como manuales. Por ejemplo, puede elegir las credenciales de Active Directory para una conexión “siempre activada” a un conjunto de puertas de enlace, y utilizar un mecanismo de autenticación más estricto, como una autenticación OTP de dos factores, en otro conjunto de puertas de enlace que protejan recursos más seguros. 368 • Configuración de GlobalProtect Palo Alto Networks Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación) Campo Descripción Método de conexión • A petición: Seleccione esta opción para permitir a los usuarios establecer una conexión cuando lo deseen. Con esta opción, el usuario debe iniciar la conexión de forma explícita. Esta función se utiliza principalmente para conexiones con acceso remoto. • Inicio de sesión de usuario: Con esta opción configurada, el agente de GlobalProtect establecerá una conexión cuando los usuarios inicien sesión en sus equipos. Si selecciona Utilizar registro único, el nombre de usuario y la contraseña utilizados para iniciar sesión en Windows se capturan por el agente de GlobalProtect y se utilizan para autenticar. • Anterior al inicio de sesión: Permite al agente autenticar y establecer el túnel de VPN en la puerta de enlace de GlobalProtect utilizado un certificado de máquina instalado previamente antes de que el usuario inicie sesión en la máquina. Cuando se utiliza el método de conexión anterior al inicio de sesión, puede crear configuraciones cliente de GlobalProtect y políticas de seguridad que especifiquen el método anterior al inicio de sesión como usuario de origen y permitan el acceso solo a los servicios básicos como DHCP, DNS, Active Directory y servicios de actualización del sistema operativo y antivirus, para aumentar aún más la velocidad del proceso de inicio de sesión para los usuarios. Para utilizar esta función, debe usar su propia infraestructura de clave pública (PKI) para emitir y distribuir certificados a sus sistemas de usuario final. Entonces, debe importar el certificado de CA raíz utilizado para emitir los certificados de máquina al cortafuegos (tanto el portal como la puerta de enlace) y, a continuación, crear un perfil de certificado correspondiente. Certificado de cliente Si planea quiere utilizar una autenticación de SSL mutua, seleccione el certificado que el cliente presentará a las puertas de enlace. Este certificado cliente se distribuirá a todos los agentes que coincidan con esta configuración cliente. Si también hay un certificado cliente especificado en la pestaña Configuración de portal, se utilizará este en su lugar. Si está implementando certificados únicos a sus extremos usando una PKI interna, deje este campo en blanco. Gestor de seguridad móvil Si está utilizando el gestor de seguridad móvil de GlobalProtect para la gestión del dispositivo móvil, introduzca la dirección IP o FQDN de la interfaz de registro/inscripción del dispositivo en el dispositivo GP-100. Puerto de inscripción Número de puerto que debe utilizar el dispositivo móvil al conectar al gestor de seguridad móvil de GlobalProtect para la inscripción. De forma predeterminada, el gestor de seguridad móvil escucha en el puerto 443. Se recomienda respetar este valor para no se les solicite un certificado cliente durante el proceso de inscripción a los usuarios de dispositivos móviles. (Valor predeterminado: 443; valores posibles: 443, 7443, 8443) Palo Alto Networks Configuración de GlobalProtect • 369 Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación) Campo Descripción Detección de host interno Con esta opción, GlobalProtect realiza una búsqueda de DNS inversa del nombre de host especificado en la dirección IP especificada. Si no se encuentra ninguna coincidencia, GlobalProtect supone que el extremo se encuentra fuera de la red de la empresa y establece un túnel con cualquier puerta de enlace externa configurada en la pestaña Puertas de enlace. Si encuentra alguna coincidencia, el agente determina que el extremo está dentro de la red y se conecta a una puerta de enlace interna (si está configurada); en este caso, no crea ninguna conexión de VPN a puertas de enlace externas. Seleccione la casilla de verificación para activar la detección de host interno utilizando la búsqueda de DNS. Especifique lo siguiente: • Dirección IP: Introduzca una dirección IP interna para la detección de host interno. • Nombre de host: Introduzca el nombre de host que lleva a la dirección IP anterior en la red interna. Pestaña Usuario/grupo de usuarios Especifica el usuario o grupo de usuarios o el sistema operativo cliente al que aplicar la configuración cliente: • Usuario/grupo de usuarios: Haga clic en Añadir para seleccionar en la lista el usuario o grupo de usuarios al que se aplicará esta configuración (para que aparezca la lista de usuarios y grupos debe estar configurada la asignación de grupos). También puede crear configuraciones que se implementarán en los agentes en modo anterior al inicio de sesión (es decir, antes de que el usuario haya iniciado sesión en el sistema) o configuraciones que se aplicarán a cualquier usuario. • SO: Para implementar configuraciones basadas en el sistema operativo específico que se ejecuta en el sistema final, haga clic en Añadir en la sección de SO de la ventana y, a continuación, seleccione los sistemas operativos que correspondan (Android, iOS, Mac o Windows). O deje el valor de esta sección establecido en Cualquiera para que las configuraciones se implementen basándose solo en el usuario/grupo. Pestaña Puertas de enlace Tiempo de corte Especifique la cantidad de tiempo (en segundos) que el agente esperará a que respondan las puertas de enlace antes de determinar la mejor puerta de enlace a la que conectarse. El agente solo intentará conectarse a las puertas de enlace que hayan respondido en el tiempo de corte especificado. El valor predeterminado es 5. El valor 0 indica que no hay tiempo de corte; el agente esperará hasta que el TCP agote su tiempo de espera. (Rango 0 a 10) Puertas de enlace internas Especifique las puertas de enlace internas que el agente autenticará y para las que proporcionará informes HIP. 370 • Configuración de GlobalProtect Palo Alto Networks Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación) Campo Descripción Puertas de enlace externas Especifique la lista de cortafuegos con los que el agente debería intentar establecer un túnel cuando estos falten en la red corporativa. Haga clic en Añadir y, a continuación, introduzca la siguiente información para todas las puertas de enlace externas: • Nombre: Etiqueta de hasta 31 caracteres para identificar la puerta de enlace. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. • Dirección: Dirección IP o FQDN de la interfaz del cortafuegos donde se configura la puerta de enlace. El valor debe coincidir con el campo CN (y SAN, si se especifica) en el certificado del servidor de la puerta de enlace (por ejemplo, si ha utilizado un FQDN para generar el certificado, también debe introducirlo aquí). • Prioridad: Seleccione un valor (Más alta, Alta, Media, Baja, Más baja o Manual únicamente) para ayudar al agente a determinar la puerta de enlace a la que conectarse. El agente se pondrá en contacto con todas las puertas de enlace (excepto las que tengan una prioridad Solo manual) y establecerá un túnel con el cortafuegos que proporcione la respuesta más rápida y el valor de prioridad más alto. • Manual: Seleccione esta casilla de verificación si desea permitir que los usuarios se conecten manualmente (o cambien a) la puerta de enlace. El agente de GlobalProtect tendrá la opción de conectarse a cualquier puerta de enlace externa configurada con la selección Manual. Al conectarse a la nueva puerta de enlace, se desconectará el túnel existente y se establecerá un nuevo túnel. A diferencia de la puerta de jenlace principal, las puertas de enlace manuales pueden también tener un mecanismo de autenticación diferente. Si se reinicia el sistema cliente o si se realiza un redescubrimiento, el agente de GlobalProtect se conectará a la puerta de enlace principal. Esta función es muy útil si cuenta con un grupo de usuarios que necesitan conectarse de forma temporal a una puerta de enlace específica para acceder a un segmento seguro de su red. Pestaña Agente La configuración de esta pestaña especifica la forma en la que interactúan los usuarios finales con los agentes de GlobalProtect instalados en sus sistemas. Puede definir configuraciones de agente diferentes para las distintas configuraciones cliente de GlobalProtect que cree. Código de acceso/ Confirmar código de acceso Introduzca el código de acceso que los usuarios finales deberán introducir para cancelar el agente. Este campo solo es necesario si el campo Cancelación del agente por el usuario tiene establecido el uso de código de acceso. Palo Alto Networks Configuración de GlobalProtect • 371 Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación) Campo Descripción Cancelación del agente por el usuario Seleccione una opción de cancelación: • deshabilitado: Impide que los usuarios finales deshabiliten el agente de GlobalProtect. • con comentario: Se pide al usuario final que introduzca un comentario cuando desactive el agente de GlobalProtect. • con código de acceso: La opción permite al usuario introducir un código de acceso para cancelar el agente de GlobalProtect. Si selecciona esta opción, también debe introducir un valor en el campo Código de acceso y en Confirmar código de acceso. Los usuarios tendrán que introducir este valor para cancelar al agente. • con vale: Esta opción activa un mecanismo de respuesta por desafío para autorizar la desactivación del agente de GlobalProtect por parte del cliente. Con esta opción seleccionada, se solicita un desafío al usuario al desactivar GlobalProtect. El desafío es transmitido al administrador fuera del cortafuegos y el administrador puede validar el desafío mediante la interfaz de administración del cortafuegos. El cortafuegos genera una respuesta que se presenta al usuario que podrá luego desactivar GlobalProtect introduciendo dicha respuesta cuando el agente de GlobalProtect se la solicite. Cuando utilice esta opción, también debe introducir la clave para descifrar el vale en los campos Clave de cancelación del agente por el usuario en el nivel superior de la pestaña Configuración clientes. Máx. número de cancelaciones del agente por el usuario Especifique el número máximo de veces que un usuario puede desactivar GlobalProtect antes de que sea obligatoria una conexión correcta con un cortafuegos. El valor 0 (predeterminado) indica que las cancelaciones de agente son ilimitadas. Tiempo de espera a la cancelación del agente por el usuario Especifique el tiempo máximo (en minutos) que GlobalProtect estará deshabilitado al cancelar; después de que transcurra el tiempo especificado, el agente volverá a conectarse. El valor 0 (predeterminado) indica que la duración de la cancelación es ilimitada. Actualización de agente Seleccione una de las siguientes opciones para especificar cómo se producirán las descargas/actualizaciones del software del agente de GlobalProtect: • deshabilitado: Impide que los usuarios actualicen el agente. • manual: Permite a los usuarios comprobar e iniciar actualizaciones manualmente seleccionando la opción de comprobación de versión del agente. • mensaje: pide actualizar a los usuarios finales cuando se active una nueva versión del agente en el cortafuegos. Es el ajuste predeterminado. • transparente: actualiza automáticamente el software del agente cuando hay una versión disponible en el portal. Página de bienvenida Seleccione la página de bienvenida que debe mostrarse a los usuarios finales cuando la conexión a GlobalProtect sea correcta. Puede seleccionar la página predeterminada de fábrica o importar una página personalizada. De forma predeterminada, este campo se establece en Ninguno. VPN externo Haga clic en Añadir para añadir una lista de clientes VPN de acceso remoto que podrían estar presentes en los extremos. Si está configurado, GlobalProtect ignorará esos clientes VPN, así como su configuración de ruta, para asegurarse de que ni les afecta ni entra en conflicto con ellos. 372 • Configuración de GlobalProtect Palo Alto Networks Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación) Campo Descripción Habilitar vista avanzada Cancele la selección de la casilla de verificación para restringir la interfaz del usuario por parte del cliente en la vista mínima básica. De forma predeterminada, la configuración de vista avanzada está activada. Mostrar icono GlobalProtect Quite esta marca de verificación para ocultar el icono de GlobalProtect en el sistema cliente. Cuando está oculto, los usuarios no pueden realizar otras tareas, como cambiar las contraseñas, redescubrir la red, reenviar información de host, ver información de solución de problemas o realizar una conexión a demanda. Sin embargo, los mensajes de notificación HIP, los mensajes de inicio de sesión y los cuadros de diálogo de certificados seguirán mostrándose como necesarios para interactuar con el usuario final. Permitir al usuario cambiar la dirección del portal Quite la marca de esta casilla de verificación para deshabilitar el campo Portal en la pestaña Configuración del agente de GlobalProtect. Como el usuario no podrá entonces especificar un portal al que conectarse, debe proporcionar la dirección predeterminada del portal en el registro de Windows: (HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\PanSetup con portal clave) o la pclist de Mac (/Library/Preferences/com. paloaltonetworks.GlobalProtect.pansetup.plist con portal clave). Permitir que el usuario guarde la contraseña Quite la marca de verificación de esta casilla para impedir que los usuarios guarden sus contraseñas en el agente (es decir, forzarlos a proporcionar la contraseña, ya sea de forma transparente mediante el cliente o introduciendo una manualmente, cada vez que se conecten). Activar opción para volver a detectar la red Quite la marca de verificación de esta casilla para impedir que los usuarios redescubran la red de forma manual. Activar opción para volver a enviar perfil de host Quite la marca de verificación de esta casilla de para impedir que los usuarios activen manualmente el reenvío del último HIP. Permitir que el usuario continúe si el certificado de servidor del portal no es válido Quite la marca de verificación de esta casilla para impedir al agente establecer una conexión con el portal si el certificado de portal no es válido. Pestaña Recopilación de datos Utilice esta pestaña secundaria para definir qué datos recopilará el agente del cliente en el informe HIP: Máx. de tiempo de espera Especifique la duración de la búsqueda de datos HIP por parte del agente antes de enviar la información disponible (rango 10-60 segundos; de forma predeterminada, 20 segundos). Excluir categorías Utilice esta pestaña secundaria para definir cualquier categoría de información de host para la que no desee recopilar los datos HIP. Seleccione una categoría que desee excluir de la recopilación de HIP. Después de seleccionar una categoría, de forma optativa, puede filtrar la exclusión haciendo clic en Añadir y, a continuación, seleccionando un proveedor concreto. Haga clic en Añadir en la sección Producto del cuadro de diálogo y, a continuación, seleccione los productos del proveedor. Haga clic en ACEPTAR para guardar la configuración. Palo Alto Networks Configuración de GlobalProtect • 373 Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación) Campo Descripción Comprobaciones personalizadas Utilice esta pestaña secundaria para definir cualquier información de host personalizada que desee que recopile el agente. Por ejemplo, si tiene aplicaciones necesarias que no estén incluidas en la lista de productos o de proveedores para crear objetos HIP, cree una comprobación personalizada que le permita determinar si se ha instalado esa aplicación (tiene un registro o clave plist que corresponde) o se está ejecutando (tiene un proceso en ejecución que corresponde): • Windows: Haga clic en Añadir para añadir una comprobación de una clave de registro determinada o un valor de clave. • Mac: Haga clic en Añadir para añadir una comprobación de una clave plist determinada o un valor de clave. • Lista de procesos: Haga clic en Añadir para especificar la lista de procesos para comprobar en los sistemas de usuario final para ver si están en ejecución. Por ejemplo, para determinar si una aplicación de software se está ejecutando, agregue el nombre del archivo ejecutable a la lista de procesos. Puede añadir una lista de procesos a la pestaña Windows o Mac. Pestaña Configuración Satélite Un dispositivo satélite es un cortafuegos de Palo Alto Networks (tradicionalmente en una sucursal) que actúa como agente de GlobalProtect para habilitarlo y establecer la conectividad de VPN en un cortafuegos de GlobalProtect. De la misma forma que un agente de GlobalProtect, el satélite recibe su configuración inicial del portal, incluidos certificados e información sobre la ruta de configuración de VPN. Esto que permite su conexión a todas las puertas de enlace configuradas, lo que hace posible el establecimiento de la conectividad de VPN. Antes de configurar los ajustes de satélite de GlobalProtect en el cortafuegos de la sucursal, primero debe configurar una interfaz con conectividad de WAN y establecer una política y una zona de seguridad para que la LAN de la sucursal pueda comunicarse con Internet. Entonces podrá configurar los ajustes del satélite de GlobalProtect en el portal, según se describe en la siguiente tabla: Tabla 200. Ajustes de configuración del satélite del portal de GlobalProtect Campo Descripción Pestaña secundaria General Haga clic en Añadir para mostrar las pestañas secundarias y especifique la siguiente configuración en la pestaña secundaria Satélite de GlobalProtect > General: • Nombre: Introduzca un nombre para identificar el perfil del dispositivo satélite de GlobalProtect. • Actualizar intervalo de configuración (horas): Especifique la frecuencia con la que los dispositivos satélite deben comprobar el portal para actualizaciones de la configuración (valor predeterminado 24 horas, intervalo entre 1 y 48 horas). Pestaña secundaria Dispositivos 374 • Configuración de GlobalProtect Haga clic en Añadir para agregar manualmente un dispositivo satélite utilizando el número de serie del dispositivo. Si utiliza esta opción, cuando se conecta el dispositivo satélite por primera vez para recibir el certificado de autenticación y la configuración inicial, no se requiere un mensaje de inicio de sesión. Después de autenticar el dispositivo satélite, se agrega Nombre (nombre de host) al portal de forma automática. Palo Alto Networks Tabla 200. Ajustes de configuración del satélite del portal de GlobalProtect (Continuación) Campo Descripción Pestaña secundaria Inscripción del usuario/ Grupo de usuario El portal utiliza los ajustes Usuario de inscripción/Grupo de usuarios y/o los números de serie de Dispositivos para hacer coincidir un satélite con una configuración. Especifique los criterios de coincidencia para la configuración de satélite de la manera siguiente: • Para restringir esta configuración a dispositivos satélite con números de serie específicos, seleccione la pestaña Dispositivos, haga clic en Añadir e introduzca un número de serie (no necesita introducir el nombre de host de satélite; se añadirá automáticamente cuando el satélite se conecte). Repita este paso para cada satélite que quiera que reciba esta configuración. • Seleccione la pestaña Usuario de inscripción/Grupo de usuarios, haga clic en Añadir y, a continuación, seleccione el usuario o grupo que quiera que reciba esta configuración. Los satélites que no coinciden en el número de serie deberán autenticarse como un usuario especificado aquí (bien como un usuario individual, bien como un miembro de grupo). Nota: Nota: Para restringir la configuración a grupos específicos, debe activar la asignación de grupos. Pestaña secundaria Puertas de enlace Haga clic en Añadir para introducir la dirección IP o nombre de host de los satélites de las puertas de enlace con los que esta configuración puede establecer túneles de IPSec. Introduzca el FQDN o la dirección IP de la interfaz donde está configurada la puerta de enlace en el campo Puertas de enlace. (Opcional) Si está añadiendo dos o más puertas de enlace a la configuración, la Prioridad del enrutador ayuda al satélite a seleccionar la puerta de enlace preferida. Introduzca un valor de entre 1 y 25; cuanto menor sea el número, mayor será la prioridad (es decir, la puerta de enlace a la que se conectará el satélite si todas las puertas de enlace están disponibles). El satélite multiplicará la prioridad de enrutamiento por 10 para determinar la medida de enrutamiento. Nota: Las rutas publicadas por la puerta de enlace se instalan en el satélite como rutas estáticas. La medida para la ruta estática es 10 veces la prioridad de enrutamiento. Si tiene más de una puerta de enlace, asegúrese también de establecer la prioridad de enrutamiento para garantizar que las rutas anunciadas por puertas de enlace de reserva tienen medidas más altas en comparación con las mismas rutas anunciadas por puertas de enlace principales. Por ejemplo, si establece la prioridad de enrutamiento para la puerta de enlace principal y la puerta de enlace de reserva como 1 y 10 respectivamente, el satélite utilizará 10 como medida para la puerta de enlace principal y 100 como medida para la puerta de enlace de reserva. El satélite también compartirá su información de red y enrutamiento con las puertas de enlace si está seleccionada la opción Publicar todas las rutas estáticas y conectadas a puerta de enlace (configurada en el satélite en la pestaña avanzada Red > Túneles de IPSec > Satélite de GlobalProtect > Avanzado). Consulte “Satélite de GlobalProtect”para obtener más información. Palo Alto Networks Configuración de GlobalProtect • 375 Tabla 200. Ajustes de configuración del satélite del portal de GlobalProtect (Continuación) Campo Descripción CA raíz de confianza Haga clic en Añadir y, a continuación, seleccione el certificado de CA utilizado para emitir los certificados de servidor de la puerta de enlace. Se recomienda usar el mismo emisor para todas las puertas de enlace. Nota: Si el certificado de CA raíz utilizado para emitir sus certificados de servidor de la puerta de enlace no está en el portal, haga clic en Importar para importarlo ahora. Emisor del certificado Seleccione el certificado de CA raíz que el portal utilizará para emitir certificados para satélites tras autenticarlos correctamente. Período de validez (días) Especifique la duración del certificado del dispositivo satélite de GlobalProtect emitido (valor predeterminado 7 días, intervalo de 7 a 365 días). Período de renovación del certificado (días) Especifique el período de renovación del certificado del dispositivo satélite de GlobalProtect (valor predeterminado 3 días, intervalo de 3 a 30 días). Eso determinará la frecuencia de renovación de los certificados. OCSP responder Seleccione el respondedor OCSP que deben usar los satélites para verificar el estado de revocación de los certificados presentados por el portal y las puertas de enlace. Configuración de las puertas de enlace de GlobalProtect Red > GlobalProtect > Puertas de enlace Utilice esta página para configurar una puerta de enlace de GlobalProtect. La puerta de enlace se puede utilizar para proporcionar conexiones de VPN para agentes/aplicaciones de GlobalProtect o dispositivos satélite de GlobalProtect. Para añadir una configuración de puerta de enlace, haga clic en Añadir para abrir el cuadro de diálogo Portal de GlobalProtect. Para obtener información detallada sobre los campos de todas las pestañas del cuadro de diálogo, consulte las siguientes secciones: • “Pestaña General” • “Pestaña Configuración clientes” • “Pestaña Configuración Satélite” Para obtener instrucciones detalladas sobre cómo configurar una puerta de enlace, consulte la sección para configurar una puerta de enlace de GlobalProtect en la guía del administrador de GlobalProtect. Pestaña General Utilice la pestaña General para definir la interfaz de la puerta de enlace a la que se conectarán los agentes/aplicaciones y especificar cómo autenticará la puerta de enlace a los clientes finales. 376 • Configuración de GlobalProtect Palo Alto Networks Tabla 201. Configuración general de la puerta de enlace de GlobalProtect Campo Descripción Nombre Introduzca un nombre para la puerta de enlace (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Seleccione el sistema virtual al que pertenece esta puerta de enlace, si la opción de varios sistemas virtuales está activada. Configuración de red Interfaz Seleccione la interfaz del cortafuegos que se utilizará como entrada (ingress) para agentes/satélites remotos. Dirección IP Seleccione la dirección IP para el acceso a la puerta de enlace. Certificado de servidor Seleccione el certificado de servidor para la puerta de enlace. Autenticación Perfil de autenticación Seleccione un perfil o una secuencia de autenticación para autenticar el acceso a la puerta de enlace. Consulte “Configuración de perfiles de autenticación”. Mensaje de autenticación Introduzca un mensaje que ayude a los usuarios finales a saber qué credenciales deben utilizar para iniciar sesión en esta puerta de enlace o utilice el mensaje predeterminado. El mensaje puede tener hasta 50 caracteres de longitud. Perfil del certificado Seleccione el perfil de certificado para la autenticación de cliente. Pestaña Configuración clientes Utilice la pestaña Configuración clientes para configurar los ajustes de túnel y permitir a los agentes/aplicaciones establecer túneles de VPN con la puerta de enlace. Además, utilice esta pestaña para definir los mensajes de notificación HIP que se deben mostrar a los usuarios finales al encontrar coincidencias (o no encontrarlas) con un perfil HIP adjunto a una política de seguridad. Esta pestaña contiene tres pestañas secundarias, que se describen en la siguiente tabla: • Pestaña secundaria Ajustes de túnel • Pestaña secundaria Configuración de red • Pestaña secundaria Notificación HIP Palo Alto Networks Configuración de GlobalProtect • 377 Tabla 202. Ajustes de configuración de cliente de puerta de enlace de GlobalProtect Campo Descripción Pestaña secundaria Ajustes de túnel Utilice esta pestaña secundaria para configurar los parámetros del túnel y permitir su utilización. Los parámetros del túnel son necesarios si configura una puerta de enlace externa. Las puertas de enlace internas se configuran de forma optativa. Modo de túnel Seleccione la casilla de verificación para activar el modo túnel y especifique los siguientes ajustes: • Interfaz de túnel: Seleccione la interfaz de túnel para acceder a la puerta de enlace. • Máx. de usuarios: Especifique el número máximo de usuarios que pueden acceder a la puerta de enlace simultáneamente para autenticación, actualizaciones HIP y actualizaciones de agente de GlobalProtect. Si se alcanza el número máximo de usuarios, se negará el acceso a los usuarios siguientes con un mensaje de error indicando que se ha alcanzado el número máximo de usuarios. De forma predeterminada, no se establece ningún límite (rango =1-1024 usuarios). • Habilitar IPSec: Seleccione la casilla de verificación para activar el modo IPSec para el tráfico de cliente, convirtiendo IPSec en el método principal y SSL-VPN en el método alternativo. • Habilitar compatibilidad con X-Auth: Seleccione la casilla de verificación para activar la compatibilidad con Extended Authentication (X-Auth) en la puerta de enlace de GlobalProtect cuando se activa IPSec. Con la compatibilidad de X-Auth, los clientes externos de VPN de IPSec compatibles con X-Auth (como el cliente VPN de IPSec en dispositivos Apple iOS y Android y el cliente VPNC en Linux) pueden establecer un túnel VPN con la puerta de enlace de GlobalProtect. La opción X-Auth proporciona acceso remoto desde el cliente VPN a una puerta de enlace de GlobalProtect específica. Como el acceso de X-Auth proporciona funciones de GlobalProtect limitadas, considere el uso de la aplicación de GlobalProtect para un acceso simplificado a todo el conjunto de funciones de seguridad que proporciona GlobalProtect en dispositivos iOS y Android. Seleccionar la casilla de verificación de compatibilidad con X-Auth activa las opciones Nombre de grupo y Contraseña de grupo: – Si se especifica el nombre de grupo y la contraseña de grupo, la primera fase de autenticación requiere ambas informaciones para utilizar esta credencial para autenticar. La segunda fase requiere una contraseña y un nombre de usuario válidos, que se comprobarán mediante el perfil de autenticación configurado en la sección Autenticación. – Si no se definen un nombre de grupo y una contraseña de grupo, la primera fase de autenticación se basa en un certificado válido presentado por el cliente de VPN externo. Este certificado se valida después a través del perfil de certificado configurado en la sección de autenticación. – De forma predeterminada, no es necesario que el usuario vuelva a autenticarse cuando caduque la clave utilizada para establecer el túnel de IPSec. Para volver a solicitar la autenticación, quite la marca de la casilla de verificación Saltar autenticación de clave de registro de IKE. 378 • Configuración de GlobalProtect Palo Alto Networks Tabla 202. Ajustes de configuración de cliente de puerta de enlace de GlobalProtect (ConCampo Descripción Configuración de tiempo de espera Especifique los siguientes ajustes de tiempo de espera: • Duración de inicio de sesión: Especifique el número de días, horas o minutos permitido para una sesión de inicio de sesión de puerta de enlace única. • Cierre de sesión por inactividad: Especifique el número de días, horas y minutos tras el que se cierra una sesión inactiva automáticamente. • Desconectar cuando esté inactivo: Especifique el número de minutos a partir del cual se cierra la sesión en GlobalProtect si la aplicación GlobalProtect no ha enviado tráfico a través del túnel VPN. Pestaña secundaria Configuración de red Las opciones de Configuración de red solo están disponibles si ha habilitado el modo de túnel y definido una interfaz de túnel en la pestaña Ajustes de túnel. La configuración de red definida aquí se asignará al adaptador de red virtual en el sistema cliente cuando un agente establezca un túnel con la puerta de enlace. Origen de herencia Seleccione un origen para propagar un servidor DNS y otras configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en la configuración del agente de GlobalProtect. Con esta configuración, se heredan todas las configuraciones de red del cliente, como servidores DNS y servidores WINS, de la configuración de la interfaz seleccionada en el Origen de herencia. Comprobar estado de origen de herencia Haga clic en el enlace para ver la configuración del servidor asignada actualmente a las interfaces del cliente. DNS principal Introduzca las direcciones IP de los servidores principal y secundario que proporcionan DNS a los clientes. DNS secundario WINS principal WINS secundario Introduzca las direcciones IP de los servidores principal y secundario que proporcionan Windows Internet Naming Service (WINS) a los clientes. Sufijo DNS Haga clic en Añadir para introducir un sufijo que el cliente puede utilizar de forma local cuando se introduce un nombre de host sin restricciones que no puede resolver. Puede introducir varios sufijos separándolos con comas. Heredar sufijos DNS Seleccione esta casilla de verificación para heredar los sufijos de DNS del origen de herencia. Grupo de IP Haga clic en Añadir para especificar la configuración del grupo de IP. Utilice esta sección para crear una gama de direcciones IP para asignar a los usuarios remotos. Cuando se establece el túnel, se crea una interfaz en el equipo del usuario remoto con una dirección de esta gama. Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las conexiones actuales. La asignación de dirección IP es dinámica y no se mantiene cuando se desconecta el usuario. La configuración de varias gamas de diferentes subredes permitirá al sistema ofrecer a los clientes una dirección IP que no entra en conflicto con otras interfaces en el cliente. Los servidores/enrutadores en las redes debe dirigir el tráfico para este grupo de IP en el cortafuegos. Por ejemplo, para la red 192.168.0.0/16, se puede asignar la dirección 192.168.0.10 a un usuario remoto. Palo Alto Networks Configuración de GlobalProtect • 379 Tabla 202. Ajustes de configuración de cliente de puerta de enlace de GlobalProtect (ConCampo Descripción Acceder a ruta Haga clic en Añadir para especificar las opciones de ruta de acceso. Utilice esta sección para agregar rutas que se introducirán en el equipo del usuario remoto y por lo tanto determinarán lo que enviará el equipo del usuario a través de la conexión de VPN. Por ejemplo, puede establecer túneles divididos para permitir a los usuarios remotos acceder a Internet sin pasar por el túnel de VPN. Si no se agrega ninguna ruta, cada solicitud se dirigirá a través del túnel (sin división de túnel). En este caso, cada solicitud de Internet pasa a través del cortafuegos y luego a la red. Éste método puede evitar la posibilidad de acceso al equipo del usuario por parte de terceros y por lo tanto la obtención de acceso a la red interna (utilizando el equipo de usuario como puente). Pestaña secundaria Notificación HIP Utilice esta pestaña secundaria para definir los mensajes de notificación que verán los usuarios finales cuando se aplique una regla de seguridad con un perfil de información de host (HIP). Este paso solo se aplica si ha creado perfiles de información de host y los ha añadido a sus políticas de seguridad. Notificación HIP Haga clic en Añadir para especificar las opciones de notificación. Seleccione Habilitar para activar Coincidir mensaje o Mensaje no coincidente. Seleccione una opción de notificación en la sección Mostrar notificación como y seleccione el botón de opción para Icono en la barra de tareas o Mensaje emergente y, a continuación, especifique un mensaje con el que debe coincidir o no coincidir. Utilice esta configuración para notificar al usuario final el estado de la máquina, por ejemplo, para proporcionar un mensaje de advertencia que indica que el sistema host no tiene la aplicación necesaria instalada. Para el mensaje de coincidencia, también puede habilitar la opción que permite incluir la lista de aplicaciones con coincidencia en el mensaje e indicar qué aplicaciones activan la coincidencia HIP. Nota: Los mensajes de notificación HIP pueden tener el formato HTML enriquecido, que puede incluir enlaces a recursos y sitios web externos. Utilice el icono de enlace en la barra de herramientas de configuración de texto para agregar enlaces. Pestaña Configuración Satélite Un dispositivo satélite es un cortafuegos de Palo Alto Networks (tradicionalmente en una sucursal) que actúa como agente de GlobalProtect para habilitarlo y establecer la conectividad de VPN en un cortafuegos de GlobalProtect. Utilice la pestaña Configuración Satélite para definir la configuración del túnel de la puerta de enlace y de la red y permitir que los dispositivos satélite establezcan conexiones VPN con él. También puede utilizar esta pestaña para controlar las rutas publicadas por los satélites. Esta pestaña contiene tres pestañas secundarias, que se describen en la siguiente tabla: • Pestaña secundaria Ajustes de túnel • Pestaña secundaria Configuración de red • Pestaña secundaria Filtro de ruta 380 • Configuración de GlobalProtect Palo Alto Networks Tabla 203. Ajustes de configuración de satélite de puerta de enlace de GlobalProtect Campo Descripción Pestaña secundaria Ajustes de túnel Configuración de túnel Seleccione la casilla de verificación Configuración de túnel y seleccione la interfaz de túnel existente o haga clic en Nueva interfaz de túnel. Consulte “Configuración de una interfaz de túnel”para obtener más información. Reproducir detección de ataques:Proteger frente a reproducción de ataques. Copiar TOS: Copie el encabezado de ToS (Tipo de servicio) desde el encabezado IP interno en el encabezado IP externo de los paquetes resumidos con el fin de preservar la información original de ToS. Actualizar intervalo de configuración (horas): Especifique la frecuencia con la que los dispositivos satélite deben comprobar el portal para actualizaciones de la configuración (valor predeterminado 2 horas, intervalo entre 1 y 48 horas). Supervisión de túnel Seleccione la casilla de verificación Supervisión de túnel para habilitar los dispositivos satélites para que supervisen su conexión de túnel de puerta de enlace, lo que permite realizar una conmutación por error a una puerta de enlace de reserva si falla la conexión. IP de destino: Especifique una dirección IP que utilizará el supervisor de túnel para determinar si hay conectividad a la puerta de enlace (por ejemplo, una dirección IP en la red protegida por la puerta de enlace). De forma alternativa, si ha configurado una dirección IP para la interfaz de túnel, puede dejar este campo en blanco y, en su lugar, el monitor de túnel utilizará la interfaz de túnel para determinar si la conexión está activa. Perfil de monitor de túnel: El fallo en la conmutación por error a otra puerta de enlace es el único tipo de perfil de supervisión de túnel permitido con LSVPN. Perfiles criptográficos Seleccione un Perfil criptográfico de IPSec o cree un nuevo perfil. Eso determinará los protocolos y algoritmos para la identificación, la autenticación y el cifrado de los túneles de VPN. Dado que ambos extremos del túnel de una LSVPN son cortafuegos fiables de su organización, por lo general puede utilizar el perfil predeterminado, que utiliza cifrado ESP-DH group2-AES 128 con SHA-1. Consulte “Definición de perfiles criptográficos de IPSec”para obtener más detalles. Pestaña secundaria Configuración de red Origen de herencia Seleccione un origen para propagar un servidor DNS y otras configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en la configuración del satélite de GlobalProtect. Con esta configuración, se heredan todas las configuraciones de red, como servidores DNS, de la configuración de la interfaz seleccionada en el Origen de herencia. DNS principal Introduzca las direcciones IP de los servidores principal y secundario que proporcionan DNS a los satélites. DNS secundario Sufijo DNS Palo Alto Networks Haga clic en Añadir para introducir un sufijo que el satélite puede utilizar de forma local cuando se introduce un nombre de host sin restricciones que no puede resolver. Puede introducir varios sufijos separándolos con comas. Configuración de GlobalProtect • 381 Tabla 203. Ajustes de configuración de satélite de puerta de enlace de GlobalProtect Campo Descripción Heredar sufijo DNS Seleccione esta casilla de verificación para enviar el sufijo de DNS a los dispositivos de satélite para uso local cuando se introduce un nombre de host sin restricciones que no puede resolver. Grupo de IP Haga clic en Añadir para especificar la configuración del grupo de IP. Utilice esta sección para crear un rango de direcciones IP que se pueden asignar a la interfaz del túnel en los dispositivos satélite al establecer el túnel VPN. Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las conexiones actuales. La asignación de dirección IP es dinámica y no se mantiene cuando se desconecta el satélite. La configuración de varias gamas de diferentes subredes permitirá al sistema ofrecer a los satélites una dirección IP que no entra en conflicto con otras interfaces en el dispositivo. Los servidores/enrutadores en las redes debe dirigir el tráfico para este grupo de IP en el cortafuegos. Por ejemplo, para la red 192.168.0.0/16, se puede asignar la dirección 192.168.0.10 a un satélite. Si está utilizando el enrutamiento dinámico, asegúrese de que el grupo de direcciones IP que designe a los satélites no se solape con las direcciones IP que asignó manualmente a las interfaces de túnel de sus puertas de enlace y satélites. Acceder a ruta haga clic en Añadir y, a continuación, introduzca las rutas de la siguiente forma: • Si desea enrutar todo el tráfico desde los satélites a través del túnel, deje este campo en blanco. • Para enrutar únicamente parte del tráfico a través de la puerta de enlace (lo que se denomina túneles divididos), especifique las subredes de destino que deberán tunelizarse. En este caso, el satélite enrutará el tráfico no destinado a una ruta de acceso especificada mediante su propia tabla de rutas. Por ejemplo, puede decidir tunelizar únicamente el tráfico destinado a su red corporativa y utilizar el satélite local para permitir el acceso a Internet de forma segura. • Si desea habilitar el enrutamiento entre satélites, introduzca la ruta de resumen para la red protegida por cada satélite. Pestaña secundaria Filtro de ruta Seleccione la casilla de verificación Aceptar rutas publicadas para aceptar rutas publicadas por el satélite en la tabla de ruta de la puerta de enlace. Si no selecciona esta opción, la puerta de enlace no aceptará ninguna ruta publicada por los satélites. Si desea ser más restrictivo al aceptar rutas publicadas por los satélites, haga clic en Añadir en la sección de subredes permitidas y defina las subredes cuyas rutas debe aceptar la puerta de enlace; las subredes publicadas por los satélites que no sean parte de la lista no pasarán el filtro. Por ejemplo, si todos los satélites están configurados con la subred 192.168.x.0/24 en la LAN, puede permitir la ruta 192.168.0.0/16 en la puerta de enlace. De esta forma, la puerta de enlace solo aceptará las rutas del satélite que estén en la subred 192.168.0.0/16. 382 • Configuración de GlobalProtect Palo Alto Networks Configuración del acceso de la puerta de enlace a un gestor de seguridad móvil Red > GlobalProtect > MDM Si utiliza un gestor de seguridad móvil para gestionar dispositivos móviles de usuario final y además aplica las políticas habilitadas para HIP, debe configurar la puerta de enlace para comunicarse con el gestor de seguridad móvil si desea recuperar los informes HIP para los dispositivos gestionados. Utilice esta página para habilitar la puerta de enlace y tener acceso al gestor de seguridad móvil. Para añadir información para un gestor de seguridad móvil, haga clic en Añadir. En la siguiente tabla se proporciona información sobre qué introducir en los campos del cuadro de diálogo MDM de GlobalProtect. Para obtener más información sobre cómo configurar el servicio del gestor de seguridad móvil de GlobalProtect, consulte la sección sobre cómo configurar el gestor del dispositivo móvil de GlobalProtect en la guía del administrador de GlobalProtect. Para obtener instrucciones detalladas sobre cómo configurar la puerta de enlace para recuperar los informes HIP en el gestor de seguridad móvil de GlobalProtect, consulte la sección sobre cómo habilitar el acceso de puerta de enlace al gestor de seguridad móvil de GlobalProtect. Tabla 204. Configuración de MDM de GlobalProtect Campo Descripción Nombre Introduzca un nombre para gestor de seguridad móvil (hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Ubicación Seleccione el sistema virtual, si la opción varios sistemas virtuales está activada. Configuración de conexión Servidor Introduzca la dirección IP o FQDN de la interfaz en el gestor de seguridad móvil donde la puerta de enlace se conectará para recuperar informes HIP. Asegúrese de contar con una ruta de servicio a esta interfaz. Puerto de conexión Puerto en el que el gestor de seguridad móvil escuchará las solicitudes de informes HIP. El puerto predeterminado es 5008, puerto en el que escucha el gestor de seguridad móvil de GlobalProtect. Si utiliza un gestor de seguridad móvil de terceros, introduzca el número de puerto en el que escucha las solicitudes de informe HIP ese servidor. Certificado de cliente Seleccione el certificado de cliente que debe presentar la puerta de enlace al gestor de seguridad móvil al establecer una conexión HTTPS. Solo es necesario si el gestor de seguridad móvil se configura para utilizar autenticación mutua. CA raíz de confianza Haga clic en Añadir y seleccione el certificado CA raíz que se utilizó al emitir el certificado para la interfaz donde la puerta de enlace se conectará para recuperar los informes HIP (podría ser un certificado de servidor distinto al emitido para la interfaz de comprobación del dispositivo en el gestor de seguridad móvil). Debe importar el certificado de CA raíz y añadirlo a esta lista. Palo Alto Networks Configuración de GlobalProtect • 383 Creación de objetos HIP Objetos > GlobalProtect > Objetos HIP Utilice esta página para definir los objetos del perfil de información de host (HIP). Los objetos HIP proporcionan los criterios de coincidencia que filtran la información de host que está interesado en utilizar para aplicar la política a partir de los datos sin formato de los que ha informado el agente o aplicación. Por ejemplo, aunque los datos de host sin formato pueden incluir información sobre varios paquetes antivirus instalados en el cliente, puede que solo esté interesado en una aplicación concreta que necesite en su organización. En este caso, crearía un objeto HIP que coincidiera la aplicación específica que está interesado en aplicar. La mejor forma de determinar qué objetos HIP necesita es determinar cómo utilizará la información de host que recopila para aplicar la política. Tenga en cuenta que los objetos HIP son solo los ladrillos que le permiten crear los perfiles HIP que se utilizan en sus políticas de seguridad. Por lo tanto, puede que desee mantener la sencillez de sus objetos, de forma que solo coincidan con un elemento, como la presencia de un tipo concreto de software necesario, la pertenencia a un dominio específico o la presencia de un SO cliente determinado. Haciéndolo, tendrá la flexibilidad de crear una política aumentada HIP muy granular. Para crear un objeto HIP, haga clic en Añadir para abrir el cuadro de diálogo Objeto HIP. Para obtener una descripción sobre qué introducir en un campo determinado, consulte las siguientes tablas. • “Pestaña General” • “Pestaña Dispositivo móvil” • “Pestaña Administración de parches” • “Pestaña Cortafuegos” • “Pestaña Antivirus” • “Pestaña Antispyware” • “Pestaña Copia de seguridad de disco” • “Pestaña Cifrado de disco” • “Pestaña Prevención de pérdida de datos” • “Pestaña Comprobaciones personalizadas” Para obtener información más detallada sobre cómo crear políticas de seguridad aumentadas HIP, consulte la sección sobre cómo configurar la aplicación de políticas basadas en HIP en la guía del administrador de GlobalProtect. 384 • Configuración de GlobalProtect Palo Alto Networks Pestaña General Utilice la pestaña General para especificar un nombre para el nuevo objeto HIP y configurar el objeto para que coincida con la información de host general, como el dominio, el sistema operativo o el tipo de conectividad de red que tiene. Tabla 205. Configuración general de objeto HIP Campo Descripción Nombre Introduzca un nombre para el objeto de HIP (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Compartido Seleccione la casilla de verificación para permitir que el objeto esté disponible para todos los sistemas virtuales. Descripción Introduzca una descripción opcional. Información de host Seleccione la casilla de verificación para habilitar el filtrado en los campos de información de host. Dominio Para coincidir con el nombre de un dominio, seleccione un operador en la lista desplegable e introduzca una cadena para la coincidencia. SO Para buscar coincidencias con el SO de un host, seleccione Contiene en el primer menú desplegable, seleccione un proveedor en el segundo menú desplegable y, a continuación, seleccione una versión de SO concreta en el tercer menú desplegable o seleccione Todo para que la coincidencia sea con cualquier versión de SO del proveedor seleccionado. Versiones de cliente Para buscar la coincidencia con un número de versión concreto, seleccione un operador en el menú desplegable y, a continuación, introduzca la cadena que debe coincidir (o no coincidir) en el cuadro de texto. Nombre de host Para buscar la coincidencia con un nombre de host específico o parte de él, seleccione un operador en el menú desplegable y, a continuación, introduzca la cadena que debe coincidir (o no coincidir, según el operador seleccionado) en el cuadro de texto. Red Utilice este campo para habilitar el filtrado en la configuración de red de un dispositivo móvil específico. Estos criterios de coincidencia se aplican únicamente a dispositivos móviles. Seleccione un operador en el menú desplegable y, a continuación, seleccione el tipo de conexión de red que se debe filtrar en el segundo menú desplegable: Wifi, Móvil, Ethernet (solo disponible para los filtros No está) o Desconocido. Después de seleccionar un tipo de red, introduzca cadenas adicionales con las que buscar coincidencias, si están disponibles, como el operador móvil o SSID de Wifi. Palo Alto Networks Configuración de GlobalProtect • 385 Pestaña Dispositivo móvil Utilice la pestaña Dispositivo móvil para habilitar la coincidencia de HIP con datos recopilados de dispositivos móviles que ejecutan la aplicación GlobalProtect. Tabla 206. Configuración del dispositivo móvil del objeto HIP Campo Descripción Dispositivo móvil Seleccione la casilla de verificación para permitir el filtrado de los datos de host recopilados de dispositivos móviles que ejecutan la aplicación GlobalProtect. Al seleccionar esta casilla de verificación, se habilitan las pestañas secundarias Dispositivo, Configuración yAplicaciones para su edición. Pestaña secundaria Dispositivo • Número de serie: Para buscar una coincidencia total o parcial del número de serie de un dispositivo, seleccione un operador en el menú desplegable e introduzca la cadena cuya coincidencia se debe buscar. • Modelo: Para buscar la coincidencia con un modelo de dispositivo determinado, seleccione un operador en la lista desplegable e introduzca una cadena. • Etiqueta: Para buscar la coincidencia con un valor de etiqueta definido en el gestor de seguridad móvil de GlobalProtect, seleccione un operador en el primer menú desplegable y, a continuación, seleccione una etiqueta en el segundo menú desplegable. • Número de teléfono: Para buscar una coincidencia total o parcial del número de teléfono de un dispositivo, seleccione un operador en el menú desplegable e introduzca la cadena cuya coincidencia se debe buscar. • IMEI: Para buscar una coincidencia total o parcial del IMEI (Identidad Internacional de Equipo Móvil) de un dispositivo, seleccione un operador en el menú desplegable e introduzca la cadena cuya coincidencia se debe buscar. 386 • Configuración de GlobalProtect Palo Alto Networks Tabla 206. Configuración del dispositivo móvil del objeto HIP (Continuación) Campo Descripción Pestaña secundaria Configuración • Código de acceso: Filtro basado en la existencia de un código de acceso en el dispositivo. Para hacer coincidir dispositivos que tengan un código de acceso establecido, seleccione sí. Para hacer coincidir dispositivos que no tengan un código de acceso establecido, seleccione no. • Dispositivo gestionado: Filtro basado en el hecho de que al dispositivo lo gestione un MDM. Para hacer coincidir dispositivos gestionados, seleccione sí. Para hacer coincidir dispositivos no gestionados, seleccione no. • Modificado/Bloqueado: Filtro basado en la modificación o bloqueo del dispositivo. Para hacer coincidir dispositivos que se hayan modificado o bloqueado, seleccione sí. Para hacer coincidir dispositivos que no se hayan modificado o bloqueado, seleccione no. • Cifrado de disco: Filtro basado en el cifrado del dispositivo. Para hacer coincidir dispositivos que tengan habilitado el cifrado del disco, seleccione sí. Para hacer coincidir dispositivos que no tengan habilitado el cifrado del disco, seleccione no. • Tiempo desde el último registro: Filtro en el momento en que MDM comprobó el dispositivo por última vez. Seleccione un operador en el menú desplegable y, a continuación, especifique el número de días para la ventana de comprobación. Por ejemplo, podría definir el objeto que se debe hacer coincidir con los dispositivos que no se hayan comprobado en los últimos 5 días. Pestaña secundaria Aplicaciones • Aplicaciones: (solo dispositivos Android) Seleccione esta casilla de verificación para permitir el filtrado basado en las aplicaciones instaladas en el dispositivo y en la presencia de alguna aplicación instalada infectada por software malintencionado en el dispositivo. • Pestaña secundaria Criterios – Contiene software malintencionado: Para hacer coincidir dispositivos que tengan aplicaciones instaladas infectadas por software malintencionado, seleccione Sí; para hacer coincidir dispositivos que no tengan aplicaciones instaladas infectadas por software malintencionado, seleccione No. Si no desea utilizar Contiene software malintencionado como criterio de coincidencia, seleccione Ninguno. • Pestaña secundaria Incluir – Paquete: Para hacer coincidir dispositivos que tengan instaladas determinadas aplicaciones, haga clic en Añadir y, a continuación, introduzca el nombre de aplicación único (en formato DNS inverso; por ejemplo, com.netflix.mediaclient) en el campo Paquete e introduzca la aplicación correspondiente Hash, que la aplicación GlobalProtect calcula y envía con el informe HIP del dispositivo. Palo Alto Networks Configuración de GlobalProtect • 387 Pestaña Administración de parches Utilice la pestaña Administración de parches para habilitar la coincidencia HIP en el estado de administración de parches de los clientes de GlobalProtect. Tabla 207. Configuración de administración de parches del objeto HIP Campo Descripción Administración de parches Seleccione la casilla de verificación para habilitar la coincidencia con el estado de administración de parches del host. Al seleccionar esta casilla de verificación, se habilitan las pestañas secundarias Criterios y Proveedor para su edición. Pestaña secundaria Criterios Especifique los siguientes ajustes en esta pestaña secundaria: • Está habilitado: Busca coincidencias si el software de administración de parches está habilitado en el host. Si la casilla de verificación Está instalado no está marcada, este campo se establece automáticamente como ninguno y no se puede editar. • Está instalado: Busca coincidencias si el software de administración de parches está instalado en el host. • Gravedad: Busca coincidencias si al host le faltan parches del nivel de gravedad especificado. • Comprobar: Busca coincidencias si faltan parches. • Parches: Busca coincidencias si el host cuenta con determinados parches. Haga clic en Añadir e introduzca los nombres de archivo para los nombres de parches específicos que se deben buscar. Pestaña secundaria Proveedor 388 • Configuración de GlobalProtect Utilice esta pestaña secundaria para definir proveedores de software de administración de parches o productos concretos que se deben buscar en el host para determinar una coincidencia. Haga clic en Añadir y, a continuación, seleccione un proveedor en el menú desplegable. También tiene la posibilidad de hacer clic en Añadir para seleccionar un producto específico. Haga clic en ACEPTAR para guardar la configuración. Palo Alto Networks Pestaña Cortafuegos Utilice la pestaña Cortafuegos para habilitar la coincidencia HIP basada en el estado del software del cortafuegos de los clientes de GlobalProtect. Tabla 208. Configuración del cortafuegos del objeto HIP Campo Descripción Cortafuegos Seleccione la casilla de verificación Cortafuegos para habilitar la coincidencia en el estado del software del cortafuegos del host. • Está habilitado: Busca coincidencias si el software del cortafuegos está habilitado en el host. Si la casilla de verificación Está instalado no está marcada, este campo se establece automáticamente como ninguno y no se puede editar. • Está instalado: Busca coincidencias si el software del cortafuegos está instalado en el host. • Proveedor y Producto: Defina proveedores o productos concretos del software del cortafuegos que se deben buscar en el host para determinar una coincidencia. Haga clic en Añadir y, a continuación, seleccione un proveedor de la lista desplegable. También tiene la posibilidad de hacer clic en Añadir para seleccionar un producto específico. Haga clic en ACEPTAR para guardar la configuración. • Excluir proveedor: Seleccione la casilla de verificación para hacer coincidir hosts que no tengan software de un determinado proveedor. Palo Alto Networks Configuración de GlobalProtect • 389 Pestaña Antivirus Utilice la pestaña Antivirus para habilitar la coincidencia HIP basada en la cobertura del antivirus en los clientes de GlobalProtect. Tabla 209. Configuración del antivirus del objeto HIP Campo Descripción Antivirus Seleccione la casilla de verificación para habilitar la coincidencia en la cobertura del antivirus en el host. • Protección en tiempo real: Busca coincidencia si la protección antivirus en tiempo real está habilitada en el host. Si la casilla de verificación Está instalado no está marcada, este campo se establece automáticamente como ninguno y no se puede editar. • Está instalado: Busca coincidencias si el software antivirus está instalado en el host. • Versión de definición de virus: Especifica la búsqueda de coincidencias basándose en la actualización de las definiciones de virus dentro de un número especificado de días o versiones. • Versión del producto: Utilice esta opción para buscar coincidencias de una versión concreta del software antivirus. Para especificar la búsqueda de una versión, seleccione un operador en el menú desplegable y, a continuación, introduzca una cadena que represente la versión del producto. • Última hora de análisis: Especifica si la búsqueda de coincidencias debe basarse en el momento en el que se ejecutó el último análisis del antivirus. Seleccione un operador en el menú desplegable y, a continuación, especifique el número de días u horas con los que buscar coincidencias. • Proveedor y Producto: Defina proveedores o productos concretos del software antivirus que se deben buscar en el host para determinar una coincidencia. Haga clic en Añadir y, a continuación, seleccione un proveedor de la lista desplegable. También tiene la posibilidad de hacer clic en Añadir para seleccionar un producto específico. Haga clic en ACEPTAR para guardar la configuración. • Excluir proveedor: Seleccione la casilla de verificación para hacer coincidir hosts que no tengan software de un determinado proveedor. 390 • Configuración de GlobalProtect Palo Alto Networks Pestaña Antispyware Utilice la pestaña Antispyware para habilitar la coincidencia HIP basada en la cobertura del antispyware en los clientes de GlobalProtect. Tabla 210. Configuración del antispyware del objeto HIP Campo Descripción Antispyware Seleccione la casilla de verificación para habilitar la coincidencia con la cobertura del antispyware en el host y, a continuación, defina criterios de coincidencia adicionales para la búsqueda de la siguiente forma: • Protección en tiempo real: Busca coincidencia si la protección antispyware en tiempo real está habilitada en el host. Si la casilla de verificación Está instalado no está marcada, este campo se establece automáticamente como ninguno y no se puede editar. • Está instalado: Busca coincidencias si el software antispyware está instalado en el host. • Versión de definición de virus: Especifica la búsqueda de coincidencias basándose en la actualización de las definiciones de virus dentro de un número especificado de días o versiones. • Versión del producto: Utilice esta opción para buscar coincidencias de una versión concreta del software antispyware. Para especificar la búsqueda de una versión, seleccione un operador en el menú desplegable y, a continuación, introduzca una cadena que represente la versión del producto. • Última hora de análisis: Especifica si la búsqueda de coincidencias debe basarse en el momento en el que se ejecutó el último análisis del antispyware. Seleccione un operador en el menú desplegable y, a continuación, especifique el número de días u horas con los que buscar coincidencias. • Proveedor y Producto: Define proveedores o productos de software antispyware concretos que se deben buscar en el host para determinar una coincidencia. Haga clic en Añadir y, a continuación, seleccione un proveedor en el menú desplegable. También tiene la posibilidad de hacer clic en Añadir para seleccionar un producto específico. Haga clic en ACEPTAR para guardar la configuración. • Excluir proveedor: Seleccione la casilla de verificación para hacer coincidir hosts que no tengan software de un determinado proveedor. Palo Alto Networks Configuración de GlobalProtect • 391 Pestaña Copia de seguridad de disco Utilice la pestaña Copia de seguridad de disco para habilitar la coincidencia HIP basada en el estado de la copia de seguridad del disco de los clientes de GlobalProtect. Tabla 211. Configuración de la copia de seguridad del disco del objeto HIP Campo Descripción Copia de seguridad de disco Seleccione la casilla de verificación para habilitar la coincidencia con el estado de la copia de seguridad del disco en el host y, a continuación, defina criterios de coincidencia adicionales para la búsqueda de la siguiente forma: • Está instalado: Busca coincidencias si el software de copia de seguridad del disco está instalado en el host. • Última hora de análisis: Especifica si la búsqueda de coincidencias debe basarse en el momento en el que se ejecutó la última copia de seguridad del disco. Seleccione un operador en el menú desplegable y, a continuación, especifique el número de días u horas con los que buscar coincidencias. • Proveedor y Producto: Define proveedores o productos de software de copia de seguridad de disco concretos que se deben buscar en el host para determinar una coincidencia. Haga clic en Añadir y, a continuación, seleccione un proveedor en el menú desplegable. También tiene la posibilidad de hacer clic en Añadir para seleccionar un producto específico. Haga clic en ACEPTAR para guardar la configuración. • Excluir proveedor: Seleccione la casilla de verificación para hacer coincidir hosts que no tengan software de un determinado proveedor. 392 • Configuración de GlobalProtect Palo Alto Networks Pestaña Cifrado de disco Utilice la pestaña Cifrado de disco para habilitar la coincidencia HIP basada en el estado del cifrado de disco de los clientes de GlobalProtect. Tabla 212. Configuración del cifrado del disco del objeto HIP Campo Descripción Cifrado de disco Seleccione la casilla de verificación para habilitar la coincidencia con el estado de cifrado del disco del host: Criterios Especifique los siguientes ajustes en esta pestaña secundaria: • Está instalado: Busca coincidencias si el software de cifrado del disco está instalado en el host. • Ubicaciones cifradas: Haga clic en Añadir para especificar la unidad o la ruta que se debe comprobar para el cifrado del disco cuando se determine una coincidencia: – Ubicaciones cifradas: Introduzca las ubicaciones concretas que se deben comprobar para el cifrado del host. – Estado: Especifique cómo hacer coincidir el estado de la ubicación cifrada seleccionando un operador en el menú desplegable y, a continuación, seleccionando un posible estado (completo, ninguno, parcial, no disponible). Haga clic en ACEPTAR para guardar la configuración. Proveedor Palo Alto Networks Utilice esta pestaña secundaria para definir proveedores o productos de software de cifrado del disco concretos que se deban buscar en el host para determinar una coincidencia. Haga clic en Añadir y, a continuación, seleccione un proveedor en el menú desplegable. También tiene la posibilidad de hacer clic en Añadir para seleccionar un producto específico. Haga clic en ACEPTAR para guardar los ajustes y vuelva a la pestaña Cifrado de disco. Configuración de GlobalProtect • 393 Pestaña Prevención de pérdida de datos Utilice la pestaña Prevención de pérdida de datos para habilitar la coincidencia HIP basada en si los clientes de GlobalProtect están ejecutando o no software de prevención de pérdida de datos. Tabla 213. Configuración de prevención de pérdida de datos del objeto HIP Campo Descripción Prevención de pérdida de datos Seleccione la casilla de verificación para habilitar la coincidencia con la prevención de pérdida de datos (DLP) en el host (solo hosts de Windows) y defina, a continuación, criterios de coincidencia adicionales para la búsqueda de la siguiente forma: • Está habilitado: Busca coincidencias si el software DPL está habilitado en el host. Si la casilla de verificación Está instalado no está marcada, este campo se establece automáticamente como ninguno y no se puede editar. • Está instalado: Busca coincidencias si el software DPL está instalado en el host. • Proveedor y Producto: Define proveedores o productos de software DPL concretos que se deben buscar en el host para determinar una coincidencia. Haga clic en Añadir y, a continuación, seleccione un proveedor en el menú desplegable. También tiene la posibilidad de hacer clic en Añadir para seleccionar un producto específico. Haga clic en ACEPTAR para guardar la configuración. • Excluir proveedor: Seleccione la casilla de verificación para hacer coincidir hosts que no tengan software de un determinado proveedor. Pestaña Comprobaciones personalizadas Utilice la pestaña Comprobaciones personalizadas para habilitar las coincidencias HIP en cualquier comprobación personalizada que haya definido en el portal de GlobalProtect. Para obtener información sobre cómo añadir comprobaciones personalizadas a la colección HIP, consulte “Configuración del portal de GlobalProtect”. Tabla 214. Configuración de comprobaciones personalizadas del objeto HIP Campo Descripción Comprobaciones personalizadas Seleccione la casilla de verificación para habilitar la coincidencia con cualquier comprobación personalizada que haya definido en el portal de GlobalProtect. Lista de procesos Para comprobar el sistema de host para un proceso específico, haga clic en Añadir y, a continuación, introduzca el nombre del proceso. De forma predeterminada, el agente busca los procesos en ejecución; si quiere comprobar que un proceso concreto está presente en el sistema, quite la marca de la casilla de verificación En ejecución. 394 • Configuración de GlobalProtect Palo Alto Networks Tabla 214. Configuración de comprobaciones personalizadas del objeto HIP (ContinuaCampo Descripción Clave de registro Para buscar en los hosts de Windows una clave de registro determinada, haga clic en Añadir e introduzca la clave de registro con la que buscar la coincidencia. Para buscar coincidencias solamente en hosts que no tengan la clave de registro especificada, seleccione la casilla de verificación La clave no existe o coincide con datos de valor especificados. Para buscar coincidencias con valores concretos, haga clic en Añadir y, a continuación, introduzca el valor de registro y los datos de valor. Para buscar coincidencias en hosts que explícitamente no tengan el valor o datos de valor especificados, seleccione la casilla de verificación Negar. Haga clic en ACEPTAR para guardar la configuración. Plist Para buscar en los hosts de Mac una lista de propiedades específica (plist), haga clic en Añadir e introduzca el nombre Plist. Para buscar coincidencias solamente en hosts que no tengan la plist especificada, seleccione la casilla de verificación Plist no existe. Para buscar coincidencias con un par clave-valor concreto dentro de la plist, haga clic en Añadir y, a continuación, introduzca la clave y el valor correspondiente que se debe hacer coincidir. Para buscar coincidencias en hosts que explícitamente no tengan el valor o la clave especificados, seleccione la casilla de verificación Negar. Haga clic en ACEPTAR para guardar la configuración. Configuración de perfiles de HIP Objetos > GlobalProtect > Perfiles HIP Utilice esta página para crear los perfiles HIP que utilizará para configurar las políticas de seguridad habilitadas para HIP. Una colección de objetos HIP que deben evaluarse en conjunto, para supervisión o para la aplicación de políticas de seguridad. Cuando crea sus perfiles HIP, puede combinar objetos HIP que haya creado previamente (así como otros perfiles HIP) usando lógica booleana como la que se usa cuando un flujo de tráfico se evalúa con respecto al perfil HIP resultante con el que tendrá, o no, coincidencia. Si coincide, la regla de política correspondiente se aplicará; si no coincide, el flujo se evaluará con respecto a la siguiente regla, como con cualquier otro criterio de coincidencia de política. Para crear un perfil HIP, haga clic en Añadir. En la siguiente tabla se proporciona información sobre qué introducir en los campos del cuadro de diálogo Perfil HIP. Para obtener información más detallada sobre cómo configurar GlobalProtect y el flujo de trabajo para crear políticas de seguridad aumentadas HIP, consulte la sección sobre cómo configurar la aplicación de políticas basadas en HIP en la guía del administrador de GlobalProtect. Tabla 215. Configuración de perfil de HIP Campo Descripción Nombre Introduzca un nombre para el perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción opcional. Palo Alto Networks Configuración de GlobalProtect • 395 Tabla 215. Configuración de perfil de HIP (Continuación) Campo Descripción Compartido Seleccione la casilla de verificación para permitir que el perfil esté disponible para todos los sistemas virtuales. Coincidencia Haga clic en Añadir criterios de coincidencia para abrir el generador de objetos/perfiles HIP. Seleccione el primer objeto o perfil HIP que desea utilizar como criterio de búsqueda y, a continuación, haga clic en Añadir para moverlo sobre el cuadro de texto Coincidencia en el cuadro de diálogo Perfil HIP. Tenga en cuenta que, si desea que el perfil HIP evalúe el objeto como una coincidencia solo cuando el criterio del objeto no sea verdadero para un flujo, seleccione la casilla de verificación NO antes de añadir el objeto. Continúe añadiendo criterios de coincidencia como corresponda para el perfil que está creando, seleccionando el botón de opción del operador booleano apropiado (Y u O) cada vez que añada un elemento (y, de nuevo, use la casilla de verificación NO cuando corresponda). Si está creando una expresión booleana compleja, debe añadir manualmente el paréntesis en los lugares adecuados del cuadro de texto Coincidencia para asegurarse de que el perfil HIP se evalúa usando la lógica que desea. Por ejemplo, la siguiente expresión indica que el perfil HIP buscará coincidencias con el tráfico desde un host que tenga cifrado de disco FileVault (en sistemas de SO Mac) o TrueCrypt (en sistemas Windows), que pertenezca al dominio requerido y que también tenga instalado un cliente antivirus de Symantec: ((“MacOS” y “FileVault”) o (“Windows” y “TrueCrypt”)) y “Dominio” y “SymantecAV” Cuando haya terminado de añadir objetos/perfiles al nuevo perfil HIP, haga clic en ACEPTAR. Configuración y activación del agente de GlobalProtect Dispositivo > Cliente de GlobalProtect Utilice esta página para descargar el software del agente de GlobalProtect al cortafuegos que alberga el portal y activarlo, de forma que los clientes que se conecten al portal puedan descargarlo. Usted define cómo y cuándo se producen las descargas de software (si las actualizaciones se realizan automáticamente cuando el conecta el agente, si se les pide a los usuarios finales que actualicen o si se permite actualizar a un conjunto determinado de usuarios) en las configuraciones clientes que defina en el portal. Vea la descripción del campo Actualización de agente en la sección que describe el portal “Pestaña Configuración clientes” para obtener más detalles. Para obtener información sobre las distintas opciones que existen para distribuir el software del agente de GlobalProtect y para ver instrucciones detalladas sobre cómo implementarlo, consulte la sección sobre cómo implementar el software del cliente de GlobalProtect en la guía del administrador de GlobalProtect. Para la instalación y descarga inicial del agente de GlobalProtect, el usuario del sistema cliente debe iniciar sesión con derechos de administrador. Para las actualizaciones siguientes, no se requieren los derechos de administrador. 396 • Configuración de GlobalProtect Palo Alto Networks En la siguiente tabla se proporciona ayuda para utilizar esta pantalla. Para obtener más información sobre cómo implementar el software del agente, consulte la guía del administrador de GlobalProtect. Tabla 216. Configuración del cliente de GlobalProtect Campo Descripción Versión Número de versión del software del agente de GlobalProtect disponible en el servidor de actualizaciones de Palo Alto Networks. Para comprobar si hay disponible alguna nueva versión de software del agente en Palo Alto Networks, haga clic en Comprobar ahora. El cortafuegos utilizará su ruta de servicios para conectar al servidor de actualizaciones y buscar nuevas versiones. Si hay actualizaciones disponibles, las muestra al principio de la lista. Tamaño Tamaño del paquete de software del agente. Fecha de versión Fecha y hora en la que Palo Alto Networks publicó la versión. Descargado Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente del paquete de software en el cortafuegos. Activado actualmente Una marca de verificación en esta columna indica que se ha activado la versión correspondiente del software del agente en el cortafuegos y que los agentes que se conecten pueden descargarla. Solo se puede activar una versión del software. Acción Indica la acción actual que puede realizar para el paquete de software del agente de la siguiente forma: • Descargar: la versión de software correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. Haga clic en el enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a Internet, utilice un ordenador conectado a Internet para ir al sitio Actualizar software para buscar y descargar las nuevas versiones de software del agente en su ordenador local. A continuación, haga clic en el botón Cargar en la pantalla Cliente de GlobalProtect para cargar manualmente el software del agente en el cortafuegos. • Activar: Se ha descargado la versión de software del agente correspondiente, pero los agentes no la pueden descargar todavía. Haga clic en el enlace para activar el software y habilitar la actualización del agente. Para activar una actualización de software que haya cargado manualmente en el cortafuegos mediante el botón Cargar, debe hacer clic en el botón Activar desde archivo y seleccionar la versión que desea activar en el menú desplegable (puede que necesite actualizar la pantalla para que aparezca como Activado actualmente). • Reactivar: Se ha activado el software de agente correspondiente y está listo para que lo descarguen los clientes. Como solo puede estar activa una versión del software del agente de GlobalProtect en el cortafuegos, si los usuarios finales necesitan acceder a una versión distinta a la actual, tendrá que activar la otra versión para que se convierta en la versión activada actualmente. Notas de versión Proporciona un enlace a las notas de la versión de GlobalProtect de la versión del agente correspondiente. Elimine la imagen de software del agente descargada anteriormente del cortafuegos. Palo Alto Networks Configuración de GlobalProtect • 397 Configuración del agente de GlobalProtect El agente de GlobalProtect(PanGP Agent) es una aplicación instalada en el sistema cliente (normalmente un ordenador portátil) para permitir conexiones de GlobalProtect con portales y puertas de enlace y compatible con el servicio de GlobalProtect (PanGP Service). Asegúrese de seleccionar la opción de instalación correcta para sus sistema operativo de host (32 bits o 64 bits). Si se realiza la instalación en un host de 64 bits, utilice un combo explorador/Java para la instalación inicial. Para instalar el agente, abra el archivo de instalador y siga las instrucciones que aparecen en pantalla. Para configurar el agente: 1. Seleccione Inicio > Todos los programas > Palo Alto Networks > GlobalProtect > GlobalProtect. La interfaz de cliente se abre para mostrar la pestaña Configuración. 2. Especifique el nombre de usuario y la contraseña a utilizar para la autenticación de GlobalProtect y seleccione opcionalmente la casilla de verificación Recordarme. 3. Introduzca la dirección IP del cortafuegos que actúa como el portal de GlobalProtect. 4. Haga clic en Aplicar. Uso del agente de GlobalProtect Las pestañas en el agente de GlobalProtect contiene información útil acerca del estado y configuración y proporciona información para ayudar a solucionar problemas de conexión. • Pestaña Estado: Muestra el estado actual de la conexión e indica cualquier advertencia o error. • Pestaña Detalles: Muestra información acerca de la conexión actual, incluyendo direcciones IP y protocolo y presenta estadísticas de paquete y bytes acerca de la conexión de red. • Pestaña Estado de host: Muestra la información almacenada en el HIP. Haga clic en una categoría en el lado izquierdo de la ventana para mostrar la información configurada para esa categoría en el lado derecho de la ventana. • Pestaña Solución de problemas: Muestra información para ayudar a solucionar problemas. – Configuraciones de red: Muestra la configuración actual del sistema cliente. – Tabla de enrutamiento: Muestra información acerca del enrutamiento actual de la conexión de GlobalProtect. – Sockets: Muestra información de socket de las conexiones actualmente activas. – Logs: le permite mostrar logs del agente y el servicio de GlobalProtect (PanGP Agent), (PanGP Service). Seleccione el tipo de log y el nivel de depuración. Haga clic en Iniciar para comenzar los logs y Detener para finalizar los logs. 398 • Configuración de GlobalProtect Palo Alto Networks Capítulo 10 Configuración de la calidad de servicio Esta sección describe cómo configurar la calidad de servicio (QoS) en el cortafuegos: • “Configuración de QoS para interfaces de cortafuegos” • “Definición de perfiles de QoS” • “Definición de políticas de QoS” • “Visualización de estadísticas de QoS” Configuración de QoS para interfaces de cortafuegos Red > QoS Utilice la página QoS para configurar los límites del ancho de banda para las interfaces del cortafuegos. Tabla 217. Configuración de QoS Campo Descripción Interfaz física Nombre de interfaz Seleccione la interfaz del cortafuegos. Máximo de salida (Mbps) Introduzca el límite en el tráfico del cortafuegos en esta interfaz. Activar la función QoS en esta interfaz Seleccione la casilla de verificación para activar funciones de QoS. Perfil predeterminado: Seleccione los perfiles predeterminados de QoS para el tráfico en claro y de túnel. Debe especificar un perfil predeterminado para cada uno. Para el tráfico en claro, el perfil predeterminado se aplica a todo el tráfico en claro como un conjunto. Para el tráfico de túnel, el perfil predeterminado se aplica de forma individual a cada túnel que no cuenta con una asignación de perfil específico en la sección de configuración detallada. Para obtener instrucciones sobre cómo definir perfiles de QoS, consulte “Definición de perfiles de QoS”. Tráfico en claro Interfaz de túnel Palo Alto Networks Nota: Aunque no es un campo obligatorio, se recomienda definir siempre el valor Máximo de salida para una interfaz de QoS. Configuración de la calidad de servicio • 399 Tabla 217. Configuración de QoS (Continuación) Campo Descripción Tráfico en claro y de túnel Especifique la siguiente configuración en las pestañas Tráfico en claro y Tráfico de túnel. Salida garantizada (Mbps) Introduzca el ancho de banda garantizado para el tráfico en claro desde esta interfaz. Máximo de salida (Mbps) Introduzca el límite en el tráfico del cortafuegos en esta interfaz. Añadir • Haga clic en Añadir en la pestaña Tráfico en claro para definir granularidad adicional para el tratamiento del tráfico en claro. Haga clic en las entradas individuales para configurar los siguientes ajustes: – Nombre: Introduzca un nombre para identificar estos ajustes. – Perfil de QoS: Seleccione el perfil de QoS para aplicar a la subred y la interfaz especificadas. Para obtener instrucciones sobre cómo definir perfiles de QoS, consulte “Definición de perfiles de QoS” . – Interfaz de origen: Seleccione la interfaz del cortafuegos. – Subred de origen: Seleccione una subred para restringir los ajustes al tráfico procedente de ese origen o mantenga el valor predeterminado cualquiera para aplicar los ajustes a cualquier tráfico de la interfaz especificada. • Haga clic en Añadir en la pestaña Tráfico de túnel para cancelar la asignación de perfil predeterminada para túneles específicos y configurar los siguientes ajustes: – Interfaz de túnel: Seleccione la interfaz de túnel en el cortafuegos. – Perfil de QoS: Seleccione el perfil de QoS para aplicar a la interfaz de túnel especificadas. Por ejemplo, asuma una configuración con dos sitios, uno de los cuales cuenta con una conexión de 45 Mbps y el otro con una conexión T1 con el cortafuegos. Puede aplicar una configuración de QoS restrictiva al sitio T1 por lo que la conexión no se sobrecarga a la vez que se proporciona una configuración más flexible para el sitio con la conexión de 45 Mbps. Para eliminar una entrada de tráfico en claro o de túnel, seleccione la casilla de verificación de la entrada y haga clic en Eliminar. Si se dejan en blanco las secciones de tráfico en claro o de túnel, los valores especificados en la sección Perfil predeterminado de la pestaña Interfaz física. 400 • Configuración de la calidad de servicio Palo Alto Networks Definición de perfiles de QoS Definición de perfiles de QoS Red > Perfiles de red > Perfiles de QoS Para cada interfaz, puede definir perfiles de QoS que determinan cómo se tratan las clases de tráfico de QoS. Puede establecer límites generales en el ancho de banda independientemente de la clase y también establecer límites para clases individuales. También puede asignar prioridades a diferentes clases. Las prioridades determinan cómo se trata el tráfico en presencia de conflictos. Haga clic en Añadir y rellene los campos descritos para definir un perfil QoS. Consulte “Configuración de QoS para interfaces de cortafuegos” para obtener información acerca de la configuración de interfaces de cortafuegos para QoS y consulte “Definición de políticas de QoS” para configurar las políticas que activarán las restricciones de QoS. Tabla 218. Configuraciones de perfil de QoS Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Máximo de salida Introduzca el ancho de banda máximo permitido para este perfil (Mbps). El valor Máximo de salida para un perfil de QoS debe ser menor o igual que el valor Máximo de salida definido para la interfaz física para la que QoS está activado. Consulte “Configuración de QoS para interfaces de cortafuegos” . Nota: Aunque no es un valor obligatorio, se recomienda definir siempre el valor Máximo de salida para un perfil de QoS. Salida garantizada Palo Alto Networks Introduzca el ancho de banda garantizado para este perfil (Mbps). Configuración de la calidad de servicio • 401 Definición de perfiles de QoS Tabla 218. Configuraciones de perfil de QoS (Continuación) Campo Descripción Clases Haga clic en Añadir para especificar cómo se tratarán las clases de QoS individuales. Puede seleccionar una o más clases para configurar: • Clase: Si no configura una clase, puede incluirla en una política de QoS. En este caso, el tráfico está sujeto a los límites generales de QoS. El tráfico que no coincide con una política de QoS se asignará a clase 4. • Prioridad: Haga clic y seleccione una prioridad para asignarla a una clase: – tiempo real – alta – media – baja • Máximo de salida: Haga clic e introduzca el límite de ancho de banda (Mbps) para esta clase. El valor Máximo de salida para una clase de QoS debe ser menor o igual que el valor Máximo de salida definido para el perfil de QoS. Nota: Aunque no es un valor obligatorio, se recomienda definir siempre el valor Máximo de salida para un perfil de QoS. • Salida garantizada: Haga clic e introduzca el ancho de banda garantizado (Mbps) para esta clase. Cuando se producen conflictos, se descarta el tráfico con la menor prioridad asignada. La prioridad en tiempo real utiliza su propia cola separada. 402 • Configuración de la calidad de servicio Palo Alto Networks Definición de políticas de QoS Definición de políticas de QoS Políticas > QoS Las políticas de QoS determinan la forma en la que se clasifica el tráfico para su tratamiento, cuando pasa por una interfaz con QoS activado. Para cada regla, especifique una de las ocho clases. También puede asignar un programa para especificar qué regla está activa. El tráfico sin clasificar se asigna automáticamente a clase 4. Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de políticas en Panorama”. Haga clic en Añadir para abrir el cuadro de diálogo Regla de política de QoS. El cuadro Regla de política de QoS contiene seis pestañas secundarias, que se describen en la Tabla 219: • “Pestaña General” • “Pestaña Origen” • “Pestaña Destino” • “Pestaña Aplicación” • “Pestaña Pestaña Categoría de URL” • “Pestaña Otra configuración” Consulte “Configuración de QoS para interfaces de cortafuegos” para obtener información acerca de la configuración de interfaces del cortafuegos para QoS y consulte “Definición de perfiles de QoS” para obtener información acerca de la configuración de clases de servicio. Use la página de políticas de QoS para realizar varias acciones, por ejemplo: • Para ver únicamente las reglas para un sistema virtual específico, seleccione el sistema de la lista desplegable Sistema virtual y haga clic en Ir. • Para aplicar un filtro a la lista, selecciónelo de la lista desplegable Reglas de filtro. • Para ver únicamente las reglas para zonas específicas, seleccione una zona de las listas desplegables Zona de origen y/o Zona de destino y haga clic en Filtrar por zona. Las políticas compartidas introducidas desde Panorama aparecen en verde y no se pueden modificar a nivel del dispositivo. • Para añadir una nueva regla de QoS, realice una de las siguientes acciones: – Haga clic en Añadir en la parte inferior de la página y configure la regla. Se añadirá una nueva regla a la parte inferior de la lista. – Seleccione Duplicar regla o seleccione una regla haciendo clic en el espacio en blanco de la misma, y seleccione Duplicar en la parte inferior de la página (una regla seleccionada tiene el fondo de color amarillo). La regla copiada se inserta debajo de la regla seleccionada. Palo Alto Networks Configuración de la calidad de servicio • 403 Definición de políticas de QoS Tabla 219. Configuración de regla QoS Campo Descripción Pestaña General Nombre Introduzca un nombre para identificar la regla (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción opcional. Etiqueta Si necesita añadir una etiqueta a la política, haga clic en Añadir para especificar la etiqueta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ, políticas de descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Pestaña Origen Zona de origen Seleccione una o más zonas de origen (el valor predeterminado es cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Dirección de origen Especifique una combinación de direcciones IPv4 o IPv6 de origen para las que se puede sobrescribir la aplicación identificada. Para seleccionar direcciones específicas, elija seleccionar en la lista desplegable y realice cualquiera de las siguientes acciones: • Seleccione la casilla de verificación junto a las direcciones apropiadas y/o grupos de direcciones en la columna Disponible y haga clic en Añadir para agregar sus selecciones a la columna Seleccionadas. • Introduzca los primeros caracteres de un nombre en el campo Búsqueda para mostrar todas las direcciones y todos los grupos de direcciones que comienzan con esos caracteres. La selección de un elemento en la lista marcará la casilla de verificación en la columna Disponible. Repita este proceso tantas veces como sean necesarias y luego haga clic en Añadir. • Introduzca una o más direcciones IP (una por línea), con o sin máscara de red. El formato general es: <dirección_ip>/<máscara> • Para eliminar direcciones, seleccione las casillas de verificación apropiadas en la columna Seleccionadas y haga clic en Eliminar o seleccione cualquiera para borrar todas las direcciones y los grupos de direcciones. Para añadir nuevas direcciones que se puedan utilizar en esta u otras políticas, haga clic en Nueva dirección. Para definir nuevos grupos de direcciones, consulte “Definición de grupos de direcciones” . Usuario de origen Especifique los grupos y usuarios de origen a los que se aplicará la política de QoS. Negar Si la información especificada en esta pestaña NO coincide, seleccione la casilla de verificación para obtener la aplicación de la política. 404 • Configuración de la calidad de servicio Palo Alto Networks Definición de políticas de QoS Tabla 219. Configuración de regla QoS (Continuación) Campo Descripción Pestaña Destino Zona de destino Seleccione una o más zonas de destino (el valor predeterminado es cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Dirección de destino Especifique una combinación de direcciones IPv4 o IPv6 de origen para las que se puede sobrescribir la aplicación identificada. Para seleccionar direcciones específicas, elija seleccionar en la lista desplegable y realice cualquiera de las siguientes acciones: • Seleccione la casilla de verificación junto a las direcciones apropiadas y/o grupos de direcciones en la columna Disponible y haga clic en Añadir para agregar sus selecciones a la columna Seleccionadas. • Introduzca los primeros caracteres de un nombre en el campo Búsqueda para mostrar todas las direcciones y todos los grupos de direcciones que comienzan con esos caracteres. La selección de un elemento en la lista marcará la casilla de verificación en la columna Disponible. Repita este proceso tantas veces como sean necesarias y luego haga clic en Añadir. • Introduzca una o más direcciones IP (una por línea), con o sin máscara de red. El formato general es: <dirección_ip>/<máscara> • Para eliminar direcciones, seleccione las casillas de verificación apropiadas en la columna Seleccionadas y haga clic en Eliminar o seleccione cualquiera para borrar todas las direcciones y los grupos de direcciones. Para agregar nuevas direcciones que se puedan utilizar en esta u otras políticas, haga clic en Nueva dirección (consulte “Definición de aplicaciones” ). Para definir nuevos grupos de direcciones, consulte “Definición de grupos de direcciones” . Negar Si la información especificada en esta pestaña NO coincide, seleccione la casilla de verificación para obtener la aplicación de la política. Pestaña Aplicación Aplicación Seleccione aplicaciones específicas para la regla de QoS. Para definir nuevas aplicaciones, consulte “Definición de aplicaciones” . Para definir grupos de aplicaciones, consulte “Definición de grupos de aplicaciones” . Si una aplicación tiene múltiples funciones, puede seleccionar una aplicación general o aplicaciones individuales. Si selecciona una aplicación general se incluirán todas las funciones y la definición de la aplicación se actualizará automáticamente a medida que se añadan futuras funciones. Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de QoS, podrá ver los detalles de estos objetos al pasar el ratón por encima del objeto en la columna Aplicación, haciendo clic en la flecha hacia abajo y seleccionando Valor. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política, sin tener que ir hasta las pestañas de objetos. Palo Alto Networks Configuración de la calidad de servicio • 405 Definición de políticas de QoS Tabla 219. Configuración de regla QoS (Continuación) Campo Descripción Pestaña Pestaña Categoría de URL Servicio Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto. • Valor predeterminado de aplicación: Las aplicaciones seleccionadas se permiten o deniegan únicamente según sus puertos predeterminados por Palo Alto Networks. Esta opción es la recomendada para políticas de permiso. • Seleccionar: Haga clic en Añadir. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada. Consulte “Servicios” y “Grupos de servicios” . Categoría de URL Seleccione las categorías URL de la regla de QoS. • Seleccione cualquiera para garantizar que una sesión puede coincidir con esta regla de QoS independientemente de la categoría de URL. • Para especificar una categoría, haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. Puede añadir varias categorías. Consulte “Categorías de URL personalizadas” para obtener más información sobre cómo definir categorías personalizadas. Pestaña Otra configuración Clase Seleccione la clase de QoS para asignar a la regla y haga clic en ACEPTAR. Las características de clase se definen en el perfil de QoS. Consulte “Definición de perfiles de QoS” para obtener información acerca de la configuración de ajustes para clases de QoS. Programación Seleccione el icono de calendario para establecer un programa de la política de QoS para aplicar. 406 • Configuración de la calidad de servicio Palo Alto Networks Visualización de estadísticas de QoS Visualización de estadísticas de QoS Red > QoS La tabla en la página Políticas de QoS indica cuando QoS está activada e incluye un enlace para mostrar estadísticas de QoS. Aparece un ejemplo en la siguiente ilustración. Ilustración 17. Estadísticas de QoS El panel izquierdo muestra la tabla de árbol de QoS y el panel derecho muestra datos en las siguientes pestañas: • Ancho de banda de QoS: Muestra los gráficos de ancho de banda en tiempo real para el nodo y las clases seleccionados. La información se actualiza cada dos segundos. NOTA: Las limitaciones de salida (egress) garantizada y máximo de salida de QoS configuradas para las clases QoS pueden mostrarse con un valor ligeramente distinto en la pantalla estadísticas de QoS. Este es el comportamiento esperado y se debe a que el motor de hardware resume los límites de ancho de banda y recuentos. Esto no supone problema alguno para el funcionamiento, puesto que los gráficos de uso de ancho de banda muestran los valores y cantidades en tiempo real. • Explorador de sesión: Enumera las sesiones activas del nodo y/o clase seleccionados. • Vista de aplicación: Enumera todas las aplicaciones activas para el nodo y/o clase de QoS seleccionados. Palo Alto Networks Configuración de la calidad de servicio • 407 Visualización de estadísticas de QoS 408 • Configuración de la calidad de servicio Palo Alto Networks Capítulo 11 Gestión centralizada del dispositivo mediante Panorama Panorama, que está disponible como plataforma de hardware específica y como dispositivo virtual de VMware, es el sistema de gestión centralizado para la familia de cortafuegos de próxima generación de Palo Alto Networks. Comparte el mismo aspecto basado en Internet que la interfaz de los cortafuegos individuales, y le permite pasar sin problemas a gestionar los cortafuegos de manera centralizada y reducir los esfuerzos administrativos para gestionar varios cortafuegos. Esta sección sirve como referencia de campo para saber cómo utilizar la interfaz web de Panorama para gestionar los cortafuegos de su red. Si desea información sobre cómo configurar Panorama y los conceptos y flujos de trabajo de Panorama, consulte la guía del administrador de Panorama. • “Pestaña Panorama” • “Cambio de contexto de dispositivo” • “Configuración de particiones de almacenamiento” • “Configuración de alta disponibilidad (HA)” • “Cómo añadir dispositivos” • “Copia de seguridad de las configuraciones del cortafuegos” • “Definición de grupos de dispositivos” • “Definición de funciones de administrador de Panorama” • “Creación de cuentas administrativas de Panorama” • “Especificación de dominios de acceso de Panorama para administradores” • “Logs e informes” • “Gestión de recopiladores de logs” • “Definición de grupos de recopiladores de logs” • “Generación de informes de actividad de usuario” Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 409 • “Visualización de la información de implementación del cortafuegos” • “Programación de actualizaciones dinámicas” • “Programación de exportaciones de configuración” • “Actualización del software de Panorama” • “Habilitación del reenvío de logs” • “Registro del cortafuegos de la serie VM como servicio en el administrador NSX” 410 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Pestaña Panorama Panorama La pestaña Panorama es similar a la pestaña Dispositivos del cortafuegos, salvo que los ajustes se aplican al servidor Panorama, no a los cortafuegos gestionados. La tabla siguiente describe las páginas de esta pestaña. Para acceder a una página, haga clic en el enlace del nombre de la página en el menú lateral. Tabla 220. Resumen de páginas de Panorama Página Descripción Configuración Permite especificar el nombre de host de Panorama, la configuración de red de la interfaz gestionada y las direcciones de los servidores de red (DNS y NTP). Consulte “Definición de la configuración de gestión”. Plantillas Permite crear plantillas que pueden usarse para gestionar las opciones de configuración en función de las pestañas Dispositivo y Red. Las plantillas le permiten reducir la carga de trabajo administrativo que supone implementar varios cortafuegos con una configuración similar. Consulte “Plantillas”. Auditoría de configuraciones Permite visualizar y comparar archivos de configuración. Consulte “Definición de la configuración de operaciones” y “Cambio de contexto de dispositivo”. Dispositivos gestionados Permite añadir cortafuegos para que los gestione Panorama, forzar la configuración compartida en los cortafuegos gestionados y ejecutar controles completos de configuración en cortafuegos o en grupos de dispositivos. Consulte “Cómo añadir dispositivos”. Grupos de dispositivos Le permite agrupar cortafuegos basándose en la función, segmentación de la red o ubicación geográfica. Un grupo de dispositivos puede incluir cortafuegos físicos, virtuales y/o sistemas virtuales. Tradicionalmente, los cortafuegos de un grupo de dispositivos necesitan configuraciones de política parecidas. Cuando use las pestañas Políticas y Objetos de Panorama, los grupos de dispositivos le permitirán implementar un método de capa para gestionar políticas en una red de cortafuegos gestionados. Consulte “Definición de grupos de dispositivos”. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 411 Tabla 220. Resumen de páginas de Panorama (Continuación) Página Descripción Recopiladores gestionados Permite configurar y gestionar los dispositivos recopiladores de logs (el dispositivo M-100 se configura para funcionar en modo de recopilador de log o como un recopilador de log especializado). Como un recopilador de logs especializado se configura y gestiona usando Panorama, también se denomina “recopilador gestionado”. Un recopilador gestionado puede estar administrado por un dispositivo M-100 en modo Panorama o por un dispositivo virtual de Panorama. Los cortafuegos de la versión 5.0 y posteriores gestionados por Panorama pueden enviar logs a esos recopiladores gestionados. También puede utilizar esta pestaña para actualizar el software de sus recopiladores de logs. Primero debe descargar el software de Panorama más actualizado e instalar la versión en sus recopiladores haciendo clic en Instalar en la página Recopiladores gestionados. Nota: M-100 se puede configurar como un administrador de Panorama, un recopilador de logs, o ambos. El comando operativo para cambiar el modo de M-100 es request system logger-mode [panorama | logger]. Para ver el modo actual, ejecute show system info | match logger_mode. Si M-100 está en modo de recopilador de logs, únicamente CLI está disponible para gestión. Consulte “Gestión de recopiladores de logs”. Grupos de recopiladores Permite agrupar de forma lógica uno o varios recopiladores de logs para poder aplicar los mismos ajustes de configuración a todos los recopiladores de logs de un grupo de recopiladores, para después asignar cortafuegos a los recopiladores de logs. Los logs se distribuyen uniformemente entre todos los discos de un recopilador de logs y entre todos los miembros del grupo de recopiladores. Cada instancia de Panorama puede tener hasta 16 grupos de recopiladores y cada grupo de recopiladores puede tener hasta 16 recopiladores de logs. Para obtener instrucciones sobre cómo configurar un grupo de recopiladores de logs, consulte “Cómo añadir un recopilador de logs”. Funciones de administrador Permite especificar los privilegios y responsabilidades que se asignan a los usuarios que requieren acceso a Panorama. Consulte “Definición de funciones de administrador”. Perfiles de la contraseña Permite definir perfiles de contraseña que posteriormente se pueden aplicar a los administradores de Panorama. Puede configurar las siguientes opciones de perfil: • Período necesario para el cambio de contraseña (días) • Período de advertencia de vencimiento (días) • Recuento de inicio de sesión de administrador posterior al vencimiento • Período de gracia posterior al vencimiento (días) Administradores Permite definir las cuentas de los usuarios que necesitan acceder a Panorama. Consulte “Creación de cuentas administrativas”. Nota: Si hay alguna cuenta de usuario bloqueada aparecerá un icono de candado en la columna derecha de la página Administradores. El administrador puede hacer clic en el icono para desbloquear la cuenta. Alta disponibilidad Permite configurar un par de dispositivos de Panorama para que sean compatibles con alta disponibilidad (HA). Consulte “Configuración de alta disponibilidad (HA)”. 412 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Tabla 220. Resumen de páginas de Panorama (Continuación) Página Descripción Gestión de certificados Permite configurar y gestionar certificados, perfiles de certificados y claves. Consulte “Gestión de certificados de dispositivos”. Configuración de log Permite definir destinos de traps (trap sinks) de SNMP (Simple Network Management Protocol), servidores Syslog y direcciones de correo electrónico para distribuir mensajes de log. Perfiles de servidor Permite especificar perfiles de servidores que proporcionan servicios a Panorama. Consulte las siguientes secciones: • “Configuración de ajustes de notificaciones por correo electrónico” • “Configuración de destinos de traps SNMP” • “Configuración de servidores Syslog” • “Configuración de ajustes de servidor RADIUS” • “Configuración de ajustes de servidor LDAP” • “Configuración de ajustes de Kerberos (autenticación nativa de Active Directory)”. • “Configuración de ajustes de flujo de red” Perfil de autenticación Permite especificar un perfil de acceso de autenticación a Panorama. Consulte “Configuración de perfiles de autenticación”. Secuencia de autenticación Permite especificar la cadena de dominios de autenticación que se debe usar para permitir el acceso a Panorama. Consulte “Configuración de una secuencia de autenticación”. Dominio de acceso Cuando se utiliza con la autenticación RADIUS, los dominios de acceso le permiten usar atributos específicos de proveedor (VSA) para limitar el acceso administrativo a los grupos de dispositivos, plantillas y contextos de dispositivos que pueden gestionar los administradores. Consulte “Especificación de dominios de acceso de Panorama para administradores”. Exportación de configuración programada Permite recopilar configuraciones en ejecución de cortafuegos gestionados y enviarlos diariamente a un servidor FTP (File Transfer Protocol) o mediante SCP (Secure Copy) para garantizar la transferencia de los datos entre el servidor de Panorama y un host remoto. Consulte “Programación de exportaciones de configuración”. Software Permite visualizar las versiones de software de Panorama disponibles y descargar e instalar una versión de software de su elección. Consulte “Actualización del software de Panorama”. Actualizaciones dinámicas Permite visualizar las definiciones de la aplicación y la información sobre amenazas de seguridad como firmas antivirus más actualizadas (se requiere licencia de prevención de amenazas), así como actualizar Panorama con nuevas definiciones. Consulte “Actualización de definiciones de aplicaciones y amenazas”. Asistencia técnica Permite acceder a alertas sobre el producto y seguridad de Palo Alto Networks. Consulte “Visualización de información de asistencia técnica”. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 413 Tabla 220. Resumen de páginas de Panorama (Continuación) Página Descripción Implementación de dispositivo Permite visualizar información actual de la licencia sobre los cortafuegos gestionados e instalar software, clientes y contenido dinámico en los cortafuegos y recopiladores gestionados. Consulte “Visualización de la información de implementación del cortafuegos”. Para automatizar el proceso de descarga e instalación de actualizaciones dinámicas, consulte “Programación de actualizaciones dinámicas”. Clave maestra y diagnóstico Permite especificar una clave maestra para cifrar claves privadas en el cortafuegos. Las claves privadas se almacenan con un formato cifrado de manera predeterminada aunque no se especifique una nueva clave maestra. Consulte “Cifrado de claves privadas y contraseñas del cortafuegos”. Cambio de contexto de dispositivo Un administrador puede cambiar el contexto para iniciar la interfaz web de un cortafuegos gestionado desde la interfaz web de Panorama. Esto le permite usar Panorama para acceder directamente a los ajustes específicos de cortafuegos en un cortafuegos individual (como una política específica de cortafuegos, configuración de red y de dispositivos) y gestionarlos. Utilice la lista desplegable Contexto sobre el menú lateral para elegir un cortafuegos individual o la vista completa de Panorama. El menú contextual muestra los cortafuegos a los que tiene acceso administrativo (consulte “Funciones, perfiles y cuentas de administrador de Panorama” en la página 386). Use los filtros para restringir sus criterios de búsqueda; cuando seleccione un cortafuegos, la interfaz web se actualizará para mostrar todas las pestañas y opciones de dispositivo para el cortafuegos seleccionado. Ilustración 18. Selección del contexto Solo puede cambiar el contexto a los cortafuegos conectados. Los cortafuegos desconectados no se muestran en la lista desplegable. Configuración de particiones de almacenamiento De manera predeterminada, Panorama mantiene un almacenamiento interno para archivos de log y datos estadísticos. La instalación de Panorama predeterminada se establece con una única partición de disco para todos los datos; en la partición, se asignan 10 GB de espacio para el almacenamiento de logs. Si la máquina virtual Panorama se instala en una partición mayor, no permitirá más de 10 GB de espacio para los logs. Para entornos en los que es necesario mayor espacio de almacenamiento, puede crear un disco virtual personalizado de hasta 2 TB para ESX o ESXi o bien configurar un almacén de datos NFS externo. Panorama > Configuración > Configuración de partición de almacenamiento 414 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Para configurar un almacén de datos de NFS externo: Haga clic en el enlace Configuración de partición de almacenamiento en la página Configuración de Panorama y especifique los siguientes ajustes. Tabla 221. Ajustes de partición de almacenamiento Campo Descripción Interno Mantiene el espacio de almacenamiento para archivos de log y datos estadísticos del dispositivo de Panorama. NFS V3 Especifica un punto de montaje de servidor NFS externo. Configure los siguientes ajustes: • Servidor: Especifique el nombre de dominio completo (FQDN) o la dirección IP del servidor NFS. • Directorio de log: Especifique el nombre de ruta completo del directorio en el que se almacenarán los logs. • Protocolo: Especifique el protocolo para la comunicación con el servidor NFS (UDP o TCP). • Puerto: Especifique el puerto para la comunicación con el servidor NFS. • Tamaño de lectura: Especifique el tamaño máximo (bytes) para las operaciones de lectura de NFS (rango: 256-32.768). • Tamaño de escritura: Especifique el tamaño máximo (bytes) para las operaciones de escritura de NFS (rango: 256-32.768). • Copiar al configurar: Seleccione la casilla de verificación para montar la partición NFS y copiar los logs existentes en el directorio de destino del servidor cuando se reinicie el dispositivo de Panorama. • Partición de logs de prueba: Haga clic para realizar una prueba que monte la partición NFS y muestre un mensaje de acción correcta o fallo. Debe reiniciar el servidor de Panorama después de configurar los ajustes de partición de almacenamiento. Configuración de alta disponibilidad (HA) Panorama > Alta disponibilidad La alta disponibilidad (HA) permite la redundancia en caso de fallo. Para garantizar la HA, puede implementar un par de dispositivos de Panorama basados en hardware o un par de dispositivos virtuales de Panorama en una configuración de peer de HA que proporcionen conexiones sincronizadas con los cortafuegos gestionados. Entre los peers de la configuración de HA, un dispositivo se debe designar como principal y otro como secundario; el principal asumirá el estado activo y el secundario el estado pasivo, hasta que falle el valor supervisado. Los peers mantienen un latido o un ping ICMP periódico para verificar el estado operativo. Si el servidor de Panorama activo deja de estar disponible, el servidor pasivo toma el control temporalmente. Si Preferencia está habilitado, lo cual es el ajuste predeterminado, cuando el servidor Panorama activo vuelva a estar activo, el servidor pasivo dejará el control y volverá al estado pasivo. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 415 Para configurar un par de HA de dispositivos virtuales de Panorama, debe tener dos licencias de Panorama con números de serie exclusivos para cada instancia virtual. Para habilitar HA en Panorama, configure los siguientes ajustes. Tabla 222. Configuración de HA de Panorama Campo Descripción Configuración Habilitar HA Seleccione la casilla de verificación para habilitar la HA. Dirección IP de HA del peer Introduzca la dirección IP de la interfaz de gestión del peer. Habilitar cifrado Habilite el cifrado después de exportar la clave de HA desde el peer de HA e importarla a este dispositivo. La clave de HA de este dispositivo también debe exportarse desde este dispositivo e importarse al peer de HA. Cuando está habilitada, la interfaz de gestión cifra la comunicación entre los peers de HA. La importación/exportación de claves se realiza en la página Certificados. Consulte “Gestión de certificados de dispositivos”. Nota: La conectividad de HA utiliza el puerto TCP 28 con el cifrado habilitado y 28769 cuando el cifrado no está habilitado. Tiempo de espera para supervisión (ms) Introduzca la cantidad de tiempo (ms) que el sistema esperará antes de reaccionar ante un fallo de un enlace de control (1.000-60.000 ms; valor predeterminado: 3.000 ms). 416 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Tabla 222. Configuración de HA de Panorama (Continuación) Campo Descripción Configuración de elección Prioridad Asigne un dispositivo como Primario y otro como Secundario de cada par. (Solo necesario en Panorama virtual) Esta configuración principal o secundaria determina qué peer está designado como el destinatario principal de los logs enviados por los cortafuegos gestionados. Puede configurar Panorama para que utilice las mismas instalaciones de almacenamiento de logs externo para los dispositivos principal y secundario asignados (opción NFS o sistema de archivos de red) o configurar los logs de manera interna. Si utiliza la opción NFS, únicamente el destinatario principal recibirá los logs enviados desde los cortafuegos gestionados. Sin embargo, si se habilitan los logs locales, los logs se enviarán de manera predeterminada al destinatario principal y secundario. Preferente Seleccione la casilla de verificación para habilitar el dispositivo de Panorama principal para reanudar el funcionamiento activo tras recuperarse de un fallo. Si este ajuste está desactivado, el dispositivo secundario permanecerá activo incluso después de que el dispositivo de mayor prioridad se recupere de un fallo. Tiempo de espera para ser preferente (min.) Introduzca el tiempo que esperará un dispositivo pasivo antes de tomar el control como dispositivo activo (rango: 1-60 min.; valor predeterminado: 1). Tiempo de espera de promoción (ms) Introduzca el tiempo que esperará el dispositivo secundario antes de tomar el control (rango: 0-60.000 ms; valor predeterminado: 2.000). Intervalo de saludo (ms) Introduzca el número de milisegundos entre los paquetes de saludo enviados para verificar que el otro dispositivo está operativo (rango: 8.000-60.000 ms; valor predeterminado: 8.000). Intervalo de heartbeat (ms) Especifique la frecuencia con la que Panorama envía pings ICMP al peer de HA (rango: 1.000-60.000 ms; valor predeterminado: 1.000). Tiempo de espera ascendente tras fallo de supervisor (ms) Especifique el intervalo que Panorama esperará tras un fallo de supervisor de ruta antes de intentar volver a introducir el estado pasivo (valor predeterminado: 0 ms). Durante este período, el dispositivo no está disponible para tomar el control como dispositivo activo en el caso de fallo. Tiempo de espera ascendente principal adicional (ms) Especifique el intervalo durante el cual el dispositivo preferente permanece en el estado pasivo antes de tomar el control como dispositivo activo (valor predeterminado: 7.000 ms). Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 417 Tabla 222. Configuración de HA de Panorama (Continuación) Campo Descripción Supervisión de rutas Habilitado Seleccione la casilla de verificación para habilitar la supervisión de rutas. La supervisión de rutas permite que Panorama supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden. Condición de fallo Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de rutas supervisados presentan fallos al responder. Grupos de rutas Defina uno o más grupos de rutas para supervisar direcciones de destino específicas. Para añadir un grupo de rutas, especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Especifique un nombre para el grupo de rutas. • Habilitado: Seleccione la casilla de verificación para habilitar el grupo de rutas. • Condición de fallo: Seleccione si se produce un fallo cuando alguna o todas las direcciones de destino especificadas presentan fallos al responder. • Intervalo de ping: Especifique un período de tiempo entre los mensajes de eco de ICMP para verificar que la ruta está activa (rango: 1.000-60.000 ms; valor predeterminado: 5.000). • IP de destino: Introduzca una o más direcciones de destino que se supervisarán (si hay varias direcciones, deben estar separadas por comas). • Intervalo de ping: Especifique el intervalo entre los pings que se envían a la dirección de destino (rango: 1.000-60.000 milisegundos; valor predeterminado: 5.000 milisegundos). • Recuento de pings: Especifique el número de pings fallidos antes de declarar un fallo (rango: 3-10 pings; valor predeterminado: 3 pings). Para eliminar un grupo de rutas, seleccione el grupo y haga clic en Eliminar. Cómo añadir dispositivos Panorama > Dispositivos gestionados Un cortafuegos de Palo Alto Networks que gestiona Panorama se denomina “cortafuegos gestionado”. La página Dispositivos gestionados le permite realizar tareas como añadir cortafuegos para una administración centralizada, realizar actualizaciones de software y gestionar copias de seguridad de configuración. También muestra información sobre el estado de todos los dispositivos gestionados. Para habilitar los cortafuegos para que se conecten al servidor de Panorama y gestionarlos de forma centralizada, debe completar los siguientes dos pasos: • Añada el número de serie del cortafuegos en el de servidor Panorama. • Añada la dirección IP del servidor de Panorama en el cortafuegos. 418 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Panorama puede gestionar cortafuegos PAN-OS con la misma versión principal o en versiones anteriores compatibles, pero no en cortafuegos con una versión posterior. Por ejemplo, Panorama 5.0 puede gestionar cortafuegos PAN-OS de la versión 5.0 o anterior, pero no puede gestionar cortafuegos PAN-OS de la versión 5.1. La página Dispositivos gestionados le permite realizar las siguientes tareas: • Cómo añadir dispositivos: Para añadir un cortafuegos, haga clic en Añadir e introduzca el número de serie de uno o varios cortafuegos. Introduzca solo una entrada por fila. • Instalación: Para realizar una actualización de software o contenido, haga clic en Instalar y cumplimente la siguiente información: . Tabla 223. Actualización de software/contenido en un dispositivo gestionado Campo Descripción Tipo Seleccione el tipo de actualización que desea instalar. Archivo Seleccione un archivo en la lista de archivos actualizados o descargados. Debe haber descargado una imagen mediante las pestañas secundarias Panorama > Implementación de dispositivo o haber utilizado la opción Instalar desde archivo para cargar un archivo en Panorama. Dispositivos Utilice los filtros para seleccionar los cortafuegos en los que desea instalar la imagen. Cargar únicamente en el dispositivo (no instalar) Seleccione esta opción si desea cargar la imagen en el cortafuegos, pero no desea reiniciar ahora el cortafuegos. No se instalará la última imagen de software hasta que no se reinicie. Reiniciar dispositivo tras instalar Seleccione esta opción si desea cargar e instalar la última imagen de software. Se activará el reinicio. HA del peer de grupo: En aquellos cortafuegos implementados en una configuración de HA, seleccione los peers de HA y seleccione la casilla de verificación HA del peer de grupo para agrupar los cortafuegos en modo de HA. Esta opción permite identificar fácilmente cortafuegos en modo de HA. Cuando implementa políticas compartidas, puede implementar el par agrupado, en lugar de cada cortafuegos individualmente. Además, cuando añade un nuevo cortafuegos en Dispositivos gestionados, si están en modo de HA, ambos cortafuegos se visualizarán juntos, de forma que pueda añadir ambos cortafuegos. Cuando visualiza una par de HA, si la configuración no es coincidente, aparecerá un indicador de advertencia. También verá un indicador si los cortafuegos de HA están en grupos de dispositivos diferentes. Cuando visualiza un par de HA, si la configuración no es coincidente, aparecerá un indicador de advertencia. También verá un indicador si los cortafuegos de HA están en grupos de dispositivos diferentes. En aquellos peers de HA con una configuración activa-pasiva, tiene la opción de añadir ambos cortafuegos o sistemas virtuales de los peers (si está en modo de sistema multivirtual) al mismo grupo de dispositivos. Esto le permite aplicar la configuración a ambos cortafuegos de peer de HA simultáneamente. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 419 Esta opción también es independiente de cada sección, por lo que si la activa o la desactiva en un área, no la activará/desactivará en todas las áreas. La opción HA del peer de grupo está presente en las siguientes áreas de Panorama: – Dispositivos gestionados – Plantillas – Grupos de dispositivos – Pestaña Políticas (pestaña Destino para todos los tipos de políticas) – Cuadro de diálogo Compilar Eliminar: Seleccione la casilla de verificación de uno o varios cortafuegos y haga clic en Eliminar para quitar el cortafuegos de la lista de cortafuegos gestionados por Panorama. Etiqueta: Seleccione la casilla de verificación de uno o varios cortafuegos y haga clic en Etiqueta para añadir etiquetas. Introduzca una cadena de texto de hasta 31 caracteres. No utilice espacios en blanco. Las etiquetas le facilitan buscar un cortafuegos en una lista de gran tamaño; le ayudan a filtrar dinámicamente y ajustar la lista de cortafuegos que se muestra. Por ejemplo, si añade una etiqueta denominada sucursal, podrá filtrar todos los cortafuegos de sucursal de su red. La página Dispositivos gestionados muestra todos los cortafuegos gestionados con la información en la tabla siguiente. Tabla 224. Estado los dispositivos gestionados Campo Descripción Nombre del dispositivo Muestra el nombre de host o número de serie del cortafuegos que ha añadido. Sistema virtual Muestra los sistemas virtuales disponibles en un cortafuegos habilitado para varios sistemas virtuales. Etiquetas Muestra las etiquetas definidas para cada sistema virtual/cortafuegos. Número de serie Muestra el número de serie del cortafuegos. Dirección IP Muestra la dirección IP del sistema virtual o cortafuegos. Plantilla Muestra la plantilla a la que pertenece el cortafuegos. Estado Conectado: muestra si Panorama está conectado o desconectado del cortafuegos. Política compartida: muestra si la configuración (Políticas u Objetos) está sincronizada o no con Panorama. Plantilla: muestra si la configuración (Red y Dispositivo) está sincronizada con Panorama. Último estado de compilación: muestra si la última compilación del cortafuegos tuvo éxito o no. Software, aplicaciones, amenazas, antivirus, filtrado de URL, cliente de GlobalProtect y WildFire: muestra la versión del software/contenido instalado actualmente en el cortafuegos gestionado. Copias de seguridad En cada compilación se envía automáticamente a Panorama una copia de seguridad de la configuración del cortafuegos gestionado. El enlace Gestionar... le permite ver las copias de seguridad de configuración disponibles. Para cargar una versión de la lista de archivos de configuraciones guardadas, haga clic en Cargar. 420 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Copia de seguridad de las configuraciones del cortafuegos Panorama > Dispositivos gestionados Panorama guarda automáticamente todos los cambios de configuración que se compilan en los cortafuegos gestionados. Puede configurar el número de versiones que se guardarán en el dispositivo de Panorama utilizando los ajustes de Gestión en Configuración de log e informes de la pestaña Panorama > Configuración. El valor predeterminado es de 100. Para obtener instrucciones sobre cómo configurar el número de versiones, consulte “Definición de la configuración de gestión”. Para gestionar las copias de seguridad de Panorama, seleccione Panorama > Dispositivos gestionados y haga clic en Gestionar en la columna Copias de seguridad de un dispositivo. Se abrirá una ventana mostrando las configuraciones guardada y compilada del dispositivo. Haga clic en un enlace Cargar para restaurar la copia de seguridad a la configuración candidata y realice los cambios que desee. Haga clic en Compilar para restaurar la configuración cargada en el dispositivo. Para eliminar una configuración guardada, haga clic en el icono . Definición de grupos de dispositivos Panorama > Grupos de dispositivos Los grupos de dispositivos de Panorama permiten agrupar cortafuegos y definir políticas y objetos que se pueden compartir entre todos los grupos de dispositivos o entre los cortafuegos de un grupo concreto. Dado que los grupos de dispositivos se han diseñado para ayudar a ampliar y gestionar políticas y objetos compartidos, antes de crear grupos de dispositivos deberá planificar cómo agrupar los cortafuegos. Por ejemplo, debe crear grupos de dispositivos en función de funcionalidades similares, requisitos de seguridad o ubicación geográfica. Los grupos de dispositivos pueden estar formados por cortafuegos o sistemas virtuales que desea gestionar como grupo, como los cortafuegos que gestionan un grupo de sucursales o departamentos individuales de una empresa. Cada grupo se considera una única unidad al aplicar políticas en Panorama. Un cortafuegos solo puede pertenecer a un grupo de dispositivos. Como los sistemas virtuales se consideran entidades independientes en Panorama, puede asignar sistemas virtuales en un cortafuegos a diferentes grupos de dispositivos. La página Grupos de dispositivos le permite añadir, eliminar y ver los grupos de dispositivos configurados en Panorama. Para añadir un grupo de dispositivos, haga clic en Añadir y proporcione la información que aparece en la siguiente tabla. Tabla 225. Configuración de grupos de dispositivos Campo Descripción Nombre de grupo de dispositivos Introduzca un nombre para identificar el grupo (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción para el grupo. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 421 Tabla 225. Configuración de grupos de dispositivos (Continuación) Campo Descripción Dispositivos Seleccione la casilla de verificación para cada cortafuegos que desee añadir al grupo de dispositivos. Haga clic en Aceptar para guardar los cambios en el grupo de dispositivos. Use los filtros para restringir la lista de cortafuegos que aparece. El filtro muestra de forma predeterminada la lista completa de cortafuegos gestionados agrupados por Plantillas, Plataformas y Etiquetas; también muestra el valor numérico del número total de cortafuegos gestionados y, cuando selecciona la casilla de verificación de sus criterios de filtrado, muestra el número de cortafuegos que cumplen sus criterios seleccionados como fracción del número total de cortafuegos gestionados. Dispositivo principal Seleccione un dispositivo que se utilizará como principal. El dispositivo principal es el cortafuegos desde el que Panorama recopila información de identificación de usuarios (User-ID) para su uso en las políticas. La información de grupo y usuario asignada recopilada es específica de cada grupo de dispositivos y solo puede provenir de un dispositivo (el principal) del grupo. HA del peer de grupo Seleccione la casilla de verificación para agrupar los cortafuegos con el modo de alta disponibilidad (HA) juntos. Esta opción permite identificar fácilmente cortafuegos en modo de HA. Cuando implementa políticas compartidas, puede implementar el par agrupado, en lugar de cada cortafuegos individualmente. Además, cuando añade un nuevo cortafuegos en Dispositivos gestionados, si están en modo de HA, ambos cortafuegos se visualizarán juntos, de forma que pueda añadir ambos cortafuegos. Cuando visualiza un par de HA, si la configuración no es coincidente, aparecerá un indicador de advertencia. También verá un indicador si los cortafuegos de HA están en grupos de dispositivos diferentes. En aquellos peers de HA con una configuración activa-pasiva, tiene la opción de añadir ambos cortafuegos o sistemas virtuales de los peers (si está en modo de sistema multivirtual) al mismo grupo de dispositivos. Esto le permite aplicar la configuración a ambos cortafuegos de peer de HA simultáneamente. Después de crear un grupo de dispositivos, debe compilar los cambios en Panorama y en el grupo de dispositivos; cuando los compila, los cambios de configuración se aplican a los cortafuegos gestionados asignados al grupo de dispositivos. Para obtener información acerca de la compilación de cambios en Panorama, consulte “Compilación de los cambios en Panorama”. Eliminar: Seleccione la casilla de verificación de uno o varios grupos de dispositivos y haga clic en Eliminar para eliminar el grupo de dispositivos. Objetos y políticas compartidos Los grupos de dispositivos son una forma de implementar un método de capa para gestionar políticas en la red de cortafuegos gestionados. Un objeto o regla compartido se puede utilizar en cualquier grupo de dispositivos o en todos ellos. El grupo de dispositivos solo puede utilizar un objeto específico propio. 422 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Solo los administradores de Panorama pueden crear objetos y políticas compartidos. • Para crear una política compartida, en la pestaña Políticas, seleccione Compartido en la lista desplegable de grupos de dispositivos. • Para crear una política específica de un grupo de dispositivos, en la pestaña Políticas, seleccione el grupo de dispositivos adecuado en la lista desplegable de grupos de dispositivos. • Para crear un objeto compartido, en la pestaña Objetos, haga clic en Añadir y seleccione la casilla de verificación Compartido cuando defina el objeto. • Para crear objetos específicos de un grupo de dispositivos, en la pestaña Objetos, seleccione el grupo de dispositivos adecuado en la lista desplegable de grupos de dispositivos. Nota: Si tiene objetos con el mismo nombre y uno de ellos es compartido y el otro es específico de un grupo de dispositivos, el objeto específico del grupo de dispositivos se utilizará para ese grupo de dispositivos. Aplicación de políticas a un dispositivo específico de un grupo de dispositivos Puede dirigir una regla de políticas a cortafuegos individuales en el grupo de dispositivos para el que se define la regla. Para dirigir a un cortafuegos después de crear una política, haga clic en una entrada de la columna Destino y seleccione los cortafuegos en la ventana emergente. Para aplicar la regla a todos los cortafuegos en un grupo de dispositivos EXCEPTO al cortafuegos de destino, seleccione la casilla de verificación Instalar en todos los dispositivos menos los especificados. Ilustración 19. Dirección de reglas de políticas a dispositivos individuales en Panorama Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 423 Definición de funciones de administrador de Panorama Panorama > Funciones de administrador Utilice la página Funciones de administrador para definir perfiles de funciones que determinen el acceso y las responsabilidades disponibles para los usuarios administrativos. Para obtener instrucciones sobre cómo añadir cuentas de administrador, consulte “Creación de cuentas administrativas de Panorama”. Los administradores de Panorama sin acceso a la página Panorama > Administradores pueden hacer clic en su nombre de usuario, situado a la izquierda del enlace de cierre de sesión en la parte inferior de la interfaz web, para cambiar su contraseña. La función de administrador se puede asignar mediante atributos específicos del proveedor (VSA) RADIUS mediante el siguiente atributo: “PaloAlto-PanoramaAdmin-Role = <NombreFunciónAdmin>,”. Tabla 226. Configuración de funciones de administrador de Panorama Campo Descripción Nombre Introduzca un nombre para identificar esta función de administrador (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Descripción Introduzca una descripción opcional de la función. Permiso Seleccione el ámbito de la responsabilidad administrativa (Panorama o Grupo de dispositivos y Plantilla). Interfaz de usuario web Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la interfaz web: • Acceso de lectura/escritura a la página indicada. • Acceso de solo lectura a la página indicada. • Sin acceso a la página indicada. 424 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Tabla 226. Configuración de funciones de administrador de Panorama (Continuación) Campo API XML Descripción Seleccione el tipo de acceso de XML API • Informe: Accede a los informes del cortafuegos. • Log: Accede a los logs del cortafuegos. • Configuración: Concede permisos para recuperar o modificar la configuración del cortafuegos. • Solicitudes de operación: Concede permisos para ejecutar comando de operación. • Compilar: Concede permisos para compilar la configuración. • Agente de ID de usuarios: Accede al identificador del usuario (User-ID) del agente. • Exportar: Concede permisos para exportar archivos del cortafuegos, incluyendo la configuración, páginas de bloque o respuesta, certificados, claves, etc. • Importar: Concede permisos para importar archivos al cortafuegos, incluyendo software, contenido, licencia, configuración, certificados, páginas de bloque, logs personalizados, etc. Línea de comandos Seleccione el tipo de función para el acceso a la CLI: • Ninguno: El acceso a la CLI del cortafuegos no está permitido. • Superusuario: El acceso al cortafuegos actual es completo. • Superlector: El acceso al cortafuegos actual es de solo lectura. • Administrador de Panorama: El acceso a un cortafuegos seleccionado es completo, excepto al definir nuevas cuentas o sistemas virtuales. Creación de cuentas administrativas de Panorama Panorama > Administradores Las cuentas de administrador controlan el acceso a Panorama. Los administradores pueden tener acceso completo o de solo lectura a Panorama y a todos los cortafuegos gestionados, o pueden contar con acceso de administrador de Panorama, lo que permite acceder a la configuración de Panorama (excepto a las cuentas y funciones de administrador), pero no a los cortafuegos gestionados. La cuenta admin predefinida tiene acceso completo a Panorama y a los cortafuegos gestionados. Panorama es compatible con las siguientes opciones de autenticación: • Autenticación con contraseña: El administrador introduce un nombre de usuario y una contraseña para iniciar sesión. No se necesitan certificados. Puede utilizar este método junto con los perfiles de autenticación o para la autenticación de base de datos local. • Autenticación con certificado de cliente (web): Esta autenticación no necesita nombre de usuario o contraseña; el certificado será suficiente para autenticar el acceso a Panorama. • Autenticación con clave pública (SSH): El administrador genera un par de claves pública y privada en la máquina que requiere acceso a Panorama y, a continuación, carga la clave pública en Panorama para permitir un acceso seguro sin exigir que el administrador introduzca un nombre de usuario y una contraseña. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 425 . Tabla 227. Configuración de cuentas de administrador Campo Descripción Nombre Introduzca un nombre de inicio de sesión para el administrador (de hasta 15 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, guiones y guiones bajos. Perfil de autenticación Seleccione un perfil de autenticación para la autenticación del administrador. Este ajuste se puede utilizar para RADIUS, LDAP, Kerberos o la autenticación de base de datos local. Si desea información más detallada, consulte “Configuración de perfiles de autenticación”. Utilizar únicamente el certificado de autenticación de cliente (web) Seleccione la casilla de verificación para utilizar la autenticación con certificado de cliente para el acceso web. Si selecciona esta casilla de verificación, no se necesitarán un nombre de usuario y una contraseña; el certificado será suficiente para autenticar el acceso a Panorama. Contraseña/Confirmar contraseña Introduzca y confirme una contraseña que haga distinción entre mayúsculas y minúsculas para el administrador (de hasta 15 caracteres). Se recomienda cambiar periódicamente las contraseñas administrativas utilizando una mezcla de minúsculas, mayúsculas y números para garantizar la seguridad. También puede aplicar Complejidad de contraseña mínima desde la pestaña Panorama > Configuración > Gestión. Es posible que algunos administradores de Panorama no tengan acceso a la página Panorama > Administradores. En este caso, el administrador puede hacer clic en su nombre de usuario en la parte izquierda del enlace de cierre de sesión, en la parte inferior de la interfaz web, para cambiar su contraseña local. Utilizar autenticación de clave pública (SSH) Seleccione la casilla de verificación para utilizar la autenticación con clave pública SSH. Haga clic en Importar clave y explore para seleccionar el archivo de clave pública. La clave cargada se muestra en el área de texto de solo lectura. Los formatos de archivo de clave admitidos son IETF SECSH y OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits) y RSA (768-4096 bits). Nota: Si falla la autenticación con clave pública, se mostrará un mensaje de nombre de usuario y contraseña para el administrador. 426 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Tabla 227. Configuración de cuentas de administrador (Continuación) Campo Descripción Función Asigne una función a este administrador. La función determina lo que el administrador puede ver y modificar. • Dinámico: Podrá seleccionar cualquiera de las siguientes funciones configuradas previamente en la lista desplegable. – Superusuario: Acceso completo a Panorama y a todos los grupos de dispositivos, plantillas y cortafuegos gestionados. – Superusuario (solo lectura): Acceso de solo lectura a Panorama y a todos los grupos de dispositivos, plantillas y cortafuegos gestionados. – Administrador de Panorama: Acceso completo a Panorama (excepto a las cuentas y funciones de administrador) y todos los grupos de dispositivos y plantillas. Sin acceso a los cortafuegos gestionados. • Basado en función: Acceso basado en la función personalizada (consulte “Definición de funciones de administrador de Panorama”) que ha seleccionado en la lista desplegable. Si selecciona un perfil asignado a la función de administrador Grupo de dispositivos y Plantilla, aparecerá la pestaña Control de acceso. En esta pestaña puede definir el acceso a los grupos de dispositivos, plantillas y contextos de dispositivos. Las definiciones de estos campos coinciden con las descritas en “Especificación de dominios de acceso de Panorama para administradores”. Perfil de la contraseña Seleccione el perfil de contraseña, si es aplicable. Para crear un nuevo perfil de contraseña, consulte “Definición de perfiles de contraseña”. Si hay alguna cuenta de usuario bloqueada, aparecerá un icono de candado en la columna Usuario bloqueado de la página Administradores. El superusuario y el administrador de Panorama pueden hacer clic en el icono para desbloquear la cuenta. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 427 Compilación de los cambios en Panorama Especificación de dominios de acceso de Panorama para administradores Panorama > Dominio de acceso Utilice la página Dominio de acceso para especificar dominios de administradores basados en funciones que tienen acceso a grupos de dispositivos y plantillas. Añadir un grupo de dispositivos a un dominio de acceso permite gestionar políticas y objetos para ese grupo de dispositivos. Añadir un cortafuegos individual a un dominio de acceso permite cambiar al contexto del dispositivo de ese cortafuegos. El dominio de acceso está vinculado a atributos específicos del proveedor (VSA) RADIUS y únicamente se admite si se utiliza un servidor RADIUS para la autenticación del administrador. Si no se utiliza RADIUS, los ajustes de dominio de acceso de esta página se ignorarán. Si desea información sobre el uso de VSA, consulte el tema concreto en el portal de asistencia técnica. El dominio de acceso se puede asignar mediante RADIUS VSA utilizando el siguiente atributo: “PaloAlto-Panorama-Admin-Access-Domain = <NombreDominioAcceso>,”. Tabla 228. Configuración de dominio de acceso Campo Descripción Nombre Introduzca un nombre para el dominio de acceso (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, guiones y guiones bajos. Grupos de dispositivos Haga clic en Añadir para especificar grupos de dispositivos predefinidos que se incluirán en el dominio de acceso. Contexto de dispositivo Seleccione el cortafuegos en el que el administrador puede hacer un cambio de contexto para permitir modificaciones de la configuración local. Plantillas Haga clic en Añadir para especificar plantillas predefinidas que se incluirán en el dominio de acceso. Compilación de los cambios en Panorama Para compilar los cambios de configuración en Panorama, haga clic en el icono Compilar para abrir el cuadro de diálogo de compilación. Este cuadro de diálogo permite compilar áreas concretas del entorno de Panorama, consulte la Ilustración 20. Ilustración 20. Cuadro de diálogo Compilar de Panorama 428 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Compilación de los cambios en Panorama Las siguientes opciones están disponibles en el cuadro de diálogo de compilación. Cuando se compilan cambios, antes de hacerlo en los cortafuegos gestionados o recopiladores de logs gestionados debe hacerlo primero en Panorama. – Compilar tipo: Seleccione el tipo de compilación: › Panorama: Compila la configuración candidata actual de Panorama. › Plantilla: Compila los cambios de plantilla de los cortafuegos seleccionados de Panorama. Cuando compila plantillas, puede seleccionar un subconjunto de dispositivos si lo desea. › Grupo de dispositivos: Compila cambios de configuración de los cortafuegos de Panorama a los sistemas virtuales/cortafuegos seleccionados. › Grupos de recopiladores: Compila únicamente los cambios a los grupos recopiladores de logs de Panorama. Se compilarán los cambios realizados en la página Panorama > Grupos de recopiladores y se aplicarán dichos cambios al dispositivo recopilador de logs. – Incluir plantillas de dispositivo y red: Esta opción está disponible si compila un Grupo de dispositivos de Panorama y es una operación combinada que incluye los cambios en el dispositivo y en la plantilla de red. La plantilla que se aplicará al cortafuegos es la plantilla a la que éste pertenece, según se define en Panorama > Plantillas. También puede seleccionar Compilar tipo Plantilla para compilar plantillas en cortafuegos. – Forzar valores de plantilla: Si realiza una compilación de plantilla, puede seleccionar esta opción para eliminar objetos en los cortafuegos o sistemas virtuales seleccionados que se hayan omitido por la configuración local. Si realiza una compilación de grupo de dispositivos, también deberá activar la casilla de verificación Incluir plantillas de dispositivo y red, ya que la cancelación solo puede realizarse en opciones de configuración de plantilla. De esta forma, los objetos cancelados heredarán los ajustes de la plantilla. Consulte “Cancelación de ajustes de plantilla”. – Combinar con configuración de candidato: Seleccione esta opción para que el cortafuegos incluya su configuración candidata local cuando Panorama solicite una compilación. Si esta opción no está activada, la configuración candidata local del cortafuegos no se incluye. Es importante dejar esta opción sin seleccionar si tiene administradores locales que realizan cambios en un cortafuegos y no desea incluir estos cambios en la configuración de Panorama. – Vista previa de cambios: Haga clic en este botón para devolver una ventana de auditoría de configuraciones que muestra los cambios propuestos en la configuración del candidato en comparación con la configuración actualmente en ejecución. Puede elegir el número de líneas de contexto que se mostrarán o mostrar todas las líneas en función de los elementos que se añaden, modifican o eliminan. Esta opción está disponible cuando usa un tipo de compilación Grupo de dispositivos, Plantilla o Panorama. También puede ver el estado de compilación de los cortafuegos en Panorama > Dispositivos gestionados y visualizando la columna Último estado de compilación. La función Dispositivo > Auditoría de configuraciones realiza la misma función, consulte “Comparación de archivos de configuración”. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 429 Plantillas Una vez completada la compilación, verá un mensaje “Compilaciones completadas”. Si hay mensajes de advertencia, verá “Compilación completada con advertencias”. Para ver las advertencias, vaya a Panorama > Dispositivos gestionados y haga clic en el texto de la columna Último estado de compilación para ver los detalles. Plantillas Panorama > Plantillas Esta opción le permite implementar una configuración de base común en varios cortafuegos que requieren configuraciones similares. Las plantillas pueden usarse para gestionar las opciones de configuración en función de las pestañas Dispositivo y Red. Si gestiona configuraciones de cortafuegos con Panorama, puede utilizar una combinación de ajustes de configuración de Grupo de dispositivos (para gestionar políticas y objetos compartidos) y Plantillas (para aplicar ajustes de dispositivo y red), aunque estas funciones se gestionan de forma independiente debido a las diferencias de los elementos que se pueden configurar. Para configurar las plantillas de Panorama, haga clic en Añadir para crear una plantilla y, a continuación, añádale los cortafuegos. Después de crear la primera plantilla, aparecerá el menú desplegable Plantilla en las pestañas Dispositivo y Red. Seleccione la plantilla deseada en el menú Plantilla y configure los ajustes del dispositivo y la red para la plantilla seleccionada. Tabla 229. Configuración de plantilla (Panorama) Campo Descripción Nombre Introduzca un nombre de plantilla (de hasta 31 caracteres). Utilice únicamente letras, números, espacios, puntos, guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Este nombre aparecerá en la pestaña Dispositivo y Red en el menú desplegable Plantilla. Si selecciona una plantilla de una de estas pestañas, los ajustes que modifique solo se aplicarán a la plantilla seleccionada. Descripción Introduzca una descripción para la plantilla. Sistemas virtuales Seleccione la casilla de verificación si la plantilla se utilizará en cortafuegos con múltiples sistemas virtuales. Cuando defina ajustes de plantilla para cortafuegos con múltiples sistemas virtuales, deberá configurar los ajustes para cada sistema virtual del cortafuegos. Note: Cuando use una plantilla para crear sistemas virtuales en un cortafuegos, los ajustes se aplicarán al VSYS existente con el mismo nombre (si lo hay) o se creará un nuevo VSYS con el nombre que defina. Note: No es posible imponer una plantilla configurada para cortafuegos con múltiples sistemas virtuales (VSYS múltiple) en cortafuegos con un único sistema virtual. Cuando actualice su servidor Panorama a la versión 5.0 o posteriores, se crearán plantillas predeterminadas para las configuraciones relacionadas con las pestañas Red y Dispositivo. Si, por ejemplo, ha definido un perfil de servidor para el cortafuegos gestionado, se generará automáticamente una plantilla para el perfil de servidor. Esta plantilla generada automáticamente se activa para múltiples sistemas virtuales. Para evitar un fallo de compilación, asegúrese de anular la selección de la casilla Sistemas virtuales antes de aplicar la plantilla a un cortafuegos que no admita VSYS múltiple o que tenga desactivada la función de VSYS múltiple. 430 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas Tabla 229. Configuración de plantilla (Panorama) Campo Descripción Modo de operación Especifique el modo de operación para los cortafuegos a los que se aplicará la plantilla. El valor predeterminado es normal; cámbielo a cc o fips, si es necesario. La compilación de la plantilla fallará si el modo de operación especificado en la plantilla no coincide con lo que esté habilitado en los cortafuegos incluidos en la plantilla: normal, fips o cc. Debe configurar el modo de operación localmente en cada cortafuegos. Los modos de operación como VSYS múltiple, FIPS o CC no se pueden habilitar mediante plantillas. Modo de deshabilitación de VPN Si selecciona esta casilla de verificación se ocultarán todas las opciones relacionadas con VPN en las pestañas Dispositivo y Red. La posibilidad de instalar licencias del portal o de la puerta de enlace de GlobalProtect también está desactivada en este modo. Note: Esta opción está diseñada para países que no permiten conectividad VPN. Los modelos de hardware de Palo Alto Networks que tienen el indicador -NV en el nombre del modelo están diseñados para no permitir configuraciones VPN. Esta opción debe utilizarse si crea plantillas para estos modelos. Dispositivos Seleccione la casilla de verificación para cada cortafuegos que desee añadir a la plantilla. Haga clic en Aceptar para guardar los cambios en la plantilla. Use los filtros para restringir la lista de cortafuegos que aparece. De forma predeterminada, el filtro muestra la lista completa de cortafuegos gestionados agrupados por Grupos de dispositivos, Plataformas y Etiquetas; también muestra el valor numérico del número total de cortafuegos gestionados y, cuando selecciona la casilla de verificación de sus criterios de filtrado, muestra el número de cortafuegos que cumplen sus criterios seleccionados como fracción del número total de cortafuegos gestionados. Note: Si añade un nuevo cortafuegos al grupo de dispositivos, no se añade automáticamente a una plantilla. Para añadir un cortafuegos a la plantilla deberá seleccionarlo y compilar el cambio en Panorama y en la plantilla. HA del peer de grupo Seleccione la casilla de verificación para agrupar los cortafuegos con el modo de alta disponibilidad (HA) juntos. Esta opción permite identificar fácilmente cortafuegos en modo de HA. Cuando implementa políticas compartidas, puede implementar el par agrupado, en lugar de cada cortafuegos individualmente. Además, cuando añade un nuevo cortafuegos en Dispositivos gestionados, si están en modo de HA, ambos cortafuegos se visualizarán juntos, de forma que pueda añadir ambos cortafuegos. Cuando visualiza un par de HA, si la configuración no es coincidente, aparecerá un indicador de advertencia. También verá un indicador si los cortafuegos de HA están en grupos de dispositivos diferentes. Esta opción también es independiente de cada sección, por lo que si la activa o la desactiva en un área, no la activará/desactivará en todas las áreas. La opción HA del peer de grupo está presente en las siguientes áreas de Panorama: • • • • • Palo Alto Networks Dispositivos gestionados Plantillas Grupos de dispositivos Pestaña Políticas (pestaña Destino para todos los tipos de políticas) Cuadro de diálogo Compilar Gestión centralizada del dispositivo mediante Panorama • 431 Plantillas Después de configurar la plantilla, debe compilar los cambios en Panorama y en Plantillas; cuando los compila, los cambios de configuración se aplican a los cortafuegos gestionados asignados a la plantilla. Para obtener información acerca de la compilación de cambios en Panorama, consulte “Compilación de los cambios en Panorama”. Cancelación de ajustes de plantilla Si aplica una plantilla para controlar los ajustes de dispositivo y red en un cortafuegos, es posible que desee cancelar algunos de esos ajustes y tenerlos controlados por la configuración del cortafuegos local. Por ejemplo, puede implementar una configuración básica a un grupo de cortafuegos global, pero configurar ajustes específicos de zonas horarias directamente en los cortafuegos en función de su ubicación, mediante una cancelación. Para cancelar la configuración de dispositivo y red aplicada por una plantilla, solo tiene que cambiar el contexto del cortafuegos o acceder al cortafuegos directamente, desplazarse hasta la configuración que desee y hacer clic en el botón Cancelar. El ajuste se copiará en la configuración local del cortafuegos y ya no lo controlará la plantilla. También puede revertir el cambio haciendo clic en el botón Restablecer y el ajuste se heredará de la plantilla. Si realiza una compilación desde Panorama a un cortafuegos gestionado que contiene cancelaciones, puede seleccionar la casilla de verificación Forzar valores de plantilla para que las plantillas de Panorama sustituyan a los objetos cancelados. Si cancela los ajustes de Dispositivo > Configuración y dispositivo > Alta disponibilidad, la cancelación se aplica únicamente a los valores individuales y a los parámetros de los árboles de configuración y no se aplican a la configuración completa del árbol. Se incluyen elementos como servidores DNS, IP de gestión o configuración de servidor NTP. En el caso de elementos como interfaces y perfiles de servidor de RADIUS, las cancelaciones se aplican al árbol completo, no a valores internos. Para identificar ajustes que tienen plantillas aplicadas, verá los siguientes indicadores, tal y como se muestra en la Ilustración 21: Ilustración 21. Indicadores de plantilla El icono verde indica que se ha aplicado una plantilla y que no hay cancelaciones. El icono verde y naranja indica que se ha aplicado una plantilla y que se han cancelado algunos ajustes. 432 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas Eliminación de plantillas Para eliminar una plantilla, selecciónela y haga clic en Eliminar. La eliminación de una plantilla o cortafuegos de una plantilla no eliminará los valores que se han aplicado al cortafuegos gestionado. Cuando elimina un cortafuegos de una plantilla, dejan de aplicarse actualizaciones al cortafuegos gestionado. Para deshabilitar una plantilla en un cortafuegos local: En el cortafuegos gestionado, desplácese hasta la pestaña Dispositivo > Configuración > Gestión , edite la página Ajustes de Panorama y haga clic en el botón Deshabilitar plantilla de dispositivo y red. Logs e informes Panorama realiza dos funciones: configuración (de cortafuegos y del propio Panorama) y recopilación de logs. Para facilitar la adaptación a implementaciones de mayores dimensiones, puede utilizar el dispositivo M-100 para separar las funciones de gestión y recopilación de logs de Panorama. El dispositivo M-100 proporciona una completa solución de recopilación de logs para los cortafuegos de Palo Alto Networks. Esto ayuda a reducir el proceso de recopilación de logs con tráfico intenso de su servidor de gestión de Panorama y, una vez implementado, podrá configurar cada cortafuegos para enviar logs a un M-100 configurado como recopilador de logs. Si desea más información sobre la implementación de una arquitectura de recopilación de logs distribuida y la configuración y gestión de recopiladores de logs mediante el servidor Panorama, consulte la guía del administrador de Panorama. Los logs e informes de Panorama (ACC, Appscope, Informes en PDF y Visor de logs) proporcionan información sobre la actividad del usuario en la red gestionada. Para ver una actividad de usuario/red en Panorama no tendrá que configurar el reenvío explícito de logs. El reenvío de logs es necesario para el almacenamiento de logs a largo plazo y para generar informes de los logs guardados localmente en Panorama. Si el reenvío de logs está habilitado, los logs se almacenan en el búfer del cortafuegos de forma predeterminada y se envían a Panorama con un intervalo predefinido. La pestaña ACC de Panorama muestra de forma predeterminada información almacenada de forma local en Panorama. Sin embargo, puede cambiar el origen de datos de modo que Panorama acceda a la información desde los cortafuegos conectados; todas las tablas enviarán información dinámicamente y mostrarán una vista agregada del tráfico de la red. Puede generar y programar informes personalizados en Panorama. En el caso de los informes personalizados y predefinidos programados, se añaden estadísticas de informes cada 15 minutos, que se envían a Panorama cada hora. Gestión de recopiladores de logs Panorama > Recopiladores gestionados Utilice la página Recopiladores gestionados para configurar, gestionar y actualizar dispositivos recopiladores de logs. • Para añadir un recopilador de logs, consulte “Cómo añadir un recopilador de logs” • Para instalar una actualización de software, consulte “Instalación de una actualización de software en un recopilador” Cómo añadir un recopilador de logs Para añadir un recopilador de logs, haga clic en Añadir y complete los siguientes campos. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 433 Plantillas Tabla 230. Página Recopiladores gestionados Campo Descripción Pestaña General Nº serie recopiladores Introduzca el número de serie del dispositivo recopilador de logs. Nombre del recopilador Introduzca un nombre para identificar al recopilador de logs (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. Este nombre aparece como el nombre de host del recopilador de logs. Recopilación de logs del dispositivo Seleccione la interfaz que debe utilizarse para la recopilación de logs del cortafuegos. De forma predeterminada, la interfaz de gestión (MGT) realiza esta función. Para seleccionar Eth1 o Eth2, primero debe activar y configurar estas interfaces (Panorama > Configuración, Ajustes de la interfaz Eth1/Eth2). Comunicación del grupo del recolector Seleccione la interfaz que debe utilizarse para la comunicación entre recopiladores de logs. De forma predeterminada, la interfaz de gestión (MGT) realiza esta función. Para seleccionar Eth1 o Eth2, primero debe activar y configurar estas interfaces (Panorama > Configuración, Ajustes de la interfaz Eth1/Eth2). Certificado de Syslog seguro Seleccione un certificado para el reenvío seguro de syslogs en un servidor de syslog externo. IP del servidor de Panorama Especifique la dirección IP del servidor de Panorama que se utiliza para gestionar este recopilador. IP del servidor 2 de Panorama Especifique la dirección IP del dispositivo secundario si el servidor de gestión de Panorama está en modo de HA. Dominio Introduzca el nombre de dominio del recopilador de logs. Servidor DNS principal Introduzca la dirección IP del servidor DNS primario. El servidor se utiliza para consultas DNS del recopilador de logs, por ejemplo, para buscar el servidor de Panorama. Servidor de DNS secundario Introduzca la dirección IP o el servidor DNS secundario que deberá utilizarse si el servidor principal no está disponible (opcional). Servidor NTP principal Introduzca la dirección IP o el nombre de host del servidor NTP principal, si lo hubiera. Si no utiliza servidores NTP, puede establecer la hora del recopilador de logs manualmente. Servidor NTP secundario Introduzca la dirección IP o el nombre de host de los servidores NTP secundarios que deberán utilizarse si el servidor principal no está disponible (opcional). Zona horaria Seleccione la zona horaria del recopilador de logs. Latitud Introduzca la latitud (-90,0 a 90,0) del recopilador de logs que se utiliza en las asignaciones de tráfico y amenazas de Appscope. Longitud Introduzca la longitud (-90,0 a 180,0) del recopilador de logs que se utiliza en las asignaciones de tráfico y amenazas de Appscope. Pestaña Autenticación Usuarios Este campo siempre mostrará admin y se utiliza para el nombre de inicio de sesión en CLI local del recopilador de logs. 434 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas Tabla 230. Página Recopiladores gestionados Campo Descripción Modo Seleccione Contraseña para introducir y confirmar manualmente una contraseña que se utilizará para la autenticación o bien seleccione Hash de la contraseña para introducir un valor de hash. Para crear un hash de contraseña desde la CLI del servidor de gestión de Panorama, ejecute el siguiente comando: request password-hash password password123 Devolverá un valor de hash para la contraseña password123 (Por ejemplo, $1$urlishri$aLP2by.u2A1IQ/Njh5TFy9). Copie el valor del hash de la CLI y cópielo en el campo Hash degla contraseña. Cuando guarde los cambios, el nuevo hash se configurará en el recopilador de logs y la nueva contraseña de inicio de sesión del administrador local será password123. Intentos fallidos Introduzca el número de intentos de inicio de sesión fallidos (1-10) que se permiten para la interfaz web y la CLI antes de bloquear la cuenta. El valor predeterminado 0 significa que no hay ningún límite. Tiempo de bloqueo (min.) Especifique el número de minutos que se bloquea a un usuario (0-60 minutos) si se alcanza el número de intentos fallidos. El valor predeterminado 0 significa que no hay ningún límite en el número de intentos. Pestaña Gestión Esta pestaña solo se aplica al dispositivo M-100, no al dispositivo virtual Panorama. De forma predeterminada, el dispositivo M-100 utiliza el puerto de gestión (MGT) para configuración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo, si configura Eth1 o Eth2 para la recopilación de logs o comunicación de grupos del recopilador, se recomienda definir una subred distinta para la interfaz MGT que sea más privada que las subredes Eth1 o Eth2. Defina la subred del campo Máscara de red (para IPv4) o Dirección IPv6 (defina un prefijo). Nota: Para completar la configuración de la interfaz de gestión, debe especificar la dirección IP, la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una configuración parcial (por ejemplo, podría omitir la puerta de enlace predeterminada), solo puede acceder al dispositivo M-100 a través del puerto de la consola para futuros cambios de configuración. Recomendamos que compile una configuración completa. Velocidad y dúplex Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) y el modo de transmisión de interfaz dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Dirección IP Si la red utiliza IPv4, asigne una dirección IPv4 (de forma predeterminada, 192.168.1.1) al puerto de gestión del recopilador de logs. Máscara de red Si ha asignado una dirección IPv4 al puerto de gestión, introduzca una máscara de red (por ejemplo, 255.255.255.0). Puerta de enlace predeterminada Si ha asignado una dirección IPv4 al puerto de gestión, asigne una dirección IPv4 al enrutador predeterminado (debe estar en la misma subred que el puerto de gestión). Dirección IPv6 Si su red utiliza IPv6, asigne una dirección IPv6 al puerto de gestión del recopilador de logs. Para indicar la máscara de red, introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 al puerto de gestión, asigne una dirección IPv6 al enrutador predeterminado (debe estar en la misma subred que el puerto de gestión). Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 435 Plantillas Tabla 230. Página Recopiladores gestionados Campo Descripción MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500, opción predeterminada 1500). Servicios de interfaz de gestión Seleccione los servicios que quiere que se activen en la interfaz gestionada del dispositivo recopilador de logs: • SSH • Ping • SNMP (Protocolo de gestión de red simple) Direcciones IP permitidas Haga clic en Añadir para introducir la lista de direcciones IP desde las que se permite la gestión para esta interfaz. Pestaña Eth1 Esta pestaña solo se aplica al dispositivo M-100, no al dispositivo virtual Panorama. Esta pestaña solo está disponible si ha configurado Eth1 en los ajustes de gestión de Panorama (Panorama > Configuración > Gestión, Ajustes de la interfaz Eth1). Nota: No puede compilar la configuración de Eth1 a no ser que especifique la dirección IP, la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Eth1 Seleccione la casilla de verificación para habilitar esta interfaz. Velocidad y dúplex Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) y el modo de transmisión de interfaz dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Dirección IP Si la red utiliza IPv4, asigne una dirección IPv4 a Eth1. Máscara de red Si ha asignado una dirección IPv4 a Eth1, introduzca una máscara de red (por ejemplo, 255.255.255.0). Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a Eth1, asigne una dirección IPv4 al enrutador predeterminado (debe estar en la misma subred que Eth1). Dirección IPv6 Si la red utiliza IPv6, asigne una dirección IPv6 a Eth1. Para indicar la máscara de red, introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a Eth1, asigne una dirección IPv6 al enrutador predeterminado (debe estar en la misma subred que Eth1). MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500, opción predeterminada 1500). Ping Seleccione la casilla de verificación si desea activar el ping en la interfaz Eth1. Direcciones IP permitidas Haga clic en Añadir para introducir la lista de direcciones IP desde las que se permite la gestión para esta interfaz. Pestaña Eth2 Esta pestaña solo se aplica al dispositivo M-100, no al dispositivo virtual Panorama. Esta pestaña solo está disponible si ha configurado Eth2 en los ajustes de gestión de Panorama (Panorama > Configuración > Gestión, Ajustes de la interfaz Eth2). Nota: No puede compilar la configuración de Eth2 a no ser que especifique la dirección IP, la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Eth2 Seleccione la casilla de verificación para habilitar esta interfaz. 436 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas Tabla 230. Página Recopiladores gestionados Campo Descripción Velocidad y dúplex Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) y el modo de transmisión de interfaz dúplex completo (Completo), dúplex medio (Medio) o automático (Auto). Dirección IP Si la red utiliza IPv4, asigne una dirección IPv4 a Eth2. Máscara de red Si ha asignado una dirección IPv4 a Eth2, introduzca una máscara de red (por ejemplo, 255.255.255.0). Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a Eth2, asigne una dirección IPv4 al enrutador predeterminado (debe estar en la misma subred que Eth2). Dirección IPv6 Si la red utiliza IPv6, asigne una dirección IPv6 a Eth2. Para indicar la máscara de red, introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a Eth2, asigne una dirección IPv6 al enrutador predeterminado (debe estar en la misma subred que Eth2). MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500, opción predeterminada 1500). Ping Seleccione la casilla de verificación si desea activar el ping en la interfaz Eth2. Direcciones IP permitidas Haga clic en Añadir para introducir la lista de direcciones IP desde las que se permite la gestión para esta interfaz. Pestaña Discos Haga clic en Añadir para definir el par de discos de RAID 1 que utilizará el recopilador para almacenar los logs. Posteriormente puede añadir los pares de discos adicionales que necesite para ampliar la capacidad de almacenamiento. Por defecto, M-100 está equipado con el primer par de RAID 1 activado e instalado en las bahías A1/ A2. Para aumentar la capacidad de almacenamiento, puede añadir hasta tres pares de RAID 1 más en las bahías B1/B2, C1/C2 y D1/D2. En el software, el par RAID 1 de las bahías A1/A2 se denomina Par de discos <A|B|C|D>. Después de añadir recopiladores de logs, puede hacer clic en el enlace Estadísticas para que se abra la ventana Estadísticas del recopilador en cada recopilador, que muestra la información del disco, cifras de rendimiento de la CPU y velocidad media de logs (logs/segundo). Para entender mejor el intervalo de logs que está revisando, también puede ver información en el log más antiguo que ha recibido el recopilador. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 437 Plantillas Instalación de una actualización de software en un recopilador Para instalar una imagen de software en el recopilador (un dispositivo M-100 en el modo de recopilador de logs), haga clic en Instalar y cumplimente los siguientes detalles: . Tabla 231. Actualización de software en un recopilador de logs Campo Descripción Archivo Seleccione un archivo en la lista de archivos actualizados o descargados. Debe haber descargado una imagen mediante la pestaña Panorama > Implementación de dispositivo > Software o haber utilizado la opción Instalar desde archivo para cargar un archivo en Panorama. Dispositivos válidos Utilice los filtros para seleccionar los recopiladores en los que desea instalar la imagen. Cargar únicamente en el dispositivo (no instalar) Seleccione esta opción si desea cargar la imagen en el recopilador, pero no desea reiniciarlo ahora. No se instalará la última imagen de software hasta que no se reinicie. Reiniciar dispositivo tras instalar Seleccione esta opción si desea cargar e instalar la última imagen de software. Se activará el reinicio. Definición de grupos de recopiladores de logs Panorama > Grupos de recopiladores Los grupos de recopiladores se utilizan para asignar cortafuegos gestionados de Panorama a recopiladores de logs, que a su vez se utilizarán para evitarle al servidor de gestión de Panorama el trabajo de recopilación de logs que normalmente gestionaría. Después de establecer los recopiladores de logs y configurar los cortafuegos, PAN-OS envía los logs definidos para cada cortafuegos a los recopiladores de logs. En ese momento, Panorama consulta a los recopiladores de logs para obtener una visualización o investigación agregada. Para configurar grupos de recopiladores de logs, haga clic en Añadir y especifique la siguiente información:. Tabla 232. Configuración de Grupos de recopiladores Campo Descripción Pestaña General Nombre Introduzca un nombre para identificar este grupo de recopiladores. Este nombre se utilizará para agrupar los recopiladores de logs según su configuración y para actualizaciones de software (hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos. 438 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas Tabla 232. Configuración de Grupos de recopiladores (Continuación) Campo Descripción Almacenamiento de log Indica la cuota actual de almacenamiento de logs de un recopilador de logs o un grupo de ellos. Si hace clic en el texto de capacidad, se abrirá la ventana Configuración de almacenamiento de logs. Desde aquí puede distribuir el almacenamiento en diferentes funciones de logs, como Tráfico, Amenaza, Configuración, Sistema y Alarma. También puede hacer clic en Restablecer valores predeterminados para utilizar los ajustes de asignación de logs predefinidos. Mín. de período de retención (días) Especifique el período de retención en días que debe mantenerse en todos los recopiladores de logs del grupo antes de generar una alerta. Se generará una infracción de alerta en forma de log de sistema si la fecha actual menos el registro más antiguo es inferior al periodo mínimo definido de retención (intervalo de 1 a 2000 días). Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 439 Plantillas Tabla 232. Configuración de Grupos de recopiladores (Continuación) Campo Descripción Pestaña Supervisión SNMP La opción SNMP le permite recopilar información sobre los recopiladores de logs, incluida: estado de conexión, estadísticas sobre unidades de disco, versión de software, valores medios de CPU, media logs/ segundo y duración de almacenamiento por tipo de base de datos (p. ej. minutos, horas, días y semanas). La información de SNMP se basa en grupo por recopilador. Especifique los ajustes SNMP: • Ubicación: Especifique la ubicación del dispositivo recopilador de logs. • Contacto: Especifique un contacto de correo electrónico para este recopilador. • Acceder a ajuste: Especifique la versión de SNMP que se utilizará para comunicarse con el servidor de gestión de Panorama (V2c o V3). Si selecciona V3, debe especificar los siguientes ajustes: – Vistas: Haga clic en Añadir y configure los siguientes ajustes: › Ver: Especifique un nombre para una vista. › OID: Especifique el identificador de objeto (OID). › Opción: (incluir o excluir) Seleccione si el OID debe incluirse en la vista o excluirse de ella. › Máscara: Especifique un valor de máscara para un filtro del OID en formato hexadecimal (por ejemplo, 0xf0). – Usuarios: Haga clic en Añadir y configure los siguientes ajustes: › Usuarios: Especifique un nombre de usuario que se utilizará como autenticación entre el recopilador de logs y el servidor de gestión SNMP. › Ver: Especifique el grupo de vistas del usuario. › Authpwd: Especifique la contraseña de autenticación del usuario (8 caracteres como mínimo). Únicamente se admite el algoritmo de hash seguro (SHA). › Privpwd: Especifique la contraseña de cifrado del usuario (8 caracteres como mínimo). Únicamente se admite el estándar de cifrado avanzado (AES). • Comunidad SNMP: Especifique la cadena de comunidad SNMP que utilizará su entorno de gestión SNMP. SNMPv2c únicamente (la opción predefinida es pública). Pestaña Reenvío de logs del recopilador Miembros de grupo de recopiladores Haga clic en Añadir y, en la lista desplegable, seleccione el recopilador de logs que formará parte de este grupo. La lista desplegable mostrará todos los recopiladores disponibles en la página Panorama > Recopiladores gestionados. 440 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas Tabla 232. Configuración de Grupos de recopiladores (Continuación) Campo Descripción Dispositivos Haga clic en Añadir y, a continuación, haga clic en la lista desplegable Dispositivos y seleccione el cortafuegos gestionado que formará parte de este grupo recopilador. Haga clic en Añadir en la ventana Recopiladores y seleccione el recopilador que desea asignar a este cortafuegos para el reenvío de logs. Haga clic en ACEPTAR para guardar los cambios. Si observa la ventana Dispositivos, la columna Dispositivos muestra todos los cortafuegos y la columna Recopiladores el recopilador(s) asignado al cortafuegos. El primer recopilador que especifique será el recopilador de logs principal del cortafuegos. Si el recopilador principal falla, el cortafuegos enviará los logs al recopilador secundario. Si el secundario falla, se utilizará el recopilador terciario, y así sucesivamente. Note: Cuando añade el número de serie del cortafuegos al grupo de recopiladores, el cortafuegos comenzará a enviar todos los logs al grupo de recopiladores. Para que el cortafuegos deje de enviar logs al administrador de Panorama, elimine el cortafuegos del grupo de recopiladores. También será necesario cuando migre cortafuegos a una instalación diferente del administrador de Panorama. Pestaña Reenvío de logs del recopilador Sistema Configurar Coincidencias HIP Tráfico Amenaza WildFire En todos los cortafuegos que envían logs a este grupo de recopiladores, seleccione los logs y eventos que desea agregar según gravedad y envíelos a los traps SNMP configurados, servidores correo electrónico y Syslog. Si no ha configurado aún los perfiles de usuario para los destinos, consulte Panorama > Perfiles de servidor > Trap SNMP, Panorama > Perfiles de servidor > Correo electrónico y Panorama > Perfiles de servidor > Syslog Generación de informes de actividad de usuario Supervisar > Informes en PDF > Informe de actividad del usuario El informe de actividad de usuario de Panorama resume la actividad del usuario en todos los cortafuegos gestionados. Se basa en los datos del cortafuegos que se han enviado a Panorama. Consulte “Gestión de informes de actividad del usuario/grupo” para obtener información general sobre cómo crear informes de actividad de usuario. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 441 Plantillas Visualización de la información de implementación del cortafuegos Panorama > Implementación de dispositivo La pestaña Implementación del dispositivo le permite ver información sobre la implementación actual de los cortafuegos gestionados. También le permite gestionar las versiones de software y programar actualizaciones en los cortafuegos y recopiladores de logs gestionados. Tabla 233. Pestañas de Implementación de dispositivo de Panorama Campo Descripción Implementación de dispositivo > Software Muestra las versiones del software de cortafuegos disponibles para la instalación de los cortafuegos y los recopiladores de logs gestionados. Implementación de dispositivo > Cliente VPN SSL Muestra las versiones del software del cliente VPN SSL disponibles para la instalación de los cortafuegos gestionados. Implementación de dispositivo > Cliente de GlobalProtect Muestra las versiones del software cliente de GlobalProtect disponibles para la instalación de los cortafuegos gestionados. Muestra las definiciones de aplicaciones y amenazas disponibles para su uso en cortafuegos y los recopiladores de logs gestionados. Implementación de dispositivo > Actualizaciones dinámicas Palo Alto Networks publica periódicamente actualizaciones con definiciones de aplicaciones nuevas o revisadas, información sobre nuevas amenazas de seguridad, como firmas de antivirus, categorías de filtrado de URL, actualizaciones de datos de GlobalProtect y firmas de WildFire. Pare recibir las actualizaciones, se necesitan las suscripciones correspondientes. Para automatizar el proceso de descarga e instalación de actualizaciones dinámicas, consulte “Programación de actualizaciones dinámicas”. Implementación de dispositivo > Licencias Muestra el estado de cada cortafuegos gestionado y el de su licencia actual. Cada entrada indica si la licencia está activa (icono ) o inactiva (icono ), junto con la fecha de vencimiento de las licencias activas. Realice cualquiera de las siguientes funciones en esta página: • Haga clic en Actualizar para actualizar la lista. • Haga clic en Activar para activar una licencia. Seleccione los cortafuegos gestionados para su activación e introduzca el código de autenticación que Palo Alto Networks proporcionó para ellos. Realice cualquiera de las siguientes funciones en las pestañas Software, SSL VPN, GlobalProtect o Actualizaciones dinámicas. • Haga clic en Comprobar ahora para ver la información más reciente sobre las versiones de Palo Alto Networks. • Haga clic en Notas de versión para ver una descripción de los cambios en la versión. • Haga clic en Descargar para instalar una nueva versión desde el sitio web de descarga. Cuando la descarga haya finalizado, se mostrará una marca de verificación en la columna Descargado. Para instalar una versión descargada, haga clic en Instalar junto a la versión. 442 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas Durante la instalación, se le preguntará si desea reiniciar cuando finalice la instalación. Cuando se haya completado la instalación, su sesión se cerrará mientras se reinicia el cortafuegos. Si selecciona dicha opción, el cortafuegos se reiniciará. • Haga clic en Cargar para instalar o activar una versión que ha almacenado anteriormente en su equipo. Explore y seleccione el paquete de software y haga clic en Instalar desde archivo. Elija el archivo que acaba de seleccionar en la lista desplegable y haga clic en ACEPTAR para instalar la imagen. • Haga clic en el icono Eliminar para eliminar una versión obsoleta. Programación de actualizaciones dinámicas Panorama > Implementación de dispositivo > Actualizaciones dinámicas Haga clic en el enlace Programaciones para programar actualizaciones automáticas para los cortafuegos y recopiladores de logs gestionados. Especifique la frecuencia y la hora de las actualizaciones y si desea descargar e instalar la actualización o solo descargar las actualizaciones. Para crear una programación, haga clic en Añadir y especifique la siguiente información. Tabla 234. Programación de actualizaciones dinámicas Campo Descripción Nombre Introduzca un nombre para identificar el trabajo programado (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, guiones y guiones bajos. Deshabilitado Seleccione la casilla de verificación para desactivar el trabajo programado. Tipo Seleccione el tipo de actualización dinámica que desea programar (aplicación y amenaza, antivirus, WildFire, base de datos de URL). Acción Únicamente descargar: La actualización programada se ha descargado en los recopiladores de logs/cortafuegos seleccionados. Después, cuando lo desee, puede instalar la actualización descargada haciendo clic en el enlace Instalar en la columna Acción de la página Actualizaciones dinámicas. Descargar e instalar: La actualización programada se descarga e instala; comienza el reinicio en cada recopilador de logs/cortafuegos para completar la instalación. Periodicidad Seleccione el intervalo en el que Panorama comprueba el servidor de actualizaciones. Las opciones de periodicidad varían según el tipo de actualización. Fecha y hora Para realizar una actualización diaria, seleccione la hora en el reloj de 24 horas. Para realizar una actualización semanal, seleccione el día de la semana y la hora del reloj de 24 horas. Dispositivos válidos Palo Alto Networks Utilice los filtros para seleccionar los recopiladores de logs/ cortafuegos en los que desea programar las actualizaciones dinámicas. Gestión centralizada del dispositivo mediante Panorama • 443 Plantillas Programación de exportaciones de configuración Panorama > Exportación de configuración programada Panorama guarda una copia de seguridad de las configuraciones que se ejecutan de todos los cortafuegos gestionados, además de sus propias configuraciones. Utilice la página Exportación de configuración programada para recopilar las configuraciones ejecutadas de todos los cortafuegos gestionados, organícelas en un archivo gzip y programe el paquete para su envío diario a un servidor FTP o SCP (Secure Copy) para transferir los datos de forma segura a un host remoto. Los archivos tienen formato XML y los nombres de archivo se basan en los números de serie de los cortafuegos. Utilice esta página para configurar una programación para la recopilación y exportación de las configuraciones de los cortafuegos gestionados. Tabla 235. Programación de configuración de exportación de lotes Campo Descripción Nombre Introduzca un nombre para identificar el trabajo de configuración de exportación de lote (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, guiones y guiones bajos. Descripción Introduzca una descripción opcional. Habilitar Seleccione la casilla de verificación para activar el trabajo de exportación. Tipo de log Seleccione el tipo de log que desea exportar (tráfico, amenaza, URL, datos, coincidencia HIP). Hora de inicio de exportación programada (a diario) Especifique la hora del día a la que se iniciará la exportación (reloj de 24 horas, formato HH:MM). Protocolo Seleccione el protocolo que debe utilizarse para exportar logs desde el cortafuegos a un host remoto. Puede utilizar SCP para exportar logs de manera segura o puede utilizar FTP, que no es un protocolo seguro. Nombre de host Introduzca la dirección IP o el nombre de host del servidor FTP. Puerto Introduzca el número de puerto en el servidor de destino. Ruta Especifique la ruta a la carpeta o directorio del servidor FTP o SCP en el que se guardará la información exportada. Si el paquete de configuración se almacena en una carpeta llamada exported_config de máximo nivel en Panorama: La sintaxis para la ruta del servidor SCP es: /Panorama/exported_config La sintaxis para la ruta del servidor FTP es: //Panorama/exported_config Habilitar modo pasivo de FTP Seleccione la casilla de verificación para utilizar el modo pasivo de FTP. Nombre de usuario Especifique el nombre de usuario en el sistema de destino. 444 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas Tabla 235. Programación de configuración de exportación de lotes (Continuación) Campo Descripción Contraseña Especifique la contraseña de usuario en el sistema de destino. Confirmar contraseña Conexión de servidor SCP de prueba Haga clic en este botón para probar la comunicación entre el cortafuegos y el host/servidor SCP. Para activar la transferencia segura de los datos, debe verificar y aceptar la clave de host del servidor SCP. La conexión no se establece hasta que acepte la clave de host. Actualización del software de Panorama Panorama > Software Para actualizar a una nueva versión del software de Panorama, puede ver las versiones más recientes del software de Panorama disponibles en Palo Alto Networks, leer las notas de versión de cada versión y, a continuación, seleccionar la versión que desee descargar e instalar (se requiere una licencia de asistencia técnica). Si está actualizando la máquina virtual Panorama, consulte las notas de versión para conocer las recomendaciones sobre los requisitos mínimos del sistema y obtener instrucciones sobre cómo modificar la configuración de la máquina virtual después de una actualización a la versión 5.1 de Panorama-OS de 64 bits. Para actualizar el software de Panorama, haga clic en Actualizar para ver las versiones más recientes del software disponibles en Palo Alto Networks. Asegúrese de hacer clic en el enlace Notas de versión junto a la versión y revise el documento para conocer una descripción de los cambios de una versión, soluciones y problemas conocidos para conocer los problemas de compatibilidad y cualquier cambio en el comportamiento predeterminado. Panorama ejecuta periódicamente una comprobación de integridad del sistema de archivos (FSCK) para evitar daños en el sistema de archivos de Panorama. Esta comprobación se realiza cada 8 reinicios o tras un reinicio 90 días después de realizar la última comprobación de integridad del sistema. Si Panorama ejecuta una comprobación FSCK, verá una advertencia en la interfaz web y pantallas de inicio de sesión de SSH indicando que se está ejecutando una comprobación FSCK y no podrá iniciar sesión hasta que se complete. El tiempo necesario para completar el proceso depende del tamaño del sistema de almacenamiento; dependiendo del tamaño, puede tardar varias horas en poder iniciar sesión en Panorama. Para ver el progreso, configure el acceso de consola a Panorama. 1. Para instalar una nueva versión: a. Haga clic en Descargar junto a la versión que se instalará. Cuando la descarga haya finalizado, se mostrará una marca de verificación en la columna Descargado. b. Para instalar una versión descargada, haga clic en Instalar junto a la versión. Cuando se haya completado la instalación, su sesión se cerrará mientras se reinicia el sistema Panorama. 2. Para eliminar una versión obsoleta, haga clic en Palo Alto Networks junto a la versión. Gestión centralizada del dispositivo mediante Panorama • 445 Plantillas El servidor Panorama guarda hasta 5 versiones de software. Las versiones más antiguas se eliminan para dejar espacio libre para la descarga de nuevas versiones. Este proceso de eliminación ocurre de forma automática y no se puede controlar manualmente. Habilitación del reenvío de logs Panorama > Configuración de log Utilice esta página para habilitar el reenvío de logs desde Panorama. Panorama puede agregar logs y reenviarlos a los destinos configurados en forma de traps SNMP, mensajes de Syslog y notificaciones de correo electrónico. Si no ha configurado perfiles de servidor para definir dónde enviar los logs (destino para el trap SNMP, acceso al servidor de Syslog o de correo electrónico), consulte “Configuración de destinos de traps SNMP”; “Configuración de servidores Syslog”; “Configuración de ajustes de notificaciones por correo electrónico”. 446 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas La siguiente tabla describe los logs y las opciones de reenvío de logs. Tabla 236. Configuración de log Campo Descripción Sistema La gravedad indica la urgencia y el impacto del evento del sistema: En el dispositivo virtual de Panorama, utilizar para reenviar logs del sistema agregados desde cortafuegos gestionados y recopiladores gestionados, así como logs de Panorama locales. Crítico: Notifica un fallo e indica la necesidad de atención inmediata. Por ejemplo, fallos de hardware, lo que incluye la conmutación por error de HA y los fallos de enlaces. En el dispositivo M-100 en modo Panorama, utilice los logs de la instancia local de Panorama y los logs de los recopiladores gestionados para realizar reenvíos. Para reenviar logs del sistema desde los cortafuegos gestionados, utilice la pestaña secundaria Reenvío de logs de dispositivo en la pestaña Panorama > Grupos de recopiladores. Configurar En el dispositivo virtual de Panorama, utilizar para reenviar logs de configuración agregados desde cortafuegos gestionados y recopiladores gestionados, así como logs de Panorama locales. Alto: Indica un fallo o situación inminente que puede afectar a la eficacia operativa o seguridad del cortafuegos; por ejemplo, la interrupción de conexiones con cortafuegos externos, como servidores LDAP y RADIUS. Medio: Indica una situación que puede derivar en un problema más grave, como no completar las actualizaciones de paquetes antivirus. Bajo: Indica una situación que podría convertirse en un problema o que es probable que derive en un problema, como los cambios de contraseña de un usuario. Informativo: No requiere atención; proporciona información útil durante el funcionamiento normal del sistema. Cualquier cambio en la configuración y otros eventos no cubiertos por otros niveles de gravedad. Haga clic en el enlace para conocer la gravedad y seleccione las casillas de verificación de cada opción que le gustaría habilitar. Eliminar todo le permite restablecer las opciones con la configuración predeterminada. Seleccione las casillas de verificación de cada opción que le gustaría habilitar. Trap SNMP, Correo electrónico y Syslog. En el dispositivo M-100 en modo Panorama, utilice los logs de la instancia local de Panorama y los logs de los recopiladores gestionados para realizar reenvíos. Para reenviar logs de configuración desde los cortafuegos gestionados, utilice la pestaña secundaria Reenvío de logs de dispositivo en la pestaña Panorama > Grupos de recopiladores. Palo Alto Networks Gestión centralizada del dispositivo mediante Panorama • 447 Plantillas Tabla 236. Configuración de log (Continuación) Campo Descripción Coincidencias HIP El log Coincidencias HIP enumera las solicitudes de coincidencia de perfil de información de host (HIP) para GlobalProtect. Seleccione las casillas de verificación de cada opción que le gustaría habilitar: Trap SNMP, Correo electrónico y Syslog. (Solo en el dispositivo virtual Panorama.) En el dispositivo M-100 en modo Panorama, para reenviar logs de coincidencias HIP desde los cortafuegos gestionados, utilice la pestaña secundaria Reenvío de logs de dispositivo en la pestaña Panorama > Grupos de recopiladores. Tráfico (Solo en el dispositivo virtual Panorama.) Seleccione las casillas de verificación de cada opción que le gustaría habilitar: Trap SNMP, Correo electrónico y Syslog. En el dispositivo M-100 en modo Panorama, para reenviar logs de coincidencias HIP desde los cortafuegos gestionados, utilice la pestaña secundaria Reenvío de logs de dispositivo en la pestaña Panorama > Grupos de recopiladores. 448 • Gestión centralizada del dispositivo mediante Panorama Palo Alto Networks Plantillas Tabla 236. Configuración de log (Continuación) Campo Descripción Amenaza Haga clic en el enlace para conocer la gravedad y seleccione las casillas de verificación de aquellas opciones en las que le gustaría habilitar las notificaciones. (Solo en el dispositivo virtual Panorama.) En el dispositivo M-100 en modo Panorama, para reenviar logs de coincidencias HIP desde los cortafuegos gestionados, utilice la pestaña secundaria Reenvío de logs de dispositivo en la pestaña Panorama > Grupos de recopiladores. Descripción de gravedad Crítico: Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software am