Documente Academic
Documente Profesional
Documente Cultură
Informacin de contacto
Sede de la empresa:
http://www.paloaltonetworks.com/contact/contact/
Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
ii
Contenido
Descripcin general de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Acerca de los componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Portal GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Gestor de seguridad mvil de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Qu clientes son compatibles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Acerca de las licencias de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
iii
Activacin/recuperacin de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Instalacin de las actualizaciones de contenido y software de Panorama . . . . . . . . . . . . . . . . . . . . . . . 68
Configuracin del gestor de seguridad mvil para la gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuracin del gestor de seguridad mvil para el registro de dispositivos. . . . . . . . . . . . . . . . . . . . 70
Configuracin del gestor de seguridad mvil para la inscripcin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Configuracin del acceso de puerta de enlace al gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . 80
Definicin de polticas de implementacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Acerca de la implementacin de la poltica del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . 83
Recomendaciones sobre las polticas del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Integracin del gestor de seguridad mvil con su directorio LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Definicin de objetos y perfiles HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Creacin de perfiles de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Creacin de polticas de implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Verificacin de la configuracin del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Configuracin del acceso administrativo en el gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . 112
Configuracin de la autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
128
128
129
130
134
134
136
136
iv
Portal GlobalProtect
Cliente de GlobalProtect
Portal GlobalProtect
El portal GlobalProtect proporciona las funciones de gestin para su infraestructura de GlobalProtect. Todos
los sistemas clientes que participan en la red de GlobalProtect reciben informacin de configuracin desde el
portal, incluida informacin sobre las puertas de enlace disponibles, as como certificados cliente que pueden
ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad mvil.
Adems, el portal controla el comportamiento y la distribucin del software del agente de GlobalProtect para
los porttiles con Mac y Windows. (En dispositivos mviles, la aplicacin GlobalProtect se distribuye a travs
de la App Store de Apple para los dispositivos iOS o mediante Google Play para dispositivos Android.) Si est
usando la funcin Perfil de informacin del host (HIP), el portal tambin define qu informacin se recopila
desde el host, incluyendo cualquier informacin personalizada que necesite. El portal se configura en una
interfaz de cualquier cortafuegos de ltima generacin de Palo Alto Networks.
Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) o
aplicar la seguridad.
Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace de
GlobalProtect que permite aplicar la poltica de seguridad para el acceso a recursos internos. Al usarla junto
con el ID de usuario o las comprobaciones HIP, una puerta de enlace interna permite ofrecer un mtodo
preciso y seguro para identificar y controlar el trfico por usuario o estado del dispositivo. Las puertas de
enlace internas son tiles en entornos confidenciales que requieren acceso autenticado a los recursos crticos.
Puede configurar una puerta de enlace interna tanto en el modo de tnel como de no tnel.
Las puertas de enlace se configuran en una interfaz de cualquier cortafuegos de ltima generacin de Palo
Alto Networks. Puede ejecutar tanto una puerta de enlace y un portal en el mismo cortafuegos como
mltiples puertas de enlace distribuidas por toda su empresa.
Cliente de GlobalProtect
El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a los
recursos de su red a travs de los portales y las puertas de enlace de GlobalProtect que ha implementado.
Hay dos tipos de clientes de GlobalProtect:
Las polticas de implementacin que crea en el gestor de seguridad mvil ofrecen aprovisionamiento de cuentas
simplificado para que los usuarios de dispositivos mviles puedan acceder a las aplicaciones de la empresa (tales
como las configuraciones VPN y correo electrnico). Tambin puede realizar ciertas acciones, tales como
bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo si duda de la
seguridad del mismo.
Para comunicarse con un dispositivo, el gestor de seguridad mvil enva una notificacin push mediante OTA.
En el caso de dispositivos iOS, enva notificaciones push mediante el servicio Notificaciones Push de Apple
(APN) y en el de dispositivos Android las enva mediante Mensajera de Google Cloud (GCM). Cuando un
dispositivo recibe una notificacin push, la comprueba estableciendo una conexin HTTPS con la interfaz de
comprobacin del dispositivo en el gestor de seguridad mvil.
Cuando un dispositivo se registra en el gestor de seguridad mvil, enva informacin del host que incluye
informacin adicional adems de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una lista de
todas las aplicaciones instaladas, la ubicacin del dispositivo en el momento del registro (se puede deshabilitar), si
el dispositivo tiene un cdigo de acceso establecido o si est modificado o desbloqueado. Adems, si el gestor de
seguridad mvil tiene una suscripcin WildFire, puede detectar si un dispositivo contiene software
malintencionado (solo dispositivos Android).
Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad mvil, puede crear una poltica de
seguridad muy granular para usuarios de dispositivos mviles en sus puertas de enlace de GlobalProtect.
Versin mnima de
agente / aplicacin
1.1
4.1.0 o posterior
1.1
1.1.6
1.2
1.0
1.0
1.0
1.2
1.2
1.2
App 1.3
4.1.0 o posterior
App 1.3
4.1.6 o posterior
N/D
5.0 o posterior
4.0 o posterior
Licencia de portal: Una licencia perpetua que debe instalarse una nica vez en el cortafuegos que ejecute
el portal para habilitar la compatibilidad con la puerta de enlace interna, mltiples puertas de enlace (internas
o externas) o comprobaciones HIP.
Suscripcin de puerta de enlace: Una suscripcin anual que habilita las comprobaciones de HIP y las
actualizaciones de contenido asociadas. Esta licencia debe instalarse en cada cortafuegos que contenga
puertas de enlace que realicen comprobaciones HIP. Asimismo, la licencia de puerta de enlace habilita la
compatibilidad con aplicaciones mviles de GlobalProtect para iOS y Android.
Licencia del gestor de seguridad mvil de GlobalProtect en el dispositivo GP-100: Una licencia
perpetua de instalacin nica para el gestor de seguridad mvil basada en el nmero de dispositivos mviles
que se van a gestionar. Esta licencia solo es necesaria si pretende gestionar ms de 500 dispositivos mviles.
Hay disponibles licencias perpetuas para 1000, 2000, 5000, 10 000, 25 000, 50 000 o 100 000 dispositivos
mviles.
Funcin:
Licencia de
portal
Licencia de
capacidad del
gestor de
seguridad mvil
Suscripcin de
puerta de enlace
Suscripcin a
WildFire
Configuracin de la infraestructura de
GlobalProtect
Para que GlobalProtect funcione, debe configurar la infraestructura bsica que permite que todos los
componentes se comuniquen. Bsicamente, esto implica configurar las interfaces y zonas que a las que se
conectarn los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace. Puesto que los
componentes de GlobalProtect se comunican a travs de canales seguros, debe adquirir e implementar todos
los certificados SSL necesarios de los distintos componentes. Las siguientes secciones le guiarn a travs de los
pasos bsicos para configurar la infraestructura de GlobalProtect:
Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde fuera de su red, por ejemplo: no fiable.
Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependen de si
est configurando una puerta de enlace externa o una puerta de enlace interna, como se indica a continuacin:
Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de tnel lgica para
que el cliente se conecte con el fin de establecer un tnel VPN. La interfaz de bucle / capa 3 debe encontrarse
en una zona externa, como no fiable. La interfaz de tnel puede estar en la misma zona que la interfaz que se
conecta a sus recursos internos, por ejemplo, fiable, o bien, para mejorar la seguridad y la visibilidad, puede
crear una zona separada, como corp-vpn. Si crea una zona separada para su interfaz de tnel, necesitar crear
polticas de seguridad que habiliten el flujo del trfico entre la zona VPN y la zona fiable.
Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. Tambin puede
crear una interfaz de tnel para acceder a sus puertas de enlace internas, pero no es necesario.
Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a GlobalProtect
a travs de diferentes puertos y direcciones en Can GlobalProtect Portal Page be Configured to be
Accessed on any Port? (Se puede configurar la pgina del portal de GlobalProtect para acceder desde
cualquier dispositivo?)
Si desea ms informacin sobre portales y puertas de enlace, consulte Acerca de los componentes de GlobalProtect.
Configuracin de interfaces y zonas para GlobalProtect
Paso 1
Nota
Nota
Seleccione Red > Interfaces > Ethernet o Red > Interfaces >
Bucle invertido y, a continuacin, seleccione la interfaz que quiere
configurar para GlobalProtect. En este ejemplo, estamos
configurando ethernet1/1 como la interfaz del portal.
(Solo Ethernet) Seleccione Capa3 en el men desplegable Tipo de
interfaz.
En la pestaa Configurar, seleccione la zona a la que pertenece la
interfaz del portal o la puerta de enlace, como se indica a
continuacin:
Coloque los portales y las puertas de enlace externas en una zona
no fiable para acceder mediante hosts desde fuera de su red,
como l3-nofiable.
Coloque puertas de enlace internas en una zona interna, como
l3-fiable.
Si an no ha creado la zona, seleccione Nueva zona desde el
men desplegable Zona de seguridad. En el cuadro de dilogo
Zona, defina un Nombre para una nueva zona y, a continuacin,
haga clic en ACEPTAR.
4.
5.
6.
8
Paso 2
Nota
Nota
1.
2.
3.
No se requieren direcciones IP en la
interfaz de tnel a menos que requiera
enrutamiento dinmico. Adems, asignar
una direccin IP a la interfaz de tnel
puede resultar til para solucionar
problemas de conexin.
5.
6.
Paso 3
Si ha creado una zona separada para la finalizacin del tnel de las conexiones VPN, cree una poltica de
seguridad para habilitar el flujo de trfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de
poltica habilita el trfico entre la zona corp-vpn y la zona l3-fiable.
Paso 4
Guarde la configuracin.
Nota
https://208.80.56.100:4443
10
Uso
Certificado de CA
Certificado de servidor
del portal
Certificado de servidor
de la puerta de enlace
11
Certificado
Uso
(Opcional) Certificado
de cliente
Adems de habilitar la
autenticacin mutua al
establecer una sesin HTTPS
entre el cliente y el portal /
puerta de enlace, tambin puede Puede usar otros mecanismos para implementar certificados
usar certificados de cliente para
de clientes exclusivos para cada sistema de cliente que se
autenticar a usuarios finales.
usarn en la autenticacin del usuario final.
12
Certificado
Uso
Certificado de gestor
de seguridad mvil del
servicio Notificaciones
Push de Apple (APN)
Certificados de
identidad
13
Importe un certificado de servidor desde una CA Para importar un certificado y una clave desde una CA pblica,
asegrese de que se puede acceder a los archivos de clave y
externa conocida.
certificado desde su sistema de gestin y de que tiene la frase de
Recomendacin:
contrasea para descifrar la clave privada. A continuacin, siga estos
Use un certificado de servidor de una CA externa
pasos:
conocida para el portal de GlobalProtect y el
1. Seleccione Configuracin > Gestin de certificados >
gestor de seguridad mvil. De este modo puede
Certificados > Certificados de dispositivos.
asegurarse de que los clientes finales podrn
2. Haga clic en Importar e introduzca un nombre de certificado.
establecer una conexin HTTPS sin recibir
advertencias de certificado.
Nota
3.
4.
5.
6.
7.
Cree el certificado de CA raz para la emisin de Para usar certificados autofirmados, primero debe crear un
certificados autofirmados de los componentes de certificado de CA raz que servir para firmar los certificados
de componentes de GlobalProtect del siguiente modo:
GlobalProtect.
1. Para crear un certificado de CA raz, seleccione Dispositivo >
Recomendacin:
Cree el certificado de CA raz en el portal y selo
para emitir certificados de servidor para puertas
2.
de enlace y, de manera opcional, clientes.
14
3.
4.
1.
2.
3.
4.
5.
6.
7.
1.
2.
3.
4.
5.
6.
7.
Recomendaciones:
Exporte los certificados de servidor
autofirmados emitidos por la CA raz al
portal e imprtelos desde las puertas de
enlace.
Asegrese de emitir un nico certificado de
servidor para cada puerta de enlace.
Al usar certificados autofirmados, debe
distribuir el certificado de CA raz a los
clientes finales en las configuraciones de
clientes del portal.
8.
9.
15
16
Autenticacin externa
Autenticacin de certificacin El portal o la puerta de enlace usan un certificado de cliente para obtener el nombre de usuario y
de cliente
autenticar al usuario antes de permitirle acceder al sistema. Con este tipo de autenticacin, debe
emitir un certificado de cliente para cada usuario final; los certificados que emita deben contener
el nombre de usuario en uno de los campos del certificado, como el campo Nombre de asunto.
Si se ha configurado el perfil del certificado en el portal de GlobalProtect, el cliente debe presentar
un certificado para conectarse. Esto significa que los certificados deben implantarse previamente
en clientes finales antes de su conexin inicial al portal.
Adems, el perfil del certificado especifica el campo del certificado del que obtener el nombre de
usuario. Si el perfil del certificado especifica Asunto en Campo nombre de usuario, el certificado
presentado por el cliente debe contener un nombre comn para poder conectarse. Si el perfil del
certificado especifica un Asunto alternativo con un Correo electrnico o Nombre principal como
Campo de nombre de usuario, el certificado presentado por el cliente debe contener los campos
correspondientes, que se usarn como nombre de usuario cuando el agente de GlobalProtect se
autentique en el portal o la puerta de enlace.
GlobalProtect tambin es compatible con una tarjeta de acceso comn (CAC) y autenticacin con
tarjetas inteligentes, que se basan en un perfil del certificado. En este caso, el perfil del certificado
debe contener el certificado de CA raz que emiti el certificado en la tarjeta inteligente/CAC.
Si usa la autenticacin de certificado de cliente, no debera configurar un certificado de cliente en
la configuracin del portal, ya que lo proporcionar el sistema del cliente cuando se conecte el
usuario final. En VPN de acceso remoto (Perfil del certificado) puede ver un ejemplo de cmo
configurar una autenticacin de certificado de cliente.
17
Puede habilitar la autenticacin en dos fases configurando tanto un perfil de certificado como un
perfil de autenticacin y aadir ambos a la configuracin de portal o puerta de enlace. Tenga en
cuenta que con la autenticacin en dos fases, el cliente deber autenticarse correctamente en
ambos mecanismos para poder acceder al sistema.
Adems, si el perfil de certificado especifica un Campo nombre de usuario desde el que obtener
el nombre de usuario del certificado, el nombre de usuario se usar automticamente para la
autenticacin en el servicio de autenticacin externo especificado en el perfil de autenticacin. Por
ejemplo, si en el perfil del certificado Campo nombre de usuario se ha definido como Asunto, el
valor en el campo de nombre comn del certificado se usar por defecto como el nombre de
usuario cuando el usuario intente autenticarse en el servidor de autenticacin. Si no quiere obligar
a los usuarios a autenticarse con un nombre de usuario desde el certificado, asegrese de que el
perfil del certificado se ha establecido en Ninguno para Campo nombre de usuario. Consulte un
ejemplo de configuracin en VPN de acceso remoto con autenticacin de dos factores.
Autenticacin de cookies en el portal: El agente usa cookies cifradas para la autenticacin en el portal al
actualizar una configuracin que se ha almacenado previamente en cach (se solicitar la autenticacin del usuario
siempre que se trate de la configuracin inicial o al expirar una cookie). De este modo se simplifica el proceso de
autenticacin para usuarios finales, puesto que ya no tendrn que iniciar sesin sucesivamente tanto en el portal
como en la puerta de enlace o introducir varias OTP para autenticarse en ambas.
Deshabilitacin del reenvo de credenciales a algunas o todas las puertas de enlace: El agente no
intentar usar sus credenciales del portal para iniciar sesin en la puerta de enlace, lo que permite a la puerta de
enlace solicitar inmediatamente su propio conjunto de credenciales. Esta opcin acelera el proceso de
autenticacin cuando el portal y la puerta de enlace requieren credenciales distintas (ya se trate de OTP distintas o
credenciales de inicio de sesin completamente diferentes). Tambin puede optar por usar usar una contrasea
diferente solo para puertas de enlace manuales. Con esta opcin, el agente reenviar credenciales a puertas de
enlace automticas pero no a las manuales, lo que le permite tener la misma seguridad en sus portales y en las
puertas de enlace automticas, y al mismo tiempo solicitar una OTP como segundo factor o una contrasea
diferente para acceder a esas puertas de enlace, que permiten acceder a los recursos ms importantes de su
empresa.
18
Paso 1
Nota
1.
2.
3.
4.
Si est usando LDAP para conectarse a
Active Directory (AD), debe crear un perfil
de servidor LDAP diferente para cada
dominio de AD.
5.
6.
7.
8.
Paso 2
1.
Guarde la configuracin.
Paso 1
20
3.
4.
5.
7.
Paso 2
4.
5.
21
6.
Paso 3
1.
2.
Paso 4
Nota
Paso 5
22
Guarde la configuracin.
23
Paso 1
1.
2.
3.
4.
Si est usando LDAP para conectarse a
Active Directory (AD), debe crear un perfil
de servidor LDAP diferente para cada
dominio de AD.
5.
Nota
6.
Paso 2
7.
8.
1.
2.
3.
4.
5.
24
1.
Paso 3
Nota
3.
Paso 4
Paso 5
25
Paso 1
Configure su servidor RADIUS para que Puede consultar instrucciones especficas en su servidor RADIUS.
En la mayora de los casos, necesitar configurar un agente de
interaccione con el cortafuegos.
autenticacin y una configuracin de cliente en el servidor RADIUS
Este procedimiento da por hecho que
para habilitar la comunicacin entre el cortafuegos y el servidor
su servicio RADIUS ya est configurado
RADIUS. Tambin deber definir el secreto compartido usado para
para OTP o token y que los usuarios ya
cifrar las sesiones entre el cortafuegos y el servidor RADIUS.
han implementado los dispositivos
necesarios (como tokens de hardware).
Paso 2
1.
2.
Recomendacin:
3.
siguiente informacin:
Un nombre descriptivo para identificar este Servidor
RADIUS
La Direccin IP del servidor RADIUS
El Secreto compartido usado para cifrar sesiones entre el
cortafuegos y el servidor RADIUS
El nmero de Puerto desde el que el servidor RADIUS
escuchar las solicitudes de autenticacin (por defecto, 1812)
Paso 3
4.
1.
Paso 4
2.
3.
4.
1.
2.
26
acaba de crear.
Introduzca un Mensaje de autenticacin para guiar a los
usuarios en cuanto a las credenciales de autenticacin que
deben usar.
Haga clic en ACEPTAR para guardar la configuracin.
Paso 5
3.
4.
Paso 6
Guarde la configuracin.
Paso 7
Verifique la configuracin.
27
Paso 1
Paso 2
3.
4.
5.
6.
7.
Paso 3
Nota
28
3.
4.
Paso 4
Paso 5
Guarde la configuracin.
Paso 6
Verifique la configuracin.
29
30
Paso 1
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio a los que
debera conectarse el cortafuegos para obtener informacin de asignacin de grupos:
1. Seleccione Dispositivo > Perfiles de servidor > LDAP.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.
4. Haga clic en Aadir para aadir una nueva entrada de servidor LDAP y, a continuacin, introduzca un
nombre de Servidor para identificar al servidor (de 1 a 31 caracteres) y el nmero de Direccin IP y Puerto
que debera utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP;
636 para LDAP sobre SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los
servidores que aada a un perfil debern ser del mismo tipo. Para la redundancia, debera aadir como mnimo
dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor
que introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN
(por ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios
dominios, deber crear perfiles de servidor separados para cada dominio. Aunque el nombre de dominio
se puede determinar automticamente, la prctica recomendada es introducir el nombre de dominio
siempre que sea posible.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se est conectando. Los valores de asignacin de grupos se
cumplimentarn automticamente segn su seleccin. Sin embargo, si ha personalizado su esquema, puede
que tenga que modificar los ajustes predeterminados.
7. En el campo Base, especifique el punto donde desee que el cortafuegos comience su bsqueda de
informacin de usuarios y grupos dentro del rbol de LDAP.
8. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a travs de una conexin segura,
seleccione la casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero
de puerto adecuado.
31
Paso 2
32
Guarde la configuracin.
Aplicar polticas de seguridad para los agentes y aplicaciones de GlobalProtect que se conectan e ella.
Tambin puede habilitar la recopilacin HIP en la puerta de enlace para mejorar la granularidad de la poltica
de seguridad. Para obtener ms informacin sobre la habilitacin de comprobaciones HIP, consulte Uso de
informacin del host en la aplicacin de polticas.
Ofrece acceso a su red interna a travs de una red privada virtual (VPN). El acceso VPN se proporciona a
travs de tnel SSL o IPSec entre el cliente y una interfaz de tnel en el cortafuegos de la puerta de enlace.
Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Para las
puertas de enlace que requieren conexiones de tnel, debe configurar tanto la interfaz fsica como la
interfaz de tnel virtual. Consulte Creacin de interfaces y zonas para GlobalProtect.
Configurar los certificados de servidor de puerta de enlace requeridos por el agente de GlobalProtect para
establecer una conexin SSL con la puerta de enlace. Consulte Habilitacin de SSL entre componentes de
GlobalProtect.
Definir los perfiles de autenticacin o perfiles del certificado que servirn para la autenticacin de usuarios
de GlobalProtect. Consulte Configuracin de la autenticacin de usuario en GlobalProtect.
Paso 1
1.
2.
3.
33
Paso 2
1.
Paso 4
Nota
34
Paso 5
Nota
1.
(Solo Modo de tnel) Configure los
ajustes de red para asignar el adaptador de
red virtual de los clientes cuando un
2.
agente establece un tnel con la puerta de
enlace.
Los ajustes de red no son necesarios en las
configuraciones de puerta de enlace
interna en modo de no tnel porque, en
este caso, los agentes usan los ajustes de
red asignados por el adaptador de red
fsico.
3.
4.
35
Paso 6
1.
(Opcional) Defina los mensajes de
notificacin que vern los usuarios finales
cuando se aplique una regla de seguridad
2.
con un perfil de informacin de host (HIP).
5.
6.
Paso 7
Paso 8
3.
4.
5.
6.
7.
8.
Paso 9
36
Guarde la configuracin.
Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creacin de interfaces y zonas para GlobalProtect.
Configurar el certificado del servidor del portal, el certificado del servidor de la puerta de enlace y,
opcionalmente, cualquier certificado de cliente que se vaya a implementar a los usuarios finales para
habilitar las conexiones mutuas SSL a los servicios de GlobalProtect. Consulte Habilitacin de SSL entre
componentes de GlobalProtect.
Definir los perfiles de autenticacin o perfiles del certificado que servirn para la autenticacin de usuarios
de GlobalProtect. Consulte Configuracin de la autenticacin de usuario en GlobalProtect.
Configurar las puertas de enlace de GlobalProtect Consulte Configuracin de las puertas de enlace de
GlobalProtect.
37
Paso 1
Paso 2
Aada el portal.
1.
2.
3.
1.
2.
Si an no ha creado la interfaz de red para el 3. Seleccione el Certificado de servidor para el portal en el men
portal, consulte las instrucciones de
desplegable.
Creacin de interfaces y zonas para
Nota El campo de nombre comn (CN) y, si es aplicable, de
GlobalProtect. Si an no ha creado un
nombre alternativo del asunto (SAN) del certificado deben
certificado de servidor para la puerta de
coincidir exactamente con la direccin IP o con el nombre de
enlace ni emitido certificados de puerta de
dominio completo (FQDN) de la interfaz donde configure el
enlace, consulte Implementacin de
portal. De lo contrario, fallarn las conexiones HTTPS al
certificados de servidores en los
portal.
componentes de GlobalProtect.
Paso 3
Paso 4
38
1.
2.
Una lista de puertas de enlace a las que se puede conectar el agente o la aplicacin, que define adems si el
usuario puede establecer conexiones manuales con esas puertas de enlace.
El certificado de CA raz requerido para habilitar el agente o la aplicacin para establecer una conexin SSL
con las puertas de enlace de GlobalProtect o el gestor de seguridad mvil.
El certificado de cliente que el agente debera presentar a la puerta de enlace al conectarse. Esto solo es
necesario si se requiere autenticacin mutua entre el agente y la puerta de enlace.
La configuracin que usa el agente para determinar si est conectado a la red local y a una red externa.
Los ajustes de la configuracin del agente, como las visualizaciones del agente que los usuarios pueden ver,
si los usuarios pueden guardar sus contraseas de GlobalProtect, y si se indicar a los usuarios que actualicen
el software del agente.
39
Paso 1
Nota
Paso 2
40
1.
Si no es necesario que el agente de
GlobalProtect establezca conexiones de
2.
tnel cuando est en la red interna, habilite
la deteccin del host interno.
3.
Paso 4
1.
Recomendaciones:
Use la opcin a peticin solo si est
usando GlobalProtect para acceder a
puertas de enlace externas a travs de
una VPN.
No use la opcin a peticin si pretende
ejecutar el agente de GlobalProtect en el
modo oculto. Consulte Personalizacin
del agente de GlobalProtect.
Para acelerar sus tiempos de conexin,
use la deteccin de host interno en las
configuraciones donde tenga SSO
habilitado.
Paso 5
41
Paso 6
Paso 7
42
Paso 8
1.
Recomendaciones:
2.
5.
Paso 9
43
1.
2.
Paso 11 Prepare las configuraciones de cliente para Para subir una configuracin de cliente en la lista de configuraciones,
seleccinela y haga clic en Mover hacia arriba.
que la configuracin correcta se implemente
en cada agente.
Para bajar una configuracin de cliente en la lista de configuraciones,
seleccinela y haga clic en Mover hacia abajo.
Cuando se conecta un agente, el portal
comparar la informacin de origen en el
paquete con las configuraciones de cliente
que haya definido. Como con la evaluacin
de reglas de seguridad, el portal busca una
coincidencia empezando por la parte
superior de la lista. Cuando encuentra una
coincidencia, proporciona la configuracin
correspondiente al agente o aplicacin.
Paso 12 Guarde la configuracin del portal.
44
1.
2.
Si los usuarios pueden deshabilitar el agente (vlido solo para el mtodo de conexin de inicio de sesin del
usuario).
Si desea mostrar una pgina de bienvenida cuando el inicio de sesin se realice correctamente. Tambin puede
crear pginas de bienvenida y pginas de ayuda personalizadas que indiquen a sus usuarios cmo usar
GlobalProtect dentro de su entorno. Consulte Personalizacin de las pginas de inicio de sesin de portal,
bienvenida y ayuda.
Si las actualizaciones del agente se realizarn automticamente o si se les pedir a los usuarios que actualicen.
Tambin puede definir la configuracin del agente desde el registro de Windows o el archivo plist
global de Mac. Para los clientes de Windows, tambin puede definir la configuracin del agente
directamente desde el instalador de Windows (MSIEXEC). Los ajustes definidos en las
configuraciones del cliente del portal en la interfaz web siempre anulan a los ajustes definidos en
el registro de Windows/MSIEXEC o archivo plist de Mac. Si desea informacin ms detallada,
consulte Implementacin de la configuracin del agente de forma transparente.
Paso 1
1.
2.
3.
Paso 2
45
Nota
Nota
46
Paso 3
47
Paso 4
Si desea controlar el momento en el que los Si quiere que las actualizaciones se produzcan sin ninguna
interaccin con el usuario, seleccione transparente.
usuarios pueden actualizarse, por ejemplo, si
desea probar una versin con un pequeo Para impedir las actualizaciones del agente, seleccione
grupo de usuarios antes de implementarla en
deshabilitar.
toda la base de usuarios, puede personalizar
el comportamiento de la actualizacin del Para permitir a los usuarios finales iniciar las actualizaciones del
agente, seleccione manual. En este caso, el usuario seleccionar la
agente por configuracin. En este caso,
opcin
Comprobar versin en el agente para determinar si hay
podra crear una configuracin que se
una
nueva
versin del agente y, a continuacin, actualizar si lo
aplique a los usuarios de su grupo de TI solo
desea.
Observe
que esta opcin no funcionar si el agente
para permitirles actualizar y probar y
GlobalProtect
est
oculto para el usuario. Consulte el Paso 2 para
deshabilitar la actualizacin en el resto
obtener
ms
detalles.
de configuraciones de usuario/grupo.
A continuacin, despus de haber probado
exhaustivamente la nueva versin, podra
modificar las configuraciones del agente
para el resto de usuarios, con el fin de
permitirles actualizar.
De forma predeterminada, la nica indicacin de que el agente se ha
conectado correctamente a GlobalProtect es un mensaje de globo
que aparece en la bandeja del sistema/barra de mens. Tambin
puede optar por mostrar una pgina de bienvenida en el navegador
Una pgina de bienvenida puede ser til
del cliente cuando el inicio de sesin se realice, de la siguiente forma:
para dirigir a los usuarios a los recursos
1. Seleccione la casilla de verificacin Mostrar pgina de
internos a los que solo pueden acceder
bienvenida.
cuando estn conectados a GlobalProtect,
2. Seleccione la pgina de bienvenida para mostrar el men
como su Intranet u otros servidores
desplegable. De forma predeterminada, hay una pgina de
internos.
bienvenida denominada predeterminada de fbrica. Sin
embargo, puede definir una o ms pginas de bienvenida
personalizadas con informacin especfica para usuarios o para
un grupo de usuarios concreto (basada en la configuracin de
portal que se implemente). Para ver informacin sobre cmo se
crean las pginas personalizadas, consulte Personalizacin de las
pginas de inicio de sesin de portal, bienvenida y ayuda.
Paso 5
Paso 6
1.
48
2.
3.
Paso 1
Paso 2
1.
2.
3.
1.
2.
Paso 3
Paso 4
3.
1.
2.
3.
4.
5.
1.
2.
3.
4.
49
Paso 5
50
Hosts de Mac OS y Microsoft Windows hosts: necesitan el software del agente de GlobalProtect,
distribuido por el portal de GlobalProtect. Para habilitar el software para su distribucin, debe descargar la
versin que desea que utilicen los hosts de su red en el cortafuegos que aloja su portal de GlobalProtect y, a
continuacin, activar el software para su descarga. Para obtener instrucciones sobre cmo descargar y activar
el software del agente en el cortafuegos, consulte Implementacin del software del agente de GlobalProtect.
Dispositivos iOS y Android: necesitan la aplicacin de GlobalProtect. Como con otras aplicaciones para
dispositivos mviles, el usuario final debe descargar la aplicacin de GlobalProtect desde la AppStore de
Apple (dispositivos iOS) o desde Google Play (dispositivos Android). Descarga e instalacin de la aplicacin
mvil de GlobalProtect.
Directamente desde el portal: descargue el software del agente en el cortafuegos que aloja el portal y
actvelo para que los usuarios finales puedan instalar las actualizaciones cuando se conecten al portal. Esta
opcin proporciona una flexibilidad que le permitir controlar el modo y el momento en el que los usuarios
finales recibirn actualizaciones basadas en la configuracin del cliente definida para cada usuario, grupo o
sistema operativo. Sin embargo, si dispone de un gran nmero de agentes que necesitan actualizaciones,
puede que aumente la carga de su portal. Consulte Alojamiento de actualizaciones de agente en el portal para
obtener instrucciones.
Desde un servidor web: si tiene un gran nmero de hosts que necesiten actualizar el agente de forma
simultnea, considere alojar las actualizaciones del agente en un servidor web para reducir la carga del
cortafuegos. Consulte Alojamiento de actualizaciones de agente en un servidor web para obtener
instrucciones.
De forma transparente desde la lnea de comandos: para los clientes de Windows, puede implementar
la configuracin del agente automticamente en el Windows Installer (MSIEXEC). Sin embargo, para
actualizar a una versin del agente posterior utilizando MSIEXEC, primero debe desinstalar el agente
existente. Adems, MSIEXEC permite la implementacin de la configuracin del agente directamente en los
sistemas cliente estableciendo valores en el registro de Windows o el archivo plist de Mac. Consulte
Implementacin de la configuracin del agente de forma transparente.
Con reglas de polticas de grupo: en entornos Active Directory, el agente de GlobalProtect tambin se
puede distribuir a usuarios finales, utilizando polticas de grupo de directorios activas. Las polticas de grupos
de AD permiten la modificacin automtica de la configuracin de ordenadores host de Windows y de
software. Consulte el artculo http://support.microsoft.com/kb/816102 para obtener ms informacin
sobre cmo utilizar la poltica de grupo para distribuir automticamente programas para alojar ordenadores
o usuarios.
51
Paso 1
Paso 2
Paso 3
Nota
52
Paso 4
Nota
Paso 1
Paso 2
Publique los archivos en su servidor web. Cargue los archivos de imagen en su servidor web.
Paso 4
Compruebe la redireccin.
1.
53
Paso 1
Nota
Paso 2
3.
4.
5.
6.
1.
Paso 3
Descargue el agente.
1.
2.
3.
Nota
54
Paso 4
Paso 5
1.
2.
3.
55
Registro de Windows/archivo
plist de Mac
Parmetro MSIEXEC
Valor
predeterminado
enable-advanced-view yes | no
ENABLEADVANCEDVIEW=yes|no
yes
show-agent-icon yes | no
SHOWAGENTICON=yes|no
yes
can-change-portal yes | no
CANCHANGEPORTAL=yes|no
yes
can-save-password yes | no
CANSAVEPASSWORD=yes|no
yes
Habilitar opcin de
redescubrimiento de red
rediscover-network yes | no
REDISCOVERNETWORK=yes|no
yes
56
Registro de Windows/archivo
plist de Mac
Parmetro MSIEXEC
Valor
predeterminado
resubmit-host-info yes | no
RESUBMITHOSTINFO=yes|no
yes
can-continue-if-portal-certinvalid yes | no
CANCONTINUEIFPORTALCERTINVAL
ID=yes|no
yes
use-sso yes | no
USESSO=yes|no
yes
Intervalo de actualizacin de
configuracin (horas)
24
Mtodo de conexin
connect-method on-demand |
pre-logon | user-logon
CONNECTMETHOD=on-demand |
pre-logon | user-logon
user-logon
can-prompt-user-credential yes
| no
CANPROMPTUSERCREDENTIAL=yes
| no
yes
Por ejemplo, para evitar que los usuarios se conecten al portal si el certificado no es vlido, puede cambiar la
configuracin de la siguiente forma:
msiexec.exe /i GlobalProtect.msi CANCONTINUEIFPORTALCERTINVALID="no"
Para obtener una lista de ajustes y de los correspondientes valores predeterminados, consulte Tabla: Ajustes
personalizables del agente.
57
Paso 1
Paso 2
58
2.
3.
4.
5.
6.
Paso 3
Inicie la aplicacin.
Paso 4
1.
2.
59
60
61
Actualizaciones de Palo Alto: El gestor de seguridad mvil recupera actualizaciones de firmas de WildFire que
le permiten detectar malware en dispositivos gestionados de Android. Por defecto, el gestor de seguridad mvil
recupera las actualizaciones de WildFire desde el servidor de actualizaciones de Palo Alto Networks en su interfaz
de gestin. Sin embargo, si su red de gestin no proporciona acceso a Internet, podr modificar la ruta de servicios
para el servicio de actualizaciones de Palo Alto para usar la interfaz ethernet1.
Puertas de enlace de GlobalProtect: Para activar la poltica de seguridad basada en HIP para los dispositivos
gestionados, las puertas de enlace de GlobalProtect recuperan los informes HIP del dispositivo mvil desde el
gestor de seguridad mvil. La mejor implementacin es activar el servicio de gestin de puertas de enlace de
GlobalProtect en la interfaz ethernet1.
Servicios de notificaciones Push: Como el gestor de seguridad mvil no puede conectarse directamente con
los dispositivos mviles que gestiona, debe enviar notificaciones de envo a travs del servicio de notificaciones
Push de Apple (APNs) o los servicios de mensajera en la nube de Google (GCM) siempre que necesite interactuar
con un dispositivo, por ejemplo para enviar una solicitud de registro o realizar una accin como el envo de un
mensaje o una nueva poltica. Se recomienda configurar la ruta del servicio de notificaciones Push para que use la
interfaz ethernet1.
Dispositivos mviles: Los dispositivos mviles se conectan inicialmente desde la red externa para su inscripcin
y despus para registrarse y recibir la poltica de implementacin. Se recomienda usar ethernet1 para la inscripcin
y registro de dispositivo, pero usar puertos de escucha distintos. Para evitar que el usuario final vea advertencias
de certificados, use el puerto 443 (predeterminado) para la inscripcin y otro puerto diferente (configurable a 7443
o 8443) para el registro. Advertencia: Como el puerto de registro de dispositivos se enva al dispositivo durante
la inscripcin, si lo cambia tras la configuracin inicial los dispositivos debern volver a inscribirse con gestor de
seguridad mvil.
La siguiente ilustracin muestra la topologa de implementacin recomendada para el gestor de seguridad mvil:
62
Paso 1
Paso 2
Paso 3
Paso 4
Paso 5
2.
3.
4.
5.
63
Paso 6
Paso 7
Paso 8
Nota
Paso 9
Nota
2.
3.
4.
5.
1.
2.
3.
4.
64
1.
1.
2.
3.
Nota
Paso 13 Inicie sesin en la interfaz web del gestor 1.
de seguridad mvil.
Nota
2.
65
Activacin/recuperacin de licencias
Paso 1
Inicie sesin en la interfaz web del gestor Use una conexin segura (https) de un navegador web, inicie sesin
de seguridad mvil.
con la direccin IP y contrasea asignadas durante la configuracin
inicial (https://<Direccin IP> o https://<Direccin IP>:4443 si la
comprobacin de dispositivos est activada en la interfaz).
Paso 2
Busque el nmero de serie y cpielo en el El nmero de serie del dispositivo GP-100 aparece en el Panel;
portapapeles.
encuentre el Nmero de serie en la seccin Informacin general de
la pantalla.
Paso 3
Paso 4
Registre el dispositivo GP-100. El proceso Si es el primer dispositivo de Palo Alto Networks que registra y an no
tiene un inicio de sesin, haga clic en Registrar en el lado derecho de
de registro depender de que tenga o no un
inicio de sesin en el sitio de asistencia
la pgina. Para registrarse, debe proporcionar su direccin de correo
tcnica.
electrnico y el nmero de serie del gestor de seguridad mvil (que
puede pegar desde el portapapeles). Cuando se le solicite, establezca
un nombre de usuario y una contrasea para acceder a la comunidad
de asistencia tcnica de Palo Alto Networks.
Si ya dispone de una cuenta de asistencia tcnica, inicie sesin y haga
clic en Mis dispositivos. Desplcese hasta la seccin Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el nmero
de serie del gestor de seguridad mvil (que puede pegar desde el
portapapeles), su ciudad y su cdigo postal, y haga clic en Registrar
dispositivo.
66
Activacin/recuperacin de licencias
El gestor de seguridad mvil necesita una licencia de asistencia vlida que le permita recuperar las actualizaciones
de software y las actualizaciones de contenido dinmico. El dispositivo incluye 90 das de asistencia gratuita; sin
embargo, debe adquirir una licencia de asistencia para seguir recibiendo actualizaciones tras este periodo
introductorio. Si planea gestionar ms de 500 dispositivos mviles, necesitar una licencia del gestor de
seguridad mvil GlobalProtect. Esta licencia nica y perenne permite gestionar hasta 1000, 2000, 5000, 10 000,
25 000, 50 000 o 100 000 dispositivos mviles.
Puede adquirir una suscripcin a WildFire para el gestor de seguridad mvil para habilitar las actualizaciones
dinmicas que contienen firmas de malware creadas como resultado del anlisis realizado por la nube de
WildFire. Si mantiene al da las actualizaciones de malware, podr evitar que los dispositivos Android
gestionados que contienen aplicaciones infectadas con malware se conecten a sus recursos de red. Debe adquirir
una suscripcin a WildFire que admita el mismo nmero de dispositivos que admite su licencia del gestor de
seguridad mvil. Por ejemplo, si tiene una licencia perenne del gestor de seguridad mvil para 10 000
dispositivos y desea activar la asistencia para detectar el malware ms reciente, deber adquirir una suscripcin
a WildFire para 10 000 dispositivos.
Para adquirir licencias, pngase en contacto con su ingeniero de sistemas de Palo Alto Networks o distribuidor.
Despus de obtener una licencia, desplcese hasta Configuracin > Licencias para realizar las siguientes tareas
dependiendo de cmo recibe las licencias:
Recuperar claves de licencia del servidor de licencias: Utilice esta opcin si la licencia se ha activado
en el portal de asistencia tcnica.
Activar caracterstica mediante cdigo de autorizacin: Utilice el cdigo de autorizacin para activar
una licencia que no se ha activado anteriormente en el portal de asistencia tcnica.
Carga manual de la clave de licencia: Utilice esta opcin si la interfaz de gestin del GP-100 no tiene
conectividad con el servidor de actualizacin de Palo Alto Networks. En este caso, en primer lugar debe
descargar un archivo de clave de licencia del sitio de asistencia tcnica a travs de un ordenador conectado
a Internet y despus cargarlo en el dispositivo.
Paso 1
67
Paso 2
Nota
1.
2.
3.
Paso 3
Paso 1
1.
68
Paso 2
1.
2.
Las actualizaciones de contenido del
gestor de seguridad mvil incluyen todas 3.
las firmas de malware del paquete de
aplicaciones Android (APK), incluido el
nuevo malware que detecte WildFire.
Paso 3
Paso 4
Descargar la actualizacin.
Nota
Paso 5
Instale la actualizacin.
1.
2.
1.
2.
Reinicie el dispositivo:
Si se le pide que reinicie, haga clic en S.
Si no se le pide que reinicie, seleccione Configuracin >
Ajustes > Operaciones y haga clic en Reiniciar dispositivo
en la seccin Operaciones de dispositivo de la pantalla.
69
1.
Paso 1
Nota
70
4.
5.
6.
Paso 2
Paso 3
1.
2.
3.
4.
5.
71
Paso 4
Importe un certificado de servidor para la Para importar un certificado y una clave privada, descargue el
certificado y el archivo de clave de la CA y asegrese de que son
interfaz de registro de dispositivos del
accesibles desde el sistema de gestin y que tiene la frase de
gestor de seguridad mvil.
contrasea para descifrar la clave privada. Despus complete los
El campo de nombre comn (CN) y, si es
siguientes pasos en el gestor de seguridad mvil:
aplicable, de nombre alternativo del
1. Seleccione Configuracin > Gestin de certificados >
asunto (SAN) del certificado del gestor de
Certificados > Certificados de dispositivos.
seguridad mvil deben coincidir
exactamente con la direccin IP o con el 2.
nombre de dominio completo (FQDN) 3.
de la interfaz de registro de dispositivos
(se admiten certificados de comodn).
4.
Aunque puede generar un certificado de
servidor autofirmado para la interfaz de 5.
registro de dispositivos del gestor de
6.
seguridad mvil (Configuracin >
Gestin de certificados > Certificados >
Generar), se recomienda usar un
7.
certificado de una CA pblica como
VeriSign o Go Daddy para garantizar que
los dispositivos finales puedan conectarse
para inscribirse. Si no usa un certificado 8.
en el que confen los dispositivos, deber
aadir el certificado de CA raz a la
configuracin del gestor de seguridad
mvil y la configuracin correspondiente
de clientes del portal para que el portal
pueda implementar el certificado en los
dispositivos tal y como se describe en
Definicin de las configuraciones de
clientes.
72
Paso 5
Recomendacin:
2.
3.
4.
5.
6.
7.
8.
9.
Cree un ID de Apple compartido para su
organizacin para asegurarse de que tenga
siempre acceso a sus certificados.
10.
73
Paso 6
2.
3.
4.
5.
6.
7.
8.
9.
74
Paso 7
Paso 8
Guarde la configuracin.
2.
3.
4.
Autenticacin: Para poder inscribir un dispositivo mvil, el usuario del mismo debe autenticarse en el gestor de
seguridad mvil para que pueda determinar la identidad del usuario y garantizar que forma parte de la organizacin.
El gestor de seguridad mvil admite los mismos mtodos de autenticacin que se admiten en los otros
componentes de GlobalProtect: autenticacin local, autenticacin externa en un servicio LDAP, Kerberos o
RADIUS externo (incluida la asistencia de una autenticacin OTP de dos factores). Si desea informacin detallada
sobre estos mtodos consulte Acerca de la autenticacin de usuarios de GlobalProtect.
Generacin de certificados de identidad: Cuando haya autenticado con xito al usuario final, el gestor de
seguridad mvil emitir un certificado de identidad para el dispositivo. Para permitir que el gestor de seguridad
mvil emita certificados de identidad, genere un certificado de CA autofirmado que podr usar para la firma.
Adems, si tiene un servidor de protocolo de inscripcin de certificados simple (SCEP) de empresa como el
servidor Microsoft SCEP, puede el gestor de seguridad mvil para usar el servidor SCEP para que emita
certificados para los dispositivos iOS. Tras la inscripcin, el gestor de seguridad mvil usar el certificado de
identidad para autenticar el dispositivo mvil cuando se registre.
Siga el procedimiento que se indica a continuacin para configurar la infraestructura de inscripcin en el gestor de
seguridad mvil:
75
Paso 1
1.
Cree un perfil de autenticacin para
autenticar los usuarios de dispositivos de
autenticacin cuando se conecten al
gestor de seguridad mvil para la
inscripcin.
Se recomienda usar el mismo servicio de
autenticacin que se usa para autenticar a
los usuarios finales para acceder a los
recursos de la empresa, como el correo
electrnico o la red Wi-Fi. Esto permite al
gestor de seguridad mvil capturar las
credenciales para usarlas en los perfiles de
configuracin que implementa en los
servicios. Por ejemplo, el gestor de
seguridad mvil puede implementar
2.
automticamente configuraciones que
incluyan las credenciales necesarias para
acceder a los recursos de la empresa,
como el correo electrnico y el Wi-Fi, del
dispositivo.
Paso 2
76
2.
3.
Paso 3
Nota
Paso 4
Nota
4.
1.
2.
77
Paso 5
Paso 6
2.
3.
4.
5.
6.
7.
Paso 7
78
Guarde la configuracin.
Paso 8
2.
3.
4.
5.
6.
79
Paso 1
Decida qu interfaz del gestor de seguridad (Recomendado) Para usar la interfaz ethernet1 para acceder a la puerta
de enlace, seleccione Configuracin > Red > ethernet1. Seleccione
mvil se debe usar para recuperar el HIP y
habilitar el servicio de puerta de enlace en la
la casilla de verificacin Habilitar identificacin de usuarios y, a
interfaz.
continuacin, haga clic en ACEPTAR.
Para usar la interfaz de gestin para acceder a la puerta de enlace,
Aunque puede configurar las puertas de
seleccione Configuracin > Ajustes > Gestin y, a continuacin,
enlace para que se conecten con la interfaz
haga clic en el icono Editar
de la seccin Configuracin de
de gestin o ethernet1, se recomienda usar
interfaz de gestin de la pantalla. Seleccione la casilla de verificacin
la interfaz ethernet1 para asegurarse de que
Puertas de enlace de GlobalProtect y, a continuacin, haga clic en
sus puertas de enlace remotas tienen acceso
ACEPTAR.
al dispositivo.
Nota
Paso 2
3.
4.
5.
6.
80
Paso 3
Paso 4
3.
3.
4.
5.
6.
7.
Gua del administrador de GlobalProtect
Paso 5
82
3.
4.
5.
6.
Autenticacin: Para conectar con el gestor de seguridad mvil para registrarse, el dispositivo mvil presenta
el certificado de identidad que se emiti durante la inscripcin. Si ha habilitado el acceso a su servidor de
LDAP, el gestor de seguridad mvil puede usar el nombre de usuario autenticado para determinar una
comparacin de poltica en funcin de una pertenencia a grupo o usuario. Consulte Integracin del gestor
de seguridad mvil con su directorio LDAP.
Recopilacin de datos de dispositivo: El dispositivo mvil proporciona datos HIP que el gestor de
seguridad mvil procesa para crear un informe HIP completo para el dispositivo. El informe HIP
proporciona informacin de identificacin sobre el estado del dispositivo (como si se ha liberado o tiene el
root desbloqueado, si tiene habilitado el cifrado o si se ha definido un cdigo de acceso) y una lista de todas
las aplicaciones instaladas en el dispositivo. En el caso de los dispositivos Android, el gestor de seguridad
mvil calcula un hash para cada aplicacin y usa estos datos para determinar si se sabe que alguna de las
aplicaciones instaladas tenga malware en funcin de las actualizaciones de contenido de APK ms recientes.
Si desea ms informacin sobre la recopilacin de datos HIP, consulte Recopilacin de datos de dispositivos.
Implementacin de polticas: Cada regla de poltica del gestor de seguridad mvil se compone de dos
partes, criterios de coincidencia y configuraciones. Cuando un dispositivo se registra, el gestor de seguridad mvil
compara la informacin de usuario asociada con el dispositivo y los datos HIP recopilados con el dispositivo
con los criterios de coincidencia. Cuando encuentra la primera regla coincidente, enva las configuraciones
correspondientes al dispositivo.
83
Criterios de coincidencia: El gestor de seguridad mvil usa el nombre de usuario del usuario del
dispositivo y la coincidencia HIP para determinar una coincidencia de polticas. El uso del nombre de
usuario le permite implementar polticas en funcin de la pertenencia de grupos. Consulte Acerca de la
comparacin de usuarios y grupos. Use la coincidencia de HIP para enviar polticas de implementacin
en funcin del cumplimiento de la seguridad del dispositivo y mediante otras caractersticas de
identificacin del dispositivo, como la versin de SO, etiqueta o modelo de dispositivo. Consulte
Acerca de la evaluacin HIP.
Notificacin de incumplimiento: En algunos casos, un dispositivo puede no cumplir ninguna de las reglas
de poltica que ha definido. Por ejemplo, si ha creado un perfil HIP que solo coincide con dispositivos que
cumplan los estndares de seguridad (es decir, que estn cifrados y no estn liberados ni tengan el root
desbloqueado) y lo adjunta a sus reglas de polticas de implementacin. En este caso, las configuraciones solo
se envan a los dispositivos que coincidan con el perfil HIP. Puede definir un mensaje de notificacin HIP
para enviarlo a los dispositivos que no coinciden con el perfil para explicar por qu no reciben ninguna
configuracin. Si desea informacin ms detallada, consulte Acerca de la notificacin HIP.
Datos recopilados
Informacin de host
Configuracin
Informacin sobre el estado de seguridad del dispositivo, como si est liberado/tiene la raz
desbloqueada, si est cifrado y si el usuario ha definido un cdigo de acceso en el dispositivo.
Aplicaciones
Incluye una lista de todos los paquetes de aplicaciones instalados en el dispositivo, si contiene
aplicaciones conocidas por portar malware (solo dispositivos Android) y, opcionalmente, la
ubicacin GPS del dispositivo.
Ubicacin GPS
Incluye la ubicacin GPS del dispositivo, en caso de que tenga habilitados los servicios de
ubicacin. Sin embargo, por motivos de privacidad puede configurar el gestor de seguridad
mvil para excluir esta informacin de los datos recopilados.
84
Objetos HIP: Proporcionan los criterios de evaluacin con los que filtrar la informacin de host que desea
usar para aplicar las polticas. Por ejemplo, si desea identificar los dispositivos que tienen vulnerabilidades,
puede crear objetos HIP para cada estado de dispositivo que considera una vulnerabilidad. Por ejemplo,
puede crear un objeto HIP para los dispositivos que estn liberados/tienen la raz desbloqueada, otro para
los dispositivos que no estn cifrados y un tercero para los dispositivos que contienen malware.
Perfiles HIP: Una coleccin de objetos HIP que se evalan juntos mediante una lgica booleana que evala
los datos HIP con el perfil HIP resultante y determina si coinciden o no. Por ejemplo, si solo desea
implementar perfiles de configuracin en dispositivos que no tengan una vulnerabilidad, puede crear un
perfil HIP para adjuntarlo a su poltica y que solo coincida con dispositivos que no estn liberados, no tengan
la raz desbloqueada, estn cifrados y no contengan malware.
Para obtener instrucciones sobre cmo configurar las evaluaciones HIP, consulte Definicin de objetos y
perfiles HIP.
85
Crea un perfil HIP que evala si la versin de SO del dispositivo es mayor o igual a un nmero de versin
especfico. En este caso, puede que quiera crear un mensaje de notificacin HIP para dispositivos que no coincidan
con el perfil HIP, en el que indica a los usuarios del dispositivo que deben actualizar el SO del dispositivo para
poder recibir los perfiles de configuracin de la empresa.
Crea un perfil HIP que evala si la versin de SO del dispositivo es inferior a un nmero de versin especfico.
En este caso, en su lugar puede crear el mensaje para dispositivos que s coincidan con este perfil.
Las polticas del gestor de seguridad mvil que implemente le permiten asegurarse de que los dispositivos que accedan
a su red cumplan con sus polticas de seguridad y uso aceptable, le proporcionan un mecanismo de envo y simplifican
la implementacin de los ajustes de configuracin, certificados y perfiles de aprovisionamiento necesarios para acceder
a sus recursos de la empresa.
La forma en la que elija gestionar y configurar los dispositivos mviles depender de los requisitos especficos de su
compaa y la sensibilidad de los recursos a los que las configuraciones ofrecen acceso. Si desea informacin sobre
cmo configurar los mensajes de notificacin HIP, consulte Definicin de objetos y perfiles HIP.
86
87
88
Exija una autenticacin para usar la aplicacin. Esto impide el acceso a aquellos usuarios que no estn
autorizados a usar la aplicacin pero tienen instalado el perfil de aprovisionamiento en sus dispositivos.
Para asegurar que no realicen copias de seguridad de los datos de aplicaciones de la empresa en iCloud o
iTunes, donde podran estar al alcance de usuarios no autorizados, asegrese de que las aplicaciones que
desarrolle internamente usen a carpeta Caches de la aplicacin para almacenar los datos, ya que esta carpeta
se excluye de la copia de seguridad.
Cuando elimine los privilegios de acceso a la aplicacin de un usuario, no confe nicamente en la eliminacin
del perfil de aprovisionamiento de la poltica del gestor de seguridad mvil, debe desactivar tambin la cuenta
del usuario en sus servidores internos.
Asegrese de tener la capacidad de borrar los datos de aplicaciones locales en el dispositivo mvil cuando se
elimina el acceso a la aplicacin.
Paso 1
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener informacin de asignacin de grupos.
1. Seleccione Configuracin >
Perfiles de servidor > LDAP.
2. Haga clic en Aadir y, a
continuacin, introduzca un
Nombre para el perfil.
3. Haga clic en Aadir para aadir
una nueva entrada de servidor
LDAP y, a continuacin,
introduzca un nombre de
Servidor para identificar al
servidor (de 1 a 31 caracteres) y
el nmero de Direccin IP y
Puerto que debera utilizar el
cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para LDAP sobre
SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que aada a un
perfil debern ser del mismo tipo. Para la redundancia, debera aadir como mnimo dos servidores.
4. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deber crear perfiles de servidor separados. Aunque el nombre de dominio se puede determinar
automticamente, la prctica recomendada es introducir el nombre de dominio siempre que sea posible.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
5. Seleccione el Tipo de servidor LDAP al que se est conectando. Los valores de asignacin de grupos se
cumplimentarn automticamente segn su seleccin. Sin embargo, si ha personalizado su esquema, puede que
tenga que modificar los ajustes predeterminados.
6. En el campo Base, especifique el punto donde desee que el gestor de seguridad mvil comience su bsqueda de
informacin de usuarios y grupos dentro del rbol de LDAP.
7. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
8. Si desea que el gestor de seguridad mvil se comunique con los servidores LDAP a travs de una conexin segura,
seleccione la casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de
puerto adecuado.
89
Paso 2
Paso 3
Guarde la configuracin.
90
Paso 1
Nota
2.
La funcin de pestaa le permite crear
etiquetas personalizadas para los
dispositivos que desee gestionar para
3.
agruparlos fcilmente. Por ejemplo,
puede crear etiquetas para distinguir
dispositivos personales de dispositivos de
la empresa. A continuacin, puede crear
objetos HIP que coincidan con etiquetas
especficas, lo cual ofrece posibilidades
infinitas de agrupar los dispositivos
gestionados para la implementacin de la
configuracin. Si desea ms informacin
sobre la creacin de etiquetas, consulte
Agrupacin de dispositivos por etiqueta
para simplificar la administracin de
dispositivos.
Nota
Nota
4.
5.
Repita estos pasos para crear los objetos HIP adicionales que
necesite.
91
Paso 2
1.
2.
Cuando crea sus perfiles HIP, puede
combinar objetos HIP que haya creado
previamente (as como otros perfiles HIP) 3.
usando lgica booleana como la que se
usa cuando un flujo de trfico se evala 4.
con respecto al perfil HIP resultante
con el que tendr, o no, coincidencia.
Si coincide, la regla de poltica
correspondiente se aplicar; si no
coincide, el flujo se evaluar con respecto
a la siguiente regla, como con cualquier
otro criterio de coincidencia de poltica.
Paso 3
Paso 4
92
5.
6.
7.
8.
Repita estos pasos para crear cada perfil HIP adicional que
necesite.
Paso 5
1.
Defina los mensajes de notificacin que
vern los usuarios finales cuando se aplique
una regla de poltica con un perfil HIP.
2.
La decisin de cundo mostrar un mensaje
(es decir, si aparece cuando la configuracin 3.
del usuario coincide con un perfil HIP en la
poltica o cuando no coincide), depende en
gran medida de su poltica y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, significa la
coincidencia que se concede total acceso a 4.
los recursos de su red? O significa que tiene
acceso limitado debido a un problema de
incumplimiento?
5.
Por ejemplo, suponga que crea un perfil
HIP para dispositivos cuyos datos no estn 6.
cifrados como exige la poltica de la
empresa. En este caso, puede crear un
7.
mensaje de notificacin HIP para usuarios
que coinciden con el perfil HIP y les indica
que deben habilitar el cifrado de disco para
poder recibir los perfiles de configuracin
que les dan acceso a los recursos de la
empresa. Por el contrario, si su perfil HIP
coincide con los dispositivos que s tengan el
cifrado habilitado, puede crear el mensaje
para aquellos usuarios que no se ajusten al
perfil.
Paso 6
Iconos de clips web: Si planea implementar clips web para proporcionar accesos directos a sitios web o
aplicaciones basadas en la web, deber importar los iconos de clip web asociados antes de crear las polticas
de configuracin que correspondan. Consulte Importacin de iconos de clip web.
93
Perfiles: Contienen los ajustes de configuracin, restricciones y clips web que se enviarn a los dispositivos
gestionados durante el registro. Deber crear perfiles de configuracin distintos para los dispositivos iOS y
Android, ya que estos sistemas operativos tienen diferentes funcionalidades. Si desea detalles de creacin de
los perfiles, consulte Creacin de un perfil de configuracin Android y Creacin de un perfil de
configuracin iOS. Tambin puede usar el perfil de configuracin iOS para automatizar el proceso de
configuracin de los dispositivos mviles para conectar con la VPN de GlobalProtect. Consulte Definicin
de una configuracin VPN de GlobalProtect si desea instrucciones especficas sobre esta configuracin.
Perfiles de aprovisionamiento iOS. Es necesario implementar un perfil de aprovisionamiento para que los
usuarios de iOS puedan iniciar aplicaciones empresariales desarrolladas a nivel interno. Puede crear
configuraciones que le permitan implementar perfiles de aprovisionamiento en dispositivos tal y como se
describe en Importacin de un perfil de aprovisionamiento iOS.
Configuraciones SCEP. Son configuraciones que permiten a los dispositivos iOS usar el protocolo de
inscripcin de certificados simple (SCEP) para obtener certificados de una CA con SCEP, como el servidor SCEP
de Microsoft. El SCEP puede usarse para emitir los certificados de identidad que requiere el gestor de seguridad
mvil o bien para emitir certificados para otros servicios necesarios en el dispositivo. Para obtener ms
informacin, consulte Definicin de una configuracin SCEP.
Despus de crear los perfiles de configuracin que necesite para los dispositivos que gestione el gestor de seguridad
mvil, deber crear las polticas de implementacin que garanticen que las configuraciones se envan a los dispositivos
adecuados. Consulte Creacin de polticas de implementacin para obtener informacin detallada.
94
Paso 1
Nota
Use archivos PNG no entrelazados. Si desea que iOS aada sus efectos
estndar (esquinas redondeadas, sombra paralela y brillo reflectante),
asegrese de que la imagen tiene esquinas en 90 y no tiene ningn brillo
o satinado. Cree diferentes imgenes con distintas dimensiones para
cada plataforma iOS como se indica a continuacin:
Para iPhone y iPod touch: 57x57 px (114x114 px para una alta
resolucin)
Para iPad: 72x72 px (144x144 px para una alta resolucin)
Paso 2
Paso 3
2.
3.
4.
95
Paso 1
1.
Paso 2
Paso 3
Paso 4
Introduzca la informacin de
identificacin para la configuracin.
96
1.
2.
3.
4.
1.
2.
1.
2.
Paso 5
Paso 6
1.
2.
3.
Nota
97
Paso 7
Nota
Paso 8
Paso 9
98
7.
8.
9.
1.
Aada certificados para enviarlos a los
dispositivos mviles. Pueden ser
2.
certificados que gener en el gestor de
seguridad mvil o certificados que
3.
import de una CA distinta. Puede enviar
cualquier certificado que el dispositivo
vaya a necesitar para conectar con sus
aplicaciones y servicios internos.
1.
Defina un nombre de punto de acceso
(APN) para que el dispositivo mvil lo
use para presentarlo al operador para
2.
identificar el tipo de conexin de red que
suministrar.
1.
2.
Paso 1
Paso 2
1.
2.
3.
4.
5.
99
Paso 3
100
2.
3.
Paso 4
Nota
Paso 5
4.
(Opcional) Especifique qu trfico de
dispositivo enviar a travs de VPN. Por
defecto, la aplicacin GlobalProtect
tuneliza todo el trfico como se especifica
en su configuracin de cliente del portal
correspondiente. Sin embargo, puede
sobrescribir la configuracin del tnel del
portal definiendo el ajuste de VPN bajo
demanda en la configuracin del gestor de
seguridad mvil.
Paso 6
5.
1.
2.
3.
101
Paso 7
Configure las puertas de enlace para usar Complete los siguientes pasos en cada puerta de enlace:
cuando el certificado cliente especificado 1. Importe las puertas de enlace el certificado CA raz que se us
habilite los dispositivos mviles con esta
para emitir los certificados de dispositivos mviles (el emisor del
configuracin para establecer las
certificado de identidad, la CA del servidor SCEP o el
conexiones HTTPS.
certificado de CA autofirmado del gestor de seguridad mvil en
funcin del tipo de de certificado cliente que est usando).
2.
Paso 1
1.
Paso 2
Paso 3
Introduzca la informacin de
identificacin para la configuracin.
102
1.
2.
3.
4.
1.
2.
Paso 4
1.
2.
Paso 5
4.
5.
6.
7.
103
Paso 6
1.
2.
Siga el procedimiento siguiente para importar un perfil de aprovisionamiento iOS en el gestor de seguridad mvil:
Importacin de un perfil de aprovisionamiento iOS
Paso 1
104
Paso 2
Paso 3
1.
2.
3.
4.
Paso 1
Paso 2
1.
Configure el gestor de seguridad mvil
para que se integre con un servidor SCEP
de empresa existente para emitir
2.
certificados de identidad a dispositivos
iOS.
105
Paso 3
2.
Paso 4
2.
Paso 5
106
3.
4.
1.
2.
Paso 1
Paso 2
Nota
1.
2.
107
Paso 3
1.
Especifique los perfiles de configuracin
que se deben implementar en los
dispositivos que coincidan con los criterios
de perfil de usuario/HIP definidos.
Paso 4
2.
3.
Repita del Paso 1 al Paso 3 con cada regla de poltica que necesite.
108
Paso 1
Paso 2
3.
4.
1.
Descargue la aplicacin.
En dispositivos Android, descargue la aplicacin en
Google Play.
En dispositivos iOS, descargue la aplicacin de App Store.
2.
3.
4.
Nota
109
Paso 3
Paso 4
2.
3.
4.
5.
Por ejemplo:
Si ha aplicado el requisito del cdigo de acceso en el dispositivo,
se le pedir que establezca una nueva contrasea en 60 minutos.
Toque Continuar para cambiar/establecer el cdigo de acceso.
Introduzca el cdigo de acceso actual, escriba el nuevo cdigo de
acceso cuando se le solicite y, a continuacin, toque Guardar.
El cuadro de dilogo debe mostrar cualquier requisito que deba
cumplir el nuevo cdigo de acceso.
Si ha aplicado la configuracin Exchange Active Sync en el
dispositivo, compruebe que puede conectar al servidor Exchange
y enviar y recibir correo electrnico.
Si ha aplicado una configuracin VPN de GlobalProtect,
compruebe que el dispositivo puede establecer una conexin
VPN.
Pruebe cualquier clip web que haya aplicado en el dispositivo y
compruebe que puede conectarse a las URL asociadas.
Si ha aplicado restricciones en el dispositivo, compruebe que no
puede realizar las acciones restringidas.
110
Paso 5
Paso 6
1.
2.
3.
111
Cuenta de administrador local con autenticacin local: tanto las credenciales de la cuenta de administrador
como los mecanismos de autenticacin son locales para el dispositivo. Puede aadir un nivel de proteccin
adicional a la cuenta del administrador local creando un perfil de contrasea que defina un perodo de validez para
las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el dispositivo. Con este tipo de
cuenta no necesita realizar ninguna tarea de configuracin para poder crear la cuenta administrativa. Contine a
Creacin de una cuenta administrativa.
Cuenta de administrador local con autenticacin externa: las cuentas de administrador se gestionan en el
cortafuegos local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo de
acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga referencia
al perfil. Consulte Creacin de un perfil de autenticacin para obtener instrucciones sobre cmo configurar el
acceso a servicios de autenticacin externos.
Cuenta de administrador local con autenticacin basada en certificado: con esta opcin, puede crear
las cuentas de administrador en el dispositivo, pero la autenticacin se basa en certificados SSH (para acceso a CLI)
o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte Activacin de la autenticacin
basada en certificado para la interfaz web o Activacin de la autenticacin basada en certificado de SSH para
la interfaz de la lnea de comandos para ver las instrucciones.
112
Paso 1
Paso 2
Paso 3
1.
2.
3.
4.
5.
1.
2.
3.
4.
Paso 1
Nota
4.
5.
113
Paso 2
3.
Paso 3
Paso 4
2.
3.
114
4.
5.
6.
Paso 5
2.
Paso 6
Paso 7
Paso 8
3.
4.
2.
3.
115
Paso 1
Paso 2
2.
3.
4.
5.
6.
7.
Paso 3
Paso 4
1.
2.
116
Funciones dinmicas: Funciones integradas que proporcionan acceso como superusuario, superusuario (de
solo lectura) o administrador de dispositivos al gestor de seguridad mvil. Con las funciones dinmicas solo tendr
que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas caractersticas cuando las
funciones se actualizan automticamente.
Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer un
control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por ejemplo,
podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione acceso a las
reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los administradores de
seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e informes. Tenga en cuenta que
con los perfiles de funcin de administrador deber actualizar los perfiles para asignar privilegios de forma explcita
para nuevos componentes/caractersticas que se aadan al producto.
El siguiente ejemplo muestra el modo de crear una cuenta de administrador local con autenticacin local:
Creacin de una cuenta administrativa
Paso 1
Si pretende usar perfiles de funciones de Complete los siguientes pasos para cada funcin que desee crear:
administrador en lugar de funciones
1. Seleccione Configuracin > Funciones de administrador y, a
dinmicas, cree los perfiles que definan
continuacin, haga clic en Aadir.
qu tipo de acceso, de haberlo, se dar a 2. En las pestaas UI Web o API XML, establezca los niveles de
las diferentes secciones de la interfaz
acceso (Habilitar ,Solo lectura , Deshabilitar ) para cada
web, CLI y API XML para cada
rea funcional de la interfaz haciendo clic en el icono para
administrador asignado a la funcin.
cambiar al ajuste deseado. Se recomienda restringir la accin de
borrado de dispositivo a solo uno o dos administradores muy
familiarizados con el gestor de seguridad mvil para garantizar
que los dispositivos de usuarios finales no se borran por
accidente.
3.
4.
117
Paso 2
Paso 3
1.
2.
3.
Paso 4
118
4.
5.
6.
119
Gestin de
dispositivos mviles
Preetiquetado de dispositivos
Paso 1
120
1.
2.
3.
4.
Gestin de
dispositivos mviles
Paso 2
Nota
1.
2.
Tambin puede usar este procedimiento
para eliminar etiquetas de los dispositivos;
para ello, seleccione las etiquetas que
quiere eliminar y haga clic en Anular
etiqueta.
3.
4.
5.
Paso 3
Guarde la configuracin.
Preetiquetado de dispositivos
Para simplificar las polticas de administracin de dispositivos proporcionados por la empresa, puede
preetiquetar los dispositivos de empresa compilando una lista de nmeros de serie para los dispositivos con
formato de archivo de valores separados por comas (CSV) y, a continuacin, importndola desde el gestor de
seguridad mvil. Por defecto, a los dispositivos importados se les asigna la etiqueta Importado. Tiene la
opcin de aadir una segunda columna a su archivo CSV/XLS para el nombre de etiqueta si quiere especificar
cualquier etiqueta adicional con el fin de asignarla a dispositivos importados; por ejemplo, si tiene diferentes
niveles de acceso para diferentes grupos de usuarios que reciben dispositivos de empresa. No tiene que asignar
la misma etiqueta a todos los dispositivos importados.
121
Gestin de
dispositivos mviles
Paso 1
Paso 2
Paso 3
122
1.
2.
3.
Gestin de
dispositivos mviles
123
Gestin de
dispositivos mviles
Consejos:
Seleccione un filtro predefinido de la lista
Filtros.
124
Gestin de
dispositivos mviles
125
Gestin de
dispositivos mviles
126
Gestin de
dispositivos mviles
Seleccione Supervisar > Informes. Para ver los informes, haga clic
en los nombres de informes en la parte derecha de la pgina
(
El gestor de seguridad mvil proporciona diversos Informes de aplicacin, Informes de dispositivo e Informes de
resumen en PDF).
informes de las estadsticas de 50 dispositivos
principales, bien del da anterior, bien de un da
seleccionado de la semana anterior.
De forma predeterminada, aparecen todos los
informes del da de calendario anterior. Para ver
informes de cualquiera de los das anteriores,
seleccione una fecha de creacin de informe en
el calendario de la parte inferior de la pgina.
Los informes aparecen en secciones. Puede
visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar
el log en formato CSV, haga clic en Exportar a
CSV. Para abrir la informacin de log en
formato PDF, haga clic en Exportar a PDF.
Los archivos en PDF se abren en una nueva
ventana. Haga clic en los iconos en la parte
superior de la ventana para imprimir o guardar
el archivo.
127
Gestin de
dispositivos mviles
Eliminacin de dispositivos
Paso 1
1.
2.
128
Gestin de
dispositivos mviles
Paso 2
Bloquee el dispositivo.
Elimine el acceso a sistemas de la empresa. Este Si cree que un dispositivo puede haber acabado en las manos
procedimiento se denomina borrado selectivo.
equivocadas, puede realizar un borrado selectivo del dispositivo
creando una poltica de implementacin que devuelva un perfil vaco
al dispositivo y, a continuacin, hacer clic en
. Cuando la
nueva poltica vaca se enve al dispositivo, se borrarn todos los
perfiles con acceso habilitado a sus sistemas corporativos,
incluyendo cualquier dato asociado a esas aplicaciones. Consulte las
recomendaciones e instrucciones para la creacin de perfiles en
Definicin de polticas de implementacin.
129
Gestin de
dispositivos mviles
Eliminacin de dispositivos
Aunque los usuarios finales pueden desapuntarse manualmente de la aplicacin del gestor de seguridad mvil
de GlobalProtect, como administrador tambin puede desapuntar dispositivos mediante OTA. Esta opcin es
til cuando un empleado ha abandonado la empresa sin desapuntar su dispositivo personal del gestor de
seguridad mvil. Para desapuntar dispositivos, seleccione los dispositivos que quiere eliminar en la pestaa
Dispositivos y siga una de las dos opciones siguientes:
Eliminacin de dispositivos desde gestin
Desapuntar dispositivos.
Eliminar dispositivos.
130
Gestin de
dispositivos mviles
Paso 1
Nota
131
Gestin de
dispositivos mviles
Paso 2
Paso 3
Paso 4
132
133
134
Datos recopilados
General
Informacin acerca del propio host, incluido el nombre del host, el dominio de
inicio de sesin, el sistema operativo, la versin del cliente y, para sistemas
Windows, el dominio al que pertenece el equipo.
Dispositivos mviles
Administracin de parches
Cortafuegos
Antivirus
Antispyware
Cifrado de disco
Informacin acerca de si est instalado el software de cifrado del disco, las unidades
o rutas configuradas para el cifrado y el proveedor y el nombre de producto del
software.
Dispositivos mviles
Tambin puede excluir la recopilacin de ciertas categoras de informacin en determinados hosts (para evitar
ciclos de CPU y mejorar el tiempo de respuestas del cliente). Para ello, cree una configuracin en el portal donde
se excluyan las categoras que no le interesen. Por ejemplo, si no tiene pensado crear una poltica basada en que
los sitemas del cliente ejecuten o no software de copia de seguridad, puede excluir esta categora y el agente no
recopilar informacin acerca de copias de seguridad.
135
Cmo usa la puerta de enlace la informacin del host para aplicar las polticas
Mientras el agente obtiene informacin acerca de la informacin que debe recopilar de la configuracin del cliente
descargada desde el portal, puede definir qu atributos le interesa supervisar o usar para la aplicacin de la poltica
mediante la creacin de objetos HIP y perfiles HIP en la puerta o puertas de enlace.
Objetos HIP: Proporcionan los criterios de coincidencia que filtran la informacin de host que est interesado
en utilizar para aplicar la poltica a partir de los datos sin formato de los que ha informado el agente. Por ejemplo,
aunque los datos de host sin formato pueden incluir informacin sobre varios paquetes antivirus instalados en el
cliente, puede que solo est interesado en una aplicacin concreta que necesite en su organizacin. En este caso,
creara un objeto HIP que coincida con la aplicacin especfica que est interesado en aplicar.
La mejor forma de determinar qu objetos HIP necesita es determinar cmo utilizar la informacin de host que
recopila para aplicar la poltica. Tenga en cuenta que los objetos HIP son solo los ladrillos que le permiten crear
los perfiles HIP que se utilizan en sus polticas de seguridad. Por lo tanto, puede que desee mantener la sencillez
de sus objetos, de forma que solo coincidan con un elemento, como la presencia de un tipo concreto de software
necesario, la pertenencia a un dominio especfico o la presencia de un SO cliente determinado. De este modo,
tendr la flexibilidad de crear una poltica aumentada HIP muy granular (y muy potente).
Perfiles HIP: Una coleccin de objetos HIP que deben evaluarse en conjunto, para supervisin o para la
aplicacin de polticas de seguridad. Cuando crea sus perfiles HIP, puede combinar objetos HIP que haya creado
previamente (as como otros perfiles HIP) usando lgica booleana como la que se usa cuando un flujo de trfico
se evala con respecto al perfil HIP resultante con el que tendr, o no, coincidencia. Si coincide, la regla de poltica
correspondiente se aplicar; si no coincide, el flujo se evaluar con respecto a la siguiente regla, como con cualquier
otro criterio de coincidencia de poltica.
A diferencia de un log de trfico, que solo crea una entrada de log si hay una coincidencia de poltica, el log de
coincidencias HIP genera una entrada siempre que los datos sin procesar enviados por un agente coincidan con un
objeto HIP o un perfil HIP que haya definido. Por este motivo, el log de coincidencias HIP es un buen recurso para
supervisar el estado de los hosts en su red a lo largo del tiempo, antes de adjuntar sus perfiles HIP a polticas de
seguridad, para ayudarle a determinar exactamente qu polticas cree que necesitan aplicarse.
Cmo pueden saber los usuarios si sus sistemas cumplen los requisitos?
Por defecto, los usuarios finales no reciben informacin acerca de decisiones de polticas tomadas como consecuencia
de la aplicacin de una regla de seguridad HIP. Sin embargo, puede habilitar esta funcionalidad definiendo que se
muestren mensajes de notificacin HIP cuando un perfil HIP concreto coincida o no.
La decisin de cundo mostrar un mensaje (es decir, si aparece cuando la configuracin del usuario coincide con un
perfil HIP en la poltica o cuando no coincide), depende en gran medida de su poltica y de lo que el usuario entiende
por coincidencia (o no coincidencia) de HIP. Es decir, significa la coincidencia que se concede total acceso a los
recursos de su red? O significa que tiene acceso limitado debido a un problema de incumplimiento?
Por ejemplo, imagnese estas situaciones:
Crea un perfil HIP que coincide si el antivirus requerido por la empresa y los paquetes de software antispyware no
estn instalados. En este caso, tal vez quiera crear un mensaje de notificacin HIP para los usuarios que coincidan
con el perfil HIP que les avise de que necesitan instalar el software (y, de manera opcional, les proporcione un
enlace al recurso compartido de archivos, donde podrn acceder al instalador del software correspondiente).
Crea un perfil HIP que coincide si esas mismas aplicaciones estn instaladas, y quizs quiera crear el mensaje para
usuarios que no coincidan con el perfil y dirigirlos a la ubicacin del paquete de instalacin.
136
Uso de informacin del host en la aplicacin de polticas Configuracin de la aplicacin de polticas basadas en HIP
Paso 1
137
Paso 2
Nota
1.
2.
3.
4.
138
5.
6.
7.
Uso de informacin del host en la aplicacin de polticas Configuracin de la aplicacin de polticas basadas en HIP
Paso 3
1.
2.
3.
4.
5.
6.
7.
8.
9.
139
Paso 4
Nota
Repita este paso para cada categora que quiera comparar con
este objeto. Para obtener ms informacin, consulte Tabla:
Categoras de recopilacin de datos.
140
4.
5.
Repita estos pasos para crear cada objeto HIP adicional que
necesite.
6.
Uso de informacin del host en la aplicacin de polticas Configuracin de la aplicacin de polticas basadas en HIP
Paso 5
5.
6.
7.
8.
Repita estos pasos para crear cada perfil HIP adicional que necesite.
9.
141
Paso 6
Nota
Paso 7
Paso 8
1.
Habilite User-ID (ID de usuario) en las
zonas de origen que contengan los usuarios 2.
de GlobalProtect que enviarn solicitudes
que requieran controles de acceso basados
3.
en HIP. Debe habilitar User-ID incluso
aunque no piense usar la funcin de
identificacin de usuarios, ya que de lo
contrario el cortafuegos no generar
ninguna entrada de coincidencia HIP.
Cree las reglas de seguridad HIP en sus
puertas de enlace.
142
Uso de informacin del host en la aplicacin de polticas Configuracin de la aplicacin de polticas basadas en HIP
Paso 9
1.
Defina los mensajes de notificacin que
vern los usuarios finales cuando se aplique
una regla de seguridad con un perfil HIP.
La decisin de cundo mostrar un mensaje
(es decir, si aparece cuando la configuracin
del usuario coincide con un perfil HIP en la
poltica o cuando no coincide), depende en
gran medida de su poltica y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, significa la
coincidencia que se concede total acceso a
los recursos de su red? O significa que tiene
acceso limitado debido a un problema de
incumplimiento?
2.
3.
4.
5.
8.
9.
143
Paso 10 Compruebe que sus perfiles HIP funcionan Puede supervisar qu trfico cumple la poltica HIP usando el log de
segn lo esperado.
trfico del siguiente modo:
1. Desde la puerta de enlace, seleccione Supervisar > Logs >
Trfico.
2.
144
Configuraciones rpidas de
GlobalProtect
En la siguiente seccin se proporcionan instrucciones detalladas para configurar algunas implementaciones
globales de GlobalProtect:
145
Configuraciones rpidas
de GlobalProtect
Configuracin rpida: Acceso remoto de VPN proporciona los pasos de configuracin para este ejemplo.
Configuracin rpida: Acceso remoto de VPN
Paso 1
Nota
Paso 2
146
Cree una poltica de seguridad (Polticas > Seguridad) para habilitar el flujo de trfico entre la zona corp-vpn y la
zona l3-fiable y permitir el acceso a sus recursos internos.
Configuraciones rpidas
de GlobalProtect
Paso 3
Paso 4
Paso 5
Paso 6
147
Configuraciones rpidas
de GlobalProtect
Paso 7
2.
Paso 8
Paso 9
148
Configuraciones rpidas
de GlobalProtect
Esta configuracin rpida utiliza la misma topologa que la Ilustracin: VPN de GlobalProtect para acceso
remoto. La nica diferencia de configuracin es que, en lugar de autenticar a los usuarios con respecto a un
servidor de autenticacin, esta configuracin utiliza solo la autenticacin del certificado de cliente.
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente
Paso 1
Nota
149
Configuraciones rpidas
de GlobalProtect
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente (Continuacin)
Paso 2
Cree una poltica de seguridad (Polticas > Seguridad) para habilitar el flujo de trfico entre la zona corp-vpn y
la zona l3-fiable y permitir el acceso a sus recursos internos.
Paso 3
1.
2.
1.
Paso 4
Paso 5
como GP-client-cert.
2.
3.
Paso 6
150
Configuraciones rpidas
de GlobalProtect
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente (Continuacin)
Paso 7
2.
Paso 8
Paso 9
151
Configuraciones rpidas
de GlobalProtect
Si el perfil del certificado no especifica ningn campo de nombre de usuario (es decir, Campo de nombre de
usuario est definido como Ninguno), el certificado de cliente no necesitar contar con un nombre de usuario.
En este caso, el cliente debe proporcionar el nombre de usuario cuando autentique con este perfil de autenticacin.
Si el perfil del certificado especifica un campo de nombre de usuario, el certificado que presenta el cliente debe
contener un nombre de usuario en el campo correspondiente. Por ejemplo, si el perfil del certificado especifica
que el campo del nombre de usuario es el asunto, el certificado presentado por el cliente debe contener un valor
en el campo de nombre comn o la autenticacin fallar. Adems, cuando se necesite el campo del nombre de
usuario, el valor del campo de nombre de usuario del certificado se cumplimentar automticamente con el
nombre de usuario cuando el usuario trate de introducir la autenticacin en el perfil de autenticacin. Si no quiere
obligar a los usuarios a autenticar con un nombre de usuario del certificado, no especifique ningn campo de
nombre de usuario en el perfil del certificado.
Esta configuracin rpida utiliza la misma topologa que la Ilustracin: VPN de GlobalProtect para acceso remoto.
Sin embargo, en esta configuracin, los clientes deben autenticar con un perfil de certificado y un perfil de
autenticacin. Para obtener ms detalles sobre un tipo especfico de autenticacin de dos factores, consulte los
siguientes temas:
152
Configuraciones rpidas
de GlobalProtect
Paso 1
Nota
Paso 2
Cree una poltica de seguridad (Polticas > Seguridad) para habilitar el flujo de trfico entre la zona corp-vpn y
la zona l3-fiable y permitir el acceso a sus recursos internos.
Paso 3
1.
2.
Paso 4
153
Configuraciones rpidas
de GlobalProtect
Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores (Continuacin)
Paso 5
1.
2.
3.
Paso 6
Paso 7
154
Configuraciones rpidas
de GlobalProtect
Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores (Continuacin)
Paso 8
Paso 9
Go Daddy
Perfil del certificado: GP-client-cert
Perfil de autenticacin: Corp-LDAP
2.
Paso 11 (Optativo) Permita el uso de la aplicacin Adquiera e instale una suscripcin a la puerta de enlace de
mvil de GlobalProtect.
GlobalProtect (Dispositivo > Licencias) para permitir el uso de la
aplicacin.
Paso 12 Guarde la configuracin de
GlobalProtect.
155
Configuraciones rpidas
de GlobalProtect
Para cambiar a cualquier configuracin de VPN de acceso remoto anterior en una configuracin siempre
activada, solo tiene que cambiar el mtodo de conexin:
Paso 1
Seleccione Red > GlobalProtect > Portales y seleccione la configuracin de portal para abrirla.
Paso 2
Seleccione la pestaa Configuracin clientes y, a continuacin, seleccione la configuracin de cliente que desea
modificar.
Paso 3
Seleccione Inicio de sesin de usuario como mtodo de conexin. Repita esto para cada una de las
configuraciones del cliente.
Paso 4
Haga clic en ACEPTAR dos veces para guardar la configuracin de cliente y la de portal y, a continuacin,
compile el cambio.
156
Configuraciones rpidas
de GlobalProtect
157
Configuraciones rpidas
de GlobalProtect
Este ejemplo utiliza la topologa de GlobalProtect que se muestra en Ilustracin: VPN de GlobalProtect para
acceso remoto.
Configuracin rpida: VPN de acceso remoto con inicio de sesin anterior
Paso 1
Nota
Paso 2
Paso 3
Paso 4
1.
Genere un certificado de mquina para
cualquier sistema cliente que se conecte a
GlobalProtect e imprtelos al almacn de 2.
certificados personales de cada mquina.
Aunque podra generar certificados
autofirmados para cada sistema cliente,
recomendamos utilizar su propia
infraestructura de clave pblica (PKI)
para emitir y distribuir certificados para
sus clientes.
158
Configuraciones rpidas
de GlobalProtect
Configuracin rpida: VPN de acceso remoto con inicio de sesin anterior (Continuacin)
Paso 5
Nota
1.
2.
Paso 7
1.
En todos los cortafuegos que alojan una
puerta de enlace de GlobalProtect, cree un
perfil de certificado para identificar qu
certificado de CA utilizar para validar los
certificados de mquina cliente.
2.
PreLogonCert.
Establezca el Campo nombre de usuario en Ninguno.
159
Configuraciones rpidas
de GlobalProtect
Configuracin rpida: VPN de acceso remoto con inicio de sesin anterior (Continuacin)
Paso 8
160
Guarde la configuracin de
GlobalProtect.
3.
Paso 9
Interfaz: ethernet1/2
Configuraciones rpidas
de GlobalProtect
161
Configuraciones rpidas
de GlobalProtect
Paso 1
Nota
En esta configuracin, debe configurar las Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz de Ethernet de capa 3 con la direccin IP
interfaces de cada cortafuegos que alberga
198.51.100.42 y asgnela a la zona de seguridad l3-nofiable y el
una puerta de enlace.
enrutador virtual predeterminado.
Utilice el enrutador virtual predeterminado
para que todas las configuraciones de la Cree un registro A DNS que asigne la direccin IP
198.51.100.42 a gp1.acme.com.
interfaz eviten tener que crear el
enrutamiento entre zonas.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
En el cortafuegos que aloja la segunda puerta de enlace (puerta
de enlace 2):
Seleccione Red > Interfaces > Ethernet y configure ethernet1/5
como interfaz de Ethernet de capa 3 con la direccin IP 192.0.2.4
y asgnela a la zona de seguridad l3-nofiable y el enrutador virtual
predeterminado.
Cree un registro A DNS que asigne la direccin IP 192.0.2.4 a
gp2.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
Paso 2
Nota
Paso 3
162
2.
Tambin necesitar una suscripcin de
puerta de enlace de GlobalProtect en todas 3.
las puertas de enlace si tiene usuarios que
utilizarn la aplicacin GlobalProtect en sus
4.
dispositivos mviles o si planea utilizar la
poltica de seguridad HIP.
En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect, cree una poltica de seguridad
(Polticas > Seguridad) que habilite el flujo del trfico entre la zona corp-vpn y la zona l3-fiable para permitir el
acceso a sus recursos internos.
Configuraciones rpidas
de GlobalProtect
Paso 4
Paso 5
Defina cmo autenticar a los usuarios en el Puede utilizar cualquier combinacin de perfiles de certificado o perfiles
portal y las puertas de enlace.
de autenticacin como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente (perfil
del certificado)
Configuracin de la autenticacin en dos fases (basada en token
u OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de enlace
y portal.
Paso 6
En el cortafuegos que aloja gp1, configure los ajustes En el cortafuegos que aloja gp2, configure los ajustes de la puerta de
de la siguiente:
enlace de la siguiente forma:
Seleccione Red > GlobalProtect > Puertas de
enlace y aada la siguiente configuracin:
Interfaz: ethernet1/2
Interfaz: ethernet1/2
por Go Daddy
163
Configuraciones rpidas
de GlobalProtect
Paso 7
Daddy
2.
Paso 8
Paso 9
164
Guarde la configuracin de GlobalProtect. Haga clic en Confirmar en el cortafuegos que aloja el portal y las puertas
de enlace.
Configuraciones rpidas
de GlobalProtect
165
Configuraciones rpidas
de GlobalProtect
Paso 1
Nota
Paso 2
3.
4.
Paso 3
166
Configuraciones rpidas
de GlobalProtect
Paso 4
Defina cmo autenticar a los usuarios en Puede utilizar cualquier combinacin de perfiles de certificado o
el portal y las puertas de enlace.
perfiles de autenticacin como sea necesario para garantizar la
seguridad del portal y las puertas de enlace. Los portales y las puertas
de enlace individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente
(perfil del certificado)
Configuracin de la autenticacin en dos fases (basada en token u
OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de
enlace y portal.
Paso 5
2.
Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si est interesado en
evitar a los usuarios que no tengan actualizados los parches
necesarios, puede que quiera crear un objeto HIP con el que
evaluar si est instalado el software de gestin de parches y que
todos los parches con una gravedad determinada estn
actualizados.
Cree los perfiles HIP que tiene pensado usar en sus polticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente
perfil HIP que coincidir con los hosts a los que NO les falte
ningn parche:
167
Configuraciones rpidas
de GlobalProtect
Paso 6
Nota
newyork.acme.com
Usuario/grupo de usuarios: cualquiera
3.
Paso 8
168
Configuraciones rpidas
de GlobalProtect
Paso 9
4.
5.
169
Configuraciones rpidas
de GlobalProtect
170
Configuraciones rpidas
de GlobalProtect
Paso 1
Nota
En esta configuracin, debe configurar las Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz de Ethernet de capa 3 con la direccin IP
interfaces en el cortafuegos que aloja un
198.51.100.42 y asgnela a la zona de seguridad l3-nofiable y el
portal y en todos los cortafuegos que
enrutador virtual predeterminado.
alojan una puerta de enlace.
Utilice el enrutador virtual predeterminado Cree un registro A DNS que asigne la direccin IP
198.51.100.42 en gp.acme.com.
para que todas las configuraciones de la
interfaz eviten tener que crear el
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.2.
enrutamiento entre zonas.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
En el cortafuegos que aloja la puerta de enlace externa
(gpvpn.acme.com):
Seleccione Red > Interfaces > Ethernet y configure ethernet1/5
como interfaz de Ethernet de capa 3 con la direccin IP 192.0.2.4
y asgnela a la zona de seguridad l3-nofiable y el enrutador virtual
predeterminado.
Cree un registro A DNS que asigne la direccin IP 192.0.2.4 en
gpvpn.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tunnel.3.
A continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Habilite la identificacin de usuario en la zona corp-vpn.
En el cortafuegos que aloja las puertas de enlace internas
(california.acme.com y newyork.acme.com):
Seleccione Red > Interfaces > Ethernet y configure la interfaz de
Ethernet de capa 3 con direcciones IP en la red interna y asgnelas
a la zona de seguridad l3-fiable y al enrutador virtual predeterminado.
Cree un registro A DNS que asigne las direcciones IP internas
california.acme.com y newyork.acme.com.
Habilite la identificacin de usuarios en la zona l3-fiable.
171
Configuraciones rpidas
de GlobalProtect
Paso 2
3.
4.
Defina cmo autenticar a los usuarios en el Puede utilizar cualquier combinacin de perfiles de certificado o perfiles
portal y las puertas de enlace.
de autenticacin como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente
(perfil del certificado)
Configuracin de la autenticacin en dos fases (basada en token
u OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de enlace
y portal.
172
Configuraciones rpidas
de GlobalProtect
Paso 5
2.
Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si est interesado en
avisar a usuarios no actualizados sobre los parches que
necesitan, puede que quiera crear un objeto HIP con el que
coincidir si el software de gestin de parches est instalado y que
todos los parches con una gravedad determinada estn
actualizados.
Cree los perfiles HIP que tiene pensado usar en sus polticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente
perfil HIP que coincidir con los hosts a los que NO les falte
ningn parche:
Paso 6
173
Configuraciones rpidas
de GlobalProtect
Paso 7
Interfaz: ethernet1/2
Direccin IP: 10.31.34.13
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
con CN=gp.acme.com
Creacin de una configuracin de cliente de GlobalProtect:
Deteccin de host interno: habilitada
Utilizar registro nico: habilitado
Mtodo de conexin: inicio de sesin de usuario
Direccin de puerta de enlace: gpvpn.acme.com
Direccin de puerta de enlace interna: california.acme.com,
newyork.acme.com
Usuario/grupo de usuarios: cualquiera
3.
Paso 8
Paso 9
En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect externa, cree una poltica de seguridad
(Polticas > Seguridad) que habilite el flujo del trfico entre la zona corp-vpn y la zona l3-fiable. Adems, para
permitir le acceso granular a sus recursos de centro de datos internos, cree polticas HIP y basadas en usuario/grupo.
Para obtener visibilidad, cree reglas que permitan a todos los usuarios un acceso de navegacin Web a la zona
l3-nofiable usando perfiles de seguridad predeterminados que le protejan de amenazas conocidas.
174