Configuración del cortafuegos

Comentarios

Transcripción

Configuración del cortafuegos
Palo Alto Networks®
Guía de referencia de interfaz web
Versión 6.1
Información de contacto
Sede de la empresa:
Guía del administrador
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta guía
Esta guía describe el cortafuegos de última generación de Palo Alto Networks y las interfaces web de Panorama.
Proporciona información sobre cómo usar la interfaz web e información de referencia para rellenar campos de
la interfaz:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la última versión, vaya la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentación, diríjase a: [email protected]
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc.
Fecha de revisión: noviembre 14, 2014
2
noviembre 26, 2014 - Palo Alto Networks CONFIDENCIAL DE EMPRESA
Contenido
Capítulo 1
Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Descripción general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Características y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Interfaces de gestión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Capítulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Preparación del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Configuración del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Uso de la interfaz web del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Compilación de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Navegación a páginas de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de tablas en páginas de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Campos obligatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
20
20
20
21
21
Obtención de ayuda para la configuración del cortafuegos . . . . . . . . . . . 22
Cómo obtener más información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Capítulo 3
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración del sistema, configuración y gestión de licencias . . . . . . . . . . . . . .
Definición de la configuración de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de la configuración de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de módulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . .
SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de la configuración de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de la configuración de ID de contenido (content-id) . . . . . . . . . . . . . . .
Configuración de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de la configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tiempos de espera de sesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajustes de descifrado: Comprobación de revocación de certificado . . . . . . .
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy.
Palo Alto Networks
23
24
24
38
42
45
46
50
52
53
54
55
57
58
• 3
Comparación de archivos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Instalación de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Definición de orígenes de información de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Instalación de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Actualización de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 68
Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Definición de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Definición de perfiles de contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Requisitos de nombre de usuario y contraseña . . . . . . . . . . . . . . . . . . . . . . . . 74
Creación de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Especificación de dominios de acceso para administradores . . . . . . . . . . . . . . . . 77
Configuración de perfiles de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Creación de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 80
Cómo añadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Configuración de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . 81
Configuración de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuración de ajustes de Kerberos (autenticación nativa de Active Directory) . . 83
Configuración de una secuencia de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . 84
Programación de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Definición de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Definición de la configuración del log Configuración . . . . . . . . . . . . . . . . . . . . . . 87
Definición de la configuración del log Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Definición de la configuración de log Coincidencias HIP . . . . . . . . . . . . . . . . . . . 88
Definición de la configuración del log Alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Gestión de configuración de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuración de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuración de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Descripción de los campos personalizados de Syslog . . . . . . . . . . . . . . . . . . 95
Configuración de ajustes de notificaciones por correo electrónico . . . . . . . . . . . 103
Configuración de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Gestión de certificados de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Gestión de entidades de certificación de confianza predeterminadas . . . . 109
Creación un perfil de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Cómo añadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Cifrado de claves privadas y contraseñas del cortafuegos . . . . . . . . . . . . . . . . 112
Habilitación de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Definición de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Configuración de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 127
Definición de páginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 128
Visualización de información de asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . 130
Capítulo 4
Configuración de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131
Definición de cables virtuales (Virtual Wire) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz Ethernet. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una subinterfaz Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de interfaces de cable virtual (Virtual Wire) . . . . . . . . . . . .
Configuración de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . .
Configuración de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . .
131
132
132
141
148
149
150
151
4 •
Palo Alto Networks
Configuración de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . .
Configuración de los grupos de interfaces de agregación . . . . . . . . . . . . .
Configuración de una interfaz Ethernet de agregación. . . . . . . . . . . . . . . .
Configuración de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de loopback . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de túnel . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Perfiles de redistribución . . . . . . . . . . . . . . . .
Configuración de la pestaña RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servidor y retransmisión DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de gestión de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de supervisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de protección de zonas . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la protección contra inundaciones . . . . . . . . . . . . . . . . . .
Configuración de la protección de reconocimiento . . . . . . . . . . . . . . . . . . .
Configuración de la protección de ataque basada en paquetes . . . . . . . .
151
152
155
157
157
161
163
165
166
166
167
168
171
176
182
191
195
196
197
199
201
202
202
204
205
206
Capítulo 5
Políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211
Tipos de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directrices de definición de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificación de usuarios y aplicaciones para las políticas . . . . . . . . . . . .
Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinación de configuración de zona en NAT y política de seguridad. .
Opciones de regla NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de política NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de traducción de dirección de red . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de reenvío basado en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211
212
214
215
217
218
219
219
221
221
222
223
225
227
227
228
228
229
233
234
234
235
237
Palo Alto Networks
• 5
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino/aplicación/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL/servicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de application override . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Protocolo/Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Acción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opción/Protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Página de perfil de antivirus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de protección de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Otros objetos de las políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de objetos de direcciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones y grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabajo con etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Categorías de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de bloqueos dinámicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . . .
Definición de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6 •
237
238
239
239
240
241
241
242
243
243
244
245
245
246
246
247
247
248
248
248
249
249
250
251
252
252
253
254
255
255
256
256
259
263
269
274
276
278
279
280
282
284
288
291
291
292
293
294
295
296
297
298
298
Palo Alto Networks
Definición de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . . . 299
Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Capítulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
309
Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Centro de comando de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Visualización de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 329
Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Configuración del informe de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Gestión de informes de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Gestión de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 334
Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Programación de informes para entrega de correos electrónicos . . . . . . . 335
Visualización de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Capítulo 7
Configuración del cortafuegos para la identificación de usuarios . . . .
341
Configuración del cortafuegos para la identificación de usuarios . . . . . . . . . . . 341
Pestaña Asignación de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Pestaña Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Pestaña Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Pestaña Asignación de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Pestaña Configuración de portal cautivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Capítulo 8
Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
357
Definición de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Pestaña General de puerta de enlace de IKE. . . . . . . . . . . . . . . . . . . . . . . . 358
Pestaña Opciones de fase 1 avanzadas de puertas de enlace de IKE . . . . 358
Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Pestaña General del túnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Pestaña Identificador proxy de Túnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . 362
Visualización del estado del túnel de IPSec en el cortafuegos . . . . . . . . . . . 362
Palo Alto Networks
• 7
Definición de perfiles criptográficos de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Capítulo 9
Configuración de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
365
Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Pestaña Configuración de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Pestaña Configuración clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . 376
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Pestaña Configuración clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Configuración del acceso de la puerta de enlace a un gestor de
seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Creación de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Pestaña Dispositivo móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Pestaña Administración de parches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Pestaña Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Pestaña Antispyware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Pestaña Copia de seguridad de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Pestaña Cifrado de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Pestaña Prevención de pérdida de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Pestaña Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Configuración de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Configuración y activación del agente de GlobalProtect . . . . . . . . . . . . . . . . . . 396
Configuración del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Capítulo 10
Configuración de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . .
399
Configuración de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . 399
Definición de perfiles de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Definición de políticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Visualización de estadísticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Capítulo 11
Gestión centralizada del dispositivo mediante Panorama . . . . . . . . . . .
409
Pestaña Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . .
Configuración de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cómo añadir dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . .
411
414
414
415
418
421
8 •
Palo Alto Networks
Definición de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Objetos y políticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Aplicación de políticas a un dispositivo específico de un grupo
de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Definición de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 424
Creación de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . . 425
Especificación de dominios de acceso de Panorama para administradores . . . . 428
Compilación de los cambios en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 428
Plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Cancelación de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Eliminación de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Gestión de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Cómo añadir un recopilador de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Instalación de una actualización de software en un recopilador . . . . . . . . . 438
Definición de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Generación de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . . . . . . 441
Visualización de la información de implementación del cortafuegos . . . . . . . . . 442
Programación de actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Programación de exportaciones de configuración . . . . . . . . . . . . . . . . . . . . . . . 444
Actualización del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Habilitación del reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Registro del cortafuegos de la serie VM como servicio en el administrador NSX . 450
Actualización de información del administrador de servicios VMware . . . . . 452
Apéndice A
Páginas personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
453
Página de bloqueo de antivirus y antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Página de bloqueo de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Página de bloqueo de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Página de exclusión de descifrado de SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Página de confort del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Página de inicio de sesión de VPN SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Página de notificación de certificado SSL revocado . . . . . . . . . . . . . . . . . . . . . . 458
Página de bloqueo de coincidencia de categoría y filtro de URL . . . . . . . . . . . 458
Página de continuación y cancelación de filtrado de URL . . . . . . . . . . . . . . . . . . 459
Página de bloqueo de aplicación de búsqueda segura de filtro de URL . . . . . . 460
Apéndice B
Categorías, subcategorías, tecnologías y características de
la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
461
Categorías y subcategorías de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . 461
Tecnologías de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Características de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Palo Alto Networks
• 9
Apéndice C
Compatibilidad con los estándares federales de procesamiento de
la información/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
465
Activación del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Apéndice D
Licencias de código abierto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
467
Licencia artística . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pública general de GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pública general reducida de GNU . . . . . . . . . . . . . . . . . . . . . . . .
MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
468
469
470
475
482
482
486
487
488
Apéndice E
Acceso de los cortafuegos a recursos web externos . . . . . . . . . . . . . . . .
489
Base de datos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Base de datos de amenazas/antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Base de datos de filtrado de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . .
Base de datos de filtrado de URL de Brightcloud . . . . . . . . . . . . . . . . . . .
WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
490
490
490
490
490
Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
493
10 •
Palo Alto Networks
Capítulo 1
Introducción
Esta sección proporciona una descripción general del cortafuegos:
•
“Descripción general del cortafuegos”
•
“Características y ventajas”
•
“Interfaces de gestión”
Descripción general del cortafuegos
El cortafuegos de Palo Alto Networks le permite especificar políticas de seguridad basadas
en la identificación precisa de cada una de las aplicaciones que quieran acceder a su red.
A diferencia de los cortafuegos tradicionales que únicamente identifican las aplicaciones por
su protocolo y número de puerto, este cortafuegos utiliza la inspección de paquetes y una
biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y
puertos idénticos, así como para identificar aplicaciones potencialmente malintencionadas
que no utilicen puertos estándar.
Por ejemplo, puede definir políticas de seguridad para aplicaciones específicas, en lugar de
basarse en una única política para todas las conexiones al puerto 80. Puede especificar una
política de seguridad para cada aplicación identificada con el fin de bloquear o permitir el
tráfico basándose en las zonas y direcciones de origen y destino (IPv4 e IPv6). Asimismo, cada
política de seguridad puede especificar perfiles de seguridad como protección frente a virus,
spyware y otras amenazas.
Palo Alto Networks
Introducción • 11
Características y ventajas
Características y ventajas
El cortafuegos ofrece un control detallado del tráfico que tiene permiso para acceder a su red.
Las principales características y ventajas incluyen las siguientes:
•
Cumplimiento de políticas basadas en aplicaciones: El control de acceso según
aplicaciones es mucho más eficaz cuando la identificación de las aplicaciones no se basa
únicamente en el protocolo y el número de puerto. Se pueden bloquear las aplicaciones
de alto riesgo y los comportamientos de alto riesgo, como el intercambio de archivos.
El tráfico cifrado con el protocolo Secure Socket Layer (SSL) puede descifrarse e
inspeccionarse.
•
Identificación de usuarios (ID de usuarios): La identificación de usuarios (User-ID)
permite que los administradores configuren y apliquen políticas de cortafuegos basadas
en usuarios y grupos de usuarios, en lugar de zonas y direcciones de red, o además de
estas. El cortafuegos puede comunicarse con numerosos servidores de directorio, como
Microsoft Active Directory, eDirectory, SunOne, OpenLDAP y la mayoría de los otros
servidores de directorio basados en LDAP para la información de usuarios y grupos
proporcionada al cortafuegos. A continuación, esta información puede utilizarse para
ofrecer un inestimable método con el que permitir una habilitación de aplicaciones segura
que puede definirse por usuario o grupo. Por ejemplo, el administrador podría permitir
que una organización utilizara una aplicación basada en Internet y que ninguna otra
organización de la empresa pudiera utilizarla. También puede configurar un control
detallado de determinados componentes de una aplicación basándose en usuarios y
grupos. Consulte “Configuración del cortafuegos para la identificación de usuarios”.
•
Prevención de amenazas: Los servicios de prevención de amenazas que protegen la red
frente a virus, gusanos, spyware y otro tráfico malintencionado pueden variar según la
aplicación y el origen del tráfico (consulte “Perfiles de seguridad”).
•
Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios
web inadecuados (consulte “Perfiles de filtrado de URL”).
•
Visibilidad del tráfico: Los extensos informes, registros y mecanismos de notificación
ofrecen una visibilidad detallada del tráfico de aplicaciones y los eventos de seguridad
en la red. El centro de comando de aplicación (ACC) de la interfaz web identifica las
aplicaciones con mayor tráfico y el más alto riesgo de seguridad (consulte “Informes y
logs”).
•
Versatilidad de red y velocidad: El cortafuegos puede añadirse o sustituir a su
cortafuegos existente, y puede instalarse de manera transparente en cualquier red o
configurarse para permitir un entorno conmutado o enrutado. Las velocidades de varios
gigabits y la arquitectura de un único paso ofrecen todos los servicios sin apenas afectar a
la latencia de red.
•
GlobalProtect: GlobalProtect protege los sistemas cliente, como ordenadores portátiles,
que se utilizan a nivel de campo permitiendo iniciar sesión de manera fácil y segura
desde cualquier parte del mundo.
•
Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad ofrece una
tolerancia a fallos automática en el caso de cualquier interrupción en el hardware o el
software (consulte “Habilitación de HA en el cortafuegos”).
12 • Introducción
Palo Alto Networks
Interfaces de gestión
•
Elaboración de análisis e informes sobre software malintencionado: WildFire
proporciona análisis e informes detallados sobre el software malintencionado que
pasa por el cortafuegos.
•
Cortafuegos de la serie VM: Proporciona una instancia virtual de PAN-OS situada
para su uso en un entorno de centro de datos virtual y adaptada especialmente para
implementaciones en nubes privadas y públicas. Se instala en cualquier dispositivo
x86 que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar hardware
de Palo Alto Networks.
•
Gestión y Panorama: Cada cortafuegos se gestiona mediante una interfaz web intuitiva
o una interfaz de línea de comandos (CLI). Del mismo modo, todos los dispositivos
pueden gestionarse de manera centralizada mediante el sistema de gestión centralizado
de Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los
dispositivos.
Interfaces de gestión
El cortafuegos admite las siguientes interfaces de gestión. Consulte “Exploradores
compatibles” para obtener una lista de los exploradores compatibles.
•
Interfaz web: La configuración y la supervisión se realizan a través de HTTP o HTTPS
desde un explorador web.
•
CLI: La configuración y la supervisión basadas en texto se realizan a través de Telnet,
Secure Shell (SSH) o el puerto de la consola (consulte la Guía de referencia de la interfaz de
línea de comandos de PAN-OS).
•
Panorama: Es un producto de Palo Alto Networks que permite una gestión, una
elaboración de informes y un registro basados en Internet para varios cortafuegos.
La interfaz de Panorama es parecida a la interfaz web de los dispositivos e incluye
funciones de gestión adicionales. Consulte “Gestión centralizada del dispositivo
mediante Panorama” para obtener información sobre Panorama.
•
Protocolo de gestión de red simple (SNMP): Los productos de Palo Alto Networks
son compatibles con SNMPv2c y SNMPv3, acceso de solo lectura a través de SNMP y
compatibilidad con TRAPS. Consulte “Configuración de destinos de traps SNMP”.
•
Syslog: Permite la generación de mensajes para uno o más servidores Syslog remotos
(consulte “Configuración de servidores Syslog”).
•
API XML: Proporciona una interfaz basada en la transferencia de estado representacional
(REST) para acceder a la configuración de dispositivos, el estado de funcionamiento,
informes y capturas de paquetes desde el cortafuegos. Hay disponible un explorador
de API en el cortafuegos en https://cortafuegos/api, donde cortafuegos es el nombre de host
o la dirección IP del cortafuegos. Este enlace proporciona ayuda sobre los parámetros
necesarios para cada tipo de llamada de la API. Hay disponible una guía de uso de la API
XML en la comunidad en línea del centro de desarrollo en http://live.paloaltonetworks.com.
Palo Alto Networks
Introducción • 13
Interfaces de gestión
14 • Introducción
Palo Alto Networks
Capítulo 2
Primeros pasos
Este capítulo describe cómo configurar y comenzar a utilizar el cortafuegos:
•
“Preparación del cortafuegos”
•
“Configuración del cortafuegos”
•
“Uso de la interfaz web del cortafuegos”
•
“Obtención de ayuda para la configuración del cortafuegos”
Preparación del cortafuegos
Realice las siguientes tareas para preparar el cortafuegos para la configuración:
1.
Monte el cortafuegos en un rack y enciéndalo como se indica en la Guía de referencia
de hardware.
2.
Registre su cortafuegos en https://support.paloaltonetworks.com para obtener las últimas
actualizaciones de software y de identificación de aplicaciones (App-ID) así como activar
las suscripciones y asistencia con los códigos de autorización enviados a su cuenta de
correo electrónico.
3.
Obtenga una dirección IP de su administrador de redes para configurar el puerto de
gestión en el cortafuegos.
Configuración del cortafuegos
Para llevar a cabo la configuración inicial del cortafuegos:
1.
Conecte su equipo al puerto de gestión (MGT) en el cortafuegos utilizando un cable
Ethernet RJ-45.
2.
Encienda su equipo. Asigne una dirección IP estática a su equipo en la red 192.168.1.0
(por ejemplo, 192.168.1.5) con una máscara de red de 255.255.255.0.
3.
Inicie un explorador web compatible e introduzca https://192.168.1.1.
El explorador abre la página de inicio de sesión de Palo Alto Networks automáticamente.
Palo Alto Networks
Primeros pasos • 15
Configuración del cortafuegos
4.
Introduzca admin en los campos Nombre y Contraseña y haga clic en Inicio de sesión.
El sistema presenta una advertencia para cambiar la contraseña predeterminada.
Haga clic en ACEPTAR para continuar.
5.
En la pestaña Dispositivo, seleccione Configuración y configure lo siguiente (para
obtener instrucciones generales acerca de los ajustes de configuración en la interfaz web,
consulte “Uso de la interfaz web del cortafuegos”):
– En la pestaña Administración en Configuración de interfaz de gestión, introduzca la
dirección IP, la máscara de red y la puerta de enlace predeterminada del cortafuegos.
– En la pestaña Servicios, introduzca la dirección IP del servidor DNS (Domain Name
System). Introduzca la dirección IP o el nombre de dominio o de host del servidor de
protocolo de tiempo de red (NTP) y seleccione su zona horaria.
– Haga clic en Asistencia en el menú lateral.
Si se trata del primer cortafuegos de Palo Alto Networks para su empresa, haga clic en
Registrar dispositivo para registrar el cortafuegos. (Si ya ha registrado un cortafuegos,
ha recibido un nombre de usuario y contraseña.)
Haga clic en el enlace Activar soporte mediante código de autorización e introduzca
los códigos de autorización recibidos para cualquier función adicional. Utilice un
espacio para separar varios códigos de autorización.
6.
Haga clic en Administradores bajo la pestaña Dispositivos.
7.
Haga clic en admin.
8.
En los campos Nueva contraseña y Confirmar nueva contraseña, introduzca y confirme
una contraseña que distingue entre mayúsculas y minúsculas (hasta 15 caracteres).
9.
Haga clic en ACEPTAR para enviar la nueva contraseña.
10. Compile la configuración para activar estos ajustes. Una vez compile los cambios, el
cortafuegos será alcanzable a través de la dirección IP asignada en Paso 5. Para obtener
información acerca de la compilación de cambios, consulte “Compilación de cambios”.
La configuración predeterminada de fábrica del cortafuegos o después de realizar
un restablecimiento de fábrica es un cable virtual (Virtual Wire) entre los puertos
Ethernet 1 y 2 con una política predeterminada para denegar todo el tráfico
entrante y seguir todo el tráfico saliente.
16 • Primeros pasos
Palo Alto Networks
Uso de la interfaz web del cortafuegos
Uso de la interfaz web del cortafuegos
Se aplican las siguientes convenciones cuando utilice la interfaz del cortafuegos.
•
Para mostrar los elementos del menú para una categoría de funciones general, haga clic
en la pestaña, como Objetos o Dispositivo, junto a la parte superior de la ventana del
explorador.
•
Haga clic en un elemento en el menú lateral para mostrar un panel.
•
Para mostrar los elementos del menú secundario, haga clic en el icono
a la izquierda
de un elemento. Para ocultar elementos del menú secundario, haga clic en el icono
la izquierda del elemento.
a
•
En la mayoría de las páginas de configuración, puede hacer clic en Añadir para crear un
nuevo elemento.
•
Para eliminar uno o más elementos, seleccione sus casillas de verificación y haga clic en
Eliminar. En la mayoría de los casos, el sistema Ie solicita confirmar haciendo clic en
ACEPTAR o cancelar la eliminación haciendo clic en Cancelar.
•
En algunas páginas de configuración, puede seleccionar la casilla de verificación de
un elemento y hacer clic en Duplicar para crear un nuevo elemento con la misma
información que el elemento seleccionado.
Palo Alto Networks
Primeros pasos • 17
Uso de la interfaz web del cortafuegos
•
Para modificar un elemento, haga clic en su enlace subrayado.
•
Para visualizar información de ayuda en una página, haga clic en el icono Ayuda en el
área superior derecha de la página.
•
Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior
derecha de la página. La ventana Gestor de tareas se abre para mostrar la lista de tareas,
junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la lista
desplegable Mostrar para filtrar la lista de tareas.
•
Si no se define una preferencia de idioma, el idioma de la interfaz web estará controlado
por el idioma actual del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que
utiliza para gestionar el cortafuegos tiene como idioma establecido el español, cuando
inicia sesión en el cortafuegos, la interfaz web estará en español.
Para especificar un idioma que se utilizará siempre para una cuenta dada en lugar del
idioma del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la
página y se abrirá la ventana Preferencia de idioma. Haga clic en la lista desplegable
para seleccionar el idioma que desee y haga clic en ACEPTAR para guardar los cambios.
18 • Primeros pasos
Palo Alto Networks
Uso de la interfaz web del cortafuegos
•
En páginas donde aparecen informaciones que puede modificar (por ejemplo, la página
Configuración en la pestaña Dispositivos), haga clic en el icono en la esquina superior
derecha de una sección para editar los ajustes.
•
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para
almacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuración
actual de “candidato”.
Compilación de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de
diálogo compilar.
Las siguientes opciones están disponibles en el cuadro de diálogo compilar. Haga clic en
el enlace Avanzado, si es necesario, para mostrar las opciones:
– Incluir configuración de dispositivo y red: Incluir los cambios de configuración de
dispositivo y red en la operación de compilación.
– Incluir configuración de objeto compartido: (solo cortafuegos de sistemas virtuales)
Incluir los cambios de configuración de objetos compartidos en la operación de
compilación.
– Incluir políticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios
de configuración de objetos y políticas en la operación de compilación.
Palo Alto Networks
Primeros pasos • 19
Uso de la interfaz web del cortafuegos
– Incluir configuración del sistema virtual: Incluir todos los sistemas virtuales o elegir
Seleccionar uno o más sistemas virtuales.
Para obtener más información acerca de la compilación de cambios, consulte
“Definición de la configuración de operaciones”.
– Vista previa de cambios: Haga clic en este botón para devolver una ventana con dos
paneles que muestra los cambios propuestos en la configuración del candidato en
comparación con la configuración actualmente en ejecución. Puede seleccionar el
número de líneas de contexto para mostrar o mostrar todas las líneas. Los cambios
están indicados con colores dependiendo de los elementos que se han agregado,
modificado o eliminado.
La función Dispositivo > Auditoría de configuraciones realiza la misma función,
consulte “Comparación de archivos de configuración”.
Navegación a páginas de configuración
Cada sección de configuración en la guía muestra la ruta del menú a la página de
configuración. Por ejemplo, para llegar a la página Protección de vulnerabilidades,
seleccione la pestaña Objetos y luego seleccione Protección de vulnerabilidades en
Perfiles de seguridad del menú lateral. Eso está indicado en esta guía con la siguiente ruta:
Objetos > Perfiles de seguridad > Protección de vulnerabilidades
Uso de tablas en páginas de configuración
Las tablas en las páginas de configuración incluyen opciones para escoger columnas y orden.
Haga clic en el encabezado de una columna para ordenar en esa columna y haga clic de nuevo
para cambiar el orden. Haga clic en la flecha a la derecha de cualquier columna y seleccione
casillas de verificación para elegir qué columnas mostrar.
Campos obligatorios
Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratón o
hace clic en el área de entrada del campo, aparece un mensaje indicando que el campo es
obligatorio.
20 • Primeros pasos
Palo Alto Networks
Uso de la interfaz web del cortafuegos
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un
administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios
de configuración o compilación de información por otro administrador hasta que se elimine
el bloqueo. Se permiten los siguientes tipos de bloqueo:
•
Bloqueo de configuración: Bloquea la realización de cambios en la configuración por
otros administradores. Se puede establecer este tipo de bloqueo de forma general o para
un sistema virtual. Solo puede eliminarse por el administrador que lo configuró o por un
superusuario del sistema.
•
Bloqueo de compilación: Bloquea los cambios de compilación por parte de otros
administradores hasta que se liberen todos los bloqueos. Este tipo de bloqueo evita
enfrentamientos que se pueden producir cuando dos administradores están realizando
cambios a la vez y el primer administrador finaliza y compila cambios antes de que
finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios
actuales por el administrador que aplicó el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones
actuales que están bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transacción, haga clic en el icono desbloqueado
en la barra superior
para abrir el cuadro de diálogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el ámbito
del bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales
como sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de diálogo Bloqueo.
La transacción está bloqueada y el icono en la barra superior cambia por un icono bloqueado
que muestra el número de elementos bloqueados en las paréntesis.
Para desbloquear una transacción, haga clic en el icono bloqueado
en la barra superior
para abrir la ventana Bloqueos. Haga clic en el icono del bloqueo
que desea eliminar y
haga clic en Sí para confirmar. Haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo.
Puede organizar la adquisición de un bloqueo de compilación de forma automática
seleccionando la casilla de verificación Adquirir bloqueo de compilación automáticamente
en el área de administración de la página Configuración de dispositivo. Consulte
“Configuración del sistema, configuración y gestión de licencias”.
Palo Alto Networks
Primeros pasos • 21
Obtención de ayuda para la configuración del cortafuegos
Exploradores compatibles
Los siguientes exploradores web son compatibles para acceder a la interfaz web del
cortafuegos:
•
Internet Explorer 7+
•
Firefox 3.6+
•
Safari 5+
•
Chrome 11+
Obtención de ayuda para la configuración del
cortafuegos
Utilice la información que aparece en esta sección para obtener ayuda acerca del uso
del cortafuegos.
Cómo obtener más información
Para obtener más información acerca del cortafuegos, consulte:
•
Información general: Visite http://www.paloaltonetworks.com.
•
Documentación: Para obtener información sobre funciones adicionales e
instrucciones sobre cómo configurar las funciones en el cortafuegos, consulte
https://www.paloaltonetworks.com/documentation.
•
Ayuda en línea: Haga clic en Ayuda en la esquina superior derecha de la interfaz
web para acceder al sistema de ayuda en línea.
•
Base de conocimientos: Para acceder a la base de conocimientos, área de
colaboración para la interacción cliente/socio, foros foros de debate y vídeos,
vaya a https://live.paloaltonetworks.com.
Asistencia técnica
Para obtener asistencia técnica, información sobre los programas de asistencia técnica o
gestionar la cuenta o los dispositivos, vaya a https://support.paloaltonetworks.com.
22 • Primeros pasos
Palo Alto Networks
Capítulo 3
Gestión de dispositivos
Utilice las siguientes secciones para obtener referencia de campo sobre la configuración de
sistema básica y tareas de mantenimiento en el cortafuegos:
•
“Configuración del sistema, configuración y gestión de licencias”
•
“Definición de orígenes de información de VM”
•
“Instalación de software”
•
“Actualización de definiciones de aplicaciones y amenazas”
•
“Funciones, perfiles y cuentas de administrador”
•
“Configuración de perfiles de autenticación”
•
“Configuración de una secuencia de autenticación”
•
“Creación un perfil de certificados”
•
“Programación de exportaciones de logs”
•
“Definición de destinos de logs”
•
“Definición de la configuración del log Alarma”
•
“Configuración de ajustes de flujo de red”
•
“Uso de certificados”
•
“Cifrado de claves privadas y contraseñas del cortafuegos”
•
“Habilitación de HA en el cortafuegos”
•
“Definición de sistemas virtuales”
•
“Definición de páginas de respuesta personalizadas”
•
“Visualización de información de asistencia técnica”
Palo Alto Networks
Gestión de dispositivos • 23
Configuración del sistema, configuración y gestión de licencias
En las siguientes secciones se describe cómo definir la configuración de red para el acceso de
gestión (el cual define las rutas de servicio y los servicios), y cómo gestionar las opciones de
configuración (como los tiempos de espera de sesión globales, identificación de contenido,
análisis e informes de software malintencionado de WildFire):
•
“Definición de la configuración de gestión”
•
“Definición de la configuración de operaciones”
•
“Definición de módulos de seguridad de hardware”
•
“SNMP”
•
“Definición de la configuración de servicios”
•
“Definición de la configuración de ID de contenido (content-id)”
•
“Configuración de ajustes de WildFire”
•
“Definición de la configuración de sesión”
•
“Comparación de archivos de configuración”
•
“Instalación de una licencia”
Definición de la configuración de gestión
Dispositivo > Configuración > Gestión
Panorama > Configuración > Gestión
En un cortafuegos, utilice la pestaña Dispositivo > Configuración > Gestión para configurar
la configuración de gestión.
En Panorama, utilice la pestaña Dispositivo > Configuración > Gestión para configurar los
cortafuegos usando plantillas de Panorama. Utilice la pestaña Panorama > Configuración >
Gestión para configurar los ajustes de Panorama.
Para la gestión de cortafuegos, de forma optativa también puede utilizar la
dirección IP de una interfaz de loopback para el puerto de gestión
(consulte “Configuración de una interfaz de loopback”).
24 • Gestión de dispositivos
Palo Alto Networks
Tabla 1. Configuración de gestión
Elemento
Descripción
Configuración general
Nombre de host
Introduzca un nombre de host (de hasta 31 caracteres). El nombre
hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.
Utilice únicamente letras, números, espacios, guiones y guiones bajos.
Dominio
Introduzca el nombre de dominio completo (FQDN) del cortafuegos
(de hasta 31 caracteres).
Titular de inicio de sesión
Introduzca el texto personalizado que aparecerá en la página de inicio
de sesión del cortafuegos. El texto se muestra debajo de los campos
Nombre y Contraseña.
Zona horaria
Seleccione la zona horaria del cortafuegos.
Configuración regional
Seleccione un idioma para los informes en PDF de la lista desplegable.
Consulte “Gestión de informes de resumen en PDF”.
Aunque haya establecido una preferencia de idioma específica para
la interfaz web, los informes en PDF seguirán utilizando el idioma
especificado en este ajuste de configuración regional. Consulte las
preferencias de idioma en “Uso de la interfaz web del cortafuegos”.
Fecha y hora
Número de serie (solo
máquinas virtuales)
Para establecer la fecha y la hora del cortafuegos, haga clic en Establecer
fecha y hora. Introduzca la fecha actual en (AAAA/MM/DD) o haga
clic en el icono de calendario
para seleccionar un mes y un día.
Introduzca la hora actual con el formato de 24 horas (HH:MM:SS).
También puede definir un servidor NTP desde Dispositivo >
Configuración > Servicios.
Introduzca el número de serie del cortafuegos/Panorama. Busque el
número de serie en el correo electrónico de ejecución de pedido que se le
ha enviado.
Ubicación geográfica
Introduzca la latitud (de -90,0 a 90,0) y la longitud (de -180,0 a 180,0)
del cortafuegos.
Adquirir bloqueo
de compilación
automáticamente
Aplique automáticamente un bloqueo de compilación cuando cambie
la configuración candidata. Para obtener más información, consulte
“Bloqueo de transacciones”.
Comprobación del
vencimiento del
certificado
Indique al cortafuegos que deberá crear mensajes de advertencia cuando
se acerque la fecha de vencimiento de los certificados integrados.
Capacidad de cortafuegos
virtuales
Activa el uso de varios sistemas virtuales (si el modelo de cortafuegos
admite esa función). Para obtener más información, consulte “Definición
de sistemas virtuales”.
Configuración de autenticación
Perfil de autenticación
Seleccione el perfil de autenticación que debe utilizar el administrador
para acceder al cortafuegos. Para obtener instrucciones sobre cómo
configurar perfiles de autenticación, consulte “Configuración de perfiles
de autenticación”.
Perfil del certificado
Seleccione el perfil del certificado que debe utilizar el administrador
para acceder al cortafuegos. Para obtener instrucciones sobre cómo
configurar perfiles de autenticación, consulte “Creación un perfil de
certificados”.
Palo Alto Networks
Gestión de dispositivos • 25
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Tiempo de espera de
inactividad
Introduzca el intervalo de tiempo de espera en minutos (0-1440). Si el
valor es 0, la sesión de gestión, web o de CLI no presenta ningún tiempo
de espera.
N.º de intentos fallidos
Introduzca el número de intentos de inicio de sesión fallidos (0-10,
predeterminado 0) que PAN-OS permite para la interfaz web y la CLI
antes de bloquear la cuenta. Un valor de 0 significa que el número de
intentos es ilimitado.
Tiempo de bloqueo
Introduzca el número de minutos (0-60) que PAN-OS bloquea a un
usuario si se alcanza el límite de N.º de intentos fallidos. El valor
predeterminado de 0 significa que el número de intentos es ilimitado.
Ajustes de Panorama: Dispositivo > Configuración > Gestión
Si usa Panorama para gestionar el cortafuegos, configure los siguientes ajustes en el cortafuegos o en
una plantilla de Panorama. Estos ajustes establecen una conexión entre el cortafuegos y Panorama y
determinan los tiempos de espera de la conexión. Si edita la configuración en un cortafuegos (no en
una plantilla en Panorama), también puede activar o desactivar la propagación de políticas, objetos,
grupos de dispositivos e información de plantilla desde Panorama al cortafuegos.
Nota: También debe configurar los tiempos de espera y los ajustes de uso compartido del objeto en Panorama:
consulte “Ajustes de Panorama: Panorama > Configuración > Gestión”.
Servidores de Panorama
Introduzca la dirección IP del servidor de Panorama. Si Panorama tiene
una configuración de alta disponibilidad (HA), introduzca la dirección
IP del servidor secundario de Panorama en el segundo campo
Servidores de Panorama.
Tiempo de espera de
recepción para conexión
a Panorama
Introduzca el tiempo de espera para recibir mensajes de TCP de
Panorama (1-240 segundos; valor predeterminado: 240).
Tiempo de espera de
envío para conexión a
Panorama
Introduzca el tiempo de espera para enviar mensajes de TCP a
Panorama (1-240 segundos; valor predeterminado: 240).
Reintentar recuento de
envíos SSL a Panorama
Introduzca el número de reintentos para enviar mensajes de capa de
sockets seguros (SSL) a Panorama (1-64; valor predeterminado: 25).
26 • Gestión de dispositivos
Palo Alto Networks
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Deshabilitar/Habilitar
objetos y política de
Panorama
Este botón aparece cuando edita los Ajustes de Panorama en
un cortafuegos (no en una plantilla en Panorama). De forma
predeterminada, Panorama propaga las políticas y objetos que se
definen para un grupo de dispositivos a los cortafuegos asignados a
ese grupo. Si hace clic en Desactivar política y objetos de Panorama,
se desactiva esa propagación. De forma predeterminada, esta operación
también elimina estas políticas y objetos del cortafuegos.
Para conservar una copia local de las políticas y objetos del grupo de
dispositivos del cortafuegos antes de desactivar la propagación, en el
cuadro de diálogo que abre el botón, seleccione la casilla de verificación
Importar política y objetos de Panorama antes de desactivar. En ese
momento, cuando hace clic en Aceptar, PAN-OS copia las políticas y
objetos en la configuración candidata actual. Después de realizar
una compilación, las políticas y objetos pasan a formar parte de la
configuración del cortafuegos: Panorama deja de gestionarlos.
En condiciones normales de funcionamiento, desactivar la gestión de
Panorama es innecesario y podría complicar el mantenimiento y la
configuración del cortafuegos. Esta opción suele aplicarse a situaciones
en las que el cortafuegos necesita reglas y valores de objeto distintos a
los definidos en el grupo de dispositivos. Un ejemplo de situación es
cuando saca un cortafuegos de la producción y lo introduce en un
entorno de laboratorio para realizar pruebas.
Para invertir la política de cortafuegos y la gestión de objetos en
Panorama, haga clic en Habilitar objetos y política de Panorama.
Deshabilitar/habilitar
plantilla de dispositivo
y red
Este botón aparece cuando edita los Ajustes de Panorama en un
cortafuegos (no en una plantilla en Panorama). De forma predeterminada,
Panorama propaga las configuraciones de dispositivo y red definidas
para una plantilla a los cortafuegos asignados a esa plantilla. Si hace
clic en Deshabilitar plantilla de dispositivo y red, desactivará la
propagación. De forma predeterminada, esta operación también elimina
la información de plantilla del cortafuegos.
Para conservar una copia local de la información de plantilla del
cortafuegos antes de desactivar la propagación, en el cuadro de diálogo
que se abre al hacer clic en el botón, seleccione la casilla de verificación
Importar plantillas de dispositivos y red antes de deshabilitarlas.
En ese momento, cuando hace clic en Aceptar, PAN-OS copia la
información definida en la plantilla en la configuración candidata
actualgdel cortafuegos. Después de realizar una compilación, la
información de la plantilla pasa a formar parte de la configuración
del cortafuegos: Panorama deja de gestionar esa información.
En condiciones normales de funcionamiento, desactivar la gestión de
Panorama es innecesario y podría complicar el mantenimiento y la
configuración del cortafuegos. Esta opción suele aplicarse a situaciones
en las que el cortafuegos necesita reglas y valores de objeto distintos a
los definidos en el grupo de dispositivos. Un ejemplo de situación es
cuando saca un cortafuegos de la producción y lo introduce en un
entorno de laboratorio para realizar pruebas.
Para que el cortafuegos deje de aceptar plantillas, haga clic en Habilitar
plantilla de dispositivo y red.
Palo Alto Networks
Gestión de dispositivos • 27
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Ajustes de Panorama: Panorama > Configuración > Gestión
Si usa Panorama para gestionar los cortafuegos, configure los siguientes ajustes en Panorama. Estos
ajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones entre
Panorama y los cortafuegos gestionados, así como los parámetros de uso compartido de los objetos.
Nota: También debe configurar los ajustes de conexión de Panorama en el cortafuegos o en una plantilla en
Panorama: consulte “Ajustes de Panorama: Dispositivo > Configuración > Gestión”.
Tiempo de espera de
recepción para conexión
a dispositivo
Introduzca el tiempo de espera para recibir mensajes de TCP de todos
los cortafuegos gestionados (1-240 segundos; valor predeterminado: 240).
Enviar tiempo de espera
de conexión a dispositivo
Introduzca el tiempo de espera para enviar mensajes de TCP a todos los
cortafuegos gestionados (1-240 segundos; valor predeterminado: 240).
Reintentar recuento de
envío SSL a dispositivo
Introduzca el número de reintentos para enviar mensajes de capa de
sockets seguros (SSL) a los cortafuegos gestionados (1-64; valor
predeterminado: 25).
Compartir dirección sin
utilizar y objetos de
servicio con dispositivos
Seleccione esta casilla de verificación para compartir todos los objetos
compartidos de Panorama y los objetos específicos de grupos de
dispositivos con cortafuegos gestionados. Este ajuste está deshabilitado
de manera predeterminada.
Si desactiva la casilla de verificación, PAN-OS busca en las políticas de
Panorama referencias a direcciones, grupos de direcciones, servicios y
objetos de grupo de servicio y no comparte ningún objeto sin referencia.
Esta opción reduce el recuento total de objetos asegurándose de que
PAN-OS solo envía los objetos necesarios a cortafuegos gestionados.
Los objetos compartidos
tienen prioridad
Seleccione la casilla de verificación para especificar que los objetos
compartidos preceden a los objetos de grupos de dispositivos. En este
caso, los objetos de grupos de dispositivos no pueden cancelar los
objetos correspondientes con el mismo nombre de una ubicación
compartida; PAN-OS descarta cualquier objeto de un grupo de
dispositivos con el mismo nombre que un objeto compartido.
De forma predeterminada, se desactiva este ajuste del sistema:
los grupos de dispositivos cancelan los objetos correspondientes
que tengan el mismo nombre.
28 • Gestión de dispositivos
Palo Alto Networks
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Configuración de interfaz de gestión
Esta interfaz se aplica al cortafuegos, dispositivo M-100 de Panorama o dispositivo virtual de
Panorama.
De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestión (MGT) para
configuración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo,
si configura Eth1 o Eth2 para la recopilación de logs o comunicación de grupos del recopilador,
se recomienda definir una subred distinta para la interfaz MGT que sea más privada que las subredes
Eth1 o Eth2. Defina la subred de la Máscara de red (para IPv4) o el campo Dirección IPv6/longitud de
prefijo (para IPv6). El dispositivo virtual de Panorama no admite interfaces separadas.
Nota: Para completar la configuración de la interfaz de gestión, debe especificar la dirección IP, la máscara de
red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una
configuración parcial (por ejemplo, podría omitir la puerta de enlace predeterminada), solo puede acceder al
dispositivo a través del puerto de la consola para futuros cambios de configuración. Recomendamos que compile
una configuración completa.
Dirección IP (IPv4)
Si la red utiliza IPv4, asigne una dirección IPv4 al puerto de gestión.
De forma alternativa, puede asignar la dirección IP de una interfaz de
loopback para la gestión de dispositivos.
De manera predeterminada, esta es la dirección de origen para el
reenvío de logs.
Máscara de red (IPv4)
Si ha asignado una dirección IPv4 al puerto de gestión, introduzca una
máscara de red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una dirección IPv4 al puerto de gestión, asigne una
dirección IPv4 al enrutador predeterminado (debe estar en la misma
subred que el puerto de gestión).
Dirección IPv6/longitud
de prefijo
Si la red utiliza IPv6, asigne una dirección IPv6 al puerto de gestión.
Para indicar la máscara de red, introduzca una longitud de prefijo para
IPv6 (por ejemplo 2001:400:f00::1/64).
Puerta de enlace IPv6
predeterminada
Si ha asignado una dirección IPv6 al puerto de gestión, asigne una
dirección IPv6 al enrutador predeterminado (debe estar en la misma
subred que el puerto de gestión).
Velocidad
Configure una tasa de datos y una opción de dúplex para la interfaz
de gestión. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con
dúplex completo o medio. Utilice el ajuste de negociación automática
predeterminado para que el dispositivo (Panorama o el cortafuegos)
determine la velocidad de interfaz.
Este ajuste debe coincidir con la configuración de los puertos del equipo
de red vecino.
MTU
Introduzca la unidad máxima de transmisión (MTU) en bytes para
los paquetes enviados en esta interfaz (intervalo 576-1500, opción
predeterminada 1500).
Servicios
Seleccione los servicios que quiere que se habiliten en la dirección de
interfaz de gestión especificada: HTTP, OCSP de HTTP, HTTPS, Telnet,
SSH (Secure Shell), Ping, SNMP, ID de usuario (User-ID), SSL de
escucha de Syslog de ID de usuario, UDP de escucha de Syslog de ID
de usuario.
Palo Alto Networks
Gestión de dispositivos • 29
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Direcciones IP permitidas
Introduzca la lista de direcciones IP desde las que se permite la gestión
de cortafuegos. Cuando utilice esta opción para el dispositivo M-100 de
Panorama, agregue la dirección IP de cada cortafuegos gestionado o,
de lo contrario, el cortafuegos no podrá conectar ni reenviar logs a
Panorama, ni recibir actualizaciones de configuración.
Ajustes de la interfaz Eth1
Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panorama
ni el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestión para
configuración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo,
si habilita Eth1, puede configurarlo para la recopilación de logs o comunicación de grupos de
recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados).
Nota: No puede compilar la configuración de Eth1 a no ser que especifique la dirección IP, la máscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth1
Seleccione esta casilla de verificación para activar la interfaz Eth1.
Dirección IP (IPv4)
Si la red utiliza IPv4, asigne una dirección IPv4 al puerto Eth1.
Máscara de red (IPv4)
Si ha asignado una dirección IPv4 al puerto, introduzca una máscara
de red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una dirección IPv4 al puerto, asigne una dirección IPv4
al enrutador predeterminado (debe estar en la misma subred que el
puerto Eth1).
Dirección IPv6/longitud
de prefijo
Si la red utiliza IPv6, asigne una dirección IPv6 al puerto Eth1.
Para indicar la máscara de red, introduzca una longitud de prefijo
para IPv6 (por ejemplo 2001:400:f00::1/64).
Puerta de enlace IPv6
predeterminada
Si ha asignado una dirección IPv6 al puerto, asigne una dirección IPv6
al enrutador predeterminado (debe estar en la misma subred que el
puerto Eth1).
Velocidad
Configure una tasa de datos y una opción de dúplex para la interfaz
Eth1. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dúplex
completo o medio. Utilice el ajuste de negociación automática
predeterminado para que Panorama determine la velocidad de interfaz.
Este ajuste debe coincidir con la configuración de los puertos del equipo
de red vecino.
MTU
Introduzca la unidad máxima de transmisión (MTU) en bytes para
los paquetes enviados en esta interfaz (intervalo 576-1500, opción
predeterminada 1500).
Servicios
Seleccione Ping si desea activar ese servicio en la interfaz Eth1.
Direcciones IP permitidas
Introduzca la lista de direcciones IP desde las que se permite la gestión
de Eth1.
Ajustes de la interfaz Eth2
Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panorama
ni el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestión para
configuración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo,
si habilita Eth2, puede configurarlo para la recopilación de logs o comunicación de grupos de
recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados).
Nota: No puede compilar la configuración de Eth2 a no ser que especifique la dirección IP, la máscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth2
30 • Gestión de dispositivos
Seleccione esta casilla de verificación para activar la interfaz Eth2.
Palo Alto Networks
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Dirección IP (IPv4)
Si la red utiliza IPv4, asigne una dirección IPv4 al puerto Eth2.
Máscara de red (IPv4)
Si ha asignado una dirección IPv4 al puerto, introduzca una máscara de
red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una dirección IPv4 al puerto, asigne una dirección IPv4
al enrutador predeterminado (debe estar en la misma subred que el
puerto Eth2).
Dirección IPv6/longitud
de prefijo
Si la red utiliza IPv6, asigne una dirección IPv6 al puerto Eth2.
Para indicar la máscara de red, introduzca una longitud de prefijo
para IPv6 (por ejemplo 2001:400:f00::1/64).
Puerta de enlace IPv6
predeterminada
Si ha especificado una dirección IPv6 al puerto, asigne una dirección
IPv6 al enrutador predeterminado (debe estar en la misma subred que
el puerto Eth2).
Velocidad
Configure una tasa de datos y una opción de dúplex para la interfaz
Eth2. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dúplex
completo o medio. Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz.
Este ajuste debe coincidir con la configuración de los puertos del equipo
de red vecino.
MTU
Introduzca la unidad máxima de transmisión (MTU) en bytes para
los paquetes enviados en esta interfaz (intervalo 576-1500, opción
predeterminada 1500).
Servicios
Seleccione Ping si desea activar ese servicio en la interfaz Eth2.
Direcciones IP permitidas
Introduzca la lista de direcciones IP desde las que se permite la gestión
de Eth2.
Palo Alto Networks
Gestión de dispositivos • 31
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Configuración de log e informes
Utilice esta sección de la interfaz para modificar para modificar las siguientes opciones:
• Cuotas de almacenamiento de logs para el cortafuegos (Dispositivo > Configuración > Gestión).
• Cuotas de almacenamiento de logs para una máquina virtual de Panorama VM o en un dispositivo
M-100 en modo Panorama (Panorama > Configuración > Gestión).
Nota: Para configurar las cuotas para cada tipo de log en un dispositivo M-100 en modo de recopilador de logs,
seleccione Panorama > Grupos de recopiladores > General y seleccione el enlace Almacenamiento de log.
Consulte “Instalación de una actualización de software en un recopilador”.
• Atributos para calcular y exportar informes de actividad de usuarios.
• Informes predefinidos creados en el cortafuegos/Panorama.
32 • Gestión de dispositivos
Palo Alto Networks
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Pestaña secundaria
Almacenamiento de log
Especifique el porcentaje de espacio asignado a cada tipo de log en el
disco duro.
(El cortafuegos PA-7050
tiene Almacenamiento
de tarjeta de log y
Almacenamiento de
tarjeta de gestión)
Al cambiar un valor de porcentaje, la asignación de disco asociada
cambia automáticamente. Si el total de todos los valores supera el 100%,
aparecerá un mensaje en la página de color rojo y un mensaje de error
cuando intente guardar la configuración. Si esto sucede, reajuste los
porcentajes de modo que el total quede por debajo del límite del 100%.
Haga clic en ACEPTAR para guardar la configuración y en Restablecer
valores predeterminados para restablecer todos los ajustes predeterminados.
El cortafuegos PA-7050 almacena los logs en la tarjeta de procesamiento
de logs (LPC) y en la tarjeta de gestión de conmutadores (SMC) y de
esta forma divide las cuotas de registro en estas dos áreas. La pestaña
Almacenamiento de log tiene la configuración de la cuota para el tráfico
del tipo de datos en la LPC (por ejemplo, logs de tráfico y amenazas).
El almacenamiento de la tarjeta de gestión tiene configuración de cuota
para el tráfico de tipo de gestión almacenado en la SMC (por ejemplo, los
logs de configuración, los logs del sistema y logs de alarmas).
Nota: Cuando un log alcanza el tamaño máximo, el cortafuegos empieza a
sustituir las entradas del log más antiguas por las nuevas. Si reduce el tamaño
de un log, el cortafuegos elimina los logs más antiguos cuando compila los
cambios.
Palo Alto Networks
Gestión de dispositivos • 33
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Pestaña secundaria
Exportación e informes
de log
Número de versiones para auditoría de configuraciones: Introduzca el
número de versiones de configuración que se deben guardar antes de
descartar las más antiguas (valor predeterminado: 100). Puede utilizar
estas versiones guardadas para auditar y comparar cambios en la
configuración.
Máx. de filas en exportación CSV: Introduzca el número máximo de
filas que aparecerán en los informes CSV generados desde el icono
Exportar a CSV de la vista de logs de tráfico (rango 1-1048576, valor
predeterminado: 5000).
Máx. de filas en informe de actividad de usuario: Introduzca el número
máximo de filas que se admite para los informes de actividad de usuario
detallada (1-1048576; valor predeterminado: 65535).
Número de versiones para Configurar copias de seguridad:
(Solo Panorama) Introduzca el número de copias de seguridad de
configuraciones que se deben guardar antes de descartar las más
antiguas (valor predeterminado: 100).
Tiempo medio de exploración (seg): Configure esta variable para
ajustar cómo se calcula el tiempo de exploración en el informe de
actividad de usuario.
El cálculo ignorará los sitios categorizados como anuncios web y redes
de entrega de contenido. El cálculo del tiempo de exploración se basa
en las páginas contenedoras registradas en los logs de filtrado de URL.
Las páginas contenedoras se utilizan como base para este cálculo debido
a que muchos sitios cargan contenido de sitios externos que no debería
considerarse. Para obtener más información sobre la página contenedora,
consulte “Páginas contenedoras”.
El ajuste de tiempo medio de exploración es el tiempo medio que el
administrador considera que tardará un usuario en explorar una página
web. Cualquier solicitud realizada después de que haya transcurrido el
tiempo medio de exploración se considerará una nueva actividad de
exploración. El cálculo ignorará las páginas web nuevas que se carguen
entre el momento de la primera solicitud (hora de inicio) y el tiempo
medio de exploración. Este comportamiento se ha diseñado para excluir
los sitios externos que se carguen dentro de la página web de interés
Ejemplo: si el tiempo medio de exploración es de 2 minutos y un usuario
abre una página web y visualiza dicha página durante 5 minutos, el
tiempo de exploración de dicha página seguirá siendo de 2 minutos.
Esto es así porque no hay forma de determinar durante cuánto tiempo
un usuario visualiza una página concreta.
(Rango: 0-300 segundos; valor predeterminado: 60 segundos)
Umbral de carga de página (seg): Esta opción le permite ajustar el
tiempo previsto que tardan los elementos de una página en cargarse en
la página. Cualquier solicitud que se produzca entre la primera carga
de la página y el umbral de carga de página se considerará que son
elementos de la página. Cualquier solicitud que se produzca fuera del
umbral de carga de página se considerará que es el usuario haciendo clic
en un enlace de la página. El umbral de carga de página también se
utiliza en los cálculos para el informe de actividad de usuario.
(Rango: 0-60 segundos; valor predeterminado: 20 segundos)
Formato de nombre de host de Syslog: Seleccione si desea utilizar el
nombre de dominio completo (FQDN), el nombre de host, la dirección
IP (v4 o V6) en el encabezado del mensaje de Syslog; este encabezado
identifica el cortafuegos/Panorama desde el que se origina el mensaje.
34 • Gestión de dispositivos
Palo Alto Networks
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Detener tráfico cuando LogDb esté lleno: Seleccione la casilla de
verificación si desea que se detenga el tráfico a través del cortafuegos
cuando la base de datos de logs esté llena (desactivada de manera
predeterminada).
Habilitar log con carga alta: Seleccione esta casilla de verificación si
desea que se genere una entrada de log del sistema cuando la carga de
procesamiento del paquete del cortafuegos esté al 100% de la utilización
de la CPU.
Una carga alta de CPU puede degradar el funcionamiento porque la
CPU no tiene suficientes ciclos para procesar todos los paquetes. El log
del sistema le avisa sobre este problema (se genera una entrada de log
cada minuto) y le permite investigar la posible causa.
De forma predeterminada, esta opción está deshabilitada.
(Solo en Panorama)
Reenvío de log en búfer desde dispositivo: Permite al cortafuegos
almacenar en búfer las entradas de log en su disco duro (almacenamiento local) cuando pierde la conexión con Panorama. Cuando se
restaura la conexión con Panorama, la entradas de log se reenvían a la
aplicación; el espacio en disco disponible para el almacenamiento en
búfer depende de la cuota de almacenamiento de logs para la plataforma
y el volumen de los logs que quedan por ejecutar. Si se consume el
espacio, las entradas más antiguas se eliminarán para permitir el registro
de nuevos eventos.
De forma predeterminada, esta opción está habilitada.
Obtener únicamente nuevos logs al convertir a principal:
Esta opción solo es aplicable cuando Panorama escribe logs en un
recurso compartido de archivos de red (NFS). Con los logs de NFS solo
se monta la instancia principal de Panorama en el NFS. Por lo tanto, los
cortafuegos solo envían logs en la instancia activa principal de Panorama.
Esta opción permite que un administrador configure los cortafuegos
gestionados para que solo envíen los logs recién generados a Panorama
cuando se produce un error de HA y la instancia secundaria de Panorama
continúa creando logs para el NFS (después de promocionarse como
principal).
Este comportamiento suele habilitarse para impedir que los cortafuegos
envíen grandes volúmenes de logs almacenados en búfer cuando se
restablezca la conexión con Panorama después de un período de tiempo
significativo.
Solo logs principales activos al disco local: le permite configurar solo la
instancia principal activa para guardar logs en el disco local.
Esta opción es válida para una máquina virtual de Panorama con un
disco virtual y para el dispositivo M-100 en modo Panorama.
Palo Alto Networks
Gestión de dispositivos • 35
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Informes predefinidos: Hay informes predefinidos para aplicación,
tráfico, amenazas y filtrado de URL disponibles en el cortafuegos y en
Panorama. De forma predeterminada, estos informes predefinidos están
habilitados.
Debido a que los cortafuegos consumen recursos de memoria para
generar resultados cada hora (y enviarlos a Panorama cuando se agrega
y se compila para visualización), puede deshabilitar los informes que no
sean relevantes, reduciendo así el uso de memoria; para deshabilitar un
informe, quite la marca de la casilla de verificación de los mismos.
Utilice las opciones Seleccionar todo o Anular selección para habilitar o
deshabilitar completamente la generación de los informes predefinidos.
Nota: Antes deshabilitar un informe, asegúrese de que no se incluye en ningún
informe de grupos o informe PDF. Si un informe predefinido forma parte de un
conjunto de de informes y se deshabilita, el conjunto de informes al completo
dejará de contener datos.
Complejidad de contraseña mínima
Habilitado
Habilite los requisitos de contraseña mínimos para cuentas locales.
Con esta función, puede garantizar que las cuentas de administrador
locales del cortafuegos cumplan un conjunto definido de requisitos de
contraseña.
También puede crear un perfil de contraseña con un subconjunto de
estas opciones que cancelará estos ajustes y que puede aplicarse a
cuentas específicas. Para obtener más información, consulte “Definición
de perfiles de contraseña”. Consulte “Definición de funciones de
administrador” para obtener información sobre los caracteres válidos
que pueden utilizarse en las cuentas.
Note: La longitud de contraseña máxima que puede introducirse es
de 31 caracteres. Al ajustar los requisitos, asegúrese de no crear una
combinación que no pueda aceptarse. Por ejemplo, no puede establecer
un requisito de 10 mayúsculas, 10 minúsculas, 10 números y 10
caracteres especiales, ya que esto excedería la longitud máxima de 31.
Note: Si tiene configurada la alta disponibilidad (HA), utilice siempre
el dispositivo principal cuando configure opciones de complejidad de
contraseña y compile lo antes posible después de realizar cambios.
Longitud mínima
Exija una longitud mínima de 1-15 caracteres.
Letras en mayúscula
mínimas
Exija un número mínimo de letras en mayúscula de 0-15 caracteres.
Letras en minúscula
mínimas
Exija un número mínimo de letras en minúscula de 0-15 caracteres.
Letras numéricas
mínimas
Exija un número mínimo de letras numéricas de 0-15 números.
Caracteres especiales
mínimos
Exija un número mínimo de caracteres especiales (no alfanuméricos)
de 0-15 caracteres.
Bloquear caracteres
repetidos
No permita caracteres repetidos basándose en el valor especificado.
Por ejemplo, si el valor se establece como 4, la contraseña prueba2222
no se aceptará, pero prueba222 sí se aceptará (rango: 2-15).
36 • Gestión de dispositivos
Palo Alto Networks
Tabla 1. Configuración de gestión (Continuación)
Elemento
Descripción
Bloquear inclusión de
nombre de usuario
(incluida su inversión)
Seleccione esta casilla de verificación para impedir que el nombre de
usuario de la cuenta (o la versión invertida del nombre) se utilice en la
contraseña.
La nueva contraseña
difiere por caracteres
Cuando los administradores cambien sus contraseñas, los caracteres
deben diferir según el valor especificado.
Es necesario cambiar la
contraseña al iniciar
sesión por primera vez.
Seleccione esta casilla de verificación para pedir a los administradores
que cambien sus contraseñas la primera vez que inicien sesión en el
dispositivo.
Evitar límite de
reutilización de
contraseña
Exija que no se reutilice una contraseña anterior basándose en el
recuento especificado. Por ejemplo, si el valor se establece como 4, no
podrá reutilizar ninguna de sus últimas 4 contraseñas (rango: 0-50).
Bloquear período de
cambio de contraseña
(días)
El usuario no podrá cambiar sus contraseñas hasta que no se haya
alcanzado el número de días especificado (rango: 0-365 días).
Período necesario para el
cambio de contraseña
(días)
Exija que los administradores cambien su contraseña con la regularidad
especificada por el número de días establecido, de 0 a 365 días. Por
ejemplo, si el valor se establece como 90, se pedirá a los administradores
que cambien su contraseña cada 90 días.
También puede establecer una advertencia de vencimiento de 0-30 días
y especificar un período de gracia.
Período de advertencia de
vencimiento (días)
Si se establece un período necesario para el cambio de contraseña, este
ajuste puede utilizarse para pedir al usuario que cambie su contraseña
cada vez que inicie sesión a medida que se acerque la fecha obligatoria
de cambio de contraseña (rango: 0-30 días).
Inicio de sesión de
administrador caducado
permitido (recuento)
Permita que el administrador inicie sesión el número de veces especificado después de que la cuenta haya vencido. Por ejemplo, si el valor
se ha establecido como 3 y su cuenta ha vencido, podrá iniciar sesión 3
veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión).
Período de gracia
posterior al vencimiento
(días)
Permita que el administrador inicie sesión el número de días especificado después de que la cuenta haya vencido (rango: 0-30 días).
Palo Alto Networks
Gestión de dispositivos • 37
Definición de la configuración de operaciones
Dispositivo > Configuración > Operaciones
Cuando cambia un ajuste de configuración y hace clic en ACEPTAR, se actualiza la
configuración “candidata” actual, no la configuración activa. Al hacer clic en Compilar en
la parte superior de la página, se aplica la configuración candidata a la configuración activa,
lo que activa todos los cambios de configuración desde la última compilación.
Este método le permite revisar la configuración antes de activarla. Si activa varios cambios
simultáneamente, ayudará a evitar estados de configuración no válidos que pueden
producirse cuando se aplican cambios en tiempo real.
Puede guardar y restablecer la configuración candidata con la frecuencia que sea necesario y
también cargar, validar, importar y exportar configuraciones. Si pulsa Guardar, se creará una
copia de la configuración candidata actual, mientras que si selecciona Compilar, actualizará la
configuración activa con el contenido de la configuración candidata.
Es conveniente guardar periódicamente los ajustes de configuración que haya introducido
haciendo clic en el enlace Guardar de la esquina superior derecha de la pantalla.
Para gestionar configuraciones, seleccione las funciones de gestión de configuración
adecuadas que se describen en la tabla siguiente.
Tabla 2. Funciones de gestión de configuración
Función
Descripción
Gestión de configuración
Validar configuración
candidata
Comprueba si la configuración candidata tiene errores.
Volver a la última
configuración guardada
Restablece la última configuración candidata guardada desde la unidad
local. La configuración candidata actual se sobrescribirá. Se producirá un
error si no se ha guardado la configuración candidata.
Volver a la configuración
en ejecución
Restablece la última configuración en ejecución. La configuración en
ejecución actual se sobrescribirá.
Guardar instantánea
de configuración con
nombre
Guarda la configuración candidata en un archivo. Introduzca un nombre
de archivo o seleccione un archivo existente para sobrescribirlo. Tenga en
cuenta que el archivo de configuración activa actual (running-config.xml)
no puede sobrescribirse.
Guardar configuración
candidata
Guarda la configuración candidata en la memoria flash (del mismo modo
que si hiciera clic en Guardar en la parte superior de la página).
Cargar instantánea de
configuración con
nombre
Carga una configuración candidata desde la configuración activa
(running-config.xml) o desde una configuración guardada o importada
anteriormente. Seleccione el archivo de configuración que debe cargarse.
La configuración candidata actual se sobrescribirá.
Cargar versión de
configuración
Carga una versión especificada de la configuración.
Exportar instantánea
de configuración con
nombre
Exporta la configuración activa (running-config.xml) o una configuración
guardada o importada anteriormente. Seleccione el archivo de configuración que debe exportarse. Puede abrir el archivo y/o guardarlo en
cualquier ubicación de red.
38 • Gestión de dispositivos
Palo Alto Networks
Tabla 2. Funciones de gestión de configuración (Continuación)
Función
Descripción
Exportar versión de
configuración
Exporta una versión especificada de la configuración.
Exportar estado de
dispositivo
Esta función se utiliza para exportar la información dinámica y de
configuración de un cortafuegos configurado como portal de GlobalProtect
con la función de VPN a gran escala activada. Si el portal tiene un fallo,
se puede importar el archivo exportado para restablecer la información
dinámica y de configuración del portal.
La exportación incluye una lista de todos los dispositivos satélite
gestionados por el portal, la configuración en ejecución en el momento
de la exportación y toda la información de los certificados (certificados de
CA raíz, servidor y satélite).
Importante: Debe realizar manualmente la exportación del estado del
dispositivo o crear una secuencia de comandos programada de la API
XML para exportar el archivo a un servidor remoto. Esto debe hacerse
con regularidad, ya que puede que los certificados de satélite cambien
a menudo.
Para crear el archivo de estado del dispositivo a partir de la CLI, en el
modo de configuración, ejecute save device state.
El archivo se denominará device_state_cfg.tgz y se guardará en /opt/
pancfg/mgmt/device-state. El comando de operación para exportar el
archivo de estado del dispositivo es scp export device-state
(también puede utilizar tftp export device-state).
Para obtener información sobre cómo utilizar la API XML, consulte
el documento “PAN-OS XML-Based Rest API Usage Guide”
(Guía de uso de la API Rest basada en XML de PAN-OS, en inglés)
en http://www.paloaltonetworks.com/documentation.
Importar instantánea
de configuración con
nombre
Importa un archivo de configuración desde cualquier ubicación de red.
Haga clic en Examinar y seleccione el archivo de configuración que debe
importarse.
Importar estado de
dispositivo
Importa la información de estado del dispositivo que se exportó mediante
la opción Exportar estado de dispositivo. Esto incluye la configuración en
ejecución actual, plantillas de Panorama y políticas compartidas. Si el
dispositivo es un portal de GlobalProtect, la exportación incluirá la
información de la Entidad de certificación (CA) y la lista de los
dispositivos satélite con su información de autenticación.
Operaciones de dispositivo
Reiniciar
Para reiniciar el cortafuegos/Panorama, haga clic en Reiniciar
dispositivo. Cerrará sesión y se volverán a cargar el software PAN-OS y
la configuración activa. Las sesiones existentes también se cerrarán y
registrarán. Asimismo, se creará una entrada de log de sistema que
mostrará el nombre del administrador que inició el apagado. Todos los
cambios de configuración que no se hayan guardado o compilado se
perderán (consulte “Definición de la configuración de operaciones”).
Nota: Si la interfaz web no está disponible, utilice el comando de la CLI
request restart system. Consulte la Guía de referencia de la interfaz
de línea de comandos de PAN-OS para obtener información detallada.
Palo Alto Networks
Gestión de dispositivos • 39
Tabla 2. Funciones de gestión de configuración (Continuación)
Función
Descripción
Apagar
Para realizar un apagado correcto del cortafuegos/Panorama, haga clic
en Apagar dispositivo o Apagar Panorama y, a continuación, haga clic en
Sí en el mensaje de confirmación. Todos los cambios de configuración
que no se hayan guardado o compilado se perderán. Todos los administradores cerrarán sesión y se producirán los siguientes procesos:
• Se cerrarán todas las sesiones de inicio de sesión.
• Se deshabilitarán las interfaces.
• Se detendrán todos los procesos del sistema.
• Se cerrarán y registrarán las sesiones existentes.
• Se crearán logs del sistema que mostrarán el nombre del administrador
que inició el apagado. Si no se puede crear esta entrada de log, aparecerá una advertencia y el sistema no se apagará.
• Ahora podrá desmontar de manera limpia las unidades de disco y el
dispositivo dejará de recibir alimentación.
Deberá desenchufar la fuente de alimentación y volver a enchufarla antes
de poder activar el dispositivo.
Note: Si la interfaz web no está disponible, utilice el comando de la CLI
request shutdown system . Consulte la Guía de referencia de la interfaz
de línea de comandos de PAN-OS para obtener información detallada.
Reiniciar plano de datos
Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo, haga
clic en Reiniciar plano de datos. Esta opción no está disponible en el modelo
PA-200 y Panorama.
Nota: Si la interfaz web no está disponible, utilice el comando de la CLI
request restart dataplane. Consulte la Guía de referencia de la
interfaz de línea de comandos de PAN-OS para obtener información detallada.
40 • Gestión de dispositivos
Palo Alto Networks
Tabla 2. Funciones de gestión de configuración (Continuación)
Función
Descripción
Varios
Logotipos
personalizados
Utilice esta opción para personalizar cualquiera de los siguientes
elementos:
• Imagen de fondo de la pantalla de inicio de sesión
• Imagen de encabezado de la interfaz de usuario principal
• Imagen de la página de título del informe en PDF. Consulte “Gestión de
informes de resumen en PDF”.
• Imagen de pie de página del informe en PDF
Haga clic en
para cargar un archivo de imagen, en
para obtener
una vista previa o en
para eliminar una imagen cargada anteriormente.
Tenga en cuenta lo siguiente:
• Los tipos de archivos admitidos son png, gif y jpg.
Los archivos de imagen con un canal alfa no son compatibles y, cuando se
utilizan en informes en PDF, los informes no se generan correctamente.
Puede que tenga que ponerse en contacto con el creador de la imagen para
eliminar los canales alfa de la imagen o asegurarse de que el software de
gráficos que está utilizando no guarda los archivos con la función de
canal alfa.
• Para volver al logotipo predeterminado, elimine su entrada y realice
una compilación.
• El tamaño de imagen máximo para cualquier imagen de logotipo es de
128 KB.
• En el caso de las opciones de la pantalla de inicio de sesión y de la
interfaz de usuario principal, al hacer clic en
, la imagen se mostrará
del modo en que se visualizará. Si es necesario, se recortará la imagen
para ajustarla. En el caso de informes en PDF, el tamaño de las imágenes
se ajustará automáticamente sin recortarlas. En todos los casos, la vista
previa muestra las dimensiones de imagen recomendadas.
Para obtener información sobre cómo generar informes en PDF, consulte
“Gestión de informes de resumen en PDF”.
Configuración de SNMP
Palo Alto Networks
Especifique parámetros de SNMP. Consulte “SNMP”.
Gestión de dispositivos • 41
Tabla 2. Funciones de gestión de configuración (Continuación)
Función
Descripción
Configuración del
servicio de estadísticas
La función Servicio de estadísticas permite que el cortafuegos envíe
información de aplicaciones anónimas, amenazas y bloqueos al equipo de
investigación de Palo Alto Networks. La información recopilada permite
que el equipo de investigación mejore continuamente la eficacia de los
productos de Palo Alto Networks basándose en información del mundo
real. Este servicio está deshabilitado de manera predeterminada y, una
vez habilitado, se cargará información cada 4 horas.
Puede permitir que el cortafuegos envíe cualquiera de los siguientes tipos
de información:
• Informes de aplicación y amenazas
• Informes de aplicaciones desconocidas
• Informes de URL
• Seguimientos de bloqueos de dispositivos
Para ver una muestra del contenido de un informe estadístico que se
enviará, haga clic en el icono de informe
. Se abrirá la pestaña Muestra
de informe para mostrar el código del informe. Para ver un informe, haga
clic en la casilla de verificación que aparece junto al informe deseado y, a
continuación, haga clic en la pestaña Muestra de informe.
Definición de módulos de seguridad de hardware
Dispositivo > Configuración > HSM
La pestaña HSM le permite ver el estado y configurar un módulo de seguridad de
hardware (HSM).
La siguiente configuración de estado aparece en la sección del proveedor de módulo de
seguridad de hardware.
Tabla 3. Configuración de estado del proveedor de módulo HSM
Campo
Descripción
Proveedor configurado
Especifica una de las siguientes opciones:
• Ninguno: No se ha configurado ningún HSM para el cortafuegos.
• Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet
en el cortafuegos.
• Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield
Connect en el cortafuegos.
Alta disponibilidad
Si se selecciona, se configura la alta disponibilidad del HSM. Solo Luna SA
de Safenet.
Nombre de grupo de
alta disponibilidad.
Nombre de grupo configurado en el cortafuegos para la alta disponibilidad
del HSM. Solo Luna SA de Safenet.
Dirección de origen de
cortafuegos
Dirección del puerto utilizado para el servicio HSM. De forma predeterminada, se trata de la dirección del puerto de gestión. Sin embargo, se
puede especificar como un puerto diferente a través de la opción Configuración de ruta de servicios en Dispositivo > Configuración > Servicios.
Clave maestra
asegurada por HSM
Si se activa, la clave maestra se asegura en el HSM.
42 • Gestión de dispositivos
Palo Alto Networks
Tabla 3. Configuración de estado del proveedor de módulo HSM
Campo
Descripción
Estado
Consulte “Configuración del estado del módulo de seguridad de hardware
de Luna SA de Safenet” o “Configuración del estado del módulo de
seguridad de hardware de Thales Nshield Connect” como corresponda.
Para configurar un módulo de seguridad de hardware (HSM) en el cortafuegos, haga clic en el
icono Editar de la sección Proveedor de módulo de seguridad de hardware y configure los
siguientes ajustes.
Tabla 4. Ajustes de configuración de HSM
Campo
Proveedor configurado
Descripción
Especifica una de las siguientes opciones:
• Ninguno: No se ha configurado ningún HSM para el cortafuegos. No se
necesita otra configuración.
• Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet
en el cortafuegos.
• Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield
Connect en el cortafuegos.
Nombre de módulo
Especifique un nombre de módulo para el HSM. Puede ser cualquier
cadena ASCII con una longitud de hasta 31 caracteres. Cree varios nombres
de módulos si está definiendo una configuración de alta disponibilidad
del HSM.
Dirección de servidor
Especifique una dirección de IPv4 para cualquier módulo HSM que esté
configurando.
Alta disponibilidad
Solo Luna SA de
Safenet
Seleccione esta casilla de verificación si está definiendo módulos HSM en
una configuración de alta disponibilidad. Se debe configurar el nombre del
módulo y la dirección del servidor de todos los módulos HSM.
Reintento de
recuperación
automática
Especifique el número de intentos que debe realizar el cortafuegos para
recuperar la conexión con HSM antes de conmutarse por error a otro HSM
en una configuración de alta disponibilidad del HSM. Rango 0 -500.
Solo Luna SA de
Safenet
Nombre de grupo de
alta disponibilidad.
Solo Luna SA de
Safenet
Especifique el nombre de grupo que se debe utilizar para el grupo de alta
disponibilidad del HSM. Este nombre lo utiliza el cortafuegos de forma
interna. Puede ser cualquier cadena ASCII con una longitud de hasta 31
caracteres.
Dirección de sistema
de archivos remoto
Configure la dirección IPv4 del sistema de archivos remoto utilizado en la
configuración de HSM de Thales Nshield Connect.
Solo Thales Nshield
Connect
Seleccione Configurar módulo de seguridad de hardware y configure los siguientes ajustes
para autenticar el cortafuegos en el HSM.
Palo Alto Networks
Gestión de dispositivos • 43
Tabla 5. Ajustes de Configurar módulo de seguridad de hardware
Campo
Descripción
Nombre de servidor
Seleccione un nombre de servidor HSM en el cuadro desplegable.
Contraseña de
administrador
Introduzca la contraseña del administrador de HSM para autenticar el
cortafuegos en el HSM.
La sección Estado de módulo de seguridad de hardware proporciona la siguiente
información sobre los HSM que se han autenticado correctamente. La pantalla mostrará
opciones diferentes dependiendo el proveedor HSM configurado.
Tabla 6. Configuración del estado del módulo de seguridad de hardware de Luna SA
de Safenet
Campo
Descripción
Número de serie
Se muestra el número de serie de la partición del HSM si la partición de
HSM se ha autenticado correctamente.
Partición
Nombre de la partición en el HSM que se asignó en el cortafuegos.
Estado de módulo
Estado de funcionamiento actual del HSM. Este ajuste tendrá el valor
Autenticado si el HSM aparece en esta tabla.
Tabla 7. Configuración del estado del módulo de seguridad de hardware de Thales
Nshield Connect
Campo
Descripción
Nombre
Nombre del servidor del HSM.
Dirección IP
Dirección IP del HSM que se asignó en el cortafuegos.
Estado de módulo
Estado de funcionamiento actual del HSM.
• Autenticado
• No autenticado
44 • Gestión de dispositivos
Palo Alto Networks
SNMP
Dispositivo > Configuración > Operaciones
SNMP (Protocolo simple de administración de redes) es un servicio estándar para la
supervisión de los dispositivos de su red. Utilice esta página para configurar el cortafuegos
de forma que utilice la versión de SNMP (SNMPv2c y SNMPv3) admitida por su estación de
gestión de red.
Para configurar el perfil del servidor que habilita el cortafuegos para comunicarse con los
destinos de trap SNMP de su red, consulte “Configuración de destinos de traps SNMP”.
El módulo de bases de información de gestión SNMP define todos los traps SNMP generados
por el sistema. El trap SNMP identifica un evento con un ID de objeto único (OID) y los
campos individuales se definen como una lista de enlaces de variables (varbind).
Haga clic en Configuración de SNMP en la página Configuración y especifique los siguientes
ajustes para permitir las solicitudes GET SNMP desde su estación de gestión de red:
Tabla 8. Configuración de SNMP
Campo
Descripción
Ubicación física
Especifique la ubicación física del cortafuegos. Cuando se genera un log o
trap, esta información le permite identificar el dispositivo que ha generado
la notificación.
Contacto
Introduzca el nombre o la dirección de correo electrónico de la persona
responsable del mantenimiento del cortafuegos Este ajuste se indica en la
MIB de información del sistema estándar.
Utilizar definiciones
de traps específicas
Seleccione la casilla de verificación para utilizar un OID exclusivo para cada trap
SNMP basándose en el tipo de evento (está seleccionado el valor predeterminado).
Palo Alto Networks
Gestión de dispositivos • 45
Tabla 8. Configuración de SNMP (Continuación)
Campo
Descripción
Versión
Seleccione la versión de SNMP (V2c o V3). Este ajuste controla el acceso a la
información de la MIB. De manera predeterminada, se selecciona V2c con la
cadena de comunidad “pública”.
• En el caso de V2c, configure el siguiente ajuste:
– Cadena de comunidad SNMP: Introduzca la cadena de comunidad SNMP
para el acceso al cortafuegos (valor predeterminado: público). Son necesarias
las cadenas de comunidad SNMP para SNMPv2c. SNMPv3 utiliza una autenticación de nombre de usuario/contraseña, junto con una clave de cifrado.
• En el caso de V3, configure los siguientes ajustes:
– Vistas: Las vistas le permiten limitar los objetos MIB a los que puede acceder
un gestor SNMP. Haga clic en Añadir y configure los siguientes ajustes:
– Nombre: Especifique un nombre para un grupo de vistas.
– Ver: Especifique un nombre para una vista.
– OID: Especifique el identificador de objeto (OID) (por ejemplo, 1.2.3.4).
– Opción: Seleccione si el OID debe incluirse en la vista o excluirse de ella.
– Máscara: Especifique un valor de máscara para un filtro del OID en formato
hexadecimal (por ejemplo, 0xf0).
• Usuarios: Haga clic en Añadir y configure los siguientes ajustes:
– Usuarios: Especifique un nombre de usuario.
– Ver: Especifique el grupo de vistas del usuario.
– Contraseña de autenticación: Especifique la contraseña de autenticación
del usuario (8 caracteres como mínimo, 256 caracteres como máximo y sin
restricciones de caracteres). (Se permiten todos los caracteres.) Únicamente se
admite el algoritmo de hash seguro (SHA).
– Contraseña priv.: Especifique la contraseña de cifrado del usuario (8 caracteres como mínimo, 256 caracteres como máximo y sin restricciones de caracteres). Únicamente se admite el estándar de cifrado avanzado (AES).
Definición de la configuración de servicios
Dispositivo > Configuración > Servicios
La pestaña Servicios muestra secciones para Servicios y Características de servicios.
Utilice estas secciones para configurar los servicios que utiliza el cortafuegos para funcionar
de forma eficaz:
•
Utilice la sección Servicios para definir la configuración del sistema de nombre de
dominio (DNS), de los servidores de actualización y servidores proxy. Utilice la pestaña
NTP específica en la sección Servicios para configurar los ajustes del protocolo de tiempo
de red (NTP). Consulte la Tabla 9 para conocer descripciones de los campos de las
opciones disponibles en la sección Servicios.
•
Utilice la sección Características de servicios para seleccionar o personalizar una configuración de ruta de servicios. Especifique el modo en que el cortafuegos se comunicará
con otros servidores/dispositivos para la comunicación de servicios, como DNS, correo
electrónico, actualizaciones de Palo Alto y NTP. Haga clic en Configuración de ruta de
servicios en los ajustes de Características de servicios para seleccionar una de las opciones
descritas en Tabla 10.
46 • Gestión de dispositivos
Palo Alto Networks
Tabla 9. Configuración de servicios
Función
Descripción
Servicios
DNS
Seleccione el tipo de servicio de DNS. Este ajuste se utiliza para todas las
consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos
de dirección FQDN, logs y la gestión de dispositivos. Las opciones incluyen
las siguientes:
• Servidores DNS principal y secundario para la resolución de nombres
de dominio
• Proxy de DNS configurado en el cortafuegos
Servidor DNS
principal
Introduzca la dirección IP del servidor DNS primario. El servidor se utiliza
para las consultas de DNS del cortafuegos; por ejemplo, para buscar el
servidor de actualizaciones, para resolver entradas de DNS en logs o para
objetos de dirección basados en FDQN.
Servidor de DNS
secundario
Introduzca la dirección IP de un servidor DNS secundario que deberá
utilizarse si el servidor principal no está disponible (opcional).
Actualizar servidor
Este ajuste representa la dirección IP o el nombre de host del servidor
utilizado para descargar actualizaciones de Palo Alto Networks. El valor
actual es updates.paloaltonetworks.com. No cambie el nombre del servidor
a menos que se lo indique la asistencia técnica.
Verificar identidad
del servidor de
actualización
Si se habilita esta opción, el cortafuegos o Panorama verificarán que el
servidor desde el que se descarga el software o el paquete de contenidos
cuenta con un certificado SSL firmado por una autoridad fiable. Esta opción
añade un nivel de seguridad adicional para la comunicación entre el servidor
del cortafuegos/Panorama y el servidor de actualización.
Sección Servidor proxy
Servidor
Si el dispositivo necesita utilizar un servidor proxy para acceder a los
servicios de actualización de Palo Alto Networks, introduzca la dirección
IP o el nombre de host del servidor.
Puerto
Introduzca el puerto para el servidor proxy.
Usuario
Introduzca el nombre de usuario para acceder al servidor.
Contraseña/
Confirmar
contraseña
Introduzca y confirme la contraseña para que el usuario acceda al servidor
proxy.
Palo Alto Networks
Gestión de dispositivos • 47
Tabla 9. Configuración de servicios (Continuación)
Función
Descripción
NTP
Dirección de
servidor NTP
Introduzca la dirección IP o el nombre de host del servidor NTP que dese
usar para sincronizar el reloj del cortafuegos. De forma optativa, introduzca
la dirección IP o nombre de host de un segundo servidor NTP con el que
sincronizar el reloj del cortafuegos si el servidor primario no está disponible.
Puede activar el cortafuegos para autenticar las actualizaciones de hora
desde un servidor NTP. Para cada servidor NTP, seleccione el tipo de
autenticación que debe utilizar el cortafuegos:
• Ninguno: Seleccione esta opción para desactivar la autenticación del NTP
(predeterminado).
Tipo de
autenticación
• Clave simétrica: Seleccione esta opción para que el cortafuegos utilice
intercambio de clave simétrica (secretos compartidos) para autenticar
las actualizaciones temporales del servidor NTP. Si selecciona la clave
simétrica, continúe introduciendo los siguientes campos:
–ID de clave: Introduzca el ID de clave (1- 65534).
–Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticación del NTP (MD5 o SHA1).
–Clave de autenticación/Confirmar clave de autenticación: Introduzca
y confirme la clave de autenticación del algoritmo de autenticación.
• Clave automática: Seleccione esta opción para que el cortafuegos utilice la
clave automática (criptografía de clave pública) para autenticar las actualizaciones de hora del servidor NTP.
Tabla 10. Características de servicios
Función:
Descripción
Configuración de ruta de servicios
Utilizar interfaz de
gestión para todos
48 • Gestión de dispositivos
Esta opción forzará todas las comunicaciones de servicios de cortafuegos con
servidores externos a través de la interfaz de gestión (MGT). Si se selecciona
esta opción, deberá configurar la interfaz de gestión para permitir las comunicaciones entre el cortafuegos y los servidores/dispositivos que proporcionan
servicios. Para configurar la interfaz de gestión, desplácese hasta la pestaña
Dispositivo > Configuración > Gestión y edite la sección Configuración de
interfaz de gestión.
Palo Alto Networks
Tabla 10. Características de servicios (Continuación)
Función:
Descripción
Personalizar
Seleccione esta opción para configurar un control detallado de la comunicación del servicio utilizando una interfaz de origen y dirección IP específicas.
Por ejemplo, puede configurar una IP/interfaz de origen específica para toda
la comunicación por correo electrónico entre el cortafuegos y un servidor
de correo electrónico y utilizar una interfaz/IP de origen diferente para las
actualizaciones de Palo Alto.
• IPv4/IPv6: En las pestañas IPv4 o IPv6, seleccione en la lista desplegable
de servicios disponibles la interfaz de origen y la dirección de origen.
La dirección de origen muestra la dirección IPv4 o IPv6 asignada a la
interfaz seleccionada; la dirección IP seleccionada será el origen del tráfico
de servicios. No tiene que definir la dirección de destino, ya que el destino
se configura al configurar el servicio en cuestión. Por ejemplo, cuando
defina sus servidores DNS en la pestaña Dispositivo > Configuración >
Servicios, dicha acción establecerá el destino de las consultas de DNS.
• Destino: Puede definir la interfaz y la dirección de origen que utilizará el
servicio que desea enviar, pero que no aparece en la columna Servicio,
Los servicios no enumerados incluyen elementos como Kerberos, LDAP y
comunicaciones de recopilador de logs de Panorama. No necesita introducir
la subred de la dirección de destino.
En entornos multiempresa, se exigirán rutas de servicios basadas en IP de
destino, mientras que los servicios comunes requerirán una dirección de
origen diferente. Por ejemplo, si dos empresas necesitan utilizar RADIUS.
Es importante que las rutas y políticas se establezcan correctamente para la
interfaz que se utilizará para enviar el servicio. Por ejemplo, si desea enviar
solicitudes de autenticación de Kerberos en una interfaz que no sea el
puerto de gestión (MGT), deberá configurar IP Destino y Dirección de
origen en la sección de la derecha de la ventana Configuración de ruta de
servicios, ya que Kerberos no se enumera en la columna Servicio predeterminada. Por ejemplo, puede tener la dirección IP de origen 192.168.2.1 en
Ethernet1/3 y, a continuación, el destino 10.0.0.240 para un servidor
Kerberos. Deberá añadir Ethernet1/3 a un enrutador virtual existente con
una ruta predeterminada. Asimismo, puede crear un nuevo enrutador
virtual desde Red > Enrutadores virtuales y añadir las rutas estáticas que
sea necesario. Esto garantizará que todo el tráfico de la interfaz se enviará
a través del enrutador virtual para llegar a sus correspondientes destinos.
En este caso, la dirección de destino es 10.0.0.240 y la interfaz Ethernet1/3
tiene la IP de origen 192.168.2.1/24.
El resultado de la CLI para IP Destino y Dirección de origen tendría el
siguiente aspecto:
PA-200-Test# show route
destination {
10.0.0.240 {
source address 192.168.2.1/24
}
Con esta configuración, todo el tráfico de la interfaz Ethernet1/3 utilizará
la ruta predeterminada definida en el enrutador virtual y se enviará a
10.0.0.240.
Palo Alto Networks
Gestión de dispositivos • 49
Definición de la configuración de ID de contenido (content-id)
Dispositivo > Configuración > ID de contenido
Utilice la pestaña ID de contenido (Content-ID) para definir la configuración del filtrado de
URL, la protección de datos y las páginas contenedoras.
Tabla 11. Configuración de inspección de contenidos (Content-ID)
Función
Descripción
Filtrado de URL
Tiempo de espera de
caché de URL dinámica
Haga clic en Editar e introduzca el tiempo de espera (en horas). Este valor
se utiliza en el filtrado de URL dinámica para determinar la cantidad de
tiempo que una entrada permanece en la caché después de ser devuelta
por el servicio de filtrado de URL. Esta opción únicamente es aplicable
al filtrado de URL que utilice la base de datos de BrightCloud. Si desea
más información sobre el filtrado de URL, consulte “Perfiles de filtrado
de URL”.
Tiempo de espera de
caché de URL dinámica
Especifique el intervalo que transcurre desde una acción de “continuación”
por parte del usuario hasta el momento en que el usuario debe volver a
pulsar el botón de continuación para las URL de la misma categoría
(rango: 1-86.400 minutos; valor predeterminado: 15 minutos).
Tiempo de espera
de cancelación de
administrador de URL
Especifique el intervalo que transcurre desde que el usuario introduce
la contraseña de cancelación de administrador hasta que el usuario
debe volver a introducir la contraseña de cancelación de administrador
para las URL de la misma categoría (rango: 1-86.400 minutos; valor
predeterminado: 900 minutos).
Tiempo de espera de
bloqueo de administrador de URL
Especifique el período de tiempo que un usuario está bloqueado y
no puede utilizar la contraseña de cancelación de administrador de
URL después de tres intentos incorrectos (1-86.400 minutos; valor
predeterminado: 1.800 minutos).
x-forwarded-for
Incluya el encabezado x-forwarded-for que contiene la dirección IP de
origen. Cuando se selecciona esta opción, el cortafuegos examina los
encabezados HTTP en busca del encabezado x-forwarded-for, que un
proxy puede utilizar para almacenar la dirección IP de origen del usuario
original.
El sistema toma el valor e introduce Src: x.x.x.x en el campo Usuario de
origen de los logs de URL (donde x.x.x.x es la dirección IP leída en el
encabezado).
Quitar x-forwarded-for
Elimine el encabezado x-forwarded-for que contiene la dirección IP de
origen. Cuando esta opción está seleccionada, el cortafuegos borra el
valor del encabezado antes de reenviar la solicitud y los paquetes
reenviados no contienen información de IP de origen interna.
Permitir reenvío de
contenido descifrado
Seleccione la casilla de verificación para permitir que el cortafuegos
reenvíe contenido descifrado a un servicio externo. Por ejemplo, cuando
se establece esta opción, el cortafuegos puede enviar contenido descifrado
a WildFire para su análisis. En el caso de configuraciones de VSYS
múltiple, esta opción depende de VSYS.
50 • Gestión de dispositivos
Palo Alto Networks
Tabla 11. Configuración de inspección de contenidos (Content-ID) (Continuación)
Función
Descripción
Cancelación de administrador de URL
Configuración de
la cancelación de
administrador de URL
Especifique la configuración que se utiliza cuando se bloquea una página
con el perfil de filtrado de URL y se especifica la acción Cancelar.
Consulte “Perfiles de filtrado de URL”.
Haga clic en Añadir y configure los siguientes ajustes para todos los
sistemas virtuales en los que desee configurar una cancelación de
administrador de URL.
• Ubicación: Seleccione el sistema virtual en la lista desplegable
(únicamente dispositivos de VSYS múltiple).
• Contraseña/Confirmar contraseña: Introduzca la contraseña que el
usuario debe introducir para cancelar la página de bloque.
• Certificado de servidor: Seleccione el certificado de servidor que se
utilizará con comunicaciones SSL al redirigir a través del servidor
especificado.
• Modo: Determina si la página de bloque se entrega de manera transparente (parece originarse en el sitio web bloqueado) o se redirige al
usuario al servidor especificado. Si selecciona Redirigir, introduzca la
dirección IP para el redireccionamiento.
Haga clic en
Gestionar protección
de datos
para eliminar una entrada.
Aumente la protección para acceder a logs que puedan incluir
información confidencial, como números de tarjetas de crédito o
números de la Seguridad Social.
Haga clic en Gestionar protección de datos y configure lo siguiente:
• Para establecer una nueva contraseña si todavía no se ha establecido
una, haga clic en Establecer contraseña. Introduzca y confirme la
contraseña.
• Para cambiar la contraseña, haga clic en Cambiar contraseña.
Introduzca la contraseña anterior y, a continuación, introduzca y
confirme la nueva contraseña.
• Para eliminar la contraseña y los datos que se han protegido, haga clic
en Eliminar contraseña.
Páginas contenedoras
Utilice estos ajustes para especificar los tipos de URL que el cortafuegos
seguirá o registrará basándose en el tipo de contenido, como application/
pdf, application/soap+xml, application/xhtml+, text/html, text/plain
y text/xml. Las páginas contenedoras se establecen según el sistema
virtual, el cual puede seleccionar en la lista desplegable Ubicación. Si un
sistema virtual no tiene una página contenedora explícita definida, se
utilizarán los tipos de contenido predeterminados.
Haga clic en Añadir e introduzca o seleccione un tipo de contenido.
La adición de nuevos tipos de contenido para un sistema virtual cancela
la lista predeterminada de tipos de contenido. Si no hay tipos de contenido
asociados a un sistema virtual, se utilizará la lista predeterminada de
tipos de contenido.
Configuración de ID de contenidos
Longitud de captura de
paquetes extendida
Palo Alto Networks
Establezca el número de paquetes que se deben capturar cuando la
opción de captura extendida se habilita en perfiles de antispyware y
vulnerabilidad. El rango es 1-50 y el valor predeterminado es 5.
Gestión de dispositivos • 51
Configuración de ajustes de WildFire
Dispositivo > Configuración > WildFire
Utilice la pestaña WildFire para configurar los ajustes de WildFire en el cortafuegos.
Estos ajustes determinarán si los archivos se enviarán a la nube de WildFire o al dispositivo
WildFire. También puede establecer los límites de tamaño de archivo y la información de
sesión sobre la que se informará.
Para reenviar contenido descifrado a WildFire, deberá seleccionar la casilla de
verificación “Permitir reenvío de contenido descifrado” del cuadro Configuración
de Dispositivo > Configuración > ID de contenido > Filtrado de URL.
Tabla 12. Ajustes de WildFire en el cortafuegos
Campo
Descripción
Configuración general
Servidor de WildFire
Especifique la dirección IP o FQDN de un dispositivo WildFire o
especifique el valor wildfire-default-cloud para utilizar la nube de
WildFire.
Los servidores de nube de WildFire disponibles cuentan de forma
predeterminada con la nube de WildFire alojada en EE. UU. y
wildfire.paloaltonetworks.jp con la nube de WildFire alojada en Japón.
Puede que desee utilizar el servidor japonés si no desea que se envíen
archivos benignos a los servidores de nube estadounidenses. Si se
determina que un archivo enviado a la nube de Japón es malintencionado,
este se reenviará a los servidores de EE. UU., donde se volverá a analizar y
se generarán las firmas. Si se encuentra en la región de Japón, puede que
también experimente una respuesta más rápida en los envíos de muestras
y la generación de informes. También se puede configurar Panorama para
la nube de Japón. En Panorama, el nombre del servidor de EE. UU. es
wildfire-public-cloud y el de japón es wildfire.paloaltonetworks.jp.
Tamaño de archivo
máximo (MB)
Especifique el tamaño de archivo máximo que se reenviará al servidor
WildFire. Los rangos disponibles son:
• flash (Adobe Flash): 1-10 MB, 5 MB de forma predeterminada
• apk (aplicaciones para Android): 1-50 MB, 10 MB de forma predeterminada
• pdf (Portable Document Format) 100 KB-1000 KB, 200 KB de forma
predeterminada
• jar (archivo de clase de Java empaquetado): 1-10 MB, 1 MB de forma
predeterminada
• pe (Portable Executable): 1-10 MB, 2 MB de forma predeterminada
• ms-office (Microsoft Office): 200 KB-10000 KB, 500 KB de forma
predeterminada
Nota: Los valores anteriores pueden variar según la versión de PAN-OS o la
versión de contenido instalada. Para ver los intervalos válidos, haga clic en el
campo Límite de tamaño y aparecerá un mensaje emergente que mostrará el
intervalo disponible y el valor predeterminado.
52 • Gestión de dispositivos
Palo Alto Networks
Tabla 12. Ajustes de WildFire en el cortafuegos (Continuación)
Campo
Descripción
Informar de archivos
benignos
Cuando esta opción está activada (desactivada de forma predeterminada),
los archivos analizados por WildFire indicados como benignos aparecerán
en el log Supervisar > Envíos de WildFire.
Nota: Incluso si esta opción está activada en el cortafuegos, los enlaces de correo
electrónico que WildFire considera benignos no se registrarán debido a la cantidad
potencial de enlaces procesados.
Ajustes de información de sesión
Configuración
Especifique la información que se reenviará al servidor WildFire.
De manera predeterminada, todo está seleccionado:
• IP de origen: Dirección IP de origen que envió el archivo sospechoso.
• Puerto de origen: Puerto de origen que envió el archivo sospechoso.
• IP de destino: Dirección IP de destino del archivo sospechoso.
• Puerto de destino: Puerto de destino del archivo sospechoso.
• Vsys: Sistema virtual del cortafuegos que identificó al posible software
malintencionado.
• Aplicación: Aplicación de usuario que se utilizó para transmitir el
archivo.
• Usuario: Usuario de destino.
• URL: URL asociada al archivo sospechoso.
• Nombre de archivo: Nombre del archivo que se envió.
• Remitente de correo electrónico: Proporciona el nombre del remitente
en los logs de WildFire e informes de WildFire detallados cuando se
detecta un enlace de correo electrónico malicioso en el tráfico del SMTP
y POP3.
• Destinatario de correo electrónico: Proporciona el nombre del destinatario en los logs e informes detallados de WildFire cuando se detecta un
enlace de correo electrónico malicioso en el tráfico del SMTP y POP3.
• Asunto de correo electrónico: Proporciona el asunto del correo electrónico en los logs e informes detallados de WildFire cuando se detecta un
enlace de correo electrónico malicioso en el tráfico del SMTP y POP3.
Definición de la configuración de sesión
Dispositivo > Configuración > Sesión
Utilice la pestaña Sesión para configurar los tiempos de vencimiento de las sesiones,
la configuración de certificados de descifrado y los ajustes globales relacionados con las
sesiones, como aplicar cortafuegos al tráfico IPv6 y volver a hacer coincidir la política de
seguridad con las sesiones existentes cuando cambia la política. La pestaña presenta las
siguientes secciones:
•
“Configuración de sesión”
•
“Tiempos de espera de sesión”
•
“Ajustes de descifrado: Comprobación de revocación de certificado”
•
“Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy”
Palo Alto Networks
Gestión de dispositivos • 53
Configuración de sesión
Tabla 13. Configuración de sesión
Campo
Descripción
Reanalizar sesiones
establecidas
Haga clic en Editar y seleccione Reanalizar sesiones establecidas para que
el cortafuegos aplique las políticas de seguridad recién configuradas a las
sesiones que ya están en curso. Esta capacidad está habilitada de manera
predeterminada. Si este ajuste está deshabilitado, cualquier cambio de
política se aplica solo a las sesiones iniciadas después de que se haya
compilado un cambio de política.
Por ejemplo, si se ha iniciado una sesión de Telnet mientras había
configurada una política que permitía Telnet y, en consecuencia, ha
compilado un cambio de política para denegar Telnet, el cortafuegos
aplica la política revisada a la sesión actual y la bloquea.
Tamaño de depósito de
testigo de ICMPv6
Introduzca el tamaño de depósito para la limitación de tasa de mensajes de
error de ICMPv6. El tamaño de depósito de testigo es un parámetro del
algoritmo de depósito de testigo que controla la intensidad de las ráfagas
de transmisión de los paquetes de error de ICMPv6 (rango: 10-65.535
paquetes; valor predeterminado: 100).
Tasa de paquetes de
error de ICMPv6
Introduzca el número medio de paquetes de error de ICMPv6 por segundo
que se permiten globalmente a través del cortafuegos (el intervalo es
10-65535 paquetes/segundo, de forma predeterminada es 100 paquetes/
segundo). Este valor se aplica a todas las interfaces. Si el cortafuegos
alcanza la tasa de paquetes de error de ICMPv6, el depósito de testigo
de ICMPv6 se utiliza para activar la limitación de mensajes de error de
ICMPv6.
Habilitar cortafuegos
IPv6
Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y
seleccione la casilla de verificación Cortafuegos IPv6.
Todas las configuraciones basadas en IPv6 se ignorarán si IPv6 no se
habilita. Incluso si IPv6 está activado para una interfaz, el ajuste
Cortafuegos IPv6 también debe estar activado para que IPv6 funcione.
Trama gigante
MTU global
Seleccione esta opción para habilitar la compatibilidad con tramas
gigantes en interfaces de Ethernet. Las tramas gigantes tienen una
unidad de transmisión máxima (MTU) de 9192 bytes y están disponibles
en determinadas plataformas.
• Si no activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes.
• Si activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes.
Si activa las tramas gigantes y tiene interfaces donde la MTU no está
específicamente configurada, estas interfaces heredarán automáticamente
el tamaño de la traga gigante. Por lo tanto, antes de que active las tramas
gigantes, si no desea que alguna interfaz las adopte, debe establecer la
MTU para esa interfaz en 1500 bytes u otro valor.
Tamaño mínimo de
MTU para NAT64
en IPv6
54 • Gestión de dispositivos
Introduzca la MTU global para el tráfico IPv6 traducido. El valor
predeterminado de 1280 bytes se basa en la MTU mínima estándar
para el tráfico IPv6.
Palo Alto Networks
Tabla 13. Configuración de sesión (Continuación)
Campo
Descripción
Ratio de sobresuscripción NAT
Seleccione la velocidad de sobresuscripción NAT, es decir, el número de
ocasiones en las que el mismo par de dirección IP y puerto traducido
se pueden usar de forma simultánea. La reducción de la velocidad de
sobresuscripción disminuirá el número de traducciones de dispositivo
origen, pero proporcionará más capacidades de regla de NAT.
• Valor predeterminado de plataforma: La configuración explícita
de la velocidad de sobresuscripción está desactivada; se aplica la
velocidad de sobresuscripción predeterminada para la plataforma.
Consulte las velocidades predeterminadas de la plataforma en
https://www.paloaltonetworks.com/products/product-selection.html.
• 1x: 1 vez Esto significa que no existe ninguna sobresuscripción; cada par
de dirección IP y puerto traducido se puede utilizar solo una vez en cada
ocasión.
• 2x: 2 veces
• 4x: 4 veces
• 8x: 8 veces
Vencimiento acelerado
Activa el vencimiento acelerado de las sesiones inactivas.
Seleccione la casilla de verificación para habilitar el vencimiento acelerado
y especificar el umbral (%) y el factor de escala.
Cuando la tabla de sesión alcanza el umbral de vencimiento acelerado
(% lleno), PAN-OS aplica el factor de escala de vencimiento acelerado
a los cálculos de vencimiento de todas las sesiones. El factor de escala
predeterminado es 2, lo que significa que el vencimiento acelerado se
produce a una velocidad dos veces más rápida que el tiempo de espera de
inactividad configurado. El tiempo de espera de inactividad configurado
dividido entre 2 tiene como resultado un tiempo de espera más rápido
(la mitad). Para calcular el vencimiento acelerado de la sesión, PAN-OS
divide el tiempo de inactividad configurado (para ese tipo de sesión)
entre el factor de escala para determinar un tiempo de espera más corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesión que por lo
general vencería después de 3600 segundos lo hará 10 veces más rápido
(en 1/10 del tiempo), es decir, 360 segundos.
Tiempos de espera de sesión
El tiempo de espera de una sesión define la duración para la que PAN-OS mantiene una
sesión en el cortafuegos después de la inactividad en esa sesión. De forma predeterminada,
cuando la sesión agota su tiempo de espera para el protocolo, PAN-OS cierra la sesión.
En el cortafuegos, puede definir un número de tiempos de espera para sesiones TCP, UDP e
ICMP por separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de
sesión. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas la
sesiones de ese tipo en el cortafuegos.
Además de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada
aplicación en la pestaña Objetos > Aplicaciones. Los tiempos de espera disponibles para esa
aplicación aparecen en la ventana Opciones. El cortafuegos aplica los tiempos de espera de la
aplicación a una aplicación que esté en estado Establecido. Cuando se configuran, los tiempos
de espera para una aplicación anulan los tiempos de espera globales de la sesión TCP o UDP.
Palo Alto Networks
Gestión de dispositivos • 55
Utilice las opciones de esta sección para configurar los ajustes de los tiempos de espera
globales: específicamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de
sesiones.
Los valores predeterminados son valores óptimos. Sin embargo, puede modificarlos según
las necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mínimos en la red, lo que podría producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podría retrasarse la
detección de errores.
Tabla 14. Tiempos de espera de sesión
Campo
Descripción
Valor predeterminado
Tiempo máximo que una sesión que no es TCP/UDP ni ICMP se puede
abrir sin una respuesta.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.
Descartar tiempo de
espera
– Descartar valor
predeterminado
– Descartar TCP
PAN-OS aplica el tiempo de espera de descarte cuando se deniega una
sesión debido a las políticas de seguridad configuradas en el cortafuegos.
Solo se aplica al tráfico que no es de TCP/UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999
segundos.
Se aplica al tráfico de TCP.
El valor predeterminado es 90 segundos; el intervalo es 1-1599999
segundos.
– Descartar UDP
Se aplica al tráfico de UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999
segundos.
ICMP
Tiempo máximo que una sesión ICMP puede permanecer abierta sin una
respuesta de ICMP.
El valor predeterminado es 6 segundos; el intervalo es 1-1599999 segundos.
Analizar
Tiempo máximo que cualquier sesión puede permanecer abierta después
de ser considerada inactiva. PAN-OS considera inactiva una aplicación
cuando supera el umbral de generación definido para la misma.
El valor predeterminado es 10 segundos; el intervalo es 5-30 segundos.
TCP
Tiempo máximo que una sesión TCP permanece abierta sin una respuesta
después de que una sesión TCP active el estado Establecido (después de
que se complete el protocolo o la transmisión de datos haya comenzado).
El valor predeterminado es 3600 segundos; el intervalo es 1-1599999
segundos.
Protocolo de enlace
TCP
Tiempo máximo entre la recepción de SYN-ACK y la siguiente ACK para
establecer completamente la sesión.
El valor predeterminado es 10 segundos; el intervalo es 1-60 segundos.
Inicialización de TCP
Tiempo máximo entre la recepción de SYN y SYN-ACK antes de iniciar el
temporizador del protocolo de enlace TCP.
Valor predeterminado: 5 segundos; el intervalo es 1-60 segundos
TCP semicerrado
Tiempo máximo entre la recepción del primer FIN y la recepción del
segundo FIN o RST.
Valor predeterminado: 120 segundos; el intervalo es 1-604800 segundos
56 • Gestión de dispositivos
Palo Alto Networks
Tabla 14. Tiempos de espera de sesión (Continuación)
Campo
Descripción
Tiempo de espera TCP
Tiempo máximo después de recibir el segundo FIN o RST.
Valor predeterminado: 15 segundos; el intervalo es 1-600 segundos
RST sin verificar
Tiempo máximo después de recibir un RST que no se puede verificar
(el RST está dentro de la ventana TCP pero tiene un número de secuencia
inesperado o el RST procede de una ruta asimétrica).
Valor predeterminado: 30 segundos; el intervalo es 1-600 segundos
UDP
Tiempo máximo que una sesión UDP permanece abierta sin una respuesta
de UDP.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.
Portal cautivo
Tiempo de espera de la sesión de autenticación para el formato web
del portal cautivo. Para acceder al contenido solicitado, el usuario debe
introducir las credenciales de autenticación en este formato y autenticarse
correctamente.
El valor predeterminado es 0 segundos; el intervalo es 1-1599999 segundos.
Para definir otros tiempos de espera del portal cautivo, como el temporizador de inactividad y el tiempo que debe pasar para volver a autenticar
al usuario, utilice la pestaña Dispositivo > Identificación de usuario >
Configuración de portal cautivo. Consulte “Pestaña Configuración de
portal cautivo”.
Ajustes de descifrado: Comprobación de revocación de certificado
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Comprobación de revocación
de certificado para establecer los parámetros descritos en la siguiente tabla.
Tabla 15. Características de sesión: Comprobación de revocación de certificado
Campo
Descripción
Habilitar: CRL
Seleccione esta casilla de verificación para utilizar el método de la lista de
revocación de certificados (CRL) y verificar el estado de revocación de los
certificados.
Si también activa el protocolo de estado de certificado en línea (OCSP), el
cortafuegos primero prueba con él; si el servidor OCSP no está disponible,
entonces el cortafuegos intenta utilizar el método CRL.
Para obtener más información sobre los certificados de descifrado, consulte
“Políticas de descifrado”.
Tiempo de espera de
recepción: CRL
Si ha activado el método CLR para verificar el estado de revocación
de certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de CRL.
Habilitar: OCSP
Seleccione la casilla de verificación para utilizar OCSP y verificar el estado
de revocación de los certificados.
Tiempo de espera de
recepción: OCSP
Si ha activado el método OCSP para verificar el estado de revocación
de certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de OCSP.
Palo Alto Networks
Gestión de dispositivos • 57
Tabla 15. Características de sesión: Comprobación de revocación de certificado (ContiCampo
Descripción
Bloquear sesión con
estado de certificado
desconocido
Seleccione la casilla de verificación para bloquear sesiones SSL/TLS
cuando el servicio OCSP o CRL devuelva un estado de revocación de
certificados desconocido. De lo contrario, el cortafuegos continuará con
la sesión.
Bloquear sesión al
agotar el tiempo
de espera de
comprobación de
estado de certificado
Seleccione la casilla de verificación para bloquear sesiones SSL/TLS
después de que el cortafuegos registre un tiempo de espera de la solicitud
de OCSP o CRL. De lo contrario, el cortafuegos continuará con la sesión.
Tiempo de espera del
estado del certificado
Especifique el intervalo en segundos (1-60 segundos, 5 de forma
predeterminada) tras el cual el cortafuegos deja de esperar una respuesta
de cualquier servicio de estado de certificados y aplica la lógica de bloqueo
de sesión que opcionalmente defina. El Tiempo de espera del estado del
certificado se relaciona con el Tiempo de espera de recepción de OCSP/
CRL de la manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo
de espera de solicitud después de que pase el menor de dos intervalos:
el valor de Tiempo de espera del estado del certificado o la suma de los
dos valores de Tiempo de espera de recepción.
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de CRL.
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Reenviar los ajustes de
certificados del servidor proxy para configurar el tamaño de clave y el algoritmo de hash de
los certificados que presenta el cortafuegos a los clientes cuando establecen sesiones para el
descifrado del proxy de reenvío SSL/TLS. La siguiente tabla describe los parámetros.
58 • Gestión de dispositivos
Palo Alto Networks
Tabla 16. Características de sesión: Reenviar los ajustes de certificados del servidor proxy
Campo
Descripción
Definido por el host
de destino
Seleccione esta opción si desea que PAN-OS genere certificados basados en
la clave que utiliza el servidor de destino.
• Si el servidor de destino utiliza una clave RSA de 1024 bits, PAN-OS
genera un certificado con ese tamaño de clave y un algoritmo de hash
SHA-1.
• Si el servidor de destino utiliza un tamaño de clave superior a 1024 bits
(por ejemplo, 2048 o 4096 bits), PAN-OS genera un certificado que utiliza
una clave de 2048 bits y un algoritmo SHA-256.
Es el ajuste predeterminado.
RSA de 1024 bits
Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 1024 bits y un algoritmo de hash SHA-1
independientemente del tamaño de clave que utiliza el servidor de destino.
A fecha de 31 de diciembre de 2013, las entidades de certificación públicas
(CA) y navegadores más populares han limitado la compatibilidad con los
certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro,
según su configuración de seguridad, cuando el navegador presente
dichas claves, el usuario podría recibir un aviso o se podría bloquear
completamente la sesión SSL/TLS.
RSA de 2048 bits
Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 2048 bits y un algoritmo de hash SHA-256
independientemente del tamaño de clave que utiliza el servidor de
destino. Las CA públicas y los navegadores más populares admiten
claves de 2048 bits, que proporcionan más seguridad que las claves de
1024 bits.
Comparación de archivos de configuración
Dispositivo > Auditoría de configuraciones
Puede ver y comparar archivos de configuración utilizando la página Auditoría de
configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas.
Seleccione el número de líneas que desee incluir para el contexto y haga clic en Ir.
El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente
ilustración.
La página también incluye los botones
y
junto a las listas desplegables, que se
habilitan al comparar dos versiones de configuración consecutivas. Haga clic en
para cambiar las configuraciones que se están comparando por el conjunto anterior de
configuraciones guardadas y en
para cambiar las configuraciones que se están
comparando por el conjunto siguiente de configuraciones guardadas.
Palo Alto Networks
Gestión de dispositivos • 59
Ilustración 1. Comparación de configuraciones
Panorama guarda automáticamente todos los archivos de configuración que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a través
de la interfaz de Panorama o localmente en el cortafuegos.
Instalación de una licencia
Dispositivo > Licencias
Al adquirir una suscripción de Palo Alto Networks, recibirá un código de autorización para
activar una o más claves de licencia.
Las siguientes acciones están disponibles en la página Licencias:
•
Recuperar claves de licencia del servidor de licencias: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que se han activado en el portal de
asistencia técnica, haga clic en Recuperar claves de licencia del servidor de licencias.
•
Activar característica mediante código de autorización: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que no se han activado
anteriormente en el portal de asistencia técnica, haga clic en Activar característica
mediante código de autorización. Introduzca su código de autorización y haga clic
en ACEPTAR.
60 • Gestión de dispositivos
Palo Alto Networks
•
Clave de licencia de carga manual: Si el cortafuegos no tiene conexión con el servidor de
licencias y desea cargar claves de licencia manualmente, realice los siguientes pasos:
a. Descargue el archivo de clave de licencia en http://support.paloaltonetworks.com y
guárdelo localmente.
b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PANDB for URL Filtering), tendrá que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuación, hacer clic en Activar.
También puede ejecutar el comando de CLI "request url-filtering download
paloaltonetworks region <region name>".
Si vence la suscripción de prevención de amenazas en el cortafuegos, ocurrirá lo siguiente:
•
Una entrada de log aparecerá en el log del sistema indicando que se ha cancelado la
suscripción.
•
Todas las funciones de prevención de amenazas continuarán funcionado con las firmas
que se instalaron en el momento en que caducó la licencia.
•
Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia
válida. De igual forma, la capacidad de restablecimiento a una versión anterior de las
firmas no es compatible si la licencia ha caducado.
•
Las firmas de App-ID personalizadas continuarán funcionando y se pueden modificar.
La licencia de derechos de soporte técnico no está vinculada a la suscripción de la prevención
de amenazas. Si la licencia de soporte caduca, la prevención de amenazas y sus
actualizaciones continuarán funcionando normalmente. Si los derechos de soporte caducan,
las actualizaciones de software del sistema dejarán de funcionar. Deberá renovar su licencia
para continuar teniendo acceso a las actualizaciones de software e interactuar con el grupo
de soporte técnico. Póngase en contacto con el equipo de operaciones y ventas de Palo Alto
Networks para obtener información sobre cómo renovar sus licencias o suscripciones.
Definición de orígenes de información de VM
Dispositivo > Orígenes de información de VM
Utilice esta pestaña para registrar cambios activamente en las máquinas virtuales (VM)
implementadas en cualquier de estos orígenes (servidor ESXi de VMware, servidor vCenter
de VMware o Amazon Web Services, Virtual Private Cloud (AWS-VPC). Hay dos formas de
supervisar los orígenes de información de VM.
Palo Alto Networks
Gestión de dispositivos • 61
•
El cortafuegos puede supervisar el servidor ESXi de VMware, el servidor vCenter de
VMware y los entornos AWS-VPC, así como y recuperar cambios conforme realiza
el abastecimiento o modifica los invitados en estos orígenes supervisados. En cada
cortafuegos o sistema virtual de cortafuegos que admita varios sistemas virtuales,
puede configurar hasta 10 orígenes.
Si sus cortafuegos están configurados con alta disponibilidad:
– En una configuración activa/pasiva, solo el cortafuegos activo supervisa los orígenes
de la información de la máquina virtual.
– En una configuración activa/pasiva, solo el cortafuegos con el valor de prioridad
principal supervisa los orígenes de la máquina virtual.
Para obtener información sobre cómo funcionan de forma sincronizada los orígenes de
información de la VM y los grupos de direcciones dinámicas, y poder supervisar los
cambios en el el entorno virtual, consulte la Guía de implementación de la serie VM.
•
Para la dirección IP de la identificación de usuario, puede configurar los orígenes de
la información de VM en el agente de User-ID de Windows o en el cortafuegos para
supervisar los servidores ESXi de VMware y vCenter y recuperar los cambios conforme
realiza el abastecimiento o modifica los invitados configurados en el servidor. Se admiten
hasta 100 orígenes en el agente de User-ID de Windows; el agente de User-ID de
Windows no admite AWS.
Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecución. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.
62 • Gestión de dispositivos
Palo Alto Networks
Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos.
Atributos supervisados en un origen de VMware
Atributos supervisados en el AWS-VPC
•
UUID
•
Arquitectura
•
Nombre
•
Sistema operativo invitado
•
Sistema operativo invitado
•
ID de imagen
•
Estado de máquina virtual: el estado de
alimentación es apagado, encendido, en
espera y desconocido.
•
ID de instancia
•
Estado de instancia
•
Anotación
•
Tipo de instancia
•
Versión
•
Nombre de clave
•
Red: nombre del conmutador virtual, nombre
del grupo de puerto e ID de VLAN
•
Colocación: arrendamiento, nombre de
grupo, zona de disponibilidad
•
Nombre del contenedor: nombre de vCenter,
nombre del objeto del centro de datos, nombre
del grupo de recursos, nombre del clúster, host,
dirección IP del host.
•
Nombre de DNS privado
•
Nombre de DNS público
•
ID de subred
•
Etiqueta (clave, valor) (se admiten hasta
5 etiquetas por instancia)
•
ID de VPC
Añadir: para añadir un nuevo origen para la supervisión de VM, haga clic en Añadir y, a
continuación, complete los detalles basados en el origen que se está supervisando:
•
Para el servidor ESXi de VMware o vCenter, consulte “Activación de los orígenes de
información de la VM para los servidores ESXi de VMware o vCenter”.
•
Para AWS-VPC, consulte “Activación de los orígenes de información de la VM para
AWS VPC”.
Actualizar conectados: Haga clic para actualizar el estado de la conexión; se actualiza la
visualización en pantalla. Este botón no actualiza la conexión entre el cortafuegos y los
orígenes supervisados.
Eliminar: Seleccione un origen de información de máquina virtual configurado y haga clic
para eliminar el origen configurado.
Palo Alto Networks
Gestión de dispositivos • 63
Tabla 17. Activación de los orígenes de información de la VM para los servidores
ESXi de VMware o vCenter
Campo
Descripción
Nombre
Introduzca un nombre para identificar el origen supervisado (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
Tipo
Seleccione si el host/origen que se está supervisando es un servidor ESXi
o vCenter.
Descripción
(Optativo) Añada una etiqueta para identificar la ubicación o función
del origen.
Puerto
Especifique el puerto en el que está escuchando el host/origen.
(puerto predeterminado 443).
Habilitado
De forma predeterminada, la comunicación entre el cortafuegos y el
origen configurado está activada.
El estado de conexión entre el origen supervisado y el cortafuegos
aparece en la interfaz de la siguiente forma:
–
Conectado
–
Desconectado
–
Pendiente; el estado de la conexión también aparece en amarillo
cuando se deshabilita el origen supervisado.
Quite la marca de la casilla de verificación correspondiente para
deshabilitar la comunicación entre el host y el cortafuegos.
Tiempo de espera
Introduzca el intervalo en horas después del cual se cierra la conexión al
origen supervisado, si el host no responde. (de forma predeterminada:
2 horas, rango de 2-10 horas)
(Optativo) Para cambiar el valor predeterminado, seleccione la casilla
de verificación Habilitar el tiempo de espera cuando el origen esté
desconectado y especifique el valor. Cuando se alcanza el límite
especificado o si no se puede acceder al host o este no responde, el
cortafuegos cerrará la conexión al origen.
IP Origen
Introduzca el FQDN o la dirección IP del host/origen que se está
supervisando.
Nombre de usuario
Especifique el nombre de usuario necesario para autenticar para el origen.
Contraseña
Introduzca la contraseña y confirme la entrada.
Intervalo de
actualización
Especifique el intervalo en el que el cortafuegos recupera información
del origen. (de forma predeterminada, 5 segundos, el rango es de
5-600 segundos)
64 • Gestión de dispositivos
Palo Alto Networks
Tabla 18. Activación de los orígenes de información de la VM para AWS VPC
Campo
Descripción
Nombre
Introduzca un nombre para identificar el origen supervisado (de hasta
31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas
y debe ser exclusivo. Utilice únicamente letras, números, espacios,
guiones y guiones bajos.
Tipo
Seleccione VPC de AWS.
Descripción
(Optativo) Añada una etiqueta para identificar la ubicación o función
del origen.
Habilitado
De forma predeterminada, la comunicación entre el cortafuegos y el
origen configurado está activada.
El estado de conexión entre el origen supervisado y el cortafuegos
aparece en la interfaz de la siguiente forma:
–
Conectado
–
Desconectado
–
Pendiente; El estado de la conexión también aparece en
amarillo cuando se deshabilita el origen supervisado.
Quite la marca de la casilla de verificación correspondiente para
deshabilitar la comunicación entre el host y el cortafuegos.
IP Origen
Añada la URI en la que reside la Virtual Private Cloud. Por ejemplo,
ec2.us-west-1.amazonaws.com.
La sintaxis es: ec2.<su_región_AWS>.amazonaws.com
Introduzca la cadena de texto alfanumérico que identifica de forma
exclusiva al usuario propietario o con autorización de acceso a la cuenta
de AWS.
ID de clave de acceso
Esta información es una parte de las credenciales de seguridad de AWS.
El cortafuegos necesitas las credenciales (ID de clave de acceso y clave de
acceso secreto) para firmar digitalmente las llamadas de API realizadas a
los servicios de AWS.
Clave de acceso secreto
Introduzca la contraseña y confirme la entrada.
Intervalo de actualización
Especifique el intervalo en el que el cortafuegos recupera información
del origen. (de forma predeterminada, 60 segundos, el rango es de
60-1200 segundos)
Tiempo de espera
Intervalo en horas después del cual se cierra la conexión al origen
supervisado, si el host no responde. (valor predeterminado 2 horas)
(Optativo) Seleccione la casilla de verificación Habilitar el tiempo de
espera cuando el origen esté desconectado. Cuando se alcanza el límite
especificado o si no se puede acceder al origen o este no responde, el
cortafuegos cerrará la conexión al origen.
ID de VPC
Introduzca el ID del AWS-VPC para supervisar, por ejemplo, vpc1a2b3c4d. Solo se supervisan las instancias de EC2 implementadas en
este VPC.
Si su cuenta se configura para usar un VPC predeterminado, el ID del
VPC predeterminado aparecerá en los atributos de cuenta de AWS.
Palo Alto Networks
Gestión de dispositivos • 65
Instalación de software
Dispositivo > Software
Utilice esta página para instalar una versión del software: vea las versiones disponibles,
seleccione la versión que desea descargar e instalar (se necesita una licencia de asistencia
técnica), acceda y lea las notas de la versión concreta y actualice o desactualice la versión.
Siga estas recomendaciones antes de actualizar o desactualizar la versión de software:
•
Lea las notas de la versión para ver una descripción de los cambios de una versión y la
ruta de migración para instalar el software.
•
Realice una copia de seguridad de su configuración actual, ya que una versión con
características puede migrar determinadas configuraciones para admitir nuevas
características. (Haga clic en la pestaña Dispositivo > Configuración > Operaciones y
seleccione Exportar instantánea de configuración con nombre, seleccione runningconfig.xml y, a continuación, haga clic en ACEPTAR para guardar el archivo de
configuración en su ordenador.)
•
Cuando realice una desactualización, se recomienda que lo haga a una configuración que
coincida con la versión del software.
•
Al actualizar un par de alta disponibilidad (HA) a una nueva versión con características
(en la que cambie el primero o el segundo dígito de la versión de PAN-OS; p. ej., de 4.1. o
5.0 a 6.0), puede que se migre la configuración para admitir nuevas características. Si está
habilitada la sincronización de sesiones, las sesiones no se sincronizarán si un dispositivo
del clúster tiene una versión con características de PAN-OS diferente.
•
Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS
está firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva
versión. Si el ajuste de fecha del cortafuegos no está actualizado, puede que el dispositivo
crea equivocadamente que la firma del software es futura, por lo que mostrará el mensaje
Error de descifrado: la edición de GnuPG no es cero, con código 171072;
error al cargar en el gestor de software PAN.
En la siguiente tabla se proporciona ayuda para utilizar esta pantalla.
Tabla 19. Opciones de software
Campo
Descripción
Versión
Muestra las versiones de software que están disponibles actualmente en
el servidor de actualizaciones de Palo Alto Networks. Para comprobar si
hay una nueva versión de software disponible en Palo Alto Networks,
haga clic en Comprobar ahora. El cortafuegos utiliza la ruta del servicios
para conectar al servidor de actualizaciones y comprueba la existencia
de nuevas versiones. Si hay actualizaciones disponibles, las muestra al
principio de la lista.
Tamaño
Tamaño de la imagen del software.
Fecha de versión
Fecha y hora en la que Palo Alto Networks publicó la versión.
Descargado
Una marca de verificación en esta columna indica que se ha descargado la
versión correspondiente de la imagen de software en el cortafuegos.
Instalado actualmente
Una marca de verificación en esta columna indica que se ha activado o se
está ejecutando actualmente la versión correspondiente de la imagen de
software en el cortafuegos.
66 • Gestión de dispositivos
Palo Alto Networks
Tabla 19. Opciones de software (Continuación)
Campo
Descripción
Acción
Indica la acción actual que puede realizar para la imagen de software
correspondiente de la siguiente forma:
• Descargar: la versión de software correspondiente está disponible en
el servidor de actualizaciones de Palo Alto Networks. Haga clic en
el enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Internet, utilice un ordenador conectado a Internet para ir al sitio
Actualizar software para buscar y Descargar la versión de software en
su ordenador local. A continuación, haga clic en el botón Cargar para
cargar manualmente la imagen de software en el cortafuegos.
• Instalar: Se ha descargado la versión de software correspondiente en el
cortafuegos. Haga clic en el enlace para instalar el software. Se necesita
reiniciar para completar el proceso de actualización.
• Reinstalar: se ha instalado la versión de software correspondiente.
Para volver a instalar la misma versión, haga clic en el enlace.
Notas de versión
Proporciona un enlace a las notas de la versión de la versión
correspondiente.
Elimine la imagen de software descargada anteriormente del cortafuegos.
Únicamente puede eliminar la imagen base en el caso de versiones
anteriores que no necesiten actualizarse. Por ejemplo, si está ejecutando
5.1, probablemente no necesitará las imágenes base de 5.0 y 4.0, a menos
que tenga la intención de desactualizar el software a dichas versiones.
Palo Alto Networks
Gestión de dispositivos • 67
Actualización de definiciones de aplicaciones y amenazas
Dispositivo > Actualizaciones dinámicas
Panorama > Actualizaciones dinámicas
Palo Alto Networks publica periódicamente actualizaciones para la detección de aplicaciones,
protección frente amenazas y archivos de datos de GlobalProtect mediante actualizaciones
dinámicas para las siguientes funciones:
•
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas
descubiertas por el servicio en la nube WildFire. Debe contar con una suscripción a
prevención de amenazas para obtener estas actualizaciones. Se publican nuevas firmas
de antivirus todos los días.
•
Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualización no
requiere suscripciones adicionales, pero sí un contrato de asistencia/mantenimiento en
vigor. Todas las semanas se publican nuevas actualizaciones de aplicaciones.
•
Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y
actualizadas. Esta actualización está disponible si cuenta con una suscripción de
prevención de amenazas (y la obtiene en lugar de la actualización de aplicaciones).
Todas las semanas se publican nuevas aplicaciones y amenazas.
•
Archivo de datos de GlobalProtect: Contiene la información específica del proveedor
para definir y evaluar los datos del perfil de información del host (HIP) proporcionados
por los agentes de GlobalProtect. Debe tener una licencia de puerta de enlace de
GlobalProtect y portal GlobalProtect para recibir estas actualizaciones. Además, debe
crear una programación para estas actualizaciones antes de que GlobalProtect funcione.
•
Filtrado de URL de BrightCloud: Ofrece actualizaciones únicamente para la base de
datos de filtrado de URL de BrightCloud. Debe contar con una suscripción a BrightCloud
para obtener estas actualizaciones. Todos los días se publican nuevas actualizaciones de la
base de datos de URL de BrightCloud. Si tiene una licencia de PAN-DB, las actualizaciones
programadas no son necesarias ya que los dispositivos permanecen sincronizados con los
servidores de forma automática.
•
WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real
como consecuencia del análisis realizado por el servicio de la nube de WildFire. Sin la
suscripción, debe esperar de 24 a 48 horas para que las firmas entren a formar parte de
la actualización de aplicaciones y amenazas.
•
WF-Private: Proporciona firmas de software malintencionado y antivirus casi en tiempo
real como consecuencia del análisis realizado por un dispositivo de WildFire (WF-500).
Para recibir actualizaciones de contenido procedentes de un WF-500, el cortafuegos y
el dispositivo se deben ejecutar en PAN-OS 6.1 o superior y el cortafuegos debe estar
configurado para el uso del dispositivo de WildFire para el análisis de enlaces de correo
electrónico/archivos.
Puede ver las actualizaciones más recientes, leer las notas de versión de cada actualización y,
a continuación, seleccionar la actualización que desee descargar e instalar. También puede
revertir a una versión de una actualización instalada anteriormente.
Si está administrando sus cortafuegos con Panorama y desea programar actualizaciones dinámicas para
uno o varios cortafuegos, consulte “Programación de actualizaciones dinámicas”.
68 • Gestión de dispositivos
Palo Alto Networks
En la siguiente tabla se proporciona ayuda para utilizar esta página.
Tabla 20. Opciones de las actualizaciones dinámicas
Campo
Descripción
Versión
Muestra las versiones disponibles actualmente en el servidor de
actualizaciones de Palo Alto Networks. Para comprobar si hay una nueva
versión de software disponible en Palo Alto Networks, haga clic en
Comprobar ahora. El cortafuegos utiliza la ruta del servicios para
conectar al servidor de actualizaciones y comprueba la existencia de
nuevas versiones. Si hay actualizaciones disponibles, las muestra al
principio de la lista.
Última comprobación
Muestra la fecha y hora en la que el cortafuegos se conectó por última vez
al servidor de actualizaciones y comprobó si había alguna actualización
disponible.
Programación
Le permite programar la frecuencia de recuperación de actualizaciones.
Defina la frecuencia y el momento para la descarga de software
(día o fecha y hora), ya sea solo para la descarga de las actualizaciones o para la descarga e instalación de estas en el cortafuegos.
Cuando programa una descarga, puede especificar el tiempo de espera
antes de la actualización de contenidos, si desea retrasar la instalación
de nuevas actualizaciones hasta que haya transcurrido un determinado
número de horas desde su publicación. Para ello, introduzca el número
de horas que debe esperarse en el campo Umbral (Horas).
Nombre de archivo
Muestra el nombre de archivo; incluye información de la versión de
contenido.
Tipo
Indica si la descarga es una actualización completa o una actualización
incremental.
Tamaño
Muestra el tamaño de la imagen del software.
Fecha de versión
Fecha y hora en la que Palo Alto Networks publicó la versión.
Descargado
Una marca de verificación en esta columna indica que se ha descargado la
versión correspondiente de la imagen de software en el cortafuegos.
Instalado actualmente
Una marca de verificación en esta columna indica que se ha activado o se
está ejecutando actualmente la versión correspondiente de la imagen de
software en el cortafuegos.
Acción
Indica la acción actual que puede realizar para la imagen de software
correspondiente de la siguiente forma:
• Descargar: la versión de software correspondiente está disponible en
el servidor de actualizaciones de Palo Alto Networks. Haga clic en el
enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Internet, utilice un ordenador conectado a Internet para ir al sitio
Actualizar software para buscar y descargar la versión de software en
su ordenador local. A continuación, haga clic en el botón Cargar para
cargar manualmente la imagen de software en el cortafuegos.
• Instalar: Se ha descargado la versión de software correspondiente en el
cortafuegos. Haga clic en el enlace para instalar el software. Se necesita
reiniciar para completar el proceso de actualización.
• Revertir: Anteriormente se ha descargado la versión de software
correspondiente. Para volver a instalar la misma versión, haga clic en
el enlace.
Palo Alto Networks
Gestión de dispositivos • 69
Tabla 20. Opciones de las actualizaciones dinámicas (Continuación)
Campo
Descripción
Notas de versión
Proporciona un enlace a las notas de la versión de la versión
correspondiente.
Elimine la imagen de software descargada anteriormente del cortafuegos.
Únicamente puede eliminar la imagen base en el caso de versiones
anteriores que no necesiten actualizarse. Por ejemplo, si está ejecutando
5.1, probablemente no necesitará las imágenes base de 5.0 y 4.0, a menos
que tenga la intención de desactualizar el software a dichas versiones.
Funciones, perfiles y cuentas de administrador
El cortafuegos admite las siguientes opciones para autenticar a usuarios administrativos
que intentan iniciar sesión en el cortafuegos:
•
Base de datos local: La información de inicio de sesión y contraseña de usuario se
introduce directamente en la base de datos del cortafuegos.
•
RADIUS: Se utilizan servidores Remote Authentication Dial In User Service (RADIUS)
existentes para autenticar a los usuarios.
•
LDAP: Se utilizan servidores Lightweight Directory Access Protocol (LDAP) existentes
para autenticar a los usuarios.
•
Kerberos: Se utilizan servidores Kerberos existentes para autenticar a los usuarios.
•
Certificado de cliente: Se utilizan certificados de cliente existentes para autenticar a
los usuarios.
Cuando crea una cuenta administrativa, debe especificar autenticación local o certificado
de cliente (sin perfil de autenticación), o bien un perfil de autenticación (RADIUS, LDAP,
Kerberos o autenticación de base de datos local). Este ajuste determina el modo en que se
comprueba la autenticación del administrador.
Las funciones de administrador determinan las funciones que el administrador tiene
permitido realizar tras iniciar sesión. Puede asignar funciones directamente a una cuenta
de administrador o definir perfiles de funciones, que especifican privilegios detallados, y
asignarlos a cuentas de administrador.
Consulte las siguientes secciones para obtener información adicional:
•
Para obtener instrucciones sobre cómo configurar perfiles de autenticación, consulte
“Configuración de perfiles de autenticación”.
•
Para obtener instrucciones sobre cómo configurar perfiles de funciones, consulte
“Definición de funciones de administrador”.
•
Para obtener instrucciones sobre cómo configurar cuentas, consulte “Creación de cuentas
administrativas”.
•
Para obtener información sobre redes privadas virtuales (VPN) SSL, consulte
“Configuración de GlobalProtect”.
70 • Gestión de dispositivos
Palo Alto Networks
•
Para obtener instrucciones sobre cómo definir dominios de sistemas virtuales para
administradores, consulte “Especificación de dominios de acceso para administradores”.
•
Para obtener instrucciones sobre cómo definir perfiles de certificado para
administradores, consulte “Creación un perfil de certificados”.
Definición de funciones de administrador
Dispositivo > Funciones de administrador
Utilice la página Funciones de administrador para definir perfiles de funciones que
determinen el acceso y las responsabilidades disponibles para los usuarios administrativos.
Para obtener instrucciones sobre cómo añadir cuentas de administrador, consulte “Creación
de cuentas administrativas”.
También hay tres funciones de administrador predefinidas que se pueden utilizar con fines de
criterios comunes. Primero utiliza la función Superusuario para la configuración inicial del
dispositivo y para crear las cuentas de administrador para el administrador de seguridad,
el administrador de auditoría y el administrador criptográfico. Una vez se hayan creado las
cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas,
podrá iniciar sesión utilizando esas cuentas. La cuenta Superusuario predeterminada en el
modo CC o FIPS es admin y la contraseña predeterminada es paloalto. En el modo de
funcionamiento estándar, la contraseña predeterminada de admin es admin. Las funciones
de administrador predefinidas se han creado donde las capacidades no se solapan, excepto en
que todas tienen un acceso de solo lectura a la traza de auditoría (excepto el administrador de
auditoría con acceso de lectura/eliminación completo). Estas funciones de administrador no
se pueden modificar y se definen de la manera siguiente:
•
Administrador de auditoría: El administrador de auditoría es responsable de la revisión
regular de los datos de auditoría del cortafuegos.
•
Administrador criptográfico: El administrador criptográfico es responsable de la
configuración y el mantenimiento de los elementos criptográficos relacionados con el
establecimiento de conexiones seguras con el cortafuegos.
•
Administrador de seguridad: El administrador de seguridad es responsable del resto de
tareas administrativas (p. ej., la creación de la política de seguridad del cortafuegos) no
asumidas por las otras dos funciones administrativas.
Palo Alto Networks
Gestión de dispositivos • 71
Para añadir una función de administrador, haga clic en Añadir y especifique la siguiente
información.
Tabla 21. Configuración de funciones de administrador
Campo
Descripción
Nombre
Introduzca un nombre para identificar esta función de administrador
(de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, guiones y guiones bajos.
Descripción
Introduzca una descripción opcional de la función (de hasta 255
caracteres).
Función
Seleccione el ámbito de responsabilidad administrativa: dispositivo o
sistema virtual (para dispositivos habilitados para sistemas virtuales
múltiples).
Interfaz de usuario web
Haga clic en los iconos de áreas especificadas para indicar el tipo de
acceso permitido
para la interfaz web:
• Habilitar: acceso de lectura/escritura a la pestaña seleccionada.
• Solo lectura: acceso de solo lectura a la pestaña seleccionada.
• Deshabilitar: sin acceso a la pestaña seleccionada.
API XML
Haga clic en los iconos de áreas especificadas para indicar el tipo de
acceso permitido
para la API XML.
Línea de comandos
Seleccione el tipo de función para el acceso a la CLI:
• Ninguno: El acceso a la CLI del dispositivo no está permitido.
• Superusuario: El acceso al dispositivo actual es completo.
• Superlector: El acceso al dispositivo actual es de solo lectura.
• Deviceadmin: El acceso a un dispositivo seleccionado es completo,
excepto al definir nuevas cuentas o sistemas virtuales.
• Devicereader: El acceso a un dispositivo seleccionado es de solo lectura.
Definición de perfiles de contraseña
Dispositivo > Perfiles de contraseña y Panorama > Perfiles de contraseña
Los perfiles de contraseña le permiten establecer requisitos de contraseña básicos para
una cuenta local individual. Si habilita Complejidad de contraseña mínima (consulte
“Complejidad de contraseña mínima”), que proporciona requisitos de contraseña para
todas las cuentas locales, este perfil de contraseña cancelará esos ajustes.
72 • Gestión de dispositivos
Palo Alto Networks
Para crear un perfil de contraseña, haga clic en Añadir y especifique la siguiente información.
Tabla 22. Configuración de perfil de contraseña
Campo
Descripción
Nombre
Introduzca un nombre para identificar el perfil de contraseña (de hasta
31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Período necesario
para el cambio de
contraseña (días)
Período de
advertencia de
vencimiento (días)
Exija que los administradores cambien su contraseña con la regularidad
especificada por el número de días establecido, de 0 a 365 días. Por ejemplo,
si el valor se establece como 90, se pedirá a los administradores que cambien
su contraseña cada 90 días.
También puede establecer una advertencia de vencimiento de 0-30 días y
especificar un período de gracia.
Si se establece un período necesario para el cambio de contraseña, este ajuste
puede utilizarse para pedir al usuario que cambie su contraseña cada vez
que inicie sesión a medida que se acerque la fecha obligatoria de cambio de
contraseña (rango: 0-30 días).
Recuento de inicio
de sesión de
administrador
posterior al
vencimiento
Permita que el administrador inicie sesión el número de veces especificado
después de que su cuenta haya vencido. Por ejemplo, si el valor se ha
establecido como 3 y su cuenta ha vencido, podrá iniciar sesión 3 veces
más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión).
Período de gracia
posterior al
vencimiento (días)
Permita que el administrador inicie sesión el número de días especificado
después de que su cuenta haya vencido (rango: 0-30 días).
Para aplicar un perfil de contraseña a una cuenta, seleccione Dispositivo > Administradores
(para cortafuegos) o Panorama > Administradores, seleccione una cuenta y, a continuación,
seleccione el perfil en la lista desplegable Perfil de la contraseña.
Palo Alto Networks
Gestión de dispositivos • 73
Requisitos de nombre de usuario y contraseña
La tabla siguiente enumera los caracteres válidos que se pueden utilizar en nombres de
usuario y contraseñas para cuentas de PAN-OS y Panorama.
Tabla 23. Caracteres válidos para nombres de usuario y contraseñas
Tipo de cuenta
Restricciones
Conjunto de caracteres de
contraseña
No hay ninguna restricción en los conjuntos de caracteres de los campos
de contraseña.
Administrador remoto, VPN
SSL o portal cautivo
Los siguientes caracteres no están permitidos para el nombre de usuario:
• Acento grave (`)
• Corchetes angulares (< y >)
• Y comercial (&)
• Asterisco (*)
• Arroba (@)
• Signos de interrogación (¿ y ?)
• Barra vertical (|)
• Comilla simple (‘)
• Punto y coma (;)
• Comillas (“ y ”)
• Signo del dólar ($)
• Paréntesis (“(” y “)”)
• Dos puntos (:)
Cuentas de administrador
locales
Los siguientes son los caracteres permitidos para los nombres de usuario locales:
• Minúsculas (a-z)
• Mayúsculas (A-Z)
• Números (0-9)
• Guión bajo (_)
• Punto (.)
• Guión (-)
Nota: Los nombres de inicio de sesión no pueden empezar por guión (-).
Creación de cuentas administrativas
Dispositivo > Administradores
Panorama > Administradores
Las cuentas de administrador controlan el acceso a los dispositivos. Un administrador de
cortafuegos (Dispositivo > Administradores) puede tener acceso completo o de solo lectura a
un único cortafuegos o a un sistema virtual en un único cortafuegos. Un administrador de
Panorama (Panorama > Administradores) puede tener acceso completo o de solo lectura a
Panorama y a todos los cortafuegos que gestiona. Para obtener más información específica de
Panorama, consulte “Creación de cuentas administrativas de Panorama”. Tanto Panorama
como los cortafuegos individuales tienen una cuenta de administrador predefinida con acceso
completo.
74 • Gestión de dispositivos
Palo Alto Networks
Se admiten las siguientes opciones de autenticación:
•
Autenticación con contraseña: El administrador introduce un nombre de usuario y una
contraseña para iniciar sesión. No se necesitan certificados. Puede utilizar este método
junto con los perfiles de autenticación o para la autenticación de base de datos local.
•
Autenticación con certificado de cliente (web): Esta autenticación no necesita nombre de
usuario o contraseña; el certificado será suficiente para autenticar el acceso al dispositivo.
•
Autenticación con clave pública (SSH): El administrador genera un par de claves
pública y privada en la máquina que requiere acceso al dispositivo y, a continuación,
carga la clave pública en el dispositivo para permitir un acceso seguro sin exigir que el
administrador introduzca un nombre de usuario y una contraseña.
Para garantizar la seguridad de la interfaz de gestión del dispositivo, se recomienda cambiar
periódicamente las contraseñas administrativas utilizando una mezcla de minúsculas, mayúsculas
y números. También puede aplicar “Complejidad de contraseña mínima” desde Configuración >
Gestión.
Para añadir un administrador, haga clic en Añadir y especifique la siguiente información.
Tabla 24.
Configuración de cuentas de administrador
Campo
Descripción
Nombre
Introduzca un nombre de inicio de sesión para el administrador (de
hasta 15 caracteres). El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
guiones, puntos y guiones bajos.
Los nombres de inicio de sesión no pueden empezar por guión (-).
Perfil de autenticación
Seleccione un perfil de autenticación para la autenticación del
administrador. Este ajuste se puede utilizar para RADIUS, LDAP,
Kerberos o la autenticación de base de datos local.
Si desea información más detallada, consulte “Configuración de
perfiles de autenticación”.
Utilizar únicamente el
certificado de autenticación de
cliente (web)
Seleccione la casilla de verificación para utilizar la autenticación
con certificado de cliente para el acceso web. Si selecciona esta
casilla de verificación, no es necesario ni el nombre de usuario ni
la contraseña; el certificado es suficiente para autenticar el acceso
al dispositivo.
Nueva contraseña
Confirmar nueva contraseña
Introduzca y confirme una contraseña que haga distinción entre
mayúsculas y minúsculas para el administrador (de hasta 15
caracteres). También puede aplicar “Contraseña mínima” desde
Configuración > Gestión.
Utilizar autenticación de clave
pública (SSH)
Seleccione la casilla de verificación para utilizar la autenticación
con clave pública SSH. Haga clic en Importar clave y explore para
seleccionar el archivo de clave pública. La clave cargada se muestra
en el área de texto de solo lectura.
Los formatos de archivo de clave admitidos son IETF SECSH y
OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits)
y RSA (768-4096 bits).
Nota: Si falla la autenticación con clave pública, se mostrará un mensaje
de nombre de usuario y contraseña para el administrador.
Palo Alto Networks
Gestión de dispositivos • 75
Tabla 24.
Configuración de cuentas de administrador (Continuación)
Campo
Descripción
Función
Asigne una función a este administrador. La función determina lo
que el administrador puede ver y modificar.
Si elige Basado en función, seleccione un perfil de función
personalizado en la lista desplegable. Si desea información más
detallada, consulte “Definición de funciones de administrador” o
“Definición de funciones de administrador de Panorama”.
Si selecciona la opción de dinámica, las funciones preconfigurados
que puede seleccionar en la lista desplegable dependerán de la
plataforma:
• Cortafuegos:
– Superusuario: El acceso al cortafuegos actual es completo.
– Superusuario (solo lectura): Acceso de solo lectura al cortafuegos actual.
– Administrador de dispositivo: El acceso a un cortafuegos
seleccionado es completo, excepto al definir nuevas cuentas
o sistemas virtuales.
– Administrador de dispositivo (solo lectura): El acceso a un
cortafuegos seleccionado es de solo lectura.
– Administrador de Vsys: El acceso a un sistema virtual seleccionado en un cortafuegos específico (si hay varios sistemas
virtuales habilitados) es completo.
– Administrador de Vsys (solo lectura): El acceso a un sistema
virtual seleccionado en un cortafuegos específico es de solo
lectura.
• Panorama:
– Superusuario: Acceso completo a Panorama y a todos los
grupos de dispositivos, plantillas y cortafuegos gestionados.
– Superusuario (solo lectura): Acceso de solo lectura a
Panorama y a todos los grupos de dispositivos, plantillas y
cortafuegos gestionados.
– Administrador de Panorama: Acceso completo a Panorama
(excepto a las cuentas y funciones de administrador) y todos los
grupos de dispositivos y plantillas. Sin acceso a los cortafuegos
gestionados.
Sistema virtual
(Solo para una función de
administrador de sistema
virtual del cortafuegos)
Perfil de la contraseña
Haga clic en Añadir para seleccionar los sistemas virtuales a los que
puede acceder el administrador.
Seleccione el perfil de contraseña, si es aplicable. Para crear un
nuevo perfil de contraseña, consulte “Definición de perfiles de
contraseña”.
En la página Administradores de Panorama para “Superusuario”, se muestra
un icono de bloqueo en la columna de la derecha si una cuenta está bloqueada.
El administrador puede hacer clic en el icono para desbloquear la cuenta.
76 • Gestión de dispositivos
Palo Alto Networks
Especificación de dominios de acceso para administradores
Dispositivo > Dominio de acceso
Panorama > Dominio de acceso
Utilice la página Dominio de acceso para especificar dominios para el acceso del administrador al cortafuegos o Panorama. El dominio de acceso está vinculado a atributos específicos
del proveedor (VSA) RADIUS y únicamente se admite si se utiliza un servidor RADIUS para
la autenticación del administrador. Si desea más información sobre cómo configurar RADIUS,
consulte “Configuración de ajustes de servidor RADIUS”. Para información sobre los dominios
de acceso específicos de Panorama, consulte “Especificación de dominios de acceso de
Panorama para administradores”.
Cuando un administrador intenta iniciar sesión en el cortafuegos, este consulta al servidor
RADIUS acerca del dominio de acceso del administrador. Si hay un dominio asociado en
el servidor RADIUS, se devuelve y el administrador se restringe a los sistemas virtuales
definidos de dentro del dominio de acceso con nombre del dispositivo. Si no se utiliza
RADIUS, los ajustes de dominio de acceso de esta página se ignorarán.
Tabla 25.
Configuración de dominio de acceso
Campo
Descripción
Nombre
Introduzca un nombre para el dominio de acceso (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, guiones y guiones bajos.
Sistemas virtuales
Seleccione sistemas virtuales en la columna Disponibles y haga
clic en Añadir para seleccionarlos.
Los dominios de acceso únicamente son compatibles en dispositivos que
admiten sistemas virtuales.
Configuración de perfiles de autenticación
Dispositivo > Perfil de autenticación
Panorama > Perfil de autenticación
Utilice la página Perfil de autenticación para configurar ajustes de autenticación que podrán
aplicarse a cuentas para gestionar el acceso al cortafuegos o Panorama.
Los perfiles de autenticación especifican ajustes de base de datos local, RADIUS, LDAP o
Kerberos y pueden asignarse a cuentas de administrador, acceso a VPN SSL y portal cautivo.
Cuando un administrador intenta iniciar sesión en el cortafuegos directamente o a través de
una VPN SSL o un portal cautivo, el cortafuegos comprueba el perfil de autenticación que está
asignado a la cuenta y autentica al usuario basándose en la configuración de autenticación.
Si el usuario no tiene una cuenta de administrador local, el perfil de autenticación que se
especifica en la página Configuración del dispositivo determina el modo en que el usuario se
autentica (consulte “Definición de la configuración de gestión”):
Palo Alto Networks
Gestión de dispositivos • 77
•
Si especifica ajustes de autenticación RADIUS en la página Configuración y el usuario
no tiene una cuenta local en el cortafuegos, entonces el cortafuegos solicitará información
de autenticación del usuario (incluida la función) al servidor RADIUS. El archivo de
diccionario de RADIUS de Palo Alto Networks que contiene los atributos de las
diversas funciones está disponible en el sitio web de asistencia técnica en
https://live.paloaltonetworks.com/docs/DOC-3189.
•
Si se especifica Ninguna como perfil de autenticación en la página Configuración,
entonces el cortafuegos deberá autenticar localmente al usuario de acuerdo con el perfil
de autenticación especificado para el usuario.
Tabla 26. Configuración de perfiles de autenticación
Campo
Descripción
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Compartido
Si el cortafuegos está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Tiempo de bloqueo
Introduzca el número de minutos que se bloquea a un usuario si se alcanza
el número de intentos fallidos (0-60 minutos; valor predeterminado: 0).
0 significa que el bloqueo continuará mientras que no se desbloquee
manualmente.
Intentos fallidos
Introduzca el número de intentos de inicio de sesión fallidos que se
permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0).
0 significa que no hay ningún límite.
Lista de permitidas
Especifique a los usuarios y grupos que tienen permiso explícito para
autenticar. Haga clic en Editar lista de permitidos y realice cualquiera de
las siguientes acciones:
• Seleccione la casilla de verificación junto al usuario o grupo de usuarios
en la columna Disponibles y haga clic en Añadir para añadir sus selecciones a la columna Seleccionados.
• Utilice la casilla de verificación Todos para aplicarlo a todos los usuarios.
• Introduzca los primeros caracteres de un nombre en el campo Búsqueda
para enumerar a todos los usuarios y grupos de usuarios que comienzan
por esos caracteres. Al seleccionar un elemento de la lista, se establece la
casilla de verificación en la columna Disponibles. Repita este proceso
tantas veces como sean necesarias y luego haga clic en Añadir.
• Para eliminar usuarios o grupos de usuarios, seleccione las casillas de
verificación adecuadas en la columna Seleccionados y haga clic en
Eliminar o seleccione Cualquiera para borrar a todos los usuarios.
Autenticación
Seleccione el tipo de autenticación:
• Ninguna: No utilice ninguna autenticación del cortafuegos.
• Base de datos local: Utilice la base de datos de autenticación del
cortafuegos.
• RADIUS: Utilice un servidor RADIUS para la autenticación.
• LDAP: Utilice LDAP como método de autenticación.
• Kerberos: Utilice Kerberos como método de autenticación.
78 • Gestión de dispositivos
Palo Alto Networks
Tabla 26. Configuración de perfiles de autenticación (Continuación)
Campo
Descripción
Perfil de servidor
Si selecciona RADIUS, LDAP o Kerberos como método de autenticación,
elija el servidor de autenticación en la lista desplegable. Los servidores
se configuran en las páginas Servidor. Consulte “Configuración de ajustes
de servidor RADIUS”, “Configuración de ajustes de servidor LDAP” y
“Configuración de ajustes de Kerberos (autenticación nativa de Active
Directory)”.
Atributo de inicio
de sesión
Si ha seleccionado LDAP como método de autenticación, introduzca el
atributo de directorio LDAP que identifica de manera exclusiva al usuario.
Aviso de caducidad
de contraseña
Si crea un perfil de autenticación que se usará para autenticar a los
usuarios de GlobalProtect y ha seleccionado LDAP como método de
autenticación, introduzca el número de días previos a la caducidad de la
contraseña para empezar a mostrar mensajes de notificación a los usuarios
y alertarlos de que sus contraseñas caducan en x número de días. De forma
predeterminada, los mensajes de notificación se mostrarán 7 días antes de
la caducidad de la contraseña (de 1-255 días). Los usuarios no podrán
acceder a la VPN si las contraseñas caducan.
Consejo: Se recomienda configurar los agentes para que utilicen el método de
conexión anterior al inicio de sesión. Esto permitirá a los usuarios conectarse
al dominio para cambiar sus contraseñas incluso aunque la contraseña haya
caducado.
Consejo: Si los usuarios dejan caducar sus contraseñas, el administrador
puede asignar una contraseña de LDAP temporal que permita a los usuarios
iniciar sesión en la VPN. En este flujo de trabajo, se recomienda establecer
el modificador de autenticación en la configuración del portal para la
autenticación de cookies para la actualización de configuración (de lo
contrario, la contraseña temporal se utilizará para autenticarse en el portal, pero
el inicio de sesión de la puerta de enlace fallará, lo que evitará el acceso a la VPN).
Consulte “Configuración de GlobalProtect”para obtener más información
sobre la autenticación de cookies y la conexión anterior al inicio de sesión.
Palo Alto Networks
Gestión de dispositivos • 79
Creación de una base de datos de usuario local
Dispositivo > Base de datos de usuario local > Usuarios
Puede establecer una base de datos local en el cortafuegos para almacenar información de
autenticación para usuarios con acceso remoto, administradores de dispositivos y usuarios
de portal cautivo. No se requiere ningún servidor de autenticación externo con esta configuración, de modo que toda la gestión de cuentas se realiza en el cortafuegos o desde Panorama.
Tabla 27. Configuración de usuario local
Campo
Descripción
Nombre de usuario
local
Introduzca un nombre para identificar al usuario (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Ubicación
Seleccione un sistema virtual o seleccione Compartido para que el
certificado esté disponible para todos los sistemas virtuales.
Modo
Utilice este campo para especificar la opción de autenticación:
• Contraseña: Introduzca y confirme una contraseña para el usuario.
• Hash de la contraseña: Introduzca una cadena de contraseña con hash.
Habilitar
Seleccione la casilla de verificación para activar la cuenta de usuario.
Utilice la página Usuarios locales para añadir información de usuario a la base de datos local.
Al configurar el portal cautivo, primero debe crear la cuenta local, añadirla a un grupo de
usuarios y crear un perfil de autenticación utilizando el nuevo grupo. A continuación, debe
habilitar el portal cautivo desde Dispositivo > Autenticación de usuario > Portal cautivo
y seleccionar el perfil de autenticación. Una vez haya configurado esto, podrá crear una
política desde Políticas > Portal cautivo. Consulte “Configuración del cortafuegos para la
identificación de usuarios” para obtener más información.
80 • Gestión de dispositivos
Palo Alto Networks
Cómo añadir grupos de usuarios locales
Dispositivo > Base de datos de usuario local > Grupos de usuarios
Utilice la página Grupos de usuarios para añadir información de grupo de usuarios a la base
de datos local.
Tabla 28. Configuración de grupo de usuarios local
Campo
Descripción
Nombre de grupo de
usuarios local
Introduzca un nombre para identificar el grupo (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Ubicación
Seleccione un sistema virtual o seleccione Compartido para permitir
el acceso de usuario a todos los sistemas virtuales disponibles.
Todos los usuarios
locales
Haga clic en Añadir para seleccionar a los usuarios que desee añadir
al grupo.
Configuración de ajustes de servidor RADIUS
Dispositivo > Perfiles de servidor > RADIUS
Panorama > Perfiles de servidor > RADIUS
Utilice la página RADIUS para configurar los ajustes de los servidores RADIUS identificados
en perfiles de autenticación. Consulte “Configuración de perfiles de autenticación”.
Tabla 29. Configuración de servidor RADIUS
Campo
Descripción
Nombre
Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Ubicación
Seleccione un sistema virtual o seleccione Compartido para que el perfil
esté disponible para todos los sistemas virtuales.
Únicamente uso de
administrador
Utilice este perfil de servidor únicamente para la autenticación del
administrador.
Dominio
Introduzca el dominio del servidor RADIUS. El ajuste de dominio se utiliza
si el usuario no especifica un dominio al iniciar sesión.
Tiempo de espera
Introduzca un intervalo tras el cual vence una solicitud de autenticación
(1-30 segundos; valor predeterminado: 3 segundos).
Reintentos
Introduzca el número de reintentos automáticos tras un tiempo de espera
antes de que falle la solicitud (1-5; valor predeterminado: 3).
Obtener grupo de
usuarios
Seleccione la casilla de verificación para utilizar VSA RADIUS para definir
el grupo que ha accedido al cortafuegos.
Palo Alto Networks
Gestión de dispositivos • 81
Tabla 29. Configuración de servidor RADIUS (Continuación)
Campo
Descripción
Servidores
Configure información para cada servidor en el orden preferido.
• Nombre: Introduzca un nombre para identificar el servidor.
• Dirección IP: Introduzca la dirección IP del servidor.
• Puerto: Introduzca el puerto del servidor para solicitudes de autenticación.
• Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar
y cifrar la conexión entre el cortafuegos y el servidor RADIUS.
Configuración de ajustes de servidor LDAP
Dispositivo > Perfiles de servidor > LDAP
Panorama > Perfiles de servidor > LDAP
Utilice la página LDAP para configurar los ajustes que los servidores LDAP deben utilizar
para la autenticación mediante perfiles de autenticación. Consulte “Configuración de perfiles
de autenticación”.
Tabla 30. Configuración de servidor LDAP
Campo
Descripción
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Ubicación
Seleccione un sistema virtual o seleccione Compartido para que el perfil
esté disponible para todos los sistemas virtuales.
Únicamente uso de
administrador
Utilice este perfil de servidor únicamente para la autenticación del
administrador.
Servidores
Especifique los nombres de host, las direcciones IP y los puertos los
servidores LDAP.
Dominio
Introduzca el nombre de dominio del servidor. Este nombre de dominio
debe ser el nombre NetBIOS del dominio y se añadirá al nombre de
usuario cuando se realice la autenticación. Por ejemplo, si su dominio es
paloaltonetworks.com, únicamente necesita introducir paloaltonetworks.
Tipo
Seleccione el tipo de servidor de la lista desplegable.
Base
Especifique el contexto raíz del servidor de directorio para acotar la
búsqueda de información de usuario o grupo.
Enlazar DN
Especifique el nombre de inicio de sesión (nombre distintivo) del servidor
de directorio.
Enlazar contraseña/
Confirmar contraseña
de enlace
Especifique la contraseña de la cuenta de enlace. El agente guardará la
contraseña cifrada en el archivo de configuración.
SSL
Seleccione esta opción para utilizar comunicaciones SSL o Transport Layer
Security (TLS) seguras entre el dispositivo de Palo Alto Networks y el
servidor de directorio.
82 • Gestión de dispositivos
Palo Alto Networks
Tabla 30. Configuración de servidor LDAP (Continuación)
Campo
Descripción
Límite de tiempo
Especifique el límite de tiempo impuesto al realizar búsquedas de
directorio (1-30 segundos; valor predeterminado: 30 segundos).
Enlazar límite de
tiempo
Especifique el límite de tiempo impuesto al conectar con el servidor de
directorio (1-30 segundos; valor predeterminado: 30 segundos).
Intervalo de reintento
Especifique el intervalo tras el cual el sistema intentará conectarse al
servidor LDAP después de un intento fallido anterior (1-3.600 segundos).
Configuración de ajustes de Kerberos (autenticación nativa de
Active Directory)
Dispositivo > Perfiles de servidor > Kerberos
Panorama > Perfiles de servidor > Kerberos
Utilice la página Kerberos para configurar la autenticación de Active Directory sin exigir
que los clientes inicien el servicio de autenticación de Internet (IAS) para admitir RADIUS.
La configuración de un servidor Kerberos permite que los usuarios autentiquen de forma
nativa a un controlador de dominio.
Después de configurar los ajustes de Kerberos, Kerberos pasa a estar disponible como opción
al definir perfiles de autenticación. Consulte “Configuración de perfiles de autenticación”.
Puede configurar los ajustes de Kerberos para que reconozcan una cuenta de usuario con
cualquiera de los formatos siguientes, en los que el dominio y el territorio se especifican como
parte de la configuración del servidor Kerberos:
•
dominio\nombre de usuario
•
[email protected]
•
nombre de usuario
Palo Alto Networks
Gestión de dispositivos • 83
Tabla 31. Configuración de servidor Kerberos
Campo
Descripción
Nombre
Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Ubicación
Seleccione un sistema virtual o seleccione Compartido para que el perfil
esté disponible para todos los sistemas virtuales.
Únicamente uso de
administrador
Utilice este perfil de servidor únicamente para la autenticación del
administrador.
Dominio
Especifique la parte del nombre de host del nombre de inicio de sesión del
usuario (de hasta 127 caracteres)
Ejemplo: El nombre de cuenta de usuario [email protected] tiene el
territorio ejemplo.local.
Dominio
Especifique el dominio de la cuenta de usuario (de hasta 63 caracteres).
Servidores
En el caso de cada servidor Kerberos, haga clic en Añadir y especifique los
siguientes ajustes:
• Servidor: Introduzca la dirección IP del servidor.
• Host: Introduzca el FQDN del servidor.
• Puerto: Introduzca un número de puerto opcional para la comunicación
con el servidor.
Configuración de una secuencia de autenticación
Dispositivo > Secuencia de autenticación
Panorama > Secuencia de autenticación
En algunos entornos, las cuentas de usuario residen en varios directorios (base de datos local,
LDAP, RADIUS, por ejemplo). Una secuencia de autenticación es un conjunto de perfiles
de autenticación que se aplican por orden cuando un usuario intenta iniciar sesión en el
dispositivo (cortafuegos o Panorama). El dispositivo siempre prueba primero la base de datos
local y, a continuación, cada perfil en secuencia hasta que identifica el usuario. El acceso al
dispositivo se deniega únicamente si falla la autenticación de alguno de los perfiles de la
secuencia de autenticación.
Utilice la página Secuencia de autenticación para configurar conjuntos de perfiles de
autenticación que se prueban por orden cuando un usuario solicita acceder al dispositivo.
Se concederá acceso al usuario si la autenticación se realiza correctamente mediante cualquiera
de los perfiles de autenticación de la secuencia. Para obtener más información, consulte
“Configuración de perfiles de autenticación”.
84 • Gestión de dispositivos
Palo Alto Networks
Tabla 32. Configuración de secuencias de autenticación
Campo
Descripción
Nombre de perfil
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir su uso compartido por todos los
sistemas virtuales.
Tiempo de bloqueo
Introduzca el número de minutos que se bloquea a un usuario si se alcanza
el número de intentos fallidos (0-60 minutos; valor predeterminado: 0).
0 significa que el bloqueo continuará mientras que no se desbloquee
manualmente.
Intentos fallidos
Introduzca el número de intentos de inicio de sesión fallidos que se
permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0).
0 significa que no hay ningún límite.
Lista de perfiles
Seleccione los perfiles de autenticación que deben incluirse en la secuencia
de autenticación. Para cambiar el orden de la lista, seleccione una entrada y
haga clic en Mover hacia arriba o Mover hacia abajo.
Programación de exportaciones de logs
Dispositivo > Programación de la exportación de logs
Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol
(FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura
entre el dispositivo y un host remoto. Los perfiles de logs contienen la información de
programación y servidor FTP. Por ejemplo, puede que un perfil especifique la recogida de
los logs del día anterior cada día a las 3:00 y su almacenamiento en un servidor FTP específico.
Haga clic en Añadir y especifique los siguientes ajustes:
Tabla 33. Configuración de la programación de la exportación de logs
Campo
Descripción
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
No podrá cambiar el nombre después de crear el perfil.
Descripción
Introduzca una descripción opcional (de hasta 255 caracteres).
Habilitado
Seleccione la casilla de verificación para habilitar la programación de
exportaciones de logs.
Tipo de log
Seleccione el tipo de log (Tráfico, Amenaza, URL, Datos o Coincidencia
HIP). El valor predeterminado es Tráfico.
Hora de inicio
de exportación
programada (a diario)
Introduzca la hora del día (hh:mm) a la que comenzará la exportación en el
formato de 24 horas (00:00 - 23:59).
Palo Alto Networks
Gestión de dispositivos • 85
Tabla 33. Configuración de la programación de la exportación de logs (Continuación)
Campo
Descripción
Protocolo
Seleccione el protocolo que debe utilizarse para exportar logs desde el
cortafuegos a un host remoto. Puede utilizar SCP para exportar logs de
manera segura o puede utilizar FTP, que no es un protocolo seguro.
Si está utilizando SCP, deberá hacer clic en el botón Conexión de servidor
SCP de prueba para probar la conectividad entre el cortafuegos y el
servidor SCP. Además, deberá verificar y aceptar la clave de host del
servidor SCP.
Nombre de host
Introduzca el nombre de host o dirección IP del servidor FTP que se
utilizará para la exportación.
Puerto
Introduzca el número de puerto que utilizará el servidor FTP. El valor
predeterminado es 21.
Ruta
Especifique la ruta ubicada en el servidor FTP que se utilizará para
almacenar la información exportada.
Habilitar modo pasivo
de FTP
Seleccione la casilla de verificación para utilizar el modo pasivo para la
exportación. De manera predeterminada, esta opción está seleccionada.
Nombre de usuario
Introduzca el nombre de usuario para acceder al servidor FTP. El valor
predeterminado es anónimo.
Contraseña
Introduzca la contraseña para acceder al servidor FTP. No se necesita
contraseña si el usuario es “anónimo”.
Definición de destinos de logs
Utilice esta página para habilitar el cortafuegos y que registre cambios de configuración,
eventos del sistema, logs de coincidencias HIP y alarmas. En cada log puede habilitar el
funcionamiento remoto para Panorama (el sistema de gestión central de Palo Alto Networks)
y generar traps SNMP, mensajes de Syslog y notificaciones por correo electrónico.
La siguiente tabla describe los destinos de logs remotos.
Tabla 34. Destinos de logs remotos
IP Destino
Descripción
Panorama
Todas las entradas de logs pueden reenviarse a Panorama. Para especificar la
dirección del servidor de Panorama, consulte “Definición de la configuración
de gestión”.
Trap SNMP
Se pueden generar traps SNMP según el nivel de gravedad para entradas
de los logs Sistema, Amenaza y Tráfico, pero no para entradas del log
Configuración. Para definir los nuevos destinos de traps SNMP, consulte
“Configuración de destinos de traps SNMP”.
86 • Gestión de dispositivos
Palo Alto Networks
Tabla 34. Destinos de logs remotos (Continuación)
Syslog
Se pueden generar mensajes de Syslog según el nivel de gravedad para
entradas de los logs de sistema, amenazas y tráfico, así como para las
entradas de log de configuración. Para definir los destinos de syslog,
consulte “Configuración de servidores Syslog”.
Correo electrónico
Se pueden enviar notificaciones de correo electrónico según el nivel de
gravedad para entradas de los logs de sistema, amenazas y tráfico, así como
para las entradas de log de configuración. Para definir los servidores y
destinatarios de correo electrónico, consulte “Configuración de ajustes de
notificaciones por correo electrónico”.
•
Para configurar los destinos de los logs del sistema, consulte “Definición de la
configuración del log Sistema”
•
Para configurar los destinos de los logs de configuración, consulte “Definición de la
configuración del log Configuración”
•
Para configurar los destinos de los logs de las coincidencias HIP, consulte “Definición de
la configuración de log Coincidencias HIP”
•
Para configurar los destinos de los logs de tráfico, consulte “Reenvío de logs”
Definición de la configuración del log Configuración
Dispositivo > Configuración de log > Configuración
La configuración del log Configuración especifica las entradas del log Configuración que
se registran de manera remota con Panorama y se envían como mensajes de Syslog y/o
notificaciones por correo electrónico.
Tabla 35. Configuración del log Configuración
Campo
Descripción
Panorama
Seleccione la casilla de verificación para habilitar el envío de entradas del
log Configuración al sistema de gestión centralizado de Panorama.
Traps SNMP
Para generar traps SNMP para entradas del log Configuración, seleccione
el nombre del trap. Para especificar los nuevos destinos de traps SNMP,
consulte “Configuración de destinos de traps SNMP”.
Correo electrónico
Para generar notificaciones por correo electrónico para entradas del log
Configuración, seleccione un perfil de correo electrónico en el menú
desplegable. Para crear un nuevo perfil de correo electrónico, consulte
“Configuración de ajustes de notificaciones por correo electrónico”.
Syslog
Para generar mensajes de Syslog para entradas del log Configuración,
seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte “Configuración de servidores Syslog”.
Palo Alto Networks
Gestión de dispositivos • 87
Definición de la configuración del log Sistema
Dispositivo > Configuración de log > Sistema
La configuración del log Sistema especifica los niveles de gravedad de las entradas del log
Sistema que se registran de manera remota con Panorama y se envían como traps SNMP,
mensajes de Syslog y/o notificaciones por correo electrónico. El log Sistema muestra eventos
del sistema, como fallos de HA, cambios de estado de enlaces e inicios de sesión y cierres de
sesión de administradores.
Tabla 36. Configuración del log Sistema
Campo
Descripción
Panorama
Seleccione la casilla de verificación para cada nivel de gravedad de
las entradas del log Sistema que se enviarán al sistema de gestión
centralizado de Panorama. Para especificar la dirección del servidor
de Panorama, consulte “Definición de la configuración de gestión”.
Los niveles de gravedad son los siguientes:
• Crítico: Fallos de hardware, lo que incluye la conmutación por error
de HA y los fallos de enlaces.
• Alto: Problemas graves, incluidas las interrupciones en las conexiones
con dispositivos externos, como servidores Syslog y RADIUS.
• Medio: Notificaciones de nivel medio, como actualizaciones de
paquetes de antivirus.
• Bajo: Notificaciones de menor gravedad, como cambios de contraseña
de usuario.
• Informativo: Inicios de sesión/cierres de sesión, cambio de nombre o
contraseña de administrador, cualquier cambio de configuración y el
resto de eventos no cubiertos por los otros niveles de gravedad.
Traps SNMP
Correo electrónico
Syslog
Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrónico que especifican destinos adicionales a los que se envían
las entradas del log Sistema. Para definir nuevos destinos, consulte:
• “Configuración de destinos de traps SNMP”.
• “Configuración de servidores Syslog”.
• “Configuración de ajustes de notificaciones por correo electrónico”.
Definición de la configuración de log Coincidencias HIP
Dispositivo > Configuración de log > Coincidencias HIP
La configuración del log Coincidencias HIP (perfil de información de host) se utiliza para
proporcionar información sobre las políticas de seguridad que se aplican a clientes de
GlobalProtect.
88 • Gestión de dispositivos
Palo Alto Networks
Tabla 37. Configuración del log Coincidencias HIP
Campo
Descripción
Panorama
Seleccione la casilla de verificación para habilitar el envío de entradas del
log Configuración al sistema de gestión centralizado de Panorama.
Traps SNMP
Para generar traps SNMP para entradas del log Coincidencias HIP,
seleccione el nombre del destino de trap. Para especificar los nuevos
destinos de traps SNMP, consulte “Configuración de destinos de traps
SNMP”.
Correo electrónico
Para generar notificaciones por correo electrónico para entradas
del log Configuración, seleccione el nombre de la configuración de
correo electrónico que especifica las direcciones de correo electrónico
adecuadas. Para especificar nuevos ajustes de correo electrónico, consulte
“Configuración de ajustes de notificaciones por correo electrónico”.
Syslog
Para generar mensajes de Syslog para entradas del log Configuración,
seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte “Configuración de servidores Syslog”.
Definición de la configuración del log Alarma
Dispositivo > Configuración de log > Alarmas
Utilice la página Alarmas para configurar las notificaciones que se envían cuando se incumplen
reglas de seguridad (o grupos de reglas) repetidas veces en un período de tiempo establecido.
Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas
situado en la esquina inferior derecha de la interfaz web cuando la opción Alarma está
configurada. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas
del log de alarmas actual.
Para reconocer alarmas, seleccione sus casillas de verificación y haga clic en Reconocer.
Esta acción pasa las alarmas a la lista Alarmas de reconocimiento. La ventana Alarmas
también incluye controles de páginas, orden de columnas y actualización.
Para añadir una alarma, edite la sección Configuración de alarma y utilice la siguiente tabla
para definirla:
Tabla 38. Configuración del log Alarma
Campo
Descripción
Habilitar alarmas
Habilite alarmas basándose en los eventos enumerados en esta página.
El botón Alarmas
solo es visible cuando la casilla de verificación
Habilitar alarmas está seleccionada.
Habilitar notificaciones
de alarmas por CLI
Habilite notificaciones de alarmas por CLI cuando se produzca una
alarma.
Habilitar notificaciones
de alarma web
Abra una ventana para mostrar alarmas en las sesiones de usuario,
incluyendo el momento en que se producen y cuándo se reconocen.
Habilitar alarmas
audibles
El cortafuegos seguirá reproduciendo una alarma sonora cuando existan
alarmas no reconocidas en la interfaz web o la CLI.
Umbral de fallo de
cifrado/descifrado
Especifique el número de fallos de cifrado/descifrado tras los cuales se
genera una alarma.
Palo Alto Networks
Gestión de dispositivos • 89
Tabla 38. Configuración del log Alarma (Continuación)
Campo
Descripción
Umbral de alarma de
base de datos de log
(% lleno)
Genere una alarma cuando una base de datos de logs alcance el
porcentaje indicado del tamaño máximo.
Límites de política de
seguridad
Se genera una alarma si un puerto o una dirección IP en concreto
incumple una regla de denegación el número de veces especificado
en el ajuste Umbral de infracciones de seguridad dentro del período
(segundos) especificado en el ajuste Período de tiempo de infracciones
de seguridad.
Límites de grupos de
políticas de seguridad
Se genera una alarma si el conjunto de reglas alcanza el número de
infracciones del límite de reglas especificado en el campo Umbral de
infracciones durante el período especificado en el campo Período de
tiempo de infracciones. Los incumplimientos se cuentan cuando una
sesión coincide con una política de denegación explícita.
Utilice Etiquetas de política de seguridad para especificar las etiquetas
con las que los umbrales de límite de reglas generarán alarmas. Estas
etiquetas están disponibles para su especificación al definir políticas de
seguridad.
Auditoría selectiva
Nota: Estos ajustes aparecen en la página Alarmas únicamente en el modo
Criterios comunes.
Especifique los siguientes ajustes:
• Logging específico de CC: Permite logs ampulosos necesarios para el
cumplimiento de criterios comunes (CC).
• Logs de inicios de sesión correctos: Registra los inicios de sesión
correctos en el cortafuegos por parte del administrador.
• Logs de inicios de sesión incorrectos: Registra los inicios de sesión
incorrectos en el cortafuegos por parte del administrador.
• Administradores suprimidos: No genera logs para los cambios que
realizan los administradores enumerados en la configuración del
cortafuegos.
90 • Gestión de dispositivos
Palo Alto Networks
Gestión de configuración de logs
Dispositivo > Configuración de log > Gestionar logs
Cuando se configura para la creación de logs, el cortafuegos registra cambios en la
configuración, eventos del sistema, amenazas de seguridad, flujos de tráfico y alarmas
generadas por el dispositivo. Utilice la página Gestionar logs para borrar los logs del
dispositivo. Haga clic en el enlace que corresponde al log (tráfico, amenazas, URL, datos,
configuración, sistema, coincidencia HIP, alarma) que le gustaría borrar.
Configuración de destinos de traps SNMP
Dispositivo > Perfiles de servidor > Trap SNMP
Panorama > Perfiles de servidor > Trap SNMP
SNMP (Protocolo simple de administración de redes) es un servicio estándar para la
supervisión de los dispositivos de su red. Para poder alertarle sobre eventos o amenazas
del sistema de su red, los dispositivos supervisados envían traps SNMP a las estaciones de
gestión de red SNMP (denominadas "destinos de traps SNMP"), permitiendo las alertas
centralizadas para todos sus dispositivos de red. Utilice esta página para configurar el perfil
del servidor que habilita el cortafuegos o Panorama para comunicarse con los destinos de trap
SNMP de su red. Para habilitar GET SNMP, consulte “SNMP”.
Después de crear el perfil de servidor que especifica cómo conectar a los destinos de traps
SNMP, debe especificar qué tipos de logs (y, para algunos tipos de logs, sus niveles de
gravedad) activarán el cortafuegos para que envíe traps SNMP a los destinos configurados
correspondientes (consulte “Definición de la configuración del log Sistema”). Además, para
que el software de gestión de SNMP interprete los traps, debe instalar los MIB de PAN-OS,
disponibles en la siguiente ubicación de la categoría de MIB de SNMP para empresas:
https://live.paloaltonetworks.com/community/documentation.
Tabla 39. Configuración de destinos de traps SNMP
Campo
Descripción
Nombre
Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir su uso compartido por todos los
sistemas virtuales.
Versión
Seleccione la versión de SNMP (V2c o V3).
Palo Alto Networks
Gestión de dispositivos • 91
Tabla 39. Configuración de destinos de traps SNMP (Continuación)
Campo
Descripción
Configuración de V2c
Si selecciona V2c, configure los siguientes ajustes:
• Servidor: Especifique un nombre para el destino de trap SNMP
(de hasta 31 caracteres).
• Gestor: Especifique la dirección IP del destino de trap.
• Comunidad: Especifique la cadena de comunidad necesaria para enviar
traps al destino especificado (valor predeterminado: público).
Configuración de V3
Si selecciona V3, configure los siguientes ajustes:
• Servidor: Especifique el nombre del destino de trap SNMP (de hasta
31 caracteres).
• Gestor: Especifique la dirección IP del destino de trap.
• Usuario: Especifique el usuario de SNMP.
• EngineID: Especifique el ID de motor del cortafuegos. La entrada es
una cadena con una representación hexadecimal. El ID de motor es
cualquier número entre 5 y 64 bytes. Cuando se representa como una
cadena hexadecimal, tiene entre 10 y 128 caracteres (2 por cada byte)
con dos caracteres adicionales para 0x que debe utilizar como prefijo en
la cadena de entrada.
Cada cortafuegos tiene un ID de motor exclusivo, que puede obtener
utilizando un explorador de MIB para ejecutar GET para OID
1.3.6.1.6.3.10.2.1.1.0.
• Contraseña de autenticación: Especifique la contraseña de autenticación del usuario (8 caracteres como mínimo, 256 caracteres como
máximo y sin restricciones de caracteres). (Se permiten todos los
caracteres.) Únicamente se admite el algoritmo de hash seguro (SHA).
• Contraseña priv.: Especifique la contraseña de cifrado del usuario
(8 caracteres como mínimo, 256 caracteres como máximo y sin restricciones de caracteres). Únicamente se admite el estándar de cifrado
avanzado (AES).
No elimine un destino que se utilice en algún ajuste del log Sistema o algún perfil
de logs.
92 • Gestión de dispositivos
Palo Alto Networks
MIB SNMP
El cortafuegos admite las siguientes MIB SNMP:
•
"RFC 1213: MIB-II - Compatibilidad con el grupo de sistema, grupo de interfaces.
•
"RFC 2863: IF-MIB - MIB de grupo de interfaces
•
"RFC 2790: HOST-RESOURCES-MIB - Compatibilidad con hrDeviceTable y
hrProcessorTable.
•
"RFC 3433: ENTITY-SENSOR-MIB - Compatibilidad con entPhySensorTable.
•
PAN-PRODUCT-MIB
•
PAN-COMMON-MIB
•
PAN-TRAPS-MIB
•
PAN-LC-MIB
El conjunto completo de MIB empresariales está disponible en la sección de documentación
técnica del sitio web de Palo Alto Networks en https://live.paloaltonetworks.com/community/
documentation.
Configuración de servidores Syslog
Dispositivo > Perfiles de servidor > Syslog
Panorama > Perfiles de servidor > Syslog
Para generar mensajes de Syslog para logs Sistema, Configuración, Tráfico, Amenaza o
Coincidencias HIP, debe especificar uno o más servidores Syslog. Después de definir los
servidores Syslog, podrá utilizarlos para las entradas de los logs Sistema y Configuración
(consulte “Definición de la configuración del log Sistema”).
Tabla 40. Nuevo servidor Syslog
Campo
Descripción
Nombre
Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir su uso compartido por todos los
sistemas virtuales.
Pestaña Servidores
Nombre
Haga clic en Añadir e introduzca un nombre para el servidor Syslog
(de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, guiones y guiones bajos.
Servidor
Introduzca la dirección IP del servidor Syslog.
Transporte
Elija si desea transportar los mensajes de Syslog en UDP, TCP o SSL.
Palo Alto Networks
Gestión de dispositivos • 93
Tabla 40. Nuevo servidor Syslog (Continuación)
Campo
Descripción
Puerto
Introduzca el número de puerto del servidor Syslog (el puerto estándar
para UDP es 514; el puerto estándar para SSL es 6514; para TCP debe
especificar un número de puerto).
Formato
Especifique el formato de Syslog que se debe utilizar: BSD (valor
predeterminado) o IETF.
Instalaciones
Seleccione un nivel de la lista desplegable.
Pestaña Formato de log personalizado
Tipo de log
Haga clic en el tipo de log para abrir un cuadro de diálogo que le
permitirá especificar un formato de log personalizado. En el cuadro de
diálogo, haga clic en un campo para añadirlo al área Formato de log.
Otras cadenas de texto se pueden editar directamente en el área Formato
de log. Haga clic en ACEPTAR para guardar la configuración.
Para obtener información detallada sobre los campos que se pueden
utilizar para logs personalizados, consulte “Descripción de los campos
personalizados de Syslog”.
Escape
Especifique secuencias de escape. Utilice el cuadro Caracteres de escape
para enumerar todos los caracteres que se escaparán sin espacios.
No puede eliminar un servidor que se utilice en algún ajuste del log Sistema o
Configuración o algún perfil de logs.
94 • Gestión de dispositivos
Palo Alto Networks
Descripción de los campos personalizados de Syslog
Puede configurar un formato de log personalizado en un perfil de servidor Syslog
seleccionando la pestaña Formato de log personalizado en Dispositivo > Perfiles de
servidor > Syslog. Haga clic en el tipo de log deseado (Configuración, Sistema, Amenaza,
Tráfico o Coincidencias HIP) y, a continuación, haga clic en los campos que desee ver en los
logs. Las tablas siguientes muestran el significado de cada campo para cada tipo de log.
Tabla 41. Campos de Configuración
Campo
Significado
marcas de acción
Campo de bits que indica si el log se ha reenviado a Panorama.
Disponible en PAN-OS 4.0.0 y posterior.
administrador
Nombre de usuario del administrador que realiza la
configuración.
detalles después del cambio
Detalles de la configuración después de realizar un cambio.
detalles antes del cambio
Detalles de la configuración antes de realizar un cambio.
hora de recepción formateada
Hora a la que se recibió el log en el plano de gestión, mostrada en
un formato de tiempo compatible con CEF.
hora de generación formateada
según cef
Hora a la que se generó el log, mostrada en un formato de tiempo
compatible con CEF.
cliente
Cliente utilizado por el administrador; los valores son Web y CLI.
cmd
Comando ejecutado por el administrador; los valores son Añadir,
Duplicar, Compilar, Eliminar, Editar, Mover, Renombrar,
Establecer y Validar.
Host
Nombre de host o dirección IP de la máquina cliente.
ruta
Ruta del comando de configuración emitido. Puede tener una
longitud de hasta 512 bytes.
hora de recepción
Hora a la que se recibió el log en el plano de gestión.
resultado
Resultado de la acción de configuración. Los valores son
Enviada, Correctamente, Fallo y No autorizado.
número secuencial
Identificador de entrada de log de 64 bits que aumenta
secuencialmente. Cada tipo de log tiene un espacio de número
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.
serie
Número de serie del dispositivo que generó el log.
subtipo
Subtipo del log Configuración (no utilizado).
hora de generación
Hora a la que se recibió el log en el plano de datos.
tipo
Especifica el tipo de log; los valores son Tráfico, Amenaza,
Configuración, Sistema y Coincidencias HIP.
vsys
Sistema virtual asociado al log Configuración.
Palo Alto Networks
Gestión de dispositivos • 95
Tabla 42. Campos de Sistema
Campo
Significado
marcas de acción
Campo de bits que indica si el log se ha reenviado a Panorama.
Disponible en PAN-OS 4.0.0 y posterior.
hora de recepción formateada
según cef
Hora a la que se recibió el log en el plano de gestión, mostrada en
un formato de tiempo compatible con CEF.
hora de generación formateada
según cef
Hora a la que se generó el log, mostrada en un formato de tiempo
compatible con CEF.
id de evento
Cadena que muestra el nombre del evento.
fmt
Descripción detallada del evento. Puede tener una longitud de
hasta 512 bytes.
módulo
Este campo únicamente es válido cuando el valor del campo
Subtipo es General. Proporciona información adicional acerca del
subsistema que genera el log. Los valores son General, Gestión,
Autenticación, HA, Actualizar y Bastidor.
número de gravedad
Nivel de gravedad como número entero: 1, Informativo; 2, Bajo;
3, Medio; 4, Alto; y 5, Crítico.
objeto
Nombre del objeto asociado al log Sistema.
opaco
Descripción detallada del evento. Puede tener una longitud de
hasta 512 bytes.
hora de recepción
Hora a la que se recibió el log en el plano de gestión.
número secuencial
Identificador de entrada de log de 64 bits que aumenta
secuencialmente. Cada tipo de log tiene un espacio de número
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.
serie
Número de serie del dispositivo que generó el log.
gravedad
Gravedad asociada al evento; los valores son Informativo, Bajo,
Medio, Alto y Crítico.
subtipo
Subtipo del log Sistema. Hace referencia al demonio de sistema
que genera el log; los valores son Criptográfico, DHCP, Proxy
DNS, Denegación de servicio, General, GlobalProtect, HA,
Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, ID de usuario, Filtrado
de URL y VPN.
hora de generación
Hora a la que se recibió el log en el plano de datos.
tipo
Especifica el tipo de log; los valores son Tráfico, Amenaza,
Configuración, Sistema y Coincidencias HIP.
vsys
Sistema virtual asociado al log Sistema.
96 • Gestión de dispositivos
Palo Alto Networks
Tabla 43. Campos de Amenaza
Campo
Significado
Acción
Acción realizada para la sesión; los valores son Alerta, Permitir,
Denegar, Colocar, Colocar todos los paquetes, Restablecer cliente,
Restablecer servidor, Restablecer ambos y Bloquear URL.
Consulte la tabla de campos de Acción para conocer el
significado de cada valor.
marcas de acción
Campo de bits que indica si el log se ha reenviado a Panorama.
Disponible en PAN-OS 4.0.0 y posterior.
aplicación
Aplicación asociada a la sesión.
categoría
Para el subtipo URL, es la categoría de URL; para el subtipo
WildFire, es el veredicto del archivo y es “Malo” o “Bueno”;
para otros subtipos, el valor es “Cualquiera”.
hora de recepción formateada
según cef
Hora a la que se recibió el log en el plano de gestión, mostrada en
un formato de tiempo compatible con CEF.
hora de generación formateada
según cef
Hora a la que se generó el log, mostrada en un formato de tiempo
compatible con CEF.
tipo de contenido
Tipo de contenido de los datos de respuesta HTTP. La longitud
máxima es de 32 bytes. Únicamente es aplicable cuando el
subtipo es URL. Disponible en PAN-OS 4.0.0 y posterior.
dirección
Indica la dirección del ataque: “cliente a servidor” o “servidor a
cliente”.
puerto de destino
Puerto de destino utilizado por la sesión.
destino
Dirección IP de destino de la sesión original.
ubicación de destino
País de destino o región interna para direcciones privadas.
La longitud máxima es de 32 bytes. Disponible en PAN-OS 4.0.0
y posterior.
usuario de destino
Nombre del usuario para el que iba destinada la sesión.
marcas
Campo de 32 bits que proporciona información detallada sobre la
sesión. Consulte la tabla de campos de Marcas para conocer el
significado de cada valor.
De
Zona de origen de la sesión.
entrante si
Interfaz de origen de la sesión.
conjunto de logs
Perfil de reenvío de logs aplicado a la sesión.
varios
El URI real cuando el subtipo es URL; Nombre de archivo o Tipo
de archivo cuando el subtipo es Archivo; Nombre de archivo
cuando el subtipo es Virus; y Nombre de archivo cuando el
subtipo es WildFire. La longitud es de 63 caracteres en versiones
de PAN-OS anteriores a 4.0. A partir de la versión 4.0, tiene una
longitud variable con un máximo de 1.023 caracteres.
nat de puerto de destino
NAT de puerto de destino posterior.
nat de destino
Si se ejecuta un NAT de destino, es el NAT de dirección IP de
destino posterior.
nat de puerto de origen
NAT de puerto de origen posterior.
nat de origen
Si se ejecuta un NAT de origen, es el NAT de dirección IP de
origen posterior.
Palo Alto Networks
Gestión de dispositivos • 97
Tabla 43. Campos de Amenaza (Continuación)
Campo
Significado
número de gravedad
Nivel de gravedad como número entero: 1, Informativo; 2, Bajo;
3, Medio; 4, Alto; y 5, Crítico.
saliente si
Interfaz de destino de la sesión.
protocolo
Protocolo IP asociado a la sesión.
hora de recepción
Hora a la que se recibió el log en el plano de gestión.
recuento de repeticiones
Número de logs con el mismo IP de origen, IP de destino e ID
de amenaza observados en 5 segundos. Se aplica a todos los
subtipos excepto URL.
regla
Nombre de la regla con la que ha coincidido la sesión.
número secuencial
Identificador de entrada de log de 64 bits que aumenta
secuencialmente. Cada tipo de log tiene un espacio de número
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.
serie
Número de serie del dispositivo que generó el log.
id de sesión
Identificador numérico interno aplicado a cada sesión.
gravedad
Gravedad asociada a la amenaza; los valores son Informativo,
Bajo, Medio, Alto y Crítico.
puerto de origen
Puerto de origen utilizado por la sesión.
origen
Dirección IP de origen de la sesión original.
ubicación de origen
País de origen o región interna para direcciones privadas.
La longitud máxima es de 32 bytes. Disponible en PAN-OS 4.0.0
y posterior.
usuario de origen
Nombre del usuario que inició la sesión.
subtipo
Subtipo del log Amenaza; los valores son URL, Virus, Spyware,
Vulnerabilidades, Archivo, Analizar, Inundación, Datos y
WildFire.
id de amenaza
Identificador de Palo Alto Networks para la amenaza. Es una
cadena de descripción seguida de un identificador numérico
entre paréntesis para algunos subtipos. El identificador numérico
es un número de 64 bits de PAN-OS 5.0 y posterior.
hora de generación
Hora a la que se generó el log en el plano de datos.
hora de recepción
Hora a la que se recibió el log en el plano de datos.
Para
Zona de destino de la sesión.
tipo
Especifica el tipo de log; los valores son Tráfico, Amenaza,
Configuración, Sistema y Coincidencias HIP.
vsys
Sistema virtual asociado a la sesión.
wildfire
Logs generados por WildFire.
98 • Gestión de dispositivos
Palo Alto Networks
Tabla 44. Campos de Tráfico
Campo
Significado
Acción
Acción realizada para la sesión; los valores son Permitir o
Denegar. Consulte la tabla de campos de Acción.
marcas de acción
Campo de bits que indica si el log se ha reenviado a Panorama.
Disponible en PAN-OS 4.0.0.
aplicación
Aplicación asociada a la sesión.
bytes
Número total de bytes (transmitidos y recibidos) de la sesión.
bytes recibidos
Número de bytes en la dirección servidor a cliente de la sesión.
Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.
bytes enviados
Número de bytes en la dirección cliente a servidor de la sesión.
Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.
categoría
Categoría de URL asociada a la sesión (si es aplicable).
hora de recepción formateada
según cef
Hora a la que se recibió el log en el plano de gestión, mostrada en
un formato de tiempo compatible con CEF.
hora de generación formateada
según cef
Hora a la que se generó el log, mostrada en un formato de tiempo
compatible con CEF.
puerto de destino
Puerto de destino utilizado por la sesión.
destino
Dirección IP de destino de la sesión original.
ubicación de destino
País de destino o región interna para direcciones privadas.
La longitud máxima es de 32 bytes. Disponible en PAN-OS 4.0.0
y posterior.
usuario de destino
Nombre del usuario para el que iba destinada la sesión.
transcurrido
Tiempo transcurrido en la sesión.
marcas
Campo de 32 bits que proporciona información detallada sobre la
sesión. Consulte la tabla de campos de Marcas para conocer el
significado de cada valor. Este campo puede descodificarse
añadiendo los valores con Y y con el valor registrado.
De
Zona de origen de la sesión.
entrante si
Interfaz de origen de la sesión.
conjunto de logs
Perfil de reenvío de logs aplicado a la sesión.
nat de puerto de destino
NAT de puerto de destino posterior.
nat de destino
Si se ejecuta un NAT de destino, es el NAT de dirección IP de
destino posterior.
nat de puerto de origen
NAT de puerto de origen posterior.
nat de origen
Si se ejecuta un NAT de origen, es el NAT de dirección IP de
origen posterior.
saliente si
Interfaz de destino de la sesión.
paquetes
Número total de paquetes (transmitidos y recibidos) de la sesión.
paquetes recibidos
Números de paquetes de servidor a cliente de la sesión.
Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.
Palo Alto Networks
Gestión de dispositivos • 99
Tabla 44. Campos de Tráfico (Continuación)
Campo
Significado
paquetes enviados
Números de paquetes de cliente a servidor de la sesión.
Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.
protocolo
Protocolo IP asociado a la sesión.
hora de recepción
Hora a la que se recibió el log en el plano de gestión.
recuento de repeticiones
Número de sesiones con el mismo IP de origen, IP de destino,
Aplicación y Subtipo observados en 5 segundos. Utilizado
únicamente para ICMP.
regla
Nombre de la regla con la que ha coincidido la sesión.
número secuencial
Identificador de entrada de log de 64 bits que aumenta
secuencialmente. Cada tipo de log tiene un espacio de número
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.
serie
Número de serie del dispositivo que generó el log.
100 • Gestión de dispositivos
Palo Alto Networks
Tabla 44. Campos de Tráfico (Continuación)
Campo
Significado
session_end_reason
Razón por la que ha finalizado una sesión. Si la finalización ha
tenido varias causas, este campo solo muestra la más importante.
Los valores de la posible razón de finalización de la sesión son
los siguientes en orden de prioridad (el primero es el más
importante):
• threat: el cortafuegos ha detectado una amenaza asociada
con una acción de restablecimiento, borrado o bloqueo
(dirección IP).
• policy-deny: la sesión ha hecho coincidir una política de
seguridad con una acción de denegación o borrado.
• tcp-rst-from-client: el cliente ha enviado un restablecimiento
de TCP al servidor.
• tcp-rst-from-server: el servidor ha enviado un restablecimiento
de TCP al cliente.
• resources-unavailable: la sesión se ha cancelado debido a
una limitación de recursos del sistema. Por ejemplo, la sesión
podría haber superado el número de paquetes que no funcionan
permitidos por flujo o por la cola de paquetes que no funcionan
globales.
• tcp-fin: uno o varios hosts de la conexión han enviado un
mensaje FIN de TCP para cerrar la sesión.
• tcp-reuse: se reutiliza una sesión y el cortafuegos cierra la
sesión anterior.
• decoder: el decodificador detecta una nueva conexión en el
protocolo (como HTTP-Proxy) y finaliza la conexión anterior.
• aged-out: la sesión ha caducado.
• unknown: este valor se aplica en las siguientes situaciones:
– Para logs generados en una versión de PAN-OS que no
admite el campo de razón de finalización de sesión
(versiones posteriores a 6.1), el valor será unknown (desconocido) después de una actualización de la versión actual
de PAN-OS o después de que los logs se carguen en el
cortafuegos.
– En Panorama, los logs recibidos de los cortafuegos para los
que la versión de PAN-OS no admite razones de finalización
de sesión tendrán un valor unknown.
id de sesión
Identificador numérico interno aplicado a cada sesión.
puerto de origen
Puerto de origen utilizado por la sesión.
origen
Dirección IP de origen de la sesión original.
ubicación de origen
País de origen o región interna para direcciones privadas.
La longitud máxima es de 32 bytes. Disponible en PAN-OS 4.0.0
y posterior.
usuario de origen
Nombre del usuario que inició la sesión.
inicio
Hora de inicio de sesión.
subtipo
Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar
y Denegar. Consulte la tabla de campos de Subtipo para conocer
el significado de cada valor.
Palo Alto Networks
Gestión de dispositivos • 101
Tabla 44. Campos de Tráfico (Continuación)
Campo
Significado
hora de generación
Hora a la que se generó el log en el plano de datos.
hora de recepción
Hora a la que se recibió el log en el plano de datos.
Para
Zona de destino de la sesión.
tipo
Especifica el tipo de log; los valores son Tráfico, Amenaza,
Configuración, Sistema y Coincidencias HIP.
vsys
Sistema virtual asociado a la sesión.
Tabla 45. Campos de Coincidencias HIP
Campo
Significado
marcas de acción
Campo de bits que indica si el log se ha reenviado a Panorama.
Disponible en PAN-OS 4.0.0 y posterior.
hora de recepción formateada
según cef
Hora a la que se recibió el log en el plano de gestión, mostrada en
un formato de tiempo compatible con CEF.
hora de generación formateada
según cef
Hora a la que se generó el log, mostrada en un formato de tiempo
compatible con CEF.
nombre de máquina
Nombre de la máquina del usuario.
nombre de coincidencia
Nombre del perfil u objeto HIP.
tipo de coincidencia
Especifica si el campo HIP representa un objeto HIP o un
perfil HIP.
hora de recepción
Hora a la que se recibió el log en el plano de gestión.
recuento de repeticiones
Número de veces que ha coincidido el perfil HIP.
número secuencial
Identificador de entrada de log de 64 bits que aumenta
secuencialmente. Cada tipo de log tiene un espacio de número
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.
serie
Número de serie del dispositivo que generó el log.
origen
Dirección IP del usuario de origen.
usuario de origen
Nombre del usuario de origen.
subtipo
Subtipo del log Coincidencias HIP (no utilizado).
hora de generación
Hora a la que se generó el log en el plano de datos.
tipo
Especifica el tipo de log; los valores son Tráfico, Amenaza,
Configuración, Sistema y Coincidencias HIP.
vsys
Sistema virtual asociado al log Coincidencias HIP.
102 • Gestión de dispositivos
Palo Alto Networks
Configuración de ajustes de notificaciones por correo electrónico
Dispositivo > Perfiles de servidor > Correo electrónico
Panorama > Perfiles de servidor > Correo electrónico
Para generar mensajes de correo electrónico para logs, debe configurar un perfil de correo
electrónico. Después de definir la configuración de correo electrónico, podrá habilitar las
notificaciones por correo electrónico para entradas de los logs Sistema y Configuración
(consulte “Definición de la configuración del log Sistema”). Para obtener información sobre
cómo programar la entrega de informes por correo electrónico, consulte “Programación de
informes para entrega de correos electrónicos”.
Tabla 46. Configuración de notificaciones por correo electrónico
Campo
Descripción
Nombre
Introduzca un nombre para la configuración de correo electrónico
(de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, guiones y guiones bajos.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Pestaña Servidores
Servidor
Introduzca un nombre para identificar el servidor (1-31 caracteres).
Este campo es solamente una etiqueta y no tiene que ser el nombre de
host de un servidor SMTP existente.
Mostrar nombre
Introduzca el nombre mostrado en el campo De del correo electrónico.
De
Introduzca la dirección de correo electrónico del remitente, como
“[email protected]”.
Para
Introduzca la dirección de correo electrónico del destinatario.
Destinatario adicional
También puede introducir la dirección de correo electrónico de otro
destinatario. Solo puede añadir un destinatario adicional. Para añadir
varios destinatarios, añada la dirección de correo electrónico de una lista
de distribución.
Puerta de enlace
Introduzca la dirección IP o el nombre de host del servidor Simple Mail
Transport Protocol (SMTP) utilizado para enviar el correo electrónico.
Pestaña Formato de log personalizado
Tipo de log
Haga clic en el tipo de log para abrir un cuadro de diálogo que le
permitirá especificar un formato de log personalizado. En el cuadro de
diálogo, haga clic en un campo para añadirlo al área Formato de log.
Haga clic en ACEPTAR para guardar la configuración.
Escape
Incluya los caracteres de escape y especifique el carácter o los caracteres
de escape.
No puede eliminar un ajuste de correo electrónico que se utilice en algún ajuste del
log Sistema o Configuración o algún perfil de logs.
Palo Alto Networks
Gestión de dispositivos • 103
Configuración de ajustes de flujo de red
Dispositivo > Perfiles de servidor > Flujo de red
El cortafuegos puede generar y exportar registros de la versión 9 de flujo de red con
información de flujo de tráfico IP unidireccional a un recopilador externo. El cortafuegos
admite las plantillas de flujo de red estándar y selecciona la correcta basándose en los datos
que se van a exportar.
La exportación de flujo de red se puede habilitar en cualquier interfaz de entrada (ingress)
del cortafuegos. Se definen registros de plantillas independientes para tráfico IPv4, IPv4 con
NAT e IPv6. Asimismo, también se pueden exportar campos específicos de PAN-OS para la
identificación de aplicaciones y usuarios (App-ID y User-ID). Esta función está disponible en
todas las plataformas, excepto en los cortafuegos de la serie PA-4000 y PA-7050.
Para configurar exportaciones de datos de flujo de red, defina un perfil de servidor de flujo
de red, que especifica la frecuencia de la exportación junto con los servidores de flujo de red
que recibirán los datos exportados. A continuación, cuando asigne el perfil a una interfaz de
cortafuegos existente, todo el tráfico que pase por dicha interfaz se exportará a los servidores
especificados. Todos los tipos de interfaces admiten la asignación de un perfil de flujo de red.
Consulte “Configuración de la interfaz de un cortafuegos” para obtener información sobre
cómo asignar un perfil de flujo de red a una interfaz.
Tabla 47. Configuración de flujo de red
Campo
Descripción
Nombre
Introduzca un nombre para la configuración de flujo de red (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
Tasa de actualización de
plantilla
Especifique el número de minutos (1-3600, de forma predeterminada 30)
o paquetes (1-600, de forma predeterminada 20) después de los cuales el
cortafuegos actualiza la plantilla de flujo de red para aplicar cualquier
cambio. La frecuencia de actualización necesaria depende del recopilador
de flujo de red: Si añade varios recopiladores de flujo de red al perfil del
servidor, utilice el valor del recopilador con la velocidad de actualización
más rápida.
Tiempo de espera activo
Especifique la frecuencia (en minutos) a la que el cortafuegos exporta
registros de datos para cada sesión (1-60, 5 de forma predeterminada).
Establezca la frecuencia basada en cuántas veces quiere que el recopilador
del flujo de datos actualice las estadísticas de tráfico.
Exportar tipos de
campos específicos de
PAN-OS
Exporte campos específicos de PAN-OS como los de identificación de
aplicaciones y usuario (App-ID y User-ID) en registros de flujo de red.
Servidores
Nombre
Especifique un nombre para identificar el servidor (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Servidor
Especifique el nombre de host o la dirección IP del servidor. Puede añadir
un máximo de dos servidores por perfil.
Puerto
Especifique el número de puerto para el acceso al servidor (valor
predeterminado: 2.055).
104 • Gestión de dispositivos
Palo Alto Networks
Uso de certificados
Dispositivo > Gestión de certificados > Certificados
Certificados utilizados para cifrar datos y garantizar la comunicación en una red.
•
“Gestión de certificados de dispositivos”: Utilice la pestaña Dispositivo > Gestión de
certificados > Certificados > Certificados de dispositivos para gestionar (generar,
importar, renovar, eliminar, revocar) los certificados de dispositivos utilizados para
garantizar una comunicación segura. También puede exportar e importar la clave de
HA que se utiliza para garantizar la conexión entre los peers de HA en la red.
•
“Gestión de entidades de certificación de confianza predeterminadas”: Utilice la pestaña
Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de
confianza predeterminadas para ver, habilitar y deshabilitar las entidades de certificados
(CA) en las que confía el cortafuegos.
•
“Creación un perfil de certificados”: Utilice la pestaña Dispositivo > Gestión de
certificados > Perfil del certificado para
•
“Cómo añadir un respondedor OCSP”
Gestión de certificados de dispositivos
Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos
Panorama > Gestión de certificados > Certificados
Indique los certificados que quiere que el cortafuegos o Panorama utilice para tareas como
asegurar el acceso a la interfaz web, descifrado de SSL o LSVPN.
Utilice esta pestaña para generar certificados de seguridad para los siguientes usos:
•
Fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando
el servidor al que se están conectando está firmado por una CA de la lista de CA de
confianza del cortafuegos. Si se utiliza un certificado autofirmado para el descifrado de
proxy de reenvío, deberá hacer clic en el nombre del certificado en la página Certificados
y seleccionar la casilla de verificación Reenviar certificado fiable.
•
No fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado
cuando el servidor al que se están conectando está firmado por una CA que no está en la
lista de CA de confianza del cortafuegos.
•
CA raíz de confianza: El certificado está marcado como CA de confianza con fines de
descifrado de reenvío.
Cuando el cortafuegos descifra tráfico, comprueba si el certificado ascendente ha sido
emitido por una CA de confianza. Si no es así, utiliza un certificado de CA no fiable
especial para firmar el certificado de descifrado. En este caso, el usuario verá la página de
error de certificado habitual al acceder al cortafuegos y deberá desestimar la advertencia
de inicio de sesión.
El cortafuegos tiene una extensa lista de CA de confianza existentes. El certificado de CA
raíz de confianza es para CA adicionales que son fiables para su empresa pero que no
forman parte de la lista de CA fiables preinstalada.
Palo Alto Networks
Gestión de dispositivos • 105
•
Exclusión de SSL: Este certificado excluye las conexiones si se encuentran durante el
descifrado de proxy de reenvío SSL.
•
Certificado de GUI web segura: Este certificado autentica a los usuarios para que
accedan a la interfaz web del cortafuegos. Si se selecciona esta casilla de verificación para
un certificado, el cortafuegos utilizará este certificado para todas las sesiones de gestión
basadas en web futuras tras la próxima operación de compilación.
•
Certificado de Syslog seguro: Este certificado activa el reenvío seguro de syslogs en un
servidor de syslog externo.
Para generar un certificado, haga clic en Generar y especifique la siguiente información.
Tabla 48. Configuración para generar un certificado
Campo
Descripción
Nombre del certificado
Introduzca un nombre (de hasta 31 caracteres) para identificar el
certificado. El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos. Solo se requiere el nombre.
Nombre común
Introduzca la dirección IP o FQDN que aparecerá en el certificado.
Ubicación
Seleccione un sistema virtual o seleccione Compartido para que el
certificado esté disponible para todos los sistemas virtuales.
Firmado por
Un certificado se puede firmar con un certificado de CA importado al
cortafuegos o se puede utilizar un certificado autofirmado donde el
propio cortafuegos es la CA. Si está utilizando Panorama, también tiene
la opción de generar un certificado autofirmado para Panorama.
Si ha importado certificados de CA o los ha emitido en el propio
dispositivo (autofirmados), el menú desplegable incluye los CA
disponibles para firmar el certificado que se está creando.
Para generar una solicitud de firmado de certificado, seleccione una
autoridad externa (CSR). Se generarán el certificado y el par de claves;
ahora puede exportar la CSR.
Autoridad del
certificado
Si desea que el cortafuegos emita el certificado, seleccione la casilla de
verificación Autoridad del certificado
Marcar este certificado como CA le permitirá utilizarlo para firmar otros
certificados en el cortafuegos.
OCSP responder
Seleccione un perfil de respondedor OSCP de la lista desplegable.
El perfil del respondedor OCSP se configura en la pestaña Dispositivo >
Gestión de certificados > OCSP responder. Cuando selecciona un
respondedor OCSP, el nombre de host correspondiente aparece en el
certificado.
Número de bits
Seleccione la longitud de la clave del certificado.
Si el cortafuegos está en modo FIPS/CC, las claves RSA generadas deben
tener 2048 bits o más
Resumen
Seleccione el algoritmo de resumen del certificado.
Si el cortafuegos está en modo FIPS/CC, las firmas de certificados deben
ser SHA256 o superiores.
106 • Gestión de dispositivos
Palo Alto Networks
Tabla 48. Configuración para generar un certificado (Continuación)
Campo
Descripción
Vencimiento (días)
Especifique el número de días que el certificado será válido. El valor
predeterminado es de 365 días.
Si especifica un Período de validez en una configuración del satélite
del portal de GlobalProtect, ese valor cancelará el valor introducido en
este campo.
Atributos del certificado
De forma alternativa, haga clic en Añadir para especificar atributos
del certificado adicionales que se deben utilizar para identificar la
entidad para la que está emitiendo el certificado. Puede añadir cualquiera
de los siguientes atributos: País, Estado, Localidad, Organización,
Departamento, Correo electrónico. Además, puede especificar uno de los
siguientes campos de nombre alternativo del asunto: Nombre de host
(SubjectAltName:DNS), IP (SubjectAltName:IP), y Correo electrónico
alternativo (SubjectAltName:email).
Nota: Para añadir un país como atributo de certificado, seleccione País en la
columna Tipo y, a continuación, haga clic en la columna Valor para ver los
códigos de país ISO 6366.
Si ha configurado un HSM, las claves privadas se almacenan en el HSM externo en lugar de en
el propio cortafuegos.
Palo Alto Networks
Gestión de dispositivos • 107
Después de generar el certificado, los detalles aparecen en la página.
Tabla 49. Otras acciones admitidas
Acciones
Descripción
Eliminar
Seleccione el certificado que desea eliminar y haga clic en Eliminar.
Revocar
Seleccione el certificado que desea revocar y haga clic en Revocar.
El certificado se establecerá instantáneamente en estado revocado.
No es necesario realizar una compilación.
Renovar
En caso de que un certificado caduque o esté a punto de caducar,
seleccione el certificado correspondiente y haga clic en Renovar.
Establezca el periodo de validez (en días) para el certificado y haga clic
en Aceptar.
Si el cortafuegos es la CA que emitió el certificado, el cortafuegos lo
sustituirá por un nuevo certificado que tenga un número de serie
diferente pero los mismos atributos que el certificado anterior.
Si una entidad de certificación (CA) externa firmó el certificado y el
cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP)
para verificar el estado de revocación de certificados, el cortafuegos
utilizará información del respondedor OCSP para actualizar el estado
del certificado.
Importar
Para importar un certificado, haga clic en Importar y especifique los
siguientes detalles
– Nombre para identificar el certificado.
– Utilice la opción Examinar para buscar el archivo de certificado.
Si está importando un certificado PKCS #12 y una clave privada,
este será el único archivo que contiene a ambos objetos. Si utiliza
PEM, este será únicamente el certificado público.
– Seleccione el formato de archivo para el archivo de certificado.
– Seleccione la casilla La clave privada reside en el módulo de
seguridad de hardware si está utilizando un HSM par almacenar la
clave privada para este certificado. Si desea más información sobre
HSM, consulte “Definición de módulos de seguridad de hardware”.
– Seleccione la casilla de verificación Importar clave privada para
cargar la clave privada e introducir la frase de contraseña dos veces.
Si utiliza PKCS #12, el archivo de clave se seleccionó anteriormente.
Si utiliza PEM, busque el archivo de clave privada cifrada (por lo
general, denominado *.key).
– Seleccione el sistema virtual al que desea importar el certificado de la
lista desplegable.
Generar
Consulte generar.
Exportar
Para exportar un certificado, seleccione el certificado que desea exportar y
haga clic en Exportar. Seleccione el formato de archivo que desea que
utilice el certificado exportado (.pfx para PKCS#12 o .pem para formato
de codificación base64).
Seleccione la casilla de verificación Exportar clave privada e introduzca
una frase de contraseña dos veces para exportar la clave privada además
del certificado.
108 • Gestión de dispositivos
Palo Alto Networks
Tabla 49. Otras acciones admitidas
Acciones
Descripción
Importar clave de HA
Las claves de HA se deben intercambiar entre ambos peers del
cortafuegos; es decir, se debe exportar la clave del cortafuegos 1 y,
a continuación, importarse al cortafuegos 2 y viceversa.
Exportar clave de HA
Para importar claves para alta disponibilidad (HA), haga clic en
Importar clave de HA y explore para especificar el archivo de clave
que se importará.
Para exportar claves para HA, haga clic en Exportar clave de HA y
especifique una ubicación en la que guardar el archivo.
Defina el uso del
certificado
En la columna Nombre, seleccione el enlace para el certificado y las
casillas de verificación para indicar cómo planea utilizar el certificado.
Para obtener una descripción de cada uno de ellos, consulte usos.
Gestión de entidades de certificación de confianza predeterminadas
Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de
confianza predeterminadas
Utilice esta página para ver, deshabilitar o exportar las entidades de certificación (CA)
preincluidas en las que confía el cortafuegos. Aparece el nombre, asunto, emisor, fecha de
vencimiento y estado de validez de cada una de ellas.
Esta lista no incluye los certificados de CA generados en el cortafuegos.
Tabla 50. Configuración de entidades de certificación de confianza
Campo
Descripción
Habilitar
Si ha deshabilitado una CA y desea habilitarla, haga clic en la
casilla de verificación junto a la CA y, a continuación, haga clic en
Habilitar.
Deshabilitar
Haga clic en la casilla de verificación junto a la CA que desee
deshabilitar y, a continuación, haga clic en Deshabilitar. Puede
que le interese esto si solamente desea confiar en determinadas
CA o eliminarlas todas para únicamente confiar en su CA local.
Exportar
Haga clic en la casilla de verificación junto a la CA y, a continuación, haga clic en Exportar para exportar el certificado de CA.
Puede realizar esta acción para importar el certificado a otro
sistema o si desea verlo fuera de línea.
Creación un perfil de certificados
Dispositivo > Gestión de certificados > Perfil del certificado
Panorama > Gestión de certificados > Perfil del certificado
Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal
cautivo, GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad móvil y acceso a
la interfaz web del cortafuegos/Panorama. Los perfiles especifican qué certificados deben
utilizarse, cómo verificar el estado de revocación de certificados y cómo restringe el acceso
dicho estado. Configure un perfil de certificado para cada aplicación.
Palo Alto Networks
Gestión de dispositivos • 109
Tabla 51. Configuración de perfiles de certificado
Tipo de página
Descripción
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.
Ubicación
Si el cortafuegos admite varios sistemas virtuales, el cuadro de
diálogo muestra el menú desplegable Ubicación. Seleccione el
sistema virtual donde el perfil estará disponible o seleccione
Compartido para habilitar la disponibilidad en todos los
sistemas virtuales.
Campo de nombre de usuario
Si GlobalProtect solo utiliza certificados para la autenticación del
portal/puerta de enlace, PAN-OS utiliza el campo de certificado
que seleccione en la lista desplegable Campo de nombre de usuario
como nombre de usuario y busca coincidencias con la dirección IP
del ID de usuario (User-ID):
• Asunto: PAN-OS utiliza el nombre común.
• Asunto alternativo: Seleccione si PAN-OS utiliza el correo
electrónico o nombre principal.
• Ninguno: Suele destinarse al dispositivo GlobalProtect o a la
autenticación anterior al inicio de sesión.
Dominio
Introduzca el dominio NetBIOS para que PAN-OS pueda identificar
a los usuarios mediante el ID de usuario.
Certificados de CA
Haga clic en Añadir y seleccione un certificado de CA para
asignarlo al perfil.
Opcionalmente, si el cortafuegos utiliza el protocolo de estado de
certificado en línea (OCSP) para verificar el estado de revocación
de certificados, configure los siguientes campos para cancelar
el comportamiento predeterminado. Para la mayoría de las
implementaciones, estos campos no son aplicables.
• De manera predeterminada, el cortafuegos utiliza la URL del
•
respondedor OCSP que estableció en el procedimiento “Cómo
añadir un respondedor OCSP”. Para cancelar ese ajuste, introduzca una URL de OCSP predeterminada (que comience por
http:// o https://).
De manera predeterminada, el cortafuegos utiliza el certificado
seleccionado en el campo Certificado de CA para validar las
respuestas de OCSP. Para utilizar un certificado diferente para la
validación, selecciónelo en el campo Verificación de certificado
CA con OCSP.
Utilizar CRL
Seleccione la casilla de verificación para utilizar una lista de
revocación de certificados (CRL) para verificar el estado de
revocación de los certificados.
Utilizar OCSP
Seleccione la casilla de verificación para utilizar OCSP y verificar el
estado de revocación de los certificados.
Nota: Si selecciona OCSP y CRL, el cortafuegos primero intentará
utilizar el OCSP y solamente retrocederá al método CRL si el respondedor
OCSP no está disponible.
Tiempo de espera de
recepción de CRL
110 • Gestión de dispositivos
Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos
deja de esperar una respuesta del servicio CRL.
Palo Alto Networks
Tabla 51. Configuración de perfiles de certificado (Continuación)
Tipo de página
Descripción
Tiempo de espera de
recepción de OCSP
Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos
deja de esperar una respuesta del respondedor OCSP.
Tiempo de espera del estado
del certificado
Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos
deja de esperar una respuesta de cualquier servicio de estado de
certificados y aplica la lógica de bloqueo de sesión que defina.
Bloquear una sesión si el
estado del certificado es
desconocido
Seleccione la casilla de verificación si desea que el cortafuegos
bloquee sesiones cuando el servicio OCSP o CRL devuelva un
estado de revocación de certificados desconocido (unknown).
De lo contrario, el cortafuegos continuará con la sesión.
Bloquear sesiones si no se
puede recuperar el estado del
certificado dentro del tiempo
de espera
Seleccione la casilla de verificación si desea que el cortafuegos
bloquee sesiones después de registrar un tiempo de espera de la
solicitud de OCSP o CRL. De lo contrario, el cortafuegos continuará
con la sesión.
Cómo añadir un respondedor OCSP
Dispositivo > Gestión de certificados > OCSP responder
Utilice la página OCSP responder para definir un respondedor (servidor) del protocolo
de estado de certificado en línea (OCSP) que verifique el estado de la revocación de los
certificados.
Además de añadir un respondedor OCSP, habilitar un OCSP requiere las siguientes tareas:
•
Activar la comunicación entre el cortafuegos y el servidor del OCSP: seleccione
Dispositivo > Configuración > Gestión, edite la sección Configuración de interfaz de
gestión, seleccione OCSP de HTTP y, a continuación, haga clic en Aceptar.
•
Si el cortafuegos descifra el tráfico SSL/TLS saliente, configúrelo de forma optativa para
verificar el estado de revocación de los certificados del servidor de destino: seleccione
Dispositivo > Configuración > Sesiones, haga clic en Configuración de revocación
de certificados de descifrado, seleccione la opción para habilitar en la sección OCSP,
introduzca el tiempo de espera de recepción (intervalo después del cual el cortafuegos
deja de esperar una respuesta del OCSP) y, a continuación, haga clic en Aceptar.
•
Opcionalmente, para configurar el propio cortafuegos como respondedor OCSP, añada
un perfil de gestión de interfaz a la interfaz utilizada para servicios OCSP. En primer
lugar, seleccione Red > Perfiles de red > Gestión de interfaz, haga clic en Añadir,
seleccione OCSP de HTTP y, a continuación, haga clic en Aceptar. En segundo lugar,
seleccione Red > Interfaces, haga clic en el nombre de la interfaz que utilizará el
cortafuegos para los servicios del OCSP, seleccione Avanzado > Otra información,
seleccione el perfil de gestión de la interfaz que ha configurado y, a continuación, haga clic
en Aceptar y Compilar.
Palo Alto Networks
Gestión de dispositivos • 111
Tabla 52. Configuración de respondedor OCSP
Campo
Descripción
Nombre
Introduzca un nombre para identificar al respondedor (hasta 31
caracteres). El nombre distingue entre mayúsculas y minúsculas.
Debe ser exclusivo y utilizar únicamente letras, números,
espacios, guiones y guiones bajos.
Ubicación
Si el cortafuegos admite varios sistemas virtuales, el cuadro de
diálogo muestra el menú desplegable Ubicación. Seleccione
el sistema virtual donde el respondedor estará disponible o
seleccione Compartido para habilitar la disponibilidad en todos
los sistemas virtuales.
Nombre de host
Especifique el nombre de host (recomendado) o la dirección IP
del respondedor OCSP. A partir de este valor, PAN-OS deriva
automáticamente una URL y la añade al certificado que se
está verificando. Si configura el propio cortafuegos como
respondedor OCSP, el nombre de host debe resolverse en una
dirección IP de la interfaz que utiliza el cortafuegos para servicios
de OCSP.
Cifrado de claves privadas y contraseñas del cortafuegos
Dispositivo > Clave maestra y diagnóstico
Panorama > Clave maestra y diagnóstico
Utilice la página Clave maestra y diagnóstico para especificar una clave maestra para cifrar
las claves privadas en el dispositivo (cortafuegos o dispositivo de Panorama). La clave
maestra se utiliza para cifrar claves privadas como la clave RSA (utilizada para autenticar
el acceso a la CLI), la clave privada utilizada para autenticar el acceso a la interfaz web del
dispositivo y cualquier otra clave cargada en el dispositivo. Como la clave maestra se utiliza
para cifrar el resto de claves, asegúrese de almacenarla en un lugar seguro.
Incluso aunque no se especifique una clave maestra nueva, las claves privadas siempre se
almacenan de forma cifrada en el dispositivo, de forma predeterminada. Esta opción de clave
maestra ofrece una capa añadida de seguridad.
Si los dispositivos tienen una configuración de alta disponibilidad (HA), asegúrese de utilizar
la misma clave maestra en ambos dispositivos para garantizar que las claves privadas y los
certificados se cifran con la misma clave. Si las claves maestras son diferentes, la sincronización
de la configuración de HA no funcionará correctamente.
Para añadir una clave maestra, haga clic en el botón de edición en la sección Clave maestra y
utilice la siguiente tabla para introducir los valores:
Tabla 53. Configuración de clave maestra y diagnóstico
Campo
Descripción
Clave maestra actual
Especifique la clave que se utiliza actualmente para cifrar todas las claves
privadas y contraseñas del dispositivo.
Nueva clave principal
Para cambiar la clave maestra, introduzca una cadena de 16 caracteres y
confirme la nueva clave.
Confirmar clave maestra
112 • Gestión de dispositivos
Palo Alto Networks
Tabla 53. Configuración de clave maestra y diagnóstico (Continuación)
Campo
Descripción
Duración
Especifique el número de días y horas tras el cual vence la clave maestra
(rango: 1-730 días).
Deberá actualizar la clave maestra antes de su vencimiento. Para obtener
información sobre cómo actualizar claves maestras, consulte “Habilitación
de HA en el cortafuegos”.
Tiempo para el
recordatorio
Especifique el número de días y horas antes del vencimiento, en cuyo
momento se notificará al usuario del vencimiento inminente (rango:
1-365 días).
Almacenado en HSM
Marque esta casilla si la clave maestra se cifra en un módulo de seguridad
de hardware (HSM). No puede utilizar HSM en una interfaz dinámica
como un cliente DHCP o PPPoE.
La configuración HSM no está sincronizada entre dispositivos de peer
en modo de alta disponibilidad. Por lo tanto, cada peer del par de HA
se puede conectar a un origen HSM diferente. Si utiliza Panorama y
desea mantener sincronizada la configuración en ambos peers, utilice
las plantillas de Panorama para configurar el origen de HSM en los
cortafuegos gestionados.
HSM no es compatible con los cortafuegos de las series PA-200, PA-500 y
PA-2000.
Criterios comunes
Palo Alto Networks
En el modo Criterios comunes, hay disponibles botones adicionales
para ejecutar una prueba automática de algoritmos criptográficos y una
prueba automática de integridad del software. También se incluye un
programador para especificar los momentos en los que se ejecutarán las
dos pruebas automáticas.
Gestión de dispositivos • 113
Habilitación de HA en el cortafuegos
Dispositivo > Alta disponibilidad
Para redundancia, el cortafuegos se puede implementar en una configuración activa/pasiva o
activa/pasiva de alta disponibilidad (HA). Cuando se configura en HA, los peers de HA se
reflejan entre sí en la configuración.
En un par de HA, ambos cortafuegos deben tener el mismo modelo, deben ejecutar la
misma versión de PAN-OS y deben tener el mismo conjunto de licencias.
Para cada sección de la página Alta disponibilidad, haga clic en Editar en el encabezado y
especifique la información correspondiente descrita en la tabla siguiente.
Tabla 54. Configuración de HA
Campo
Descripción
Pestaña General
Configuración
Especifique los siguientes ajustes:
• Habilitar HA: Active las prestaciones de HA.
• ID de grupo: Introduzca un número para identificar el par activo/pasivo
(de 1 a 63). Permite que varios pares de cortafuegos activos/pasivos
residan en la misma red. El ID debe ser exclusivo cuando hay más de un
par de alta disponibilidad residiendo en una red de capa 2.
• Descripción: Introduzca una descripción del par activo/pasivo (opcional).
• Modo: Seleccione activo-activo o activo-pasivo.
• Dirección IP de HA del peer: Introduzca la dirección IP de la interfaz de
HA1 que se especifica en la sección Enlace de control del otro cortafuegos.
• Crear copia de seguridad de la dirección IP de HA del peer: Introduzca la
dirección IP del enlace de control de copia de seguridad del peer.
• Habilitar sincronización de configuración: Sincronice la configuración
entre peers.
• Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los
cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos).
• Dúplex de enlace: Seleccione una opción de dúplex para el enlace de datos
entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA
específicos).
114 • Gestión de dispositivos
Palo Alto Networks
Tabla 54. Configuración de HA (Continuación)
Campo
Descripción
Configuración de
elección
Especifique o habilite los siguientes ajustes:
• Prioridad de dispositivo: Introduzca un valor de prioridad para identificar
el cortafuegos activo. El cortafuegos con el valor más bajo (alta prioridad)
se convierte en el cortafuegos activo (rango 0-255) cuando la función
Preferente está activada en ambos cortafuegos del par.
• Copia de seguridad de heartbeat: Utiliza los puertos de gestión en los
dispositivos de HA para proporcionar una ruta de copia de seguridad para
mensajes de latidos y saludos. La dirección IP del puerto de gestión se
compartirá con el peer de HA a través del enlace de control HA1. No se
requiere ninguna configuración adicional.
• Preferente: Habilite el cortafuegos de mayor prioridad para reanudar el
funcionamiento activo tras recuperarse de un fallo. La opción Preferencia
debe estar habilitada en ambos dispositivos para que el cortafuegos de
mayor prioridad reanude el funcionamiento activo tras recuperarse de un
fallo. Si este ajuste está desactivado, el cortafuegos de menor prioridad
permanecerá activo incluso después de que el cortafuegos de mayor
prioridad se recupere de un fallo.
• Configuración de temporizador de HA: Seleccione uno de los perfiles
preestablecidos:
– Recomendada: Para configuración de temporizador de conmutación por
error típica.
– Agresivo: Para configuración de temporizador de conmutación por
error más rápida.
Para ver el valor preestablecido para un temporizador concreto incluido
en un perfil, seleccione Avanzado y haga clic en Carga recomendada o
Carga intensiva. Los valores preestablecidos para su modelo de hardware
aparecerán en la pantalla.
– Avanzado: Le permite personalizar los valores para adaptarse a sus
requisitos de red para cada uno de los siguientes temporizadores:
› Tiempo de espera de promoción: Introduzca el
tiempo que el dispositivo pasivo (en el modo activo/
pasivo) o el dispositivo secundario activo (en el
modo activo/activo) esperará antes de tomar el
control como dispositivo activo o principal activo
después de perder las comunicaciones con el peer de
HA. Este tiempo de espera únicamente comenzará
después de haber realizado una declaración de fallo
de peer.
› Intervalo de saludo: Introduzca el número de
milisegundos entre los paquetes de saludo enviados
para verificar que el programa de HA del otro
cortafuegos está operativo. El rango es de 8000-60000
ms con un valor predeterminado de 8000 ms para
todas las plataformas.
› Intervalo de heartbeat: Especifique con qué
frecuencia los peers de HA intercambian mensajes
de latidos con la forma de un ping ICMP (rango:
1.000-60.000 ms; valor predeterminado: 1.000 ms).
Palo Alto Networks
Gestión de dispositivos • 115
Tabla 54. Configuración de HA (Continuación)
Campo
Descripción
› N.º máximo de flaps: Se cuenta un flap cuando
el cortafuegos deja el estado activo antes de que
transcurran 15 minutos desde la última vez que dejó
el estado activo. Puede especificar el número máximo
de flaps permitidos antes de que se determine
suspender el cortafuegos y que el cortafuegos pasivo
tome el control (rango: 0-16; valor predeterminado:
3). El valor 0 significa que no hay máximo (se necesita
un número infinito de flaps antes de que el
cortafuegos pasivo tome el control).
› Tiempo de espera para ser preferente: Introduzca el
tiempo que un dispositivo secundario pasivo o activo
esperará antes de tomar el control como dispositivo
activo o principal activo (rango: 1-60 min.; valor
predeterminado: 1 min.).
› Tiempo de espera ascendente tras fallo de
supervisor (ms): Especifique el intervalo durante
el cual el cortafuegos permanecerá activo tras un
fallo de supervisor de ruta o supervisor de enlace.
Se recomienda este ajuste para evitar una
conmutación por error de HA debido a los flaps
ocasionales de los dispositivos vecinos (rango:
0-60.000 ms; valor predeterminado: 0 ms).
› Tiempo de espera ascendente principal adicional
(min.): Este intervalo de tiempo se aplica al
mismo evento que Supervisar fallo de tiempo
de espera ascendente (rango: 0-60.000 ms; valor
predeterminado: 500 ms). El intervalo de tiempo
adicional únicamente se aplica al dispositivo activo
en el modo activo/pasivo y al dispositivo principal
activo en el modo activo/activo. Se recomienda este
temporizador para evitar una conmutación por error
cuando ambos dispositivos experimentan el mismo
fallo de supervisor de enlace/ruta simultáneamente.
116 • Gestión de dispositivos
Palo Alto Networks
Tabla 54. Configuración de HA (Continuación)
Campo
Descripción
Enlace de control
(HA1)/Enlace de
control (copia de
seguridad de HA1)
La configuración recomendada para la conexión del enlace de control de HA
es utilizar el enlace HA1 específico entre los dos dispositivos y utilizar el
puerto de gestión como interfaz de enlace de control (copia de seguridad de
HA). En este caso, no necesita habilitar la opción Copia de seguridad de
heartbeat en la página Configuración de elección. Si está utilizando un puerto
HA1 físico para el enlace de HA de enlace de control y un puerto de datos
para el enlace de control (copia de seguridad de HA), se recomienda habilitar
la opción Copia de seguridad de heartbeat.
En el caso de dispositivos que no tienen un puerto de HA específico, como el
PA-200, debe configurar el puerto de gestión para la conexión de HA del
enlace de control y una interfaz de puerto de datos configurada con el tipo
HA para la conexión de copia de seguridad de HA1 del enlace de control.
Como en este caso se está utilizando el puerto de gestión, no es necesario
habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección porque las copias de seguridad de latidos ya se realizarán
a través de la conexión de interfaz de gestión.
Al utilizar un puerto de datos para el enlace de control de HA, debe tener en
cuenta que, dado que los mensajes de control tienen que comunicarse desde
el plano de datos hasta el plano de gestión, si se produce un fallo en el plano
de datos, la información del enlace de control de HA no podrá comunicarse
entre los dispositivos y se producirá una conmutación por error. Lo mejor
es utilizar los puertos de HA específicos o, en dispositivos que no tengan
ningún puerto de HA específico, el puerto de gestión.
Especifique los siguientes ajustes para los enlaces de control de HA principal
y de copia de seguridad:
• Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y
de copia de seguridad. El ajuste de copia de seguridad es opcional.
Nota: El puerto de gestión también se puede utilizar como enlace de control.
• Dirección IPv4/IPv6: Introduzca la dirección IPv4 o IPv6 de la interfaz
de HA1 para las interfaces de HA1 principal y de copia de seguridad.
El ajuste de copia de seguridad es opcional.
• Máscara de red: Introduzca la máscara de red de la dirección IP (como
“255.255.255.0”) para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
• Puerta de enlace: Introduzca la dirección IP de la puerta de enlace
predeterminada para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
• Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos
para el puerto de HA1 específico.
• Dúplex de enlace (únicamente modelos con puertos de HA específicos):
Seleccione una opción de dúplex para el enlace de control entre los
cortafuegos para el puerto de HA1 específico.
• Cifrado habilitado: Habilite el cifrado después de exportar la clave de HA
desde el peer de HA e importarla a este dispositivo. La clave de HA de este
dispositivo también debe exportarse desde este dispositivo e importarse
al peer de HA. Configure este ajuste para la interfaz de HA1 principal.
La importación/exportación de claves se realiza en la página Certificados.
Consulte “Importación, exportación y generación de certificados de
seguridad” en la página 60.
Palo Alto Networks
Gestión de dispositivos • 117
Tabla 54. Configuración de HA (Continuación)
Campo
Descripción
• Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo
(milisegundos) que el cortafuegos esperará antes de declarar un fallo de
peer debido a un fallo del enlace de control (1.000-60.000 ms; valor predeterminado: 3.000 ms). Esta opción supervisa el estado del enlace físico de
los puertos de HA1.
Enlace de datos
(HA2)
Especifique los siguientes ajustes para el enlace de datos principal y de copia
de seguridad:
• Puerto: Seleccione el puerto de HA. Configure este ajuste para las interfaces
de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad
es opcional.
• Dirección IP: Especifique la dirección IPv4 o IPv6 de la interfaz de HA para
las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia
de seguridad es opcional.
• Máscara de red: Especifique la máscara de red de la interfaz de HA para las
interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de
seguridad es opcional.
• Puerta de enlace: Especifique la puerta de enlace predeterminada de la
interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. Si las direcciones IP de
HA2 de los cortafuegos del par de HA están en la misma subred, el campo
Puerta de enlace debería quedarse en blanco.
• Habilitar sincronización de sesión: Habilite la sincronización de la información de la sesión con el cortafuegos pasivo y seleccione una opción de
transporte.
• Transporte: Seleccione una de las siguientes opciones de transporte:
– Ethernet: Utilice esta opción cuando los cortafuegos estén conectados
opuesto con opuesto o a través de un conmutador (Ethertype 0x7261).
– IP: Utilice esta opción cuando se requiera el transporte de capa 3
(número de protocolo IP: 99).
– UDP: Utilice esta opción para aprovechar el hecho de que la suma de
comprobación se calcula sobre todo el paquete y no solamente el
encabezado, como en la opción IP (puerto UDP 29281).
• Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos
activo y pasivo para el puerto de HA2 específico.
• Dúplex de enlace (únicamente modelos con puertos de HA específicos):
Seleccione una opción de dúplex para el enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico.
• Conexión persistente de HA2: Seleccione esta casilla de verificación para
habilitar la supervisión del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido, se producirá la
acción definida (log o ruta de datos divididos). La opción está deshabilitada de manera predeterminada.
Puede configurar la opción Conexión persistente de HA2 en ambos
dispositivos o solamente un dispositivo del par de HA. Si la opción se
establece únicamente en un dispositivo, solamente ese dispositivo enviará
los mensajes de conexión persistente. Sin embargo, se notificará al otro
dispositivo si se produce un fallo y pasará al modo de ruta de datos
divididos si se selecciona esa acción.
118 • Gestión de dispositivos
Palo Alto Networks
Tabla 54. Configuración de HA (Continuación)
Campo
Descripción
– Acción: Seleccione la acción que debe realizarse si fallan los mensajes de
supervisión basándose en el ajuste de umbral.
› Únicamente log: Seleccione esta opción para generar
un mensaje del log Sistema de nivel crítico cuando se
produzca un fallo de HA2 basándose en el ajuste de
umbral. Si la ruta de HA2 se recupera, se generará un
log informativo.
En una configuración activa/pasiva, debe utilizar
esta acción, ya que no es necesario dividir los datos
porque no hay más de un dispositivo activo en un
momento concreto.
› Ruta de datos divididos: Esta acción está diseñada
para una configuración de HA activa/activa. En una
configuración activa/activa, si el administrador o un
fallo de supervisión deshabilita la sincronización de
sesiones, la propiedad de sesión y la configuración de
sesión se establecerán como el dispositivo local y las
nuevas sesiones se procesarán localmente durante
la sesión.
› Umbral (ms): Tiempo durante el cual los mensajes
de conexión persistente han fallado antes de que se
haya activado una de las acciones anteriores (rango:
5.000-60.000 ms; valor predeterminado: 10.000 ms).
Nota: Cuando se configura un enlace de copia de seguridad de HA2, se producirá
una conmutación por error en el enlace de copia de seguridad si hay un fallo en el
enlace físico. Con la opción Conexión persistente de HA2 habilitada, la conmutación
por error también se producirá si fallan los mensajes de conexión persistente de HA
basados en el umbral definido.
Palo Alto Networks
Gestión de dispositivos • 119
Tabla 54. Configuración de HA (Continuación)
Campo
Descripción
Pestaña Supervisión de enlaces y rutas
Supervisión de rutas
Especifique lo siguiente:
• Habilitado: Habilite la supervisión de rutas. La supervisión de rutas
permite que el cortafuegos supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden.
Utilice la supervisión de rutas para configuraciones de Virtual Wire, capa 2
o capa 3 cuando se necesite la supervisión de otros dispositivos de red en
caso de conmutación por error y la supervisión de enlaces no sea suficiente
por sí sola.
• Condición de fallo: Seleccione si se produce una conmutación por error
cuando alguno o todos los grupos de rutas supervisados presentan fallos
al responder.
Grupo de rutas
Defina uno o más grupos de rutas para supervisar direcciones de destino
específicas. Para agregar un grupo de rutas, haga clic en Añadir para el tipo
de interfaz (Virtual Wire, VLAN o Enrutador virtual) y especifique lo
siguiente:
• Nombre: Seleccione un cable virtual, VLAN o enrutador virtual en la lista
de selección desplegable (la selección desplegable se rellena dependiendo
de si añade un cable virtual, VLAN o ruta de enrutador virtual).
• Habilitado: Habilite el grupo de rutas.
• Condición de fallo: Seleccione si se produce un fallo cuando alguna o
todas las direcciones de destino especificadas presentan fallos al responder.
• IP de origen: En el caso de interfaces de Virtual Wire y de VLAN, introduzca la dirección IP de origen utilizada en los paquetes sonda enviados al
enrutador de siguiente salto (dirección IP de destino). El enrutador local
debe ser capaz de enrutar la dirección al cortafuegos. La dirección IP de
origen para grupos de rutas asociados a enrutadores virtuales se configurará automáticamente como la dirección IP de interfaz que se indica en la
tabla de rutas como la interfaz de salida (egress) para la dirección IP de
destino especificada.
• IP de destino: Introduzca una o más direcciones de destino (separadas por
comas) que se supervisarán.
• Intervalo de ping: Especifique el intervalo entre los pings que se envían a
la dirección de destino (rango: 200-60.000 milisegundos; valor predeterminado: 200 milisegundos).
• Recuento de pings: Especifique el número de pings fallidos antes de
declarar un fallo (rango: 3-10 pings; valor predeterminado: 10 pings).
120 • Gestión de dispositivos
Palo Alto Networks
Tabla 54. Configuración de HA (Continuación)
Campo
Descripción
Supervisión de
enlaces
Especifique lo siguiente:
• Habilitado: Habilite la supervisión de enlaces. La supervisión de enlaces
permite activar una conmutación por error cuando falla un enlace físico o
un grupo de enlaces físicos.
• Condición de fallo: Seleccione si se produce una conmutación por error
cuando alguno o todos los grupos de enlaces supervisados presentan fallos.
Grupos de enlaces
Defina uno o más grupos de enlaces para supervisar enlaces Ethernet
específicos. Para añadir un grupo de enlaces, especifique los siguientes
ajustes y haga clic en Añadir:
• Nombre: Introduzca un nombre de grupo de enlaces.
• Habilitado: Habilite el grupo de enlaces.
• Condición de fallo: Seleccione si se produce un fallo cuando alguno o
todos los enlaces seleccionados presentan fallos.
• Interfaces: Seleccione una o más interfaces Ethernet que se supervisarán.
Pestaña Activo Pasivo
Estado de los enlaces
en el pasivo
Seleccione una de las siguientes opciones:
• Automático: Hace que el estado de los enlaces refleje la conectividad
física, pero descarta todos los paquetes recibidos. Esta opción permite
que el estado de los enlaces de la interfaz permanezca activo hasta que
se produzca una conmutación por error, disminuyendo la cantidad de
tiempo que tarda el dispositivo pasivo en tomar el control.
Esta opción es compatible con el modo de capa 2, capa 3 y Virtual Wire.
La opción Automático es conveniente si es viable para su red.
• Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. Esta es
la opción predeterminada, que garantiza que no se creen bucles en la red.
Supervisar fallo de
tiempo de espera
descendente
Especifique la cantidad de tiempo (minutos) que un cortafuegos pasará en el
estado no funcional antes de volverse pasivo. Este temporizador únicamente
se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de
enlace (rango: 1-60; valor predeterminado: 1).
Pestaña Configuración Activa/Activa
Reenvío de paquetes
Palo Alto Networks
Seleccione la casilla de verificación Habilitar para permitir el reenvío de
paquetes a través del enlace de HA3. Esto es obligatorio para sesiones
enrutadas asimétricamente que requieren la inspección de capa 7 para
inspección de identificación de aplicaciones y usuarios (App-ID y Content-ID).
Gestión de dispositivos • 121
Tabla 54. Configuración de HA (Continuación)
Campo
Descripción
Interfaz de HA3
Seleccione la interfaz para reenviar paquetes entre peers de HA cuando está
configurada en el modo activo/activo.
Cuando utilice la interfaz de HA3, debe activar las tramas gigantes (Jumbo
Frames) en el cortafuegos y en todos los dispositivos de red intermediarios.
Para habilitar las tramas gigantes (Jumbo Frames), seleccione Dispositivo >
Configuración < Sesión y la opción Habilitar trama gigante en la
sección Configuración de sesión.
Sincronización de VR
Fuerce la sincronización de todos los enrutadores virtuales configurados en
los dispositivos de HA.
La sincronización del enrutador virtual se puede utilizar cuando el enrutador
virtual no está empleando protocolos de enrutamiento dinámico. Ambos
dispositivos deben conectarse al mismo enrutador de siguiente salto a través
de una red conmutada y deben utilizar únicamente rutas estáticas.
Sincronización
de QoS
Sincronice la selección de perfil de QoS en todas las interfaces físicas.
Utilice esta opción cuando ambos dispositivos tengan velocidades de enlace
similares y requieran los mismos perfiles de QoS en todas las interfaces
físicas. Este ajuste afecta a la sincronización de la configuración de QoS en
la pestaña Red. La política de QoS se sincroniza independientemente de
este ajuste.
Tiempo de espera de
tentativa (seg.)
Cuando falla un cortafuegos en un estado activo/activo de HA, este entrará
en estado de tentativa. Este temporizador define la duración que tendrá en
ese estado. Durante el periodo de tentativa, el cortafuegos intentará crear
adyacencias de ruta y completar su tabla de ruta antes de procesar los
paquetes. Sin este temporizador, el cortafuegos de recuperación entraría en
estado activo-secundario inmediatamente y bloquearía los paquetes, ya que
carecería de las rutas necesarias (de forma predeterminada, 60 segundos).
Selección de propietario de sesión
Especifique una de las siguientes opciones para seleccionar el propietario
de sesión:
• Dispositivo principal: Seleccione esta opción para que el cortafuegos
principal activo gestione la inspección de capa 7 para todas las sesiones.
Este ajuste se recomienda principalmente para operaciones de solución de
problemas.
• Primer paquete: Seleccione esta opción para que el cortafuegos que reciba
el primer paquete de la sesión sea responsable de la inspección de la capa 7
de manera que admita identificación de aplicaciones y usuarios (App-ID y
Content-ID). Esta es la configuración recomendada para reducir al mínimo
el uso del enlace de reenvío de paquetes de HA3.
Configuración de
sesión
Seleccione el método para la configuración de sesión inicial.
• Módulo de IP: Selecciona un cortafuegos basado en la paridad de la
dirección IP de origen.
• Dispositivo principal: Garantiza que todas las sesiones se configuran en
el cortafuegos principal.
• Hash de IP: Determina el cortafuegos de configuración mediante un hash
de la dirección IP de origen o dirección IP de origen y destino y un valor de
inicialización de hash si se desea una mayor aleatorización.
122 • Gestión de dispositivos
Palo Alto Networks
Tabla 54. Configuración de HA (Continuación)
Campo
Descripción
Dirección virtual
Haga clic en Añadir, seleccione la pestaña IPv4 o IPv6 y, a continuación,
vuelva a hacer clic en Añadir para introducir opciones para una dirección
virtual de HA que utilizará el clúster activo/activo de HA. Puede seleccionar
el tipo de dirección virtual para que sea Flotante o Uso compartido de carga
de ARP. También puede mezclar los tipos de direcciones virtuales del
clúster: por ejemplo, puede utilizar el uso compartido de carga de ARP en
la interfaz de LAN y una IP flotante en la interfaz de WAN.
• Flotante: Introduzca una dirección IP que se desplazará entre los dispositivos de HA en el caso de un fallo de enlace o dispositivo. Debe configurar
dos direcciones IP flotantes en la interfaz, de modo que cada cortafuegos
posea una y, a continuación, establezca la prioridad. Si falla alguno de los
cortafuegos, la dirección IP flotante pasará al peer de HA.
– Prioridad de dispositivo 0: Establezca la prioridad para determinar qué
dispositivo poseerá la dirección IP flotante. El dispositivo con el valor
más bajo tendrá la prioridad.
– Prioridad de dispositivo 1: Establezca la prioridad para determinar qué
dispositivo poseerá la dirección IP flotante. El dispositivo con el valor
más bajo tendrá la prioridad.
– Dirección de conmutación por error si el estado de enlace no está
operativo: Utilice la dirección de conmutación por error cuando el
estado del enlace esté desactivado en la interfaz.
• Uso compartido de carga de ARP: Introduzca una dirección IP que
compartirá el par de HA y proporcionará servicios de puerta de enlace para
hosts. Esta opción únicamente debería utilizarse cuando el cortafuegos y
los host se encuentren en el mismo dominio de difusión. Seleccione
Algoritmo de selección de dispositivo:
– Módulo de IP: Si se selecciona esta opción, el cortafuegos que responda
a las solicitudes de ARP se seleccionará basándose en la paridad de la
dirección IP de los solicitantes de ARP.
– Hash de IP: Si se selecciona esta opción, el cortafuegos que responda a
las solicitudes de ARP se seleccionará basándose en un hash de la
dirección IP de los solicitantes de ARP.
Comandos de operación
Suspender
dispositivo local
Cambia a Make local
device functional
Hace que el dispositivo de HA entre en el modo de suspensión y deshabilita
temporalmente las prestaciones de HA en el cortafuegos. Si suspende el
cortafuegos activo actual, el otro peer tomará el control.
Para volver a poner un dispositivo suspendido en un estado
funcional, CLI
Para probar la conmutación por error, puede desconectar el cable del
dispositivo activo (o activo-principal) o puede hacer clic en este enlace para
suspender el dispositivo activo.
Aspectos importantes que hay que tener en cuenta al configurar la HA
•
La subred utilizada para la IP local y del peer no debe utilizarse en ningún otro lugar del
enrutador virtual.
•
Las versiones del sistema operativo y del contenido deben ser las mismas en cada
dispositivo. Una falta de coincidencia puede impedir que los dispositivos del par se
sincronicen.
Palo Alto Networks
Gestión de dispositivos • 123
•
Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color
ámbar en el cortafuegos pasivo.
•
Puede comparar la configuración de los cortafuegos local y peer mediante la herramienta
Auditoría de configuraciones de la pestaña Dispositivo, seleccionando la configuración
local deseada en el cuadro de selección de la izquierda y la configuración del peer en el
cuadro de selección de la derecha.
•
Sincronice los cortafuegos desde la interfaz web pulsando el botón Introducir
configuración ubicado en el widget de HA en la pestaña Panel. Tenga en cuenta que
la configuración del dispositivo desde el que introducirá la configuración sobrescribirá
la configuración del dispositivo del peer. Para sincronizar los cortafuegos desde la CLI
del dispositivo activo, utilice el comando request high-availability sync-toremote running-config.
En una configuración activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de
SFP+ de 10 gigabits, cuando se produce una conmutación por error y el dispositivo activo cambia a un
estado pasivo, el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el
puerto, pero no permite la transmisión hasta que el dispositivo vuelve a activarse. Si cuenta con un
software de supervisión en el dispositivo vecino, este verá el puerto como flap debido a su desactivación
y posterior activación. Este comportamiento es distinto al otros puertos, como el puerto Ethernet de 1
gigabit. Aunque se desactive, este puerto sigue permitiendo la transmisión, por lo que el dispositivo
vecino no detecta ningún flap.
HA Lite
Los cortafuegos de las series PA-200 y VM admiten una versión “lite” de la HA activa/pasiva
que no incluye ninguna sincronización de sesiones. HA Lite permite la sincronización de la
configuración y la sincronización de algunos elementos de tiempo de ejecución. También
admite la conmutación por error de túneles de IPSec (las sesiones deben volver a establecerse),
información de concesión de servidor DHCP, información de concesión de cliente DHCP,
información de concesión de PPPoE y la tabla de reenvío del cortafuegos cuando está
configurado en el modo de capa 3.
Definición de sistemas virtuales
Dispositivo > Sistemas virtuales
Los sistemas virtuales son instancias de cortafuegos independientes (virtuales) que se
pueden gestionar de forma separada dentro de un cortafuegos físico. Todos los sistemas
virtuales pueden ser cortafuegos independientes con su propia política de seguridad,
interfaces y administradores; un sistema virtual le permite segmentar la administración de
todas las políticas (de seguridad, NAT, QoS, etc.), así como todas las funciones de creación de
informes y visibilidad proporcionadas por el cortafuegos. Por ejemplo, si desea personalizar
las características de seguridad para el tráfico asociado al departamento financiero, puede
definir un sistema virtual financiero y, a continuación, definir políticas de seguridad que
pertenezcan únicamente a ese departamento. Para optimizar la administración de políticas,
puede mantener cuentas de administrador distintas para todo el dispositivo y las funciones de
red, y crear a su vez cuentas de administrador de sistema virtual que permitan el acceso a
sistemas virtuales individuales. Esto permite al administrador de sistemas virtuales del
departamento financiero gestionar las políticas de seguridad únicamente de dicho
departamento.
124 • Gestión de dispositivos
Palo Alto Networks
Las funciones de red que incluyen rutas dinámicas y estáticas pertenecen a todo el cortafuegos
(y a todos los sistemas virtuales en él); las funciones de nivel de red y de dispositivo no las
controlan los sistemas virtuales. Para cada sistema virtual puede especificar un conjunto
de interfaces de cortafuegos físicas y lógicas (incluidas VLAN y Virtual Wire) y zonas de
seguridad. Si necesita segmentación de rutas para cada sistema virtual, debe crear/asignar
enrutadores virtuales adicionales y asignar interfaces, VLAN, Virtual Wire, según corresponda. De forma predeterminada, todas las interfaces, zonas y políticas pertenecen al sistema
virtual predeterminado (vsys1).
Los cortafuegos de las series PA-4000 y PA-5000 admiten varios sistemas virtuales. Los cortafuegos
de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala la licencia
adecuada. Los cortafuegos PA-500 y PA-200 no admiten sistemas virtuales.
Cuando habilite varios sistemas virtuales, tenga en cuenta lo siguiente:
•
Un administrador de sistemas virtuales crea y administra todos los elementos necesarios
para las políticas.
•
Las zonas son objetos dentro de sistemas virtuales. Antes de definir una política o un
objeto de las políticas, seleccione el sistema virtual en la lista desplegable Sistema virtual
de la pestaña Políticas u Objetos.
•
Los destinos de logs remotos (SNMP, Syslog y correo electrónico), así como aplicaciones,
servicios y perfiles, pueden compartirse entre todos los sistemas virtuales o limitarse a un
sistema virtual seleccionado.
Antes de definir los sistemas virtuales, debe habilitar la función para admitir varios sistemas
virtuales en el cortafuegos.
Para habilitar la función de varios sistemas virtuales, en la página Dispositivo > Configuración > Gestión, haga clic en el enlace Editar de la sección Configuración general y seleccione la casilla de verificación Capacidad de cortafuegos virtuales. Esto añadirá el enlace
Sistemas virtuales al menú lateral.
Palo Alto Networks
Gestión de dispositivos • 125
Ahora podrá abrir la pestaña Sistemas virtuales, hacer clic en Añadir y especificar la
información siguiente.
Tabla 55. Configuración de sistemas virtuales
Campo
Descripción
ID
Introduzca un identificador que sea un número entero para el sistema
virtual. Consulte la hoja de datos de su modelo de cortafuegos para
obtener información sobre el número de sistemas virtuales admitidos.
Nombre
Introduzca un nombre (de hasta 31 caracteres) para identificar el sistema
virtual. El nombre hace distinción entre mayúsculas y minúsculas y debe
ser exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos. Solo se requiere el nombre.
Pestaña General
Seleccione un perfil de proxy de DNS en la lista desplegable si desea
aplicar reglas de proxy de DNS a esta interfaz. Consulte “Proxy DNS”.
Para incluir objetos de un tipo especial, seleccione la casilla de
verificación de ese tipo (Interfaz, VLAN, Virtual Wire, Enrutador virtual
o Sistema virtual visible). Haga clic en Añadir y seleccione un elemento
de la lista desplegable. Puede añadir uno o más objetos de cualquier tipo.
Para eliminar un objeto, selecciónelo y haga clic en Eliminar.
Pestaña Recurso
Introduzca los siguientes ajustes:
• Límite de sesiones: Número máximo de sesiones permitido para
este sistema virtual.
• Reglas de seguridad: Número máximo de reglas de seguridad
permitido para este sistema virtual.
• Reglas de NAT: Número máximo de reglas de NAT permitido para
este sistema virtual.
• Reglas de descifrado: Número máximo de reglas de descifrado
permitido para este sistema virtual.
• Reglas de QoS: Número máximo de reglas de QoS permitido para
este sistema virtual.
• Reglas de application override: Número máximo de reglas de
application override permitido para este sistema virtual.
• Reglas de PBF: Número máximo de reglas de reenvío basado en
políticas (PBF) permitido para este sistema virtual.
• Reglas de portal cautivo: Número máximo de reglas de portal cautivo
permitido para este sistema virtual.
• Reglas de denegación de servicio: Número máximo de reglas de
denegación de servicio permitido para este sistema virtual.
• Túneles VPN de sitio a sitio: Número máximo de túneles de VPN de
sitio a sitio permitido para este sistema virtual.
• Usuarios del modo de túnel de GlobalProtect simultáneos: Número
máximo de usuarios de GlobalProtect remotos simultáneos permitido
para este sistema virtual.
126 • Gestión de dispositivos
Palo Alto Networks
Configuración de puertas de enlace compartidas
Dispositivo > Puertas de enlace compartidas
Las puertas de enlace compartidas permiten a los sistemas virtuales múltiples compartir una
única comunicación externa (tradicionalmente conectada a una red ascendente común como
un proveedor de servicios de Internet). El resto de sistemas virtuales se comunican con el
mundo exterior a través de la interfaz física mediante una única dirección IP. Se utiliza un
único enrutador virtual para enrutar el tráfico de todos los sistemas virtuales a través de la
puerta de enlace compartida.
Las puertas de enlace compartidas utilizan interfaces de capa 3 y, como mínimo, una interfaz
de capa 3 debe configurarse como puerta de enlace compartida. Las comunicaciones que se
originan en un sistema virtual y que salen del cortafuegos mediante una puerta de enlace
compartida requieren una política similar para las comunicaciones que pasan entre dos
sistemas virtuales. Puede configurar una zona “Vsys externa” para definir las reglas de
seguridad en el sistema virtual.
Tabla 56. Configuración de puertas de enlace compartidas
Campo
Descripción
ID
Identificador de la puerta de enlace (no utilizado por el cortafuegos).
Nombre
Introduzca un nombre para la puerta de enlace compartida (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos. Solo se requiere el nombre.
Proxy DNS
(Optativo) Si hay un proxy DNS configurado, seleccione qué servidores
DNS se deben utilizar para las consultas de nombre de dominio.
Interfaces
Seleccione casillas de verificación para las interfaces que utilizará la
puerta de enlace compartida.
Palo Alto Networks
Gestión de dispositivos • 127
Definición de páginas de respuesta personalizadas
Dispositivo > Páginas de respuesta
Las páginas de respuesta personalizadas son las páginas web que se muestran cuando un
usuario intenta acceder a una URL. Puede proporcionar un mensaje HTML personalizado
que se descargará y mostrará en lugar del archivo o la página web que ha solicitado.
Cada sistema virtual puede tener sus propias páginas de respuesta personalizadas.
La siguiente tabla describe los tipos de páginas de respuesta personalizadas que admiten
mensajes del cliente.
Consulte Apéndice A, “Páginas personalizadas” para obtener ejemplos de las
páginas de respuesta predeterminadas.
Tabla 57. Tipos de páginas de respuesta personalizadas
Tipo de página
Descripción
Antivirus Página de bloqueo
Acceso bloqueado debido a una infección por virus.
Aplicación Página de bloqueo
Acceso bloqueado debido a que la aplicación está bloqueada por
una política de seguridad.
Confort de portal cautivo
Página
Página para que los usuarios verifiquen su nombre de usuario y
contraseña para máquinas que no formen parte del dominio.
Opción continua de bloqueo
de archivo Página
Página para que los usuarios confirmen que la descarga debe
continuar. Esta opción únicamente está disponible si las
prestaciones de opción continua están habilitadas en el perfil de
seguridad. Consulte “Perfiles de bloqueo de archivo”.
Bloqueo de archivo Página
de bloqueo
Acceso bloqueado debido a que el acceso al archivo está bloqueado.
Ayuda de portal de
GlobalProtect Página
Página de ayuda personalizada para usuarios de GlobalProtect
(accesible desde el portal).
Inicio de sesión de portal de
GlobalProtect Página
Página para los usuarios que intenten acceder al portal de
GlobalProtect.
Página de bienvenida de
GlobalProtect
Página de bienvenida para los usuarios que intenten iniciar sesión
en el portal de GlobalProtect.
Página de notificación de
errores de certificado SSL
Notificación de que un certificado SSL se ha revocado.
Página de exclusión de
descifrado de SSL
Página de advertencia para el usuario que indica que esta sesión
se inspeccionará.
Página de bloque de URL
Acceso bloqueado por un perfil de filtrado de URL o porque la
categoría de URL está bloqueada por una política de seguridad.
128 • Gestión de dispositivos
Palo Alto Networks
Tabla 57. Tipos de páginas de respuesta personalizadas (Continuación)
Tipo de página
Descripción
Página de continuación y
cancelación de filtrado
de URL
Página con política de bloqueo inicial que permite que los usuarios
deriven el bloqueo. Por ejemplo, un usuario que piense que la
página se bloqueó de manera inadecuada puede hacer clic en el
botón Continuar para ir a la página.
Con la página de cancelación, el usuario necesita una contraseña
para cancelar la política que bloquea esta URL. Consulte la sección
“Cancelación de administrador de URL” de la Tabla 1 para obtener
instrucciones sobre cómo configurar la contraseña de cancelación.
Página de bloqueo de
aplicación de búsqueda
segura de filtro de URL
Acceso bloqueado por una política de seguridad con un perfil
de filtrado de URL que tiene habilitada la opción Forzaje de
búsquedas seguras.
El usuario verá esta página si se realiza una búsqueda con Bing,
Google, Yahoo, Yandex o YouTube y la configuración de cuenta
de su explorador o motor de búsqueda no está establecida como
estricta. La página de bloque pedirá al usuario que establezca la
configuración de búsqueda segura como estricta.
Puede realizar cualquiera de las siguientes funciones bajo Páginas de respuesta:
•
Para importar una página de respuesta HTML personalizada, haga clic en el enlace del
tipo de página que desee cambiar y, a continuación, haga clic en Importar o Exportar.
Explore para ubicar la página. Se mostrará un mensaje para indicar si la importación se
ha realizado con éxito. Para que la importación tenga éxito, el archivo debe estar en
formato HTML.
•
Para exportar una página de respuesta HTML personalizada, haga clic en el enlace
Exportar del tipo de página. Seleccione si abrir el archivo o guardarlo en el disco y
seleccione la casilla de verificación si desea continuar utilizando la misma opción.
•
Para habilitar o deshabilitar la página Bloqueo de aplicación o las páginas Exclusión
de descifrado de SSL, haga clic en el enlace Habilitar del tipo de página. Seleccione o
cancele la selección de la casilla de verificación Habilitar.
•
Para usar la página de respuesta predeterminada de una página personalizada cargada
anteriormente, elimine la página de bloqueo personalizada y realice una compilación.
Esto establecerá la página de bloqueo predeterminada como la nueva página activa.
Palo Alto Networks
Gestión de dispositivos • 129
Visualización de información de asistencia técnica
Dispositivo > Asistencia técnica
Panorama > Asistencia técnica
La página de asistencia le permite acceder a las opciones relacionadas. Puede ver la información de contacto de Palo Alto Networks, la fecha de vencimiento y alertas de producto y
seguridad de Palo Alto Networks, según el número de serie de su dispositivo (cortafuegos o
dispositivo de Panorama).
Realice cualquiera de las siguientes funciones en esta página:
•
Asistencia técnica: Utilice esta sección para ver la información de contacto de la asistencia
técnica de Palo Alto Networks, el estado de la asistencia técnica del dispositivo o activar
su contrato usando un código de autorización.
•
Alertas de producción/Alertas de aplicación y amenazas: Estas alertas se recuperarán
desde los servidores de actualización de Palo Alto Networks cuando se acceda a esta
página o se actualice. Para ver los detalles de las alertas de producción o las alertas de
aplicación y amenazas, haga clic en el nombre de la alerta. Las alertas de producción se
publicarán si hay una recuperación a gran escala o un problema urgente relacionado
con una determinada publicación. Se publicarán alertas de aplicación y amenazas si se
descubren alertas de importancia.
•
Enlaces: Esta sección proporciona un enlace a la página de inicio de asistencia técnica,
donde puede gestionar sus casos y un enlace para registrar el dispositivo mediante el
inicio de sesión de asistencia técnica.
•
Archivo de asistencia técnica: Utilice el enlace Generar archivo de asistencia técnica
para generar un archivo del sistema que pueda utilizar el grupo de asistencia técnica para
facilitar la resolución de los problemas que pudiera estar experimentando el dispositivo.
Después de generar el archivo, haga clic en Descargar archivo de asistencia técnica para
recuperarlo y, a continuación, envíelo al departamento de asistencia técnica de Palo Alto
Networks.
•
Archivo de volcado de estadísticas: Utilice el enlace Generar archivo de volcado de
estadísticas para generar un conjunto de informes de XML que resuma el tráfico de
red en los últimos 7 días. Una vez generado el informe, haga clic en el enlace Descargar
archivo de volcado de estadísticas para recuperar el informe. El ingeniero de sistemas
de Palo Alto Networks o de un socio autorizado utiliza el informe para generar un
informe de riesgos y visibilidad de la aplicación (Informe AVR). El AVR resalta lo que se
ha encontrado en la red y los riesgos asociados con la empresa o de seguridad que pueden
existir. Tradicionalmente se utiliza como parte del proceso de evaluación. Para obtener
más información sobre el informe AVR, póngase en contacto con el ingeniero de sistemas
de Palo Alto Networks o de un socio autorizado.
130 • Gestión de dispositivos
Palo Alto Networks
Capítulo 4
Configuración de red
•
“Definición de cables virtuales (Virtual Wire)”
•
“Configuración de la interfaz de un cortafuegos”
•
“Configuración de un enrutador virtual”
•
“Compatibilidad de VLAN”
•
“Servidor y retransmisión DHCP”
•
“Proxy DNS”
•
“Definición de perfiles de gestión de interfaz”
•
“Definición de perfiles de supervisión”
•
“Definición de perfiles de protección de zonas”
Definición de cables virtuales (Virtual Wire)
Red > Cables virtuales
Utilice esta página para definir cables virtuales (Virtual Wire) después de especificar dos
interfaces de cable virtual en el cortafuegos.
Tabla 58. Configuración de cable virtual (Virtual Wire)
Campo
Descripción
Nombre de cable virtual
Introduzca un nombre para el cable virtual (Virtual Wire) (de hasta 31
caracteres). Este nombre aparece en la lista de cables virtuales cuando se
configuran interfaces. El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, guiones y guiones bajos.
Interfaces
Seleccione dos interfaces Ethernet de la lista de configuración de cable
virtual. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de
cable virtual y no se han asignado a otro cable virtual.
Palo Alto Networks
Configuración de red • 131
Tabla 58. Configuración de cable virtual (Virtual Wire) (Continuación)
Campo
Descripción
Tags permitidos
Introduzca el número de etiqueta (0 a 4094) o el intervalo de números de
etiqueta (tag1-tag2) del tráfico permitido en el cable virtual. Un valor de
cero indica tráfico sin etiquetar (opción predeterminada). Si especifica
varias etiquetas o intervalos, deben estar separados por comas. El tráfico
que se excluye del valor de la etiqueta se descarta. Tenga en cuenta que
los valores de etiqueta no se cambian en los paquetes de entrada o
de salida.
Si utiliza subinterfaces de cable virtual, la lista Tags permitidos causará
que todo el tráfico con las etiquetas de la lista se clasifique en el cable
virtual principal. Las subinterfaces de cable virtual deben utilizar
etiquetas que no existen en la lista principal Tags permitidos.
Cortafuegos de
multicast
Seleccione esta opción si desea poder aplicar reglas de seguridad al tráfico
de multicast. Si este ajuste no está activado, el tráfico de multicast se
reenvía por el cable virtual.
Envío del estado
del enlace
Seleccione esta casilla de verificación si desea desactivar el otro puerto en
un cable virtual cuando se detecta un estado de enlace no operativo. Si no
selecciona esta casilla de verificación, el estado del enlace no se propaga
por el cable virtual.
Configuración de la interfaz de un cortafuegos
Red > Interfaces
Utilice esta página para configurar los puertos del cortafuegos. Estos puertos permiten que
el cortafuegos se conecte con otros dispositivos de red, así como a otros puertos dentro el
cortafuegos. Para configurar la interfaz de un cortafuegos, seleccione una de las siguientes
pestañas:
•
Pestaña Ethernet: Las interfaces configuradas en la pestaña Ethernet incluyen tap,
HA, tarjeta de log (solo cortafuegos PA-7050), reflejo de descrifrado (solo cortafuegos
de las series PA-7050, serie PA-5000 y serie PA-3000), cable virtual, capa 2 (interfaz y
subinterfaz), Capa 3 (interfaz y subinterfaz) y interfaz Ethernet. Consulte “Configuración
de una interfaz Ethernet”.
•
Pestaña VLAN: Consulte “Configuración de una interfaz VLAN”.
•
Pestaña loopback: Consulte “Configuración de una interfaz de loopback”.
•
Pestaña Túnel: Consulte “Configuración de una interfaz de túnel”.
Configuración de una interfaz Ethernet
Red > Interfaces > Ethernet
Todas las configuraciones de la interfaz Ethernet tienen una configuración básica y pestañas
de configuración adicionales. Para establecer la configuración básica para una interfaz de
Ethernet, haga clic en el nombre de la interfaz de la pestaña Ethernet y configure los
siguientes parámetros.
132 • Configuración de red
Palo Alto Networks
Tabla 59. Ajustes de interfaz básica
Campo
Descripción
Nombre de interfaz
Seleccione la interfaz de la lista desplegable. Puede modificar el nombre
si lo desea. En una interfaz de cable virtual (Virtual Wire), PAN-OS
rellena automáticamente el nombre de la interfaz basándose en la interfaz
Ethernet seleccionada y no se puede editar.
Tipo de interfaz
Seleccione el tipo de interfaz:
•
•
•
•
•
•
•
Perfil de flujo de red
Capa 2
Capa 3
Puntear
Virtual Wire
Tarjeta de log (solo cortafuegos PA-7050)
Reflejo de descifrado (solo cortafuegos de las series PA-7050, PA-5000
y PA-3000)
Agregar Ethernet
Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz
de entrada a un servidor NetFlow, seleccione el perfil del servidor o
haga clic en Nuevo para definir un nuevo perfil. Para obtener más
información, consulte “Configuración de ajustes de flujo de red”.
Nota: Este campo no se aplica a la HA, la tarjeta de log, el reflejo de descifrado o
los tipos de la interfaz de Ethernet de agregación. De igual forma, el cortafuegos
de la serie PA-4000 no admite esta función.
Comentarios
Introduzca una descripción opcional de la interfaz.
Para configurar otras las pestañas de configuración para una interfaz Ethernet, consulte lo
siguiente:
•
“Configuración de una interfaz Ethernet de capa 2”
•
“Configuración de una interfaz Ethernet de capa 3”
•
“Configuración de una subinterfaz Ethernet de capa 2”
•
“Configuración de una subinterfaz Ethernet de capa 3”
•
“Configuración de interfaces de cable virtual (Virtual Wire)”
•
“Configuración de una interfaz de Tap”
•
“Configuración de una interfaz de tarjeta de log”
•
“Configuración de una interfaz de reflejo de descifrado”
•
“Configuración de los grupos de interfaces de agregación”
•
“Configuración de una interfaz Ethernet de agregación”
•
“Configuración de una interfaz HA”
Palo Alto Networks
Configuración de red • 133
Configuración de una interfaz Ethernet de capa 2
Red > Interfaces > Ethernet
La configuración de una interfaz Ethernet de capa 2 necesita la configuración de los siguientes
ajustes en las pestañas Configurar y Avanzado:
Tabla 60. Configuración de interfaz Ethernet de capa 2
Campo
Descripción
Pestaña Configuración
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte “Configuración de una interfaz VLAN”). Si selecciona
Ninguno, se elimina la asignación actual de VLAN de la interfaz.
Para permitir el intercambio entre las interfaces de la capa 2 o permitir
el enrutamiento a través de una interfaz de VLAN, debe configurar un
objeto VLAN.
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está
activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la interfaz.
Pestaña Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo
automático.
Dúplex de enlace
Seleccione si el modo de transmisión de la interfaz es dúplex completo
(Completo), dúplex medio (Medio) o automático (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automáticamente (Auto).
Configuración de una interfaz Ethernet de capa 3
Red > Interfaces > Ethernet
Para una interfaz Ethernet de capa 3, debe configurar los ajustes en las siguientes pestañas:
•
Configuración (necesaria)
•
Avanzado (necesaria)
•
IPv4 (optativa)
•
IPv6 (optativa)
Pestañas secundarias Configurar y Avanzado de la interfaz Ethernet de capa 3
Además de la configuración de la interfaz Ethernet básica, haga clic en el nombre de la
interfaz en la pestaña Ethernet y especifique la siguiente información en las pestañas
secundarias Configurar y Avanzado.
134 • Configuración de red
Palo Alto Networks
Tabla 61. Configuración de interfaz de capa 3: Pestañas secundarias Configurar
y Avanzado
Campo
Descripción
Pestaña Configuración
Enrutador virtual
Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte “Configuración de un enrutador
virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador
virtual actual de la interfaz.
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está
activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la interfaz.
Pestaña Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo
automático.
Dúplex de enlace
Seleccione si el modo de transmisión de la interfaz es dúplex completo
(Completo), dúplex medio (Medio) o automático (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automáticamente (Auto).
Otra información
• Perfil de gestión: seleccione un perfil que defina los protocolos
(por ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar
el cortafuegos en esta interfaz. Si selecciona Ninguno, se elimina la
asignación de perfil actual de la interfaz.
• MTU: introduzca la unidad máxima de transmisión (MTU) en bytes
para los paquetes enviados en esta interfaz (576-1500, de forma predeterminada 1500). Si las máquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz
recibe un paquete que supera la MTU, el cortafuegos envía al origen
un mensaje de necesidad de fragmentación del ICMP que indica que el
paquete es demasiado grande.
• Ajustar TCP MSS: active esta casilla de verificación si desea ajustar el
tamaño de segmento máximo (MSS) en 40 bites menos que la MTU de la
interfaz. Esta configuración está destinada a aquellas situaciones en las
que un túnel que atraviesa la red necesita un MSS de menor tamaño.
Si un paquete no cabe en el MSS sin fragmentarse, este parámetro
permite ajustarlo.
• Subinterfaz no etiquetada: Especifica que todas las interfaces que
pertenecen a esta interfaz de capa 3 no se etiqueten. PAN-OS selecciona
una subinterfaz sin etiquetar como la interfaz de entrada (ingress)
basada en el destino del paquete. Si el destino es la dirección IP de
una subinterfaz sin etiquetar, se asignará a la subinterfaz. Esto también
significa que un paquete que va en dirección inversa debe tener su
dirección de origen traducida a la dirección IP de la subinterfaz sin
etiquetar. Otra variable de esta forma de clasificación es que todos los
paquetes de multicast y difusión se asignarán a la interfaz de base en
lugar de a cualquiera de las subinterfaces. Como OSPF utiliza multicast,
no es compatible con subinterfaces sin etiquetar.
Palo Alto Networks
Configuración de red • 135
Tabla 61. Configuración de interfaz de capa 3: Pestañas secundarias Configurar
y Avanzado (Continuación)
Campo
Descripción
Entradas ARP/Interfaz
Para añadir una o más entradas estáticas del protocolo de resolución de
dirección (ARP), haga clic en Añadir y, a continuación, introduzca una
dirección IP y la dirección del hardware asociado (Media Access Control
o MAC). Para eliminar una entrada, selecciónela y haga clic en Eliminar.
Las entradas ARP estáticas reducen el procesamiento ARP e impiden los
ataques de man in the middle de las direcciones especificadas.
Entradas de ND
Para añadir un vecino para el descubrimiento, haga clic en Añadir y,
a continuación, introduzca la dirección IP y MAC del vecino.
Pestaña secundaria IPv4 de la interfaz Ethernet de capa 3
Para configurar una interfaz Ethernet de capa 3 en una red IPv4, debe configurar los siguientes
ajustes en la pestaña secundaria IPv4:
Tabla 62. Configuración de interfaz de capa 3: Pestaña secundaria IPv4
Campo/Pestaña
secundaria
Tipo
Descripción
Seleccione un método para definir la información de dirección IP:
• Estática: debe especificar manualmente la dirección IP.
• PPPoE: el cortafuegos utilizará la interfaz para el protocolo punto a
punto sobre Ethernet (PPPoE).
• Cliente DHCP: permite a la interfaz actual como cliente del protocolo
de configuración de host dinámico (DHCP) y recibir una dirección IP
dinámicamente asignada.
Nota: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/
activo no admiten el cliente PPPoE o DHCP.
Los otros campos que muestra la pestaña dependen de la selección del
tipo, como se describe más abajo.
Estático
IP (tabla de dirección)
Haga clic en Añadir y, a continuación, realice uno de los siguientes pasos
para especificar una dirección IP y una máscara de red para la interfaz.
• Introduzca la entrada en la notación de enrutamiento entre dominios
sin clases (CIDR): dirección_ip/máscara (por ejemplo, 192.168.2.0/24
para IPv4 o 2001:db8::/32 para IPv6).
• Seleccione un objeto de dirección existente de tipo máscara de red IP.
• Seleccione Nuevo para crear un objeto de dirección de tipo máscara de
red IP.
Puede introducir múltiples direcciones IP para la interfaz. La base de
información de reenvío (FIB) que utiliza su sistema determina el número
máximo de direcciones IP.
Para eliminar una dirección IP, seleccione la dirección y haga clic en
Eliminar.
136 • Configuración de red
Palo Alto Networks
Tabla 62. Configuración de interfaz de capa 3: Pestaña secundaria IPv4 (Continuación)
Campo/Pestaña
secundaria
Descripción
PPPoE
General (pestaña
secundaria)
• Habilitar: seleccione la casilla de verificación para activar la interfaz
para terminación PPPoE.
• Nombre de usuario: Introduzca el nombre de usuario de la conexión
de punto a punto.
• Contraseña/Confirmar contraseña: Introduzca y confirme la contraseña del nombre de usuario.
• Mostrar información de tiempo de ejecución de cliente PPPoE: de
forma opcional, haga clic en este enlace para abrir un cuadro de diálogo
que muestre los parámetros que el cortafuegos ha negociado con el
proveedor de servicios de Internet (ISP) para establecer una conexión.
La información específica depende del ISP.
Avanzada (pestaña
secundaria)
• Autenticación: seleccione el protocolo de autenticación para las
comunicaciones PPPoE: CHAP (Protocolo de autenticación por desafío
mutuo), PAP (Protocolo de autenticación de contraseña) o, de forma
predeterminada, Auto (el cortafuegos determina el protocolo). Si selecciona Ninguno, se elimina la asignación del protocolo actual de la
interfaz.
• Dirección estática: realice uno de los siguientes pasos para especificar
la dirección IP que ha asignado el proveedor de servicios de Internet
(no predeterminado):
– Introduzca la entrada en la notación de enrutamiento entre dominios
sin clases (CIDR): dirección_ip/máscara (por ejemplo, 192.168.2.0/24
para IPv4 o 2001:db8::/32 para IPv6).
– Seleccione un objeto de dirección existente de tipo máscara de red IP.
– Seleccione Nuevo para crear un objeto de dirección de tipo máscara
de red IP.
– Seleccione Ninguno para eliminar la asignación de dirección actual
de la interfaz.
• Crear automáticamente ruta predeterminada que apunte al peer:
Seleccione la casilla de verificación para que se cree automáticamente
una ruta predefinida que apunte al peer PPPoE cuando se conecte.
• Métrica de ruta predeterminada: para la ruta entre el cortafuegos y
el proveedor de servicios de Internet, introduzca una métrica de ruta
(nivel prioritario) que se asocie a la ruta predeterminada y que se
utilice para la selección de ruta (optativa, intervalo 1-65535). El nivel
de prioridad aumenta conforme disminuye el valor numérico.
• Acceder a concentrador: de forma optativa, introduzca el nombre
del concentrador de acceso, en el proveedor de servicios de Internet,
al que se conecta el cortafuegos (no predeterminado).
• Servicio: de forma optativa, introduzca la cadena de servicio
(no predeterminado).
• Pasivo: Seleccione la casilla de verificación para utilizar el modo
pasivo. En modo pasivo, un extremo PPPoE espera a que el concentrador de acceso envíe la primera trama.
Cliente DHCP
Habilitar
Palo Alto Networks
Seleccione la casilla de verificación para activar el cliente DHCP en la
interfaz.
Configuración de red • 137
Tabla 62. Configuración de interfaz de capa 3: Pestaña secundaria IPv4 (Continuación)
Campo/Pestaña
secundaria
Descripción
Crear automáticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor
Seleccione la casilla de verificación para que se cree automáticamente una
ruta predefinida que apunte a la puerta de enlace predeterminada por el
servidor DHCP.
Métrica de ruta
predeterminada
Para la ruta entre el cortafuegos y el servidor DHCP, introduzca de forma
optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta
predeterminada y que se utilice para la selección de ruta (intervalo
1-65535, no predeterminada). El nivel de prioridad aumenta conforme
disminuye el valor numérico.
Mostrar información de
tiempo de ejecución de
cliente DHCP
Haga clic para mostrar todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesión de DHCP, la asignación de IP
dinámica, la máscara de subred, la puerta de enlace, la configuración del
servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).
Pestaña secundaria IPv6 de la interfaz Ethernet de capa 3
Para configurar una interfaz Ethernet de capa 3 en una red IPv6, debe configurar los siguientes
ajustes en la pestaña secundaria IPv6:
Tabla 63. Configuración de interfaz de capa 3: Pestaña secundaria IPv6
Campo
Descripción
Habilitar IPv6 en la
interfaz
Seleccione la casilla de verificación para habilitar las direcciones IPv6 en
esta interfaz.
ID de interfaz
Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato
hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo
en blanco, el cortafuegos utilizará el EUI-64 generado desde la dirección
MAC de la interfaz física. Si activa la opción Usar ID de interfaz como
parte de host cuando se añade una dirección, el cortafuegos utiliza el ID
de interfaz como la parte de host de esa dirección.
138 • Configuración de red
Palo Alto Networks
Tabla 63. Configuración de interfaz de capa 3: Pestaña secundaria IPv6 (Continuación)
Campo
Descripción
Dirección
Haga clic en Añadir y configure los siguientes parámetros para cada una
de las direcciones IPv6:
• Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. ej.
2001:400:f00::1/64). También puede seleccionar un objeto de dirección
IPv6 existente o seleccionar Nuevo para crear un objeto de dirección.
• Habilitar dirección en interfaz: active esta casilla de verificación para
habilitar la dirección IPv6 en la interfaz.
• Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección
IPv6.
• Difusión por proximidad: active esta casilla de verificación para que se
incluya el enrutamiento a través del nodo más cercano.
• Enviar anuncio de enrutador: active esta casilla de verificación para
habilitar el anuncio de enrutador (RA) para esta dirección IP. (También
puede activar la opción Habilitar anuncio de enrutador de forma
global en la interfaz.) Si desea información sobre el RA, consulte
“Sección de anuncio de enrutador” en esta tabla.
Los campos restantes solo se aplican si habilita el RA.
– Duración válida: duración (en segundos) que el cortafuegos
considera válida la dirección. La duración válida debe ser igual
o superar la duración preferida. El valor predeterminado es de
2592000.
– Duración preferida: duración (en segundos) en la que se prefiere la
dirección válida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir tráfico. Cuando caduca la duración preferida, el
cortafuegos deja de poder utilizar la dirección para establecer nuevas
conexiones, pero cualquier conexión existente es válida hasta que
caduque la duración válida. El valor predeterminado es de 604800.
– Enlace activo: active esta casilla de verificación si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
– Autónomo: active esta casilla de verificación si los sistemas pueden
crear de forma independiente una dirección IP combinando el prefijo
publicado con un ID de interfaz.
Sección Resolución de dirección
Habilitar detección de
direcciones duplicadas
Active la casilla de verificación para habilitar la detección de dirección
duplicada (DAD) y, a continuación, configure los otros campos de esta
sección.
Intentos DAD
Especifique el número de intentos DAD en el intervalo de solicitación de
vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos
(intervalo 1-10, predeterminado 1).
Tiempo alcanzable
Especifique la duración (en segundos) que un vecino permanece
alcanzable después de una consulta y respuesta correctas (intervalo:
1-36.000 segundos, predeterminado 30).
Intervalo NS (intervalo
de solicitación de
vecinos)
Especifique el número de segundos de intentos DAD antes de indicar el
fallo (intervalo 1-10 segundos, predeterminado 1).
Palo Alto Networks
Configuración de red • 139
Tabla 63. Configuración de interfaz de capa 3: Pestaña secundaria IPv6 (Continuación)
Campo
Descripción
Sección de anuncio de enrutador
Habilitar anuncio de
enrutador
Para proporcionar la configuración automática de direcciones sin estado
(SLAAC) en interfaces IPv6, active la casilla de verificación y configure
los otros campos de esta sección. Los clientes que reciben mensajes de
anuncio de enrutador (RA) utilizan esta información.
El RA permite al cortafuegos actuar como una puerta de enlace
predeterminada para hosts IPv6 que no estén configurados estáticamente
y proporcionar al host un prefijo IPv6 que se puede utilizar para la
configuración de direcciones. Puede utilizar un servidor DHCPv6
independiente junto con esta función para proporcionar DNS y otros
ajustes a los clientes.
Esta opción es un ajuste global de la interfaz. Si desea establecer las
opciones de RA para direcciones IP individuales, haga clic en Añadir en
la tabla de direcciones IP y configure la dirección (para obtener detalles,
consulte “Dirección” en esta tabla). Si establece las opciones de RA para
cualquier dirección IP, debe seleccionar la opción Habilitar anuncio de
enrutador para la interfaz.
Mín. de intervalo
(segundos)
Especifique el intervalo mínimo (en segundos) entre los distintos RA
que el cortafuegos enviará (intervalo 3-1350, predeterminado 200).
El cortafuegos enviará los RA en intervalos aleatorios entre los valores
mínimo y máximo que configure.
Máx. de intervalo
(segundos)
Especifique el intervalo máximo (en segundos) entre los distintos RA
que el cortafuegos enviará (intervalo 4-1800, predeterminado 600).
El cortafuegos enviará los RA en intervalos aleatorios entre los valores
mínimo y máximo que configure.
Límite de salto
Especifique el límite de salto que se debe aplicar a los clientes en los
paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca 0
si no desea ningún límite de salto.
MTU de enlace
Especifique la unidad máxima de transmisión (MTU) del enlace que
se debe aplicar a los clientes. Seleccione no especificado si no desea
ninguna MTU de enlace (intervalo 1280-9192, predeterminado no
especificado).
Tiempo alcanzable (ms)
Especifique el tiempo alcanzable (en milisegundos) que el cliente
utilizará para asumir que un vecino es alcanzable después de recibir un
mensaje de confirmación de esta condición. Seleccione no especificado
si no desea establecer ningún valor de tiempo alcanzable (intervalo
0-3600000, predeterminado no especificado).
Tiempo de retransmisión
(ms)
Especifique el temporizador de retransmisión que determinará cuánto
tiempo debe esperar el cliente (en milisegundos) antes de retransmitir
los mensajes de solicitación de vecinos. Seleccione no especificado si
no desea ningún tiempo de retransmisión (intervalo 0-4294967295,
predeterminado no especificado).
Duración de enrutador
(segundos)
Especifique la duración (en segundos) que el cliente utilizará el
cortafuegos como puerta de enlace predeterminada (intervalo 0-9000,
predeterminado 1800). Un valor cero especifica que el cortafuegos no es
la puerta de enlace predeterminada. Cuando acaba la duración, el cliente
elimina la entrada del cortafuegos de la lista de ruta predeterminada y
utiliza otro enrutador como puerta de enlace predeterminada.
140 • Configuración de red
Palo Alto Networks
Tabla 63. Configuración de interfaz de capa 3: Pestaña secundaria IPv6 (Continuación)
Campo
Descripción
Preferencia de enrutador
Si el segmento de la red tiene múltiples enrutadores de IPv6, el cliente
utiliza este campo para seleccionar un enrutador preferido. Seleccione si
el RA publica el enrutador del cortafuegos con prioridad Alta, Media
(predeterminada) o Baja en relación a otros enrutadores del segmento.
Configuración
gestionada
Seleccione la casilla de verificación para indicar al cliente que las
direcciones están disponibles en DHCPv6.
Otras configuraciones
Seleccione la casilla de verificación para indicar al cliente que hay
disponible otra información de dirección (por ejemplo, configuración
relacionada con DNS) mediante DHCPv6.
Comprobación de
coherencia
Seleccione la casilla de verificación si desea que el cortafuegos verifique
que los RA enviados desde otros enrutadores están publicando
información coherente en el enlace. El cortafuegos envía logs sobre
cualquier incoherencia.
Configuración de una subinterfaz Ethernet
Red > Interfaces > Ethernet
Todas las configuraciones de la subinterfaz Ethernet tienen una configuración básica y
pestañas de configuración adicionales. Para establecer la configuración básica para una
interfaz de Ethernet, haga clic en el enlace para la interfaz en la pestaña Ethernet y configure
los siguientes parámetros.
Tabla 64. Ajustes de interfaz básica
Campo
Descripción
Nombre de interfaz
Introduzca un número (1-9999) para identificar la subinterfaz.
Etiqueta
Introduzca la etiqueta VLAN (1-4094) para la subinterfaz.
Perfil de flujo de red
Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz
de entrada a un servidor NetFlow, seleccione el perfil del servidor o
haga clic en Nuevo para definir un nuevo perfil. Para obtener más
información, consulte “Configuración de ajustes de flujo de red”.
Nota: El cortafuegos de la serie PA-4000 no admite esta característica.
Comentarios
Introduzca una descripción optativa de la subinterfaz.
Para configurar otras pestañas para una interfaz Ethernet, consulte lo siguiente:
•
“Configuración de una subinterfaz Ethernet de capa 2”
•
“Configuración de una subinterfaz Ethernet de capa 3”
Configuración de una subinterfaz Ethernet de capa 2
En todos los puertos Ethernet configurados como interfaz de capa 2 puede definir una interfaz
de capa 2 lógica adicional (subinterfaz) para cada etiqueta VLAN que se asigne al tráfico que
reciba el puerto. Para configurar las interfaces de capa 2 principales, consulte “Configuración
de una interfaz Ethernet de capa 2”. Para permitir el intercambio entre subinterfaces de capa 2,
asígneles el mismo objeto VLAN.
Palo Alto Networks
Configuración de red • 141
Para configurar una subinterfaz Ethernet de capa 2, establezca los ajustes de la Ethernet básica
(consulte “Configuración de una subinterfaz Ethernet”) y la siguiente información adicional.
Tabla 65. Configuración de subinterfaz de capa 2
Campo
Descripción
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte “Configuración de una interfaz VLAN”). Si selecciona Ninguno,
se elimina la asignación actual de VLAN de la interfaz. Para permitir el
intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a
través de una interfaz de VLAN, debe configurar un objeto VLAN.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la interfaz.
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está
activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Configuración de una subinterfaz Ethernet de capa 3
Red > Interfaces >Ethernet
Para una subinterfaz Ethernet de capa 3 debe configurar los ajustes Ethernet básicos (consulte
“Configuración de una subinterfaz Ethernet”) e información adicional en las siguientes
pestañas:
•
Configuración (necesaria)
•
Avanzado (necesaria)
•
IPv4 (optativa)
•
IPv6 (optativa)
142 • Configuración de red
Palo Alto Networks
Pestañas secundarias Configurar y Avanzado de la interfaz Ethernet de capa 3
Tabla 66. Configuración de subinterfaz de capa 3: Pestañas secundarias Configurar
y Avanzado
Campo
Descripción
Pestaña Configuración
Enrutador virtual
Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte “Configuración de un enrutador
virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador
virtual actual de la subinterfaz.
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está
activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Zona de seguridad
Seleccione una zona de seguridad para la subinterfaz o haga clic en
Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la subinterfaz.
Pestaña secundaria Avanzado
Otra información
• Perfil de gestión: seleccione un perfil que defina los protocolos (por
ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno, se elimina la asignación
de perfil actual de la interfaz.
• MTU: introduzca la unidad máxima de transmisión (MTU) en bytes
para los paquetes enviados en esta interfaz (576-1500, de forma predeterminada 1500). Si las máquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD) y la subinterfaz
recibe un paquete que supera la MTU, el cortafuegos envía al origen
un mensaje de necesidad de fragmentación del ICMP que indica que el
paquete es demasiado grande.
• Ajustar TCP MSS: active esta casilla de verificación si desea ajustar el
tamaño de segmento máximo (MSS) en 40 bites menos que la MTU de
la subinterfaz. Esta configuración está destinada a aquellas situaciones
en las que un túnel que atraviesa la red necesita un MSS de menor
tamaño. Si un paquete no cabe en el MSS sin fragmentarse, este
parámetro permite ajustarlo.
Entradas de ARP
Para añadir una o más entradas estáticas del protocolo de resolución de
dirección (ARP), haga clic en Añadir y, a continuación, introduzca una
dirección IP y la dirección del hardware asociado (Media Access Control
o MAC). Para eliminar una entrada, selecciónela y haga clic en Eliminar.
Las entradas ARP estáticas reducen el procesamiento ARP e impiden los
ataques de man in the middle de las direcciones especificadas.
Entradas de ND
Para añadir un vecino para el descubrimiento, haga clic en Añadir y,
a continuación, introduzca la dirección IP y MAC del vecino.
Palo Alto Networks
Configuración de red • 143
Pestaña secundaria IPv4 de la interfaz Ethernet de capa 3
Para configurar una subinterfaz Ethernet de capa 3 en una red IPv4, debe configurar los
siguientes ajustes en la pestaña secundaria IPv4:
Tabla 67. Configuración de subinterfaz de capa 3: Pestaña secundaria IPv4
Campo
Tipo
Descripción
Seleccione un método para definir la información de dirección IP:
• Estática: debe especificar manualmente la dirección IP.
• Cliente DHCP: permite a la subinterfaz actual como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección
IP dinámicamente asignada.
Nota: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/
activo no admiten el cliente DHCP.
Los otros campos que muestra la pestaña dependen de la selección del
tipo, como se describe más abajo.
Estático
IP (tabla de dirección)
Haga clic en Añadir y, a continuación, realice uno de los siguientes
pasos para especificar una dirección IP y una máscara de red para la
subinterfaz.
• Introduzca la entrada en la notación de enrutamiento entre dominios
sin clases (CIDR): dirección_ip/máscara (por ejemplo, 192.168.2.0/24
para IPv4 o 2001:db8::/32 para IPv6).
• Seleccione un objeto de dirección existente de tipo máscara de red IP.
• Seleccione Nuevo para crear un objeto de dirección de tipo máscara de
red IP.
Puede introducir múltiples direcciones IP para la interfaz. La base de
información de reenvío (FIB) que utiliza su sistema determina el número
máximo de direcciones IP.
Para eliminar una dirección IP, seleccione la dirección y haga clic en
Eliminar.
Cliente DHCP
Habilitar
Seleccione la casilla de verificación para activar el cliente DHCP en la
subinterfaz.
Crear automáticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor
Seleccione la casilla de verificación para que se cree automáticamente una
ruta predefinida que apunte a la puerta de enlace predeterminada por el
servidor DHCP.
Métrica de ruta
predeterminada
Para la ruta entre el cortafuegos y el servidor DHCP, introduzca una
métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada
y que se utilice para la selección de ruta (intervalo 1-65535, optativa).
El nivel de prioridad aumenta conforme disminuye el valor numérico.
Mostrar información de
tiempo de ejecución de
cliente DHCP
Haga clic para mostrar todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesión de DHCP, la asignación de IP
dinámica, la máscara de subred, la puerta de enlace, la configuración del
servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).
144 • Configuración de red
Palo Alto Networks
Pestaña secundaria IPv6 de la subinterfaz Ethernet de capa 3
Para configurar una subinterfaz Ethernet de capa 3 en una red IPv6, debe configurar los
siguientes ajustes en la pestaña secundaria IPv6:
Tabla 68. Configuración de subinterfaz de capa 3: Pestaña IPv6
Campo
Descripción
Habilitar IPv6 en la
interfaz
Seleccione la casilla de verificación para habilitar las direcciones IPv6 en
esta subinterfaz.
ID de interfaz
Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato
hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo
en blanco, el cortafuegos utilizará el EUI-64 generado desde la dirección
MAC de la interfaz física. Si activa la opción Usar ID de interfaz como
parte de host cuando se añade una dirección, el cortafuegos utiliza el ID
de interfaz como la parte de host de esa dirección.
Palo Alto Networks
Configuración de red • 145
Tabla 68. Configuración de subinterfaz de capa 3: Pestaña IPv6 (Continuación)
Campo
Descripción
Dirección
Haga clic en Añadir y configure los siguientes parámetros para cada una
de las direcciones IPv6:
• Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. ej.
2001:400:f00::1/64). También puede seleccionar un objeto de dirección
IPv6 existente o seleccionar Nuevo para crear un objeto de dirección.
• Habilitar dirección en interfaz: active esta casilla de verificación para
habilitar la dirección IPv6 en la subinterfaz.
• Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección
IPv6.
• Difusión por proximidad: active esta casilla de verificación para que se
incluya el enrutamiento a través del nodo más cercano.
• Enviar anuncio de enrutador: active esta casilla de verificación para
habilitar el anuncio de enrutador (RA) para esta dirección IP. (También
puede activar la opción Habilitar anuncio de enrutador de forma
global en la subinterfaz.) Si desea información sobre el RA, consulte
“Sección de anuncio de enrutador” en esta tabla.
Los campos restantes solo se aplican si habilita el RA.
– Duración válida: duración (en segundos) que el cortafuegos
considera válida la dirección. La duración válida debe ser igual o
superar la duración preferida. El valor predeterminado es de
2592000.
– Duración preferida: duración (en segundos) en la que se prefiere la
dirección válida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir tráfico. Cuando caduca la duración preferida, el
cortafuegos deja de poder utilizar la dirección para establecer nuevas
conexiones, pero cualquier conexión existente es válida hasta que
caduque la duración válida. El valor predeterminado es de 604800.
– Enlace activo: active esta casilla de verificación si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
– Autónomo: active esta casilla de verificación si los sistemas pueden
crear de forma independiente una dirección IP combinando el prefijo
publicado con un ID de interfaz.
Sección Resolución de dirección
Habilitar detección de
direcciones duplicadas
Active la casilla de verificación para habilitar la detección de dirección
duplicada (DAD) y, a continuación, configure los otros campos de esta
sección.
Intentos DAD
Especifique el número de intentos DAD en el intervalo de solicitación de
vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos
(intervalo 1-10, predeterminado 1).
Tiempo alcanzable
Especifique la duración (en segundos) que un vecino permanece
alcanzable después de una consulta y respuesta correctas (intervalo:
1-36.000 segundos, predeterminado 30).
Intervalo NS (intervalo
de solicitación de
vecinos)
Especifique el número de segundos de intentos DAD antes de indicar el
fallo (intervalo 1-10 segundos, predeterminado 1).
146 • Configuración de red
Palo Alto Networks
Tabla 68. Configuración de subinterfaz de capa 3: Pestaña IPv6 (Continuación)
Campo
Descripción
Sección de anuncio de enrutador
Habilitar anuncio de
enrutador
Para proporcionar la configuración automática de direcciones sin estado
(SLAAC) en la subinterfaz, active la casilla de verificación y configure
los otros campos de esta sección. Los clientes que reciben mensajes de
anuncio de enrutador (RA) utilizan esta información.
El RA permite al cortafuegos actuar como una puerta de enlace
predeterminada para hosts IPv6 que no estén configurados estáticamente
y proporcionar al host un prefijo IPv6 que se puede utilizar para la
configuración de direcciones. Puede utilizar un servidor DHCPv6
independiente junto con esta función para proporcionar DNS y otros
ajustes a los clientes.
Esta opción es un ajuste global de la subinterfaz. Si desea establecer las
opciones de RA para direcciones IP individuales, haga clic en Añadir en
la tabla de direcciones IP y configure la dirección (para obtener detalles,
consulte “Dirección” en esta tabla). Si establece las opciones de RA para
cualquier dirección IP, debe seleccionar la opción Habilitar anuncio de
enrutador para la subinterfaz.
Mín. de intervalo
(segundos)
Especifique el intervalo mínimo (en segundos) entre los distintos RA
que el cortafuegos enviará (intervalo 3-1350, predeterminado 200).
El cortafuegos enviará los RA en intervalos aleatorios entre los valores
mínimo y máximo que configure.
Máx. de intervalo
(segundos)
Especifique el intervalo máximo (en segundos) entre los distintos RA
que el cortafuegos enviará (intervalo 4-1800, predeterminado 600).
El cortafuegos enviará los RA en intervalos aleatorios entre los valores
mínimo y máximo que configure.
Límite de salto
Especifique el límite de salto que se debe aplicar a los clientes en los
paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca 0
si no desea ningún límite de salto.
MTU de enlace
Especifique la unidad máxima de transmisión (MTU) del enlace que
se debe aplicar a los clientes. Seleccione no especificado si no desea
ninguna MTU de enlace (intervalo 1280-9192, predeterminado no
especificado).
Tiempo alcanzable (ms)
Especifique el tiempo alcanzable (en milisegundos) que el cliente
utilizará para asumir que un vecino es alcanzable después de recibir un
mensaje de confirmación de esta condición. Seleccione no especificado
si no desea establecer ningún valor de tiempo alcanzable (intervalo
0-3600000, predeterminado no especificado).
Tiempo de retransmisión
(ms)
Especifique el temporizador de retransmisión que determinará cuánto
tiempo debe esperar el cliente (en milisegundos) antes de retransmitir
los mensajes de solicitación de vecinos. Seleccione no especificado si
no desea ningún tiempo de retransmisión (intervalo 0-4294967295,
predeterminado no especificado).
Duración de enrutador
(segundos)
Especifique la duración (en segundos) que el cliente utilizará el
cortafuegos como puerta de enlace predeterminada (intervalo 0-9000,
predeterminado 1800). Un valor cero especifica que el cortafuegos no es
la puerta de enlace predeterminada. Cuando acaba la duración, el cliente
elimina la entrada del cortafuegos de la lista de ruta predeterminada y
utiliza otro enrutador como puerta de enlace predeterminada.
Palo Alto Networks
Configuración de red • 147
Tabla 68. Configuración de subinterfaz de capa 3: Pestaña IPv6 (Continuación)
Campo
Descripción
Preferencia de enrutador
Si el segmento de la red tiene múltiples enrutadores, el cliente utiliza
este campo para seleccionar un enrutador preferido. Seleccione si el
RA publica el enrutador del cortafuegos con prioridad Alta, Media
(predeterminada) o Baja en relación a otros enrutadores del segmento.
Configuración
gestionada
Seleccione la casilla de verificación para indicar al cliente que las
direcciones están disponibles en DHCPv6.
Otras configuraciones
Seleccione la casilla de verificación para indicar al cliente que hay
disponible otra información de dirección (por ejemplo, configuración
relacionada con DNS) mediante DHCPv6.
Comprobación de
coherencia
Seleccione la casilla de verificación si desea que el cortafuegos verifique
que los RA enviados desde otros enrutadores están publicando
información coherente en el enlace. El cortafuegos envía logs sobre
cualquier incoherencia.
Configuración de interfaces de cable virtual (Virtual Wire)
Red > Interfaces > Ethernet
Una interfaz de cable virtual (Virtual Wire) une dos puertos Ethernet, permitiendo que pase
todo el tráfico entre los puertos, o solo el tráfico con etiquetas VLAN seleccionadas (no hay
disponible ningún otro servicio de enrutamiento o conmutación). También puede crear
subinterfaces de cable virtual y clasificar el tráfico en función de una dirección o intervalo IP,
o una subred. Un cable virtual no requiere ningún tipo de cambio en los dispositivos de red
adyacentes.
Para configurar un cable virtual (Virtual Wire) en el cortafuegos, primero debe definir las
interfaces Virtual Wire, tal y como se describe en el siguiente procedimiento y, a continuación,
crear el cable virtual usando las interfaces que ha creado.
1.
Identifique la interfaz que desee utilizar para el cable virtual en la pestaña Ethernet y
elimínela de la zona de seguridad actual, si la hubiera.
2.
Haga clic en el nombre de la interfaz y especifique la siguiente información.
Tabla 69. Configuración de cable virtual (Virtual Wire)
Campo
Descripción
Pestaña Configuración
Virtual Wire
Seleccione un cable virtual (Virtual Wire) o haga clic en Nuevo para
definir un nuevo cable virtual (consulte “Definición de cables virtuales
(Virtual Wire)”).
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está
activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la interfaz.
148 • Configuración de red
Palo Alto Networks
Tabla 69. Configuración de cable virtual (Continuación) (Virtual Wire)
Campo
Descripción
Pestaña Avanzada
Velocidad de enlace
Especifique la velocidad de la interfaz. Si la interfaz seleccionada es una
interfaz de 10 Gbps, la única opción es Auto. En el resto de casos, las
opciones son: 10, 100, 1000 o Auto.
Dúplex de enlace
Seleccione si el modo de transmisión de la interfaz es dúplex completo
(Completo), dúplex medio (Medio) o automático (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado
(Desactivado) o determinado automáticamente (Auto).
Configuración de una subinterfaz de cable virtual (Virtual Wire)
Red > Interfaces
Las subinterfaces de cable virtual (Virtual Wire) le permiten separar el tráfico según las
etiquetas VLAN o una combinación de etiqueta VLAN y clasificador IP, asignar el tráfico
etiquetado a una zona y sistema virtual diferentes y, a continuación, aplicar políticas de
seguridad para el tráfico que coincida con los criterios definidos.
Para añadir una subinterfaz de cable virtual, seleccione la interfaz de cable virtual donde
quiera añadirla y haga clic en Añadir subinterfaz y especifique la siguiente información.
Tabla 70. Configuración de subinterfaces de cable virtual (Virtual Wire)
Campo
Descripción
Nombre de interfaz
El nombre de interfaz principal aparece automáticamente basándose en la
interfaz que haya seleccionado; la etiqueta no se puede editar.
Para definir la subinterfaz, introduzca un número (1 a 9999) junto al
nombre de la interfaz física para formar el nombre de la interfaz lógica.
El formato de nombre general es:
ethernetx/y.<1-9999>
Para configurar el cable virtual, consulte “Configuración de interfaces de
cable virtual (Virtual Wire)”.
Etiqueta
Introduzca el número de etiqueta (0 a 4094) o el tráfico recibido en esta
interfaz.
Si define un valor de etiqueta de 0 coincidirá con tráfico sin etiquetar.
Perfil de flujo de red
Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz
de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Nuevo para definir un nuevo perfil. Para obtener más información,
consulte “Configuración de ajustes de flujo de red”.
Nota: El cortafuegos de la serie PA-4000 no admite esta característica.
Comentarios
Palo Alto Networks
Introduzca una descripción opcional de la interfaz.
Configuración de red • 149
Tabla 70. Configuración de subinterfaces de cable virtual (Virtual Wire) (Continuación)
Campo
Descripción
Clasificador IP
Haga clic en Añadir para añadir una dirección IP, subred, intervalo IP o
cualquier combinación de clasificadores IP. Esto permitirá clasificar el
tráfico entrante en el cortafuegos mediante este puerto físico en esta
subinterfaz en función de su dirección IP de origen. El tráfico de ruta de
retorno entrante en cortafuegos por el otro extremo del cable virtual
asociado se comparará con su dirección de destino.
En una subinterfaz de cable virtual (Virtual Wire), la clasificación IP solo
se puede utilizar en combinación con una clasificación basada en VLAN.
Asignar interfaz a
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la interfaz.
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está
activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Virtual Wire
Seleccione un cable virtual (Virtual Wire) o haga clic en Nuevo para
definir un nuevo cable virtual (consulte “Definición de cables virtuales
(Virtual Wire)”).
Configuración de una interfaz de Tap
Red > Interfaces > Ethernet
Se puede configurar una interfaz de Tap según sea necesario para supervisar el tráfico de un
puerto. Además de la configuración básica de la interfaz Ethernet, haga clic en el nombre de la
interfaz en la pestaña Ethernet y especifique la siguiente información en las pestañas
Configurar y Avanzado.
.
Tabla 71. Configuración de interfaz de Tap
Campo
Descripción
Pestaña Configuración
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está
activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la interfaz.
Pestaña Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo
automático.
Dúplex de enlace
Seleccione si el modo de transmisión de la interfaz es dúplex completo
(Completo), dúplex medio (Medio) o automático (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado
(Desactivado) o determinado automáticamente (Auto).
150 • Configuración de red
Palo Alto Networks
Configuración de una interfaz de tarjeta de log
Red > Interfaces > Ethernet
En un cortafuegos de PA-7050, un puerto de datos debe tener un tipo de interfaz Tarjeta
de log. Esto se debe a que las funciones de tráfico y logs de esta plataforma superan las del
puerto de gestión. Un puerto de datos de tarjeta de log realiza el reenvío de log para Syslog,
Correo electrónico, SNMP y WildFire. Solo un puerto del cortafuegos puede ser una interfaz
de tarjeta de log. Si activa el reenvío de logs pero no configura ninguna interfaz como la tarjeta
de log, se produce un error de compilación.
En la pestaña Ethernet, haga clic en el nombre de la interfaz, configure la información de la
interfaz Ethernet básica y, a continuación, configure la siguiente información en las pestañas
Reenvío de tarjeta de log y Avanzado.
.
Tabla 72. Configuración de la interfaz de tarjeta de log
Campo
Descripción
Reenvío de tarjeta de log
IPv4
Si la red utiliza IPv4, introduzca la siguiente información de dirección
IPv4 para el puerto:
• Dirección IP: Dirección IPv4 del puerto.
• Máscara de red: Máscara de red para la dirección IPv4 del puerto.
• Puerta de enlace predeterminada: Dirección IPv4 de la puerta de enlace
para el puerto.
IPv6
Si la red utiliza IPv6, introduzca la siguiente información de dirección
IPv6 para el puerto:
• Dirección IP: Dirección IPv6 del puerto.
• Puerta de enlace predeterminada: Dirección IPv6 de la puerta de enlace
predeterminada para el puerto.
Pestaña Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo
automático.
Dúplex de enlace
Seleccione si el modo de transmisión de la interfaz es dúplex completo
(Completo), dúplex medio (Medio) o automático (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automáticamente (Auto).
Configuración de una interfaz de reflejo de descifrado
Red > Interfaces > Ethernet
Para utilizar la función Reflejo de puerto de descifrado, debe seleccionar el tipo de la interfaz
Reflejo de descifrado. Esta función permite crear una copia del tráfico descifrado desde un
cortafuegos y enviarla a una herramienta de recopilación de tráfico que pueda recibir capturas
de paquetes sin formato (como NetWitness o Solera) para su archivado o análisis. Aquellas
organizaciones que necesitan la captura integral de datos con fines forenses o históricos o para
prevenir la fuga de datos (DLP) necesitan esta función. El reflejo del puerto de descrifrado
solo está disponible en los cortafuegos de las series PA-7050, PA-5000 y PA-3000. Para
permitir la función, debe adquirir e instalar la licencia gratuita.
Palo Alto Networks
Configuración de red • 151
En la pestaña Ethernet, haga clic en el nombre de la interfaz, configure la información de la
interfaz Ethernet básica y, a continuación, especifique la siguiente información en la pestaña
Avanzado.
.
Tabla 73. Configuración de interfaz de reflejo de descifrado
Campo
Descripción
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo
automático.
Dúplex de enlace
Seleccione si el modo de transmisión de la interfaz es dúplex completo
(Completo), dúplex medio (Medio) o automático (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado
(Desactivado) o determinado automáticamente (Auto).
Configuración de los grupos de interfaces de agregación
Red > Interfaces
Un grupo de interfaces de agregación le permite combinar varias interfaces Ethernet
usando la agregación de enlace IEEE 802.1AX. Puede agregar XFP de 1 Gbps o 10 Gbps y
Ethernet de SPF+. La interfaz de agregación que cree se convertirá en una interfaz lógica.
Las siguientes propiedades pertenecen a la interfaz lógica, no a las interfaces subyacentes
físicas: asignaciones de configuración (sistema virtual, enrutador virtual, cable virtual,
VLAN, zona de seguridad), direcciones IP, perfil de gestión, configuración de Protocolo de
control de agregación de enlace (LACP), entradas de Protocolo de resolución de direcciones
(ARP) y entradas de Detección de vecinos (ND). Por lo tanto, una vez creado el grupo, realice
operaciones como configurar parámetros de capa 2 o capa 3 en el grupo de agregación en
lugar de en interfaces individuales.
Las siguientes reglas se aplican a los grupos de agregación:
•
En un grupo, los enlaces de 1 Gbps deben ser completamente de cobre o de fibra.
•
Un grupo puede tener hasta 8 interfaces.
•
Los grupos de agregación admiten HA, cable virtual, interfaces de capa 2 o capa 3.
En un grupo, todas las interfaces deben ser del mismo tipo. PAN-OS valida esto
durante la operación de compilación.
•
Puede usar grupos de agregación para el escalado de la redundancia y rendimiento
en el enlace HA3 (reenvío de paquetes) en implementaciones de HA Activo/Activo.
La compatibilidad para HA3 está limitada a los cortafuegos de las series PA-500,
PA-3000, PA-4000 y PA-5000.
•
Si activa LACP para un grupo de agregación, la compatibilidad se limita a las interfaces
HA3, de capa 2 capa 3. No puede habilitar LACP para interfaces de cable virtual.
La compatibilidad para los grupos que tienen LACP activado se limita a los cortafuegos
de las series PA-500, PA-3000, PA-4000, PA-5000 y PA-7050 .
Para configurar un grupo de agregación, haga clic en Añadir grupo de agregación y
especifique la información en la siguiente tabla. A continuación, asigne interfaces al grupo
según lo descrito en “Configuración de una interfaz Ethernet de agregación”.
152 • Configuración de red
Palo Alto Networks
Tabla 74. Configuración de interfaz de grupo de agregación
Campo
Descripción
Nombre de interfaz
Introduzca un nombre y un sufijo numérico para identificar el grupo de
agregación. El nombre aparece como mm.n donde mm es el nombre y n es
el sufijo (1-8).
Tipo de interfaz
Seleccione el tipo de interfaz, que controla los requisitos de configuración
y opciones que quedan:
• HA: solo debe seleccionar esta opción si la interfaz es un enlace de HA3
entre dos cortafuegos en una implementación activa/activa. No se
requiere ninguna configuración adicional. De forma optativa, configure
LACP como se describe a continuación.
• Virtual Wire (Cable virtual): no se necesita configuración adicional.
Este tipo no está disponible si activa el LACP.
• Capa 2: configure la pestaña Configurar y, de forma optativa, la pestaña
LACP como se describe más adelante. A continuación, configure la
pestaña Avanzado según se describe en Tabla 65.
• Capa 3: configure la pestaña Configurar y, de forma optativa, la
pestaña LACP como se describe más adelante. A continuación,
configure otras pestañas según se describe en Tabla 66, Tabla 67 y
Tabla 68.
Perfil de flujo de red
Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz
de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Nuevo para definir un nuevo perfil. Para obtener más información,
consulte “Configuración de ajustes de flujo de red”.
Nota: Este campo no se aplica al tipo de interfaz de HA. De igual forma, el
cortafuegos de la serie PA-4000 no admite esta función.
Comentarios
Introduzca una descripción opcional de la interfaz.
Configurar
Asignar interfaz a
La asignación de la interfaz depende del tipo de interfaz:
• HA: este tipo no tiene opciones de la pestaña Configurar que deban
especificarse.
• Virtual Wire (Cable virtual): especifique un cable virtual y una zona
de seguridad según se describe en Tabla 70.
• Capa 2: especifique una VLAN y una zona de seguridad según se
describe en Tabla 65.
• Capa 3: especifique un enrutador virtual y una zona de seguridad
según se describe en Tabla 66.
Sistema virtual
Palo Alto Networks
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función
está activada, seleccione un vsys para la interfaz o haga clic en Nuevo
para definir un nuevo vsys.
Configuración de red • 153
Tabla 74. Configuración de interfaz de grupo de agregación (Continuación)
Campo
Descripción
LACP
Esta sección solo se aplica a las interfaces HA (solo HA3), de capa 2 y capa 3.
Habilitar LACP
Seleccione esta casilla de verificación si desea habilitar el Protocolo de
control de agregación de grupo (LACP) para el grupo de agregación.
LACP está deshabilitada de manera predeterminada.
Modo
Seleccione el modo de LACP del cortafuegos. Entre cualquier par de
peers LACP, se recomienda que uno sea activo y otro pasivo. LACP no
puede funcionar si los dos peers son pasivos.
• Activo: el cortafuegos consulta de forma activa el estado del LACP
(disponible o sin respuesta) de dispositivos de peer.
• Pasivo (predeterminado): el cortafuegos responde pasivamente a las
consultas de estado del LACP procedentes de los dispositivos peer.
Velocidad de
transmisión
Seleccione la velocidad con la que el cortafuegos intercambia consultas y
responde a los dispositivos peer.
• Rápido: cada segundo
• Lento: cada 30 segundos (este es el ajuste predeterminado)
Conmutación rápida
Seleccione esta casilla de verificación si, cuando una interfaz tenga un
fallo, quiere que el cortafuegos cambie a una interfaz operativa en 1
segundo. De lo contrario, el fallo se produce a la velocidad estándar
definida en IEEE 802.1AX (al menos tres segundos).
Prioridad del sistema
Número que determina si el cortafuegos o su peer sobrescribe el otro con
respecto a las prioridades del puerto (consulte la descripción del campo
Puertos máx. que aparece a continuación). Observe que cuanto más bajo
es el número, más alta es la prioridad. El intervalo es 1-65535 y el valor
predeterminado es 32768.
Puertos máx.
Número de interfaces (1-8) que puede ser activo en cualquier momento
en un grupo de agregación del LACP. El valor no puede superar el
número de interfaces asignadas al grupo. Si el número de interfaces
asignadas supera el número de interfaces activas, el cortafuegos utiliza
las prioridades del puerto de las interfaces para determinar cuáles están
en modo de espera. Puede establecer prioridades de puerto al configurar
interfaces individuales para el grupo.
154 • Configuración de red
Palo Alto Networks
Tabla 74. Configuración de interfaz de grupo de agregación (Continuación)
Campo
Descripción
Misma dirección MAC
del sistema para modo
Activo-Pasivo de HA
Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo
valor de prioridad del sistema. Sin embargo, en una implementación
activa/pasiva, el ID del sistema de cada uno puede ser igual o distinto,
dependiendo de si asigna o no la misma dirección MAC. Cuando los
peers del LACP (también en modo de HA) se virtualizan (apareciendo
para la red como un dispositivo único), usando la misma dirección MAC
del sistema para los cortafuegos, se recomienda minimizar la latencia
durante el fallo. Cuando los peers del LACP no se virtualizan, usando
la dirección MAC única de cada cortafuegos, se recomienda minimizar
la latencia del fallo. Si los cortafuegos no están en modo de HA activo/
pasivo, PAN-OS ignora este campo. (Los cortafuegos de una implementación activa/activa requieren direcciones MAC únicas, de forma que
PAN-OS las asigne automáticamente.)
LACP utiliza la dirección MAC para derivar un ID de sistema a cada
peer del LACP. Si el par del cortafuegos y el par de peers tienen valores
de prioridad del sistema idénticos, el LACP utiliza los valores de ID
del sistema para determinar qué cancela al otro con respecto a las
prioridades del puerto. Si ambos cortafuegos tienen la misma dirección
MAC, ambos tendrán el mismo ID del sistema, que será mayor o menor
que el ID del sistema de los peers del LACP. Si los cortafuegos de HA
tienen direcciones MAC únicas, es posible que uno tenga un ID del
sistema mayor que los peers del LACP y el otro un ID del sistema menor.
En este caso, cuando el fallo se produzca en los cortafuegos, la prioridad
de puerto cambia entre los peers del LACP y el cortafuegos que se activa.
Dirección MAC
Si ha activado Usar la misma dirección MAC del sistema, seleccione una
dirección MAC generada por el sistema, o introduzca la suya propia,
para ambos cortafuegos del par de HA. Debe verificar que la dirección es
única globalmente.
Configuración de una interfaz Ethernet de agregación
Red > Interfaces
Para configurar una interfaz de Ethernet de agregación, añada primero el grupo de agregación
al que asignará la interfaz (consulte “Configuración de los grupos de interfaces de agregación”).
En segundo lugar, haga clic en el nombre de la interfaz que asignará al grupo de agregación.
La interfaz que seleccione debe ser del mismo tipo que la definida para el grupo de agregación,
aunque cambiará el tipo a Agregar Ethernet cuando la configure. Especifique la siguiente
información para la interfaz.
Palo Alto Networks
Configuración de red • 155
Tabla 75. Configuración de interfaz de Ethernet de agregación
Campo
Descripción
Tipo de interfaz
Seleccione Agregar Ethernet.
Agregar grupo
Asigne la interfaz a un grupo de agregación.
Comentarios
Introduzca una descripción opcional de la interfaz.
Pestaña Avanzada
Nota: Si activa el LACP para el grupo de agregación, se recomienda establecer la misma velocidad de enlace y
valores duplicados para cada interfaz del grupo. Para los valores que no coinciden, la operación de compilación
muestra un aviso y PAN-OS activa el valor predeterminado de la velocidad más alta y dúplex completo.
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo
automático.
Dúplex de enlace
Seleccione si el modo de transmisión de la interfaz es dúplex completo
(Completo), dúplex medio (Medio) o automático (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automáticamente (Auto).
Prioridad de puerto
LACP
El cortafuegos solo utiliza este campo si ha activado el Protocolo de
control de agregación de grupo (LACP) para el grupo de agregación.
Un grupo de agregación podría tener más interfaces de las que admite
en los estados activos. (En la configuración del grupo de agregación, el
parámetro Puertos máx. determina el número de interfaces activas).
En esta caso, la prioridad de puerto asignada a cada interfaz determina si
está activa o en espera. Cuanto más bajo es el valor numérico, más alta es
la prioridad. El intervalo es 1-65535 y el valor predeterminado es 32768.
156 • Configuración de red
Palo Alto Networks
Configuración de una interfaz HA
Red > Interfaces
Todas las interfaces HA tienen una función específica: una interfaz se utiliza para la sincronización de la configuración y latidos y la otra interfaz se utiliza para la sincronización del
estado. Si se activa la opción de alta disponibilidad, se puede utilizar una tercera interfaz HA
para reenviar paquetes.
Algunos cortafuegos de Palo Alto Networks incluyen puertos físicos exclusivos para
su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de
datos). En el caso de cortafuegos que no incluyen puertos exclusivos, debe especificar
los puertos de datos que se utilizarán para HA. Si desea más información sobre HA,
consulte “Habilitación de HA en el cortafuegos”.
Para definir interfaces HA, haga clic en un nombre de interfaz y especifique la siguiente
información.
Tabla 76. Configuración de interfaz HA
Campo
Descripción
Nombre de interfaz
Seleccione la interfaz de la lista desplegable. Puede modificar el nombre
si lo desea.
Tipo de interfaz
Seleccione HA de la lista desplegable.
Comentarios
Introduzca una descripción opcional de la interfaz.
Pestaña Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo
automático.
Dúplex de enlace
Seleccione si el modo de transmisión de la interfaz es dúplex completo
(Completo), dúplex medio (Medio) o automático (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automáticamente (Auto).
Configuración de una interfaz VLAN
Red > Interfaces > VLAN
Se puede configurar una interfaz VLAN para proporcionar enrutamiento en una red de capa 3
(IPv4 e IPv6). Se pueden añadir uno o varios puertos Ethernet de capa 2 (“Configuración de
una interfaz Ethernet de capa 2”) a una interfaz VLAN. Todas las configuraciones de la
interfaz VLAN tienen una configuración básica y pestañas de configuración adicionales.
Para configurar una interfaz VLAN, seleccione la pestaña VLAN y haga clic en Añadir.
Especifique los ajustes de configuración básica y, a continuación, los ajustes de IPv4 e IPv6
según corresponda.
Palo Alto Networks
Configuración de red • 157
Tabla 77. Configuración básica de la interfaz VLAN
Campo
Descripción
Nombre de interfaz
Especifique un sufijo numérico a la interfaz (1-4999).
Perfil de flujo de red
Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz
de entrada a un servidor NetFlow, seleccione el perfil del servidor o
haga clic en Nuevo para definir un nuevo perfil. Para obtener más
información, consulte “Configuración de ajustes de flujo de red”.
Nota: El cortafuegos de la serie PA-4000 no admite esta característica.
Comentarios
Añada una descripción opcional de la interfaz.
Pestaña Configuración
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte “Configuración de una interfaz VLAN”). Si selecciona
Ninguno, se elimina la asignación actual de VLAN de la interfaz.
Enrutador virtual
Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte “Configuración de un enrutador
virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador
virtual actual de la interfaz.
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función
está activada, seleccione un vsys para la interfaz o haga clic en Nuevo
para definir un nuevo vsys.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la interfaz.
Pestaña Avanzada
Otra información
Especifique lo siguiente:
• Perfil de gestión: Seleccione un perfil que especifique los protocolos,
si existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
• MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opción predeterminada 1500). Si las máquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU
se devolverá en un mensaje con necesidad de fragmentación ICMP
indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificación, el tamaño
de segmento máximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Esta configuración está destinada a aquellas situaciones en las
que un túnel que atraviesa la red necesita un MSS de menor. Si un
paquete no cabe en el MSS sin fragmentarse, este parámetro permite
ajustarlo.
Entradas ARP/Interfaz
Para añadir una o más entradas ARP estáticas, haga clic en Añadir e
introduzca una dirección IP y la dirección (MAC) de su hardware
asociado y una interfaz de capa 3 que pueda acceder a la dirección
del hardware.
Entradas de ND
Haga clic en Añadir para introducir la dirección IP y MAC de los vecinos
que se añadirán al descubrimiento.
158 • Configuración de red
Palo Alto Networks
Pestaña IPv4 de VLAN
Si configura una VLAN para su acceso a una red IPv4, debe configurar los siguientes ajustes
en la pestaña IPv4:
Tabla 78. Configuración de IPv4 de la interfaz VLAN
Campo
Descripción
Pestaña IPv4
Estático
Seleccione Estático para asignar direcciones IP estáticas. Haga clic en
Añadir e introduzca una dirección IP y una máscara de red para la
interfaz en la notación de enrutamiento entre dominios sin clases (CIDR):
dirección_ip/máscara (por ejemplo, 192.168.2.0/24). Puede introducir
múltiples direcciones IP para la interfaz. La base de información de
reenvío (FIB) que utiliza su sistema determina el número máximo de
direcciones IP.
Cliente DHCP
Seleccione DHCP para utilizar la asignación de direcciones DHCP para la
interfaz y especifique los siguientes ajustes:
• Habilitar: seleccione la casilla de verificación para activar el cliente
DHCP en la interfaz.
• Crear automáticamente ruta predeterminada que apunte al servidor:
Seleccione la casilla de verificación para que se cree automáticamente
una ruta predefinida que apunte al servidor DHCP cuando se conecte.
• Métrica de ruta predeterminada: Especifique la métrica de ruta asociada
con la ruta predefinida que se utilizará para seleccionar la ruta (opcional,
intervalo 1-65535).
Haga clic en Mostrar información de tiempo de ejecución de cliente
DHCP para abrir una ventana que muestre todos los ajustes recibidos
del servidor DHCP, incluyendo el estado de concesión de DHCP, la
asignación de IP dinámica, la máscara de subred, la puerta de enlace,
la configuración del servidor (DNS, NTP, dominio, WINS, NIS, POP3
y SMTP).
Entradas de ARP
Para añadir una o más entradas ARP, introduzca una dirección IP y su
hardware asociado (MAC) y haga clic en Añadir. Para eliminar una
entrada estática, seleccione la entrada y haga clic en Eliminar.
Pestaña IPv6 de VLAN
Si configura una VLAN para su acceso a una red IPv6, debe configurar los siguientes ajustes
en la pestaña IPv6:
Tabla 79. Configuración de IPv6 de la interfaz VLAN
Campo
Descripción
Pestaña IPv6
Habilitar IPv6 en la
interfaz
Seleccione la casilla de verificación para habilitar las direcciones IPv6 en
la subinterfaz.
ID de interfaz
Introduzca el identificador único ampliado de 64 bits en formato
hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz
se deja en blanco, el cortafuegos utilizará el EUI-64 generado desde la
dirección MAC de la interfaz física.
Palo Alto Networks
Configuración de red • 159
Tabla 79. Configuración de IPv6 de la interfaz VLAN (Continuación)
Campo
Descripción
Dirección
Haga clic en Añadir e introduzca una dirección IPv6 y la longitud del
prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz
como parte de host para asignar una dirección IPv6 a la interfaz que
utilizará el ID de interfaz como la parte de host de la dirección. Seleccione
Difusión por proximidad para incluir el enrutador mediante el nodo
más cercano. Si no se selecciona Prefijo, la dirección IPv6 asignada a la
interfaz será la que especifique completamente en el cuadro de texto de la
dirección.
Utilice la opción Enviar anuncio de enrutador (Enviar RA) para habilitar
el anuncio del enrutador en esta dirección IP. También puede configurar
que se envíe la marca Autónomo y definir la opción Enlace activo. Debe
habilitar la opción Habilitar anuncio de enrutador de forma global en la
interfaz antes de activar Enviar anuncio de enrutador para una dirección
IP concreta.
Resolución de dirección
(Duplicar detección de
dirección)
Seleccione la casilla de verificación para habilitar Duplicar detección de
dirección (DAD) y especifique la siguiente información.
• Intentos DAD: Especifique el número de intentos del intervalo de
solicitación de vecinos de DAD antes de que falle el intento de
identificar a los vecinos (intervalo 1-10).
• Tiempo alcanzable: Especifique el tiempo que un vecino permanece
alcanzable después de una consulta y respuesta correctas (intervalo:
1-36.000 segundos).
Intervalo de solicitación de vecinos (NS): Especifique el número de
segundos de intentos DAD antes de indicar el fallo (intervalo 1-10
segundos).
Habilitar anuncio de
enrutador
Seleccione la casilla de verificación para habilitar Anuncio de enrutador
(RA) para proporcionar la configuración automática de direcciones sin
estado (SLAAC) de interfaces IPv6. De esta forma el cortafuegos puede
actuar como una puerta de enlace predeterminada para hosts IPv6 que no
estén configurados estáticamente y proporcionará al host un prefijo IPv6
que se puede utilizar para la configuración de direcciones. Se puede
utilizar un servidor DHCPv6 diferente en conjunción con esta función
para proporcionar DNS y otros ajustes a los clientes.
Esta opción es un ajuste global de la interfaz. También puede definir
las opciones de anuncio de enrutador por dirección IP haciendo clic en
Añadir e introduciendo una dirección IP. Debe activar esta opción en la
interfaz si va a especificar la opción Enviar anuncio de enrutador por
dirección.
Especifique la siguiente información que utilizarán los clientes que
reciban los mensajes RA.
• Min. de intervalo (seg): Especifique el intervalo mínimo por segundos
en el que el cortafuegos enviará anuncios de enrutador. Los anuncios de
enrutador se enviarán a intervalos aleatorios entre los valores mínimo y
máximo configurados (intervalo 3-1350 segundos; opción predefinida
200 segundos).
• Máx. de intervalo (seg): Especifique el intervalo máximo por segundos
en el que el cortafuegos enviará anuncios de enrutador. Los anuncios de
enrutador se enviarán a intervalos aleatorios entre los valores mínimo y
máximo configurados (intervalo 4-1800 segundos; opción predefinida
600 segundos).
160 • Configuración de red
Palo Alto Networks
Tabla 79. Configuración de IPv6 de la interfaz VLAN (Continuación)
Campo
Descripción
Habilitar anuncio
de enrutador
(Continuación)
• Límite de salto: Especifique el límite de salto que se aplicará a los
clientes para paquetes salientes. Introduzca 0 si no desea ningún límite
de salto (intervalo 1-255; opción predefinida 64).
• MTU de enlace: Especifique la MTU de enlace que se aplicará a los
clientes. Seleccione sin especificar para establecer una MTU sin enlace
(intervalo: 1280-9192; opción predeterminada: sin especificar).
• Tiempo alcanzable (ms): Especifique el tiempo que el cliente utilizará
para asumir que un vecino es alcanzable después de recibir un mensaje
de confirmación. Seleccione sin especificar para especificar un valor
de tiempo no alcanzable (intervalo: 0-3600000 milisegundos; opción
predeterminada: sin especificar).
• Tiempo de retransmisión (ms) Especifique el temporizador de transmisión que el cliente utilizará para determinar cuánto tiempo debe
esperar antes de retransmitir los mensajes de solicitación de vecinos.
Seleccione sin especificar para no establecer ningún tiempo de retransmisión (intervalo 0-4294967295 milisegundos; opción predeterminada:
sin especificar).
• Duración de enrutador (seg): Especifique la duración del enrutador que
indicará al cliente cuánto tiempo se utilizará el cortafuegos/enrutador
como el enrutador predeterminado (intervalo: 0-9.000 segundos; opción
predeterminada 1.800).
• Configuración gestionada: Seleccione la casilla de verificación para
indicar al cliente que las direcciones están disponibles en DHCPv6.
• Otras configuraciones: Seleccione la casilla de verificación para indicar
al cliente que existen otras direcciones de información mediante
DHCPv6, como ajustes relacionados con DNS.
Comprobación de coherencia: Seleccione la casilla de verificación para
activar comprobaciones de coherencia que utilizará el cortafuegos para
verificar que el anuncio del enrutador enviado desde otros enrutadores
está transmitiendo información coherente en el enlace. Si se detectan
incoherencias, se creará un log.
Configuración de una interfaz de loopback
Red > Interfaces > Loopback
Puede configurar una o varias interfaces de loopback si la topología de la red las requiere
(IPv4 y IPv6). Las configuraciones de interfaz de loopback tienen una configuración básica y
pestañas de configuración adicionales. Para configurar una interfaz de loopback, seleccione
Red > Interfaces > Loopback y haga clic en Añadir. Especifique los ajustes de configuración
básica en primer lugar, después los ajustes avanzados y, a continuación, los ajustes de IPv4
e IPv6.
Palo Alto Networks
Configuración de red • 161
Tabla 80. Configuración avanzada y básica de la interfaz de loopback
Campo
Descripción
Nombre de interfaz
Especifique un sufijo numérico a la interfaz (1-4999).
Perfil de flujo de red
Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz
de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Nuevo para definir un nuevo perfil. Para obtener más información,
consulte “Configuración de ajustes de flujo de red”.
Nota: El cortafuegos de la serie PA-4000 no admite esta característica.
Comentarios
Añada una descripción opcional de la interfaz.
Pestaña Configuración
Enrutador virtual
Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte “Configuración de un enrutador
virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador
virtual actual de la interfaz.
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está
activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la interfaz.
Pestaña Avanzada
Otra información
Especifique los siguientes ajustes:
• Perfil de gestión: Seleccione un perfil que especifique los protocolos,
si existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
• MTU: Introduzca la unidad máxima de transmisión (MTU) en bytes
para los paquetes enviados en esta interfaz (de 576 a 1500, opción
predeterminada 1500). Si las máquinas de ambos extremos del
cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD),
el valor de MTU se devolverá en un mensaje con necesidad de
fragmentación ICMP indicando que la MTU es demasiado larga.
• Ajustar TCP MSS: Si selecciona esta casilla de verificación, el tamaño
de segmento máximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Esta configuración está destinada a aquellas situaciones en
las que un túnel que atraviesa la red necesita un MSS de menor. Si un
paquete no cabe en el MSS sin fragmentarse, este parámetro permite
ajustarlo.
162 • Configuración de red
Palo Alto Networks
Pestaña IPv4 de la interfaz de loopback
Si configura una interfaz de loopback para su acceso a una red IPv4, debe configurar los
siguientes ajustes en la pestaña IPv4:
Tabla 81. Configuración de IPv4 de la interfaz de loopback
Campo
Descripción
Dirección IP
Haga clic en Añadir para introducir una dirección IP y máscaras de red
para la interfaz.
Pestaña IPv6 de la interfaz de loopback
Si configura una interfaz de loopback para su acceso a una red IPv6, debe configurar los
siguientes ajustes en la pestaña IPv6:
Tabla 82. Configuración de IPv6 de la interfaz de loopback
Campo
Descripción
Habilitar IPv6 en la
interfaz
Seleccione la casilla de verificación para habilitar las direcciones IPv6 en
la subinterfaz.
ID de interfaz
Especifique el identificador hexadecimal de 64 bits de la subinterfaz.
Dirección
Introduzca la dirección IPv6. Seleccione Usar ID de interfaz como parte
de host para asignar una dirección IPv6 a la interfaz que utilizará el ID de
interfaz como la parte de host de la dirección. Seleccione Difusión por
proximidad para incluir el enrutador mediante el nodo más cercano.
Configuración de una interfaz de túnel
Red > Interfaces > Túnel
Se pueden configurar una o varias interfaces de túnel según exija su topología de red (IPv4 e
IPv6). Todas las configuraciones de la interfaz de túnel tienen una configuración básica y
pestañas de configuración adicionales. Para configurar una interfaz de túnel, seleccione la
pestaña Túnel y haga clic en Añadir. Especifique los ajustes de configuración básica y,
a continuación, los ajustes de IPv4 e IPv6 según corresponda.
Tabla 83. Configuración de interfaz de túnel
Campo
Descripción
Nombre de interfaz
Especifique un sufijo numérico a la interfaz (1-4999).
Perfil de flujo de red
Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz
de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Nuevo para definir un nuevo perfil. Para obtener más información,
consulte “Configuración de ajustes de flujo de red”.
Nota: El cortafuegos de la serie PA-4000 no admite esta característica.
Comentarios
Añada una descripción opcional de la interfaz.
Pestaña Configuración
Enrutador virtual
Palo Alto Networks
Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte “Configuración de un enrutador
virtual”). Si selecciona Ninguno, se elimina la asignación del enrutador
virtual actual de la interfaz.
Configuración de red • 163
Tabla 83. Configuración de interfaz de túnel (Continuación)
Campo
Descripción
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa función está
activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignación de zona actual de la interfaz.
Pestaña Avanzada
Otra información
Especifique lo siguiente:
• Perfil de gestión: Seleccione un perfil que especifique los protocolos,
si existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
• MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opción predeterminada 1500). Si las máquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU
se devolverá en un mensaje con necesidad de fragmentación ICMP
indicando que la MTU es demasiado larga.
El cortafuegos considera de forma automática la sobrecarga del túnel al ejecutar
la fragmentación de IP y también ajusta el tamaño máximo del segmento (MSS)
según sea necesario.
Pestaña IPv4 de la interfaz de túnel
Si configura una interfaz de túnel para su acceso a una red IPv4, debe configurar los siguientes
ajustes en la pestaña IPv4:
Tabla 84. Configuración de IPv4 de la interfaz de túnel
Campo
Descripción
Dirección IP
Haga clic en Añadir para introducir direcciones IP y máscaras de red para
la interfaz.
164 • Configuración de red
Palo Alto Networks
Pestaña IPv6 de la interfaz de túnel
Si configura una interfaz de túnel para su acceso a una red IPv6, debe configurar los siguientes
ajustes en la pestaña IPv6:
Tabla 85. Configuración de IPv6 de la interfaz de túnel
Campo
Descripción
Habilitar IPv6 en la
interfaz
Seleccione la casilla de verificación para habilitar las direcciones IPv6 en
la interfaz.
Esta opción permite enrutar el tráfico IPv6 en un túnel IPv4 IPSec y ofrece
confidencialidad entre redes IPv6. El tráfico IPv6 se encapsula mediante
IPv4 y, a continuación, mediante ESP.
Para enrutar el tráfico IPv6 hacia el túnel, puede utilizar una ruta estática
hacia el túnel, o bien utilizar una regla de reenvío basado en políticas
(PBF) para dirigir el tráfico y ofrecer redundancia al supervisar el otro
extremo del túnel y conmutación por error cuando sea necesario.
ID de interfaz
Introduzca el identificador único ampliado de 64 bits en formato
hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz
se deja en blanco, el cortafuegos utilizará el EUI-64 generado desde la
dirección MAC de la interfaz física.
Dirección
Haga clic en Añadir e introduzca una dirección IPv6 y la longitud del
prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz
como parte de host para asignar una dirección IPv6 a la interfaz que
utilizará el ID de interfaz como la parte de host de la dirección. Seleccione
Difusión por proximidad para incluir el enrutador mediante el nodo más
cercano. Si no se selecciona Prefijo, la dirección IPv6 asignada a la
interfaz será la que especifique completamente en el cuadro de texto de
la dirección.
Configuración de un enrutador virtual
Red > Enrutador virtual
Utilice esta página para definir enrutadores virtuales. La definición de enrutadores
virtuales permite configurara reglas de reenvío de capa 3 y activar el uso de protocolos
de enrutamiento dinámicos. Todas las interfaces de capa 3, de loopback y VLAN definidas en
el cortafuegos se deben asociar con un enrutador virtual. Cada interfaz solo puede pertenecer
a un único enrutador virtual.
La definición de un enrutador virtual requiere la configuración de la asignación de los
ajustes en la pestaña General y en cualquiera de las siguientes pestañas, según exija su
topología de red:
•
Pestaña Rutas estáticas: Consulte “Configuración de la pestaña Rutas estáticas”.
•
Pestaña Perfil de redistribución: Consulte “Configuración de la pestaña Perfiles de
redistribución”.
•
Pestaña RIP: Consulte “Configuración de la pestaña RIP”.
•
Pestaña OSPF: Consulte “Configuración de la pestaña OSPF”.
•
Pestaña OSPFv3: Consulte “Configuración de la pestaña OSPFv3”.
•
Pestaña BGP: Consulte “Configuración de la pestaña BGP”.
•
Pestaña Multicast: Consulte “Configuración de la pestaña Multicast”.
Palo Alto Networks
Configuración de red • 165
Configuración de la pestaña General
Red > Enrutador virtual > General
Todas las configuraciones del enrutador virtual exigen que añada interfaces de capa 3 y cifras
de distancia administrativa según se describe en la siguiente tabla:
Tabla 86. Configuración de enrutador virtual - Pestaña General
Campo
Descripción
Nombre
Especifique un nombre para identificar el enrutador virtual (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
Interfaces
Seleccione las interfaces que desea incluir en el enrutador virtual.
Cuando selecciona una interfaz, se incluye en el enrutador virtual y se
puede utilizar como una interfaz de salida en la pestaña de enrutamiento
del enrutador virtual.
Para especificar el tipo de interfaz, consulte “Configuración de la interfaz
de un cortafuegos”.
Cuando añade una interfaz, sus rutas conectadas se añaden automáticamente.
Distancias
administrativas
Especifique las siguientes distancias administrativas:
• Rutas estáticas (10-240, opción predefinida 10).
• OSPF Int (10-240, opción predefinida 30).
• OSPF Ext (10-240, opción predefinida 110).
• IBGP (10-240, opción predefinida 200).
• EBGP (10-240, opción predefinida 20).
• RIP (10-240, opción predefinida 120).
Configuración de la pestaña Rutas estáticas
Red > Enrutador virtual > Rutas estáticas
Opcionalmente puede introducir una o más rutas estáticas. Haga clic en la pestaña IP o IPv6
para especificar la ruta mediante direcciones IPv4 o IPv6. Aquí suele ser necesario configurar
las rutas predefinidas (0.0.0.0/0). Las rutas predefinidas se aplican a destinos que de otro
modo no se encontrarían en la tabla de enrutamiento del enrutador virtual.
Tabla 87. Configuración de enrutador virtual - Pestaña Rutas estáticas
Campo
Descripción
Nombre
Introduzca un nombre para identificar la ruta estática (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
IP Destino
Introduzca una dirección IP y una máscara de red en la notación de
enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara
(por ejemplo, 192.168.2.0/24 para IPv4 o 2001:db8::/32 para IPv6).
Interfaz
Seleccione la interfaz para reenviar paquetes al destino o configure el
siguiente salto, o ambos.
166 • Configuración de red
Palo Alto Networks
Tabla 87. Configuración de enrutador virtual - Pestaña Rutas estáticas (Continuación)
Campo
Siguiente salto
Descripción
Especifique los siguientes ajustes de salto:
• Ninguno: Seleccione esta opción si no existe el siguiente salto en la ruta.
• Dirección IP: Especifique la dirección IP del siguiente enrutador de salto.
• Descartar: Seleccione esta opción si desea descartare l tráfico que se
dirige a este destino.
• Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como
el siguiente salto. Esta opción permite configurar rutas internamente
entre enrutadores virtuales en un único cortafuegos.
Distancia administrativa
Especifique la distancia administrativa de la ruta estática (10-240; opción
predefinida 10).
Métrica
Especifique una medida para la ruta estática (1 - 65535).
No instalar
Seleccione esta opción si no desea instalar la ruta en la tabla de reenvíos.
La ruta se retiene en la configuración para su referencia futura.
Configuración de la pestaña Perfiles de redistribución
Red > Enrutador virtual > Perfiles de redistribución
Los perfiles de redistribución dirigen el cortafuegos para filtrar, establecer la prioridad y
realizar acciones basadas en el comportamiento de red deseado. La redistribución de rutas
permite a las rutas estáticas y a las rutas adquiridas por otros protocolos anunciarse mediante
protocolos de enrutamiento específicos. Los perfiles de redistribución se deben aplicar a los
protocolos de enrutamiento para que surtan efecto. Sin las reglas de redistribución, cada
uno de los protocolos se ejecuta de forma separada y no se comunican fuera de su ámbito.
Los perfiles de redistribución se pueden añadir o modificar después de configurar todos los
protocolos de enrutamiento y de establecer la topología de red resultante. Aplique perfiles de
redistribución a los protocolos RIP y OSPF definiendo reglas de exportación. Aplique perfiles
de redistribución a BGP en la pestaña Reglas de distribución. Consulte la tabla siguiente.
Tabla 88. Configuración de enrutador virtual - Pestaña Perfiles de redistribución
Campo
Descripción
Nombre
Haga clic en Añadir para mostrar la página Perfil de redistribución e
introduzca el nombre del perfil.
Prioridad
Introduzca un nivel de prioridad (intervalo 1-255) para este perfil.
Los perfiles se muestran en orden (con los números más bajos primero).
Redistribuir
Seleccione si la redistribución de la ruta se realizará según los ajustes
de esta ventana.
• Redistr.: Seleccione si la redistribución se realizará con rutas de
candidato coincidentes. Si selecciona esta opción, introduzca un
nuevo valor métrico. Un valor métrico inferior significa una ruta
más preferible.
• No hay ninguna redistribución: Seleccione si no se realizará ningún
tipo de redistribución.
Palo Alto Networks
Configuración de red • 167
Tabla 88. Configuración de enrutador virtual - Pestaña Perfiles de redistribución (ContiCampo
Descripción
Pestaña Filtro general
Tipo
Seleccione las casillas de verificación para especificar los tipos de ruta
de candidato.
Interfaz
Seleccione las interfaces para especificar las interfaces de reenvío de la
ruta de candidato.
IP Destino
Para especificar el destino de la ruta de candidato, introduzca la dirección
IP o la subred de destino (con el formato x.x.x.x o x.x.x.x/n) y haga clic en
Añadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.
Siguiente salto
Para especificar la puerta de enlace de la ruta de candidato, introduzca la
dirección IP o la subred (con el formato x.x.x.x o x.x.x.x/n) que represente
el siguiente salto y haga clic en Añadir. Para eliminar una entrada, haga
clic en el icono
asociado con la entrada.
Pestaña Filtro OSPF
Tipo de ruta
Seleccione las casillas de verificación para especificar los tipos de ruta de
candidato OSPF.
Área
Especifique el identificador de área de la ruta de candidato OSPF.
Introduzca el ID de área OSPF (con el formato x.x.x.x), y haga clic en
Añadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.
Etiqueta
Especifique los valores de etiqueta OSPF. Introduzca un valor de etiqueta
numérica (1-255) y haga clic Añadir. Para eliminar una entrada, haga clic
en el icono
asociado con la entrada.
Pestaña Filtro BGP
Comunidad
Especifique una comunidad para la política de enrutamiento BGP.
Comunidad extendida
Especifique una comunidad extendida para la política de enrutamiento
BGP.
Configuración de la pestaña RIP
Red > Enrutador virtual > RIP
La configuración del protocolo de información de enrutamiento (RIP) requiere que se
establezcan los siguientes ajustes generales:
Tabla 89. Configuración de enrutador virtual - Pestaña RIP
Campo
Descripción
Habilitar
Seleccione la casilla de verificación para activar el protocolo RIP.
Rechazar ruta por
defecto
Seleccione la casilla de verificación si no desea obtener ninguna de las
rutas predefinidas mediante RIP. Es muy recomendable seleccionar esta
casilla de verificación.
168 • Configuración de red
Palo Alto Networks
Además, se deben configurar ajustes en las siguientes pestañas:
•
Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”.
•
Pestaña Temporizadores: Consulte “Configuración de la pestaña Temporizadores”.
•
Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de
autenticación”.
•
Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de
exportación”.
Configuración de la pestaña Interfaces
Red > Enrutador virtual > RIP > Interfaces
En la siguiente tabla se describen los ajustes de la pestaña Interfaces.
Tabla 90.
Configuración de RIP – Pestaña Interfaces
Campo
Descripción
Interfaces
Interfaz
Seleccione la interfaz que ejecuta el protocolo RIP.
Habilitar
Seleccione esta opción para habilitar estos ajustes.
Anunciar
Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor
métrico especificado.
Métrica
Especifique un valor métrico para el anuncio del enrutador. Este campo
solo es visible si se ha seleccionado la casilla de verificación Anunciar.
Perfil de autenticación
Seleccione el perfil.
Modo
Seleccione Normal, Pasivo o Enviar únicamente.
Configuración de la pestaña Temporizadores
Red > Enrutador virtual > RIP > Temporizadores
En la siguiente tabla se describen los ajustes de la pestaña Temporizadores.
Tabla 91. Configuración de RIP – Pestaña Interfaces
Campo
Descripción
Temporizadores
Segundos del intervalo
(seg)
Defina la duración del intervalo de tiempo en segundos. Esta duración se
utiliza para el resto de los campos de temporización de RIP (1 - 60).
Intervalo de
actualizaciones
Introduzca el número de intervalos entre los anuncios de actualización de
rutas (1 - 3600).
Intervalos de
vencimiento
Introduzca el número de intervalos entre la última hora de actualización
de la ruta hasta su vencimiento (1- 3600).
Intervalo de eliminación
Introduzca el número de intervalos entre la hora de vencimiento de la
ruta hasta su eliminación (1- 3600).
Palo Alto Networks
Configuración de red • 169
Configuración de la pestaña Perfiles de autenticación
Red > Enrutador virtual > RIP > Perfiles de autenticación
La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación.
Tabla 92. Configuración de RIP – Pestaña Perfiles de autenticación
Campo
Descripción
Perfiles de autenticación
Nombre de perfil
Tipo de contraseña
Introduzca un nombre para el perfil de autenticación para autenticar
los mensajes RIP. Para autenticar mensajes RIP, primero defina los
perfiles de autenticación y a continuación, aplíquelos a las interfaces
en la pestaña RIP.
Seleccione el tipo de contraseña (simple o MD5).
• Si selecciona Sencillo, introduzca la contraseña sencilla y, a continuación,
confirme.
• Si selecciona MD5, introduzca una o más entradas de contraseña,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Añadir en cada entrada y, a continuación,
haga clic en ACEPTAR. Para especificar la clave que se debe utilizar
para autenticar el mensaje saliente, seleccione la opción Preferido.
Configuración de la pestaña Reglas de exportación
Red > Enrutador virtual > RIP > Reglas de exportación
La tabla siguiente describe los ajustes de la pestaña Reglas de exportación.
Tabla 93. Configuración de RIP – Pestaña Reglas de exportación
Campo
Descripción
Reglas de exportación
Reglas de exportación
(Solo lectura) Muestra las rutas aplicables a las rutas que envía el
enrutador virtual a un enrutador de recepción.
• Permitir redistribución de ruta predeterminada: Seleccione la casilla
de verificación para permitir que el cortafuegos redistribuya su ruta
predeterminada a los peers.
• Perfil de redistribución: Seleccione un perfil de redistribución que
permite modificar la redistribución de la ruta, el filtro, la prioridad y
la acción, en función del comportamiento de red deseado. Consulte
“Configuración de la pestaña Perfiles de redistribución”.
170 • Configuración de red
Palo Alto Networks
Configuración de la pestaña OSPF
Red > Enrutador virtual > OSPF
La configuración del protocolo OSPF (Open Shortest Path First) necesita que se establezcan los
siguientes ajustes generales:
Tabla 94. Configuración del enrutador virtual - Pestaña OSPF
Campo
Descripción
Habilitar
Seleccione la casilla de verificación para activar el protocolo OSPF.
Rechazar ruta por
defecto
Seleccione la casilla de verificación si no desea obtener ninguna de las
rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta
casilla de verificación, especialmente en rutas estáticas.
ID del enrutador
Especifique el ID del enrutador asociado con la instancia OSPF en este
enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para
identificar de manera única la instancia OSPF.
Además, se deben configurar ajustes en las siguientes pestañas:
•
Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”.
•
Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de
autenticación”.
•
Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de
exportación”.
•
Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”.
Configuración de la pestaña Áreas
Red > Enrutador virtual > OSPF > Áreas
La tabla siguiente describe los ajustes de la pestaña Áreas.
Tabla 95. Configuración de OSPF – Pestaña Áreas
Campo
Descripción
Áreas
ID de área
Configure el área en el que los parámetros OSPF se pueden aplicar.
Introduzca un identificador del área en formato x.x.x.x. Es el identificador
que cada vecino debe aceptar para formar parte de la misma área.
Palo Alto Networks
Configuración de red • 171
Tabla 95. Configuración de OSPF – Pestaña Áreas (Continuación)
Campo
Tipo
Descripción
Seleccione una de las siguientes opciones.
• Normal: No hay restricciones; el área puede aceptar todos los tipos
de rutas.
• Código auxiliar: No hay salida desde el área. Para acceder a un destino
fuera del área, es necesario atravesar el límite, que conecta con el resto
de áreas. Si selecciona esta opción, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas.
También puede especificar si desea incluir una ruta LSA predefinida
en los anuncios al área de código auxiliar, junto con el valor métrico
asociado (1-255).
Si la opción Aceptar resumen de un área de código auxiliar de la
interfaz de enrutador de borde de área (ABR) está desactivada, el área
OSPF se comportará como un área totalmente de código auxiliar (TSA)
y ABR no propagará ninguno de los LSA de resumen.
• NSSA (Not-So-Stubby Area, área no totalmente de código auxiliar):
Es posible salir del área directamente, pero solo mediante rutas que
no sean OSPF. Si selecciona esta opción, seleccione Aceptar resumen
si desea aceptar este tipo de LSA. Seleccione Anunciar ruta predeterminada para especificar si desea incluir una LSA de ruta predeterminada en los anuncios del área de código auxiliar, junto con el valor
métrico asociado (1-255). También puede seleccionar el tipo de ruta que
se utilizará para anunciar el LSA predefinido. Haga clic en Añadir en la
sección Intervalos externos e introduzca los intervalos si desea activar o
suprimir rutas externas de anuncios que se obtienen mediante NSSA a
otras áreas.
Intervalo
172 • Configuración de red
Haga clic en Añadir para añadir direcciones de destino LSA en el área
en subredes. Habilite o suprima LSA de anuncios que coincidan con
la subred y haga clic en ACEPTAR. Repita esta acción para añadir
intervalos adicionales.
Palo Alto Networks
Tabla 95. Configuración de OSPF – Pestaña Áreas (Continuación)
Campo
Descripción
Interfaz
Haga clic en Añadir e introduzca la siguiente información en cada interfaz
que se incluirá en el área y haga clic en ACEPTAR.
• Interfaz: Seleccione la interfaz.
• Habilitar: Permite que la configuración de la interfaz OSPF surta efecto.
• Pasivo: Seleccione la casilla de verificación si no desea que la interfaz
OSPF envíe o reciba paquetes OSPF. Aunque los paquetes OSPF no se
envían ni reciben, si selecciona esta opción, la interfaz se incluirá en la
base de datos de LSA.
• Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los
vecinos mediante la interfaz y poder descubrirlos automáticamente por
mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet.
Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben
definir manualmente. La definición manual de vecino solo se permite
en modo p2mp.
• Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535).
• Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255).
Es la prioridad del enrutador para ser el enrutador designado (DR)
o de reserva (BDR) según el protocolo OSPF. Si el valor es cero,
el enrutador no se designará como DR ni BDR.
• Perfil de autenticación: Seleccione un perfil de autenticación definido
previamente.
• Intervalo de saludo (segundos): Intervalo en el que el proceso de
OSPF envía paquetes de saludo a sus vecinos directamente conectados.
Intervalo: 0-3600 segundos. Valor predeterminado:
10 segundos.
• Recuentos fallidos: Número de ocasiones en las que se puede producir
el intervalo de saludo para un vecino sin que OSPF reciba un paquete
de saludo desde el vecino, antes de que OSPF considere que ese vecino
tiene un fallo. En intervalo de saludo multiplicado por los recuentos
fallidos es igual al valor del temporizador de temporizador de fallos.
Intervalo: 3-20. Valor predeterminado: 4.
• Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para
recibir un anuncio de estado de enlace (LSA) de un vecino antes de que
el OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos.
• Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de
enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor predeterminado: 1 segundo.
Palo Alto Networks
Configuración de red • 173
Tabla 95. Configuración de OSPF – Pestaña Áreas (Continuación)
Campo
Descripción
Interfaz (Continuación)
• Retraso de saludo de reinicio correcto (segundos): Se aplica a una
interfaz de OSPF cuando se configura la alta disponibilidad activa/
pasiva. Retraso de saludo de reinicio correcto es el tiempo durante el
cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de
1 segundo. Durante este tiempo no se envían paquetes de saludo desde
el cortafuegos de reinicio. Durante el reinicio, el temporizador de fallos
(que es el intervalo de saludo multiplicado por los recuentos fallidos)
también avanza. Si el temporizador de fallos es demasiado corto, la
adyacencia bajará durante el reinicio correcto a causa del retraso de
saludo. Por lo tanto, se recomienda que el temporizador de fallos sea al
menos cuatro veces el valor del retraso de saludo de reinicio correcto.
Por ejemplo, un intervalo de saludo de 10 segundos y un valor de
recuentos fallidos de 4 da como resultado un valor de temporizador
de fallos de 40 segundos. Si el retraso de saludo de reinicio correcto
se establece en 10 segundos, ese retraso de 10 segundos de los paquetes
de saludo se enmarca cómodamente dentro del temporizador de fallos
de 40 segundos, de forma que la adyacencia no agotará su tiempo
de espera durante un reinicio correcto. Intervalo: 1-10 segundos.
Valor predeterminado: 10 segundos.
Enlace virtual
Configure los ajustes del enlace virtual para mantener o mejorar la
conectividad del área troncal. Los ajustes se deben definir para
enrutadores de borde de área y se deben definir en el área troncal
(0.0.0.0). Haga clic en Añadir e introduzca la siguiente información en
enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR.
• Nombre: Introduzca un nombre para el vínculo virtual.
• ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del
enlace virtual.
• Área de tránsito: Introduzca el ID del área de tránsito que contiene
físicamente al enlace virtual.
• Habilitar: Seleccione para habilitar el enlace virtual.
• Sincronización: Es recomendable que mantenga sincronizada su
configuración temporal predefinida.
• Perfil de autenticación: Seleccione un perfil de autenticación definido
previamente.
Configuración de la pestaña Perfiles de autenticación
Red > Enrutador virtual > OSPF > Perfiles de autenticación
La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación.
Tabla 96. Configuración de OSPF – Pestaña Perfiles de autenticación
Campo
Descripción
Perfiles de autenticación
Nombre de perfil
174 • Configuración de red
Introduzca un nombre para el perfil de autenticación. Para autenticar
mensajes OSPF, primero defina los perfiles de autenticación y a
continuación, aplíquelos a las interfaces en la pestaña OSPF.
Palo Alto Networks
Tabla 96. Configuración de OSPF – Pestaña Perfiles de autenticación (Continuación)
Campo
Tipo de contraseña
Descripción
Seleccione el tipo de contraseña (simple o MD5).
• Si selecciona Simple, introduzca la contraseña.
• Si selecciona MD5, introduzca una o más entradas de contraseña,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Añadir en cada entrada y, a continuación,
haga clic en ACEPTAR. Para especificar la clave que se debe utilizar
para autenticar el mensaje saliente, seleccione la opción Preferido.
Configuración de la pestaña Reglas de exportación
Red > Enrutador virtual > OSPF > Reglas de exportación
La tabla siguiente describe los ajustes de la pestaña Reglas de exportación.
Tabla 97. Configuración de OSPF – Pestaña Perfiles de autenticación
Campo
Descripción
Reglas de exportación
Permitir redistribución
de ruta predeterminada
Seleccione la casilla de verificación para permitir la redistribución de las
rutas predeterminadas mediante OSPF.
Nombre
Seleccione el nombre del perfil de redistribución. El valor debe ser una
subred IP o un nombre de perfil de redistribución válido.
Nuevo tipo de ruta
Seleccione el tipo de métrica que se aplicará.
Nueva etiqueta
Especifique una etiqueta para la ruta que tenga un valor de 32 bits.
Métrica
Especifique la métrica de ruta asociada con la ruta exportada que se
utilizará para seleccionar la ruta (opcional, intervalo 1-65535).
Configuración de la pestaña Avanzado
Red > Enrutador virtual > OSPF > Avanzado
La tabla siguiente describe los ajustes de la pestaña Avanzado.
Tabla 98. Configuración de OSPF – Pestaña Avanzado
Campo
Descripción
Avanzado
Compatibilidad RFC
1583
Palo Alto Networks
Selecciona la casilla de verificación para garantizar la compatibilidad con
RFC 1583.
Configuración de red • 175
Tabla 98. Configuración de OSPF – Pestaña Avanzado (Continuación)
Campo
Descripción
Temporizadores
• Retraso de cálculo SPF (seg): Esta opción es un temporizador que le
permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. Los valores menores
permiten una reconvergencia OSPF más rápida. Los enrutadores que
se emparejan con el cortafuegos se deben configurar de manera similar
para optimizar los tiempos de convergencia.
• Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval
en RFC 2328. Los valores más bajos se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios en la tipología.
Reinicio correcto
• Habilitar reinicio correcto: Habilitado de forma predeterminada; un
cortafuegos que tenga esta función activada indicará a los enrutadores
vecinos que continúen usándolo como ruta cuando tenga lugar una
transición que lo desactive temporalmente.
• Habilitar modo auxiliar: Habilitado de forma predeterminada; un
cortafuegos que tenga este modo activado continuará reenviando a un
dispositivo adyacente durante el reinicio del dispositivo.
• Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada; esta función hace que el cortafuegos que tenga habilitado el
modo auxiliar de OSPF salga de este modo si se produce un cambio de
topología.
• Periodo de gracia (seg): Periodo de tiempo en segundos que los
dispositivos peer deben continuar reenviando a las adyacencias de
este mientras se están restableciendo o el enrutador se está reiniciando.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 120 segundos.
• Máx. de hora de reinicio del mismo nivel: Periodo de gracia máximo
en segundos que el cortafuegos aceptará como enrutador de modo
auxiliar Si los dispositivos peer ofrecen un periodo de gracia más
largo en su LSA de gracia, el cortafuegos no entrará en modo auxiliar.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 140 segundos.
Configuración de la pestaña OSPFv3
Red > Enrutador virtual > OSPFv3
La configuración del protocolo OSPFv3 (Open Shortest Path First v3) necesita que se
establezcan los siguientes ajustes generales:
Tabla 99. Configuración del enrutador virtual - Pestaña OSPF
Campo
Descripción
Habilitar
Seleccione la casilla de verificación para activar el protocolo OSPF.
Rechazar ruta por
defecto
Seleccione la casilla de verificación si no desea obtener ninguna de las
rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta
casilla de verificación, especialmente en rutas estáticas.
ID del enrutador
Especifique el ID del enrutador asociado con la instancia OSPF en este
enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para
identificar de manera única la instancia OSPF.
Además, se deben configurar ajustes en las siguientes pestañas:
176 • Configuración de red
Palo Alto Networks
•
Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”.
•
Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de
autenticación”.
•
Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de
exportación”.
•
Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”.
Configuración de la pestaña Áreas
Red > Enrutador virtual > OSPFv3 > Áreas
La tabla siguiente describe los ajustes de la pestaña Áreas.
Tabla 100. Configuración del enrutador virtual - Pestaña Áreas
Campo
Descripción
Autenticación
Seleccione el nombre del perfil de autenticación que desea especificar
para esta área de OSPFarea.
Tipo
Seleccione una de las siguientes opciones.
• Normal: No hay restricciones; el área puede aceptar todos los tipos de
rutas.
• Código auxiliar: No hay salida desde el área. Para acceder a un destino
fuera del área, es necesario atravesar el límite, que conecta con el resto
de áreas. Si selecciona esta opción, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas.
También puede especificar si desea incluir una ruta LSA predefinida
en los anuncios al área de código auxiliar, junto con el valor métrico
asociado (1-255).
Si la opción Aceptar resumen de un área de código auxiliar de la
interfaz de enrutador de borde de área (ABR) está desactivada, el área
OSPF se comportará como un área totalmente de código auxiliar (TSA)
y ABR no propagará ninguno de los LSA de resumen.
• NSSA (Not-So-Stubby Area, área no totalmente de código auxiliar):
Es posible salir del área directamente, pero solo mediante rutas que no
sean OSPF. Si selecciona esta opción, seleccione Aceptar resumen si
desea aceptar este tipo de LSA. Especifique si desea incluir una ruta
LSA predefinida en los anuncios al área de código auxiliar, junto con
el valor métrico asociado (1-255). También puede seleccionar el tipo de
ruta que se utilizará para anunciar el LSA predefinido. Haga clic en
Añadir en la sección Intervalos externos e introduzca los intervalos si
desea activar o suprimir rutas externas de anuncios que se obtienen
mediante NSSA a otras áreas.
Intervalo
Palo Alto Networks
Haga clic en Añadir para que la subred añada direcciones IPv6 de destino
LSA en el área. Habilite o suprima LSA de anuncios que coincidan con
la subred y haga clic en ACEPTAR. Repita esta acción para añadir
intervalos adicionales.
Configuración de red • 177
Tabla 100. Configuración del enrutador virtual - Pestaña Áreas (Continuación)
Campo
Descripción
Interfaz
Haga clic en Añadir e introduzca la siguiente información en cada
interfaz que se incluirá en el área y haga clic en ACEPTAR.
• Interfaz: Seleccione la interfaz.
• Habilitar: Permite que la configuración de la interfaz OSPF surta efecto.
• ID de instancia: Introduzca un número de ID de instancia OSPFv3.
• Pasivo: Seleccione la casilla de verificación si no desea que la interfaz
OSPF envíe o reciba paquetes OSPF. Aunque los paquetes OSPF no se
envían ni reciben, si selecciona esta opción, la interfaz se incluirá en la
base de datos de LSA.
• Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los
vecinos mediante la interfaz y poder descubrirlos automáticamente por
mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet.
Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben
definir manualmente. La definición manual de vecino solo se permite
en modo p2mp.
• Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535).
• Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255).
Es la prioridad del enrutador para ser el enrutador designado (DR) o de
reserva (BDR) según el protocolo OSPF. Si el valor es cero, el enrutador
no se designará como DR ni BDR.
• Perfil de autenticación: Seleccione un perfil de autenticación definido
previamente.
• Intervalo de saludo (segundos): Intervalo en el que el proceso de
OSPF envía paquetes de saludo a sus vecinos directamente conectados.
Intervalo: 0-3600 segundos. Valor predeterminado:
10 segundos.
• Recuentos fallidos: Número de ocasiones en las que se puede producir
el intervalo de saludo para un vecino sin que OSPF reciba un paquete
de saludo desde el vecino, antes de que OSPF considere que ese vecino
tiene un fallo. En intervalo de saludo multiplicado por los recuentos
fallidos es igual al valor del temporizador de temporizador de fallos.
Intervalo: 3-20. Valor predeterminado: 4.
• Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para
recibir un anuncio de estado de enlace (LSA) de un vecino antes de que
el OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos.
• Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de
enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor predeterminado: 1 segundo.
178 • Configuración de red
Palo Alto Networks
Tabla 100. Configuración del enrutador virtual - Pestaña Áreas (Continuación)
Campo
Descripción
Interfaz (Continuación)
• Retraso de saludo de reinicio correcto (segundos): Se aplica a una
interfaz de OSPF cuando se configura la alta disponibilidad activa/
pasiva. Retraso de saludo de reinicio correcto es el tiempo durante el
cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de
1 segundo. Durante este tiempo no se envían paquetes de saludo desde
el cortafuegos de reinicio. Durante el reinicio, el temporizador de fallos
(que es el intervalo de saludo multiplicado por los recuentos fallidos)
también avanza. Si el temporizador de fallos es demasiado corto, la
adyacencia bajará durante el reinicio correcto a causa del retraso de
saludo. Por lo tanto, se recomienda que el temporizador de fallos sea al
menos cuatro veces el valor del retraso de saludo de reinicio correcto.
Por ejemplo, un intervalo de saludo de 10 segundos y un valor de
recuentos fallidos de 4 da como resultado un valor de temporizador de
fallos de 40 segundos. Si el retraso de saludo de reinicio correcto se
establece en 10 segundos, ese retraso de 10 segundos de los paquetes de
saludo se enmarca cómodamente dentro del temporizador de fallos de
40 segundos, de forma que la adyacencia no agotará su tiempo de
espera durante un reinicio correcto. Intervalo: 1-10 segundos. Valor
predeterminado: 10 segundos.
• Vecinos: En interfaces p2pmp, introduzca la dirección IP de todos los
vecinos accesibles mediante esta interfaz.
Enlaces virtuales
Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal. Los ajustes se deben definir para enrutadores de
borde de área y se deben definir en el área troncal (0.0.0.0). Haga clic en
Añadir e introduzca la siguiente información en enlace virtual que se
incluirá en el área troncal y haga clic en ACEPTAR.
• Nombre: Introduzca un nombre para el vínculo virtual.
• ID de instancia: Introduzca un número de ID de instancia OSPFv3.
• ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del
enlace virtual.
• Área de tránsito: Introduzca el ID del área de tránsito que contiene
físicamente al enlace virtual.
• Habilitar: Seleccione para habilitar el enlace virtual.
• Sincronización: Es recomendable que mantenga sincronizada su
configuración temporal predefinida.
• Perfil de autenticación: Seleccione un perfil de autenticación definido
previamente.
Palo Alto Networks
Configuración de red • 179
Configuración de la pestaña Perfiles de autenticación
Red > Enrutador virtual > OSPFv3 > Perfiles de autenticación
La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación.
Tabla 101. Configuración de OSPFv3 – Pestaña Perfiles de autenticación
Campo
Descripción
Perfiles de autenticación
Nombre de perfil
Introduzca un nombre para el perfil de autenticación. Para autenticar
mensajes OSPF, primero defina los perfiles de autenticación y a
continuación, aplíquelos a las interfaces en la pestaña OSPF.
SPI
Especifique el índice de parámetros de seguridad (SPI) para los paquetes
transversales desde el cortafuegos remoto hasta el peer.
Protocolo
Especifique uno de los siguientes protocolos:
• ESP: Protocolo de carga de seguridad encapsulada.
• AH: Protocolo del encabezado de autenticación
Algoritmo criptográfico
Especifique una de las siguientes opciones:
• Ninguno: No se utilizará ningún algoritmo criptográfico.
• SHA1: Algoritmo de hash seguro 1.
• SHA256: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de
hash con un resumen de 256 bits.
• SHA384: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de
hash con un resumen de 384 bits.
• SHA512: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de
hash con un resumen de 512 bits.
• MD5: Algoritmo de resumen de mensaje de MD5.
Clave/Confirmar clave
Introduzca y confirme una clave de autenticación.
Cifrado
Especifica una de las siguientes opciones:
• aes128: Se aplica el estándar de cifrado avanzado (AES) usando las
claves criptográficas de 128 bits.
• aes192: Se aplica el estándar de cifrado avanzado (AES) usando las
claves criptográficas de 192 bits.
• aes256: Se aplica el estándar de cifrado avanzado (AES) usando las
claves criptográficas de 256 bits.
• nulo: No se utiliza ningún cifrado.
No está disponible si no se ha seleccionado el protocolo AH.
Clave/Confirmar clave
180 • Configuración de red
Introduzca y confirme una clave de cifrado.
Palo Alto Networks
Configuración de la pestaña Reglas de exportación
Red > Enrutador virtual > OSPF > Reglas de exportación
La tabla siguiente describe los ajustes de la pestaña Reglas de exportación.
Tabla 102. Configuración de OSPF – Pestaña Perfiles de autenticación
Campo
Descripción
Reglas de exportación
Permitir redistribución
de ruta predeterminada
Seleccione la casilla de verificación para permitir la redistribución de las
rutas predeterminadas mediante OSPF.
Nombre
Seleccione el nombre del perfil de redistribución. El valor debe ser una
subred IP o un nombre de perfil de redistribución válido.
Nuevo tipo de ruta
Seleccione el tipo de métrica que se aplicará.
Nueva etiqueta
Especifique una etiqueta para la ruta que tenga un valor de 32 bits.
Métrica
Especifique la métrica de ruta asociada con la ruta exportada que se
utilizará para seleccionar la ruta (opcional, intervalo 1-65535).
Configuración de la pestaña Avanzado
Red > Enrutador virtual > OSPF > Avanzado
La tabla siguiente describe los ajustes de la pestaña Avanzado.
Tabla 103. Configuración de OSPF – Pestaña Avanzado
Campo
Descripción
Avanzado
Deshabilitar enrutamiento de tránsito para
el cálculo de SPF
Seleccione esta casilla de verificación si desea establecer el R-bit en los
LSA del enrutador enviados desde este dispositivo para indicar que el
enrutador no está activo. Cuando está en este estado, el dispositivo
participa en OSPFv3 pero ningún otro enrutador envía tráfico de tránsito.
En este estado, el tráfico local seguirá reenviándose al dispositivo. Es útil
cuando se realiza mantenimiento con una red de dos bases porque el
tráfico se puede volver a enrutar en el dispositivo mientras este siga
siendo accesible.
Temporizadores
• Retraso de cálculo SPF (seg): Esta opción es un temporizador que le
permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. Los valores menores
permiten una reconvergencia OSPF más rápida. Los enrutadores que
se emparejan con el cortafuegos se deben configurar de manera similar
para optimizar los tiempos de convergencia.
• Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en
RFC 2328. Los valores más bajos se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios en la tipología.
Palo Alto Networks
Configuración de red • 181
Tabla 103. Configuración de OSPF – Pestaña Avanzado (Continuación)
Campo
Descripción
Reinicio correcto
• Habilitar reinicio correcto: Habilitado de forma predeterminada; un
cortafuegos que tenga esta función activada indicará a los enrutadores
vecinos que continúen usándolo como ruta cuando tenga lugar una
transición que lo desactive temporalmente.
• Habilitar modo auxiliar: Habilitado de forma predeterminada; un
cortafuegos que tenga este modo activado continuará reenviando a
un dispositivo adyacente durante el reinicio del dispositivo.
• Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada; esta función hace que el cortafuegos que tenga habilitado el
modo auxiliar de OSPF salga de este modo si se produce un cambio
de topología.
• Periodo de gracia (seg): Periodo de tiempo en segundos que los
dispositivos peer deben continuar reenviando a las adyacencias de
este mientras se están restableciendo o el enrutador se está reiniciando.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 120 segundos.
• Máx. de hora de reinicio del mismo nivel: Periodo de gracia máximo
en segundos que el cortafuegos aceptará como enrutador de modo
auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo
en su LSA de gracia, el cortafuegos no entrará en modo auxiliar.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 140 segundos.
Configuración de la pestaña BGP
Red > Enrutador virtual > BGP
La configuración del protocolo de puerta de enlace de borde (BGP) requiere que se
establezcan los siguientes ajustes:
Tabla 104. Configuración de enrutador virtual - Pestaña BGP
Campo
Descripción
Habilitar
Seleccione la casilla de verificación para activar funciones de BGP.
ID del enrutador
Introduzca la dirección IP para asignarla al enrutador virtual.
Número AS
Introduzca el número AS al que pertenece el enrutador virtual, en función
del ID del enrutador (intervalo 1-4294967295).
Además, se deben configurar ajustes en las siguientes pestañas:
•
Pestaña General: Consulte “Configuración de la pestaña General”.
•
Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”.
•
Pestaña Grupo del peer: Consulte “Configuración de la pestaña Grupo del peer”.
•
Pestaña Importar: Consulte “Configuración de las pestañas Importar y Exportar”.
•
Pestaña Exportar: Consulte “Configuración de las pestañas Importar y Exportar”.
•
Pestaña Anuncio condicional: Consulte “Configuración de la pestaña Anuncio
condicional”.
182 • Configuración de red
Palo Alto Networks
•
Pestaña Agregado: Consulte “Configuración de la pestaña Anuncio condicional”.
•
Pestaña Reglas de redistr.: Consulte “Configuración de la pestaña Reglas de distr.”.
Configuración de la pestaña General
Red > Enrutador virtual > BGP > General
La tabla siguiente describe los ajustes de la pestaña General.
Tabla 105. Configuración de BGP – Pestaña General
Campo
Descripción
Pestaña General
Rechazar ruta por
defecto
Seleccione la casilla de verificación para ignorar todas las rutas
predeterminadas anunciadas por peers BGP.
Instalar ruta
Seleccione la casilla de verificación para instalar rutas BGP en la tabla
de enrutamiento global.
Agregar MED
Seleccione esta opción para activar la agregación de rutas incluso si las
rutas tienen valores diferentes de discriminador de salida múltiple (MED).
Preferencia local
predeterminada
Especifica un valor que se puede asignar para determinar preferencias
entre diferentes rutas.
Formato AS
Seleccione el formato de 2 (predefinido) o 4 bytes. Este ajuste es
configurable por motivos de interoperabilidad.
Comparar siempre MED
Permite comparar MED para rutas de vecinos en diferentes sistemas
autónomos.
Comparación determinista de MED
Active la comparación MED para elegir entre rutas anunciadas por peers
IBGP (peers BGP en el mismo sistema autónomo).
Perfiles de autenticación
Haga clic en Añadir para incluir un nuevo perfil de autenticación y
configurar los siguientes ajustes:
• Nombre del perfil: Introduzca un nombre para identificar el perfil.
• Secreto/Confirmar secreto: Introduzca y confirme la contraseña para
comunicaciones de peer BGP.
Haga clic en el icono
Palo Alto Networks
para eliminar un perfil.
Configuración de red • 183
Configuración de la pestaña Avanzado
Red > Enrutador virtual > BGP > Avanzado
La tabla siguiente describe los ajustes de la pestaña Avanzado:
Tabla 106. Configuración de BGP – Pestaña Avanzado
Campo
Descripción
Pestaña Avanzada
Reinicio correcto
Active la opción de reinicio correcto.
• Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede
permanecer inhabilitada (intervalo 1-3600 segundos; opción predefinida 120 segundos).
• Hora de reinicio local: Especifique el tiempo que el dispositivo local
tarda en reiniciar. Este valor se le comunica a los peers (intervalo 1-3600
segundos; opción predefinida 120 segundos).
• Máx. de hora de reinicio del peer: Especifique el tiempo máximo que
el dispositivo local acepta como período de gracia para reiniciar los
dispositivos peer (intervalo 1-3600 segundos; opción predefinida
120 segundos).
ID de clúster reflector
Especifique un identificador IPv4 para representar el clúster reflector.
AS de miembro de
confederación
Especifique el identificador de la confederación AS que se presentará
como un AS único a los peers BGP externos.
Perfiles de amortiguación
Entre los parámetros se incluyen:
• Nombre del perfil: Introduzca un nombre para identificar el perfil.
• Habilitar: activa el perfil.
• Corte: Especifique un umbral retirada de ruta por encima del cual, se
suprime un anuncio de ruta (intervalo 0,0-1000,0; opción predefinida 1,25).
• Reutilizar: Especifique un umbral de retirada de ruta por debajo del
cual una ruta suprimida se vuelve a utilizar (intervalo 0,0-1000,0; opción
predeterminada 5).
• Máx. de tiempo de espera: Especifique el tiempo máximo durante el
que una ruta se puede suprimir, con independencia de su inestabilidad
(intervalo 0-3600 segundos; opción predeterminada 900 segundos).
• Media vida de disminución alcanzable: Especifique el tiempo después
del cual la métrica de estabilidad de una ruta se divide entre dos si la
ruta se considera alcanzable (intervalo 0-3600 segundos; opción predefinida 300 segundos).
• Media vida de disminución no alcanzable: Especifique el tiempo
después del cual la métrica de estabilidad de una ruta se divide entre
dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos;
opción predefinida 300 segundos).
Haga clic en el icono
184 • Configuración de red
para eliminar un perfil.
Palo Alto Networks
Configuración de la pestaña Grupo del peer
Red > Enrutador virtual > BGP > Grupo del peer
La tabla siguiente describe los ajustes de la pestaña Grupo del peer.
Tabla 107. Configuración de BGP – Pestaña Grupo del peer
Campo
Descripción
Pestaña Grupo del peer
Nombre
Introduzca un nombre para identificar el peer.
Habilitar
Seleccione para activar el peer.
Agregar ruta AS
confederada
Seleccione la casilla de verificación para incluir una ruta a la AS de
confederación agregada configurada.
Restablecimiento parcial
con información
almacenada
Seleccione la casilla de verificación para ejecutar un restablecimiento
parcial del cortafuegos después de actualizar los ajustes de peer.
Tipo
Especifique el tipo o grupo de peer y configure los ajustes asociados
(consulte la tabla siguiente para ver las descripciones de Importar
siguiente salto y Exportar siguiente salto).
• IBGP: Especifique lo siguiente:
– Exportar siguiente salto
• EBGP confederado: Especifique lo siguiente;
– Exportar siguiente salto
• IBGP confederado: Especifique lo siguiente:
– Exportar siguiente salto
• EBGP: Especifique lo siguiente:
– Importar siguiente salto
– Exportar siguiente salto
– Eliminar AS privado (seleccione si desea forzar que BGP elimine
números AS privados).
Importar siguiente salto
Seleccione una opción para importar el siguiente salto:
• original: Utilice la dirección del salto siguiente en el anuncio de la ruta
original.
• uso-peer: Utilice la dirección IP del peer como la dirección del salto
siguiente.
Exportar siguiente salto
Seleccione una opción para exportar el siguiente salto:
• resolver: Resuelve la dirección del siguiente salto mediante la tabla de
reenvío local.
• usar mismas: Sustituya la dirección del siguiente salto con la dirección
de esta dirección IP del enrutador para garantizar que estará en la ruta
de reenvío.
Palo Alto Networks
Configuración de red • 185
Tabla 107. Configuración de BGP – Pestaña Grupo del peer (Continuación)
Campo
Descripción
Peer
Para agregar un nuevo peer, haga clic en Nuevo y configure los siguientes
ajustes:
• Nombre: Introduzca un nombre para identificar el peer.
• Habilitar: Seleccione para activar el peer.
• As del peer: Especifique el AS del peer.
• Dirección local: Seleccione una interfaz de cortafuegos y una dirección
IP local.
• Opciones de conexión: Especifique las siguientes opciones:
– Perfil de autenticación: Seleccione el perfil.
– Intervalo entre mensajes de mantenimiento de conexión: Especifique un intervalo después del cual las rutas de un peer se supriman
según el parámetro de tiempo de espera (intervalo 0-1200 segundos;
opción predeterminada: 30 segundos).
– Salto múltiple: Defina el valor del tiempo de vida (TTL) en el
encabezado IP (intervalo 1-255; opción predefinida 0). El valor
predeterminado 0 significa 2 para eBGP y 255 para iBGP.
– Abrir tiempo de retraso: Especifique el tiempo de retraso entre la
apertura de la conexión TCP del peer y el envío del primer mensaje
abierto de BGP (intervalo 0-240 segundos; opción predeterminada:
0 segundos).
– Tiempo de espera: Especifique el período de tiempo que puede
transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un
peer antes de cerrar la conexión del peer. (rango: 3-3600 segundos;
valor predeterminado: 90 segundos)
– Tiempo de espera de inactividad: Especifique el tiempo de espera
en estado de inactividad antes de volver a intentar la conexión
con el peer (intervalo 1-3600 segundos; opción predeterminada:
15 segundos).
• Dirección del peer: Especifique la dirección IP y el puerto del peer.
• Opciones avanzadas: Configure los siguientes ajustes:
– Cliente reflector: Seleccione el tipo de cliente reflector (No cliente,
Cliente o Cliente en malla). Las rutas que se reciben de los clientes
reflector se comparten con todos los peers BGP internos y externos.
– Tipo del peer: Especifique un peer bilateral o déjelo sin especificar.
– Máx. de prefijos: Especifique el número máximo de prefijos de IP
compatibles (1 - 100000 o ilimitado).
• Conexiones entrantes/Conexiones salientes: Especifique los números
de puertos entrantes y salientes y seleccione la casilla de verificación
Permitir para permitir el tráfico desde o hacia estos puertos.
186 • Configuración de red
Palo Alto Networks
Configuración de las pestañas Importar y Exportar
Red > Enrutador virtual > BGP > Importar
Red > Enrutador virtual > BGP > Exportar
La tabla siguiente describe los ajustes de la pestaña Importar y Exportar.
Tabla 108. Configuración de BGP – Pestañas Importar y Exportar
Campo
Descripción
Pestañas Importar reglas/Exportar reglas
Importar reglas/
Exportar reglas
Haga clic en la pestaña secundaria de BGP Importar reglas o Exportar
reglas. Para agregar una nueva regla, haga clic en Añadir y configure los
siguientes ajustes:
• Pestaña secundaria General:
– Nombre: Especifique un nombre para identificar la regla.
– Habilitar: Seleccione para activar la regla.
– Utilizada por: Seleccione los grupos de peer que utilizarán esta regla.
• Pestaña secundaria Coincidencia:
– Expresión regular de ruta AS: Especifique una expresión regular
para el filtrado de rutas AS.
– Expresión regular de la comunidad: Especifique una expresión
regular para el filtrado de cadenas de comunidad.
– Expresión regular de comunidad extendida: Especifique una
expresión regular para el filtrado de cadenas de comunidad
extendidas.
– Prefijo de dirección: Especifique direcciones o prefijos IP para el
filtrado de rutas.
– MED: Especifique un valor de MED para el filtrado de rutas.
– Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
– Del peer: Especifique los enrutadores del peer para el filtrado de
la ruta.
• Pestaña secundaria Acción:
– Acción: Especifique una acción (Permitir o Denegar) que se realizará
cuando se cumplan las condiciones especificadas.
– Preferencia local: Especifique un valor de preferencia local únicamente si la acción es Permitir.
– MED: Especifique un valor de MED, únicamente si la acción es
Permitir (0- 65535).
– Peso: Especifique un valor de de peso, únicamente si la acción es
Permitir. (0- 65535).
– Siguiente salto: Especifique un enrutador de siguiente salto,
únicamente si la acción es Permitir.
– Origen: Especifique el tipo de la ruta original: IGP, EGP o incompleta,
únicamente si la acción es Permitir.
– Límite de ruta AS: Especifique un límite de ruta AS, únicamente si la
acción es Permitir.
– Ruta AS: Especifique una ruta AS: Ninguna, Eliminar, Preceder,
Eliminar y preceder, únicamente si la acción es Permitir.
Palo Alto Networks
Configuración de red • 187
Tabla 108. Configuración de BGP – Pestañas Importar y Exportar (Continuación)
Campo
Importar reglas/
Exportar reglas
(Continuación)
Descripción
– Comunidad: Especifique una opción de comunidad: Ninguna,
Eliminar todo, Eliminar Regex, Anexar o Sobrescribir, únicamente
si la acción es Permitir.
– Comunidad extendida: Especifique una opción de comunidad:
Ninguna, Eliminar todo, Eliminar Regex, Anexar o Sobrescribir,
únicamente si la acción es Permitir.
Amortiguación: Especifique un parámetro de amortiguación, únicamente
si la acción es Permitir.Haga clic en el icono
para eliminar un grupo.
Haga clic en Duplicar para añadir un nuevo grupo con los mismos ajustes
que el grupo seleccionado. Se añade un sufijo al nombre del nuevo grupo
para distinguirlo del original.
Configuración de la pestaña Anuncio condicional
Red > Enrutador virtual > BGP > Anuncio condicional
La tabla siguiente describe los ajustes de la pestaña Anuncio condicional.
Tabla 109. Configuración de BGP – Pestañas Anuncio condicional
Campo
Descripción
Pestaña Anuncio
condicional
La función de anuncio condicional BGP permite controlar la ruta que
se anunciará en caso de que no exista ninguna ruta diferente en la tabla
de enrutamiento BGP local (LocRIB), indicando un fallo de peering o
alcance. Esta función es muy útil si desea probar y forzar rutas de un
AS a otro, por ejemplo, si tiene enlaces a Internet con varios ISP y desea
enrutar el tráfico a un único proveedor, en lugar de a los otros, salvo que
se produzca una pérdida de conectividad con el proveedor preferido. Con
la función de anuncio condicional, puede configurar un filtro no existente
que busque el prefijo de la ruta preferida. Si se encuentra alguna ruta
coincidente con el filtro no existente en la tabla de enrutamiento BGP
local, solo entonces el dispositivo permitirá el anuncio de la ruta alternativa (la ruta al otro proveedor no preferido) tal y como se especifica en
su filtro de anuncio. Para configurar el anuncio condicional, seleccione la
pestaña Anuncio condicional y haga clic en Añadir. A continuación se
describe cómo se configuran los valores en los campos.
Política
Especifique el nombre de la política para esta regla de anuncio
condicional.
Habilitar
Seleccione la casilla de verificación para activar el anuncio condicional
de BGP.
Utilizado por
Haga clic en Añadir y seleccione los grupos de peer que utilizarán esta
política de anuncio condicional.
188 • Configuración de red
Palo Alto Networks
Tabla 109. Configuración de BGP – Pestañas Anuncio condicional (Continuación)
Campo
Descripción
Pestaña secundaria
Filtros no existentes
Utilice esta pestaña para especificar el prefijo de la ruta preferida.
Especifica la ruta que desea anunciar, si está disponible en la tabla de
ruta de BGP local. Si un prefijo se va a anunciar y coincide con un filtro no
existente, el anuncio se suprimirá.
Haga clic en Añadir para crear un filtro no existente.
• Filtros no existentes: Especifique un nombre para identificar este filtro.
• Habilitar: Seleccione para activar el filtro.
• Expresión regular de ruta AS: Especifique una expresión regular para
el filtrado de rutas AS.
• Expresión regular de la comunidad: Especifique una expresión regular
para el filtrado de cadenas de comunidad.
• Expresión regular de comunidad extendida: Especifique una expresión
regular para el filtrado de cadenas de comunidad extendidas.
• MED: Especifique un valor de MED para el filtrado de rutas.
• Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI
exacto de la ruta preferida.
• Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
• Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.
Pestaña secundaria
Anunciar filtros
Utilice esta pestaña para especificar el prefijo de la ruta de la tabla de
enrutamiento Local-RIB que se debería anunciar en caso de que la ruta del
filtro no existente no esté disponible en la tabla de enrutamiento local.
Si un prefijo se va a anunciar y no coincide con un filtro no existente, el
anuncio se producirá.
Haga clic en Añadir para crear un filtro de anuncio.
• Anunciar filtros: Especifique un nombre para identificar este filtro.
• Habilitar: Seleccione para activar el filtro.
• Expresión regular de ruta AS: Especifique una expresión regular para
el filtrado de rutas AS.
• Expresión regular de la comunidad: Especifique una expresión regular
para el filtrado de cadenas de comunidad.
• Expresión regular de comunidad extendida: Especifique una expresión
regular para el filtrado de cadenas de comunidad extendidas.
• MED: Especifique un valor de MED para el filtrado de rutas.
• Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI
exacto para anunciar la ruta si la ruta preferida no está disponible.
• Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
• Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.
Palo Alto Networks
Configuración de red • 189
Configuración de la pestaña Agregado
Red > Enrutador virtual > BGP > Agregado
La tabla siguiente describe los ajustes de la pestaña Agregado:
Tabla 110. Configuración de BGP – Pestaña Agregado
Campo
Descripción
Pestaña Agregado
Nombre
Introduzca un nombre para la configuración de agregación.
Suprimir filtros
Defina los atributos que harán que las rutas coincidentes se supriman.
Anunciar filtros
Defina los atributos para los filtros anunciados que asegurarán que
cualquier enrutador que coincida con el filtro definido se publicará en
los peers.
Agregar atributos
de ruta
Defina los atributos que se utilizarán para hacer coincidir las rutas que
se agregarán.
Configuración de la pestaña Reglas de distr.
Red > Enrutador virtual > BGP > Reglas de distr.
En la siguiente tabla se describe la configuración de la pestaña Reglas de redistr.:
Tabla 111. Configuración de BGP – Reglas de distr.
Campo
Descripción
Pestaña Reglas de redistr.
Nombre
Seleccione el nombre del perfil de redistribución.
Permitir redistribución
de ruta predeterminada
Seleccione la casilla de verificación para permitir que el cortafuegos
redistribuya su ruta predefinida a los peers BGP.
Reglas de redistr.
Para agregar una nueva regla, haga clic en Añadir, configure los
siguientes ajustes y haga clic en Listo. Los parámetros de esta tabla
se han descrito anteriormente en las pestañas Importar reglas y
Exportar reglas.
Haga clic en el icono
190 • Configuración de red
para eliminar una regla.
Palo Alto Networks
Configuración de la pestaña Multicast
Red > Enrutador virtual > Multicast
La configuración de protocolos de multicast necesita que se configuren los siguientes ajustes
estándar:
Tabla 112. Configuración de enrutador virtual - Pestaña Multicast
Campo
Descripción
Habilitar
Seleccione la casilla de verificación para activar el enrutamiento multicast.
Además, se deben configurar ajustes en las siguientes pestañas:
•
Pestaña Punto de encuentro: Consulte “Configuración de la pestaña Espacio de dirección
específico de origen”.
•
Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”.
•
Pestaña Umbral SPT: Consulte “Configuración de la pestaña Umbral SPT”.
•
Pestaña Espacio de dirección específico de origen: Consulte “Configuración de la
pestaña Espacio de dirección específico de origen”.
Palo Alto Networks
Configuración de red • 191
Configuración de la pestaña Espacio de dirección específico de origen
Red > Enrutador virtual > Multicast > Punto de encuentro
La tabla siguiente describe los ajustes de la pestaña Punto de encuentro:
Tabla 113. Configuración de multicast – Pestaña Punto de encuentro
Campo
Descripción
Pestaña secundaria Punto de encuentro
Tipo de RP
Seleccione el tipo de Punto de encuentro (RP) que se ejecutará en este
enrutador virtual. Se debe configurar un RP estático de forma explícita en
otros enrutadores PIM, mientras que se elige automáticamente un RP
candidato.
• Ninguno: Seleccione esta opción si no hay ningún RP ejecutándose en
este enrutador virtual.
• Estático: Especifique una dirección IP estática para el RP y seleccione las
opciones de Interfaz de RP y Dirección de RP en las listas desplegables.
Active la casilla de verificación Cancelar RP obtenido para el mismo
grupo si desea utilizar el RP especificado del RP elegido para este grupo.
• Candidato:: Especifique la siguiente información para el candidato del
RP que se ejecuta en este enrutador virtual:
– Interfaz de RP: Seleccione una interfaz para el RP. Los tipos de
interfaz válidos incluyen loopback, L3, VLAN, Ethernet agregada y
túnel.
– Dirección de RP: Seleccione una dirección IP para el RP.
– Prioridad: Especifique una prioridad para los mensajes de RP
candidato (opción predefinida 192).
– Intervalo de anuncio: Especifique un intervalo entre anuncios para
mensajes RP candidatos.
• Lista de grupos: Si selecciona Estático o Candidato, haga clic en Añadir
para especificar una lista de grupos en los que este RP candidato se
propone para ser el RP.
Punto de encuentro
remoto
Haga clic en Añadir y especifique la siguiente información:
• Dirección IP: Especifique la dirección IP del RP.
• Cancelar RP obtenido para el mismo grupo: Active esta casilla de
verificación si desea utilizar el RP especificado del RP elegido para
este grupo.
• Grupo: Especifique una lista de grupos en los que la dirección especificada actuará como RP.
192 • Configuración de red
Palo Alto Networks
Configuración de la pestaña Interfaces
Red > Enrutador virtual > Multicast > Interfaces
En la siguiente tabla se describe la configuración de la pestaña Interfaces:
Tabla 114. Configuración de multicast – Pestaña Interfaces
Campo
Descripción
Pestaña secundaria Interfaces
Nombre
Introduzca un nombre para identificar un grupo de interfaces.
Descripción
Introduzca una descripción opcional.
Interfaz
Haga clic en Añadir para especificar una o más interfaces de cortafuegos.
Permisos de grupos
Especifique las reglas generales para el tráfico de multicast:
• Cualquier fuente: Haga clic en Añadir para especificar una lista de
grupos de multicast para los que se permite el tráfico PIM-SM.
• Origen específico: Haga clic en Añadir para especificar una lista de
grupos de multicast y pares de origen de multicast para los que se
permite el tráfico PIM-SSM.
IGMP
Especifique reglas para el tráfico IGMP. IGMP se debe activar para el host
del lado de las interfaces (enrutador IGMP) o para interfaces de host
proxy IGMP.
• Habilitar: Active la casilla de verificación para activar la configuración
IGMP.
• Versión IGMP: Seleccione la versión 1, 2 o 3 que se ejecutará en la
interfaz.
• Aplicar opción de IP de enrutador-alerta: Seleccione la casilla de
verificación para solicitar la opción IP de alerta de enrutador cuando
se comunique mediante IGMPv2 o IGMPv3. Esta opción se debe
deshabilitar para su compatibilidad con IGMPv1.
• Potencia: Seleccione un valor entero para las cuentas de pérdida de
paquete en una red (intervalo 1-7; opción predefinida 2). Si la pérdida
del paquete es común, seleccione un valor mayor.
• Máx. de fuentes: Especifique la cantidad máxima de pertenencias
específicas de origen permitido en esta interfaz (0 = ilimitado).
• Máx. de grupos: Especifique la cantidad máxima de grupos permitidos
en esta interfaz.
• Configuración de consultas: Especifique lo siguiente:
– Intervalo de consulta: Especifique el intervalo al que se enviarán las
consultas generales a todos los hosts.
– Máx. de tiempo de respuesta de consulta: Especifique el tiempo
máximo entre una consulta general y una respuesta de un host.
– Último intervalo de consulta de miembro: Especifique el intervalo
entre los mensajes de consulta entre grupos o de origen específico
(incluyendo los enviados en respuesta a los mensajes salientes
del grupo).
– Salida inmediata: Active la casilla de verificación para salir del
grupo inmediatamente cuando reciba un mensaje de salida.
Palo Alto Networks
Configuración de red • 193
Tabla 114. Configuración de multicast – Pestaña Interfaces (Continuación)
Campo
Descripción
Configuración PIM
Especifique los siguientes ajustes de multicast independiente de
protocolo (PIM):
• Habilitar: Seleccione la casilla de verificación para permitir que esta
interfaz reciba y/o reenvíe mensajes PIM
• Imponer intervalo: Especifique el intervalo entre mensajes de imposición
de PIM.
• Intervalo de saludo: Especifique el intervalo entre mensajes de saludo
de PIM.
• Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de
unión y poda de PIM (segundos). El valor predeterminado es 60.
• Prioridad de DR: Especifique la prioridad del enrutador que se ha
designado para esta interfaz
• Borde de BSR: Active la casilla de verificación para utilizar la interfaz
como borde de arranque.
• Vecinos PIM: Haga clic en Añadir para especificar la lista de vecinos
que se comunicarán mediante PIM.
Configuración de la pestaña Umbral SPT
Red > Enrutador virtual > Multicast > Umbral SPT
La tabla siguiente describe los ajustes de la pestaña Umbral SPT.
Tabla 115. Configuración de multicast – Pestaña Umbral SPT
Campo
Descripción
Pestaña secundaria Umbral SPT
Nombre
El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en
kbps) a la que el enrutamiento multicast cambiará desde la distribución
del árbol compartido (con origen en el punto de encuentro) a la
distribución del árbol de origen.
Haga clic en Añadir para especificar los siguientes ajustes de SPT:
• Grupo/prefijo de multicast: Especifique la dirección/prefijo IP para
el que SPT se cambiará a la distribución del árbol de origen cuando el
rendimiento alcance los umbrales deseados (kbps).
• Umbral: Especifique el rendimiento al que se cambiará desde la distribución del árbol compartido a la distribución del árbol de origen.
194 • Configuración de red
Palo Alto Networks
Configuración de la pestaña Espacio de dirección específico de origen
Red > Enrutador virtual > Multicast > Espacio de dirección específico de origen
La tabla siguiente describe los ajustes de la pestaña Espacio de dirección específico de origen.
Tabla 116. Configuración de multicast – Pestaña Espacio de dirección específico
de origen
Campo
Descripción
Pestaña secundaria Espacio de dirección específico de origen
Nombre
Define los grupos de multicast a los que el cortafuegos proporcionará
servicios de multicast de origen específico (SSM).
Haga clic en Añadir para especificar los siguientes ajustes de direcciones
de origen específico:
• Nombre: Introduzca un nombre para identificar este grupo de ajustes.
• Grupo: Especifique los grupos del espacio de dirección SSM.
• Incluido: Active esta casilla de verificación para incluir los grupos
especificados en el espacio de dirección SSM.
Definición de zonas de seguridad
Red > Zonas
Para que la interfaz de un cortafuegos pueda procesar el tráfico, se debe asignar a una zona
de seguridad. Para definir zonas de seguridad, haga clic en Nueva y especifique la siguiente
información:
Tabla 117. Configuración de zona de seguridad
Campo
Descripción
Nombre
Introduzca un nombre de una zona (hasta 15 caracteres). Este nombre
aparece en la lista de zonas cuando se definen políticas de seguridad y
se configuran interfaces. El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, puntos, guiones y guiones bajos.
Ubicación
Este campo solo aparece si el dispositivo admite varios sistemas virtuales
(vsys) y esa función está activada. Seleccione el vsys que se aplicará a
esta zona.
Tipo
Seleccione un tipo de zona (Capa 2, Capa 3, Cable virtual, Tap, o sistema
virtual externo) para enumerar todas las interfaces de ese tipo que no
tengan una zona asignada. Los tipos de zona de capa 2 y capa 3 enumeran
todas las interfaces y subinterfaces Ethernet de ese tipo. El tipo de sistema
virtual externo es para comunicaciones entre los sistemas virtuales del
cortafuegos.
Cada interfaz puede pertenecer a una zona en un sistema virtual.
Perfiles de protección
de zonas
Palo Alto Networks
Seleccione un perfil que especifique cómo responde la puerta de enlace
de seguridad a los ataques en esta zona. Para añadir nuevos perfiles,
consulte “Definición de perfiles de protección de zonas”.
Configuración de red • 195
Tabla 117. Configuración de zona de seguridad (Continuación)
Campo
Descripción
Ajuste de log
Seleccione un perfil para reenviar logs de protección de zonas a un
sistema externo.
Si tiene un perfil de reenvío de logs denominado predeterminado, este se
seleccionará automáticamente para este campo cuando defina una nueva
zona de seguridad. Puede cancelar esta configuración predeterminada en
cualquier momento seleccionado un perfil de reenvío de logs diferente
cuando establezca una nueva zona de seguridad. Para definir o añadir
un nuevo perfil de reenvío de logs (y para denominar a un perfil
predeterminado y que este campo se rellene automáticamente), haga clic
en Nuevo (consulte “Reenvío de logs”).
Habilitar identificación
de usuarios
Habilite la función de identificación de usuarios por zonas.
ACL de identificación
de usuarios
Lista de permitidos
Introduzca la dirección IP o la dirección IP/máscara de un usuario o
grupo para su identificación (por ejemplo, 10.1.1.1/24). Haga clic en
Añadir. Repita el procedimiento las veces que sea necesario. Si no se ha
configurado una lista de permitidos, se permiten todas las direcciones IP.
ACL de identificación
de usuarios
Lista de excluidos
Introduzca la dirección IP o la dirección IP/máscara de un usuario
o grupo que no debe ser identificado explícitamente (por ejemplo,
10.1.1.1/24). Haga clic en Añadir. Repita el procedimiento las veces que
sea necesario. Si no se ha configurado una lista de excluidos, se permiten
todas las direcciones IP.
Compatibilidad de VLAN
Red > VLAN
El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802.1Q. Cada una de las
interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. La misma
VLAN se puede asignar a varias interfaces de capa 2, pero cada interfaz solo puede pertenecer
a una VLAN.
Tabla 118. Configuración de VLAN
Campo
Descripción
Nombre
Introduzca un nombre de VLAN (de hasta 31 caracteres). Este nombre
aparece en la lista de redes VLAN cuando se configuran interfaces.
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Interfaz de VLAN
Seleccione una interfaz VLAN para permitir enrutar el tráfico fuera de la
VLAN. Para definir una interfaz VLAN, consulte “Configuración de una
interfaz VLAN”.
Interfaces
Especifique interfaces del cortafuegos para VLAN.
Configuración de MAC
estática
Especifique la interfaz mediante la que una dirección MAC es alcanzable.
Sustituye a todas las asignaciones obtenidas de interfaz a MAC.
196 • Configuración de red
Palo Alto Networks
Servidor y retransmisión DHCP
Red > DHCP
Se puede configurar una interfaz en el cortafuegos como servidor DHCP o como agente de
retransmisión DHCP. Un servidor DHCP en una interfaz Ethernet de capa 2, Ethernet de
agregación o VLAN de capa 3 puede asignar direcciones IP y proporcionar opciones de DHCP
a los clientes. Se admiten varios servidores DHCP. Las solicitudes de los clientes se pueden
reenviar a todos los servidores, con la primera respuesta del servidor devuelta al cliente.
La tabla enumera los campos de las pestañas Servidor DHCP y Retransmisión DHCP.
Tabla 119. Configuración de DHCP
Campo
Descripción
Pestaña servidor DHCP
Interfaz
Seleccione la interfaz del cortafuegos para que actúe como servidor DHCP.
Modo
Especifique si desea que el servidor de DHCP se active o desactive o
seleccione el modo automático, que activará el servidor DHCP, pero que
lo desactivará si otro servidor de DHCP se detecta en la red.
Hacer ping a la IP al
asignar IP nuevas
Seleccione la casilla de verificación para que el servidor DHCP envíe un
mensaje ping cuando se asigne una dirección IP a un cliente. Si el ping
recibe una respuesta, significará que ya hay un dispositivo diferente
con esa dirección, por lo que no está disponible para su asignación.
El servidor DHCP asigna la siguiente dirección desde el grupo.
Concesión
Duración que el servidor DHCP asigna a una dirección IP para un cliente.
Seleccione Ilimitado o seleccione Tiempo de espera e introduzca la
duración de la concesión en días, horas y, de forma optativa, minutos.
Por ejemplo, si solo introduce horas la concesión se restringe a ese
número de horas.
Origen de herencia
Seleccione una interfaz de cliente DHCP de origen o una interfaz de
cliente PPPoE para propagar distintos ajustes de servidor en el servidor
de DHCP. Si especifica un origen de herencia, seleccione una o varias
opciones que desee como heredadas desde este origen. El servidor puede
heredar direcciones de servidor DNS, WINS, NIS, NTP, POP3 y SMTP, y
un sufijo DNS.
Puerta de enlace
Introduzca la dirección IP de la puerta de enlace de red que se utiliza para
acceder a cualquier dispositivo que no esté en la misma LAN que este
servidor DHCP.
Subred de Ippool
Introduzca la máscara de red (formato x.x.x.x) que se aplica a las
direcciones del campo Grupos de IP.
DNS principal
Seleccione como heredada o introduzca la dirección IP del servidor del
sistema de nombre de dominio (DNS) que prefiera.
DNS secundario
Seleccione como heredada o introduzca la dirección IP del servidor DNS
alternativo.
WINS principal
Seleccione como heredada o introduzca la dirección IP del servidor del
servicio de nomenclatura de Internet de Windows (DNS) que prefiera.
WINS secundario
Seleccione como heredada o introduzca la dirección IP del servidor WINS
alternativo.
Palo Alto Networks
Configuración de red • 197
Tabla 119. Configuración de DHCP (Continuación)
Campo
Descripción
NIS principal
Seleccione como heredada o introduzca la dirección IP del servidor del
servicio de información de red (NIS) que prefiera.
NIS secundario
Seleccione como heredada o introduzca la dirección IP del servidor NIS
alternativo.
NTP principal
Seleccione como heredada o introduzca la dirección IP del protocolo de
tiempo de red primario (NTP) que prefiera. Si especifica un servidor NTP
primario y uno secundario, el cortafuegos los utilizará indistintamente.
NTP secundario
Seleccione como heredada o introduzca la dirección IP del servidor NTP
secundario.
Servidor POP3
Seleccione como heredada o introduzca la dirección IP del servidor del
Protocolo de oficina de correo (POP3) .
Servidor SMTP
Seleccione como heredada o introduzca la dirección IP del Protocolo
simple de transferencia de correo (SMTP).
Sufijo DNS
Seleccione como heredada o introduzca un sufijo que el cliente pueda
utilizar localmente cuando se introduzca un nombre de host sin
restricciones que no pueda resolver.
Grupos de IP
Haga clic en Añadir y especifique el intervalo de direcciones IP que este
servidor puede asignar a los clientes y al que se aplica esta configuración
de DHCP. Puede introducir una IP y una máscara de subred (por ejemplo,
192.168.1.0/24) o un intervalo de direcciones IP (por ejemplo,
192.168.1.10-192.168.1.20).
Se necesita al menos un grupo de IP; puede introducir varios grupos de
IP. Para editar una entrada existente, haga clic en Editar, realice los
cambios necesarios y, a continuación, haga clic en Listo. Para eliminar
una entrada, haga clic en Eliminar.
Dirección reservada
Especifique una dirección IP (formato x.x.x.x) desde los grupos de IP que
no quiera que asigne dinámicamente el servidor DHCP a un cliente.
De forma opcional, introduzca la dirección MAC (formato
xx:xx:xx:xx:xx:xx) del dispositivo al que desea asignar de forma
permanente la dirección reservada. Cuando el cliente que tiene esa
dirección MACenvía una solicitud al servidor, el servidor asignará la
dirección reservada al cliente.
Puede introducir varias direcciones reservadas y direcciones MAC.
Para editar una entrada existente, haga clic en Editar, realice los cambios
necesarios y, a continuación, haga clic en Listo. Para eliminar una
entrada, haga clic en Eliminar.
Si deja esta área en blanco, no se reservarán direcciones IP.
Pestaña Retransmisión DHCP
Interfaz
Seleccione la interfaz del cortafuegos para que actúe como agente de
retransmisión DHCP.
IPv4
Active la casilla de verificación IPv4 para utilizar direcciones IPv4 para
retransmisiones DHCP y especifique direcciones IPv4 para hasta cuatro
servidores DHCP.
IPv6
Active la casilla de verificación IPv6 para utilizar direcciones IPv6 para
retransmisiones DHCP y especifique direcciones IPv6 para hasta cuatro
servidores DHCP. Especifique una interfaz de salida si utiliza una
dirección de multicast IPv6 para su servidor.
198 • Configuración de red
Palo Alto Networks
Proxy DNS
Red > Proxy DNS
En el caso de todas las consultas DNS que se dirigen a una dirección IP de interfaz, el
cortafuegos admite la dirección selectiva de consultas a diferentes servidores DNS en función
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envían mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un único paquete UDP.
Si el nombre de dominio no es encuentra en la caché proxy de DNS, el nombre de dominio se
busca según la configuración de las entradas e el objeto proxy DNS específico (en la interfaz
en la que se recibe la consulta DNS) y se reenvía a un servidor de nombres en función de
los resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. También se admiten entradas estáticas y caché.
Tabla 120. Configuración de Proxy DNS
Campo
Descripción
Nombre
Especifique un nombre para identificar el proxy DNS (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
Habilitar
Seleccione la casilla de verificación para activar proxy DNS.
Origen de herencia
Seleccione un origen para heredar las configuraciones del servidor DNS
predefinido. Se suele utilizar en implementaciones de sucursales, en las
que a la interfaz WAN del cortafuegos se accede mediante DHCP o PPPoE.
Principal
Especifique las direcciones IP de los servidores DNS primario y
secundario. Si el servidor DNS primario no se encuentra, se utilizará el
secundario.
Secundario
Comprobar origen
de herencia
Haga clic en el enlace para ver la configuración del servidor asignada
actualmente a las interfaces del cliente DHCP y PPoE. Pueden incluir
DNS, WINS, NTP, POP3, SMTP o sufijo DNS.
Interfaz
Active las casillas de verificación Interfaz para especificar las interfaces
del cortafuegos que admiten las reglas de proxy DNS. Seleccione una
interfaz de la lista desplegable y haga clic en Añadir. Puede añadir
varias interfaces. Para eliminar una interfaz, selecciónela y haga clic
en Eliminar.
Palo Alto Networks
Configuración de red • 199
Tabla 120. Configuración de Proxy DNS (Continuación)
Campo
Descripción
Reglas de proxy DNS
Identifique reglas del servidor proxy DNS. Haga clic en Añadir y
especifique la siguiente información:
• Nombre: Se requiere un nombre para poder designar la entrada estática
y modificar mediante CLI.
• Activar el almacenamiento en caché de dominios resueltos por esta
asignación: Active esta casilla de verificación para activar el almacenamiento en caché de dominios resueltos por esta asignación.
• Nombre de dominio: Haga clic en Añadir e introduzca el nombre
de dominio del servidor proxy. Repita esta acción para añadir más
nombres. Para eliminar un nombre, selecciónelo y haga clic en
Eliminar. En el caso de una regla de proxy DNS, el número de testigos
en una cadena comodín debe coincidir con el número de testigos en el
dominio solicitado. Por ejemplo, “*.ingeniería.local” no coincidirá con
“ingeniería.local”. Se deben especificar ambos.
• Principal/Secundario: Introduzca el nombre de host o la dirección IP de
los servidores DNS principal y secundario.
Entradas estáticas
Proporcione un FQDN estático a las asignaciones de dirección IP que
se distribuirán en respuesta a consultas DNS realizadas por los hosts.
Haga clic en Añadir y especifique la siguiente información:
• Nombre: Introduzca un nombre para la entrada estática.
• FQDN: Introduzca el nombre de dominio completo (FQDN) que se
asignará a las direcciones IP estáticas definidas en el campo Dirección.
• Dirección: Haga clic en Añadir e introduzca las direcciones IP que se
asignan a este dominio.
Repita esta acción para añadir más direcciones. Para eliminar una
dirección, selecciónela y haga clic en Eliminar.
Avanzado
Especifique la siguiente información:
• Caché: Seleccione la casilla de verificación para activar el almacenamiento DNS y especifique la siguiente información:
– Tamaño: Especifique el número de entradas que retendrá la caché
(intervalo 1024-10240; opción predefinida 1024).
– Tiempo de espera: Especifique la duración (horas) después de la
que se eliminarán todas las entradas. Los valores de tiempo de vida
DNS se utilizan para eliminar las entradas de caché cuando se han
almacenado durante menos tiempo que el período configurado. Tras
el tiempo de espera, las nuevas solicitudes se deben resolver y volver
a guardar en la caché (intervalo 4 a 24, opción predefinida 4 horas).
• Consultas TCP: Seleccione la casilla de verificación para activar las
consultas DNS utilizando DNS y especifique la siguiente información:
– Máx. de solicitudes pendientes: Especifique el límite superior del
número de solicitudes DNS sTCP pendientes simultáneas que
admitirá el cortafuegos (intervalo 64-256, opción predefinida 64).
200 • Configuración de red
Palo Alto Networks
Tabla 120. Configuración de Proxy DNS (Continuación)
Campo
Descripción
Avanzado
(Continuación)
• Reintentos de consultas de UDP: Especifique los ajustes de reintentos
de consultas UDP:
– Intervalo: Especifique el tiempo en segundos después del cual se
enviará otra solicitud si no se ha recibido respuesta (intervalo 1-30,
opción predefinida 2 segundos).
– Intentos: Especifique el número máximo de intentos (sin incluir el
primer intento) después de los cuales se intentará el siguiente
servidor DNS (intervalo 1-30, opción predefinida 5).
Definición de perfiles de gestión de interfaz
Red > Perfiles de red > Gestión de interfaz
Utilice esta página para especificar los protocolos que se utilizan para gestionar el cortafuegos.
Para asignar perfiles de gestión a cada interfaz, consulte “Configuración de una interfaz
Ethernet de capa 3” y “Configuración de una subinterfaz Ethernet de capa 3”.
Tabla 121. Configuración del Perfil de gestión de interfaz
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de gestión de interfaz cuando se configuran
interfaces. El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
Ping
Active la casilla de verificación de cada servicio para activarlo en las
interfaces donde se aplique el perfil.
Telnet
SSH
HTTP
OCSP de HTTP
HTTPS
SNMP
Páginas de respuesta
Servicio de ID de
usuario
Direcciones IP
permitidas
Palo Alto Networks
La casilla de verificación Páginas de respuesta controla si los puertos
utilizados como páginas de respuesta de portal cautivo y filtrado URL
se abren con interfaces de capa 3. Los puertos 6080 y 6081 se mantienen
abiertos si se activa este ajuste.
La opción Servicio de ID de usuario es necesaria para permitir la
comunicación entre cortafuegos si un cortafuegos actúa como un punto
de redistribución para proporcionar información de asignación de
usuarios a otros cortafuegos de PAN-OS. Consulte “Pestaña Agentes de
ID de usuarios”.
Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la
gestión de cortafuegos.
Configuración de red • 201
Definición de perfiles de supervisión
Red > Perfiles de red > Supervisar
Un perfil de supervisor se utiliza para supervisar las reglas de reenvío basado en políticas
(PFB) de túneles de IPSec y dispositivos de siguiente salto. En ambos casos, el perfil de
supervisión se utiliza para especificar la medida que se adoptará cuando un recurso (túnel
de IPSec o dispositivo de siguiente salto) no esté disponible. Los perfiles de supervisión son
opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para
garantizar el cumplimiento de las reglas PBF. Los siguientes ajustes se utilizan para configurar
un perfil de supervisión.
Tabla 122.
Configuración de supervisión
Campo
Descripción
Nombre
Introduzca un nombre para identificar el perfil de supervisión (de hasta
31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas
y debe ser exclusivo. Utilice únicamente letras, números, espacios,
guiones y guiones bajos.
Acción
Especifique la acción que se realizará si el túnel no está disponible. Si el
número de umbral de latidos se pierde, el cortafuegos realiza la acción
especificada.
• Esperar recuperación: Espera a que el túnel se recupere, no realiza
ninguna acción adicional. Los paquetes continuarán enviándose de
acuerdo con la regla PBF.
• Conmutación por error: El tráfico cambiará a una ruta de seguridad,
si existe una disponible. El cortafuegos utiliza la búsqueda de tabla de
enrutamiento para determinar el enrutamiento durante la sesión.
En ambos casos, el cortafuegos intentará negociar nuevas claves de IPSec
para acelerar la recuperación.
Intervalo
Especifique el tiempo entre latidos (intervalo 2-10; opción predefinida 3).
Umbral
Especifique el número de latidos que se perderán antes de que el
cortafuegos realice la acción especificada (intervalo 2-100; opción
predefinida 5).
Definición de perfiles de protección de zonas
Red > Perfiles de red > Protección de zona
Un perfil de protección de zona ofrece protección frente a las inundaciones más comunes,
ataques de reconocimiento y otros ataques basados en paquetes. Está diseñado para proporcionar una protección amplia en la zona de entrada (p. ej. la zona donde el tráfico entra al
cortafuegos) y no están diseñados para proteger un host de extremo específico o el tráfico que
vaya a una zona de destino particular. Para aumentar las capacidades de protección de zona
en el cortafuegos, utilice la base de reglas de protección DoS para la coincidencia con una zona
específica, interfaz, dirección IP o usuario.
Nota: La protección de zona solo se aplica cuando no hay ninguna coincidencia de sesión para el paquete.
Si el paquete coincide con una sesión existente, sorteará el ajuste de protección de zona.
202 • Configuración de red
Palo Alto Networks
Para configurar un perfil Protección de zona, haga clic en Añadir y especifique los siguientes
ajustes:
Tabla 123. Configuración de Perfil de protección de zonas
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de protección de zonas cuando se
configuran zonas. El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios y guiones bajos.
Descripción
Introduzca una descripción opcional para el perfil de protección de zonas.
Cuando se define un perfil Protección de zona, debe configurar los ajustes en la pestaña
General y en cualquiera de las siguientes pestañas, según sea necesario según su topología
de red:
•
Pestaña Protección contra inundaciones: Consulte “Configuración de la protección
contra inundaciones”.
•
Pestaña Protección de reconocimiento: Consulte “Configuración de la protección de
reconocimiento”.
•
Pestaña Protección de ataque basada en paquetes: Consulte “Configuración de la
protección de ataque basada en paquetes”.
Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente:
• Zonas externas para permitir la comunicación entre sistemas virtuales
• Puertas de enlace compartidas para permitir que los sistemas virtuales
compartan una interfaz común y una dirección IP para las comunicaciones
externas.
Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la
zona externa:
• Cookies SYN
• Fragmentación de IP
• ICMPv6
Para permitir la fragmentación de IP y la protección de ICMPv6 debe crear un perfil
de protección de zona distinto para la puerta de enlace compartida.
Para activar la protección frente a inundaciones SYN en una puerta de enlace
compartida puede aplicar un perfil de protección de inundación SYN con descarte
aleatorio temprano o cookies SYN; en una zona externa solo está disponible el
descarte aleatorio temprano para la protección frente a inundación SYN
Palo Alto Networks
Configuración de red • 203
Configuración de la protección contra inundaciones
Red > Perfiles de red > Protección de zona > Protección contra inundaciones
La tabla siguiente describe los ajustes de la pestaña Protección contra inundaciones.
Tabla 124. Configuración de la pestaña Protección contra inundaciones
Campo
Descripción
Umbrales de protección contra inundaciones: Inundación SYN
Acción
Seleccione la acción que se adoptará en respuesta a un ataque de
inundación SYN.
• Descarte aleatorio temprano: Permite descartar paquetes SYN para
mitigar un ataque de inundación:
– Si el flujo supera el umbral de tasa de alerta, se genera una alarma.
– Si el flujo supera el umbral de tasa de activación, se descartan
paquetes SYN individuales de forma aleatoria para reducir el flujo.
– Si el flujo supera el umbral de tasa de máxima, se descartan todos los
paquetes.
• Cookies SYN: Calcula un número de secuencia de paquetes SYN-ACK
que no requieren almacenar las conexiones pendientes en memoria. Es
el método preferido.
Alerta (paquetes/seg.)
Introduzca el número de paquetes SYN recibidos por la zona (en un
segundo) que genera una alarma de ataque. Las alarmas se pueden en
el panel (consulte “Uso del panel”) y en el log de amenazas (consulte
“Realización de capturas de paquetes”).
Activar (paquetes/seg.)
Introduzca el número de paquetes SYN recibidos por la zona (en un
segundo) que genera la acción especificada.
Máximo (paquetes/seg.)
Introduzca el número máximo de paquetes SYN que se pueden recibir
por segundo. Cualquier número de paquetes que supere el máximo se
descartará.
Umbrales de protección contra inundaciones: Inundación ICMP
Alerta (paquetes/seg.)
Introduzca el número de solicitudes de eco ICMP (pings) recibidos por
segundo que genera una alarma de ataque.
Activar (paquetes/seg.)
Introduzca el número de paquetes ICMP recibidos por la zona (en un
segundo) que causa que se descarten los siguientes paquetes ICMP.
Máximo (paquetes/seg.)
Introduzca el número máximo de paquetes ICMP que se pueden recibir
por segundo. Cualquier número de paquetes que supere el máximo se
descartará.
Umbrales de protección contra inundaciones: ICMPv6
Alerta (paquetes/seg.)
Introduzca el número de solicitudes de eco ICMPv6 (pings) recibidos por
segundo que genera una alarma de ataque.
Activar (paquetes/seg.)
Introduzca el número de paquetes ICMPv6 recibidos por segundo en
la zona que causa que se descarten los siguientes paquetes ICMPv6.
La medición se detiene cuando el número de paquetes ICMPv6 es inferior
al umbral.
Máximo (paquetes/seg.)
Introduzca el número máximo de paquetes ICMPv6 que se pueden recibir
por segundo. Cualquier número de paquetes que supere el máximo se
descartará.
204 • Configuración de red
Palo Alto Networks
Tabla 124. Configuración de la pestaña Protección contra inundaciones (Continuación)
Campo
Descripción
Umbrales de protección contra inundaciones: UDP
Alerta (paquetes/seg.)
Introduzca el número de paquetes UDP recibidos por la zona (en un
segundo) que genera una alarma de ataque.
Alerta (paquetes/seg.)
Introduzca el número de paquetes UDP recibidos por la zona (en un
segundo) que genera el descarte aleatorio de paquetes UDP. La respuesta
se desactiva si el número de paquetes UDP es inferior al umbral.
Máximo (paquetes/seg.)
Introduzca el número máximo de paquetes UDP que se pueden recibir
por segundo. Cualquier número de paquetes que supere el máximo se
descartará.
Umbrales de protección contra inundaciones: Otras IP
Alerta (paquetes/seg.)
Introduzca el número de paquetes IP recibidos por la zona (en un segundo)
que genera una alarma de ataque.
Activar (paquetes/seg.)
Introduzca el número de paquetes IP recibidos por la zona (en un
segundo) que genera el descarte aleatorio de paquetes IP. La respuesta
se desactiva si el número de paquetes IP es inferior al umbral. Cualquier
número de paquetes que supere el máximo se descartará.
Máximo (paquetes/seg.)
Introduzca el número máximo de paquetes IP que se pueden recibir
por segundo. Cualquier número de paquetes que supere el máximo
se descartará.
Configuración de la protección de reconocimiento
Red > Perfiles de red > Protección de zona > Protección de reconocimiento
La tabla siguiente describe los ajustes de la pestaña Protección de reconocimiento.
Tabla 125. Configuración de la pestaña Protección de reconocimiento
Campo
Descripción
Protección de reconocimiento: Examen de puerto TCP, Examen de puerto de UDP,
Limpieza de host
Intervalo (seg)
Introduzca el intervalo de tiempo para la detección de exámenes puerto y
limpieza de host (segundos).
Umbral (eventos)
Introduzca el número de puertos explorados en el intervalo de tiempo
especificado que activarán este tipo de protección (eventos).
Acción
Introduzca la acción que el sistema adoptará como respuesta a este tipo
de evento:
• Permitir: Permite la exploración de puerto de reconocimiento de
limpieza de host.
• Alerta: Genera una alerta para cada exploración o limpieza que coincida
con el umbral del intervalo de tiempo especificado.
• Bloquear: Descarta todos los paquetes enviados desde el origen al
destino durante el resto del intervalo de tiempo especificado.
• Bloquear IP: Descarta el resto de paquetes durante un período de
tiempo especificado. Seleccione si se bloqueará el tráfico de origen,
destino, o el de origen y destino, e introduzca la duración (segundos).
Palo Alto Networks
Configuración de red • 205
Tabla 125. Configuración de la pestaña Protección de reconocimiento (Continuación)
Campo
Descripción
IPv6 Colocar paquetes con
Encabezado de
enrutamiento tipo 0
Active la casilla de verificación para colocar los paquetes de IPv6 que
incluirán un encabezado de enrutador de tipo 0.
Dirección compatible
de IPv4
Active la casilla de verificación para colocar los paquetes IPv6 que
incluyan una dirección compatible con IPv4.
Dirección de origen de
multicast
Active la casilla de verificación para colocar los paquetes IPv6 que
incluyan una dirección de origen de multicast.
Dirección de fuente de
difusión por proximidad
Active la casilla de verificación para colocar los paquetes IPv6 que
incluyan una dirección de fuente de difusión por proximidad.
Configuración de la protección de ataque basada en paquetes
Red > Perfiles de red > Protección de zona > Protección de ataque basada en paquetes
Las siguientes pestañas se utilizan para la configuración de la protección de ataque basada
en paquetes:
•
Colocar TCP/IP: Consulte “Configuración de la pestaña Colocar TCP/IP”.
•
Colocación de ICMP: Consulte “Configuración de la pestaña Colocación de ICMP”.
•
Colocación de IPv6: Consulte “”.
•
ICMPv6: Consulte “Configuración de la pestaña Colocación de IPv6”.
Configuración de la pestaña Colocar TCP/IP
Para configurar Colocar TCP/IP, especifique los siguientes ajustes:
Tabla 126. Configuración de la pestaña Protección de ataque basada en paquetes
Campo
Descripción
Pestaña secundaria Colocar TCP/IP
Dirección IP de réplica
Active la casilla de verificación para activar la protección contra
replicación de dirección IP.
Tráfico fragmentado
Descarta los paquetes IP fragmentados.
Segmento TCP
superpuesto no
coincidente
Este ajuste hará que el cortafuegos informe sobre una falta de coincidencia
de superposición y coloque el paquete cuando los datos de segmento no
coincidan en estas situaciones:
• El segmento está dentro de otro segmento.
• El segmento está superpuesto a parte de otro segmento.
• El segmento cubre otro segmento.
Este mecanismo de protección utiliza números de secuencia para
determinar el lugar donde residen los paquetes dentro del flujo de
datos TCP.
Eliminar marca de
tiempo de TCP
206 • Configuración de red
Determina si el paquete tiene una marca de tiempo de TCP en el
encabezado y, si es así, la elimina.
Palo Alto Networks
Tabla 126. Configuración de la pestaña Protección de ataque basada en paquetes (ContiCampo
Descripción
Rechazar TCP sin SYN
Determina si el paquete se rechazará, si el primer paquete de la
configuración de sesión TCP no es un paquete SYN:
• Global: Utilice el ajuste del sistema asignado mediante CLI.
• Sí: Rechaza TCP sin SYN.
• No: Acepta TCP sin SYN. Tenga en cuenta que permitir el tráfico que no
es de sincronización de TCP puede impedir que las políticas de bloqueo
de archivos funcionen de la forma esperada en aquellos casos en los que
no se establece la conexión del cliente o servidor después de que se
produzca el bloqueo.
Ruta asimétrica
Determine si los paquetes que contienen números de secuencia fuera del
umbral o ACK de fallo de sincronización se descartarán o se derivarán:
• Global: Utilice el ajuste del sistema asignado mediante CLI.
• Colocar: Descarte los paquetes que contienen una ruta asimétrica.
• Derivar: Derive los paquetes que contienen una ruta asimétrica.
Descartar opciones IP
Enrutamiento de fuente
estricto
Descarta paquetes con la opción de IP de enrutamiento de origen estricto
activada.
Enrutamiento de origen
no estricto
Descarta paquetes con la opción de IP de enrutamiento de origen no
estricto activada.
Marca de tiempo
Descarta paquetes con la opción de marca de tiempo activada.
Ruta de log
Descarta paquetes con la opción de ruta de log activada.
Seguridad
Descarta paquetes con la opción de seguridad activada.
ID de secuencia
Descarta paquetes con la opción de ID de secuencia activada.
Desconocido
Descarta paquetes si no se conoce la clase ni el número.
Forma incorrecta
Descarta paquetes si tienen combinaciones incorrectas de clase, número y
longitud basadas en RFC 791, 1108, 1393 y 2113.
Palo Alto Networks
Configuración de red • 207
Configuración de la pestaña Colocación de ICMP
Para configurar Colocación de ICMP, especifique los siguientes ajustes:
Tabla 127. Configuración de la pestaña Colocación de ICMP
Campo
Descripción
Pestaña secundaria Colocación de ICMP
ID de 0 de ping de ICMP
Descarta paquetes si el paquete de ping de ICMP tiene un identificador
con el valor de 0.
Fragmento de ICMP
Descarta paquetes formados con fragmentos ICMP.
Paquete de ICMP de
gran tamaño (>1024)
Descarta paquetes ICMP con un tamaño mayor de 1024 bytes.
Suprimir error caducado
ICMP TTL
Detiene el envío de mensajes caducados ICMP TTL.
Suprimir fragmento de
ICMP necesario
Detiene el envío de mensajes necesarios por la fragmentación ICMP en
respuesta a paquetes que exceden la interfaz MTU y tienen el bit no
fragmentar (DF) activado. Este ajuste interfiere el proceso PMTUD que
ejecutan los hosts tras el cortafuegos.
Configuración de la pestaña Colocación de IPv6
Para configurar Colocación de IPv6, especifique los siguientes ajustes:
Tabla 128. Configuración de la pestaña Colocación de IPv6
Campo
Descripción
Pestaña secundaria ICMPv6
Destino ICMPv6 no
alcanzable: requiere
regla de seguridad
explícita
Requiere una búsqueda de política de seguridad explícita para errores de
destinos ICMPv6 no alcanzables incluso con una sesión existente.
Paquete de ICMPv6
demasiado grande:
requiere coincidencia
explícita de regla de
seguridad
Requiere una búsqueda de política de seguridad explícita para errores de
paquetes ICMPv6 demasiado grandes incluso con una sesión existente.
Tiempo superado de
ICMPv6: requiere
coincidencia explícita
de regla de seguridad
Requiere una búsqueda de política de seguridad explícita para errores de
tiempo de ICMPv6 superado incluso con una sesión existente.
Problema de parámetro
de ICMPv6: requiere
coincidencia explícita
de regla de seguridad
Requiere una búsqueda de política de seguridad explícita para errores de
problema de parámetro de ICMPv6 incluso con una sesión existente.
Redirección de ICMPv6:
requiere coincidencia
explícita de regla de
seguridad
Requiere una búsqueda de política de seguridad explícita para errores de
redireccionamiento de ICMPv6 incluso con una sesión existente.
208 • Configuración de red
Palo Alto Networks
Configuración de la pestaña Colocación de IPv6
Para configurar Colocación de IPv6, especifique los siguientes ajustes:
Tabla 129. Configuración de la pestaña Colocación de IPv6
Campo
Descripción
Pestaña secundaria
ICMPv6
Destino ICMPv6 no
alcanzable: requiere
regla de seguridad
explícita
Requiere una búsqueda de política de seguridad explícita para errores de
destinos ICMPv6 no alcanzables incluso con una sesión existente.
Paquete de ICMPv6
demasiado grande:
requiere coincidencia
explícita de regla de
seguridad
Requiere una búsqueda de política de seguridad explícita para errores de
paquetes ICMPv6 demasiado grandes incluso con una sesión existente.
Tiempo superado de
ICMPv6: requiere
coincidencia explícita
de regla de seguridad
Requiere una búsqueda de política de seguridad explícita para errores de
tiempo de ICMPv6 superado incluso con una sesión existente.
Problema de parámetro
de ICMPv6: requiere
coincidencia explícita
de regla de seguridad
Requiere una búsqueda de política de seguridad explícita para errores de
problema de parámetro de ICMPv6 incluso con una sesión existente.
Redirección de ICMPv6:
requiere coincidencia
explícita de regla de
seguridad
Requiere una búsqueda de política de seguridad explícita para errores de
redireccionamiento de ICMPv6 incluso con una sesión existente.
Palo Alto Networks
Configuración de red • 209
210 • Configuración de red
Palo Alto Networks
Capítulo 5
Políticas y perfiles de seguridad
Esta sección describe cómo configurar políticas y perfiles de seguridad:
•
“Tipos de políticas”
•
“Directrices de definición de políticas”
•
“Perfiles de seguridad”
•
“Otros objetos de las políticas”
Tipos de políticas
Las políticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y
tomando las medidas necesarias de forma automática. Se admiten los siguientes tipos de
políticas:
•
Políticas básicas de seguridad para bloquear o permitir una sesión de red basada en
la aplicación, las zonas y direcciones de origen y destino y, opcionalmente, el servicio
(puerto y protocolo). Las zonas identifican interfaces físicas o lógicas que envían o reciben
tráfico. Consulte “Definición de políticas de seguridad”.
•
Políticas de traducción de dirección de red (NAT) para traducir direcciones y puertos,
según sea necesario. Consulte “Definición de políticas de traducción de dirección de red”.
•
Políticas de reenvío basado en políticas para determinar la interfaz de salida (egress)
utilizada después del procesamiento. Consulte “Políticas de reenvío basado en políticas”.
•
Políticas de descifrado para especificar el descifrado del tráfico de las políticas de
seguridad. Cada una de las políticas puede especificar las categorías de las URL del
tráfico que desea descifrar. El descifrado SSH se utiliza para identificar y controlar los
túneles SSH, así como el acceso SSH (Secure Shell). Consulte “Políticas de descifrado”.
•
Políticas de cancelación para anular las definiciones de la aplicación proporcionadas por
el cortafuegos. Consulte “Definición de políticas de application override”.
•
Políticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el
tráfico para su tratamiento, cuando pasa por una interfaz con QoS activado. Consulte
“Definición de políticas de QoS”.
Palo Alto Networks
Políticas y perfiles de seguridad • 211
•
Políticas de portal cautivo para solicitar la autenticación de los usuarios no identificados.
Consulte “Definición de políticas de portal cautivo”.
•
Políticas de denegación de servicio (DoS) para proteger de ataques DoS y tomar las
medidas de protección en respuesta que coincidan con las reglas. Consulte “Definición de
políticas DoS”.
Las políticas compartidas introducidas en Panorama se muestran en color verde
en las páginas de la interfaz web del cortafuegos y no se pueden editar a nivel de
dispositivo.
Directrices de definición de políticas
Las siguientes directrices específicas son aplicables cuando interactúa con las páginas de la
pestaña Políticas:
•
Las reglas predeterminadas que indican al cortafuegos cómo gestionar el tráfico que no
coincida con ninguna otra regla en la base de reglas se muestran en la parte inferior de la
base de reglas de seguridad. Estas reglas se predefinen en el cortafuegos para permitir
todo el tráfico de intrazona y denegar todo el tráfico de interzona. Como son parte de
la configuración predefinida, debe cancelarlas con el fin de editar la configuración de
políticas seleccionada. Si usa Panorama, también puede cancelar las reglas predeterminadas y, a continuación, enviarlas a los cortafuegos de un grupo de dispositivos o
contexto compartido. También puede revertir las reglas predeterminadas, lo que
restaura la configuración predefinida o la configuración enviada a Panorama.
•
Para aplicar un filtro a la lista, selecciónelo de la lista desplegable Reglas de filtro.
Para añadir un valor que defina un filtro, haga clic en la flecha hacia abajo del elemento
y seleccione Filtro. Observe que las reglas predeterminadas no son parte del filtro de la
base de reglas y siempre aparecen en la lista de reglas filtradas.
•
Para ver información sobre grupos de aplicaciones, filtros o sobre el contenedor cuando
cree o visualice políticas de seguridad, PBF o QoS, coloque el ratón sobre el objeto en la
columna Aplicación, haga clic en la flecha hacia abajo y seleccione Valor. De esta forma
podrá ver fácilmente miembros de la aplicación directamente desde la política, sin tener
que desplazarse a las pestañas de objetos.
•
Para añadir una nueva regla de política, realice una de las siguientes acciones:
– Haga clic en Añadir en la parte inferior de la página.
– Seleccione una regla en la que basar este nueva regla y haga clic en Duplicar regla o
bien, seleccione una regla haciendo clic en el espacio en blanco, y seleccione Duplicar
regla en la parte inferior de la página (una regla seleccionada tiene el fondo de color
amarillo). La regla copiada, “regla n” se inserta debajo de la regla seleccionada, donde
n es el siguiente número entero disponible que hace que el nombre de la regla sea único.
212 • Políticas y perfiles de seguridad
Palo Alto Networks
•
El orden en que aparecen las reglas es el mismo orden en que las reglas se comparan con
el tráfico de red. Puede cambiar el orden de una regla de una de las siguientes maneras:
– Seleccione la regla y haga clic en Mover hacia arriba, Mover hacia abajo, Mover a la
parte superior o Mover a la parte inferior.
– Haga clic en la flecha hacia abajo del nombre de la regla y seleccione Mover. En la
ventana emergente, seleccione una regla y elija si moverá la regla que ha seleccionado,
para reordenar antes o después de esta regla.
•
Para habilitar una regla, selecciónela y haga clic en Habilitar.
•
Para mostrar las reglas que no se están utilizando actualmente, seleccione la casilla de
verificación Resaltar reglas no utilizadas.
Regla en uso
Regla no utilizada (fondo de puntos amarillos)
•
Para mostrar el log de la política, haga clic en la flecha hacia abajo del nombre de la regla
y seleccione Visor de log.
•
En algunas entradas puede visualizar el valor actual haciendo clic en la flecha hacia abajo
de la entrada, y seleccionando Valor. También puede editar, filtrar o eliminar algunos
elementos directamente desde el menú de la columna.
Palo Alto Networks
Políticas y perfiles de seguridad • 213
•
Si tiene un gran de políticas definidas, puede utilizar la barra de filtros para buscar
objetos que se utilicen en una política basada en el nombre del objeto o en la dirección IP.
La búsqueda también incluirá los objetos incrustados para buscar una dirección en un
objeto de dirección o en un grupo de direcciones. En la siguiente captura de pantalla, la
dirección IP 10.8.10.177 se ha introducido en la barra de filtros y se muestra la política
“aaa”. Esa política utiliza un objeto de grupo de dirección denominado “aaagroup”, que
contiene la dirección IP.
Barra de filtros
Resultados de filtros
•
Puede mostrar u ocultar columnas concretas en la vista de cualquiera de las páginas
de Políticas.
214 • Políticas y perfiles de seguridad
Palo Alto Networks
Especificación de usuarios y aplicaciones para las políticas
Políticas > Seguridad
Políticas > Descifrado
Puede restringir las políticas de seguridad que se deben aplicar a aplicaciones o usuarios
seleccionados haciendo clic en el enlace del usuario o aplicación en la página de reglas del
dispositivo Seguridad o Descifrado. Para obtener más información sobre cómo restringir las
reglas según la aplicación, consulte “Definición de aplicaciones”.
Para restringir una política a los usuarios/grupos seleccionados, realice los siguientes pasos:
1.
En la página de reglas del dispositivo Seguridad o Descifrado, haga clic en la pestaña
Usuario para abrir la ventana de selección.
Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de
usuarios no se muestra y deberá introducir la información del usuario manualmente.
2.
Haga clic en el menú desplegable situado encima de la tabla Usuario de origen para
seleccionar el tipo de usuario:
– Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario.
– Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante
GlobalProtect pero que no han iniciado sesión en su sistema. Cuando se configura la
opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect, cualquier
usuario que no esté registrado en su equipo en ese momento será identificado con el
nombre de usuario Anterior al inicio de sesión. Puede crear estas políticas para
usuarios anteriores al inicio de sesión y, aunque el usuario no haya iniciado sesión
directamente, sus equipos estarán autenticados en el dominio como si hubieran
iniciado sesión completamente.
– Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP
con datos de usuario asignados. Esta opción es equivalente al grupo “usuarios del
dominio” en un dominio.
– Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP
que no estén asignadas a un usuario. Por ejemplo, podría usar desconocido para
acceso de invitados a alguna parte porque tendrán una IP en su red, pero no se
autenticarán en el dominio y no tendrán ninguna IP en la información de asignación
de usuarios en el cortafuegos.
– Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede
que quiera añadir a un usuario, una lista de individuos, algunos grupos o añadir
usuarios manualmente.
3.
Para añadir grupos de usuarios, seleccione la casilla de verificación Grupos de usuarios
disponibles y haga clic en Añadir grupo de usuarios. También puede escribir el texto de
uno o más grupos y hacer clic en Añadir grupo de usuarios.
4.
Para añadir usuarios individuales, introduzca una cadena de búsqueda en el campo
Usuario y haga clic en Buscar. Puede seleccionar los usuarios y hacer clic en Añadir
usuario. También puede introducir los nombres de usuarios individuales en el área
Más usuarios.
5.
Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o
de descripción.
Palo Alto Networks
Políticas y perfiles de seguridad • 215
Definición de políticas en Panorama
Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada
en los dispositivos gestionados (o cortafuegos). Las políticas definidas en Panorama se crean
como reglas previas o reglas posteriores; las reglas previas y las reglas posteriores le permiten
implementar la política siguiendo un sistema de capas.
Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas
compartidas para todos los dispositivos gestionados o, en un grupo de dispositivos, como
específicas para un determinado grupo de dispositivos. Debido a que las reglas previas y
posteriores se definen en Panorama y, a continuación, se envían de Panorama a los dispositivos
gestionados, podrá ver las reglas en los cortafuegos gestionados, pero solo podrá editarlas
en Panorama.
•
Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se
evalúan en primer lugar. Puede utilizar las reglas previas para aplicar la política de uso
aceptable para una organización; por ejemplo, para bloquear el acceso a categorías de
URL específicas o permitir el tráfico DNS a todos los usuarios.
•
Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan
después de las reglas previas y de las reglas definidas localmente en el dispositivo. Las
reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID,
ID de usuario o servicio.
•
Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico
que no coincide con ninguna regla previa, regla posterior o regla local de un dispositivo.
Estas reglas son parte de la configuración predefinida de Panorama. Debe cancelarlas
para permitir la edición de determinados ajustes en ellas.
Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los
dispositivos gestionados. En cada base de reglas, la jerarquía de las mismas se marca
visualmente para cada grupo de dispositivos (y dispositivo gestionado), lo que permite
revisarlas entre un gran número de reglas.
Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y, opcionalmente,
elimine o deshabilite las reglas. Las reglas no utilizadas actualmente se muestran con un
fondo de puntos amarillos. Cada dispositivo mantiene una marca para las reglas que tienen
una coincidencia. Panorama supervisa cada dispositivo, obtiene y agrega la lista de reglas sin
coincidencia. Dado que la marca se restablece cuando se produce un restablecimiento del
plano de datos al reiniciar, la práctica recomendada es supervisar esta lista periódicamente
para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de
eliminarla o deshabilitarla.
Para crear políticas, consulte la sección relevante de cada base de reglas.
•
“Definición de políticas de seguridad”
•
“Definición de políticas de traducción de dirección de red”
•
“Definición de políticas de QoS”
•
“Políticas de reenvío basado en políticas”
•
“Políticas de descifrado”
•
“Definición de políticas de application override”
•
“Definición de políticas de portal cautivo”
•
“Definición de políticas DoS”
216 • Políticas y perfiles de seguridad
Palo Alto Networks
Definición de políticas de seguridad
Políticas > Seguridad
Use esta página para definir políticas de seguridad que determinarán si se bloqueará o
permitirá una nueva sesión de red en función de los atributos de tráfico, como la aplicación,
zonas de seguridad y direcciones de origen y destino, el servicio de aplicación (como HTTP) o
el usuario/grupo.
Las políticas de seguridad pueden ser tan generales o específicas como sea necesario.
Las reglas de política se comparan con el tráfico entrante en secuencia y al aplicar la primera
regla que coincida con el tráfico, las reglas más específicas deben anteceder a las reglas más
generales. Por ejemplo, una regla de una aplicación simple debe anteceder a una regla para
todas las aplicaciones si el resto de configuraciones de tráfico son las mismas.
Para el tráfico que no coincide con ninguna regla definida, se aplican las reglas predeterminadas. Las reglas predeterminadas (que aparecen en la parte inferior de la base de reglas de
seguridad) se predefinen para permitir todo el tráfico de intrazona (en la zona) y denegar el
tráfico interzona (entre zonas). Aunque estas reglas son parte de la configuración predefinida
y son de solo lectura de forma predeterminada, puede cancelarlas y cambiar un número
limitado de ajustes, incluidas las etiquetas, acción (permitir o denegar) configuración de log y
perfiles de seguridad. Si usa Panorama, también puede cancelar las reglas predeterminadas y,
a continuación, enviarlas a los cortafuegos gestionados como parte de un grupo de dispositivos o contexto compartido. En este caso, puede seguir cancelando estas reglas predeterminadas en el cortafuegos, de la misma forma a cómo puede cancelar ajustes enviados desde una
plantilla. Si desea volver a la configuración predefinida o a la configuración enviada desde
Panorama, puede revertir las reglas predeterminadas.
Para obtener información y directrices de configuración acerca de otros tipos de políticas,
consulte “Políticas y perfiles de seguridad”. Para obtener información sobre cómo definir
políticas en Panorama, consulte “Definición de políticas en Panorama”.
Haga clic en Añadir para definir una nueva regla, haga clic en Duplicar para copiar una regla
existente o haga clic en el nombre de una regla para editar una existente. Las tablas siguientes
describen los campos para añadir o editar una regla de seguridad:
•
“Pestaña General”
•
“Pestaña Origen”
•
“Pestaña Usuario”
•
“Pestaña Destino”
•
“Pestaña Aplicación”
•
“Pestaña Categoría de URL/servicio”
•
“Pestaña Acciones”
Palo Alto Networks
Políticas y perfiles de seguridad • 217
Pestaña General
Use la pestaña General para configurar un nombre y una descripción de la política de
seguridad. También puede configurar una pestaña para que le permita ordenar o filtrar
políticas cuando estas son muy numerosas.
Tabla 130. Configuración de políticas de seguridad (pestaña General)
Campo
Descripción
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones
bajos. Solo se requiere el nombre.
Tipo de regla
Especifica si la regla se aplica al tráfico en una zona, entre zonas o ambas.
• universal (predeterminado): aplica la regla a todo el tráfico coincidente
de interzona e intrazona en las zonas de origen y destino especificadas.
Por ejemplo, si crea una regla universal con las zonas de origen A y B y
las zonas de destino A y B, esta se aplicará a todo el tráfico dentro de la
zona A, a todo el tráfico de la zona B, a todo el tráfico que vaya de la zona
A a la B y a todo el tráfico de la zona B a la A.
• intrazona: aplica la regla a todo el tráfico coincidente dentro de las zonas
de origen especificadas (no puede especificar una zona de destino para
las reglas de intrazona). Por ejemplo, si establece la zona de origen en A y
B, la regla se aplicará a todo el tráfico dentro de la zona A y a todo el
tráfico dentro de la zona B, pero no al tráfico entre las zonas A y B.
• interzona: aplica la regla a todo el tráfico coincidente entre la zona de
origen especificada y las zonas de destino. Por ejemplo, si establece la
zona de origen en A, B, y C y la zona de destino en A y B, la regla se
aplicará al tráfico que va de la zona a A a la B, de la zona B a la A, de la
zona C a la A y de la zona C a la B, pero no al tráfico dentro de las zonas
A, B o C.
Descripción
Introduzca una descripción de la política (hasta 255 caracteres).
Etiqueta
Si necesita añadir una etiqueta a la política, haga clic en Añadir para
especificar la etiqueta.
Una etiqueta de política es una palabra clave o frase que le permite ordenar
o filtrar políticas. Es útil cuando ha definido muchas políticas y desea
revisar las que están etiquetadas con una palabra clave específica. Por
ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad con
Entrante en DMZ, políticas de descifrado con las palabras descifrado y sin
descifrado, o usar el nombre de un centro de datos específico para políticas
asociadas con esa ubicación.
También puede añadir etiquetas a las reglas predeterminadas.
218 • Políticas y perfiles de seguridad
Palo Alto Networks
Tabla 130. Configuración de políticas de seguridad (pestaña General) (Continuación)
Campo
Descripción
Otros ajustes
Especifique cualquier combinación de las siguientes opciones:
• Programación: Para limitar los días y horas en los que la regla está en
vigor, seleccione una programación de la lista desplegable. Para definir
nuevas programaciones, haga clic en Nueva (consulte “Programaciones”).
• Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en
paquetes que coincidan con la regla, seleccione IP DSCP o Precedencia de
IP e introduzca el valor de QoS en formato binario o seleccione un valor
predeterminado de la lista desplegable. Para obtener más información
sobre QoS, consulte “Configuración de la calidad de servicio”.
• Deshabilitar inspección de respuesta de servidor: Para deshabilitar la
inspección de paquetes del servidor en el cliente, seleccione esta casilla
de verificación. Esta opción puede ser de utilidad en condiciones con
gran carga del servidor.
Pestaña Origen
Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico
de origen entrante al que se aplicará la política.
Tabla 131. Configuración de políticas de seguridad (pestaña Origen)
Campo
Descripción
Zona de origen
Haga clic en Añadir para seleccionar las zonas de origen (la opción
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte “Definición de zonas de seguridad”.
Puede utilizar múltiples zonas para simplificar la gestión.
Por ejemplo, si tiene tres zonas internas diferentes (Marketing,
Ventas y Relaciones públicas) que se dirigen todas a la zona de
destino no fiable, puede crear una regla que cubra todas las clases.
Dirección de origen
Haga clic en Añadir para añadir las direcciones, direcciones
de grupos o regiones de origen (la opción predeterminada es
Cualquiera). Realice su selección en la lista desplegable o haga clic
en Dirección, Grupo de direcciones, o en el enlace Regiones en la
parte inferior de la lista desplegable y especifique la configuración.
Pestaña Usuario
Utilice la pestaña Usuario para hacer que la política realice las acciones definidas basándose en un
usuario individual o un grupo de usuarios. Si está usando GlobalProtect con Perfil de información del
host (HIP) habilitado, también puede basar la política en información recopilada por GlobalProtect.
Por ejemplo, el nivel de acceso del usuario puede estar determinado por un perfil de información del
host (HIP) que informe al cortafuegos acerca de la configuración local del usuario. La información
HIP se puede utilizar para un control de acceso granular basado en los programas de seguridad en
ejecución en el host, los valores de registro y muchas más comprobaciones si el host tiene instalado
software antivirus.
Palo Alto Networks
Políticas y perfiles de seguridad • 219
Tabla 132. Configuración de políticas de seguridad (pestaña Usuario)
Campo
Descripción
Usuario de origen
Haga clic en Añadir para seleccionar los usuarios o grupos de
usuarios de origen sometidos a la política. Los siguientes tipos de
usuarios de origen son compatibles:
• Cualquiera: Incluye todo el tráfico independientemente de los
datos de usuario.
• Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado
sesión en su sistema. Cuando se configura la opción Anterior al
inicio de sesión en el portal de clientes de GlobalProtect, cualquier
usuario que no esté registrado en su equipo en ese momento será
identificado con el nombre de usuario Anterior al inicio de sesión.
Puede crear estas políticas para usuarios anteriores al inicio de
sesión y, aunque el usuario no haya iniciado sesión directamente,
sus equipos estarán autenticados en el dominio como si hubieran
iniciado sesión completamente.
• Usuario conocido: Incluye a todos los usuarios autenticados, es
decir, cualquier IP con datos de usuario asignados. Esta opción es
equivalente al grupo “usuarios del dominio” en un dominio.
• Desconocido: Incluye a todos los usuarios desconocidos, es
decir, las direcciones IP que no estén asignadas a un usuario.
Por ejemplo, podría usar desconocido para acceso de invitados
a alguna parte porque tendrán una IP en su red, pero no se autenticarán en el dominio y no tendrán ninguna IP en la información
de asignación de usuarios en el cortafuegos.
• Seleccionar: Incluye los usuarios seleccionados en esta ventana.
Por ejemplo, puede que quiera añadir a un usuario, una lista de
individuos, algunos grupos o añadir usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios
(User-ID), la lista de usuarios no se muestra y deberá introducir la
información del usuario manualmente.
Perfiles HIP
220 • Políticas y perfiles de seguridad
Haga clic en Añadir para seleccionar los perfiles de información de
host (HIP) para identificar a los usuarios.
Palo Alto Networks
Pestaña Destino
Use la pestaña Destino para definir la zona de destino o dirección de destino que define el
tráfico de destino al que se aplicará la política.
Tabla 133. Configuración de políticas de seguridad (pestaña Destino)
Campo
Descripción
Zona de destino
Haga clic en Añadir para seleccionar las zonas de destino (la opción
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte “Definición de zonas de seguridad”.
Puede utilizar múltiples zonas para simplificar la gestión.
Por ejemplo, si tiene tres zonas internas diferentes (Marketing,
Ventas y Relaciones públicas) que se dirigen todas a la zona de
destino no fiable, puede crear una regla que cubra todas las clases.
Nota: En las reglas de intrazona, no puede definir una zona de destino
porque estos tipos de reglas solo pueden hacer coincidir tráfico con un
origen y un destino dentro de la misma zona. Para especificar las zonas
que coincidan con una regla de intrazona, solo necesita establecer la zona
de origen.
Dirección de destino
Haga clic en Añadir para añadir las direcciones, direcciones de
grupos o regiones de destino (la opción predeterminada es
Cualquiera). Realice su selección en la lista desplegable o haga
clic en Dirección, en el enlace en la parte inferior de la lista
desplegable y especifique la configuración de la dirección.
Pestaña Aplicación
Use la pestaña Aplicación para que la acción de la política se produzca basándose en una
aplicación o grupo de aplicaciones. Un administrador también puede usar una firma de
identificación de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de
propiedad reservada o para detectar atributos específicos de una aplicación existente.
Las aplicaciones personalizadas se definen en Objetos > Aplicaciones.
Tabla 134. Configuración de políticas de seguridad (pestaña Aplicación)
Campo
Descripción
Aplicación
Seleccione si desea especificar aplicaciones a la
regla de seguridad. Si una aplicación tiene múltiples
funciones, puede seleccionar una aplicación general o
aplicaciones individuales. Si selecciona una aplicación
general se incluirán todas las funciones y la definición
de la aplicación se actualizará automáticamente a
medida que se añadan futuras funciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de seguridad, podrá ver los detalles
de estos objetos al pasar el ratón por encima del objeto
en la columna Aplicación, haciendo clic en la flecha
hacia abajo y seleccionando Valor. De esta forma
podrá ver fácilmente miembros de la aplicación directamente desde la política, sin tener que desplazarse a
las pestañas de objetos.
Palo Alto Networks
Políticas y perfiles de seguridad • 221
Pestaña Categoría de URL/servicio
Use la pestaña Categoría de URL/servicio para hacer que la acción de la política se realice en
función de números de puerto TCP o UDP específicos. Una categoría de URL también puede
usarse como un atributo para la política.
Tabla 135. Configuración de políticas de seguridad (pestaña Categoría de URL/servicio)
Campo
Descripción
Servicio
Seleccione los servicios para limitar números de puertos TCP y/o
UDP concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
• Cualquiera: las aplicaciones seleccionadas se permiten o deniegan
en cualquier protocolo o puerto.
• Valor predeterminado de aplicación: Las aplicaciones seleccionadas se permiten o deniegan únicamente según sus puertos
predeterminados por Palo Alto Networks. Esta opción se
recomienda para políticas de permiso porque impide que las
aplicaciones se ejecuten en puertos y protocolos no habituales,
que si no es a propósito, puede ser una señal de comportamiento
y uso de aplicaciones no deseados. Tenga en cuenta que cuando
usa esta opción, el dispositivo sigue comprobando todas las
aplicaciones en todos los puertos, pero con esta configuración,
las aplicaciones solo tienen permiso en sus puertos/protocolos
predeterminados.
• Seleccionar: Haga clic en Añadir. Seleccione un servicio existente
o seleccione Servicio o Grupo de servicios para especificar una
nueva entrada. Consulte “Servicios” y “Grupos de servicios”.
Categoría de URL
Seleccione las categorías URL de la regla de seguridad.
• Seleccione Cualquiera para permitir o denegar todas las sesiones,
con independencia de la categoría URL.
• Para especificar una categoría, haga clic en Añadir y seleccione
una categoría concreta (incluyendo una categoría personalizada)
de la lista desplegable. Puede añadir varias categorías. Consulte
“Categorías de URL personalizadas” para obtener más información sobre cómo definir categorías personalizadas.
222 • Políticas y perfiles de seguridad
Palo Alto Networks
Pestaña Acciones
Use la pestaña Acciones para determinar la acción que se llevará a cabo con el tráfico que
coincida con los atributos de política definidos.
Tabla 136. Configuración de políticas de seguridad (pestaña Acciones)
Campo
Descripción
Configuración de acción
Haga clic en Permitir o Denegar para permitir o bloquear una
nueva sesión de red para el tráfico que coincida con esta regla.
También puede cambiar la configuración de Acción en las reglas
predeterminadas.
Ajuste de perfil
Asocie perfiles o grupos de perfiles con la regla de seguridad:
• Para especificar la comprobación realizada por los perfiles de
•
•
Palo Alto Networks
seguridad predeterminados, seleccione los perfiles individuales
de Antivirus, Antispyware, Protección de vulnerabilidades,
Filtrado de URL, Bloqueo de archivo o Filtrado de datos.
Para especificar un grupo de perfil en lugar de perfiles individuales, seleccione Grupo en Tipo de perfil y, a continuación,
seleccione un grupo de perfil de la lista desplegable Perfil de
grupo. Si tiene configurado un grupo de perfiles de seguridad
denominado predeterminado, la configuración del perfil se
rellenará automáticamente para usar el grupo de perfiles de
seguridad predeterminado: Tipo de perfil se establecerá en
Grupo y el campo Perfil de grupo mostrará el grupo de perfiles
de seguridad predeterminado seleccionado de forma predeterminada. Vaya a Objeto > Grupos de perfiles de seguridad
para añadir un grupo de perfiles de seguridad y ponga al grupo
el nombre predeterminado, para que las nuevas políticas de
seguridad se asocien automáticamente con el grupo de perfiles
seguridad predeterminado. Puede cancelar esta configuración
predeterminada en cualquier momento modificando los campos
Ajuste de perfil como desee.
Para definir nuevos perfiles o grupos de perfiles, haga clic en
Nuevo junto al perfil o grupo adecuado (consulte “Grupos de
perfiles de seguridad”).
Políticas y perfiles de seguridad • 223
Tabla 136. Configuración de políticas de seguridad (pestaña Acciones)
Campo
Descripción
Ajuste de log
Especifique cualquier combinación de las siguientes opciones:
• Para generar entradas de tráfico en el log de tráfico local que
cumplan esta regla, seleccione las siguientes opciones:
– Log al iniciar sesión. Genera una entrada de log de tráfico al
inicio de la sesión (deshabilitada de forma predeterminada).
– Log al finalizar sesión. Genera una entrada de log de tráfico al
final de la sesión (habilitada de forma predeterminada).
• Si las entradas de inicio o fin de la sesión se registran, también lo
harán las entradas de colocación y denegación.
• Perfil de reenvío de logs: Para enviar el log del tráfico local y las
entradas del log de amenazas a destinos remotos, como servidores
de Panorama y Syslog, seleccione un perfil de logs de la lista
desplegable Perfil de reenvío de logs. Tenga en cuenta que la
generación de entradas del log de amenazas está determinada
por los perfiles de seguridad. Si tiene un perfil de reenvío de logs
denominado predeterminado, este se seleccionará automáticamente
para este campo cuando cree nuevas políticas de seguridad.
Puede cancelar esta configuración predeterminada en cualquier
momento seleccionado un perfil de reenvío de logs diferente
cuando establezca una nueva política de seguridad. Para definir
o añadir un nuevo perfil de reenvío de logs (y para denominar a
un perfil predeterminado y que este campo se rellene automáticamente), haga clic en Nuevo (consulte “Reenvío de logs”).
También puede cambiar la configuración del log en las reglas
predeterminadas.
Otros ajustes
Especifique cualquier combinación de las siguientes opciones:
• Programación: Para limitar los días y horas en los que la regla está
en vigor, seleccione una programación de la lista desplegable.
Para definir nuevas programaciones, haga clic en Nueva (consulte
“Programaciones”).
• Marca de QoS: Para cambiar el ajuste de Calidad de servicio
(QoS) en paquetes que coincidan con la regla, seleccione IP
DSCP o Precedencia de IP e introduzca el valor de QoS en
formato binario o seleccione un valor predeterminado de la lista
desplegable. Para obtener más información sobre QoS, consulte
“Configuración de la calidad de servicio”.
• Deshabilitar inspección de respuesta de servidor: Para deshabilitar la inspección de paquetes del servidor en el cliente, seleccione
esta casilla de verificación. Esta opción puede ser de utilidad en
condiciones con gran carga del servidor.
224 • Políticas y perfiles de seguridad
Palo Alto Networks
Políticas NAT
Si define interfaces de capa 3 en el cortafuegos, puede utilizar políticas de traducción de
dirección de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino
se convertirán entre públicos y privados. Por ejemplo, las direcciones de origen privadas se
pueden traducir a direcciones públicas en el tráfico enviado desde una zona interna (fiable) a
una zona pública (no fiable).
NAT también es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de
cable virtual, es recomendable que traduzca las direcciones de origen a una subred diferente
de la subred con la que se comunican los dispositivos vecinos. Proxy ARP no es compatible
con cables virtuales y los dispositivos vecinos solo podrán resolver solicitudes ARP para
direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual.
Si configura NAT en el cortafuegos, es importante tener en cuenta que también se debe
configurar una política de seguridad para permitir el tráfico NAT. La política de seguridad
se basará en la dirección de la zona posterior y anterior a NAT.
El cortafuegos admite los siguientes tipos de traducción de dirección:
•
IP dinámica/Puerto: Para el tráfico saliente. Múltiples clientes pueden utilizar las mismas
direcciones IP públicas con diferentes números de puerto de origen. Las reglas de IP
dinámica/NAT de puerto permiten traducir una dirección IP única, un intervalo de
direcciones IP, una subred o una combinación de todas ellas. Si una interfaz de salida
tiene una dirección IP asignada dinámicamente, puede ser de utilidad especificar la
interfaz como la dirección traducida. Si especifica la interfaz en la regla de IP dinámica/
puerto, la política NAT se actualizará automáticamente para utilizar cualquier dirección
adquirida por la interfaz para subsiguientes traducciones.
IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que
las admitidas por el número de direcciones y puertos IP disponibles. El cortafuegos
puede utilizar direcciones IP y combinaciones de puertos hasta dos veces (de forma
simultánea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro veces en
PA-4020 y PA-5020, y ocho veces en dispositivos PA-4050, PA-4060, PA-5050,
PA-5060 y PA-7050 cuando las direcciones IP de destino son exclusivas.
•
IP dinámica: Para el tráfico saliente. Las direcciones de origen privadas se traducen a la
siguiente dirección disponible en el intervalo de direcciones especificado. Las políticas de
NAT de IP dinámica permiten especificar una dirección IP única, múltiples IP, múltiples
intervalos IP o múltiples subredes como el grupo de direcciones traducidas. Si el grupo
de direcciones de origen es mayor que el grupo de direcciones traducidas, las nuevas
direcciones IP que buscan traducción se verán bloqueadas, mientras que el grupo de
direcciones traducidas se utiliza en su totalidad. Para evitar este problema, puede
especificar un grupo de reserva que se utilizará si el grupo primario agota sus
direcciones IP.
•
IP dinámica: Para el tráfico entrante o saliente. Puede utilizar la IP estática de origen o
destino, mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza
para asignar una dirección IP pública a múltiples servidores y servicios privados, los
puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino.
Palo Alto Networks
Políticas y perfiles de seguridad • 225
Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las
direcciones privadas correctas. Si la dirección pública es la misma que la interfaz del
cortafuegos (o está en la misma subred), no se necesitará una ruta estática para esa
dirección en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un único puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos métodos dinámicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son números
diferentes. N también puede ser 1. IP dinámica/NAT de puerto es diferente de NAT de IP
dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto,
mientras que permanecen inalterables con NAT de IP dinámica. También existen límites
diferentes del tamaño del grupo de IP traducido, tal y como se indica a continuación.
Con NAT de IP estática, existe una asignación de uno a uno entre cada dirección original y su
dirección traducida. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a
M para un grupo de direcciones IP asignadas una a una.
Tabla 137. Tipos de NAT
Tipos de
NAT de
PAN-OS
El puerto de
destino es el
mismo
El puerto
de destino
puede
cambiar
Tipo de
asignación
IP dinámica/
puerto
No
No
Muchas a 1
MaN
Hasta 254 direcciones
consecutivas
Sí
No
MaN
Hasta 32.000
direcciones
consecutivas
Sí
No
1a1
Ilimitado
IP dinámica
IP estática
Tamaño del grupo
de direcciones
traducidas
MaN
MIP
Opcional
226 • Políticas y perfiles de seguridad
1 a muchas
PAT VIP
Palo Alto Networks
Determinación de configuración de zona en NAT y política de seguridad
Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP
anteriores a NAT configuradas en la política. Por ejemplo, si traduce el tráfico entrante a un
servidor interno (al que se accede mediante una IP pública de servidores de Internet), es
necesario configurar la política NAT mediante la zona en la que reside la dirección IP pública.
En este caso, las zonas de origen y destino serían las mismas. Como ejemplo adicional, si
traduce el tráfico de host saliente a una dirección IP pública, es necesario configurar la política
NAT con una zona de origen correspondiente a las direcciones IP privadas de esos hosts.
La zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que NAT haya
modificado el paquete.
La política de seguridad es diferente de la política NAT en que las zonas posteriores a NAT
se deben utilizar para controlar el tráfico. NAT puede afectar a las direcciones IP de origen o
destino y pueden llegar a modificar la interfaz saliente y la zona. Si crea políticas de seguridad
con direcciones IP específicas, es importante tener en cuenta que las direcciones IP anteriores a
NAT se utilizarán en la correspondencia de políticas. La política de seguridad debe permitir
de forma explícita el tráfico sujeto a NAT, si el tráfico atraviesa múltiples zonas.
Opciones de regla NAT
El cortafuegos admite reglas no NAT y reglas NAT bidireccionales.
Reglas no NAT
Las reglas no NAT están configuradas para permitir la exclusión de direcciones IP definidas
en el intervalo de las reglas NAT definidas posteriormente en la política NAT. Para definir
una política no NAT, especifique todos los criterios coincidentes y seleccione Sin traducción
de origen en la columna de traducción de origen.
Reglas NAT bidireccionales
El ajuste bidireccional en reglas NAT de origen estáticas crea una regla NAT de destino para
el tráfico en los mismo recursos en la dirección opuesta. En este ejemplo, se utilizan dos reglas
NAT para crear una traducción de origen del tráfico saliente desde la IP 10.0.1.10 a la IP
pública 3.3.3.1; y una traducción de destino para el tráfico destinado de la IP pública 3.3.3.1 a
la IP privada 10.0.1.10. Este par de reglas se pueden simplificar configurando únicamente la
tercera regla NAT, utilizando la función bidireccional.
Ilustración 2. Reglas NAT bidireccionales
Palo Alto Networks
Políticas y perfiles de seguridad • 227
Ejemplos de política NAT
La siguiente regla de políticas NAT traduce un intervalo de direcciones de origen privadas
(10.0.0.1 a 10.0.0.100 en la zona “L3Trust”) en una dirección IP pública única (200.10.2.100 en la
zona “L3Untrust”) y un número de puerto de origen único (traducción de origen dinámica).
La regla solo se aplica al tráfico recibido en una interfaz Capa 3 en la zona “L3Trust” que se
destina a una interfaz en la zona “L3Untrust”. Como las direcciones privadas están ocultas, las
sesiones de red no se pueden iniciar desde la red pública. Si la dirección pública no está en
una dirección de interfaz de cortafuegos (o en la misma subred), el enrutador local requiere
una ruta estática para dirigir el tráfico de retorno al cortafuegos.
La política de seguridad debe configurarse explícitamente para permitir el tráfico coincidente
con esta regla NAT. Cree una política de seguridad con zonas y direcciones de origen/destino
que coincidan con la regla NAT.
Ilustración 3. Traducción de dirección de origen dinámica
En el siguiente ejemplo, la primera regla NAT traduce la dirección privada de un servidor de
correo interno en una dirección IP pública estática. La regla solo se aplica al correo saliente
enviado desde la zona “L3Trust” a la zona “L3Untrust”. Para el tráfico en dirección opuesta
(correo electrónico entrante), la segunda regla traduce la dirección de destino de la dirección
pública del servidor a su dirección privada. La regla 2 utiliza “L3Untrust” para las zonas de
origen y destino porque la política NAT se basa en la zona de direcciones anterior a NAT.
En este caso, esa dirección anterior a NAT es una dirección IP Pública y, por lo tanto, se
encuentra en la zona “L3Untrust”.
Ilustración 4. Origen estático y Traducción de dirección de destino
En ambos ejemplos, si la dirección pública no está en la dirección de la interfaz del cortafuegos
(o en la misma subred), debe añadir una ruta estática al enrutador local para enrutar el tráfico
al cortafuegos.
NAT64
NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6
e IPv4. Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4
acceder a servidores IPv6. Existen tres mecanismos principales de transición definidos por
IETF: pila doble, túneles y transición. Si tiene redes IPv4 e IPv6 exclusivas y se requiere
comunicación, debe utilizar la traducción.
Si utiliza políticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga
de una solución DNS64 externa para desacoplar la función de consultas de DNS de la función
NAT.
228 • Políticas y perfiles de seguridad
Palo Alto Networks
Las siguientes funciones NAT64 son compatibles:
•
Stateful NAT64, que permite mantener las direcciones IPv4 para que una dirección IPv4
pueda asignarse a múltiples direcciones IPv6. Una dirección IPv4 también se puede
compartir con NAT44. En contraste, Stateless NAT64 asigna una dirección IPv4 a una
dirección IPv6.
•
Traducción de comunicación IPv4 iniciada. El enlace estático de IPv4 asigna una
dirección/número de puerto IPv4 a una dirección IP IPv6. PAN-OS también admite la
reescritura, lo que le permite conservar aún más direcciones IPv4.
•
Permite traducir subredes /32, /40, /48, /56, /64 y /96.
•
Compatibilidad de varios prefijos. Puede asignar un prefijo NAT64 por regla.
•
No requiere que conserve un grupo de direcciones IPv4 específicamente para NAT64.
Por lo tanto, puede utilizar una dirección IP simple para NAT44 y NAT64.
•
Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques
de bucle de hairpinning.
•
Permite la traducción de paquetes TCP/UDP/ICMP por RFC, así como otros protocolos
sin ALG (best effort). Por ejemplo, es posible traducir un paquete GRE. Esta traducción
tiene la misma limitación que NAT44.
•
Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamaño máximo de
segmento) para TCP.
•
Permite configurar el parámetro IPv6 MTU. El valor predeterminado es 1280, que es
el valor mínimo de MTU para el tráfico IPv6. Este ajuste se configura en la pestaña
Dispositivo > Configuración > Sesiones en Ajustes de sesión.
•
Traduce el atributo de longitud entre IPv4 e IPv6.
•
Admitido en interfaces y subinterfaces de capa 3, túnel e interfaces VLAN.
Ejemplos de NAT64
Puede configurar dos tipos de traducción con el cortafuegos: comunicación IPv6 iniciada, que
es similar al origen NAT en IPv4, y comunicación IPv4 iniciada con un servidor IPv6, que es
similar al destino NAT en IPv4.
Comunicación IPv6 iniciada
En este tipo de traducción, la dirección IPv6 de destino de la regla NAT es un prefijo que
sigue al formato RFC 6052 (/32, /40,/48,/56,/64 y /96). La máscara de red de la dirección
IPv6 de destino en la regla se utilizaría para extraer la dirección IPv4. La traducción de origen
necesita tener un “puerto e IP dinámicas” para implementar Stateful NAT64. La dirección
IPv4 definida como origen se configura de la misma forma que una traducción de destino
NAT44. El campo de traducción de destino no está definido. Sin embargo, debe realizarse
una traducción de destino ya que la dirección se extrae de la dirección IPv6 en el paquete.
Utiliza el prefijo definido en los criterios de coincidencia de IP de destino. Debe tener en
cuenta que en un prefijo /96, está en los últimos 4 octetos, pero la ubicación de la dirección
IPv4 sería diferente si el prefijo no es /96.
Palo Alto Networks
Políticas y perfiles de seguridad • 229
Servidor DNS64
Cortafuegos
Puerta de enlace NAT64
Red IPv6
Fiable
No fiable
Internet IPv4
Host IPv6
Ilustración 5. Diagrama de red de cliente NAT64 IPv6 a IPv4
La tabla siguiente describe los valores necesarios en esta política NAT64.
Tabla 138.
IP de origen
IP de destino
Traducción de origen
Traducción de destino
Cualquier
dirección
IPv6
Prefijo NAT64 IPv6
con máscara de red
compatible con
RFC6052
IP dinámica y modo de
puerto (usar direcciones
IPv4)
Ninguno
(Extraída de las direcciones
IPv6 de destino)
Comunicación IPv4 iniciada
La dirección IPv4 se asigna a la dirección IPv6 y puede usar el modo de IP estática en la
traducción de origen. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y
se adjunta a la dirección IPv4 de origen. La dirección de destino es la dirección IP definida en
la columna de traducción de destino. Es posible reescribir el puerto de destino. Este método
permite que una única dirección IP comparta múltiples servidores IPv6 mediante una
asignación estática en el puerto.
Servidor IPv6
Servidor DNS
Cortafuegos
Puerta de enlace NAT64
Internet IPv4
Red IPv6
No fiable
Fiable
Host IPv4
Ilustración 6. Diagrama de red de cliente NAT64 IPv4 Internet a IPv6
230 • Políticas y perfiles de seguridad
Palo Alto Networks
La tabla siguiente describe los valores necesarios en esta política NAT64.
Tabla 139. Valores de IPv4 iniciada
IP de origen
IP de destino
Traducción de origen
Traducción de destino
Cualquier
dirección IPv4
Dirección IPv4
Modo de IP estática
Dirección simple IPv6
(dirección IP del servidor real)
(Prefijo IPv6 en formato
RFC 6052)
Note: Puede especificar una
reescritura del puerto del
servidor.
El motor de procesamiento del paquete del cortafuegos debe realizar una búsqueda en la ruta
para buscar la zona de destino antes de buscar en la regla NAT. En NAT64, es importante
solucionar la accesibilidad del prefijo NAT64 para la asignación de la zona de destino, porque
el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. Es muy probable que
el prefijo NAT64 acierte con la ruta predeterminada, o que se cancele porque no hay ninguna
ruta. Puede configurar una interfaz de túnel sin punto de finalización porque este tipo de
interfaz actuará como un puerto de loopback y aceptará otras máscaras de subred además
de /128. Aplique el prefijo NAT64 al túnel y aplique la zona adecuada para garantizar que
el tráfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. También podrá
cancelar el tráfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.
Escenarios IETF para la transición IPv4/IPv6
Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144. El cortafuegos de
Palo Alto Networks admite todos los escenarios menos uno de ellos, tal y como se indica en la
siguiente tabla.
Tabla 140. Resumen de implementaciones de escenarios IETF para el uso
de PAN-OS
Escenario
Red IPv6 a
Internet IPv4
IP de
origen
Cualquier
dirección
IPv6
IP de destino
Prefijo NAT64
IPv6 con máscara
de red compatible
con RFC 6052.
Modo de IP
dinámica y
puerto.
Modo de IP
estática.
Internet IPv4
a una red
IPv6
Cualquier
dirección
IPv4
Dirección IPv4
simple
Internet IPv6
a una red
IPv4
Cualquier
dirección
IPv6
Prefijo IPv6
enrutable
globalmente con
máscara de red
compatible con
RFC 6052.
Red IPv4
a Internet
IPv6
No admitida actualmente
Palo Alto Networks
Traducción
de origen
Traducción de destino
Ninguno
(extraída de direcciones
IPv6 de destino)
Usar dirección
IPv4 pública
Dirección IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinámica y
puerto.
Usar dirección
IPv4 privada
Ninguno
(extraída de direcciones
IPv6 de destino)
Políticas y perfiles de seguridad • 231
Tabla 140. Resumen de implementaciones de escenarios IETF para el uso
de PAN-OS (Continuación)
IP de
origen
Escenario
Red IPv4 a
red IPv6
Red IPv6 a
red IPv4
•
IP de destino
Traducción
de origen
Cualquier
dirección
IPv4
Dirección IPv4
simple
Modo de IP
estática.
Cualquier
dirección
IPv6
Prefijo NAT64
IPv6 con máscara
de red compatible
con RFC 6052.
Traducción de destino
Dirección IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinámica y
puerto.
Usar dirección
IPv4 privada
Ninguno
(extraída de direcciones
IPv6 de destino)
IP estática: Para tráfico entrante o saliente. Puede utilizar la IP estática de origen o
destino, mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza
para asignar una dirección IP pública a múltiples servidores y servicios privados, los
puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino.
Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las
direcciones privadas correctas. Si la dirección pública es la misma que la interfaz del
cortafuegos (o está en la misma subred), no se necesitará una ruta estática para esa
dirección en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un único puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos métodos dinámicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son números
diferentes. N también puede ser 1. IP dinámica/NAT de puerto es diferente de NAT de IP
dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto,
mientras que permanecen inalterables con NAT de IP dinámica. También existen límites
diferentes del tamaño del grupo de IP traducido, tal y como se indica a continuación.
Con NAT de IP estática, existe una asignación de uno a uno entre cada dirección original y su
dirección traducida. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a
M para un grupo de direcciones IP asignadas una a una.
Tabla 141. Tipos de NAT
Tipos de NAT
de PAN-OS
IP dinámica/
puerto
IP dinámica
El puerto de
destino es el
mismo
El puerto
de destino puede
cambiar
Tipo de
asignación
Tamaño del grupo de
direcciones traducidas
No
No
Muchas a 1
Hasta 254 direcciones
consecutivas
MaN
Sí
232 • Políticas y perfiles de seguridad
No
MaN
Hasta 32.000 direcciones
consecutivas
Palo Alto Networks
Tabla 141. Tipos de NAT (Continuación)
Tipos de NAT
de PAN-OS
El puerto de
destino es el
mismo
El puerto
de destino puede
cambiar
Tipo de
asignación
Tamaño del grupo de
direcciones traducidas
IP estática
Sí
No
1a1
Ilimitado
MaN
MIP
Opcional
1 a muchas
PAT VIP
Definición de políticas de traducción de dirección de red
Políticas > NAT
Las reglas de traducción NAT se basan en las zonas de origen y destino, en las direcciones
de origen y destino, y en el servicio de aplicación (como HTTP). Al igual que las políticas de
seguridad, las reglas de política NAT se comparan con el tráfico entrante en secuencia, y se
aplica la primera regla que coincida.
A medida que sea necesario, añada rutas estáticas al enrutador local para enrutar el tráfico
a todas las direcciones públicas hacia el cortafuegos. Es posible que también necesite añadir
reglas estáticas a la interfaz de destino en el cortafuegos para reducir el tráfico en la dirección
privada.
Para obtener información y directrices de configuración acerca de otros tipos de políticas,
consulte “Políticas y perfiles de seguridad”.
Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de
políticas en Panorama”.
Las siguientes tablas describen la configuración de políticas NAT:
•
“Pestaña General”
•
“Pestaña Paquete original”
•
“Pestaña Paquete traducido”
Palo Alto Networks
Políticas y perfiles de seguridad • 233
Pestaña General
Use la pestaña General para configurar un nombre y una descripción de la política NAT.
También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando
estas son muy numerosas.
Tabla 142. Configuración reglas NAT (pestaña General)
Campo
Descripción
Nombre
Cambie cambiar el nombre predeterminado de la regla y/o
introducir una descripción de la regla.
Descripción
Introduzca una descripción de la política (hasta 255 caracteres).
Etiqueta
Si necesita añadir una etiqueta a la política, haga clic en Añadir para
especificar la etiqueta.
Una etiqueta de política es una palabra clave o frase que le permite
ordenar o filtrar políticas. Es útil cuando ha definido muchas
políticas y desea revisar las que están etiquetadas con una palabra
clave específica. Por ejemplo, tal vez quiera etiquetar determinadas
políticas de seguridad con Entrante en DMZ, políticas de descifrado
con las palabras descifrado y sin descifrado, o usar el nombre de un
centro de datos específico para políticas asociadas con esa
ubicación.
Tipo de NAT
Especifique ipv4 para NAT entre direcciones IPv4 o traducción
nat64 entre direcciones IPv6 e IPv4.
No puede combinar intervalos de direcciones IPv4 e IPv6 en una única
regla NAT.
Pestaña Paquete original
Use la pestaña Paquete original para definir el tráfico de origen y destino que se traducirá,
así como el tipo de interfaz de destino y el tipo de servicio. Se pueden configurar varias zonas
de origen y destino del mismo tipo y es posible definir la regla para que se aplique a redes o
direcciones IP específicas.
Tabla 143. Configuración de reglas NAT (pestaña Paquete original)
Campo
Descripción
Zona de origen
Zona de destino
Seleccione una o más zonas de origen y destino para el paquete
original (no NAT). (El valor predeterminado es cualquiera.)
Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable
virtual, Virtual Wire). Para definir nuevas zonas, consulte
“Definición de zonas de seguridad”.
Puede utilizar múltiples zonas para simplificar la gestión.
Por ejemplo, puede configurar los ajustes para que múltiples
direcciones NAT internas se dirijan a la misma dirección IP externa.
Interfaz de destino
234 • Políticas y perfiles de seguridad
Especifique el tipo de interfaz de traducción. La interfaz de destino
se puede utilizar para traducir direcciones IP de manera diferente
en caso de que la red esté conectada a dos proveedores de Internet
con grupos diferentes de direcciones IP.
Palo Alto Networks
Tabla 143. Configuración de reglas NAT (pestaña Paquete original)
Campo
Descripción
Servicio
Especifique los servicios para los que las direcciones de origen y
destino se traducen. Para definir nuevos grupos de servicio,
consulte “Grupos de servicios”.
Dirección de origen
Dirección de destino
Especifique una combinación de direcciones de origen y destino
para las que las direcciones de origen y destino se deben traducir.
Pestaña Paquete traducido
Use la pestaña Paquete traducido para determinar el tipo de traducción que se realizará
en el origen y la dirección o puerto a la que se traducirá. También se puede configurar
una traducción de dirección de destino para un host interno que al que se necesite acceder
desde una dirección IP pública. En este caso, defina una dirección de origen (pública) y una
dirección de destino (privada) en la pestaña Paquete original para un host interno y habilite
Traducción de dirección de destino en la pestaña Paquete traducido e introduzca la dirección
traducida. Cuando se acceda a la dirección pública, se traducirá a la dirección interna
(destino) del host interno.
Palo Alto Networks
Políticas y perfiles de seguridad • 235
Tabla 144. Configuración de reglas NAT (pestaña Paquete traducido)
Campo
Descripción
Traducción de dirección
de origen
Introduzca una dirección o un intervalo de direcciones IP (dirección1dirección2) a la que se traduce la dirección de origen, y seleccione
un grupo de direcciones dinámicas o estáticas. El tamaño del
intervalo de direcciones está limitado por el tipo del grupo de
direcciones:
• IP dinámica y puerto: La selección de direcciones se basa en un
hash de la dirección de IP de origen. Para una dirección de IP de
origen, el cortafuegos utilizará la misma dirección de origen
traducida para todas las sesiones. IP dinámica y NAT de puerto
origen admite aproximadamente 64.000 sesiones simultáneas en
cada dirección IP en el grupo NAT. En algunas plataformas, se
permite un exceso de suscripciones, lo que permite a una única IP
albergar más de 64.000 sesiones simultáneas.
IP dinámica/NAT de puerto de Palo Alto Networks admite
más sesiones NAT que las admitidas por el número de direcciones
y puertos IP disponibles. El cortafuegos puede utilizar direcciones
IP y combinaciones de puertos hasta dos veces (de forma simultánea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro
veces en PA-4020 y PA-5020, y ocho veces en dispositivos
PA-4050, PA-4060, PA-5050 y PA-5060 cuando las direcciones
IP de destino son exclusivas.
• IP dinámica: Se utiliza la siguiente dirección disponible en el
intervalo especificado, pero el número de puerto no se cambia.
Se admiten hasta 32.000 direcciones IP consecutivas. Un grupo de
direcciones IP dinámicas puede contener varias subredes, por lo
que podrá traducir sus direcciones de red internas a dos o más
subredes públicas diferentes.
– Avanzado (traducción de IP dinámica de reserva):
Utilice esta opción para crear un grupo de reserva que
ejecutará la traducción de IP y puerto, y que se utilizará si el
grupo primario agota sus direcciones. Puede definir las direcciones del grupo utilizando la opción Dirección traducida o
Dirección de interfaz, para interfaces que reciben una dirección
IP dinámica. Si crea un grupo de reserva, asegúrese de que las
direcciones no se solapan con las direcciones del grupo primario.
• IP estática: Se utiliza la misma dirección y el puerto permanece
inalterable. Por ejemplo, si el intervalo de origen es 192.168.0.1192.168.0.10 y el intervalo de traducción es 10.0.0.1-10.0.0.10, la
dirección 192.168.0.2 siempre se traduce a 10.0.0.2. El intervalo de
dirección es casi ilimitado.
• Ninguna: La traducción no se ejecuta.
Traducción de dirección
de destino
236 • Políticas y perfiles de seguridad
Introduzca una dirección o intervalo de direcciones IP y un número
de puerto traducido (1 a 65535) al que la dirección y número de
puerto de destino se traducirán. Si el campo Puerto traducido se
deja en blanco, el puerto de destino no se modifica. La traducción
de destino se suele utilizar para permitir un servidor interno,
como un servidor de correo electrónico al que se accede desde la
red pública.
Palo Alto Networks
Políticas de reenvío basado en políticas
Políticas > Reenvío basado en políticas
Normalmente, cuando el tráfico entra en el cortafuegos, el enrutador virtual de la interfaz de
entrada (ingress) indica la ruta que determina la interfaz de salida y la zona de seguridad de
destino basada en la dirección IP de destino. Gracias al reenvío basado en políticas (PBF),
puede especificar otra información para determinar la interfaz de salida, incluyendo la zona,
dirección y usuario de origen, así como la dirección, aplicación y servicio de destino. La sesión
inicial de una dirección IP y puerto de destino concretos asociados con una aplicación no
coincidirá con una regla de aplicación específica y se reenviarán de acuerdo con reglas PBF
subsiguientes (que no especifican ninguna aplicación) o la tabla de reenvío del enrutador
virtual. El resto de sesiones de esa dirección IP y puerto de destino de la misma aplicación
coincidirán con una regla específica de aplicación. Para garantizar el reenvío mediante reglas
PBF, no se recomienda el uso de reglas específicas de la aplicación.
Cuando sea necesario, las reglas PBF se pueden utilizar para forzar el tráfico mediante un
sistema virtual adicional con la acción de reenvío Reenviar a Vsys. En este caso, es necesario
definir una regla PBF adicional que reenvíe el paquete desde el sistema virtual de destino
mediante una interfaz de salida (egress) concreta en el cortafuegos.
Para obtener información y directrices de configuración acerca de otros tipos de políticas,
consulte “Políticas y perfiles de seguridad”.
Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de
políticas en Panorama”.
Las siguientes tablas describen la configuración de reenvío basado en políticas:
•
“Pestaña General”
•
“Pestaña Origen”
•
“Pestaña Destino/aplicación/servicio”
•
“Pestaña Reenvío”
Pestaña General
Use la pestaña General para configurar un nombre y una descripción de la política PBF.
También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando
estas son muy numerosas.
Campo
Descripción
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.
Utilice únicamente letras, números, espacios, guiones y guiones bajos. Solo se
requiere el nombre.
Descripción
Introduzca una descripción de la política (hasta 255 caracteres).
Etiqueta
Si necesita añadir una etiqueta a la política, haga clic en Añadir para especificar
la etiqueta.
Una etiqueta de política es una palabra clave o frase que le permite ordenar o
filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que
están etiquetadas con una palabra clave específica. Por ejemplo, tal vez quiera
etiquetar determinadas políticas de seguridad con Entrante en DMZ, políticas de
descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un
centro de datos específico para políticas asociadas con esa ubicación.
Palo Alto Networks
Políticas y perfiles de seguridad • 237
Pestaña Origen
Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico
de origen entrante al que se aplicará la política de reenvío.
Campo
Descripción
Zona de origen
Para elegir zonas de origen (el valor predeterminado es cualquiera),
haga clic en Añadir y seleccione una de la lista desplegable. Para definir
nuevas zonas, consulte “Definición de zonas de seguridad”.
Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
públicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Note: Solo se admiten zonas de tipo Capa 3 para reenvío basado en
políticas.
Dirección de origen
Haga clic en Añadir para añadir las direcciones, direcciones de grupos o
regiones de origen (la opción predeterminada es Cualquiera). Realice su
selección en la lista desplegable o haga clic en Dirección, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuración.
Usuario de origen
Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de
origen sometidos a la política. Los siguientes tipos de usuarios de origen
son compatibles:
• Cualquiera: Incluye todo el tráfico independientemente de los datos
de usuario.
• Anterior al inicio de sesión: Incluye a usuarios remotos conectados a
la red mediante GlobalProtect pero que no han iniciado sesión en su
sistema. Cuando se configura la opción Anterior al inicio de sesión en
el portal de clientes de GlobalProtect, cualquier usuario que no esté
registrado en su equipo en ese momento será identificado con el
nombre de usuario Anterior al inicio de sesión. Puede crear estas
políticas para usuarios anteriores al inicio de sesión y, aunque el
usuario no haya iniciado sesión directamente, sus equipos estarán
autenticados en el dominio como si hubieran iniciado sesión
completamente.
• Usuario conocido: Incluye a todos los usuarios autenticados, es decir,
cualquier IP con datos de usuario asignados. Esta opción es equivalente
al grupo “usuarios del dominio” en un dominio.
• Desconocido: Incluye a todos los usuarios desconocidos, es decir,
las direcciones IP que no estén asignadas a un usuario. Por ejemplo,
podría usar desconocido para acceso de invitados a alguna parte
porque tendrán una IP en su red, pero no se autenticarán en el dominio
y no tendrán ninguna IP en la información de asignación de usuarios en
el cortafuegos.
• Seleccionar: Incluye los usuarios seleccionados en esta ventana.
Por ejemplo, puede que quiera añadir a un usuario, una lista de
individuos, algunos grupos o añadir usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID),
la lista de usuarios no se muestra y deberá introducir la información del usuario
manualmente.
238 • Políticas y perfiles de seguridad
Palo Alto Networks
Pestaña Destino/aplicación/servicio
Use la pestaña Destino/aplicación/servicio para definir la configuración de destino que se
aplicará al tráfico que coincida con la regla de reenvío.
Campo
Descripción
Dirección de destino
Haga clic en Añadir para añadir las direcciones, direcciones de grupos
o regiones de destino (la opción predeterminada es Cualquiera). Realice
su selección en la lista desplegable o haga clic en Dirección, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuración.
Aplicación
Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir
nuevas aplicaciones, consulte “Definición de aplicaciones”. Para definir
grupos de aplicaciones, consulte “Definición de grupos de aplicaciones”.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
PFB, podrá ver los detalles de estos objetos al pasar el ratón por encima
del objeto en la columna Aplicación, haciendo clic en la flecha hacia abajo
y seleccionando Valor. De esta forma podrá ver fácilmente miembros de
la aplicación directamente desde la política, sin tener que ir hasta las
pestañas de objetos.
Pestaña Reenvío
Use la pestaña Reenvío para definir la acción y la información de red que se aplicará al tráfico
que coincida con la política de reenvío. El tráfico se puede reenviar a una dirección IP de
siguiente salto, un sistema virtual o bien se puede interrumpir el tráfico.
Campo
Descripción
Dirección de destino
Haga clic en Añadir para añadir las direcciones, direcciones de grupos o
regiones de destino (la opción predeterminada es Cualquiera). Realice
su selección en la lista desplegable o haga clic en Dirección, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuración.
Aplicación
Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir
nuevas aplicaciones, consulte “Definición de aplicaciones”. Para definir
grupos de aplicaciones, consulte “Definición de grupos de aplicaciones”.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
PFB, podrá ver los detalles de estos objetos al pasar el ratón por encima
del objeto en la columna Aplicación, haciendo clic en la flecha hacia abajo
y seleccionando Valor. De esta forma podrá ver fácilmente miembros de
la aplicación directamente desde la política, sin tener que ir hasta las
pestañas de objetos.
Acción
Seleccione una de las siguientes opciones:
• Reenviar: Especifique la dirección IP del próximo salto y la interfaz de
salida (egress) (la interfaz que toma el paquete para el siguiente salto
especificado).
• Reenviar a VSYS: Seleccione el sistema virtual de reenvío en la lista
desplegable.
• Descartar: descarta el paquete.
• No hay ningún PBF: No altera la ruta que tomará el paquete.
Palo Alto Networks
Políticas y perfiles de seguridad • 239
Campo
Descripción
Programación
Para limitar los días y horas en los que la regla está en vigor, seleccione
una programación de la lista desplegable. Para definir nuevas
programaciones, consulte “Programaciones”.
Políticas de descifrado
Políticas > Descifrado
Puede configurar el cortafuegos para descifrar el tráfico y ganar en visibilidad, control y
seguridad granular. Las políticas de descifrado se pueden aplicar a una capa de sockets
seguros (SSL) y a tráfico Secure Shell (SSH). El descifrado SSH se puede utilizar para descifrar
el tráfico SSH entrante y saliente para asegurar que los protocolos no se están utilizando para
túneles de aplicaciones y contenido no permitido.
Cada una de las políticas de descifrado especifica las categorías o URL para descifrar o no.
El descifrado SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus, Vulnerabilidades, Antispyware, Filtrado de URL y Bloqueo de archivos al tráfico SSL descifrado antes
de volverse a cifrar a medida que el tráfico sale del dispositivo. Puede aplicar perfiles de
descifrado a sus políticas con objeto de bloquear y controlar diferentes aspectos del tráfico.
Para obtener más información, consulte “Perfiles de descifrado”. Con el descifrado activado,
la seguridad de punto a punto entre clientes y servidores se mantiene, y el cortafuegos actúa
como un agente externo de confianza durante la conexión. Ningún tipo de tráfico descifrado
sale del dispositivo.
Las políticas de descifrado pueden ser tan generales o específicas como sea necesario.
Las reglas de las políticas se comparan con el tráfico en secuencias, por lo que las reglas
más específicas deben preceder a las reglas más generales. Para mover una regla a la parte
superior de las políticas y que tenga preferencia, selecciónela y haga clic en Mover hacia
arriba. Una política que excluya el tráfico del descifrado (con la acción No hay ningún
descifrado) siempre debe tener preferencia para poder entrar en vigor.
El cifrado de proxy SSL de reenvío requiere que se le presente al usuario la configuración de
un certificado de confianza, si el servidor al que se conecta el usuario posee un certificado
firmado por una entidad de certificación de confianza del cortafuegos. Para configurar este
certificado, cree uno en la página Dispositivo > Gestión de certificados > Certificados y, a
continuación, haga clic en el nombre del certificado y active la casilla Reenviar certificado
fiable. Consulte “Gestión de certificados de dispositivos”.
Para obtener información y directrices de configuración acerca de otros tipos de políticas,
consulte “Políticas y perfiles de seguridad”.
Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de
políticas en Panorama”.
Algunas aplicaciones no funcionarán si las descifra el cortafuegos. Para evitarlo,
PAN-OS no descifrará el tráfico SSL de estas aplicaciones y los ajustes de reglas de
cifrado no se aplicarán.
Para ver una lista de estas aplicaciones, consulte el artículo de ayuda ubicado en
https://live.paloaltonetworks.com/docs/DOC-1423.
240 • Políticas y perfiles de seguridad
Palo Alto Networks
Las siguientes tablas describen la configuración de políticas de descifrado:
•
“Pestaña General”
•
“Pestaña Origen”
•
“Pestaña Destino”
•
“URL/servicio”
•
“Pestaña Opciones”
Pestaña General
Use la pestaña General para configurar un nombre y una descripción de la política de
descifrado. También puede configurar una pestaña para que le permita ordenar o filtrar
políticas cuando estas son muy numerosas.
Campo
Descripción
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos. Solo se requiere el nombre.
Descripción
Introduzca una descripción de la regla (hasta 255 caracteres).
Etiqueta
Si necesita añadir una etiqueta a la política, haga clic en Añadir para
especificar la etiqueta.
Una etiqueta de política es una palabra clave o frase que le permite
ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y
desea revisar las que están etiquetadas con una palabra clave específica.
Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad
con Entrante en DMZ, políticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos específico para
políticas asociadas con esa ubicación.
Pestaña Origen
Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico
de origen entrante al que se aplicará la política de descifrado.
Campo
Descripción
Zona de origen
Haga clic en Añadir para seleccionar las zonas de origen (la opción
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte “Definición de zonas de seguridad”.
Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
públicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Palo Alto Networks
Políticas y perfiles de seguridad • 241
Campo
Descripción
Dirección de origen
Haga clic en Añadir para añadir las direcciones, direcciones de grupos o
regiones de origen (la opción predeterminada es Cualquiera). Realice su
selección en la lista desplegable o haga clic en Dirección, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuración. Seleccione la casilla de
verificación Negar para seleccionar cualquier dirección excepto las
configuradas.
Usuario de origen
Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de
origen sometidos a la política. Los siguientes tipos de usuarios de origen
son compatibles:
• Cualquiera: Incluye todo el tráfico independientemente de los datos de
usuario.
• Anterior al inicio de sesión: Incluye a usuarios remotos conectados a
la red mediante GlobalProtect pero que no han iniciado sesión en su
sistema. Cuando se configura la opción Anterior al inicio de sesión en
el portal de clientes de GlobalProtect, cualquier usuario que no esté
registrado en su equipo en ese momento será identificado con el
nombre de usuario Anterior al inicio de sesión. Puede crear estas
políticas para usuarios anteriores al inicio de sesión y, aunque el
usuario no haya iniciado sesión directamente, sus equipos estarán
autenticados en el dominio como si hubieran iniciado sesión
completamente.
• Usuario conocido: Incluye a todos los usuarios autenticados, es decir,
cualquier IP con datos de usuario asignados. Esta opción es equivalente
al grupo “usuarios del dominio” en un dominio.
• Desconocido: Incluye a todos los usuarios desconocidos, es decir,
las direcciones IP que no estén asignadas a un usuario. Por ejemplo,
podría usar desconocido para acceso de invitados a alguna parte
porque tendrán una IP en su red, pero no se autenticarán en el dominio
y no tendrán ninguna IP en la información de asignación de usuarios en
el cortafuegos.
• Seleccionar: Incluye los usuarios seleccionados en esta ventana.
Por ejemplo, puede que quiera añadir a un usuario, una lista de
individuos, algunos grupos o añadir usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID),
la lista de usuarios no se muestra y deberá introducir la información del usuario
manualmente.
Pestaña Destino
Use la pestaña Destino para definir la zona de destino o dirección de destino que define el
tráfico de destino al que se aplicará la política.
Campo
Descripción
Zona de destino
Haga clic en Añadir para seleccionar las zonas de destino (la opción
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte “Definición de zonas de seguridad”.
Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
públicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
242 • Políticas y perfiles de seguridad
Palo Alto Networks
Campo
Descripción
Dirección de destino
Haga clic en Añadir para añadir las direcciones, direcciones de grupos o
regiones de destino (la opción predeterminada es Cualquiera). Realice
su selección en la lista desplegable o haga clic en Dirección, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuración. Seleccione la casilla de
verificación Negar para seleccionar cualquier dirección excepto las
configuradas.
URL/servicio
Use la pestaña Categoría de URL para aplicar la política de descifrado a cualquier categoría
de URL, o bien especifique una lista de categorías de URL a las que se aplicará la política.
Campo
Descripción
Pestaña Categoría
de URL
Seleccione las categorías URL de la regla de descifrado.
• Seleccione Cualquiera para buscar en todas las sesiones, con independencia de la categoría URL.
• Para especificar una categoría, haga clic en Añadir y seleccione una
categoría concreta (incluyendo una categoría personalizada) de la lista
desplegable. Puede añadir varias categorías. Consulte “Categorías de
URL personalizadas” para obtener más información sobre cómo definir
categorías personalizadas.
Pestaña Opciones
Use la pestaña Opciones para determinar si el tráfico coincidente debería descifrarse o no.
Si se ha definido Descifrar, especifique el tipo de descifrado. También puede añadir funciones
de descifrado adicionales configurando o seleccionando un perfil de descifrado.
Campo
Descripción
Acción
Seleccione Descifrar o No descifrar para el tráfico.
Tipo
Seleccione el tipo de tráfico para descifrar de la lista desplegable:
• Proxy SSL de reenvío: Especifique que la política descifrará el tráfico
del cliente destinado a un servidor externo.
• Proxy SSH: Especifique que la política descifrará el tráfico SSH.
Esta opción permite controlar los túneles SSH en políticas, especificando el ID de aplicación (App-ID) de túnel ssh.
• Inspección de entrada SSL: Especifique que la política descifrará el
tráfico de inspección entrante SSL.
Perfil de descifrado
Palo Alto Networks
Seleccione un perfil de descifrado existente o cree uno nuevo. Consulte
“Perfiles de descifrado”.
Políticas y perfiles de seguridad • 243
Definición de políticas de application override
Políticas > Application override
Para cambiar la forma en la que el cortafuegos clasifica el tráfico de la red en las aplicaciones,
puede especificar políticas de application override. Por ejemplo, si desea controlar una de sus
aplicaciones personalizadas, puede utilizar una política de application override para
identificar el tráfico de esa aplicación en función de la zona, dirección de origen y destino,
puerto y protocolo. Si tiene aplicaciones de red clasificadas como “desconocidas”, puede crear
nuevas definiciones de aplicaciones (consulte “Definición de aplicaciones”).
Al igual que las políticas de seguridad, las políticas de application override pueden ser tan
generales o específicas como sea necesario. Las reglas de las políticas se comparan con el
tráfico en secuencias, por lo que las reglas más específicas deben preceder a las reglas más
generales.
Como el motor de ID de aplicaciones (App-ID) de PAN-OS clasifica el tráfico identificando
el contenido específico de la aplicación en el tráfico de red, la definición de aplicación personalizada no puede utilizar un número de puerto para identificar una aplicación. La definición
de la aplicación también debe incluir el tráfico (restringido por zona y dirección IP de origen,
y zona y dirección IP de destino).
Para crear una aplicación personalizada con application override:
1.
Defina la aplicación personalizada. Consulte “Definición de aplicaciones”. No es necesario
especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de
application override.
2.
Defina una política de application override que especifique si la aplicación personalizada
se debe activar. Una política suele incluir la dirección IP del servidor que ejecuta
la aplicación personalizada y un conjunto restringido de direcciones IP o una zona
de origen.
Para obtener información y directrices de configuración acerca de otros tipos de políticas,
consulte “Políticas y perfiles de seguridad”.
Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de
políticas en Panorama”.
Use las siguientes tablas para configurar una regla de application override.
•
“Pestaña General”
•
“Pestaña Origen”
•
“Pestaña Destino”
•
“Pestaña Protocolo/Aplicación”
244 • Políticas y perfiles de seguridad
Palo Alto Networks
Pestaña General
Use la pestaña General para configurar un nombre y una descripción de la política de
application override. También puede configurar una pestaña para que le permita ordenar o
filtrar políticas cuando estas son muy numerosas.
Campo
Descripción
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos. Solo se requiere el nombre.
Descripción
Introduzca una descripción de la regla (hasta 255 caracteres).
Etiqueta
Si necesita añadir una etiqueta a la política, haga clic en Añadir para
especificar la etiqueta.
Una etiqueta de política es una palabra clave o frase que le permite
ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y
desea revisar las que están etiquetadas con una palabra clave específica.
Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad
con Entrante en DMZ, políticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos específico para
políticas asociadas con esa ubicación.
Pestaña Origen
Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico
de origen entrante al que se aplicará la política de application override.
Campo
Descripción
Zona de origen
Haga clic en Añadir para seleccionar las zonas de origen (la opción
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte “Definición de zonas de seguridad”.
Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
públicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Dirección de origen
Palo Alto Networks
Haga clic en Añadir para añadir las direcciones, direcciones de grupos o
regiones de origen (la opción predeterminada es Cualquiera). Realice su
selección en la lista desplegable o haga clic en Dirección, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuración. Seleccione la casilla de
verificación Negar para seleccionar cualquier dirección excepto las
configuradas.
Políticas y perfiles de seguridad • 245
Pestaña Destino
Use la pestaña Destino para definir la zona de destino o dirección de destino que define el
tráfico de destino al que se aplicará la política.
Campo
Descripción
Zona de destino
Haga clic en Añadir para seleccionar las zonas de destino (la opción
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte “Definición de zonas de seguridad”.
Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
públicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Dirección de destino
Haga clic en Añadir para añadir las direcciones, direcciones de grupos o
regiones de destino (la opción predeterminada es Cualquiera). Realice
su selección en la lista desplegable o haga clic en Dirección, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuración. Seleccione la casilla de
verificación Negar para seleccionar cualquier dirección excepto las
configuradas.
Pestaña Protocolo/Aplicación
Use la pestaña Protocolo/Aplicación para definir el protocolo (TCP o UDP), puerto y
aplicación que definen con mayor exactitud los atributos de la aplicación para que coincida
con la política.
Campo
Descripción
Protocolo
Seleccione el protocolo por el que la aplicación se puede cancelar.
Puerto
Introduzca el número de puerto (0 a 65535) o el intervalo de números
de puerto (puerto1-puerto2) de las direcciones de origen especificadas.
Si especifica varios puertos o intervalos, deben estar separados por comas.
Aplicación
Seleccione la aplicación de cancelación de los flujos de tráfico que
coincidan con los criterios de la regla anterior. Si cancela una aplicación
personalizada, no se realizará una inspección de amenazas. La excepción
es si cancela una aplicación predeterminada que admite la inspección de
amenazas.
Para definir nuevas aplicaciones, consulte “Definición de aplicaciones”.
246 • Políticas y perfiles de seguridad
Palo Alto Networks
Definición de políticas de portal cautivo
Políticas > Portal cautivo
Use la siguiente tabla para configurar y personalizar un portal cautivo para dirigir la autenticación de usuarios mediante un perfil de autenticación, una secuencia de autenticación o un
perfil de certificado. El portal cautivo se utiliza junto con el agente de ID de usuario (User-ID)
para aumentar las funciones de identificación de usuarios más allá del dominio de Active
Directory. Los usuarios se dirigen hacia el portal y se autentican, creando una asignación de
usuario a dirección IP.
Antes de definir políticas de portal cautivo, habilite las funciones y configure los ajustes
de portal cautivo en la página Identificación de usuarios, tal y como se describe en
“Configuración del cortafuegos para la identificación de usuarios”.
Para obtener información y directrices de configuración acerca de otros tipos de políticas,
consulte “Políticas y perfiles de seguridad”.
Las siguientes tablas describen la configuración de políticas de portal cautivo:
•
“Pestaña General”
•
“Pestaña Origen”
•
“Pestaña Destino”
•
“Pestaña Categoría de URL/servicio”
•
“Pestaña Acción”
Pestaña General
Use la pestaña General para configurar un nombre y una descripción de la política de portal
cautivo. También puede configurar una pestaña para que le permita ordenar o filtrar políticas
cuando estas son muy numerosas.
Campo
Descripción
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos. Solo se requiere el nombre.
Descripción
Introduzca una descripción de la regla (hasta 255 caracteres).
Etiqueta
Si necesita añadir una etiqueta a la política, haga clic en Añadir para
especificar la etiqueta.
Una etiqueta de política es una palabra clave o frase que le permite
ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y
desea revisar las que están etiquetadas con una palabra clave específica.
Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad
con Entrante en DMZ, políticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos específico para
políticas asociadas con esa ubicación.
Palo Alto Networks
Políticas y perfiles de seguridad • 247
Pestaña Origen
Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico
de origen entrante al que se aplicará la política de portal cautivo.
Campo
IP Origen
Descripción
Especifique la siguiente información:
• Seleccione una zona de origen si necesita aplicar la política al tráfico
entrante de todas las interfaces de una zona concreta. Haga clic en
Añadir para especificar múltiples interfaces o zonas.
• Especifique el parámetro Dirección de origen que se aplicará a la
política del portal cautivo desde las direcciones de origen específicas.
Seleccione la casilla de verificación Negar para seleccionar cualquier
dirección excepto las configuradas. Haga clic en Añadir para especificar
múltiples interfaces o zonas.
Pestaña Destino
Use la pestaña Destino para definir la zona de destino o dirección de destino que define el
tráfico de destino al que se aplicará la política.
Campo
IP Destino
Descripción
Especifique la siguiente información:
• Seleccione una zona de destino si necesita aplicar la política al tráfico de
todas las interfaces de una zona concreta. Haga clic en Añadir para
especificar múltiples interfaces o zonas.
• Especifique el parámetro Dirección de destino que se aplicará a la
política del portal cautivo desde las direcciones de destino específicas.
Seleccione la casilla de verificación Negar para seleccionar cualquier
dirección excepto las configuradas. Haga clic en Añadir para especificar
múltiples interfaces o zonas.
Pestaña Categoría de URL/servicio
Use la pestaña Categoría de URL/servicio para hacer que la acción de la política se realice en
función de números de puerto TCP o UDP específicos. Una categoría de URL también puede
usarse como un atributo para la política.
Campo
Descripción
Servicio
Seleccione los servicios para limitar números de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
• Cualquiera: los servicios seleccionados se permiten o deniegan en
cualquier protocolo o puerto.
• Valor predeterminado de aplicación: Los servicios seleccionados se
permiten o deniegan únicamente según los puertos predeterminados
por Palo Alto Networks. Esta opción es la recomendada para políticas
de permiso.
• Seleccionar: Haga clic en Añadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte “Servicios” y “Grupos de servicios”.
248 • Políticas y perfiles de seguridad
Palo Alto Networks
Campo
Categoría de URL
Descripción
Seleccione las categorías URL de la regla de portal cautivo.
• Seleccione Cualquiera para aplicar las acciones especificadas en la
pestaña Servicio/Acción con independencia de la categoría de URL.
• Para especificar una categoría, haga clic en Añadir y seleccione una
categoría concreta (incluyendo una categoría personalizada) de la lista
desplegable. Puede añadir varias categorías. Consulte “Categorías de
URL personalizadas” para obtener más información sobre cómo definir
categorías personalizadas.
Pestaña Acción
Use la pestaña Acciones para determinar si el usuario verá un formato web, un cuadro de
diálogo de reto de explorador o si no se producirá ningún desafío de portal cautivo.
Campo
Descripción
Configuración de acción
Seleccione la acción que se realizará:
• Formato web: Abre una página de portal cautivo en la que el usuario
puede introducir explícitamente las credenciales de autenticación.
• portal no cautivo: Permite el paso del tráfico sin abrir una página de
portal cautivo para su autenticación.
• reto de explorador: Abre una solicitud de autenticación NT LAN
Manager (NTLM) en el explorador web del usuario. El explorador web
responderá utilizando las credenciales de inicio de sesión actuales del
usuario.
Definición de políticas DoS
Políticas > Protección DoS
Las políticas de protección DoS permiten controlar el número de sesiones entre interfaces,
zonas, direcciones y países, basadas en sesiones agregadas o direcciones IP de origen y/o
destino. Por ejemplo, puede controlar el tráfico desde y hacia determinadas direcciones o
grupos de direcciones o desde determinados usuarios y para servicios concretos.
Una política DoS puede incluir un perfil DoS que especifique los umbrales (sesiones o
paquetes por segundo) que indican un ataque. Entonces podrá seleccionar una acción
protectora en una política cuando se active una coincidencia.
Para obtener información sobre cómo definir políticas en Panorama, consulte “Definición de
políticas en Panorama”.
Use esta página para añadir, editar o eliminar reglas de políticas DoS. Para añadir una nueva
regla de política, haga clic en Añadir y, a continuación, cumplimente los siguientes campos.
Palo Alto Networks
Políticas y perfiles de seguridad • 249
Pestaña General
Use la pestaña General para configurar un nombre y una descripción de la política DoS.
También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando
estas son muy numerosas.
Campo
Descripción
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos. Solo se requiere el nombre.
Descripción
Introduzca una descripción de la regla (hasta 255 caracteres).
Etiqueta
Si necesita añadir una etiqueta a la política, haga clic en Añadir para
especificar la etiqueta.
Una etiqueta de política es una palabra clave o frase que le permite
ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y
desea revisar las que están etiquetadas con una palabra clave específica.
Por ejemplo, tal vez quiera etiquetar determinadas políticas de seguridad
con Entrante en DMZ, políticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos específico para
políticas asociadas con esa ubicación.
250 • Políticas y perfiles de seguridad
Palo Alto Networks
Pestaña Origen
Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico
de origen entrante al que se aplicará la política DoS.
Campo
IP Origen
Descripción
Especifique la siguiente información:
• Seleccione Interfaz de la lista desplegable Tipo para aplicar la política
DoS al tráfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la política DoS se debe aplicar al tráfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Añadir
para especificar múltiples interfaces o zonas.
• Especifique el parámetro Dirección de origen que se aplicará a la política
DoS desde las direcciones de origen específicas. Seleccione la casilla de
verificación Negar para seleccionar cualquier dirección excepto las
configuradas. Haga clic en Añadir para especificar varias direcciones.
• Especifique el parámetro Usuario de origen que se aplicará a la
política DoS para el tráfico procedente de los usuarios específicos.
Los siguientes tipos de usuarios de origen son compatibles:
– Cualquiera: Incluye todo el tráfico independientemente de
los datos de usuario.
– Anterior al inicio de sesión: Incluye a usuarios remotos
conectados a la red mediante GlobalProtect pero que no
han iniciado sesión en su sistema. Cuando se configura la
opción Anterior al inicio de sesión en el portal de clientes
de GlobalProtect, cualquier usuario que no esté registrado
en su equipo en ese momento será identificado con el
nombre de usuario Anterior al inicio de sesión. Puede
crear estas políticas para usuarios anteriores al inicio de
sesión y, aunque el usuario no haya iniciado sesión
directamente, sus equipos estarán autenticados en el
dominio como si hubieran iniciado sesión completamente.
– Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de usuario asignados.
Esta opción es equivalente al grupo “usuarios del
dominio” en un dominio.
– Desconocido: Incluye a todos los usuarios desconocidos,
es decir, las direcciones IP que no estén asignadas a un
usuario. Por ejemplo, podría usar desconocido para acceso
de invitados a alguna parte porque tendrán una IP en su
red, pero no se autenticarán en el dominio y no tendrán
ninguna IP en la información de asignación de usuarios en
el cortafuegos.
– Seleccionar: Incluye los usuarios seleccionados en esta
ventana. Por ejemplo, puede que quiera añadir a un
usuario, una lista de individuos, algunos grupos o añadir
usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID),
la lista de usuarios no se muestra y deberá introducir la información del usuario
manualmente.
Palo Alto Networks
Políticas y perfiles de seguridad • 251
Pestaña Destino
Use la pestaña Destino para definir la zona de destino o dirección de destino que define el
tráfico de destino al que se aplicará la política.
Campo
IP Destino
Descripción
Especifique la siguiente información:
• Seleccione Interfaz de la lista desplegable Tipo para aplicar la política
DoS al tráfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la política DoS se debe aplicar al tráfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Añadir
para especificar múltiples interfaces o zonas.
• Especifique el parámetro Dirección de destino que se aplicará a la
política DoS para el tráfico a las direcciones de destino específicas.
Seleccione la casilla de verificación Negar para seleccionar cualquier
dirección excepto las configuradas. Haga clic en Añadir para especificar
varias direcciones.
Pestaña Opción/Protección
Use la pestaña Opción/Protección para configurar opciones adicionales de la política DoS,
como el tipo de servicio (http o https) o la acción que se realizará y decidir si se activará un
reenvío de log para el tráfico coincidente. También puede definir una programación que
determine cuándo estará activa la política y seleccionar un perfil DoS agregado o clasificado
que defina más atributos para la protección DoS.
Campo
Descripción
Servicio
Seleccione en la lista desplegable la política DoS que se aplicará
únicamente a los servicios configurados.
Acción
Seleccione la acción en la lista desplegable:
• Denegar: Cancela todo el tráfico.
• Permitir: Permite todo el tráfico.
• Proteger: Aplica las protecciones proporcionadas en los umbrales que
se configuran como parte del perfil DoS aplicado a esta regla.
Programación
Seleccione una programación preconfigurada de la lista desplegable, que
se aplicará a la regla DoS a una fecha/hora concretas.
Reenvío de logs
Si quiere activar el reenvío de entradas de logs de amenazas a un servicio
externo, como un servidor syslog o Panorama, seleccione un perfil de
reenvío de logs de la lista desplegable o haga clic en Perfil para crear uno
nuevo. Tenga en cuenta que solo será registrado y reenviado el tráfico que
coincida con una acción de la regla.
Agregado
Seleccione un perfil de protección DoS de la lista desplegable para
determinar la tasa a la que desea adoptar las medidas en respuesta a las
amenazas DoS. Esta configuración se aplica al total del tráfico del origen
especificado al destino especificado.
252 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Campo
Descripción
Clasificado
Seleccione la casilla de verificación y especificar los siguientes ajustes:
• Perfil: Seleccione un perfil de la lista desplegable.
• Dirección: Seleccione si la regla se aplicará al origen, destino, o a las
direcciones IP de origen y destino.
Si se especifica un perfil clasificado, las limitaciones del perfil se aplican a
una dirección IP de origen, dirección IP de destino, o pares de direcciones
IP de origen y destino. Por ejemplo, puede especificar un perfil clasificado
con un límite de sesión de 100 y especificar un parámetro Dirección de
“origen” en la regla. El resultado sería un límite de 100 sesiones en
cualquier momento para esa dirección IP de origen en particular.
Perfiles de seguridad
Cada una de las políticas de seguridad puede incluir especificaciones de uno o más perfiles de
seguridad, lo que proporciona aún más nivel de protección y control.
También puede añadir excepciones de amenazas a los perfiles de antispyware y vulnerabilidades. Con objeto de facilitar aún más la gestión de amenazas, puede añadir excepciones de
amenazas directamente desde la lista Supervisar > Logs > Amenazas. Las excepciones de
amenazas se suelen configurar cuando se producen falsos positivos. En este caso, puede
definir una excepción para una amenaza hasta que Palo Alto Networks emita una nueva
firma para el falso positivo que se ha producido.
Los siguientes tipos de perfil están disponibles:
•
Perfiles de antivirus como protección contra gusanos y virus o bloqueo de descargas de
spyware. Consulte “Perfiles de antivirus”.
•
Perfiles de antispyware para bloquear intentos de acceso a la red protegida por parte de
spyware. Consulte “Perfiles de antispyware”.
•
Perfiles de protección de vulnerabilidades para detener los intentos de explotación de
fallos del sistema y de acceso no autorizado a los sistemas. Consulte “Perfiles de
protección de vulnerabilidades”.
•
Perfiles de filtrado de URL para restringir el acceso a sitios web específicos y a categorías
de sitios web. Consulte “Perfiles de filtrado de URL”.
•
Perfiles de bloqueo de archivos para bloquear los tipos de archivos seleccionados.
Consulte “Perfiles de bloqueo de archivo”.
•
Perfiles de filtrado de datos que ayudan a evitar que información confidencial, como
números de tarjetas de crédito o números de la seguridad social salgan de la zona
protegida por el cortafuegos. Consulte “Perfiles de filtrado de datos”.
Además de los perfiles individuales, puede crear grupos en Objetos > Grupos de perfiles de
seguridad para combinar los perfiles que se apliquen con frecuencia conjuntamente.
No puede eliminar un perfil que se utiliza en una política de seguridad. Antes debe
quitar el perfil de la política de seguridad y luego eliminarlo.
Palo Alto Networks
Políticas y perfiles de seguridad • 253
Perfiles de seguridad
Puede elegir entre las siguientes acciones cuando define perfiles de antivirus y antispyware.
•
Predeterminado: Realiza la acción predeterminada especificada internamente en la firma
de cada amenaza.
•
Permitir: Permite el tráfico de la aplicación.
•
Alerta: Genera una alerta para el flujo de tráfico de cada aplicación. La alerta se guarda en
el log de amenazas.
•
Bloquear: Cancela el tráfico de la aplicación.
Las siguientes acciones están disponibles cuando se definen objetos de spyware y vulnerabilidades personalizados:
•
Alerta: Genera una alerta para el flujo de tráfico de cada aplicación. La alerta se guarda en
el log de amenazas.
•
Colocar paquetes: Evita que todos los paquetes salgan del cortafuegos.
•
Restablecer ambos: Restablece el cliente y el servidor.
•
Restablecer cliente: Restablece el cliente.
•
Restablecer servidor: Restablece el servidor.
•
Bloquear IP: Esta acción bloquea el tráfico de un par de origen u origen-destino
(configurable) durante un período de tiempo especificado.
Perfiles de antivirus
Objetos > Perfiles de seguridad > Antivirus
En la página Perfiles de antivirus puede configurar opciones para que el cortafuegos busque
virus mediante análisis del tráfico definido. Defina en qué aplicaciones se buscarán virus
mediante inspecciones y la acción que se llevará a cabo si se encuentra uno. El perfil predeterminado busca virus en todos los descodificadores de protocolo enumerados, genera alertas de
Simple Mail Transport Protocol (SMTP), Internet Message Access Protocol (IMAP), y Post
Office Protocol Version 3 (POP3), y toma las medidas predeterminadas para el resto de las
aplicaciones (alerta o denegación), dependiendo del tipo de virus detectado. El perfil se
adjuntará después a una política de seguridad para determinar la inspección del tráfico que
atraviese zonas específicas.
Los perfiles personalizados se pueden utilizar para minimizar la exploración antivirus para el
tráfico entre zonas de seguridad fiables y para maximizar la inspección o el tráfico recibido de
zonas no fiables, como Internet, así como el tráfico enviado a destinos altamente sensibles,
como granjas de servidores.
Consulte “Perfiles de seguridad” para ver una lista completa de los tipos de perfiles de
seguridad y las acciones que se aplicarán al tráfico coincidente.
Las siguientes tablas describen la configuración de reenvío basado en políticas:
•
“Página de perfil de antivirus”
•
“Pestaña Antivirus”
•
“Pestaña Excepciones”
254 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Página de perfil de antivirus
Use esta página para definir un nombre y una descripción del perfil.
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de antivirus cuando se definen políticas de
seguridad. El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, puntos,
guiones y guiones bajos.
Descripción
Introduzca una descripción del perfil (hasta 255 caracteres).
Pestaña Antivirus
Use la pestaña Antivirus para definir el tipo de tráfico que se inspeccionará, como ftp y http, y
especifique a continuación la acción aplicable. Puede definir diferentes acciones para firmas
de antivirus estándar (columna Acción) y firmas generadas por el sistema WildFire (Acción de
WildFire). Algunos entornos pueden requerir pruebas de estabilidad más largas para firmas
de antivirus, por lo que esta opción permite definir distintas acciones para los dos tipos de
firmas de antivirus ofrecidos por Palo Alto Networks. Por ejemplo, las firmas de antivirus
estándar pasan pruebas de estabilidad más largas (24 horas) en comparación con las firmas
de WildFire, que se pueden generar y emitir en 15 minutos o menos tras la detección de la
amenaza. Por ello, tal vez prefiera elegir la acción de alerta en las firmas de WildFire en lugar
del bloqueo.
Use la tabla Excepción de aplicaciones para definir las aplicaciones que no serán inspeccionadas. Por ejemplo, puede que quiera permitir http pero no inspeccionar el tráfico de una
aplicación específica que funcione a través de http.
Campo
Descripción
Captura de paquetes
Seleccione la casilla de verificación para capturar paquetes identificados.
Descodificadores y
Acciones
Para cada tipo de tráfico en el que desee buscar virus, seleccione una
acción de la lista desplegable. También puede adoptar la medida
específica en función de las firmas creadas por WildFire.
Excepciones de
aplicación y acciones
Identifique aplicaciones que se considerarán excepciones a la regla de
antivirus.
Por ejemplo, para bloquear todo el tráfico HTTP excepto el de una
aplicación específica, puede definir un perfil de antivirus para el que la
aplicación es una excepción. Bloquear es la acción del descodificador
HTTP, y Permitir es la excepción de la aplicación.
Para buscar una aplicación, comience escribiendo el nombre de la
aplicación en el cuadro de texto. Se mostrará una lista con las aplicaciones
coincidentes, en la que podrá realizar una selección. La aplicación se
añade a la tabla y puede asignar una acción.
Para cada excepción de la aplicación, seleccione la acción que se adoptará
cuando se detecte la amenaza.
Palo Alto Networks
Políticas y perfiles de seguridad • 255
Perfiles de seguridad
Pestaña Excepciones
Use la pestaña Excepciones para definir la lista de amenazas que ignorará el perfil de
antivirus.
Campo
Descripción
ID de amenaza
Añada amenazas específicas que deberían ignorarse. Aparecerán las
excepciones ya especificadas. Puede añadir amenazas adicionales
introduciendo el ID de amenaza y haciendo clic en Añadir. Los ID de
amenaza se presentan como parte de la información del log de amenaza.
Consulte “Visualización de logs”.
Perfiles de antispyware
Objetos > Perfiles de seguridad > Antispyware
Una política de seguridad puede incluir información de un perfil antispyware para detectar
“llamada a casa” (detección del tráfico del spyware instalado). El perfil antispyware
predeterminado detecta la protección de llamada a casa en todos los niveles de gravedad,
excepto los niveles bajo e informativo.
Los perfiles personalizados se pueden utilizar para minimizar la exploración antispyware
para el tráfico entre zonas de seguridad fiables y para maximizar la inspección o el tráfico
recibido de zonas no fiables, como Internet, así como el tráfico enviado a destinos altamente
sensibles, como granjas de servidores.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta.
El ajuste de firmas DNS proporciona un método adicional de identificación de hosts
infectados en una red. Estas firmas detectan búsquedas DNS concretas de nombres de host
asociados con malware. Las firmas DNS se pueden configurar para permitir, alertar o (por
defecto) bloquear cuando se observen estas consultas, al igual que las firmas de antivirus
normales. Además, los hosts que realizan consultas DNS en dominios malware aparecerán
en el informe de botnet. Las firmas DNS se descargan como parte de las actualizaciones de
antivirus.
La página Antispyware muestra un conjunto predeterminado de columnas. Existen más
columnas de información disponibles en el selector de columnas. Haga clic en la flecha a la
derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas.
Para obtener más información, consulte “Uso de tablas en páginas de configuración”.
Las siguientes tablas describen la configuración de perfil de antispyware:
Tabla 145. Configuración de perfil de antispyware
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de antispyware cuando se definen políticas
de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, puntos,
guiones y guiones bajos.
Descripción
Introduzca una descripción del perfil (hasta 255 caracteres).
256 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Tabla 145. Configuración de perfil de antispyware (Continuación)
Campo
Descripción
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Pestaña Reglas
Nombre de regla
Especifique el nombre de la regla.
Nombre de amenaza
Introduzca Cualquiera para buscar todas las firmas o introduzca el texto
para buscar cualquier firma con el texto indicado como parte del nombre
de la firma.
Gravedad
Seleccione un nivel de gravedad (crítico, alto, medio, bajo o informativo).
Acción
Seleccione una acción (Predeterminada, Alerta, Permitir o Colocar) para
cada amenaza.
Captura de paquetes
Seleccione la casilla de verificación para capturar paquetes identificados.
Seleccione paquete único para capturar un paquete cuando se detecta,
o bien seleccione la opción captura extendida para capturar de 1 a 50
paquetes. La captura extendida ofrece mucho más contexto de la amenaza
al analizar los logs de amenazas. Para ver la captura de paquetes,
desplácese hasta Supervisar > Logs > Amenaza, busque la entrada del
log que le interesa y haga clic en la flecha verde hacia abajo de la segunda
columna. Para definir el número de paquetes que deben capturarse,
desplácese hasta Dispositivo > Configuración > ID de contenido y edite
la sección Configuración de detección de amenaza.
Solo se producirá captura de paquetes si la acción está permitida o alerta.
Si está definida la opción de bloqueo, la sesión finaliza inmediatamente.
Pestaña Excepciones
Excepciones
Seleccione la casilla de verificación Habilitar para cada amenaza a la que
desee asignar una acción, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categoría y gravedad
seleccionada. Si la lista está vacía, no hay amenazas en las selecciones
actuales.
Utilice la columna Excepciones de dirección IP para añadir filtros de
dirección IP a una excepción de amenaza. Si las direcciones IP se añaden a
una excepción de amenaza, la acción de excepción de la amenaza de esa
firma solo sustituirá a la acción de la regla, si la firma está activada por
una sesión con la IP de origen y destino con una IP coincidente en la
excepción. Puede añadir hasta 100 direcciones IP por firma. Con esta
opción no tiene que crear una nueva regla de política y un nuevo perfil de
vulnerabilidad para crear una excepción para una dirección IP concreta.
Pestaña firma DNS
Palo Alto Networks
Políticas y perfiles de seguridad • 257
Perfiles de seguridad
Tabla 145. Configuración de perfil de antispyware (Continuación)
Campo
Descripción
Acción para consultas
de DNS
Seleccione la medida que se adoptará cuando se realicen búsquedas
DNS en sitios conocidos de software malintencionado (Alertar, Permitir,
sinkhole o predeterminada (Bloquear)).
La acción sinkhole de DNS ofrece a los administradores un método para
identificar hosts infectados en la red usando tráfico DNS, incluso aunque
el cortafuegos esté antes de un servidor de DNS local (es decir, que el
cortafuegos no puede ver el originador de una solicitud de DNS). Si tiene
instalada una licencia de prevención de amenazas y tiene activado un
perfil antispyware, las firmas basadas en DNS se activarán en las solicitudes de DNS destinadas a dominios de software malintencionado.
En una implementación típica, donde el cortafuegos está antes del
servidor DNS local, el log de amenazas identificará la resolución DNS
local como el origen del tráfico en lugar del host infectado. Las consultas
DNS de software malintencionado falsificadas resuelven este problema
de visibilidad generando respuestas erróneas a las consultas dirigidas
a dominios malintencionados, de modo que los clientes que intenten
conectarse a dominios malintencionados (mediante comando y control,
por ejemplo) intenten conectarse en su lugar a una dirección IP especificada por el administrador. Los hosts infectados pueden identificarse
fácilmente en los logs de tráfico porque cualquier host que intente
conectarse a la IP sinkhole está infectado casi con toda seguridad con
software malintencionado.
Tras seleccionar la acción sinkhole, especifique una dirección IPv4 o
IPv6 que se usará como sinkhole (la predeterminada es la IP del loopback,
que resolverá los dominios al host local). Cuando se configura una
dirección IP sinkhole, los clientes infectados pueden ser identificados
filtrando los logs de tráfico o generando un informe personalizado que
compruebe las sesiones de la dirección IP especificada. Es importante
seleccionar una dirección IP mediante la cual una sesión tenga que
enrutarse a través del cortafuegos para que este pueda ver la sesión;
por ejemplo, una IP no usada en otra zona interna.
A continuación se detalla la secuencia de eventos que se sucederán al
habilitar la función sinkhole:
Captura de paquetes
258 • Políticas y perfiles de seguridad
1.
El software malintencionado en el ordenador de un cliente infectado
envía una consulta DNS para resolver un host malintencionado en
Internet.
2.
La consulta DNS del cliente se envía a un servidor DNS interno, que
a su vez realiza una consulta al servidor de DNS público al otro lado
del cortafuegos.
3.
La consulta DNS coincide con una entrada DNS en la base de datos
de firmas DNS, de modo que la acción sinkhole se llevará a cabo en
la consulta.
4.
El cliente infectado intenta entonces iniciar una sesión en el host,
pero usa la dirección IP falsificada en su lugar. La dirección IP
falsificada es la dirección definida en la pestaña Firmas DNS del
perfil Antispyware al seleccionar la acción sinkhole.
5.
Se alerta al administrador de la consulta DNS malintencionada en el
log de amenazas, quien puede entonces buscar en los logs de tráfico
la dirección IP sinkhole y localizar fácilmente la dirección IP del
cliente que intenta iniciar una sesión con la dirección IP sinkhole.
Seleccione la casilla de verificación para capturar paquetes identificados.
Palo Alto Networks
Perfiles de seguridad
Tabla 145. Configuración de perfil de antispyware (Continuación)
Campo
Descripción
Habilitar supervisión
de DNS pasivo
Se trata de una función opcional que permite al cortafuegos actuar como
un sensor DNS pasivo y enviar información de DNS escogida a Palo Alto
Networks para que sea analizada y poder mejorar así las funciones de
inteligencia y prevención de amenazas. Los datos recopilados incluyen
consultas DNS no recursivas (es decir, con origen en la resolución
recursiva local, no en clientes individuales) y cargas de paquetes de
respuesta. El equipo de investigación de amenazas de Palo Alto
Networks usa esta información para conocer mejor cómo funciona la
propagación de software malintencionado y las técnicas de evasión que
se aprovechan del sistema DNS. La información recopilada a través de
estos datos se usa para mejorar la precisión y la capacidad para detectar
software malintencionado dentro del filtrado de URL PAN-DB (PAN-DB
URL filtering), las firmas de comando y control basadas en DNS y
WildFire. Se recomienda habilitar esta función.
Cuando el cortafuegos se configura con rutas de servicio personalizadas,
la función de DNS pasivo utilizará la ruta de servicio de WildFire para
enviar la información de DNS a Palo Alto Networks.
La opción está deshabilitada de manera predeterminada.
ID de amenaza
Introduzca manualmente excepciones de firma DNS (intervalo 40000004999999).
Perfiles de protección de vulnerabilidades
Objetos > Perfiles de seguridad > Protección de vulnerabilidades
Una política de seguridad puede incluir especificaciones de un perfil de protección de
vulnerabilidades que determine el nivel de protección contra desbordamiento de búfer,
ejecución de código ilegal y otros intentos de explotar las vulnerabilidades del sistema.
Hay dos perfiles predefinidos disponibles para la función de protección de vulnerabilidades:
•
El perfil predeterminado aplica la acción predeterminada a todas las vulnerabilidades
de gravedad crítica, alta y media del servidor y del cliente. No detecta los eventos de
protección de vulnerabilidad informativos y bajos.
•
El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de
gravedad crítica, alta y media y utiliza la acción predeterminada para los eventos de
protección de vulnerabilidad bajos e informativos.
Los perfiles personalizados se pueden utilizar para minimizar la comprobación de vulnerabilidades para el tráfico entre zonas de seguridad fiables y para maximizar la protección del
tráfico recibido de zonas no fiables, como Internet; y el tráfico enviado a destinos altamente
sensibles, como granjas de servidores. Para aplicar los perfiles de protección de vulnerabilidades a las políticas de seguridad, consulte “Definición de políticas de seguridad”.
Los parámetros de Reglas especifican conjuntos de firmas para habilitar, así como las medidas
que se deben adoptar cuando se active una firma de un conjunto.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta. La pestaña Excepción admite funciones de filtrado.
Palo Alto Networks
Políticas y perfiles de seguridad • 259
Perfiles de seguridad
La página Protección de vulnerabilidades muestra un conjunto predeterminado de
columnas. Existen más columnas de información disponibles en el selector de columnas.
Haga‘ nclic en la flecha a la derecha de un encabezado de columna y seleccione las columnas
en el submenú Columnas. Para obtener más información, consulte “Uso de tablas en páginas
de configuración”.
Las siguientes tablas describen la configuración de perfil de protección de vulnerabilidades:
Tabla 146. Configuración del perfil de protección de vulnerabilidades
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de protección de vulnerabilidades cuando
se definen políticas de seguridad. El nombre hace distinción entre
mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, puntos, guiones y guiones bajos.
Descripción
Introduzca una descripción del perfil (hasta 255 caracteres).
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Pestaña Reglas
Nombre de regla
Especifique un nombre para identificar la regla.
Nombre de amenaza
Especifique una cadena de texto para buscar. El cortafuegos aplica un
conjunto de firmas a la regla buscando nombres de firmas para esta
cadena de texto.
Acción
Seleccione la acción (Alertar, Permitir, Predeterminada o Bloquear) que
se realizará cuando se active la regla. La acción Predeterminada se basa
en la acción por defecto que forma parte de cada firma proporcionada
por Palo Alto Networks. Para ver la acción predeterminada de una
firma, desplácese a Objetos > Perfiles de seguridad > Protección de
vulnerabilidades y haga clic en Añadir o seleccione un perfil existente.
Haga clic en la pestaña Excepciones y, a continuación, haga clic en
Mostrar todas las firmas. Aparecerá una lista de todas las firmas y
verá una columna Acción.
Host
Especifique si desea limitar las firmas de la regla a las del lado del cliente,
lado del servidor o (cualquiera).
Captura de paquetes
Seleccione la casilla de verificación para capturar paquetes identificados.
Seleccione paquete único para capturar un paquete cuando se detecta,
o bien seleccione la opción captura extendida para capturar de 1 a 50
paquetes. La captura extendida ofrece mucho más contexto de la amenaza
al analizar los logs de amenazas. Para ver la captura de paquetes,
desplácese hasta Supervisar > Logs > Amenaza, busque la entrada del
log que le interesa y haga clic en la flecha verde hacia abajo de la segunda
columna. Para definir el número de paquetes que deben capturarse,
desplácese hasta Dispositivo > Configuración > ID de contenido y edite
la sección Configuración de detección de amenaza.
Solo se producirá captura de paquetes si la acción está permitida o alerta.
Si está definida la opción de bloqueo, la sesión finaliza inmediatamente.
Categoría
260 • Políticas y perfiles de seguridad
Seleccione una categoría de vulnerabilidad si desea limitar las firmas a las
que coinciden con esa categoría.
Palo Alto Networks
Perfiles de seguridad
Tabla 146. Configuración del perfil de protección de vulnerabilidades (Continuación)
Campo
Descripción
Lista CVE
Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea
limitar las firmas a las que también coinciden con las CVE especificadas.
Cada CVE tiene el formato CVE-aaaa-xxxx, donde aaaa es el año y xxxx es
un identificador único. Puede realizar una búsqueda de cadenas en este
campo. Por ejemplo, para buscar las vulnerabilidades del año 2011,
introduzca “2011”.
ID de proveedor
Especifique el ID del proveedor si desea limitar las firmas a las
coincidentes con la de los Id de los proveedores especificados.
Por ejemplo, los ID de proveedor de Microsoft tienen el formato
MSaa-xxx, donde aa es el año en formato de dos dígitos y xxx es el
identificador único. Por ejemplo, para buscar Microsoft en el año 2009,
introduzca “MS09”.
Gravedad
Palo Alto Networks
Seleccione el nivel de gravedad (informativo, bajo, medio, alto o crítico)
si desea limitar las firmas a las coincidentes con los niveles de gravedad
especificados.
Políticas y perfiles de seguridad • 261
Perfiles de seguridad
Tabla 146. Configuración del perfil de protección de vulnerabilidades (Continuación)
Campo
Descripción
Pestaña Excepciones
Amenazas
Seleccione la casilla de verificación Habilitar para cada amenaza a la que
desee asignar una acción, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categoría y gravedad
seleccionada. Si la lista está vacía, no hay amenazas en las selecciones
actuales.
Seleccione una acción de la lista desplegable o seleccione una opción de la
lista desplegable Acción en la parte superior de la lista para aplicar la
misma acción a todas las amenazas. Si la casilla de verificación Mostrar
todo está seleccionada, aparecerán todas las firmas. Si la casilla de
verificación Mostrar todo no está seleccionada, solo se mostrarán las
firmas que son excepciones.
Seleccione la casilla de verificación Captura de paquetes si desea capturar
paquetes identificados.
La base de datos de firma de vulnerabilidad contiene firmas que indican
un ataque de fuerza bruta; por ejemplo, el ID de amenaza 40001 se activa
en un ataque de fuerza bruta de FTP. Las firmas de fuerza bruta se
activan cuando se produce una condición en un determinado umbral
temporal. Los umbrales están preconfigurados para firmas de fuerza
bruta y se pueden modificar haciendo clic en el icono de lápiz
junto al
nombre de la amenaza de la pestaña Vulnerabilidad (con la opción
Personalizada seleccionada). Puede especificar el número de resultados
por unidad de tiempo y si se aplicarán los umbrales de origen, destino u
origen-destino.
Los umbrales se pueden aplicar en una IP de origen, IP de destino o una
combinación de IP de origen y destino.
La acción predeterminada se muestra entre paréntesis. La columna CVE muestra
los identificadores de vulnerabilidades y exposiciones comunes (CVE). Estos
identificadores únicos y comunes son para vulnerabilidades de seguridad de
información públicamente conocidas.
Utilice la columna Excepciones de dirección IP para añadir filtros de
dirección IP a una excepción de amenaza. Si las direcciones IP se añaden a
una excepción de amenaza, la acción de excepción de la amenaza de esa
firma solo sustituirá a la acción de la regla, si la firma está activada por
una sesión con la IP de origen y destino con una IP coincidente en la
excepción. Puede añadir hasta 100 direcciones IP por firma. Con esta
opción no tiene que crear una nueva regla de política y un nuevo perfil de
vulnerabilidad para crear una excepción para una dirección IP concreta.
262 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Perfiles de filtrado de URL
Objetos > Perfiles de seguridad > Filtrado de URL
Una política de seguridad puede incluir la especificación de un perfil de filtrado de una URL
que bloquee el acceso a sitios web y a categorías de sitios web específicas, que aplique Safe
Search o que genere una alerta cuando se accede a sitios web concretos (se requiere una
licencia de filtrado URL). También puede definir una “lista de bloqueo” de sitios web que
esté siempre bloqueada (o que generen alertas) y una “lista de permiso” de sitios web que
esté siempre permitida.
Para aplicar los perfiles de filtrado de URL a las políticas de seguridad, consulte “Definición
de políticas de seguridad”. Para crear categorías de URL personalizadas con sus propias listas
de URL, consulte “Categorías de URL personalizadas”.
Las siguientes tablas describen la configuración de perfil de filtrado de URL:
Tabla 147. Configuración de perfil de filtrado de URL
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de filtrado de URL cuando se definen
políticas de seguridad. El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, guiones y guiones bajos.
Descripción
Introduzca una descripción del perfil (hasta 255 caracteres).
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Categorías
(configurable solo
para BrightCloud)
Seleccione la medida que se adoptará si vence la licencia de filtrado
de URL:
Acción tras el
vencimiento de
la licencia
• Bloquear: Bloquea el acceso a todos los sitios web.
• Permitir: Permite el acceso a todos los sitios web.
Nota: Si usa la base de datos BrightCloud y define esta opción para bloquear al
vencimiento de la licencia, se bloquearán todas las URL, no solo las categorías de
URL definidas para bloquearse. Si elige Permitir, se permitirán todas las URL.
Si usa PAN-DB, el filtrado de URL seguirá funcionando y las categorías de URL
que se encuentran en caché actualmente se usarán para bloquear o permitir en
función de su configuración.
Palo Alto Networks
Políticas y perfiles de seguridad • 263
Perfiles de seguridad
Tabla 147. Configuración de perfil de filtrado de URL (Continuación)
Campo
Descripción
Lista de bloqueadas
Introduzca las direcciones IP o los nombres de la ruta URL de los sitios
web que desee bloquear o cuyas alertas desee generar. Introduzca las
URL una a una.
Importante: Debe omitir la parte “http y https” de las URL cuando añada
los sitios web a la lista.
Las entradas de la lista de bloqueo deben ser una coincidencia
completa y no distinguen entre mayúsculas y minúsculas. Por ejemplo,
“www.paloaltonetworks.com” es diferente de “paloaltonetworks.com”.
Si desea bloquear el dominio entero, debe incluir “*.paloaltonetworks.com”
y “paloaltonetworks.com”.
Ejemplos:
• www.paloaltonetworks.com
• 198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carácter anterior se considera un testigo.
Un testigo puede ser cualquier número de caracteres ASCII que no
contenga un carácter separador o *. Por ejemplo, los siguientes patrones
son válidos:
*.yahoo.com
www.*.com
www.yahoo.com/search=*
(Los testigos son: "*", "yahoo" y "com")
(Los testigos son: "www", "*" and "com")
(Los testigos son: "www", "yahoo", "com",
"search", "*")
Los siguientes patrones no son válidos porque el carácter “*” no es el
único carácter en el testigo.
ww*.yahoo.com
www.y*.com
Acción
Seleccione la medida que se adoptará cuando se acceda a un sitio web de
la lista de bloqueo.
• Alertar: Permite al usuario acceder al sitio web, pero añade una alerta al
log de URL.
• Bloquear: Bloquea el acceso al sitio web.
• Continuar: Permite al usuario continuar a la página bloqueada después
de hacer clic en Continuar en la página bloqueada.
• Cancelar: Permite al usuario acceder a la página bloqueada después de
introducir una contraseña. La contraseña y el resto de parámetros de
cancelación se especifican en el área de cancelación de administrador de
URL de la página Configuración. Consulte la Tabla 1 en “Definición de
la configuración de gestión”.
264 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Tabla 147. Configuración de perfil de filtrado de URL (Continuación)
Campo
Descripción
Lista de permitidas
Introduzca las direcciones IP o los nombres de la ruta URL de los sitios
web que desee permitir o cuyas alertas desee generar. Introduzca una
dirección IP o URL en cada línea.
Importante: Debe omitir la parte “http y https” de las URL cuando añada
los sitios web a la lista.
Las entradas de la lista de permitidas deben ser una coincidencia
completa y no distinguen entre mayúsculas y minúsculas. Por ejemplo,
“www.paloaltonetworks.com” es diferente de “paloaltonetworks.com”.
Si desea permitir el dominio entero, debe incluir “*.paloaltonetworks.com”
y “paloaltonetworks.com”.
Ejemplos:
• www.paloaltonetworks.com
• 198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carácter anterior se considera un testigo.
Un testigo puede ser cualquier número de caracteres ASCII que no
contenga un carácter separador o *. Por ejemplo, los siguientes patrones
son válidos:
*.yahoo.com
www.*.com
www.yahoo.com/search=*
(Los testigos son: "*", "yahoo" y "com")
(Los testigos son: "www", "*" and "com")
(Los testigos son: "www", "yahoo", "com", "search",
"*")
Los siguientes patrones no son válidos porque el carácter “*” no es el
único carácter en el testigo.
ww*.yahoo.com
www.y*.com
Esta lista tiene prioridad sobre las categorías de sitios web seleccionados.
Palo Alto Networks
Políticas y perfiles de seguridad • 265
Perfiles de seguridad
Tabla 147. Configuración de perfil de filtrado de URL (Continuación)
Campo
Descripción
Categoría/Acción
Seleccione, para cada categoría, la medida que se adoptará cuando accede
a un sitio web de esa categoría.
• Alertar: Permite al usuario acceder al sitio web, pero añade una alerta al
log de URL.
• Permitir: Permite al usuario acceder al sitio web.
• Bloquear: Bloquea el acceso al sitio web.
• Continuar: Permite al usuario continuar a la página bloqueada después
de hacer clic en Continuar en la página bloqueada.
• Cancelar: Permite al usuario acceder a la página bloqueada después de
introducir una contraseña. La contraseña y el resto de parámetros de
cancelación se especifican en el área de cancelación de administrador de
URL de la página Configuración. Consulte la Tabla 11 en “Definición
de la configuración de gestión”.
Nota: Las páginas Continuar y Cancelar no se mostrarán correctamente en
máquinas cliente configuradas para utilizar un servidor proxy.
Comprobar categoría
de URL
Haga clic para acceder al sitio web donde podrá introducir una URL o
dirección IP para ver información de categorización.
Filtrado de URL
dinámica
Seleccione para activar las búsquedas en la nube y categorizar la URL.
Esta opción se activa si la base de datos local no puede categorizar la
URL.
Valor predeterminado:
Deshabilitado
(configurable solo para
BrightCloud)
Si la URL no se resuelve después de que aparezca la ventana de tiempo de
espera de 5 segundos, la respuesta aparece como “URL no resuelta”.
Con PAN-DB, esta opción
está habilitada de forma
predeterminada y no es
configurable.
Página de contenedor
de log únicamente
Seleccione la casilla de verificación para incluir en el log únicamente las
URL que coinciden con el tipo de contenido especificado.
Valor predeterminado:
Habilitado
266 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Tabla 147. Configuración de perfil de filtrado de URL (Continuación)
Campo
Descripción
Habilitar forzaje de
búsquedas seguras
Seleccione esta casilla de verificación para forzar el filtrado de búsquedas
seguras estricto.
Valor predeterminado:
Deshabilitado
Al habilitarla, esta opción evitará que los usuarios que realicen búsquedas
en Internet usando uno de los tres principales proveedores de búsquedas
(Bing, Google, Yahoo, Yandex o YouTube) vean los resultados de
búsqueda, a menos que tengan definida la opción de búsqueda segura
estricta en sus exploradores para estos motores de búsqueda. Si un
usuario realiza una búsqueda usando uno de estos motores y su explorador o motor de búsqueda no tiene configurada la opción búsqueda
segura en la opción estricta, los resultados de búsqueda serán bloqueados
(dependiendo de la acción definida en el perfil) y se pedirá al usuario que
defina la opción estricta en la configuración de búsqueda segura.
Para usar esta función,
no es necesaria una
licencia de filtrado
de URL.
Nota: Si está realizando una búsqueda en Yahoo! Japan (yahoo.co.jp) mientras
está registrado en su cuenta de Yahoo!, la opción de bloqueo para el ajuste de
búsqueda también debe estar habilitada.
Para forzar la búsqueda segura, debe añadirse el perfil a la política de
seguridad. Y, para activar la búsqueda segura para los sitios cifrados
(HTTPS), debe añadirse el perfil a una política de cifrado.
La habilidad del cortafuegos para detectar la configuración de búsquedas
seguras dentro de estos tres proveedores se actualizará usando la
actualización de firma Aplicaciones y amenazas. Si un proveedor cambia
el método de configuración de búsquedas seguras que usa Palo Alto
Networks para detectar estas configuraciones, se llevará a cabo una
actualización de firmas para garantizar que se detecta la configuración
adecuadamente. Además, la evaluación para determinar si un sitio se
considera seguro o no la realizan los proveedores de búsquedas, no Palo
Alto Networks.
Para evitar que los usuarios omitan esta función usando otros proveedores de búsquedas, configure el perfil de filtrado de URL para que
bloquee la categoría de los motores de búsqueda y que se puedan
permitir Bing, Google, Yahoo, Yandex y YouTube.
Consulte la Guía del administrador de PAN-OS para obtener más
información.
Palo Alto Networks
Políticas y perfiles de seguridad • 267
Perfiles de seguridad
Tabla 147. Configuración de perfil de filtrado de URL (Continuación)
Campo
Descripción
Logging de la cabecera
HTTP
La activación del logging de la cabecera HTTP proporciona visibilidad
sobre los atributos incluidos en la solicitud de HTTP enviada a un servidor.
Cuando están activados, uno o varios de los siguientes pares de valores
de atributos se graban en el log de filtrado de URL:
• Agente-usuario (User-Agent): El navegador web que utilizaba el
usuario para acceder a la URL. Esta información se envía en la solicitud
de HTTP al servidor. Por ejemplo, el agente-usuario puede ser Internet
Explorer o Firefox. El valor Agente-usuario del log admite hasta 1024
caracteres.
• Sitio de referencia: URL de la página web que enlazaba el usuario a otra
página web; se trata del origen que ha redirigido (referencia) al usuario
a la página web que se está solicitando. El valor del sitio de referencia
en el log admite hasta 256 caracteres.
• X reenviado para: opción del campo de encabezado que conserva la
dirección IP del usuario que ha solicitado la página web. Le permite
identificar la dirección IP del usuario. Es especialmente útil si tiene un
servidor proxy en su red o ha implementado NAT de origen, algo que
enmascara la dirección IP del usuario de tal forma que todas las solicitudes parecen originarse desde la dirección IP del servidor proxy o una
dirección IP común. El valor de x reenviado para en el log admite hasta
128 caracteres.
268 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Perfiles de bloqueo de archivo
Objetos > Perfiles de seguridad > Bloqueo de archivo
Una política de seguridad puede incluir la especificación de un perfil de bloqueo de archivos
que impida que los tipos de archivos seleccionados se carguen o descarguen, o que genere
una alerta cuando se detecten. Si se selecciona la acción Reenviar, los tipos de archivos
compatibles se enviarán a WildFire, donde serán analizados para buscar comportamientos
malintencionados. La Tabla 149 enumera los formatos de archivo compatibles en el momento
de esta publicación. Sin embargo, dado que en una actualización de contenido se puede
añadir una nueva compatibilidad con un tipo de archivo, para ver la lista más actualizada,
haga clic en Añadir en el campo Tipos de archivo del cuadro de diálogo Perfil de bloqueo
de archivo.
Para aplicar los perfiles de bloqueo de archivo a las políticas de seguridad, consulte
“Definición de políticas de seguridad”.
Las siguientes tablas describen la configuración de perfil de bloqueo de archivo:
Tabla 148. Configuración de perfil de bloqueo de archivo
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de bloqueo de archivos cuando se definen
políticas de seguridad. El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, guiones y guiones bajos.
Descripción
Introduzca una descripción del perfil (hasta 255 caracteres).
Palo Alto Networks
Políticas y perfiles de seguridad • 269
Perfiles de seguridad
Tabla 148. Configuración de perfil de bloqueo de archivo (Continuación)
Campo
Descripción
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Reglas
Defina una o más reglas para especificar la medida que se adoptará (si se
especifica alguna) para los tipos de archivos seleccionados. Para añadir
una regla, especifique los siguientes ajustes y haga clic en Añadir:
• Nombre: Introduzca un nombre para la regla (hasta 31 caracteres).
• Aplicaciones: Seleccione las aplicaciones a las que afectará la regla o
seleccione Cualquiera.
• Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o
para los que desee generar alertas.
• Dirección: Seleccione la dirección de la transferencia de archivos
(Cargar, Descargar o Ambos).
• Acción: Seleccione la medida que se adoptará cuando se detecten
archivos de los tipos seleccionados:
– Alertar: Se añade una entrada al log de amenazas.
– Bloquear: El archivo se bloquea.
– Continuar: Aparecerá un mensaje para el usuario indicando que se
ha solicitado una descarga y le pide confirmación para continuar.
El propósito es advertir al usuario de una posible descarga desconocida (también se conocen como descargas drive-by) y darle al
usuario la opción de continuar o detener la descarga.
Cuando crea un perfil de bloqueo de archivos con la acción Continuar
o Continuar y reenviar (utilizado para el reenvío de WildFire),
únicamente puede elegir la aplicación navegación web. Si elige
cualquier otra aplicación, el tráfico que coincida con la política de
seguridad no fluirá hacia el cortafuegos debido al hecho de que los
usuarios no verán una página que les pregunte si desean continuar.
– Reenviar: El archivo se envía automáticamente a WildFire.
– Continuar y reenviar: Aparece una página de continuación y el
archivo se envía a WildFire (combina las acciones Continuar y
Reenviar). Esta acción solo funciona con tráfico basado en web.
Esto se debe al hecho de que un usuario debe hacer clic en continuar
antes de que el archivo se reenvíe y la opción de página de respuesta
de continuación solo está disponible con http/https.
270 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Tabla 149. Formatos de archivo compatibles con bloqueo de archivos
Campo
Descripción
apk
Archivo de paquete de aplicaciones Android
avi
Archivo de vídeo basado en el formato Microsoft AVI (RIFF)
avi-divx
Archivo de vídeo AVI codificado con el códec DivX
avi-xvid
Archivo de vídeo AVI codificado con el códec XviD
bat
Archivo por lotes MS DOS
bmp-upload
Archivo de imagen de mapa de bits (carga únicamente)
cab
Archivo comprimido de Microsoft Windows
cdr
Archivo de Corel Draw
class
Archivo bytecode de Java
cmd
Archivo de comandos de Microsoft
dll
Biblioteca de vínculos dinámicos de Microsoft Windows
doc
Documento de Microsoft Office
docx
Documento de Microsoft Office 2007
dpx
Archivo Digital Picture Exchange
dsn
Archivo Database Source Name
dwf
Archivo Design Web Format de Autodesk
dwg
Archivo Autodesk AutoCAD
edif
Archivo Electronic Design Interchange Format
email-link
Al enviar el tipo de archivo email-link, el cortafuegos extrae los enlaces de
HTTP/HTTPS contenidos en los mensajes de correo electrónico POP3 y
SMTP y los envía a la nube de WildFire para su análisis (esta función
no está admitida en el dispositivo WF-5000 WildFire). Observe que el
cortafuegos solo extrae enlaces e información de sesión asociada (emisor,
receptor y asunto) de los mensajes de correo electrónico que atraviesan el
cortafuegos; no recibe, almacena, reenvía ni ve el mensaje de correo
electrónico.
Después de recibir un enlace de correo electrónico de un cortafuegos,
WildFire visita los enlaces para determinar si la página web correspondiente alberga alguna explotación. Si determina que la página es benigna,
no se enviará ninguna entrada de log al cortafuegos. Si el enlace es malintencionado, se genera un informe de análisis detallado de WildFire en el
log de presentaciones de WildFire y la URL se añade a PAN-DB.
encrypted-doc
Documento cifrado de Microsoft Office
encrypted-docx
Documento cifrado de Microsoft Office 2007
encrypted-office2007
Archivo cifrado de Microsoft Office 2007
encrypted-pdf
Documento cifrado de Adobe PDF
encrypted-ppt
Documento cifrado de Microsoft PowerPoint
encrypted-pptx
Documento cifrado de Microsoft PowerPoint 2007
encrypted-rar
Archivo cifrado rar
Palo Alto Networks
Políticas y perfiles de seguridad • 271
Perfiles de seguridad
Tabla 149. Formatos de archivo compatibles con bloqueo de archivos (Continuación)
Campo
Descripción
encrypted-xls
Archivo cifrado de Microsoft Office Excel
encrypted-xlsx
Archivo cifrado de Microsoft Office Excel 2007
encrypted-zip
Archivo cifrado zip
exe
Ejecutable de Microsoft Windows
flash
Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC.
El archivo SWF suministra gráficos de vector, texto, vídeo y sonido en
Internet; este contenido se ve en el reproductor Adobe Flash. El archivo
SWC es un paquete comprimido de componentes SWF.
flv
Archivo de Adobe Flash Video
gds
Archivo Graphics Data System
gif-upload
Archivo de imagen GIF (carga únicamente)
gzip
Archivos comprimidos con la aplicación gzip
hta
Archivo de aplicación HTML
iso
Imagen de disco según la normativa ISO-9660
iwork-keynote
Documentos de iWork Keynote de Apple
iwork-numbers
Documentos de iWork Numbers de Apple
iwork-pages
Documentos de iWork Pages de Apple
jar
Archivo Java
jpeg-upload
Archivo de imagen JPG/JPEG (carga únicamente)
lnk
Acceso directo a archivo de Microsoft Windows
lzh
Archivo comprimido con la utilidad/algoritmo lha/lhz
mdb
Archivo Microsoft Access Database
mdi
Archivo Microsoft Document Imaging
mkv
Archivo Matroska Video
mov
Archivo Apple Quicktime Movie
mp3
Archivo de audio MP3
mp4
Archivo de audio MP4
mpeg
Archivo de audio y vídeo con la compresión MPEG-1 o MPEG-2
msi
Archivo paquete de Microsoft Windows Installer
msoffice
Archivo de Microsoft Office (doc, docx, ppt, pptx, pub, pst, rtf, xls, xlsx).
Si quiere que el cortafuegos bloquee/reenvíe archivos de MS Office, se
recomienda que seleccione el grupo “msoffice” para asegurarse de que se
identificarán todos los tipos de archivos de MS Office admitidos en lugar
de seleccionar individualmente cada tipo de archivo.
ocx
Archivo Microsoft ActiveX
pdf
Archivo Adobe Portable Document
PE
Microsoft Windows Portable Executable (exe, dll, com, scr, ocx, cpl, sys,
drv, tlb)
272 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Tabla 149. Formatos de archivo compatibles con bloqueo de archivos (Continuación)
Campo
Descripción
pgp
Clave de seguridad o firma digital cifrada con software PGP
pif
Archivo de información de programas de Windows con instrucciones
ejecutables
pl
Archivo de comandos Perl
png-upload
Archivo de imagen PNG (carga únicamente)
ppt
Presentación en Microsoft Office PowerPoint
pptx
Presentación en Microsoft Office PowerPoint 2007
psd
Documento de Adobe Photoshop
rar
Archivo comprimido creado con winrar
reg
Archivo de registro de Windows
rm
Archivo RealNetworks Real Media
rtf
Archivo de documento de formato de texto enriquecido de Windows
sh
Archivo de comandos Shell de Unix
stp
Archivo de gráficos estándar para el intercambio de datos de modelo de
productos en 3D
tar
Archivo comprimido tar de Unix
tdb
Archivo Tanner Database (www.tannereda.com)
tif
Archivo Windows Tagged Image
torrent
Archivo de BitTorrent
wmf
Metaarchivo de Windows para guardar imágenes de vectores
wmv
Archivo de vídeo Windows Media
wri
Archivo de documento de Windows Write
wsf
Archivo de comandos de Windows
xls
Microsoft Office Excel
xlsx
Microsoft Office 2007 Excel
zcompressed
Archivo Z comprimido en Unix, se descomprime con la utilidad
uncompress
Código postal
Archivo Winzip/pkzip
Palo Alto Networks
Políticas y perfiles de seguridad • 273
Perfiles de seguridad
Perfiles de filtrado de datos
Objetos > Perfiles de seguridad > Filtrado de datos
Una política de seguridad puede incluir la especificación de un perfil de filtrado de datos
que ayuda a identificar información confidencial como números de tarjetas de crédito o
de la seguridad social y que evita que dicha información salga del área protegida por el
cortafuegos.
Para aplicar los perfiles de filtrado de datos a las políticas de seguridad, consulte “Definición
de políticas de seguridad”.
Las siguientes tablas describen la configuración de perfil de filtrado de datos:
Tabla 150. Configuración de Perfiles de filtrado de datos
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de reenvío de logs cuando se definen
políticas de seguridad. El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, guiones y guiones bajos.
Descripción
Introduzca una descripción del perfil (hasta 255 caracteres).
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Captura de datos
Seleccione la casilla de verificación para recopilar automáticamente los
datos bloqueados por el filtro.
Especifique una contraseña para Gestionar protección de datos en la página
Configuración para ver sus datos capturados. Consulte “Definición de la
configuración de gestión”.
Para añadir un patrón de datos, haga clic en Añadir y especifique la siguiente información.
274 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Tabla 151. Configuración de patrones de datos
Campo
Descripción
Patrón de datos
Seleccione un patrón de datos existente de la lista desplegable Patrón de
datos o configure un nuevo patrón de datos seleccionando Patrón de
datos de la lista y especificando la siguiente información:
• Nombre: Configure un nombre para el patrón de datos.
• Descripción: Configure una descripción para el patrón de datos.
• Compartido: Seleccione esta opción si el objeto del patrón de datos se
compartirá en diferentes sistemas virtuales.
• Peso: Especifique valores de unidades para los patrones especificados
que se utilizarán en el cálculo de umbrales. Por ejemplo, si designa un
peso de 5 para SSN#, cada instancia de un patrón SSN superará el
umbral en 5. En otras palabras, la detección de diez patrones SSN dará
como resultado 10 x 5 (peso) = 50.
– CC#: Especifique un peso para el campo de tarjeta de crédito
(intervalo 0-255).
– SSN#: Especifique un peso para el campo del número de la
seguridad social, donde el campo incluye guiones, como 123-45-6789
(intervalo 0-255, 255 es el peso máximo).
– SSN# (sin guión): Especifique un peso para el campo del número de
la seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso máximo).
• Patrones personalizados: Para buscar un patrón de datos personalizado para el tráfico que cumpla este perfil, cree un patrón de datos
personalizado haciendo clic en Añadir y especifique el nombre del
patrón, expresión regular (regex) que se buscará y peso (0-255, 255 es
el peso máximo). Puede añadir múltiples expresiones coincidentes al
mismo perfil del patrón de datos.
Aplicaciones
Especifique las aplicaciones que se incluirán en la regla de filtrado:
• Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones
enumeradas. Esta selección no bloquea todas las aplicaciones posibles,
solo las enumeradas.
• Haga clic en Añadir para especificar aplicaciones individuales.
Tipos de archivos
Especifique los tipos de archivos que se incluirán en la regla de filtrado:
• Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos
enumerados. Esta selección no bloquea todos los posibles tipos de
archivo, solo los enumerados.
• Haga clic en Añadir para especificar tipos de archivos individuales.
Dirección
Especifique si desea aplicar el filtro en la dirección de la carga, descarga
o ambas.
Umbral de alerta
Especifique el valor que activará la alerta. Por ejemplo si tiene un umbral
de 100 con un peso de SSN de 5, la regla necesitará detectar al menos
20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100).
Umbral de bloqueo
Especifique el valor que activará el bloqueo. Por ejemplo si tiene un
umbral de 100 con un peso de SSN de 5, la regla necesitará detectar al
menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de
peso = 100).
Palo Alto Networks
Políticas y perfiles de seguridad • 275
Perfiles de seguridad
Perfiles DoS
Objetos > Perfiles de seguridad > Protección DoS
Los perfiles de protección DoS están diseñados para una selección muy precisa y los perfiles
de protección de zona de aumento. El perfil DoS especifica los tipos de acciones y los criterios
de coincidencia para detectar un ataque de DoS. Estos perfiles se adjuntan a políticas de
protección de DoS para permitirle controlar el tráfico entre interfaces, zonas, direcciones y
países según sesiones agregadas o direcciones IP únicas de origen o o destino. Para aplicar
perfiles DoS a políticas DoS, consulte “Definición de políticas DoS”.
Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente:
• Zonas externas para permitir la comunicación entre sistemas virtuales
• Puertas de enlace compartidas para permitir que los sistemas virtuales
compartan una interfaz común y una dirección IP para las comunicaciones
externas.
Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la
zona externa:
• Cookies SYN
• Fragmentación de IP
• ICMPv6
Para permitir la fragmentación de IP y la protección de ICMPv6, debe crear un
perfil de protección de zona distinto para la puerta de enlace compartida.
Para activar la protección frente a inundaciones SYN en una puerta de enlace
compartida, puede aplicar un perfil de protección de inundación SYN con descarte
aleatorio temprano o cookies SYN; en una zona externa solo está disponible el
descarte aleatorio temprano para la protección frente a inundación SYN
276 • Políticas y perfiles de seguridad
Palo Alto Networks
Perfiles de seguridad
Las siguientes tablas describen la configuración de perfil de DoS:
Tabla 152. Configuración de perfiles DoS
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de reenvío de logs cuando se definen
políticas de seguridad. El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, guiones y guiones bajos.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Descripción
Introduzca una descripción del perfil (hasta 255 caracteres).
Tipo
Especifique uno de los tipos de perfil siguientes:
• Agregar: Aplica los umbrales DoS configurados en el perfil a todos
los paquetes que cumplan los criterios de la regla en la que se aplica
el perfil. Por ejemplo, una regla de agregación con un umbral de
inundación SYN de 10000 paquetes por segundo (pps) cuenta todos
los paquetes que cumplen esa regla DoS concreta.
• Clasificado: Aplica los umbrales DoS configurados en el perfil a todos
los paquetes que cumplen el criterio de clasificación (IP de origen, IP de
destino, o IP de origen y destino).
Pestaña Protección contra inundaciones
Pestaña secundaria
Inundación SYN
Seleccione la casilla de verificación para activar la protección de
inundación SYN y especificar los siguientes ajustes:
Pestaña secundaria
Inundación de UDP
• Acción: (Inundación SYN únicamente) Seleccione entre las siguientes
opciones:
Pestaña secundaria
Inundación de ICMP
– Descarte aleatorio temprano: Descarta paquetes de forma aleatoria
antes de alcanzar el límite DoS.
Otras pestañas
secundarias
– Cookies SYN: Utilice esta opción para generar confirmaciones, de
forma que no sea necesario cancelar conexiones en presencia de un
ataque de inundación SYN.
• Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma DoS
(intervalo 0-2000000 pps, por defecto, 10000 pps).
• Activar tasa: Seleccione la tasa (pps) a la que se activará la respuesta
DoS (intervalo 0-2000000 pps, por defecto, 10000 pps).
• Tasa máxima: Especifique la tasa a la que los paquetes se descartarán o
se bloquearán.
• Duración del bloqueo: Especifique la duración (en segundos) durante
la que los paquetes infractores se denegarán. Los paquetes que lleguen
durante la duración del bloqueo no afectarán al recuento para activar
las alertas.
Nota: Si define límites de umbral de paquetes por segundo (pps) de
perfiles de protección de zonas, el umbral se basa en los paquetes por
segundo que no coinciden con ninguna sesión establecida previamente.
Palo Alto Networks
Políticas y perfiles de seguridad • 277
Otros objetos de las políticas
Tabla 152. Configuración de perfiles DoS (Continuación)
Campo
Descripción
Pestaña Protección de recursos
Sesiones
Seleccione la casilla de verificación para habilitar la protección de los
recursos.
Máx. de límites
simultáneos
Especifique el número máximo de sesiones simultáneas. Si el tipo de
perfil DoS es de agregación, este límite se aplica a todo el tráfico entrante
que cumple la regla DoS en la que se aplica el perfil DoS. Si el tipo de
perfil DoS es de clasificación, este límite se aplica a todo el tráfico
clasificado (IP de origen, IP de destino, o IP de origen y destino) que
cumple la regla DoS en la que se aplica el perfil DoS.
Otros objetos de las políticas
Los objetos de las políticas son los elementos que le permiten construir, programar y buscar
políticas. Los siguientes tipos de elementos son compatibles:
•
Direcciones y grupos de direcciones para determinar el ámbito de la política. Consulte
“Definición de grupos de direcciones”.
•
Aplicaciones y grupos de aplicaciones que permiten especificar cómo se tratan las
aplicaciones de software en las políticas. Consulte “Aplicaciones y grupos de
aplicaciones”.
•
Filtros de aplicación que permiten simplificar búsquedas. Consulte “Filtros de
aplicación”.
•
Servicios y grupos de servicios que limitan los números de puertos. Consulte “Servicios”.
•
Etiquetas para ordenar y filtrar objetos. Consulte “Trabajo con etiquetas”.
•
Patrones de datos para definir categorías de información confidencial para políticas de
filtrado de datos. Consulte “Patrones de datos”.
•
Categorías URL personalizadas que contienen sus propias listas de URL que se incluyen
como grupo en perfiles de filtrado URL. Consulte “Categorías de URL personalizadas”.
•
Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las
amenazas. Consulte “Grupos de perfiles de seguridad”.
•
Reenvío de log para especificar configuraciones de log. Consulte “Reenvío de logs”.
•
Programaciones para especificar cuándo están las políticas activas. Consulte
“Programaciones”.
278 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
Definición de objetos de direcciones
Objetos > Direcciones
Un objeto de dirección puede incluir una dirección IPv4 o IPv6 (dirección IP simple, intervalo,
subred) o FQDN. Le permite reutilizar el mismo objeto como dirección de origen o destino
en todas las bases de reglas de políticas sin tener que añadirlas cada vez de forma manual.
Se configura usando la interfaz web o la CLI y se requiere una operación de compilación para
hacer que el objeto forme parte de la configuración.
Para definir un objeto de dirección, haga clic en Añadir y cumplimente los siguientes campos.
Tabla 153. Configuración de nuevas direcciones
Campo
Descripción
Nombre
Introduzca un nombre que describe las direcciones que se definirán
(de hasta 63 caracteres). Este nombre aparece en la lista de direcciones
cuando se definen políticas de seguridad. El nombre hace distinción entre
mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.
Compartido
Si el dispositivo está habilitado para operar en el modo de varios sistemas
virtuales, seleccione esta casilla de verificación para compartir el objeto de
dirección con todos los sistemas virtuales del dispositivo.
En Panorama, seleccione la casilla de verificación de Compartido para
compartir el objeto con todos los grupos del dispositivo. Si no está
seleccionada, el objeto pertenecerá al grupo del dispositivo que se
muestre en la lista desplegable Grupo de dispositivos.
Descripción
Introduzca una descripción del objeto (hasta 255 caracteres).
Tipo
Especifique una dirección o intervalo de direcciones IPv4 o IPv6 o FQDN.
Máscara de red IP:
Introduzca la dirección IPv4 o IPv6 o la el intervalo de la dirección IP con
la siguiente notación:
dirección_ip/máscara o dirección_ip
donde la máscara es el número de dígitos binarios significativos utilizados
para la porción de red de la dirección.
Ejemplo:
“192.168.80.150/32” indica una dirección y “192.168.80.0/24” indica todas
las direcciones desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
“2001:db8:123:1::1” o “2001:db8:123:1::/64”
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e
introduzca un intervalo de direcciones. El formato es:
dirección_ip–dirección_ip
donde cada dirección puede ser IPv4 o IPv6.
Ejemplo:
“2001:db8:123:1::1 - 2001:db8:123:1::22”
Palo Alto Networks
Políticas y perfiles de seguridad • 279
Otros objetos de las políticas
Tabla 153. Configuración de nuevas direcciones (Continuación)
Campo
Descripción
Tipo (continuación)
FQDN:
Para especificar una dirección mediante FQDN, seleccione FQDN e
introduzca el nombre de dominio.
FQDN se resuelve inicialmente en el momento de la compilación.
Por tanto, las entradas se actualizan cuando el cortafuegos realiza una
comprobación cada 30 minutos; todos los cambios en la dirección IP de
las entradas se recogen en el ciclo de actualización.
FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy
DNS, si se configura un proxy. Para obtener información acerca del proxy
DNS, consulte “Proxy DNS”.
Etiquetas
Seleccione o introduzca etiquetas que desee aplicar a este objeto de
dirección.
Puede definir una etiqueta aquí o usar la pestaña Objetos > Etiquetas para
crear etiquetas nuevas. Si desea más información sobre etiquetas, consulte
“Trabajo con etiquetas”.
Definición de grupos de direcciones
Objetos > Grupos de direcciones
Para simplificar la creación de políticas de seguridad, las direcciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de direcciones. Un grupo de
direcciones puede ser estático o dinámico.
•
Grupos de direcciones dinámicas: Un grupo de direcciones dinámicas cumplimenta sus
miembros dinámicamente usando búsquedas de etiquetas y filtros basados en etiquetas.
Los grupos de direcciones dinámicas son muy útiles si tiene una infraestructura virtual
amplia con cambios frecuentes en la ubicación de la máquina virtual o la dirección IP.
Por ejemplo, si tiene una configuración de conmutación por error o incluye nuevas
máquinas virtuales con frecuencia y le gustaría aplicar una política al tráfico que va
o que procede de la nueva máquina sin modificar la configuración o las reglas del
cortafuegos.
A diferencia de los grupos de direcciones estáticas, en los que se especifica una dirección
de red en un host, los miembros de un grupo de direcciones dinámicas se cumplimentan
definiendo un criterio de coincidencia. El criterio de coincidencia usa operadores lógicos
y u o; cada host que quiera añadir al grupo de direcciones dinámicas debe incluir la
etiqueta o atributo definido en el criterio de coincidencia. Las etiquetas se pueden definir
directamente en el cortafuegos o en Panorama, así como definirse dinámicamente usando
la API XML y registrarse en el cortafuegos. Cuando se registra una dirección IP y la
etiqueta correspondiente (una o más), cada grupo dinámico evalúa las etiquetas y
actualiza la lista de miembros de su grupo.
Para registrar una nueva dirección IP y etiquetas o cambios en las direcciones IP o
etiquetas actuales, debe usar secuencias de comandos que activen la API XML en el
cortafuegos. Si dispone de un entorno virtual con VMware, en lugar de usar secuencias
de comandos para activar la API XML, puede usar la función Orígenes de información
de VM (pestaña Dispositivo > Orígenes de información de VM) para configurar el
280 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
cortafuegos de modo que supervise el host ESX(i) o vCenterServer y recuperar
información (dirección de red y etiquetas correspondientes) de nuevos servidores/
invitados implementados en estas máquinas virtuales.
Para usar un grupo de direcciones dinámicas en la política, debe realizar las siguientes
tareas.
– Defina un grupo de direcciones dinámicas y haga referencia al mismo en la regla
de política.
– Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que
puedan formarse los grupos de direcciones dinámicas. Esto se puede hacer usando
secuencias de comandos externas que usen la API XML en el cortafuegos o un
entorno basado en VMware configurando en la pestaña Dispositivo > Orígenes
de información de VM en el cortafuegos.
Los grupos de direcciones dinámicas también pueden incluir objetos de direcciones definidas
estáticamente. Si crea un objeto de dirección y aplica las mismas etiquetas que ha asignado al grupo
de direcciones dinámicas, este incluirá todos los objetos estáticos y dinámicos que coincidan con las
etiquetas. Por lo tanto, puede usar etiquetas para agrupar objetos tanto dinámicos como estáticos en
el mismo grupo de direcciones.
•
Grupos de direcciones estáticas: Un grupo de direcciones estáticas puede incluir
objetos de dirección que sean estáticas, grupos de direcciones dinámicas o puede ser
una combinación de objetos de dirección y grupos de direcciones dinámicas.
Para crear un grupo de direcciones, haga clic en Añadir y cumplimente los siguientes
campos.
Palo Alto Networks
Políticas y perfiles de seguridad • 281
Otros objetos de las políticas
Tabla 154. Grupo de direcciones
Campo
Descripción
Nombre
Introduzca un nombre que describe el grupo de direcciones (de hasta
63 caracteres). Este nombre aparece en la lista de direcciones cuando
se definen políticas de seguridad. El nombre hace distinción entre
mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.
Compartido
Si el dispositivo está habilitado para operar en el modo de varios sistemas
virtuales, seleccione esta casilla de verificación para compartir el objeto de
dirección con todos los sistemas virtuales del dispositivo.
En Panorama, seleccione la casilla de verificación de Compartido para
compartir el objeto con todos los grupos del dispositivo. Si no está
seleccionada, el objeto pertenecerá al grupo del dispositivo que se
muestre en la lista desplegable Grupo de dispositivos.
Descripción
Tipo
Introduzca una descripción del objeto (hasta 255 caracteres).
Seleccione Estático o Dinámico.
Para usar un grupo de direcciones dinámicas, use el criterio de
coincidencia para incluir los miembros en el grupo. Defina el criterio
Coincidencia usando los operadores Y u O.
Nota: Para ver la lista de atributos del criterio de coincidencia, debe haber
configurado el cortafuegos para acceder y recuperar los atributos desde el origen/
host. Cada máquina virtual en el origen de información configurado se registra
en el cortafuegos, que puede realizar un sondeo de la máquina para recuperar
cambios en direcciones IP o en la configuración sin modificaciones en el
cortafuegos.
Para un grupo de direcciones estáticas, haga clic en Añadir y seleccione
una o más direcciones. Haga clic en Añadir para añadir un objeto o un
grupo de direcciones al grupo de direcciones. El grupo puede contener
objetos de direcciones y grupos de direcciones tanto estáticas como
dinámicas.
Etiquetas
Seleccione o introduzca etiquetas que desee aplicar a este grupo de
direcciones. Si desea más información sobre etiquetas, consulte “Trabajo
con etiquetas”.
Definición de regiones
Objetos > Regiones
El cortafuegos permite la creación de reglas de políticas aplicables a países concretos y otras
regiones. La región está disponible como una opción si especifica el origen y el destino de las
políticas de seguridad, políticas de descifrado y políticas DoS. Puede elegir entre una lista
estándar de países o usar los ajustes de región que se describen en esta región, para definir las
regiones personalizadas que se incluirán como opciones para reglas de política de seguridad.
282 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
Las siguientes tablas describen la configuración regional:
Tabla 155. Configuración de nuevas direcciones
Campo
Descripción
Nombre
Introduzca un nombre que describe la región (de hasta 31 caracteres).
Este nombre aparece en la lista de direcciones cuando se definen políticas
de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
Ubicación geográfica
Para especificar la latitud y la longitud, seleccione la casilla de verificación y los valores (formato xxx.xxxxxx). Esta información se utiliza
en los mapas de tráfico y amenazas de Appscope. Consulte “Uso de
Appscope” .
Direcciones
Especifique una dirección IP, un intervalo de direcciones IP o una subred
para identificar la región, utilizando cualquiera de los siguientes formatos:
x.x.x.x
x.x.x.x-a.a.a.a
x.x.x.x/n
Palo Alto Networks
Políticas y perfiles de seguridad • 283
Otros objetos de las políticas
Aplicaciones y grupos de aplicaciones
Objetos > Aplicaciones
La página Aplicaciones muestra los diferentes atributos de cada definición de aplicación,
como el riesgo de seguridad relativo de la aplicación (1 a 5). El valor del riesgo se basa en
criterios como si la aplicación puede compartir archivos, si es proclive a un uso incorrecto
o a intentos de evasión de cortafuegos. Los valores mayores indican un mayor riesgo.
El área superior de navegación de la aplicación muestra los atributos que puede utilizar para
filtrar la vista. El número a la izquierda de cada entrada representa el número total de
aplicaciones con ese atributo.
El cortafuegos busca los patrones definidos de forma personalizada en el tráfico de la red y
toma las medidas especificadas para la aplicación. PAN-OS proporciona la capacidad de
desarrollar firmas para los contextos dentro de los siguientes protocolos:
Se agregan periódicamente nuevos descodificadores y contextos en publicaciones
semanales de contenido.
Según la actualización de contenido 424, se admiten los siguientes descodificadores: HTTP,
HTTPS, DNS, FTP, IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH,
GNU-Debugger, GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (también
conocido como CIFS). Además, según la versión 4.0 de PAN-OS, esta capacidad de App-ID
personalizada se ha ampliado para incluir también TCP desconocido y UDP desconocido.
Puede realizar cualquiera de las siguientes funciones en esta página:
•
Para aplicar filtros de aplicación, haga clic en un elemento que desee utilizar como base
para el filtrado. Por ejemplo, para restringir la lista a la categoría de redes, haga clic en
Networking y la lista solo mostrará las aplicaciones de red.
•
Para filtrar por más columnas, seleccione una entrada en otra de las columnas. El filtrado
es sucesivo: en primer lugar se aplican los filtros de categoría, a continuación los filtros de
subcategoría, riesgos y, finalmente, los filtros de características.
Por ejemplo, la siguiente ilustración muestra el resultado de aplicar una categoría,
subcategoría y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnología
se restringe automáticamente a las tecnologías que cumplen los requisitos de la categoría
y subcategorías seleccionadas, aunque no se haya aplicado explícitamente un filtro de
tecnología.
Cada vez que se aplica un filtro, la lista de aplicaciones de la parte inferior de la página se
actualiza automáticamente, tal y como se muestra en la siguiente ilustración. Los filtros
guardados se pueden visualizar en Objetos > Filtros de aplicación.
284 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
•
Para buscar una aplicación concreta, introduzca el nombre o descripción de la aplicación
en el campo Búsqueda y pulse Intro. Se mostrará la aplicación y las columnas de filtrado
se actualizarán con las estadísticas de las aplicaciones que coinciden con la búsqueda.
Una búsqueda incluye cadenas parciales. Cuando defina políticas de seguridad, puede
escribir reglas que se aplicarán a todas las aplicaciones que coincidan con un filtro
guardado. Estas reglas se actualizan dinámicamente cuando se añade una nueva
aplicación mediante una actualización de contenido que coincida con el filtro.
•
Para ver detalles adicionales sobre la aplicación o personalizar el riesgo y los valores de
tiempo de espera, como se describe en la siguiente tabla, haga clic en el nombre de la
aplicación. Un lápiz amarillo sobre el icono que aparece a la izquierda del nombre de
la aplicación significa que la aplicación se ha personalizado. Observe que los ajustes
disponibles varían de una aplicación a otra.
Palo Alto Networks
Políticas y perfiles de seguridad • 285
Otros objetos de las políticas
Las siguientes tablas describen la configuración de la aplicación:
Tabla 156. Detalles de la aplicación
Elemento
descripción
Nombre
Nombre de la aplicación.
Descripción
Descripción de la aplicación (hasta 255 caracteres).
Información adicional
Enlaces a sitios web (Wikipedia, Google o Yahoo!) que contienen
más información sobre la aplicación.
Puertos estándar
Puertos que utiliza la aplicación para comunicarse con la red.
Depende de aplicaciones
Lista de otras aplicaciones necesarias para el funcionamiento de
esta aplicación.
Evasiva
Indica si la aplicación intenta evitar los cortafuegos.
Uso de ancho de banda
excesivo
Indica si la aplicación utiliza un ancho de banda excesivo que puede
comprometer el rendimiento de la red.
Utilizada por software
malintencionado
Indica si hay software malintencionado que utiliza la aplicación.
Capaz de transferir archivos
Indica si la aplicación puede transferir archivos o no.
Tiene vulnerabilidades
conocidas
Indica si la aplicación tiene vulnerabilidades conocidas
actualmente.
Tuneliza otras aplicaciones
Indica si la aplicación puede utilizar otras aplicaciones en los
mensajes que envía.
Proclive al uso indebido
Indica si la aplicación tiende a inducir un uso indebido.
Ampliamente utilizado
Indica si los efectos de la aplicación son amplios.
Categoría
Categoría de aplicación.
Subcategoría
Subcategoría de aplicación.
Tecnología
Tecnología de la aplicación.
Riesgo asignado de la aplicación.
Riesgo
Tiempo de espera de sesión
Para personalizar este ajuste, haga clic en el enlace Personalizar e
introduzca un valor (1-5), y haga clic en ACEPTAR.
Período de tiempo (en segundos) necesario para agotar el tiempo de
espera por inactividad (1-604800 segundos). Este tiempo de espera
es para protocolos diferentes a TCP o UDP. En el caso de TCP y
UDP, consulte las siguientes filas de esta tabla.
Para personalizar este ajuste, haga clic en el enlace Personalizar
introduzca un valor (segundos), y haga clic en ACEPTAR.
Tiempo de espera para finalizar un flujo de aplicación TCP
(1-604800 segundos).
Tiempo de espera de TCP
(segundos)
286 • Políticas y perfiles de seguridad
Para personalizar este ajuste, haga clic en el enlace Personalizar
introduzca un valor (segundos), y haga clic en ACEPTAR.
Un valor de 0 no indica la ausencia de tiempo de espera, indica
que se usará el temporizador de sesión global, que es 3600 segundos
para TCP.
Palo Alto Networks
Otros objetos de las políticas
Tabla 156. Detalles de la aplicación (Continuación)
Elemento
Tiempo de espera de UDP
(segundos):
descripción
Tiempo de espera para finalizar un flujo de aplicación UDP
(1-604800 segundos).
Para personalizar este ajuste, haga clic en el enlace Personalizar
introduzca un valor (segundos), y haga clic en ACEPTAR.
Tiempo máximo que una sesión permanece en la tabla de la sesión
entre la recepción del primer FIN y la recepción del segundo FIN o
RST. Cuando el temporizador caduca, la sesión se cierra.
TCP semicerrado (segundos)
Valor predeterminado: Si este temporizador no está configurado en
el nivel de aplicación, se utiliza el ajuste global. El rango es 1-604800
segundos
Si este valor se configura en el nivel de aplicación, cancela el ajuste
global TCP semicerrado.
Tiempo máximo que una sesión permanece en la tabla de la sesión
después de la recepción del segundo FIN o RST. Cuando el temporizador caduca, la sesión se cierra.
Tiempo de espera TCP
(segundos)
Valor predeterminado: Si este temporizador no está configurado
en el nivel de aplicación, se utiliza el ajuste global. El rango es
1-600 segundos
Si este valor se configura en el nivel de aplicación, cancela el ajuste
global Tiempo de espera TCP.
Si el cortafuegos no puede identificar una aplicación utilizando el ID de la aplicación, el tráfico
se clasifica como desconocido: TCP desconocido o UDP desconocido. Este comportamiento se
aplica a todas las aplicaciones desconocidas, excepto aquellas que emulan HTTP completamente. Para obtener más información, consulte “Trabajo con informes de Botnet”.
Puede crear nuevas definiciones para aplicaciones desconocidas y a continuación, definir
políticas de seguridad para las nuevas definiciones de la aplicación. Además, las aplicaciones
que requieren los mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones
para simplificar la creación de políticas de seguridad.
Palo Alto Networks
Políticas y perfiles de seguridad • 287
Otros objetos de las políticas
Definición de aplicaciones
Objetos > Aplicaciones
Utilice la página Aplicaciones para añadir una nueva aplicación a la evaluación del
cortafuegos cuando aplique políticas.
Tabla 157. Configuración de nuevas aplicaciones
Campo
Descripción
Pestaña Configuración
Nombre
Introduzca el nombre de la aplicación (de hasta 31 caracteres). Este
nombre aparece en la lista de aplicaciones cuando se definen políticas de
seguridad. El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, puntos,
guiones y guiones bajos. El primer carácter debe ser una letra.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir la aplicación entre todos
los sistemas virtuales.
Descripción
Introduzca una descripción de la aplicación como referencia general
(hasta 255 caracteres).
Categoría
Seleccione la categoría de la aplicación, como correo electrónico o base de
datos. Para ver una descripción de cada categoría, consulte “Categorías y
subcategorías de aplicación”. Esta categoría se utiliza para generar el
gráfico Diez categorías de aplicación principales y está disponible para su
filtrado (consulte “Centro de comando de aplicación”).
Subcategoría
Seleccione la subcategoría de la aplicación, como correo electrónico o base
de datos. Para ver una descripción de cada subcategoría, consulte
“Categorías y subcategorías de aplicación”. Esta subcategoría se utiliza
para generar el gráfico Diez categorías de aplicación principales y está
disponible para su filtrado (consulte “Centro de comando de aplicación”).
Tecnología
Seleccione la tecnología de la aplicación. Para ver una descripción de cada
tecnología, consulte “Tecnologías de la aplicación”.
Aplicación primaria
Especifique una aplicación principal para esta aplicación. Este ajuste se
aplica cuando en una sesión coinciden las aplicaciones principal y
personalizadas; sin embargo, se registra la aplicación personalizada
porque es más específica.
Riesgo
Seleccione el nivel de riesgo asociado con esta aplicación (1= el más bajo a
5= el más alto).
Características
Seleccione las características de la aplicación que pueden poner en riesgo
la aplicación. Para ver una descripción de cada característica, consulte
“Características de la aplicación”.
Pestaña Avanzada
288 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
Tabla 157. Configuración de nuevas aplicaciones (Continuación)
Campo
Descripción
Puerto
Si el protocolo que utiliza la aplicación es TCP y/o UDP, seleccione
Puerto e introduzca una o más combinaciones del protocolo y número
de puerto (una entrada por línea). El formato general es:
<protocolo>/<puerto>
donde <puerto> es un número de puerto único; o dinámica para una
asignación dinámica de puertos.
Ejemplos: TCP/dinámica o UDP/32.
Este ajuste se aplica si utiliza app-default en la columna Service de una
regla de seguridad.
Protocolo IP
Especifique un protocolo IP diferente a TCP o UDP, seleccionando
Protocolo IP e introduciendo el número del protocolo (1 a 255).
Tipo de ICMP
Especifique un tipo de protocolo de mensajes de control de Internet
versión 4 (ICMP), seleccionando Tipo de ICMP e introduciendo el
número (intervalo 0-255).
Tipo de ICMP6
Especifique un tipo de protocolo de mensajes de control de Internet
versión 6 (ICMPv6), seleccionando Tipo de ICMP6 e introduciendo el
número (intervalo 0-255).
Ninguno
Especifique firmas independientes de protocolo, seleccionando Ninguno.
Tiempo de espera
Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación (intervalo 0-604800 segundos). Un valor de cero
indica que se utilizará el tiempo de espera predeterminado de la
aplicación. Este valor se utiliza para protocolos diferentes de TCP y UDP
en todos los casos y para tiempos de espera TCP y UDP cuando no se
especifican los tiempos de espera TCP y UDP.
Tiempo de espera de
TCP
Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación TCP (intervalo 0-604800 segundos). Un valor
de cero indica que se utilizará el tiempo de espera predeterminado de
la aplicación.
Tiempo de espera de
UDP
Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación UDP (intervalo 0-604800 segundos). Un valor
de cero indica que se utilizará el tiempo de espera predeterminado de
la aplicación.
TCP semicerrado
Introduzca el tiempo máximo que una sesión permanece en la tabla de la
sesión entre la recepción del primer FIN y la recepción del segundo FIN o
RST. Cuando el temporizador caduca, la sesión se cierra.
Valor predeterminado: Si este temporizador no está configurado en el
nivel de aplicación, se utiliza el ajuste global. El rango es 1-604800
segundos.
Si este valor se configura en el nivel de aplicación, cancela el ajuste global
TCP semicerrado.
Tiempo de espera TCP
Introduzca el tiempo máximo que una sesión permanece en la tabla de
la sesión después de la recepción del segundo FIN o RST. Cuando el
temporizador caduca, la sesión se cierra.
Valor predeterminado: Si este temporizador no está configurado en el
nivel de aplicación, se utiliza el ajuste global. El rango es 1-600 segundos
Si este valor se configura en el nivel de aplicación, cancela el ajuste global
Tiempo de espera TCP.
Palo Alto Networks
Políticas y perfiles de seguridad • 289
Otros objetos de las políticas
Tabla 157. Configuración de nuevas aplicaciones (Continuación)
Campo
Descripción
Analizando
Seleccione las casillas de verificación de los tipos de análisis que desee
permitir, en función de los perfiles de seguridad (tipos de archivos,
patrones de datos y virus).
Pestaña Firma
Firmas
Haga clic en Añadir para agregar una firma nueva y especificar la
siguiente información:
• Nombre de firma: Introduzca un nombre para identificar la firma.
• Comentarios: Introduzca una descripción opcional.
• Ámbito: Seleccione si desea aplicar esta firma a la transacción actual
únicamente o a la sesión completa del usuario.
• Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
Especifique las condiciones para definir las firmas:
• Añada una condición haciendo clic en Añadir condición AND o
Añadir condición OR. Para añadir una condición en un grupo, seleccione el grupo y haga clic en Añadir condición.
• Seleccione un operador entre Coincidencia de patrones e Igual que.
Si selecciona el operador de coincidencia de patrones, especifique las
siguientes opciones:
– Contexto: Seleccione uno de los contextos disponibles.
– Patrón: Especifique una expresión regular. Consulte Tabla 162 para
ver reglas de patrones de expresiones regulares.
– Calificador y Valor: Puede añadir pares de calificador/valor.
• Si selecciona el operador de coincidencia igual que, especifique las
siguientes opciones:
– Contexto: Seleccione entre solicitudes desconocidas y respuestas de
TCP o UDP.
– Posición: Seleccione los primeros cuatro bytes o los segundos cuatro
en la carga.
– Máscara: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xffffff00.
– Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.
• Para mover una condición en un grupo, seleccione la condición y haga
clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover
un grupo, seleccione el grupo y haga clic en el flecha Mover hacia
arriba o Mover hacia abajo. No puede mover condiciones de un grupo
a otro.
No es necesario especificar firmas para la aplicación si la aplicación se utiliza
únicamente para reglas de application override.
Para importar una aplicación, haga clic en Importar. Navegue y seleccione el archivo y el
sistema virtual de destino en la lista desplegable Destino.
Para exportar la aplicación, seleccione la casilla de verificación de la aplicación y haga clic en
Exportar. Siga las instrucciones para guardar el archivo.
290 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
Definición de grupos de aplicaciones
Objetos > Grupos de aplicaciones
Para simplificar la creación de políticas de seguridad, las aplicaciones que requieren los
mismos ajustes de seguridad se pueden combinar en un grupo de aplicaciones. (Para definir
una nueva aplicación, consulte “Definición de aplicaciones”.)
Tabla 158. Nuevo grupo de aplicaciones
Campo
Descripción
Nombre
Introduzca un nombre que describe el grupo de aplicaciones (de hasta
31 caracteres). Este nombre aparece en la lista de aplicaciones cuando se
definen políticas de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.
Aplicaciones
Haga clic en Añadir y seleccione las aplicaciones, filtros de aplicaciones
y/o grupos de aplicaciones diferentes que se incluirán en este grupo.
Filtros de aplicación
Objetos > Filtros de aplicaciones
Puede definir filtros de aplicaciones para simplificar las búsquedas repetidas. Para definir
filtros de aplicaciones para simplificar las búsquedas repetidas, haga clic en Añadir e
introduzca el nombre del filtro.
En el área superior de la ventana, haga clic en un elemento que desee utilizar como base para
el filtrado. Por ejemplo, para restringir la lista a la categoría de redes, haga clic en networking.
Para filtrar por más columnas, seleccione una entrada las columnas para mostrar las casillas
de verificación. El filtrado es sucesivo: en primer lugar se aplican los filtros de categoría, a
continuación los filtros de subcategoría, riesgos y, finalmente, los filtros de características.
Por ejemplo, la siguiente ilustración muestra el resultado de elegir una categoría, subcategoría
y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnología se restringe
automáticamente a las tecnologías que cumplen los requisitos de la categoría y subcategorías
seleccionadas, aunque no se haya aplicado explícitamente un filtro de tecnología.
A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza
automáticamente, tal y como se muestra en la ilustración.
Palo Alto Networks
Políticas y perfiles de seguridad • 291
Otros objetos de las políticas
Servicios
Objetos > Servicios
Cuando define políticas de seguridad de aplicaciones específicas, puede seleccionar uno
o más servicios para limitar el número de puertos que las aplicaciones pueden utilizar.
El servicio predeterminado es Cualquiera, que permite todos los puertos TCP y UDP.
Los servicios HTTP y HTTPS son los predefinidos, pero puede agregar más definiciones
de servicios. Los servicios que se suelen asignar juntos se pueden combinar en grupos de
servicios para simplificar la creación de políticas de seguridad (consulte “Grupos de
servicios”).
292 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
La siguiente tabla describe la configuración del servicio:
Tabla 159. Configuración de servicios
Campo
Descripción
Nombre
Introduzca el nombre del servicio (de hasta 63 caracteres). Este nombre
aparece en la lista de servicios cuando se definen políticas de seguridad.
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Descripción
Introduzca una descripción del servicio (hasta 255 caracteres).
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir su uso compartido por todos los
sistemas virtuales.
Protocolo
Seleccione el protocolo que utiliza el servicio (TCP o UDP).
Puerto de destino
Introduzca el número de puerto de destino (0 a 65535) o el intervalo de
números de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de destino es obligatorio.
Puerto de origen
Introduzca el número de puerto de origen (0 a 65535) o el intervalo de
números de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de origen es opcional.
Grupos de servicios
Objetos > Grupos de servicios
Para simplificar la creación de políticas de seguridad, puede combinar los servicios con los
mismos ajustes de seguridad en grupos de servicios. Para definir nuevos servicios, consulte
“Servicios”.
La siguiente tabla describe la configuración del grupo de servicios:
Tabla 160. Configuración de grupos de servicios
Campo
Descripción
Nombre
Introduzca el nombre del grupo de servicios (de hasta 63 caracteres).
Este nombre aparece en la lista de servicios cuando se definen políticas de
seguridad. El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
Servicio
Haga clic en Añadir para agregar servicios al grupo. Realice su selección
en la lista desplegable o haga clic en Servicio, en el enlace en la parte
inferior de la lista desplegable y especifique la configuración. Consulte
“Servicios” para obtener una descripción de la configuración.
Palo Alto Networks
Políticas y perfiles de seguridad • 293
Otros objetos de las políticas
Trabajo con etiquetas
Objetos > Etiquetas
Las etiquetas le permiten agrupar objetos usando palabras clave o frases. Las etiquetas
pueden aplicarse a objetos de dirección, grupos de direcciones (estáticas y dinámicas), zonas,
servicios, grupos de servicios y reglas de políticas. Al etiquetarla, la palabra clave sirve para
ordenar o filtrar objetos; para distinguir objetos visualmente, también puede aplicar un color a
una etiqueta. Al aplicar un color a una etiqueta, la pestaña Política muestra el objeto con el
color de fondo.
Use esta etiqueta para crear, asignar un color, eliminar, renombrar y duplicar etiquetas.
Cada objeto puede tener hasta 64 etiquetas; cuando un objeto tiene varias etiquetas, muestra
el color de la primera etiqueta de la lista de etiquetas aplicada.
La pestaña Objetos > Etiquetas solo muestra las etiquetas definidas localmente en el cortafuegos (o en
Panorama). Si ha configurado grupos de direcciones dinámicas, esta pestaña no muestra las etiquetas
que se recuperan dinámicamente desde los orígenes de información de VM del cortafuegos.
Para añadir una nueva pestaña, haga clic en Añadir y, a continuación, cumplimente los
siguientes campos:
Tabla 161. Configuración de etiqueta
Campo
Descripción
Nombre
Introduzca un nombre de etiqueta exclusivo (de hasta 127 caracteres).
El nombre no distingue entre mayúsculas y minúsculas.
Compartido
Seleccione la opción Compartido si quiere compartir la etiqueta con todos
los sistemas virtuales en un cortafuegos con capacidad para múltiples
sistemas virtuales. Si no la selecciona, la etiqueta pertenecerá al Sistema
virtual seleccionado actualmente en la lista desplegable.
En Panorama, una etiqueta puede pertenecer al grupo de dispositivos
seleccionado o puede ser un objeto compartido con todos los grupos de
dispositivos.
Color
Seleccione un color de la paleta de colores de la lista desplegable. El valor
predeterminado es Ninguno.
Comentarios
Añada una etiqueta o descripción para recordar la función de la etiqueta.
294 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
Patrones de datos
El patrón de datos le permite especificar categorías de información confidencial que desea
someter al filtrado mediante políticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cómo configurar patrones de datos, consulte “Listas de bloqueos
dinámicos”.
Cuando añade un nuevo patrón (expresión regular), se aplican los siguientes requisitos
generales:
•
El patrón debe tener una cadena de al menos 7 bytes. Puede contener más de 7 bytes,
pero no menos.
•
La búsqueda de cadenas distingue entre mayúsculas y minúsculas, como la mayoría
de motores de expresiones regulares. La búsqueda de “confidencial” es diferente de la
búsqueda de “Confidencial” o “CONFIDENCIAL”.
La sintaxis de expresión regular en PAN-OS es similar a la de los motores de expresiones
regulares tradicionales, pero cada motor es único. La tabla siguiente describe la sintaxis
compatible con PAN-OS.
Tabla 162. Reglas de patrones
Sintaxis
Descripción
.
Busca cualquier carácter único.
?
Busca el carácter o la expresión anterior 0 o 1 veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)?
*
Busca el carácter o la expresión anterior 0 o más veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)*
+
Busca el carácter o la expresión anterior 1 o más veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)+
|
Equivalente a “o”.
Ejemplo: ((bif)|(scr)|(exe)) busca “bif”, “scr” o “exe”. Tenga en cuenta que las
subcadenas deben estar entre paréntesis.
-
Se utiliza para crear expresiones de intervalo.
Ejemplo: [c-z] busca cualquier carácter entre c y z, ambos inclusive.
[]
Busca cualquier carácter.
Ejemplo: [abz]: coincide con cualquiera de los caracteres a, b o z.
^
Busca cualquier carácter excepto.
Ejemplo: [^abz] busca cualquier carácter excepto a, b, o z.
{}
Número mínimo/máximo de bytes.
Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de
una cadena fija y solo admite “-”.
\
Para realizar una búsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carácter de escape precediéndolo de “\” (barra diagonal inversa).
&amp
& es un carácter especial, por lo que para buscar “&” en una cadena debe utilizar
“&amp”.
Palo Alto Networks
Políticas y perfiles de seguridad • 295
Otros objetos de las políticas
Ejemplos de patrones de datos
A continuación se incluyen algunos ejemplos de patrones personalizados válidos:
•
.*((Confidencial)|(CONFIDENCIAL))
– Busca la palabra “Confidencial” o “CONFIDENCIAL” en cualquier parte
– “.*” al principio especifica que se debe buscar en cualquier parte en la secuencia
– No busca “confidencial” (todas en minúscula)
•
.*((Privado &amp Confidencial)|(Privado y Confidencial))
– Busca “Privado & Confidencial” o “Privado y Confidencial”
– Es más preciso que buscar “Confidencial”
•
.*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
– Busca “Comunicado de prensa” seguido de las diferentes formas de la palabra
borrador, lo que puede indicar que el comunicado de prensa no está preparado aún
para ser emitido.
•
.*(Trinidad)
– Busca un nombre de código de proyecto, como “Trinidad”
Categorías de URL personalizadas
Objetos > Categorías URL personalizadas
La función de categorías URL personalizadas permite crear sus propias listas de URL que
puede seleccionar en cualquier perfil de filtrado de URL. Cada una de las categorías se puede
controlar de forma independiente y tendrá una acción asociada en cada perfil de filtrado URL
(permitir, bloquear, continuar, cancelar, alertar o ninguno). La acción ninguno solo se aplica a
las categorías de URL personalizadas. El objetivo de seleccionar la opción ninguno es garantizar que si existen varios perfiles de URL, la categoría personalizada no influirá en otros
perfiles. Por ejemplo, si tiene dos perfiles URL y la categoría URL personalizada se establece
para bloquear en uno de los perfiles, el otro perfil debería tener la acción establecida en
ninguno si no quiere que se aplique.
Las entradas URL se pueden agregar individualmente o puede importar una lista de URL.
Para ello, cree un archivo de texto con las URL que se incluirán, con una URL por línea.
Cada URL puede tener el formato “www.ejemplo.com” y puede contener * como comodín,
como en “*.ejemplo.com”. Para obtener información adicional sobre comodines, consulte la
descripción de lista de bloqueadas en Tabla 147 en la página 263.
Las entradas URL añadidas a las categorías personalizadas no distinguen
entre mayúsculas y minúsculas. De igual forma, para eliminar una categoría
personalizada después de que se haya añadido a un perfil de URL y de que se haya
establecido una acción, la acción debe estar establecida en Ninguno para poder
eliminar la categoría personalizada.
Para obtener instrucciones sobre cómo configurar perfiles de filtrado URL, consulte “Perfiles
de filtrado de URL”.
296 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
La siguiente tabla describe la configuración de URL personalizada:
Tabla 163. Categorías de URL personalizadas
Campo
Descripción
Nombre
Introduzca un nombre para identificar la categoría de URL personalizada
(de hasta 31 caracteres). Este nombre aparece en la lista de categorías
cuando se definen políticas de seguridad. El nombre hace distinción entre
mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.
Descripción
Introduzca una descripción de la categoría URL (hasta 255 caracteres).
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Sitios
En el área Sitios, haga clic en Añadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.
Listas de bloqueos dinámicos
Objetos > Listas de bloqueos dinámicos
Utilice la página Listas de bloqueos dinámicos para crear un objeto de dirección basado
en una lista importada de direcciones IP. El origen de la lista debe ser un archivo de texto y
se debe encontrar en un servidor web. Puede definir la opción Repetir para que actualice
automáticamente la lista de dispositivos cada hora, día, semana o mes. Una vez haya creado
un objeto de lista de bloqueo dinámico, puede utilizar el objeto de la dirección en los campos
de origen y destino en las políticas de seguridad. Cada lista importada puede contener hasta
5.000 direcciones IP (IPv4 o IPv6), que pueden incluir intervalos o subredes de IP.
La lista debe contener una dirección IP, intervalo o subred por línea, por ejemplo:
“192.168.80.150/32” indica una dirección y “192.168.80.0/24” indica todas las direcciones
desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
“2001:db8:123:1::1” o “2001:db8:123:1::/64”
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un
intervalo de direcciones. El formato es:
dirección_ip–dirección_ip
donde cada dirección puede ser IPv4 o IPv6.
Ejemplo:
“2001:db8:123:1::1 - 2001:db8:123:1::22”
Palo Alto Networks
Políticas y perfiles de seguridad • 297
Otros objetos de las políticas
La siguiente tabla describe la configuración de lista de bloqueadas dinámicas:
Tabla 164 Listas de bloque dinámico
Campo
Descripción
Nombre
Introduzca un nombre para identificar la lista de bloqueos
dinámicos (de hasta 32 caracteres). Este nombre aparecerá
cuando seleccione el origen o el destino de una política.
Descripción
Introduzca una descripción de la lista de bloqueos dinámicos
(hasta 255 caracteres).
IP Origen
Introduzca una ruta URL HTTP o HTTPS que contenga el
archivo de texto. Por ejemplo, http://1.1.1.1/miarchivo.txt.
Repetir
Especifique la frecuencia en la que la lista se debe importar.
Puede elegir cada hora, día, semana o mes. En el intervalo
especificado, la lista se importará a la configuración. No es
necesario realizar una compilación completa para que este tipo
de actualización tenga lugar.
Probar URL de origen
Comprueba que la URL de origen o la ruta del servidor está
disponible.
Firmas personalizadas de spyware y vulnerabilidades
Esta sección describe las opciones disponibles para crear firmas personalizadas de spyware y
vulnerabilidades que se pueden utilizar para crear perfiles personalizados de
vulnerabilidades.
Objetos > Firmas personalizadas > Patrones de datos
Objetos > Firmas personalizadas > Spyware
Objetos > Firmas personalizadas > Vulnerabilidad
Definición de patrones de datos
Objetos > Firmas personalizadas > Patrones de datos
Utilice la página Patrones de datos para definir las categorías de información confidencial que
desea someter al filtrado mediante políticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cómo definir perfiles de filtrado de datos, consulte “Perfiles de filtrado de
datos”.
298 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
La siguiente tabla describe la configuración de patrones de datos:
Tabla 165. Configuración de patrones de datos
Campo
Descripción
Nombre
Introduzca el nombre de patrón de datos (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Descripción
Introduzca una descripción del patrón de datos (hasta 255 caracteres).
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Peso
Introduzca el peso de los tipos de patrones especificados de forma
predeterminada. El peso es un número entre 1 y 255. Los umbrales de
alerta y bloqueo especificados en el perfil de filtrado de datos son una
función de este peso.
• CC#: Especifique un peso para el campo de tarjeta de crédito (intervalo
0-255).
• SSN#: Especifique un peso para el campo del número de la seguridad
social, donde el campo incluye guiones, como 123-45-6789 (intervalo
0-255, 255 es el peso máximo).
• SSN# (sin guión): Especifique un peso para el campo del número de
la seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso máximo).
Patrones personalizados
Los patrones predefinidos incluyen el número de la tarjeta de crédito y el
de la seguridad social (con y sin guiones).
Haga clic en Añadir para agregar un patrón nuevo. Especifique un
nombre para el patrón, introduzca la expresión regular que define el
patrón e introduzca un valor de peso para asignarlo al patrón. Añada
los patrones que sean necesarios.
Definición de firmas de spyware y vulnerabilidad
Objetos > Firmas personalizadas > Spyware y vulnerabilidades
El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas
del cortafuegos. Puede escribir patrones de expresiones regulares para identificar comunicaciones de llamada a casa de spyware o intentos de explotar las vulnerabilidades. Los patrones
de spyware y vulnerabilidades resultantes están disponibles para su uso en cualquier perfil de
vulnerabilidad personalizado. El cortafuegos busca los patrones definidos de forma personalizada en el tráfico de la red y toma las medidas especificadas para la explotación de la vulnerabilidad. PAN-OS proporciona la capacidad de desarrollar firmas para los contextos dentro
de los siguientes protocolos:
Se agregan periódicamente nuevos descodificadores y contextos en publicaciones
semanales de contenido.
Según la actualización de contenido 424, se admiten los siguientes descodificadores: HTTP,
HTTPS, DNS, FTP, IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH,
GNU-Debugger, GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (también
conocido como CIFS).
Palo Alto Networks
Políticas y perfiles de seguridad • 299
Otros objetos de las políticas
También puede incluir un atributo temporal cuando defina firmas personalizadas especificando un umbral por intervalo para activar posibles acciones en respuesta a un ataque.
Las acciones solo se activan una vez alcanzado el umbral.
Utilice la página Firmas personalizadas para definir firmas de perfiles de vulnerabilidades.
Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware
Campo
Descripción
Pestaña Configuración
ID de amenaza
Introduzca un identificador numérico para la configuración. En el caso
de firmas de spyware, el intervalo es 15000-18000; para firmas de
vulnerabilidades, el intervalo es 41000-45000.
Nombre
Especifique el nombre de la amenaza.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Comentarios
Introduzca un comentario opcional.
Gravedad
Asigne un nivel que indique la gravedad de la amenaza.
Acción predeterminada
Asigne la acción predefinida que se activará si se cumplen las condiciones
de la amenaza:
• Alertar: Genera una alerta.
• Colocar paquetes: No permite el paso de paquetes.
• Restablecer ambos: Restablece el cliente y el servidor.
• Restablecer cliente: Restablece el cliente.
• Restablecer servidor: Restablece el servidor.
• Bloquear IP: Bloquea el tráfico durante un período de tiempo especificado. Seleccione si se bloqueará únicamente el tráfico de origen o el de
origen y destino, e introduzca la duración (segundos).
Dirección
Indique si la amenaza se evaluará desde el cliente al servidor, desde el
servidor al cliente, o ambos.
Sistema afectado
Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos o a
ambos. Se aplica a las firmas de vulnerabilidades, pero no a las firmas de
spyware.
CVE
Especifique las vulnerabilidades y exposiciones comunes (CVE) como
una referencia externa de información y análisis adicional.
Proveedor
Especifique el identificador del proveedor de la vulnerabilidad como una
referencia externa de información y análisis adicional.
Bugtraq
Especifique la bugtraq (similar a CVE) como una referencia externa de
información y análisis adicional.
Referencia
Añada vínculos a la información o al análisis. La información se muestra
cuando un usuario hace clic en la amenaza desde ACC, logs o el perfil de
vulnerabilidad.
300 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo
Descripción
Pestaña Firmas
Firma estándar
Seleccione el botón de opción Estándar y haga clic en Añadir para añadir
una firma nueva. Especifique la siguiente información:
• Estándar: Introduzca un nombre para identificar la firma.
• Comentarios: Introduzca una descripción opcional.
• Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
• Ámbito: Seleccione si desea aplicar esta firma a la transacción actual
únicamente o a la sesión completa del usuario.
Especifique las condiciones para definir las firmas:
• Añada una condición haciendo clic en Añadir condición AND o
Añadir condición OR. Para añadir una condición en un grupo, seleccione el grupo y haga clic en Añadir condición. Realice su selección en
la lista desplegable Método y Contexto. Especifique una expresión
regular en el campo Patrón. Añada los patrones que sean necesarios.
• Para mover una condición en un grupo, seleccione la condición y haga
clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover
un grupo, seleccione el grupo y haga clic en el flecha Mover hacia
arriba o Mover hacia abajo. No puede mover condiciones de un grupo
a otro.
Firma de combinación
Seleccione el botón de opción Combinación. En el área por encima de las
pestañas secundarias, especifique la siguiente información:
En la pestaña secundaria Firmas de combinación, especifique las
condiciones que definirán las firmas:
• Añada una condición haciendo clic en Añadir condición AND o
Añadir condición OR. Para añadir una condición en un grupo, seleccione el grupo y haga clic en Añadir condición. Realice su selección en
la lista desplegable Método y Contexto. Especifique una expresión
regular en el campo Patrón. Añada los patrones que sean necesarios.
• Para mover una condición en un grupo, seleccione la condición y haga
clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover
un grupo, seleccione el grupo y haga clic en el flecha Mover hacia
arriba o Mover hacia abajo. No puede mover condiciones de un grupo
a otro.
En la pestaña secundaria Atributo de fecha y hora, especifique la
siguiente información:
• Número de resultados: Especifique el umbral que activará una acción
basada en una política como un número de resultados (1-1000) en un
número especificado de segundos (1-3600)
• Criterios de agregación: Especifique si los resultados los supervisará la
dirección IP de origen, la dirección IP de destino o una combinación de
las direcciones IP de origen y destino.
Palo Alto Networks
Políticas y perfiles de seguridad • 301
Otros objetos de las políticas
Grupos de perfiles de seguridad
Objetos > Grupos de perfiles de seguridad
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que
se pueden tratar como una unidad y añadirse posteriormente a las políticas de seguridad.
Por ejemplo, puede crear un grupo de perfil de seguridad “amenazas” que incluya perfiles de
antivirus, antispyware y vulnerabilidades y crear una política de seguridad que incluya el
perfil “amenazas”.
Los perfiles de antivirus, antispyware, protección de vulnerabilidades, filtrado URL y bloqueo
de archivos que se suelen asignar juntos pueden combinarse en grupos de perfiles para
simplificar la creación de las políticas de seguridad.
Para definir nuevos perfiles de seguridad, consulte “Definición de políticas de seguridad”.
La siguiente tabla describe la configuración de perfil de seguridad:
Tabla 167. Configuración de grupos de perfiles de seguridad
Campo
Descripción
Nombre
Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles cuando se definen políticas de seguridad.
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir compartir el perfil entre todos los
sistemas virtuales.
Perfiles
Seleccione un perfil de antivirus, antispyware, protección de vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluirá en este
grupo. Los perfiles de filtrado de datos también se pueden especificar en
grupos de perfiles de seguridad. Consulte “Perfiles de filtrado de datos”.
302 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
Reenvío de logs
Objetos > Reenvío de logs
Cada política de seguridad puede especificar un perfil de reenvío de log que determine si
las entradas de log de tráfico y amenazas se registran de forma remota con Panorama, y/o
se envían como traps SNMP, mensajes de Syslog o notificaciones por correo electrónico.
De forma predefinida, solo se realizan logs locales.
Los log de tráfico registran información sobre cada flujo de tráfico, mientras que los logs de
amenazas registran las amenazas o problemas con el tráfico de la red, como la detección de
virus o spyware. Tenga en cuenta que los perfiles de antivirus, antispyware y protección de
vulnerabilidades asociados con cada regla determinan las amenazas que se registran (de
forma local o remota). Para aplicar los perfiles de log a políticas de seguridad, consulte
“Definición de políticas de seguridad”.
En un cortafuegos PA-7050, se debe configurar un tipo de interfaz especial
(Tarjeta de log) antes de que el cortafuegos reenvíe los siguientes tipos de logs:
Syslog, correo electrónico y SNMP. Esto también se aplica al reenvío a WildFire.
Una vez configurado el puerto, se usará este puerto automáticamente para el
reenvío de logs y de WildFire y no hará falta ninguna configuración especial para
ello. Solo tiene que configurar el puerto de datos en uno de los NPC PA-7050
como tipo de interfaz Tarjeta de log y comprobar que la red que se va a usar puede
establecer contacto con sus servidores de logs. Para reenvío de WildFire, la red
necesitará comunicarse con la nube WildFire o dispositivo WildFire.
Si desea más información sobre cómo configurar esta interfaz, consulte
“Configuración de una interfaz de tarjeta de log” .
La siguiente tabla describe la configuración de reenvío de logs:
Tabla 168.
Configuración de perfiles de reenvío de logs
Campo
Descripción
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles de reenvío de logs cuando se definen
políticas de seguridad. El nombre hace distinción entre mayúsculas y
minúsculas y debe ser exclusivo. Utilice únicamente letras, números,
espacios, guiones y guiones bajos.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir su uso compartido por todos los
sistemas virtuales.
Configuración de tráfico
Panorama
Palo Alto Networks
Seleccione la casilla de verificación para habilitar el envío de entradas
del log de tráfico al sistema de gestión centralizado de Panorama.
Para definir la dirección del servidor de Panorama, consulte “Definición
de la configuración de gestión”.
Políticas y perfiles de seguridad • 303
Otros objetos de las políticas
Tabla 168.
Configuración de perfiles de reenvío de logs (Continuación)
Campo
Descripción
Traps SNMP
Correo electrónico
Syslog
Seleccione los ajustes de SNMP, Syslog y/o correo electrónico que
especifican destinos adicionales a los que se envían las entradas de tráfico.
Para definir nuevos destinos, consulte:
• “Configuración de destinos de traps SNMP”.
• “Descripción de los campos personalizados de Syslog”
• “Configuración de servidores Syslog”
Configuración del log de amenazas
Panorama
Haga clic en la casilla de verificación de cada nivel de seguridad de las
entradas del log de amenazas que se enviarán a Panorama. Los niveles de
gravedad son los siguientes:
• Crítico: Ataques muy graves detectados por el motor de seguridad de
amenazas.
• Alto: Ataques graves detectados por el motor de seguridad de amenazas.
• Medio: Ataques leves detectados por el motor de seguridad de
amenazas, incluyendo el bloqueo de URL.
• Bajo: Ataques de advertencias detectados por el motor de seguridad
de amenazas.
• Informativo: El resto de eventos no incluidos en los niveles de
seguridad anteriores, incluyendo búsquedas de objeto de ataques
informativos.
Traps SNMP
Correo electrónico
Syslog
En cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrónico que especifican destinos adicionales a los que se envían
las entradas del log de amenazas.
Perfiles de descifrado
Objetos > Perfiles de descifrado
Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de
reenvío, inspección entrante SSL y tráfico SSH. Una vez haya creado un perfil de descifrado,
puede aplicar ese perfil a una política de descifrado.
También puede controlar las CA de confianza de su dispositivo. Para obtener más información, consulte “Gestión de entidades de certificación de confianza predeterminadas”.
La siguiente tabla describe la configuración de perfil de descifrado:
Tabla 169. Configuración de perfiles de descifrado
Campo
Descripción
Pestaña Proxy SSL de reenvío
Comprobaciones
de certificado de
servidor
Seleccione las opciones para controlar los certificados del servidor.
Bloquear sesiones
con certificados
caducados
Finalice la conexión SSL si el certificado del servidor está caducado. De esta
forma se evita que un usuario acepte un certificado caducado y continúe con
una sesión SSL.
304 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
Tabla 169. Configuración de perfiles de descifrado (Continuación)
Campo
Descripción
Bloquear sesiones
con emisores no
fiables
Finalice la sesión SSL si el emisor del certificado del servidor no es fiable.
Restringir
extensiones de
certificado
Limita las extensiones de certificados utilizados en el certificado de
servidor dinámico al uso de claves y claves extendidas.
Detalles: Muestra los detalles de los valores utilizados para el uso de claves y
claves extendidas.
Comprobaciones
de modo no
admitidas
Seleccione las opciones para controlar aplicaciones SSL no compatibles.
Bloquear sesiones
con versión no
compatible
Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible
con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3,
TLS1.0 y TLS1.1.
Bloquear sesiones
con conjuntos de
cifras no
compatibles
Finalice la sesión si el conjunto de cifrado especificado en el protocolo de
enlace SSL si no es compatible con PAN-OS.
Bloquear sesiones
con autenticación
de cliente
Finalice las sesiones con autenticación de cliente para el tráfico de proxy de
reenvío SSL.
Comprobaciones
de error
Seleccione la acción que se adoptará si los recursos del sistema no están
disponibles para procesar el descifrado.
Bloquear sesiones
si no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no están disponibles para
procesar el descifrado.
Bloquear sesiones
si HSM no está
disponible
Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM)
disponible para firmar certificados.
Note: En el caso de modos no compatibles y de fallos, la información de la
sesión se guarda en caché durante 12 horas, por lo que las futuras sesiones
entre los mismos pares de hosts y servidor no se descifran. En su lugar, utilice
las casillas de verificación para bloquear esas sesiones.
Pestaña Inspección de entrada SSL
Comprobaciones
de modo no
admitidas
Proporciona opciones de selección de control de sesiones si se detectan
modos no compatibles en el tráfico SSL.
Bloquear sesiones
con versiones no
compatibles
Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible
con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3,
TLS1.0 y TLS1.1.
Bloquear sesiones
con conjuntos de
cifras no
compatibles
Finalice la sesión si el conjunto de cifrado utilizado no es compatible con
PAN-OS.
Comprobaciones
de error
Seleccione la acción que se adoptará si los recursos del sistema no están
disponibles.
Palo Alto Networks
Políticas y perfiles de seguridad • 305
Otros objetos de las políticas
Tabla 169. Configuración de perfiles de descifrado (Continuación)
Campo
Descripción
Bloquear sesiones
si no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no están disponibles para
procesar el descifrado.
Bloquear sesiones
si HSM no está
disponible
Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM)
disponible para descifrar la clave de sesión.
Pestaña SSH
Comprobaciones
de modo no
admitidas
Proporciona opciones de selección de control de sesiones si se detectan
modos no compatibles en el tráfico SSH. La versión SSH compatible es
la versión 2.
Bloquear sesiones
con versiones no
compatibles
Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible
con PAN-OS.
Bloquear sesiones
con algoritmos no
compatibles
Finalice las sesiones si el algoritmo especificado por el cliente o el servidor no
es compatible con PAN-OS.
Comprobaciones
de error
Seleccione las medidas que se adoptarán si se producen errores de aplicación
SSH y si no hay recursos del sistema disponibles.
Bloquear sesiones
con errores SSH
Finalice las sesiones si se producen errores SSH.
Bloquear sesiones
si no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no están disponibles para
procesar el descifrado.
Programaciones
Objetos > Programaciones
De forma predeterminada, cada una de las políticas de seguridad se aplica a todas las fechas
y horas. Para limitar una política de seguridad a una hora concreta, puede definir programaciones y aplicarlas a las políticas correctas. Para cada programación puede especificar una
fecha y un intervalo horario fijo, o bien una programación diaria o semanal recurrente.
Para aplicar las programaciones a las políticas de seguridad, consulte “Definición de políticas
de seguridad”.
Cuando se activa una política de seguridad en una programación definida, solo se
verán afectadas por la política de seguridad las sesiones nuevas. Las sesiones
actuales no se ven afectadas por la política programada.
306 • Políticas y perfiles de seguridad
Palo Alto Networks
Otros objetos de las políticas
La siguiente tabla describe la configuración de la programación:
Tabla 170. Ajustes de programación
Campo
Descripción
Nombre
Introduzca un nombre de la programación (de hasta 31 caracteres). Este
nombre aparece en la lista de programaciones cuando se definen políticas
de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
Compartido
Si el dispositivo está en modo de Sistema virtual múltiple, seleccione esta
casilla de verificación para permitir su uso compartido por todos los
sistemas virtuales.
Periodicidad
Seleccione la periodicidad (Diaria, Semanal o Sin repetición).
Diario
Haga clic en Añadir y especifique una hora de inicio y de finalización en
formato de 24 horas (HH:MM).
Semanal
Haga clic en Añadir, seleccione un día de la semana y especifique una
hora de inicio y de finalización en formato de 24 horas (HH:MM).
Sin repetición
Haga clic en Añadir y especifique una fecha y hora de inicio y de
finalización.
Palo Alto Networks
Políticas y perfiles de seguridad • 307
Otros objetos de las políticas
308 • Políticas y perfiles de seguridad
Palo Alto Networks
Capítulo 6
Informes y logs
Esta sección describe cómo visualizar los informes y logs proporcionados con el cortafuegos:
•
“Uso del panel”
•
“Centro de comando de aplicación”
•
“Uso de Appscope”
•
“Visualización de logs”
•
“Trabajo con informes de Botnet”
•
“Gestión de informes de resumen en PDF”
•
“Gestión de informes de actividad del usuario/grupo”
•
“Gestión de grupos de informes”
•
“Programación de informes para entrega de correos electrónicos”
•
“Visualización de informes”
•
“Generación de informes personalizados”
•
“Realización de capturas de paquetes”
•
“Realización de capturas de paquetes”
Palo Alto Networks
Informes y logs • 309
Uso del panel
La mayoría de los informes de esta sección admiten la selección opcional de un
sistema virtual en la lista desplegable de la parte superior de la página.
Uso del panel
Panel
Los widgets de la página Panel muestran información general del dispositivo, como la versión
de software, el estado operativo de cada interfaz, la utilización de recursos y hasta 10 entradas
en los logs Sistema, Configuración y Amenaza. Aparecen las entradas de los logs de los
últimos 60 minutos. Todos los widgets disponibles aparecen de forma predeterminada,
pero cada usuario puede eliminar y agregar widgets individuales según sea necesario.
Haga clic en el icono
para actualizar el panel o un widget individual. Para cambiar el
intervalo de actualización automática, seleccione un intervalo de la lista desplegable (1 min,
2 min, 5 min o Manual). Para agregar un widget al panel, haga clic en el menú desplegable
Widget, seleccione una categoría y luego el nombre del widget. Para eliminar un widget, haga
clic en
en la barra de títulos.
Tabla 171. Gráficos del panel
Gráfico
Descripción
Aplicaciones principales
Muestra las aplicaciones con la mayoría de sesiones. El tamaño del bloque
indica el número relativo de sesiones (pase el ratón sobre el bloque para
ver el número) y el color indica el riesgo de seguridad, desde verde (más
bajo) a rojo (más alto). Haga clic en una aplicación para ver su perfil de
aplicación.
Aplicaciones principales
de alto riesgo
Similar a Aplicaciones principales, excepto las que muestran las
aplicaciones de mayor riesgo con la mayoría de las sesiones.
Información general
Muestra el nombre del dispositivo, el modelo, la versión del software de
PAN-OS, la aplicación, las amenazas, las versiones de definición del filtro
de URL, la fecha y hora actuales y el período de tiempo transcurrido
desde el último reinicio.
Estado de la interfaz
Indica si cada interfaz está activa (verde), no está operativa (rojo) o en un
estado desconocido (gris).
Registros de amenazas
Muestra el ID de amenaza, la aplicación y la fecha y hora de las 10 últimas
entradas en el log Amenazas. El ID de amenaza es una descripción
malintencionada de una URL que incumple el perfil de filtro de URL.
Solo aparecen las entradas de los logs de los últimos 60 minutos.
Logs de configuración
Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y
la fecha y hora de las 10 últimas entradas en el log Configuración. Solo
aparecen las entradas de los últimos 60 minutos.
Logs de filtrado de datos
Muestra la descripción y la fecha y hora de los últimos 60 minutos en el
log Filtrado de datos.
Registros de filtrado
de URL
Muestra la descripción y la fecha y hora de los últimos 60 minutos en el
log Filtrado de URL.
310 • Informes y logs
Palo Alto Networks
Centro de comando de aplicación
Tabla 171. Gráficos del panel (Continuación)
Gráfico
Descripción
Registros del sistema
Muestra la descripción y la fecha y hora de las últimos 10 entradas
en el log Sistema. Tenga en cuenta que una entrada “Configuración
instalada” indica que se han llevado a cabo cambios en la configuración
correctamente. Solo aparecen las entradas de los últimos 60 minutos.
Recursos del sistema
Muestra el uso de CPU de gestión, el uso de plano de datos y el Número
de sesiones que muestra el número de sesiones establecidas a través del
cortafuegos.
Administradores
registrados
Muestra la dirección IP de origen, el tipo de sesión (Web o CLI) y la hora
de inicio de sesión para cada administrador actualmente registrado.
Factor de riesgo de ACC
Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado
la semana pasada. Los valores mayores indican un mayor riesgo.
Alta disponibilidad
Si la alta disponibilidad (HA) está activada, indica el estado de la Alta
disponibilidad (HA) del dispositivo local y del peer: Verde (activa),
amarillo (pasiva) o negro (otro). Para obtener más información sobre la
HA, consulte “Habilitación de HA en el cortafuegos”.
Bloqueos
Muestra bloqueos de configuración realizados por los administradores.
Centro de comando de aplicación
ACC
Se muestran 5 gráficos en la página Centro de comando de aplicación (ACC):
•
“Aplicación”
•
“Filtrado de URL”
•
“Prevención de amenazas”
•
“Filtrado de datos”
•
“Coincidencias HIP”
La página Centro de comando de aplicación (ACC) describe visualmente las tendencias e
incluye una vista del historial de tráfico de la red. Muestra el nivel de riesgo general para su
tráfico de red, los niveles de riesgo y el número de amenazas detectadas para las aplicaciones
más activas y con mayor riesgo en su red, así como el número de amenazas detectadas desde
las categorías de aplicación más activas y desde todas las aplicaciones con cualquier nivel
de riesgo. Se puede visualizar el ACC para la hora, el día o la semana anterior o cualquier
período de tiempo definido de forma personalizada.
Los niveles de Riesgo (1=más bajo a 5=más alto) indican el riesgo de seguridad relativo de
la aplicación dependiendo de criterios como si la aplicación puede compartir archivos,
es proclive al uso indebido o intenta esquivar los cortafuegos.
Palo Alto Networks
Informes y logs • 311
Centro de comando de aplicación
Para ver el Centro de comando de aplicación:
1.
En la pestaña ACC, cambie uno o varios de los ajustes siguientes en la parte superior de
la página:
a. Seleccione un sistema virtual, si los sistemas virtuales están definidos.
b. Seleccione un período de tiempo en la lista desplegable Tiempo. El valor predeterminado es Última hora.
c. Seleccione un método de orden en la lista desplegableOrdenar por. Puede ordenar los
gráficos en orden descendente por número de sesiones, bytes o amenazas. El valor
predeterminado es por número de sesiones.
d. Para el método de orden seleccionado, seleccione el mayor número de aplicaciones y
categorías de aplicación que aparecen en cada gráfico en la lista desplegable Principal.
e. (Solo para Panorama) Seleccione el Origen de datos que se usa para generar la
visualización gráfica de las tendencias de tráfico.
Haga clic en el icono
de envío para aplicar los ajustes seleccionados.
El Origen de datos predeterminado para instalaciones nuevas es Panorama; Panorama usa los
logs enviados por los dispositivos gestionados. Para recuperar y visualizar una vista agregada
de los datos desde los dispositivos gestionados tendrá que cambiar el origen de Panorama a
Datos de dispositivo remoto.
En una actualización, el origen de datos predeterminado es Datos de dispositivo remoto.
Ilustración 7. Página del Centro de comando de aplicación
312 • Informes y logs
Palo Alto Networks
Centro de comando de aplicación
2.
Para abrir páginas de logs asociadas a la información en la página, utilice los enlaces
de logs en la esquina inferior derecha de la página, como se muestra a continuación.
El contexto de los logs coincide con la información que aparece en la página.
3.
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregará ese
elemento a la barra de filtrado ubicada sobre los nombres de columna de log. Después de
agregar los filtros deseados, haga clic en el icono Aplicar filtro
.
4.
Selecciona una vista desde la lista desplegable del área de su interés, como se describe en
la siguiente tabla.
5.
Utilice las listas desplegables para Aplicaciones, Categorías de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP.
Palo Alto Networks
Informes y logs • 313
Centro de comando de aplicación
Tabla 172. Gráficos del Centro de comando de aplicación
Gráfico
Descripción
Aplicación
Muestra información organizada según la selección del menú.
La información incluye el número de sesiones, los bytes transmitidos
y recibidos, el número de amenazas, la categoría de aplicación, las
subcategorías de aplicación, la tecnología de aplicación y el nivel de
riesgo, si es necesario.
• Aplicaciones
• Aplicaciones de alto riesgo
• Categorías
• Subcategorías
• Tecnología
• Riesgo
Filtrado de URL
Muestra información organizada según la selección del menú.
La información incluye la URL, la categoría de URL, el número de
repeticiones (número de intentos de acceso, si es necesario)
• Categorías de URL
• URL
• Categorías de URL bloqueadas
• URL bloqueadas
Prevención de amenazas
Muestra información organizada según la selección del menú.
La información incluye el ID de la amenaza, el recuento (número de
incidencias), el número de sesiones y el subtipo (como vulnerabilidad),
si es necesario.
• Amenazas
• Tipos
• Spyware
• Llamada a casa de spyware
• Descargas de spyware
• Vulnerabilidades
• Virus
Filtrado de datos
• Tipos de contenido/archivo
• Tipos
• Nombres de archivos
Coincidencias HIP
• Objetos HIP
• Perfiles HIP
6.
Para ver detalles adicionales, haga clic en cualquiera de los enlaces. Se abrirá una página
de detalles para mostrar información acerca del elemento en la lista principal y las listas
adicionales de los elementos relacionados.
314 • Informes y logs
Palo Alto Networks
Centro de comando de aplicación
Ilustración 8. Página Examinar Centro de comando de aplicación
Palo Alto Networks
Informes y logs • 315
Uso de Appscope
Uso de Appscope
Supervisar > Appscope
Los informes de Appscope proporcionan visibilidad gráfica en los siguientes aspectos de la red:
•
Cambios en el uso de la aplicación y la actividad del usuario
•
Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
•
Amenazas de red
Con los informes de Appscope, puede ver rápidamente si se produce algún comportamiento
inusual o inesperado y que la detección de cualquier comportamiento problemático sea más
sencilla; cada informe proporciona una ventana dinámica y personalizable por el usuario en
la red. Los informes incluyen opciones para seleccionar los datos e intervalos para mostrar.
En Panorama puede seleccionar también el origen de datos de la información que se muestra.
El origen de datos predeterminado (en instalaciones nuevas de Panorama) usa la base de
datos local de Panorama que almacena los logs enviados por los dispositivos remotos, en una
actualización el origen de datos predeterminado son los datos de dispositivo remoto. Para
recuperar y visualizar una vista agregada de los datos directamente desde los dispositivos
gestionados tendrá que cambiar el origen de Panorama a Datos de dispositivo remoto.
Al pasar el ratón por encima y hacer clic en las líneas o barras de los gráficos, se pasa al
ACC y se proporciona información detallada sobre la aplicación específica, la categoría de
la aplicación, el usuario o el origen.
Tabla 173. Gráficos del Centro de comando de aplicación
Gráfico
Descripción
Resumen
“Informe de resumen”
Supervisor de cambios
“Informe del supervisor de cambios”
Supervisor de amenazas
“Informe del supervisor de amenazas”
Mapa de amenazas
“Informe del mapa de amenazas”
Supervisor de red
“Informe del supervisor de red”
Mapa de tráfico
“Informe del mapa de tráfico”
316 • Informes y logs
Palo Alto Networks
Uso de Appscope
Informe de resumen
El informe Resumen (Ilustración 9) muestra gráficos de los cinco principales ganadores,
perdedores, aplicaciones de consumo de ancho de banda, categorías de aplicación, usuarios
y orígenes.
Para exportar los gráficos en el informe de resumen como un PDF, haga clic en
Cada gráfico se guarda como una página en el PDF creado.
.
Ilustración 9. Informe de resumen de Appscope
Palo Alto Networks
Informes y logs • 317
Uso de Appscope
Informe del supervisor de cambios
El informe Supervisor de cambios (Ilustración 10) muestra cambios realizados en un período
de tiempo específico. Por ejemplo, Ilustración 10 muestra las principales aplicaciones adquiridas en la última hora en comparación con el último período de 24 horas. Las principales
aplicaciones se determinan por el recuento de sesiones y se ordenan por porcentajes.
Ilustración 10. Informe del supervisor de cambios de Appscope
Este informe contiene los siguientes botones y las siguientes opciones.
318 • Informes y logs
Palo Alto Networks
Uso de Appscope
Tabla 174. Opciones del informe del supervisor de cambios
Elemento
descripción
Barra superior
Determina el número de registros con la mayor
medición incluidos en el gráfico.
Determina el tipo de elemento indicado: Aplicación,
Categoría de aplicación, Origen o Destino.
Muestra mediciones de elementos que han
ascendido durante el período de medición.
Muestra mediciones de elementos que han
descendido durante el período de medición.
Muestra mediciones de elementos que se han
agregado durante el período de medición.
Muestra mediciones de elementos que se han
suspendido durante el período de medición.
Aplica un filtro para mostrar únicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar información de sesión o byte.
Determina si ordenar entradas por porcentajes o
incremento bruto.
Exporta el gráfico como imagen .png o PDF.
Barra inferior
Especifica el período durante el que se realizaron las
mediciones de cambio.
Informe del supervisor de amenazas
El informe del supervisor de amenazas (Ilustración 11) muestra un recuento de las principales
amenazas durante el período de tiempo seleccionado. Por ejemplo, Ilustración 11 muestra los
10 principales tipos de amenaza en las últimas 6 horas.
Palo Alto Networks
Informes y logs • 319
Uso de Appscope
Ilustración 11. Informe del supervisor de amenazas de Appscope
320 • Informes y logs
Palo Alto Networks
Uso de Appscope
Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del
gráfico. Este informe contiene los siguientes botones y las siguientes opciones.
Tabla 175. Botones del Informe del supervisor de amenazas
Botón
Descripción
Barra superior
Determina el número de registros con la mayor medición
incluidos en el gráfico.
Determina el tipo de elemento medido: Amenaza, Categoría
de amenaza, Origen o Destino.
Aplica un filtro para mostrar únicamente el tipo de elemento
seleccionado.
Determina si la información se presenta en un gráfico de
columna apilado o un gráfico de área apilado.
Exporta el gráfico como imagen .png o PDF.
Barra inferior
Especifica el período durante el que se realizaron las
mediciones.
Informe del mapa de amenazas
El informe del mapa de amenazas (Ilustración 12) muestra una vista geográfica de amenazas,
incluyendo la gravedad.
Ilustración 12. Informe del mapa de amenazas de Appscope
Palo Alto Networks
Informes y logs • 321
Uso de Appscope
Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del
gráfico. Haga clic en un país en el mapa para acercarlo. Haga clic en el botón Alejar en la
esquina inferior derecha de la pantalla para alejar. Este informe contiene los siguientes
botones y las siguientes opciones.
Tabla 176. Botones del Informe del mapa de amenazas
Botón
Descripción
Barra superior
Determina el número de registros con la mayor medición
incluidos en el gráfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Aplica un filtro para mostrar únicamente el tipo de elemento
seleccionado.
Acerque y aleje el mapa.
Exporta el gráfico como imagen .png o PDF.
Barra inferior
Indica el período durante el que se realizaron las mediciones.
Informe del supervisor de red
El informe Supervisor de red (Ilustración 13) muestra el ancho de banda dedicado a
diferentes funciones de red durante el período de tiempo especificado. Cada función de
red está indicada con colores como se indica en la leyenda debajo del gráfico. Por ejemplo,
la Ilustración 13 muestra el ancho de banda de aplicación en los 7 últimos días basándose en
la información de sesión.
322 • Informes y logs
Palo Alto Networks
Uso de Appscope
Ilustración 13. Informe del supervisor de red de Appscope
El informe contiene los siguientes botones y opciones.
Tabla 177. Botones del Informe del supervisor de red
Botón
Descripción
Barra superior
Determina el número de registros con la mayor medición
incluidos en el gráfico.
Determina el tipo de elemento indicado: Aplicación,
Categoría de aplicación, Origen o Destino.
Aplica un filtro para mostrar únicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar información de sesión o byte.
Determina si la información se presenta en un gráfico de
columna apilado o un gráfico de área apilado.
Exporta el gráfico como imagen .png o PDF.
Barra inferior
Indica el período durante el que se realizaron las mediciones
de cambio.
Palo Alto Networks
Informes y logs • 323
Uso de Appscope
Informe del mapa de tráfico
El informe Mapa de tráfico (Ilustración 14) muestra una vista geográfica de los flujos de tráfico
según las sesiones o los flujos.
Ilustración 14. Informe del mapa de tráfico de Appscope
Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico.
Este informe contiene los siguientes botones y las siguientes opciones.
324 • Informes y logs
Palo Alto Networks
Visualización de logs
Tabla 178. Botones del Informe del mapa de amenazas
Botón
Descripción
Barra superior
Determina el número de registros con la mayor
medición incluidos en el gráfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Determina si mostrar información de sesión o
byte.
Acerque y aleje el mapa.
Exporta el gráfico como imagen .png o PDF.
Barra inferior
Indica el período durante el que se realizaron
las mediciones de cambio.
Visualización de logs
Supervisar > Logs
El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas,
flujos de tráfico, amenazas, filtrado de URL, filtrado de datos y Perfil de información de host
(HIP). Puede visualizar los logs actuales en cualquier momento. Para ubicar entradas
específicas, puede aplicar filtros a la mayoría de los campos de log.
El cortafuegos muestra la información en logs por lo que se respetan los permisos
de administración basado en función. Cuando muestra logs, solo se incluye la
información de cuyo permiso dispone. Para obtener información acerca de los
permisos de administrador, consulte “Definición de funciones de administrador”.
Para ver los logs, haga clic en los tipos de logs en el lado izquierdo de la página en la pestaña
Supervisar.
Cada página de log cuenta con una área de filtro en la parte superior de la página.
Utilice la área de filtro de la siguiente forma:
•
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese
elemento como una opción de filtro de logs. Por ejemplo, si hace clic en el enlace Host
en la entrada de log de 10.0.0.252 y Explorador web, se agregarán ambos elementos y
la búsqueda encontrará entradas que coinciden con ambos (búsqueda Y).
Palo Alto Networks
Informes y logs • 325
Visualización de logs
•
Para definir otro criterio de búsqueda, haga clic en el icono Añadir filtro de log.
Seleccione el tipo de búsqueda (y/o), el atributo a incluir en la búsqueda, el operador
asociado y los valores de la coincidencia, si es necesario. Haga clic en Añadir para agregar
el criterio al área de filtro en la página de log, luego haga clic en Cerrar para cerrar la
ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la página de log con aquellas que ha
definido en la ventana emergente Expresión. Cada uno se agrega como una entrada en la
línea Filtro de la página de log.
Si establece el filtro “en” Tiempo recibido como Últimos 60 segundos, algunos enlaces de
la página en el visor de logs podrían no mostrar resultados ya que el número de páginas
puede aumentar o reducirse debido a la naturaleza dinámica de la hora seleccionada.
•
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botón Borrar filtro.
•
Para guardar sus selecciones como un nuevo filtro, haga clic en el botón Guardar filtro,
introduzca un nombre para el filtro y haga clic en ACEPTAR.
•
Para exportar la lista actual de logs (como se muestra en la página, incluyendo cualquier
filtro aplicado), haga clic en el botón Guardar filtro. Seleccione si abrir el archivo o
guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando
la misma opción. Haga clic en ACEPTAR.
•
Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a
CSV
. De manera predeterminada, la exportación de la lista de logs al formato CSV
genera un informe CSV con hasta 2.000 líneas de logs. Para cambiar el límite de línea
de los informes CSV generados, utilice el campo Máx. de filas en exportación CSV
(seleccione Dispositivo > Configuración > Gestión > Configuración de log e informes >
Exportación e informes de logs o consulte “Definición de la configuración de gestión”).
Para cambiar el intervalo de actualización automática, seleccione un intervalo de la lista
desplegable (1 min, 30 segundos, 10 segundos o Manual). Para cambiar el número de entradas
de logs por página, seleccione el número de filas en la lista desplegable Filas.
Las entradas de logs se recuperan en bloques de 10 páginas. Utilice los controles de página
en la parte inferior de la página para navegar por la lista de logs. Seleccione la casilla de
verificación Resolver nombre de host para iniciar la resolución de direcciones IP externas
en nombres de dominio.
Seleccione el icono Exportar a CSV
326 • Informes y logs
para exportar un log a formato CSV.
Palo Alto Networks
Visualización de logs
Para mostrar detalles adicionales, haga clic en el icono de catalejo
de una entrada.
Si el origen o el destino cuentan con una dirección IP para la asignación de nombres definida
en la página Direcciones, se presentará el nombre en lugar de la dirección IP. Para ver la
dirección IP asociada, mueva su cursor sobre el nombre.
Palo Alto Networks
Informes y logs • 327
Visualización de logs
Revise la siguiente información en cada log.
Tabla 179. Descripciones del log
Gráfico
Descripción
Tráfico
Muestra una entrada para el inicio y el final de cada sesión. Todas las entradas
incluyen la fecha y la hora, las zonas de origen y destino, las direcciones y
puertos, el nombre de la aplicación, el nombre de la regla de seguridad aplicada
al flujo, la acción de la regla (permitir, denegar o borrar), la interfaz de entrada y
salida, el número de bytes y la razón para finalizar la sesión.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
sesión, como si una entrada ICMP agrega varias sesiones entre el mismo origen y
destino (el valor Recuento será superior a uno).
Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin
de la sesión o si se ha denegado o asignado la sesión. Una “asignación” indica
que la regla de seguridad que ha bloqueado el tráfico ha especificado una
aplicación “cualquiera”, mientras que “denegación” indica que la regla ha
identificado una aplicación específica.
Si se asigna el tráfico antes de identificar la aplicación, como cuando una regla
asigna todo el tráfico a un servicio específico, la aplicación aparece como “no
aplicable”.
Amenaza
Muestra una entrada para cada alarma de seguridad generada por el
cortafuegos. Cada entrada incluye la fecha y hora, un nombre de amenaza o
URL, las zonas de origen y destino, direcciones, puertos, el nombre de aplicación
y la acción de alarma (permitir o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
amenaza, como si la entrada agrega varias amenazas del mismo tipo entre el
mismo origen y destino (el valor Recuento será superior a uno).
Tenga en cuenta que la columna Tipo indica el tipo de amenaza, como “virus”
o “spyware.” La columna Nombre es la descripción de la amenaza o URL y
la columna Categoría es la categoría de la amenaza (como “Registrador de
pulsaciones de teclas”) o la categoría de la URL.
Si las capturas de paquetes locales están activadas, haga clic en
junto a
una entrada para acceder a los paquetes capturados, como se indica en la
siguiente ilustración. Para activar las capturas de paquetes locales, consulte
las subdivisiones en “Perfiles de seguridad”.
Filtrado de URL
Muestra logs de filtros de URL que bloquean el acceso a sitios web y categorías
de sitio web específicos o generan una alerta cuando se accede a un sitio web.
Puede activar la creación de logs de las opciones de encabezados HTTP para la
URL. Consulte “Perfiles de filtrado de URL” para obtener más información sobre
cómo definir perfiles de filtrado de URL.
Envíos a WildFire
Muestra logs de archivos que se han cargado y actualizado por el servidor
WildFire, los datos de logs se reenvían al dispositivo después del análisis junto
con los resultados del análisis.
328 • Informes y logs
Palo Alto Networks
Trabajo con informes de Botnet
Tabla 179. Descripciones del log (Continuación)
Gráfico
Descripción
Filtrado de datos
Muestra logs para las políticas de seguridad que ayudan a evitar que
informaciones confidenciales como números de tarjetas de crédito o de la
seguridad social abandonen el área protegida por el cortafuegos. Consulte
“Perfiles de filtrado de datos” para obtener más información sobre cómo definir
perfiles de filtrado de datos.
Para configurar la protección de contraseña para el acceso a detalles de una
entrada de log, haga clic en el icono . Introduzca la contraseña y haga clic
en ACEPTAR. Consulte “Definición de páginas de respuesta personalizadas”
para obtener instrucciones acerca de cómo cambiar o eliminar la contraseña de
protección de datos.
Nota: El sistema le solicitará introducir la contraseña solo una vez por sesión.
Este log también muestra información de perfiles de bloqueo de archivos.
Por ejemplo, si está bloqueando archivos .exe, el log le mostrará los archivos que
estaban bloqueados. Si reenvía archivos a WildFire, podrá ver los resultados de
dicha acción. En este caso, si reenvía archivos PE a WildFire, por ejemplo, el log
mostrará que el archivo fue reenviado y también el estado para saber si se cargó
correctamente en WildFire.
Configuración
Muestra una entrada para cada cambio de configuración. Cada entrada incluye
la fecha y hora, el nombre de usuario del administrador, la dirección IP desde la
cual se ha realizado el cambio, el tipo de cliente (Web o CLI), el tipo de comando
ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de
configuración y los valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha
y hora, la gravedad del evento y una descripción del evento.
Coincidencias
HIP
Muestra información acerca de las políticas de seguridad aplicadas a clientes de
GlobalProtect. Para obtener más información, consulte “Configuración del portal
de GlobalProtect”.
Alarmas
El log Alarmas registra información detallada sobre las alarmas que genera el
sistema. La información de este log también se indica en la ventana Alarmas.
Consulte “Definición de la configuración del log Alarma”.
Visualización de la información del sistema
Supervisar > Explorador de sesión
Abra la página Explorador de sesión para explorar y filtrar sesiones actualmente en ejecución
en el cortafuegos. Para obtener información acerca de las opciones de filtrado en esta página,
consulte “Visualización de logs”.
Trabajo con informes de Botnet
La función informes de botnet le permite utilizar mecanismos basados en el comportamiento
para identificar potenciales hosts infectados por botnet en la red. Mediante el uso de logs de
filtrado de datos, URL, amenazas y red, el cortafuegos evalúa las amenazas según criterios
que incluyen visitas a sitios de malware y sitios de DNS dinámicos, visitas a dominios
registrados recientemente (en los 30 últimos días), uso de aplicaciones desconocidas y la
existencia de tráfico de Internet Relay Chat (IRC).
Palo Alto Networks
Informes y logs • 329
Trabajo con informes de Botnet
Después de establecer una correlación e identificación de los hosts que coinciden con un
comportamiento de botnet infectado, el cortafuegos asigna a cada posible host infectado un
margen de confianza del 1 al 5 para indicar la probabilidad de infección del botnet (1 indica la
probabilidad de infección más baja y 5 la probabilidad más alta). Como los mecanismos de
detección basados en el comportamiento requieren realizar una correlación de tráfico entre
varios logs durante un período de 24 horas, el cortafuegos genera un informe cada 24 horas
con una lista de hosts ordenada basándose en un nivel de confianza.
Configuración del informe de Botnet
Supervisar > Botnet
Utilice estos ajustes para especificar tipos de tráfico sospechoso (tráfico que puede indicar
actividad de botnet). Para configurar los ajustes, haga clic en el botón Configuración en el
lado derecho de la página Botnet.
Tabla 180. Ajustes de configuración de Botnet
Campo
Descripción
Tráfico HTTP
Seleccione la casilla de verificación Habilitar para los eventos que desea
incluir en los informes:
• Visita a URL de software malintencionado: Identifica a los usuarios
que se están comunicando con URL con software malintencionado
conocidas basándose en las categorías de filtrado de URL de software
malintencionado y Botnet.
• Uso de DNS dinámica: Busca tráfico de consultas DNS dinámicas que
pueden indicar una comunicación de botnet.
• Navegación por dominios IP: Identifica a los usuarios que examinan
dominios IP en lugar de URL.
• Navegación en dominios registrados recientemente: Busca tráfico en
dominios que se han registrado en los últimos 30 días.
• Archivos ejecutables desde sitios desconocidos: Identifica los archivos
ejecutables descargados desde URL desconocidas.
Aplicaciones
desconocidas
Seleccione las casillas de verificación para marcar TCP desconocidos o
aplicaciones de UDP desconocidas como sospechosas y especifique las
siguiente información:
• Sesiones por hora: Número de sesiones de aplicación por hora asociadas
a la aplicación desconocida.
• Destinos por hora: Número de destinos por hora asociados a la aplicación desconocida.
• Bytes mínimos: Tamaño mínimo de carga
• Bytes máximos: Tamaño máximo de carga.
IRC
330 • Informes y logs
Seleccione la casilla de verificación para incluir servidores IRC como
sospechosos.
Palo Alto Networks
Trabajo con informes de Botnet
Gestión de informes de Botnet
Supervisar > Botnet > Configuración de informes
Puede especificar consultas de informes y luego generar y ver informes de análisis de botnet.
Los informes están basados en los ajustes de configuración de botnet (consulte“Configuración
del informe de Botnet”). Puede incluir o excluir direcciones IP de origen o destino, usuarios,
zonas, interfaces, regiones o países.
Los informes programadas solo se ejecutan una vez al día. También puede generar y mostrar
informes a petición haciendo clic en Ejecutar ahora en la ventana donde define las consultas
de informe. El informe generado aparece en la página Botnet.
Para gestionar informes de botnet, haga clic en el botón Ajuste de informe en el lado derecho
de la página Botnet.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
Tabla 181. Configuración de informe de Botnet
Campo
Descripción
Período de ejecución
del informe
Seleccione el intervalo de tiempo para el informe (últimas 24 horas o
último día del calendario).
# Filas
Especifique el número de filas en el informe.
Programado
Seleccione la casilla de verificación para ejecutar el informe diariamente.
Si no se selecciona la casilla de verificación, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la
ventana Informe de Botnet.
Generador de consultas
Cree la consulta de informe especificando lo siguiente y luego haga clic en
Añadir para agregar la expresión configurada a la consulta. Repita las
veces que sean necesarias para crear la consulta completa:
• Conector: Especifique un conector lógico (Y/O).
• Atributo: Especifique la zona, la dirección o el usuario de origen o
destino.
• Operador: Especifique el operador para relacionar el atributo con
un valor.
• Valor: Especifique el valor para coincidir.
Negar
Palo Alto Networks
Seleccione la casilla de verificación para aplicar la negación a la consulta
especificada, lo que significa que el informe contendrá toda la información
que no sea resultado de la consulta definida.
Informes y logs • 331
Gestión de informes de resumen en PDF
Gestión de informes de resumen en PDF
Supervisar > Informes en PDF > Gestionar resumen de PDF
Los informes de resumen en PDF contienen información recopilada de informes existentes,
basándose en los 5 principales de cada categoría (en vez de los 50 principales). También
pueden contener gráficos de tendencias que no están disponibles en otros informes.
Ilustración 15. Informe de resumen en PDF
332 • Informes y logs
Palo Alto Networks
Gestión de informes de resumen en PDF
Para crear informes de resumen en PDF, haga clic en Añadir. La página Gestionar informes
de resumen en PDF se abre para mostrar todos los elementos de informe disponibles.
Ilustración 16. Gestión de informes en PDF
Utilice una o más de estas opciones para diseñar el informe:
•
Para eliminar un elemento del informe, haga clic en el icono
en la esquina superior
derecha del cuadro de icono del elemento o elimine la casilla de verificación del elemento
en el cuadro de lista desplegable correcto junto a la parte superior de la página.
•
Seleccione elementos adicionales seleccionándolos de los cuadros de la lista desplegable
junto a la parte superior de la página.
•
Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra área del
informe.
Se permite un máximo de 18 elementos de informe. Es posible que necesite
elementos existentes para agregar otros adicionales.
Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en
ACEPTAR.
Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo
de informe de la lista desplegable en la parte inferior de la página para mostrar los informes
creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el
informe.
Palo Alto Networks
Informes y logs • 333
Gestión de informes de actividad del usuario/grupo
Gestión de informes de actividad del usuario/grupo
Supervisar > Informes en PDF > Informe de actividad del usuario
Utilice esta página para crear informes que resumen la actividad de usuarios individuales o
grupos de usuarios. Haga clic en Nuevo y especifique la siguiente información.
Tabla 182. Configuración del informe de actividad del usuario/grupo
Campo
Descripción
Nombre
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y guiones bajos.
Tipo
Para informe de actividad de usuario: Seleccione Usuario e introduzca el
nombre de usuarioo dirección IP (IPv4 o IPv6) del usuario que será el
asunto del informe.
En Panorama, debe haber configurado un dispositivo principal para cada
grupo de dispositivo para recuperar la información del grupo de usuarios
y generar el informe.
Para informe de actividad de grupo: Seleccione grupo e introduzca el
nombre del grupo.
En Panorama no puede crear informes de actividad del grupo porque
Panorama no tiene la información para asignar usuarios a los grupos.
Período de tiempo
Seleccione el período de tiempo para el informe en la lista desplegable.
Incluir navegación
detallada
Seleccione esta opción si quiere incluir logs de URL detallados en el
informe.
La información de navegación detallada puede incluir un gran volumen de
logs (miles de logs) para el usuario o grupo de usuarios seleccionado y
puede hacer que el informe sea muy extenso.
El informe de actividad de grupo no incluye Resumen de navegación por categoría de URL;
el resto de información es común para el informe de actividad de usuarios y el informe de
actividad de grupo.
Para ejecutar el informe a petición, haga clic en Ejecutar ahora; para cambiar el número
máximo de filas que mostrará el informe, consulte “Configuración de log e informes”.
Para guardar el informe, haga clic en Aceptar. Puede programar el entrega del informe por
correo electrónico; consulte “Programación de informes para entrega de correos electrónicos”.
334 • Informes y logs
Palo Alto Networks
Gestión de grupos de informes
Gestión de grupos de informes
Supervisar > Informes en PDF > Grupos de informes
Los grupos de informes le permiten crear conjuntos de informes que un sistema puede
recopilar y enviar como un informe agregado en PDF único con una página de título
opcional y todos los informes constituyentes incluidos.
Tabla 183.
Configuración de grupo de informes
Campo
Descripción
Nombre
Introduzca un nombre para identificar el grupo de informe (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Página de título
Seleccione la casilla de verificación para incluir una página de título en
el informe.
Título
Introduzca el nombre que aparecerá como el título del informe.
Selección del informe
Seleccione informes de la columna izquierda y haga clic en Añadir para
mover cada informe al grupo de informes en la derecha. Puede seleccionar
tipos de informe Predefinidos, Personalizados, De resumen en PDF y Vista
de log.
El informe Vista de log es un tipo de informe que se crea automáticamente
cada vez que crea un informe personalizado y utiliza el mismo nombre
que el informe personalizado. Este informe mostrará los logs que se han
utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log, al crear un grupo de informes,
agregue su informe personalizado a la lista Informes personalizados y
luego agregue el informe de vista de log seleccionando el nombre del
informe coincidente de la lista Vista de log. Cuando reciba el informe, verá
sus datos del informe personalizado seguidos por los datos de log que se
han utilizado para crear el informe personalizado.
Para utilizar el grupo de informes, consulte “Programación de informes para entrega de
correos electrónicos”.
Palo Alto Networks
Informes y logs • 335
Programación de informes para entrega de correos electrónicos
Programación de informes para entrega de correos
electrónicos
Supervisar > Informes en PDF > Programador de correo electrónico
Utilice el programador de correo electrónico para programar informes para la entrega de
correo electrónico. Antes de agregar un programa, debe definir grupos de informe y un perfil
de correo electrónico. Consulte “Gestión de grupos de informes” y “Configuración de ajustes
de notificaciones por correo electrónico”.
Los informes programados comienzan a ejecutarse a las 2:00 AM y el reenvío de correo
electrónico se produce después de que finalice la ejecución de todos los informes programados.
Tabla 184. Configuración del programador de correo electrónico
Campo
Descripción
Nombre
Permite introducir un nombre para identificar el programa (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Grupo de informes
Seleccione el grupo de informes (consulte “Gestión de grupos de informes”).
Periodicidad
Seleccione la frecuencia con la que generar y enviar el informe.
Perfil de correo
electrónico
Seleccione el perfil que define los ajustes de correo electrónico. Consulte
“Configuración de ajustes de notificaciones por correo electrónico” para
obtener más información sobre cómo definir perfiles de correo electrónico.
Cancelar correos
electrónicos del
destinatario
Introduzca una dirección de correo electrónico opcional para utilizar en
lugar del destinatario especificado en el perfil de correo electrónico.
Visualización de informes
Supervisar > Informes
El cortafuegos proporciona varios informes “50 principal” de las estadísticas de tráfico del día
anterior o un día seleccionado de la semana anterior.
Para ver los informes, haga clic en los nombres de informes en la parte derecha de la página
(Informes personalizados, Informes de aplicación, Informes de tráfico, Informes de amenazas,
Informes de filtrado de URL e Informes de resumen en PDF).
De forma predeterminada, aparecen todos los informes del día de calendario anterior.
Para ver informes de cualquiera de los días anteriores, seleccione una fecha de creación de
informe en la lista desplegable Seleccionar en la parte inferior de la página.
Los informes aparecen en secciones. Puede visualizar la información en cada informe del
período de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar
a CSV. Para abrir la información de log en formato PDF, haga clic en Exportar a PDF.
Los archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte
superior de la ventana para imprimir o guardar el archivo.
336 • Informes y logs
Palo Alto Networks
Generación de informes personalizados
Generación de informes personalizados
Supervisar > Gestionar informes personalizados
Puede crear informes personalizados basados opcionalmente en plantillas de informe
existentes. Los informes se pueden ejecutar a petición o programar para su ejecución cada
noche. Para ver informes definidos previamente, seleccione Informes en el menú lateral.
Haga clic en Añadir para crear un nuevo informe personalizado. Para basar un informe en
una plantilla existente, haga clic en Cargar plantilla y seleccione la plantilla.
Especifique los siguientes ajustes para definir el informe.
Tabla 185. Configuración de informes personalizados
Campo
Nombre
Descripción
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Base de datos
Seleccione la base de datos para utilizar como el origen de datos para
el informe.
Período de tiempo
Seleccione un período de tiempo fijo o seleccione Personalizado y
especifique un intervalo de fecha y hora.
Ordenar por
cantidad de información para incluir en el informe. Las opciones
Seleccione opciones de orden para organizar el informe, incluyendo la
disponibles dependen de la elección de la base de datos.
Seleccione opciones de orden para organizar el informe, incluyendo la
Agrupar por
cantidad de información para incluir en el informe. Las opciones
disponibles dependen de la elección de la base de datos.
Programado
Seleccione la casilla de verificación para ejecutar el informe cada noche.
Los informes luego estarán disponibles seleccionando Informes en el
menú lateral.
Columnas
Seleccione columnas para incluir en el informe desde la lista Disponible
Columna y utilice las el icono para moverlas a la lista Seleccionadas
Columnas. Utilice las flechas hacia arriba y hacia abajo para volver a
ordenar las columnas seleccionadas y utilice el icono menos para
eliminar las columnas seleccionadas anteriormente.
Palo Alto Networks
Informes y logs • 337
Realización de capturas de paquetes
Tabla 185. Configuración de informes personalizados (Continuación)
Campo
Descripción
Para crear una consulta de informe, especifique lo siguiente y haga clic
en Añadir. Repita las veces que sean necesarias para crear la consulta
completa.
Generador de consultas
• Conector: Seleccione el conector (y/o) para preceder la expresión que
está agregando.
• Negar: Seleccione la casilla de verificación para interpretar la consulta
como una negativa. En el ejemplo anterior, la opción negar causa una
coincidencia en entradas que no se han producido en las últimas 24
horas ni de la zona “no fiable”.
• Atributo: Seleccione un elemento de datos. Las opciones disponibles
dependen de la elección de la base de datos.
• Operador: Seleccione el criterio para determinar si se aplica el atributo
(como =). Las opciones disponibles dependen de la elección de la base
de datos.
• Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustración (basada en la base de datos Log de
tráfico) muestra una consulta que coincide si se ha recibido la entrada de
log de tráfico en las últimas 24 horas de la zona “no fiable”.
Realización de capturas de paquetes
Supervisar > Captura de paquetes
PAN-OS admite capturas de paquetes para la resolución de problemas o la detección de
aplicaciones desconocidas. Puede definir filtros de modo que solo se capturen los paquetes
que coinciden con los filtros. Las capturas de paquetes se almacenan de forma local en el
dispositivo y están disponibles para su descarga en su equipo local.
Captura de paquetes está destinado exclusivamente a la resolución de problemas.
Esta función puede hacer que el rendimiento del sistema disminuya y solo debe
usarse en caso necesario. Cuando la captura se haya completado, recuerde
deshabilitar la característica.
Para especificar opciones de captura y filtrado, especifique la información en la siguiente tabla.
338 • Informes y logs
Palo Alto Networks
Realización de capturas de paquetes
Para borrar todos los ajustes de captura y filtrado, haga clic en Borrar toda la configuración.
Para seleccionar archivos de captura para descargar, haga clic en el nombre del archivo en la
lista de archivos de captura en el lado derecho de la página.
Tabla 186. Configuración de captura de paquetes
Campo
Descripción
Configurar filtrado
Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Añadir para agregar un nuevo
filtro y especifique la siguiente información:
• Id: Introduzca o seleccione un identificador para el filtro.
• Interfaz de entrada: Seleccione la interfaz del cortafuegos.
• Origen: Especifique la dirección IP de origen.
• Destino: Especifique la dirección IP de destino.
• Puerto de origen: Especifique el puerto de origen.
• Puerto de destino: Especifique el puerto de destino.
• Proto: Especifique el protocolo para filtrar.
• Sin Ip: Seleccione cómo tratar el tráfico sin IP (excluir todo el tráfico IP,
incluir todo el tráfico IP, incluir solo tráfico IP o no incluir un filtro de IP).
• IPv6: Seleccione la casilla de verificación para incluir paquetes de IPv6
en el filtro.
Filtrado
Haga clic para alternar las selecciones de activar o desactivar filtrado.
Anterior a la
coincidencia
Haga clic para alternar la opción activar o desactivar anterior a la
coincidencia.
La opción anterior a la coincidencia se agrega para fines de resolución de
problemas avanzada. Cuando un paquete introduce el puerto de entrada
(ingress), avanza a través de varios pasos de procesamiento antes de
analizar coincidencias en contra de filtros preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la etapa de
filtrado. Eso puede ocurrir, por ejemplo, si falla una búsqueda de ruta.
Establezca la configuración anterior a la coincidencia como Activada para
emular una coincidencia positiva de cada paquete entrando en el sistema.
Eso permite al cortafuegos capturar incluso los paquetes que no alcanzan
el proceso de filtrado. Si un paquete puede alcanzar la etapa de filtrado,
se procesará de acuerdo con la configuración del filtro y se descartará si
no consigue cumplir los criterios de filtrado.
Palo Alto Networks
Informes y logs • 339
Realización de capturas de paquetes
Tabla 186. Configuración de captura de paquetes (Continuación)
Campo
Descripción
Configuración de captura
Captura de paquetes
Haga clic para alternar activar o desactivar capturas de paquetes.
Fase de captura de
paquetes
• Etapa: Indique el punto en el que capturar el paquete:
Haga clic en Añadir y especifique la siguiente información:
– Desplegar: Cuando el procesamiento de paquetes encuentra un error
y el paquete no se puede desplegar.
– Cortafuegos: Cuando el paquete tiene una coincidencia de sesión o
se crea un primer paquete con una sesión correctamente
– Recibir: Cuando se recibe el paquete en el procesador de plano de
datos.
– Transmitir: Cuando se transmite el paquete en el procesador de
plano de datos.
• Archivo: Especifica el nombre del archivo de captura. El nombre del
archivo debe comenzar por una letra y puede incluir letras, dígitos,
puntos, guiones bajos o guiones.
• Recuento de paquetes: Especifica el número de paquetes después del
que se detiene la captura.
• Recuento de bytes: Especifica el número de bytes después del que se
detiene la captura.
Archivos capturados
Archivos capturados
Haga clic en Eliminar para quitar un archivo de captura de paquetes
desde la lista donde se muestran los archivos capturados.
Configuración
Borrar toda la
configuración
340 • Informes y logs
Haga clic en Borrar toda la configuración para borrar completamente la
configuración de captura de paquetes.
Palo Alto Networks
Capítulo 7
Configuración del cortafuegos para la
identificación de usuarios
•
“Configuración del cortafuegos para la identificación de usuarios”
•
“Pestaña Asignación de usuario”
•
“Pestaña Agentes de ID de usuarios”
•
“Pestaña Agentes de servicios de terminal”
•
“Pestaña Asignación de grupos”
•
“Pestaña Configuración de portal cautivo”
Configuración del cortafuegos para la identificación de usuarios
Dispositivo > Identificación de usuarios
La identificación de usuarios (User-ID) es una función de cortafuegos de próxima generación
de Palo Alto Networks que le permite crear políticas y realizar informes basándose en usuarios
y grupos en lugar de direcciones IP individuales. Si está configurando un cortafuegos con
varios sistemas virtuales, debe crear una configuración de identificación de usuarios distinta
para cada sistema virtual; la información de asignación de usuarios no se comparte entre los
distintos sistemas virtuales. Seleccione el sistema virtual que quiere configurar para identificación de usuarios en el menú desplegable Ubicación de la parte superior de la página Identificación de usuarios.
Después de seleccionar un sistema virtual (si corresponde), utilice los ajustes de esta página
para establecer la configuración de la identificación de usuario.
•
“Pestaña Asignación de usuario”
•
“Pestaña Agentes de ID de usuarios”
•
“Pestaña Agentes de servicios de terminal”
•
“Pestaña Asignación de grupos”
•
“Pestaña Configuración de portal cautivo”
Palo Alto Networks
Configuración del cortafuegos para la identificación de usuarios • 341
Pestaña Asignación de usuario
Utilice la pestaña Asignación de usuario para configurar un cortafuegos que recupere los
datos de asignación de dirección IP a nombre de usuario directamente de los servidores de
dominio. Esta función no requiere la instalación de un agente de ID de usuarios en los
servidores de dominio. El cortafuegos también puede configurarse para redistribuir la
información de asignación del usuario a otros cortafuegos.
Tabla 187. Configuración de asignación de usuarios
Campo
Descripción
Configuración de agente de ID de usuario de Palo Alto Networks
Esta sección de la pantalla muestra los ajustes que utilizará el cortafuegos
para realizar la asignación de dirección IP a usuario. Para configurar o
editar los ajustes, haga clic en el icono Editar , que abre el cuadro de
diálogo de configuración, el cual contiene las siguientes pestañas
secundarias:
• Autenticación WMI
• Supervisión de servidor
• Sondeo de cliente
• Caché
• NTLM
• Redistribución
• Filtrados de Syslog
Pestaña secundaria
Autenticación WMI
Utilice esta pestaña secundaria para establecer las credenciales de
dominio de la cuenta que utilizará el cortafuegos para acceder a recursos
de Windows. Esto es necesario para supervisar servidores Exchange y
controladores de dominio, así como para el sondeo de WMI.
Nombre de usuario: Especifique la cuenta con permisos para realizar
consultas de WMI en equipos cliente y supervisión de servidor.
Introduzca el nombre de usuario mediante la sintaxis de dominio/
nombre de usuario.
Contraseña/Confirmar contraseña: Especifique la contraseña de la cuenta.
342 • Configuración del cortafuegos para la identificación de usuarios
Palo Alto Networks
Tabla 187. Configuración de asignación de usuarios (Continuación)
Campo
Descripción
Pestaña secundaria
Supervisión de servidor
Habilitar log de seguridad: Seleccione la casilla de verificación para
habilitar la supervisión de logs de seguridad en servidores Windows.
Se consultarán los logs de seguridad para ubicar la información de
asignación de dirección IP a nombre de usuario en los servidores
especificados en la lista Supervisión de servidor.
Frecuencia del supervisor de log del servidor (seg.): Especifique con qué
frecuencia consultará el cortafuegos los servidores de Windows para
obtener información de asignación de dirección IP a nombre de usuario
(valor predeterminado: 1 segundo, intervalo: 1-3600 segundos).
Habilitar sesión: Seleccione la casilla de verificación para habilitar la
supervisión de sesiones del usuario en los servidores especificados en la
lista Supervisión de servidor. Cada vez que un usuario se conecta a un
servidor, se crea una sesión y esta información se puede utilizar también
para identificar la dirección IP del usuario.
Frecuencia de lectura de sesión o del servidor (seg.): Especifique con qué
frecuencia consultará el cortafuegos las sesiones del usuario del servidor
de Windows para obtener información de asignación de dirección IP a
nombre de usuario (valor predeterminado: 10 segundos, intervalo: 1-3600
segundos).
Intervalo de consulta de eDirectory Novell (seg.): Especifique con qué
frecuencia consultará el cortafuegos los servidores de eDirectory Novell
para obtener información de asignación de dirección IP a nombre de
usuario (valor predeterminado: 30 segundos, intervalo: 1-3600 segundos).
Pestaña Prueba
de cliente
Habilitar pruebas: Seleccione esta casilla de verificación para habilitar el
sondeo WMI/NetBIOS para cada PC cliente identificado por el proceso
de asignación del usuario. El sondeo ayudará a garantizar que el mismo
usuario está aún registrado en el PC cliente con el fin de proporcionar
información precisa de usuario a IP.
Intervalo de sondeo (min.): Especifique el intervalo de sondeo del PC
cliente (valor predeterminado 20 minutos, intervalo 1-1440 minutos).
En implementaciones de gran tamaño, es importante establecer el
intervalo de sondeo correctamente para proporcionar tiempo para
sondear cada cliente identificado. Por ejemplo, si dispone de 6.000
usuarios y un intervalo de 10 minutos, puede necesitar 10 consultas
WMI por segundo de cada cliente.
Note: Para que el sondeo de WMI funcione de forma eficaz, se debe
configurar el perfil Asignación de usuario con una cuenta de
administrador de dominio, y cada PC cliente sondeado debe tener una
excepción de administración remota configurada en el cortafuegos de
Windows. Para que el sondeo de NetBIOS funcione de forma efectiva,
cada PC cliente sondeado debe proporcionar un puerto 139 en el
cortafuegos de Windows y debe tener los servicios de uso compartido
de archivos e impresoras activados.
Palo Alto Networks
Configuración del cortafuegos para la identificación de usuarios • 343
Tabla 187. Configuración de asignación de usuarios (Continuación)
Campo
Descripción
Pestaña secundaria
Caché
Habilitar identificación de usuario: Seleccione esta casilla de verificación
para activar un valor de tiempo de espera para entradas de asignación de
dirección IP a nombre de usuario. Cuando se alcanza el valor de tiempo
de espera, se borrará la asignación de dirección IP a usuario y se recopilará una nueva asignación. Eso garantizará que el cortafuegos tiene la
información más actual sobre los desplazamientos de los usuarios y
permitirá obtener nuevas direcciones IP.
Tiempo de espera de identificación de usuario (min.): Establezca el
valor del tiempo de espera para las entradas de asignación de dirección
IP a nombre de usuario (valor predeterminado: 45 minutos, intervalo:
1-1440).
Pestaña secundaria
NTLM
Habilitar procesamiento de autenticación de NTLM—Seleccione esta
casilla de verificación para habilitar el proceso de autenticación de NT
LAN Manager (NTLM). Cuando se configura el Portal cautivo con un
formulario web para capturar información de asignación de usuario,
se autentica al cliente de forma transparente a través de un desafío de
NTLM. Con esta opción habilitada, el cortafuegos recopilará esta
información desde el dominio NTLM.
Si el recopilador de ID de usuario de PAN-OS y el agente de ID de
usuarios están instalados en controladores de dominio, las respuestas
de NTLM irán directamente al controlador de dominio. Cuando el
cortafuegos está configurado para compartir su información de ID de
usuario con otros cortafuegos, puede entregar consultas de NTLM
procedentes de otros cortafuegos de PAN-OS, realizando la función del
agente de ID de usuarios.
Dominio de NTLM: Introduzca el nombre de dominio de NTLM.
Nombre de usuario del administrador: Introduzca la cuenta del
administrador que tiene acceso al dominio de NTLM.
Contraseña/Confirmar contraseña: Introduzca la contraseña del
administrador que tiene acceso al dominio de NTLM.
Nota: Solo puede habilitar el proceso de autenticación de NTLM en un sistema
virtual (seleccione el sistema virtual en el menú desplegable Ubicación en la
parte superior de la página).
Pestaña secundaria
Redistribución
Nombre del recopilador: Especifique el nombre del recopilador si
desea que este cortafuegos actúe como punto de redistribución para la
asignación de usuarios para cada cortafuegos en su red.
El nombre del recopilador y la clave compartida previamente se utilizan
cuando se configuran los agentes del ID de usuario en los cortafuegos que
arrastrarán la información de asignación del usuario.
Para permitir a un cortafuegos actuar como un punto de redistribución,
necesita también activar
Servidor de ID de usuario en Red > Perfiles de red > Gestión de interfaz.
Clave preconvertida/Confirmar clave precompartida: Introduzca la
clave precompartida utilizada por otros cortafuegos para establecer una
conexión segura para transferencias de asignación de usuarios.
344 • Configuración del cortafuegos para la identificación de usuarios
Palo Alto Networks
Tabla 187. Configuración de asignación de usuarios (Continuación)
Campo
Descripción
Pestaña secundaria
Filtrados de Syslog
Utilice esta pestaña secundaria para especificar cómo debe analizar
el cortafuegos los mensajes de Syslog para extraer información de
asignación (dirección IP y nombre de usuario) a partir de los mensajes
de Syslog que recibe. Para añadir un filtro de Syslog, haga clic en Añadir
y, a continuación, cumplimente los siguientes campos. Puede crear filtros
distintos de diferentes emisores de Syslogs. Debe especificar qué filtro
se debe utilizar cuando agregue al emisor a la lista de servidores supervisados. Además, antes de que los mensajes de Syslog sean aceptados en
una interfaz, el servicio de escucha de Syslog debe estar habilitado en el
perfil de gestión asociado con la interfaz.
Perfil de análisis de Syslog: Introduzca un nombre para el perfil de
análisis (hasta 63 caracteres alfanuméricos). Palo Alto Networks
proporciona varios filtros de Syslog predefinidos, que se distribuyen
como actualizaciones de contenido de aplicación y, por lo tanto, se
actualizan dinámicamente como filtros nuevos. Los filtros predefinidos
son generales para el cortafuegos, mientras que los filtros manuales solo
se aplican a un sistema virtual.
Descripción: Introduzca una descripción para el perfil (hasta 255 caracteres alfanuméricos).
Tipo: Especifique el tipo de análisis que se debe utilizar para filtrar la
información de asignación de usuario. Se admiten dos tipos: Identificador Regex y Identificador de campo. Para crear los filtros, debe
conocer el formato de los mensajes de autenticación en los Syslogs.
Las siguientes descripciones de campo muestran ejemplos de cómo
crear filtros para mensajes de Syslog que tengan el siguiente formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication
success User:domain\johndoe_4 Source:192.168.0.212
• Identificador Regex: Con este tipo de análisis puede especificar expresiones regulares para describir patrones de búsqueda e identificar y
extraer información de asignación de usuario de los mensajes de Syslog.
Si selecciona esta opción, debe especificar el regex que se debe utilizar
para hacer coincidir los eventos de autenticación del mensaje de Syslog
y los campos de dirección IP y usuario en los mensajes de coincidencia.
• Regex de eventos: Utilice este campo para especificar el regex e identificar los eventos de autenticación correctos dentro de los mensajes de
Syslog. Por ejemplo, cuando se hacen coincidir con el mensaje de Syslog
de ejemplo anterior, el siguiente regex indica que el cortafuegos debe
coincidir con la primera {1} instancia de la cadena authentication
success. La barra invertida antes del espacio es un carácter regex de
"escape" estándar que indica al motor de regex que no trate el espacio
como carácter especial: (authentication\ success){1}"
Palo Alto Networks
Configuración del cortafuegos para la identificación de usuarios • 345
Tabla 187. Configuración de asignación de usuarios (Continuación)
Campo
Pestaña secundaria
Filtrados de Syslog
(Continuación)
Descripción
– Regex de nombre de usuario: Introduzca el regex para identificar el
principio del nombre de usuario en los mensajes de autenticaciones
realizadas con éxito. Por ejemplo, el regex User:([a-zA-Z0-9\\\._]+)
coincidiría con la cadena User:johndoe_4 en el mensaje de ejemplo y
se extraería acme\johndoe1 como ID de usuario (User-ID). Utilice
este campo para especificar el regex e identificar el campo del nombre
de usuario en los mensajes de autenticaciones realizadas con éxito.
– Regex de dirección: Utilice este campo para especificar el campo de
dirección IP en los mensajes de autenticaciones realizadas con éxito.
Por ejemplo, la siguiente expresión regular Source:([0-9]{1,3}\.
[0-9]){1,3}\.[0-9]{1,3}\.0-9]{1,3}) coincidiría con la cadena
Source:192.168.0.212 en el mensaje de ejemplo y se extraería y
añadiría 192.168.0.212 como la dirección IP en la asignación de
dirección IP a nombre de usuario de identificación de usuario
(User-ID) que se crea.
• Identificador de campo: Con este tipo de análisis se especifica una
cadena para que coincida con el evento de autenticación y cadenas de
prefijo y sufijo para identificar la información de asignación de usuario
en los Syslogs de la siguiente forma:
– Cadena de eventos: Especifique la cadena que debe identificar el tipo
de log de evento desde el que extraer la información de asignación de
usuario. Por ejemplo, usando el formato de syslog de ejemplo que
aparece anteriormente, debe introducir la cadena authentication
success para la coincidencia en los eventos de autenticación
correctos del log.
– Prefijo de nombre de usuario: Introduzca la cadena de coincidencia
para identificar el principio del campo del nombre de usuario en el
mensaje de Syslog de autenticación. Por ejemplo, usando el formato
de Syslog del ejemplo anterior, debe introducir la cadena User: para
identificar el principio del nombre de usuario.
– Delimitador de nombre de usuario: Introduzca el delimitador
utilizado para marcar el final del campo de nombre de usuario en
un mensaje de log de autenticación. Por ejemplo, en el formato del
mensaje de log de ejemplo, al nombre de usuario le sigue un espacio,
por lo que debe introducir \s para indicar que el campo de nombre
de usuario está delimitado por un espacio.
– Prefijo de dirección: Especifique una cadena para que coincida —
Especifique la cadena que debe extraerse de la dirección IP del
mensaje de log. Por ejemplo, usando el formato de Syslog de ejemplo
que aparece anteriormente, debe introducir la cadena Source: para
identificar el campo de log del que extraer la dirección.
– Delimitador de dirección: Introduzca la cadena coincidente utilizada
para marcar el final del campo de dirección IP en el mensaje de
autenticación realizada con éxito. Por ejemplo, en el formato del
mensaje de log de ejemplo, a la dirección le sigue un salto de línea,
por lo que debe introducir \n para indicar que el campo de dirección
está delimitado por una nueva línea.
346 • Configuración del cortafuegos para la identificación de usuarios
Palo Alto Networks
Tabla 187. Configuración de asignación de usuarios (Continuación)
Campo
Descripción
Supervisión de
servidor
Utilice esta sección de la pantalla para definir los servidores de Microsoft
Exchange, controladores de dominio, servidores Novell eDirectory o
emisores de Syslog con el fin de supervisar eventos de inicio de sesión.
Por ejemplo, en un entorno AD, el agente supervisará los logs de seguridad
en busca de renovaciones o concesiones de tickets de Kerberos, acceso
al servidor Exchange (si está configurado) y conexiones de servicio de
impresión y archivo (en el caso de servidores supervisados). Puede
definir entradas para hasta 50 emisores de Syslog por sistema virtual y
hasta un total de 100 servidores supervisados, incluidos emisores de
Syslog, Microsoft Active Directory, Microsoft Exchange o Novell
eDirectory.
Nota: Recuerde que para
que los eventos AD se
registren en el log de
seguridad, el dominio AD
debe configurarse para
registrar eventos de inicio
de sesión de cuenta
correctos.
Puede añadir otros tipos de dispositivos para el descubrimiento de
información de asignación de usuario (como controladores inalámbricos,
dispositivos 802.1 o servicios Network Access Control, NAC) que el
cortafuegos no puede supervisar directamente configurándolos como
emisores de Syslog. Esto es útil en entornos donde ya hay configurado
otro dispositivos para autenticar usuarios finales. Para que esto funcione,
también debe configurar el cortafuegos para escuchar Syslog y definir
cómo filtrar los mensajes de Syslog entrantes para extraer la información
de asignación de usuario. Consulte “Definición de perfiles de gestión de
interfaz” para obtener más información sobre cómo habilitar el servicio
de Syslog en la interfaz.
Para descubrir automáticamente los controladores de dominio de
Microsoft Active Directory mediante DNS, haga clic en Descubrir.
El cortafuegos descubrirá controladores de dominio basados en el nombre
de dominio introducido en el campo Dispositivo > Configuración >
Gestión > Configuración general Dominio. A continuación, puede
habilitar los servidores que desea utilizar para obtener información de
asignación de usuarios.
Nota: La función Descubrir funciona solo para controladores de dominio;
no puede utilizarla para descubrir automáticamente servidores de Exchange o
eDirectory.
Para definir nuevos servidores de supervisión manualmente o emisores
de Syslog a los que escuchar, haga clic en Añadir y, a continuación,
cumplimente los siguientes campos:
• Nombre: Introduzca un nombre para el servidor.
• Descripción: Introduzca una descripción del servidor que se debe
supervisar.
• Habilitado: Seleccione la casilla de verificación para habilitar la supervisión de log de este servidor.
• Tipo: Seleccione el tipo de servidor que se debe supervisar (Microsoft
Active Directory, Microsoft Exchange, Novell eDirectory o emisor de
Syslog). Según el tipo de servidor seleccionado, aparece uno o varios de
los siguientes campos:
– Dirección de red: Introduzca la dirección IP o el nombre de dominio
completo (FQDN) del servidor de Exchange o Active Directory que
se debe supervisar.
– Perfil de servidor: Seleccione el perfil de servidor LDAP que se debe
usar para conectar al servidor Novell eDirectory.
– Tipo de conexión: Especifica si el agente del cortafuegos escuchará
los mensajes de Syslog en UDP (puerto 514) o SSL (puerto 6514).
Palo Alto Networks
Configuración del cortafuegos para la identificación de usuarios • 347
Tabla 187. Configuración de asignación de usuarios (Continuación)
Campo
Supervisión
de servidor
(Continuación)
Descripción
– Filtro: Seleccione el filtro de Syslog que se debe usar para extraer
nombres de usuario y direcciones IP a partir de los mensajes de
Syslog recibidos desde este servidor.
– Nombre de dominio predeterminado: (optativo) Especifique un
nombre de dominio que preceda al nombre de usuario si no hay
ningún nombre de dominio presente en la entrada de log.
Para terminar de añadir el servidor, haga clic en ACEPTAR. El cortafuegos tratará de conectar al servidor. Cuando se conecte correctamente,
el estado aparecerá como Conectado. Si el cortafuegos no puede conectarse, el estado mostrará un error, como conexión rehusada o la conexión
ha agotado el tiempo de espera.
Incluir/excluir redes
Utilice esta sección de la pestaña para definir subredes específicas que
deban incluirse o excluirse de la asignación dirección de IP a nombre de
usuario. Por ejemplo, si excluye 10.1.1.0/24, el identificador de usuario
(User-ID) no intentará encontrar nombres de usuarios para direcciones IP
en el intervalo excluido. Esto, a su vez incluirá o excluirá intervalos para
asignaciones enviadas a otros cortafuegos de PAN-OS.
Cuando defina un intervalo de red de inclusión o exclusión, se realizará
una exclusión total implícita. Por ejemplo, si incluye 10.1.1.0/24, se
excluirá el resto de redes. Si excluye 10.1.1.0/24, se excluirán todas las
redes, por lo que, cuando utilice la exclusión, también deberá contar con
una red de inclusión. De lo contrario, todas las redes se excluyen de la
asignación de usuario.
Para añadir una red incluida/excluida, haga clic en Añadir y, a continuación, cumplimente los siguientes campos.
Nombre: Introduzca un nombre para identificar el perfil que incluirá o
excluirá una red para fines de descubrimiento de identificación de
usuario (User-ID).
Habilitada: Seleccione esta opción para habilitar el perfil incluir/excluir.
Descubrimiento: Seleccione la opción para incluir o excluirel intervalo
de red definido.
Dirección de red: Introduzca el intervalo de red que le gustaría incluir o
excluir del descubrimiento de asignación de dirección IP a usuario.
Por ejemplo, 10.1.1.0/24.
Secuencia de red de inclusión exclusión personalizada: Le permite
especificar una orden en la que el cortafuegos debe evaluar qué redes
deben incluirse o excluirse de la asignación de usuario. Si no especifica
una secuencia personalizada, el cortafuegos evaluará la lista en el orden
en el que se hayan añadido las entradas.
Pestaña Agentes de ID de usuarios
Utilice la pestaña Agentes de ID de usuarios para configurar el cortafuegos y que interactúe
con los agentes de identificación de usuarios (agentes de User-ID) instalados en los servidores
del directorio de la red o con los cortafuegos configurados para identificación de usuarios que
no tengan agentes en el intercambio de información de asignación de dirección IP a usuario.
El agente de identificación de usuario (User-ID) recopila información de asignación de
dirección IP a nombre de usuario en los recursos de red y la proporciona al cortafuegos para
su uso en logs y políticas de seguridad.
348 • Configuración del cortafuegos para la identificación de usuarios
Palo Alto Networks
La asignación de identificación de usuario necesita que el cortafuegos obtenga la
dirección IP origen del usuario antes de que la dirección IP se traduzca con NAT.
Si varios servidores tienen la misma dirección origen, debido a NAT o por el uso de
un dispositivo proxy, no será posible una identificación de usuario precisa.
En entornos donde otros dispositivos de red ya están autenticando usuarios, puede
configurar el servicio de autenticación para que reenvíe logs de eventos al agente de
identificación de usuario que utiliza Syslog. El agente podría entonces extraer los
eventos de autenticación desde los Syslogs y añadirlos a las asignaciones de
dirección IP a nombre de usuario de identificación de usuario.
Para añadir un nuevo agente de identificación de usuario a la lista de agentes con los que
se comunica este cortafuegos, haga clic en Añadir y, a continuación, complete los siguientes
campos.
Tabla 188. Configuración del agente de ID de usuario (User-ID)
Campo
Descripción
Nombre
Introduzca un nombre para identificar al agente de identificación de
usuario (User-ID) (hasta 31 caracteres). El nombre hace distinción entre
mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.
Host
Introduzca la dirección IP del host de Windows en el que está instalado el
agente de identificación de usuarios (User-ID).
Puerto
Introduzca el número de puerto en el que está configurado el servicio
del agente de identificación de usuarios (User-ID) para escuchar las
solicitudes del cortafuegos. El número predeterminado del puerto del
servicio del agente de identificación de usuarios (User-ID) de Windows es
5007. Sin embargo, puede utilizar cualquier puerto disponible siempre
que el cortafuegos y el servicio del agente de identificación de usuarios
utilicen el mismo valor. Además, puede utilizar distintos números de
puerto en diferentes agentes.
Nota: Algunas versiones anteriores del agente de identificación de usuarios
utilizan 2010 como el puerto predeterminado.
Nombre del recopilador
Si este cortafuegos está recibiendo información de asignación de usuario
de otro cortafuegos configurado para redistribución, especifique el
nombre del recopilador configurado en el cortafuegos que recopilará los
datos de asignación del usuario (se muestra en la pestaña Dispositivo >
Identificación de usuarios > Asignación de usuario).
Clave precompartida del
recopilador/Confirmar
clave precompartida del
recopilador
Introduzca la clave precompartida que se utilizará para autorizar la
conectividad de SSL entre el agente de ID de usuarios y el cortafuegos
que actúa como un punto de distribución para la asignación de usuarios.
Utilizar como Proxy
LDAP
Seleccione la casilla de verificación para utilizar este agente de
identificación de usuarios (User-ID) como proxy de LDAP para las
consultas al servidor LDAP (en lugar de que el cortafuegos se conecte
directamente al servicio de directorio). Esta opción es útil en entornos
donde se deseable el almacenamiento en caché o no es posible el acceso
directo del cortafuegos al servidor del directorio.
Palo Alto Networks
Configuración del cortafuegos para la identificación de usuarios • 349
Tabla 188. Configuración del agente de ID de usuario (User-ID) (Continuación)
Campo
Descripción
Utilizar para
autenticación NTLM
Seleccione la casilla de verificación para utilizar el agente de ID de
usuarios configurado para comprobar la autenticación de cliente de
NTLM desde el portal cautivo con el dominio de Active Directory.
Habilitado
Seleccione la casilla de verificación para permitir que el cortafuegos se
comunique con este agente de identificación de usuarios.
Para terminar de añadir la entrada del agente de identificación de
usuarios (User-ID), haga clic en ACEPTAR. El nuevo agente de
identificación de usuarios aparece en la lista de agentes. Compruebe
que el icono de la columna Conectado es verde, lo que indica que el
cortafuegos puede comunicarse correctamente con el agente. Haga clic
en Actualizar conectados para intentar volver a conectar con los agentes
configurados. Si desea que el cortafuegos se comunique con agentes en
orden concreto (por ejemplo, basándose en su proximidad a ellos o en
si son una copia de seguridad o principal), haga clic en Secuencia de
agente personalizada y, a continuación, ordene los agentes en el orden
que desee.
Pestaña Agentes de servicios de terminal
Utilice la pestaña Agentes de servicios de terminal para configurar el cortafuegos y que
interactúe con los agentes de servicios de terminal (agentes TS) instalados en el red. El agente
TS identifica los usuarios individuales que admite el mismo servidor de terminal y que, por lo
tanto, tienen la misma dirección IP. El agente TS de un servidor terminal identifica a usuarios
individuales asignando intervalos de un puerto específico a cada uno de los usuarios. Cuando
se asigna un intervalo de puerto a un usuario particular, el Agente de servicios de terminal
notifica el intervalo de puerto asignado a cada cortafuegos por lo que esa política se puede
aplicar basándose en usuarios y grupos de usuarios.
Para añadir un agente TS a la configuración de cortafuegos, haga clic en Añadir y, a continuación, cumplimente los siguientes campos.
Tabla 189. Configuración de agentes de servicios de terminal
Campo
Descripción
Nombre
Introduzca un nombre para identificar el agente TS (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe
ser exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Host
Introduzca la dirección IP del servidor del terminal en el que está
instalado el agente TS.
Puerto
Introduzca el número de puerto en el que está configurado el servicio del
agente TS para comunicarse con el cortafuegos. El puerto predeterminado
es 5009.
350 • Configuración del cortafuegos para la identificación de usuarios
Palo Alto Networks
Tabla 189. Configuración de agentes de servicios de terminal (Continuación)
Campo
Descripción
Direcciones IP
alternativas
Si el servidor de terminal donde está instalado el agente TS tiene varias
direcciones IP que pueden aparecer como la dirección IP de origen para el
tráfico saliente, haga clic en Añadir y, a continuación, introduzca hasta
ocho direcciones IP adicionales.
Habilitado
Seleccione la casilla de verificación para permitir que el cortafuegos se
comunique con este agente de identificación de usuarios.
Para terminar de añadir la entrada del agente TS, haga clic en ACEPTAR.
El nuevo agente TS aparece en la lista de agentes. Compruebe que el
icono de la columna Conectado es verde, lo que indica que el cortafuegos
puede comunicarse correctamente con el agente. Haga clic en Actualizar
conectados para intentar volver a conectar con los agentes configurados.
Pestaña Asignación de grupos
Para definir las políticas de seguridad basándose en usuarios o grupos, el cortafuegos
debe recuperar la lista de grupos y la correspondiente lista de miembros de su servidor de
directorio. Para habilitar esta función, debe crear un perfil de servidor LDAP que indique al
cortafuegos cómo conectarse al servidor de directorios LDAP y autenticarse. El cortafuegos
admite una variedad de servidores de directorio LDAP, incluidos Microsoft Active Directory
(AD), Novell eDirectory y Sun ONE Directory Server.
Después de crear el perfil de servidor, utilice la pestaña Asignación de grupos para definir
cómo buscar en el directorio la información de grupos y usuarios.
Para añadir configuración de asignación de grupos, haga clic en Añadir y, a continuación,
introduzca un nombre único para identificar la configuración. El nombre distingue entre
mayúsculas y minúsculas y puede tener hasta 31 caracteres, incluidas letras, números,
espacios, guiones y guiones bajos. A continuación, debe completar los campos de las
siguientes pestañas secundarias:
•
“Pestaña secundaria Perfil de servidor”
•
“Pestaña secundaria Lista de inclusión de grupos”
Pestaña secundaria Perfil de servidor
Utilice la pestaña secundaria Perfil de servidor para seleccionar un perfil de servidor LDAP
que se utilizará para la asignación de grupos y especifique cómo buscar en el directorio
objetos específicos que contengan información de grupo y usuario.
Tabla 190. Configuración del perfil de servidor de asignación de grupos
Campo
Descripción
Perfil de servidor
Seleccione el perfil de servidor LDAP que se debe utilizar para la
asignación de grupos en este cortafuegos. Para obtener instrucciones
sobre cómo crear un perfil de servidor LDAP, consulte la guía de inicio de
PAN-OS.
Intervalo de
actualización
Especifique el intervalo (segundos) tras el cual el cortafuegos iniciará una
conexión con el servidor de directorios LDAP para obtener actualizaciones
realizadas en grupos que se utilizan en políticas de cortafuegos (intervalo
de 60 a 86.400 segundos).
Palo Alto Networks
Configuración del cortafuegos para la identificación de usuarios • 351
Tabla 190. Configuración del perfil de servidor de asignación de grupos (Continuación)
Campo
Descripción
Objetos de grupo
• Filtro de búsqueda: Especifique una consulta LDAP que se puede
utilizar para controlar qué grupos se recuperan y siguen.
• Clase de objeto: Especifique la definición de un grupo. Por ejemplo,
el valor predeterminado es objectClass=group, lo que significa que el
sistema recupera todos los objetos en el directorio que coinciden con el
filtro de grupo y cuentan con objectClass=group.
• Nombre de grupo: Introduzca el atributo que especifica el nombre del
grupo. Por ejemplo, en Active Directory, este atributo es “CN” (Nombre
común).
• Miembro del grupo: Especifique el atributo que contiene los miembros
de este grupo. Por ejemplo, en Active Directory, este atributo es
“miembro”.
Objetos de usuario
• Filtro de búsqueda: Especifique una consulta LDAP que se puede
utilizar para controlar qué usuarios se recuperan y siguen.
• Clase de objeto: Especifique la definición de un objeto de usuario.
Por ejemplo, en Active Directory, el objectClass es “usuario”.
• Nombre de usuario: Especifique el atributo para el nombre de usuario.
Por ejemplo, en Active Directory, el atributo de nombre de usuario
predeterminado es “samAccountName”.
Dominios de correo
Cuando el cortafuegos recibe un log de WildFire por un correo
electrónico malintencionado, la información del receptor del correo
electrónico se hace coincidir con la información de usuario recogida por
el ID de usuario (User-ID) El log contendrá un enlace para el usuario y,
cuando se haga clic en él, aparecerá el ACC y el usuario lo filtrará. Si el
correo electrónico se envía a una lista de distribución, los usuarios que
contiene la lista filtran el ACC.
El encabezado de correo electrónico y la información del ID de usuario
(User-ID) le ayudarán a realizar un seguimiento rápido y a evitar las
amenazas que lleguen por correo electrónico, facilitando la identificación
de usuarios que han recibido el correo electrónico.
• Atributos de correo electrónico: Este campo se rellena automáticamente según el tipo de servidor de LDAP (Sun/RFC, Active Directory
y Novell).
• Lista de dominios: Introduzca la lista de dominios de correo electrónico
de su organización usando una lista separada por comas de hasta 256
caracteres.
Habilitado
Para habilitar este perfil de usuario para la asignación de grupos,
asegúrese de que esta casilla de verificación está seleccionada.
Pestaña secundaria Lista de inclusión de grupos
Utilice la pestaña secundaria Lista de inclusión de grupos para limitar el número de grupos
que aparecen cuando se crea una política de seguridad. Busque en el árbol de LDAP los
grupos cuyo uso desea en la política. En el caso de cada grupo que desee incluir, selecciónelo
en la lista Grupos disponibles y haga clic en el icono de adición
para moverlo a la lista
Grupos incluidos. Haga clic en el icono
para eliminar grupos de la lista. Repita este paso
con cada grupo cuyo uso desea en las políticas y, a continuación, haga clic en ACEPTAR para
guardar la lista de grupos incluidos.
352 • Configuración del cortafuegos para la identificación de usuarios
Palo Alto Networks
Pestaña Configuración de portal cautivo
Utilice la pestaña Configuración de portal cautivo para configurar la autenticación de
portal cautivo en el cortafuegos. Si el cortafuegos recibe una solicitud de una zona que tiene
habilitado identificación de usuarios (User-ID) y la dirección IP de origen no tiene datos de
usuario asociados con la misma todavía, comprobará su política de portal cautivo en busca
de una coincidencia para determinar si se realizará la autenticación. Esto es de utilidad en
entornos donde tenga clientes que no hayan iniciado sesión en sus servidores de dominio,
como clientes Linux. Este método de asignación de usuarios únicamente se activa para el
tráfico web (HTTP o HTTPS) que coincida con una política/regla de seguridad, pero que no
se haya asignado utilizando un método diferente. Para el tráfico que no se basa en web o el
tráfico que no coincide con una política de portal cautivo, el cortafuegos utiliza sus políticas
de seguridad basadas en IP, en lugar de utilizar las basadas en usuarios.
Para establecer o editar la configuración de portal cautivo, haga clic en el icono Editar
a continuación, complete los siguientes campos:
Tabla 191.
y,
Configuración de portal cautivo
Campo
Descripción
Habilitado
Seleccione esta casilla de verificación para habilitar el portal cautivo para
la identificación de usuario.
Temporizador de
inactividad (minutos)
Esta es la configuración TTL (Tiempo de vida de usuario) para una
sesión de portal cautivo. Este temporizador se restaura cada vez que
hay actividad de un usuario del portal cautivo. Si el tiempo que un
usuario permanece inactivo supera el del temporizador de inactividad,
la asignación del usuario del portal cautivo se eliminará y el usuario
tendrá que volver a iniciar sesión. (1-1440 minutos, valor predeterminado:
15 minutos).
Caducidad (min)
Duración máxima del TTL, máxima cantidad de tiempo que una sesión
del portal cautivo puede permanecer asignada. Una vez transcurrido el
tiempo de vencimiento, la asignación se eliminará y los usuario tendrán
que volver a autenticarse incluso aunque la sesión siga activa. Este
temporizador se utiliza para garantizar las asignaciones obsoletas y el
valor establecido aquí anula el tiempo de espera de inactividad. Por lo
tanto, se recomienda que establezca el vencimiento en un valor superior
al del temporizador de inactividad (intervalo 1 - 1440 minutos; valor
predeterminado: 60 minutos).
Redirigir host
(Solo modo Redirigir) Especifique el nombre de host de intranet que
resuelve a la dirección IP de la interfaz de capa3 a la que está redirigiendo
solicitudes.
Certificado de servidor
(Únicamente en el modo Redirigir) Seleccione el certificado de servidor
que debería utilizar el cortafuegos para redirigir solicitudes a través de
SSL. Para redirigir usuarios de forma transparente sin mostrar errores
de certificado, instale un certificado que coincida con la dirección IP
de la interfaz a la que está redirigiendo solicitudes. Puede generar un
certificado autofirmado o importar un certificado firmado por una CA
externa.
Nota: Si selecciona Ninguno, el cortafuegos utilizará el certificado local
predeterminado para la conexiones SSL.
Palo Alto Networks
Configuración del cortafuegos para la identificación de usuarios • 353
Tabla 191.
(Continuación)Configuración de portal cautivo
Campo
Descripción
Perfil de autenticación
Seleccione el perfil de autenticación que se debe utilizar para autenticar
usuarios que se redirigen a un formulario web para su autenticación.
Tenga en cuenta que incluso aunque planee utilizar NTLM para la
autenticación, debe configurar un perfil de autenticación o un perfil de
certificado para autenticar usuarios por si la autenticación de NTLM falla
o no se puede utilizar porque el cliente o el explorador no la admite.
Modo
Seleccione uno de los siguientes modos para definir la forma en que se
capturan las solicitudes web para la autenticación:
• Transparente: El cortafuegos intercepta el tráfico del explorador
mediante la regla de portal cautivo y representa la URL de destino
original, emitiendo un HTTP 401 para invocar la autenticación. Sin
embargo, como el cortafuegos no tiene el certificado real para la URL
de destino, el explorador mostrará un error de certificado a los usuarios
que intenten acceder a un sitio seguro. Por lo tanto, únicamente debería
utilizar este modo cuando sea absolutamente necesario, como en
implementaciones de capa 2 o cable virtual (Virtual Wire).
• Redirigir: El cortafuegos intercepta sesiones de HTTP o HTTPS
desconocidas y las redirige a una interfaz de capa 3 en el cortafuegos
utilizando una redirección HTTP 302 para realizar la autenticación.
Este es el modo preferido porque proporciona una mejor experiencia
de usuario final (sin errores de certificado). Sin embargo, requiere una
configuración de capa 3 adicional. Otra ventaja del modo Redirigir es
que permite el uso de cookies de sesión, que permiten que el usuario
siga explorando sitios autenticados sin tener que volver a asignar cada
vez que venza el tiempo. Esto es de especial utilidad para los usuarios
que se desplazan de una dirección IP a otra (por ejemplo, de la LAN
corporativa a la red inalámbrica) porque no tendrán que volver a
autenticar al cambiar de dirección IP siempre que la sesión permanezca
abierta. Además, si tiene la intención de utilizar la autenticación de
NTLM, deberá utilizar el modo Redirigir porque el explorador
únicamente proporcionará credenciales a sitios fiables.
Para utilizar el portal cautivo en modo de redireccionamiento, debe
habilitar páginas de respuesta en el perfil de gestión de la interfaz
asignado a la interfaz Capa 3 a la que está redirigiendo el portal cautivo.
Consulte “Definición de perfiles de gestión de interfaz” y “Configuración
de una interfaz Ethernet de capa 3”.
Cookie de sesión
• Habilitar: Seleccione la casilla de verificación para habilitar las cookies
de sesión. Esta opción solo es válida si selecciona Redirigir como Modo.
• Tiempo de espera: Si las cookies de sesión están habilitadas, este temporizador especifica el número de minutos que la cookie de una sesión
es válida. (intervalo: 60 - 10080 minutos; valor predeterminado: 1440
minutos).
• Movilidad: Seleccione la casilla de verificación para mantener la cookie
si la dirección IP cambia mientras la sesión está activa (por ejemplo, si el
cliente cambia de una red con cable a una red inalámbrica). El usuario
solo tendrá que volver a autenticarse si la cookie agota el tiempo de
espera o el usuario cierra el explorador.
354 • Configuración del cortafuegos para la identificación de usuarios
Palo Alto Networks
Tabla 191.
(Continuación)Configuración de portal cautivo
Campo
Descripción
Autenticación del
certificado
Perfil del certificado: Seleccione el perfil del certificado que se debe
utilizar para autenticar a los usuarios del portal cautivo. Cuando utiliza
este tipo de autenticación, el portal cautivo pedirá al explorador que
presente un certificado de cliente válido para autenticar al usuario. Para
utilizar este método debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado
para emitir esos certificados en el cortafuegos. Este es el único método de
autenticación que habilita una autenticación transparente para clientes de
Mac OS y Linux.
Autenticación de NTLM
Cuando el portal cautivo se configura para la autenticación NTLM, el
cortafuegos utiliza un mecanismo de respuesta por desafío cifrado para
obtener las credenciales de usuario del explorador. Si se configura correctamente, el explorador proporcionará las credenciales al cortafuegos de
manera transparente sin preguntar al usuario, pero mostrará un mensaje
de solicitud de credenciales si es necesario. Si el explorador no puede
realizar la autenticación NTLM o esta falla, el cortafuegos retrocederá a
una autenticación con formato web o certificado de cliente, dependiendo
de su configuración de portal cautivo.
De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden
configurarse para utilizarlo. No puede utilizar NTLM para autenticar
clientes que no sean de Windows. Para configurar NTLM para su uso con
agentes de identificación de usuarios (User-ID) basados en Windows,
especifique lo siguiente:
• Intentos: Especifique el número de intentos antes de que falle la autenticación de NTLM (intervalo: 1-60; valor predeterminado: 1).
• Tiempo de espera: Especifique el número de segundos antes de que se
agote el tiempo de espera de la autenticación de NTLM (intervalo: 1-60;
valor predeterminado: 2 segundos).
• Tiempo de revisión: Especifique el tiempo después del que el cortafuegos vuelva a intentar ponerse en contacto con el primer agente en
la lista de los agentes de ID de usuarios cuando el agente deje de estar
disponible (intervalo: 60-3600 segundos; valor predeterminado: 300
segundos).
Estas opciones solo se aplican a los agentes de identificación de usuarios
(User-ID) instalados en los servidores de dominio. Al utilizar el agente
de identificación de usuarios incluido en el dispositivo, el cortafuegos
debe poder resolver correctamente el nombre de DNS de su controlador
de dominio para que el cortafuegos se una al dominio. A continuación,
puede habilitar la autenticación de NTLM en la pestaña Asignación de
usuario y proporcionar las credenciales para que el cortafuegos se una al
dominio. Para obtener instrucciones detalladas, consulte la guía de inicio
de PAN-OS.
Palo Alto Networks
Configuración del cortafuegos para la identificación de usuarios • 355
356 • Configuración del cortafuegos para la identificación de usuarios
Palo Alto Networks
Capítulo 8
Configuración de túneles de IPSec
Esta sección describe la tecnología de red privada virtual (VPN) básica y proporciona
información detallada sobre la configuración de VPN de seguridad de IP (IPSec) en
cortafuegos de Palo Alto Networks.
Consulte los siguientes temas:
•
“Definición de puertas de enlace de IKE”
•
“Configuración de túneles de IPSec”
•
“Definición de perfiles criptográficos de IKE”
•
“Definición de perfiles criptográficos de IPSec”
Definición de puertas de enlace de IKE
Red > Perfiles de red > Puertas de enlace de IKE
Utilice esta página para definir puertas de enlace que incluyan la información de
configuración necesaria para realizar la negociación del protocolo IKE con puertas de
enlace del peer.
Para configurar una puerta de enlace de IKE, usa las dos pestañas siguientes:
•
“Pestaña General de puerta de enlace de IKE”
•
“Pestaña Opciones de fase 1 avanzadas de puertas de enlace de IKE”
Palo Alto Networks
Configuración de túneles de IPSec • 357
Pestaña General de puerta de enlace de IKE
Tabla 192. Configuración general de la puerta de enlace
Campo
Descripción
Nombre
Introduzca un nombre para identificar la puerta de enlace (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios, guiones
y guiones bajos.
Interfaz
Especifique la interfaz del cortafuegos saliente.
Dirección IP local
Seleccione la dirección IP de la interfaz local que es el extremo del túnel.
Tipo de peer
Dirección IP estática u opción dinámica del peer del extremo más alejado
del túnel.
Dirección IP del peer
Si se selecciona la opción Estático para el tipo de peer, especifique la
dirección IP del peer del extremo más alejado del túnel.
Anterior a la clave
compartida
Introduzca una clave de seguridad que se utilizará para la autenticación a
través del túnel. Se aplica a los tipos de peer estáticos y dinámicos.
Confirmar clave
precompartida
Pestaña Opciones de fase 1 avanzadas de puertas de enlace de IKE
Tabla 193. Configuración general de la puerta de enlace
Campo
Descripción
Identificación local
Seleccione entre los siguientes tipos e introduzca el valor: Dirección IP,
FQDN (nombre de host), FQDN de usuario (dirección de correo electrónico) y KEYID (cadena de ID de formato binario en hexadecimal). Si no se
especifica ningún valor, la dirección IP local se utilizará como el valor de
identificación local.
Identificación del peer
Seleccione entre los siguientes tipos e introduzca el valor: Dirección IP,
FQDN (nombre de host), FQDN de usuario (dirección de correo electrónico) y KEYID (cadena de ID de formato binario en hexadecimal). Si no se
especifica ningún valor, la dirección IP del peer se utilizará como el valor
de identificación del peer.
Modo de intercambio
Seleccione Automático, Agresivo o Principal.
Perfil criptográfico
de IKE
Seleccione un perfil existente o mantenga el perfil predeterminado.
Habilitar modo pasivo
Seleccione esta opción para que el cortafuegos únicamente responda a las
conexiones de IKE y nunca las inicie.
358 • Configuración de túneles de IPSec
Palo Alto Networks
Tabla 193. Configuración general de la puerta de enlace (Continuación)
Campo
Descripción
Habilitar NAT
Transversal
Seleccione esta opción para utilizar la encapsulación UDP en los
protocolos IKE y UDP, permitiéndoles pasar a través de dispositivos
de NAT intermedios.
La NAT transversal se utiliza cuando se han establecido direcciones de
NAT entre los puntos de finalización de VPN de IPSec.
Detección de fallo
del peer
Seleccione la casilla de verificación para habilitar e introducir un intervalo
(2-100 segundos) y un retraso antes de volver a intentarlo (2-100 segundos).
La detección de fallo del peer identifica peers de IKE inactivos o no
disponibles a través de un ping ICMP y puede ayudar a restablecer
recursos que se pierden cuando un peer no está disponible.
Cuando se establece que un dispositivo utilice el modo de intercambio Automático,
puede aceptar solicitudes de negociación tanto del modo principal como del modo
agresivo; sin embargo, siempre que sea posible, inicia la negociación y permite
intercambios en el modo principal.
Debe configurar el dispositivo del peer con el modo de intercambio coincidente para
permitir que acepte solicitudes de negociación iniciadas desde el primer dispositivo.
Configuración de túneles de IPSec
Red > Túneles de IPSec
Utilice la página Túneles de IPSec para configurar los parámetros necesarios para establecer
túneles de VPN de IPSec entre cortafuegos.
Para configurar un túnel IPSec, use las dos pestañas siguientes:
•
“Pestaña General del túnel IPSec”
•
“Pestaña Identificador proxy de Túnel de IPSec”
Consulte lo siguiente cuando vea el estado del túnel IPSec:
•
“Visualización del estado del túnel de IPSec en el cortafuegos”
Palo Alto Networks
Configuración de túneles de IPSec • 359
Pestaña General del túnel IPSec
Tabla 194. Configuración de pestaña General del túnel IPSec
Campo
Descripción
Nombre
Introduzca un nombre para identificar el túnel (de hasta 63 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
El límite de 63 caracteres de este campo incluye el nombre del túnel
además del ID de proxy, que está separado por dos puntos.
Interfaz de túnel
Seleccione una interfaz de túnel existente o haga clic en Nueva interfaz
de túnel para crear una nueva interfaz de túnel. Para obtener información
acerca de la creación de una interfaz de túnel, consulte “Configuración de
una interfaz de túnel”.
Tipo
Seleccione si se utilizará una clave de seguridad generada automáticamente o introducida manualmente. Se recomienda seleccionar Clave
automática.
Clave automática
Si selecciona Clave automática, especifique lo siguiente:
• Puerta de enlace de IKE: Consulte “Definición de puertas de enlace de
IKE” para obtener descripciones de los ajustes de puertas de enlace
de IKE.
• Perfil criptográfico de IPSec: Seleccione un perfil existente o mantenga
el perfil predeterminado. Para definir un nuevo perfil, haga clic en
Nuevo y siga las instrucciones de “Definición de perfiles criptográficos
de IPSec”.
Avanzado
• Habilitar protección de reproducción: Seleccione esta opción para
proteger la reproducción ante ataques.
• Copiar encabezado de TOS: Copie el encabezado de TOS (Tipo de
servicio) desde el encabezado IP interno en el encabezado IP externo
de los paquetes encapsulados con el fin de conservar la información
original de TOS.
• Monitor de túnel: Seleccione esta opción para alertar al administrador
de dispositivo de los fallos del túnel y proporcionar una conmutación
por error automática a otra interfaz. Tenga en cuenta que deberá
asignar una dirección IP a la interfaz de túnel para su supervisión.
– IP de destino: Especifique una dirección IP en el otro lado del túnel
que el supervisor de túnel utilizará para determinar si el túnel
funciona correctamente.
– Perfil: Seleccione un perfil existente que determine las acciones que
se realizarán si falla el túnel. Si la acción especificada en el perfil del
supervisor es Esperar recuperación, el cortafuegos seguirá utilizando
la interfaz de túnel en decisiones de enrutamiento como si el túnel
siguiera activo. Si se utiliza la acción de conmutación por error, el
cortafuegos deshabilitará la interfaz de túnel, deshabilitando de este
modo todas las rutas de la tabla de enrutamiento que utilicen la
interfaz. Para obtener más información, consulte “Definición de
perfiles de supervisión”.
360 • Configuración de túneles de IPSec
Palo Alto Networks
Tabla 194. Configuración de pestaña General del túnel IPSec (Continuación)
Campo
Clave manual
Descripción
Si selecciona Clave manual, especifique lo siguiente:
• SPI local: Especifique el índice de parámetros de seguridad (SPI) local
para los paquetes transversales desde el cortafuegos local hasta el peer.
SPI es un índice hexadecimal que se añade al encabezado para ayudar a
los túneles de IPSec a diferenciar entre flujos de tráfico de IPSec.
• Interfaz: Seleccione la interfaz que es el extremo del túnel.
• Dirección local: Seleccione la dirección IP de la interfaz local que es el
extremo del túnel.
• SPI remoto: Especifique el índice de parámetros de seguridad (SPI)
remoto para los paquetes transversales desde el cortafuegos remoto
hasta el peer.
• Protocolo: Seleccione el protocolo para el tráfico a través del túnel (ESP
o AH).
• Autenticación: Seleccione el tipo de autenticación para el acceso al túnel
(SHA1, SHA256, SHA384, SHA512, MD5 o Ninguna).
• Clave/Confirmar clave: Introduzca y confirme una clave de autenticación.
• Cifrado: Seleccione una opción de cifrado para el tráfico de túnel (3des,
aes128, aes192, aes256, aes128ccm16 o Null [sin cifrado]).
• Clave/Confirmar clave: Introduzca y confirme una clave de cifrado.
Satélite de GlobalProtect
Si selecciona Satélite de GlobalProtect, especifique lo siguiente:
• Nombre: Introduzca un nombre para identificar el túnel (de hasta 31
caracteres). El nombre hace distinción entre mayúsculas y minúsculas
y debe ser exclusivo. Utilice únicamente letras, números, espacios,
guiones y guiones bajos.
• Interfaz de túnel: Seleccione una interfaz de túnel existente o haga clic
en Nueva interfaz de túnel.
• Dirección IP del portal: Introduzca la dirección IP del portal de GlobalProtect.
• Interfaz: Seleccione la interfaz en la lista desplegable que sea la interfaz
de salida (egress) para llegar al portal de GlobalProtect.
• Dirección IP local: Introduzca la dirección IP de la interfaz de salida
(egress) que se conecta con el portal de GlobalProtect.
Opciones avanzadas
• Publicar todas las rutas estáticas y conectadas hacia la puerta de
enlace: Seleccione esta opción para publicar todas las rutas desde el
dispositivo satélite hacia la puerta de enlace de GlobalProtect en la que
este satélite está conectado.
• Subred: Haga clic en Añadir para añadir subredes locales manualmente
para la ubicación del satélite. Si otros satélites están utilizando la misma
información de subred, debe aplicar la NAT a todo el tráfico hacia la IP
de interfaz de túnel. Asimismo, el satélite no debe compartir rutas en
este caso, así que todo el enrutamiento se realizará a través de la IP
de túnel.
• Entidad de certificación externa: Seleccione esta opción si va a utilizar
una CA externa para gestionar certificados. Una vez haya generado
sus certificados, deberá importarlos al dispositivo y seleccionar el
Certificado local y el Perfil del certificado que se utilizarán.
Palo Alto Networks
Configuración de túneles de IPSec • 361
Pestaña Identificador proxy de Túnel de IPSec
Tabla 195.
Configuración de la pestaña General de Túnel IPSec
Campo
Descripción
Identificador proxy
Haga clic en Añadir e introduzca un nombre para identificar el proxy.
Local
Introduzca una subred o dirección IP con el formato dirección_ip/máscara
(por ejemplo, 10.1.2.1/24).
Remoto
Si el peer lo requiere, introduzca una subred o dirección IP con el formato
dirección_ip/máscara (por ejemplo, 10.1.1.1/24).
Protocolo
Especifique los números de protocolo y puerto para los puertos locales y
remotos:
• Número: Especifique el número de protocolo (utilizado para la interoperabilidad con dispositivos de terceros).
• Cualquiera: Permita el tráfico de TCP y/o UDP.
• TCP: Especifique los números de puertos TCP locales y remotos.
• UDP: Especifique los números de puertos UDP locales y remotos.
Cada ID de proxy configurado se tendrá en cuenta a la hora de calcular la
capacidad de túnel de VPN de IPSec del cortafuegos.
Visualización del estado del túnel de IPSec en el cortafuegos
Red > Túneles de IPSec
Para ver el estado de los túneles de VPN de IPSec definidos actualmente, abra la página
Túneles de IPSec. En la página se indica la siguiente información de estado:
•
Estado del túnel (primera columna de estado): El color verde indica un túnel de SA de
IPSec. El color rojo indica que las SA de IPSec no están disponibles o han vencido.
•
Estado de la puerta de enlace de IKE: El color verde indica unas SA de fase 1 de IKE
válidas. El color rojo indica que la SA de IKE de fase 1 no está disponibles o ha vencido.
•
Estado de la interfaz de túnel: El color verde indica que la interfaz de túnel está activada
(porque el supervisor de túnel está deshabilitado o porque el estado del supervisor de
túnel es ACTIVADO). El color rojo indica que la interfaz de túnel está desactivada porque
el supervisor de túnel está habilitado y el estado es DESACTIVADO.
362 • Configuración de túneles de IPSec
Palo Alto Networks
Definición de perfiles criptográficos de IKE
Red > Perfiles de red > Criptográfico de IKE
Utilice la página Perfiles criptográficos de IKE para especificar protocolos y algoritmos para
la identificación, la autenticación y el cifrado en túneles de VPN basándose en la negociación
de SA de IPSec (IKEv1
de fase 1).
Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione el elemento y,
a continuación, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden
determina la primera opción cuando se negocian los ajustes con un peer remoto. En primer
lugar se intenta el ajuste de la parte superior de la lista, continuando hacia abajo en la lista
hasta que un intento tiene éxito.
Tabla 196. Configuración de perfiles criptográficos de IKE
Campo
Descripción
Grupo DH
Especifique la prioridad de grupos Diffie-Hellman (DH). Haga clic
en Añadir y seleccione grupos. Para mayor seguridad, seleccione un
elemento y, a continuación, haga clic en el icono Mover hacia arriba o
Mover hacia abajo para mover los grupos con identificadores numéricos
más altos a la parte superior de la lista. Por ejemplo, mueva el grupo14
encima del grupo2.
Autenticación
Especifique la prioridad de los algoritmos de hash. Haga clic en Añadir y
seleccione los algoritmos (MD5, SHA1, SHA256, SHA384 o SHA512). Para
mayor seguridad, utilice las flechas para mover SHA1 a la parte superior
de la lista.
Cifrado
Seleccione las casillas de verificación para las opciones de autenticación
de carga de seguridad encapsulada (ESP) deseada. Haga clic en Añadir
y seleccione los algoritmos (aes256, aes192, aes128 o 3des). Para mayor
seguridad, seleccione un elemento y, a continuación, haga clic en el icono
Mover hacia arriba o Mover hacia abajo para cambiar el orden por el
siguiente: aes256, aes192, aes128, 3des.
Duración
Seleccione unidades e introduzca la cantidad de tiempo que la clave
negociada permanecerá efectiva.
Palo Alto Networks
Configuración de túneles de IPSec • 363
Definición de perfiles criptográficos de IPSec
Red > Perfiles de red > Criptográfico de IPSec
Utilice la página Perfiles criptográficos de IPSec para especificar protocolos y algoritmos
para la identificación, la autenticación y el cifrado en túneles de VPN basándose en la
negociación de SA de IPSec (IKEv1 de fase 2).
Tabla 197. Configuración de perfiles criptográficos de IPSec
Campo
Descripción
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Protocolo de IPSec
Seleccione una opción de la lista desplegable.
ESP:
• Haga clic en Añadir bajo Cifrado y seleccione los algoritmos de cifrado
de ESP deseados. Para mayor seguridad, utilice las flechas para cambiar
el orden de lo siguiente: 3des, aes128, aes192, aes256 o aes128ccm16.
• Haga clic en Añadir bajo Autenticación y seleccione los algoritmos de
autenticación de ESP deseados (MD5, SHA1, SHA256, SHA384, SHA512
o Ninguna).
AH:
• Haga clic en Añadir bajo Autenticación y seleccione los algoritmos
de autenticación de AH deseados (MD5, SHA1, SHA256, SHA384 o
SHA512).
Grupo DH
Seleccione el grupo DH. Para mayor seguridad, seleccione el grupo con el
identificador más alto.
Duración
Seleccione unidades e introduzca la cantidad de tiempo que la clave
negociada permanecerá efectiva. El valor predeterminado es de 1 hora.
Duración
Seleccione unidades opcionales e introduzca la cantidad de datos que la
clave puede utilizar para el cifrado.
Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione un elemento y, a
continuación, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden de la lista
determina el orden en el que se aplican los algoritmos y puede afectar al rendimiento del túnel.
364 • Configuración de túneles de IPSec
Palo Alto Networks
Capítulo 9
Configuración de GlobalProtect
Configuración del portal de GlobalProtect
Red > GlobalProtect > Portales
Utilice esta página para configurar y gestionar la configuración de un portal de GlobalProtect.
El portal proporciona las funciones de gestión para la infraestructura de GlobalProtect.
Todos los sistemas clientes que participan en la red de GlobalProtect recibe información de
configuración desde el portal, incluida información sobre las puertas de enlace disponibles,
así como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace.
Además, el portal controla el comportamiento y la distribución del software del agente de
GlobalProtect para los portátiles con Mac y Windows. (En dispositivos móviles, la aplicación
GlobalProtect se distribuye a través de la Apple App Store para los dispositivos iOS o
mediante Google Play para dispositivos Android.)
Para añadir una configuración de portal, haga clic en Añadir para abrir el cuadro de diálogo
Portal de GlobalProtect. Para obtener información detallada sobre los campos de todas las
pestañas del cuadro de diálogo, consulte las siguientes secciones:
•
“Pestaña Configuración de portal”
•
“Pestaña Configuración clientes”
•
“Pestaña Configuración Satélite”
Para obtener instrucciones detalladas sobre cómo configurar el portal, consulte la sección para
configurar un portal de GlobalProtect en la guía del administrador de GlobalProtect.
Pestaña Configuración de portal
Utilice la pestaña Configuración de portal para definir la configuración de red de forma
que permita a los agentes conectarse al portal y especificar cómo autenticará el portal a los
clientes finales.
Además, puede utilizar esta pestaña para especificar, de forma optativa, el inicio de sesión
personalizado de portal de GlobalProtect y las páginas de ayuda. Para obtener información
sobre cómo crear e importar estas páginas personalizadas, consulte la sección sobre personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda de portal en la guía del
administrador de GlobalProtect.
Palo Alto Networks
Configuración de GlobalProtect • 365
Tabla 198. Configuración del portal de GlobalProtect
Campo
Descripción
Nombre
Introduzca un nombre para el portal (de hasta 31 caracteres). El nombre
hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.
Utilice únicamente letras, números, espacios, guiones y guiones bajos.
Ubicación
Seleccione el sistema virtual, si la opción varios sistemas virtuales está
activada.
Configuración de red
Interfaz
Seleccione la interfaz del cortafuegos que se utilizará como entrada
(ingress) para clientes/cortafuegos remotos.
Dirección IP
Especifique la dirección IP en la que se ejecutará el servicio web del portal
de GlobalProtect.
Certificado de servidor
Seleccione el certificado de servidor de SSL que se debe utilizar para
el portal de GlobalProtect. El campo de nombre común (CN) y, si es
aplicable, de nombre alternativo del asunto (SAN) del certificado deben
coincidir exactamente con la dirección IP o con el nombre de dominio
completo (FQDN) de la interfaz seleccionada.
En las configuraciones de VPN de GlobalProtect, es recomendable
utilizar un certificado de una CA de terceros de confianza o un certificado
generado por su CA de empresa interna. Si aún no ha generado/importado
el certificado del servidor, puede generarlo ahora (si ya ha creado un
certificado de CA de raíz para autofirmado) o puede importar un
certificado desde una CA externa.
Autenticación
Perfil de autenticación
Seleccione un perfil de autenticación para autenticar a los clientes/
satélites que acceden al portal. Si está configurando LSVPN, no podrá
guardar la configuración a menos que seleccione un perfil de autenticación.
Incluso si planea autenticar los satélites usando números de serie, el
portal necesita un perfil de autenticación al que retroceder si no puede
situar o validar el número de serie.
Consulte “Configuración de perfiles de autenticación”.
Mensaje de
autenticación
Introduzca un mensaje que ayude a los usuarios finales a saber qué
credenciales deben utilizar para iniciar sesión en el portal o utilizar el
mensaje predeterminado. El mensaje puede tener hasta 50 caracteres de
longitud.
Certificado de cliente
(Optativo) Si planea utilizar una autenticación de SSL mutua, seleccione
el certificado que el cliente presentará a las puertas de enlace. Este
certificado de cliente se distribuirá a todos los agentes que se hayan
autenticado correctamente al portal, a no ser que la configuración
correspondiente del cliente contenga un certificado de cliente diferente.
Si utiliza una CA interna para distribuir certificados a los clientes, deje
este campo en blanco.
Perfil del certificado
(Optativo) Seleccione el perfil del certificado que se debe utilizar para
autenticar a los usuarios en el portal. Utilice esta opción solo si los
extremos ya tienen un certificado de cliente previamente implementado
usando una infraestructura de clave pública interna (PKI).
366 • Configuración de GlobalProtect
Palo Alto Networks
Tabla 198. Configuración del portal de GlobalProtect (Continuación)
Campo
Descripción
Apariencia
Deshabilitar página de
inicio de sesión
Seleccione esta opción para deshabilitar el acceso a la página de inicio de
sesión de portal de GlobalProtect desde un navegador web.
Página de inicio de
sesión personalizada
Seleccione una página de inicio de sesión personalizada opcional para el
acceso de usuario al portal.
Página de ayuda
personalizada
Seleccione una página de ayuda personalizada optativa para asistir al
usuario con GlobalProtect.
Pestaña Configuración clientes
Utilice la pestaña Configuración clientes para definir los ajustes de configuración del cliente
de GlobalProtect que el portal implementará para el agente/aplicación al conectar y
autenticar correctamente.
Esta pestaña también le permite implementar automáticamente cualquier certificado de
CA raíz de confianza y certificados intermedios que necesitará el cliente final para establecer
conexiones HTTPS con las puertas de enlace de GlobalProtect y/o el gestor de seguridad
móvil de GlobalProtect, si estos componentes utilizan certificados de servidor en los que no
confían los clientes finales. Cualquier certificado que añada aquí será aplicado a los clientes
con configuración cliente. Para añadir un certificado de CA raíz de confianza, haga clic en
Añadir y, a continuación, seleccione un certificado de la lista o haga clic en Importar para
buscar e importar el certificado en el cortafuegos.
Si tiene clases de usuarios distintas que necesitan distintas configuraciones, puede crear
una configuración cliente distinta para cada uno. El portal utilizará entonces el nombre de
usuario/nombre de grupo o el sistema operativo del cliente para determinar qué configuración
cliente implementar. Como con la evaluación de reglas de seguridad, el portal busca una
coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia,
proporciona la configuración correspondiente al agente/aplicación. Por lo tanto, si tiene
varias configuraciones cliente, es importante ordenarlas, para que las más específicas
(configuraciones para usuarios o sistemas operativos concretos) estén por encima de
configuraciones más genéricas. Utilice los botones Mover hacia arriba y Mover hacia abajo
para ordenar las configuraciones. Haga clic en Añadir para abrir el cuadro de diálogo
Configuraciones y cree una nueva configuración cliente. Para obtener información detallada
sobre cómo configurar el portal y crear configuraciones cliente, consulte la sección para
configurar el portal del GlobalProtect en la guía del administrador de GlobalProtect.
El cuadro de diálogo Configuración contiene cinco pestañas, que se describen en la siguiente
tabla:
•
Pestaña General
•
Pestaña Usuario/grupo de usuarios
•
Pestaña Puertas de enlace
•
Pestaña Agente
•
Pestaña Recopilación de datos
Palo Alto Networks
Configuración de GlobalProtect • 367
Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect
Campo
Descripción
Pestaña General
Nombre
Introduzca un nombre para identificar la configuración de este cliente.
Utilizar registro único
Seleccione la casilla de verificación para que GlobalProtect utiliza las
credenciales de inicio de sesión de Windows de los usuarios para conectar
y autenticar de manera transparente a las puertas de enlace y al portal de
GlobalProtect. A los usuarios no se les pedirá que introduzcan nombre de
usuario ni contraseña en la pestaña Configuración del agente.
Intervalo de
actualización de
configuración (horas)
Especifique el intervalo en horas para actualizar la configuración del
agente GlobalProtect (de forma predeterminada, 24 horas; rango de 1-168
horas).
Modificador de
autenticación
• Ninguno: El portal siempre autentica al agente usando el perfil de
autenticación especificado y/o el perfil de certificado y envía las
credenciales de autenticación a la puerta de enlace. Es el ajuste
predeterminado.
• Autenticación de cookies para actualización de configuración: Permite
la autenticación basada en cookies del agente al portal para actualizar
una configuración de cliente en caché.
• Caducidad de cookies (días): Esta opción solo aparece si selecciona la
opción Autenticación de cookies para actualización de configuración
en el campo Modificador de autenticación. Utilícela para especificar el
número de días que el agente puede utilizar la cookie para autenticarse
en el portal con el fin de actualizar la configuración; un valor de 0
(predeterminado) indica que la cookie nunca caduca.
• Contraseña diferente para puerta de enlace: indica que el portal y la
puerta de enlace utilizan credenciales de autenticación diferentes y pide
al usuario la contraseña de la puerta de enlace después de que la autenticación de portal se realice correctamente. De forma predeterminada,
el portal enviará la misma contraseña que ha utilizado el agente para
autenticarse en el portal o en la puerta de enlace.
• Solo puerta de enlace manual: Esta opción solo aparece si selecciona
Contraseña diferente para puerta de enlace en el campo Modificador
de autenticación. Seleccione esta casilla de verificación si desea utilizar
mecanismos de autenticación diferentes en distintas puertas de enlace
configuradas como manuales. Por ejemplo, puede elegir las credenciales de Active Directory para una conexión “siempre activada” a un
conjunto de puertas de enlace, y utilizar un mecanismo de autenticación
más estricto, como una autenticación OTP de dos factores, en otro
conjunto de puertas de enlace que protejan recursos más seguros.
368 • Configuración de GlobalProtect
Palo Alto Networks
Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación)
Campo
Descripción
Método de conexión
• A petición: Seleccione esta opción para permitir a los usuarios establecer
una conexión cuando lo deseen. Con esta opción, el usuario debe iniciar
la conexión de forma explícita. Esta función se utiliza principalmente
para conexiones con acceso remoto.
• Inicio de sesión de usuario: Con esta opción configurada, el agente de
GlobalProtect establecerá una conexión cuando los usuarios inicien
sesión en sus equipos. Si selecciona Utilizar registro único, el nombre
de usuario y la contraseña utilizados para iniciar sesión en Windows se
capturan por el agente de GlobalProtect y se utilizan para autenticar.
• Anterior al inicio de sesión: Permite al agente autenticar y establecer el
túnel de VPN en la puerta de enlace de GlobalProtect utilizado un certificado de máquina instalado previamente antes de que el usuario inicie
sesión en la máquina. Cuando se utiliza el método de conexión anterior
al inicio de sesión, puede crear configuraciones cliente de GlobalProtect
y políticas de seguridad que especifiquen el método anterior al inicio de
sesión como usuario de origen y permitan el acceso solo a los servicios
básicos como DHCP, DNS, Active Directory y servicios de actualización
del sistema operativo y antivirus, para aumentar aún más la velocidad
del proceso de inicio de sesión para los usuarios. Para utilizar esta
función, debe usar su propia infraestructura de clave pública (PKI) para
emitir y distribuir certificados a sus sistemas de usuario final. Entonces,
debe importar el certificado de CA raíz utilizado para emitir los certificados de máquina al cortafuegos (tanto el portal como la puerta de
enlace) y, a continuación, crear un perfil de certificado correspondiente.
Certificado de cliente
Si planea quiere utilizar una autenticación de SSL mutua, seleccione
el certificado que el cliente presentará a las puertas de enlace. Este
certificado cliente se distribuirá a todos los agentes que coincidan
con esta configuración cliente. Si también hay un certificado cliente
especificado en la pestaña Configuración de portal, se utilizará este
en su lugar. Si está implementando certificados únicos a sus extremos
usando una PKI interna, deje este campo en blanco.
Gestor de seguridad
móvil
Si está utilizando el gestor de seguridad móvil de GlobalProtect para la
gestión del dispositivo móvil, introduzca la dirección IP o FQDN de la
interfaz de registro/inscripción del dispositivo en el dispositivo GP-100.
Puerto de inscripción
Número de puerto que debe utilizar el dispositivo móvil al conectar al
gestor de seguridad móvil de GlobalProtect para la inscripción. De forma
predeterminada, el gestor de seguridad móvil escucha en el puerto 443.
Se recomienda respetar este valor para no se les solicite un certificado
cliente durante el proceso de inscripción a los usuarios de dispositivos
móviles. (Valor predeterminado: 443; valores posibles: 443, 7443, 8443)
Palo Alto Networks
Configuración de GlobalProtect • 369
Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación)
Campo
Descripción
Detección de host
interno
Con esta opción, GlobalProtect realiza una búsqueda de DNS inversa
del nombre de host especificado en la dirección IP especificada. Si no se
encuentra ninguna coincidencia, GlobalProtect supone que el extremo se
encuentra fuera de la red de la empresa y establece un túnel con cualquier
puerta de enlace externa configurada en la pestaña Puertas de enlace.
Si encuentra alguna coincidencia, el agente determina que el extremo
está dentro de la red y se conecta a una puerta de enlace interna (si está
configurada); en este caso, no crea ninguna conexión de VPN a puertas de
enlace externas.
Seleccione la casilla de verificación para activar la detección de host
interno utilizando la búsqueda de DNS. Especifique lo siguiente:
• Dirección IP: Introduzca una dirección IP interna para la detección de
host interno.
• Nombre de host: Introduzca el nombre de host que lleva a la dirección
IP anterior en la red interna.
Pestaña Usuario/grupo de usuarios
Especifica el usuario o grupo de usuarios o el sistema operativo cliente al
que aplicar la configuración cliente:
• Usuario/grupo de usuarios: Haga clic en Añadir para seleccionar en la
lista el usuario o grupo de usuarios al que se aplicará esta configuración
(para que aparezca la lista de usuarios y grupos debe estar configurada
la asignación de grupos). También puede crear configuraciones que se
implementarán en los agentes en modo anterior al inicio de sesión
(es decir, antes de que el usuario haya iniciado sesión en el sistema) o
configuraciones que se aplicarán a cualquier usuario.
• SO: Para implementar configuraciones basadas en el sistema operativo
específico que se ejecuta en el sistema final, haga clic en Añadir en la
sección de SO de la ventana y, a continuación, seleccione los sistemas
operativos que correspondan (Android, iOS, Mac o Windows). O deje
el valor de esta sección establecido en Cualquiera para que las configuraciones se implementen basándose solo en el usuario/grupo.
Pestaña Puertas de enlace
Tiempo de corte
Especifique la cantidad de tiempo (en segundos) que el agente esperará a
que respondan las puertas de enlace antes de determinar la mejor puerta
de enlace a la que conectarse. El agente solo intentará conectarse a las
puertas de enlace que hayan respondido en el tiempo de corte especificado.
El valor predeterminado es 5. El valor 0 indica que no hay tiempo de
corte; el agente esperará hasta que el TCP agote su tiempo de espera.
(Rango 0 a 10)
Puertas de enlace
internas
Especifique las puertas de enlace internas que el agente autenticará y para
las que proporcionará informes HIP.
370 • Configuración de GlobalProtect
Palo Alto Networks
Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación)
Campo
Descripción
Puertas de enlace
externas
Especifique la lista de cortafuegos con los que el agente debería intentar
establecer un túnel cuando estos falten en la red corporativa. Haga clic en
Añadir y, a continuación, introduzca la siguiente información para todas
las puertas de enlace externas:
• Nombre: Etiqueta de hasta 31 caracteres para identificar la puerta de
enlace. El nombre hace distinción entre mayúsculas y minúsculas y
debe ser exclusivo. Utilice únicamente letras, números, espacios,
guiones y guiones bajos.
• Dirección: Dirección IP o FQDN de la interfaz del cortafuegos donde se
configura la puerta de enlace. El valor debe coincidir con el campo CN
(y SAN, si se especifica) en el certificado del servidor de la puerta de
enlace (por ejemplo, si ha utilizado un FQDN para generar el certificado,
también debe introducirlo aquí).
• Prioridad: Seleccione un valor (Más alta, Alta, Media, Baja, Más baja o
Manual únicamente) para ayudar al agente a determinar la puerta de
enlace a la que conectarse. El agente se pondrá en contacto con todas las
puertas de enlace (excepto las que tengan una prioridad Solo manual) y
establecerá un túnel con el cortafuegos que proporcione la respuesta
más rápida y el valor de prioridad más alto.
• Manual: Seleccione esta casilla de verificación si desea permitir que los
usuarios se conecten manualmente (o cambien a) la puerta de enlace.
El agente de GlobalProtect tendrá la opción de conectarse a cualquier
puerta de enlace externa configurada con la selección Manual.
Al conectarse a la nueva puerta de enlace, se desconectará el túnel
existente y se establecerá un nuevo túnel. A diferencia de la puerta
de jenlace principal, las puertas de enlace manuales pueden también
tener un mecanismo de autenticación diferente. Si se reinicia el sistema
cliente o si se realiza un redescubrimiento, el agente de GlobalProtect
se conectará a la puerta de enlace principal. Esta función es muy útil si
cuenta con un grupo de usuarios que necesitan conectarse de forma
temporal a una puerta de enlace específica para acceder a un segmento
seguro de su red.
Pestaña Agente
La configuración de esta pestaña especifica la forma en la que interactúan
los usuarios finales con los agentes de GlobalProtect instalados en sus
sistemas. Puede definir configuraciones de agente diferentes para las
distintas configuraciones cliente de GlobalProtect que cree.
Código de acceso/
Confirmar código
de acceso
Introduzca el código de acceso que los usuarios finales deberán introducir
para cancelar el agente. Este campo solo es necesario si el campo Cancelación del agente por el usuario tiene establecido el uso de código de
acceso.
Palo Alto Networks
Configuración de GlobalProtect • 371
Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación)
Campo
Descripción
Cancelación del agente
por el usuario
Seleccione una opción de cancelación:
• deshabilitado: Impide que los usuarios finales deshabiliten el agente de
GlobalProtect.
• con comentario: Se pide al usuario final que introduzca un comentario
cuando desactive el agente de GlobalProtect.
• con código de acceso: La opción permite al usuario introducir un
código de acceso para cancelar el agente de GlobalProtect. Si selecciona
esta opción, también debe introducir un valor en el campo Código de
acceso y en Confirmar código de acceso. Los usuarios tendrán que
introducir este valor para cancelar al agente.
• con vale: Esta opción activa un mecanismo de respuesta por desafío
para autorizar la desactivación del agente de GlobalProtect por parte
del cliente. Con esta opción seleccionada, se solicita un desafío al
usuario al desactivar GlobalProtect. El desafío es transmitido al
administrador fuera del cortafuegos y el administrador puede validar
el desafío mediante la interfaz de administración del cortafuegos.
El cortafuegos genera una respuesta que se presenta al usuario que
podrá luego desactivar GlobalProtect introduciendo dicha respuesta
cuando el agente de GlobalProtect se la solicite. Cuando utilice esta
opción, también debe introducir la clave para descifrar el vale en los
campos Clave de cancelación del agente por el usuario en el nivel
superior de la pestaña Configuración clientes.
Máx. número de
cancelaciones del
agente por el usuario
Especifique el número máximo de veces que un usuario puede desactivar
GlobalProtect antes de que sea obligatoria una conexión correcta con un
cortafuegos. El valor 0 (predeterminado) indica que las cancelaciones de
agente son ilimitadas.
Tiempo de espera a la
cancelación del agente
por el usuario
Especifique el tiempo máximo (en minutos) que GlobalProtect estará
deshabilitado al cancelar; después de que transcurra el tiempo especificado,
el agente volverá a conectarse. El valor 0 (predeterminado) indica que la
duración de la cancelación es ilimitada.
Actualización de agente
Seleccione una de las siguientes opciones para especificar cómo
se producirán las descargas/actualizaciones del software del agente
de GlobalProtect:
• deshabilitado: Impide que los usuarios actualicen el agente.
• manual: Permite a los usuarios comprobar e iniciar actualizaciones
manualmente seleccionando la opción de comprobación de versión
del agente.
• mensaje: pide actualizar a los usuarios finales cuando se active una
nueva versión del agente en el cortafuegos. Es el ajuste predeterminado.
• transparente: actualiza automáticamente el software del agente cuando
hay una versión disponible en el portal.
Página de bienvenida
Seleccione la página de bienvenida que debe mostrarse a los usuarios
finales cuando la conexión a GlobalProtect sea correcta. Puede seleccionar
la página predeterminada de fábrica o importar una página personalizada.
De forma predeterminada, este campo se establece en Ninguno.
VPN externo
Haga clic en Añadir para añadir una lista de clientes VPN de acceso
remoto que podrían estar presentes en los extremos. Si está configurado,
GlobalProtect ignorará esos clientes VPN, así como su configuración de
ruta, para asegurarse de que ni les afecta ni entra en conflicto con ellos.
372 • Configuración de GlobalProtect
Palo Alto Networks
Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación)
Campo
Descripción
Habilitar vista avanzada
Cancele la selección de la casilla de verificación para restringir la interfaz
del usuario por parte del cliente en la vista mínima básica. De forma
predeterminada, la configuración de vista avanzada está activada.
Mostrar icono
GlobalProtect
Quite esta marca de verificación para ocultar el icono de GlobalProtect
en el sistema cliente. Cuando está oculto, los usuarios no pueden realizar
otras tareas, como cambiar las contraseñas, redescubrir la red, reenviar
información de host, ver información de solución de problemas o realizar
una conexión a demanda. Sin embargo, los mensajes de notificación HIP,
los mensajes de inicio de sesión y los cuadros de diálogo de certificados
seguirán mostrándose como necesarios para interactuar con el usuario
final.
Permitir al usuario
cambiar la dirección
del portal
Quite la marca de esta casilla de verificación para deshabilitar el campo
Portal en la pestaña Configuración del agente de GlobalProtect. Como el
usuario no podrá entonces especificar un portal al que conectarse, debe
proporcionar la dirección predeterminada del portal en el registro
de Windows: (HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
Networks\GlobalProtect\PanSetup con portal clave) o la pclist de Mac
(/Library/Preferences/com.
paloaltonetworks.GlobalProtect.pansetup.plist con portal clave).
Permitir que el usuario
guarde la contraseña
Quite la marca de verificación de esta casilla para impedir que los
usuarios guarden sus contraseñas en el agente (es decir, forzarlos a
proporcionar la contraseña, ya sea de forma transparente mediante el
cliente o introduciendo una manualmente, cada vez que se conecten).
Activar opción para
volver a detectar la red
Quite la marca de verificación de esta casilla para impedir que los
usuarios redescubran la red de forma manual.
Activar opción para
volver a enviar perfil de
host
Quite la marca de verificación de esta casilla de para impedir que los
usuarios activen manualmente el reenvío del último HIP.
Permitir que el usuario
continúe si el certificado
de servidor del portal no
es válido
Quite la marca de verificación de esta casilla para impedir al agente
establecer una conexión con el portal si el certificado de portal no
es válido.
Pestaña Recopilación
de datos
Utilice esta pestaña secundaria para definir qué datos recopilará el agente
del cliente en el informe HIP:
Máx. de tiempo de
espera
Especifique la duración de la búsqueda de datos HIP por parte del
agente antes de enviar la información disponible (rango 10-60 segundos;
de forma predeterminada, 20 segundos).
Excluir categorías
Utilice esta pestaña secundaria para definir cualquier categoría de
información de host para la que no desee recopilar los datos HIP.
Seleccione una categoría que desee excluir de la recopilación de HIP.
Después de seleccionar una categoría, de forma optativa, puede filtrar
la exclusión haciendo clic en Añadir y, a continuación, seleccionando
un proveedor concreto. Haga clic en Añadir en la sección Producto
del cuadro de diálogo y, a continuación, seleccione los productos del
proveedor. Haga clic en ACEPTAR para guardar la configuración.
Palo Alto Networks
Configuración de GlobalProtect • 373
Tabla 199. Ajustes de Configuración clientes del portal de GlobalProtect (Continuación)
Campo
Descripción
Comprobaciones
personalizadas
Utilice esta pestaña secundaria para definir cualquier información de
host personalizada que desee que recopile el agente. Por ejemplo, si tiene
aplicaciones necesarias que no estén incluidas en la lista de productos o
de proveedores para crear objetos HIP, cree una comprobación personalizada que le permita determinar si se ha instalado esa aplicación (tiene
un registro o clave plist que corresponde) o se está ejecutando (tiene un
proceso en ejecución que corresponde):
• Windows: Haga clic en Añadir para añadir una comprobación de una
clave de registro determinada o un valor de clave.
• Mac: Haga clic en Añadir para añadir una comprobación de una clave
plist determinada o un valor de clave.
• Lista de procesos: Haga clic en Añadir para especificar la lista de
procesos para comprobar en los sistemas de usuario final para ver si
están en ejecución. Por ejemplo, para determinar si una aplicación de
software se está ejecutando, agregue el nombre del archivo ejecutable a
la lista de procesos. Puede añadir una lista de procesos a la pestaña
Windows o Mac.
Pestaña Configuración Satélite
Un dispositivo satélite es un cortafuegos de Palo Alto Networks (tradicionalmente en una
sucursal) que actúa como agente de GlobalProtect para habilitarlo y establecer la conectividad
de VPN en un cortafuegos de GlobalProtect. De la misma forma que un agente de GlobalProtect,
el satélite recibe su configuración inicial del portal, incluidos certificados e información sobre
la ruta de configuración de VPN. Esto que permite su conexión a todas las puertas de enlace
configuradas, lo que hace posible el establecimiento de la conectividad de VPN.
Antes de configurar los ajustes de satélite de GlobalProtect en el cortafuegos de la sucursal,
primero debe configurar una interfaz con conectividad de WAN y establecer una política y
una zona de seguridad para que la LAN de la sucursal pueda comunicarse con Internet.
Entonces podrá configurar los ajustes del satélite de GlobalProtect en el portal, según se
describe en la siguiente tabla:
Tabla 200. Ajustes de configuración del satélite del portal de GlobalProtect
Campo
Descripción
Pestaña secundaria
General
Haga clic en Añadir para mostrar las pestañas secundarias y
especifique la siguiente configuración en la pestaña secundaria
Satélite de GlobalProtect > General:
• Nombre: Introduzca un nombre para identificar el perfil del
dispositivo satélite de GlobalProtect.
• Actualizar intervalo de configuración (horas): Especifique la
frecuencia con la que los dispositivos satélite deben comprobar el
portal para actualizaciones de la configuración (valor predeterminado
24 horas, intervalo entre 1 y 48 horas).
Pestaña secundaria
Dispositivos
374 • Configuración de GlobalProtect
Haga clic en Añadir para agregar manualmente un dispositivo satélite
utilizando el número de serie del dispositivo. Si utiliza esta opción,
cuando se conecta el dispositivo satélite por primera vez para recibir el
certificado de autenticación y la configuración inicial, no se requiere un
mensaje de inicio de sesión. Después de autenticar el dispositivo satélite,
se agrega Nombre (nombre de host) al portal de forma automática.
Palo Alto Networks
Tabla 200. Ajustes de configuración del satélite del portal de GlobalProtect (Continuación)
Campo
Descripción
Pestaña secundaria
Inscripción del usuario/
Grupo de usuario
El portal utiliza los ajustes Usuario de inscripción/Grupo de usuarios
y/o los números de serie de Dispositivos para hacer coincidir un satélite
con una configuración.
Especifique los criterios de coincidencia para la configuración de satélite
de la manera siguiente:
• Para restringir esta configuración a dispositivos satélite con números
de serie específicos, seleccione la pestaña Dispositivos, haga clic en
Añadir e introduzca un número de serie (no necesita introducir el
nombre de host de satélite; se añadirá automáticamente cuando el
satélite se conecte). Repita este paso para cada satélite que quiera que
reciba esta configuración.
• Seleccione la pestaña Usuario de inscripción/Grupo de usuarios,
haga clic en Añadir y, a continuación, seleccione el usuario o grupo que
quiera que reciba esta configuración. Los satélites que no coinciden en
el número de serie deberán autenticarse como un usuario especificado
aquí (bien como un usuario individual, bien como un miembro de
grupo).
Nota: Nota: Para restringir la configuración a grupos específicos, debe activar la
asignación de grupos.
Pestaña secundaria
Puertas de enlace
Haga clic en Añadir para introducir la dirección IP o nombre de host de
los satélites de las puertas de enlace con los que esta configuración puede
establecer túneles de IPSec. Introduzca el FQDN o la dirección IP de la
interfaz donde está configurada la puerta de enlace en el campo Puertas
de enlace.
(Opcional) Si está añadiendo dos o más puertas de enlace a la configuración, la Prioridad del enrutador ayuda al satélite a seleccionar la puerta
de enlace preferida. Introduzca un valor de entre 1 y 25; cuanto menor sea
el número, mayor será la prioridad (es decir, la puerta de enlace a la que
se conectará el satélite si todas las puertas de enlace están disponibles).
El satélite multiplicará la prioridad de enrutamiento por 10 para determinar la medida de enrutamiento.
Nota: Las rutas publicadas por la puerta de enlace se instalan en el satélite
como rutas estáticas. La medida para la ruta estática es 10 veces la prioridad
de enrutamiento. Si tiene más de una puerta de enlace, asegúrese también de
establecer la prioridad de enrutamiento para garantizar que las rutas anunciadas
por puertas de enlace de reserva tienen medidas más altas en comparación con
las mismas rutas anunciadas por puertas de enlace principales. Por ejemplo,
si establece la prioridad de enrutamiento para la puerta de enlace principal y la
puerta de enlace de reserva como 1 y 10 respectivamente, el satélite utilizará 10
como medida para la puerta de enlace principal y 100 como medida para la puerta
de enlace de reserva.
El satélite también compartirá su información de red y enrutamiento con
las puertas de enlace si está seleccionada la opción Publicar todas las
rutas estáticas y conectadas a puerta de enlace (configurada en el satélite en
la pestaña avanzada Red > Túneles de IPSec > Satélite de GlobalProtect >
Avanzado). Consulte “Satélite de GlobalProtect”para obtener más
información.
Palo Alto Networks
Configuración de GlobalProtect • 375
Tabla 200. Ajustes de configuración del satélite del portal de GlobalProtect (Continuación)
Campo
Descripción
CA raíz de confianza
Haga clic en Añadir y, a continuación, seleccione el certificado de CA
utilizado para emitir los certificados de servidor de la puerta de enlace.
Se recomienda usar el mismo emisor para todas las puertas de enlace.
Nota: Si el certificado de CA raíz utilizado para emitir sus certificados de
servidor de la puerta de enlace no está en el portal, haga clic en Importar para
importarlo ahora.
Emisor del certificado
Seleccione el certificado de CA raíz que el portal utilizará para emitir
certificados para satélites tras autenticarlos correctamente.
Período de validez (días)
Especifique la duración del certificado del dispositivo satélite de
GlobalProtect emitido (valor predeterminado 7 días, intervalo de 7 a
365 días).
Período de renovación
del certificado (días)
Especifique el período de renovación del certificado del dispositivo
satélite de GlobalProtect (valor predeterminado 3 días, intervalo de 3 a
30 días). Eso determinará la frecuencia de renovación de los certificados.
OCSP responder
Seleccione el respondedor OCSP que deben usar los satélites para
verificar el estado de revocación de los certificados presentados por el
portal y las puertas de enlace.
Configuración de las puertas de enlace de GlobalProtect
Red > GlobalProtect > Puertas de enlace
Utilice esta página para configurar una puerta de enlace de GlobalProtect. La puerta de
enlace se puede utilizar para proporcionar conexiones de VPN para agentes/aplicaciones
de GlobalProtect o dispositivos satélite de GlobalProtect.
Para añadir una configuración de puerta de enlace, haga clic en Añadir para abrir el cuadro
de diálogo Portal de GlobalProtect. Para obtener información detallada sobre los campos de
todas las pestañas del cuadro de diálogo, consulte las siguientes secciones:
•
“Pestaña General”
•
“Pestaña Configuración clientes”
•
“Pestaña Configuración Satélite”
Para obtener instrucciones detalladas sobre cómo configurar una puerta de enlace, consulte la
sección para configurar una puerta de enlace de GlobalProtect en la guía del administrador de
GlobalProtect.
Pestaña General
Utilice la pestaña General para definir la interfaz de la puerta de enlace a la que se conectarán
los agentes/aplicaciones y especificar cómo autenticará la puerta de enlace a los clientes finales.
376 • Configuración de GlobalProtect
Palo Alto Networks
Tabla 201. Configuración general de la puerta de enlace de GlobalProtect
Campo
Descripción
Nombre
Introduzca un nombre para la puerta de enlace (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Ubicación
Seleccione el sistema virtual al que pertenece esta puerta de enlace, si la
opción de varios sistemas virtuales está activada.
Configuración de red
Interfaz
Seleccione la interfaz del cortafuegos que se utilizará como entrada
(ingress) para agentes/satélites remotos.
Dirección IP
Seleccione la dirección IP para el acceso a la puerta de enlace.
Certificado de servidor
Seleccione el certificado de servidor para la puerta de enlace.
Autenticación
Perfil de autenticación
Seleccione un perfil o una secuencia de autenticación para autenticar el
acceso a la puerta de enlace. Consulte “Configuración de perfiles de
autenticación”.
Mensaje de
autenticación
Introduzca un mensaje que ayude a los usuarios finales a saber qué
credenciales deben utilizar para iniciar sesión en esta puerta de enlace
o utilice el mensaje predeterminado. El mensaje puede tener hasta
50 caracteres de longitud.
Perfil del certificado
Seleccione el perfil de certificado para la autenticación de cliente.
Pestaña Configuración clientes
Utilice la pestaña Configuración clientes para configurar los ajustes de túnel y permitir a los
agentes/aplicaciones establecer túneles de VPN con la puerta de enlace. Además, utilice esta
pestaña para definir los mensajes de notificación HIP que se deben mostrar a los usuarios
finales al encontrar coincidencias (o no encontrarlas) con un perfil HIP adjunto a una política
de seguridad.
Esta pestaña contiene tres pestañas secundarias, que se describen en la siguiente tabla:
•
Pestaña secundaria Ajustes de túnel
•
Pestaña secundaria Configuración de red
•
Pestaña secundaria Notificación HIP
Palo Alto Networks
Configuración de GlobalProtect • 377
Tabla 202. Ajustes de configuración de cliente de puerta de enlace de GlobalProtect
Campo
Descripción
Pestaña secundaria
Ajustes de túnel
Utilice esta pestaña secundaria para configurar los parámetros del túnel y
permitir su utilización.
Los parámetros del túnel son necesarios si configura una puerta de enlace
externa. Las puertas de enlace internas se configuran de forma optativa.
Modo de túnel
Seleccione la casilla de verificación para activar el modo túnel y
especifique los siguientes ajustes:
• Interfaz de túnel: Seleccione la interfaz de túnel para acceder a la
puerta de enlace.
• Máx. de usuarios: Especifique el número máximo de usuarios
que pueden acceder a la puerta de enlace simultáneamente para
autenticación, actualizaciones HIP y actualizaciones de agente de
GlobalProtect. Si se alcanza el número máximo de usuarios, se negará
el acceso a los usuarios siguientes con un mensaje de error indicando
que se ha alcanzado el número máximo de usuarios. De forma
predeterminada, no se establece ningún límite (rango =1-1024 usuarios).
• Habilitar IPSec: Seleccione la casilla de verificación para activar el
modo IPSec para el tráfico de cliente, convirtiendo IPSec en el método
principal y SSL-VPN en el método alternativo.
• Habilitar compatibilidad con X-Auth: Seleccione la casilla de verificación para activar la compatibilidad con Extended Authentication
(X-Auth) en la puerta de enlace de GlobalProtect cuando se activa IPSec.
Con la compatibilidad de X-Auth, los clientes externos de VPN de IPSec
compatibles con X-Auth (como el cliente VPN de IPSec en dispositivos
Apple iOS y Android y el cliente VPNC en Linux) pueden establecer un
túnel VPN con la puerta de enlace de GlobalProtect. La opción X-Auth
proporciona acceso remoto desde el cliente VPN a una puerta de enlace
de GlobalProtect específica. Como el acceso de X-Auth proporciona
funciones de GlobalProtect limitadas, considere el uso de la aplicación
de GlobalProtect para un acceso simplificado a todo el conjunto de
funciones de seguridad que proporciona GlobalProtect en dispositivos
iOS y Android.
Seleccionar la casilla de verificación de compatibilidad con X-Auth
activa las opciones Nombre de grupo y Contraseña de grupo:
– Si se especifica el nombre de grupo y la contraseña de grupo, la
primera fase de autenticación requiere ambas informaciones para
utilizar esta credencial para autenticar. La segunda fase requiere una
contraseña y un nombre de usuario válidos, que se comprobarán
mediante el perfil de autenticación configurado en la sección
Autenticación.
– Si no se definen un nombre de grupo y una contraseña de grupo,
la primera fase de autenticación se basa en un certificado válido
presentado por el cliente de VPN externo. Este certificado se valida
después a través del perfil de certificado configurado en la sección de
autenticación.
– De forma predeterminada, no es necesario que el usuario vuelva a
autenticarse cuando caduque la clave utilizada para establecer el
túnel de IPSec. Para volver a solicitar la autenticación, quite la marca
de la casilla de verificación Saltar autenticación de clave de registro
de IKE.
378 • Configuración de GlobalProtect
Palo Alto Networks
Tabla 202. Ajustes de configuración de cliente de puerta de enlace de GlobalProtect (ConCampo
Descripción
Configuración de tiempo
de espera
Especifique los siguientes ajustes de tiempo de espera:
• Duración de inicio de sesión: Especifique el número de días, horas o
minutos permitido para una sesión de inicio de sesión de puerta de
enlace única.
• Cierre de sesión por inactividad: Especifique el número de días, horas
y minutos tras el que se cierra una sesión inactiva automáticamente.
• Desconectar cuando esté inactivo: Especifique el número de minutos
a partir del cual se cierra la sesión en GlobalProtect si la aplicación
GlobalProtect no ha enviado tráfico a través del túnel VPN.
Pestaña secundaria
Configuración de red
Las opciones de Configuración de red solo están disponibles si ha
habilitado el modo de túnel y definido una interfaz de túnel en la
pestaña Ajustes de túnel.
La configuración de red definida aquí se asignará al adaptador de red
virtual en el sistema cliente cuando un agente establezca un túnel con la
puerta de enlace.
Origen de herencia
Seleccione un origen para propagar un servidor DNS y otras configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en la configuración del agente de GlobalProtect. Con esta configuración, se heredan
todas las configuraciones de red del cliente, como servidores DNS y
servidores WINS, de la configuración de la interfaz seleccionada en el
Origen de herencia.
Comprobar estado de
origen de herencia
Haga clic en el enlace para ver la configuración del servidor asignada
actualmente a las interfaces del cliente.
DNS principal
Introduzca las direcciones IP de los servidores principal y secundario que
proporcionan DNS a los clientes.
DNS secundario
WINS principal
WINS secundario
Introduzca las direcciones IP de los servidores principal y secundario que
proporcionan Windows Internet Naming Service (WINS) a los clientes.
Sufijo DNS
Haga clic en Añadir para introducir un sufijo que el cliente puede utilizar
de forma local cuando se introduce un nombre de host sin restricciones
que no puede resolver. Puede introducir varios sufijos separándolos
con comas.
Heredar sufijos DNS
Seleccione esta casilla de verificación para heredar los sufijos de DNS del
origen de herencia.
Grupo de IP
Haga clic en Añadir para especificar la configuración del grupo de IP.
Utilice esta sección para crear una gama de direcciones IP para asignar a
los usuarios remotos. Cuando se establece el túnel, se crea una interfaz en
el equipo del usuario remoto con una dirección de esta gama.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignación de dirección IP es dinámica y no se mantiene
cuando se desconecta el usuario. La configuración de varias gamas de diferentes
subredes permitirá al sistema ofrecer a los clientes una dirección IP que no entra
en conflicto con otras interfaces en el cliente.
Los servidores/enrutadores en las redes debe dirigir el tráfico para este
grupo de IP en el cortafuegos.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la dirección
192.168.0.10 a un usuario remoto.
Palo Alto Networks
Configuración de GlobalProtect • 379
Tabla 202. Ajustes de configuración de cliente de puerta de enlace de GlobalProtect (ConCampo
Descripción
Acceder a ruta
Haga clic en Añadir para especificar las opciones de ruta de acceso.
Utilice esta sección para agregar rutas que se introducirán en el equipo
del usuario remoto y por lo tanto determinarán lo que enviará el equipo
del usuario a través de la conexión de VPN.
Por ejemplo, puede establecer túneles divididos para permitir a los
usuarios remotos acceder a Internet sin pasar por el túnel de VPN.
Si no se agrega ninguna ruta, cada solicitud se dirigirá a través del túnel
(sin división de túnel). En este caso, cada solicitud de Internet pasa a
través del cortafuegos y luego a la red. Éste método puede evitar la
posibilidad de acceso al equipo del usuario por parte de terceros y por
lo tanto la obtención de acceso a la red interna (utilizando el equipo de
usuario como puente).
Pestaña secundaria
Notificación HIP
Utilice esta pestaña secundaria para definir los mensajes de notificación
que verán los usuarios finales cuando se aplique una regla de seguridad
con un perfil de información de host (HIP).
Este paso solo se aplica si ha creado perfiles de información de host y los
ha añadido a sus políticas de seguridad.
Notificación HIP
Haga clic en Añadir para especificar las opciones de notificación.
Seleccione Habilitar para activar Coincidir mensaje o Mensaje no
coincidente.
Seleccione una opción de notificación en la sección Mostrar notificación
como y seleccione el botón de opción para Icono en la barra de tareas o
Mensaje emergente y, a continuación, especifique un mensaje con el que
debe coincidir o no coincidir. Utilice esta configuración para notificar al
usuario final el estado de la máquina, por ejemplo, para proporcionar
un mensaje de advertencia que indica que el sistema host no tiene la
aplicación necesaria instalada. Para el mensaje de coincidencia, también
puede habilitar la opción que permite incluir la lista de aplicaciones
con coincidencia en el mensaje e indicar qué aplicaciones activan la
coincidencia HIP.
Nota: Los mensajes de notificación HIP pueden tener el formato HTML
enriquecido, que puede incluir enlaces a recursos y sitios web externos. Utilice el
icono de enlace
en la barra de herramientas de configuración de texto para
agregar enlaces.
Pestaña Configuración Satélite
Un dispositivo satélite es un cortafuegos de Palo Alto Networks (tradicionalmente en
una sucursal) que actúa como agente de GlobalProtect para habilitarlo y establecer la
conectividad de VPN en un cortafuegos de GlobalProtect. Utilice la pestaña Configuración
Satélite para definir la configuración del túnel de la puerta de enlace y de la red y permitir
que los dispositivos satélite establezcan conexiones VPN con él. También puede utilizar esta
pestaña para controlar las rutas publicadas por los satélites.
Esta pestaña contiene tres pestañas secundarias, que se describen en la siguiente tabla:
•
Pestaña secundaria Ajustes de túnel
•
Pestaña secundaria Configuración de red
•
Pestaña secundaria Filtro de ruta
380 • Configuración de GlobalProtect
Palo Alto Networks
Tabla 203. Ajustes de configuración de satélite de puerta de enlace de GlobalProtect
Campo
Descripción
Pestaña secundaria Ajustes de túnel
Configuración de túnel
Seleccione la casilla de verificación Configuración de túnel y seleccione
la interfaz de túnel existente o haga clic en Nueva interfaz de túnel.
Consulte “Configuración de una interfaz de túnel”para obtener más
información.
Reproducir detección de ataques:Proteger frente a reproducción de
ataques.
Copiar TOS: Copie el encabezado de ToS (Tipo de servicio) desde el
encabezado IP interno en el encabezado IP externo de los paquetes
resumidos con el fin de preservar la información original de ToS.
Actualizar intervalo de configuración (horas): Especifique la frecuencia
con la que los dispositivos satélite deben comprobar el portal para
actualizaciones de la configuración (valor predeterminado 2 horas,
intervalo entre 1 y 48 horas).
Supervisión de túnel
Seleccione la casilla de verificación Supervisión de túnel para habilitar
los dispositivos satélites para que supervisen su conexión de túnel de
puerta de enlace, lo que permite realizar una conmutación por error a una
puerta de enlace de reserva si falla la conexión.
IP de destino: Especifique una dirección IP que utilizará el supervisor
de túnel para determinar si hay conectividad a la puerta de enlace (por
ejemplo, una dirección IP en la red protegida por la puerta de enlace).
De forma alternativa, si ha configurado una dirección IP para la interfaz
de túnel, puede dejar este campo en blanco y, en su lugar, el monitor
de túnel utilizará la interfaz de túnel para determinar si la conexión
está activa.
Perfil de monitor de túnel: El fallo en la conmutación por error a
otra puerta de enlace es el único tipo de perfil de supervisión de túnel
permitido con LSVPN.
Perfiles criptográficos
Seleccione un Perfil criptográfico de IPSec o cree un nuevo perfil.
Eso determinará los protocolos y algoritmos para la identificación,
la autenticación y el cifrado de los túneles de VPN. Dado que ambos
extremos del túnel de una LSVPN son cortafuegos fiables de su
organización, por lo general puede utilizar el perfil predeterminado,
que utiliza cifrado ESP-DH group2-AES 128 con SHA-1. Consulte
“Definición de perfiles criptográficos de IPSec”para obtener más detalles.
Pestaña secundaria Configuración de red
Origen de herencia
Seleccione un origen para propagar un servidor DNS y otras configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en la configuración del satélite de GlobalProtect. Con esta configuración, se heredan
todas las configuraciones de red, como servidores DNS, de la configuración de la interfaz seleccionada en el Origen de herencia.
DNS principal
Introduzca las direcciones IP de los servidores principal y secundario que
proporcionan DNS a los satélites.
DNS secundario
Sufijo DNS
Palo Alto Networks
Haga clic en Añadir para introducir un sufijo que el satélite puede utilizar
de forma local cuando se introduce un nombre de host sin restricciones
que no puede resolver. Puede introducir varios sufijos separándolos
con comas.
Configuración de GlobalProtect • 381
Tabla 203. Ajustes de configuración de satélite de puerta de enlace de GlobalProtect
Campo
Descripción
Heredar sufijo DNS
Seleccione esta casilla de verificación para enviar el sufijo de DNS a los
dispositivos de satélite para uso local cuando se introduce un nombre de
host sin restricciones que no puede resolver.
Grupo de IP
Haga clic en Añadir para especificar la configuración del grupo de IP.
Utilice esta sección para crear un rango de direcciones IP que se pueden
asignar a la interfaz del túnel en los dispositivos satélite al establecer el
túnel VPN.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignación de dirección IP es dinámica y no se mantiene
cuando se desconecta el satélite. La configuración de varias gamas de diferentes
subredes permitirá al sistema ofrecer a los satélites una dirección IP que no entra
en conflicto con otras interfaces en el dispositivo.
Los servidores/enrutadores en las redes debe dirigir el tráfico para este
grupo de IP en el cortafuegos.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la dirección
192.168.0.10 a un satélite.
Si está utilizando el enrutamiento dinámico, asegúrese de que el grupo de
direcciones IP que designe a los satélites no se solape con las direcciones
IP que asignó manualmente a las interfaces de túnel de sus puertas de
enlace y satélites.
Acceder a ruta
haga clic en Añadir y, a continuación, introduzca las rutas de la siguiente
forma:
• Si desea enrutar todo el tráfico desde los satélites a través del túnel, deje
este campo en blanco.
• Para enrutar únicamente parte del tráfico a través de la puerta de enlace
(lo que se denomina túneles divididos), especifique las subredes de
destino que deberán tunelizarse. En este caso, el satélite enrutará el
tráfico no destinado a una ruta de acceso especificada mediante su
propia tabla de rutas. Por ejemplo, puede decidir tunelizar únicamente
el tráfico destinado a su red corporativa y utilizar el satélite local para
permitir el acceso a Internet de forma segura.
• Si desea habilitar el enrutamiento entre satélites, introduzca la ruta de
resumen para la red protegida por cada satélite.
Pestaña secundaria
Filtro de ruta
Seleccione la casilla de verificación Aceptar rutas publicadas para aceptar
rutas publicadas por el satélite en la tabla de ruta de la puerta de enlace.
Si no selecciona esta opción, la puerta de enlace no aceptará ninguna ruta
publicada por los satélites.
Si desea ser más restrictivo al aceptar rutas publicadas por los satélites,
haga clic en Añadir en la sección de subredes permitidas y defina las
subredes cuyas rutas debe aceptar la puerta de enlace; las subredes
publicadas por los satélites que no sean parte de la lista no pasarán el
filtro. Por ejemplo, si todos los satélites están configurados con la subred
192.168.x.0/24 en la LAN, puede permitir la ruta 192.168.0.0/16 en la
puerta de enlace. De esta forma, la puerta de enlace solo aceptará las rutas
del satélite que estén en la subred 192.168.0.0/16.
382 • Configuración de GlobalProtect
Palo Alto Networks
Configuración del acceso de la puerta de enlace a un gestor de
seguridad móvil
Red > GlobalProtect > MDM
Si utiliza un gestor de seguridad móvil para gestionar dispositivos móviles de usuario final
y además aplica las políticas habilitadas para HIP, debe configurar la puerta de enlace para
comunicarse con el gestor de seguridad móvil si desea recuperar los informes HIP para los
dispositivos gestionados. Utilice esta página para habilitar la puerta de enlace y tener acceso
al gestor de seguridad móvil.
Para añadir información para un gestor de seguridad móvil, haga clic en Añadir. En la
siguiente tabla se proporciona información sobre qué introducir en los campos del cuadro
de diálogo MDM de GlobalProtect. Para obtener más información sobre cómo configurar el
servicio del gestor de seguridad móvil de GlobalProtect, consulte la sección sobre cómo
configurar el gestor del dispositivo móvil de GlobalProtect en la guía del administrador de
GlobalProtect. Para obtener instrucciones detalladas sobre cómo configurar la puerta de enlace
para recuperar los informes HIP en el gestor de seguridad móvil de GlobalProtect, consulte
la sección sobre cómo habilitar el acceso de puerta de enlace al gestor de seguridad móvil de
GlobalProtect.
Tabla 204. Configuración de MDM de GlobalProtect
Campo
Descripción
Nombre
Introduzca un nombre para gestor de seguridad móvil (hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe
ser exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Ubicación
Seleccione el sistema virtual, si la opción varios sistemas virtuales está
activada.
Configuración de conexión
Servidor
Introduzca la dirección IP o FQDN de la interfaz en el gestor de seguridad
móvil donde la puerta de enlace se conectará para recuperar informes
HIP. Asegúrese de contar con una ruta de servicio a esta interfaz.
Puerto de conexión
Puerto en el que el gestor de seguridad móvil escuchará las solicitudes
de informes HIP. El puerto predeterminado es 5008, puerto en el que
escucha el gestor de seguridad móvil de GlobalProtect. Si utiliza un
gestor de seguridad móvil de terceros, introduzca el número de puerto
en el que escucha las solicitudes de informe HIP ese servidor.
Certificado de cliente
Seleccione el certificado de cliente que debe presentar la puerta de enlace
al gestor de seguridad móvil al establecer una conexión HTTPS. Solo es
necesario si el gestor de seguridad móvil se configura para utilizar
autenticación mutua.
CA raíz de confianza
Haga clic en Añadir y seleccione el certificado CA raíz que se utilizó
al emitir el certificado para la interfaz donde la puerta de enlace se
conectará para recuperar los informes HIP (podría ser un certificado
de servidor distinto al emitido para la interfaz de comprobación del
dispositivo en el gestor de seguridad móvil). Debe importar el certificado
de CA raíz y añadirlo a esta lista.
Palo Alto Networks
Configuración de GlobalProtect • 383
Creación de objetos HIP
Objetos > GlobalProtect > Objetos HIP
Utilice esta página para definir los objetos del perfil de información de host (HIP). Los objetos
HIP proporcionan los criterios de coincidencia que filtran la información de host que está
interesado en utilizar para aplicar la política a partir de los datos sin formato de los que ha
informado el agente o aplicación. Por ejemplo, aunque los datos de host sin formato pueden
incluir información sobre varios paquetes antivirus instalados en el cliente, puede que solo
esté interesado en una aplicación concreta que necesite en su organización. En este caso,
crearía un objeto HIP que coincidiera la aplicación específica que está interesado en aplicar.
La mejor forma de determinar qué objetos HIP necesita es determinar cómo utilizará la
información de host que recopila para aplicar la política. Tenga en cuenta que los objetos HIP
son solo los ladrillos que le permiten crear los perfiles HIP que se utilizan en sus políticas de
seguridad. Por lo tanto, puede que desee mantener la sencillez de sus objetos, de forma que
solo coincidan con un elemento, como la presencia de un tipo concreto de software necesario,
la pertenencia a un dominio específico o la presencia de un SO cliente determinado.
Haciéndolo, tendrá la flexibilidad de crear una política aumentada HIP muy granular.
Para crear un objeto HIP, haga clic en Añadir para abrir el cuadro de diálogo Objeto HIP.
Para obtener una descripción sobre qué introducir en un campo determinado, consulte las
siguientes tablas.
•
“Pestaña General”
•
“Pestaña Dispositivo móvil”
•
“Pestaña Administración de parches”
•
“Pestaña Cortafuegos”
•
“Pestaña Antivirus”
•
“Pestaña Antispyware”
•
“Pestaña Copia de seguridad de disco”
•
“Pestaña Cifrado de disco”
•
“Pestaña Prevención de pérdida de datos”
•
“Pestaña Comprobaciones personalizadas”
Para obtener información más detallada sobre cómo crear políticas de seguridad aumentadas
HIP, consulte la sección sobre cómo configurar la aplicación de políticas basadas en HIP en la
guía del administrador de GlobalProtect.
384 • Configuración de GlobalProtect
Palo Alto Networks
Pestaña General
Utilice la pestaña General para especificar un nombre para el nuevo objeto HIP y configurar
el objeto para que coincida con la información de host general, como el dominio, el sistema
operativo o el tipo de conectividad de red que tiene.
Tabla 205. Configuración general de objeto HIP
Campo
Descripción
Nombre
Introduzca un nombre para el objeto de HIP (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.
Compartido
Seleccione la casilla de verificación para permitir que el objeto esté
disponible para todos los sistemas virtuales.
Descripción
Introduzca una descripción opcional.
Información de host
Seleccione la casilla de verificación para habilitar el filtrado en los campos
de información de host.
Dominio
Para coincidir con el nombre de un dominio, seleccione un operador en la
lista desplegable e introduzca una cadena para la coincidencia.
SO
Para buscar coincidencias con el SO de un host, seleccione Contiene en el
primer menú desplegable, seleccione un proveedor en el segundo menú
desplegable y, a continuación, seleccione una versión de SO concreta en el
tercer menú desplegable o seleccione Todo para que la coincidencia sea
con cualquier versión de SO del proveedor seleccionado.
Versiones de cliente
Para buscar la coincidencia con un número de versión concreto, seleccione un operador en el menú desplegable y, a continuación, introduzca
la cadena que debe coincidir (o no coincidir) en el cuadro de texto.
Nombre de host
Para buscar la coincidencia con un nombre de host específico o parte
de él, seleccione un operador en el menú desplegable y, a continuación,
introduzca la cadena que debe coincidir (o no coincidir, según el operador
seleccionado) en el cuadro de texto.
Red
Utilice este campo para habilitar el filtrado en la configuración de red de
un dispositivo móvil específico. Estos criterios de coincidencia se aplican
únicamente a dispositivos móviles.
Seleccione un operador en el menú desplegable y, a continuación, seleccione el tipo de conexión de red que se debe filtrar en el segundo menú
desplegable: Wifi, Móvil, Ethernet (solo disponible para los filtros No
está) o Desconocido. Después de seleccionar un tipo de red, introduzca
cadenas adicionales con las que buscar coincidencias, si están disponibles,
como el operador móvil o SSID de Wifi.
Palo Alto Networks
Configuración de GlobalProtect • 385
Pestaña Dispositivo móvil
Utilice la pestaña Dispositivo móvil para habilitar la coincidencia de HIP con datos
recopilados de dispositivos móviles que ejecutan la aplicación GlobalProtect.
Tabla 206. Configuración del dispositivo móvil del objeto HIP
Campo
Descripción
Dispositivo móvil
Seleccione la casilla de verificación para permitir el filtrado de los datos
de host recopilados de dispositivos móviles que ejecutan la aplicación
GlobalProtect. Al seleccionar esta casilla de verificación, se habilitan las
pestañas secundarias Dispositivo, Configuración yAplicaciones para su
edición.
Pestaña secundaria
Dispositivo
• Número de serie: Para buscar una coincidencia total o parcial del
número de serie de un dispositivo, seleccione un operador en el menú
desplegable e introduzca la cadena cuya coincidencia se debe buscar.
• Modelo: Para buscar la coincidencia con un modelo de dispositivo
determinado, seleccione un operador en la lista desplegable e introduzca una cadena.
• Etiqueta: Para buscar la coincidencia con un valor de etiqueta definido
en el gestor de seguridad móvil de GlobalProtect, seleccione un operador
en el primer menú desplegable y, a continuación, seleccione una etiqueta
en el segundo menú desplegable.
• Número de teléfono: Para buscar una coincidencia total o parcial del
número de teléfono de un dispositivo, seleccione un operador en el
menú desplegable e introduzca la cadena cuya coincidencia se debe
buscar.
• IMEI: Para buscar una coincidencia total o parcial del IMEI (Identidad
Internacional de Equipo Móvil) de un dispositivo, seleccione un operador
en el menú desplegable e introduzca la cadena cuya coincidencia se
debe buscar.
386 • Configuración de GlobalProtect
Palo Alto Networks
Tabla 206. Configuración del dispositivo móvil del objeto HIP (Continuación)
Campo
Descripción
Pestaña secundaria
Configuración
• Código de acceso: Filtro basado en la existencia de un código de acceso
en el dispositivo. Para hacer coincidir dispositivos que tengan un código
de acceso establecido, seleccione sí. Para hacer coincidir dispositivos
que no tengan un código de acceso establecido, seleccione no.
• Dispositivo gestionado: Filtro basado en el hecho de que al dispositivo
lo gestione un MDM. Para hacer coincidir dispositivos gestionados,
seleccione sí. Para hacer coincidir dispositivos no gestionados, seleccione no.
• Modificado/Bloqueado: Filtro basado en la modificación o bloqueo del
dispositivo. Para hacer coincidir dispositivos que se hayan modificado o
bloqueado, seleccione sí. Para hacer coincidir dispositivos que no se
hayan modificado o bloqueado, seleccione no.
• Cifrado de disco: Filtro basado en el cifrado del dispositivo. Para hacer
coincidir dispositivos que tengan habilitado el cifrado del disco, seleccione sí. Para hacer coincidir dispositivos que no tengan habilitado el
cifrado del disco, seleccione no.
• Tiempo desde el último registro: Filtro en el momento en que MDM
comprobó el dispositivo por última vez. Seleccione un operador en el
menú desplegable y, a continuación, especifique el número de días para
la ventana de comprobación. Por ejemplo, podría definir el objeto que se
debe hacer coincidir con los dispositivos que no se hayan comprobado
en los últimos 5 días.
Pestaña secundaria
Aplicaciones
• Aplicaciones: (solo dispositivos Android) Seleccione esta casilla de
verificación para permitir el filtrado basado en las aplicaciones instaladas en el dispositivo y en la presencia de alguna aplicación instalada
infectada por software malintencionado en el dispositivo.
• Pestaña secundaria Criterios
– Contiene software malintencionado: Para hacer coincidir dispositivos que tengan aplicaciones instaladas infectadas por software
malintencionado, seleccione Sí; para hacer coincidir dispositivos
que no tengan aplicaciones instaladas infectadas por software malintencionado, seleccione No. Si no desea utilizar Contiene software
malintencionado como criterio de coincidencia, seleccione Ninguno.
• Pestaña secundaria Incluir
– Paquete: Para hacer coincidir dispositivos que tengan instaladas
determinadas aplicaciones, haga clic en Añadir y, a continuación,
introduzca el nombre de aplicación único (en formato DNS inverso;
por ejemplo, com.netflix.mediaclient) en el campo Paquete e
introduzca la aplicación correspondiente Hash, que la aplicación
GlobalProtect calcula y envía con el informe HIP del dispositivo.
Palo Alto Networks
Configuración de GlobalProtect • 387
Pestaña Administración de parches
Utilice la pestaña Administración de parches para habilitar la coincidencia HIP en el estado
de administración de parches de los clientes de GlobalProtect.
Tabla 207. Configuración de administración de parches del objeto HIP
Campo
Descripción
Administración de
parches
Seleccione la casilla de verificación para habilitar la coincidencia con
el estado de administración de parches del host. Al seleccionar esta
casilla de verificación, se habilitan las pestañas secundarias Criterios y
Proveedor para su edición.
Pestaña secundaria
Criterios
Especifique los siguientes ajustes en esta pestaña secundaria:
• Está habilitado: Busca coincidencias si el software de administración
de parches está habilitado en el host. Si la casilla de verificación Está
instalado no está marcada, este campo se establece automáticamente
como ninguno y no se puede editar.
• Está instalado: Busca coincidencias si el software de administración de
parches está instalado en el host.
• Gravedad: Busca coincidencias si al host le faltan parches del nivel de
gravedad especificado.
• Comprobar: Busca coincidencias si faltan parches.
• Parches: Busca coincidencias si el host cuenta con determinados
parches. Haga clic en Añadir e introduzca los nombres de archivo
para los nombres de parches específicos que se deben buscar.
Pestaña secundaria
Proveedor
388 • Configuración de GlobalProtect
Utilice esta pestaña secundaria para definir proveedores de software de
administración de parches o productos concretos que se deben buscar
en el host para determinar una coincidencia. Haga clic en Añadir y, a
continuación, seleccione un proveedor en el menú desplegable. También
tiene la posibilidad de hacer clic en Añadir para seleccionar un producto
específico. Haga clic en ACEPTAR para guardar la configuración.
Palo Alto Networks
Pestaña Cortafuegos
Utilice la pestaña Cortafuegos para habilitar la coincidencia HIP basada en el estado del
software del cortafuegos de los clientes de GlobalProtect.
Tabla 208. Configuración del cortafuegos del objeto HIP
Campo
Descripción
Cortafuegos
Seleccione la casilla de verificación Cortafuegos para habilitar la coincidencia en el estado del software del cortafuegos del host.
• Está habilitado: Busca coincidencias si el software del cortafuegos está
habilitado en el host. Si la casilla de verificación Está instalado no está
marcada, este campo se establece automáticamente como ninguno y no
se puede editar.
• Está instalado: Busca coincidencias si el software del cortafuegos está
instalado en el host.
• Proveedor y Producto: Defina proveedores o productos concretos del
software del cortafuegos que se deben buscar en el host para determinar
una coincidencia. Haga clic en Añadir y, a continuación, seleccione un
proveedor de la lista desplegable. También tiene la posibilidad de hacer
clic en Añadir para seleccionar un producto específico. Haga clic en
ACEPTAR para guardar la configuración.
• Excluir proveedor: Seleccione la casilla de verificación para hacer
coincidir hosts que no tengan software de un determinado proveedor.
Palo Alto Networks
Configuración de GlobalProtect • 389
Pestaña Antivirus
Utilice la pestaña Antivirus para habilitar la coincidencia HIP basada en la cobertura del
antivirus en los clientes de GlobalProtect.
Tabla 209. Configuración del antivirus del objeto HIP
Campo
Descripción
Antivirus
Seleccione la casilla de verificación para habilitar la coincidencia en la
cobertura del antivirus en el host.
• Protección en tiempo real: Busca coincidencia si la protección antivirus
en tiempo real está habilitada en el host. Si la casilla de verificación Está
instalado no está marcada, este campo se establece automáticamente
como ninguno y no se puede editar.
• Está instalado: Busca coincidencias si el software antivirus está instalado
en el host.
• Versión de definición de virus: Especifica la búsqueda de coincidencias
basándose en la actualización de las definiciones de virus dentro de un
número especificado de días o versiones.
• Versión del producto: Utilice esta opción para buscar coincidencias de
una versión concreta del software antivirus. Para especificar la búsqueda
de una versión, seleccione un operador en el menú desplegable y, a
continuación, introduzca una cadena que represente la versión del
producto.
• Última hora de análisis: Especifica si la búsqueda de coincidencias
debe basarse en el momento en el que se ejecutó el último análisis del
antivirus. Seleccione un operador en el menú desplegable y, a continuación, especifique el número de días u horas con los que buscar
coincidencias.
• Proveedor y Producto: Defina proveedores o productos concretos
del software antivirus que se deben buscar en el host para determinar
una coincidencia. Haga clic en Añadir y, a continuación, seleccione un
proveedor de la lista desplegable. También tiene la posibilidad de hacer
clic en Añadir para seleccionar un producto específico. Haga clic en
ACEPTAR para guardar la configuración.
• Excluir proveedor: Seleccione la casilla de verificación para hacer
coincidir hosts que no tengan software de un determinado proveedor.
390 • Configuración de GlobalProtect
Palo Alto Networks
Pestaña Antispyware
Utilice la pestaña Antispyware para habilitar la coincidencia HIP basada en la cobertura del
antispyware en los clientes de GlobalProtect.
Tabla 210. Configuración del antispyware del objeto HIP
Campo
Descripción
Antispyware
Seleccione la casilla de verificación para habilitar la coincidencia con la
cobertura del antispyware en el host y, a continuación, defina criterios de
coincidencia adicionales para la búsqueda de la siguiente forma:
• Protección en tiempo real: Busca coincidencia si la protección antispyware en tiempo real está habilitada en el host. Si la casilla de verificación Está instalado no está marcada, este campo se establece
automáticamente como ninguno y no se puede editar.
• Está instalado: Busca coincidencias si el software antispyware está
instalado en el host.
• Versión de definición de virus: Especifica la búsqueda de coincidencias basándose en la actualización de las definiciones de virus
dentro de un número especificado de días o versiones.
• Versión del producto: Utilice esta opción para buscar coincidencias
de una versión concreta del software antispyware. Para especificar la
búsqueda de una versión, seleccione un operador en el menú desplegable
y, a continuación, introduzca una cadena que represente la versión del
producto.
• Última hora de análisis: Especifica si la búsqueda de coincidencias
debe basarse en el momento en el que se ejecutó el último análisis
del antispyware. Seleccione un operador en el menú desplegable y,
a continuación, especifique el número de días u horas con los que
buscar coincidencias.
• Proveedor y Producto: Define proveedores o productos de software
antispyware concretos que se deben buscar en el host para determinar
una coincidencia. Haga clic en Añadir y, a continuación, seleccione un
proveedor en el menú desplegable. También tiene la posibilidad de
hacer clic en Añadir para seleccionar un producto específico. Haga clic
en ACEPTAR para guardar la configuración.
• Excluir proveedor: Seleccione la casilla de verificación para hacer
coincidir hosts que no tengan software de un determinado proveedor.
Palo Alto Networks
Configuración de GlobalProtect • 391
Pestaña Copia de seguridad de disco
Utilice la pestaña Copia de seguridad de disco para habilitar la coincidencia HIP basada en el
estado de la copia de seguridad del disco de los clientes de GlobalProtect.
Tabla 211. Configuración de la copia de seguridad del disco del objeto HIP
Campo
Descripción
Copia de seguridad
de disco
Seleccione la casilla de verificación