Documente Academic
Documente Profesional
Documente Cultură
Informacin de contacto
Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Para leer las notas sobre la ltima versin, vaya la pgina de actualizaciones de
software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Contenido
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Integracin del cortafuegos en su red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Configuracin del acceso a la gestin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Activacin de servicios de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Creacin del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Descripcin general del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Implementaciones de cortafuegos bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Acerca de la traduccin de direcciones de red (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Acerca de las polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Configuracin de polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Configuracin de polticas de seguridad bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Habilitacin de funciones de prevencin de amenazas bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Habilitacin de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Exploracin del trfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Prcticas recomendadas para completar la implementacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 48
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Uso de la interfaz de lnea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Gestin de administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
107
107
108
109
110
117
117
123
124
126
128
128
129
131
131
132
Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directrices de configuracin para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de las condiciones de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificacin de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
135
135
136
138
143
144
153
154
154
156
157
158
159
160
ii
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Descripcin general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Acerca de la asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Acerca de la asignacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Asignacin de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Asignacin de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows . . . . . . . . . 219
Configuracin de la asignacin de usuarios mediante el agente de User-ID integrado
en PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Configuracin de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog . . . . . . 230
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo . . . . . . . . . . . . . . . . 241
Configuracin de la asignacin de usuarios para usuarios del servidor de terminal . . . . . . . . . . . . . . 246
Envo de asignaciones de usuarios a User-ID mediante la API XML . . . . . . . . . . . . . . . . . . . . . . . . . 254
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios
con otros cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Habilitacin de poltica basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Verificacin de la configuracin de User-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Qu es App-ID? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Cmo puedo gestionar aplicaciones personalizadas o desconocidas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Prcticas recomendadas para utilizar App-ID en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Aplicaciones con compatibilidad implcita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Acerca de las puertas de enlace de nivel de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
iii
282
282
284
288
Descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Descripcin general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inspeccin de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Excepciones de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
302
303
304
305
306
307
308
322
322
323
323
324
327
iv
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Configuracin de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Configuracin de una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Definicin de perfiles criptogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Configuracin de un tnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Configuracin de la supervisin de tnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Prueba de conectividad VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Interpretacin de mensajes de error de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Configuraciones rpidas de VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
VPN de sitio a sitio con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
VPN de sitio a sitio con OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
VPN de sitio a sitio con rutas estticas y enrutamiento dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
438
438
439
440
Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Implementaciones de cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
456
456
459
460
461
468
468
470
475
479
480
vi
Primeros pasos
Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos de
prxima generacin de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red
y configurar polticas de seguridad bsicas y funciones de prevencin de amenazas.
Despus de realizar los pasos de configuracin bsicos necesarios para integrar el cortafuegos en su red, puede
utilizar el resto de los temas de esta gua como ayuda para implementar las completas funciones de la plataforma
de seguridad empresarial segn sea necesario para cubrir sus necesidades de seguridad de red.
Primeros pasos
Primeros pasos
Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el trfico de su red. El
Centro de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificar
informes de todos los cortafuegos que le permiten realizar anlisis, investigaciones e informes de forma
central sobre el trfico de red, los incidentes de seguridad y las modificaciones administrativas.
Primeros pasos
Primeros pasos
Los procedimientos de este documento describen cmo gestionar el cortafuegos usando la interfaz web local.
Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccin
Realizacin de la configuracin inicial de esta gua, verifique que el cortafuegos puede establecer una conexin
con Panorama. Desde ese momento, podr utilizar Panorama para configurar su cortafuegos de forma central.
Paso 1
Paso 2
Paso 3
Primeros pasos
Primeros pasos
Paso 4
1.
2.
3.
Paso 5
4.
1.
2.
3.
4.
Paso 6
1.
Nota
4.
Paso 7
Paso 8
Nota
3.
4.
Primeros pasos
Primeros pasos
Paso 9
1.
2.
Nota
Paso 1
Primeros pasos
Primeros pasos
Paso 2
Paso 3
Paso 4
Configure la interfaz.
2.
3.
4.
5.
1.
2.
3.
4.
5.
6.
7.
8.
Primeros pasos
Primeros pasos
Paso 5
Dado que el cortafuegos usa la interfaz de 1. Seleccione Dispositivo > Configuracin > Servicios >
Configuracin de ruta de servicios.
gestin de manera predeterminada para
acceder a los servicios externos que
necesita, debe cambiar la interfaz que usa
el cortafuegos para enviar estas
solicitudes editando las rutas de servicios. Nota Para activar sus licencias y obtener el contenido y las
actualizaciones de software ms recientes, debe cambiar la
ruta de servicios de DNS, Actualizaciones de Palo Alto,
Actualizaciones de URL y WildFire.
2.
Primeros pasos
3.
4.
5.
Primeros pasos
Paso 6
Configure una interfaz de orientacin externa y una zona asociada y, a continuacin, cree las reglas de poltica
NAT y de seguridad para permitir que el cortafuegos enve solicitudes de servicio de la zona interna a la externa:
1. Seleccione Red > Interfaces y, a continuacin, seleccione su interfaz de orientacin externa. Seleccione Capa 3
como el Tipo de interfaz, aada la direccin IP (en la pestaa IPv4 o IPv6) y cree la Zona de seguridad asociada
(en la pestaa Configuracin), tal como l3-nofiable. No necesita configurar servicios de gestin en esta interfaz.
2. Para configurar una regla de seguridad que permita el trfico desde su red interna al servidor de actualizaciones
de Palo Alto Networks y los servidores DNS externos, seleccione Polticas > Seguridad y haga clic en Aadir.
Para realizar la configuracin inicial, puede crear una regla simple que permita todo el trfico de l3-fiable a
l3-nofiable del siguiente modo:
Activacin de licencias
Primeros pasos
Primeros pasos
Paso 1
Paso 2
Busque el nmero de serie y cpielo en el En el Panel, busque su nmero de serie en la seccin Informacin
portapapeles.
general de la pantalla.
Paso 3
Paso 4
Activacin de licencias
Antes de que pueda empezar a usar su cortafuegos para proteger el trfico de su red, deber activar las licencias
de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:
Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del trfico descifrado desde
un cortafuegos y enviarlo a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de
paquetes sin formato (como NetWitness o Solera) para su archivado y anlisis.
Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir e
instalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o
BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso a
contenido web.
Primeros pasos
Primeros pasos
Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtuales
en los cortafuegos de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtuales
si desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por los
cortafuegos de las series PA-4000, PA-5000 y PA-7050 (el nmero bsico vara segn la plataforma).
Las series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.
WildFire: Aunque la compatibilidad bsica con WildFire est incluida como parte de la licencia de
prevencin de amenazas, el servicio de suscripcin a WildFire ofrece servicios mejorados para aquellas
organizaciones que necesitan una cobertura inmediata frente a las amenazas, y permite actualizaciones de la
firma de WildFire con una frecuencia inferior a una hora, el reenvo de tipos de archivos avanzados (APK,
PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. Tambin
se requiere una suscripcin a WildFire si sus cortafuegos van a reenviar archivos a un dispositivo WF-500
WildFire privado.
GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De forma
predeterminada, puede implementar una nica puerta de enlace y portal GlobalProtect (sin comprobaciones
de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia
de portal (licencia permanente y nica). Si desea utilizar comprobaciones de host, tambin necesitar
licencias de puertas de enlace (suscripcin) para cada puerta de enlace.
Activacin de licencias
Paso 1
Paso 2
Paso 3
Nota
2.
Si su cortafuegos no tiene acceso a
Internet desde el puerto de gestin, puede
descargar sus licencias de forma manual 3.
desde el sitio de asistencia tcnica y
cargarlas en el cortafuegos usando la
opcin Clave de licencia de carga
manual.
1.
10
Primeros pasos
Primeros pasos
forma predeterminada, los dispositivos utilizan el puerto de gestin para acceder a la infraestructura de CDN
para realizar actualizaciones de aplicaciones, de amenazas y de firma de antivirus, actualizaciones y bsquedas
en BrightCloud y en base de datos PAN-DB, as como acceso a la nube de WildFire de Palo Alto Networks. Para
garantizar una proteccin constante contra las amenazas ms recientes (incluidas aquellas que an no se han
descubierto), debe asegurarse de mantener actualizados sus dispositivos con las actualizaciones ms recientes de
Palo Alto Networks.
Estn disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:
Aunque puede descargar e instalar de forma manual las actualizaciones de contenido en
cualquier momento, es recomendable programar las actualizaciones para que se realicen
automticamente.
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio
en la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estas
actualizaciones. Se publican nuevas firmas de antivirus todos los das.
Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir y
evaluar los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect.
Debe tener una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas
actualizaciones. Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtect
funcione.
Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de
URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones.
Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una
licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automtica.
WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como
consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de
24 a 48 horas para que las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.
Si su cortafuegos no tiene acceso a Internet desde el puerto de gestin, puede descargar
actualizaciones de contenido desde el sitio de asistencia de Palo Alto Networks
(https://support.paloaltonetworks.com) y, a continuacin, cargarlas en su cortafuegos.
Si su cortafuegos est implementado detrs de cortafuegos o servidores proxy existentes, el
acceso a estos recursos externos puede restringirse empleando listas de control de acceso que
permiten que el cortafuegos acceda nicamente a un nombre de host o una direccin IP. En
dichos casos, para permitir el acceso a la CDN, establezca la direccin del servidor de
actualizaciones para que utilice el nombre de host staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15.
Primeros pasos
11
Primeros pasos
Paso 1
Paso 2
Paso 3
Nota No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicaciones
y amenazas.
Actualizar: Indica que hay una nueva versin de la base de datos de BrightCloud disponible. Haga clic en el
enlace para iniciar la descarga e instalacin de la base de datos. La actualizacin de la base de datos se inicia
en segundo plano; al completarse aparece una marca de verificacin en la columna Instalado actualmente.
Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no ver ningn enlace de
actualizacin porque la base de datos de PAN-DB se sincroniza automticamente con el servidor.
Consejo: Para comprobar el estado de una accin, haga clic en Tareas (en la esquina inferior derecha de la ventana).
Revertir: Indica que la versin de software correspondiente se ha descargado anteriormente. Puede decidir
revertir a la versin instalada anteriormente de la actualizacin.
12
Primeros pasos
Primeros pasos
Paso 4
Nota
Paso 5
1.
2.
3.
4.
5.
6.
7.
Primeros pasos
13
Primeros pasos
asegurarse de tener las actualizaciones de contenido ms recientes segn se indica en la seccin anterior (las
notas de la versin de una actualizacin de software especifican las versiones de actualizacin de contenido
mnimas que son compatibles con la versin).
Actualizacin de PAN-OS
Paso 1
Paso 2
Paso 3
Nota
Paso 4
Descargar la actualizacin.
Instale la actualizacin.
1.
2.
Reinicie el cortafuegos:
Si se le pide que reinicie, haga clic en S.
14
Primeros pasos
Primeros pasos
Las siguientes secciones describen los componentes del permetro de seguridad e indican los pasos necesarios
para configurar las interfaces del cortafuegos, definir zonas y configurar una poltica de seguridad bsica que
permita el trfico desde su zona interna hasta Internet y DMZ. Al crear inicialmente una poltica bsica como
esta, podr analizar el trfico que circula por su red y utilizar esta informacin para definir polticas ms
especficas y as habilitar aplicaciones de forma segura y evitar amenazas.
Primeros pasos
15
Primeros pasos
Implementaciones de capa 2
Implementaciones de capa 3
Para obtener informacin ms detallada sobre la implementacin, consulte Designing Networks with Palo Alto
Networks cortafuegos (Diseo de redes con cortafuegos de Palo Alto Networks).
Implementaciones de capa 2
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms interfaces. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos
ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.
Seleccione esta opcin cuando necesite poder alternar.
Para obtener ms informacin sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note
(Nota tcnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota tcnica sobre proteccin del
trfico entre VLAN).
16
Primeros pasos
Primeros pasos
Implementaciones de capa 3
En una implementacin de capa 3, el cortafuegos enruta el trfico entre puertos. Se debe asignar una direccin
IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando necesite
enrutamiento.
Debe asignar una direccin IP a cada interfaz de capa 3 fsica que configure. Tambin puede crear subinterfaces
lgicas para cada interfaz de capa 3 fsica que le permitan segregar el trfico de la interfaz basndose en el tag
de VLAN (cuando se utilice un enlace troncal de VLAN) o la direccin IP, por ejemplo, para la arquitectura
multiempresa.
Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento
dinmico (BGP, OSPF o RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales,
cada uno de los cuales mantendr un conjunto separado de rutas que no se comparten entre enrutadores
virtuales, lo que le permitir configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
El ejemplo de configuracin de este captulo muestra cmo integrar el cortafuegos en su red de capa 3 utilizando
rutas estticas. Para obtener informacin sobre otros tipos de integraciones de enrutamiento, consulte los
documentos siguientes:
How to Configure OSPF Tech Note (Nota tcnica sobre cmo configurar OSPF)
How to Configure BGP Tech Note (Nota tcnica sobre cmo configurar BGP)
Primeros pasos
17
Primeros pasos
Campos
obligatorios
Campos
opcionales
18
Campo
Descripcin
Nombre
Zona de origen
Zona de destino
Aplicacin
Accin
Etiqueta
Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto es de
utilidad cuando ha definido muchas reglas y desea revisar las que estn
etiquetadas con una palabra clave especfica, por ejemplo Entrante en DMZ.
Primeros pasos
Primeros pasos
Campo
Descripcin (Continuacin)
Descripcin
Direccin IP de origen
Direccin IP de destino
Usuario
Categora de URL
Primeros pasos
19
Primeros pasos
Campo
Descripcin (Continuacin)
Servicio
Campos
opcionales
Perfiles de seguridad
GlobalProtect)
Opciones
20
Si tiene dos o ms zonas con requisitos de seguridad idnticos, combnelas en una regla de seguridad.
El orden de las reglas es crucial para garantizar los mejores criterios de coincidencia. Dado que la poltica
se evala de arriba abajo, las polticas ms especficas deben preceder a las ms generales, de modo que las
reglas ms especficas no estn atenuadas. Esto quiere decir que una regla no se evala o se omite porque se
encuentra a un nivel ms bajo en la lista de polticas. Cuando la regla se sita ms abajo, no se evala
porque otra regla precedente cumple los criterios de coincidencia, impidiendo as la evaluacin de poltica
de la primera regla.
Para restringir y controlar el acceso a las aplicaciones entrantes, en la poltica de seguridad, defina
explcitamente el puerto al que escuchar el servicio/aplicacin.
Primeros pasos
Primeros pasos
El registro de reglas de permiso amplio (por ejemplo, acceso a servidores conocidos, como DNS) puede
generar mucho trfico. Por lo tanto, no se recomienda a no ser que sea absolutamente necesario.
De manera predeterminada, el cortafuegos crea una entrada de log al final de una sesin. Sin embargo,
puede modificar este comportamiento predeterminado y configurar el cortafuegos para que se registre al
inicio de la sesin. Debido a que esto aumentan significativamente el volumen de logs, el registro al inicio
de la sesin nicamente se recomienda cuando est solucionando un problema. Otra alternativa para
solucionar un problema sin habilitar el registro al inicio de la sesin es utilizar el explorador de sesin
(Supervisar > Explorador de sesin) para ver las sesiones en tiempo real.
Descripcin
Direccin/Grupo de
direcciones, Regin
Le permite crear una lista de usuarios desde la base de datos local o una base de datos
externa y agruparlos.
Grupo de aplicaciones y Filtro Un Filtro de aplicacin le permite filtrar aplicaciones dinmicamente. Le permite filtrar y
de aplicacin
guardar un grupo de aplicaciones mediante los atributos definidos en la base de datos
Primeros pasos
21
Primeros pasos
Objeto de poltica
Descripcin
Servicio/Grupos de servicios
Le permite especificar los puertos de origen y destino y el protocolo que puede utilizar
un servicio. El cortafuegos incluye dos servicios predefinidos (servicio-http y
servicio-https) que utilizan los puertos 80 y 8080 de TCP para HTTP y el puerto 443
de TCP para HTTPS. Sin embargo, puede crear cualquier servicio personalizado en
cualquier puerto TCP/UDP de su eleccin para restringir el uso de la aplicacin a
puertos especficos de su red (dicho de otro modo, puede definir el puerto
predeterminado para la aplicacin).
Para ver los puertos estndar utilizados por una aplicacin, en Objetos >
Aplicaciones, busque la aplicacin y haga clic en el enlace. Aparecer una
descripcin concisa.
Algunos ejemplos de objetos de polticas de direccin y aplicacin se muestran en las polticas de seguridad incluidas
en Creacin de reglas de seguridad. Si desea informacin sobre los otros objetos de polticas, consulte
Habilitacin de funciones de prevencin de amenazas bsicas.
Los diferentes tipos de perfiles de seguridad que pueden vincularse a polticas de seguridad son: Antivirus,
Antispyware, Proteccin contra vulnerabilidades, Filtrado de URL, Bloqueo de archivos y Filtrado de datos. El
cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Creacin de reglas de seguridad para obtener
informacin sobre el uso de los perfiles predeterminados de su poltica de seguridad. Cuando comprenda mejor
las necesidades de seguridad de su red, podr crear perfiles personalizados. Consulte Exploracin del trfico en
busca de amenazas para obtener ms informacin.
Planificacin de la implementacin
22
Primeros pasos
Primeros pasos
Planificacin de la implementacin
Antes de empezar a configurar las interfaces y zonas, dedique algo de tiempo a planificar las zonas que necesitar
basndose en los diferentes requisitos de uso de su organizacin. Adems, debera recopilar toda la informacin
de configuracin que necesitar de manera preventiva. A un nivel bsico, debera planificar qu interfaces
pertenecern a qu zonas. Para implementaciones de capa 3, tambin deber obtener las direcciones IP
obligatorias y la informacin de configuracin de red de su administrador de red, incluida la informacin sobre
cmo configurar el protocolo de enrutamiento o las rutas estticas obligatorias para la configuracin de
enrutador virtual. El ejemplo de este captulo se basar en la siguiente topologa:
Ilustracin: Ejemplo de topologa de capa 3
La siguiente tabla muestra la informacin que utilizaremos para configurar las interfaces de capa 3 y sus
correspondientes zonas, como se muestra en la topologa de muestra.
Zona
Tipos de implementacin
Interfaces
Ajustes de configuracin
No fiable
L3
Ethernet1/3
Fiable
L3
Ethernet1/4
DMZ
L3
Ethernet1/13
Primeros pasos
23
Primeros pasos
El cortafuegos viene preconfigurado con una interfaz de cable virtual predeterminada entre los
puertos Ethernet 1/1 y Ethernet 1/2 (y una poltica de seguridad y un enrutador virtual
predeterminados correspondientes). Si no pretende usar el cable virtual predeterminado, debe
eliminar manualmente la configuracin y confirmar el cambio antes de continuar para evitar que
interfiera con otras configuraciones que defina. Para obtener instrucciones sobre cmo eliminar
el Virtual Wire predeterminado y sus zonas y poltica de seguridad asociadas, consulte el Paso 3
en Establecimiento de un puerto de datos para acceder a servicios externos.
Paso 1
2.
3.
Paso 2
4.
1.
2.
3.
4.
5.
7.
24
Primeros pasos
Primeros pasos
Paso 3
Nota
Paso 4
2.
3.
4.
5.
6.
7.
1.
2.
3.
4.
5.
7.
Paso 5
Paso 6
Paso 7
Primeros pasos
25
Primeros pasos
Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones 192.168.1.0
internas debern traducirse a direcciones enrutables pblicamente. En este caso, configuraremos NAT de
origen, utilizando la direccin de interfaz de salida, 208.80.56.100, como la direccin de origen en todos los
paquetes que salgan del cortafuegos desde la zona interna. Consulte Traduccin de direcciones IP de clientes
internos a su direccin IP pblica para obtener instrucciones.
Para permitir que los clientes de la red interna accedan al servidor web pblico en la zona DMZ,
necesitaremos configurar una regla NAT que redirija el paquete desde la red externa, donde la bsqueda de
tabla de enrutamiento original determinar que debe ir, basndose en la direccin de destino de 208.80.56.11
dentro del paquete, a la direccin real del servidor web de la red DMZ de 10.1.1.11. Para ello, deber crear
una regla NAT desde la zona fiable (donde se encuentra la direccin de origen del paquete) hasta la zona no
fiable (donde se encuentra la direccin de destino) para traducir la direccin de destino a una direccin de la
zona DMZ. Este tipo de NAT de destino se denomina NAT de ida y vuelta. Consulte Habilitacin de clientes
de la red interna para acceder a sus servidores pblicos para obtener instrucciones.
Para permitir que el servidor web (que tiene tanto una direccin IP privada en la red DMZ como una
direccin pblica para que accedan usuarios externos) enve y reciba solicitudes, el cortafuegos debe traducir
los paquetes entrantes desde la direccin IP pblica hacia la direccin IP privada y los paquetes salientes
desde la direccin IP privada hacia la direccin IP pblica. En el cortafuegos, puede conseguir esto con una
nica poltica NAT de origen esttico bidireccional. Consulte Habilitacin de la traduccin de direcciones
bidireccional para sus servidores pblicos.
26
Primeros pasos
Primeros pasos
Paso 1
1.
2.
3.
4.
Prctica recomendada:
Aunque no tiene que utilizar objetos de direccin en sus polticas, es
una prctica recomendada porque simplifica la administracin al
permitirle realizar actualizaciones en un lugar en vez de tener que
actualizar cada poltica donde se hace referencia a la direccin.
Primeros pasos
27
Primeros pasos
Paso 2
Paso 3
Guarde la configuracin.
28
Primeros pasos
Primeros pasos
Paso 1
Paso 2
1.
2.
3.
4.
Guarde la configuracin.
Primeros pasos
29
Primeros pasos
ser la direccin IP de destino en paquetes entrantes de usuarios de Internet a la direccin privada para permitir
que el cortafuegos enrute correctamente el paquete a su red DMZ. En el cortafuegos, puede realizar esta accin
creando una poltica NAT esttica bidireccional como se describe en el procedimiento siguiente.
Configuracin de NAT bidireccional
Paso 1
1.
2.
3.
4.
Nota
Paso 2
Paso 3
30
Guarde la configuracin.
Primeros pasos
Primeros pasos
Primeros pasos
31
Primeros pasos
Paso 1
Nota
De manera predeterminada, el
cortafuegos incluye una regla de
seguridad denominada regla1 que permite
2.
todo el trfico desde la zona fiable a la
zona no fiable. Puede eliminar la regla o 3.
modificarla para reflejar su convencin de 4.
denominacin de zonas.
Nota
5.
6.
7.
32
Primeros pasos
Primeros pasos
Paso 2
Nota
3.
Paso 3
3.
4.
5.
Nota
6.
Primeros pasos
33
Primeros pasos
Paso 4
1.
2.
3.
4.
5.
6.
34
Primeros pasos
Primeros pasos
Paso 5
1.
2.
3.
4.
Nota
Paso 6
Primeros pasos
5.
6.
35
Primeros pasos
36
Primeros pasos
Primeros pasos
Uso del centro de comando de aplicacin: En el ACC, revise las aplicaciones ms utilizadas y las aplicaciones
de alto riesgo en su red. El ACC resume grficamente la informacin de logs para resaltar las aplicaciones
que cruzan la red, quin las est utilizando (con el User-ID habilitado) y el posible impacto en la seguridad
del contenido para ayudarle a identificar qu sucede en la red en tiempo real. A continuacin, podr utilizar
esta informacin para crear polticas de seguridad adecuadas que bloqueen las aplicaciones no deseadas y que
permitan y habiliten aplicaciones de manera segura.
Evale si desea permitir contenido basndose en la programacin, los usuarios o los grupos.
Visualizacin de los archivos log: De manera especfica, visualice los logs de trfico y amenaza (Supervisar >
Logs).
Los logs de trfico dependen del modo en que sus polticas de seguridad estn definidas y
configuradas para registrar el trfico. Sin embargo, la pestaa ACC registra aplicaciones y
estadsticas independientemente de la configuracin de las polticas; muestra todo el trfico que
se permite en su red, por lo que incluye el trfico entre zonas que permite la poltica y el trfico
de la misma zona que se permite implcitamente.
Interpretacin de los logs de filtrado de URL: Revise los logs de filtrado de URL para examinar alertas,
y categoras/URL denegadas. Los logs de URL se generan cuando un trfico coincide con una regla de
seguridad que tenga un perfil de filtrado de URL adjunto con una accin de alertar, continuar, sobrescribir
o bloquear.
Primeros pasos
37
Primeros pasos
Habilitacin de WildFire
Habilitacin de WildFire
El servicio WildFire se incluye como parte del producto bsico. El servicio WildFire permite que el cortafuegos
reenve archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier
actividad malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan
automticamente firmas de software malintencionado que estarn disponibles en las descargas diarias del
antivirus en un plazo de 24-48 horas. Su suscripcin a la prevencin de amenazas le da derecho a actualizaciones
de firmas de antivirus que incluyen firmas detectadas por WildFire.
Considere adquirir el servicio de suscripcin a WildFire para obtener estas ventajas adicionales:
Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)
Reenvo de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java)
38
Primeros pasos
Primeros pasos
Habilitacin de WildFire
Paso 1
Paso 2
1.
2.
3.
1.
2.
3.
Nota
Paso 3
Paso 4
4.
5.
1.
2.
3.
4.
5.
6.
Primeros pasos
2.
3.
39
Primeros pasos
Paso 5
Guarde la configuracin.
Paso 6
1.
2.
3.
40
Primeros pasos
Primeros pasos
Como prctica recomendada, adjunte los perfiles predeterminados a sus polticas de acceso web
bsicas para garantizar que el trfico que entre en su red est libre de amenazas.
A medida que supervisa el trfico de su red y ampla su base de reglas de polticas, puede disear perfiles ms
detallados que cubran sus necesidades de seguridad especficas. Todas las firmas antispyware y de proteccin contra
vulnerabilidades tienen una accin predeterminada definida por Palo Alto Networks. Puede ver la accin
predeterminada navegando hasta Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de seguridad >
Proteccin contra vulnerabilidades y, a continuacin, seleccionando un perfil. Haga clic en la pestaa Excepciones y
despus en Mostrar todas las firmas; ver una lista de las firmas con la accin predeterminada en la columna Accin.
Para cambiar la accin predeterminada, debe crear un nuevo perfil y despus crear reglas con una accin no
predeterminada o aadir excepciones de firma individuales en la pestaa Excepciones del perfil.
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades
Paso 1
Paso 2
Paso 3
1.
2.
1.
2.
3.
4.
Primeros pasos
41
Primeros pasos
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
Paso 4
Paso 5
Guarde la configuracin.
1.
2.
42
Primeros pasos
Primeros pasos
Paso 1
Paso 2
1.
2.
1.
2.
3.
4.
5.
6.
7.
Paso 3
Primeros pasos
2.
3.
43
Primeros pasos
Paso 4
Paso 5
3.
4.
5.
6.
Para comprobar la configuracin de bloqueo de archivos, acceda a un ordenador cliente en la zona fiable del
cortafuegos y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debera aparecer una
pgina de respuesta. Haga clic en Continuar para descargar el archivo. Tambin puede establecer otras acciones,
como nicamente alertar, reenviar (que reenviar a WildFire) o bloquear, que no proporcionar al usuario una
pgina que le pregunte si desea continuar. A continuacin se muestra la pgina de respuesta predeterminada de
Bloqueo de archivos:
44
Primeros pasos
Primeros pasos
Paso 1
Paso 2
1.
2.
1.
3.
1.
2.
3.
Paso 3
Primeros pasos
45
Primeros pasos
Paso 4
1.
Paso 5
2.
1.
2.
3.
46
4.
5.
6.
Compile la configuracin.
Primeros pasos
Primeros pasos
Paso 6
2.
3.
4.
5.
6.
Paso 7
Guarde la configuracin.
Paso 8
Para comprobar el filtrado de URL, acceda a un ordenador cliente desde la zona donde se aplica la poltica de
seguridad y trate de acceder a un sitio de una categora bloqueada. Debe ver una pgina de respuesta de filtrado
de URL que indica que la pgina se ha bloqueado:
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
nmero de ID para obtener ms informacin acerca de una amenaza.
Primeros pasos
47
Primeros pasos
Obtenga informacin sobre las diferentes Interfaces de gestin que estn a su disposicin y cmo acceder
a ellas y utilizarlas.
Configure la Alta disponibilidad: La alta disponibilidad (HA) es una configuracin en la que dos
cortafuegos se colocan en un grupo y su configuracin se sincroniza para prevenir el fallo de un nico
punto en su red. Una conexin de latido entre los peers del cortafuegos garantiza una conmutacin por
error sin problemas en el caso de que falle un peer. La configuracin de los cortafuegos en un clster de
dos dispositivos proporciona redundancia y le permite garantizar la continuidad empresarial.
Configuracin de la clave maestra: Cada cortafuegos de Palo Alto Networks tiene una clave maestra
predeterminada que cifra las claves privadas que se utilizan para autenticar administradores cuando
acceden a interfaces de gestin en el cortafuegos. La prctica recomendada para proteger las claves es
configurar la clave maestra en cada cortafuegos para que sea exclusiva.
Gestin de administradores de cortafuegos: Cada cortafuegos y dispositivo de Palo Alto Networks viene
preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso
completo de lectura-escritura (tambin conocido como acceso de superusuario) al dispositivo. Es
recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las
funciones de administracin o informes del cortafuegos. Esto le permite proteger mejor el dispositivo de
la configuracin (o modificacin) no autorizada y registrar en logs las acciones de cada uno de los
administradores.
Habilite el Descifrado: Los cortafuegos de Palo Alto Networks ofrecen la capacidad de descifrar e
inspeccionar el trfico para lograr visibilidad, control y seguridad detallada. Utilice el descifrado en un
cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido confidencial,
escondido como trfico cifrado o de tnel.
48
Primeros pasos
Gestin de dispositivos
Los administradores pueden configurar, gestionar y supervisar los cortafuegos de Palo Alto Networks mediante
la interfaz web, la CLI y las interfaces de gestin de la API. El acceso administrativo basado en funciones a las
interfaces de gestin puede personalizarse para delegar tareas o permisos especficos a determinados
administradores. Consulte los siguientes temas para obtener informacin sobre opciones de gestin de
dispositivos, incluido cmo empezar a utilizar las interfaces de gestin y cmo personalizar las funciones de
administrador:
Interfaces de gestin
Gestin de dispositivos
49
Interfaces de gestin
Gestin de dispositivos
Interfaces de gestin
Los cortafuegos de PAN-OS y Panorama proporcionan tres interfaces de usuario: una interfaz web, una interfaz
de lnea de comandos (CLI) y una API REST de gestin. Consulte los siguientes temas para saber cmo acceder
a cada una de las interfaces de gestin de dispositivos y cmo empezar a utilizarlas:
Uso de la interfaz web para realizar tareas administrativas y generar informes desde la interfaz web con
relativa facilidad. Esta interfaz grfica le permite acceder al cortafuegos con HTTPS y es la mejor forma de
realizar tareas administrativas.
Uso de la interfaz de lnea de comandos (CLI) para escribir los comandos con rapidez para realizar una serie
de tareas. La CLI es una interfaz sencilla que admite dos modos de comandos, cada uno de los cuales con su
propia jerarqua de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis de
los comandos, la CLI permite tiempos de respuesta rpidos y ofrece eficacia administrativa.
Uso de la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes
desarrollados internamente. La API XML se proporciona como servicio web implementado usando
solicitudes y respuestas de HTTP/HTTPS.
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
Abra un explorador de Internet e introduzca la direccin IP del cortafuegos. Introduzca sus credenciales de
usuario. Si inicia sesin en el cortafuegos por primera vez, escriba el administrador predeterminado (admin) en
los campos Nombre y Contrasea.
Para ver informacin sobre cmo utilizar una pgina especfica y una explicacin de los campos y opciones de
la pgina, haga clic en el icono Ayuda
del rea superior derecha de la pgina para abrir el sistema de
ayuda en lnea. Adems de mostrar ayuda contextual de una pgina, al hacer clic en el icono Ayuda se muestra
un panel de navegacin de ayuda con opciones para examinar todo el contenido de la ayuda y buscar en l.
Los siguientes temas describen cmo empezar a utilizar la interfaz web del cortafuegos:
Compilacin de cambios
Campos obligatorios
Bloqueo de transacciones
50
Gestin de dispositivos
Gestin de dispositivos
Interfaces de gestin
Para mostrar los elementos del men para una categora de funciones general, haga clic en la pestaa, como
Objetos o Dispositivo, junto a la parte superior de la ventana del explorador.
Para mostrar los elementos del men secundario, haga clic en el icono
a la izquierda de un elemento.
Para ocultar elementos del men secundario, haga clic en el icono
a la izquierda del elemento.
En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un nuevo elemento.
Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en Eliminar. En la
mayora de los casos, el sistema le solicita confirmar haciendo clic en ACEPTAR o cancelar la eliminacin
haciendo clic en Cancelar.
En algunas pginas de configuracin, puede seleccionar la casilla de verificacin de un elemento y hacer clic
en Duplicar para crear un nuevo elemento con la misma informacin que el elemento seleccionado.
Gestin de dispositivos
51
Interfaces de gestin
Gestin de dispositivos
Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior derecha de la pgina.
La ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio,
mensajes asociados y acciones. Utilice la lista desplegable Mostrar para filtrar la lista de tareas.
Si no se define una preferencia de idioma, el idioma de la interfaz web estar controlado por el idioma actual
del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que utiliza para gestionar el cortafuegos tiene
como idioma establecido el espaol, cuando inicia sesin en el cortafuegos, la interfaz web estar en espaol.
Para especificar un idioma que se utilizar siempre para una cuenta especfica independientemente de la
configuracin regional del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la pgina y
se abrir la ventana Preferencia de idioma. Haga clic en la lista desplegable para seleccionar el idioma que
desee y, a continuacin, haga clic en ACEPTAR para guardar los cambios.
En pginas donde aparecen informaciones que puede modificar (por ejemplo, la pgina Configuracin en la
pestaa Dispositivos), haga clic en el icono en la esquina superior derecha de una seccin para editar los
ajustes.
52
Gestin de dispositivos
Gestin de dispositivos
Interfaces de gestin
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para almacenar los cambios.
Cuando hace clic en ACEPTAR, se actualiza la configuracin actual de candidato.
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo Compilar.
Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en el enlace Avanzado, si
es necesario, para mostrar las opciones:
Incluir configuracin de dispositivo y red: Incluir los cambios de configuracin de dispositivo y red en la
operacin de compilacin.
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios de configuracin
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos paneles que muestra
Gestin de dispositivos
53
Interfaces de gestin
Gestin de dispositivos
Campos obligatorios
Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratn o hace clic en el rea de
entrada del campo, aparece un mensaje indicando que el campo es obligatorio.
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un
conjunto actual de transacciones y de ese modo evitar cambios de configuracin o compilacin de informacin
por otro administrador hasta que se elimine el bloqueo. Se permiten los siguientes tipos de bloqueo:
Bloqueo de compilacin:
Bloquea los cambios de compilacin por parte de otros administradores hasta que
se liberen todos los bloqueos. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando
dos administradores estn realizando cambios a la vez y el primer administrador finaliza y compila cambios
antes de que finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios actuales
por el administrador que aplic el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones actuales que estn
bloqueadas junto con una marca de tiempo para cada una.
54
Gestin de dispositivos
Gestin de dispositivos
Interfaces de gestin
Para obtener ms informacin sobre la CLI, consulte la Gua de referencia de la interfaz de lnea de comandos de
PAN-OS.
Gestin de dispositivos
55
Interfaces de gestin
Gestin de dispositivos
Paso 1
Paso 2
Paso 3
Paso 4
Para entrar en el modo de configuracin desde el modo de operacin, utilice el comando configure :
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#
Para salir del modo de configuracin y regresar al modo de operacin, utilice el comando quit o exit:
username@hostname# quit
Exiting configuration mode
username@hostname>
Para introducir un comando del modo de operacin mientras est en el modo de configuracin, utilice el
comando run; por ejemplo:
56
Para dirigir un comando del modo de operacin a un VSYS en particular, especifique el VSYS de destino
con el siguiente comando:
username@hostname# set system setting target-vsys <vsys_name>
Gestin de dispositivos
Gestin de dispositivos
Interfaces de gestin
http(s)://hostname/esp/restapi.esp?request-parameters-values
http(s)://hostname/api/?request-parameters-values
Existen diferentes API para productos PAN-OS, User-ID y WildFire. Para obtener ms informacin sobre
cmo utilizar la interfaz de la API, consulte la PAN-OS XML API Usage Guide (Gua de uso de la API XML
de PAN-OS). Para acceder a la comunidad en lnea para desarrollar secuencias de comandos, visite:
https://live.paloaltonetworks.com/community/devcenter.
Gestin de dispositivos
57
Interfaces de gestin
Gestin de dispositivos
Paso 1
Paso 2
1.
2.
3.
4.
1.
2.
Para PAN-OS 4.1.0 y versiones
posteriores, cada vez que se genera una
clave de API con las mismas credenciales 3.
de cuenta de administrador, se devuelven
claves de API exclusivas; adems, todas
las claves son vlidas.
4.
Puede decidir revocar y, a continuacin,
cambiar una clave de API asociada a una
cuenta de administrador cambiando la
contrasea asociada a la cuenta de
administrador. Las claves de API
generadas con las credenciales anteriores
dejarn de ser vlidas.
58
Gestin de dispositivos
Gestin de dispositivos
Los siguientes temas describen las diversas formas de configurar cuentas administrativas y ofrecen
procedimientos para configurar accesos administrativos bsicos:
Funciones administrativas
Autenticacin administrativa
Funciones administrativas
El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su
organizacin, de que tenga servicios de autenticacin previos que desee integrar y del nmero de funciones
administrativas que necesite. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado.
Se pueden asignar dos tipos de funciones:
Funciones dinmicas: Funciones integradas que proporcionan acceso al cortafuegos en las categoras de
superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo
lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones
dinmicas solo tendr que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas
caractersticas cuando las funciones se actualizan automticamente.
Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer
un control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por
ejemplo, podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione
acceso a las reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los
administradores de seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e
informes. Tenga en cuenta que con los perfiles de funcin de administrador deber actualizar los perfiles
para asignar privilegios de forma explcita para nuevos componentes/caractersticas que se aadan al
producto.
Gestin de dispositivos
59
Gestin de dispositivos
Autenticacin administrativa
Hay cuatro formas de autenticar a usuarios administrativos:
Cuenta de administrador local con autenticacin local: Tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticacin son locales para el cortafuegos. Puede aadir un nivel
de proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un
perodo de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el
dispositivo.
Cuenta de administrador local con autenticacin basada en SSL: Con esta opcin, puede crear las
cuentas de administrador en el cortafuegos, pero la autenticacin se basa en certificados SSH (para acceso a
CLI) o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte el artculo How to
Configure Certificate-based Authentication for the WebUI (Cmo configurar la autenticacin basada en certificados
para la IU web) para obtener informacin sobre cmo configurar este tipo de acceso administrativo.
Cuenta de administrador local con autenticacin externa: Las cuentas de administrador se gestionan en
el cortafuegos local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo
de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga
referencia al perfil.
gestiona un servidor RADIUS externo. Para usar esta opcin, primero debe definir atributos especficos de
proveedor (VSA) en su servidor RADIUS que se asignen a la funcin de administrador y, de manera
opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte
el artculo Radius Vendor Specific Attributes (VSA) (Atributos especficos de proveedor [VSA] en Radius) para
obtener informacin sobre cmo configurar este tipo de acceso administrativo.
60
Gestin de dispositivos
Gestin de dispositivos
Paso 1
Complete los siguientes pasos para cada funcin que desee crear:
1. Seleccione Dispositivo > Funciones de administrador y, a
continuacin, haga clic en Aadir.
2.
3.
Gestin de dispositivos
61
Gestin de dispositivos
Paso 2
Paso 3
62
2.
3.
4.
5.
Gestin de dispositivos
Gestin de dispositivos
Paso 4
4.
5.
Paso 5
Gestin de dispositivos
6.
7.
1.
63
Gestin de dispositivos
Descripcin
Panel
ACC
Habilitar
Solo
lectura
Deshabilitar
No
No
64
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Supervisar
Solo
lectura
Deshabilitar
No
Polticas
No
Objetos
No
Red
No
Gestin de dispositivos
Habilitar
65
Gestin de dispositivos
Nivel de acceso
Descripcin
Dispositivo
Habilitar
Solo
lectura
Deshabilitar
No
Descripcin
Supervisar
66
Habilitar
Solo
lectura
Deshabilitar
No
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Logs
Solo
lectura
Deshabilitar
No
Trfico
No
Amenaza
No
Filtrado de URL
No
Envos de WildFire
No
Filtrado de datos
No
Coincidencias HIP
No
Configuracin
No
Sistema
No
Alarmas
No
Captura de paquetes
Gestin de dispositivos
Habilitar
67
Nivel de acceso
Descripcin
Appscope
Gestin de dispositivos
Solo
lectura
Deshabilitar
No
Explorador de sesin
No
Botnet
Informes en PDF
No
Gestionar resumen de
PDF
68
Habilitar
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Informes de resumen
en PDF
Solo
lectura
Deshabilitar
No
Grupos de informes
Gestin de dispositivos
Habilitar
69
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Gestionar informes
personalizados
No
No
No
No
No
Estadsticas de
aplicacin
Registro de amenaza
No
Resumen de trfico
No
Registro de URL
No
70
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Coincidencia HIP
No
Ver informes
personalizados
programados
No
No
Ver informes de
Especifica si el administrador puede ver informes S
amenazas predefinidos de amenazas. Los privilegios de privacidad no
afectan a los informes disponibles en el nodo
Supervisar > Informes y, por lo tanto, debera
deshabilitar el acceso a los informes si tiene
requisitos de privacidad de usuario.
No
No
No
Gestin de dispositivos
71
Gestin de dispositivos
Dado que la poltica basada en usuarios especficos (por nombre de usuario o direccin IP) debe definirse
explcitamente, los ajustes de privacidad que deshabiliten la capacidad de ver direcciones IP completas o
nombres de usuario no se aplican a la pestaa Poltica. Por lo tanto, solamente debera permitir el acceso a la
pestaa Poltica a administradores excluidos de restricciones de privacidad de usuario.
Nivel de acceso
Descripcin
Seguridad
Solo
lectura
Deshabilitar
NAT
QoS
Reenvo basado en
polticas
Descifrado
72
Habilitar
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Cancelacin de
aplicacin
Portal cautivo
Habilitar
Solo
lectura
Deshabilitar
Gestin de dispositivos
73
Nivel de acceso
Gestin de dispositivos
Habilitar
Solo
lectura
Deshabilitar
Direcciones
Grupos de direcciones
Regiones
Aplicaciones
Filtros de aplicacin
Servicios
Grupos de servicios
Etiquetas (nicamente
en Panorama)
GlobalProtect
No
Objetos HIP
74
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Habilitar
Solo
lectura
Deshabilitar
Perfiles HIP
Listas de bloqueos
dinmicos
No
Patrones de datos
Spyware
Vulnerabilidades
Categora de URL
Perfiles de seguridad
No
Antivirus
Antispyware
Gestin de dispositivos
75
Nivel de acceso
Gestin de dispositivos
Solo
lectura
Deshabilitar
Filtrado de datos
Proteccin contra
ataques por
denegacin de
servicio
Grupos de perfiles de
seguridad
Reenvo de logs
Perfil de descifrado
Programaciones
Proteccin contra
vulnerabilidades
Filtrado de URL
Habilitar
Habilitar
Solo
lectura
Deshabilitar
Interfaces
Zonas
76
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Habilitar
Solo
lectura
Deshabilitar
VLAN
Cables virtuales
Enrutadores virtuales
Tneles de IPSec
DHCP
Proxy DNS
GlobalProtect
No
Portales
Puertas de enlace
No
MDM
QoS
Perfiles de red
Gestin de dispositivos
77
Nivel de acceso
Gestin de dispositivos
Habilitar
Solo
lectura
Deshabilitar
S
Criptogrfico de IKE Controla el modo en que los dispositivos
intercambian informacin para garantizar una
comunicacin segura. Especifique los protocolos
y algoritmos para la identificacin, autenticacin y
cifrado en tneles de VPN basndose en la
negociacin de SA de IPSec (IKEv1 de fase 1).
Puertas de enlace
de IKE
Criptogrfico de
IPSec
Supervisar
78
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Gestin de interfaz
Habilitar
S
Controla el acceso al nodo Perfiles de red >
Gestin de interfaz. Si deshabilita este privilegio,
el administrador no ver el nodo Perfiles de red
> Gestin de interfaz ni podr especificar los
protocolos que se utilizan para gestionar el
cortafuegos.
Solo
lectura
Deshabilitar
Gestin de dispositivos
79
Gestin de dispositivos
Configuracin
Habilitar
Solo
lectura
Deshabilitar
No
Funciones de gestor
Administradores
No
Controla el acceso al nodo Administradores.
Esta funcin solamente puede permitirse para un
acceso de solo lectura.
Si deshabilita este privilegio, el administrador no
ver el nodo Administradores ni tendr acceso a
informacin sobre su propia cuenta de
administrador.
Si establece este privilegio como de solo lectura,
el administrador podr ver la informacin de
configuracin de su propia cuenta de
administrador. No ver informacin sobre las
cuentas de otros administradores configuradas en
el dispositivo.
80
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Sistemas virtuales
Habilitar
Solo
lectura
Deshabilitar
Puertas de enlace
compartidas
Identificacin de
usuarios
Origen de informacin
de VM
Gestin de dispositivos
81
Nivel de acceso
Gestin de dispositivos
Solo
lectura
Deshabilitar
No
Alta disponibilidad
Habilitar
82
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
OCSP responder
Habilitar
Solo
lectura
Deshabilitar
No
S
Controla el acceso al nodo OCSP responder.
Si deshabilita este privilegio, el administrador no
ver el nodo OCSP responder ni podr definir un
servidor que se utilizar para verificar el estado de
revocacin de los certificados emitidos por el
dispositivo PAN-OS.
Si establece este privilegio como de solo lectura, el
administrador podr ver la configuracin de OCSP
responder del dispositivo, pero no tendr
permiso para crear o editar una configuracin de
OCSP responder.
Pginas de respuesta
Configuracin de log
Sistema
Gestin de dispositivos
83
Nivel de acceso
Configurar
Gestin de dispositivos
Habilitar
Solo
lectura
Deshabilitar
Alarmas
84
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Gestionar logs
Habilitar
Solo
lectura
Deshabilitar
indicados.
Si establece este privilegio como de solo lectura, el
administrador podr ver la informacin de
Configuracin de log > Gestionar logs, pero no
podr borrar ninguno de los logs.
Perfiles de servidor
No
Trap SNMP
Correo electrnico
Gestin de dispositivos
85
Nivel de acceso
Flujo de red
Gestin de dispositivos
Habilitar
Solo
lectura
Deshabilitar
LDAP
Kerberos
86
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Solo
lectura
Deshabilitar
No
S
Grupos de usuarios Controla el acceso al nodo Base de datos de
usuario local > Usuarios. Si deshabilita este
privilegio, el administrador no ver el nodo Base
de datos de usuario local > Usuarios ni podr
aadir informacin de grupos de usuarios a la base
de datos local.
Base de datos de
usuario local
Usuarios
Habilitar
Gestin de dispositivos
87
Nivel de acceso
Secuencia de
autenticacin
Gestin de dispositivos
Habilitar
Solo
lectura
Deshabilitar
No
secuencia de autenticacin.
Si establece este privilegio como de solo lectura, el
administrador podr ver la informacin de Perfil
de autenticacin, pero no podr crear o editar una
secuencia de autenticacin.
Dominio de acceso
Programacin de la
exportacin de logs
Software
S
Controla el acceso al nodo Software. Si
deshabilita este privilegio, el administrador no ver
el nodo Software, no ver las versiones ms
recientes del software PAN-OS disponibles desde
Palo Alto Networks, no leer las notas de cada
versin ni seleccionar una versin para su
descarga e instalacin.
Si establece este privilegio como de solo lectura, el
administrador podr ver la informacin de
Software, pero no podr descargar ni instalar
software.
88
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Cliente de
GlobalProtect
Habilitar
Solo
lectura
Deshabilitar
S
Controla el acceso al nodo Licencias. Si
deshabilita este privilegio, el administrador no ver
el nodo Licencias ni podr ver las licencias
instaladas o las licencias activas.
Actualizaciones
dinmicas
Licencias
Gestin de dispositivos
89
Nivel de acceso
Clave maestra y
diagnstico
Gestin de dispositivos
Habilitar
S
Controla el acceso al nodo Clave maestra y
diagnstico. Si deshabilita este privilegio, el
administrador no ver el nodo Clave maestra y
diagnstico ni podr especificar una clave maestra
Solo
lectura
Deshabilitar
Nivel de acceso
Descripcin
Privacidad
Solo
lectura
Deshabilitar
N/D
S
Mostrar direcciones Cuando se establece como deshabilitado, las
IP completas
direcciones IP completas obtenidas a travs del
trfico que pasa por el cortafuegos de Palo Alto
Networks no se muestran en logs ni informes. En
lugar de las direcciones IP que suelen mostrarse,
aparecer la subred relevante.
N/D
Nota
90
Habilitar
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
S
Mostrar nombres de Cuando se establece como deshabilitado, los
usuario en logs e
nombres de usuario obtenidos a travs del trfico
informes
que pasa por el cortafuegos de Palo Alto Networks
no se muestran en logs ni informes. Las columnas
donde normalmente apareceran los nombres de
usuario estn vacas.
Nota
Ver archivos de
captura de
paquetes
Solo
lectura
Deshabilitar
N/D
N/D
Descripcin
Habilitar
Commit
Solo
lectura
Deshabilitar
N/D
Solo
lectura
Deshabilitar
N/D
Descripcin
Global
Gestin de dispositivos
Habilitar
91
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
N/D
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Panel
No
ACC
No
No
92
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Polticas
Solo
lectura
Deshabilitar
No
Objetos
No
Red
No
Gestin de dispositivos
Habilitar
93
Gestin de dispositivos
Nivel de acceso
Descripcin
Dispositivo
94
Habilitar
Solo
lectura
Deshabilitar
No
Gestin de dispositivos
Gestin de certificados
Los siguientes temas describen los distintos certificados y claves que utilizan los dispositivos de Palo Alto
Networks, as como el modo de obtenerlos y gestionarlos:
Obtencin de certificados
Gestin de certificados
95
Gestin de certificados
Autenticacin de usuarios para portal cautivo, GlobalProtect, gestor de seguridad mvil y acceso a la interfaz
web del cortafuegos/Panorama.
Autenticacin de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).
Autenticacin de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet (IKE).
Descifrado de trfico SSL entrante y saliente. Un cortafuegos descifra el trfico para aplicar polticas de
seguridad y reglas y, a continuacin, vuelve a cifrarlo antes de reenviar el trfico al destino definitivo. Para el
trfico saliente, el cortafuegos acta como servidor proxy de reenvo, estableciendo una conexin SSL/TLS
con el servidor de destino. Para proteger una conexin entre s mismo y el cliente, el cortafuegos utiliza un
certificado de firma para generar automticamente una copia del certificado del servidor de destino.
La tabla siguiente describe las claves y los certificados que utilizan los dispositivos de Palo Alto Networks. Una
prctica recomendada es utilizar diferentes claves y certificados para cada uso.
Tabla: Claves/certificados de dispositivo de Palo Alto Networks
Uso de clave/certificado
Descripcin
Acceso administrativo
Portal cautivo
En las implementaciones en las que el portal cautivo identifique a los usuarios que accedan
a recursos HTTPS, designe un certificado de servidor para la interfaz de portal cautivo. Si
configura el portal cautivo para que utilice certificados (en lugar o adems de credenciales
de nombre de usuario/contrasea) para la identificacin de usuarios, designe tambin un
certificado de usuario. Si desea obtener ms informacin sobre el portal cautivo, consulte
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo.
Reenvo fiable
Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo confa
en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el certificado
de CA fiable de reenvo para generar una copia del certificado del servidor de destino y
enviarla al cliente. El cortafuegos utiliza la misma clave de descifrado para todos los
certificados fiables de reenvo. Para mayor seguridad, almacene la clave en un mdulo de
seguridad de hardware (si desea informacin detallada, consulte Claves seguras con un
mdulo de seguridad de hardware).
96
Gestin de certificados
Gestin de certificados
Uso de clave/certificado
Descripcin
Reenvo no fiable
Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo no
confa en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el
certificado de CA no fiable de reenvo para generar una copia del certificado del servidor de
destino y enviarla al cliente.
Certificado SSL de exclusin Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por ejemplo, si
habilita el descifrado SSL pero su red incluye servidores para los que el cortafuegos no
debera descifrar el trfico (por ejemplo, servicios web para sus sistemas de RR. HH.),
importe los correspondientes certificados en el cortafuegos y configrelos como
certificados SSL de exclusin. Consulte Configuracin de excepciones de descifrado.
GlobalProtect
En una implementacin de VPN de sitio a sitio de IPSec, los dispositivos de peer utilizan
puertas de enlace de intercambio de claves de Internet (IKE) para establecer un canal
seguro. Las puertas de enlace de IKE utilizan certificados o claves precompartidas para
autenticar los peers entre s. Los certificados o las claves se configuran y asignan al definir
una puerta de enlace de IKE en un cortafuegos. Consulte VPN de sitio a sitio.
Clave maestra
El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas y contraseas.
Si su red requiere una ubicacin segura para almacenar claves privadas, puede utilizar una
clave de cifrado (ajuste) almacenada en un mdulo de seguridad de hardware (HSM) para
cifrar la clave maestra. Para obtener ms informacin, consulte Cifrado de una clave maestra
utilizando un HSM.
Syslog seguro
CA raz de confianza
Gestin de certificados
97
Gestin de certificados
98
Gestin de certificados
Gestin de certificados
Para cubrir situaciones en las que el respondedor OCSP no est disponible, configure la CRL como mtodo de
retroceso. Para obtener ms informacin, consulte Configuracin de la verificacin del estado de revocacin de
certificados utilizados para la autenticacin de usuarios/dispositivos.
Gestin de certificados
99
Gestin de certificados
Obtenga certificados de una CA de empresa: Las empresas que tengan su propia CA interna podrn
utilizarla para emitir certificados para aplicaciones de cortafuegos e importarlos en el cortafuegos. La ventaja
es que los clientes finales probablemente ya confen en la CA de empresa. Puede generar los certificados
necesarios e importarlos en el cortafuegos o generar una solicitud de firma de certificado (CSR) en el
cortafuegos y enviarla a la CA de empresa para que la firme. La ventaja de este mtodo es que la clave privada
no abandona el cortafuegos. Un CA de empresa tambin puede emitir un certificado de firma, que el
cortafuegos utiliza para generar certificados automticamente (por ejemplo, para VPN a gran escala de
GlobalProtect o sitios que requieran un descifrado SSL/TLS).
100
Gestin de certificados
Gestin de certificados
Gestin de certificados
101
Gestin de certificados
Paso 1
1.
2.
3.
4.
5.
Paso 2
1.
Paso 3
102
4.
5.
6.
Gestin de certificados
Gestin de certificados
Paso 1
Configuracin de un perfil de certificado Asigne uno o ms certificados CA raz al perfil y seleccione el modo
para cada aplicacin.
en que el cortafuegos verifica el estado de revocacin de certificados.
El nombre comn (FQDN o direccin IP) de un certificado debe
coincidir con una interfaz en la que aplique el perfil del Paso 2.
Si desea informacin detallada sobre los certificados que utilizan las
distintas aplicaciones, consulte Cmo utilizan los dispositivos las
claves y los certificados?
Paso 2
Paso 1
Gestin de certificados
103
Gestin de certificados
Paso 2
Defina los intervalos de tiempo de espera Realice uno de los dos pasos siguientes o ambos, dependiendo de si
especficos de servicio para las solicitudes el cortafuegos utilizar el mtodo de protocolo de estado de
de estado de revocacin.
certificado en lnea (OCSP) o lista de revocacin de certificados
(CRL) para verificar el estado de revocacin de certificados. Si el
cortafuegos utiliza ambos, primero intentar utilizar OCSP; si el
respondedor OCSP no est disponible, entonces el cortafuegos
intenta utilizar el mtodo CRL.
1. En la seccin CRL, seleccione la casilla de verificacin
Habilitar e introduzca el Tiempo de espera de recepcin. Este
es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de
esperar una respuesta del servicio CRL.
2.
104
Gestin de certificados
Gestin de certificados
Paso 4
Paso 5
Gestin de certificados
105
Gestin de certificados
1.
En un cortafuegos, seleccione Dispositivo > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic
en el icono Editar
.
En Panorama, seleccione Panorama > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic en el
icono Editar
.
2.
3.
Defina una Nueva clave principal y, a continuacin, seleccione la accin Confirmar clave maestra. La clave debe
contener exactamente 16 caracteres.
4.
(Opcional) Para especificar la Duracin de la clave maestra, introduzca el nmero de Das y/u Horas tras los cuales
vencer la clave. Si establece una duracin, cree una nueva clave maestra antes de que venza la clave anterior.
5.
(Opcional) Si establece la duracin de una clave, introduzca un Tiempo para el recordatorio que especifique el
nmero de Das y Horas que precedan al vencimiento de la clave maestra cuando el cortafuegos le enviar un
recordatorio por correo electrnico.
6.
(Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Para obtener ms informacin, consulte
Cifrado de una clave maestra utilizando un HSM.
7.
106
Gestin de certificados
Gestin de certificados
Obtencin de certificados
Obtencin de certificados
1.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.
3.
4.
Introduzca un Nombre de certificado, como GlobalProtect_CA. El nombre distingue entre maysculas y minsculas
y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
5.
6.
Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solamente aparece si el dispositivo admite varios sistemas virtuales.
7.
Deje el campo Firmado por en blanco para designar el certificado como autofirmado.
8.
9.
No seleccione un OCSP responder. La verificacin del estado de revocacin de certificados no se aplica a certificados
de CA raz.
Gestin de certificados
107
Obtencin de certificados
Gestin de certificados
1.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.
3.
4.
Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
5.
6.
Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solamente aparece si el dispositivo admite varios sistemas virtuales.
7.
8.
9.
(Opcional) Defina la Configuracin criptogrfica segn sea necesario para crear un certificado que funcione con
los dispositivos que deben autenticarse con l. El tamao de clave predeterminado y recomendado (Nmero de bits)
es 2048 bits. El algoritmo de cifrado predeterminado y recomendado (Resumen) es SHA256.
10. (Opcional) Deber Aadir los Atributos del certificado para identificar de manera exclusiva el cortafuegos y el
servicio que vaya a utilizar el certificado.
Nota
Si aade un atributo Nombre de host (nombre DNS), la prctica recomendada es que coincida con el Nombre
comn. El nombre de host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.
11. Haga clic en Generar y, en la pestaa Certificados de dispositivos, haga clic en el Nombre del certificado.
108
Gestin de certificados
Gestin de certificados
Obtencin de certificados
12. Seleccione las casillas de verificacin que se correspondan con el uso que se pretende dar al certificado en el
cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para autenticar el acceso de usuario a su
interfaz web, seleccione la casilla de verificacin Certificado de GUI web segura.
13. Haga clic en ACEPTAR y Confirmar.
1.
Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizar para la autenticacin.
Al exportar una clave privada, debe introducir una frase de contrasea para cifrar la clave para su transporte.
Asegrese de que el sistema de gestin puede acceder a los archivos de l certificado y clave. Al importar la clave en
el cortafuegos, debe introducir la misma frase de contrasea para descifrarla.
2.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
3.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.
4.
5.
Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
6.
Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solamente aparece si el dispositivo admite varios sistemas virtuales.
7.
Introduzca la ruta y el nombre del Archivo de certificado que recibi de la CA o seleccione Examinar para buscar
el archivo.
Gestin de certificados
109
Obtencin de certificados
Gestin de certificados
8.
9.
Introduzca y vuelva a introducir (confirme) la Frase de contrasea utilizada para cifrar la clave privada.
10. Haga clic en ACEPTAR. La pestaa Certificados de dispositivos muestra el certificado importado.
110
Gestin de certificados
Gestin de certificados
Obtencin de certificados
Paso 1
2.
3.
4.
5.
6.
7.
8.
9.
Nota
Gestin de certificados
1.
2.
111
Obtencin de certificados
Gestin de certificados
Paso 3
Paso 4
112
Importe el certificado.
Configure el certificado.
1.
2.
3.
4.
1.
2.
3.
Gestin de certificados
Gestin de certificados
Paso 1
Obtenga los certificados de la entidad de Realice uno de los pasos siguientes para obtener los certificados de
certificacin (CA) que asignar.
CA que asignar al perfil. Debe asignar al menos uno.
Creacin de un certificado de CA raz autofirmado.
Exporte un certificado de la CA de su empresa y, a continuacin,
imprtelo en el cortafuegos (consulte Paso 3).
Paso 2
1.
Gestin de certificados
2.
3.
113
Gestin de certificados
Paso 3
3.
4.
114
Gestin de certificados
Gestin de certificados
Paso 4
1.
2.
3.
4.
5.
con la sesin.
Paso 5
Gestin de certificados
115
Gestin de certificados
Revocacin de un certificado
Renovacin de un certificado
Revocacin de un certificado
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociacin entre el sujeto y la entidad de certificacin (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelacin (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificacin (CA) que emiti el certificado deber revocarlo. La siguiente tarea
describe cmo revocar un certificado para el que el cortafuegos sea la CA.
Revocacin de un certificado
1.
Seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.
3.
4.
Haga clic en Revocar. PAN-OS inmediatamente establece el estado del certificado como revocado y aade el nmero
de serie a la cach del respondedor del protocolo de estado de certificado en lnea (OCSP) o la lista de revocacin
de certificados (CRL). No necesita realizar una confirmacin.
Renovacin de un certificado
Si un certificado vence, o lo har pronto, puede restablecer el perodo de validez. Si una entidad de certificacin
(CA) externa firm el certificado y el cortafuegos utiliza el protocolo de estado de certificado en lnea (OCSP)
para verificar el estado de revocacin de certificados, el cortafuegos utilizar informacin del respondedor
OCSP para actualizar el estado del certificado (consulte Configuracin de un respondedor OCSP). Si el
cortafuegos es la CA que emiti el certificado, el cortafuegos lo sustituir por un nuevo certificado que tenga
un nmero de serie diferente pero los mismos atributos que el certificado anterior.
Renovacin de un certificado
1.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.
3.
4.
5.
116
Gestin de certificados
Gestin de certificados
Los siguientes temas describen cmo configurar la conectividad entre el cortafuegos/Panorama y uno de los
HSM admitidos:
Gestin de certificados
117
Gestin de certificados
Paso 1
Nota
<cl-name>
1.
2.
3.
4.
5.
6.
118
Gestin de certificados
Gestin de certificados
Paso 3
3.
4.
5.
6.
Nota
7.
Paso 4
1.
2.
3.
4.
5.
Paso 5
Paso 6
6.
1.
2.
3.
4.
5.
Siga del Paso 2 al Paso 5 para aadir un HSM adicional para alta
disponibilidad (HA).
Este proceso aade un nuevo HSM al grupo de HA existente.
Si elimina un HSM de su configuracin, repita el Paso 5.
Esto quitar el HSM eliminado del grupo de HA.
Gestin de certificados
119
Gestin de certificados
Paso 7
1.
2.
3.
se ha autenticado correctamente.
Particin: Nombre de la particin del HSM que se asign al
cortafuegos.
Estado de mdulo: Estado de funcionamiento actual del HSM. Siempre
tiene el valor Autenticado si el HSM se muestra en esta tabla.
Paso 1
Configure el servidor
Thales Nshield Connect
como el proveedor de
HSM del cortafuegos.
1.
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuracin >
HSM y edite la seccin Proveedor de mdulo de seguridad de hardware.
2.
3.
4.
120
5.
6.
Gestin de certificados
Gestin de certificados
Paso 2
Interfaz de origen.
interfaz de gestin para
comunicarse con el HSM. Nota Si selecciona un puerto conectado al plano de datos para el HSM, al emitir
Para utilizar una interfaz
el comando de la CLI clear session all se borrarn todas las sesiones
diferente, debe configurar
del HSM existentes, lo que har que todos los estados del HSM se
una ruta de servicio.
desconecten y luego se conecten. Durante los segundos que necesita el
HSM para recuperarse, fallarn todas las operaciones de SSL/TLS.
Paso 3
Registre el cortafuegos
(el cliente HSM) con el
servidor HSM.
7.
1.
Inicie sesin en la pantalla del panel frontal de la unidad HSM Thales Nshield
Connect.
2.
Client configuration
Please enter your
client IP address
0.0.0.0
Cancel
Next
Gestin de certificados
121
Gestin de certificados
Paso 4
Configure el sistema de
archivos remoto para
aceptar conexiones del
cortafuegos.
1.
2.
<hash-Kneti-key>
4.
Configure el cortafuegos
para autenticarlo para el
HSM.
1.
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuracin >
HSM.
2.
3.
4.
Paso 6
122
Sincronice el cortafuegos 1.
con el sistema de archivos 2.
remoto.
Gestin de certificados
Gestin de certificados
Paso 7
Verifique que el
cortafuegos puede
conectarse al HSM.
1.
2.
3.
Los temas siguientes describen cmo descifrar la clave maestra inicialmente y cmo actualizar el cifrado de la
clave maestra.
Gestin de certificados
123
Gestin de certificados
1.
Paso 8
Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseas del cortafuegos
en el campo Clave maestra.
Paso 9
1.
Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un HSM:
> request hsm mkey-wrapping-key-rotation
Si la clave maestra est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM y
cifrar la clave maestra con la nueva clave de ajuste.
Si la clave maestra no est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM
para su uso en el futuro.
Este comando no elimina la clave de ajuste anterior.
Proxy SSL de reenvo: La clave privada del certificado de CA que se utiliza para firmar certificados en
operaciones de proxy SSL/TLS de reenvo se puede almacenar en el HSM. A continuacin, el cortafuegos
enviar los certificados que genere durante las operaciones de proxy SSL/TLS de reenvo al HSM para su
envo antes de reenviarlos al cliente.
Inspeccin de entrada SSL: Las claves privadas de los servidores internos para los que est haciendo una
inspeccin de entrada SSL/TLS se pueden almacenar en el HSM.
Para obtener instrucciones sobre cmo importar claves privadas en el HSM, consulte la documentacin de su
proveedor de HSM. Despus de que las claves necesarias se encuentren en el HSM, podr configurar el
cortafuegos para ubicar las claves de la manera siguiente:
124
Gestin de certificados
Gestin de certificados
Paso 1
Paso 2
1.
(nicamente Thales Nshield
Connect) Sincronice los datos de
claves del sistema de archivos
2.
remoto del HSM con el
cortafuegos.
Paso 3
Paso 4
1.
Importe los certificados que se
correspondan con las claves
privadas que est almacenando en 2.
el HSM en el cortafuegos.
3.
4.
5.
6.
7.
Paso 5
Gestin de certificados
125
Gestin de certificados
Muestre la informacin detallada Seleccione Mostrar informacin detallada en la seccin Operaciones de seguridad
del HSM.
de hardware.
Aparecer informacin relativa a los servidores HSM, el estado de HA del HSM y
el hardware del HSM.
Exporte un archivo de asistencia. Seleccione Exportar archivo de asistencia en la seccin Operaciones de seguridad
de hardware.
Se crear un archivo de prueba para ayudar en la asistencia a los clientes cuando se
trate de solucionar un problema con una configuracin del HSM en el cortafuegos.
Restablezca la configuracin del Seleccione Restablecer configuracin de HSM en la seccin Operaciones de
HSM.
seguridad de hardware.
Seleccionar esta opcin elimina todas las conexiones del HSM. Todos los
procedimientos de autenticacin debern repetirse despus de utilizar esta opcin.
126
Gestin de certificados
Alta disponibilidad
La alta disponibilidad (HA) es una configuracin en la que dos cortafuegos se colocan en un grupo y su
configuracin se sincroniza para prevenir el fallo de un nico punto en su red. Una conexin de latido entre los
peers del cortafuegos garantiza una conmutacin por error sin problemas en el caso de que falle un peer. La
configuracin de los cortafuegos en un clster de dos dispositivos proporciona redundancia y le permite
garantizar la continuidad empresarial.
Los cortafuegos de Palo Alto Networks admiten una alta disponibilidad activa/activa o activa/pasiva de estado
con sincronizacin de sesin y configuracin. Algunos modelos del cortafuegos, como los cortafuegos
VM-Series y PA-200, nicamente admiten HA lite sin capacidad de sincronizacin de sesin. Los siguientes
temas proporcionan ms informacin sobre la alta disponibilidad y sobre cmo configurarla en su entorno.
Configuracin de la HA activa/pasiva
Alta disponibilidad
127
Alta disponibilidad
Modos de HA
Puede configurar los cortafuegos para la HA en dos modos:
Activo/pasivo: Un dispositivo gestiona activamente el trfico mientras que el otro est sincronizado y listo
para pasar al estado activo en el caso de que se produjera un fallo. En esta configuracin, ambos dispositivos
comparten los mismos ajustes de configuracin y uno gestiona activamente el trfico hasta que se produce
un fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control
sin problemas y aplica las mismas polticas para mantener la seguridad de red. La HA activa/pasiva es
compatible con las implementaciones de Virtual Wire, capa 2 y capa 3. Si desea informacin sobre cmo
ajustar sus dispositivos en una configuracin activa/pasiva, consulte Configuracin de la HA activa/pasiva.
Los cortafuegos PA-200 y VM-Series admiten una versin lite de la HA activa/pasiva. HA Lite
permite la sincronizacin de la configuracin y la sincronizacin de algunos datos de tiempo de
ejecucin, como asociaciones de seguridad de IPSec. No admite ninguna sincronizacin de
sesiones y, por lo tanto, HA Lite no ofrece una conmutacin por error con estado.
128
Activo/activo: Ambos dispositivos del par estn activos y procesan el trfico. Asimismo, trabajan
sincronizadamente para gestionar la configuracin y la pertenencia de la sesin. La implementacin
activa/activa es compatible con las implementaciones de Virtual Wire y capa 3 y nicamente se recomienda
para redes con enrutamiento asimtrico. Si desea informacin sobre el establecimiento de una configuracin
activa/activa para los dispositivos, consulte Active/Active High Availability Tech Note (Nota tcnica sobre
alta disponibilidad activa/activa).
Alta disponibilidad
Alta disponibilidad
Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e informacin de
estado de HA, as como la sincronizacin del plano de gestin para el enrutamiento e informacin de
User-ID. Este enlace tambin se utiliza para sincronizar cambios de configuracin en el dispositivo activo o
pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una direccin IP.
Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicacin con texto claro; puerto
28 para una comunicacin cifrada (SSH sobre TCP).
Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de
seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2
siempre es unidireccional (excepto en la conexin persistente de HA2); fluye desde el dispositivo activo al
dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera
predeterminada.
Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (nmero de
protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA
abarque las subredes.
Asimismo, se utiliza un enlace de HA3 en implementaciones de HA activa/activa. Cuando hay una ruta
asimtrica, se utiliza el enlace de HA3 para reenviar paquetes al peer de HA al que pertenece la sesin. El
enlace de HA3 es un enlace de capa 2 y no permite el cifrado ni las direcciones de capa 3.
Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan
puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes
directrices al configurar enlaces de HA de copia de seguridad:
Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre s.
Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente que la de los
enlaces de HA principales.
Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos fsicos separados. El
enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260.
Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (que utiliza el puerto
28771 en la interfaz de gestin) si utiliza un puerto interno para los enlaces de copia de seguridad
de HA1 o HA2.
Alta disponibilidad
129
Alta disponibilidad
Descripcin
Enlace de
control
HA1-A
Velocidad: Ethernet
10/100/1000
HA1-B
Velocidad: Puerto Ethernet
10/100/1000
Enlace de
datos
Las interfaces Quad Port SFP (QSFP) se usan para conectar dos
cortafuegos PA-7050 con una configuracin de HA. Cada puerto
(High Speed Chassis
consta de cuatro enlaces internos de 10 gigabits para alcanzar una
Interconnect, interconexin
velocidad
combinada de 40 gigabits y se usa para enlaces de datos
de bastidores de alta velocidad)
HA2 en la configuracin activa/pasiva. En el modo activo/activo, el
puerto tambin se usa para reenvo de paquetes HA3 en sesiones de
enrutamiento asimtrica que requieren inspeccin de capa 7 para
App-ID y Content-ID.
HSCI-A
130
Alta disponibilidad
Alta disponibilidad
Copia de
seguridad de
enlace de
datos
HSCI-B
Descripcin
Mensajes de saludo y sondeos de heartbeat: Los cortafuegos utilizan mensajes de saludo y heartbeats
para verificar que el dispositivo peer responde y est operativo. Los mensajes de saludo se envan desde un
peer al otro en el intervalo de saludo configurado para verificar el estado del dispositivo. El heartbeat es un ping
ICMP para el peer de HA a travs del enlace de control y el peer responde al ping para establecer que los
dispositivos estn conectados y responden. De manera predeterminada, el intervalo para el heartbeat es de
1.000 milisegundos. Si desea informacin detallada sobre los temporizadores de HA que activan una
conmutacin por error, consulte Temporizadores de HA.
Alta disponibilidad
131
Alta disponibilidad
Supervisin de enlaces: Las interfaces fsicas que deben supervisarse se agrupan en un grupo de enlaces y
se supervisa su estado (enlace activado o desactivado). Un grupo de enlaces puede contener una o ms
interfaces fsicas. Se activa un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo. El
comportamiento predeterminado es que el fallo de cualquier enlace del grupo de enlaces har que el
dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto supervisado.
Supervisin de rutas: Supervisa toda la ruta a travs de la red hasta direcciones IP de vital importancia. Los
pings ICMP se utilizan para verificar que se puede llegar a la direccin IP. El intervalo predeterminado para
pings es de 200 ms. Se considera que no se puede llegar a una direccin IP cuando fallan 10 pings
consecutivos (el valor predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna
o todas las direcciones IP supervisadas. El comportamiento predeterminado es que cualquiera de las
direcciones IP a las que no se pueda llegar har que el dispositivo cambie el estado de HA a no funcional
para indicar el fallo de un objeto supervisado.
Adems de los activadores de conmutacin por error enumerados anteriormente, tambin se produce una
conmutacin por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce
una preferencia.
En los cortafuegos de las series PA-3000, PA-5000 y PA-7050, se puede producir una conmutacin por error si
falla una comprobacin de estado interna. Esta comprobacin de estado no es configurable y se habilita para
verificar el estado operativo de todos los componentes del cortafuegos.
Temporizadores de HA
Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de cortafuegos y activar una
conmutacin por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno
de los tres perfiles que se han aadido: Recomendada, Agresivo y Avanzado. Estos perfiles cumplimentan
automticamente los valores ptimos del temporizador de HA para la plataforma de cortafuegos especfica con
el fin de habilitar una implementacin de HA ms rpida.
Utilice el perfil Recomendada para ajustes comunes del temporizador de conmutacin por error y el perfil
para ajustes ms rpidos del temporizador de conmutacin por error. El perfil Avanzado le permite
personalizar los valores del temporizador para que se adapten a sus requisitos de red.
Agresivo
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales de
los diferentes modelos de hardware; estos valores se indican nicamente como referencia y pueden cambiar en
versiones posteriores.
132
Alta disponibilidad
Alta disponibilidad
Temporizadores
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
Tiempo de espera
Intervalo durante el cual el
ascendente tras fallo cortafuegos permanecer
de supervisor
activo tras un fallo de
supervisor de ruta o supervisor
de enlace. Se recomienda este
ajuste para evitar una
conmutacin por error de HA
debido a los flaps ocasionales
de los dispositivos vecinos.
0/0
0/0
0/0
Tiempo de espera
para ser preferente
1/1
1/1
1/1
Intervalo de
heartbeat
2000/1000
2000/1000
2000/500
2000/500
2000/500
Tiempo de espera de Tiempo que el dispositivo
promocin
pasivo (en el modo
activo/pasivo) o el dispositivo
secundario activo (en el modo
activo/activo) esperar antes
de tomar el control como
dispositivo activo o principal
activo despus de perder las
comunicaciones con el peer de
HA. Este tiempo de espera
nicamente comenzar
despus de haber realizado una
declaracin de fallo de peer.
Alta disponibilidad
133
Temporizadores
Descripcin
Alta disponibilidad
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
500/500
Tiempo de espera
Este intervalo de tiempo se
ascendente principal aplica al mismo evento que
adicional
Tiempo de espera ascendente
tras fallo de supervisor (rango:
0-60.000 ms; valor
predeterminado: 500 ms). El
intervalo de tiempo adicional
nicamente se aplica al
dispositivo activo en el modo
activo/pasivo y al dispositivo
principal activo en el modo
activo/activo. Se recomienda
este temporizador para evitar
una conmutacin por error
cuando ambos dispositivos
experimentan el mismo fallo
de supervisor de enlace/ruta
simultneamente.
Intervalo de saludo
Intervalo de tiempo en
milisegundos entre los
paquetes de saludo enviados
para verificar que la
funcionalidad de HA del otro
cortafuegos est operativo. El
rango es de 8000-60000 ms
con un valor predeterminado
de 8000 ms para todas las
plataformas.
8000/8000
3/3
N. mximo de flaps Se cuenta un flap cuando el
cortafuegos deja el estado
activo antes de que transcurran
15 minutos desde la ltima vez
que dej el estado activo. Este
valor indica el nmero mximo
de flaps permitidos antes de
que se determine suspender el
cortafuegos y que el
cortafuegos pasivo tome el
control (rango: 0-16; valor
predeterminado: 3).
134
500/500
7000/5000
8000/8000
8000/8000
3/3
No aplicable
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Configuracin de la HA activa/pasiva
Configuracin de la HA activa/pasiva
El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de mquina
virtual.
La misma versin de PAN-OS: Ambos dispositivos deben ejecutar la misma versin de PAN-OS y estar
actualizados en las bases de datos de la aplicacin, URL y amenazas. Ambos deben tener la misma funcin
de varios sistemas virtuales (vsys mltiple o nico).
El mismo tipo de interfaces: Enlaces de HA especficos o una combinacin del puerto de gestin y los
puertos internos que se establecen para la HA de tipo de interfaz.
Si utiliza la capa 3 como mtodo de transporte para la conexin de HA2 (datos), determine la direccin
IP para el enlace de HA2. Utilice la capa 3 nicamente si la conexin de HA2 debe comunicarse a travs
de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de
HA1 ni con ninguna otra subred asignada a los puertos de datos del cortafuegos.
El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden
compartir entre los dispositivos. Por lo tanto, debe obtener licencias idnticas para ambos dispositivos. Si los
dos dispositivos no tienen un conjunto idntico de licencias, no podrn sincronizar informacin de
configuracin y mantener la paridad para una conmutacin por error sin problemas.
Si tiene un cortafuegos existente, desea aadir un nuevo cortafuegos para HA y el nuevo
cortafuegos tiene una configuracin existente, se recomienda que realice un restablecimiento de
fbrica en el nuevo cortafuegos. Esto garantizar que el nuevo cortafuegos tenga una
configuracin limpia. Despus de configurar la HA, deber sincronizar la configuracin del
dispositivo principal con el dispositivo recin introducido con la configuracin limpia.
Alta disponibilidad
135
Configuracin de la HA activa/pasiva
Alta disponibilidad
La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:
136
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Ajustes de
configuracin
independientes
PeerA
PeerB
Enlace de control
La informacin de
Si utiliza una conexin de capa 3, configure la
enlace de datos se
direccin IP para el enlace de datos de este
sincroniza entre los
dispositivos despus de dispositivo (PeerA).
habilitar la HA y
establecer el enlace de
control entre los
dispositivos.
Prioridad de
dispositivo
(obligatorio si se
habilita la preferencia)
Supervisin de enlaces:
Supervise una o ms
interfaces fsicas que
gestionen el trfico
vital de este dispositivo
y defina la condicin de
fallo.
Supervisin de rutas:
Supervise una o ms
direcciones IP de
destino en las que el
cortafuegos pueda
utilizar pings ICMP
para verificar la
capacidad de respuesta.
Alta disponibilidad
137
Configuracin de la HA activa/pasiva
Alta disponibilidad
Configuracin de la HA activa/pasiva
El siguiente procedimiento muestra cmo configurar un par de cortafuegos en una implementacin
activa/pasiva como se muestra en la topologa de ejemplo siguiente.
Paso 1
Paso 2
Paso 3
138
1.
2.
3.
4.
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Paso 4
1.
2.
1.
Paso 5
Paso 6
Alta disponibilidad
3.
1.
2.
139
Configuracin de la HA activa/pasiva
Alta disponibilidad
Paso 7
4.
5.
6.
Nota
Paso 8
7.
1.
Habilite la copia de seguridad de
heartbeat si su enlace de control utiliza un
puerto de HA especfico o un puerto
2.
interno.
140
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Paso 9
1.
2.
Nota
3.
Seleccione Preferente.
Debe habilitar la preferencia tanto en el dispositivo activo como
en el pasivo.
De manera predeterminada, el perfil del 2. Seleccione el perfil Agresivo para activar la conmutacin por
error ms rpido; seleccione Avanzado para definir valores
temporizador de HA se establece como el
personalizados para activar la conmutacin por error en su
perfil Recomendada y es adecuado para
configuracin.
la mayora de implementaciones de HA.
Nota Para ver el valor preestablecido para un temporizador
concreto incluido en un perfil, seleccione Avanzado y haga
clic en Carga recomendada o Carga intensiva. Los valores
preestablecidos para su modelo de hardware aparecern en
la pantalla.
Paso 11 (Opcional, nicamente configurado en el
dispositivo pasivo) Modifique el estado de
enlace de los puertos de HA en el
dispositivo pasivo.
Nota
2.
Nota
Alta disponibilidad
141
Configuracin de la HA activa/pasiva
Alta disponibilidad
1.
2.
3.
4.
5.
6.
7.
Paso 13 Guarde los cambios de configuracin.
142
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Paso 1
Paso 2
1.
Para configurar la supervisin de rutas,
defina las direcciones IP de destino en las
que el cortafuegos debera hacer ping para
verificar la conectividad de red.
2.
Paso 4
Alta disponibilidad
143
Configuracin de la HA activa/pasiva
Alta disponibilidad
Si est utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de motor de SNMPv3 es
exclusivo para cada dispositivo; EngineID no se sincroniza entre el par de HA y, por lo tanto, le permite supervisar
independientemente cada dispositivo del par de HA. Si desea informacin sobre cmo configurar SNMP,
consulte Configuracin de los destinos de Trap SNMP.
Como EngineID se genera utilizando el nmero de serie exclusivo del dispositivo, en el cortafuegos VM-Series
deber aplicar una licencia vlida para obtener un EngineID exclusivo para cada cortafuegos.
Paso 1
Paso 2
144
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Paso 3
Alta disponibilidad
1.
2.
145
Configuracin de la HA activa/pasiva
Alta disponibilidad
146
Alta disponibilidad
Informes y logs
El cortafuegos proporciona informes y logs que resultan de utilidad para supervisar la actividad de su red. Puede
supervisar los logs y filtrar la informacin para generar informes con vistas predefinidas o personalizadas. Por
ejemplo, puede utilizar plantillas predefinidas para generar informes sobre la actividad de un usuario o analizar
los informes y logs para interpretar un comportamiento inusual en su red y generar un informe personalizado
sobre el patrn de trfico. Los siguientes temas describen cmo ver, gestionar, personalizar y generar los
informes y logs en el cortafuegos:
Uso de Appscope
Gestin de informes
Informes y logs
147
Informes y logs
Descripciones
Aplicaciones principales
Muestra las aplicaciones con la mayora de sesiones. El tamao del bloque indica el nmero
relativo de sesiones (pase el ratn sobre el bloque para ver el nmero) y el color indica el
riesgo de seguridad, desde verde (ms bajo) a rojo (ms alto). Haga clic en una aplicacin
para ver su perfil de aplicacin.
Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de mayor riesgo
con la mayora de las sesiones.
Informacin general
Estado de la interfaz
Indica si cada interfaz est activa (verde), no est operativa (rojo) o en un estado desconocido
(gris).
Logs de amenaza
Logs de configuracin
Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la fecha y hora de
las 10 ltimas entradas en el log Configuracin.
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de datos.
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de URL.
Logs de sistema
Muestra el uso de CPU de gestin, el uso de plano de datos y el Nmero de sesiones que
muestra el nmero de sesiones establecidas a travs del cortafuegos.
Administradores registrados
Muestra la direccin IP de origen, el tipo de sesin (Web o CLI) y la hora de inicio de sesin
para cada administrador actualmente registrado.
Muestra el factor de riesgo medio (1 a 5) para el trfico de red procesado la semana pasada.
Los valores mayores indican un mayor riesgo.
Alta disponibilidad
Si la alta disponibilidad (HA) est activada, indica el estado de la Alta disponibilidad (HA)
del dispositivo local y del peer: Verde (activa), amarillo (pasiva) o negro (otro). Si desea ms
informacin sobre HA, consulte Alta disponibilidad.
Bloqueos
148
Informes y logs
Informes y logs
Aplicacin
Filtrado de URL
Prevencin de amenazas
Filtrado de datos
Coincidencias HIP
La pestaa ACC describe visualmente las tendencias e incluye una vista del historial de trfico de la red.
La pestaa ACC muestra el nivel de riesgo general para todo el trfico de red, los niveles de riesgo y el nmero
de amenazas detectadas para las aplicaciones ms activas y con mayor riesgo en su red, as como el nmero de
amenazas detectadas desde las categoras de aplicacin ms activas y desde todas las aplicaciones con cualquier
nivel de riesgo. Utilice el ACC para visualizar datos de aplicacin de la hora, el da, la semana o el mes anterior
o cualquier perodo de tiempo definido de forma personalizada.
Los niveles de Riesgo (1=ms bajo a 5=ms alto) indican el riesgo de seguridad relativo de la aplicacin
dependiendo de criterios como si la aplicacin puede compartir archivos, es proclive al uso indebido o intenta
esquivar los cortafuegos.
Informes y logs
149
Informes y logs
Descripciones
Aplicacin
Filtrado de URL
Prevencin de amenazas
Filtrado de datos
Muestra informacin sobre los datos filtrados por el cortafuegos agrupada por
los siguientes atributos:
Tipos de contenido/archivo
Tipos
Nombres de archivos
Coincidencias HIP
150
Informes y logs
Informes y logs
Para ver informacin detallada adicional, haga clic en cualquiera de los enlaces de los grficos de ACC. Se abrir
una pgina de detalles para mostrar informacin acerca del elemento en la lista principal y las listas adicionales
de los elementos relacionados. Por ejemplo, si hace clic en el enlace de exploracin web en el grfico Aplicacin,
se abrir la pgina Informacin de aplicacin para la exploracin web:
El siguiente procedimiento describe cmo utilizar la pestaa ACC y cmo personalizar su vista:
Uso del ACC
Paso 1
Informes y logs
151
Informes y logs
Paso 2
Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces de logs en la esquina inferior
derecha de la pgina, como se muestra a continuacin. El contexto de los logs coincide con la informacin que
aparece en la pgina.
Paso 3
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese elemento a la barra de
filtrado ubicada sobre los nombres de columna de log. Despus de agregar los filtros deseados, haga clic en el
icono Aplicar filtro.
152
Informes y logs
Informes y logs
Uso de Appscope
Uso de Appscope
Los informes de Appscope introducen herramientas de anlisis y visibilidad para ayudar a localizar
comportamientos problemticos, ayudndole a comprender los siguientes aspectos de su red:
Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
Amenazas de red
Con los informes de Appscope (Supervisar >Appscope), puede comprobar rpidamente si algn
comportamiento es inusual o inesperado. Cada informe proporciona una ventana dinmica y personalizable por
el usuario en la red; al pasar el ratn por encima y hacer clic en las lneas y barras de los grficos, se abre
informacin detallada acerca de la aplicacin especfica, categora de la aplicacin, usuario u origen del ACC.
Los siguientes informes de Appscope estn disponibles:
Informe de resumen
Informes y logs
153
Uso de Appscope
Informes y logs
Informe de resumen
El informe Resumen muestra grficos de los cinco principales ganadores, perdedores, aplicaciones de consumo
de ancho de banda, categoras de aplicacin, usuarios y orgenes.
154
Informes y logs
Informes y logs
Uso de Appscope
Barra superior
Informes y logs
155
Uso de Appscope
Informes y logs
Barra inferior
156
Informes y logs
Informes y logs
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
supervisor de amenazas contiene los siguientes botones y opciones.
Botn del informe del supervisor de
amenazas
Barra superior
Informes y logs
157
Uso de Appscope
Informes y logs
Haga clic en un pas en el mapa para acercarlo. Haga clic en el botn Alejar en la esquina inferior derecha de la
pantalla para alejar. El informe del mapa de amenazas contiene los siguientes botones y opciones.
Botn del informe del mapa de amenazas
Barra superior
Barra inferior
158
Informes y logs
Informes y logs
Uso de Appscope
Barra superior
Informes y logs
159
Uso de Appscope
Informes y logs
Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
mapa de trfico contiene los siguientes botones y opciones.
Botones del informe del mapa de trfico
Barra superior
Barra inferior
160
Informes y logs
Informes y logs
La tabla siguiente describe la configuracin de la captura de paquetes en Supervisar > Captura de paquetes.
Campo Configuracin de Descripcin
captura de paquetes
Configurar filtrado
Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo filtro y
especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP, incluir todo
el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6 en el filtro.
Filtrado
Anterior a la coincidencia Haga clic para alternar la opcin activar o desactivar anterior a la coincidencia.
Informes y logs
161
Informes y logs
3.
Fase de captura de
paquetes
Archivos capturados
Archivos capturados
Seleccione Eliminar para quitar un archivo de captura de paquetes desde la lista donde
se muestran los archivos capturados.
Configuracin
Borrar toda la
configuracin
162
Informes y logs
Informes y logs
Informes y logs
163
Informes y logs
Visualizacin de informes
De forma predefinida, todos los archivos log se generan y guardan de forma local en el cortafuegos. Puede ver
estos archivos log directamente (Supervisar > Logs):
164
Informes y logs
Informes y logs
Informes y logs
de una entrada.
165
Informes y logs
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Cada entrada incluye la fecha
y hora, las zonas de origen y destino, las direcciones, los puertos, el nombre de la
aplicacin, el nombre de la regla de seguridad aplicada al flujo, la accin de la regla
(permitir, denegar o desplegar), la interfaz de entrada (ingress) y salida (egress) y el
nmero de bytes.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la sesin,
como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino (el
valor Recuento ser superior a uno).
La columna Tipo indica si la entrada es para el inicio o el fin de la sesin o si se ha
denegado o descartado la sesin. Un descarte indica que la regla de seguridad que ha
bloqueado el trfico ha especificado una aplicacin cualquiera, mientras que
denegacin indica que la regla ha identificado una aplicacin especfica.
Si se descarta el trfico antes de identificar la aplicacin, como cuando una regla descarta
todo el trfico para un servicio especfico, la aplicacin aparece como no aplicable.
Amenaza
Muestra una entrada cuando el trfico coincide con un perfil de seguridad (Antivirus,
Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o
Proteccin DoS) que se haya adjuntado a una poltica de seguridad del cortafuegos.
Cada entrada incluye la fecha y hora, un nombre de amenaza o URL, las zonas de origen
y destino, direcciones, puertos, el nombre de aplicacin y la accin de alarma (permitir
o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la amenaza,
como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y
destino (el valor Recuento ser superior a uno).
La columna Tipo indica el tipo de amenaza, como virus o spyware. La columna
Nombre es la descripcin de la amenaza o URL y la columna Categora es la categora
de la amenaza (como Registrador de pulsaciones de teclas) o la categora de la URL.
Si las capturas de paquetes locales estn activadas, haga clic en
junto a una entrada
para acceder a los paquetes capturados. Para habilitar capturas de paquetes locales,
consulte Realizacin de capturas de paquetes.
Filtrado de URL
Muestra logs para todo el trfico que coincide con un perfil de filtrado de URL
adjuntado a una poltica de seguridad. Por ejemplo, si la poltica bloquea el acceso a sitios
web y categoras de sitios web especficos o si la poltica est configurada para generar
una alerta cuando se acceda a un sitio web. Para obtener informacin sobre cmo
definir perfiles de filtrado de URL, consulte Filtrado de URL.
Envos de WildFire
Muestra logs de archivos que ha cargado y analizado la nube de WildFire; los datos de
logs se reenvan al dispositivo despus del anlisis junto con los resultados del anlisis.
166
Informes y logs
Informes y logs
Grficos de
descripciones del log
Descripcin
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que informaciones
confidenciales como nmeros de tarjetas de crdito o de la seguridad social abandonen
el rea protegida por el cortafuegos. Consulte Configuracin de filtrado de datos para
obtener informacin sobre cmo definir perfiles de filtrado de datos.
Este log tambin muestra informacin de perfiles de bloqueo de archivos. Por ejemplo,
si est bloqueando archivos .exe, el log le mostrar los archivos que estaban bloqueados.
Si reenva archivos a WildFire, podr ver los resultados de dicha accin. En este caso, si
reenva archivos PE a WildFire, por ejemplo, el log mostrar que el archivo fue
reenviado y tambin el estado para saber si se carg correctamente en WildFire.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye la fecha
y hora, el nombre de usuario del administrador, la direccin IP desde la cual se ha
realizado el cambio, el tipo de cliente (XML, Web o CLI), el tipo de comando ejecutado,
si el comando se ha ejecutado correctamente o ha fallado, la ruta de configuracin y los
valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y hora,
la gravedad del evento y una descripcin del evento.
Coincidencias HIP
Muestra los flujos de trfico que coinciden con un Objeto HIP o Perfil HIP que haya
configurado.
Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.
Informes y logs
167
Informes y logs
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una
opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host en la entrada de log de 10.0.0.252 y
Explorador web, se agregarn ambos elementos y la bsqueda encontrar entradas que coinciden con ambos
(bsqueda Y).
Para definir otros criterios de bsqueda, haga clic en Aadir filtro de log. Seleccione el tipo de bsqueda (y/o),
el atributo a incluir en la bsqueda, el operador asociado y los valores de la coincidencia, si es necesario. Haga
clic en Aadir para agregar el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar
la ventana emergente. Haga clic en Aplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha definido
en la ventana emergente Expresin. Cada uno se agrega como una entrada en la lnea Filtro de
la pgina de log. Si establece el filtro en Tiempo recibido como ltimos 60 segundos,
algunos enlaces de la pgina en el visor de logs podran no mostrar resultados ya que el nmero
de pginas puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en Borrar filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en Guardar filtro, introduzca un nombre para el
filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier filtro aplicado), haga
clic en Guardar filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificacin
si desea continuar utilizando la misma opcin. Haga clic en ACEPTAR.
Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a CSV. De manera
predeterminada, la exportacin de la lista de logs al formato CSV genera un informe CSV con hasta
2.000 filas de logs. Para cambiar el lmite de filas mostradas en informes CSV, utilice el campo Mx. de filas
en exportacin CSV en la subficha Exportacin e informes de logs (seleccione Dispositivo > Configuracin >
Gestin > Configuracin de log e informes).
Para cambiar el intervalo de actualizacin automtica, seleccione un intervalo de la lista desplegable (1 min,
30 segundos, 10 segundos o Manual).
Para cambiar el nmero de entradas de logs por pgina, seleccione el nmero de filas en el men desplegable
Filas.
Las entradas de logs se recuperan en bloques de 10 pginas. Utilice los controles de pgina en la parte inferior
de la pgina para navegar por la lista de logs. Seleccione la casilla de verificacin Resolver nombre de host para
iniciar la resolucin de direcciones IP externas en nombres de dominio.
168
Informes y logs
Informes y logs
Visualizacin de informes
El cortafuegos tambin usa datos del log para generar informes (Supervisar > Informes) que muestran los datos
del log en forma de grfico o tabla. Consulte Acerca de los informes para obtener informacin ms detallada
sobre los informes predefinido y personalizados disponibles en el cortafuegos.
Informes y logs
169
Informes y logs
Configurar el cortafuegos para que acceda a los servicios remotos que recibirn los logs. Consulte
Definicin de destinos de logs remotos.
Configurar cada tipo de log para reenvo. Consulte Habilitacin del reenvo de logs.
Para una notificacin inmediata de amenazas o eventos crticos del sistema que requieren su atencin, puede
generar traps SNMP o enviar alertas de correo electrnico. Consulte Configuracin de alertas de correo
electrnico y/o Configuracin de los destinos de Trap SNMP.
Para el almacenamiento a largo plazo y el archivo de datos y para la supervisin centralizada de dispositivos,
puede enviar los datos de logs a un servidor Syslog. Consulte Definicin de servidores Syslog. Esto permite
la integracin con herramientas de supervisin de seguridad de terceros, como Splunk! o ArcSight.
Para aadir y elaborar informes de datos de logs de cortafuegos de Palo Alto Networks, puede reenviar los
logs a un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Habilitacin del
reenvo de logs.
Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar
logs de trfico a un servidor Syslog y logs de sistema a uno diferente. Tambin puede incluir varias entradas de
servidor en un nico perfil de servidor para poder registrarse en varios servidores Syslog y conseguir
redundancia.
De forma predeterminada, todos los datos de logs se reenvan a travs de la interfaz de gestin.
Si pretende usar una interfaz que no sea de gestin, deber configurar una ruta de servicio para
cada servicio al que desee reenviar logs, como se describe en el paso 5 del procedimiento para
Establecimiento de acceso a la red para servicios externos.
170
Informes y logs
Informes y logs
Paso 1
1.
2.
3.
4.
5.
Paso 2
(Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea ms
mensajes de correo electrnico que enva informacin sobre cmo crear formatos personalizados para los
el cortafuegos.
distintos tipos de log, consulte Common Event Format
Configuration Guide (Gua de configuracin de formato de eventos
comunes).
Paso 3
Informes y logs
1.
2.
171
Informes y logs
Paso 1
Nota
172
3.
Informes y logs
Informes y logs
Paso 2
Cree un perfil de servidor que contenga la informacin para conectarse y autenticar los gestores de SNMP.
1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.
4. Especifique la versin de SNMP que est usando (V2c o V3).
5. Haga clic en Aadir para aadir una nueva entrada de receptor de trap SNMP (puede aadir hasta cuatro
receptores de traps por perfil de servidor). Los valores requeridos dependen de si est usando SNMP V2c
o V3, como se explica a continuacin:
SNMP V2c
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.
SNMP V3
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP.
EngineID: ID de motor del cortafuegos, segn se ha identificado en el Paso 1. Es un valor hexadecimal de
entre 5 y 64 bytes con un prefijo 0x. Cada cortafuegos tiene un ID de motor nico.
Contrasea de autenticacin: Contrasea que se usar para los mensajes de nivel authNoPriv para el
gestor de SNMP. Esta contrasea contar con un algoritmo hash de seguridad (SHA-1), pero no estar
cifrada.
Contrasea priv.: Contrasea que se usar para los mensajes de nivel authPriv para el gestor de SNMP.
Esta contrasea tendr un algoritmo hash SHA y estar cifrada con el estndar de cifrado avanzado
(AES 128).
6. Haga clic en Aceptar para guardar el perfil de servidor.
Paso 3
(Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envan a travs de la
para traps SNMP.
interfaz de gestin. Si desea utilizar una interfaz diferente para traps
SNMP, deber editar la ruta de servicio para permitir que el
cortafuegos acceda a su gestor de SNMP. Consulte Establecimiento
de acceso a la red para servicios externos para obtener instrucciones.
Paso 4
Paso 5
Informes y logs
173
Informes y logs
Paso 1
3.
4.
Haga clic en Aadir para aadir una nueva entrada del servidor Syslog
e introduzca la informacin necesaria para conectar con el servidor
Syslog (puede aadir hasta cuatro servidores Syslog al mismo perfil):
Nombre: Nombre exclusivo para el perfil de servidor.
Servidor: Direccin IP o nombre de dominio completo (FQDN)
del servidor Syslog.
Transporte: Seleccione TCP, UDP o SSL como el mtodo de
comunicacin con el servidor Syslog.
Puerto: Nmero de puerto por el que se enviarn mensajes de
Syslog (el valor predeterminado es UDP en el puerto 514); debe
usar el mismo nmero de puerto en el cortafuegos y en el servidor
Syslog.
Formato: Seleccione el formato de mensaje de Syslog que se debe
utilizar, BSD o IETF. Tradicionalmente, el formato BSD es a travs
de UDP y el formato IETF es a travs de TCP/SSL. Para
configurar el reenvo de Syslog seguro con la autenticacin de
cliente, consulte Configuracin del cortafuegos para autenticarlo
con el servidor Syslog.
Instalaciones: Seleccione uno de los valores de Syslog estndar,
que se usa para calcular el campo de prioridad (PRI) en la
implementacin de su servidor Syslog. Debe seleccionar el valor
que asigna cmo usa el campo PRI para gestionar sus mensajes de
Syslog.
174
5.
6.
Informes y logs
Informes y logs
Paso 2
1.
(Opcional) Configure el formato de
encabezado utilizado en los mensajes de
Syslog. La seleccin del formato de
2.
encabezado ofrece ms flexibilidad para
3.
filtrar y crear informes sobre los datos de
log para algunos SIEM.
Nota
Paso 3
Paso 4
Paso 5
La clave privada debe estar disponible en el dispositivo de envo; las claves no pueden almacenarse en un
mdulo de seguridad de hardware (HSM).
Informes y logs
175
Informes y logs
El certificado no es una CA de confianza ni una solicitud de firma de certificado (CSR). Ninguno de estos
tipos de certificados puede habilitarse para una comunicacin Syslog segura.
Paso 1
3.
4.
5.
6.
7.
8.
9.
10. Verifique los detalles del certificado y que est marcado para Uso
como Certificado para Syslog seguro.
176
Informes y logs
Informes y logs
Logs de trfico: Habilita el reenvo de logs de trfico creando un perfil de reenvo de logs (Objetos > Reenvo
de logs) y aadindolo a las polticas de seguridad que desea que activen el reenvo de logs. Solo el trfico que
coincida con una regla especfica dentro de la poltica de seguridad ser registrado y enviado.
Logs de amenaza: Habilita el reenvo de logs de amenaza creando un perfil de reenvo de logs (Objetos >
Reenvo de logs) que especifique qu niveles de seguridad desea reenviar y, a continuacin, aadindolo a las
polticas de seguridad para las que desea activar el reenvo de logs. Solo se crear (y enviar) una entrada de
log de amenaza si el trfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware,
Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Proteccin DoS). La siguiente tabla
resume los niveles de gravedad de las amenazas:
Gravedad
Descripcin
Crtico
Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software
ampliamente implementado, que comprometen profundamente los servidores y dejan el
cdigo de explotacin al alcance de los atacantes. El atacante no suele necesitar ningn tipo
de credenciales de autenticacin o conocimientos acerca de las vctimas y el objetivo no
necesita ser manipulado para que realice ninguna funcin especial.
Alto
Amenazas que tienen la habilidad de convertirse en crticas pero que tienen factores
atenuantes; por ejemplo, pueden ser difciles de explotar, no conceder privilegios elevados o
no tener un gran grupo de vctimas.
Medio
Amenazas menores en las que se minimiza el impacto, como ataques DoS que no
comprometen al objetivo o explotaciones que requieren que el atacante est en la misma
LAN que la vctima, afectan solo a configuraciones no estndar o aplicaciones oscuras u
ofrecen acceso muy limitado. Adems, las entradas de log de Presentaciones de WildFire con
un veredicto de software malintencionado se registran como amenazas de nivel medio.
Bajo
Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura de la
organizacin. Suelen requerir acceso local o fsico al sistema y con frecuencia suelen
ocasionar problemas en la privacidad de las vctimas, problemas de DoS y fugas de
informacin. Las coincidencias de perfiles de filtrado de datos se registran como bajas.
Informativo
Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para
indicar que podra haber problemas ms serios. Las entradas de logs de filtrado de URL y las
entradas de logs de Presentaciones de WildFire con un veredicto benigno se registran como
informativas.
Informes y logs
177
Informes y logs
Descripcin
Crtico
Alto
Medio
Bajo
Informativo
Paso 1
178
Informes y logs
Informes y logs
Paso 2
1.
Desde la interfaz web del cortafuegos,
configure los ajustes para permitir que el
agente de SNMP del cortafuegos
2.
responda a las solicitudes GET entrantes
del gestor de SNMP.
3.
4.
5.
Paso 3
Active el gestor de SNMP para interpretar Cargue los archivos MIB de PAN-OS en su software de gestin de
las estadsticas del cortafuegos.
SNMP y, si es necesario, complelos. Consulte las instrucciones
especficas para realizar este proceso en la documentacin de su
gestor de SNMP.
Paso 4
Paso 5
Informes y logs
179
Informes y logs
Paso 6
180
Informes y logs
Informes y logs
Gestin de informes
Gestin de informes
Las funciones de generacin de informes del cortafuegos le permiten comprobar el estado de su red, validar sus
polticas y concentrar sus esfuerzos en mantener la seguridad de la red para que sus usuarios estn protegidos y
sean productivos.
Visualizacin de informes
Informes predefinidos: Le permiten ver un resumen rpido del trfico de su red. Hay disponible un
conjunto de informes predefinidos divididos en cuatro categoras: Aplicaciones, Trfico, Amenaza y Filtrado
de URL. Consulte Visualizacin de informes.
Informes de actividad de usuario o grupo: Le permiten programar o crear un informe a peticin sobre
el uso de la aplicacin y la actividad de URL para un usuario especfico o para un grupo de usuarios; el
informe incluye las categoras de URL y un clculo del tiempo de exploracin estimado para usuarios
individuales. Consulte Generacin de informes de actividad del usuario/grupo.
Los informes se pueden generar segn se necesiten, con una planificacin recurrente, y se puede programar su
envo diario por correo electrnico.
Informes y logs
181
Gestin de informes
Informes y logs
Visualizacin de informes
El cortafuegos proporciona una variedad de ms de 40 informes predefinidos que se generan cada da; estos
informes pueden visualizarse directamente en el cortafuegos. Adems de estos informes, puede visualizar
informes personalizados e informes de resumen programados.
Se asignan aproximadamente 200 MB de almacenamiento para guardar informes en el cortafuegos. El usuario
no puede configurar este espacio de almacenamiento; adems, los informes ms antiguos se purgan para
almacenar informes recientes. Por lo tanto, para una retencin a largo plazo de informes, puede exportar los
informes o programar los informes para una entrega por correo electrnico. Para deshabilitar informes
seleccionados y conservar recursos del sistema en el cortafuegos, consulte Deshabilitacin de informes
predefinidos.
Los informes de actividad de usuario/grupo deben generarse a peticin o programarse para una
entrega por correo electrnico. A diferencia de los otros informes, estos informes no se pueden
guardar en el cortafuegos.
Visualizacin de informes
Paso 1
Paso 2
Seleccione un informe para visualizarlo. Cuando seleccione un informe, el informe del da anterior se mostrar
en la pantalla.
Para ver informes de cualquiera de los das anteriores, seleccione una fecha disponible en el calendario de la parte
inferior de la pgina y seleccione un informe dentro de la misma seccin. Si cambia secciones, se restablecer la
seleccin del tiempo.
Paso 3
182
Para visualizar un informe fuera de lnea, puede exportar el informe en los formatos PDF, CSV o XML. Haga
clic en Exportar a PDF, Exportar a CSV o Exportar a XML en la parte inferior de la pgina. A continuacin,
imprima o guarde el archivo.
Informes y logs
Informes y logs
Gestin de informes
1.
2.
Haga clic en el icono Editar en la seccin Configuracin de log e informes y seleccione la pestaa Exportacin e
informes de logs.
3.
4.
Informes y logs
183
Gestin de informes
Informes y logs
Descripcin
Origen de datos
Archivo de datos que se utiliza para generar el informe. El cortafuegos ofrece dos tipos
de orgenes de datos: bases de datos de resumen y logs detallados.
Las bases de datos de resumen estn disponibles para estadsticas de trfico,
amenaza y aplicacin. El cortafuegos agrega los logs detallados en trfico, aplicacin
y amenaza en intervalos de 15 minutos. Los datos estn condensados; es decir, las
sesiones estn agrupadas y aumentan con un contador de repeticiones y algunos
atributos (o columnas) no se incluyen en el resumen. Esta condensacin permite un
tiempo de respuesta ms rpido al generar informes.
Los logs detallados se componen de elementos y son una lista completa de todos los
atributos (o columnas) relativos a la entrada de log. Los informes basados en logs
detallados tardan mucho ms en ejecutarse y no se recomiendan a menos que sea
absolutamente necesario.
Atributos
Columnas que quiere utilizar como criterios de coincidencia. Los atributos son las
columnas disponibles para su seleccin en un informe. Desde la lista de Columnas
disponibles, puede aadir los criterios de seleccin para datos coincidentes y para
agregar la informacin detallada (Columnas seleccionadas).
Ordenar por/Agrupar por Los criterios Ordenar por y Agrupar por le permiten organizar/segmentar los datos
del informe; los atributos de ordenacin y agrupacin disponibles varan basndose en
el origen de datos seleccionado.
La opcin Ordenar por especifica el atributo que se utiliza para la agregacin. Si no
selecciona un atributo segn el cul ordenar, el informe devolver el primer nmero N
de resultados sin ninguna agregacin.
La opcin Agrupar por le permite seleccionar un atributo y utilizarlo como ancla para
agrupar datos; a continuacin, todos los datos del informe se presentarn en un
conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo, cuando seleccione Hora
como la seleccin de Agrupar por y quiere los 25 grupos principales en un perodo de
tiempo de 24 horas. Los resultados del informe se generarn cada hora en un perodo
de 24 horas. La primera columna del informe ser la hora y el siguiente conjunto de
columnas ser el resto de sus columnas de informe seleccionadas.
184
Informes y logs
Informes y logs
Seleccin
Gestin de informes
Descripcin
Las columnas dentro de un crculo rojo (arriba) muestran las columnas seleccionadas,
que son los atributos que deben coincidir para generar el informe. Se analiza cada
entrada de log del origen de datos y se establecen las coincidencias con estas columnas.
Si varias sesiones tienen los mismos valores para las columnas seleccionadas, las
sesiones se agregarn y se incrementar el recuento de repeticiones (o sesiones).
La columna dentro de un crculo azul indica el orden de clasificacin seleccionado.
Cuando se especifica el orden de clasificacin (Ordenar por), los datos se ordenan
(y agregan) segn el atributo seleccionado.
La columna dentro de un crculo verde indica la seleccin de Agrupar por, que sirve
de ancla para el informe. La columna Agrupar por se utiliza como criterio de
coincidencia para filtrar los N grupos principales. A continuacin, para cada uno de los
N grupos principales, el informe enumera los valores del resto de columnas
seleccionadas.
Informes y logs
185
Gestin de informes
Seleccin
Informes y logs
Descripcin
El informe est anclado por Da y se ordena por Sesiones. Enumera los 5 das (5 grupos) con el mximo de trfico
en el perodo de tiempo de ltimos 7 das. Los datos se enumeran segn las 5 principales sesiones de cada da para
las columnas seleccionadas: Categora de aplicacin, Subcategora de aplicacin y Riesgo.
Perodo de tiempo
Rango de fechas para el que quiere analizar datos. Puede definir un rango
personalizado o seleccionar un perodo de tiempo que vaya desde los ltimos
15 minutos hasta los ltimos 30 das. Los informes se pueden ejecutar a peticin
o se pueden programar para su ejecucin cada da o cada semana.
Generador de consultas
186
Informes y logs
Informes y logs
Gestin de informes
1.
2.
Nota
3.
Para basar un informe en una plantilla predefinida, haga clic en Cargar plantilla y seleccione la plantilla.
A continuacin, podr editar la plantilla y guardarla como un informe personalizado.
Nota
Cada vez que cree un informe personalizado, se crear un informe Vista de log automticamente. Este informe
muestra los logs que se utilizaron para crear el informe personalizado. El informe Vista de log utiliza el mismo
nombre que el informe personalizado, pero aade la frase Log View al nombre del informe.
Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para obtener
ms informacin, consulte Gestin de grupos de informes.
4.
Seleccione la casilla de verificacin Programado para ejecutar el informe cada noche. A continuacin, el informe
estar disponible para su visualizacin en la columna Informes del lateral.
5.
Defina los criterios de filtrado. Seleccione el Perodo de tiempo, el orden Ordenar por y la preferencia Agrupar por
y seleccione las columnas que deben mostrarse en el informe.
6.
(Opcional) Seleccione los atributos Generador de consultas si desea ajustar aun ms los criterios de seleccin. Para
crear una consulta de informe, especifique lo siguiente y haga clic en Aadir. Repita las veces que sean necesarias para
crear la consulta completa.
Conector: Seleccione el conector (y/o) para preceder la expresin que est agregando.
Negar: Seleccione la casilla de verificacin para interpretar la consulta como una negativa. Si, por ejemplo, decide
hacer coincidir las entradas de las ltimas 24 horas y/o se originan en la zona no fiable, la opcin de negacin
produce una coincidencia en las entradas que no se hayan producido en las ltimas 24 horas y/o no pertenezcan
a la zona no fiable.
Atributo: Seleccione un elemento de datos. Las opciones disponibles dependen de la eleccin de la base de datos.
Operador: Seleccione el criterio para determinar si se aplica el atributo (como =). Las opciones disponibles
dependen de la eleccin de la base de datos.
Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustracin (basada en la base de datos Log de trfico) muestra una consulta que coincide
si se ha recibido la entrada de log de trfico en las ltimas 24 horas de la zona no fiable.
7.
Para comprobar los ajustes de informes, seleccione Ejecutar ahora. Modifique los ajustes segn sea necesario para
cambiar la informacin que se muestra en el informe.
8.
Informes y logs
187
Gestin de informes
Informes y logs
Si ahora configuramos un nico informe en el que utilizamos la base de datos de resumen de trfico de los
ltimos 30 das y ordenamos los datos por las 10 sesiones principales y dichas sesiones se agrupan en 5 grupos
por da de la semana. Debera configurar el informe personalizado para que tuviera un aspecto parecido a este:
188
Informes y logs
Informes y logs
Gestin de informes
Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente a los
principales consumidores de los recursos de red dentro de un grupo de usuarios, debera configurar el informe
para que tuviera un aspecto parecido a este:
El informe debera mostrar a los principales usuarios del grupo de usuarios de gestin de productos ordenados
por bytes, de la manera siguiente:
Informes y logs
189
Gestin de informes
Informes y logs
1.
Seleccione Supervisar > Botnet y haga clic en el botn Configuracin del lado derecho de la pgina.
2.
Para el trfico HTTP, seleccione la casilla de verificacin Habilitar para los eventos que desea incluir en los informes:
Visita a URL de software malintencionado: Identifica a los usuarios que se estn comunicando con URL con
software malintencionado conocidas basndose en las categoras de filtrado de URL de software malintencionado
y Botnet.
Uso de DNS dinmica: Busca trfico de consultas DNS dinmicas que pueden indicar una comunicacin de botnet.
Navegacin por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL.
Navegacin en dominios registrados recientemente: Busca trfico en dominios que se han registrado en los
ltimos 30 das.
Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL
desconocidas.
3.
Para aplicaciones desconocidas, seleccione aplicaciones con TCP desconocido o UDP desconocido como sospechosas
y especifique la siguiente informacin:
Sesiones por hora: Nmero de sesiones de aplicacin por hora asociadas a la aplicacin desconocida.
Destinos por hora: Nmero de destinos por hora asociados a la aplicacin desconocida.
Bytes mnimos: Tamao mnimo de carga.
Bytes mximos: Tamao mximo de carga.
4.
190
Seleccione la casilla de verificacin para incluir servidores IRC como sospechosos. Los servidores IRC a menudo
utilizan bots para funciones automatizadas.
Informes y logs
Informes y logs
Gestin de informes
1.
En Perodo de ejecucin del informe, seleccione el intervalo de tiempo para el informe (ltimas 24 horas o
ltimo da del calendario).
2.
3.
Seleccione Programado para ejecutar el informe a diario. De manera alternativa, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet.
4.
Cree la consulta de informe especificando lo siguiente y, a continuacin, haga clic en Aadir para agregar la
expresin configurada a la consulta. Repita las veces que sean necesarias para crear la consulta completa:
Conector: Especifique un conector lgico (Y/O).
Atributo: Especifique la zona, la direccin o el usuario de origen o destino.
Operador: Especifique el operador para relacionar el atributo con un valor.
Valor: Especifique el valor para coincidir.
5.
Seleccione Negar para aplicar la negacin a la consulta especificada, lo que significa que el informe contendr
toda la informacin que no sea resultado de la consulta definida.
6.
Informes y logs
191
Gestin de informes
Informes y logs
Paso 1
Para eliminar un elemento del informe, haga clic en el icono x o cancele la seleccin del men desplegable
para el grupo de informes adecuado.
Para reorganizar los informes, arrastre y coloque los iconos en otra rea del informe.
4. Haga clic en ACEPTAR para guardar el informe.
5. Confirme los cambios.
192
Informes y logs
Informes y logs
Gestin de informes
Paso 2
Informes y logs
193
Gestin de informes
Informes y logs
1.
Seleccione Supervisar > Informes en PDF > Informe de actividad del usuario.
2.
3.
Cree el informe:
Para un informe de actividad del usuario: Seleccione Usuario e introduzca el Nombre de usuario o la
Direccin IP (IPv4 o IPv6) del usuario que ser el asunto del informe.
Para informe de actividad de grupo: Seleccione Grupo y seleccione el Nombre de grupo para el que recuperar
informacin de grupos de usuarios en el informe.
4.
Nota
5.
El nmero de logs analizados en un informe de actividad del usuario est determinado por el nmero de filas
definido en Mx. de filas en informe de actividad de usuario en la seccin Configuracin de log e informes en
Dispositivo > Configuracin > Gestin.
Seleccione Incluir exploracin detallada para incluir logs de URL detallados en el informe.
La informacin de navegacin detallada puede incluir un gran volumen de logs (miles de logs) para el usuario o grupo
de usuarios seleccionado y puede hacer que el informe sea muy extenso.
6.
7.
Para guardar el informe, haga clic en Aceptar. Los informes de actividad del usuario/grupo no se pueden guardar en
el cortafuegos; para programar el informe para una entrega por correo electrnico, consulte Programacin de
informes para entrega de correos electrnicos.
194
Informes y logs
Informes y logs
Gestin de informes
Paso 1
1.
Nota
2.
Informes y logs
195
Gestin de informes
Informes y logs
1.
2.
3.
4.
5.
Cancelar correos electrnicos del destinatario le permite enviar este informe exclusivamente a los destinatarios
especificados en este campo. Cuando aade destinatarios a Cancelar correos electrnicos del destinatario, el
informe no se enva a los destinatarios configurados en el perfil de servidor de correo electrnico. Utilice esta opcin
para las ocasiones en las que el informe vaya dirigido a una persona distinta de los administradores o destinatarios
definidos en el perfil de servidor de correo electrnico.
196
Informes y logs
Informes y logs
Logs de trfico
Logs de amenaza
Logs de configuracin
Logs de sistema
Logs de trfico
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Bytes, Bytes enviados,
Bytes recibidos, Paquetes, Fecha de inicio, Tiempo transcurrido, Categora, FUTURE_USE, Nmero de
secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de destino, FUTURE_USE, Paquetes enviados,
Paquetes recibidos.
Nombre de campo
Descripcin
Tipo (type)
Subtipo (subtype)
Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar y Denegar.
Iniciar: sesin iniciada.
Finalizar: sesin finalizada.
Colocar: sesin colocada antes de identificar la aplicacin; no hay ninguna
regla que permita la sesin.
Denegar: sesin colocada despus de identificar la aplicacin; hay una regla
para bloquear o no hay ninguna regla que permita la sesin.
IP de origen (src)
IP de destino (dst)
Informes y logs
197
Informes y logs
Nombre de campo
Descripcin
Aplicacin (app)
ID de sesin (sessionid)
198
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Marcas (flags)
Protocolo (proto)
Accin (action)
Bytes (bytes)
Paquetes (packets)
Categora (category)
Informes y logs
199
Informes y logs
Nombre de campo
Descripcin
Logs de amenaza
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Varios, ID de amenaza,
Categora, Gravedad, Direccin, Nmero de secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de
destino, FUTURE_USE, Tipo de contenido, ID de captura de paquetes*, Resumen de archivo*, Nube*
Nombre de campo
Descripcin
Tipo (type)
Especifica el tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y
Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de amenaza; los valores son URL, Virus, Spyware, Vulnerabilidades,
Archivo, Analizar, Inundacin, Datos y WildFire:
URL: log de filtrado de datos
Virus: deteccin de virus
Spyware: deteccin de spyware
Vulnerabilidades: deteccin de exploits de vulnerabilidades
Archivo: log de tipo de archivo
Analizar: exploracin detectada mediante un perfil de proteccin de zona
Inundacin: inundacin detectada mediante un perfil de proteccin de zona
Datos: patrn de datos detectado desde un perfil de proteccin de zona
WildFire: log de WildFire
200
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Tiempo generado
(time_generated)
IP de origen (src)
IP de destino (dst)
Aplicacin (app)
Interfaz de entrada
(inbound_if)
Interfaz de salida
(outbound_if)
Perfil de reenvo de logs
(logset)
ID de sesin (sessionid)
Nmero de repeticiones
(repeatcnt)
Informes y logs
201
Informes y logs
Nombre de campo
Descripcin
Marcas (flags)
Campo de 32 bits que proporciona informacin detallada sobre la sesin; este campo
puede descodificarse aadiendo los valores con Y y con el valor registrado:
0x80000000: la sesin tiene una captura de paquetes (PCAP)
0x02000000: sesin IPv6.
0x01000000: la sesin SSL se ha descifrado (proxy SSL).
0x00800000: la sesin se ha denegado a travs del filtrado de URL.
0x00400000: la sesin ha realizado una traduccin NAT (NAT).
0x00200000: la informacin de usuario de la sesin se ha capturado mediante el
portal cautivo (Portal cautivo).
0x00080000: el valor X-Forwarded-For de un proxy est en el campo Usuario de
origen.
0x00040000: el log corresponde a una transaccin en una sesin de proxy HTTP
(Transaccin proxy).
0x00008000: la sesin es un acceso a la pgina de contenedor (Pgina de
contenedor).
0x00002000: la sesin tiene una coincidencia temporal en una regla para la gestin
de las dependencias de las aplicaciones implcitas. Disponible en PAN-OS 5.0.0 y
posterior.
0x00000800: se utiliz el retorno simtrico para reenviar trfico para esta sesin.
Protocolo (proto)
Accin (action)
Accin realizada para la sesin; los valores son Alerta, Permitir, Denegar, Colocar,
Colocar todos los paquetes, Restablecer cliente, Restablecer servidor, Restablecer
ambos y Bloquear URL.
Alerta: amenaza o URL detectada pero no bloqueada.
Permitir: alerta de deteccin de inundacin.
Denegar: mecanismo de deteccin de inundacin activado y denegacin de trfico
basndose en la configuracin.
Colocar: amenaza detectada y se descart la sesin asociada.
Colocar todos los paquetes: amenaza detectada y la sesin permanece, pero se
colocan todos los paquetes.
Restablecer cliente: amenaza detectada y se enva un TCP RST al cliente.
Restablecer servidor: amenaza detectada y se enva un TCP RST al servidor.
Restablecer ambos: amenaza detectada y se enva un TCP RST tanto al cliente como
al servidor.
Bloquear URL: la solicitud de URL se bloque porque coincida con una categora
de URL que se haba establecido como bloqueada.
202
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Varios (misc)
ID de amenaza (threatid)
Categora (category)
Gravedad (severity)
Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio, Alto y
Crtico.
Direccin (direction)
Informes y logs
203
Nombre de campo
Informes y logs
Descripcin
Novedad en v6.0: ID de captura ID de captura de paquetes es un elemento integral no firmado de 64 bits que indica un
de paquetes (pcap_id)
ID para correlacionar archivos de captura de paquetes de amenaza con capturas de
paquetes ampliadas tomadas como parte de dicho flujo. Todos los logs de amenaza
contendrn un pcap_id cuyo valor es 0 (ninguna captura de paquetes asociada) o un ID
que haga referencia al archivo de captura de paquetes ampliado.
Novedad en v6.0: Resumen de
archivo (filedigest)
La cadena filedigest muestra el hash binario del archivo enviado para ser analizado por
el servicio WildFire.
Novedad en v6.0: Nube (cloud) Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias
HIP.
Subtipo (subtype)
Nombre de la mquina
(machinename)
Novedad en v6.0: SO
HIP (matchname)
Nmero de repeticiones
(repeatcnt)
204
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Nmero de secuencia
(seqno)
Marcas de accin
(actionflags)
Logs de configuracin
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE,
FUTURE_USE, Host, Sistema virtual, Comando, Administrador, Cliente, Resultado, Ruta de configuracin,
Nmero de secuencia, Marcas de accin
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias
HIP.
Subtipo (subtype)
Host (host)
Comando (cmd)
Comando ejecutado por el administrador; los valores son Aadir, Duplicar, Compilar,
Eliminar, Editar, Mover, Renombrar, Establecer y Validar.
Administrador (admin)
Cliente (client)
Resultado (result)
Ruta de configuracin
(path)
Ruta del comando de configuracin emitido; puede tener una longitud de hasta
512 bytes.
Nmero de secuencia
(seqno)
Marcas de accin
(actionflags)
Informes y logs
205
Informes y logs
Logs de sistema
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE,
FUTURE_USE, Sistema virtual, ID de evento, Objeto, FUTURE_USE, FUTURE_USE, Mdulo, Gravedad,
Descripcin, Nmero de secuencia, Marcas de accin
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Subtipo (subtype)
Subtipo del log de sistema; hace referencia al demonio de sistema que genera el log; los
valores son Criptogrfico, DHCP, Proxy DNS, Denegacin de servicio, General,
GlobalProtect, HA, Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, User-ID, Filtrado de URL y VPN.
ID de evento (eventid)
Objeto (object)
Mdulo (module)
Este campo nicamente es vlido cuando el valor del campo Subtipo es General.
Proporciona informacin adicional acerca del subsistema que genera el log; los valores
son General, Gestin, Autenticacin, HA, Actualizar y Bastidor.
Gravedad (severity)
Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y Crtico.
Descripcin (opaque)
Nmero de secuencia
(seqno)
Marcas de accin
(actionflags)
Gravedad de Syslog
La gravedad de Syslog se establece basndose en el tipo de log y el contenido.
Tipo/gravedad de log
Gravedad de Syslog
Trfico
Informacin
Configurar
Informacin
Amenaza/Sistema: Informativo
Informacin
206
Informes y logs
Informes y logs
Tipo/gravedad de log
Gravedad de Syslog
Amenaza/Sistema: Bajo
Aviso
Amenaza/Sistema: Medio
Advertencia
Amenaza/Sistema: Alto
Error
Amenaza/Sistema: Crtico
Crtico
Secuencias de escape
Cualquier campo que contenga una coma o comillas dobles aparecer entre comillas dobles. Adems, si aparecen
comillas dobles dentro de un campo, se definirn como carcter de escape anteponindoles otras comillas
dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de amenaza siempre
aparecer entre comillas dobles.
Informes y logs
207
208
Informes y logs
Informes y logs
User-ID
La identificacin de usuarios (User-ID) es una funcin de cortafuegos de prxima generacin de Palo Alto
Networks que le permite crear polticas y realizar informes basndose en usuarios y grupos en lugar de
direcciones IP individuales. Las siguientes secciones describen la funcin User-ID de Palo Alto Networks y
ofrecen instrucciones sobre cmo configurar el acceso basado en usuarios y grupos:
User-ID
209
User-ID
LDAP
eDirectory Novell
Para poder crear polticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos los usuarios
disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus
polticas. Obtiene esta informacin de asignacin de grupos conectndose directamente a su servidor de
directorio LDAP. Consulte Acerca de la asignacin de grupos para obtener ms informacin.
Para poder aplicar las polticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones
IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para
obtener estas asignaciones de direcciones IP a nombres de usuarios. Por ejemplo, utiliza agentes para supervisar
logs de servidor en busca de eventos de inicio de sesin y/o sondear clientes, as como escuchar mensajes de
Syslog de servicios de autenticacin. Para identificar asignaciones de direcciones IP que no se asignaron
mediante uno de los mecanismos de agente, puede configurar el cortafuegos para que redirija las solicitudes
HTTP a un inicio de sesin de portal cautivo. Puede personalizar los mecanismos que utiliza para la asignacin
de usuarios para que se adapten a su entorno, e incluso puede utilizar diferentes mecanismos en sitios distintos.
Consulte Acerca de la asignacin de usuarios para obtener ms informacin.
210
User-ID
User-ID
A continuacin podr definir polticas basndose en los miembros de grupos en lugar de en usuarios
individuales para una administracin simplificada. Por ejemplo, la siguiente poltica de seguridad permite el
acceso a aplicaciones internas especficas basndose en los miembros de grupos:
User-ID
211
User-ID
Sondeo
de clientes
eDirectory
Portal
cautivo
GlobalProtect
Controlador
de dominios
Agente de
servicios Aerohive AP
de terminal
Blue Coat
AUTENTICACIN DE USUARIOS
Juniper UAC
RECEPTOR DE SYSLOG
EVENTO DE AUTENTICACIN
Directorios
Servicios Servicios de
de terminal autenticacin
Dispositivos de Joe
11.11.11.11
12.12.12.12
API XML
Directorios
Funciones/grupos de Joe
Active Directory
LDAP
Administradores de TI
Empleados de la sede
Supervisin de servidor
Sondeo de cliente
Asignacin de puertos
Syslog
Portal cautivo
GlobalProtect
Supervisin de servidor
Con la supervisin de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute en
un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el cortafuegos)
supervisa los logs de eventos de seguridad en busca de Microsoft Exchange Servers especificados, controladores
de dominio o servidores Novell eDirectory en busca de eventos de inicio de sesin. Por ejemplo, en un entorno
AD, puede configurar el agente de User-ID para que supervise los logs de seguridad en busca de renovaciones
o concesiones de tickets de Kerberos, acceso al servidor Exchange (si est configurado) y conexiones de servicio
de impresin y archivo. Recuerde que para que estos eventos se registren en el log de seguridad, el dominio AD
212
User-ID
User-ID
debe configurarse para registrar eventos de inicio de sesin de cuenta correctos. Adems, dado que los usuarios
pueden iniciar sesin en cualquiera de los servidores del dominio, debe configurar la supervisin de servidor
para todos los servidores con el fin de capturar todos los eventos de inicio de sesin de usuarios.
Dado que la supervisin de servidor requiere muy pocos gastos y dado que la mayora de los usuarios por lo
general puede asignarse con este mtodo, se recomienda como el mtodo de asignacin de usuarios bsico para
la mayora de implementaciones de User-ID. Consulte Configuracin de la asignacin de usuarios mediante el
agente de User-ID de Windows o Configuracin de la asignacin de usuarios mediante el agente de User-ID
integrado en PAN-OS para obtener informacin detallada.
Sondeo de cliente
En un entorno de Microsoft Windows, puede configurar el agente de User-ID para sondear los sistemas cliente
mediante Windows Management Instrumentation (WMI). El agente de User-ID basado en Windows tambin
puede realizar un sondeo de NetBIOS (no compatible con el agente de User-ID integrado en PAN-OS). El
sondeo es de especial utilidad en entornos con una alta rotacin de direcciones IP, debido a que los cambios se
reflejarn en el cortafuegos ms rpido, permitiendo una aplicacin ms precisa de las polticas basadas en
usuarios. Sin embargo, si la correlacin entre direcciones IP y usuarios es bastante esttica, probablemente no
necesite habilitar el sondeo de cliente. Ya que el sondeo puede generar una gran cantidad de trfico de red
(basndose en el nmero total de direcciones IP asignadas), el agente que vaya a iniciar los sondeos debera estar
situado lo ms cerca posible de los clientes finales.
Si el sondeo est habilitado, el agente sondear peridicamente cada direccin IP obtenida (cada 20 minutos de
manera predeterminada, pero esto puede configurarse) para verificar que el mismo usuario sigue conectado.
Adems, cuando el cortafuegos se encuentre una direccin IP para la que no tenga una asignacin de usuarios,
enviar la direccin al agente para un sondeo inmediato.
Consulte Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows o
Configuracin de la asignacin de usuarios mediante el agente de User-ID integrado en PAN-OS para obtener
informacin detallada.
Asignacin de puertos
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma direccin IP. En este caso, el proceso de asignacin de usuario a direccin IP
requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignacin, debe instalar
el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal Windows/Citrix para
que sirva de intermediario en la asignacin de puertos de origen a los diversos procesos de usuario. Para los
servidores de terminal que no admiten el agente de servicios de terminal, como los servidores de terminal de
Linux, puede utilizar la API XML para enviar informacin de asignacin de usuarios de eventos de inicio de
sesin y cierre de sesin a User-ID. Consulte Configuracin de la asignacin de usuarios para usuarios del
servidor de terminal para obtener informacin detallada sobre la configuracin.
User-ID
213
User-ID
Syslog
En entornos con servicios de red existentes que autentiquen usuarios, tales como controladores inalmbricos,
dispositivos 802.1x, servidores Open Directory de Apple, servidores proxy u otros mecanismos de control de
acceso a la red (NAC), el agente de User-ID del cortafuegos (bien el agente de Windows, bien el agente
integrado en PAN-OS en el cortafuegos) puede escuchar mensajes de Syslog de autenticacin de esos servicios.
Los filtros de Syslog, que se proporcionan mediante una actualizacin de contenido (solamente para agentes de
User-ID integrados) o se configuran manualmente, permiten que el agente de User-ID analice y extraiga
nombres de usuarios y direcciones IP de eventos de Syslog de autenticacin generados por el servicio externo,
as como que aada la informacin a las asignaciones de direcciones IP a nombres de usuarios de User-ID
mantenidas por el cortafuegos. Consulte Configuracin de User-ID para recibir asignaciones de usuarios desde
un emisor de Syslog para obtener informacin detallada sobre la configuracin.
Ilustracin: Integracin de User-ID con Syslog
214
User-ID
User-ID
Portal cautivo
Si el cortafuegos o el agente de User-ID no puede asignar una direccin IP a un usuario (por ejemplo, si el
usuario no ha iniciado sesin o si est utilizando un sistema operativo como Linux que no es compatible con
sus servidores de dominio), podr configurar un portal cautivo. Cuando est configurado, cualquier trfico web
(HTTP o HTTPS) que coincida con su poltica de portal cautivo requerir la autenticacin de usuario, ya sea de
manera transparente a travs de un desafo NT LAN Manager (NTLM) para el explorador, o de manera activa
redirigiendo al usuario a un formulario de autenticacin web para una autenticacin con una base de datos de
autenticacin RADIUS, LDAP, Kerberos o local o utilizando una autenticacin de certificado de cliente.
Consulte Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo para obtener
informacin detallada.
GlobalProtect
En el caso de usuarios mviles o con itinerancia, el cliente GlobalProtect proporciona la informacin de
asignacin de usuarios directamente al cortafuegos. En este caso, cada usuario de GlobalProtect tiene un agente
o una aplicacin ejecutndose en el cliente que requiere que el usuario introduzca credenciales de inicio de sesin
para un acceso mediante VPN al cortafuegos. A continuacin, esta informacin de inicio de sesin se aade a
la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicacin de polticas
de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse para poder
acceder a la red, la asignacin de direcciones IP a nombres de usuarios se conoce de manera explcita. Esta es
la mejor solucin en entornos confidenciales en los que deba estar seguro de quin es un usuario para permitirle
el acceso a una aplicacin o un servicio. Para obtener ms informacin sobre cmo configurar GlobalProtect,
consulte la Gua del administrador de GlobalProtect.
User-ID
215
User-ID
Si tiene un nico dominio, solamente necesita un perfil de servidor LDAP que conecte el cortafuegos
con el controlador de dominio utilizando la mejor conectividad. Puede aadir controladores de dominio
adicionales para la tolerancia a errores.
Si tiene varios dominios y/o varios bosques, deber crear un perfil de servidor para conectarse a un
servidor de dominio en cada dominio/bosque. Tome las medidas oportunas para garantizar que los
nombres se usuarios son exclusivos en los distintos bosques.
Si tiene grupos universales, cree un perfil de servidor para conectarse con el servidor de catlogo global.
Paso 1
216
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener informacin de asignacin de grupos.
1. Seleccione Dispositivo > Perfiles de
servidor > LDAP.
2. Haga clic en Aadir y, a continuacin,
introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al
que se aplica este perfil en el men
desplegable Ubicacin.
4. Haga clic en Aadir para aadir una nueva
entrada de servidor LDAP y, a continuacin,
introduzca un nombre de Servidor para
identificar al servidor (de 1 a 31 caracteres) y
el nmero de Direccin IP y Puerto que
debera utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para
LDAP sobre SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que
aada a un perfil debern ser del mismo tipo. Para la redundancia, debera aadir como mnimo dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deber crear perfiles de servidor separados.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se est conectando. Los atributos de LDAP correctos de la
configuracin de asignacin de grupos se cumplimentarn automticamente segn su seleccin. Sin embargo, si ha
personalizado su esquema, puede que tenga que modificar los ajustes predeterminados.
7. En el campo Base, seleccione el DN que se corresponda con el punto del rbol de LDAP donde desee que el
cortafuegos comience su bsqueda de informacin de usuarios y grupos.
8. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato Nombre
principal del usuario (UPN)
(por ejemplo, administrator@acme.local ) o puede ser un nombre de LDAP completo
(por ejemplo, cn=administrator,cn=users,dc=acme,dc=local ).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a travs de una conexin segura, seleccione la
casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de puerto adecuado.
10. Haga clic en Aceptar para guardar el perfil.
User-ID
User-ID
Paso 2
User-ID
Guarde la configuracin.
217
User-ID
Para asignar usuarios a medida que inicien sesin en sus servidores Exchange, controladores de dominio o
servidores eDirectory o clientes de Windows que puedan sondearse directamente, debe configurar un
agente de User-ID para supervisar los logs de servidor y/o sondear sistemas cliente. Puede instalar el
agente de User-ID de Windows independiente en uno o ms servidores miembros en el dominio que
contenga los servidores y clientes que vayan a supervisarse (consulte Configuracin de la asignacin de
usuarios mediante el agente de User-ID de Windows) o puede configurar el agente de User-ID del
cortafuegos que est integrado con PAN-OS (Configuracin de la asignacin de usuarios mediante el
agente de User-ID integrado en PAN-OS). Para obtener orientacin sobre qu configuracin de agente es
adecuada para su red y el nmero y las ubicaciones de agentes que son obligatorios, consulte Architecting
User Identification Deployments (en ingls).
Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server, Citrix Metaframe
Presentation Server o XenApp, consulte Configuracin del agente de servidor de terminal de Palo Alto
Networks para la asignacin de usuarios para obtener instrucciones sobre cmo instalar y configurar el
agente en un servidor de Windows. Si tiene un sistema multiusuario que no se est ejecutando en
Windows, puede utilizar la API XML de User-ID para enviar las asignaciones de direcciones IP a nombres
de usuarios directamente al cortafuegos. Consulte Recuperacin de asignaciones de usuarios de un
servidor de terminal mediante la API XML de User-ID.
Para obtener asignaciones de usuarios a partir de servicios de red existentes que autentiquen usuarios, tales
como controladores inalmbricos, dispositivos 802.1x, servidores Open Directory de Apple, servidores
proxy u otros mecanismos de control de acceso a la red (NAC), configure el agente de User-ID (bien el
agente de Windows, bien la funcin de asignacin de usuarios sin agente en el cortafuegos) para que
escuche mensajes de Syslog de autenticacin de esos servicios. Consulte Configuracin de User-ID para
recibir asignaciones de usuarios desde un emisor de Syslog.
Si tiene usuarios con sistemas cliente que no hayan iniciado sesin en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesin en el dominio), consulte Asignacin de
direcciones IP a nombres de usuario mediante un portal cautivo.
En el caso de otros clientes que no pueda asignar utilizando los mtodos anteriores, puede utilizar la API
XML de User-ID para aadir asignaciones de usuarios directamente al cortafuegos. Consulte Envo de
asignaciones de usuarios a User-ID mediante la API XML.
Como la poltica es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las
asignaciones de direcciones IP a nombres de usuarios para aplicar de forma precisa la poltica de seguridad
segn el grupo o usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las
asignaciones de usuarios y las distribuya a los otros cortafuegos. Para obtener ms informacin, consulte
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos.
218
User-ID
User-ID
User-ID
219
User-ID
Paso 1
Nota
Paso 2
1.
4.
Paso 3
2.
220
3.
4.
User-ID
User-ID
Paso 4
Paso 5
User-ID
3.
221
User-ID
Paso 6
222
User-ID
User-ID
Paso 1
User-ID
223
User-ID
Paso 2
1.
2.
3.
5.
Nota
6.
224
User-ID
User-ID
Paso 3
1.
(Opcional) Si ha configurado el agente
para que se conecte a un servidor Novell
eDirectory, debe especificar el modo en 2.
que el agente debera buscar el directorio.
Paso 4
User-ID
225
User-ID
Paso 5
Guarde la configuracin.
Paso 6
Nota
ignore-user
Paso 7
226
3.
4.
5.
6.
7.
User-ID
User-ID
Paso 8
3.
4.
5.
User-ID
227
User-ID
Paso 1
228
User-ID
User-ID
Paso 2
1.
Defina los servidores que debera
supervisar el cortafuegos para recopilar
informacin de asignacin de direccin 2.
IP a usuario. Puede definir entradas para
hasta 100 servidores Microsoft Active
3.
Directory, Microsoft Exchange o Novell
eDirectory en su red.
4.
Recuerde que para recopilar todas las
5.
asignaciones necesarias, deber
conectarse a todos los servidores en los
que sus usuarios inician sesin para que el 6.
cortafuegos pueda supervisar los archivos
de log de seguridad en todos los
servidores que contengan eventos de
inicio de sesin.
Nota
7.
Paso 3
User-ID
229
User-ID
Paso 4
Nota
Paso 5
Paso 6
Nota
Guarde la configuracin.
1.
2.
3.
1.
2.
donde <value> es una lista de las cuentas de usuario que hay que
ignorar; no hay ningn lmite en el nmero de cuentas que puede
aadir a la lista. Separe las entradas con un espacio y no incluya
el nombre de dominio con el nombre de usuario. Por ejemplo:
setuser-id-collectorignore-userSPAdminSPInstall
TFSReport
3.
Paso 7
Verifique la configuracin.
1.
2.
230
User-ID
User-ID
Paso 1
Nota
User-ID
1.
231
User-ID
Paso 2
2.
3.
4.
5.
232
User-ID
User-ID
Paso 3
2.
Nota
Nota
4.
User-ID
233
User-ID
Paso 4
1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.
2.
El ejemplo siguiente muestra una
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:
Nota
3.
4.
Paso 5
Nota
234
Aadir.
3.
4.
5.
6.
User-ID
User-ID
Paso 6
1.
2.
Nota
3.
Nota
Paso 7
User-ID
Guarde la configuracin.
235
User-ID
Paso 8
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:
1000
1000
0
4
Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Vsys
From
User
IdleTimeout(s) M
SYSLOG
acme\jdonaldson
2480
vsys1
SYSLOG
acme\ccrisp
2476
vsys1
SYSLOG
acme\jjaso
2476
vsys1
SYSLOG
acme\jblevins
2480
vsys1
SYSLOG
acme\bmoss
2480
vsys1
SYSLOG
acme\esogard
2476
vsys1
SYSLOG
acme\acallaspo
2476
vsys1
SYSLOG
acme\jlowrie
2478
Total: 9 users
236
User-ID
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog
Paso 1
Paso 2
2.
3.
4.
5.
User-ID
237
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog (Continuacin)
Paso 3
1.
Si seleccion Regex como el Tipo de
anlisis, cree los patrones de coincidencias
de regex para identificar los eventos de
autenticacin y extraer la informacin de
asignacin de usuarios.
El ejemplo siguiente muestra una
configuracin de Regex para mensajes de
Syslog coincidentes con el siguiente
formato:
2.
Nota
Nota
238
3.
4.
User-ID
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog (Continuacin)
Paso 4
1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.
2.
El ejemplo siguiente muestra una
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:
Nota
Paso 5
3.
4.
6.
1.
2.
3.
Paso 6
User-ID
1.
Defina los servidores que enviarn
mensajes de Syslog al agente de User-ID. 2.
3.
4.
5.
6.
7.
239
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog (Continuacin)
Paso 7
Guarde la configuracin.
Paso 8
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:
1000
1000
0
4
Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Vsys
From
User
IdleTimeout(s) M
SYSLOG
acme\jdonaldson
2480
vsys1
SYSLOG
acme\ccrisp
2476
vsys1
SYSLOG
acme\jjaso
2476
vsys1
SYSLOG
acme\jblevins
2480
vsys1
SYSLOG
acme\bmoss
2480
vsys1
SYSLOG
acme\esogard
2476
vsys1
SYSLOG
acme\acallaspo
2476
vsys1
SYSLOG
acme\jlowrie
2478
Total: 9 users
240
User-ID
User-ID
Descripcin
Autenticacin de NTLM
Formato web
Certificado de autenticacin de cliente Solicita al explorador que presente un certificado de cliente vlido para autenticar al
usuario. Para utilizar este mtodo debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir
esos certificados en el cortafuegos. Este es el nico mtodo de autenticacin que
habilita una autenticacin transparente para clientes de Mac OS y Linux.
User-ID
241
User-ID
Descripcin
Transparente
Redirigir
Paso 1
Paso 2
Asegrese de que DNS est configurado Para verificar que la resolucin es correcta, haga ping en el FQDN
para resolver sus direcciones de
del servidor. Por ejemplo:
controlador de dominio.
admin@PA-200> ping host dc1.acme.com
242
User-ID
User-ID
Paso 3
1.
Paso 4
Nota
2.
3.
3.
User-ID
243
User-ID
Paso 5
1.
Configure un mecanismo de
autenticacin para utilizarlo cuando se
invoque el formato web. Tenga en cuenta
que aunque tenga la intencin de utilizar
NTLM, tambin deber configurar un
mecanismo de autenticacin secundario
que pueda utilizarse si falla la
autenticacin de NTLM o si el agente de
usuario no la admite.
Prcticas recomendadas:
244
User-ID
User-ID
Paso 6
Nota
4.
Paso 7
Nota
User-ID
1.
2.
3.
4.
245
User-ID
Paso 8
de la seccin
Configuracin del agente de servidor de terminal de Palo Alto Networks para la asignacin de
usuarios
246
User-ID
User-ID
Paso 1
1.
2.
3.
4.
2.
3.
4.
Nota
User-ID
247
User-ID
Paso 3
Inicie la aplicacin del agente de servidor Haga clic en Iniciar y seleccione Agente de servidor de terminal.
de terminal.
Paso 4
Nota
1.
Seleccione Configurar.
2.
3.
4.
248
User-ID
User-ID
Paso 5
Paso 6
User-ID
3.
4.
5.
6.
7.
1.
2.
249
User-ID
<blockstart>: Se utiliza con los mensajes <login> y <logout> para indicar el nmero de puerto de
origen de partida asignado al usuario. A continuacin, el cortafuegos utiliza el tamao de bloque para
determinar el intervalo de nmeros de puertos que debe asignarse a la direccin IP y al nombre de usuario
del mensaje de inicio de sesin. Por ejemplo, si el valor de <blockstart> es 13200 y el tamao de bloque
configurado para el sistema multiusuario es 300, el intervalo del puerto de origen asignado al usuario es del
13200 al 13499. Cada conexin iniciada por el usuario debera utilizar un nmero de puerto de origen
exclusivo dentro del intervalo asignado, permitiendo que el cortafuegos identifique al usuario basndose en
sus asignaciones de direcciones IP, puertos y usuarios para la aplicacin de reglas de polticas de seguridad
basadas en usuarios y grupos. Cuando un usuario agota todos los puertos asignados, el servidor de terminal
debe enviar un nuevo mensaje <login> que asigne un nuevo intervalo de puertos para el usuario con el fin
de que el cortafuegos pueda actualizar la asignacin de direcciones IP, puertos y usuarios. Adems, un nico
nombre de usuario puede tener varios bloques de puertos asignados simultneamente. Cuando un
cortafuegos recibe un mensaje <logout> que incluye un parmetro <blockstart> , elimina la correspondiente
asignacin de direccin IP, puerto y usuario de su tabla de asignaciones. Cuando el cortafuegos recibe un
mensaje <logout> con un nombre de usuario y una direccin IP, pero sin <blockstart> , elimina al usuario
de su tabla. Y si el cortafuegos recibe un mensaje <logout> nicamente con una direccin IP, elimina el
sistema multiusuario y todas las asignaciones asociadas al mismo.
Los archivos XML que el servidor de terminal enva al cortafuegos pueden contener varios tipos
de mensajes y estos mensajes no tienen que estar en ningn orden especfico dentro del archivo.
Sin embargo, al recibir un archivo XML que contenga varios tipos de mensajes, el cortafuegos
los procesar en el siguiente orden: solicitudes multiusersystem en primer lugar, seguidas de
inicios de sesin y cierres de sesin.
250
User-ID
User-ID
El siguiente flujo de trabajo ofrece un ejemplo de cmo utilizar la API XML de User-ID para enviar
asignaciones de usuarios desde un servidor de terminal que no sea de Windows al cortafuegos.
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean
de Windows
Paso 1
Nota
Paso 2
</response>
Nmero mximo de
sistemas multiusuario: 1000
User-ID
251
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean
de Windows (Continuacin)
Paso 3
Nota
252
User-ID
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean
de Windows (Continuacin)
Paso 4
User-ID
Una forma de hacerlo sera utilizar reglas de NAT netfilter para ocultar sesiones
de usuarios detrs de los intervalos de puertos especficos asignados a travs de
la API XML basndose en el UID. Por ejemplo, para garantizar que un usuario
cuyo User-ID sea jjaso se asigne a una traduccin de direcciones de red de
origen (SNAT) cuyo valor sea 10.1.1.23:20000-20099, la secuencia de comandos
que cree debera incluir lo siguiente:
[root@ts1 ~]# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso
-p tcp -j SNAT --to-source 10.1.1.23:20000-20099
Del mismo modo, las secuencias de comandos que cree tambin deberan
garantizar que la configuracin de enrutamiento de la tabla de IP elimine
dinmicamente la asignacin de SNAT cuando el usuario cierre sesin o cuando
cambie la asignacin de puertos:
[root@ts1 ~]# iptables -t nat -D POSTROUTING 1
253
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean
de Windows (Continuacin)
Paso 6
Paso 7
254
User-ID
User-ID
La API XML de User-ID es una API REST que utiliza solicitudes HTTP estndar para enviar y recibir datos.
Las llamadas de la API se pueden realizar directamente desde utilidades de la lnea de comandos como cURL o
usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la
REST. Para aprovechar datos de usuarios de un sistema existente (como una aplicacin personalizada
desarrollada internamente u otro dispositivo que no est admitido por uno de los mecanismos de asignacin de
usuarios existentes) puede crear secuencias de comandos personalizadas para extraer los datos y enviarlos al
cortafuegos o al agente de User-ID mediante la API XML.
Para habilitar un sistema externo para que enve informacin de asignacin de usuarios al agente de User-ID o
directamente al cortafuegos, puede crear secuencias de comandos que extraigan los eventos de inicio de sesin
y cierre de sesin de usuarios y utilizarlas para introducirlos en el formato de solicitud de API XML de User-ID.
A continuacin defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o
wget mediante la clave de API del cortafuegos para lograr comunicaciones seguras. Para obtener informacin
ms detallada, consulte PAN-OS XML API Usage Guide (en ingls).
User-ID
255
User-ID
Paso 1
Configure el cortafuegos de
redistribucin.
Nota
Paso 2
256
1.
2.
Seleccione Redistribucin.
3.
4.
5.
3.
4.
5.
6.
User-ID
User-ID
Paso 3
Nota
5.
6.
7.
8.
9.
Verifique la configuracin.
de gestin).
User-ID
257
User-ID
Paso 1
Habilite User-ID en las zonas de origen que contengan los usuarios que enviarn solicitudes que requieran
controles de acceso basados en usuarios.
1. Seleccione Red > Zonas.
2. Haga clic en el Nombre de la zona en
la que desee habilitar User-ID para abrir
el cuadro de dilogo Zona.
3. Seleccione la casilla de verificacin
Habilitacin de la identificacin de
usuarios y, a continuacin, haga clic en
Aceptar.
258
User-ID
User-ID
Paso 2
Nota
1.
2.
User-ID
259
User-ID
Paso 3
Paso 4
260
User-ID
User-ID
Paso 1
Paso 2
Vsys
From
User
Timeout
acme\george
acme\duane
acme\betsy
210
210
210
192.168.201.10vsys1UIA
acme\administrator
210
192.168.201.100vsys1AD
acme\administrator
748
Total: 5 users
*: WMI probe succeeded
Paso 3
User-ID
261
User-ID
Paso 4
1.
2.
3.
4.
Paso 5
262
Verifique que los nombres de usuario se muestran en los archivos de log (Supervisar > Logs).
User-ID
User-ID
Paso 6
User-ID
Verifique que los nombres de usuario se muestran en los informes (Supervisar > Informes). Por ejemplo, al
examinar el informe de aplicaciones denegadas, debera ver una lista de los usuarios que intentaron acceder a las
aplicaciones como en el ejemplo siguiente.
263
264
User-ID
User-ID
App-ID
Para habilitar aplicaciones de forma segura en su red, los cortafuegos de prxima generacin de Palo Alto
Networks ofrecen proteccin tanto para aplicaciones como para Internet (App-ID y filtrado de URL) frente a
una amplia gama de riesgos legales, normativos, de productividad y de uso de recursos.
App-ID le permite visualizar las aplicaciones de la red, para que as pueda saber cmo funcionan y comprender
las caractersticas de su comportamiento y su riesgo relativo. Los conocimientos de esta aplicacin le permiten
crear y aplicar polticas de seguridad para habilitar, inspeccionar y moldear las aplicaciones que desee y bloquear
las que no desee. Cuando defina polticas para empezar a permitir el trfico, App-ID empezar a clasificar el
trfico sin ninguna configuracin adicional.
Qu es App-ID?
App-ID
265
Qu es App-ID?
App-ID
Qu es App-ID?
App-ID, un sistema de clasificacin de trfico patentado nicamente disponible en cortafuegos de Palo Alto
Networks, determina qu es la aplicacin, independientemente del puerto, el protocolo, el cifrado (SSH o SSL)
o cualquier otra tctica evasiva utilizada por la aplicacin. Aplica mltiples mecanismos de clasificacin (firmas
de aplicaciones, descodificacin de protocolos de aplicaciones y heurstica) al flujo de trfico de su red para
identificar aplicaciones de forma precisa.
App-ID identifica las aplicaciones que pasan por su red de la siguiente forma:
A continuacin, se aplican firmas al trfico permitido para identificar la aplicacin en funcin de sus
propiedades y caractersticas de transacciones. La firma tambin determina si la aplicacin se est utilizando
en su puerto predeterminado o si est utilizando un puerto no estndar. Si la poltica permite el trfico, a
continuacin este se examina en busca de amenazas y se analiza en mayor profundidad para identificar la
aplicacin de manera ms granular.
Si App-ID determina que el cifrado (SSL o SSH) ya est en uso y se est aplicando una poltica de descifrado,
la sesin se descifra y las firmas de la aplicacin se aplican de nuevo sobre el flujo descifrado.
Posteriormente, los descifradores de protocolos conocidos se utilizan para aplicar firmas adicionales basadas
en contextos para detectar otras aplicaciones que podran estar pasando por dentro del protocolo (por
ejemplo, Yahoo! Instant Messenger a travs de HTTP). Los descifradores validan que el trfico cumple con
la especificacin del protocolo y ofrecen asistencia para la NAT transversal y la apertura de pinholes
dinmicos para aplicaciones como SIP y FTP.
Para aplicaciones que son especialmente evasivas y que no se pueden identificar mediante firmas avanzadas
y anlisis de protocolos, podrn utilizarse la heurstica o los anlisis de comportamiento para determinar la
identidad de la aplicacin.
Cuando se identifica la aplicacin, la comprobacin de la poltica determina cmo tratar la aplicacin: por
ejemplo, bloquearla o autorizarla y analizarla en busca de amenazas, inspeccionar la transferencia no autorizada
de archivos y patrones de datos o moldearla utilizando QoS.
266
App-ID
App-ID
Datos incompletos: Se establece un protocolo, pero no se ha enviado ningn paquete de datos antes del
tiempo de espera.
Datos insuficientes: Se establece un protocolo seguido por uno o ms paquetes de datos; sin embargo, no se
han intercambiado suficientes paquetes de datos para identificar la aplicacin.
Cree polticas de seguridad para controlar aplicaciones desconocidas por TCP desconocido, UDP
desconocido o por una combinacin de zona de origen, zona de destino y direcciones IP.
Solicite una App-ID de Palo Alto Networks: Si desea inspeccionar y controlar las aplicaciones que atraviesan
su red, en el caso de cualquier trfico desconocido, puede registrar una captura de paquetes. Si la captura de
paquetes revela que la aplicacin es una aplicacin comercial, puede enviar esta captura de paquetes a Palo
Alto Networks para que App-ID lo desarrolle. Si es una aplicacin interna, puede crear una App-ID
personalizada y/o definir una poltica de cancelacin de aplicacin.
Cree una App-ID personalizada con una firma y adjntela a una poltica de seguridad, o bien cree una
App-ID personalizada y defina una poltica de cancelacin de aplicacin. Una App-ID personalizada le
permite personalizar la definicin de la aplicacin interna (sus caractersticas, categora y subcategora, riesgo,
puerto y tiempo de espera) y ejercer un control granular de las polticas para reducir al mnimo el rango de
trfico no identificado en su red. La creacin de una App-ID personalizada tambin le permite identificar
correctamente la aplicacin en el ACC y los logs de trfico y resulta de utilidad a la hora de realizar
auditoras/informes de las aplicaciones de su red. En el caso de una aplicacin personalizada, puede
especificar una firma y un patrn que identifiquen de manera exclusiva la aplicacin y la adjunten a una
poltica de seguridad que permita o niegue la aplicacin.
Para recopilar los datos correctos y as crear una firma de aplicacin personalizada, necesitar
comprender bien las capturas de paquetes y cmo se forman los datagramas. Si la firma se crea
de manera demasiado amplia, puede que incluya otro trfico similar de forma accidental; si se
define de manera demasiado reducida, el trfico evadir la deteccin si no coincide exactamente
con el patrn.
Las App-ID personalizadas se almacenan en una base de datos separada del cortafuegos y su
base de datos no se ve afectada por las actualizaciones semanales de App-ID.
Los descifradores de protocolos de aplicaciones admitidos que habilitan el cortafuegos para que
detecte las aplicaciones que puedan estar pasando a travs de un tnel por dentro del protocolo
incluyen los siguientes, segn la actualizacin de contenido 424: HTTP, HTTPS, DNS, FTP,
IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH, GNU-Debugger,
GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (tambin conocido como
CIFS). Adems, con la versin 4.0 de PAN-OS, esta capacidad de App-ID personalizada se ha
ampliado para incluir tambin TCP desconocido y UDP desconocido.
App-ID
267
App-ID
De forma alternativa, si desea que el cortafuegos procese la aplicacin personalizada utilizando el mtodo
rpido (la inspeccin de capa 4 en lugar de utilizar App-ID para la inspeccin de capa 7), puede hacer
referencia a la App-ID personalizada en una poltica de cancelacin de aplicacin. Una cancelacin de
aplicacin con una aplicacin personalizada evitar que el motor de App-ID procese la sesin, lo cual es una
inspeccin de capa 7. Por el contrario, obliga a que el cortafuegos gestione la sesin como un cortafuegos
de inspeccin de estado normal en la capa 4, con lo que ahorra tiempo de procesamiento de la aplicacin.
Por ejemplo, si crea una aplicacin personalizada que se activa en el encabezado de un host www.misitioweb.com,
los paquetes se identifican primero como exploracin web y, a continuacin, se identifican con su aplicacin
personalizada (cuya aplicacin principal es exploracin web). Dado que la aplicacin principal es exploracin
web, la aplicacin personalizada se inspecciona como capa 7 y se examina en busca de contenido y
vulnerabilidades.
Si define una cancelacin de aplicacin, el cortafuegos deja de procesar en la capa 4. El nombre de la
aplicacin personalizada se asigna a la sesin para ayudar a identificarla en los logs y no se examina el trfico
en busca de amenazas.
Si desea informacin ms detallada, consulte los siguientes artculos:
268
App-ID
App-ID
Consulte el ACC para obtener la lista de aplicaciones de su red y determine qu aplicaciones permitir o bloquear.
Si est migrando desde un cortafuegos donde defini reglas basadas en puertos, para obtener una lista de las
aplicaciones que se ejecutan en un puerto determinado, busque el nmero de puerto en el explorador de aplicaciones
(Objetos > Aplicaciones) del cortafuegos de Palo Alto Networks o en Applipedia.
2.
Utilice predeterminado de aplicacin para el Servicio. El cortafuegos compara el puerto utilizado con la lista de
puertos predeterminados para esa aplicacin. Si el puerto utilizado no es un puerto predeterminado para la aplicacin,
el cortafuegos descarta la sesin y registra en el log el mensaje appid policy lookup deny.
Si tiene una aplicacin a la que se accede desde varios puertos y desea limitar los puertos en los que se utiliza la
aplicacin, especifquelo en los objetos Servicio/Grupo de servicios de las polticas.
3.
Utilice filtros de aplicacin para incluir dinmicamente nuevas aplicaciones en reglas de poltica existentes. Vea un
ejemplo.
App-ID
269
App-ID
Admite implcitamente
360-safeguard-update
http
apple-update
http
apt-get
http
as2
http
avg-update
http
avira-antivir-update
http, ssl
blokus
rtmp
bugzilla
http
clubcooee
http
corba
http
cubby
http, ssl
dropbox
ssl
esignal
http
evernote
http, ssl
ezhelp
http
http, ssl
facebook-chat
jabber
facebook-social-plugin
http
fastviewer
http, ssl
forticlient-update
http
gmail
http
270
App-ID
App-ID
Aplicacin
Admite implcitamente
good-for-enterprise
http, ssl
google-cloud-print
google-desktop
http
google-drive-web
http
google-talk
jabber
google-update
http
gotomypc-desktop-sharing
citrix-jedi
gotomypc-file-transfer
citrix-jedi
gotomypc-printing
citrix-jedi
hipchat
http
iheartradio
ifront
http
http, ssl
issuu
http, ssl
java-update
http
jepptech-updates
http
kerberos
rpc
kik
http, ssl
lastpass
http, ssl
logmein
http, ssl
mcafee-update
http
megaupload
http
metatrader
http
mocha-rdp
t_120
mount
rpc
ms-frs
msrpc
ms-rdp
t_120
ms-scheduler
msrpc
ms-service-controller
msrpc
nfs
rpc
oovoo
http, ssl
paloalto-updates
ssl
App-ID
271
App-ID
Aplicacin
Admite implcitamente
panos-global-protect
http
panos-web-interface
http
pastebin
http
pastebin-posting
http
http, ssl
portmapper
rpc
prezi
http, ssl
rdp2tcp
t_120
renren-im
jabber
roboform
http, ssl
salesforce
http
stumbleupon
http
supremo
http
symantec-av-update
http
trendmicro
http
trillian
http, ssl
http
http, ssl
xm-radio
rtsp
272
App-ID
App-ID
App-ID
273
App-ID
Paso 1
Paso 2
Paso 3
Seleccione Personalizar... para ALG en la seccin Opciones del cuadro de dilogo Aplicacin.
Paso 4
Seleccione la casilla de verificacin Deshabilitar ALG del cuadro de dilogo Aplicacin - sip y haga
clic en ACEPTAR.
Paso 5
274
App-ID
Prevencin de amenazas
El cortafuegos de prxima generacin de Palo Alto Networks protege y defiende su red ante amenazas de
productos y amenazas avanzadas persistentes (APT). Los mecanismos de deteccin con varios elementos del
cortafuegos incluyen un enfoque basado en firmas (IPS/comando y control/antivirus), un enfoque basado en
la heurstica (deteccin de bots), un enfoque basado en Sandbox (WildFire) y un enfoque basado en anlisis con
el protocolo de capa 7 (App-ID).
Las amenazas de productos son exploits que son menos sofisticados y que se detectan y previenen ms
fcilmente con una combinacin de las capacidades de antivirus, antispyware, proteccin contra
vulnerabilidades y filtrado de URL/identificacin de aplicaciones del cortafuegos.
Las amenazas avanzadas son cometidas por cibercriminales organizados o grupos malintencionados que utilizan
vectores de ataque sofisticados que tienen como objetivo su red, habitualmente para robar propiedad intelectual
y datos financieros. Estas amenazas son ms evasivas y requieren mecanismos de supervisin inteligentes para
realizar una investigacin detallada de host y de red en busca de software malintencionado. El cortafuegos de
prxima generacin de Palo Alto Networks, junto con WildFire y Panorama, proporciona una solucin
completa que intercepta y detiene la cadena de ataque y ofrece visibilidad para evitar un incumplimiento de la
seguridad en sus infraestructuras de red, incluidas las mviles y las virtualizadas.
Para ver una lista de las amenazas y aplicaciones que los productos de Palo Alto Networks pueden
identificar, utilice los siguientes enlaces:
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto
al nmero de ID para obtener ms informacin acerca de una amenaza.
Prevencin de amenazas
275
Prevencin de amenazas
Filtrado de URL: Proporciona la capacidad de controlar el acceso a los sitios web basndose en la categora
de URL. Puede adquirir e instalar una suscripcin para PAN-DB (base de datos de Palo Alto Networks) o
las bases de datos de filtrado de URL de BrightCloud.
WildFire: La funcin WildFire se incluye como parte del producto bsico. Esto significa que cualquiera
puede configurar un perfil de bloqueo de archivos para reenviar archivos Portable Executable (PE) a
WildFire para su anlisis. Se requiere una suscripcin a la prevencin de amenazas para recibir las
actualizaciones de firmas de antivirus, lo que incluye las firmas descubiertas por WildFire.
El servicio de suscripcin a WildFire ofrece servicios mejorados para aquellas organizaciones que necesitan
una seguridad inmediata, y permite actualizaciones de firmas de WildFire con una frecuencia inferior a una
hora, el reenvo de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java) y la capacidad
para cargar archivos usando la API de WildFire. Tambin se requiere una suscripcin a WildFire si sus
cortafuegos van a reenviar archivos a un dispositivo WF-500 WildFire privado.
Reflejo de puerto de descifrado: Permite crear una copia del trfico descifrado desde el cortafuegos y
enviarla a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de paquetes sin
formato (como NetWitness o Solera) para su archivado y anlisis. Actualmente esta licencia est disponible
de manera gratuita a travs del portal de asistencia tcnica de Palo Alto Networks; esta funcin es compatible
nicamente en las plataformas de las series PA-7050, PA-5000 y PA-3000. Para obtener ms informacin,
consulte Configuracin del reflejo del puerto de descifrado.
276
Obtencin de claves de licencia del servidor de licencias: Use esta opcin si su licencia se ha activado
en el portal de asistencia tcnica.
Prevencin de amenazas
Prevencin de amenazas
Activacin de la funcin usando un cdigo de autorizacin: Use esta opcin para habilitar las
suscripciones adquiridas con un cdigo de autorizacin para licencias que no han sido previamente activadas
en el portal de asistencia tcnica.
Carga manual de la clave de licencia: Use esta opcin si su dispositivo no tiene conectividad con el sitio
de asistencia tcnica de Palo Alto Networks. En este caso, debe descargar un archivo de clave de licencia del
sitio de asistencia tcnica a travs de un ordenador conectado a Internet y despus cargarlo en el dispositivo.
Para obtener ms informacin sobre el registro y la activacin de licencias en su cortafuegos, consulte Activacin
de servicios de cortafuegos.
Descripcin
Antivirus
Prevencin de amenazas
277
Prevencin de amenazas
Funcin de prevencin
de amenazas
Descripcin
Antispyware
Proteccin contra
vulnerabilidades
Detiene los intentos de explotacin de fallos del sistema y de acceso no autorizado a los
sistemas. Por ejemplo, esta funcin protege contra desbordamiento de bfer, ejecucin de
cdigo ilegal y otros intentos de explotar las vulnerabilidades del sistema. El perfil
predeterminado de proteccin contra vulnerabilidades protege a clientes y servidores de
todas las amenazas conocidas de gravedad crtica, alta y media. Tambin puede crear
excepciones, que le permiten cambiar la respuesta a una firma concreta.
Los perfiles de proteccin contra vulnerabilidades y antispyware se configuran de forma
similar. El principal objetivo de la proteccin contra vulnerabilidades es detectar el trfico
malintencionado que entra en la red desde clientes infectados, mientras que la proteccin
contra vulnerabilidades evita las amenazas que salen de la red.
278
Prevencin de amenazas
Prevencin de amenazas
Funcin de prevencin
de amenazas
Descripcin
Filtrado de URL
Permite controlar el trfico web de usuarios basndose en sitios web especficos y/o
categoras de sitios web tales como para adultos, compras, apuestas, etc. La base de datos de
URL PAN-DB de Palo Alto Networks y la base de datos de BrightCloud estn disponibles
para la categorizacin y la aplicacin de polticas de filtrado de URL en el cortafuegos.
Para configurar el filtrado de URL, consulte Filtrado de URL.
Bloqueo de archivo
Filtrado de datos
Ayuda a evitar que la informacin confidencial, como los nmeros de tarjetas de crdito o
seguridad social, salga de la red protegida. Tambin puede filtrar por palabras clave, como
el nombre de un proyecto confidencial o la palabra confidencial. Es importante centrar su
perfil en el tipo de archivos deseado para reducir los falsos positivos. Por ejemplo, puede
que solo quiera buscar documentos de Word o Excel. O tal vez solo quiera analizar el trfico
de navegacin web o FTP.
Puede usar perfiles predeterminados o crear patrones de datos personalizados. Hay dos
perfiles predeterminados:
CC# (tarjeta de crdito): Identifica nmeros de tarjetas de crdito usando un algoritmo
de hash. El contenido debe coincidir con el algoritmo de hash para detectar los datos
como un nmero de tarjeta de crdito. Este mtodo reduce los falsos positivos.
SSN# (nmero de la seguridad social): Usa un algoritmo para detectar los nueve
dgitos, independientemente del formato. Hay dos campos: SSN# y SSN# (sin guin).
Prevencin de amenazas
279
Prevencin de amenazas
Funcin de prevencin
de amenazas
Descripcin
Filtrado de datos
(continuacin)
Para simplificar, si solamente quiere filtrar los archivos con nmeros de la seguridad social
(SSN) y define un peso de 3 para SSN#, usara la siguiente frmula: cada ejemplo de un SSN
x peso = incremento del umbral. En este caso, si un documento de Word tiene 10 nmeros
de la seguridad social, se multiplica esa cantidad por 3, de modo que 10 x 3 = 30. Para
realizar acciones con un archivo que contiene 10 nmeros de la seguridad social, debera
establecer el umbral en 30. Puede que desee establecer una alerta a los 30 y despus un
bloqueo a los 60. Puede que tambin quiera establecer un peso en el campo SSN# (sin
guin) para los nmeros de la seguridad social que no contengan guiones. Si se usan varios
ajustes, irn sumndose para alcanzar un umbral concreto.
Ejemplo 2
280
Prevencin de amenazas
Prevencin de amenazas
Funcin de prevencin
de amenazas
Descripcin
Ofrece un control detallado de las polticas de proteccin contra ataques por denegacin de
servicio (DoS). Las polticas DoS permiten controlar el nmero de sesiones entre interfaces,
zonas, direcciones y pases, basadas en sesiones agregadas o direcciones IP de origen o
destino. Hay dos mecanismos de proteccin DoS compatibles con los cortafuegos de Palo
Alto Networks.
Proteccin contra inundaciones: Detecta y evita los ataques en los que la red est
inundada con paquetes y esto provoca que haya muchas sesiones a medio abrir o servicios
que no pueden responder a cada solicitud. En este caso la direccin de origen del ataque
suele estar falsificada.
Proteccin de recursos: Detecta y previene los ataques de agotamiento por sesiones.
En este tipo de ataque, se usa un gran nmero de hosts (bots) para establecer el mayor
nmero posible de sesiones completas para consumir todos los recursos del sistema.
Estos dos mecanismos de proteccin pueden definirse en un nico perfil DoS.
El perfil DoS se usa para especificar el tipo de accin que se llevar a cabo y los detalles de
los criterios de coincidencia para la poltica DoS. El perfil DoS define ajustes para
inundaciones de ICMP, SYN y UDP, puede habilitar la proteccin de recursos y define el
nmero mximo de conexiones simultneas. Una vez configurado el perfil de proteccin
DoS, agrguelo a una poltica DoS.
Al configurar proteccin DoS, es importante analizar su entorno para establecer los
umbrales correctos y, debido a algunas de las complejidades para definir las polticas de
proteccin DoS, esta gua no ofrece ejemplos detallados. Para obtener ms informacin,
consulte Threat Prevention Tech Note (en ingls).
Proteccin de zonas
Ofrece proteccin adicional entre zonas de red especficas para protegerlas de los ataques.
El perfil debe aplicarse a toda la zona, as que es importante probar cuidadosamente los
perfiles para evitar que surjan problemas cuando el trfico normal cruce la zona. Si define
lmites de umbral de paquetes por segundo (pps) de perfiles de proteccin de zonas, el
umbral se basa en los paquetes por segundo que no coinciden con ninguna sesin
establecida previamente.
Para obtener ms informacin, consulte Threat Prevention Tech Note (en ingls).
Prevencin de amenazas
281
Prevencin de amenazas
Para obtener informacin sobre cmo controlar el acceso web como parte de su estrategia de prevencin de
amenazas, consulte Configuracin de filtrado de URL.
Paso 1
Paso 2
1.
282
Prevencin de amenazas
Prevencin de amenazas
Paso 3
1.
2.
3.
4.
La recomendacin general para programar las actualizaciones de firmas de antivirus es realizar una descarga e instalacin
diariamente en el caso de los antivirus y semanalmente para las aplicaciones y vulnerabilidades.
Recomendaciones para configuraciones de HA:
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
Prevencin de amenazas
283
Prevencin de amenazas
Paso 4
1.
2.
Nota
Paso 5
Compile la configuracin.
Paso 1
2.
3.
Nota
284
Prevencin de amenazas
Prevencin de amenazas
Paso 2
Paso 3
Defina el patrn de datos que se usar en el perfil de filtrado de datos. En este ejemplo, usaremos la palabra
clave confidencial y estableceremos la opcin de buscar nmeros de la seguridad social con guiones
(p. ej.: 987-654-4320). Es recomendable establecer los umbrales apropiados y definir las palabras clave dentro
de los documentos para reducir los falsos positivos.
1. Desde la pgina Perfil de filtrado de datos, haga clic en Aadir y seleccione Nuevo en el men desplegable
Patrn de datos. Tambin puede configurar patrones de datos desde Objetos > Firmas personalizadas >
Patrones de datos.
2. Para este ejemplo, d a la firma de patrn de datos el nombre
Detectar nmeros de la seguridad social y aada la descripcin
Patrn de datos para detectar nmeros de la seguridad social.
3. En la seccin Ponderacin de SSN# introduzca 3. Consulte Valores
de peso y umbral para obtener ms informacin.
4. (Opcional) Tambin puede establecer patrones personalizados que
quedarn sujetos a este perfil. En este caso, especifique un patrn en el
campo Regex de los patrones personalizados y determine una
ponderacin. Puede aadir mltiples expresiones coincidentes al mismo
perfil del patrn de datos. En este ejemplo, crearemos un patrn
personalizado llamado SSN_Personalizado con un patrn
personalizado de confidencial (el patrn distingue entre maysculas y
minsculas) y usaremos una ponderacin de 20. Usamos el trmino
confidencial en este ejemplo porque sabemos que nuestros
documentos de Word de la seguridad social contienen esta palabra, as
que definimos esa concretamente.
Prevencin de amenazas
285
Prevencin de amenazas
Paso 4
Paso 5
286
2.
2.
3.
Prevencin de amenazas
Prevencin de amenazas
Paso 6
Paso 7
Compile la configuracin.
Paso 8
1.
2.
Prevencin de amenazas
287
Prevencin de amenazas
Paso 1
Paso 2
288
1.
2.
1.
2.
3.
4.
5.
6.
7.
Prevencin de amenazas
Prevencin de amenazas
Paso 3
1.
2.
3.
4.
Compile la configuracin.
Para comprobar su configuracin de bloqueo de archivos, acceda a un PC cliente en la zona fiable del cortafuegos
y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debera aparecer una pgina de
respuesta. Haga clic en Continuar para descargar el archivo. Tambin puede establecer otras acciones, como
nicamente alertar, reenviar (que reenviar a WildFire) o bloquear, que no proporcionar al usuario una pgina
que le pregunte si desea continuar. A continuacin se muestra la pgina de respuesta predeterminada de Bloqueo
de archivos:
Paso 5
(Opcional) Defina pginas de respuesta de bloqueo de archivos (Dispositivo > Pginas de respuesta). Esto le
permite ofrecer ms informacin a los usuarios cuando ven una pgina de respuesta. Puede incluir informacin
como la informacin de polticas de empresa e informacin de contacto de un departamento de soporte tcnico.
Nota
Cuando crea un perfil de bloqueo de archivos con la accin Continuar o Continuar y reenviar (utilizado para el
reenvo de WildFire), nicamente puede elegir la aplicacin de navegacin web. Si elige cualquier otra aplicacin,
el trfico que coincida con la poltica de seguridad no fluir hacia el cortafuegos debido al hecho de que los
usuarios no vern una pgina que les pregunte si desean continuar. Asimismo, si el sitio web utiliza HTTPS,
necesitar tener instaurada una poltica de descifrado.
Tal vez desee comprobar sus logs para confirmar qu aplicacin se est usando al probar esta caracterstica. Por ejemplo,
si est utilizando Microsoft Sharepoint para descargar archivos, aunque est utilizando un explorador web para acceder al
sitio, la aplicacin en realidad es sharepoint-base o sharepoint-document . Tal vez quiera establecer el tipo de
aplicacin como Cualquiera para probar.
Prevencin de amenazas
289
Prevencin de amenazas
Aada el perfil de vulnerabilidad a una regla de seguridad. Consulte Configuracin de antivirus, antispyware
y proteccin contra vulnerabilidades.
Instale actualizaciones de contenido que incluyan nuevas firmas para proteger ante amenazas emergentes.
Consulte Gestin de la actualizacin de contenidos.
Personalizacin de la accin y las condiciones de activacin para una firma de fuerza bruta
Nombre de amenaza
40001
40000
40003
40004
290
Prevencin de amenazas
Prevencin de amenazas
ID de firma
Nombre de amenaza
40005
CORREO: Intento de
fuerza bruta en el inicio
de sesin de usuario
40006
40007
31709
40008
40009
40010
40011
40012
40013
31719
31732
31753
Prevencin de amenazas
291
Prevencin de amenazas
ID de firma
Nombre de amenaza
40014
40015
40016
40017
40018
40019
40020
40021
40022
292
31914
HTTP: Intento de
denegacin de servicio
de Apache
32452
HTTP: Intento de
denegacin de servicio
de IIS
32513
Intento de agotamiento
de nmero de llamadas
de Digium Asterisk
IAX2
32785
MS-RDP: Intento de
conexin a escritorio
remoto de MS
33020
Prevencin de amenazas
Prevencin de amenazas
ID de firma
Nombre de amenaza
40023
40028
40030
40031
40032
40033
40034
34520
DNS: Ataque de
denegacin de servicio
de fuerza bruta en
consultas ANY
34842
Prevencin de amenazas
293
Prevencin de amenazas
Por lo general, una firma secundaria tiene de manera predeterminada la accin Permitir porque un nico evento
no es indicativo de un ataque. En la mayora de los casos, la accin de una firma secundaria est establecida como
Permitir para que el trfico legtimo no quede bloqueado y no se generen logs de amenaza para eventos que no
sean destacados. Por lo tanto, Palo Alto Networks nicamente le recomienda cambiar la accin predeterminada
despus de haberlo considerado detenidamente.
En la mayora de los casos, la firma de fuerza bruta es un evento destacado debido a su patrn recurrente. Si
desea personalizar la accin de una firma de fuerza bruta, puede realizar una de las siguientes acciones:
Cree una regla para modificar la accin predeterminada para todas las firmas de la categora de fuerza bruta.
Puede definir la accin para permitir, alertar, bloquear, restablecer o descartar el trfico.
Defina una excepcin para una firma especfica. Por ejemplo, puede buscar una CVE y definir una excepcin
para ella.
Para una firma principal, puede modificar tanto las condiciones de activacin como la accin; para una firma
secundaria, solamente puede modificarse la accin.
Para mitigar un ataque de manera eficaz, se recomienda la accin Bloquear
direccin IP antes que la accin Colocar o Restaurar para la mayora de firmas de
fuerza bruta.
Paso 1
Paso 2
294
3.
4.
5.
6.
7.
Prevencin de amenazas
Prevencin de amenazas
Paso 3
2.
3.
4.
Paso 4
5.
6.
7.
Haga clic en
para editar el atributo de tiempo y los
criterios de agregacin para la firma.
2.
3.
Paso 5
Paso 6
Prevencin de amenazas
4.
1.
295
Prevencin de amenazas
Para servidores web, cree una poltica de seguridad para que solo se permitan los protocolos que admite el
servidor. Por ejemplo, garantice que solo se permite el trfico HTTP a un servidor web. Si ha definido una
poltica de anulacin de aplicaciones para una aplicacin personalizada, asegrese de restringir el acceso a
una zona de origen especfica o un conjunto de direcciones IP.
Adjunte los siguientes perfiles de seguridad a sus polticas de seguridad para proporcionar una proteccin
basada en firmas.
Cree un perfil de proteccin contra vulnerabilidades para bloquear todas las vulnerabilidades con
gravedad baja y alta.
Cree un perfil de antivirus para bloquear todo el contenido que coincida con una firma de antivirus.
Cree un perfil de bloqueo de archivos que bloquee tipos de archivos Portable Executable (PE) para trfico
de SMB (bloqueo de mensajes del servidor) basado en Internet para que no pase de las zonas fiables a las
no fiables (aplicaciones ms-ds-smb).
Para lograr una proteccin adicional, cree una poltica antivirus para detectar y bloquear los archivos DLL
malintencionados conocidos.
Cree un perfil de proteccin de zona configurado para descartar segmentos de TCP no coincidentes y
superpuestos, para as proteger frente a los ataques basados en paquetes.
Al establecer deliberadamente conexiones con datos superpuestos pero diferentes en ellos, los atacantes
pueden intentar conseguir una interpretacin equivocada de la intencin de la conexin. Esto puede
utilizarse para inducir deliberadamente falsos positivos o falsos negativos. Un atacante puede utilizar la
replicacin de IP y la prediccin de nmeros de secuencia para interceptar la conexin de un usuario e
introducir sus propios datos en la conexin. PAN-OS utiliza este campo para descartar dichas tramas con
datos no coincidentes y superpuestos. Las situaciones en las que el segmento recibido se descartar son las
siguientes:
Verifique que est habilitada la compatibilidad con IPv6 si ha configurado direcciones IPv6 en sus hosts de
red. (Red > Interfaces > Ethernet > IPv6)
Esto permite acceder a hosts IPv6 y filtra los paquetes IPv6 que estn resumidos en paquetes IPv4. Al
habilitar la compatibilidad con IPv6 se evita que las direcciones de multidifusin IPv6 sobre IPv4 se
aprovechen para el reconocimiento de red.
296
Habilite la compatibilidad con trfico de multidifusin para que el cortafuegos pueda aplicar la poltica
sobre trfico de multidifusin. (Red > Enrutador virtual > Multidifusin)
Prevencin de amenazas
Prevencin de amenazas
Habilite el siguiente comando de la CLI para borrar la marca de bit URG en el encabezado TCP y
desautorice el procesamiento de paquetes fuera de banda.
El puntero de urgencia en el encabezado TCP se utiliza para promover un paquete para su procesamiento
inmediato retirndolo de la cola de procesamiento y envindolo a travs de la pila TCP/IP en el host. Este
proceso se denomina procesamiento fuera de banda. Debido a que la implementacin del puntero de
urgencia vara segn el host, para eliminar la ambigedad, utilice el siguiente comando de la CLI para
desautorizar el procesamiento fuera de banda; el byte fuera de banda en la carga se convierte en parte de la
carga y el paquete no se procesa con urgencia. Al hacer este cambio eliminar la ambigedad sobre el
procesamiento del paquete en el cortafuegos y en el host, y el cortafuegos ve exactamente el mismo flujo
en la pila de protocolos como el host al que va destinado el paquete.
set deviceconfig setting tcp urgent-data clear
Habilite los siguientes comandos de la CLI para deshabilitar la inspeccin de paquetes cuando se alcance el
lmite de paquetes que no funcionan. El cortafuegos de Palo Alto Networks puede recopilar hasta 32
paquetes que no funcionan por sesin. Este contador identifica si los paquetes han superado el lmite de
32 paquetes. Cuando el ajuste de derivacin se establece como no, el dispositivo descarta los paquetes que
no funcionan que superan el lmite de 32 paquetes. Es necesario confirmar.
set deviceconfig setting tcp bypass-exceed-oo-queue no
set deviceconfig setting ctd bypass-exceed-queue no
Habilite los siguientes comandos de la CLI para comprobar la marca de tiempo de TCP. La marca de
tiempo de TCP registra cundo se envi el segmento y permite que el cortafuegos verifique si la marca de
tiempo es vlida para esa sesin.
set deviceconfig setting tcp check-timestamp-option yes
Prevencin de amenazas
297
Prevencin de amenazas
URL
Base de datos de
aplicaciones
updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15
Base de datos
amenazas/antivirus
updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15
downloads.paloaltonetworks.com:443
Como prctica recomendada, establezca
el servidor de actualizaciones para que
acceda a updates.paloaltonetworks.com.
De esta forma el dispositivo de Palo Alto
Networks podr recibir actualizaciones
de contenidos desde el servidor que est
ms cercano en la infraestructura de
CDN.
Filtrado de URL de
PAN-DB
*.urlcloud.paloaltonetworks.com
50.18.116.114
174.129.212.185
46.51.252.65
46.137.75.101
Filtrado de URL de
BrightCloud
298
database.brightcloud.com:443/80
service.brightcloud.com:80
Prevencin de amenazas
Prevencin de amenazas
Recurso
URL
WildFire
beta.wildfire.paloaltonetworks.com:443/80 mail.wildfire.paloaltonetworks.com:25
beta-s1.wildfire.paloaltonetworks.com:443
/80
o la direccin IP 54.241.16.83
Nota
wildfire.paloaltonetworks.com:443/80
Prevencin de amenazas
ca-s1.wildfire.paloaltonetworks.com:44
o 54.241.34.71
va-s1.wildfire.paloaltonetworks.com:443
o 174.129.24.252
eu-s1.wildfire.paloaltonetworks.com:443
o 54.246.95.247
sg-s1.wildfire.paloaltonetworks.com:443
o 54.251.33.241
jp-s1.wildfire.paloaltonetworks.com:443
o 54.238.53.161
portal3.wildfire.paloaltonetworks.com:4
43/80 o 54.241.8.199
ca-s3.wildfire.paloaltonetworks.com:443
o 54.241.34.71
va-s3.wildfire.paloaltonetworks.com:443
o 23.21.208.35
eu-s3.wildfire.paloaltonetworks.com:443
o 54.246.95.247
sg-s3.wildfire.paloaltonetworks.com:443
o 54.251.33.241
jp-s3.wildfire.paloaltonetworks.com:443
o 54.238.53.161
wildfire.paloaltonetworks.com.jp:443/8
0 o 180.37.183.53
wf1.wildfire.paloaltonetowrks.jp:443 o
180.37.180.37
wf2.wildfire.paloaltonetworks.jp:443 o
180.37.181.18
portal3.wildfire.paloaltonetworks.jp:443
/80 o 180.37.183.53
299
300
Prevencin de amenazas
Prevencin de amenazas
Descifrado
Los cortafuegos de Palo Alto Networks ofrecen la posibilidad de descifrar y examinar el trfico para ofrecer
gran visibilidad, control y seguridad granular. El descifrado de un cortafuegos de Palo Alto Networks ofrece la
capacidad de aplicar polticas de seguridad al trfico cifrado, que de otra manera no podran bloquearse ni
moldearla de acuerdo con los ajustes de seguridad que ha configurado. Use el descifrado en un cortafuegos para
evitar que entre en su red contenido malicioso o que salga de ella contenido sensible, escondido como trfico
cifrado. La activacin del descifrado en un cortafuegos de Palo Alto Networks puede incluir la preparacin de
claves y certificados necesarios para el descifrado, la creacin de una poltica de descifrado y la configuracin de
un reflejo de puerto de descifrado. Consulte los siguientes temas para saber ms sobre el descifrado y
configurarlo:
Descifrado
301
Descifrado
Proxy SSH
Excepciones de descifrado
Los protocolos SSL (Secure Sockets Layer, Capa de sockets seguros) y SSH (Secure Shell, Shell seguro) se usan
para asegurar el trfico entre dos entidades, como un servidor web y un cliente. El SSL y el SSH encapsulan el
trfico, cifrando los datos de modo que sean ininteligibles para todas las entidades excepto el cliente y el servidor
que cuenten con las claves para descodificar los datos y los certificados, lo que garantiza la confianza entre los
dispositivos. El trfico que se ha cifrado con los protocolos SSL y SSH puede descifrarse para garantizar que
esos protocolos se estn usando nicamente para los fines deseados y no para ocultar una actividad no deseada
o contenido malicioso.
Los cortafuegos de Palo Alto Networks descifran el trfico cifrado mediante claves que transforman las cadenas
(contraseas y secretos compartidos) de texto cifrado a texto sin cifrar (descifrado) y de texto sin cifrar a texto
cifrado (recifrado del trfico cuando abandone el dispositivo). Los certificados se usan para definir al
cortafuegos como un interlocutor de confianza y crear una conexin segura. El cifrado SSL (tanto en la
inspeccin entrante como el proxy de reenvo) requiere certificados para establecer la confianza entre dos
entidades para asegurar una conexin SSL/TLS. Los certificados tambin pueden usarse al excluir a los
servidores del descifrado SSL. Puede integrar un mdulo de seguridad de hardware (HSM) con un cortafuegos
para permitir una seguridad mejorada para las claves privadas usadas en el proxy de envo SSL como en el
descifrado de inspeccin entrante SSL. Si desea ms informacin sobre el almacenamiento y generacin de
claves mediante un HSM en su cortafuegos, consulte Claves seguras con un mdulo de seguridad de hardware.
El descifrado SSH no requiere certificados.
El descifrado del cortafuegos de Palo Alto Networks se basa en polticas y puede usarse para descifrar, examinar
y controlar las conexiones SSL y SSH entrantes y salientes. Las polticas de descifrado le permiten especificar el
trfico que se desea descifrar en funcin de la categora de URL, destino u origen para poder bloquear o
restringir el trfico especificado segn sus ajustes de seguridad. El cortafuegos usa certificados y claves para
descifrar el trfico especificado por la poltica en texto sin cifrar, y despus refuerza los ajustes de seguridad y
App-ID en el trfico de texto sin cifrar, incluidos los perfiles de descifrado, antivirus, vulnerabilidad, anti-spyware,
filtrado de URL y bloqueo de archivos. Cuando el trfico se haya descifrado y examinado en el cortafuegos, el trfico
de texto sin cifrar se volver a cifrar a medida que salga del cortafuegos para asegurar su privacidad y seguridad.
Use el descifrado basado en polticas en el cortafuegos para conseguir resultados como los siguientes:
Evite que el software malintencionado oculto como trfico cifrado se introduzca en una red de su empresa.
Descifre el trfico de forma selectiva; por ejemplo, puede excluir del descifrado el trfico de sitios financieros
o sanitarios mediante la configuracin de excepciones de descifrado.
302
Descifrado
Descifrado
Las tres polticas de descifrado que se ofrecen en el cortafuegos, Proxy SSL de reenvo, Inspeccin de entrada
SSL y Proxy SSH, proporcionan mtodos para detectar y examinar especficamente trfico saliente SSL, trfico
SSL entrante y trfico SSH, respectivamente. Las polticas de descifrado proporcionan los ajustes para que
especifique qu trfico descifrar y qu perfiles de descifrado se pueden seleccionar al crear una poltica con el
objetivo de aplicar ajustes de seguridad ms granulares al trfico descifrado, como por ejemplo para buscar
certificados del servidor, modos no admitidos y fallos. Este descifrado basado en polticas en el cortafuegos le
ofrece visibilidad y controla del trfico cifrado SSL y SSH de acuerdo con parmetros configurables.
Tambin puede optar por extender una configuracin de descifrado en el cortafuegos para incluir el Reflejo del
puerto de descifrado, lo que permite el reenvo de trfico descifrado como texto sin cifrar a una solucin externa
para su anlisis y archivo.
La Tabla: Claves y certificados de dispositivos de Palo Alto Networks describe las distintas claves y certificados
que usan los dispositivos de Palo Alto Networks para el descifrado. Una prctica recomendada es utilizar
diferentes claves y certificados para cada uso.
Descifrado
303
Descifrado
Descripcin
Reenvo fiable
Reenvo no fiable
Certificado SSL de exclusin Certificados de servidores que quiere excluir del descifrado SSL/TLS. Por ejemplo, si
Certificado que se usa para descifrar el trfico SSL/TLS entrante para su inspeccin y
la aplicacin de polticas. Para este uso, debe importar el certificado de servidor para
los servidores cuya inspeccin entrante SSL est realizando, o almacenarlos en un HSM
(consulte Almacenamiento de claves privadas en un HSM).
304
Descifrado
Descifrado
A medida que el cortafuegos siga recibiendo trfico SSL del servidor que est destinado al cliente, lo descifrar
en un trfico de texto claro y aplicar polticas de seguridad al trfico. A continuacin el trfico se recifrar en
el cortafuegos, que enviar el trfico cifrado al cliente.
Ilustracin: Proxy SSL de reenvo muestra este proceso en detalle.
Ilustracin: Proxy SSL de reenvo
Consulte Configuracin del proxy SSL de reenvo si desea ms detalles sobre la configuracin del proxy SSL de
reenvo.
Descifrado
305
Descifrado
Consulte Configuracin de la inspeccin de entrada SSL si desea ms detalles sobre la configuracin del proxy
SSL de reenvo.
Proxy SSH
El proxy SSH permite que el cortafuegos descifre las conexiones de SSH entrantes y salientes que lo atraviesan
para asegurar que el SSH no se use para encubrir aplicaciones y contenido no deseado. El descifrado SSH no
requiere ningn certificado, y la clave que se usa para el descifrado SSH se genera automticamente al iniciar el
cortafuegos. Durante el proceso de inicio, el cortafuegos comprueba si ya existe una clave. De lo contrario, se
genera una clave. Esta clave se usa para descifrar las sesiones SSH de todos los sistemas virtuales configurados
en el dispositivo. La misma clave se usa para descifrar todas las sesiones SSH v2.
En una configuracin Proxy SSH, el cortafuegos se encuentra entre un cliente y un servidor. Cuando el cliente
inicia una solicitud SSH al servidor, el cortafuegos intercepta la solicitud la reenva al servidor. A continuacin
el cortafuegos intercepta la respuesta del servidor y la reenva al cliente, estableciendo un tnel SSH entre el
cortafuegos y el cliente y un tnel SSH entre el cortafuegos y el servidor, por lo que el cortafuegos funciona
como proxy. A medida que el trfico fluye entre el cliente y el servidor, el cortafuegos puede distinguir si el
trfico SSH se enruta normalmente o si usa un tnel SSH (reenvo de puertos). Las inspecciones de contenido
y amenazas no se realizan en los tneles SSH, sin embargo, si el cortafuegos identifica tneles SSH, el trfico
con tnel SSH se bloquear y restringir de acuerdo con las polticas de seguridad configuradas.
Ilustracin: Descifrado del proxy SSH muestra este proceso en detalle.
306
Descifrado
Descifrado
Consulte Configuracin del Proxy SSH si desea ms detalles sobre la configuracin de una poltica de proxy
SSH.
Excepciones de descifrado
Hay trfico que puede excluirse del descifrado mediante criterios de comparacin (con una poltica de
descifrado) o mediante la especificacin del servidor de destino (mediante certificados); mientras que algunas
aplicaciones se excluyen del descifrado por defecto.
Las aplicaciones que no funcionen adecuadamente cuando las descifra el cortafuegos se excluirn
automticamente del descifrado SSL. Las aplicaciones que se excluyen por defecto del descifrado SSL son
aquellas que suelen fallar por el descifrado porque la aplicacin busca detalles especficos en el certificado que
pueden no estar presentes en el certificado generado por el proxy SSL de reenvo. Consulte el artculo de la base
de conocimientos (KB) List of Applications Excluded from SSL Decryption (Lista de aplicaciones excluidas del
cifrado SSL) si desea una lista actualizada de las aplicaciones excluidas por defecto del descifrado SSL en el
cortafuegos.
Puede configurar excepciones de descifrado para ciertas categoras o aplicaciones de URL que pueden no
funcionar adecuadamente cuando el descifrado est activado o por cualquier otro motivo, incluidos los fines
legales o de privacidad. Puede usar una poltica de descifrado para excluir el trfico del descifrado en funcin
del origen, el destino y la categora de URL. Por ejemplo, con el descifrado SSL activado, puede excluir el trfico
que se categoriza como financiero o sanitario del descifrado mediante la seleccin de categora URL. Para crear
una poltica de descifrado que excluya el trfico del descifrado:
Descifrado
307
Descifrado
Tambin puede excluir servidores del descifrado SSL segn el nombre comn (CN) del certificado del servidor.
Por ejemplo, si ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el descifrado SSL
(por ejemplo, servicios web de sus sistemas de RR. HH.), puede excluir esos servidores del descifrado
importando el certificado del servidor al cortafuegos y modificndolo para que sea un certificado SSL de
exclusin.
Para excluir el trfico del descifrado segn la aplicacin, origen, destino o categora de URL o para excluir el
trfico de un servidor especfico del descifrado, consulte Configuracin de excepciones de descifrado.
308
Descifrado
Descifrado
Paso 1
Paso 2
3.
4.
Descifrado
309
Descifrado
1.
Una CA de empresa puede emitir un
certificado de firma que el cortafuegos
puede utilizar para, a continuacin, firmar
los certificados de los sitios que requieran un
descifrado SSL. Enve una solicitud de firma
de certificado (CSR) para que la CA de
empresa lo firme y lo valide. A continuacin,
el cortafuegos podr utilizar el certificado de
CA de empresa firmado para el descifrado
del proxy SSL de reenvo. Dado que los
sistemas cliente ya confan en la CA de
empresa, con esta opcin, no necesita
distribuir el certificado a los sistemas cliente
antes de configurar el descifrado.
2.
Exporte la CSR:
a. Seleccione el certificado pendiente que aparece en la pestaa
Certificados de dispositivos.
b. Haga clic en Exportar para descargar y guardar el archivo del
certificado.
Nota Deje Exportar clave privada sin seleccionar para
garantizar que la clave privada permanezca protegida en
el cortafuegos.
c. Haga clic en ACEPTAR.
d. Proporcione el archivo del certificado a su CA de empresa.
Cuando reciba el certificado de CA de empresa firmado de su
CA de empresa, gurdelo para importarlo en el cortafuegos.
3.
310
Descifrado
Descifrado
Paso 3
Paso 4
2.
3.
4.
5.
6.
7.
Nota
8.
1.
Descifrado
311
Descifrado
Paso 5
1.
2.
3.
4.
Nota
Paso 6
312
Compile la configuracin.
5.
6.
7.
Con una poltica de descifrado del proxy SSL de reenvo habilitada, todo
el trfico identificado por la poltica se descifrar. El trfico descifrado se
bloquea y restringe de acuerdo con los perfiles configurados en el
cortafuegos (incluidos los perfiles de descifrado asociados a la poltica y
los perfiles Antivirus, Vulnerabilidad, Antispyware, Filtrado de URL y
Bloqueo de archivo). El trfico vuelve a cifrarse a medida que sale del
cortafuegos.
Descifrado
Descifrado
Paso 1
Asegrese de que las interfaces adecuadas Visualice las interfaces configuradas en la pestaa Red > Interfaces >
Ethernet. La columna Tipo de interfaz muestra si una interfaz est
estn configuradas como interfaces de
Virtual Wire, capa 2 o capa 3.
configurada para ser una interfaz de Virtual Wire, Capa 2 o Capa 3.
Puede seleccionar una interfaz para modificar su configuracin,
incluido qu tipo de interfaz es.
Paso 2
Paso 3
2.
3.
4.
1.
Descifrado
313
Descifrado
Paso 4
1.
2.
3.
4.
Nota
5.
Paso 5
314
Compile la configuracin.
6.
7.
Descifrado
Descifrado
Paso 1
Paso 2
1.
Paso 4
Compile la configuracin.
Descifrado
1.
2.
3.
4.
5.
6.
7.
315
Descifrado
Paso 1
316
1.
2.
3.
4.
5.
6.
Descifrado
Descifrado
Paso 2
Mueva la poltica de descifrado a la parte En la pgina Descifrado > Polticas, seleccione la poltica
superior de la lista de polticas de
No-Decrypt-Finance-Health y haga clic en Mover hacia arriba hasta que
descifrado.
aparezca en la parte superior de la lista (o puede arrastrarla y soltarla).
El orden en que aparecen las polticas de descifrado es el mismo
orden en que se aplican al trfico de red. Si mueve la poltica con la
accin No hay ningn descifrado aplicada a la parte superior de la
lista, garantizar que el trfico especificado no se descifre de acuerdo
con otra poltica configurada.
Paso 3
Compile la configuracin.
Paso 1
Paso 2
Seleccione el certificado del servidor de destino en la pestaa Certificados de dispositivo y habiltelo como un
Certificado SSL de exclusin.
Con el certificado del servidor de destino importado en el cortafuegos y designado como Certificado SSL de
exclusin, el trfico del servidor no se descifrar cuando pase a travs del cortafuegos.
Descifrado
317
Descifrado
Paso 1
318
2.
3.
4.
5.
Descifrado
Descifrado
Paso 2
Paso 3
2.
3.
4.
Paso 4
2.
3.
4.
1.
2.
3.
4.
Descifrado
319
Descifrado
Paso 5
1.
2.
4.
Paso 6
Paso 7
320
Guarde la configuracin.
3.
4.
Descifrado
Filtrado de URL
La solucin de filtrado de URL de Palo Alto Networks es una potente funcin de PAN-OS que se utiliza para
supervisar y controlar el modo en que los usuarios acceden a Internet a travs de HTTP y HTTPS. Los
siguientes temas ofrecen una descripcin general del filtrado de URL, informacin de configuracin y solucin
de problemas y las prcticas recomendadas para sacar el mximo partido de esta funcin:
Filtrado de URL
321
Filtrado de URL
Cmo se utilizan las categoras de URL como criterios de coincidencia en las polticas?
PAN-DB: Base de datos de filtrado de URL desarrollada por Palo Alto Networks, que est estrechamente
integrada en PAN-OS mediante el uso de almacenamiento en cach local de alto rendimiento para lograr el
mximo rendimiento en lnea de las bsquedas de URL, mientras que una arquitectura de nube distribuida
proporciona cobertura para los sitios web ms recientes.
BrightCloud: Base de datos de URL externa, propiedad de Webroot, Inc., que est integrada en los
cortafuegos de PAN-OS. Para obtener informacin sobre la base de datos de URL de BrightCloud, visite
http://brightcloud.com.
322
Filtrado de URL
Filtrado de URL
No resuelto: Indica que el sitio web no se ha encontrado en la base de datos de filtrado de URL local y que
el cortafuegos no ha podido conectarse con la base de datos de la nube para comprobar la categora. Cuando
se realiza una bsqueda de categora de URL, en primer lugar, el cortafuegos comprueba la cach del plano
de datos en busca de la URL; si no se encuentra ninguna coincidencia, a continuacin comprueba la cach
del plano de gestin; y si no se encuentra ninguna coincidencia all, consulta la base de datos de URL en la
nube.
Al decidir qu accin realizar para el trfico categorizado como No resuelto, tenga en cuenta que si establece
una accin de bloqueo, puede perjudicar mucho a los usuarios.
Filtrado de URL
323
Filtrado de URL
Para obtener ms informacin sobre la solucin de problemas de bsqueda, consulte Solucin de problemas
del filtrado de URL.
Direcciones IP privadas: Indica que el sitio web es un nico dominio (no tiene subdominios), la direccin
IP est en el intervalo de IP privadas o el dominio raz de la URL es desconocido para la nube.
Desconocido: El sitio web todava no se ha categorizado, as que no existe en la base de filtrado de URL
del cortafuegos o en la base de datos de la nube de URL.
Al decidir qu accin realizar para el trfico categorizado como Desconocido, tenga en cuenta que si establece
una accin de bloqueo, puede perjudicar mucho a los usuarios, ya que podra haber muchos sitios vlidos
que todava no estn en la base de datos de URL. Si desea tener una poltica muy estricta, podra bloquear
esta categora, de modo que no se pueda acceder a los sitios web que no existan en la base de datos de URL.
Descripcin
Alerta
El sitio web est permitido y se genera una entrada de log en el log de filtrado de URL.
Permitir
Bloquear
El sitio web est bloqueado y el usuario ver una pgina de respuesta y no podr ir al
sitio web. Se generar una entrada de log en el log de filtrado de URL.
324
Filtrado de URL
Filtrado de URL
Accin
Descripcin
Continuar
Cancelar
El usuario ver una pgina de respuesta que indica que se requiere una contrasea para
permitir el acceso a los sitios web de la categora en cuestin. Con esta opcin, el
administrador de seguridad o el miembro del departamento de soporte tcnico
proporcionara una contrasea que concedera un acceso temporal a todos los sitios web
de la categora en cuestin. Se generar una entrada de log en el log de filtrado de URL.
Nota
No incluya HTTP y HTTPS al definir las URL. Por ejemplo, introduzca www.paloaltonetworks.com o
paloaltonetworks.com en lugar de https://www.paloaltonetworks.com.
Las entradas de la lista de bloqueo deben ser una coincidencia exacta y no distinguen entre maysculas y
minsculas.
Por ejemplo: Si desea impedir que un usuario acceda a cualquier sitio web que est dentro del dominio
paloaltonetworks.com, tambin debera aadir *.paloaltonetworks.com para que se realice la accin
especificada, independientemente del prefijo de dominio que se aada a la direccin (http://, www o un
prefijo de subdominio, como mail.paloaltonetworks.com). Lo mismo ocurre con el sufijo de subdominio; si
desea bloquear paloaltonetworks.com/en/US, debe aadir tambin paloaltonetworks.com/*.
Las listas de bloqueadas y permitidas admiten patrones de comodines. Los siguientes caracteres se
consideran separadores:
.
/
?
&
=
;
+
Filtrado de URL
325
Filtrado de URL
Toda cadena separada por el carcter anterior se considera un testigo. Un testigo puede ser cualquier nmero
de caracteres ASCII que no contenga un carcter separador o *. Por ejemplo, los siguientes patrones son
vlidos:
*.yahoo.com (los testigos son: "*", "yahoo" y "com")
www.*.com (los testigos son: "www", "*" and "com")
www.yahoo.com/search=* (los testigos son: "www", "yahoo", "com", "search", "*")
Los siguientes patrones no son vlidos porque el carcter * no es el nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Ajuste de cuenta: Si inicia sesin en un proveedor de bsquedas y establece el ajuste de bsqueda estricta,
puede utilizar cualquier equipo o cualquier explorador y, mientras est registrado en el sitio del proveedor de
bsquedas, el ajuste estricto le acompaar. Por ejemplo, si inicia sesin en bing.com y establece la bsqueda
segura estricta, puede utilizar cualquier equipo o explorador e iniciar sesin en bing.com, y el ajuste estricto
se configurar.
Ajuste de explorador: Si no inicia sesin en el sitio del proveedor de bsquedas, deber establecer el ajuste
de bsqueda estricta para cada explorador que utilice para conectarse con el proveedor de bsquedas.
Si un usuario inicia sesin en el sitio de un proveedor de bsquedas, la conexin se realizar a travs de SSL, de
modo que el descifrado debe estar habilitado en el cortafuegos para que Forzaje de bsquedas seguras funcione.
Asimismo, ahora algunos proveedores de bsquedas solamente muestran los resultados de la bsqueda a travs
de SSL, as que aunque el usuario no se haya registrado, el descifrado debe configurarse en el cortafuegos.
Si est realizando una bsqueda en Yahoo! Japan (yahoo.co.jp) mientras est registrado en su
cuenta de Yahoo!, la opcin de bloqueo para el ajuste de bsqueda tambin debe estar
habilitada.
326
Filtrado de URL
Filtrado de URL
La habilidad del cortafuegos para detectar el ajuste de bsqueda segura dentro de estos tres proveedores se
actualizar con la firma Aplicaciones y amenazas. Si un proveedor de bsquedas cambia el mtodo de ajuste de
bsqueda segura que utiliza Palo Alto Networks para detectar los ajustes o si se aade la compatibilidad con un
nuevo proveedor de bsquedas, se realizar una actualizacin a esta firma. Cada proveedor de bsquedas es el
que valora si un sitio es seguro o no, y no Palo Alto Networks. El valor predeterminado de la opcin Forzaje de
bsquedas seguras es estar deshabilitada; adems, no se requiere una licencia de filtrado de URL para usarla.
application/pdf
application/soap+xml
application/xhtml+xml
text/html
text/plain
text/xml
Si ha habilitado la opcin Pgina de contenedor de log nicamente, puede que no siempre
haya una entrada de log de URL correlacionada para amenazas detectadas por antivirus o
proteccin contra vulnerabilidades.
Filtrado de URL
327
Filtrado de URL
La siguiente tabla describe los tipos de polticas que pueden utilizar categoras de URL:
Tipo de poltica
Descripcin
Portal cautivo
Para garantizar que los usuarios estn autenticados antes de permitirles el acceso a una
categora especfica, puede adjuntar una categora de URL como criterio de
coincidencia para la poltica de portal cautivo.
Descifrado
QoS
Una poltica de QoS puede utilizar categoras de URL para determinar los niveles de
rendimiento de categoras especficas de sitios web. Por ejemplo, puede que quiera
permitir la categora aplicaciones de transmisin multimedia y al mismo tiempo limitar
el rendimiento aadiendo la categora de URL como criterio de coincidencia a la
poltica de QoS.
Seguridad
Las categoras de URL se pueden definir directamente en las polticas de seguridad para
utilizarlas como criterios de coincidencia en la pestaa Categora de URL/servicio y los
perfiles de filtrado de URL se pueden configurar en la pestaa Acciones.
Por ejemplo, puede que el grupo de seguridad de una empresa necesite acceder a la
categora hacking, pero debera evitarse que el resto de usuarios accediera a estos sitios.
Para ello, deber crear una regla de seguridad que permita el acceso entre las zonas
utilizadas para el acceso web, la pestaa Categora de URL/servicios contendr la
categora hacking y el grupo de seguridad se definir a continuacin en la pestaa
Usuarios de la poltica. A continuacin, la regla de seguridad principal que permite un
acceso web general a todos los usuarios tendr un perfil de filtrado de URL que
bloquear todos los sitios de hacking. La poltica que permite el acceso al hacking
deber indicarse antes de la poltica que bloquea el hacking. De este modo, cuando un
usuario que forme parte del grupo de seguridad intente acceder a un sitio de hacking,
la poltica permitir el acceso y se detendr el procesamiento de reglas.
Es importante comprender que al crear polticas de seguridad, las reglas de bloqueo no
son terminales y las reglas de permiso son terminales. Esto significa que si establece
una regla de bloqueo y hay una coincidencia de trfico para esa regla, se comprobar si
las otras reglas que vienen despus de la regla de bloqueo coinciden. Con una regla de
permiso, que es terminal, cuando el trfico coincide con la regla, el trfico se permite
y las reglas posteriores no se comprueban. Por ejemplo, puede que tenga configurada
una regla de bloqueo que bloquee la categora compras para todos los usuarios, pero
luego tenga una regla de permiso que permita las compras para un grupo de usuarios
especfico. En este ejemplo, un usuario del grupo permitido probablemente tambin
forma parte del grupo general que incluye a todo el mundo. Debido a esto, lo mejor es
indicar una regla de permiso especfica antes de la regla de bloqueo, para que se detenga
el procesamiento de reglas despus de que el trfico coincida y se realice la accin
Permitir.
328
Filtrado de URL
Filtrado de URL
Descripcin
Servicio de la nube
Filtrado de URL
329
Filtrado de URL
Componente
Descripcin
330
Filtrado de URL
Filtrado de URL
Si una consulta de URL coincide con una entrada caducada de la cach de URL del plano de datos, la cach
responder con la categora caducada, pero tambin enviar una consulta de categorizacin de URL al plano de
gestin. Se hace esto para evitar retrasos innecesarios en el plano de datos, suponiendo que la frecuencia de
cambio de categoras sea baja. Del mismo modo, en la cach de URL del plano de gestin, si una consulta de
URL del plano de datos coincide con una entrada caducada del plano de gestin, el plano de gestin responder
al plano de datos con la categora caducada y tambin enviar una solicitud de categorizacin de URL al servicio
de la nube. Al obtener la respuesta de la nube, el cortafuegos reenviar la respuesta actualizada al plano de datos.
A medida que se definan nuevas URL y categoras o si se necesitan actualizaciones clave, la base de datos de la
nube se actualizar. Cada vez que el cortafuegos consulte a la nube con una bsqueda de URL o si no se
producen bsquedas en la nube durante 30 minutos, las versiones de la base de datos del cortafuegos se
compararn y, si no coinciden, se realizar una actualizacin progresiva.
Filtrado de URL
331
Filtrado de URL
Paso 1
Nota
Paso 2
3.
Nota
332
Filtrado de URL
Filtrado de URL
Paso 3
Paso 4
Filtrado de URL
333
Filtrado de URL
Paso 1
334
1.
2.
3.
Filtrado de URL
Filtrado de URL
Paso 2
1.
Configure la accin para todas las
categoras como Alertar, excepto para las
categoras propensas a las amenazas, que
deberan permanecer bloqueadas.
3.
Paso 3
3.
Paso 4
Guarde la configuracin.
Filtrado de URL
consumo de drogas
juegos
hacking
software malintencionado
phishing
contenido cuestionable
armas
A la derecha del encabezado de la columna Accin, pase el ratn
por encima, seleccione la flecha hacia abajo, a continuacin,
seleccione Establecer acciones seleccionadas y seleccione
Alertar.
335
Filtrado de URL
Paso 5
Log Bloquear: En este log, la categora alcohol y tabaco se estableci como Bloquear, por lo que la accin
es Bloquear URL y el usuario ver una pgina de respuesta que indica que el sitio web se ha bloqueado.
336
Filtrado de URL
Filtrado de URL
Log Alertar en sitio web cifrado: En este ejemplo, la categora es redes sociales y la aplicacin es base de
facebook, que es obligatoria para acceder al sitio web de Facebook y otras aplicaciones de Facebook. Dado
que facebook.com siempre est cifrado con SSL, el cortafuegos descifr el trfico, lo que permite reconocer
y controlar el sitio web si es necesario.
Tambin puede aadir otras columnas a su vista de log de filtrado de URL, como las zonas de origen y destino,
el tipo de contenido y si se realiz o no una captura de paquetes. Para modificar qu columnas mostrar, haga
clic en la flecha hacia abajo en cualquier columna y seleccione el atributo que debe mostrarse.
Para ver la informacin detallada completa del log y/o solicitar un cambio de categora para la URL especfica
a la que se accedi, haga clic en el icono de informacin detallada del log en la primera columna del log.
Filtrado de URL
337
Filtrado de URL
a menor popularidad en la lista. En este ejemplo, informacin de equipo e internet es la categora a la que ms se ha
accedido, seguida de direcciones ip privadas (servidores internos) y motores de bsqueda. En el men desplegable de
la esquina superior derecha de las estadsticas, tambin puede decidir enumerar por Categoras de URL,
Categoras de URL bloqueadas y URL bloqueadas.
338
Filtrado de URL
Filtrado de URL
Paso 1
1.
2.
Nota
Paso 2
Filtrado de URL
3.
4.
5.
1.
2.
3.
339
Filtrado de URL
Paso 3
Visualice el informe de actividad del usuario abriendo el archivo PDF que se descarg. La parte superior del
informe incluir un ndice parecido al siguiente:
Paso 4
Haga clic en un elemento del ndice para ver informacin detallada. Por ejemplo, haga clic en Resumen de trfico
por categora de URL para ver estadsticas para el usuario o grupo seleccionado.
Paso 1
1.
2.
3.
340
Filtrado de URL
Filtrado de URL
Paso 2
1.
2.
3.
Paso 3
Paso 4
1.
2.
Guarde la configuracin.
Filtrado de URL
341
Filtrado de URL
Paso 1
Paso 2
1.
342
Filtrado de URL
Filtrado de URL
Paso 3
Paso 4
Habilite la opcin Pgina de contenedor. Seleccione la casilla de verificacin Pgina de contenedor de log
nicamente.
Para obtener ms informacin, consulte
Acerca de la pgina de contenedor de log.
Paso 5
Paso 6
Filtrado de URL
2.
3.
4.
5.
6.
343
Filtrado de URL
Paso 7
1.
2.
3.
344
Nota
4.
5.
6.
Filtrado de URL
Filtrado de URL
Paso 8
4.
Guarde la configuracin.
Nota
Filtrado de URL
345
Filtrado de URL
346
Filtrado de URL
Filtrado de URL
La primera regla de seguridad permitir que el departamento de marketing acceda al sitio web de Facebook, as
como a todas las aplicaciones de Facebook. Como esta regla de permiso tambin permitir el acceso a Internet,
se aplican perfiles de prevencin de amenazas a la regla, para que el trfico que coincida con la poltica se
examine en busca de amenazas. Esto es importante porque la regla de permiso es terminal y no continuar para
comprobar otras reglas si hay una coincidencia de trfico.
Control de acceso web
Paso 1
Paso 2
1.
2.
Paso 3
Paso 4
Filtrado de URL
3.
1.
2.
3.
1.
3.
347
Filtrado de URL
Paso 5
3.
Paso 6
Cree la poltica de seguridad que permitir al departamento de marketing acceder al sitio web de Facebook y a
todas las aplicaciones de Facebook.
Esta regla debe preceder a otras reglas porque es ms especfica que las otras polticas y porque es una regla de
permiso, que finalizar cuando se produzca una coincidencia de trfico.
1. Seleccione Polticas > Seguridad y haga clic en Aadir.
2. Introduzca un Nombre y, opcionalmente, una Descripcin y Etiqueta.
3. En la pestaa Origen, aada la zona donde los usuarios estn conectados.
4. En la pestaa Usuario de la seccin Usuario de origen, haga clic en Aadir.
5. Seleccione el grupo de directorios que incluya a sus usuarios de marketing.
6. En la pestaa Destino, seleccione la zona conectada a Internet.
7. En la pestaa Aplicaciones, haga clic en Aadir y aada la firma de App-ID facebook.
8. En la pestaa Acciones, aada los perfiles predeterminados para Antivirus, Proteccin contra
vulnerabilidades y Antispyware.
9.
La firma de App-ID facebook utilizada en esta poltica engloba todas las aplicaciones de Facebook, como base de facebook,
chat de facebook y correo de facebook, por lo que esta es la nica firma de App-ID obligatoria en esta regla.
Cuando esta poltica est establecida, si un empleado de marketing intenta acceder al sitio web de Facebook o cualquier
aplicacin de Facebook, la regla coincide basndose en el hecho de que el usuario forma parte del grupo de marketing.
Para el trfico de cualquier usuario que no pertenezca al departamento de marketing, la regla se omitir porque no habr
ninguna coincidencia de trfico y el procesamiento de reglas continuar.
348
Filtrado de URL
Filtrado de URL
Paso 7
Configure la poltica de seguridad para bloquear al resto de usuarios y que no puedan utilizar ninguna aplicacin
de Facebook que no sea una exploracin web bsica. La forma ms sencilla de hacer esto es duplicar la poltica
de permiso de marketing y, a continuacin, modificarla.
1. Desde Polticas > Seguridad, haga clic en la poltica de permiso de Facebook de marketing que cre
anteriormente para resaltarla y, a continuacin, haga clic en el icono Duplicar.
2. Introduzca un Nombre y, opcionalmente, introduzca una Descripcin y Etiqueta.
3. En la pestaa Usuario, resalte el grupo de marketing y elimnelo; en el men desplegable, seleccione
cualquiera.
4. En la pestaa Aplicaciones, haga clic en la firma de App-ID facebook y elimnela.
5. Haga clic en Aadir y aada las siguientes firmas de App-ID:
aplicaciones de facebook
chat de facebook
intercambio de archivos de facebook
correo de facebook
publicaciones de facebook
complemento social de facebook
6. En la pestaa Acciones, en la seccin Configuracin de accin, seleccione Denegar. La configuracin del
perfil ya debera ser correcta porque esta regla se duplic.
Con estas polticas establecidas, cualquier usuario que forme parte del grupo de marketing tendr un acceso
completo a todas las aplicaciones de Facebook y cualquier usuario que no forme parte del grupo de marketing
solamente tendr acceso de solo lectura al sitio web de Facebook y no podr utilizar determinadas funciones de
Facebook, como la publicacin, el chat, el correo electrnico y el intercambio de archivos.
Filtrado de URL
349
Filtrado de URL
Paso 1
Cree la regla de no descifrado que se incluir primero en la lista de polticas de descifrado. Esto impedir el
descifrado de cualquier sitio web que tenga las categoras de URL servicios financieros o salud y medicina.
1. Seleccione Polticas > Descifrado y haga clic en Aadir.
2. Introduzca un Nombre y, opcionalmente, introduzca una Descripcin y Etiqueta.
3. En la pestaa Origen, aada la zona donde los usuarios estn conectados.
4. En la pestaa Destino, introduzca la zona conectada a Internet.
5. En la pestaa Categora de URL, haga clic en Aadir y seleccione las categoras de URL servicios financieros y
salud y medicina.
6. En la pestaa Opciones, establezca la accin como No hay ningn descifrado y el Tipo como Proxy SSL de
reenvo.
7.
350
Filtrado de URL
Filtrado de URL
Paso 2
Cree la poltica de descifrado que descifrar el resto del trfico. Esta poltica se enumerar despus de la poltica
de no descifrado.
1. Seleccione la poltica de no descifrado que cre anteriormente y, a continuacin, haga clic en Duplicar.
2. Introduzca un Nombre y, opcionalmente, introduzca una Descripcin y Etiqueta.
3. En la pestaa Categora de URL, seleccione servicios financieros y salud y medicina y, a continuacin, haga clic en
el icono Eliminar.
4. En la pestaa Opciones, establezca la accin como Descifrar y el Tipo como Proxy SSL de reenvo.
5. Asegrese de que esta nueva regla de descifrado se enumera despus de la regla de no descifrado como se
muestra en la captura de pantalla anterior. Esto garantizar que el procesamiento de reglas se produzca en el
orden correcto, de modo que los sitios web de las categoras servicios financieros y salud y medicina no se descifren
6. Haga clic en ACEPTAR para guardar la poltica.
Paso 3
1.
2.
Paso 4
Guarde la configuracin.
Con estas dos polticas de descifrado establecidas, cualquier trfico destinado a las categoras de URL servicios
financieros o salud y medicina no se descifrar. El resto del trfico s se descifrar.
Tambin puede definir un control ms detallado sobre las polticas de descifrado definiendo polticas de descifrado,
que se utilizan para realizar comprobaciones como verificaciones de certificados de servidor o para bloquear
sesiones con certificados vencidos. A continuacin, el perfil se aade a la pestaa Opciones de la poltica de
descifrado. Para obtener una lista completa de las comprobaciones que se pueden realizar, seleccione Objetos >
Perfiles de descifrado en el cortafuegos y, a continuacin, haga clic en el icono de ayuda.
Ahora que tiene unos conocimientos bsicos de las potentes funciones del filtrado de URL, App-ID y User-ID,
puede aplicar polticas similares a su cortafuegos para controlar cualquier aplicacin de la base de datos de firmas
de App-ID de Palo Alto Networks y controlar cualquier sitio web incluido en la base de datos de filtrado de
URL.
Para obtener ayuda para solucionar problemas del filtrado de URL, consulte Solucin de problemas del filtrado
de URL.
Filtrado de URL
351
Filtrado de URL
Categorizacin incorrecta
2.
3.
Compruebe que el cortafuegos tenga una licencia de PAN-DB ejecutando el comando request license info.
Debera de ver la entrada de licencia Feature: PAN_DB URL Filtering. Si la licencia no est instalada, deber
obtener e instalar una licencia. Consulte Configuracin de filtrado de URL.
4.
Despus de que la licencia est instalada, descargue una nueva base de datos de envos de PAN-DB ejecutando el
comando request url-filtering download paloaltonetworks region <region> .
5.
Compruebe el estado de descarga ejecutando el comando request url-filtering download status vendor
paloaltonetworks.
a. Si el mensaje es diferente de PAN-DB download: Finished successfully, detngase aqu; puede que
haya un problema al conectarse a la nube. Intente solucionar el problema de conectividad realizando una solucin
de problemas de red bsica entre el cortafuegos e Internet. Para obtener ms informacin, consulte Problemas de
conectividad con la nube de PAN-DB.
b. Si el mensaje es PAN-DB download: Finished successfully, el cortafuegos habr descargado correctamente
la base de datos de envos de URL. Trate de volver a habilitar PAN-DB ejecutando el comando set system
setting url-database paloaltonetworks.
6.
Si el problema persiste, pngase en contacto con el equipo de asistencia tcnica de Palo Alto Networks.
352
vlido
s0000.urlcloud.paloaltonetworks.com
connected
Filtrado de URL
Filtrado de URL
device :
cloud :
2013.11.18.000
2013.11.18.000
device :
cloud :
status :
good
pan/0.0.2
pan/0.0.2
compatible
Si la licencia de PAN-DB muestra invalid , obtenga e instale una licencia de PAN-DB vlida.
2.
El estado de la base de datos de URL es out-of-date . Descargue una nueva base de datos de envos ejecutando
el comando request url-filtering download paloaltonetworks region <region> .
3.
La versin del protocolo de URL muestra not compatible. Actualice la versin del software PAN-OS a la versin
ms reciente.
4.
Si el cortafuegos tiene una configuracin de HA, verifique que el estado de HA de los dispositivos admita la
conectividad con los sistemas de la nube. Puede determinar el estado de HA ejecutando el comando show
high-availability state . La conexin con la nube se bloquear si el cortafuegos no tiene uno de los siguientes
estados:
activa
activa-principal
activa-secundaria
5.
Intente hacer ping en la nube desde su equipo de gestin para verificar que responde y, a continuacin, intente hacer
ping desde una interfaz del cortafuegos que pueda acceder a Internet. Por ejemplo:
ping host s0000.urlcloud.paloaltonetworks.com . Para hacer ping desde una IP de interfaz diferente,
introduzca el origen. Por ejemplo: p ing source IP-Address host
s0000.urlcloud.paloaltonetworks.com .
6.
Si el problema persiste, pngase en contacto con el equipo de asistencia tcnica de Palo Alto Networks.
Filtrado de URL
353
Filtrado de URL
Compruebe la conexin de la nube de PAN-DB ejecutando el comando show url-cloud status. Si la nube
no est operativa, todas las entradas que no existan en la cach de URL del plano de gestin se categorizarn como
No resuelto. Solucione los problemas de conexin de la nube consultando la seccin Problemas de conectividad con la
nube de PAN-DB.
2.
Si la nube est operativa, compruebe el uso actual del cortafuegos. Si el rendimiento del cortafuegos tiene picos, puede
que las solicitudes de URL se descarten (puede que no lleguen al plano de gestin) y se categoricen como No resuelto.
3.
Si el problema persiste, pngase en contacto con el equipo de asistencia tcnica de Palo Alto Networks.
Categorizacin incorrecta
Los siguientes pasos describen los procedimientos que pueden utilizarse si una categora de URL es incorrecta.
Por ejemplo, si la URL paloaltonetworks.com se categoriza como alcohol y tabaco, la categorizacin no ser correcta;
la categora debera ser informacin de equipo e internet.
1.
Verifique si la categora est en el plano de datos (DP) ejecutando el comando show running url <URL>.
Por ejemplo, show running url paloaltonetworks.com. Si la URL almacenada en la cach del plano
de datos tiene la categora correcta (informacin de equipo e internet en este ejemplo), entonces la categorizacin ser
correcta y no ser necesario realizar ninguna otra accin. Si la categora no es correcta, vaya al paso siguiente.
2.
Verifique si la categora est en el plano de gestin (MP) ejecutando el comando test url-info-host
<URL>. Por ejemplo, test url-info-host paloaltonetworks.com. Si la URL almacenada en la
cach del plano de gestin tiene la categora correcta, elimine la URL de la cach de URL del plano de datos ejecutando
el comando clear url-cache url <URL>. La prxima vez que el dispositivo solicite la categora de esta
URL, la solicitud se reenviar al plano de gestin. Esto solucionar el problema y no ser necesario realizar ninguna
otra accin. Si esto no soluciona el problema, vaya al paso siguiente para comprobar la categora de URL en los
sistemas de la nube.
3.
Verifique si la categora est en la nube ejecutando el comando test url-info-cloud <URL>. Si la URL
almacenada en la nube tiene la categora correcta, elimine la URL de la cach de URL del plano de datos/plano de
gestin utilizando los siguientes comandos de la CLI:
Ejecute el siguiente comando para eliminar una URL de la cach del plano de datos:
clear url-cache url <URL>
Ejecute el siguiente comando para eliminar una URL de la cach del plano de gestin:
delete url-database url <URL>
La prxima vez que el dispositivo solicite la categora de esta URL, la solicitud se reenviar al plano de gestin y, a
continuacin, a la nube. Esto debera solucionar el problema de bsqueda de categora. Si el problema persiste,
consulte el paso siguiente para enviar una solicitud de cambio de categorizacin.
4.
354
Si la nube muestra una categora incorrecta, enve una solicitud de cambio desde la interfaz web; para ello, vaya al log
de URL y seleccione la entrada de log con la URL que desee cambiar. Haga clic en el enlace Solicitar cambio de
categorizacin y siga las instrucciones proporcionadas. Tambin puede solicitar un cambio de categora en el sitio
web Test A Site (en ingls) de Palo Alto Networks buscando la URL y, a continuacin, haciendo clic en el icono
Solicitar cambio.
Filtrado de URL
Filtrado de URL
Filtrado de URL
355
356
Filtrado de URL
Filtrado de URL
Calidad de servicio
La calidad de servicio (QoS) es un conjunto de tecnologas que funciona en una red para garantizar su capacidad
de ejecutar de manera fiable aplicaciones de alta prioridad y trfico bajo una capacidad de red limitada. Las
tecnologas de QoS lo consiguen ofreciendo una gestin diferenciada y una asignacin de capacidad a flujos
especficos del trfico de red. Esto permite que el administrador de red asigne el orden el en que se gestiona el
trfico y la cantidad de ancho de banda permitida para el trfico.
La calidad de servicio (QoS) de aplicaciones de Palo Alto Networks ofrece una QoS bsica aplicada a redes y la
ampla para proporcionar QoS a aplicaciones y usuarios.
Utilice los siguientes temas para obtener informacin sobre la QoS de aplicaciones de Palo Alto Networks y
configurarla:
Configuracin de QoS
Calidad de servicio
357
Calidad de servicio
Establezca la prioridad del trfico de red y aplicaciones, garantizando una alta prioridad para el trfico
importante o limitando el trfico no esencial.
Logre un ancho de banda equivalente compartiendo diferentes subredes, clases o usuarios en una red.
Asigne el ancho de banda externa o internamente o de ambas formas, aplicando QoS tanto al trfico de carga
como al de descarga o solamente al trfico de carga o al de descarga.
Garantice una baja latencia para el trfico generador de ingresos y de clientes en un entorno empresarial.
Realice la generacin de perfiles de trfico de aplicaciones para garantizar el uso del ancho de banda.
Cada modelo de cortafuegos admite un nmero mximo de puertos que se puede configurar con QoS. Consulte
la hoja de especificaciones de su modelo de cortafuegos.
Para obtener ms informacin sobre la QoS en un cortafuegos de Palo Alto Networks, consulte los siguientes
temas:
Implementacin de QoS
Conceptos de QoS
Implementacin de QoS
La implementacin de QoS en un cortafuegos de Palo Alto Networks comienza con tres componentes de
configuracin principales que admiten una solucin completa de QoS:
Perfil de QoS
Poltica de QoS
Cada una de estas opciones de la tarea de configuracin de QoS facilita un proceso ms amplio que optimiza y
establece la prioridad del flujo de trfico y asigna y garantiza el ancho de banda de acuerdo con los parmetros
configurables.
La Ilustracin: flujo de trfico de QoS muestra el trfico a medida que se desplaza desde el origen, es moldeado
por el cortafuegos con la QoS habilitada y, por ltimo, recibe su prioridad y se entrega en su destino.
358
Calidad de servicio
Calidad de servicio
Las opciones de configuracin de QoS le permiten controlar el flujo de trfico y definirlo en puntos diferentes
del flujo. La Ilustracin: flujo de trfico de QoS indica en qu lugar las opciones configurables definen el flujo
de trfico. Utilice el perfil de QoS para definir clases de QoS y utilice la poltica de QoS para asociar clases de
QoS al trfico seleccionado. Habilite el perfil de QoS en una interfaz fsica para moldear el trfico de acuerdo
con la configuracin de QoS a medida que se desplaza por la red.
Puede configurar un perfil de QoS y una poltica de QoS individualmente o en cualquier orden, de acuerdo con
sus preferencias. Cada una de las opciones de configuracin de QoS tiene componentes que influyen en la
definicin de las otras opciones. Adems, las opciones de configuracin de QoS se pueden utilizar para crear
una poltica de QoS completa y detallada o se pueden utilizar con moderacin con un mnimo de acciones del
administrador.
Conceptos de QoS
Utilice los siguientes temas para obtener informacin sobre los diferentes componentes y mecanismos de una
configuracin de QoS en un cortafuegos de Palo Alto Networks:
Perfil de QoS
Clases de QoS
Poltica de QoS
Calidad de servicio
359
Calidad de servicio
integrando las funciones App-ID y User-ID con la configuracin de QoS. Las entradas de App-ID y User-ID
que existen para identificar aplicaciones y usuarios especficos de su red estn disponibles en la configuracin
de QoS para que pueda especificar fcilmente aplicaciones y usuarios a los que aplicar la QoS.
Puede utilizar una poltica de QoS en la interfaz web (Polticas > QoS) para aplicar la QoS especficamente al
trfico de una aplicacin:
O al trfico de un usuario:
360
Calidad de servicio
Calidad de servicio
Perfil de QoS
Utilice un perfil de QoS para definir los valores de hasta ocho clases de QoS incluidas en ese perfil individual
(Red > Perfiles de red > Perfil de QoS):
QoS se habilita aplicando un perfil de QoS a la interfaz de salida para el trfico de red, aplicacin o usuario
(o, especficamente, para el trfico de texto claro o de tnel). Una interfaz configurada con QoS moldea el trfico
de acuerdo con las definiciones de clases del perfil de QoS y el trfico asociado a dichas clases en la poltica de
QoS.
Hay un perfil de QoS predeterminado disponible en el cortafuegos. El perfil predeterminado y las clases
definidas en el perfil no tienen lmites de ancho de banda garantizado o mximo predefinidos.
Puede establecer lmites de ancho de banda para un perfil de QoS y/o establecer lmites para clases de QoS
individuales dentro del perfil de QoS. Los lmites de ancho de banda garantizados totales de las ocho clases de
QoS de un perfil de QoS no pueden superar el ancho de banda total asignado a dicho perfil de QoS. La
habilitacin de QoS en una interfaz fsica incluye el establecimiento del ancho de banda mximo para el trfico
que sale del cortafuegos a travs de esta interfaz. El ancho de banda garantizado de un perfil de QoS (el campo
Salida garantizada) no debera superar el ancho de banda asignado a la interfaz fsica en el que est habilitada la
QoS.
Si desea informacin detallada, consulte Cree un perfil de QoS.
Calidad de servicio
361
Calidad de servicio
Clases de QoS
Una clase de QoS determina la prioridad y el ancho de banda del trfico al que est asignada. En la interfaz web,
utilice el perfil de QoS para definir clases de QoS (Red > Perfiles de red > Perfil de QoS):
La definicin de una clase de QoS incluye el establecimiento de la prioridad de la clase, el ancho de banda
mximo (Mximo de salida) y el ancho de banda garantizado (Salida garantizada).
La prioridad en tiempo real suele utilizarse para aplicaciones que son especialmente sensibles a
la latencia, como las aplicaciones de voz y vdeo.
Utilice la poltica de QoS para asignar una clase de QoS al trfico especificado (Polticas > QoS):
Hay hasta ocho clases de QoS definibles en un nico perfil de QoS. A menos que est configurado de otra
forma, al trfico que no coincida con una clase de QoS se le asignar la clase 4.
362
Calidad de servicio
Calidad de servicio
El establecimiento de colas de prioridad y la gestin del ancho de banda de QoS, los mecanismos fundamentales
de una configuracin de QoS, se configuran dentro de la definicin de la clase de QoS (consulte el Paso 3). El
establecimiento de colas de prioridad se determina por la prioridad establecida para una clase de QoS. La gestin
del ancho de banda se determina segn los anchos de banda mximo y garantizado establecidos para una clase
de QoS.
Los mecanismos de establecimiento de colas y gestin del ancho de banda determinan el orden del trfico y el
modo en que se gestiona el trfico al entrar o salir de una red:
Prioridad de QoS: Se puede definir una de las cuatro prioridades de QoS siguientes en una clase de QoS:
en tiempo real, alta, media y baja. Cuando una clase de QoS se asocia a un trfico especfico, la prioridad
definida en esa clase de QoS se asigna al trfico. A continuacin, los paquetes del flujo de trfico se ponen
en cola segn su prioridad hasta que la red est lista para procesarlos. Este mtodo de establecimiento de
colas de prioridad proporciona la capacidad de garantizar que el trfico, las aplicaciones o los usuarios
importantes tengan prioridad.
Gestin del ancho de banda de clase de QoS: La gestin del ancho de banda de clase de QoS proporciona
la capacidad de controlar los flujos de trfico de una red para que el trfico no supere la capacidad de la red,
lo que provocara la congestin de la red, o asignar lmites de ancho de banda especficos para el trfico,
aplicaciones o usuarios. Puede establecer lmites generales en el ancho de banda utilizando el perfil de QoS
o establecer lmites para clases de QoS individuales. Un perfil de QoS y las clases de QoS del perfil tienen
lmites de ancho de banda garantizado y mximo. El lmite de ancho de banda garantizado (Salida
garantizada) asegura que se procesar cualquier cantidad de trfico hasta ese lmite de ancho de banda
establecido. El lmite de ancho de banda mximo (Mximo de salida) establece el lmite total del ancho de
banda asignado al perfil de QoS o a la clase de QoS. El trfico que supere el lmite de ancho de banda mximo
se descartar. Los lmites de ancho de banda total y lmites de ancho de banda garantizado de las clases de
QoS de un perfil de QoS no pueden superar el lmite de ancho de banda del perfil de QoS.
Calidad de servicio
363
Calidad de servicio
Poltica de QoS
En una configuracin de QoS, la poltica de QoS identifica el trfico que requiere un tratamiento de QoS (ya sea
un tratamiento preferente o una limitacin del ancho de banda) mediante un parmetro definido o varios
parmetros y le asigna una clase.
Utilice la poltica de QoS, parecida a una poltica de seguridad, para establecer los criterios que identifican el
trfico:
Servicios y grupos de servicios limitados a nmeros de puertos TCP y/o UDP concretos.
La poltica de QoS de la interfaz web (Polticas > QoS) le permite asociar los criterios utilizados para especificar
el trfico con una clase de QoS.
364
Calidad de servicio
Calidad de servicio
Consulte el Paso 3 para saber cmo Identifique la interfaz de salida para las aplicaciones que identifique que
necesitan un tratamiento de QoS.
Calidad de servicio
365
Configuracin de QoS
Calidad de servicio
Configuracin de QoS
Utilice la siguiente tarea para configurar la calidad de servicio (QoS), incluido cmo crear un perfil de QoS, crear
una poltica de QoS y habilitar QoS en una interfaz.
Configuracin de QoS
Paso 1
Seleccione Supervisar > Logs > Trfico para ver los logs de trfico del
dispositivo.
Para filtrar y mostrar nicamente los logs de una aplicacin especfica:
366
Calidad de servicio
Calidad de servicio
Configuracin de QoS
Paso 3
1.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en
Aadir para abrir el cuadro de dilogo Perfil de QoS.
Introduzca un Nombre de perfil descriptivo.
Introduzca un Mximo de salida para establecer la asignacin del
ancho de banda total para el perfil de QoS.
Introduzca una Salida garantizada para establecer el ancho de
banda garantizado para el perfil de QoS.
Nota Todo el trfico que supere el lmite garantizado de salida
del perfil de QoS ser la mejor opcin pero no estar
garantizado.
5.
6.
Calidad de servicio
367
Configuracin de QoS
Calidad de servicio
Paso 4
1.
2.
3.
368
4.
5.
Calidad de servicio
Calidad de servicio
Configuracin de QoS
Paso 5
1.
2.
Puede configurar los ajustes para
seleccionar trfico de texto claro y de tnel
para el tratamiento de QoS exclusivo,
adems de la configuracin de QoS en la
interfaz fsica:
Seleccione Red > QoS y haga clic en Aadir para abrir el cuadro de
dilogo Interfaz de QoS.
Habilite QoS en la interfaz fsica:
a. En la pestaa Interfaz fsica, seleccione el Nombre de interfaz
de la interfaz a la que se aplicar el perfil de QoS.
En el ejemplo, Ethernet 1/1 es la interfaz de salida para el trfico
de exploracin web (consulte el Paso 2).
4.
5.
Calidad de servicio
6.
7.
369
Configuracin de QoS
Calidad de servicio
Paso 6
Seleccione Red > QoS para ver la pgina Polticas de QoS y haga clic en
el enlace Estadsticas para ver el ancho de banda de QoS, las sesiones
activas de un nodo o una clase de QoS que haya seleccionado y las
aplicaciones activas del nodo o la clase de QoS que haya seleccionado.
Por ejemplo, vea las estadsticas de Ethernet 1/1 con la QoS habilitada:
370
Calidad de servicio
Calidad de servicio
Consulte Virtual Systems (VSYS) tech note (en ingls) para obtener informacin sobre los sistemas virtuales y
sobre cmo configurarlos.
Calidad de servicio
371
Calidad de servicio
Paso 1
Paso 2
Identifique el trfico al que aplicar la QoS. Seleccione ACC para ver la pgina Centro de control de
aplicaciones. Utilice los ajustes y los grficos de la pgina ACC para
ver tendencias y el trfico relacionado con aplicaciones, filtrado de
URL, prevencin de amenazas, filtrado de datos y coincidencias HIP.
Para ver informacin de un sistema virtual especfico, seleccione el
sistema virtual en el men desplegable Sistema virtual:
372
Calidad de servicio
Calidad de servicio
Paso 3
Seleccione Supervisar > Logs > Trfico para ver los logs de trfico
Identifique la interfaz de salida para las
aplicaciones que identifique que necesitan del dispositivo. Cada entrada tiene la opcin de mostrar columnas
un tratamiento de QoS.
con informacin necesaria para configurar QoS en un entorno de
sistema virtual:
En un entorno de sistema virtual, la QoS
se aplica al trfico del punto de salida del sistema virtual
trfico en el sistema virtual. Dependiendo
de la configuracin del sistema virtual y la
poltica de QoS, el punto de salida del
trfico de QoS podra asociarse a una
interfaz fsica o podra ser una zona
configurada.
Este ejemplo muestra cmo limitar el
trfico de exploracin web en VSYS 1.
interfaz de salida
interfaz de entrada
zona de origen
zona de destino
Para mostrar una columna si no aparece de manera predeterminada:
Haga clic en cualquier encabezado de columna para aadir una
columna al log:
Calidad de servicio
373
Calidad de servicio
Paso 4
1.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en
Aadir para abrir el cuadro de dilogo Perfil de QoS.
2.
3.
4.
5.
6.
374
Calidad de servicio
Calidad de servicio
Paso 5
1.
Calidad de servicio
4.
5.
6.
7.
375
Calidad de servicio
Paso 6
1.
Seleccione Red > QoS y haga clic en Aadir para abrir el cuadro
de dilogo Interfaz de QoS.
Habilite QoS en la interfaz fsica:
a. En la pestaa Interfaz fsica, seleccione el Nombre de
interfaz de la interfaz a la que se aplicar el perfil de QoS.
En este ejemplo, Ethernet 1/1 es la interfaz de salida para el
trfico de exploracin web de VSYS 1 (consulte el Paso 2).
4.
5.
376
6.
7.
Calidad de servicio
Calidad de servicio
Paso 7
Seleccione Red > QoS para ver la pgina Polticas de QoS. La pgina
Polticas de QoS verifica que QoS est habilitada e incluye el enlace
Estadsticas. Haga clic en el enlace Estadsticas para ver el ancho
de banda de QoS, las sesiones activas de un nodo o una clase de
QoS que haya seleccionado y las aplicaciones activas del nodo o la
clase de QoS que haya seleccionado.
En un entorno de VSYS mltiple, las sesiones no pueden abarcar
varios sistemas. Se crean varias sesiones para un flujo de trfico si
el trfico pasa por ms de un sistema virtual. Para examinar las
sesiones que se ejecuten en el cortafuegos y ver las reglas de QoS
y las clases de QoS aplicadas, seleccione Supervisar > Explorador
de sesin.
Calidad de servicio
377
Calidad de servicio
Paso 1
El administrador crea el perfil de QoS CEO_traffic para definir el modo en que el trfico originado en la
directora ejecutiva se tratar y moldear a medida que salga de la red empresarial:
El administrador asigna un ancho de banda garantizado (Salida garantizada) de 50 Mbps para garantizar que la
directora ejecutiva disponga de esa cantidad de ancho de banda garantizado en todo momento (ms de lo que
necesitara utilizar), independientemente de la congestin de la red.
El administrador sigue designando el trfico de clase 1 como alta prioridad y establece el uso del ancho de banda
mximo del perfil (Mximo de salida) como 1000 Mbps, el mismo ancho de banda mximo para la interfaz en
el que el administrador habilitar QoS. El administrador ha decidido no restringir el uso del ancho de banda de
la directora ejecutiva de ningn modo.
Nota La prctica recomendada es cumplimentar el campo Mximo de salida para un perfil de QoS, aunque el
ancho de banda mximo del perfil coincida con el ancho de banda mximo de la interfaz. El ancho de
banda mximo del perfil de QoS nunca debera superar el ancho de banda mximo de la interfaz en la que
tenga la intencin de habilitar QoS.
378
Calidad de servicio
Calidad de servicio
Paso 2
El administrador crea una poltica de QoS para identificar el trfico de la directora ejecutiva (Polticas > QoS) y
asignarle la clase que defini en el perfil de QoS (consulte el Paso 1). Como se ha configurado User-ID, el
administrador utiliza la pestaa Origen de la poltica de QoS para identificar de manera exclusiva el trfico de la
directora ejecutiva por su nombre de usuario de red empresarial. (Si no se ha configurado User-ID, el
administrador podra Aadirla direccin IP de la directora ejecutiva bajo Direccin de origen. Consulte
User-ID.):
El administrador asocia el trfico de la directora ejecutiva a la clase 1 (pestaa Otros ajustes) y, a continuacin,
sigue cumplimentando los campos obligatorios restantes de la poltica; el administrador otorga a la poltica un
Nombre descriptivo (pestaa General) y selecciona Cualquiera para la Zona de origen (pestaa Origen) y Zona
de destino (pestaa Destino):
Paso 3
Ahora que la clase 1 est asociada al trfico de la directora ejecutiva, el administrador habilita QoS seleccionando
Activar la funcin QoS en esta interfaz y seleccionando la interfaz de salida del flujo de trfico. La interfaz de
salida del flujo de trfico de la directora ejecutiva es la interfaz de orientacin externa, en este caso, Ethernet 1/2:
Como el administrador quiere asegurarse de que todo el trfico originado en la directora ejecutiva est
garantizado por el perfil de QoS y la poltica de QoS asociada que cre, selecciona CEO_traffic para aplicarlo al
trfico de tipo Trfico en claro que se desplaza desde Ethernet 1/2.
Calidad de servicio
379
Calidad de servicio
Paso 4
Despus de confirmar la configuracin de QoS, el administrador se desplaza a la pgina Red > QoS para
confirmar que CEO_traffic del perfil de QoS est habilitado en la interfaz de orientacin externa, Ethernet 1/2:
Hace clic en Estadsticas para ver cmo se est moldeando el trfico originado en la directora ejecutiva (clase 1)
a medida que se desplaza desde Ethernet 1/2:
Nota
380
Este caso demuestra cmo aplicar QoS a trfico originado en un nico usuario de origen. Sin embargo, si
tambin quisiera garantizar o moldear el trfico para un usuario de destino, podra realizar una configuracin de
QoS similar. En lugar o adems de este flujo de trabajo, cree una poltica de QoS que especifique la direccin IP
del usuario como la Direccin de destino en la pgina Polticas > QoS (en lugar de especificar la informacin de
origen del usuario, como se muestra en el Paso 2) y, a continuacin, habilite QoS en la interfaz de orientacin
interna de la red en la pgina Red > QoS (en lugar de la interfaz de orientacin externa, como se muestra en el
Paso 3).
Calidad de servicio
Calidad de servicio
Paso 1
El administrador crea un perfil de QoS, definiendo la clase 2 para que todo el trfico asociado a la clase 2 reciba
una prioridad en tiempo real y, en una interfaz con un ancho de banda mximo de 1000 Mbps, se garantice un
ancho de banda de 250 Mbps en todo momento, incluidos los perodos en los que ms se utilice la red.
La prioridad en tiempo real suele recomendarse para las aplicaciones afectadas por la latencia y es de especial
utilidad a la hora de garantizar el rendimiento y la calidad de aplicaciones de voz y vdeo.
En la pgina Red > Perfiles de red > Perfil de QoS, el administrador hace clic en Aadir, introduce el Nombre
de perfil ensure voip-video traffic y define el trfico de clase 2.
Calidad de servicio
381
Calidad de servicio
Paso 2
El administrador crea una poltica de QoS para identificar el trfico de voz y vdeo. Como la empresa no tiene
una aplicacin de voz y vdeo estndar, el administrador quiere asegurarse de que la QoS se aplica en un par de
aplicaciones utilizadas ampliamente y con frecuencia por los empleados para comunicarse con otras oficinas,
socios y clientes. En la pestaa Polticas > QoS > Regla de poltica de QoS > Aplicaciones, el administrador hace
clic en Aadir y abre la ventana Filtro de aplicacin. El administrador sigue seleccionando criterios para filtrar
las aplicaciones en las que quiere aplicar la QoS, seleccionando la Subcategora voip-video y restringindola al
especificar nicamente aplicaciones de VoIP y vdeo que tengan un riesgo bajo y que se utilicen ampliamente.
El filtro de aplicacin es una herramienta dinmica que, cuando se utiliza para filtrar aplicaciones en la poltica
de QoS, permite aplicar QoS en todas las aplicaciones que cumplan los criterios de VoIP y vdeo, riesgo bajo y
ampliamente utilizado en cualquier momento.
El administrador asigna a la poltica de QoS el nombre Voice-Video y asocia el filtro de aplicacin voip-video-low-risk
al trfico de clase 2 (como lo defini en el Paso 1). Va a utilizar la poltica de QoS Voice-Video tanto para el trfico
de QoS entrante como el saliente, as que establece la informacin de Origen y Destino como Cualquiera:
382
Calidad de servicio
Calidad de servicio
Paso 3
Como el administrador quiere garantizar la QoS tanto para comunicaciones de voz y vdeo entrantes como
salientes, habilita QoS en la interfaz de orientacin externa de la red (para aplicar QoS a comunicaciones
salientes) y en la interfaz de orientacin interna (para aplicar QoS a comunicaciones entrantes).
El administrador empieza habilitando el perfil de QoS que cre en el Paso 1, ensure voice-video traffic (la clase 1 de
este perfil est asociada a la poltica creada en el Paso 2, Voice-Video) en la interfaz de orientacin externa, en este
caso, Ethernet 1/2.
A continuacin, habilita el mismo perfil de QoS, ensure voip-video traffic, en la interfaz de orientacin interna, en
este caso,
Ethernet 1/1.
Paso 4
El administrador confirma que la QoS se ha habilitado tanto para el trfico de voz y vdeo entrante como para
el saliente:
El administrador ha habilitado la QoS correctamente tanto en la interfaz de orientacin interna de la red como en la
externa. Ahora se garantiza la prioridad en tiempo real para el trfico de aplicaciones de voz y vdeo a medida que se
desplaza hacia adentro y hacia afuera de la red, garantizando que estas comunicaciones, que son especialmente sensibles
a la latencia y la vibracin, puedan utilizarse de manera fiable y eficaz para realizar comunicaciones empresariales tanto
internas como externas.
Calidad de servicio
383
384
Calidad de servicio
Calidad de servicio
VPN
Las redes privadas virtuales (VPN) crean tneles que permiten que los usuarios o sistemas se conecten de
manera segura a travs de una red pblica como si se estuvieran conectando a travs de una red de rea local
(LAN). Para configurar un tnel VPN, hacen falta dos dispositivos que puedan autenticarse mutuamente y cifrar
el flujo de informacin entre ellos. Los dispositivos pueden ser una pareja de cortafuegos de Palo Alto
Networks, o bien un cortafuegos de Palo Alto Networks y un dispositivo de otro proveedor con capacidad
para VPN.
Implementaciones de VPN
385
Implementaciones de VPN
VPN
Implementaciones de VPN
El cortafuegos de Palo Alto Networks admite las siguientes implementaciones de VPN:
VPN de sitio a sitio: Una sencilla VPN que se conecta a un sitio central y a un sitio remoto, o bien una VPN
de concentrador y radio que se conecta a un sitio central con mltiples sitios remotos. El cortafuegos usa
conjunto de protocolos de Seguridad IP (IPSec) para configurar un tnel seguro entre los dos sitios. Consulte
VPN de sitio a sitio.
VPN de usuario remoto a sitio: Una solucin que usa el agente GlobalProtect para permitir a un usuario
remoto establecer una conexin segura a travs del cortafuegos. Esta solucin usa SSL e IPSec para
establecer una conexin segura entre el usuario y el sitio. Consulte la Gua del administrador de
GlobalProtect.
VPN a gran escala: La VPN a gran escala de GlobalProtect de Palo Alto Networks (LSVPN) ofrece un
mecanismo simplificado para implementar una VPN de concentrador y radio con un mximo de 1024 oficinas
satlite. Esta solucin requiere que haya cortafuegos de Palo Alto Networks implementados en el concentrador
y en todos los radios. Usa certificados para la autenticacin de dispositivos, SSL para la proteccin entre todos
los componentes e IPSec para proteger los datos. Consulte VPN a gran escala (LSVPN).
La siguiente ilustracin muestra cmo se usan conjuntamente las diferentes implementaciones de VPN para
proteger una empresa:
386
VPN
Descripcin general
Descripcin general
El cortafuegos de Palo Alto Networks configura una VPN basada en rutas, donde el cortafuegos toma una
decisin de enrutamiento basada en la direccin IP de destino. Si el trfico se enruta a un destino especfico a
travs de un tnel de VPN, se cifrar como trfico VPN.
El conjunto de protocolos de seguridad IP (IPSec) se utiliza para configurar un tnel seguro para el trfico VPN.
Asimismo, la informacin de los paquetes de TCP/IP est protegida (y cifrada si el tipo de tnel es ESP).
El paquete IP (encabezado y carga) est incrustado en otra carga de IP, se aplica un nuevo encabezado y se enva
a travs del tnel IPSec. La direccin IP de origen en el nuevo encabezado es la del peer VPN local y la direccin
IP de destino es la del peer VPN del otro extremo del tnel. Cuando el paquete llega al peer VPN remoto (el
cortafuegos en el otro extremo del tnel), el encabezado exterior se elimina y se enva el paquete original a su
destino.
Para configurar el tnel VPN, primero deben autenticarse los peers. Tras autenticarse correctamente, los peers
negocian los algoritmos y el mecanismo de cifrado para proteger la comunicacin. El proceso de Intercambio
de claves por red (IKE) se usa para autenticar a los peers VPN, y las asociaciones de seguridad (SA) IPSec se
definen en cada extremo del tnel para proteger la comunicacin VPN. IKE usa certificados digitales o claves
previamente compartidas, as como las claves Diffie Hellman, para configurar las SA para el tnel IPSec. Las SA
especifican todos los parmetros necesarios para un cifrado de transmisin seguro (incluyendo el ndice de
parmetros de seguridad [SPI], el protocolo de seguridad, claves criptogrficas y la direccin IP de destino IP),
autenticacin de datos, integridad de datos y autenticacin de extremo.
La siguiente ilustracin muestra un tnel de VPN entre dos sitios. Cuando un cliente que est protegido por el
peer A de la VPN necesita contenido de un servidor ubicado en el otro sitio, el peer A de la VPN inicia una
solicitud de conexin al peer B de la VPN. Si la poltica de seguridad permite la conexin, el peer A de la VPN
usa los parmetros del perfil criptogrfico de IKE (IKE de fase 1) para establecer una conexin segura y
autenticar al peer B de la VPN. A continuacin, el peer A de la VPN establece el tnel VPN usando el perfil
criptogrfico IPSec, que define los parmetros del IKE de fase 2 para permitir la transferencia segura de datos
entre los dos sitios.
387
VPN
Interfaces de tnel
Supervisin de tnel
Interfaces de tnel
Para configurar un tnel VPN, la interfaz de capa 3 en cada extremo debe tener una interfaz de tnel lgica para
que el cortafuegos se conecte y establezca un tnel VPN. Una interfaz de tnel es una interfaz (virtual) lgica
que se usa para enviar trfico entre dos extremos. Cada interfaz de tnel puede tener un mximo de 10 tneles
IPSec; lo que significa que se pueden asociar hasta 10 redes con la misma interfaz de tnel en el cortafuegos.
La interfaz de tnel debe pertenecer a una zona de seguridad para aplicar una poltica; asimismo, debe estar
asignada a un enrutador virtual para usar la infraestructura de enrutamiento existente. Compruebe que la
interfaz de tnel y la interfaz fsica estn asignadas al mismo enrutador virtual, de modo que el cortafuegos
pueda realizar una bsqueda de rutas y determinar el mejor tnel que puede usar.
388
VPN
Normalmente, la interfaz de capa 3 a la que est vinculada la interfaz de tnel pertenece a una zona externa, por
ejemplo, la zona no fiable. Aunque la interfaz de tnel tambin puede estar en la misma zona de seguridad que
la interfaz fsica, puede crear una zona separada la para la interfaz de tnel con el fin de lograr una mayor
seguridad y mejor visibilidad. Si crea una zona separada para la interfaz de tnel (p. ej., una zona VPN),
necesitar crear polticas de seguridad que habiliten el flujo del trfico entre la zona VPN y la zona fiable.
Para enrutar trfico entre los sitios, una interfaz de tnel no necesita una direccin IP. Solo es necesaria una
direccin IP si quiere habilitar la supervisin de tneles o si est usando un protocolo de enrutamiento dinmico
para enrutar trfico a travs del tnel. Con enrutamiento dinmico, la direccin IP del tnel funciona como
direccin IP de prximo salto para el enrutamiento de trfico al tnel VPN.
Si est configurando el cortafuegos Palo Alto Networks con un peer VPN que utiliza una VPN basada en
polticas, debe configurar un ID de proxy local y remoto cuando configure el tnel IPSec. Cada peer compara
los ID de proxy que tiene configurados con lo que se recibe realmente en el paquete para permitir una
negociacin IKE de fase 2 correcta. Si se requieren varios tneles, configure ID de proxy exclusivos para cada
interfaz de tnel; una interfaz de tnel puede tener un mximo de 250 ID de proxy. Cada ID de proxy se tendr
en cuenta a la hora de calcular la capacidad del tnel VPN de IPSec del cortafuegos, y la capacidad del tnel
vara en funcin del modelo de cortafuegos.
Supervisin de tnel
Para un tnel VPN, puede comprobar la conectividad con una direccin IP de destino a travs del tnel. El perfil
de supervisin de la red del cortafuegos le permite verificar la conectividad (mediante ICMP) con una direccin
IP de destino o un prximo salto en el intervalo de sondeo especificado, as como especificar una accin o fallo
para acceder a la direccin IP supervisada.
Si no es posible alcanzar la IP de destino, puede configurar el cortafuegos para que espere a que se recupere el
tnel o configurar una conmutacin por error a otro tnel. En cada caso, el cortafuegos genera un log de sistema
que le alerta de un fallo del tnel y renegocia las claves de IPSec para acelerar la recuperacin.
El perfil de supervisin predeterminado est configurado para esperar a que el tnel se recupere; el intervalo de
sondeo es de 3 segundos y el umbral de fallo es 5.
389
VPN
IKE de fase 1
En esta fase, los cortafuegos usan los parmetros definidos en la configuracin de la puerta de enlace de IKE y
el perfil criptogrfico de IKE para autenticarse mutuamente y establecer un canal de control. La fase IKE es
compatible con el uso de claves compartidas previamente o certificados digitales (que usan infraestructuras de
clave pblicas, PKI) para la autenticacin mutua de los peers VPN. Las claves previamente compartidas son una
solucin sencilla para proteger redes pequeas, ya que no necesitan ser compatibles con una infraestructura PKI.
Los certificados digitales pueden ser ms adecuados para redes o implementaciones de mayor tamao que
requieren de mayor seguridad para la autenticacin.
Al usar certificados, asegrese de que la CA que emite el certificado es de confianza para ambos peers de la
puerta de enlace y que la longitud mxima de la cadena de certificados es 5 o menos. Con la fragmentacin IKE
habilitada, el cortafuegos puede volver a juntar mensajes de IKE con hasta 5 certificados en la cadena de
certificados y establecer correctamente el tnel VPN.
El perfil criptogrfico de IKE define las siguientes opciones que se usan en la negociacin de SA de IKE:
Grupo Diffie-Hellman (DH) para la generacin de claves simtricas para IKE. El algoritmo Diffie Hellman
usa la clave privada de una parte y la clave pblica de la otra para crear un secreto compartido, que es una
clave cifrada compartida por ambos peers del tnel VPN. Los grupos DH compatibles con el cortafuegos
son: grupo 1: 768 bits; grupo 2: 1024 bits (predeterminado); grupo 5: 1536 bits; grupo 14: 2048 bits.
Opciones de autenticacin: sha1; sha 256; sha 384; sha 512; md5
IKE de fase 2
Una vez protegido y autenticado el tnel, en la fase 2 se aumenta la proteccin del canal para la transferencia de
datos entre las redes. IKE de fase 2 usa las claves que se establecieron en la fase 1 del proceso y el perfil
criptogrfico de IPSec, que define los protocolos y las claves IPSec usadas para la SA en el IKE de fase 2.
IPSEC usa los siguientes protocolos para habilitar una comunicacin segura:
390
VPN
Carga de seguridad encapsulada (ESP): Le permite cifrar el paquete de IP completo, as como autenticar la
fuente y verificar la integridad de los datos. Aunque que ESP necesita que cifre y autentique el paquete, puede
elegir solo cifrar o solo autenticar definiendo la opcin de cifrado como Null; no se recomienda usar cifrado
sin autenticacin.
Encabezado de autenticacin (AH): Autentica el origen del paquete y verifica la integridad de datos. AH no
cifra la carga de datos y se desaconseja su uso en implementaciones en las que es importante la privacidad
de los datos. AH se suele usar cuando el principal objetivo es verificar la legitimidad del peer y no se requiere
privacidad de datos.
AH
3des
aes128
aes192
aes256
aes128ccm16
null
Algoritmos de autenticacin compatibles
md5
md5
sha 1
sha 1
sha 256
sha 256
sha 384
sha 384
sha512
sha 512
ninguno
391
VPN
Clave manual: La clave manual se suele usar si el cortafuegos Palo Alto Networks est estableciendo un
tnel VPN con un dispositivo antiguo o si quiere reducir los gastos de la generacin de claves de sesin. Si
usa claves manuales, debe configurarse la misma en ambos peers.
Las claves manuales no son recomendables para establecer un tnel VPN porque las claves de sesin pueden
verse comprometidas cuando transmitan la informacin de claves entre peers; si las claves ven
comprometida su seguridad, la transferencia de datos deja de ser segura.
Clave automtica: La clave automtica le permite generar claves automticamente para configurar y
mantener el tnel IPSec basado en algoritmos definidos en el perfil criptogrfico de IPSec.
392
VPN
Asegrese de que sus interfaces Ethernet, enrutadores virtuales y zonas estn configurados correctamente. Para
obtener ms informacin, consulte Configuracin de interfaces y zonas.
2.
Cree sus interfaces de tnel. Lo ideal sera colocar las interfaces de tnel en una zona separada para que el trfico de
tnel pueda utilizar polticas diferentes.
3.
Configure rutas estticas o asigne protocolos de enrutamiento para redirigir el trfico a los tneles VPN. Para admitir
el enrutamiento dinmico (son compatibles OSPF, BGP, RIP), debe asignar una direccin IP a la interfaz del tnel.
4.
Defina puertas de enlace de IKE para establecer comunicacin entre peers a cada lado del tnel VPN; defina tambin
el perfil criptogrfico que especifica los protocolos y algoritmos para identificacin, autenticacin y cifrado que se
usarn para configurar tneles VPN en IKEv1 de fase 1. Consulte Configuracin de una puerta de enlace de IKE y
Definicin de perfiles criptogrficos de IKE.
5.
Configure los parmetros necesarios para establecer la conexin IPSec para transferencia de datos a travs del tnel
VPN; consulte Configuracin de un tnel de IPSec. Para IKEv1 de fase 2, consulte Definicin de perfiles
criptogrficos de IPSec.
6.
(Opcional) Especifique el modo en que el cortafuegos supervisar los tneles de IPSec. Consulte Configuracin de la
supervisin de tnel.
7.
Cuando haya terminado estas tareas, el tnel estar listo para su uso. El trfico destinado a zonas/direcciones
definidas en la poltica se enruta automticamente correctamente basndose en la ruta de destino de la tabla de
enrutamiento y se gestiona como trfico VPN. Para ver algunos ejemplos de VPN de sitio a sitio, consulte
Configuraciones rpidas de VPN de sitio a sitio.
Paso 1
1.
2.
3.
393
VPN
Paso 2
1.
2.
Paso 3
Paso 4
Seleccione el mtodo de autenticacin del Para configurar una clave previamente compartida, consulte el
peer.
Paso 4.
Esto es necesario tanto para peers
estticos como dinmicos.
1.
Paso 5
Nota
2.
1.
394
VPN
Paso 6
Nota
3.
4.
5.
6.
7.
Paso 7
395
VPN
Para proteger las comunicaciones a travs del tnel VPN, el cortafuegos requiere perfiles criptogrficos de IKE
e IPSec para completar las negociaciones del IKE de fase 1 y de fase 2, respectivamente. El cortafuegos incluye
un perfil criptogrfico predeterminado de IKE y un perfil criptogrfico predeterminado de IPSec que est listo para
usarse.
Paso 1
Paso 2
1.
2.
Paso 3
Paso 4
Especifique la duracin de la validez de la Seleccione la duracin de la clave. El perodo entre cada negociacin
clave.
se conoce como duracin; cuando el tiempo especificado vence, el
cortafuegos vuelve a negociar un nuevo conjunto de claves.
Paso 5
Paso 6
Adjunte el perfil criptogrfico de IKE y la Consulte el Paso 6 en Configuracin de una puerta de enlace de IKE.
configuracin de la puerta de enlace de
IKE.
396
VPN
Paso 1
1.
2.
3.
4.
Paso 2
Paso 3
2.
Paso 4
Paso 5
Consulte el Paso 4 en
397
VPN
Paso 1
Paso 2
Seleccione Red > Tneles de IPSec > General e introduzca un Nombre para el nuevo tnel.
Seleccione la interfaz de tnel que se usar para configurar el tnel de IPSec.
Para crear una nueva interfaz de tnel:
1. Seleccione Red > Interfaces > Tnel y haga clic en Aadir.
2. En el campo Nombre de interfaz, especifique un sufijo numrico, como .2.
3. En la pestaa Configurar, ample el men desplegable Zona de seguridad para definir la zona del siguiente
modo:
Para usar una zona fiable como punto de finalizacin del tnel, seleccione la zona del men desplegable.
Asociar la interfaz del tnel con la misma zona (y enrutador virtual) que la interfaz externa por la que entran
los paquetes al cortafuegos reduce la necesidad de crear enrutamiento entre zonas.
(Recomendado) Para crear una zona separada para terminacin del tnel de VPN, haga clic en Nueva zona.
En el cuadro de dilogo Zona, defina un Nombre para una nueva zona, por ejemplo vn-corp, y haga clic en
Aceptar.
4. En el men desplegable Enrutador virtual, seleccione predeterminado.
5. (Opcional) Si quiere asignar una direccin IPv4 a la interfaz de tnel, seleccione la pestaa IPv4, haga clic en
Aadir en la seccin IP e introduzca la direccin IP y la mscara de red para asignarlas a la interfaz, por
ejemplo: 10.31.32.1/32.
6. Si quiere asignar una direccin IPv6 a la interfaz de tnel, consulte el Paso 3.
7. Para guardar la configuracin de la interfaz, haga clic en Aceptar.
398
VPN
Paso 3
Seleccione la pestaa IPv6 en Red > Interfaces > Tnel > IPv6.
Seleccione la casilla de verificacin para habilitar las
direcciones IPv6 en la interfaz.
Esta opcin permite enrutar el trfico IPv6 en un tnel IPv4
IPSec y ofrece confidencialidad entre redes IPv6. El trfico IPv6
se encapsula mediante IPv4 y, a continuacin, mediante ESP.
Para enrutar trfico IPv6 al tnel, puede usar una ruta esttica al
tnel, OSPFv3 o una regla de reenvo basado en polticas (PBF)
para dirigir trfico al tnel.
3.
4.
Paso 4
Seleccione el tipo de clave que se usar para proteger el tnel IPSec: Para clave automtica o clave manual, siga
las instrucciones que correspondan en el siguiente paso.
1.
2.
399
VPN
1.
2.
Paso 5
Paso 6
Conserve el encabezado Tipo de servicio En la seccin Mostrar opciones avanzadas, seleccione Copiar
para la prioridad o el tratamiento de
encabezado de TOS. De este modo se copia el encabezado de TOS
paquetes de IP.
(Tipo de servicio) desde el encabezado IP interno en el encabezado
IP externo de los paquetes resumidos con el fin de preservar la
informacin original de TOS.
Paso 7
Nota
400
VPN
Paso 8
Paso 1
Seleccione Red > Perfiles de red > Supervisar. Hay un perfil de supervisin de tnel disponible para su uso.
Paso 2
Paso 3
Paso 4
401
VPN
Paso 5
Adjunte el perfil de supervisin a una configuracin de tnel de IPSec. Consulte Habilite la supervisin de tnel.
1.
2.
3.
4.
Para solucionar problemas de un tnel VPN que an no est activo, consulte Interpretacin de mensajes de error
de VPN.
402
VPN
Inicie el IKE de fase 1 haciendo un ping a un host a travs del tnel o usando el siguiente comando de la CLI:
test vpn ike-sa gateway gateway_name
A continuacin, introduzca el siguiente comando para probar si el IKE de fase 1 est configurado:
gateway_name
En el resultado, compruebe si se muestra la asociacin de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
Inicie el IKE de fase 2 haciendo un ping a un host desde el tnel o usando el siguiente comando de la CLI:
test vpn ipsec-sa tunnel
tunnel_name
A continuacin, introduzca el siguiente comando para probar si el IKE de fase 1 est configurado:
show vpn ipsec-sa tunnel tunnel_name
En el resultado, compruebe si se muestra la asociacin de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
Para ver la informacin del flujo de trfico VPN, use el siguiente comando:
show vpn-flow
admin@PA-500> show vpn flow
total tunnels configured:
name
id
state
local-ip
peer-ip
tunnel-i/f
----------------------------------------------------------------------------vpn-to-siteB
active
100.1.1.1
200.1.1.1
tunnel.41
Si el error es:
Pruebe a:
403
VPN
o
IKE phase 1 negotiation
is failed. Couldnt find
configuration for IKE
phase-1 request for peer
IP x.x.x.x[1929]
Received unencrypted
notify payload (no
proposal chosen) from IP
x.x.x.x[500] to
y.y.y.y[500],
ignored...
Comprobar el perfil criptogrfico de IKE para verificar que las propuestas en ambos
lados tienen un cifrado, autenticacin y propuesta de grupo DH comunes.
o
IKE phase-1 negotiation
is failed. Unable to
process peers SA
payload.
pfs group mismatched:my:
2peer: 0
o
IKE phase-2 negotiation
failed when processing
SA payload. No suitable
proposal found in peers
SA payload.
IKE phase-2 negotiation
failed when processing
Proxy ID. Received local
id x.x.x.x/x type IPv4
address protocol 0 port
0, received remote id
y.y.y.y/y type IPv4
address protocol 0 port
0.
404
El peer VPN de un extremo est usando una VPN basada en polticas. Debe configurar
un ID de proxy en el cortafuegos de Palo Alto Networks. Consulte Paso 8.
VPN
405
VPN
Paso 1
1.
2.
3.
4.
5.
406
Interfaz: ethernet1/11
Zona de seguridad: no fiable
Enrutador virtual: predeterminado
IPv4: 192.168.210.120/24
VPN
Paso 2
4.
5.
6.
Paso 3
Interfaz: tnel.12
Zona de seguridad: vpn_tun
Enrutador virtual: predeterminado
IPv4: 192.168.69.2/24
2.
407
VPN
Paso 4
1.
2.
1.
Paso 5
2.
Interfaz: ethernet1/7
Direccin IP local: 192.168.210.26/24
Tipo/Direccin IP del peer: esttica/192.168.210.120
Claves previamente compartidas: introduzca un valor
Identificacin local: ninguna; significa que la direccin
3.
408
Interfaz: ethernet1/11
Direccin IP local: 192.168.210.120/24
Tipo/Direccin IP del peer: esttica/192.168.210.26
Claves previamente compartidas: introduzca el mismo
VPN
Paso 6
1.
2.
3.
4.
Paso 7
1.
2.
Paso 8
Paso 9
409
VPN
410
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF
Paso 1
2.
3.
4.
5.
6.
Interfaz: ethernet1/11
Zona de seguridad: no fiable
Enrutador virtual: predeterminado
IPv4: 200.1.1.1/24
411
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 2
4.
5.
6.
Paso 3
Interfaz: tnel.40
Zona de seguridad: vpn_tun
Enrutador virtual: predeterminado
IPv4: 2.1.1.140/24
1.
2.
412
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 4
3.
Paso 5
1.
2.
Interfaz: ethernet1/7
Direccin IP local: 100.1.1.1/24
Direccin IP del peer: 200.1.1.1/24
Claves previamente compartidas: introduzca un valor
La configuracin para el peer B de VPN es:
3.
Interfaz: ethernet1/11
Direccin IP local: 200.1.1.1/24
Direccin IP del peer: 100.1.1.1/24
Claves previamente compartidas: introduzca el mismo
413
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 6
1.
2.
3.
4.
Paso 7
414
1.
2.
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 8
Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre s con estado
desde la CLI.
completo. Confirme adems la direccin IP de la interfaz del tnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
show routing protocol ospf neighbor
Paso 9
415
VPN
416
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico
Paso 1
2.
3.
4.
5.
6.
Paso 2
Interfaz: ethernet1/11
Zona de seguridad: no fiable
Enrutador virtual: predeterminado
IPv4: 200.1.1.1/24
1.
2.
417
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 3
1.
2.
3.
418
Interfaz: ethernet1/7
Direccin IP local: 100.1.1.1/24
Tipo de IP de peer: dinmica
Claves previamente compartidas: introduzca un valor
Identificacin local: seleccione FQDN(nombre de host)
Interfaz: ethernet1/11
Direccin IP local: 200.1.1.1/24
Direccin IP de peer: dinmica
Claves previamente compartidas: introduzca el mismo
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 4
4.
5.
6.
Paso 5
Interfaz: tnel.42
Zona de seguridad: vpn_tun
Enrutador virtual: predeterminado
IPv4: 2.1.1.140/24
419
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 6
1.
2.
3.
4.
Paso 7
1.
2.
420
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 8
1.
2.
3.
Paso 9
4.
1.
2.
421
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 10 Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre s con estado
desde la CLI.
completo. Confirme adems la direccin IP de la interfaz del tnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
show routing protocol ospf neighbor
422
Los siguientes temas describen los componentes de LSVPN y cmo configurarlos para habilitar servicios de
VPN de sitio a sitio entre cortafuegos de Palo Alto Networks:
423
Componentes de LSVPN
Componentes de LSVPN
GlobalProtect proporciona una completa infraestructura para gestionar el acceso seguro a recursos corporativos
desde sus ubicaciones remotas. Esta infraestructura incluye los siguientes componentes:
Puertas de enlace de GlobalProtect: Cortafuegos de Palo Alto Networks que proporciona el extremo del
tnel para conexiones de satlites. Los recursos a los que acceden los satlites estn protegidos por la poltica
de seguridad de la puerta de enlace. No es obligatorio tener un portal y una puerta de enlace separados; un
nico cortafuegos puede actuar tanto de portal como de puerta de enlace.
Satlite de GlobalProtect: Cortafuegos de Palo Alto Networks en una ubicacin remota que establece
tneles de IPSec con las puertas de enlace de sus sedes para lograr un acceso seguro a recursos centralizados.
La configuracin del cortafuegos del satlite es mnima, lo que le permite ajustar rpida y fcilmente su VPN
a medida que aada nuevas ubicaciones.
El siguiente diagrama muestra cmo funcionan los componentes de LSVPN de GlobalProtect en conjunto.
424
Portal de GlobalProtect: Requiere una interfaz de capa 3 para que se conecten los satlites de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde sus sucursales.
Puertas de enlace de GlobalProtect: Requiere tres interfaces: una interfaz de capa 3 en la zona a la que
pueden acceder los satlites remotos, una interfaz interna en la zona fiable que se conecta con los recursos
protegidos y una interfaz de tnel lgica para finalizar los tneles de VPN desde los satlites. A diferencia de
otras soluciones de VPN de sitio a sitio, la puerta de enlace de GlobalProtect solamente requiere una nica
interfaz de tnel, que utilizar para las conexiones de tnel con todos sus satlites remotos (punto a
multipunto). Si tiene la intencin de utilizar el enrutamiento dinmico, deber asignar una direccin IP a la
interfaz de tnel.
Satlite de GlobalProtect: Requiere una nica interfaz de tnel para establecer una VPN con las puertas
de enlace remotas (hasta un mximo de 25 puertas de enlace). Si tiene la intencin de utilizar el enrutamiento
dinmico, deber asignar una direccin IP a la interfaz de tnel.
Si desea ms informacin sobre portales, puertas de enlace y satlites, consulte Componentes de LSVPN.
Configuracin de interfaces y zonas para la LSVPN de GlobalProtect
Paso 1
1.
5.
6.
425
Paso 2
Nota
Nota
1.
En los cortafuegos donde se alojen
puertas de enlace de GlobalProtect,
2.
configure la interfaz de tnel lgica que
finalizar los tneles de VPN establecidos
3.
por los satlites de GlobalProtect.
No se requieren direcciones IP en la
interfaz de tnel a menos que tenga la
intencin de utilizar el enrutamiento
dinmico. Sin embargo, asignar una
direccin IP a la interfaz de tnel puede
resultar til para solucionar problemas de
conexin.
Asegrese de habilitar User-ID en la zona
donde finalizan los tneles de VPN.
4.
5.
6.
Paso 3
Si ha creado una zona separada para la finalizacin del tnel de las conexiones VPN, cree una poltica de
seguridad para habilitar el flujo de trfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de
poltica habilita el trfico entre la zona lsvpn-tun y la zona L3-Trust.
Paso 4
Guarde la configuracin.
426
427
Paso 1
Paso 2
Nota
2.
3.
4.
6.
428
Paso 3
1.
Prcticas recomendadas:
Exporte los certificados de servidor
autofirmados emitidos por la CA raz
desde el portal e imprtelos en las
puertas de enlace.
Asegrese de emitir un nico
certificado de servidor para cada
puerta de enlace.
El campo de nombre comn (CN) y, si
es aplicable, de nombre alternativo del
asunto (SAN) del certificado deben
coincidir con la direccin IP o con el
nombre de dominio completo
(FQDN) de la interfaz donde
configure la puerta de enlace.
2.
3.
4.
5.
6.
7.
8.
9.
429
Paso 4
Paso 5
Paso 6
430
1.
2.
Guarde la configuracin.
3.
4.
5.
Nmero de serie: Puede configurar el portal con el nmero de serie de los cortafuegos satlite autorizados
para unirse a la LSVPN. Durante la conexin inicial del satlite al portal, el satlite presenta su nmero de
serie al portal y, si el portal tiene el nmero de serie en su configuracin, el satlite se autenticar
correctamente. Los nmeros de serie de los satlites autorizados se aaden al configurar el portal. Consulte
Configuracin del portal.
Nombre de usuario y contrasea: Si prefiere proporcionar sus satlites sin introducir manualmente los
nmeros de serie de los dispositivos satlite en la configuracin de portal, puede solicitar al administrador
de satlites que los autentique al establecer la conexin inicial con el portal. Aunque el portal siempre buscar
el nmero de serie en la solicitud inicial del satlite, si no puede identificar el nmero de serie, el
administrador de satlites deber proporcionar un nombre de usuario y una contrasea para autenticarlo en
el portal. Debido a que el portal siempre retroceder a esta forma de autenticacin, debe crear un perfil de
autenticacin para confirmar la configuracin del portal. Esto requiere que configure un perfil de
autenticacin para la configuracin de LSVPN del portal, aunque tenga la intencin de autenticar los satlites
mediante el nmero de serie.
El siguiente flujo de trabajo describe el modo de configurar el portal para la autenticacin de satlites mediante
un servicio de autenticacin existente. LSVPN de GlobalProtect admite la autenticacin externa mediante una
base de datos local, LDAP (incluido Active Directory), Kerberos o RADIUS.
431
Paso 1
1.
Paso 2
7.
8.
1.
2.
3.
4.
5.
Paso 3
432
Guarde la configuracin.
Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Debe
configurar tanto la interfaz fsica como la interfaz de tnel virtual. Consulte Creacin de interfaces y zonas
para la LSVPN.
Configure los certificados de servidor de puerta de enlace y el perfil de certificado necesario para habilitar
el satlite y la puerta de enlace de GlobalProtect para que establezcan una conexin SSL/TLS mutua.
Consulte Habilitacin de SSL entre componentes de LSVPN de GlobalProtect.
Paso 1
1.
2.
3.
433
Paso 2
1.
2.
Paso 4
Paso 5
1.
2.
3.
4.
1.
2.
434
Paso 6
Seleccione el perfil criptogrfico que debe Seleccione predeterminado en el men desplegable Perfil
criptogrfico de IPSec u, opcionalmente, seleccione Nuevo perfil
utilizarse al establecer conexiones de
tnel.
criptogrfico de IPSec para definir un nuevo perfil. Si desea
informacin detallada sobre las opciones de autenticacin y cifrado
El perfil criptogrfico especifica el tipo de
en el perfil criptogrfico, consulte la ayuda en lnea.
cifrado de IPSec y/o el mtodo de
autenticacin para proteger los datos que
atraviesen el tnel. Dado que ambos
extremos del tnel de una LSVPN son
cortafuegos fiables de su organizacin,
por lo general puede utilizar el perfil
predeterminado, que utiliza cifrado
ESP-DH group2-AES 128 con SHA-1.
Sin embargo, si requiere una mezcla
diferente de mecanismos de cifrado y
autenticacin, puede crear opcionalmente
un perfil criptogrfico de IPSec
personalizado.
435
Paso 7
Nota
3.
4.
436
Paso 8
Paso 9
1.
2.
3.
Para filtrar cules de las rutas anunciadas por los satlites deben
aadirse a la tabla de rutas de la puerta de enlace, haga clic en
Aadir y, a continuacin, defina las subredes que hay que incluir.
Por ejemplo, si todos los satlites estn configurados con la
subred 192.168.x.0/24 en el extremo de la LAN, configurando
una ruta permitida de 192.168.0.0/16 para habilitar la puerta de
enlace con el fin de que solamente acepte rutas del satlite si est
en la subred 192.168.0.0/16.
1.
2.
Compile la configuracin.
437
Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creacin de interfaces y zonas para la LSVPN.
Emitir el certificado de servidor del portal y certificados de servidor de la puerta de enlace, as como
configurar el portal para emitir certificados de servidor para los satlites. Consulte Habilitacin de SSL
entre componentes de LSVPN de GlobalProtect.
Definir el perfil de autenticacin que se utilizar para autenticar satlites de GlobalProtect en el caso de
que el nmero de serie no est disponible. Consulte Configuracin del portal para autenticar satlites.
438
Paso 1
Paso 2
Aada el portal.
1.
2.
3.
1.
Especifique la informacin de red que
permita a los satlites conectarse al portal.
Paso 3
Nota
Paso 4
Siga definiendo las configuraciones que Haga clic en ACEPTAR para guardar la configuracin de portal o vaya
deben enviarse a los satlites o, si ya ha
a Definicin de las configuraciones de satlites.
creado las configuraciones de los satlites,
guarde la configuracin del portal.
439
440
Paso 1
2.
Nota
3.
Paso 2
441
Paso 3
Especifique en qu satlites desea implementar Especifique los criterios de coincidencia para la configuracin de
satlite de la manera siguiente:
esta configuracin. Hay dos formas de
especificar qu satlites recibirn la
Para restringir esta configuracin a dispositivos satlite con
configuracin: por nombre de usuario/grupo
nmeros de serie especficos, seleccione la pestaa Dispositivos,
de inscripcin y/o mediante el nmero de serie
haga clic en Aadir e introduzca un nmero de serie (no necesita
de los dispositivos satlite.
introducir el nombre de host de satlite; se aadir
automticamente cuando el satlite se conecte). Repita este paso
El portal utiliza los ajustes Usuario de
para cada satlite que quiera que reciba esta configuracin.
inscripcin/Grupo de usuarios y/o los
nmeros de serie de Dispositivos para hacer
Seleccione la pestaa Usuario de inscripcin/Grupo de
coincidir un satlite con una configuracin. Por
usuarios, haga clic en Aadir y, a continuacin, seleccione el
lo tanto, si tiene mltiples configuraciones,
usuario o grupo que quiera que reciba esta configuracin. Los
asegrese de ordenarlas correctamente. En
satlites que no coinciden en el nmero de serie debern
cuanto el portal encuentre una coincidencia,
autenticarse como un usuario especificado aqu (bien como un
distribuir la configuracin. As, las
usuario individual, bien como un miembro de grupo).
configuraciones ms especficas debern
preceder a las ms generales. Consulte el Paso 6 Nota Antes de poder restringir la configuracin a grupos
especficos, debe asignar a los usuarios a grupos, como se
las instrucciones sobre cmo ordenar la lista de
describe en Asignacin de usuarios a grupos.
configuraciones de satlites.
Paso 4
Nota
Paso 5
1.
2.
Paso 6
Prepare las configuraciones de satlites para que Para subir una configuracin de satlite en la lista de
se implemente la configuracin correcta en cada
configuraciones, seleccinela y haga clic en Mover hacia arriba.
satlite.
Para bajar una configuracin de satlite en la lista de
configuraciones, seleccinela y haga clic en Mover hacia abajo.
Paso 7
442
1.
2.
Paso 1
Paso 2
Nota
6.
443
Paso 3
1.
Si gener el certificado de servidor del
portal mediante una CA raz que no es de
confianza para los satlites (por ejemplo,
si utiliz certificados autofirmados),
importe el certificado de CA raz utilizado
para emitir el certificado de servidor del
portal.
El certificado de CA raz es obligatorio
para habilitar el dispositivo satlite con el
fin de que establezca la conexin inicial
con el portal para obtener la
configuracin de LSVPN.
2.
Paso 4
444
2.
3.
4.
5.
6.
7.
Paso 5
Paso 6
Paso 7
1.
1.
2.
445
Paso 1
Paso 1
En cada cortafuegos que aloje una puerta de enlace, verifique que los
satlites pueden establecer tneles de VPN seleccionando Red >
GlobalProtect > Puertas de enlace y haciendo clic en Informacin
de satlite en la columna Informacin de la entrada de
configuracin de la puerta de enlace. Los satlites que hayan
establecido tneles correctamente con la puerta de enlace aparecern
en la pestaa Activar satlites.
Paso 1
446
447
El siguiente flujo de trabajo muestra los pasos para establecer esta configuracin bsica:
Configuracin rpida: bsica de LSVPN con rutas estticas
Paso 1
Paso 2
Nota
Paso 3
Cree la regla de poltica de seguridad para habilitar el flujo de trfico entre la zona de la VPN donde finaliza el
tnel (lsvpn-tun) y la zona fiable donde residen las aplicaciones corporativas (L3-Trust).
448
Paso 4
1.
2.
Paso 5
Paso 6
Paso 7
Configuracin de la puerta de enlace para Seleccione Red > GlobalProtect > Puertas de enlace y haga clic en
LSVPN.
Aadir para aadir una configuracin. Este ejemplo requiere la
siguiente configuracin de puerta de enlace:
Interfaz: ethernet1/11
Direccin IP: 203.0.113.11/24
Certificado de servidor: lsvpnserver
Perfil del certificado: lsvpn-profile
Interfaz de tnel: tnel.1
DNS principal/DNS secundario: 4.2.2.1/4.2.2.2
Grupo de IP: 2.2.2.111-2.2.2.120
Acceder a ruta: 10.2.10.0/24
Paso 8
449
Paso 9
Creacin de una configuracin de satlite En la pestaa Configuracin Satlite de la configuracin del portal,
de GlobalProtect.
haga clic en Aadir para aadir una configuracin de satlite y una
CA raz de confianza y especifique la CA que utilizar el portal para
emitir certificados para los satlites. En este ejemplo, los ajustes
obligatorios son los siguientes:
Puerta de enlace: 203.0.113.11
Emisor del certificado: lsvpn-CA
CA raz de confianza: lsvpn-CA
lsvpn-CA
Configuracin de tnel de IPSec
450
Asignacin manual de direcciones IP a interfaces de tnel en todas las puertas de enlace y todos los satlites.
Configuracin de OSPF de punto a multipunto (P2MP) en el enrutador virtual en todas las puertas de enlace
y todos los satlites. Adems, como parte de la configuracin de OSPF de cada puerta de enlace, debe definir
manualmente la direccin IP de tnel de cada satlite como un vecino OSPF. Del mismo modo, en cada
satlite, debe definir manualmente la direccin IP de tnel de cada puerta de enlace como un vecino OSPF.
Aunque el enrutamiento dinmico requiere una configuracin adicional durante la configuracin inicial de la
LSVPN, reduce las tareas de mantenimiento asociadas a la actualizacin de las rutas a medida que se producen
cambios de topologa en su red.
La siguiente ilustracin muestra una configuracin de enrutamiento dinmico de LSVPN. Este ejemplo muestra
cmo configurar OSPF como el protocolo de enrutamiento dinmico para la VPN.
Para realizar una configuracin bsica de una LSVPN, siga los pasos de Configuracin bsica de LSVPN con
rutas estticas. A continuacin, podr realizar los pasos del siguiente flujo de trabajo para ampliar la
configuracin con el fin de utilizar el enrutamiento dinmico en lugar de rutas estticas.
451
Paso 1
452
3.
4.
5.
6.
7.
8.
Paso 3
3.
4.
5.
6.
7.
8.
Repita este paso cada vez que aada una nueva puerta de enlace.
453
Paso 4
Verifique que las puertas de enlace y los satlites pueden formar adyacencias de enrutador.
En cada satlite y cada puerta de enlace, confirme que se han formado adyacencias de peer y que se han creado
entradas de tabla de rutas para los peers (es decir, que los satlites tienen rutas hacia las puertas de enlace y las
puertas de enlace tienen rutas hacia los satlites). Seleccione Red > Enrutador virtual y haga clic en el enlace
Ms estadsticas de tiempo de ejecucin para el enrutador virtual que est utilizando para la LSVPN. En la
pestaa Enrutamiento, verifique que el peer de la LSVPN tiene una ruta.
En la pestaa OSPF > Vecino, verifique que los cortafuegos que alojan a sus puertas de enlace han establecido
adyacencias de enrutador con los cortafuegos que alojan a sus satlites y viceversa. Verifique tambin que el
Estado es Completo, lo que indica que se han establecido adyacencias completas.
454
Redes
Todos los cortafuegos de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prcticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podr elegir entre una implementacin de interfaz de cable virtual, capa 2
o capa 3. Adems, para permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos
de interfaces en diferentes puertos. Las secciones siguientes ofrecen informacin bsica sobre cada tipo de
implementacin. Si desea informacin de implementacin ms detallada, consulte Designing Networks with Palo
Alto Networks cortafuegos (en ingls); si desea informacin sobre la distribucin de rutas, consulte Understanding
Route Redistribution and Filtering (en ingls).
Los siguientes temas describen cmo integrar cortafuegos de prxima generacin de Palo Alto Networks en
su red.
Implementaciones de cortafuegos
Configuracin de RIP
Configuracin de OSPF
Configuracin de BGP
Integracin en la red
455
Implementaciones de cortafuegos
Redes
Implementaciones de cortafuegos
Implementaciones de capa 2
Implementaciones de capa 3
No requiere ningn cambio de configuracin en los dispositivos de red adyacentes o que se encuentren
alrededor.
El default-vwire que se entrega como configuracin predeterminada de fbrica, conecta los puertos Ethernet
1 y 2 y permite todo el trfico sin etiquetar. No obstante, puede utilizar un Virtual Wire para conectar dos
puertos cualquiera y configurarlo para que bloquee o permita el trfico basndose en las etiquetas de la LAN
virtual (VLAN); la etiqueta 0 de la VLAN indica el trfico sin etiquetar. Tambin puede crear varias
subinterfaces, aadirlas a diferentes zonas y, a continuacin, clasificar el trfico de acuerdo con una etiqueta de
la VLAN, o una combinacin de una etiqueta de la VLAN con clasificadores IP (direccin, intervalo o subred)
para aplicar un control detallado de las polticas para etiquetas especficas de la VLAN o para etiquetas de la
VLAN de una direccin IP de origen, intervalo o subred en concreto.
Ilustracin: Implementacin de cable virtual
No se ha realizado
enrutamiento ni cambio
Red de usuario
Internet
456
Integracin en la red
Redes
Implementaciones de cortafuegos
Paso 1
Configure dos interfaces Ethernet con el tipo Virtual Wire y asigne estas interfaces a un Virtual Wire.
Paso 2
Cree subinterfaces en el Virtual Wire principal para separar el trfico del cliente A del cliente B. Asegrese de
que las etiquetas de la VLAN definidas en cada par de subinterfaces configuradas como Virtual Wire sean
idnticas. Esto es esencial, porque un Virtual Wire no conmuta etiquetas de la VLAN.
Paso 3
Cree nuevas subinterfaces y defina clasificadores IP. Esta tarea es opcional y solamente es necesaria si desea
aadir subinterfaces adicionales con clasificadores IP para gestionar aun ms el trfico de un cliente basndose
en la combinacin de etiquetas de la VLAN y una direccin IP de origen, intervalo o subred en concreto.
Tambin puede utilizar clasificadores IP para gestionar el trfico sin etiquetar. Para ello, debe crear una
subinterfaz con la etiqueta 0 de la VLAN y definir subinterfaces con clasificadores IP para gestionar el trfico
sin etiquetar mediante clasificadores IP.
La clasificacin de IP solamente puede utilizarse en las subinterfaces asociadas con un lado del
Virtual Wire. Las subinterfaces definidas en el lado correspondiente del Virtual Wire deben utilizar
la misma etiqueta de la VLAN, pero no deben incluir un clasificador IP.
Cliente A
VLAN100
Cable virtual
Ethernet 1/1 (entrada)
Cable virtual
Ethernet 1/2 (salida)
Internet
Cliente B
VLAN200
Cliente A en VLAN100
Subinterfaz e1/1.1
Zona 1
Cliente A en VLAN100
Subinterfaz e1/2.1
Zona 2
Cliente B en VLAN200
Subinterfaz e1/1.2
Zona 3
Cliente B en VLAN200
Subinterfaz e1/2.2
Zona 4
Ilustracin: Implementacin de Virtual Wire con subinterfaces (nicamente etiquetas de la VLAN) muestra al
cliente A y al cliente B conectados al cortafuegos mediante una interfaz fsica, Ethernet 1/1, configurada como
Virtual Wire, que es la interfaz de entrada. Una segunda interfaz fsica, Ethernet 1/2, tambin forma parte del
Virtual Wire y se utiliza como la interfaz de salida que proporciona acceso a Internet. Para el cliente A, tambin
tiene las subinterfaces Ethernet 1/1.1 (entrada) y Ethernet 1/2.1 (salida). Para el cliente B, tiene las subinterfaces
Integracin en la red
457
Implementaciones de cortafuegos
Redes
Ethernet 1/1.2 (entrada) y Ethernet 1/2.2 (salida). Cuando configure las subinterfaces, debe asignar la etiqueta
de la VLAN y la zona correctas para aplicar las polticas a cada uno de los clientes. En este ejemplo, las polticas
del cliente A se crean entre la zona 1 y la zona 2, y las polticas del cliente B se crean entre la zona 3 y la zona 4.
Cuando el trfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deber coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este
ejemplo, una subinterfaz simple coincide con la etiqueta de la VLAN en el paquete entrante, por lo que se
seleccionar esa subinterfaz. Las polticas definidas para la zona se evalan y aplican antes de que el paquete
salga de la subinterfaz correspondiente.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
muestra al cliente A y al cliente B conectados a un cortafuegos fsico que tiene dos sistemas virtuales (vsys),
adems del sistema virtual predeterminado (vsys1). Cada sistema virtual es un cortafuegos virtual independiente
que se gestiona por separado para cada cliente. Cada vsys tiene adjuntadas interfaces/subinterfaces y zonas de
seguridad que se gestionan de manera independiente.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
Subinterfaz e1/1.1 y e1/2.1 etiquetada para VLAN 100
e1/1.1 en la zona 3 y e1/2.1 en la zona 4
Subinterfaz e1/1.2 y e1/2.2 etiquetada para VLAN 100
para la subred IP 192.1.0.0/16 e1/1.2
en la zona 5 y e1/2.2 en la zona 6
Zona 1
e1/1
Vsys2
Vsys
Zona 2
e1/2
Internet
Vsys3
Vsys1 est configurado para utilizar las interfaces fsicas Ethernet 1/1 y Ethernet 1/2 como Virtual Wire;
Ethernet 1/1 es la interfaz de entrada y Ethernet 1/2 es la interfaz de salida que proporciona el acceso a
Internet. Este Virtual Wire est configurado para aceptar todo el trfico etiquetado y sin etiquetar a excepcin
de las etiquetas 100 y 200 de la VLAN que estn asignadas a las subinterfaces.
El cliente A se gestiona en vsys2 y el cliente B se gestiona en vsys3. En vsys2 y vsys3, se crean las siguientes
subinterfaces de vwire con las etiquetas de la VLAN y las zonas adecuadas para aplicar las medidas incluidas en
las polticas.
458
Integracin en la red
Redes
Implementaciones de cortafuegos
Cliente
Vsys
Subinterfaces
de Vwire
Zona
Etiqueta de la Clasificador IP
VLAN
e1/1.1 (entrada)
Zona 3
100
e1/2.1 (salida)
Zona 4
100
e1/1.2 (entrada)
Zona 5
100
Subred IP
e1/2.2 (salida)
Zona 6
100
192.1.0.0/16
e1/1.3 (entrada)
Zona 7
100
Subred IP
e1/2.3 (salida)
Zona 8
100
192.2.0.0/16
e1/1.4 (entrada)
Zona 9
200
Ninguna
e1/2.4 (salida)
Zona 10
200
2
2
Ninguna
Cuando el trfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deber coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este
caso, para el cliente A, hay varias subinterfaces que utilizan la misma etiqueta de la VLAN. De este modo, el
cortafuegos primero acota la clasificacin a una subinterfaz basndose en la direccin IP de origen del paquete.
Las polticas definidas para la zona se evalan y aplican antes de que el paquete salga de la subinterfaz
correspondiente.
Para el trfico de ruta de retorno, el cortafuegos compara la direccin IP de destino del modo definido en el
clasificador IP en la subinterfaz del cliente y selecciona el Virtual Wire adecuado para enrutar el trfico a travs
de la subinterfaz precisa.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
Implementaciones de capa 2
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms redes. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos
ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.
Seleccione esta opcin cuando necesite poder alternar.
Ilustracin: Implementacin de capa 2
Cambio entre
dos redes
Red de usuario
Integracin en la red
Internet
459
Implementaciones de cortafuegos
Redes
Implementaciones de capa 3
En una implementacin de capa 3, el cortafuegos enruta el trfico entre mltiples puertos. Se debe asignar una
direccin IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando
necesite enrutamiento.
Ilustracin: Implementacin de capa 3
Enrutamiento entre
dos redes
10.1.2.1/24
10.1.1.1/24
Red de usuario
Internet
Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Consulte Configuracin de un enrutador virtual.
Cliente DHCP
Puede configurar la interfaz del cortafuegos para que funcione como un cliente DHCP y recibir una direccin
IP asignada dinmicamente. El cortafuegos tambin permite propagar los ajustes recibidos mediante la interfaz
del cliente DHCP en un servidor DHCP que funciona mediante cortafuegos. Esta opcin se suele utilizar para
propagar los ajustes del servidor DNS desde un proveedor de servicios de Internet a las mquinas cliente de la
red que estn protegidas por el cortafuegos.
El cliente DHCP no es compatible en modo HA activo/activo.
460
Integracin en la red
Redes
Implementaciones de cortafuegos
Integracin en la red
461
Redes
RIP
OSPF
OSPFv3
BGP
Paso 1
Paso 2
462
1.
2.
3.
4.
Integracin en la red
Redes
Paso 3
Paso 4
1.
2.
3.
1.
Paso 5
Paso 6
Integracin en la red
463
Redes
Paso 1
1.
2.
3.
Paso 2
4.
1.
2.
3.
4.
5.
464
6.
7.
Integracin en la red
Redes
1.
Paso 3
Nota
Paso 4
5.
6.
7.
1.
2.
3.
4.
5.
7.
Paso 5
Paso 6
Paso 7
Integracin en la red
465
Configuracin de RIP
Redes
Configuracin de RIP
RIP se ha diseado para redes IP de pequeo tamao y se basa en el recuento de saltos para determinar las rutas;
las mejores rutas tienen el menor nmero de saltos. RIP se basa en UDP y utiliza el puerto 520 para las
actualizaciones de rutas. Al limitar las rutas a un mximo de 15 saltos, el protocolo ayuda a evitar el desarrollo
de bucles de enrutamiento, adems de limitar el tamao de red admitido. Si se requieren ms de 15 saltos, el
trfico no se enruta. RIP tambin puede tardar ms en converger que OSPF y otros protocolos de enrutamiento.
El cortafuegos admite RIP v2.
Configuracin de RIP
Paso 1
Configure los ajustes de configuracin Consulte Configuracin de un enrutador virtual para obtener
general de enrutador virtual.
informacin detallada.
Paso 2
Paso 3
466
3.
4.
1.
2.
3.
4.
5.
6.
7.
8.
Integracin en la red
Redes
Configuracin de RIP
Paso 4
Paso 5
2.
3.
4.
5.
3.
4.
5.
3.
4.
5.
6.
Integracin en la red
7.
8.
9.
467
Configuracin de OSPF
Redes
Configuracin de OSPF
Open Shortest Path First (OSPF) es un protocolo de puerta de enlace interior (IGP) que suele utilizarse la
mayora de las veces para gestionar dinmicamente rutas de red en redes de empresas de gran tamao.
Determina las rutas de forma dinmica obteniendo la informacin de otros enrutadores y anunciando las rutas
a otros enrutadores mediante anuncios de estado de enlaces (LSA). La informacin recopilada de los LSA se
utiliza para construir un mapa de topologa de la red. Este mapa de topologa se comparte entre los enrutadores
de la red y se utiliza para cumplimentar la tabla de rutas de IP con rutas disponibles.
Los cambios en la topologa de la red se detectan dinmicamente y se utilizan para generar un nuevo mapa de
topologa en cuestin de segundos. Se calcula un rbol con la ruta ms corta de cada ruta. Se utilizan las medidas
asociadas a cada interfaz de enrutamiento para calcular la mejor ruta. Pueden incluir distancia, rendimiento de
red, disponibilidad de enlaces, etc. Adems, estas medidas pueden configurarse de manera esttica para dirigir el
resultado del mapa de topologa de OSPF.
La implementacin de Palo Alto Networks de OSPF admite por completo los siguientes RFC:
Los siguientes temas ofrecen ms informacin sobre el OSPF y los procedimientos para configurar OSPF en el
cortafuegos:
Conceptos de OSPF
Configuracin de OSPF
Configuracin de OSPFv3
Conceptos de OSPF
Los siguientes temas presentan los conceptos de OSPF que deber comprender para configurar el cortafuegos
con el fin de que participe en la red de OSPF:
OSPFv3
Vecinos OSPF
reas OSPF
468
Integracin en la red
Redes
Configuracin de OSPF
OSPFv3
OSPFv3 permite la compatibilidad con el protocolo de enrutamiento OSPF dentro de una red IPv6. Como tal,
permite la compatibilidad con direcciones y prefijos IPv6. Conserva la mayor parte de la estructura y las
funciones de OSPFv2 (para IPv4) con algunos cambios menores. A continuacin se indican algunas de las
adiciones y los cambios en OSPFv3:
Compatibilidad con varias instancias por enlace: Con OSPFv3, puede ejecutar varias instancias del
protocolo OSPF a travs de un nico enlace. Esto se consigue al asignar un nmero de ID de instancia de
OSPFv3. Una interfaz que est asignada a una ID de instancia descartar paquetes que contengan un ID
diferente.
Procesamiento de protocolos por enlace: OSPFv3 funciona segn enlace en lugar de hacerlo segn
subred IP como en OSPFv2.
Cambios en las direcciones: Las direcciones IPv6 no estn presentes en paquetes OSPFv3, excepto en el
caso de cargas de LSA en paquetes de actualizacin de estado de enlace. Los enrutadores vecinos se
identifican mediante el ID de enrutador.
Compatibilidad con varias instancias por enlace: Cada instancia se corresponde con un ID de instancia
incluido en el encabezado de paquete OSPFv3.
Nuevos tipos de LSA: OSPFv3 admite dos nuevos tipos de LSA: LSA de enlace y LSA de prefijo intrarea.
Vecinos OSPF
Dos enrutadores con OSPF conectados por una red comn y en la misma rea OSPF que forman una relacin
son vecinos OSPF. La conexin entre estos enrutadores puede ser a travs de un dominio de difusin comn o
mediante una conexin de punto a punto. Esta conexin se realiza a travs del intercambio de paquetes de
saludo del protocolo OSPF. Estas relaciones de vecinos se utilizan para intercambiar actualizaciones de
enrutamiento entre enrutadores.
reas OSPF
OSPF funciona en un nico sistema autnomo (AS). No obstante, las redes de dentro de este AS nico pueden
dividirse en distintas reas. De manera predeterminada, se crea el rea 0. El rea 0 puede funcionar por s sola
o actuar como la red troncal de OSPF para un mayor nmero de reas. Cada rea OSPF recibe un nombre que
es un identificador de 32 bits, el cual, en la mayora de los casos, se escribe en la misma notacin decimal con
puntos que una direccin IP4. Por ejemplo, el rea 0 suele escribirse como 0.0.0.0.
Integracin en la red
469
Configuracin de OSPF
Redes
La topologa de un rea se mantiene en su propia base de datos de estados de enlaces y se oculta de otras reas,
lo que reduce la cantidad de trfico de enrutamiento que necesita OSPF. A continuacin, la topologa se
comparte de manera resumida entre reas mediante un enrutador de conexin.
Configuracin de OSPF
OSPF determina las rutas de forma dinmica obteniendo la informacin de otros enrutadores y anunciando las
rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El enrutador mantiene la informacin
sobre los enlaces entre l y el destino y puede realizar decisiones de enrutamiento de gran eficacia. Se asigna un
coste a cada interfaz de enrutador y las mejores rutas son aquellas con menor coste, despus de sumar todas las
interfaces de enrutador saliente detectadas y la interfaz que recibe los LSA.
Las tcnicas jerrquicas se utilizan para limitar el nmero de rutas que se deben anunciar y los LSA asociados.
Como OSPF procesa dinmicamente una cantidad considerable de informacin de enrutamiento, tiene mayores
requisitos de procesador y memoria que RIP.
470
Integracin en la red
Redes
Configuracin de OSPF
Configuracin de OSPF
Paso 1
Paso 2
1.
2.
3.
4.
Integracin en la red
471
Configuracin de OSPF
Redes
Paso 3
3.
4.
5.
472
6.
7.
Integracin en la red
Redes
Configuracin de OSPF
Paso 4
Paso 5
1.
2.
3.
Integracin en la red
473
Configuracin de OSPF
Redes
Paso 6
1.
2.
Paso 7
3.
4.
5.
3.
4.
5.
6.
474
7.
8.
Integracin en la red
Redes
Configuracin de OSPF
Paso 8
1.
2.
3.
4.
Configuracin de OSPFv3
Configuracin de OSPFv3
Paso 1
Paso 2
1.
2.
3.
4.
Paso 3
1.
2.
3.
Integracin en la red
475
Configuracin de OSPF
Redes
Paso 4
5.
6.
7.
Autenticacin de AH OSPFv3
1. Seleccione la pestaa secundaria Perfiles de autenticacin.
2.
3.
4.
5.
6.
476
7.
8.
9.
Integracin en la red
Redes
Configuracin de OSPF
Paso 5
1.
2.
3.
4.
5.
Integracin en la red
477
Configuracin de OSPF
Redes
Paso 6
3.
4.
Paso 7
2.
3.
4.
1.
2.
3.
4.
5.
6.
7.
8.
478
Integracin en la red
Redes
Configuracin de OSPF
Paso 8
1.
2.
3.
4.
5.
Cortafuegos como dispositivo de reinicio: En una situacin en la que el cortafuegos vaya a estar inactivo
durante un breve perodo de tiempo o no est disponible durante intervalos breves, enviar LSA de gracia a
sus vecinos OSPF. Los vecinos deben estar configurados para ejecutarse en el modo auxiliar de reinicio
correcto. En el modo auxiliar, los vecinos reciben los LSA de gracia que le informan que el cortafuegos
realizar un reinicio correcto en un perodo de tiempo especificado definido como el Perodo de gracia.
Durante el perodo de gracia, el vecino sigue reenviando rutas a travs del cortafuegos y enviando LSA que
anuncian rutas a travs del cortafuegos. Si el cortafuegos reanuda su funcionamiento antes de que venza el
perodo de gracia, el reenvo de trfico seguir como antes sin ninguna interrupcin de la red. Si el
cortafuegos no reanuda su funcionamiento despus de que venza el perodo de gracia, los vecinos saldrn
del modo auxiliar y reanudarn el funcionamiento normal, lo que implicar la reconfiguracin de la tabla de
rutas para eludir el cortafuegos.
Integracin en la red
479
Configuracin de OSPF
Redes
Cortafuegos como auxiliar de reinicio correcto: En una situacin en la que los enrutadores vecinos
puedan estar inactivos durante breves perodos de tiempo, se puede configurar el cortafuegos para que
funcione en el modo auxiliar de reinicio correcto. Si se configura con este modo, el cortafuegos se
configurar con un Mx. de hora de reinicio del mismo nivel. Cuando el cortafuegos reciba los LSA de
gracia de su vecino OSFP, seguir enrutando trfico al vecino y anunciando rutas a travs del vecino hasta
que venza el perodo de gracia o el mximo de hora de reinicio del mismo nivel. Si ninguno de los dos vence
antes de que el vecino vuelva a estar en funcionamiento, el reenvo de trfico continuar como antes sin
ninguna interrupcin de la red. Si ninguno de los dos perodos vence antes de que el vecino vuelva a estar
en funcionamiento, el cortafuegos saldr del modo auxiliar y reanudar el funcionamiento normal, que
implicar la reconfiguracin de la tabla de rutas para eludir el vecino.
Paso 1
Seleccione Red > Enrutadores virtuales y seleccione el enrutador virtual que quiera configurar.
Paso 2
Paso 3
Verifique que las siguientes casillas de verificacin estn seleccionadas (estn habilitadas de manera
predeterminada).
Seleccione Habilitar reinicio correcto, Habilitar modo auxiliar y Habilitar comprobacin de LSA estricta.
Las tres opciones deberan permanecer seleccionadas a menos que su topologa lo requiera.
Paso 4
Paso 5
El siguiente procedimiento describe cmo utilizar la interfaz web para ver la tabla de rutas.
480
Integracin en la red
Redes
Configuracin de OSPF
Paso 1
Paso 2
Seleccione la pestaa Enrutamiento y examine la columna Marcas de la tabla de rutas para determinar qu rutas
ha obtenido OSPF.
Paso 1
Integracin en la red
481
Configuracin de OSPF
Redes
Paso 2
Seleccione OSPF > Vecino y examine la columna Estado para determinar si se han establecido adyacencias de
OSPF.
Paso 1
Seleccione Supervisar > Sistema y busque mensajes que confirmen que se han establecido adyacencias de
OSPF.
Paso 2
Seleccione la pestaa secundaria OSPF > Vecino y examine la columna Estado para determinar si se han
establecido adyacencias de OSPF.
482
Integracin en la red
Redes
Configuracin de BGP
Configuracin de BGP
El protocolo de puerta de enlace de borde (BGP) es el principal protocolo de enrutamiento de Internet. BGP
determina el alcance de la red en funcin de los prefijos IP que estn disponibles en sistemas autnomos (AS),
donde un sistema autnomo es un conjunto de prefijos IP que un proveedor de red ha designado para formar
parte de una poltica de enrutamiento simple.
En el proceso de enrutamiento, las conexiones se establecen entre pares BGP (o vecinos). Si la poltica permite
una ruta, se guarda en la base de informacin de enrutamiento (RIB). Cada vez que se actualiza la RIB del
cortafuegos local, el cortafuegos determina las rutas ptimas y enva una actualizacin a la RIB externa, si se
activa la exportacin.
Los anuncios condicionales se utilizan para controlar la forma en que se anuncian las rutas BGP. Las rutas BGP
deben cumplir las normas de anuncios condicionales para poder anunciarse a los peers.
BGP admite la especificacin de agregados, que combinan mltiples rutas en una ruta nica. Durante el proceso
de agregacin, el primer paso es encontrar la regla de agregacin correspondiente ejecutando la correspondencia
ms larga que compare la ruta entrante con los valores de prefijo de otras reglas de agregacin.
Para obtener ms informacin sobre BGP, consulte How to Configure BGP Tech Note (Nota tcnica sobre
cmo configurar BGP).
El cortafuegos proporciona una implementacin completa de BGP que incluye las siguientes funciones:
Polticas de enrutamiento basadas en asignaciones de rutas para controlar los procesos de importacin,
exportacin y anuncios, filtrado basado en prefijos y agregacin de direcciones.
Funciones BGP avanzadas que incluyen un reflector de ruta, confederacin de AS, amortiguacin de flap de
ruta y reinicio correcto.
Configuraciones por instancia de enrutamiento, que incluyen parmetros bsicos como opciones avanzadas
de ID de ruta local y AS local como seleccin de ruta, reflector de ruta, confederacin AS, flap de ruta y
perfiles de amortiguacin.
Perfiles de autenticacin que especifican la clave de autenticacin MD5 para conexiones BGP.
Ajustes de vecino y grupos de peers, que incluyen opciones avanzadas de direcciones de vecino y AS como
atributos y conexiones de vecino.
Poltica de enrutamiento, que especifica conjuntos de reglas que peers y grupos de peers utilizan para
implementar las importaciones, exportaciones, anuncios condicionales y controles de agregacin de
direccin.
Configuracin de BGP
Paso 1
Configure los ajustes de configuracin Consulte Configuracin de un enrutador virtual para obtener
general de enrutador virtual.
informacin detallada.
Integracin en la red
483
Configuracin de BGP
Redes
Paso 2
Paso 3
3.
4.
3.
4.
5.
6.
7.
8.
484
Integracin en la red
Redes
Configuracin de BGP
Paso 4
1.
2.
3.
4.
5.
Integracin en la red
485
Configuracin de BGP
Redes
Paso 5
1.
2.
3.
4.
5.
6.
486
Integracin en la red
Redes
Configuracin de BGP
Paso 6
1.
Paso 7
Integracin en la red
4.
5.
6.
1.
2.
3.
4.
5.
487
Configuracin de BGP
Redes
Paso 8
Paso 9
488
1.
Configure opciones agregadas para
rutas de resmenes en la configuracin
de BGP.
2.
4.
5.
6.
Integracin en la red