Gua de implementacin de soluciones de seguridad web

Serie febrero 2012

Prefacio
A quin va dirigida esta gua?
Esta gua de Cisco Smart Business Architecture (SBA) va dirigida a personas con diversos cometidos: Ingenieros de sistemas que necesitan procedimientos estndar para implementar soluciones. Directores de proyecto que crean declaraciones de trabajo para implementaciones Cisco SBA. Partners que venden nuevas tecnologas o crean documentacin para la implementacin. Formadores que necesitan materiales pedaggicos para la sala de clases o la capacitacin prctica. En general, las guas de Cisco SBA pueden emplearse para unificar las prcticas entre distintos ingenieros e implementaciones, as como para mejorar la estimacin del alcance y los costos de las tareas de implementacin.

Cmo interpretar los comandos

Muchas de las guas de Cisco SBA proporcionan detalles especficos acerca de la configuracin de dispositivos de red Cisco que ejecutan Cisco IOS, Cisco NX-OS u otros sistemas operativos que se configuran mediante una interfaz de lnea de comandos (CLI). En esta seccin se describen las convenciones que se emplean para especificar los comandos que se deben utilizar. Los comandos que se deben introducir en la CLI se indican de la forma siguiente: configure terminal Los comandos que especifican un valor para una variable se indican de la forma siguiente: ntp server 10.10.48.17 Los comandos con variables que el usuario debe definir se indican de la forma siguiente: class-map [nombre de la variable de la clase ms alta] Los comandos que se muestran en un ejemplo interactivo, como un script, o cuando se incluye el smbolo del sistema, se indican de la forma siguiente: Router# enable Los comandos largos que no caben en una lnea se subrayan y deben introducirse como un solo comando: wrr-queue random-detect max-threshold 1 100 100 100 100 100 100 100 100 Los elementos de la salida del sistema o de los archivos de configuracin de los dispositivos sobre los que se desea llamar la atencin se destacan de la forma siguiente: interface Vlan64 ip address 10.5.204.5 255.255.255.0

Versin de la serie
Cisco se esfuerza por actualizar y mejorar las guas SBA con regularidad. A medida que se van desarrollando, las nuevas guas SBA se someten a pruebas junto con el resto de las guas de la serie, para garantizar que funcionen como un sistema unificado. Para asegurarse de que los diseos descritos en las distintas guas de Cisco SBA sean compatibles entre s, debe utilizar guas pertenecientes a la misma serie. La serie a la que pertenece cada gua de Cisco SBA se indica en la esquina inferior izquierda de cada pgina. La serie a la que pertenece la gua se distingue por el mes y el ao de publicacin, como sigue: Serie mes ao Por ejemplo, las guas publicadas en agosto de 2011 pertenecen a la Serie agosto 2011. Puede acceder a la serie ms reciente de guas de SBA en las siguientes direcciones: Acceso para clientes: http://www.cisco.com/go/sba Acceso para partners: http://www.cisco.com/go/sbachannel

Comentarios y preguntas
Si desea realizar cualquier comentario o tiene alguna pregunta acerca de alguna de nuestras guas, acceda al foro cuya direccin figura en la parte inferior de la pgina web correspondiente: Acceso para clientes: http://www.cisco.com/go/sba Acceso para partners: http://www.cisco.com/go/sbachannel Si desea recibir notificaciones cuando se publiquen nuevos comentarios en estos foros, hay una fuente RSS disponible.

Serie febrero 2012

Prefacio

Contenido
Contenido de esta gua de SBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Acerca de SBA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Acerca de esta gua. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Descripcin comercial de la solucin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Descripcin general de la tecnologa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Detalles de la implementacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Preparacin para la implementacin de Cisco IronPort WSA . . . . . . . . . . . . 5 Implementacin bsica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Habilitacin de servicios de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Implementacin de WCCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Implementacin de HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Habilitacin de la autenticacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Mantenimiento de Cisco WSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Apndice A: nmeros de pieza del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

TODOS LOS DISEOS, ESPECIFICACIONES, DECLARACIONES, INFORMACIN Y RECOMENDACIONES (EN CONJUNTO, "DISEOS") DE ESTE MANUAL SE PRESENTAN "TAL CUAL", CON TODAS LAS FALLAS. CISCO Y SUS PROVEEDORES DENIEGAN TODAS LAS GARANTAS INCLUSO, SIN LIMITACIN, LA GARANTA DE COMERCIALIZACIN, IDONEIDAD PARA UN PROPSITO DETERMINADO Y DE NO CONTRAVENCIN O LAS QUE SURJAN DE LA DISTRIBUCIN DE LA DISTRIBUCIN, USO O PRCTICA COMERCIAL. EN NINGN CASO, CISCO O SUS PROVEEDORES SERN RESPONSABLES POR NINGN DAO INDIRECTO, ESPECIAL, CRTICO O INCIDENTAL, INCLUSO SIN LIMITACIN, POR GANANCIAS PERDIDAS, PRDIDA O DAO A LOS DATOS QUE SE ORIGINEN DEL USO O INCAPACIDAD PARA USAR ESTOS DISEOS, INCLUSO SI CISCO O SUS PROVEEDORES HAN SIDO ADVERTIDOS DE LA POSIBILIDAD DE TALES DAOS. LOS DISEOS ESTN SUJETOS A CAMBIOS SIN AVISO. LOS USUARIOS SON RESPONSABLES EXCLUSIVAMENTE DE LA APLICACIN DE LOS DISEOS. LOS DISEOS NO CONSTITUYEN CONSEJOS PROFESIONALES O TCNICOS DE CISCO, SUS PROVEEDORES O PARTNERS. LOS USUARIOS DEBEN CONSULTAR A SUS PROPIOS ASESORES TCNICOS ANTES DE IMPLEMENTAR LOS DISEOS. LOS RESULTADOS DE LA IMPLEMENTACIN PUEDEN VARIAR EN FUNCIN DE FACTORES QUE CISCO NO HAYA SOMETIDO A PRUEBAS. Las direcciones de Protocolo de Internet (IP) utilizadas en este documento no son direcciones reales. Los ejemplos, los resultados en pantalla de los comandos y otras figuras incluidas en el documento solo tienen fines ilustrativos. Cualquier uso de direcciones IP reales en los ejemplos es accidental e impremeditado. 2012 Cisco Systems, Inc. Todos los derechos reservados.

Serie febrero 2012

Contenido

Contenido de esta gua de SBA

Acerca de SBA
Cisco SBA lo ayuda a disear e implementar rpidamente una red empresarial de servicio completo. Las implementaciones de Cisco SBA son preceptivas, escalables y flexibles, adems de estar listas para ser utilizadas. Cisco SBA incluye tecnologas de distinto tipo (LAN, WAN, inalmbricas, de seguridad, de Data Center, de optimizacin de aplicaciones y de comunicaciones unificadas) sometidas a pruebas en su conjunto, como un sistema completo. Este enfoque orientado a componentes simplifica la integracin de varias tecnologas en un sistema y le permite elegir soluciones que resuelven los problemas de su organizacin, dejando de lado las complicaciones tcnicas. Si desea obtener ms informacin, consulte el documento How to Get Started with Cisco SBA (Introduccin a Cisco SBA): http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/ Smart_Business_Architecture/SBA_Getting_Started.pdf

Acerca de esta gua

Esta descripcin general complementaria del diseo contiene la siguiente informacin: Una introduccin a un diseo de Cisco SBA que se puede aadir a una implementacin bsica de SBA. Una explicacin de los requisitos que conforman el diseo. Una descripcin de las ventajas de este diseo complementario para su organizacin. El presente documento da por supuesto que ha ledo y que comprende en su totalidad la descripcin general del diseo bsico como se muestra en el siguiente diagrama que describe el camino hacia el xito.

Guas de requisitos previos

Usted est aqu

de BN
Descripcin general del diseo de Foundation Gua de implementacin de Foundation Gua de implementacin de seguridad web

Camino hacia el xito

Para garantizar el xito de la implementacin de los diseos descritos en esta gua es preciso leer la documentacin sobre la que se basa, que aparece a la izquierda de la presente gua en el diagrama anterior. Las guas que aparecen a la derecha de esta gua dependen de ella. Los clientes pueden acceder a todas las guas SBA en la siguiente direccin: http://www.cisco.com/go/sba Los partners pueden acceder a ellas en la siguiente direccin: http://www. cisco.com/go/sbachannel

Serie febrero 2012

Contenido de esta gua de SBA

Introduccin
Descripcin comercial de la solucin
El acceso a la Web ofrece grandes ventajas para las organizaciones, pero tambin implica considerables riesgos. Ofrecer a los empleados acceso a la Web acarrea cuatro riesgos principales: Prdida de productividad de los empleados como resultado de la navegacin web no relacionada con el trabajo. Aumento del consumo de ancho de banda. Posibilidad de ser vctima de ataques de software malicioso, susceptibles de provocar filtraciones de datos. Posibles consecuencias jurdicas derivadas del acceso de los empleados a contenidos inapropiados. Proporcionar acceso a la Web a los empleados es arriesgado debido a la combinacin de la proliferacin de contenido creado por los usuarios y al enorme nmero de hosts de Internet que distribuyen contenidos de dudosa seguridad o maliciosos como consecuencia del uso de medidas de seguridad desactualizadas o de configuraciones de seguridad insuficientes (Figura 1). El carcter dinmico de los contenidos de la Web hace que resulte enormemente difcil mantener una perspectiva actualizada del perfil de amenazas que alberga. Internet est sujeta al constante escrutinio de operadores humanos y de equipos infectados por gusanos en bsqueda de servidores web que puedan ser infectados a su vez para continuar propagando el contagio al resto de usuarios de Internet. Figura 1: Justificacin empresarial de la implementacin de Cisco IronPort WSA

Descripcin general de la tecnologa

Cisco IronPort Web Security Appliance (WSA) es un proxy web que, en combinacin con otros componentes de red de Cisco, supervisa y controla las solicitudes de salida de contenido web y limpia el trfico de vuelta de contenidos no deseados o maliciosos (Figura 2). Figura 2: Flujode trfico lgico con IronPort WSA

Cisco IronPort WSA se implementa en la red mediante el uso de una o varias interfaces que se utilizan para enviar solicitudes y respuestas. El trfico se dirige a Cisco IronPort WSA mediante proxys especficos configurados en el host final o bien al ejecutar un protocolo de red como el protocolo WCCP (protocolo de control de cach) en un dispositivo en lnea como, por ejemplo, el firewall perimetral o el router.

Serie febrero 2012

Introduccin

Cisco IronPort WSA utiliza varios mecanismos para implementar medidas de seguridad web y control de contenidos. El proceso se inicia con un filtrado bsico de URL mediante los controles de uso web por categoras de Cisco IronPort, a partir de una base de datos activa donde se recogen anlisis de sitios web de 190 pases en ms de 50 idiomas. Una base de datos de reputacin es la encargada de filtrar el contenido. La aplicacin Cisco Security Intelligence Operations actualiza la base de datos de reputacin cada cinco minutos. Estas actualizaciones contienen informacin sobre amenazas procedente de varias fuentes de Internet, as como informacin relativa a la reputacin de los contenidos obtenida a partir de los dispositivos de seguridad utilizados por clientes que han optado por colaborar con la red Cisco SenderBase. Si no se dispone de datos sobre el sitio web o sus contenidos, Cisco IronPort WSA utiliza un anlisis dinmico de contenidos para determinar las caractersticas del contenido en tiempo real; el resultado de dicho anlisis se enva al repositorio SenderBase si el cliente ha optado por colaborar con l. En el caso de SBA para organizaciones empresas, Cisco IronPort WSA se conecta mediante una interfaz a la red interna de Cisco Adaptive Security Appliance (ASA) 5500. Cisco IronPort WSA se conecta al switch de distribucin de alta disponibilidad en la misma VLAN que la interfaz interna de Cisco ASA. Cisco ASA redirige las conexiones a Cisco IronPort WSA mediante protocolo WCCP (Figura 3). Figura 3: Implementacin de seguridad web en la red sin fronteras

Notas

Serie febrero 2012

Introduccin

Figura 4: Arquitectura bsica de la red

Serie febrero 2012

Introduccin

Detalles de la implementacin
En esta seccin se detallan los siguientes procesos necesarios para la implementacin de Cisco IronPort WSA, entre otros: Preparacin para la implementacin de Cisco IronPort WSA Implementacin bsica Habilitacin de servicios de seguridad Implementacin de WCCP Implementacin de HTTPS Habilitacin de la autenticacin Mantenimiento de Cisco IronPort WSA

ya que las aplicaciones que reconocen proxys saben qu es un proxy e interactan con l para ofrecer al cliente el servicio solicitado, a diferencia del otro mtodo, la implantacin de un proxy transparente, que hace que las aplicaciones utilicen el proxy "sin darse cuenta". Sin embargo, desde el punto de vista de la implementacin, el proxy explcito supone dificultades para el administrador, ya que este se ve obligado a configurar cada cliente con los parmetros del proxy Cisco IronPort WSA. El proxy explcito es un buen mtodo para poner a prueba la configuracin de Cisco IronPort WSA durante su implementacin, puesto que el modo explcito no depende de ningn otro aspecto de la red para su funcionamiento.

Sugerencia para el lector

Para simplificar la implementacin como proxy explcito, Microsoft Active Directory (AD) admite protocolos como Web Proxy Autodiscovery Protocol (WPAD) y scripts y herramientas PAC, como los controles de polticas de grupo y de sistema de Microsoft. Estos temas no estn tratados en el presente documento. En el caso de una implementacin de proxy transparente, el trfico del puerto 80 (y posiblemente tambin del puerto 443) se redirige ntegramente a Cisco IronPort WSA a travs de otro dispositivo de red situado en un punto de bloqueo de la red. La implementacin de proxy transparente puede realizarse fcilmente utilizando un firewall Cisco ASA (o posiblemente cualquier otro dispositivo de red que admita la redireccin WCCP v2) y es el mtodo utilizado en la presente gua de implementacin.

Proceso

Preparacin para la implementacin de Cisco IronPort WSA 1. Preparacin para la implementacin de Cisco IronPort WSA Dado que Cisco IronPort WSA no se implementa en lnea, en cuyo caso se situara entre el cliente y el sitio web al que el cliente intenta acceder, es preciso utilizar un mtodo alternativo para desviar o dirigir el trfico web a IronPort WSA. Existen dos mtodos diferenciados para lograr esta redireccin del trfico a IronPort WSA. Una implementacin proxy explcita se produce cuando una aplicacin cliente que reconoce proxys, como, por ejemplo, un navegador web avanzado, posee un rea de configuracin de proxys que permite declarar y utilizar un proxy como Cisco IronPort WSA. Normalmente, este mtodo se combina con un firewall que restringe el trfico web cuyo origen no es la direccin IP de IronPort WSA, para evitar as que los usuarios eludan los controles de la poltica web y puedan acceder a Internet directamente. Desde un punto de vista operativo, este mtodo es el que presenta menos complicaciones,

Sugerencia tcnica
Si su base de usuarios es pequea, puede configurar manualmente cada uno de los clientes sin que ello afecte a la red en su conjunto y omitir la parte relativa a la WCCP de esta gua de implementacin. En cualquier caso, siempre existe la posibilidad de utilizar ambas alternativas al mismo tiempo (proxy explcito y transparente) en el mismo IronPort WSA.

Serie febrero 2012

Detalles de la implementacin

 Procedimiento 1 P  reparacin para la implementacin de Cisco IronPort WSA

Procedimiento 1 Configuracin del puerto del switch

Paso 1: Determine cmo se enviar el trfico web a Cisco IronPort WSA. Normalmente, este es el aspecto de la integracin de Cisco WSA que parece ms complejo ya que afecta a otros dispositivos. Si desea obtener una descripcin de los dos mtodos disponibles, consulte la seccin dedicada a los mtodos de implementacin de los proxys de la seccin anterior Descripcin general de la tecnologa. Paso 2: Determine el tipo de topologa fsica que se va a utilizar. El dispositivo tiene seis interfaces de 1 gigabit: Dos interfaces de administracin identificadas como M1 y M2 Dos interfaces de supervisin de trfico identificadas como T1 y T2 Dos interfaces de datos proxy identificadas como P1 y P2. En la presente gua de implementacin, el dispositivo combina los servicios de administracin y proxy en la interfaz de administracin y no utiliza ninguna otra interfaz. Este mtodo es el ms habitual, ya que elimina la complejidad del routing y solo necesita una direccin IP para Cisco WSA, lo que simplifica el proceso de implementacin.

Paso 1: Configure un puerto de acceso a la VLAN de Internet en el switch de distribucin/ncleo al que se conectar el puerto de administracin del dispositivo y conecte un cable Ethernet entre el dispositivo y el switch. Paso 2: Ejemplo de configuracin del puerto del switch: interfaz [tipo de interfaz] [nmero] switchport switchport access vlan [nmero] Procedimiento 2 C  onfiguracin de parmetros de red bsicos

Para habilitar la conectividad inicial debe proporcionar parmetros de configuracin bsicos de la red, como la direccin IP y la puerta de enlace predeterminada. Lo mejor es realizar la configuracin esencial con la interfaz de lnea de comandos y dejar la configuracin ms avanzada para realizarla con las secciones correspondientes de la GUI. Por lo tanto, este procedimiento solo abarca la configuracin de los parmetros bsicos de la red. Paso 1: Para cambiar los parmetros predeterminados de la red a travs de un puerto serie de consola, conctese utilizando un cable de conexin directa estndar con los parmetros de emulacin de terminal 8-1-no-9600 baudios. A continuacin inicie sesin usando el nombre de usuario y la contrasea predeterminados: "admin" y "ironport", respectivamente. Paso 2: Ejecute interfaceconfig y setgateway. Paso 3: Utilice el comando commit para guardar los cambios e incluirlos en la configuracin que se est ejecutando. Paso 4: Ingrese un nombre de host. El nombre de host configurado para el dispositivo debe tener resolucin completa directa/inversa y tambin en formato corto en el sistema DNS. Es vital ingresar esta informacin correctamente.

Proceso

Implementacin bsica 1. Configuracin del puerto del switch 2. Configuracin de parmetros de red bsicos 3. Configuracin inicial con el asistente de configuracin 4. Configuracin de las actualizaciones del sistema 5. Configuracin de las claves de funcin Para completar la implementacin bsica, realice la configuracin inicial, incluida la configuracin fuera de banda que sea necesaria. A continuacin, configure el sistema y las claves de funcin, para lo cual es preciso contar con acceso HTTP/S a Internet.

Serie febrero 2012

Detalles de la implementacin

Paso 5: Ingrese los parmetros bsicos. ironport.ejemplo.com> interfaceconfig Interfaces configuradas actualmente: 1. Administracin (192.168.42.42/24 en Administracin: ironport.ejemplo.com) Elija la accin que desea ejecutar: - NUEVA: crea una nueva interfaz. - EDITAR: modifica una interfaz. - ELIMINAR: elimina una interfaz. []> editar Ingrese el nmero de interfaz que desea editar. []> 1 Direccin IP (por ejemplo, 192.168.1.2): [192.168.42.42]> 10.10.27.50 Mscara de red (por ejemplo, 255.255.255.0 o 0xffffff00): [255.255.255.0]> 255.255.255.128 Nombre de host: [ironport.ejemplo.com]> websec1.cisco.local Desea habilitar FTP para esta interfaz? [Y]> Y Qu puerto desea utilizar para FTP? [21]> 21 Desea habilitar SSH para esta interfaz? [Y]> Y Qu puerto desea utilizar para SSH? [22]> 22 Desea habilitar HTTP para esta interfaz? [Y]> Y Qu puerto desea utilizar para HTTP? [8080]> 8080 Desea habilitar HTTPS para esta interfaz? [Y]> Y Qu puerto desea utilizar para HTTPS? [8443]> 8443 No se ha introducido ningn certificado HTTPS. Para garantizar la privacidad, primero ejecute certconfig. Si lo desea, puede utilizar la versin de demostracin, pero dicha versin no es segura. Est seguro de que desea utilizar un certificado de prueba? [Y]> Y Tanto HTTP como HTTPS estn habilitados para esta interfaz. Desea que las solicitudes HTTP se redirijan al servicio seguro? [Y]> Y Puede que la interfaz que acaba editar sea la interfaz en la que ha iniciado la sesin actual. Seguro que desea cambiarla? [Y]> Y

Una vez finalizada la configuracin, debe poder hacer ping en los dispositivos de la red, suponiendo que se haya creado el acceso a la red apropiado (en el firewall, si es preciso). A continuacin figura un ejemplo de un ping del dispositivo a su puerta de enlace predeterminado: websec1.cisco.local> ping 10.10.27.1 Presione Ctrl + C para parar. PING 10.10.27.1 (10.10.27.1): 56 bytes de datos 64 bytes de 10.10.27.1: icmp_seq=0 ttl=255 tiempo=0,678 ms 64 bytes de 10.10.27.1: icmp_seq=1 ttl=255 tiempo=0,524 ms 64 bytes de 10.10.27.1: icmp_seq=2 ttl=255 tiempo=0,522 ms ^C --- estadsticas de ping de 10.10.27.1 --3 paquetes transmitidos, 3 paquetes recibidos, 0% prdida de paquetes Ida y vuelta: mn./media/mx./desv. est. = 0,522/0,575/0,678/0,073 ms

Interfaces configuradas actualmente: 1. Gestin (10.10.27.50/25 en Gestin: websec1.cisco.local) Elija la accin que desea ejecutar: - NUEVA: crea una nueva interfaz. - EDITAR: modifica una interfaz. - ELIMINAR: elimina una interfaz. []> <intro> ironport.ejemplo.com> setgateway Advertencia: si configura una puerta de enlace predeterminada incorrecta, la conexin actual podra interrumpirse cuando se realicen los cambios. 1. Puerta de enlace de administracin predeterminada 2. Puerta de enlace de datos predeterminada []> 1 Ingrese la nueva puerta de enlace predeterminada: [ ]> 10.10.27.1 ironport.ejemplo.com> commit Ingrese algn comentario que describa los cambios: []> basic setup

Serie febrero 2012

Detalles de la implementacin

 Procedimiento 3  Configuracin inicial con el asistente de configuracin

Paso 5: Compruebe que el nombre del host sea correcto en la pgina Configuracin del sistema, introduzca la informacin de DNS y NTP, y luego haga clic en Siguiente. Este diseo usa NTP porque una prctica de seguridad eficaz exige contar con una referencia temporal constante para toda la red.

Usted accede a la interfaz de Cisco WSA a travs de su navegador web. Paso 1: Ingrese la direccin del dispositivo y el puerto 8443 en el navegador. (por ejemplo: https://10.10.27.50:8443). Si no logra conectarse, pruebe la conexin haciendo un ping a la direccin del dispositivo. Un error de ping podra ser sintomtico de un problema de PC, red o routing, o podra deberse a un cambio en la direccin IP del dispositivo. Tambin puede intentar solucionar el problema conectndose al puerto serie del dispositivo. Paso 2: Inicie sesin. El nombre de usuario y la contrasea predeterminados son admin y ironport , respectivamente. Paso 3: Siga las instrucciones del asistente para instalacin del sistema. Si el asistente no se inicia, o si prefiere empezar con una instalacin limpia, puede acceder al asistente mediante Administracin del sistema > Asistente para instalacin de sistema.

Paso 6: En la pgina Contexto de red, no ingrese ningn cambio. Haga clic en Siguiente.

Sugerencia tcnica
Si su entorno cuenta con otro proxy web, puede configurarlo ahora: http://www.cisco.com/en/US/docs/security/web_security/scancenter/ sc5126/WSAAP.html#wp1022898 Paso 7: Esta implementacin utiliza M1 tanto para los servicios de administracin como para los de proxy. En la pgina Network Interfaces and Wiring (Interfaces y cables de red) introduzca la siguiente configuracin: Direccin IP: 10.10.27.50 Mscara de red: 255.255.255.128 Nombre de host: websec1.cisco.local No seleccione la casilla de verificacin Use M1 for Management only (Usar M1 solo para administracin). No utilice la interfaz P1.

Paso 4: Lea y acepte los trminos de la licencia, y luego haga clic en Comenzar instalacin .

Serie febrero 2012

Detalles de la implementacin

Paso 8: Haga clic en Siguiente.

Paso 11: En la pgina Administrative Settings (Parmetros administrativos), escriba la contrasea del administrador del dispositivo y luego haga clic en Siguiente. Esta pgina permite determinar su participacin en la red SenderBase, ya que controla si se enviarn o no datos a SenderBase y, en su caso, qu tipo de datos.

Paso 9: En la pgina Routes for Management and Data Traffic (Rutas de gestin y trfico de datos) no realice ningn cambio. Haga clic en Siguiente. Esta pgina muestra la informacin de la puerta de enlace actual y permite introducir las rutas estticas que sean necesarias. En esta implementacin, los nicos datos que se muestran aqu corresponden a la informacin de la puerta de enlace que se ingres en la CLI anteriormente. Paso 10: En la pgina Transparent Connection Settings (Parmetros de conexin transparente) no ingrese ningn cambio y haga clic en Siguiente.

Paso 12: En la pgina Security Settings (Parmetros de seguridad) no ingrese ningn cambio. Haga clic en Siguiente. En esta pgina se define la poltica de seguridad del dispositivo y las medidas que se adoptarn en relacin con las distintas funciones de seguridad. Esta configuracin es bastante habitual, porque la configuracin predeterminada deja el dispositivo en modo de solo supervisin para la exploracin de malware y spyware.

Esta pgina permite configurar WCCP, pero dado que los detalles de la configuracin de WCCP se describen ms adelante en otra seccin, omita este paso por el momento.

Serie febrero 2012

Detalles de la implementacin

Paso 13: Revise la configuracin para asegurarse de que sea la correcta y luego haga clic en Install this Configuration (Instalar esta configuracin).

Paso 2: Para ver las nuevas actualizaciones disponibles, haga clic en Actualizaciones disponibles . Tambin es posible realizar la actualizacin desde la consola. Ejecute el comando de actualizacin hasta que aparezca el siguiente mensaje, que indica que ya no quedan nuevas actualizaciones disponibles: websec1.cisco.local> upgrade Importante: despus de la actualizacin, no es posible volver a una versin anterior de Web Security Appliance. Cisco IronPort recomienda encarecidamente que revise las notas que acompaan a la versin para determinar los cambios que se han introducido con la ltima versin de Web Security Appliance. Desea continuar con la actualizacin? [Y]> No hay actualizaciones disponibles. Procedimiento 5 C  onfiguracin de las claves de funcin

Paso 1: Acceda a Administracin del sistema > Claves de funcin. En esta seccin se muestran las claves de las licencias correspondientes a las distintas funciones del dispositivo. Paso 2: Para comprobar si su dispositivo tiene alguna licencia que no se haya activado an, haga clic en Check for New Keys (Comprobar si hay claves nuevas). Esta opcin ordena al dispositivo que realice una conexin con el servicio de licencias para comprobar que dispone de todas las caractersticas que puede ejecutar. Es muy posible que despus de actualizar el cdigo, en particular si se aplican numerosas actualizaciones, algunas de las funciones no tengan sus claves de licencia correspondientes. La siguiente figura muestra el aspecto que puede presentar la pantalla de claves de funciones de un dispositivo de evaluacin: Procedimiento 4 C  onfiguracin de las actualizaciones del sistema

Si hay nuevas versiones del software disponibles, seleccinelas e instlelas. En general, conviene instalar todas las actualizaciones. Normalmente, cada actualizacin exige reiniciar el dispositivo, por lo que completar la actualizacin puede llevar algn tiempo. Paso 1: Para actualizar el cdigo del dispositivo, haga clic en Administracin del sistema -> Actualizacin del sistema. En este paso se muestra la versin actual del software.

Serie febrero 2012

Detalles de la implementacin

10

Si para el vencimiento de alguna de las claves quedan menos de 30 das, puede que est trabajando con un dispositivo de evaluacin. Las claves de los dispositivos que el cliente tiene en propiedad suelen tener un perodo de vigencia de uno o varios aos. Tenga en cuenta tambin que entre las claves se incluye una identificada como Cisco IronPort Web Usage Controls. Esta funcin se ha aadido al dispositivo con las versiones de software ms recientes. Si el cdigo de su dispositivo pertenece a una versin anterior a la incorporacin de esta funcin, no dispondr de la clave correspondiente. Paso 3: Si a su dispositivo le faltan claves o si el periodo de vigencia de alguna de las claves no es correcto, pngase en contacto con su partner de Cisco IronPort o con el equipo de la cuenta de Cisco para resolver el problema. Cuando lo haga, tenga a mano el nmero de serie de su dispositivo (que aparece en la parte superior de la pgina Feature Key (Claves de funcin).

Paso 4: Verifique que Enable Dynamic Content Analysis Engine (Habilitar motor de anlisis dinmico de contenidos) est seleccionado. Paso 5: Si ha realizado cambios, envelos y luego realcelos. En la pgina principal de Acceptable Use Controls (Controles de uso aceptable) encontrar una lista titulada Acceptable Use Controls Engine Updates (Actualizaciones del motor de controles de uso aceptable). Paso 6: Haga clic en Update Now (Actualizar ahora) y espere a que la pgina indique que la actualizacin se ha realizado correctamente. Asegrese de que al menos algunos de los controles cuenten con una actualizacin que est al da o prcticamente al da. Debido a la irregularidad de los calendarios de actualizacin, no es posible saber cundo habr actualizaciones disponibles para cada seccin. Las secciones Web Prefix Filters (Filtros de prefijos web) y Web Categories List (Lista de categoras web) tienden a actualizarse con bastante frecuencia y es probable que tengan historial de actualizaciones recientes.

Proceso

Habilitacin de servicios de seguridad 1. Activacin de los controles de uso web 2. Prueba de Cisco IronPort WSA 3. Configuracin de registros 4. Configuracin de categoras de URL personalizadas 5. Definicin de polticas de acceso D efinicin de los parmetros de reputacin web y anti software 6.  malicioso Procedimiento 1 Activacin de los controles de uso web Este procedimiento permite crear polticas de seguridad adicionales que van ms all del comportamiento predeterminado. Paso 1: Vaya a Security Services (Servicios de seguridad) > Acceptable Use Controls (Controles de uso aceptable). Paso 2: Haga clic en Edit Global Settings (Editar configuracin global). Paso 3: Verifique que Cisco Ironport Web Usage Controls est seleccionado. Procedimiento 2 Prueba de Cisco IronPort WSA

Ahora puede poner a prueba la funcionalidad del Cisco IronPort WSA. Paso 1: Configure un cliente en el interior de la red con el Cisco IronPort WSA como proxy explcito en el navegador web de su eleccin. Paso 2: Utilice la direccin IP del dispositivo como proxy y configure el puerto como 3128.

Serie febrero 2012

Detalles de la implementacin

11

Paso 3: Pruebe dos direcciones distintas: Pruebe una direccin que pueda resolverse de forma externa, como www.cisco.com, a la que debera accederse sin problemas. Esta prueba demuestra que el cliente tiene acceso a Internet y que lo hace a travs del Cisco WSA. La otra direccin debe ser una que no pueda resolverse de forma externa, como www.no-es-una-pgina.com. Esta solicitud debe originar un mensaje de error de Cisco WSA, no del navegador, lo que demostrar que el dispositivo sirve contenidos. El navegador devuelve un mensaje de error similar a este:

Sugerencia tcnica
Si necesita informes de cumplimiento a largo plazo, analice la posibilidad de utilizar una solucin de supervisin de terceros, como Splunk, http://www.splunk.com/. Para que un producto de generacin de informes de terceros funcione con el dispositivo, es necesario que Cisco IronPort WSA enve los registros a un servidor FTP donde el producto pueda acceder a ellos. En el caso de la presente implementacin, supondremos que ya existe un servidor FTP instalado y configurado. Paso 1: Aplique la configuracin necesaria para trasladar los registros de acceso del dispositivo al servidor FTP. Vaya a System Administration (Administracin del sistema) > Log Subscriptions (Suscripciones de registros) y luego haga clic en Add Log Subscription (Agregar suscripcin de registros).

Cisco IronPort WSA devuelve un mensaje de error similar a este:

Procedimiento 3 Configuracin de registros Para supervisar el uso web, el dispositivo registra datos de acceso de los clientes, que se conservan de forma rotativa durante un periodo de tiempo relativamente corto por razones de espacio. Paso 2: Compruebe que la ventana Configured Log Subscriptions (Suscripciones de registros configuradas) corresponda con la que figura a continuacin.

Serie febrero 2012

Detalles de la implementacin

12

 Procedimiento 4 C  onfiguracin de categoras de URL personalizadas

Procedimiento 5 Definicin de polticas de acceso

Es el momento de configurar las categoras de URL estndar que la mayora de los administradores suelen utilizar para implementar el filtrado de URL de acuerdo con sus necesidades. Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Custom URL Categories (Categoras de URL personalizadas). Paso 2: Seleccione Add Custom Category (Agregar categora personalizada). Paso 3: Agregue categoras que reflejen cmo reaccionar el dispositivo Cisco IronPort WSA ante los intentos de los usuarios finales de acceder a las URL de cada categora. Por ejemplo, puede definir categoras para bloquear, supervisar, avisar o permitir el acceso. Para ello, cree cuatro categoras de URL personalizadas diferentes, empezando por una titulada Block List (Lista de bloqueo). Debe crear una URL que ejercer de marcador de posicin (bloquear.com) por cada categora, ya que no puede crear una categora y dejarla vaca. Cuando encuentre una URL que desee bloquear y la agregue a una de las categoras, podr borrar el marcador de posicin de URL que haya utilizado para esa categora.

Ahora que ya ha creado las categoras personalizadas, habiltelas para utilizarlas y defina la accin correspondiente a cada una de ellas. Siga este procedimiento para implementar la poltica de uso web aceptable de su organizacin, que puede incluir la categora de la URL (adultos, deportes, transmisin multimedia) y la accin deseada (supervisin, aviso, bloqueo) y que permite tambin incluir un factor temporal, si es necesario. Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Access Policies (Polticas de acceso). Paso 2: Haga clic en el enlace de la seccin URL Filtering (Filtrado de URL). Paso 3: Haga clic en Select Custom Categories (Seleccionar categoras personalizadas). Paso 4: Seleccione Include in policy (Incluir en poltica) para cada una de las cuatro categoras que ha creado antes y luego haga clic en Apply (Aplicar). Paso 5: En el cuadro de dilogo Custom URL Category Filtering (Filtrado de categoras URL personalizadas), en la seccin Category (Categora), modifique cada accin segn corresponda para adecuarla a la categora (cambie Block List (Lista de bloqueo) para que utilice la accin Block (Bloqueo) Monitor List (Lista de supervisin) para que utilice la accin Monitor (Supervisin), etc.).

Paso 6: Para probar la implementacin, cambie una de las categoras predeterminadas a Block (Bloqueo). Por ejemplo, cambie la categora Gambling (Juego) de Monitor (Supervisin) a Block (Bloqueo). La seccin Category (Categora) tambin permite implementar la poltica de acceso a la Web para uso aceptable de su organizacin. Paso 4: Cree tres listas adicionales con estos tres ttulos: Monitor List (Lista de supervisin), Warn List (Lista de aviso) y Allow List (Lista de permitidos). Cuando haya acabado, contar con una lista ordenada de categoras personalizadas. Paso 5: Realice los cambios. Paso 7: Haga clic en Submit (Enviar) y luego registre todos los cambios.

Serie febrero 2012

Detalles de la implementacin

13

Paso 8: Para poner a prueba estos cambios, configure el navegador para que use el dispositivo como proxy web y luego intente acceder a una de las URL de la categora que ha modificado. Cisco IronPort WSA debe responder con el mensaje que se muestra en la siguiente figura.

Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Access Policies (Polticas de acceso) y luego haga clic en el enlace de la seccin Web Reputation and Anti-Malware Filtering (Reputacin web y filtrado anti software malicioso). El enlace lo llevar a la seccin de configuracin de reputacin web, donde podr introducir los cambios que desee en los parmetros de reputacin web y anti software malicioso. Cisco recomienda que, en un principio, se utilice la configuracin predeterminada de reputacin web y anti software malicioso.

Procedimiento 6 D  efinicin de los parmetros de reputacin web y anti software malicioso Puede definir un grado de reputacin para cualquier sitio web, en funcin del nivel de riesgo que ese sitio web representa para su organizacin. La reputacin puede oscilar entre negativa () 10 y positiva (+) 10, donde -10 representa el mnimo ndice de fiabilidad y +10 el mximo ndice de fiabilidad. De forma predeterminada, los sitios con un ndice de reputacin de 6 o inferior se bloquean automticamente para evitar la posible entrada en la red de contenidos infectados provenientes de esos sitios. Tambin de forma predeterminada, si el ndice de reputacin de un sitio web se sita entre 5,9 y +5,9, Cisco IronPort WSA explora la solicitud del cliente y la respuesta del servidor con el motor Cisco IronPort Dynamic Vectoring and Streaming (DVS) con el fin de detectar la presencia de posibles ataques, como phishing, software malicioso, virus o gusanos. Si se detectan estos ataques, la poltica de seguridad no est configurada de forma predeterminada para bloquearlos. Web Security Manager (Administrador de seguridad web) permite introducir cambios en la poltica de seguridad si es necesario. Si la URL tiene un ndice de reputacin superior a 6,0, recibe el visto bueno sin exploracin previa de forma predeterminada.

Serie febrero 2012

Detalles de la implementacin

14

Proceso

Paso 4: Utilice los siguientes parmetros para agregar un servicio exclusivamente para HTTP: Service Profile Name (Nombre del perfil de servicio): web_cache Standard Service ID (Id. estndar del dispositivo): 0 Router IP address (Direccin IP del router): 10.10.27.126

Implementacin de WCCP 1. Configuracin de WCCP en Cisco WSA 2. Configuracin de WCCP en el firewall Procedimiento 1 Configuracin de WCCP en Cisco WSA Ahora que el Cisco IronPort WSA ya est funcionando y aplicando una poltica de acceso al trfico HTTP, implemente WCCP en el dispositivo y el firewall Cisco ASA para que Cisco WSA comience a recibir trfico directamente desde el Cisco ASA, en lugar de tener que configurar los navegadores para utilizar el dispositivo como un proxy explcito. Paso 1: Para agregar un nuevo dispositivo de redireccin, vaya a Network (Red) > Transparent Redirection (Redireccin transparente) y luego seleccione Edit Device (Editar dispositivo). Paso 2: En el men Type (Tipo) , seleccione WCCP v2 Router (Router WCCP v2) y luego haga clic en Submit (Enviar). Paso 3: En la seccin WCCP v2 Services (Servicios WCCP v2) , haga clic en Add Service (Agregar servicio). Esta seccin permite definir la poltica que utilizar Cisco ASA de Internet para redirigir el trfico a Cisco IronPort WSA. Cisco ASA extrae la poltica del Cisco WSA y utiliza el nombre de la poltica que se ha definido para ella en WSA. En este procedimiento se definen dos polticas, una para la redireccin de HTTP exclusivamente y otra para la redireccin de HTTP y HTTPS.

Paso 5: Haga clic en Submit (Enviar). Paso 6: En la seccin WCCP v2 Services (Servicios WCCP v2) , haga clic en Add Service (Agregar servicio).

Serie febrero 2012

Detalles de la implementacin

15

Paso 7: Utilice los siguientes parmetros para agregar un servicio para HTTP y HTTPS: Service Profile Name (Nombre del perfil de servicio): All_Web Dynamic Service ID (Id. de servicio dinmico): 90 Port Numbers (Nmeros de puerto): 80443 Router IP address (Direccin IP del router): 10.10.27.126

Sugerencia tcnica
El proxy HTTPS no se ha configurado an en Cisco IronPort WSA; por lo tanto, si se inicia la redireccin WCCP para HTTPS inmediatamente, las conexiones no se realizarn hasta que no se configure el proxy HTTPS. Si la implementacin de Cisco IronPort WSA y Cisco ASA se realiza en tiempo real y en funcionamiento, y no puede tener tiempo de inactividad, cree una poltica adicional transitoria exclusivamente para el puerto 80. Una vez configurada la poltica HTTPS en Cisco WSA, cambie la poltica de Cisco ASA para que utilice en su lugar la poltica HTTP y HTTPS. Procedimiento 2  Configuracin de WCCP en el firewall

Paso 8: Haga clic en Submit (Enviar) y luego realice los cambios. Los resultados de los cambios aparecen en la pantalla Transparent Redirection (Redireccin transparente).

Paso 1: Para configurar el firewall Cisco ASA de Internet para redirigir el trfico HTTP y HTTPS al Cisco WSA, acceda a Cisco Adaptive Security Device Manager (ASDM) en el firewall y luego vaya a Configuration (Configuracin) > Device Management (Gestin de dispositivos) > Advanced (Avanzada) > WCCP.

Serie febrero 2012

Detalles de la implementacin

16

Paso 2: En Service Groups (Grupos de servicio), cree un nuevo grupo de servicio que utilice el nmero de servicio dinmico 90 que se ha definido en Cisco WSA (o utilice web_cache para la redireccin del puerto 80 exclusivamente).

Paso 3: En el mismo cuadro de dilogo Add Service Groups (Agregar grupos de servicio) utilizado anteriormente en el Paso 2, haga clic en Manage (Gestionar) situado junto a Redirect List (Lista de redireccin).

La poltica WCCP que se ha configurado redirige todo el trfico HTTP y HTTPS a Cisco IronPort WSA. El trfico redirigido incluye todo el trfico desde la red interna a los servidores web DMZ y todo el trfico redirigido de administracin de dispositivos que utilice HTTP o HTTPS. Sin embargo, enviar este trfico a Cisco WSA no tiene demasiado sentido. Para evitarlo, cree una lista de control de acceso (ACL, por sus siglas en ingls) en el firewall para evitar la redireccin del trfico HTTP o HTTPS destinado a las direcciones RFC 1918.

Paso 4: En el cuadro de dilogo ACL Manager (Administrador de ACL) , haga clic en Add (Agregar), seleccione Add ACL (Agregar ACL) y luego escriba el siguiente nombre para la ACL: WCCP_Redirect . Paso 5: Haga clic en Add ACE (Agregar ACE) y luego agregue una lnea para denegar cualquier origen para todas las direcciones RFC 1918 como destino con un servicio IP. Paso 6: Haga clic en Add ACE (Agregar ACE) y aada una lnea para permitir cualquier origen con cualquier destino con un servicio IP y luego haga clic en Aceptar.

Serie febrero 2012

Detalles de la implementacin

17

Paso 7: En el cuadro de dilogo Add Service Group (Agregar grupo de servicio), en la lista Redirect List (Lista de redireccin) , seleccione la ACL que ha creado anteriormente (WCCP_Redirect). Haga clic en Aceptar y luego haga clic en Apply (Aplicar).

Paso 11: Haga una prueba con una direccin que se pueda resolver, como www.cisco.com. Paso 12: Haga otra prueba con una direccin bloqueada que se pueda resolver perteneciente a una de las categoras bloqueadas configuradas con anterioridad. Para comprobar que la redireccin WCCP funciona correctamente, vaya a Monitoring (Supervisin) > Properties (Propiedades) > WCCP > Service Groups (Grupos de servicio) en Cisco ASDM. La ventana de estado debe mostrar una Id. de router que corresponda a una de las direcciones IP de Cisco ASA (en este caso es 172.17.30.2). El nmero de motores de cach debe ser 1, Cisco IronPort WSA. Si todo funciona correctamente y la redireccin tiene el efecto esperado, el recuento Total Packets Redirected (Total de paquetes redirigidos) se incrementar progresivamente.

Paso 8: En Cisco ASDM, vaya a Configuration (Configuracin) > Device Management (Administracin de dispositivos) > Advanced (Avanzada) > WCCP > Redirection (Redireccin). Paso 9: En el cuadro de dilogo Add WCCP Redirection (Agregar redireccin WCCP) , en la lista Interface (Interfaz) , seleccione Inside (Interior) , y en la lista Service Group (Grupo de servicio) seleccione 90.

Paso 10: Pruebe la configuracin. Utilice un navegador que no est configurado para utilizar el dispositivo como proxy explcito (o anule esa configuracin).

Serie febrero 2012

Detalles de la implementacin

18

Proceso

Paso 2: Genere un certificado para que el dispositivo lo utilice en el lado del cliente de la conexin proxy. Dispone de dos opciones para generar un certificado: Opcin A: generar un certificado significa normalmente que el navegador cliente advertir acerca del certificado por cada conexin que se haga a un sitio web HTTPS. Para evitarlo, si ya dispone de un certificado de confianza para su organizacin, puede cargar el archivo del certificado en el dispositivo, con su clave privada correspondiente. Si los usuarios ya tienen este certificado cargado en sus equipos, el proxy HTTPS no generar errores por desconocimiento de la entidad de certificacin. Opcin B: en lugar de agregar un certificado raz de la empresa a Cisco IronPort WSA, otra opcin consiste en informar a los usuarios de la organizacin para que acepten el certificado raz proporcionado por el dispositivo como una fuente de confianza. Asimismo, el cuadro de dilogo Proxy HTTPS Settings (Configuracin de proxy HTTPS) de Cisco IronPort WSA le permite configurar el comportamiento del dispositivo cuando el certificado del servidor al que se conecte no sea vlido. Las opciones, dependiendo del error que el certificado haya generado, pueden ser anular la conexin, descifrarla o supervisarla. Paso 3: Cuando haya acabado de definir su poltica, haga clic en Submit (Enviar) y luego realice los cambios.

Implementacin de HTTPS 1. Configuracin de conexiones Proxy HTTPS 2. Configuracin de polticas de proxy HTTPS Procedimiento 1 Configuracin de conexiones Proxy HTTPS

Paso 1: Vaya a Security Services (Servicios de seguridad) > HTTPS Proxy (Proxy HTTPS) y luego haga clic en Enable and Edit Settings (Habilitar y editar parmetros). Acepte el contrato de licencia para continuar. Esto le proporcionar acceso al cuadro de dilogo Proxy HTTPS Settings (Configuracin de proxy HTTPS). Defina los puertos que desee para el proxy HTTPS (solo TCP 443 est seleccionado de forma predeterminada).

Serie febrero 2012

Detalles de la implementacin

19

Sugerencia para el lector

Si desea obtener ms informacin acerca de la utilizacin de certificados como parte del mecanismo del proxy HTTPS de Cisco WSA, consulte la gua del usuario de Cisco WSA o pngase en contacto con su partner de confianza o su representante de Cisco. Procedimiento 2 Configuracin de polticas de proxy HTTPS

Paso 7: Las categoras URL predefinidas que aparecen en la parte inferior de la pgina le permiten crear y aplicar las polticas que determinarn la forma en que el dispositivo gestionar el descifrado de tipos especficos de sitios web. Algunas organizaciones cuentan con polticas estrictas en relacin con el descifrado de sitios web de asistencia sanitaria o financieros, as como de otros tipos. Las categoras que figuran en esta pgina permiten aplicar esas polticas en Cisco IronPort WSA.

El segundo paso de la configuracin del proxy HTTPS consiste en configurar las polticas relacionadas con el proxy HTTPS. Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Custom URL Categories (Categoras de URL personalizadas). Paso 2: Como hizo anteriormente en Procedimiento 4, agregue tres nuevas categoras personalizadas: Drop list (Lista de anulacin), Decrypt list (Lista de descifrado) y Pass Through List (Lista de paso). Paso 3: Realice los cambios. Paso 4: Vaya a Web Security Manager (Administrador de seguridad web) > Decryption Policies (Polticas de descifrado) y luego haga clic en el enlace URL Categories (Categoras URL). Paso 5: Haga clic en Select Custom Categories (Seleccionar categoras personalizadas) y luego haga clic en Apply (Aplicar) Cuando haga clic en Select Custom Categories (Seleccionar categoras personalizadas) ver todas las categoras personalizadas que haya creado. NO incluya las que ha creado anteriormente para HTTP. Seleccione Include in policy (Incluir en poltica) en la lista para las tres nuevas entradas. Haga clic en Apply (Aplicar). Paso 6: Modifique las acciones de las nuevas categoras personalizadas para que se correspondan con sus nombres: cambie la accin de Drop List (Lista de anulacin) a Drop (Anulacin), etc. Cuando haya acabado, la ventana Custom URL Category Filtering (Filtrado de categoras URL personalizadas) tendr el siguiente aspecto: Paso 8: Haga clic en Submit (Enviar) y luego realice los cambios. Paso 9: Pruebe la nueva configuracin. Para probar la nueva configuracin necesitar definir categoras para pginas web que sepa que estn cifradas (HTTPS) y luego utilizar esas URL en el proceso de prueba. Puesto que tiene que saber de antemano si el sitio utiliza o no HTTPS para todas las pginas, es ms fcil utilizar categoras personalizadas para una pgina web especfica que est seguro que utilice HTTPS y escribir la direccin en la lista desplegable. Cuando intente acceder a ese sitio web, el dispositivo debe anular la conexin.

Serie febrero 2012

Detalles de la implementacin

20

Proceso

Sugerencia tcnica
Si las aplicaciones necesitan acceder a una URL especfica, puede crear una identidad basada en una categora de agentes de usuario personalizada que no requiera autenticacin. Cuando se crea una identidad de este tipo, no se solicita autenticacin a la aplicacin cliente. Si su empresa requiere autenticacin, pngase en contacto con su partner de Cisco IronPort, su distribuidor o el equipo de comerciales de Cisco, que le ayudarn a configurar una solucin de autenticacin adaptada a las necesidades de su empresa con el mnimo de complicaciones. Procedimiento 1 C  onfiguracin de la autenticacin

Habilitacin de la autenticacin 1. Configuracin de la autenticacin 2. Configuracin de grupos de identidades La autenticacin es el acto de confirmar la identidad de un usuario. Cuando se habilita la autenticacin, Cisco IronPort WSA verifica la identidad de los clientes de la red antes de permitir que se conecten a un servidor de destino. Utilizar la funcin de autenticacin de Cisco IronPort WSA le permite: Configurar polticas de acceso diferenciadas por usuario o por pertenencia a un grupo, basndose en un directorio centralizado de usuarios. Habilitar el seguimiento de usuarios para que cuando uno de ellos infrinja una poltica de uso aceptable Cisco IronPort WSA pueda identificar al usuario autor de la infraccin, en lugar de proporcionar nicamente una direccin IP. Habilitar la generacin de informes de cumplimiento. Cisco IronPort WSA admite dos protocolos de autenticacin diferentes: protocolo ligero de acceso a directorios (LDAP) y NT LAN Manager (NTLM). La mayora de las empresas utilizan NTLM porque tienen servidores AD. Adems, si se utiliza NTLM, el inicio de sesin nico (SSO) tambin est disponible. Si Cisco IronPort WSA est implementado en modo transparente con la autenticacin habilitada y una transaccin requiere autenticacin, Cisco WSA responde a la aplicacin cliente solicitando credenciales de autenticacin. Sin embargo, no todas las aplicaciones cliente admiten autenticacin. Las aplicaciones que no admiten autenticacin no tienen forma de solicitar a los usuarios que proporcionen sus nombres de usuario y contraseas. Esas aplicaciones pueden tener problemas si Cisco WSA se implementa en modo transparente porque la aplicacin intenta ejecutar trfico no HTTP a travs del puerto 80 y no puede gestionar el intento del dispositivo de autenticar la conexin. Por el momento, las aplicaciones de la siguiente lista no admiten autenticacin (la lista est sujeta a cambios como resultado de la introduccin de nuevas versiones de las aplicaciones): Mozilla Thunderbird Adobe Acrobat Updater Windows Update Microsoft Outlook Exchange (cuando se intentan descargar imgenes basadas en Internet para mensajes de correo electrnico)

Paso 1: Para crear un dominio de autenticacin que defina cmo debe desarrollarse la autenticacin, vaya a Network (Red) > Authentication (Autenticacin) y luego haga clic en Add Realm (Agregar dominio). En este ejemplo se crear un dominio para la autenticacin NTLM. Paso 2: En el cuadro de dilogo NTLM Authentication Realm (Dominio de autenticacin NTLM) , en la seccin NTLM Authentication (Autenticacin NTLM) , especifique el servidor de Active Directory, el dominio de la cuenta de Active Directory y la cuenta de la computadora y luego haga clic en Join Domain (Incorporarse a dominio).

Serie febrero 2012

Detalles de la implementacin

21

Paso 3: En el cuadro de dilogo Computer Account Credentials (Credenciales de cuenta de la computadora), escriba el nombre de usuario y la contrasea, y luego haga clic en Create Account (Crear cuenta). Este paso debe realizarlo un administrador del dominio AD con autoridad para crear cuentas de dominio para computadoras.

Sugerencia tcnica
Con esta accin, ejecutar la autenticacin de esa direccin IP resulta superfluo, dado que ningn registro de informacin de Cisco IronPort WSA contiene datos de autenticacin de los empleados que utilizan esa direccin IP. Sin embargo, puede ser necesaria en determinados casos y se presenta aqu para demostrar cmo se puede cambiar la poltica operativa de Cisco IronPort WSA.

Paso 4: Haga clic en Start Test (Iniciar prueba) para probar la conexin NTLM con el dominio AD y, una vez superada con xito la prueba, haga clic en Submit (Enviar). Paso 5: Realice los cambios. Procedimiento 2 Configuracin de grupos de identidades

El siguiente paso para la configuracin de la autenticacin consiste en configurar grupos de identidades, que se basan en la identidad del cliente o de la transaccin propiamente dicha. Paso 1: Vaya a Web Security Manager (Administrador de seguridad web) > Identities (Identidades) y luego haga clic en Add Identity (Agregar identidad). Paso 2: En el cuadro de dilogo Identity Settings (Parmetros de identidad), escriba los nombres de dos identidades de muestra en el cuadro Name (Nombre): Subnets not to Authen (Subredes que no necesitan autenticacin) y User Agents not to Authen (Agentes de usuario que no necesitan autenticacin). Si surge la necesidad de crear una identidad para subredes, introduzca la direccin IP, el rango o la subred del cliente al que desee permitir el acceso a Internet sin autenticacin. Paso 3: Para crear una identidad para agentes de usuario, en la pestaa Advanced (Avanzado) , junto a User Agents (Agentes de usuario), haga clic en None Selected (Ninguno seleccionado).

Serie febrero 2012

Detalles de la implementacin

22

Paso 4: Haga clic en Others (Otros) y luego seleccione los tipos de agente Microsoft Windows Update y Adobe Acrobat Updater. Con estos agentes seleccionados, no se solicita autenticacin cuando se detectan conexiones a travs de HTTP con esos agentes de usuario en el encabezamiento HTTP. Pueden definirse agentes de usuario personalizados para cualquier aplicacin que utilice HTTP y sufra fallos de autenticacin. En caso de que no resulte posible, podra crearse una categora de URL personalizada especfica para usarla despus en la ficha Advanced (Avanzado) de las categoras de URL.

Proceso

Mantenimiento de Cisco WSA 1. Supervisin de Cisco WSA 2. Solucin de problemas de Cisco WSA Una vez concluida la implementacin, utilice los dos procedimientos que se describen a continuacin para el mantenimiento de Cisco IronPort WSA. Procedimiento 1 Supervisin de Cisco WSA

Para supervisar el estado de Cisco WSA y las acciones que el dispositivo lleva a cabo con el trfico que examina, vaya a Monitor (Supervisin) y luego seleccione uno de los diversos informes disponibles. Estos informes permiten a los administradores realizar el seguimiento de estadsticas de actividad web de clientes, tipos de malware, filtros de reputacin web, estado del sistema, etc. Procedimiento 2 Solucin de problemas de Cisco WSA

Paso 1: Para determinar la razn por la cual Cisco WSA ha aplicado una accin determinada a una conexin web concreta de un usuario especfico con un sitio especfico, acceda a System Administration (Administracin del sistema) > Policy Trace (Seguimiento de polticas) y ejecute la herramienta Trace (Seguimiento). Rellene la informacin que la herramienta necesita para probar una URL especfica y averiguar cul sera la respuesta esperada de Cisco IronPort WSA al procesarla. Esta herramienta resulta especialmente til si se utilizan algunas de las funciones ms avanzadas.

Paso 5: Para guardar la configuracin del agente de usuario, haga clic en Done (Listo) y luego haga clic en Submit (Enviar) y realice los cambios. Ahora que ha creado una identidad para los agentes de usuario que no deben autenticarse y que sabe cmo crear una identidad para las subredes que no deben autenticarse, podemos dar la seccin de autenticacin por concluida. A continuacin, ponga a prueba la implementacin para asegurarse de que el sistema aplica correctamente las polticas, de que todas las aplicaciones y procesos funcionan con normalidad y de que todos los registros de datos del sistema satisfacen sus necesidades y requisitos.

Sugerencia para el lector

Si desea obtener ms informacin acerca de Cisco Smart Business Architecture, visite: http://www.cisco.com/go/smartarchitecture o http://www.cisco.com/go/partner/smartarchitecture

Serie febrero 2012

Detalles de la implementacin

23

Apndice A: nmeros de pieza del producto

Los siguientes productos y versiones de software han sido validados para su uso en Cisco Smart Business Architecture: rea funcional Extremo de Internet Producto Cisco Ironport S160 Web Security Appliance Nmeros de pieza S160-BUN-R-NA Versin de software 7.1.1-038

Serie febrero 2012

Apndice A: nmeros de pieza del producto

24

SMART BUSINESS ARCHITECTURE

Sede Central en Amrica Cisco Systems, Inc. San Jos, CA

Sede Central en Asia-Pacfico Cisco Systems (EE. UU.) Pte. Ltd. Singapur

Sede Central en Europa Cisco Systems International BV msterdam, Pases Bajos

Cisco tiene ms de 200 oficinas en todo el mundo. Las direcciones, y los nmeros de telfono y fax, estn disponibles en el sitio web de Cisco en www.cisco.com/go/offices.
Cisco y el logotipo de Cisco son marcas registradas de Cisco Systems, Inc. o de sus filiales en los Estados Unidos y en otros pases. Para obtener una lista de las marcas comerciales de Cisco, visite www.cisco.com/go/trademarks. Las marcas registradas de terceros que se mencionan aqu son de propiedad exclusiva de sus respectivos propietarios. El uso de la palabra "partner" no implica que exista una relacin de asociacin entre Cisco y otra empresa. (1005R)

B-0000539-1 12/11