Pan Os 80 Admin Guide Es Es PDF
Pan Os 80 Admin Guide Es Es PDF
Pan Os 80 Admin Guide Es Es PDF
0
8.0
paloaltonetworks.com/documentation
Contact Information
Corporate Headquarters:
Palo Alto Networks
3000 Tannery Way
Santa Clara, CA 95054
www.paloaltonetworks.com/company/contact-support
Copyright
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2017-2017 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo
Alto Networks. A list of our trademarks can be found at www.paloaltonetworks.com/company/
trademarks.html. All other marks mentioned herein may be trademarks of their respective companies.
Last Revised
December 19, 2017
Autenticación...................................................................................................161
Tipos de autenticación.......................................................................................................................... 163
Servicios de autenticación externos......................................................................................163
Autenticación multifactor........................................................................................................ 163
SAML.............................................................................................................................................164
Kerberos....................................................................................................................................... 167
TACACS+..................................................................................................................................... 167
RADIUS.........................................................................................................................................168
LDAP:............................................................................................................................................ 170
Autenticación local.................................................................................................................... 170
Planificación de su implementación de autenticación...................................................................171
Configuración de la autenticación multifactor................................................................................ 173
Configuración de la autenticación SAML......................................................................................... 177
Configuración de un inicio de sesión único de Kerberos............................................................. 181
Configuración de la autenticación del servidor Kerberos.............................................................182
Configuración de la autenticación TACACS+.................................................................................. 183
Configuración de la autenticación RADIUS..................................................................................... 185
Configuración de la autenticación LDAP..........................................................................................188
Tiempos de espera de conexión de los servidores de autenticación......................................... 189
Directrices de configuración de tiempo de espera de autenticación............................ 189
Modificación del tiempo de espera de servidor web de PAN-OS..................................190
Modificación del tiempo de espera de sesión del portal cautivo................................... 190
Configuración de la autenticación de la base de datos local....................................................... 192
Configuración de una secuencia y perfil de autenticación...........................................................194
Comprobación de la conectividad del servidor de autenticación............................................... 197
Política de autenticación.......................................................................................................................199
Marcas de tiempo de la autenticación................................................................................. 199
Configuración de la información de autenticación............................................................ 200
Solución de problemas de autenticación..........................................................................................205
iv TABLE OF CONTENTS
Exportación de un certificado y una clave privada........................................................................ 224
Configuración de un perfil de certificado.........................................................................................225
Configuración de un perfil de servicio SSL/TLS............................................................................. 227
Sustitución del certificado para el tráfico de gestión entrante................................................... 229
Configuración del tamaño de clave para los certificados de servidor proxy SSL de
reenvío.......................................................................................................................................................230
Revocación y renovación de certificados......................................................................................... 231
Revocación de un certificado................................................................................................. 231
Renovación de un certificado................................................................................................. 231
Claves seguras con un módulo de seguridad de hardware.......................................................... 232
Configuración de la conectividad con un HSM..................................................................232
Cifrado de una clave maestra utilizando un HSM............................................................. 237
Almacenamiento de claves privadas en un HSM...............................................................238
Gestión de la implementación del HSM...............................................................................239
Supervisión....................................................................................................... 305
Uso del panel...........................................................................................................................................307
Uso del centro de comando de aplicación.......................................................................................309
ACC: presentación general...................................................................................................... 309
Pestañas de ACC....................................................................................................................... 311
Widgets de ACC........................................................................................................................ 312
TABLE OF CONTENTS v
Descripciones de widget..........................................................................................................314
Filtros de ACC............................................................................................................................ 318
Interacción con el ACC............................................................................................................ 320
Caso de uso: ACC: Ruta de descubrimiento de información...........................................323
Uso de los informes de App Scope................................................................................................... 330
Informe de resumen..................................................................................................................330
Informe del supervisor de cambios....................................................................................... 331
Informe del supervisor de amenazas.................................................................................... 332
Informe del mapa de amenazas............................................................................................. 333
Informe del supervisor de red................................................................................................ 334
Informe del mapa de amenazas............................................................................................. 335
Use el motor de correlación automatizada...................................................................................... 336
Conceptos del motor de correlación automatizada...........................................................336
Visualización de los objetos de correlación.........................................................................337
Interpretación de eventos correlacionados......................................................................... 338
Uso del widget de los hosts en riesgo en el ACC..............................................................340
Realización de capturas de paquetes................................................................................................ 341
Tipos de captura de paquetes................................................................................................ 341
Deshabilitación de descarga de hardware........................................................................... 342
Captura de paquetes personalizada...................................................................................... 342
Captura de paquetes de amenazas....................................................................................... 346
Tome una captura de paquetes de aplicaciones................................................................ 347
Captura de paquetes en la interfaz de gestión.................................................................. 350
Supervisión de aplicaciones y amenazas.......................................................................................... 352
Visualización y gestión de logs........................................................................................................... 353
Tipos de logs y niveles de gravedad..................................................................................... 353
Visualización de logs................................................................................................................. 358
Filtrar logs.................................................................................................................................... 359
Exportación de logs...................................................................................................................360
Configuración de cuotas de almacenamiento y periodos de vencimiento de logs..... 361
Programación de exportaciones de logs a un servidor SCP o FTP................................ 361
Supervisión de la lista de bloqueo..................................................................................................... 363
Visualización y gestión de informes...................................................................................................364
Tipos de informes...................................................................................................................... 364
Visualización de informes........................................................................................................ 365
Configuración del período de vencimiento y de ejecución para los informes............. 365
Deshabilitación de informes predefinidos........................................................................... 366
Informes personalizados...........................................................................................................366
Generación de informes personalizados.............................................................................. 368
Generación de informes de Botnet.......................................................................................371
Generación de informes de uso de la aplicación SaaS......................................................373
Gestión de informes de resumen en PDF........................................................................... 375
Generación de informes de actividad del usuario/grupo................................................. 377
Gestión de grupos de informes..............................................................................................378
Programación de informes para entrega de correos electrónicos..................................379
Uso de servicios externos para la monitorización..........................................................................381
Configuración de reenvío de logs...................................................................................................... 382
Configuración de alertas de correo electrónico..............................................................................385
Uso de syslog para la monitorización................................................................................................387
Configuración de la monitorización de syslog.................................................................... 387
Descripciones de los campos de syslog............................................................................... 389
Monitorización de SNMP y capturas.................................................................................................419
Compatibilidad de SNMP.........................................................................................................419
Active el gestor SNMP para explorar MIB y objetos........................................................ 420
vi TABLE OF CONTENTS
Habilitación de servicios SNMP para elementos de red asegurados por el
cortafuegos.................................................................................................................................. 423
Monitorización de estadísticas mediante SNMP................................................................424
Reenvío de capturas a un administrador SNMP................................................................ 425
MIB admitidas............................................................................................................................. 427
Reenvío de logs a un destino de HTTP............................................................................................ 435
Monitorización de NetFlow................................................................................................................. 439
Configuración de exportaciones de NetFlow..................................................................... 439
Plantillas de NetFlow................................................................................................................ 440
Identificadores de interfaz de cortafuegos en los gestores SNMP y recopiladores de
NetFlow.....................................................................................................................................................446
User-ID..............................................................................................................449
Descripción general de User-ID..........................................................................................................451
Conceptos de User-ID...........................................................................................................................453
Asignación de grupos................................................................................................................453
Asignación de usuario...............................................................................................................453
Habilitación de User-ID........................................................................................................................ 457
Asignación de usuarios a grupos........................................................................................................ 460
Asignación de direcciones IP a usuarios...........................................................................................463
Creación de una cuenta de servicio exclusiva para el agente de User-ID.................... 463
Configuración de la asignación de usuarios mediante el agente de User-ID de
Windows...................................................................................................................................... 466
Configuración de la asignación de usuarios mediante el agente de User-ID integrado
en PAN-OS.................................................................................................................................. 473
Configuración de User-ID para supervisar los remitentes de Syslog para la asignación
de usuarios...................................................................................................................................476
Asignación de direcciones IP a nombres de usuario mediante un portal cautivo....... 485
Configuración de la asignación de usuarios para usuarios del servidor de
terminal.........................................................................................................................................491
Envío de asignaciones de usuarios a User-ID mediante la API XML............................. 499
Habilitación de política basada en usuarios y grupos....................................................................500
Habilitación de política para usuarios con múltiples cuentas...................................................... 501
Verificación de la configuración de User-ID....................................................................................503
Implementación de User-ID en una red a gran escala.................................................................. 505
Implementación de User-ID para numerosas fuentes de información de
asignación.....................................................................................................................................505
Redistribución de las asignaciones de usuario y autenticación de las marcas de
tiempo........................................................................................................................................... 509
App-ID............................................................................................................... 575
Descripción general de App-ID...........................................................................................................577
Gestión de aplicaciones personalizadas o desconocidas.............................................................. 578
Gestión de nuevos App-ID introducidos en versiones de contenido........................................ 579
Revisión de nuevos App-ID.....................................................................................................579
Revisión de los nuevos App-ID desde la última versión de contenido......................... 579
Revisión del impacto de un App-ID nuevo sobre las reglas de políticas
existentes..................................................................................................................................... 581
Deshabilitación o habilitación de App-ID............................................................................ 582
Preparación de actualizaciones de política para App-ID pendientes.............................583
Uso de objetos de aplicación en la política..................................................................................... 585
Creación de un grupo de aplicaciones..................................................................................585
Creación de un filtro de aplicaciones................................................................................... 586
Creación de una aplicación personalizada........................................................................... 586
Aplicaciones con compatibilidad implícita........................................................................................ 591
Gateways de nivel de aplicación........................................................................................................ 595
Deshabilitación de la gateway de nivel de aplicación (ALG) SIP.................................................597
Descifrado........................................................................................................ 599
Descripción general del descifrado.................................................................................................... 601
Conceptos de descifrado...................................................................................................................... 602
Políticas de claves y certificados para el descifrado......................................................... 602
Proxy SSL de reenvío................................................................................................................603
Inspección de SSL entrante.....................................................................................................604
Proxy Ssh..................................................................................................................................... 605
Reflejo de descifrado................................................................................................................ 606
Descifrado SSL para certificados de criptografía de curva elíptica (ECC).....................606
Compatibilidad del secreto perfecto y permanente (PFS) para el descifrado SSL...... 607
Definición del tráfico para descifrar.................................................................................................. 608
Creación de un perfil de descifrado......................................................................................608
Creación de una regla de política de descifrado................................................................ 609
Configuración del proxy SSL de reenvío.......................................................................................... 612
Filtrado de URL...............................................................................................627
Descripción general del filtrado de URL...........................................................................................629
Proveedores de filtrado de URL............................................................................................ 629
Interacción entre App-ID y categorías de URL.................................................................. 629
Nube privada de PAN-DB....................................................................................................... 630
Conceptos del filtrado de URL............................................................................................................633
Categorías de URL.....................................................................................................................633
Perfil de filtrado de URL.......................................................................................................... 634
Acciones del perfil de filtrado de URL................................................................................. 635
Listas de bloqueadas y permitidas.........................................................................................637
Lista dinámica externa para URL........................................................................................... 638
Páginas contenedoras............................................................................................................... 638
Creación de logs del encabezado HTTP.............................................................................. 638
Páginas de respuesta de filtrado de URL.............................................................................639
Categoría de URL como criterio de coincidencia de política...........................................642
Categorización de PAN-DB..................................................................................................................644
Activación de un proveedor de filtrado de URL.............................................................................647
Habilitación de PAN-DB URL Filtering.................................................................................647
Habilitación del filtrado de URL de BrightCloud................................................................648
Determinación de los requisitos de la política de filtrado de URL............................................. 651
Configuración de filtrado de URL.......................................................................................................653
Uso de una lista dinámica externa en un perfil de filtro de URL................................................ 656
Personalización de las páginas de respuesta de filtrado de URL................................................ 658
Habilitación del acceso a determinados sitios mediante contraseña......................................... 660
Aplicación de búsquedas seguras.......................................................................................................663
Configuración de búsqueda segura para proveedores de búsqueda.............................663
Bloqueo de los resultados de búsqueda cuando la búsqueda segura estricta no está
habilitada...................................................................................................................................... 665
Habilitación transparente de la búsqueda segura para los usuarios.............................. 667
Supervisión de la actividad web......................................................................................................... 672
Supervisión de la actividad web de los usuarios de red...................................................672
Visualización del informe de actividad del usuario............................................................675
Configuración de informes de filtrado de URL personalizados.......................................676
Configuración de la nube privada de PAN-DB............................................................................... 679
Configuración de la nube privada de PAN-DB...................................................................679
Configuración los cortafuegos para acceder a la nube privada de PAN-DB................682
Casos de uso de filtrado de URL........................................................................................................684
Caso de uso: control de acceso web.................................................................................... 684
Caso de uso: Uso de categorías de URL en la comparación de políticas...................... 687
Solución de problemas del filtrado de URL..................................................................................... 690
Problemas en la activación de PAN-DB...............................................................................690
Problemas de conectividad con la nube de PAN-DB........................................................691
URL clasificadas como no resueltas...................................................................................... 692
Categorización incorrecta........................................................................................................ 692
TABLE OF CONTENTS ix
Base de datos de URL vencida...............................................................................................694
VPN.................................................................................................................... 723
Implementaciones de VPN...................................................................................................................725
Descripción general de VPN de sitio a sitio.................................................................................... 726
Conceptos de VPN de sitio a sitio..................................................................................................... 727
Puerta de enlace de IKE.......................................................................................................... 727
Interfaz de túnel.........................................................................................................................727
Monitorización de túnel........................................................................................................... 728
Intercambio de claves por red (IKE) para VPN...................................................................728
IKEv2............................................................................................................................................. 731
Configuración de VPN de sitio a sitio...............................................................................................734
Configuración de una puerta de enlace IKE........................................................................734
Definición de perfiles criptográficos..................................................................................... 740
Configuración de un túnel IPSec........................................................................................... 742
Configuración de la supervisión de túnel............................................................................ 745
Habilitación/deshabilitación, actualización o reinicio de un gateway IKE o túnel
IPSec..............................................................................................................................................746
Prueba de conectividad VPN..................................................................................................747
Interpretación de mensajes de error de VPN..................................................................... 748
Configuraciones rápidas de VPN de sitio a sitio.............................................................................750
VPN de sitio a sitio con rutas estáticas............................................................................... 750
VPN de sitio a sitio con OSPF............................................................................................... 753
VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico.................................757
x TABLE OF CONTENTS
Configuración del portal para autenticar satélites......................................................................... 774
Configuración de puertas de enlace de GlobalProtect para LSVPN.......................................... 776
Configuración del portal de GlobalProtect para LSVPN............................................................... 780
Tareas previas del portal de GlobalProtect para LSVPN..................................................780
Configuración del portal...........................................................................................................780
Definición de las configuraciones de satélites....................................................................781
Preparación del satélite para unirse a la LSVPN............................................................................ 785
Verificación de la configuración de LSVPN..................................................................................... 788
Configuraciones rápidas de LSVPN................................................................................................... 789
Configuración básica de LSVPN con rutas estáticas.........................................................789
Configuración avanzada de LSVPN con enrutamiento dinámico................................... 791
Configuración avanzada de LSVPN con iBGP.................................................................... 793
Networking.......................................................................................................799
Configuración de interfaces.................................................................................................................801
Interfaces de modo tap............................................................................................................ 801
interfaces de cables virtuales..................................................................................................801
Interfaces de capa 2..................................................................................................................809
Interfaces de capa 3..................................................................................................................812
Configuración de los grupos de interfaces de agregación............................................... 822
Uso de los perfiles de gestión de interfaz para restringir el acceso.............................. 824
Enrutadores virtuales.............................................................................................................................826
Rutas de servicio.....................................................................................................................................828
Rutas estáticas.........................................................................................................................................830
Descripción general de la ruta estática................................................................................ 830
Eliminación de ruta estática basada en el control de ruta............................................... 830
Configuración de una ruta estática....................................................................................... 833
Configuración del control de ruta para una ruta estática................................................ 834
RIP.............................................................................................................................................................. 837
OSPF.......................................................................................................................................................... 839
Conceptos de OSPF.................................................................................................................. 839
Configuración de OSPF............................................................................................................841
Configuración de OSPFv3....................................................................................................... 843
Configuración del reinicio correcto de OSPF..................................................................... 846
Confirmación del funcionamiento de OSPF........................................................................847
BGP............................................................................................................................................................ 849
Descripción general del BGP.................................................................................................. 849
MP-BGP........................................................................................................................................849
Configuración de BGP.............................................................................................................. 851
Configuración de un peer BGP con MP-BGP para unidifusión IPv4 o IPv6................ 856
Configuración de un peer de BGP con MP-BGP para rutas de multidifusión IPv4.... 858
Redistribución de ruta........................................................................................................................... 860
DHCP......................................................................................................................................................... 863
Descripción general de DHCP................................................................................................863
Cortafuegos como servidor y cliente DHCP.......................................................................864
Mensajes DHCP......................................................................................................................... 864
Direccionamiento DHCP..........................................................................................................865
Opciones de DHCP................................................................................................................... 867
Configure una interfaz como servidor DHCP.....................................................................869
Configure una interfaz como cliente DHCP........................................................................872
Configuración de la interfaz de gestión como cliente DHCP..........................................873
Configure una interfaz como agente de relé DHCP......................................................... 875
Supervisión y resolución de problemas de DHCP............................................................. 876
DNS............................................................................................................................................................ 878
TABLE OF CONTENTS xi
Descripción general del DNS..................................................................................................878
Objeto proxy DNS.....................................................................................................................879
Perfil de servidor DNS............................................................................................................. 880
Implementaciones de DNS multiusuario..............................................................................880
Configuración de un objeto proxy DNS...............................................................................881
Configuración de un perfil de servidor DNS.......................................................................883
Caso de uso 1: El cortafuegos requiere resolución DNS con fines de gestión............ 884
Caso de uso 2: El usuario del ISP usa proxy DNS para gestionar la resolución DNS
para políticas de seguridad, informes y servicios dentro de su sistema virtual........... 885
Caso de uso 3: El cortafuegos hace de proxy DNS entre cliente y servidor................887
Regla de proxy DNS y coincidencia FQDN.........................................................................888
NAT............................................................................................................................................................ 893
Reglas de políticas NAT........................................................................................................... 893
NAT de origen y destino......................................................................................................... 895
Capacidades de regla NAT...................................................................................................... 897
Sobresuscripción de NAT de IP dinámica y puerto...........................................................898
Estadísticas de memoria NAT de plano de datos.............................................................. 899
Configuración de NAT..............................................................................................................900
Ejemplos de configuración de NAT.......................................................................................906
NPTv6........................................................................................................................................................ 913
Descripción general de NPTv6...............................................................................................913
Funcionamiento de NPTv6......................................................................................................914
Proxy NDP...................................................................................................................................916
Ejemplo de NPTv6 y Proxy NDP...........................................................................................917
Creación de una política NPTv6............................................................................................ 918
NAT64....................................................................................................................................................... 921
NAT64 Overview....................................................................................................................... 921
Dirección IPv6 integrada en la dirección IPv4....................................................................922
Servidor DNS64......................................................................................................................... 922
Detección de MTU de ruta..................................................................................................... 922
Comunicación de Pv6 iniciada................................................................................................923
Configuración de NAT64 para la comunicación iniciada por IPv6.................................924
Configuración de NAT64 para la comunicación de IPv4 iniciada...................................927
Configuración de NAT64 para la comunicación iniciada por IPv4 con traducción de
puerto............................................................................................................................................929
ECMP......................................................................................................................................................... 932
Algoritmos de equilibrio de carga de ECMP....................................................................... 932
Compatibilidad con modelo de ECMP, interfaz y enrutamiento de IP..........................933
Configuración de ECMP en un enrutador virtual.............................................................. 934
Habilitación de ECMP para varios sistemas BGP autónomos.........................................936
Verificación de ECMP...............................................................................................................936
LLDP...........................................................................................................................................................938
Descripción general de LLDP................................................................................................. 938
TLV compatibles con LLDP..................................................................................................... 939
Mensajes de Syslog LLDP y capturas de SNMP................................................................ 940
Configuración de LLDP............................................................................................................ 941
Visualización de estados y configuración de LLDP........................................................... 942
Borrado de estadísticas de LLDP...........................................................................................943
BFD............................................................................................................................................................ 944
Descripción general de BFD................................................................................................... 944
Configuración de BFD.............................................................................................................. 946
Referencia: Detalles de BFD...................................................................................................951
Configuración de sesión y tiempos de espera de sesión.............................................................. 956
Sesiones de capa de transporte............................................................................................. 956
TCP................................................................................................................................................ 956
Política............................................................................................................... 985
Tipos de políticas....................................................................................................................................987
Política de seguridad..............................................................................................................................988
Componentes de una regla de política de seguridad........................................................ 988
Acciones de la política de seguridad.....................................................................................991
Creación de una regla de política de seguridad................................................................. 992
Objetos de políticas............................................................................................................................... 995
Perfiles de seguridad............................................................................................................................. 997
Creación de un grupo de perfiles de seguridad...............................................................1003
Configuración o cancelación de un grupo de perfiles de seguridad
predeterminado........................................................................................................................1004
Práctica recomendada de política de seguridad de puerta de enlace de Internet................ 1006
¿Cuál es la práctica recomendada de política de seguridad de puerta de enlace de
Internet?.....................................................................................................................................1006
¿Por qué necesito una práctica recomendada de política de seguridad de puerta de
enlace de Internet?................................................................................................................. 1008
¿Cómo implemento la práctica recomendada de política de seguridad de puerta de
enlace de Internet?................................................................................................................. 1009
Identificación de aplicaciones de la lista de permitidos................................................. 1010
Creación de grupos de usuario para el acceso a las aplicaciones de la lista de
permitidos..................................................................................................................................1013
Descifrado del tráfico para la visibilidad total y la inspección de amenazas..............1014
Creación de perfiles de seguridad de práctica recomendada....................................... 1015
Definición de la política de seguridad de puerta de enlace de Internet inicial.......... 1020
Supervisión y ajuste preciso de la base de reglas de la política................................... 1031
Eliminación de las reglas temporales..................................................................................1032
Mantenimiento de la base de reglas...................................................................................1033
Enumeración de reglas dentro de una base de reglas................................................................ 1034
Duplicación o traslado de una regla de políticas u objeto a un sistema virtual diferente....1036
Uso de etiquetas para agrupar objetos y distinguirlos visualmente........................................ 1038
Creación y aplicación de etiquetas..................................................................................... 1038
Modificación de etiquetas.....................................................................................................1039
Uso del explorador de etiquetas......................................................................................... 1039
Uso de una lista dinámica externa en políticas............................................................................ 1044
Lista dinámica externa............................................................................................................1044
Directrices de formato para listas dinámicas externas...................................................1045
Fuentes de direcciones IP malintencionadas de Palo Alto Networks......................... 1046
Configuración del cortafuegos para acceder a una lista dinámica externa................ 1047
Recuperación de una lista dinámica externa del servidor web.....................................1049
Virtual Systems.............................................................................................1079
Descripción general de los sistemas virtuales...............................................................................1081
Componentes y segmentación de los sistemas virtuales...............................................1081
Ventajas de los sistemas virtuales.......................................................................................1082
Casos de uso de sistemas virtuales.................................................................................... 1082
Compatibilidad con plataformas y licencias de sistemas virtuales...............................1082
Funciones de administrador para sistemas virtuales...................................................... 1083
Objetos compartidos para sistemas virtuales...................................................................1083
Comunicación entre sistemas virtuales.......................................................................................... 1084
Tráfico entre VSYS que debe abandonar el cortafuegos...............................................1084
Tráfico entre VSYS que permanece en el cortafuegos.................................................. 1084
La comunicación entre VSYS usa dos sesiones............................................................... 1086
Puerta de enlace compartida............................................................................................................ 1088
Zonas externas y puerta de enlace compartida...............................................................1088
Consideraciones de red para una puerta de enlace compartida.................................. 1089
Configuración de sistemas virtuales................................................................................................1090
Configuración de la comunicación entre sistemas virtuales dentro del cortafuegos........... 1093
Configuración de un gateway compartido.....................................................................................1094
Personalización de rutas de servicio para un sistema virtual.................................................... 1095
Personalización de rutas de servicio a servicios para un sistema virtual....................1095
Configure un cortafuegos PA-7000 Series para logging por sistema virtual.............1096
Configuración de acceso administrativo por sistema virtual o cortafuegos.............. 1098
Funcionalidad de sistema virtual con otras funciones................................................................ 1100
Certificaciones.............................................................................................. 1131
Habilitación de FIPS y compatibilidad con criterios comunes...................................................1133
Acceda a la Maintenance Recovery Tool (Herramienta de recuperación de
mantenimiento, MRT)............................................................................................................. 1133
Cambio del modo operativo a modo FIPS-CC................................................................. 1135
Funciones de seguridad de FIPS-CC............................................................................................... 1136
TABLE OF CONTENTS xv
xvi TABLE OF CONTENTS
Primeros pasos
Los siguientes temas proporcionan pasos detallados para ayudarle a implementar un nuevo
cortafuegos de nueva generación de Palo Alto Networks. Proporcionan detalles para integrar
un nuevo cortafuegos en su red, registrarlo, activar licencias y suscripciones, y configurar
políticas de seguridad básicas y funciones de prevención de amenazas.
Después de realizar los pasos de configuración básicos necesarios para integrar el cortafuegos
en su red, puede utilizar el resto de los temas de esta guía como ayuda para implementar las
funciones integrales de la plataforma de seguridad empresarial según fuera necesario para
cubrir sus necesidades de seguridad de red.
17
18 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos
© 2017 Palo Alto Networks, Inc.
Integración del firewall en la red de gestión
Todos los cortafuegos de Palo Alto Networks incluyen un puerto de gestión fuera de banda (MGT) que
puede usar para llevar a cabo las funciones de administración del cortafuegos. Al usar el puerto MGT, está
separando las funciones de gestión del cortafuegos de las funciones de procesamiento de datos, de modo
que protege el acceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas
las tareas de configuración inicial desde el puerto MGT, incluso aunque pretenda usar un puerto dentro de
banda para gestionar su cortafuegos más adelante.
Algunas tareas de gestión, como la recuperación de licencias y la actualización de amenazas y firmas de
aplicaciones en el cortafuegos requieren acceso a Internet. Si no desea habilitar el acceso externo a su
puerto MGT, deberá establecer un puerto de datos en banda para permitir el acceso a los servicios externos
requeridos (usando rutas de servicio) o planificar la carga manual de actualizaciones de forma periódica.
Los siguientes temas describen cómo realizar los pasos de la configuración inicial necesarios para integrar un
nuevo cortafuegos en la red de gestión e implementarlo con una configuración de seguridad básica.
• Determinación de la estrategia de gestión
• Realización de la configuración inicial
• Establecimiento de acceso a la red para servicios externos
Los siguientes temas describen cómo integrar un único cortafuegos de nueva generación de
Palo Alto Networks en su red. Sin embargo, para obtener redundancia, debería implementar
dos cortafuegos en una configuración de alta disponibilidad.
Es posible que deba cambiar la dirección IP de su ordenador por una dirección de la red
192.168.1.0/24, como 192.168.1.2, para acceder a esta URL.
STEP 7 | (Opcional) Configure los ajustes generales del cortafuegos según fuera necesario.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y modifique la
configuración general.
2. Introduzca un Hostname (Nombre de host) para el cortafuegos y el nombre de Domain (Dominio) de
su red. El nombre de dominio tan solo es una etiqueta, no se usará para unirse al dominio.
3. Introduzca el texto del Login Banner que informa a los usuarios que están intentando iniciar sesión de
que deben tener autorización para acceder a las funciones de gestión del cortafuegos.
Haga clic en Commit (Confirmar) en la parte superior derecha de la interfaz web. El cortafuegos puede
tardar hasta 90 segundos en guardar sus cambios.
STEP 12 | Verifique el acceso a la red para los servicios externos requeridos para la gestión del
cortafuegos, como el servidor de actualizaciones de Palo Alto Networks.
Puede hacerlo de uno de estos modos:
• Si no desea permitir que una red externa acceda a la interfaz MGT, tendrá que configurar un puerto
de datos para recuperar las actualizaciones de servicio requeridas. Proceda con la Configuración de
acceso a la red para servicios externos.
• Si planea permitir el acceso de la red externa a la interfaz MGT, compruebe que haya conectividad y
proceda a registrar el cortafuegos y activar las licencias y suscripciones.
1. Compruebe la utilidad del ping para verificar la conectividad de red al servidor de actualizaciones
de Palo Alto Networks como se muestra en el siguiente ejemplo. Verifique que la resolución DNS
se produzca y la respuesta incluya la dirección IP del servidor de actualización; el servidor de
actualización no responde a una solicitud de ping.
Cuando haya comprobado la resolución DNS, pulse Ctrl+C para detener la solicitud
de ping.
2. Use el siguiente comando de la CLI para recuperar información sobre el derecho a la asistencia
técnica para el cortafuegos desde el servidor de actualizaciones de Palo Alto Networks:
Para esta tarea debe estar familiarizado con zonas, políticas e interfaces de cortafuegos.
Para obtener más información sobre estos temas, consulte Configuración de interfaces y
zonas y Configuración de una política de seguridad básica.
STEP 1 | Decida el puerto que desea usar para acceder a servicios externos y conéctelo al puerto del
conmutador o al puerto del enrutador.
La interfaz que use deberá tener una dirección IP estática.
STEP 3 | (Opcional) El cortafuegos viene preconfigurado con una interfaz de Virtual Wire
predeterminada entre los puertos Ethernet 1/1 y Ethernet 1/2 (y sus correspondientes
zonas y políticas de seguridad predeterminadas). Si no pretende usar esta configuración de
Virtual Wire, debe eliminar manualmente la configuración para evitar que interfiera con otras
configuraciones de interfaz que defina.
Debe eliminar la configuración en el siguiente orden:
1. Para eliminar la política de seguridad predeterminada, seleccione Policies (Políticas) > Security
(Seguridad), seleccione la regla y haga clic en Delete (Eliminar).
2. Para eliminar el cable virtual predeterminado, seleccione Network (Red) > Virtual Wires (Cables
virtuales), seleccione el cable virtual y haga clic en Delete (Eliminar).
3. Para eliminar las zonas fiables y no fiables predeterminadas, seleccione Network (Red) > Zones
(Zonas), seleccione cada zona y haga clic en Delete (Eliminar).
4. Para eliminar las configuraciones de interfaz, seleccione Network (Red) > Interfaces y, a continuación,
seleccione cada interfaz (ethernet1/1 y ethernet1/2), y haga clic en Delete (Eliminar).
5. Seleccione Commit (Confirmar) para confirmar los cambios.
Estos servicios ofrecen acceso de gestión al cortafuegos, así que seleccione solo
los servicios que correspondan a actividades de gestión que desee permitir en
esta interfaz. Por ejemplo, si planea utilizar la interfaz MGT para las tareas de
configuración del cortafuegos a través de la interfaz web o CLI, no debería habilitar
HTTP, HTTPS, SSH o Telnet para poder evitar el acceso no autorizado a través
de esta interfaz (y si no ha permitido estos servicios, debería limitar el acceso a un
conjunto específico de Permitted IP Addresses [Direcciones IP permitidas]). Para
obtener detalles, consulte Uso de los perfiles de gestión de interfaz para restringir el
acceso.
8. Para guardar la configuración de la interfaz, haga clic en OK (Aceptar).
Este ejemplo muestra cómo configurar rutas de servicio globales. Para obtener
información sobre la configuración de acceso de red a servicios externos basada en
sistemas virtuales en vez de global, consulte Personalización de las rutas de servicio en
servicios para sistemas virtuales.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Global y haga clic en
Service Route Configuration (Configuración de ruta de servicio).
STEP 6 | Configure una interfaz externa y una zona asociada y, a continuación, cree una regla de política
de seguridad para permitir que el cortafuegos envíe solicitudes de servicio desde la zona
interna hacia la externa.
1. Seleccione Network (Red) > Interfaces y, a continuación, seleccione su interfaz de orientación
externa. Seleccione Layer3 en Interface Type (Tipo de interfaz), luego seleccione Add (Añadir) para
añadir la dirección IP (en la pestaña IPv4 o IPv6) y cree la Security Zone (Zona de seguridad) asociada
(en la pestaña Config), tal como Internet. Esta interfaz debe tener una dirección IP estática; no es
necesario que configure servicios de gestión en esta interfaz.
2. Para configurar una regla de seguridad que permita el tráfico desde su red interna hasta el servidor de
actualización de Palo Alto Networks, seleccione Policies (Políticas) > Security (Seguridad) y haga clic
en Add (Añadir).
Cuando haya comprobado la resolución DNS, pulse Ctrl+C para detener la solicitud
de ping.
2. Use el siguiente comando de la CLI para recuperar información sobre el derecho a la asistencia
técnica para el cortafuegos desde el servidor de actualizaciones de Palo Alto Networks:
STEP 3 | Vaya al portal del servicio de atención al cliente de Palo Alto Networks e inicie sesión.
En una ventana o pestaña nueva del navegador, vaya a https://www.paloaltonetworks.com/support/
tabs/overview.html.
Debe tener una cuenta de asistencia técnica para registrar un cortafuegos. Si aún no
tiene una cuenta de asistencia técnica, haga clic en el enlace Register (Registro) en la
página de inicio de sesión de asistencia técnica y siga las instrucciones para configurar
su cuenta y registrar el cortafuegos.
Si ya dispone de una cuenta de asistencia técnica, inicie sesión y registre el cortafuegos basado en
hardware de la siguiente manera:
1. Seleccione Assets (Activos) > Devices (Dispositivos).
2. Haga clic en Register New Device (Registrar nuevo dispositivo).
3. Seleccione Register device using Serial Number or Authorization Code (Registrar dispositivo usando
el número de serie o el código de autorización) y haga clic en Submit (Enviar).
4. Introduzca el Serial Number (Número de serie) del cortafuegos (puede copiarlo y pegarlo desde el
panel del cortafuegos).
5. (Opcional) Introduzca el Device Name (Nombre del dispositivo) y elDevice Tag (Etiqueta de
dispositivo).
6. Proporcione información sobre dónde planea implementar el cortafuegos, esto incluye la City
(Ciudad), el Postal Code (Código postal) y el Country (País).
7. Lea el acuerdo de licencia de usuario final (end-user license agreement, EULA) y luego haga clic en
Agree and Submit (Aceptar y enviar).
STEP 5 | (Solo suscripciones a WildFire) Realice una confirmación para completar la activación de la
suscripción a WildFire.
Tras activar una suscripción a WildFire, se necesita una confirmación para que el cortafuegos empiece a
reenviar tipos de archivos avanzados. Debe elegir una de las siguientes opciones:
• Compile cualquier cambio pendiente.
• Compruebe si las Reglas de perfil de análisis de WildFire incluyen los tipos de archivo avanzados que
son compatibles ahora con la suscripción a WildFire. Si no es necesario ningún cambio en las reglas,
modifique mínimamente una descripción de reglas y realice la compilación.
• Upgrade (Actualizar): indica que hay una nueva versión de la base de datos de BrightCloud
disponible. Haga clic en el enlace para iniciar la descarga e instalación de la base de datos. La
actualización de la base de datos se inicia en segundo plano; al completarse aparece una marca de
verificación en la columna Currently Installed (Instalado actualmente).
Si usa PAN-DB como base de datos de filtrado de URL, no verá ningún enlace de
actualización porque la base de datos de PAN-DB del cortafuegos se sincroniza
automáticamente con la nube de PAN-DB.
• Revert (Revertir): indica que hay disponible una versión previa la versión de software o contenido.
Puede decidir revertir a la versión instalada anteriormente.
Haga clic en el enlace Install (Instalar) de la columna Action (Acción). Cuando se complete la instalación,
aparecerá una marca de verificación en la columna Currently Installed (Instalado actualmente).
1. Establezca la programación de cada tipo de actualización haciendo clic en el enlace None (Ninguna).
Ya que las firmas de WildFire nuevas están a disposición cada cinco minutos,
configure el cortafuegos para recuperarlas actualizaciones de WildFire Every Minute
(Cada minuto) y obtener las firmas más recientes en un minuto.
3. Especifique Time (Hora) (o los minutos que pasan de una hora en el caso de WildFire) y, si está
disponible en función de la Recurrence (Periodicidad) seleccionada, el Day (Día) de la semana para
realizar la actualización.
4. Especifique si desea que el sistema use la opción Download Only (Únicamente descargar) o, como
opción recomendada, Download And Install (Descargar e instalar) la actualización.
5. Introduzca cuánto tiempo una publicación debe esperar antes de realizar una actualización de
contenido en el campo Threshold (Hours) (Umbral [horas]). En raras ocasiones puede haber errores
en las actualizaciones de contenido. Por este motivo, tal vez desee retrasar la instalación de nuevas
actualizaciones hasta que lleven varias horas publicadas.
1. Seleccione Network (Red) > Interfaces y seleccione la interfaz que desea configurar. En este ejemplo,
estamos configurando Ethernet1/15 como la interfaz interna a la que se conectan nuestros usuarios.
2. Seleccione Layer3 en Interface Type (Tipo de interfaz).
STEP 4 | Configure la interfaz que se conecta a sus aplicaciones del centro de datos.
Esta es una regla temporal que le permite recopilar información sobre el tráfico de su
red. Una vez que obtiene más información sobre las aplicaciones a las que los usuarios
necesitan acceder, puede tomar decisiones informadas sobre qué aplicaciones permitir y
crear reglas basadas en aplicaciones más pormenorizadas para cada grupo de usuario.
1. Seleccione Policies (Políticas) > Security (Seguridad) y haga clic en Add (Añadir).
2. Use un Name (Nombre) descriptivo para la regla en la pestaña General.
3. En la pestaña Source (Origen), establezca la Source Zone (Zona de origen) en Users (Usuarios).
4. En la pestaña Destination (Destino), establezca la Destination Zone (Zona de destino) como Internet.
5. En la pestaña Applications (Aplicaciones), seleccione Add (Añadir) para añadir un filtro de aplicación
al seleccionar Application Filter (Filtro de aplicación) e introduzca un nombre. Para habilitar de
manera segura el acceso a aplicaciones legítimas basadas en la web, configure la categoría en el filtro
de aplicación como general-internet y luego haga clic en OK (Aceptar). Para habilitar el acceso a sitios
cifrados, seleccione Add (Añadir) para añadir la aplicación ssl.
6. En la pestaña Service/URL Category (Categoría de servicio/URL), mantenga Service (Servicio)
establecido como application-default (aplicación-predeterminado).
7. En la pestaña Actions (Acciones), establezca Action Setting (Configuración de acción) como Allow
(Permitir).
8. Configure Profile Type (Tipo de perfil) en Profiles (Perfiles) y seleccione los siguientes perfiles de
seguridad para adjuntarlos a la regla de política:
• Para Antivirus, seleccione default (predeterminado).
STEP 5 | Guarde las reglas de política en la configuración que se esté ejecutando en el cortafuegos.
Haga clic en Commit (Confirmar).
El resultado muestra la regla que coincide mejor con la dirección IP de origen y destino especificada en el
comando de la CLI.
Por ejemplo, para verificar la regla de política que se aplicará a un cliente en la zona de usuario con la
dirección IP 10.35.14.150 cuando envía una consulta DNS al servidor DNS en el centro de datos:
"Network Infrastructure" {
from Users;
source any;
source-region none;
to Data_Center;
destination any;
destination-region none;
user any;
category any;
application/service dns/any/any/any;
action allow;
icmp-unreachable: no
terminal yes;
}
• Visualización de logs.
De manera específica, visualice los logs de tráfico y amenaza (Monitor [Supervisar] > Logs).
Los logs de tráfico dependen del modo en que sus políticas de seguridad están definidas
y configuradas para registrar el tráfico. Sin embargo, el widget Application Usage en
ACC registra aplicaciones y estadísticas independientemente de la configuración de
las políticas; muestra todo el tráfico que se permite en su red, por lo que incluye el
tráfico interzona, que permite la política y el tráfico de la misma zona que se permite
implícitamente.
Las etiquetas de AutoFocus creadas por Unit 42, el equipo de inteligencia de amenazas
de Palo Alto Networks, llaman la atención sobre campañas y amenazas avanzadas y
específicas de su red.
STEP 1 | Confirme que su cortafuegos está registrado y que tiene una cuenta válida de asistencia
técnica, así como las suscripciones que usted requiera.
1. Vaya al portal de asistencia técnica (Customer Support Portal, CSP) de Palo Alto Networks, inicie
sesión y seleccione My Devices (Mis dispositivos).
2. Verifique que el firewall se incluye en la lista. Si no aparece, consulte Registro del cortafuegos.
3. (Opcional) Si tiene una suscripción de prevención de amenazas, asegúrese de activar las licencias y
suscripciones.
También puede reenviar archivos a una nube regional o una nube privada según su
ubicación y sus requisitos organizativos.
3. Revise los File Size Limits (Límites de tamaño de archivo) para los PE que el cortafuegos reenvía
para el análisis de WildFire. Configure el Size Limit (Límite de tamaño) para los PE que el cortafuegos
puede reenviar en el límite máximo disponible de 10 MB.
STEP 4 | Aplique el nuevo perfil de análisis de WildFire al tráfico que permite el cortafuegos.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione una política existente o cree una
nueva política según se describe en Configuración de una política de seguridad básica.
2. Seleccione Actions (Acciones) y en la sección Profile Settings, configure el Profile Type (Tipo de
perfil) en Profiles (Perfiles).
3. Seleccione el perfil WildFire Analysis (Análisis de WildFire) que acaba de crear para aplicar esa regla
de perfil a todo el tráfico que la política permite.
4. Haga clic en OK (Aceptar).
STEP 5 | Habilite el cortafuegos para que envíe tráfico descifrado SSL para el análisis de WildFire.
STEP 6 | Revise e implemente las prácticas recomendadas de WildFire para asegurarse de aprovechar al
máximo las prestaciones de detección y prevención de WildFire.
STEP 8 | Verifique que el cortafuegos esté reenviando archivos PE a la nube pública de WildFire.
Seleccione Monitor (Supervisar) > Logs > WildFire Submissions (Envíos de WildFire) para visualizar
las entradas del log para los PE que el cortafuegos envió correctamente para el análisis de WildFire.
La columna Verdict (Veredicto) muestra si WildFire detectó que el PE es malintencionado, grayware o
benigno. (WildFire solo asigna el veredicto de phishing a enlaces de correo electrónico).
Configure un perfil de filtrado de URL recomendado para garantizar protección contra las
URL que se observó que alojan malware o contenido de exploits.
Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtrado de URL)
y Add (Añadir) para añadir o modificar un perfil de filtrado de URL.
• Seleccione Categories (Categorías) para permitir, alertar, continuar o bloquear su acceso. Si no está
seguro de los sitios o categorías que desea controlar, considere configurar las categorías (excepto
las bloqueadas de manera predeterminada) en modo de alerta. A continuación, puede utilizar las
herramientas de visibilidad en el cortafuegos, como el Centro de control de aplicaciones (ACC)
y Appscope, para determinar qué categorías web restringir a grupos específicos o bloquear por
completo. Consulte Acciones del perfil de filtrado de URL para obtener detalles sobre los ajustes de
acceso al sitio que puede aplicar para cada categoría de URL.
STEP 5 | Habilite páginas de respuesta en el perfil de gestión para cada interfaz en la que esté filtrando
tráfico web.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > Interface Mgmt (Gestión de
interfaz) y luego seleccione un perfil de interfaz para editar o haga clic en Add (Añadir) para crear un
nuevo perfil.
2. Seleccione Response Pages (Páginas de respuesta), así como cualquier otro servicio de gestión
necesario en la interfaz.
3. Haga clic en OK (Aceptar) para guardar el perfil de gestión de interfaz.
4. Seleccione Network (Red) > Interfaces y seleccione la interfaz a la cual adjuntar el perfil.
5. En la pestaña Advanced (Avanzado) > Other Info (Otra información), seleccione el perfil de gestión
de interfaz que acaba de crear.
6. Haga clic en OK (Aceptar) para guardar la configuración de la interfaz.
53
54 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Administración del cortafuegos
© 2017 Palo Alto Networks, Inc.
Interfaces de gestión
Puede utilizar las siguientes interfaces de usuario para gestionar el cortafuegos de Palo Alto Networks:
• Garantice el Uso de la interfaz web para realizar la configuración y supervisar tareas con relativa
facilidad. Esta interfaz gráfica le permite acceder al cortafuegos con HTTPS (recomendado) o HTTP, y es
la mejor forma de realizar tareas administrativas.
• Garantice el Uso de la interfaz de línea de comandos (CLI) para realizar una serie de tareas introduciendo
rápidamente comandos en secuencia en SSH (recomendado), Telnet o el puerto de la consola. El CLI es
una interfaz sencilla que admite dos modos de comandos, operativo y de configuración, cada uno con su
propia jerarquía de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis
de los comandos, el CLI permite tiempos de respuesta rápidos y ofrece eficacia administrativa.
• Use la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes
desarrollados internamente. La API XML es un servicio web implementado usando solicitudes y
respuestas de HTTP/HTTPS.
• Garantice el Uso de Panorama para llevar a cabo una gestión basada en la web, la creación de informes y
la recopilación de logs para varios cortafuegos. La interfaz web de Panorama se parece a la interfaz web
del cortafuegos, pero contiene funciones adicionales para la gestión centralizada.
STEP 1 | Abra una ventana del explorador e introduzca la dirección IP del cortafuegos en el campo de la
URL (https://<dirección IP>).
STEP 2 | Inicie sesión en el cortafuegos según el tipo de autenticación que utilice su cuenta. Si inicia
sesión en el cortafuegos por primera vez, utilice el valor predeterminado admin (administrador)
para su nombre de usuario y contraseña.
• SAML: haga clic en Use Single Sign-On (SSO) (Utilizar el inicio de sesión único). Si el cortafuegos
realiza la autenticación (asignación de funciones) para los administradores, introduzca un nombre
de usuario en Username (Nombre de usuario) y haga clic en Continue (Continuar). Si el proveedor
de identidad (IdP) SAML realiza la autorización, haga clic en Continue (Continuar) sin introducir un
nombre de usuario en Username (Nombre de usuario). En ambos casos, el cortafuegos lo redirige al
IdP, que le pide que introduzca un nombre de usuario y una contraseña. Luego de la autenticación en
el IdP, se muestra la interfaz web del cortafuegos.
• Cualquier otro tipo de autenticación: introduzca el nombre de su usuario en Name (Nombre) y la
contraseña en Password (Contraseña). Lea el banner de inicio de sesión y seleccione I Accept and
Acknowledge the Statement Below (Acepto el siguiente enunciado) si la página de inicio de sesión
tiene el banner y la casilla de verificación. Luego, haga clic en Login (Iniciar sesión).
STEP 3 | Lea y luego haga clic en Close (Cerrar) para cerrar los mensajes del día.
Puede obtener la vista previa de la imagen para ver de qué manera PAN-OS la
recortará para ajustarla, a través del icono de la lupa.
STEP 5 | Verifique que los banners, el mensaje del día y los logotipos se muestren según lo previsto.
1. Cierre sesión para regresar a la página de inicio de sesión, que muestra los nuevos logotipos que
seleccionó.
2. Introduzca sus credenciales de inicio de sesión, revise el banner, seleccione I Accept and
Acknowledge the Statement Below (Acepto y confirmo la declaración a continuación) para habilitar
el botón Login (Iniciar sesión) y luego inicie sesión.
Un cuadro de diálogo muestra el mensaje del día. Los mensajes incorporados por Palo Alto Networks
se muestran en páginas separadas en el mismo cuadro de diálogo. Para navegar por las páginas, haga
clic en las flechas derecha o izquierda junto a los laterales del cuadro de diálogo, o haga clic en un
selector de página al final del cuadro de diálogo.
3. (Opcional) Puede seleccionar Do not show again (No volver a mostrar) para los mensajes que
configuró y para cualquier mensaje que Palo Alto Network haya integrado.
4. Seleccione Close (Cerrar) para cerrar el cuadro de diálogo de mensaje del día para acceder a la
interfaz web.
Los banners de encabezado y al pie aparecen en cada página de interfaz web con el texto y los
colores que usted configuró. El nuevo logotipo que usted seleccionó para la interfaz web aparece
debajo del banner del encabezado.
STEP 1 | Visualice los indicadores de actividad de inicio de sesión para controlar la actividad reciente de
su cuenta.
1. Inicie sesión en la interfaz web de su cortafuegos o servidor de gestión de Panorama.
2. Visualice los detalles del último inicio de sesión ubicados en el extremo inferior izquierdo de la
ventana y verifique que la marca de tiempo corresponda a su último inicio de sesión.
3. Busca un símbolo de precaución a la derecha de la información de hora del último inicio de sesión
para conocer los intentos erróneos de inicio de sesión.
El indicador de inicio de sesión erróneo aparece si se produjeron uno o más intentos erróneos de
inicio de sesión usando su cuenta desde el último inicio de sesión correcto.
1. Si ve el símbolo de precaución, mueva el puntero sobre él para que aparezca la cantidad de
intentos de inicio de sesión erróneos.
2. Haga clic en el símbolo de precaución para ver el resumen de intentos de inicio de sesión
erróneos. Los detalles incluyen el nombre de la cuenta admin, el motivo del error al iniciar sesión,
la dirección IP de origen y la fecha y hora.
STEP 2 | Encuentre los hosts que intentan constantemente iniciar sesión en su cortafuegos o servidor de
gestión de Panorama.
1. Haga clic en el símbolo de precaución por inicio de sesión erróneo para ver el resumen de intentos de
inicio de sesión erróneos.
2. Encuentre y registre la dirección IP de origen del host que intentó iniciar sesión. Por ejemplo, la
siguiente figura muestra los intentos de inicio de sesión erróneos de la dirección IP 192.168.2.10.
Aplique las siguientes prácticas recomendadas para prevenir ataques de fuerza bruta
en cuentas con privilegios.
• Limite la cantidad de intentos erróneos permitidos antes de que el cortafuegos
bloquee una cuenta con privilegios configurando la cantidad de intentos fallidos
y el tiempo de bloqueo (min) en el perfil de autenticación o en la configuración
de autenticación para la interfaz de gestión (Device [Dispositivo] > Setup
[Configuración] > Management [Gestión] > Authentication Settings [Configuración
de autenticación]).
• Uso de los perfiles de gestión de interfaz para restringir el acceso.
• Aplique contraseñas complejas para las cuentas con privilegios.
También puede visualizar los logs del sistema para controlar los eventos del sistema
en el cortafuegos o visualizar los logs de configuración para controlar los cambios de
configuración del cortafuegos.
STEP 2 | Seleccione Show (Mostrar) para mostrar solo tareas Running (En curso) o seleccione All (Todas)
para mostrar todas las tareas (opción por defecto). O bien, filtre las tareas según el tipo:
• Jobs (Trabajos): confirmaciones iniciadas por el administrador, confirmaciones iniciadas por el
cortafuegos y descargas e instalaciones de software o contenido.
• Reports (Informes): informes programados.
• Log Requests (Solicitudes de log): las consultas de logs que activa al acceder a Dashboard (Panel) o a
una página de Monitor (Supervisor).
Las operaciones de confirmar, validar, previsualizar, guardar y revertir se aplican solo a los
cambios realizados después de la última confirmación. Para restaurar las configuraciones al
estado en que estaban antes de la última confirmación, debe cargar una configuración con
copia de respaldo previa.
Para evitar que varios administradores realicen cambios de configuración durante sesiones
concurrentes, consulte Gestión de bloqueos para restringir cambios de configuración.
STEP 1 | Configure el alcance de los cambios de configuración que confirmará, validará o previsualizará.
1. Haga clic en Commit (Confirmar) en la parte superior de la interfaz web.
2. Seleccione una de las siguientes opciones:
• Commit All Changes (Confirmar todos los cambios) (predeterminada): se aplica a todos
los cambios para los cuales usted posee privilegios administrativos. Usted no puede filtrar
manualmente el alcance de la confirmación cuando selecciona esta opción. En lugar de eso, la
función de administrador asignada a la cuenta que utilizó para iniciar sesión determina el alcance
de la confirmación.
• Commit Changes Made By (Confirmar los cambios realizados por): le permite filtrar el alcance de
la confirmación según el administrador o ubicación. La función administrativa asignada a la cuenta
que usted utilizó para iniciar sesión determina qué cambios puede filtrar.
Para confirmar los cambios de otros administradores, la cuenta que utilizó para
iniciar sesión debe estar asignada a la función de superusuario o un perfil de rol
de administrador con el privilegio Commit For Other Admins (Confirmar para otros
administradores) habilitado.
3. (Opcional) Para filtrar el alcance de la confirmación mediante el administrador, seleccione Commit
Changes Made By (Confirmar cambios realizados por), haga clic en el enlace adyacente, seleccione
los administradores y haga clic en OK (Aceptar).
4. (Opcional) Para filtrar por ubicación, seleccione Commit Changes Made By (Confirmar cambios
realizados por) y borre los cambios que desee excluir del alcance de la confirmación.
Debido a que la vista previa se muestra en una nueva ventana del navegador, este
debe permitir ventanas emergentes. Si la ventana de vista previa no se abre, consulte la
documentación de su navegador para ver los pasos para permitir ventanas emergentes.
STEP 3 | Previsualice los ajustes individuales en los que está confirmando cambios.
Esto puede ser útil si desea conocer detalles sobre los cambios, tales como los tipos de configuraciones y
quiénes las cambiaron.
1. Haga clic en Change Summary (Cambiar el resumen).
2. (Opcional) Group By (Agrupar por) un nombre de columna (tal como el Type [Tipo] de configuración).
3. Seleccione Close (Cerrar) el cuadro de diálogo Change Summary (Cambiar resumen) para terminar de
revisar los cambios.
STEP 4 | Valide los cambios antes de confirmarlos para asegurarse de que la confirmación se realizará
correctamente.
1. Seleccione Validate Changes (Validar los cambios).
Los resultados mostrarán todos los errores y advertencias que mostraría una confirmación real.
2. Resuelva los errores que los resultados de la validación identifican.
Para ver los detalles sobre las confirmaciones pendientes (que aún puede cancelar), en
curso, completadas o fallidas, consulte Gestionar y supervisar las tareas administrativas.
• Inicie la búsqueda global haciendo clic en el icono Search (Buscar) que se encuentra en la
esquina superior derecha de la interfaz web.
Por ejemplo, haga clic en Global Find (Búsqueda global) en una zona denominada l3-vlan-trust para
buscar la configuración candidata para cada ubicación donde se haga referencia a la zona. La captura de
pantalla siguiente muestra los resultados de búsqueda de la zona l3-vlan-trust:
Sugerencias de búsqueda:
• Si inicia una búsqueda en un cortafuegos con varios sistemas virtuales habilitados o si los Tipos de
funciones administrativas personalizados están definidos, la búsqueda global solamente devolverá
resultados de las áreas del cortafuegos para las que el administrador tenga permisos. Lo mismo ocurre
con los grupos de dispositivos de Panorama.
• Los espacios de los términos de búsqueda se tratan como operaciones AND. Por ejemplo, si busca
política corporativa, los resultados de la búsqueda incluirán casos en los que tanto la palabra
política como la palabra corporativa existen en la configuración.
• Para encontrar una frase exacta, indíquela entre comillas.
El cortafuegos coloca en cola las solicitudes de confirmación y las lleva a cabo en el orden
en que los administradores las hayan iniciado. Para obtener información detallada, consulte
Confirmación, validación y previsualización de los cambios de configuración del cortafuegos.
Para ver el estado de las confirmaciones en cola, consulte Gestión y supervisión de tareas
administrativas.
No es necesario que guarde una copia de seguridad de la configuración para revertir los
cambios realizados desde la última confirmación o reinicio; simplemente seleccione Config >
Revert Changes (Revertir cambios) (consulte Reversión de los cambios de configuración del
cortafuegos).
Cuando edita un ajuste y hace clic en OK (Aceptar), el cortafuegos actualiza la configuración
candidata, pero no guarda la instantánea de la copia de seguridad.
Además, el guardar los cambios no los activa. Para activar los cambios, realice una
confirmación (consulte Confirmación, validación y previsualización de los cambios de
configuración del cortafuegos).
Palo Alto Networks le recomienda crear la copia de seguridad de cualquier configuración
importante en un host externo al cortafuegos.
Los privilegios que controlan las operaciones de confirmación también controlan las
operaciones de reversión.
2. Seleccione Config > Revert Changes (Revertir cambios) en la parte superior de la interfaz web.
3. Seleccione Revert Changes Made By (Revertir cambios realizados por).
4. Para filtrar el alcance de la reversión por administrador, haga clic en <administrator-name>,
seleccione los administradores y haga clic en OK (Aceptar).
5. Para filtrar el alcance de la reversión por ubicación, borre las ubicaciones que desee excluir.
6. Seleccione Revert (Revertir) para revertir los cambios.
• Puede revertir los ajustes a una configuración en ejecución o candidata que haya exportado
previamente a un host externo.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones), haga clic
en Import named configuration snapshot (Importar instantánea de configuración con nombre),
seleccione Browse para buscar el archivo de configuración en el host externo y haga clic en OK
(Aceptar).
2. Haga clic en Load named configuration snapshot (Cargar instantánea de configuración con nombre),
seleccione el Name (Nombre) del archivo de configuración que acaba de importar, y haga clic en OK
(Aceptar).
3. (Opcional) Haga clic en Commit (Confirmar) para sobrescribir la configuración en ejecución con la
instantánea que acaba de importar.
Es recomendable que cree una cuenta administrativa diferente para cada persona que
necesite acceder a las funciones de administración o informes del cortafuegos. Esto le
permite proteger mejor el cortafuegos de una configuración no autorizada y realizar el
logging de las acciones de cada uno de los administradores individuales.
Administrador del sistema virtual Acceso completo a un sistema virtual (virtual system, vsys)
especifico en el cortafuegos.
Administrador del sistema virtual Acceso de solo lectura a un sistema virtual (virtual system, vsys)
(solo lectura) especifico en el cortafuegos.
Administrador de dispositivo (solo Acceso de solo lectura a todos los ajustes del cortafuegos,
lectura) excepto a los perfiles de contraseña (sin acceso) y a las cuentas del
administrador (solo está visible la cuenta con sesión iniciada).
STEP 1 | Seleccione Device (Dispositivo) > Admin Roles (Funciones de administración) y haga clic en
Add (Añadir).
STEP 3 | Para el entorno de la función en Role (Función), seleccione Device (Dispositivo) o Virtual
System (Sistema virtual).
STEP 4 | En las pestañas Web UI (Interfaz web) y XML API (API de XML), haga clic en el icono de cada
área funcional para alternar al ajuste deseado: Enable (Habilitar), Read Only (Solo lectura) o
Disable (Deshabilitar). Si desea información detallada de las opciones de Web UI (Interfaz web),
consulte los Privilegios de acceso a la interfaz web.
STEP 5 | Seleccione la pestaña Command Line (Línea de comando) y seleccione una opción de acceso al
CLI. El ámbito de Role (Función) controla las opciones disponibles:
• Función Device (Dispositivo): superuser, superreader, deviceadmin, devicereader o None.
• Función Virtual System (Sistema virtual): vsysadmin, vsysreader o None.
Autenticación administrativa
Puede configurar los siguientes tipos de autenticación y autorización (asignación de dominio de función y
acceso) para los administradores del cortafuegos:
STEP 1 | Seleccione Device (Dispositivo) > Administrators (Administradores) y Add (Añadir) para añadir
una cuenta.
STEP 5 | (Opcional) Seleccione un Password Profile (Perfil de contraseña) para administradores que el
cortafuegos autentica localmente sin una base de datos de usuario local. Si desea información
detallada, consulte Definición de perfiles de contraseña.
STEP 1 | (Solo autenticación externa) Permita que el cortafuegos se conecte a un servidor externo
para autenticar a los administradores.
Configure un perfil de servidor:
• Añada un perfil de servidor RADIUS.
• Si el cortafuegos se integra con un servicio de autenticación multifactor (MFA) mediante RADIUS,
debe añadir un perfil de servidor de RADIUS. En este caso, el servicio de MFA proporciona todos los
factores de autenticación (desafíos). Si el cortafuegos se integra con un servicio de MFA mediante
una API de proveedor, puede utilizar un perfil de servidor de RADIUS para el primer factor, pero se
requieren perfiles de servidor de MFA para los factores adicionales.
• Añada un perfil de servidor de MFA.
• Añada un perfil de servidor TACACS+.
• Añadir un perfil de servidor SAML IdP. No puede combinar el inicio de sesión único (SSO) de
Kerberos con SSO SAML; puede utilizar solo un tipo de servicio de SSO.
• Añada un perfil de servidor Kerberos.
• Añada un perfil de servidor LDAP
STEP 2 | (Solo autenticación de base de datos local) Configure una base de datos de usuarios local
en el cortafuegos.
1. Añada la cuenta de usuario a la base de datos local.
2. (Opcional) Añada el grupo de usuarios a la base de datos local.
STEP 3 | Configure el cortafuegos para usar el perfil de certificados para autenticar a los
administradores.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y edite la
configuración de autenticación.
2. Seleccione el Certificate Profile (Perfil de certificado) que creó para autenticar a los administradores
y haga clic en OK (Aceptar).
STEP 4 | Configure las cuentas de administrador para usar la autenticación de certificado cliente.
Para cada administrador que accederá a la interfaz web del cortafuegos, realice la Configuración de una
cuenta administrativa de cortafuegos y seleccione Use only client certificate authentication (Utilizar
solo autenticación con certificado de cliente).
Si ya ha implementado certificados de cliente que ha generado su CA empresarial, continúe con el paso
8. De lo contrario, diríjase al paso 5.
STEP 7 | Importe el certificado de cliente en el sistema cliente de cada administrador que vaya a acceder
a la interfaz web.
Consulte la documentación de su navegador web.
STEP 1 | Use una herramienta de generación de claves SSH para crear un par de claves asimétrico en el
sistema cliente del administrador.
Los formatos de clave admitidos son IETF SECSH y Open SSH. Los algoritmos admitidos son DSA (1024
bits) y RSA (768-4096 bits).
Para que los comandos generen un par de claves, consulte la documentación de cliente SSH.
La clave pública y la privada son archivos distintos. Guarde ambos en una ubicación a la que pueda
acceder el cortafuegos. Para una mayor seguridad, introduzca una frase de contraseña para cifrar la clave
privada. El cortafuegos solicita al administrador la frase de contraseña durante el inicio de sesión.
STEP 2 | Configure la cuenta del administrador para usar la autenticación de clave pública.
1. Configuración de una cuenta administrativa del cortafuegos.
• Configure el método de autenticación que deberá utilizarse si falla la autenticación de clave
SSH. Si ha configurado un Authentication Profile (Perfil de autenticación) para el administrador,
selecciónelo en la lista desplegable. Si selecciona None (Ninguno), deberá introducir una
contraseña en Password (Contraseña) y después repetirla en Confirm Password (Confirmar
contraseña).
• Seleccione Use Public Key Authentication (Utilizar autenticación de clave pública) (SSH), luego,
Import Key (Importar clave), Browse (Explorar) para buscar la clave pública que acaba de generar,
y haga clic en OK (Aceptar).
2. Haga clic en Commit (Confirmar) para compilar los cambios.
STEP 3 | Configure el cliente SSH para usar la clave privada para autenticarse en el cortafuegos.
Realice esta tarea en el sistema cliente del administrador. Para conocer los pasos, consulte la
documentación de su cliente SSH.
STEP 4 | Compruebe que el administrador puede acceder al CLI del cortafuegos usando la autenticación
de clave SSH.
1. Use un navegador en el sistema cliente del administrador para ir a la dirección IP del cortafuegos.
2. Inicie sesión en el CLI del cortafuegos como administrador. Después de escribir un nombre de
usuario, verá la siguiente salida (el valor de clave es un ejemplo):
Las funciones de grupo de dispositivos y plantilla pueden ver los datos de logs únicamente
para los grupos de dispositivos que están en dominios de acceso asignados a esas
funciones.
Captura de Especifica si el administrador puede Cortafuegos: Yes (sí) Yes Yes Yes
paquetes ver capturas de paquetes (packet (sí) (sí) (sí)
Panorama: No
captures, pcaps) en la pestaña
Monitor (Supervisar). Recuerde Plantilla/grupo de
que las capturas de paquetes son dispositivos: No
datos de flujo sin procesar y, por lo
tanto, pueden contener direcciones
IP de usuarios. Si deshabilita los
privilegios Show Full IP Addresses
Lista de IP Especifica si el administrador puede Cortafuegos: Yes (sí) Yes Yes Yes
bloqueadas ver la lista de bloqueo (habilitada o (sí) (sí) (sí)
Panorama: en Context
solo lectura) y eliminar las entradas
Switch UI: Yes (sí)
de la lista (habilitada). Si deshabilita
el ajuste, el administrador no podrá Plantilla: Yes (sí)
ver ni eliminar las entradas de la
lista de bloqueo.
Programador Especifica si el administrador puede Cortafuegos: Yes (sí) Yes Yes Yes
de correo programar grupos de informes (sí) (sí) (sí)
Panorama: Yes (sí)
electrónico para correo electrónico. Como
los informes generados que se Plantilla/grupo de
envían por correo electrónico dispositivos: Yes (sí)
pueden contener datos de
usuario confidenciales que no
se eliminan al deshabilitar la
opción Privacy (Privacidad) >
Show Full IP Addresses (Mostrar
direcciones IP completas) o
la opción Show User Names
In Logs And Reports (Mostrar
nombres de usuario en logs e
informes), y debido a que pueden
mostrar datos de logs a los que
el administrador no tiene acceso,
deberá deshabilitar la opción Email
Scheduler (Programador de correo
electrónico) si tiene requisitos de
privacidad del usuario.
Los informes
programados para
ejecutarse en lugar
de ejecutarse a
petición mostrarán
la dirección IP e
información de
usuario. En este
caso, asegúrese
de restringir el
acceso a las
áreas de informe
correspondientes.
Además, la
función de informe
personalizado
no restringe la
capacidad de
generar informes
que contengan
datos de log
incluidos en logs
que estén excluidos
de la función de
administrador.
Log de URL Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes
crear un informe personalizado que (sí) (sí)
Panorama: Yes (sí)
incluya datos de los logs de filtrado
de URL. Plantilla/grupo de
dispositivos: Yes (sí)
Seguridad Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
administrador vea, añada y/o elimine reglas
de seguridad. Establezca el privilegio como
de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de
reglas de seguridad, deshabilite este privilegio.
NAT Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
administrador vea, añada y/o elimine reglas
de NAT. Establezca el privilegio como de
solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de
reglas NAT, deshabilite este privilegio.
Políticas de calidad Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
del servicio (QoS) administrador vea, añada y/o elimine reglas
de QoS. Establezca el privilegio como de solo
lectura si desea que el administrador pueda
ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de
reglas QoS, deshabilite este privilegio.
Reenvío basado en Active este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
políticas administrador visualice, añada o elimine
las reglas de reenvío basado en políticas
(Policy-Based Forwarding, PBF). Establezca
el privilegio como de solo lectura si desea
que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que el
administrador vea la base de reglas PBF,
deshabilite este privilegio.
Descifrado Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
administrador vea, añada y/o elimine reglas
de descripción. Establezca el privilegio como
de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas.
Para impedir que el administrador vea la base
de reglas de descripción, deshabilite este
privilegio.
Inspección de túnel Habilite este privilegio para permitir que Yes (sí) Yes (sí) Yes (sí)
el administrador vea, añada y/o elimine
reglas de inspección de túnel. Establezca
el privilegio como de solo lectura si desea
que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que
el administrador vea la base de reglas de
inspección de túnel, deshabilite este privilegio.
Cancelación de Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
aplicación administrador vea, añada y/o elimine reglas
de política de cancelación de aplicación.
Establezca el privilegio como de solo lectura
si desea que el administrador pueda ver las
reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de
cancelación de aplicación, deshabilite este
privilegio.
Autenticación Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
administrador vea, añada y/o elimine reglas
de política de autenticación. Establezca
el privilegio como de solo lectura si desea
que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que
el administrador vea la base de reglas de
autenticación, deshabilite este privilegio.
Protección DoS Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
administrador vea, añada y/o elimine reglas de
protección DoS. Establezca el privilegio como
de solo lectura si desea que el administrador
Direcciones Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de direcciones para su uso
en una política de seguridad.
Grupos de Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
direcciones o eliminar objetos de grupos de direcciones
para su uso en una política de seguridad.
Regiones Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de regiones para su uso en
una política de seguridad, de descifrado o DoS.
Aplicaciones Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de aplicaciones para su uso
en una política.
Grupos de Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
aplicaciones o eliminar objetos de grupo de aplicaciones
para su uso en una política.
Filtros de Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
aplicación añadir o eliminar filtros de aplicación para la
simplificación de búsquedas repetidas.
Servicios Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de servicio para su uso en
Grupos de servicios Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de grupos de servicio para
su uso en una política de seguridad.
Etiquetas Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar etiquetas que se hayan definido en
el cortafuegos.
Objetos HIP Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos HIP, que se utilizan para
definir perfiles HIP. Los objetos HIP también
generan logs de coincidencias HIP.
Aplicaciones sin Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
cliente añadir, modificar o eliminar aplicaciones de
VPN sin cliente de GlobalProtect.
Grupos de Especifica si el administrador puede Yes (sí) Yes (sí) Yes (sí)
aplicaciones sin ver, añadir, modificar o eliminar grupos
cliente de aplicaciones de VPN sin cliente de
GlobalProtect.
Perfiles de HIP Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles HIP para su uso en una
política de seguridad y/o para generar logs de
coincidencias HIP.
Listas dinámicas Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
externas o eliminar listas de bloqueos dinámicos para su
uso en una política de seguridad.
Patrones de datos Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir o eliminar firmas de patrones de datos
personalizadas para su uso en la creación de
perfiles de protección contra vulnerabilidades
personalizados.
Spyware Especifica si el administrador puede Yes (sí) Yes (sí) Yes (sí)
ver, añadir o eliminar firmas de spyware
personalizadas para su uso en la creación de
perfiles personalizados de protección contra
vulnerabilidades.
Vulnerabilidad Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir o eliminar firmas de vulnerabilidad
personalizadas para su uso en la creación de
perfiles personalizados de protección contra
vulnerabilidades.
Categoría de URL Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar categorías de URL personalizadas
para su uso en una política.
Antivirus Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de antivirus.
Antispyware Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de antivirus.
Protección contra Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
vulnerabilidades añadir o eliminar perfiles de protección contra
vulnerabilidades.
Filtrado de URL Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de filtrado de URL.
Bloqueo de archivo Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de bloqueo de archivos.
Análisis de Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
WildFire o eliminar perfiles de análisis de WildFire.
Filtrado de datos Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de filtrado de datos.
Protección DoS Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de protección DoS.
Grupos de perfiles Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
de seguridad o eliminar grupos de perfiles de seguridad.
Reenvío de logs Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de reenvío de logs.
Autenticación Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir o eliminar objetos de aplicación de
autenticación.
Perfil de descifrado Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de descifrado.
Programaciones Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar programaciones para limitar una
política de seguridad a una fecha y/o intervalo
de tiempo específico.
Interfaces Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar configuraciones de interfaces.
Zonas Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar zonas.
vlans Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar VLAN.
Cables virtuales Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar cables virtuales.
Enrutadores Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
virtuales añadir, modificar o eliminar enrutadores
virtuales.
Túneles IPSec Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir, modificar o eliminar configuraciones de
túneles de IPSec.
DHCP Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir, modificar o eliminar configuraciones de
servidor DHCP y retransmisión DHCP.
Proxy DNS Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir, modificar o eliminar configuraciones de
proxy DNS.
GlobalProtect Especifica si el administrador puede ver, añadir Yes (sí) No Yes (sí)
o modificar configuraciones de portal y puerta
de enlace de GlobalProtect. Puede deshabilitar
el acceso a las funciones de GlobalProtect por
completo, o bien puede habilitar el privilegio
GlobalProtect y, a continuación, restringir la
función a las áreas de configuración del portal
o del puerta de enlace.
Portales Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir, modificar o eliminar configuraciones de
portal de GlobalProtect.
Puertas de enlace Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir, modificar o eliminar configuraciones de
puerta de enlace de GlobalProtect.
MDM Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir, modificar o eliminar configuraciones de
servidor MDM de GlobalProtect.
Lista de bloqueo de Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
dispositivos añadir, modificar o eliminar listas de bloqueo
de dispositivos.
Aplicaciones sin Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
cliente añadir, modificar o eliminar aplicaciones de
VPN sin cliente de GlobalProtect.
Grupos de Especifica si el administrador puede Yes (sí) Yes (sí) Yes (sí)
aplicaciones sin ver, añadir, modificar o eliminar grupos
cliente de aplicaciones de VPN sin cliente de
GlobalProtect.
Políticas de calidad Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
del servicio (QoS) añadir, modificar o eliminar configuraciones de
QoS.
LLDP Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir, modificar o eliminar configuraciones de
LLDP.
Perfiles de red Establece el estado predeterminado para Yes (sí) No Yes (sí)
habilitar o deshabilitar para todos los ajustes
de red descritos a continuación.
Criptográfico Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
de IPSec de (Perfiles de red) > GlobalProtect IPSec Crypto
GlobalProtect (Criptográfico de IPSec de GlobalProtect).
Si deshabilita este privilegio, el administrador
no podrá ver el nodo o configurar algoritmos
para la autenticación y cifrado en túneles
VPN entre una puerta de enlace y clientes de
GlobalProtect.
Si establece este privilegio como de solo
lectura, el administrador podrá ver los perfiles
de criptográficos IPSec de GlobalProtect pero
no podrá añadirlo ni editarlos.
Puertas de enlace Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
de IKE (Perfiles de red) > IKE Gateways (Puertas de
enlace de IKE). Si deshabilita este privilegio, el
administrador no verá el nodo IKE Gateways
(Puertas de enlace de IKE) ni definirá puertas
de enlace que incluyan la información de
configuración necesaria para realizar la
negociación del protocolo IKE con la puerta de
enlace del peer.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver las puertas de
enlace de IKE actualmente configuradas, pero
no podrá añadir ni editar puertas de enlace.
Criptográfico de Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
IPSec (Perfiles de red) > IPSec Crypto (Criptográfico
de IPSec). Si deshabilita este privilegio, el
administrador no verá el nodo Network
Profiles (Perfiles de red) > IPSec Crypto
(Criptográfico de IPSec) ni especificará
Criptográfico de Controla el modo en que los dispositivos Yes (sí) Yes (sí) Yes (sí)
IKE intercambian información para garantizar
una comunicación segura. Especifique los
protocolos y algoritmos para la identificación,
autenticación y cifrado en túneles de VPN
basándose en la negociación de SA de IPSec
(IKEv1 de fase 1).
Monitor Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
(Supervisar) (Perfiles de red) > Monitor (Supervisar). Si
deshabilita este privilegio, el administrador
no verá el nodo Network Profiles (Perfiles de
red) > Monitor (Supervisar) ni podrá crear o
editar un perfil de supervisión que se utilice
para supervisar túneles de IPSec y supervisar
un dispositivo de siguiente salto para reglas de
reenvío basadas en políticas (PBF).
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración de perfil de supervisión
actualmente definida, pero no podrá añadir ni
editar una configuración.
Gestión de interfaz Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de red) > Interface Mgmt (Gestión
de interfaz). Si deshabilita este privilegio,
el administrador no verá el nodo Network
Profiles (Perfiles de red) > Interface Mgmt
(Gestión de interfaz) ni podrá especificar los
protocolos que se utilizan para gestionar el
cortafuegos.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración de perfil de gestión de interfaz
actualmente definida, pero no podrá añadir ni
editar una configuración.
Protección de Controla el acceso al nodo Network Yes (sí) Yes (sí) Yes (sí)
zonas Profiles (Perfiles de red) > Zone Protection
(Protección de zona). Si deshabilita este
privilegio, el administrador no verá el nodo
Perfil de QoS Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de red) > QoS. Si deshabilita este
privilegio, el administrador no verá el nodo
Network Profiles (Perfiles de red) > QoS
ni podrá configurar un perfil de QoS que
determine cómo se tratan las clases de tráfico
de QoS.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración de perfil de QoS actualmente
definida, pero no podrá añadir ni editar una
configuración.
Perfil de LLDP Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de red) > LLDP. Si deshabilita este
privilegio, el administrador no verá el nodo
Network Profiles (Perfiles de red) > LLDP ni
podrá configurar un perfil LLDP que controle
si las interfaces del cortafuegos pueden
participar en el protocolo de detección de
nivel de enlace.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración de perfil de LLDP actualmente
definida, pero no podrá añadir ni editar una
configuración.
Perfil BFD Controla el acceso al nodo Network Yes (sí) Yes (sí) Yes (sí)
Profiles (Perfiles de red) > BFD Profile
(Perfil BFD). Si deshabilita este privilegio,
el administrador no verá el nodo Network
Profiles (Perfiles de red) > BFD Profile (Perfil
BFD) ni podrá configurar un perfil BFD. Un
perfil de detección de reenvío bidireccional
(Bidirectional Forwarding Detection, BFD)
le permite configurar los ajustes BFD para
aplicar a una o más rutas o protocolos de
enrutamiento. Por lo tanto, BFD detecta un
Configuración Controla el acceso al nodo Setup Yes (sí) Yes (sí) Yes (sí)
(Configuración). Si deshabilita este privilegio,
el administrador no verá el nodo Setup
(Configuración) ni tendrá acceso a información
de configuración de todo el cortafuegos, como
información de configuración de gestión,
operaciones, servicio, Content-ID, WildFire o
sesión.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración actual, pero no podrá realizar
ningún cambio.
Equipo de gestión Controla el acceso al nodo Management Yes (sí) Yes (sí) Yes (sí)
(Gestión). Si deshabilita este privilegio, el
administrador no podrá configurar los ajustes
tales como el nombre de host, el dominio, la
zona horaria, la autenticación, la creación de
logs e informes, las conexiones a Panorama,
el banner, los mensajes y la configuración de
complejidad de contraseña, entre otros.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración actual, pero no podrá realizar
ningún cambio.
Operaciones Controla el acceso a los nodos Operations Yes (sí) Yes (sí) Yes (sí)
(Operaciones) y Telemetry and Threat
Intelligence (Información de telemetría y
amenazas). Si deshabilita este privilegio, el
administrador no podrá realizar las siguientes
tareas:
Services Controla el acceso al nodo Services (Servicios). Yes (sí) Yes (sí) Yes (sí)
Si deshabilita este privilegio, el administrador
no podrá configurar servicios para los
servidores DNS, un servidor de actualización,
un servidor proxy o servidores NTP, ni
configurar rutas de servicio.
Content-ID Controla el acceso al nodo Content-ID. Si Yes (sí) Yes (sí) Yes (sí)
deshabilita este privilegio, el administrador no
podrá configurar el filtrado URL o Content-ID.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración actual, pero no podrá realizar
ningún cambio.
WildFire Controla el acceso al nodo WildFire. Si Yes (sí) Yes (sí) Yes (sí)
deshabilita este privilegio, el administrador no
podrá configurar los ajustes de WildFire.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración actual, pero no podrá realizar
ningún cambio.
Sesión Controla el acceso al nodo Session (Sesión). Yes (sí) Yes (sí) Yes (sí)
Si deshabilita este privilegio, el administrador
no podrá configurar los ajustes de sesión ni
los tiempos de espera para TCP, UDP o ICMP,
ni configurar el cifrado o los ajustes de sesión
VPN.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración actual, pero no podrá realizar
ningún cambio.
HSM Controla el acceso al nodo HSM. Si deshabilita Yes (sí) Yes (sí) Yes (sí)
este privilegio, el administrador no podrá
configurar un módulo de seguridad de
hardware.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver la
configuración actual, pero no podrá realizar
ningún cambio.
High Availability Controla el acceso al nodo High Availability Yes (sí) Yes (sí) Yes (sí)
(Alta disponibilidad). Si deshabilita este
privilegio, el administrador no verá el nodo
High Availability (Alta disponibilidad) ni tendrá
acceso a información de configuración de
alta disponibilidad de todo el cortafuegos,
como información de configuración general o
supervisión de enlaces y rutas.
Auditoría de Controla el acceso al nodo Config Audit Yes (sí) No Yes (sí)
configuraciones (Auditoría de configuraciones). Si deshabilita
este privilegio, el administrador no verá
el nodo Config Audit (Auditoría de
configuraciones) ni tendrá acceso a la
información de configuración de todo el
cortafuegos.
Perfil de Controla el acceso al nodo Authentication Yes (sí) Yes (sí) Yes (sí)
autenticación Profile (Perfil de autenticación). Si
deshabilita este privilegio, el administrador
no verá el nodo Authentication Profile
(Perfil de autenticación) ni podrá crear
o editar perfiles de autenticación que
Secuencia de Controla el acceso al nodo Secuencia de Yes (sí) Yes (sí) Yes (sí)
autenticación autenticación. Si deshabilita este privilegio,
el administrador no verá el nodo Secuencia
de autenticación ni podrá crear o editar una
secuencia de autenticación.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
información de Authentication Profile (Perfil
de autenticación), pero no podrá crear ni
editar una secuencia de autenticación.
Virtual Systems Controla el acceso al nodo Virtual Systems Yes (sí) Yes (sí) Yes (sí)
(Sistemas virtuales). Si deshabilita este
privilegio, el administrador no verá ni podrá
configurar sistemas virtuales.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver los sistemas
virtuales actualmente configurados, pero no
podrá añadir ni editar una configuración.
Puertas de enlace Controla el acceso al nodo Shared Gateways Yes (sí) Yes (sí) Yes (sí)
compartidas (Puertas de enlace compartidas). Las puertas
de enlace compartidas permiten que los
sistemas virtuales compartan una interfaz
común para las comunicaciones externas.
Si deshabilita este privilegio, el administrador
no verá ni podrá configurar puertas de enlace
compartidas.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver las puertas
de enlace compartidos actualmente
configurados, pero no podrá añadir ni editar
una configuración.
Identificación de Controla el acceso al nodo Identificación Yes (sí) Yes (sí) Yes (sí)
usuarios de usuarios. Si deshabilita este privilegio,
el administrador no verá el nodo User
Identification (Identificación de usuario)
ni tendrá acceso a la información de
configuración de identificación de usuarios
de todo el cortafuegos, como asignación de
usuario, seguridad de conexión, agentes de
User-ID, agentes de servicios de terminal,
configuración de asignación de grupo o
configuración de portal cautivo.
Si establece este privilegio como de
solo lectura, el administrador podrá ver
información de configuración del cortafuegos,
pero no tendrá permiso para realizar ningún
procedimiento de configuración.
Origen de Controla el acceso al nodo VM Information Yes (sí) Yes (sí) Yes (sí)
información de VM Source (Origen de información de VM) que
le permite configurar el agente de User-ID
de Windows/cortafuegos que recopilará
el inventario de VM automáticamente. Si
deshabilita este privilegio, el administrador no
verá el nodo VM Information Source (Origen
de información de VM).
Si establece este privilegio como de solo
lectura, el administrador podrá ver los orígenes
de información de VM configurados, pero no
podrá añadir, editar ni eliminar ningún origen.
Certificados Controla el acceso al nodo Certificates Yes (sí) Yes (sí) Yes (sí)
(Certificados). Si deshabilita este privilegio,
el administrador no verá el nodo Certificates
(Certificados) ni podrá configurar o acceder
a información relativa a certificados de
dispositivos o entidades de certificación de
confianza predeterminadas.
Si establece este privilegio como de
solo lectura, el administrador podrá ver
información de configuración de certificados
Perfil del Controla el acceso al nodo Certificate Profile Yes (sí) Yes (sí) Yes (sí)
certificado (Perfil del certificado). Si deshabilita este
privilegio, el administrador no verá el nodo
Certificate Profile (Perfil del certificado) ni
podrá crear perfiles del certificado.
Si establece este privilegio como de solo
lectura, el administrador podrá ver perfiles
del certificado actualmente configurados para
el cortafuegos, pero no tendrá permiso para
crear o editar un perfil del certificado.
OCSP responder Controla el acceso al nodo OCSP responder. Si Yes (sí) Yes (sí) Yes (sí)
deshabilita este privilegio, el administrador no
verá el nodo OCSP responder (Respondedor
OCSP) ni podrá definir un servidor que
se utilizará para comprobar el estado de
revocación de los certificados emitidos por el
cortafuegos.
Si establece este privilegio como de
solo lectura, el administrador podrá ver
la configuración de OCSP Responder
(Respondedor OCSP) del cortafuegos, pero
no tendrá permiso para crear o editar una
configuración de respondedor OCSP.
Perfil de servicio Controla el acceso al nodo SSL/TLS Service Yes (sí) Yes (sí) Yes (sí)
SSL/TLS Profile (Perfil de servicio SSL/TLS).
Si deshabilita este privilegio, el administrador
no verá el nodo o configurará un perfil que
especifica una versión o rango de versiones de
protocolo y un certificado para los servicios de
cortafuego que usen SSL/TLS.
Si establece este privilegio como de solo
lectura, el administrador podrá ver los perfiles
de servicio SSL/TLS existentes, pero no puede
crearlos ni editarlos.
SCEP Controla el acceso al nodo SCEP. Si deshabilita Yes (sí) Yes (sí) Yes (sí)
este privilegio, el administrador no verá el
nodo ni podrá definir un perfil que especifique
los ajustes de protocolo de inscripción
de certificados simple (simple certificate
enrollment protocol, SCEP) para emitir
certificados de dispositivo únicos.
Exclusión de Controla el acceso al nodo SSL Decryption Yes (sí) Yes (sí) Yes (sí)
descifrado SSL Exclusion (Exclusiones de descifrado SSL). Si
deshabilita este privilegio, el administrador
no verá el nodo ni podrá ver las exclusiones
personalizadas de adición de cifrado SSL.
Si establece este privilegio como de solo
lectura, el administrador verá las excepciones
de cifrado SSL existentes, pero no podrá
crearlas ni editarlas.
Páginas de Controla el acceso al nodo Response Pages Yes (sí) Yes (sí) Yes (sí)
respuesta (Páginas de respuesta). Si deshabilita este
privilegio, el administrador no verá el nodo
Response Page (Páginas de respuesta) ni
podrá definir un mensaje HTML personalizado
que se descarga y se visualiza en lugar de una
página web o archivo solicitado.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
configuración de Response Page (Página de
respuesta) del cortafuegos, pero no tendrá
permiso para crear o editar la configuración de
una página de respuesta.
Sistema Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > System (Sistema). Si
deshabilita este privilegio, el administrador no
podrá ver el nodo Log Settings (Configuración
de log) > System (Sistema) ni especificar los
logs del sistema que el cortafuegos reenvía a
Panorama o a los servicios externos (como un
servidor syslog).
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
configuración de Log Settings (Configuración
de log) > System (Sistema) del cortafuegos,
pero no tendrá permiso para agregar, editar o
eliminar la configuración.
Configuración Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > Configuration
User-ID Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > User-ID. Si
deshabilita este privilegio, el administrador no
podrá ver el nodo Log Settings (Configuración
de log) > User-ID ni especificar los logs
de User-ID que el cortafuegos reenvía a
Panorama o a los servicios externos (como un
servidor syslog).
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
configuración de Log Settings (Configuración
de log) > User-ID del cortafuegos, pero no
tendrá permiso para agregar, editar o eliminar
la configuración.
Coincidencias HIP Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > HIP Match
(Coincidencias HIP). Si deshabilita este
privilegio, el administrador no podrá ver
el nodo Log Settings (Configuración de
log) > HIP Match (Coincidencias HIP) ni
especificar el perfil de información de host
(Host Information Profile, HIP) que coincide
con los logs que el cortafuegos reenvía a
Panorama o a los servicios externos (como
un servidor syslog). Los logs de coincidencia
HIP brindan información sobre las reglas de
la política de seguridad que se aplican a los
clientes de GlobalProtect
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
configuración de Log Settings (Configuración
de log) > HIP del cortafuegos, pero no tendrá
permiso para agregar, editar o eliminar la
configuración.
Correlación Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > Correlation
(Correlación). Si deshabilita este privilegio,
el administrador no podrá ver el nodo Log
Settings (Configuración de log) > Correlation
(Correlación) ni agregar, eliminar o modificar
la configuración de reenvío de logs de
correlación, o etiquetar direcciones IP de
origen o de destino.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
configuración de Log Settings (Configuración
de log) > Correlation (Correlación) del
cortafuegos, pero no tendrá permiso para
agregar, editar o eliminar la configuración.
Configuración de Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
alarma (Configuración de log) > Alarm Settings
(Configuración de alarma). Si deshabilita
este privilegio, el administrador no podrá
ver el nodo Log Settings (Configuración
de log) > Alarm Settings (Configuración de
alarma) ni configurar las notificaciones que
genera el cortafuegos cuando se encuentran
coincidencias con una regla (o un grupo de
reglas) de la política de seguridad de manera
repetida dentro de un período de tiempo
configurable.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
configuración de Log Settings (Configuración
de log) > Alarm Settings (Configuración
de alarma) del cortafuegos, pero no tendrá
permiso para editar la configuración.
Gestionar logs Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > Manage Logs
(Gestionar logs). Si deshabilita este privilegio,
el administrador no verá el nodo Log Settings
(Configuración de log) > Manage Logs
(Gestionar logs) ni podrá borrar los logs
indicados.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
información de Log Settings (Configuración de
log) > Manage Logs (Gestionar logs), pero no
podrá borrar ninguno de los logs.
Captura de SNMP Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > SNMP Trap (Captura
de SNMP). Si deshabilita este privilegio, el
administrador no verá el nodo Server Profiles
(Perfiles de servidor) > SNMP Trap (Captura
de SNMP) ni podrá especificar uno o más
destinos de la captura de SNMP que deben
utilizarse en las entradas de log del sistema.
Si define este privilegio como de solo lectura,
el administrador podrá ver la información de
Server Profiles (Perfiles de servidor) > SNMP
Trap Logs (Logs de captura de SNMP), pero no
podrá especificar los destinos de la captura de
SNMP.
syslog Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > Syslog. Si deshabilita
este privilegio, el administrador no verá el
nodo Server Profiles (Perfiles de servidor) >
Syslog ni podrá especificar uno o más
servidores syslog.
Si define este privilegio como de solo lectura,
el administrador podrá ver la información de
Server Profiles (Perfiles de servidor) > Syslog,
pero no podrá especificar los servidores
syslog.
EMAIL Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > Email (Correo
electrónico). Si deshabilita este privilegio,
el administrador no verá el nodo Server
Profiles (Perfiles de servidor) > Email (Correo
electrónico) ni podrá configurar un perfil
de correo electrónico que pueda utilizarse
para habilitar las notificaciones de correo
electrónico para las entradas de log del
sistema y la configuración.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
información de Server Profiles (Perfiles
de servidor) > Email (Correo electrónico),
pero no podrá configurar un perfil de correo
electrónico.
HTTP Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > HTTP. Si deshabilita
este privilegio, el administrador no verá el
nodo Server Profiles (Perfiles de servidor) >
HTTP ni podrá configurar un perfil de servidor
HTTP que pueda utilizarse para habilitar los
logs que reenvían entradas de log a destinos
HTTP.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
información de Server Profiles (Perfiles de
servidor) > HTTP, pero no podrá configurar un
perfil de servidor HTTP.
flujo de red Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > Netflow. Si deshabilita
este privilegio, el administrador no verá el
nodo Server Profiles (Perfiles de servidor) >
Netflow ni podrá definir un perfil de servidor
de NetFlow, que especifica la frecuencia
de la exportación, además de los servidores
NetFlow que recibirán los datos exportados.
Si define este privilegio como de solo lectura,
el administrador podrá ver la información
de Server Profiles (Perfiles de servidor) >
Netflow, pero no podrá definir un perfil de
Netflow.
RADIUS Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > RADIUS. Si deshabilita
este privilegio, el administrador no verá el
nodo Server Profiles (Perfiles de servidor) >
RADIUS ni podrá configurar los servidores
RADIUS que se identifican en perfiles de
autenticación.
Si define este privilegio como de solo lectura,
el administrador podrá ver la información
de Server Profiles (Perfiles de servidor) >
RADIUS, pero no podrá configurar los
servidores RADIUS.
TACACS+ Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > TACACS+.
Si deshabilita este privilegio, el administrador
no verá el nodo ni podrá configurar los
ajustes para los servidores TACACS+ a los
que se hace referencia en los perfiles de
autenticación.
LDAP: Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > LDAP. Si deshabilita
este privilegio, el administrador no verá el
nodo Server Profiles (Perfiles de servidor) >
LDAP ni podrá configurar los servidores LDAP
que se utilizarán para la autenticación con los
perfiles de autenticación.
Si define este privilegio como de solo lectura,
el administrador verá la información de Server
Profiles (Perfiles de servidor) > LDAP, pero no
podrá configurar los servidores LDAP.
Kerberos Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > Kerberos. Si
deshabilita este privilegio, el administrador
no verá el nodo Server Profiles (Perfiles de
servidor) > Kerberos ni podrá configurar
un servidor Kerberos que permite a los
usuarios autenticarse de manera nativa en un
controlador de dominios.
Si define este privilegio como de solo lectura,
el administrador podrá ver Server Profiles
(Perfiles de servidor) > Kerberos, pero no
podrá configurar los servidores Kerberos.
Proveedor de Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
identidad SAML (Perfiles de servidor) > SAML Identity
Provider (Proveedor de identidad SAML). Si
desactiva este privilegio, el administrador no
podrá ver el nodo ni configurar los perfiles
de servidor del proveedor de identidad (IdP)
SAML.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
información de Server Profiles (Perfiles
de servidor) > SAML Identity Provider
(Proveedor de identidad SAML), pero no
podrá configurar los perfiles de servidor del
IdP SAML.
Base de datos de Establece el estado predeterminado para Yes (sí) No Yes (sí)
usuario local habilitar o deshabilitar para todos los ajustes
de base de datos de usuario local descritos a
continuación.
Usuarios Controla el acceso al nodo Local User Yes (sí) Yes (sí) Yes (sí)
Database (Base de datos de usuario local) >
Users (Usuarios). Si deshabilita este privilegio,
el administrador no verá el nodo Local User
Database (Base de datos de usuario local) >
Users (Usuarios) ni configurará una base de
datos local en el cortafuegos para almacenar
información de autenticación para usuarios
con acceso remoto, administradores de
cortafuegos y usuarios del portal cautivo.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
información de Local User Database (Base
de datos de usuario local) > Users (Usuarios),
pero no podrá configurar una base de datos
local en el cortafuegos para almacenar
información de autenticación.
Grupos de usuarios Controla el acceso al nodo Local User Yes (sí) Yes (sí) Yes (sí)
Database (Base de datos de usuario local) >
Users (Usuarios). Si deshabilita este privilegio,
el administrador no verá el nodo Local User
Database (Base de datos de usuario local) >
Users (Usuarios) ni podrá añadir información
de grupos de usuarios a la base de datos local.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
información de Local User Database (Base
de datos de usuario local) > Users (Usuarios),
pero no podrá añadir información de grupos
de usuarios a la base de datos local.
Dominio de acceso Controla el acceso al nodo Access Domain Yes (sí) Yes (sí) Yes (sí)
(Dominio de acceso). Si desactiva este
privilegio, el administrador no verá el nodo
Programación de la Controla el acceso al nodo Scheduled Log Yes (sí) No Yes (sí)
exportación de logs Export (Exportación de logs programada). Si
deshabilita este privilegio, el administrador
no verá el nodo Scheduled Log Export
(Exportación de logs programada) ni podrá
programar exportaciones de logs y guardarlas
en un servidor de protocolo de transferencia
de archivos (File Transfer Protocol, FTP) en
formato CSV o utilizar copias seguras (Secure
Copy, SCP) para transferir datos de forma
segura entre el cortafuegos y un host remoto.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
información de Scheduled Log Export Profile
(Perfil de programación de la exportación de
logs), pero no podrá programar la exportación
de logs.
Software Controla el acceso al nodo Software. Si Yes (sí) Yes (sí) Yes (sí)
deshabilita este privilegio, el administrador
no verá el nodo Software, no verá las
versiones más recientes del software PAN-
OS disponibles desde Palo Alto Networks, no
leerá las notas de cada versión ni seleccionará
una versión para su descarga e instalación.
Si establece este privilegio como de solo
lectura, el administrador podrá ver la
información de Software, pero no podrá
descargar ni instalar software.
Cliente de Controla el acceso al nodo Cliente de Yes (sí) Yes (sí) Yes (sí)
GlobalProtect GlobalProtect. Si deshabilita este privilegio,
el administrador no verá el nodo Cliente
de GlobalProtect, no verá las versiones de
GlobalProtect disponibles, no descargará el
código ni activará el agente de GlobalProtect.
Si establece este privilegio como de solo
lectura, el administrador podrá ver las
versiones de GlobalProtect Client (Clientes
de GlobalProtect) disponibles, pero no podrá
descargar ni instalar el software de agente.
Actualizaciones Controla el acceso al nodo Dynamic Updates Yes (sí) Yes (sí) Yes (sí)
dinámicas (Actualizaciones dinámicas). Si deshabilita este
privilegio, el administrador no verá el nodo
Dynamic Updates (Actualizaciones dinámicas),
no podrá ver las actualizaciones más recientes,
no podrá leer las notas de versión de cada
actualización ni podrá seleccionar una
actualización para su carga e instalación.
Si establece este privilegio como de
solo lectura, el administrador podrá
ver las versiones de Dynamic Updates
(Actualizaciones dinámicas) disponibles y leer
las notas de versión, pero no podrá cargar ni
instalar el software.
Licencias Controla el acceso al nodo Licenses Yes (sí) Yes (sí) Yes (sí)
(Licencias). Si deshabilita este privilegio,
el administrador no verá el nodo Licenses
(Licencias) ni podrá ver las licencias instaladas
o las licencias activas.
Si establece este privilegio como de solo
lectura, el administrador podrá ver las Licenses
(Licencias) instaladas, pero no podrá realizar
funciones de gestión de licencias.
Soporte Controla el acceso al nodo Support (Asistencia Yes (sí) Yes (sí) Yes (sí)
técnica). Si deshabilita este privilegio, el
administrador no podrá ver el nodo Support
(Asistencia técnica), activar la asistencia
ni acceder a las alertas de producción y
seguridad de Palo Alto Networks.
Si establece este privilegio como de solo
lectura, el administrador podrá ver el nodo
Support (Asistencia técnica) y acceder a
alertas de producción y seguridad, pero no
podrá activar la asistencia técnica.
Solo los administradores con la función de
superusuario predefinida pueden utilizar
el nodo Support (Asistencia técnica) para
generar archivos de asistencia técnica, o
generar y descargar archivos de volcado de
estadísticas y de núcleo.
Clave maestra y Controla el acceso al nodo Master Key and Yes (sí) Yes (sí) Yes (sí)
diagnóstico Diagnostics (Clave maestra y diagnóstico). Si
deshabilita este privilegio, el administrador
no verá el nodo Master Key and Diagnostics
(Clave maestra y diagnóstico) ni podrá
Privacidad Establece el estado predeterminado para Yes (sí) n/c Yes (sí)
habilitar o deshabilitar para todos los ajustes
de privacidad descritos a continuación.
Mostrar Cuando la opción está deshabilitada, las Yes (sí) n/c Yes (sí)
direcciones IP direcciones IP completas obtenidas a través
completas del tráfico que pasa por el cortafuegos de
Palo Alto Networks no se muestran en logs
ni informes. En lugar de las direcciones IP
que suelen mostrarse, aparecerá la subred
relevante.
Visualización de Cuando la opción está deshabilitada, los Yes (sí) n/c Yes (sí)
los nombres de nombres de usuario obtenidos a través del
usuario en los logs tráfico que pasa por el cortafuegos de Palo
e informes Alto Networks no se muestran en logs ni
informes. Las columnas donde normalmente
aparecerían los nombres de usuario están
vacías.
Ver archivos PCAP Cuando la opción está deshabilitada, los Yes (sí) n/c Yes (sí)
archivos de captura de paquetes que suelen
estar disponibles en los logs de tráfico,
amenaza y filtrado de datos no se muestran.
Guardado parcial Cuando se encuentra deshabilitado, un Yes (sí) N/C Yes (sí)
administrador no puede guardar cambios que
cualquier administrador haya realizado en la
configuración del cortafuegos, lo que incluye
sus propios cambios.
Guardar para otros Cuando se encuentra deshabilitado, un Yes (sí) N/C Yes (sí)
administradores administrador no puede guardar cambios que
otros administradores hayan realizado en la
configuración del cortafuegos.
Validar Cuando la opción está deshabilitada, Yes (sí) N/C Yes (sí)
un administrador no puede validar una
configuración.
Global Establece el estado predeterminado para Yes (sí) n/c Yes (sí)
habilitar o deshabilitar para todos los ajustes
globales descritos a continuación. En este
Alarmas del Cuando la opción está deshabilitada, un Yes (sí) n/c Yes (sí)
sistema administrador no puede ver ni reconocer
alarmas que se generen.
Un administrador
con privilegios de
implementación de
dispositivo podrá
seguir usando
las opciones
Panorama >
Device
Deployment
(Implementación
de dispositivo)
para instalar
actualizaciones
en cortafuegos
gestionados.
Un administrador
con privilegios de
implementación de
dispositivo podrá
seguir usando
las opciones
Panorama >
Device
Deployment
(Implementación
de dispositivo)
Perfil del Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes
certificado puede ver, añadir, editar, (sí) (sí) (sí)
Plantilla/grupo de
eliminar o duplicar los perfiles de
dispositivos: No
certificados de Panorama.
Si define este privilegio como
de solo lectura, el administrador
puede visualizar los perfiles de
certificado de Panorama, pero no
gestionarlos.
Si deshabilita este privilegio,
el administrador no podrá ver
ni gestionar los perfiles de
certificados de Panorama.
Este privilegio se
aplica únicamente
a los logs de
sistema que
genera Panorama
y los recopiladores
de logs. El
privilegio Collector
Groups (Grupos
de recopiladores)
(Panorama >
Collector Groups)
controla el
reenvío de logs
de sistema que
los recopiladores
de log reciben de
los cortafuegos. El
privilegio Device
(Dispositivo) >
Log Settings
(Configuración
de log) > System
(Sistema) controla
el reenvío de
logs desde los
cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de log).
Este privilegio se
aplica únicamente
a los logs de
configuración que
genera Panorama
y los recopiladores
de logs. El
privilegio Collector
Groups (Grupos
de recopiladores)
(Panorama >
Collector Groups)
controla el reenvío
de logs de
configuración que
los recopiladores
de log reciben de
los cortafuegos. El
privilegio Device
(Dispositivo) >
Log Settings
(Configuración
de log) > Config
controla el reenvío
de logs desde
los cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de logs).
Este privilegio se
aplica únicamente
a los logs de User-
ID que genera
Panorama y los
recopiladores de
logs. El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups)
controla el
reenvío de logs
de User-ID que
los recopiladores
de log reciben de
los cortafuegos. El
privilegio Device
(Dispositivo) >
Log Settings
(Configuración
de log) > User-ID
controla el reenvío
de logs desde
los cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de logs).
El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups)
controla el
reenvío de logs
de coincidencia
HIP que los
recopiladores de
log reciben de los
cortafuegos. El
privilegio Device
(Dispositivo) >
Log Settings
(Configuración de
log) > HIP Match
(Coincidencia
de HIP) controla
el reenvío de
logs desde los
cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de logs).
El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups)
controla el
reenvío de logs
de tráfico que los
recopiladores de
log reciben de
los cortafuegos.
El privilegio
Log Forwarding
(Reenvío de
logs) (Objects
[Objetos] > Log
El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups
[Grupos de
recopiladores])
controla el
reenvío de logs
de amenaza que
los recopiladores
de log reciben de
los cortafuegos.
El privilegio
Log Forwarding
(Reenvío de
logs) (Objects
[Objetos] > Log
Forwarding
[Reenvío de
logs]) controla el
El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups
[Grupos de
recopiladores])
controla el
reenvío de logs
de WildFire que
los recopiladores
de log reciben de
los cortafuegos.
El privilegio
Log Forwarding
(Reenvío de
logs) (Objects
[Objetos] > Log
Forwarding
[Reenvío de
logs]) controla el
reenvío desde
los cortafuegos
El privilegio
Panorama
El privilegio
Panorama
> Device
Deployment
(Implementación
de dispositivo) >
Dynamic Updates
(Actualizaciones
dinámicas) controla
el acceso a las
Los privilegios
Panorama >
Software y
Panorama >
Dynamic Updates
(Actualizaciones
dinámicas)
controlan las
actualizaciones
de software
Dashboard (Panel) Controla el acceso a la pestaña Panel. Si Yes (sí) No Yes (sí)
deshabilita este privilegio, el administrador no
verá la pestaña ni tendrá acceso a ninguno de
los widgets del panel.
Privacidad Controla el acceso a los ajustes de privacidad Yes (sí) No Yes (sí)
descritos en Definición de los ajustes de
privacidad en el perfil de rol de administrador.
Commit Configura el estado por defecto (habilitado Yes (sí) No Yes (sí)
o deshabilitado) para todos los privilegios
de confirmación, envío y reversión que se
describen a continuación (Panorama, grupos
de dispositivos, plantillas, forzar valores de
plantilla, grupos de recopiladores, clústeres de
dispositivos WildFire).
Forzar valores de Este privilegio controla el acceso a la opción Yes (sí) No Yes (sí)
plantilla Force Template Values (Forzar valores de
plantilla) del cuadro de diálogo Push Scope
Selection (Selección del alcance del envío).
Global Controla el acceso a los ajustes globales Yes (sí) No Yes (sí)
(alarmas del sistema) que se describen en
Acceso detallado a los ajustes globales.
22 TCP Se usa para comunicarse desde un sistema cliente con la interfaz CLI del
cortafuegos.
123 UDP Puerto que usa el cortafuegos para las actualizaciones NTP.
443 TCP Se usa para comunicarse desde un sistema cliente con la interfaz
web del cortafuegos. Este es también el puerto en el que escucha el
cortafuegos o el agente User-ID para actualizaciones de origen de
información de VM.
Este es el único puerto que se usa para la supervisión de un entorno
AWS.
Para supervisar un entorno VMware vCenter/ESXi, el puerto de escucha
cambia de forma predeterminada a 443, aunque puede configurarse.
161 UDP Puerto que escucha el cortafuegos para las solicitudes de sondeo
(mensajes GET) del gestor SNMP.
2055 UDP Puerto predeterminado que utiliza el cortafuegos para enviar registros
de NetFlow a un recopilador de NetFlow si realiza la Configuración de
exportaciones de NetFlow, aunque esto puede configurarse.
5008 TCP Puerto que el gestor de seguridad móvil de GlobalProtect escucha para
recibir solicitudes HIP de las Gateways de GlobalProtect.
Si está usando un sistema MDM de terceros, puede configurar el
gateway para que use un puerto distinto, tal y como requiera el
proveedor de MDM.
28769 TCP Se usa para el enlace de control HA1 para una comunicación de texto
clara entre los cortafuegos de peer de HA. El enlace de HA1 es un
28260 TCP
enlace de capa 3 y requiere una dirección IP.
28 TCP Se usa para el enlace de control HA1 para una comunicación cifrada
(SSH en TCP) entre los cortafuegos de peer de HA.
28771 TCP Usado para copias de seguridad de heartbeat. Palo Alto Networks
recomienda habilitar la copia de seguridad de heartbeat en la interfaz
de MGT si usa un puerto en banda para HA1 o los enlaces de copia de
seguridad HA1.
443 TCP Se usa para comunicarse desde un sistema cliente con la interfaz
web de Panorama.
28769 (5.1 o TCP Se usa para una conectividad HA y la sincronización entre los
posterior) peers HA de Panorama usando una comunicación de texto clara.
TCP
Cualquiera de los peers puede iniciar la comunicación.
28260 (5.0 o
TCP
posterior)
49160 (5.0 o
anterior)
23000 a 23999 TCP, UDP o SSL Se usa para la comunicación de syslog entre Panorama y los
componentes de ESM de las capturas.
443 TCP Se utiliza para las comunicaciones entre los agentes y los portales
de GlobalProtect, o para los agentes y las puertas de enlace de
GlobalProtect, y para las conexiones de túnel SSL.
Las puertas de enlace de GlobalProtect también utilizan este puerto
para recopilar información del host de los agentes de GlobalProtect
y realizar comprobaciones del perfil de información del host (host
information profile, HIP).
4501 UDP Se usa para las conexiones de túnel IPSec entre agentes y puertas de
enlace de GlobalProtect.
Para encontrar consejos sobre cómo usar una interfaz de bucle invertido para proporcionar acceso a
GlobalProtect a través de diferentes puertos y direcciones, consulte ¿Se puede configurar la página del
portal de GlobalProtect para acceder a ella desde cualquier puerto?
389 TCP Puerto que utiliza el cortafuegos para conectarse con un servidor LDAP
(texto normal o seguridad de la capa de transporte de inicio, Start TLS
[TLS de inicio]) para la Asignación de usuarios a grupos.
3268 TCP Puerto que utiliza el cortafuegos para conectarse con el servidor del
catálogo global de Active Directory (texto normal o Start TLS [TLS de
inicio]) para la Asignación de usuarios a grupos.
636 TCP Puerto que utiliza el cortafuegos para las conexiones de LDAP sobre SSL
con un servidor LDAP para la Asignación de usuarios a grupos.
3269 TCP Puerto que utiliza el cortafuegos para las conexiones de LDAP sobre
SSL con un servidor de catálogo global de Active Directory para la
Asignación de usuarios a grupos.
514 TCP Puerto que escucha el agente User-ID para los mensajes de syslog de
autenticación si realiza la Configuración de User-ID para supervisar los
6514 UDP
remitentes de Syslog para la asignación de usuarios. El puerto depende
SSL del tipo de agente y protocolo.
• Agente User-ID integrado en PAN-OS: puerto 6514 para SSL y
puerto 514 para UDP.
• Agente User-ID basado en Windows: puerto 514 para TCP y UDP.
5006 TCP Puerto que escucha el agente User-ID para las solicitudes de API de
XML. El origen de esta comunicación suele ser el sistema que ejecuta
una secuencia de comandos que invoque la API.
1812 UDP Puerto que usa el agente User-ID para autenticarse en un servidor
RADIUS.
135 TCP Puerto que usa el agente User-ID para establecer conexiones
WMI basadas en TCP con el asignador de extremos de llamada a
procedimiento remoto (RPC) de Microsoft. El asignador de extremos
asigna al agente un puerto asignado aleatoriamente en el intervalo de
puertos 49152-65535. El agente usa esta conexión para crear consultas
RPC para las tablas de sesión y los logs de seguridad del servidor AD o
servidor Exchange. Este es también el puerto que se usa para acceder a
Terminal Services.
El agente User-ID también usa este puerto para conectar con sistemas
cliente y realizar sondeos de Windows Management Instrumentation
(WMI).
139 TCP Puerto que usa el agente User-ID para establecer conexiones NetBIOS
basadas en TCP con el servidor AD, de modo que pueda enviar consultas
RPC sobre logs de seguridad e información de sesión.
El agente User-ID también usa este puerto para conectar con sistemas
cliente para sondeos de NetBIOS (admitidos únicamente en el agente
User-ID basado en Windows).
445 TCP Puerto que usa el agente User-ID para conectar con Active Directory
(AD) mediante conexiones SMB basadas en TCP al servidor AD para
acceder a la información de inicio de sesión de usuario (administrador de
trabajos de impresión y Net Logon).
Kingston
• Kingston SE9 8 GB (2.0)
• Kingston SE9 16GB (3.0)
• Kingston SE9 32GB (3.0)
SanDisk
• SanDisk Cruzer Fit CZ33 8 GB (2.0)
• SanDisk Cruzer Fit CZ33 16GB (2.0)
• SanDisk Cruzer Fit CZ33 16 GB (2.0)
• SanDisk Cruzer Fit CZ33 32GB (2.0)
• SanDisk Cruzer Fit CZ33 32 GB (3.0)
Silicon Power
• Silicon Power Jewel 32 GB (3.0)
• Silicon Power Jewel 16 GB (3.0)
PNY
• PNY Attache 16 GB (2.0)
• PNY Attache 32 GB (3.0)
Archivo init-cfg.txt de muestra (dirección IP estática) Archivo init-cfg.txt de muestra (cliente DHCP)
type=static type=dhcp-client
ip-address=10.5.107.19 ip-address=
default-gateway=10.5.107.1 default-gateway=
netmask=
netmask=255.255.255.0 ipv6-address=
ipv6-address=2001:400:f00::1/64 ipv6-default-gateway=
ipv6-default-gateway=2001:400:f00::2 hostname=Ca-FW-DC1
hostname=Ca-FW-DC1 panorama-server=10.5.107.20
panorama-server=10.5.107.20 panorama-server-2=10.5.107.21
panorama-server-2=10.5.107.21 tplname=FINANCE_TG4
tplname=FINANCE_TG4 dgname=finance_dg
dgname=finance_dg dns-primary=10.5.6.6
dns-primary=10.5.6.6 dns-secondary=10.5.6.7
dns-secondary=10.5.6.7 op-command-modes=multi-
op-command-modes=multi-vsys,jumbo- vsys,jumbo-frame
frame dhcp-send-hostname=yes
dhcp-send-hostname=no dhcp-send-client-id=yes
dhcp-send-client-id=no dhcp-accept-server-hostname=yes
dhcp-accept-server-hostname=no dhcp-accept-server-domain=yes
dhcp-accept-server-domain=no
La tabla siguiente describe los campos del archivo init-cfg.txt El tipo es obligatorio; si el tipo es estático, la
dirección IP, la puerta de enlace por defecto y la máscara de red son obligatorias, o la dirección IPv6 y la
puerta de enlace por defecto IPv6 son obligatorias.
Campo Descripción
Máscara de red (Obligatorio para dirección de gestión estática IPv4) Máscara de red IPv4.
El cortafuegos ignora este campo si el tipo es dhcp-client.
STEP 1 | Obtenga los números de serie (serial numbers, S/N) y los códigos de autorización para admitir
suscripciones de su correo electrónico de cumplimiento de pedido.
STEP 2 | Registre los S/N de los cortafuegos nuevos en el portal del servicio de atención al cliente.
1. Vaya a support.paloaltonetworks.com, inicie sesión y seleccione Assets (Activos) > Register New
Device (Registrar nuevos dispositivos) > Register device using Serial Number or Authorization Code
(Registrar dispositivo usando número de serie o código de autorización).
STEP 3 | Active los códigos de autorización en el portal del servicio de atención al cliente, que crea las
claves de licencia.
1. Vaya a support.paloaltonetworks.com, inicie sesión y seleccione la pestaña Assets (Activos).
2. Para cada S/N que acabe de registrar, haga clic en el enlace Action (Acción).
3. Seleccione Activate Auth-Code (Activar código de autorización).
4. Ingrese el Authorization code (Código de autorización) y haga clic en Agree (Acepto) y Submit
(Enviar).
No hay espacios entre la clave y el valor en cada campo; no añada espacios ya que pueden causar
errores durante el análisis en el lado del servidor de gestión.
Puede tener varios archivos init-cfg.txt (uno para cada sitio remoto diferente) si antepone el S/N.al
nombre de archivo. Por ejemplo:
0008C200105-init-cfg.txt
0008C200107-init-cfg.txt
Si nada precede al nombre de archivo, el cortafuegos utiliza el archivo init-cfg.txt y continúa con el
arranque.
STEP 7 | Cree y descargue el lote de arranque en el portal del servicio de atención al cliente.
Para un cortafuegos físico, el lote de arranque requiere solo los directorios de /licencia y /config.
Use uno de los siguientes métodos para crear y descargar el lote de arranque:
• Use el Método 1 para crear un lote de arranque específico de un sitio remoto (tiene solo un archivo
init-cfg.txt).
• Use el Método 2 para crear un lote de arranque para varios sitios.
Método 1
STEP 8 | Importe el archivo tar.gz que creó a un cortafuegos PAN-OS 7.1 usando Secure Copy (SCP) o
TFTP.
Acceda a la CLI e introduzca los siguientes comandos:
• tftp import bootstrap-bundle file <path and filename> from <host IP
address>
Por ejemplo:
tftp import bootstrap-bundle file /home/userx/bootstrap/devices/
pa5000.tar.gz from 10.1.2.3
• scp import bootstrap-bundle from <<usuario>@<host>:<ruta al archivo>>
Por ejemplo:
scp import bootstrap-bundle from [email protected]:/home/userx/bootstrap/
devices/pa200_bootstrap_bundle.tar.gz
Los sistemas operativos de Microsoft Windows y Apple Mac no pueden leer la unidad flash
USB de arranque debido a que la unidad está formateada por un sistema de archivo ext4.
Debe instalar un software de terceros o usar un sistema Linux para leer la unidad USB.
STEP 1 | El cortafuegos debe estar en estado de fábrica por defecto o debe tener todos los datos
privados eliminados.
STEP 2 | Para garantizar la conectividad con su sede corporativa central, conecte el cortafuegos
mediante la interfaz de gestión (MGT) usando un cable Ethernet conectado a una de las
siguientes opciones:
• Un módem de subida.
• Un puerto en el conmutador o enrutador.
• Una toma Ethernet en la pared.
STEP 3 | Introduzca la unidad flash USB en el puerto USB del cortafuegos y encienda el cortafuegos. El
cortafuegos en estado de fábrica por defecto arranca desde la unidad flash USB.
La luz de estado del cortafuegos cambia de amarillo a verde cuando el cortafuegos está configurado; la
autoconfirmación se ha realizado correctamente.
STEP 4 | Verifique que el arranque se haya completado. Puede ver los logs de estado básico en la
consola durante el bootstrap y puede verificar la finalización del proceso.
1. Si incluyó valores de Panorama (panorama-server, tplname y dgname) en su archivo init-cfg.txt,
compruebe los dispositivos gestionados de Panorama, el grupo de dispositivos y el nombre de la
plantilla.
2. Verifique la configuración general del sistema accediendo a la interfaz web y seleccionando
Dashboard (Panel) > Widgets > System (Sistema) o utilizando los comandos operativos de la CLI
show system info y show config running.
3. Verifique la instalación de la licencia seleccionando Device (Dispositivo) > Licenses (Licencias) o
utilizando el comando operativo de la CLI request license info.
4. Si tiene configurado Panorama, gestione las versiones de contenidos y las versiones de software de
Panorama. Si no tiene configurado Panorama, use la interfaz web para gestionar las versiones de
contenidos y las versiones de software.
161
162 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Autenticación
© 2017 Palo Alto Networks, Inc.
Tipos de autenticación
• Servicios de autenticación externos
• autenticación multifactor
• SAML
• Kerberos
• TACACS+
• RADIUS
• LDAP:
• Autenticación local
Autenticación multifactor
Puede realizar la Configuración de la autenticación multifactor (MFA) para garantizar que cada usuario se
autentique utilizando varios métodos to (factores) cuando accede a servicios y aplicaciones más delicados.
Por ejemplo, puede obligar a los usuarios a introducir una contraseña de inicio de sesión e introducir un
código de verificación que reciben por teléfono antes de permitir el acceso a documentos financieros
importantes. Este enfoque ayuda a evitar que los atacantes accedan a cada servicio y aplicación en su red
solo con robar las contraseñas. Evidentemente, no todos los servicios y aplicaciones requieren el mismo
nivel de protección, y es posible que la MFA no sea necesaria para los servicios y aplicaciones menos
delicados a los que los usuarios acceden con frecuencia. Para permitir una variedad de necesidades de
seguridad, puede realizar la Configuración de la política de autenticación para configurar las reglas de la
política de autenticación que activan la MFA o un factor de autenticación único (como las credenciales
Factor Descripción
SAML
Puede utilizar el lenguaje de marcado para confirmaciones de seguridad (Security Assertion Markup
Language, SAML) 2.0 para autenticar a los administradores que acceder a la interfaz web del cortafuegos o
de Panorama, y a los usuarios finales que acceden a aplicaciones web internas o externas a su organización.
En entornos donde cada usuario accede a varias aplicaciones y la autenticación de cada uno impediría la
producción de usuario, puede configurar el inicio de sesión único (SSO) de SAML para permitir un inicio
de sesión para acceder a varias aplicaciones. De igual modo, el cierre de sesión único (single logout, SLO)
de SAML le permite a un usuario finalizar sesiones de varias aplicaciones cerrando la sesión de una sola
Los administradores no pueden utilizar SAML para autenticarse para la CLI del cortafuegos
o de Panorama.
No puede utilizar los perfiles de autenticación de SAML en las secuencias de autenticación.
La autenticación de SAML requiere un proveedor de servicios (el cortafuegos o Panorama), que controla
el acceso a las aplicaciones y un proveedor de identidad (identity provider, IdP) como PingFederate,
que autentica usuarios. Cuando un usuario solicita un servicio o aplicación, el cortafuegos o Panorama
intercepta la solicitud y redirige el usuario al IdP para que se autentique. Luego, el IdP autentica al usuario
y devuelve una confirmación SAML, que indica que la autenticación fue correcta o no. La Autenticación de
SAML para los usuarios finales del portal cautivo ilustra la autenticación de SAML para un usuario final que
accede a las aplicaciones mediante el portal cautivo.
El SSO de Kerberos se encuentra disponible solo para los servicios y las aplicaciones
internas de su entorno de Kerberos. Para habilitar el SSO para los servicios y las
aplicaciones externas, utilice SAML.
TACACS+
El sistema de control de acceso del controlador de acceso a terminales (Terminal Access Controller Access-
Control System Plus, TACACS+) es una familia de protocolos que permiten la autenticación y la autorización
mediante un servidor centralizado. TACACS+ cifra nombres de usuario y contraseñas, lo que lo convierte
en una opción más segura que RADIUS, que solo cifra contraseñas. TACACS+ es más fiable dado que
utiliza TCP, mientras que RADIUS utiliza UDP. Puede configurar la autenticación TACACS+ para los
usuarios finales o los administradores en el cortafuegos y para los administradores en Panorama. De manera
opcional, puede utilizar los VSA de TACACS+ para gestionar la autorización del administrador. Los VSA de
TACACS+ le permiten cambiar con rapidez las funciones, los dominios de acceso y los grupos de usuarios de
administradores en su servicio de directorio, en lugar de volver a configurar el cortafuegos y Panorama.
RADIUS
El servicio de autenticación remota telefónica de usuario (RADIUS) es un protocolo de red ampliamente
admitido que brinda autenticación y autorización centralizadas. Puede configurar la autenticación RADIUS
para los usuarios finales o los administradores en el cortafuegos y para los administradores en Panorama.
De manera opcional, puede utilizar los atributos específicos del proveedor (Vendor-Specific Attributes, VSA)
de RADIUS para gestionar la autorización del administrador. Los VSA de RADIUS le permiten cambiar con
rapidez las funciones, los dominios de acceso y los grupos de usuarios de administradores en su servicio
de directorio, en lugar de volver a configurar el cortafuegos y Panorama. Además, puede configurar el
cortafuegos para utilizar un servidor RADIUS para lo siguiente:
• Recolección de VSA de los clientes de GlobalProtect.
• Implementación de la autenticación multifactor.
Al enviar solicitudes de autenticación a un servidor RADIUS, el cortafuegos y Panorama utilizan el nombre
de perfil de autenticación como el servidor de acceso de red (network access server, NAS), incluso si el perfil
está asignado a una secuencia de autenticación para el servicio (como el acceso administrativo a la interfaz
web) que inicia el proceso de autenticación.
El cortafuegos y Panorama admiten los siguientes VSA de RADIUS. Para definir VSA en un servidor
RADIUS, debe especificar el código de proveedor (25461 para cortafuegos o Panorama de Palo Alto
Networks) y el nombre y número de VSA. Algunos VSA también requieren un valor. Consulte su
PaloAlto-Client-Source-IP 7
PaloAlto-Client-OS 8
PaloAlto-Client-Hostname 9
PaloAlto-GlobalProtect-Client- 10
Version
Autenticación local
A pesar de que el cortafuegos y Panorama ofrecen autenticación local a administradores y usuarios
finales, se recomiendan los servicios de autenticación externa en la mayoría de los casos debido a que
proporcionan una gestión central de las cuentas. Sin embargo, es posible que requiera cuentas de usuario
especiales que no gestiona mediante los servidores del directorio que la organización reserva para las
cuentas regulares. Por ejemplo, puede definir una cuenta de superusuario local en el cortafuegos para poder
acceder al cortafuegos incluso aunque el servidor del directorio no funcione. En estos casos, puede utilizar
los siguientes métodos de autenticación local:
• (Solo en el cortafuegos) Autenticación de base de datos local: para realizar la Configuración de
la autenticación de la base de datos local, cree una base de datos que funcione localmente en el
cortafuegos y contenga las cuentas de usuario (nombres de usuario y contraseñas, o contraseñas con
hash) y los grupos de usuarios. Este tipo de autenticación es útil para la creación de cuentas de usuario
que reutilizan las credenciales de las cuentas Unix existentes en casos donde solo conoce las contraseñas
con hash, no las contraseñas en texto normal. Dado que la autenticación de base de datos local se
asocia con los perfiles de autenticación, puede incluir implementaciones donde diferentes conjuntos
de usuarios requieren diferentes configuraciones de autenticación, como el SSO de Kerberos o la
autenticación multifactor. (Para obtener información detallada, consulte Configuración de una secuencia
y perfil de autenticación). En el caso de las cuentas que utilizan contraseñas en texto normal, también
puede realizar el paso (Solo autenticación local) Defina la complejidad de la contraseña y la configuración
del vencimiento. Este método de autenticación se encuentra disponible para los administradores que
acceden al cortafuegos (pero no a Panorama) y para los usuarios finales que acceden a servicios y
aplicaciones mediante el portal cautivo o GlobalProtect.
• Autenticación local sin una base de datos: puede configurar cuentas administrativas del cortafuegos
o cuentas administrativas de Panorama sin crear una base de datos de los usuarios y los grupos de
usuarios que se ejecute localmente en el cortafuegos o en Panorama. Dado que este método no está
asociado a los perfiles de autenticación, no puede combinarlo con el SSO de Kerberos o la MFA. Sin
embargo, este es el único método de autenticación que permite perfiles de contraseña, lo que le permite
asociar cuentas individuales con configuración de vencimiento de contraseña que se diferencia de la
configuración global. (Para obtener información detallada, consulte [Solo autenticación local] Definición
de la complejidad de la contraseña y la configuración del vencimiento.)
STEP 1 | Configure el portal cautivo en el modo Redirect (Redirigir) para mostrar un formulario web
para el primer factor de autenticación, registrar marcas de tiempo de autenticación y actualizar
asignaciones de usuario.
STEP 2 | Configure uno de los siguientes perfiles de servidor para definir de qué manera el cortafuegos
se conectará con el servicio que autentica a los usuarios para el primer factor de autenticación.
• Añada un perfil de servidor RADIUS. Esto es necesario si el cortafuegos se integra con un proveedor
MFA a través de RADIUS. En ese caso, el proveedor MFA proporciona el primero y todos los factores
de autenticación adicionales para que usted pueda omitir el paso siguiente (configuración de un perfil
de servidor MFA). Si el cortafuegos se integra con un proveedor MFA a través de una API, se puede
usar un perfil de servidor RADIUS para el primer factor, pero se necesitan los perfiles de servidor
MFA para los factores adicionales.
• Añada un perfil de servidor SAML IdP.
• Añada un perfil de servidor Kerberos.
• Añada un perfil de servidor TACACS+.
• Añada un perfil de servidor LDAP
STEP 8 | Configure una regla de política de seguridad que permita a los usuarios acceder a los servicios y
aplicaciones que requieren autenticación.
1. Creación de una regla de política de seguridad.
2. Haga clic en Commit (Confirmar) para compilar los cambios.
El SSO está disponible para los administradores y para los usuarios finales de GlobalProtect
y Captive Portal. El SLO está disponible para los administradores y los usuarios finales de
GlobalProtect, pero no para los usuarios finales de Captive Portal.
Los administradores pueden utilizar SAML para autenticarse en la interfaz web del
cortafuegos, pero no en la CLI.
STEP 1 | (Recomendado) Obtenga los certificados que el IdP y el cortafuegos utilizarán para firmar los
mensajes de SAML.
Si los certificados no especifican atributos de uso clave, todos los usos se permitirán de manera
predeterminada, incluidos los mensajes de firmas. En este caso, usted puede obtener certificados
mediante cualquier método.
Si el certificado especifica atributos de uso de clave, uno de los atributos debe ser la firma digital, que no
está disponible en los certificados que usted genera en el cortafuegos o en Panorama. En este caso, debe
importar los certificados:
• Certificado que el cortafuegos utiliza para firmar mensajes de SAML: importe el certificado desde la
autoridad de certificados (certificate authority, CA) de su empresa o una CA de terceros.
• Certificado que el IdP utiliza para firmar mensajes de SAML: importe un archivos de metadatos que
contenga el certificado del IdP (consulte el paso a continuación). El certificado de IdP se limita a los
siguientes algoritmos:
Public key algorithms (Algoritmos de clave pública): RSA (1.024 bits o mayor) y ECDSA (todos los
tamaños). Un cortafuegos en modo FIPS / CC admite RSA (2.048 bits o más) y ECDSA (todos los
tamaños).
Signature algorithms (Algoritmos de firma): SHA1, SHA256, SHA384 y SHA512. Un cortafuegos en
modo FIPS / CC soporta SHA256, SHA384 y SHA512.
1. Exporte el archivo de metadatos desde el IdP a un sistema cliente al cual el cortafuegos pueda
acceder.
El certificado especificado en el archivo debe reunir los requisitos enumerados en el paso anterior.
Consulte su documentación de IdP para obtener instrucciones sobre cómo exportar el archivo.
2. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > SAML Identity Provider
(Proveedor de identidad de SAML) e Import (Importar) para importar el archivo de metadato en el
cortafuegos.
3. Introduzca un nombre en Profile Name (Nombre del perfil) para identificar el perfil de servidor.
4. Seleccione Browse (Examinar) para buscar el archivo de Identity Provider Metadata (Metadatos de
proveedor de identidad).
5. (Recomendado) Seleccione Validate Identity Provider Certificate (Validar certificado de proveedor
de identidad) (valor predeterminado) para que el cortafuegos valida el Identity Provider Certificate
(Certificado de proveedor de identidad).
La validación se produce después de asignar el perfil del servidor a un perfil de autenticación y
Commit (Confirmar). El cortafuegos utiliza el perfil de certificado en el perfil de autenticación para
validar el certificado.
STEP 4 | Asigne el perfil de autenticación a las aplicaciones de cortafuegos que requieren autenticación.
1. Asigne el perfil de autenticación a lo siguiente:
• Cuentas de administrador que usted gestiona a nivel local en el cortafuegos. En este ejemplo,
configure una cuenta de administrador de cortafuegos antes de verificar la configuración de SAML
posteriormente en este procedimiento.
• Las cuentas de administrador que usted gestiona externamente en el almacén de identidades de
IdP. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión), modifique
los ajustes de autenticación y seleccione el Authentication Profile (Perfil de autenticación) que
configuró.
• Las reglas de política de autenticación que aseguran los servicios y aplicaciones a los que los
usuarios finales acceden a través del portal cautivo. Consulte Configuración de la política de
autenticación.
• Portales y puertas de enlace de GlobalProtect a los que acceden los usuarios finales.
2. Haga clic en Commit (Confirmar) para compilar los cambios.
El cortafuegos valida el Identity Provider Certificate (Certificado de proveedor de identidad) que
usted asignó al perfil de servidor IdP SAML.
STEP 5 | Cree un archivo de metadatos SAML para registrar la aplicación del cortafuegos (acceso de
gestión, Captive Portal o GlobalProtect) en el IdP.
1. Seleccione Device (Dispositivo) > Authentication Profile (Perfil de autenticación) y, en la columna
Authentication (Autenticación) del perfil de autenticación que configuró, haga clic en Metadata
(Metadatos).
2. En la lista desplegable Commands (Comandos), seleccione la aplicación que desee registrar:
• management (gestión) (predeterminado): proporciona acceso de administrador a la interfaz web.
• captive-portal (portal cautivo): proporciona acceso al usuario final para los servicios y aplicaciones
a través de Captive Portal.
• global-protect: proporciona acceso al usuario final para los servicios y aplicaciones a través de
GlobalProtect.
3. (Captive Portal o GlobalProtect únicamente) para el Vsysname Combo (Combinación de nombre de
sistema virtual), seleccione el sistema virtual en el que están definidos los ajustes de Captive Portal o
el portal de GlobalProtect.
4. Ingrese la interfaz, la dirección IP o el nombre de host según la aplicación que registrará:
• management (gestión): para Management Choice (Opción de gestión), seleccione Interface
(Interfaz) (predeterminado) y seleccione una interfaz que esté habilitada para el acceso de gestión
a la interfaz web. La selección predeterminada es la dirección IP de la interfaz MGT.
• captive-portal: para el IP Hostname (Nombre de host IP), ingrese la dirección IP o el nombre
de host del Redirect Host (Host de redireccionamiento) (consulte Device [Dispositivo] > User
Identification [Identificación de usuario] > Captive Portal Settings [Configuración del portal
cautivo]).
• global-protect: para el IP Hostname (Nombre de host IP), ingrese el nombre de host o dirección IP
del portal o la puerta de enlace de GlobalProtect.
5. Haga clic en OK (Aceptar) y guarde el archivo de metadatos en su sistema cliente.
STEP 6 | Verifique que los usuarios puedan autenticarse usando el SSO de SAML.
Por ejemplo, para verificar que SAML funcione para el acceso a la interfaz web usando una cuenta de
administrador local:
1. Vaya a la URL de la interfaz web del cortafuegos.
2. Haga clic en Use Single Sign-On (Usar inicio de sesión único).
3. Ingrese el nombre de usuario del administrador.
4. Haga clic en Continue (Continuar).
El cortafuegos lo redirigirá para autenticarse en el IdP, que muestra una página de inicio de sesión.
Por ejemplo:
STEP 2 | Realice la Configuración de una secuencia y perfil de autenticación para definir la configuración
de Kerberos y otras opciones de autenticación que son comunes a un conjunto de usuarios.
• Introduzca el dominio de Kerberos (normalmente es el dominio DNS de los usuarios, solo que el
dominio está en mayúsculas).
• Seleccione Import (Importar) en el Kerberos Keytab (Keytab de Kerberos) que creó para el
cortafuegos.
STEP 3 | Asigne el perfil de autenticación a la aplicación del cortafuegos que requiera autenticación.
• Acceso administrativo a la interfaz web: realice la Configuración de una cuenta administrativa de
cortafuegos y asigne el perfil de autenticación que configuró.
• Acceso de los usuarios finales a los servicios y las aplicaciones: asigne el perfil de autenticación
que configuró a un objeto de ejecución de autenticación. Durante la configuración del objeto,
configure el Authentication Method (Método de autenticación) como browser-challenge (Desafío
del explorador). Asigne el objeto a las reglas de la política de autenticación. Para obtener información
sobre todo el procedimiento de configuración de la autenticación para los usuarios finales, consulte la
Configuración de la política de autenticación.
Para usar un servidor Kerberos para la autenticación, debe poderse acceder al servidor a
través de una dirección IPv4. Las direcciones IPv6 no son compatibles.
STEP 2 | Asigne el perfil del servidor para realizar la Configuración de una secuencia y perfil de
autenticación.
El perfil de autenticación define ajustes de autenticación que son comunes a un conjunto de usuarios.
STEP 3 | Asigne el perfil de autenticación a la aplicación del cortafuegos que requiera autenticación.
• Acceso administrativo a la interfaz web: realice la Configuración de una cuenta administrativa de
cortafuegos y asigne el perfil de autenticación que configuró.
• Acceso de los usuarios finales a los servicios y las aplicaciones: asigne el perfil de autenticación
que configuró a un objeto de ejecución de autenticación y asigne el objeto a las reglas de la política
de autenticación. Para obtener información sobre todo el procedimiento de configuración de la
autenticación para los usuarios finales, consulte la Configuración de la política de autenticación.
STEP 4 | Compruebe que el cortafuegos pueda realizar la Comprobación de la conectividad del servidor
de autenticación para autenticar a los usuarios.
Seleccione CHAP si el servidor TACACS+ admite ese protocolo; es más seguro que
PAP.
5. Seleccione Add (Añadir) para añadir cada servidor TACACS+ e ingrese lo siguiente:
• Un nombre en Name para identificar el servidor.
• La dirección IP o FQDN del servidor TACACS+. Si utiliza un objeto de dirección FQDN para
identificar el servidor y posteriormente cambia la dirección, debe confirmar el cambio para que la
nueva dirección de servidor tenga efecto.
• Secret/Confirm Secret (Secreto/Confirmar secreto) (clave para cifrar nombres de usuario y
contraseñas).
• El Port (Puerto) del servidor para las solicitudes de autenticación (el valor predeterminado es 49).
6. Haga clic en OK (Aceptar) para guardar el perfil de servidor.
STEP 3 | Configure el cortafuegos para que utilice el perfil de autenticación para todos los
administradores.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y modifique los
ajustes de autenticación.
2. Seleccione el Authentication Profile (Perfil de autenticación) que configuró y haga clic en OK
(Aceptar).
STEP 4 | Configure los roles y dominios de acceso que definen los ajustes de autorización para los
administradores.
Si ya definió VSA TACACS+ en el servidor TACACS+, los nombres que especifique para los roles y
dominios de acceso en el cortafuegos deben coincidir con los valores de VSA.
1. Configure un perfil de rol de administrador si el administrador utilizará un rol personalizado en lugar
de un rol predefinido (dinámico).
2. Configure un dominio de acceso si el cortafuegos tiene más de un sistema virtual: seleccione Device
(Dispositivo) > Access Domain (Dominio de acceso), y luego Add (Añadir) para añadir un dominio de
acceso, ingrese un nombre en Name para identificar el dominio de acceso, y seleccione Add (Añadir)
para añadir cada sistema virtual al que accederá el administrador. Luego haga clic en OK (Aceptar).
STEP 5 | Seleccione Commit (Confirmar) para aplicar los cambios y luego actívelos en el cortafuegos.
También puede configurar sistemas cliente para que envíen atributos específicos del
proveedor (VSA) de RADIUS al servidor RADIUS al asignar el perfil de autenticación a un
portal o puerta de enlace de GlobalProtect. Los administradores de RADIUS luego pueden
realizar tareas administrativas en función de dichos VSA.
• Cuentas administrativas con autorización gestionada a nivel local en el cortafuegos o Panorama: asigne
el perfil de autenticación a las cuentas del administrador del cortafuegos o administrador de Panorama.
• Cuentas administrativas con autorización gestionada en el servidor RADIUS: el siguiente procedimiento
describe cómo configurar la autenticación y autorización de RADIUS para los administradores el
cortafuegos. Para los administradores de Panorama, consulte Configuración de autenticación RADIUS
para administradores de Panorama.
Si utiliza el perfil del servidor para integrar el cortafuegos con un servicio MFA,
ingrese un intervalo que proporcione a los usuarios tiempo suficiente para
autenticarse. Por ejemplo, si el servicio MFA solicita una única contraseña (OTP),
los usuarios necesitan tiempo para ver la OTP en su dispositivo de endpoint y, a
continuación, introducir la OTP en la página de inicio de sesión de MFA.
4. Seleccione el Authentication Protocol (Protocolo de autenticación) (el valor predeterminado es
CHAP) que el cortafuegos utiliza para autenticarse en el servidor RADIUS.
Seleccione CHAP si el servidor RADIUS admite ese protocolo; es más seguro que
PAP.
5. Seleccione Add (Añadir) para añadir cada servidor RADIUS e ingrese lo siguiente:
• Un nombre en Name para identificar el servidor.
STEP 3 | Configure el cortafuegos para que utilice el perfil de autenticación para todos los
administradores.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y modifique los
ajustes de autenticación.
2. Seleccione el Authentication Profile (Perfil de autenticación) que configuró y haga clic en OK
(Aceptar).
STEP 4 | Configure los roles y dominios de acceso que definen los ajustes de autorización para los
administradores.
Si ya definió VSA RADIUS en el servidor RADIUS, los nombres que especifique para los roles y dominios
de acceso en el cortafuegos deben coincidir con los valores de VSA.
1. Configure un perfil de rol de administrador si el administrador utiliza un rol personalizado en lugar de
un rol predefinido (dinámico).
2. Configure un dominio de acceso si el cortafuegos tiene más de un sistema virtual:
1. Seleccione Device (Dispositivo) > Access Domain (Dominio de acceso) y luego Add (Añadir) para
añadir un dominio de acceso, e ingrese un nombre en Name para identificar el dominio de acceso.
2. Seleccione Add (Añadir) para añadir cada sistema virtual al que accederá el administrador y luego
haga clic en OK (Aceptar).
STEP 5 | Seleccione Commit (Confirmar) para aplicar los cambios y luego actívelos en el cortafuegos.
STEP 7 | Verifique que el servidor RADIUS realice la autenticación y autorización de los administradores.
1. Inicie sesión en la interfaz web del cortafuegos usando una cuenta de administrador que haya
añadido al servidor RADIUS.
2. Verifique que pueda acceder solo a las páginas de la interfaz web que están permitidas para el rol que
usted asoció con el administrador.
3. En las pestañas Monitor (Supervisar), Policies (Políticas) y Objects (Objetos), verifique que puede
acceder únicamente a los sistemas virtuales que están permitidos para el dominio de acceso que
asoció con el administrador.
También puede conectarse a un servidor LDAP para definir las reglas de la política en
función de los grupos de usuarios. Si desea información detallada, consulte la Asignación de
usuarios a grupos.
STEP 2 | Asigne el perfil del servidor para realizar la Configuración de una secuencia y perfil de
autenticación para definir varias configuraciones de autenticación.
STEP 3 | Asigne el perfil de autenticación a la aplicación del cortafuegos que requiera autenticación.
• Acceso administrativo a la interfaz web: realice la Configuración de una cuenta administrativa de
cortafuegos y asigne el perfil de autenticación que configuró.
• Acceso de los usuarios finales a los servicios y las aplicaciones: para obtener información sobre
todo el procedimiento de configuración de la autenticación para los usuarios finales, consulte la
Configuración de la política de autenticación.
STEP 4 | Compruebe que el cortafuegos pueda realizar la Comprobación de la conectividad del servidor
de autenticación para autenticar a los usuarios.
No cambie el tiempo de espera de servidor web de PAN-OS a menos que observe fallos
de autenticación. Si establece un valor de tiempo de espera demasiado alto, es posible
que se degrade el rendimiento del cortafuegos o que el cortafuegos descarte solicitudes
de autenticación. Puede revisar los fallos de autenticación en los logs de autenticación.
El cortafuegos aplica un tiempo de espera a la sesión en el portal cautivo que define cuánto tiempo
pueden dedicar los usuarios finales a la respuesta del desafío de autenticación en un formulario web
del portal cautivo. El formulario web se muestra cuando los usuarios solicitan servicios o aplicaciones
que coinciden con una regla de la política de autenticación. El tiempo de espera predeterminado de la
sesión es de 30 segundos (rango: 1 a 1.599.999). El valor debe ser igual o superior al tiempo de espera
del servidor web de PAN-OS. Realice la Modificación del tiempo de espera de sesión del portal cautivo si
es necesario. Tenga en cuenta que es posible que aumentar los valores de tiempo de espera del servidor
web de PAN-OS y de sesión del portal cautivo degrade el rendimiento del cortafuegos o provoque el
descarte de las solicitudes de autenticación.
El tiempo de espera de sesión del portal cautivo no se relaciona con los temporizadores
que determinan por cuánto tiempo el cortafuegos retiene las asignaciones de direcciones
IP a nombres de usuario.
No cambie el tiempo de espera de servidor web de PAN-OS a menos que observe fallas
de autenticación. Si establece un valor de tiempo de espera demasiado alto, es posible
que se degrade el rendimiento del cortafuegos o que el cortafuegos descarte solicitudes de
autenticación. Puede revisar las fallas de autenticación en los logs de autenticación.
STEP 2 | Establezca el tiempo de espera del servidor web de PAN-OS introduciendo los siguientes
comandos, donde <value> es la cantidad de segundos (predeterminado: 30; rango: 3 a 125).
> configure
# set deviceconfig setting l3-service timeout <value>
# commit
Cuanto más eleve los tiempos de espera de sesión del servidor web de PAN-OS y el portal
cautivo, más lentamente responderá el portal cautivo a los usuarios.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y edite la sección
Session Timeouts (Tiempos de espera de la sesión).
STEP 2 | Introduzca un nuevo valor en segundos en el portal cautivo (valor predeterminado: 30; rango: 1
a 1.599.999) y haga clic en OK (Aceptar).
STEP 4 | Asigne el perfil de autenticación a una cuenta administrativa o a una regla de la política de
autenticación para los usuarios finales.
• Administradores: Configuración de una cuenta administrativa de cortafuegos:
Especifique en Name (Nombre) el nombre de un usuario que definió previamente en este
procedimiento.
Asigne el Authentication Profile (Perfil de autenticación) que configuró para la cuenta.
• Usuarios finales: para obtener información sobre todo el procedimiento de configuración de la
autenticación para los usuarios finales, consulte la Configuración de la política de autenticación.
STEP 1 | (Solo servicio externo) Habilite al cortafuegos para que se conecte con un servidor externo para
autenticar a los usuarios:
1. Configure el servidor externo. Consulte la documentación de su servidor para obtener las
instrucciones.
2. Configure un perfil de servidor para el tipo de servicio de autenticación que utiliza.
• Añada un perfil de servidor RADIUS.
STEP 2 | (Autenticación de base de datos local únicamente) Configure una base de datos de usuario que sea
local para el cortafuegos.
Realice estos pasos para cada usuario y grupo de usuarios para los cuales desea configurar la
autenticación local en función de un almacén de identidades de usuario que sea local para el
cortafuegos:
1. Añada la cuenta de usuario a la base de datos local.
2. (Opcional) Añada el grupo de usuarios a la base de datos local.
STEP 6 | Asigne el perfil de autenticación o secuencia a una cuenta administrativa para los
administradores del cortafuegos o a la política de autenticación para los usuarios finales.
• Administradores: asigne el perfil de autenticación según cómo gestiona la autorización del
administrador:
Autorización gestionada localmente en el cortafuegos: configure una cuenta de administrador de
cortafuegos.
Autorización gestionada en un SAML, TACACS+ o servidor RADIUS: seleccione Device
(Dispositivo) > Setup (Configuración) > Management (Gestión), modifique los ajustes de
autenticación y seleccione el Authentication Profile (Perfil de autenticación).
• Usuarios finales: para conocer el procedimiento completo para configurar la autenticación para los
usuarios finales, consulte Configuración de la política de autenticación.
STEP 7 | Verifique que el cortafuegos pueda comprobar la conectividad con el servidor de autenticación
para autenticar a los usuarios.
STEP 1 | Configure un perfil de autenticación. No es necesario que confirme la configuración del perfil
de autenticación o el perfil de servidor antes de realizar la prueba.
STEP 3 | (Cortafuegos con varios sistemas virtuales) Defina el sistema virtual de destino al que
accederá el comando de comprobación.
Esto necesario en el caso de los cortafuegos con varios sistemas virtuales para que el comando de
autenticación de comprobación pueda ubicar el usuario que comprobará.
Defina el sistema virtual de destino ingresando lo siguiente:
Por ejemplo, para probar un perfil de autenticación denominado my-profile para un usuario
denominado bsimpson, introduzca lo siguiente:
Cuando ejecuta el comando test, los nombres de los perfiles de autenticación y los
perfiles de servidor distinguen entre mayúsculas y minúsculas. Además, si un perfil
de autenticación tiene definido un modificador de nombre de usuario, debe escribir el
modificador con el nombre de usuario. Por ejemplo, si agrega el modificador de nombre
de usuario %USERINPUT%@%USERDOMAIN% para un usuario llamado bsimpson y el
Después de que el usuario se autentique en todos los factores, el cortafuegos evaluará la Política de
seguridad para determinar si se debe permitir el acceso al servicio o aplicación.
Para reducir la frecuencia de los desafíos de autenticación que interrumpen el flujo de trabajo del usuario,
puede especificar el período de tiempo de espera durante el cual el usuario se autentica únicamente para
el acceso inicial a los servicios y las aplicaciones, no para el próximo acceso. La política de autenticación se
integra con el portal cautivo para registrar las marcas de tiempo que se utilizan para evaluar el tiempo de
espera y para permitir políticas e informes basados en los usuarios.
En función de la información del usuario que recoge el cortafuegos durante la autenticación, User-ID
crea una nueva asignación de dirección IP a nombre de usuario o actualiza la asignación existente para
ese usuario (si la información de la asignación se modificó). El cortafuegos genera logs de User-ID para
registrar las adiciones y las actualizaciones. Además, el cortafuegos genera un log de autenticación para
cada solicitud que corresponda a una regla de autenticación. Si prefiere la supervisión centralizada, puede
configurar informes basados en User-ID o logs de autenticación, y enviar los logs a Panorama o a servicios
externos como haría en el caso de otros tipos de logs.
• Marcas de tiempo de la autenticación
• Configuración de la política de autenticación
El cortafuegos registra una marca de tiempo independiente para cada proveedor de MFA.
Por ejemplo, si utiliza servidores Duo v2 y PingID para emitir desafíos para factores de MFA,
el cortafuegos registra una marca de tiempo para la respuesta de factor Duo y una marca de
tiempo para el factor de PingID.
STEP 2 | Configure el cortafuegos para usar uno de los siguientes servicios para autenticar a los
usuarios.
• Servicios de autenticación externos: configure un perfil de servidor para definir de qué manera el
cortafuegos se conecta con el servicio.
• Autenticación de la base de datos local: añada cada cuenta de usuario a la base de datos de usuario
local en el cortafuegos.
• Inicio de sesión único (SSO) de Kerberos: cree un keytab Kerberos para el cortafuegos.
Opcionalmente, puede configurar el cortafuegos para usar el SSO de Kerberos como el servicio de
autenticación primario y, si se producen fallos del SSO, volver al servicio externo o la autenticación de
la base de datos local.
STEP 3 | Configuración de una secuencia y perfil de autenticación para cada conjunto de usuarios
y reglas de política de autenticación que requieran los mismos servicios y ajustes de
autenticación.
Seleccione el Type (Tipo) de servicio de autenticación y los ajustes relacionados:
• Servicio externo: seleccione el Type (Tipo) de servidor externo y seleccione el Server Profile (Perfil
de servidor) que creó para él.
• Autenticación de base de datos local: configure el Type (Tipo) en Local Database (Base de datos
local). En los ajustes Advanced (Avanzado), seleccione Add (Añadir) para añadir los usuarios de portal
cautivo y los grupos de usuario que creó.
• SSO de Kerberos: especifique el Kerberos Realm (Dominio Kerberos) y seleccione Import (Importar)
para importar el Kerberos Keytab.
Tarea Comando
> request
authentication [unlock-admin |
unlock-user]
207
208 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Gestión de certificados
© 2017 Palo Alto Networks, Inc.
Claves y certificados
Para garantizar la confianza entre las partes de una sesión de comunicación segura, los cortafuegos y
Panorama de Palo Alto Networks utilizan certificados digitales. Cada certificado contiene una clave
criptográfica para cifrar el texto sin formato o descifrar el texto cifrado. Cada certificado también incluye
una firma digital para autenticar la identidad del emisor. Este debe estar incluido en la lista de entidades
de certificación (CA) de confianza de la parte que realiza la autenticación. De manera opcional, la parte
que realiza la autenticación verifica que el emisor no haya revocado el certificado (consulte Revocación de
certificados).
Panorama y los cortafuegos de Palo Alto Networks utilizan certificados en las siguientes aplicaciones:
• Autenticación de usuarios para portal cautivo, GlobalProtect™, gestor de seguridad móvil y acceso a la
interfaz web a un cortafuegos o Panorama de Palo Alto Networks.
• Autenticación de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).
• Autenticación de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet
(IKE).
• Descifrado de tráfico SSL entrante y saliente.
Un cortafuegos descifra el tráfico para aplicar reglas de políticas y, a continuación, vuelve a cifrarlo
antes de reenviar el tráfico al destino definitivo. Para el tráfico saliente, el cortafuegos actúa como
servidor proxy de reenvío, estableciendo una conexión SSL/TLS con el servidor de destino. Para proteger
una conexión entre sí mismo y el cliente, el cortafuegos utiliza un certificado de firma para generar
automáticamente una copia del certificado del servidor de destino.
La tabla siguiente describe las claves y los certificados que utilizan Panorama y los cortafuegos de Palo Alto
Networks. Una práctica recomendada es utilizar diferentes claves y certificados para cada uso.
Reenvío fiable Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy
de reenvío confía en la CA que firmó el certificado del servidor de destino,
el cortafuegos utiliza el certificado de CA fiable de reenvío para generar
una copia del certificado del servidor de destino y enviarla al cliente. Para
configurar el tamaño de la clave privada, configure el tamaño de clave para los
certificados de servidor proxy SSL de reenvío. Para mayor seguridad, almacene
Reenvío no fiable Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy de
reenvío no confía en la CA que firmó el certificado del servidor de destino, el
cortafuegos utiliza el certificado de CA no fiable de reenvío para generar una
copia del certificado del servidor de destino y enviarla al cliente.
inspección de SSL Claves que descifran el tráfico SSL/TLS entrante para su inspección y la
entrante aplicación de la política. Para esta aplicación, importe en el cortafuegos una
clave privada para cada servidor que esté sujeto a una inspección entrante
SSL/TLS. Consulte Configuración de la inspección de entrada SSL.
Certificado SSL de Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por
exclusión ejemplo, si habilita el descifrado SSL pero su red incluye servidores para los
que el cortafuegos no debería descifrar el tráfico (por ejemplo, servicios web
para sus sistemas de RR.'A0;HH.), importe los correspondientes certificados
en el cortafuegos y configúrelos como certificados SSL de exclusión. Consulte
Exclusiones de descifrado.
VPN de sitio a sitio En una implementación de VPN de sitio a sitio de IPSec, los dispositivos
(IKE) de peer utilizan gateways de intercambio de claves de Internet (IKE) para
establecer un canal seguro. Las gateways de IKE utilizan certificados o claves
precompartidas para autenticar los peers entre sí. Los certificados o las claves
se configuran y asignan al definir una gateway de IKE en un cortafuegos.
Consulte Descripción general de VPN de sitio a sitio.
Clave maestra El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas
y contraseñas. Si su red requiere una ubicación segura para almacenar claves
privadas, puede utilizar una clave de cifrado (ajuste) almacenada en un módulo
de seguridad de hardware (HSM) para cifrar la clave maestra. Para conocer más
detalles, consulte Cifrado de una clave maestra utilizando un HSM.
Syslog seguro Certificado para habilitar conexiones seguras entre el cortafuegos y un servidor
Syslog. Consulte Descripciones de los campos de Syslog.
CA raíz de confianza Designación de un certificado raíz emitido por una CA en la que confía
el cortafuegos. El cortafuegos puede utilizar un certificado de CA raíz
autofirmado para emitir certificados automáticamente para otras aplicaciones
(por ejemplo, proxy de reenvío SSL).
Si utiliza este método para generar certificados para una aplicación que requiera que
un cliente final confíe en el certificado, los usuarios finales verán un error de certificado
debido a que el certificado de CA raíz no está en su almacén de certificados raíz de
confianza. Para evitar esto, implemente el certificado de CA raíz autofirmado en todos los
sistemas de usuario final. Puede implementar los certificados manualmente o utilizar un
método de implementación centralizado como un objeto de directiva de grupo (GPO) de
Active Directory.
STEP 3 | (Opcional) Para configurar el propio cortafuegos como respondedor OCSP, añada un perfil de
gestión de interfaz a la interfaz utilizada para los servicios OCSP.
STEP 1 | Defina los intervalos de tiempo de espera específicos de servicio para las solicitudes de estado
de revocación.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y, en la sección Session
Features (Características de la sesión), seleccione Decryption Certificate Revocation Settings
(Configuración de revocación de certificado de descifrado).
STEP 2 | Defina el intervalo de tiempo de espera total para las solicitudes de estado de revocación.
Introduzca el Certificate Status Timeout (Tiempo de espera del estado del certificado). Este es el
intervalo (de 1 a 60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier
servicio de estado de certificado y aplica la lógica de bloqueo de sesión que puede definir de manera
opcional en el paso 3. El Certificate Status Timeout (Tiempo de espera del estado del certificado)
se relaciona con el Receive Timeout (Tiempo de espera de recepción) de OCSP/CRL de la manera
siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de espera de solicitud después
de que pase el menor de dos intervalos: el valor de Certificate Status Timeout (Tiempo de espera
del estado del certificado) o la suma de los dos valores de Receive Timeout (Tiempo de espera de
recepción).
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera de solicitud después de que
pase el menor de dos intervalos: el valor de Certificate Status Timeout (Tiempo de espera del estado
del certificado) o el valor de Receive Timeout (Tiempo de espera de recepción) de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera de solicitud después de que
pase el menor de dos intervalos: el valor de Certificate Status Timeout (Tiempo de espera del estado
del certificado) o el valor de Receive Timeout (Tiempo de espera de recepción) de CRL.
Para garantizar una seguridad adicional, consulte el Cifrado de una clave maestra utilizando
un HSM.
Asegúrese de almacenar la clave maestra en una ubicación segura. No puede recuperar la clave maestra y la
única manera de restaurar la clave maestra predeterminada es mediante el Restablecimiento del cortafuegos
a los ajustes predeterminados de fábrica.
STEP 1 | Seleccione Device (Dispositivo) > Master Key and Diagnostics (Clave maestra y diagnóstico) y
edite la sección Master Key (Clave maestra).
STEP 3 | Defina una New Master Key (Nueva clave maestra) y, a continuación, seleccione la acción
Confirm New Master Key (Confirmar clave maestra). La clave debe contener exactamente 16
caracteres.
STEP 4 | Para especificar la Life Time (Duración), introduzca el número de días en Days (Días) o de horas
en Hours (Horas) tras los cuales vencerá la clave.
Debe configurar una nueva clave maestra antes de que expire la clave actual. Si la clave
maestra expira, el cortafuegos o Panorama se reiniciarán automáticamente en el modo
Mantenimiento. Luego, deberá realizar el Restablecimiento del cortafuegos a los ajustes
predeterminados de fábrica.
STEP 5 | Introduzca un Time for Reminder (Período restante) que especifique el número de Days (Días)
y Hours (Horas) antes de que la clave maestra venza cuando el cortafuegos genere una alarma
de vencimiento. El cortafuegos abre automáticamente el cuadro de diálogo System Alarms
(Alarmas de sistema) para mostrar la alarma.
STEP 6 | (Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Si desea
información detallada, consulte el Cifrado de una clave maestra utilizando un HSM.
STEP 1 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates (Certificados) > Device Certificates (Certificados de dispositivo).
STEP 2 | Si el cortafuegos tiene más de un sistema virtual (vsys), seleccione la ubicación en Location
(Ubicación) (vsys o Shared [Compartido]) para esta configuración.
STEP 6 | Si el dispositivo tiene más de un vsys y desea que el certificado esté disponible para todos los
vsys, seleccione la casilla de verificación Shared (Compartido).
STEP 7 | Deje el campo Signed By (Firmado por) en blanco para designar el certificado como
autofirmado.
STEP 9 | Deje en blanco el campo OCSP Responder (Respondedor OCSP); la verificación del estado de
revocación de certificados no se aplica a certificados de CA raíz.
STEP 1 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates (Certificados) > Device Certificates (Certificados de dispositivo).
STEP 2 | Si el cortafuegos tiene más de un sistema virtual (vsys), seleccione la ubicación en Location
(Ubicación) (vsys o Shared [Uso compartido]) para esta configuración.
STEP 4 | Seleccione Local (por defecto) como el Certificate Type (Tipo de certificado), a menos que
desee implementar certificados SCEP a clientes GlobalProtect.
STEP 5 | Introduzca un Certificate Name (Nombre de certificado). El nombre distingue entre mayúsculas
y minúsculas y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar únicamente letras,
números, guiones y guiones bajos.
STEP 7 | Si el dispositivo tiene más de un vsys y desea que el certificado esté disponible para todos los
vsys, seleccione la casilla de verificación Shared (Uso compartido).
STEP 8 | En el campo Signed By (Firmado por), seleccione el certificado de CA raíz que emitirá el
certificado.
STEP 10 | Para el Algorithm (Algoritmo) de generación de claves, seleccione RSA (por defecto)
o Elliptical Curve DSA (DSA de curva elíptica) (ECDSA). ECDSA se recomienda para
navegadores de clientes y sistemas operativos compatibles.
Los cortafuegos que ejecutan la versión PAN-OS 6.1 o anteriores eliminarán cualquier
certificado de ECDSA que envíe desde Panorama™, y ningún certificado RSA firmado
por una entidad de certificación (CA) ECDSA será válido en esos cortafuegos.
No puede utilizar un módulo de seguridad de hardware (HSM) para almacenar claves ECDSA utilizadas
para el descifrado de SSL/TLS.
STEP 11 | Seleccione el Number of Bits (Número de bits) para definir la extensión de la clave del
certificado. Mientras más alto sea el número más seguro será, pero requerirá más tiempo de
procesamiento.
STEP 13 | En Expiration (Vencimiento), escriba la cantidad de días (por defecto es 365) durante los
cuales es válido el certificado.
STEP 14 | (Opcional) Seleccione Add (Añadir) para añadir los Certificate Attributes (Atributos del
certificado) para identificar de manera exclusiva el cortafuegos y el servicio que vaya a utilizar
el certificado.
STEP 16 | Seleccione las casillas de verificación que se correspondan con el uso que se pretende dar al
certificado en el cortafuegos.
Por ejemplo, si el cortafuegos va a utilizar este certificado para asegurar el reenvío de syslogs a un
servidor syslog externo, seleccione la casilla de verificación Certificate for Secure Syslog (Certificado de
syslog seguro).
STEP 1 | Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizará
para la autenticación.
Al exportar una clave privada, debe introducir una frase de contraseña para cifrar la clave para su
transporte. Asegúrese de que el sistema de gestión puede acceder a los archivos del certificado y clave.
Al importar la clave en el cortafuegos, debe introducir la misma frase de contraseña para descifrarla.
STEP 2 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates (Certificados) > Device Certificates (Certificados de dispositivo).
STEP 3 | Si el cortafuegos tiene más de un sistema virtual (vsys), seleccione la ubicación en Location
(Ubicación) (vsys o Shared [Compartida]) para esta configuración.
STEP 4 | Haga clic en Import (Importar) e introduzca un Certificate Name (Nombre de certificado). El
nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Debe ser
exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.
STEP 5 | Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla
de verificación Compartido. Esta casilla de verificación solo aparece si el cortafuegos admite
múltiples sistemas virtuales.
STEP 6 | Introduzca la ruta y el nombre del Certificate File (Archivo de certificado) que recibió de la CA
o seleccione Browse (Examinar) para buscar el archivo.
STEP 8 | Introduzca y vuelva a introducir (confirme) la Frase de contraseña utilizada para cifrar la clave
privada.
STEP 9 | Haga clic en OK (Aceptar). La página Device Certificates (Certificados de dispositivos) muestra
el certificado importado.
STEP 1 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates (Certificados) > Device Certificates (Certificados de dispositivo).
STEP 2 | Si el cortafuegos tiene más de un sistema virtual (virtual system, vsys), seleccione la ubicación
en Location (Ubicación) (vsys o Shared [Uso compartido]) para el certificado.
STEP 3 | Seleccione el certificado, haga clic en Export (Exportar) y seleccione un File Format (Formato
de archivo):
• Base64 Encoded Certificate (PEM) (Certificado codificado en Base64): es el formato por defecto.
Se trata del formato más común y más ampliamente aceptado de Internet. Si desea que el archivo
exportado incluya la clave privada, seleccione la casilla de verificación Export Private Key (Exportar
clave privada).
• Encrypted Private Key and Certificate (PKCS12) (Clave privada cifrada y certificado): este formato
es más seguro que PEM, pero no es tan común o tan ampliamente admitido. El archivo exportado
incluirá automáticamente la clave privada.
• Binary Encoded Certificate (DER) (Certificado codificado binario): este es el formato que admite
la mayor cantidad de tipos de sistemas operativos. Puede exportar el certificado únicamente, no la
clave: para ello, ignore la casilla de verificación Export Private Key (Exportar clave privada) y los
campos de frase de contraseña.
STEP 4 | Escriba una frase de contraseña en Passphrase (Frase de contrseña) y repítala en Confirm
Passphrase (Confirmar frase de contrseña) para cifrar la clave privada si el valor de File Format
(Formato de archivo) es PKCS12 o si es PEM y ha seleccionado la casilla de verificación
Export Private Key (Exportar clave privada). Usará esta frase de contraseña cuando importe el
certificado y la clave en sistemas cliente.
STEP 1 | Para cada servicio deseado, genere o importe un certificado en el cortafuegos (consulte
Obtención de certificados).
STEP 2 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > SSL/TLS
Service Profile (Perfil de servicio SSL/TLS).
STEP 3 | Si el cortafuegos tiene más de un sistema virtual (virtual system, vsys), seleccione la ubicación
en Location (Ubicación) (vsys o Shared [Compartida]) en la que el perfil está disponible.
STEP 4 | Haga clic en Add (Añadir) e introduzca un Name (Nombre) para identificar el perfil.
STEP 1 | Obtenga el certificado que autenticará el cortafuegos o Panorama para los sistemas cliente de
administradores.
Puede simplificar su implementación de certificados mediante el uso de un certificado en el que
los sistemas clientes ya confíen. Por lo tanto, le recomendamos que realice una Importación de un
certificado y una clave privada de su autoridad de certificación (certificate authority, CA) empresarial o
la Obtención de un certificado desde una CA externa; el almacén de certificados raíz de confianza de los
sistemas cliente probablemente ya tenga el certificado CA raíz asociado que garantiza confianza.
Para una seguridad mejorada, recomendamos que configure Min Version (Versión
mínima) (la versión más antigua permitida de TLS) a TLSv1.1 para el tráfico de gestión
entrante. También recomendamos que use un perfil de servicio SSL/TLS diferente para
cada cortafuegos o servicio de Panorama en lugar de reutilizar este perfil para todos los
servicios.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y, en la sección
Decryption Settings (Configuración de descifrado), haga clic en SSL Forward Proxy Settings
(Configuración de proxy de reenvío de SSL).
El cambio del ajuste del tamaño de la clave borra la caché del certificado actual.
Revocación de un certificado
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos
son un cambio de nombre, un cambio de asociación entre el sujeto y la entidad de certificación (por ejemplo,
un empleado cuyo contrato se resuelva) y la revelación (confirmada o sospechada) de la clave privada. En
estas circunstancias, la entidad de certificación (CA) que emitió el certificado deberá revocarlo. La siguiente
tarea describe cómo revocar un certificado para el que el cortafuegos sea la CA.
STEP 1 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates (Certificados) > Device Certificates (Certificados de dispositivo).
STEP 2 | Si el cortafuegos admite varios sistemas virtuales, la pestaña muestra el menú desplegable
Location (Ubicación). Seleccione el sistema virtual al que pertenece el certificado.
STEP 4 | Haga clic en Revoke (Revocar). PAN-OS inmediatamente establece el estado del certificado
como revocado y añade el número de serie a la caché del respondedor del protocolo de estado
de certificado en línea (OCSP) o la lista de revocación de certificados (CRL). No necesita realizar
una compilación.
Renovación de un certificado
Si un certificado vence, o lo hará pronto, puede restablecer el periodo de validez. Si una autoridad de
certificación (certificate authority, CA) externa firmó el certificado y el cortafuegos utiliza el protocolo
de estado de certificado en línea (Online Certificate Status Protocol, OCSP) para verificar el estado de
revocación de certificados, el cortafuegos utilizará información del respondedor OCSP para actualizar el
estado del certificado (consulte Configuración de un respondedor OCSP). Si el cortafuegos es la CA que
emitió el certificado, el cortafuegos lo sustituirá por un nuevo certificado que tenga un número de serie
diferente pero los mismos atributos que el certificado anterior.
STEP 1 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates (Certificados) > Device Certificates (Certificados de dispositivo).
STEP 2 | Si el cortafuegos tiene más de un sistema virtual (vsys), seleccione la ubicación en Location
(Ubicación) (vsys o Shared [Compartida]) para esta configuración.
STEP 3 | Seleccione el certificado que desea renovar y haga clic en Renew (Renovar).
STEP 4 | Introduzca un New Expiration Interval (Nuevo intervalo de vencimiento) (en días).
STEP 1 | Defina los ajustes de conexión para cada HSM SafeNet Network.
1. Inicie sesión en la interfaz web del cortafuegos y seleccione Device (Dispositivo) > Setup
(Configuración) > HSM.
2. Modifique la sección de proveedor de módulo de seguridad de hardware y configure el Provider
Configured (Proveedor configurado) en SafeNet Network HSM.
3. Seleccione Add (Añadir) para añadir cada servidor HSM de la siguiente manera. Una configuración
HSM de alta disponibilidad (HA) requiere dos servidores.
1. Especifique un nombre en Module Name (Nombre del módulo) para el servidor HSM. Puede ser
cualquier cadena ASCII con una longitud de hasta 31 caracteres.
2. Ingrese una dirección IPv4 como Server Address (Dirección de servidor) HSM.
4. (HA únicamente) Seleccione High Availability (Alta disponibilidad), especifique el valor de Auto
Recovery Retry (Reintento de recuperación automática) e ingrese un High Availability Group Name
(Nombre de grupo de alta disponibilidad).
STEP 2 | (Opcional) Configure una ruta de servicio para conectarse a HSM si no desea que el
cortafuegos se conecte a través de la interfaz de gestión (opción predeterminada).
Si configura una ruta de servicio para HSM, la ejecución del comando CLI clear
session all borrará todas las sesiones HSM existentes, y hará que todos los estados
del HSM se desconecten y luego se conecten nuevamente. Durante los segundos que
necesita el HSM para recuperarse, fallarán todas las operaciones de SSL/TLS.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) y haga clic en Service
Route Configuration (Configuración de ruta de servicio).
2. Seleccione Customize (Personalizar) para personalizar una ruta de servicio. La pestaña IPv4 está
activa de manera predeterminada.
3. Haga clic en HSM en la columna Service (Servicio).
4. Seleccione una Source Interface (Interfaz de origen) para el HSM.
5. Haga clic en OK (Aceptar) y Commit (Confirmar).
STEP 6 | (HA únicamente) Repita la autenticación anterior y los pasos de conexión de partición para
añadir el HSM al grupo HA existente.
Las configuraciones del HSM no están sincronizadas entre peers de cortafuegos en alta
disponibilidad (HA). Por consiguiente, deberá configurar el HSM por separado en cada uno
de los peers. En implementaciones de HA activas/pasivas, deberá realizar manualmente una
conmutación por error para configurar y autenticar cada peer de HA individualmente en el
HSM. Después de realizar esta conmutación manual inicial, la interacción del usuario no
será necesaria para la función de conmutación por error.
STEP 1 | Defina los ajustes de conexión para cada HSM Thales nShield Connect.
1. Inicie sesión en la interfaz web del cortafuegos y seleccione Device (Dispositivo) > Setup
(Configuración) > HSM.
2. Modifique la sección de proveedor de módulo de seguridad de hardware y configure el Provider
Configured (Proveedor configurado) en Thales nShield Connect.
3. Seleccione Add (Añadir) para añadir cada servidor HSM de la siguiente manera. Una configuración
HSM de alta disponibilidad (HA) requiere dos servidores.
1. Especifique un nombre en Module Name (Nombre del módulo) para el servidor HSM. Puede ser
cualquier cadena ASCII con una longitud de hasta 31 caracteres.
2. Ingrese una dirección IPv4 como Server Address (Dirección de servidor) HSM.
4. Imtroduzca una dirección IPv4 para la Remote Filesystem Address (Dirección de sistema de archivos
remoto).
5. Haga clic en OK (Aceptar) y Commit (Confirmar).
STEP 2 | (Opcional) Configure una ruta de servicio para conectarse a HSM si no desea que el
cortafuegos se conecte a través de la interfaz de gestión (opción predeterminada).
Si configura una ruta de servicio para HSM, la ejecución del comando CLI clear
session all borrará todas las sesiones HSM existentes, y hará que todos los estados
del HSM se desconecten y luego se conecten nuevamente. Durante los segundos que
necesita el HSM para recuperarse, fallarán todas las operaciones de SSL/TLS.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) y haga clic en Service
Route Configuration (Configuración de ruta de servicio).
2. Seleccione Customize (Personalizar) para personalizar una ruta de servicio. La pestaña IPv4 está
activa de manera predeterminada.
3. Haga clic en HSM en la columna Service (Servicio).
4. Seleccione una Source Interface (Interfaz de origen) para el HSM.
5. Haga clic en OK (Aceptar) y Commit (Confirmar).
STEP 4 | Configure el RFS para que acepte las conexiones del cortafuegos.
1. Inicie sesión en el RFS desde un cliente Linux.
2. Obtenga el número de serie electrónico (electronic serial number, ESN) y el hash de la clave KNETI,
que autentica el HSM en los clientes, al ejecutar el comando anonkneti <ip-address>, donde
<ip-address> es la dirección IP de HSM.
A continuación se muestra un ejemplo:
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
STEP 6 | Sincronice el cortafuegos con el RFS al seleccionar Device (Dispositivo) > Setup
(Configuración) > HSM y Synchronize with Remote Filesystem (Sincronizar con el sistema de
archivo remoto).
Los cortafuegos configurados en modo FIPS/CC no admiten cifrado de clave maestra con
HSM.
Los siguientes temas describen cómo descifrar la clave maestra inicialmente y cómo actualizar el cifrado de
la clave maestra:
• Cifrado de la clave maestra
• Actualización del cifrado de la clave maestra
STEP 1 | Seleccione Device (Dispositivo) > Master Key and Diagnostics (Clave maestra y diagnóstico).
STEP 2 | Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y
contraseñas del cortafuegos en el campo Master Key (Clave maestra).
STEP 3 | Si está cambiando la clave maestra, introduzca la nueva clave maestra y confírmela.
STEP 2 | Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un
HSM:
Si la clave maestra está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste en el
HSM y cifrará la clave maestra con la nueva clave de ajuste.
Si la clave maestra no está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste
en el HSM para su uso en el futuro.
Este comando no elimina la clave de ajuste anterior.
STEP 2 | (Solo Thales nShield Connect) Sincronice los datos clave desde el sistema de archivos remotos
Thales nShield con el cortafuegos.
STEP 4 | (Solo certificados de reenvío fiables) Habilite el certificado para su uso en el proxy SSL/TLS de
reenvío.
1. Abra el certificado que importó en el paso 3 para editarlo.
2. Seleccione Forward Trust Certificate (Certificados de reenvío fiables).
3. Haga clic en OK (Aceptar) y Commit (Confirmar).
241
242 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Alta disponibilidad
© 2017 Palo Alto Networks, Inc.
Descripción general de la alta disponibilidad
Puede configurar hasta dos cortafuegos de Palo Alto Networks como un par de HA. La HA le permite
reducir al mínimo la inactividad al garantizar que haya un cortafuegos alternativo disponible en el caso de
que falle el cortafuegos peer. Los cortafuegos en un clúster en HA usan puertos HA dedicados o internos en
el cortafuegos para sincronizar datos (configuraciones de red, objeto y política) y mantener la información
de estado. Los peers no comparten información de la configuración específica de los cortafuegos, como la
dirección IP de la interfaz de gestión o perfiles de administrador, la configuración específica de HA, datos
de log y el Centro de comando de aplicación (ACC). Para obtener una vista consolidada de aplicaciones y
logs a través del clúster en HA, deberá utilizar Panorama, el sistema de gestión centralizado de Palo Alto
Networks.
Cuando se produce un fallo en un cortafuegos en un par de HA y el cortafuegos del peer toma el control
de la tarea de proteger el tráfico, el evento se denomina una conmutación por error. Las condiciones que
activan una conmutación por error son las siguientes:
• Falla una o más de las interfaces supervisadas. (Supervisión de enlaces)
• No se puede llegar a uno o más de los destinos especificados en el cortafuegos. (Supervisión de rutas)
• El cortafuegos no responde a sondeos de heartbeat. (Sondeos de heartbeat y mensajes de saludo)
• Un chip o componente de software crítico falla, lo que se conoce como supervisión del estado de la ruta
del paquete.
Puede usar Panorama para gestionar los cortafuegos HA. Consulte Cambio de contexto—Cortafuegos o
Panorama en la Guía del administrador de Panorama.
Los cortafuegos de Palo Alto Networks admiten alta disponibilidad activo/activo o activo/pasivo de estado
con sincronización de sesión y configuración, con algunas excepciones.
• El cortafuegos PA-200 admite HA Lite únicamente.
• El cortafuegos VM-Series de AWS acepta solamente HA activa/pasiva; si se implementa con Amazon
Elastic Load Balancing (ELB), no acepta HA (en este caso, el ELB proporciona capacidades de
conmutación de fallos).
• El cortafuegos serie VM en Microsoft Azure no admite HA.
Tras comprender los conceptos de HA, continúe con la Configuración de la HA activa/pasiva o la
Configuración de la HA activa/activa.
Modos de HA
Puede configurar los cortafuegos para el HA en dos modos:
• Activo/pasivo: un dispositivo gestiona activamente el tráfico mientras que el otro está sincronizado
y listo para pasar al estado activo en el caso de que se produjera un fallo. En este modo, ambos
cortafuegos comparten los mismos ajustes de configuración y uno gestiona activamente el tráfico hasta
que se produce un fallo de ruta, enlace, sistema o red. Cuando el cortafuegos activo falla, el cortafuegos
pasivo pasa al estado activo y toma el control sin interrupciones, y aplica las mismas políticas para
mantener la seguridad de red. El HA activo/pasivo es compatible con las implementaciones de Virtual
Wire, capa 2 y capa 3.
Una configuración activo/activo no equilibra la carga del tráfico. Si bien puede compartir
la carga al enviar el tráfico al peer, no se produce el equilibrio de la carga. Algunas
maneras de compartir la carga de sesiones con ambos cortafuegos incluyen el uso de
ECMP, varios ISP y equilibradores de carga.
Al decidir si usar el modo activo/pasivo o activo/activo, tenga en cuenta las siguientes diferencias:
Los enlaces de HA1 y HA2 proporcionan sincronización para funciones que residen en
el plano de gestión. Utilizar las interfaces de HA específicas del plano de gestión es más
eficaz que utilizar los puertos internos, ya que así se elimina la necesidad de pasar los
paquetes de sincronización a través del plano de datos.
Enlace de datos El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas,
asociaciones de seguridad de IPSec y tablas de ARP entre cortafuegos de un
clúster en HA. El flujo de datos del enlace de HA2 siempre es unidireccional
(excepto en la conexión persistente de HA2); fluye desde el cortafuegos
activo o activo-principal al cortafuegos pasivo o pasivo-secundario. El enlace
de HA2 es un enlace de capa 2 y utiliza el tipo ether 0x7261 de manera
predeterminada.
Puertos used for HA2: el enlace de datos de HA puede configurarse para
utilizar IP (número de protocolo 99) o UDP (puerto 29281) como transporte,
lo que permite que el enlace de datos de HA utilice subredes.
Enlaces de backup Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan puertos
internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en
cuenta las siguientes directrices al configurar enlaces de HA de backup:
• Las direcciones IP de los enlaces de HA principal y backup no deben
solaparse entre sí.
• Los enlaces de backup de HA deben encontrarse en una subred diferente
de la de los enlaces de HA principales.
• Los puertos de backup de HA1 y HA2 deben configurarse en puertos
físicos separados. El enlace de backup de HA1 utiliza los puertos 28770 y
28260.
Enlace de reenvío de Además de los enlaces de HA1 y HA2, las implementaciones activa/activa
paquete también requieren un enlace HA3 dedicado. Los cortafuegos utilizan este
enlace para el reenvío de paquetes al peer durante la configuración de la
sesión y el flujo de tráfico asimétrico. El enlace de HA3 es un enlace de capa
2 que utiliza encapsulación MAC-in-MAC. No admite direcciones o cifrado
de capa 3. Los cortafuegos de la serie PA-7000 sincronizan las sesiones de
los NPC uno por uno. En los cortafuegos serie PA-800, PA-3000, PA-5000
y PA-5200, puede configurar interfaces agregadas como un enlace HA3.
Las interfaces agregadas también pueden proporcionar redundancia para el
enlace HA3; usted no puede configurar enlaces de copia de seguridad para el
enlace HA3. En los cortafuegos serie PA-5200 y PA-7000, los puertos HSCI
dedicados admiten el enlace HA3. El cortafuegos añade un encabezado de
paquete exclusivo a los paquetes que cruzan el enlace HA3, por lo que la
MTU en este enlace debe ser superior a la extensión máxima del paquete
reenviado.
Cada cortafuegos del par HA crea una dirección MAC virtual para cada una de sus interfaces que posee una
dirección IP flotante o dirección IP de uso compartido de carga de ARP.
El formato de la dirección MAC virtual (en cortafuegos que no sean de la serie PA-7000) es 00-1B-17-00-
xx-yy, donde 00-1B-17 es el ID del proveedor (de Palo Alto Networks en este caso), 00 es fijo, xx indica el
ID del dispositivo y el ID de grupo, como se muestra en la siguiente figura, e yy es el ID de interfaz:
Cuando un cortafuegos activo toma el control, envía ARP gratuitos de cada una de sus interfaces
conectadas para informar a los conmutadores de capa 2 conectados de la nueva ubicación de la dirección
MAC virtual. Para configurar direcciones IP flotantes, consulte Caso de uso: configuración de HA activa/
activa con direcciones IP flotantes.
En este escenario, todos los hosts se configuran con una única dirección IP de puerta de enlace. Uno de
los cortafuegos responde a solicitudes de ARP para la dirección IP de puerta de enlace con su dirección
MAC virtual. Cada cortafuegos posee una dirección MAC virtual única generada para la dirección IP
compartida. El algoritmo de carga compartida que controla qué cortafuegos responderá a la solicitud de
ARP es configurable; se determina mediante el cálculo del hash o módulo de la dirección IP de origen de la
solicitud de ARP.
Después de que el host de destino recibe la respuesta de ARP de la puerta de enlace, captura la dirección
MAC y todo el tráfico del host se envía a través del cortafuegos que respondió con la dirección MAC virtual
Propietario de sesión
En una configuración HA activa/activa, ambos cortafuegos están activos simultáneamente, lo que
significa que los paquetes pueden distribuirse entre ellos. Dicha distribución requiere que los cortafuegos
desempeñen dos funciones: propiedad de la función y configuración de la sesión. En general, cada
cortafuegos del par desempeña una de estas funciones, con lo cual se evitan condiciones de carrera que
pueden producirse en entornos enrutados asimétricamente.
Configuración de sesión
El cortafuegos de configuración de sesión realiza el procesamiento de capa 2 a capa 4 necesario para
configurar una nueva sesión. El cortafuegos de configuración de sesión también realiza NAT usando
el grupo NAT del propietario de sesión. Usted determina el cortafuegos de configuración de sesión en
una configuración activa/activa al seleccionar una de las siguientes opciones de distribución de carga de
configuración de sesión.
IP Hash (Hash de IP) El cortafuegos utiliza un hash de las direcciones IP de origen y destino para
distribuir las responsabilidades de configuración de la sesión.
First Packet (Primer El cortafuegos que recibe el primer paquete de una sesión realiza la
paquete) configuración de la sesión.
El cortafuegos utiliza el enlace HA3 para enviar paquetes a su peer para la configuración de la sesión si
fuera necesario. La siguiente figura y texto describen la ruta de un paquete que el cortafuegos FW1 recibe
para una nueva sesión. Las líneas de puntos rojos indican que el cortafuegos FW1 reenvía el paquete al
FW2 y el FW2 devuelve el paquete al FW1 por el enlace HA3.
Si ya cuenta con un cortafuegos y desea añadir uno nuevo para HA, pero este ya
está configurado, se recomienda el Restablecimiento del cortafuegos a los ajustes
predeterminados de fábrica del nuevo cortafuegos. Esto garantizará que el nuevo
cortafuegos tenga una configuración limpia. Después de configurar la HA, deberá
sincronizar la configuración del cortafuegos principal con el cortafuegos recién
introducido con la configuración limpia.
Enlace de control Dirección IP del enlace de HA1 Dirección IP del enlace de HA1
configurado en este cortafuegos (PeerA). configurado en este cortafuegos
(PeerB).
Configuración de la HA activa/pasiva
El siguiente procedimiento muestra cómo configurar un par de cortafuegos en una implementación activo/
pasivo como se muestra en la topología de ejemplo siguiente.
Para configurar un par HA activo/pasivo, primero complete el siguiente flujo de trabajo en el primer
cortafuegos y luego repita los pasos en el segundo cortafuegos.
STEP 1 | Conecte los puertos de HA para establecer una conexión física entre los cortafuegos.
• En el caso de cortafuegos con puertos de HA específicos, utilice un cable Ethernet para conectar
los puertos de HA1 y HA2 específicos de los peers. Utilice un cable cruzado si los cortafuegos están
conectados directamente entre sí.
• En el caso de cortafuegos sin puertos de HA específicos, seleccione dos interfaces de datos para el
enlace de HA2 y el enlace de HA1 de backup. A continuación, utilice un cable Ethernet para conectar
estas interfaces de HA internas entre ambos cortafuegos.
Utilice el puerto de gestión para el enlace de HA1 y asegúrese de que los puertos de gestión pueden
conectarse entre sí a través de su red.
STEP 3 | Si el cortafuegos no tiene puertos de HA específicos, configure los puertos de datos para que
funcionen como puertos de HA.
En el caso de cortafuegos con puertos de HA específicos, vaya al siguiente paso.
1. Seleccione Network (Red) > Interfaces.
2. Confirme que el enlace está activado en los puertos que desee utilizar.
3. Seleccione la interfaz y establezca el Interface Type (Tipo de interfaz) como HA.
4. Establezca los ajustes Link Speed (Velocidad de enlace) y Link Duplex (Dúplex de enlace) según
corresponda.
STEP 8 | Configure la conexión del enlace de datos (HA2) y la conexión de HA2 de backup entre los
cortafuegos.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite la sección Data Link
(HA2) (Enlace de datos [HA2]).
2. Seleccione el Port (Puerto) para la conexión del enlace de datos.
3. Seleccione el método Transport (Transporte). El valor predeterminado es Ethernet y funcionará
cuando el par de HA se conecte directamente o a través de un conmutador. Si necesita enrutar el
tráfico del enlace de datos a través de la red, seleccione IP o UDP como modo de transporte.
4. Si utiliza IP o UDP como método de transporte, introduzca la IPv4/IPv6 Address (Dirección IPv4/
IPv6) y la Netmask (Máscara de red).
5. Verifique que se ha seleccionado Enable Session Synchronization (Habilitar sincronización de sesión).
6. Seleccione HA2 Keep-alive (Conexión persistente de HA2) para habilitar la supervisión del enlace
de datos de HA2 entre los peers de HA. Si se produce un fallo basado en el umbral establecido (el
valor predeterminado son 10.000 ms), se producirá la acción definida. En el caso de una configuración
activo/pasivo, se generará un mensaje de log de sistema crítico cuando se produzca un fallo de
conexión persistente de HA2.
STEP 9 | Habilite el backup del heartbeat si su enlace de control utiliza un puerto de HA específico o un
puerto interno.
No necesita habilitar el backup del heartbeat si está utilizando el puerto de gestión para el enlace de
control.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite la configuración de
elección.
2. Seleccione Heartbeat Backup (Copia de seguridad de heartbeat).
Para permitir la transmisión de heartbeats entre los cortafuegos, deberá verificar que el puerto de
gestión entre ambos peers puede enrutarse del uno al otro.
La configuración del estado de enlace como Auto (Automático) permite reducir la cantidad de tiempo
que tarda el cortafuegos pasivo en tomar el control cuando se produce una conmutación por error y le
permite supervisar el estado del enlace.
Para habilitar el estado de enlace del cortafuegos pasivo para que permanezca activado y refleje el
estado de cableado de la interfaz física:
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite la configuración
activa pasiva.
2. Establezca Estado de los enlaces en el pasivo (Passive Link State) como Auto (Automático).
La opción automática reduce la cantidad de tiempo que tarda el cortafuegos pasivo en tomar el
control cuando se produce una conmutación por error.
Cuando modifique el estado de enlace pasivo, asegúrese de que los dispositivos adyacentes
no reenvían el tráfico al cortafuegos pasivo basándose únicamente en el estado de enlace del
cortafuegos.
STEP 14 | (Opcional) Habilite LACP and LLDP Pre-Negotiation for Active/Passive HA (Negociación
previa de LACP y LLDP para la HA activa/pasiva) para una conmutación por error más rápida
si su red utiliza LACP o LLDP.
1. Asegúrese de configurar el estado del enlace como Auto (Automático) en el paso 12.
2. Seleccione Network (Red) > Interfaces > Ethernet.
3. Para habilitar la negociación previa activa de LACP:
1. Seleccione una interfaz AE en una implementación de capa 2 o capa 3.
2. Seleccione la pestaña LACP.
3. Seleccione Enable in HA Passive State (Habilitar en estado pasivo HA).
4. Haga clic en OK (Aceptar).
Si está utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de
motor de SNMPv3 es exclusivo para cada cortafuegos; EngineID no se sincroniza entre el
clúster en HA y, por lo tanto, le permite supervisar independientemente cada cortafuegos del
clúster en HA. Para obtener información sobre la configuración de SNMP, consulte Reenvío
de capturas a un administrador SNMP. Como EngineID se genera utilizando el número de
serie del cortafuegos, en el cortafuegos VM-Series deberá aplicar una licencia válida para
obtener un EngineID exclusivo para cada cortafuegos.
STEP 1 | Para configurar la supervisión de enlaces, defina las interfaces que desea supervisar. Un cambio
en el estado de enlace de estas interfaces activará una conmutación por error.
1. Seleccione Device (Dispositivo) > High Availability (Alta disponibilidad) > Link and Path Monitoring
(Supervisión de enlaces y rutas) y haga clic en Add (Añadir) para añadir un grupo de enlaces.
2. Asigne un nombre al Link Group (Grupo de enlaces), seleccione Add (Añadir) para añadir las
interfaces para su supervisión y seleccione la Failure Condition (Condición de fallo para el grupo). El
grupo de enlaces que defina se añadirá a la sección Link Group (Grupo de enlaces).
STEP 2 | (Opcional) Modifique la condición de fallo de los grupos de enlaces que configuró (en el paso
anterior) en el cortafuegos.
De manera predeterminada, el cortafuegos activará una conmutación por error cuando falle cualquier
enlace supervisado.
1. Seleccione la sección Link Monitoring (Supervisión de enlaces).
2. Establezca la Failure Condition (Condición de fallo) como All (Todas).
El ajuste predeterminado es Any (Cualquiera).
STEP 3 | Para configurar la supervisión de rutas, defina las direcciones IP de destino en las que el
firewall debería hacer ping para verificar la conectividad de red.
1. En la sección Path Group (Grupo de rutas) de la pestaña Device (Dispositivo) > High Availability (Alta
disponibilidad) > Link and Path Monitoring (Supervisión de enlaces y rutas), seleccione Add option
for your set up (Añadir para su configuración): Virtual Wire, VLAN o Enrutador virtual.
2. Seleccione el elemento adecuado del menú desplegable para el nombre en Name (Nombre) y haga
clic en Add (Añadir) para añadir las direcciones IP (origen o destino, según se le pida) que desee
STEP 4 | (Opcional) Modifique la condición de fallo para todos los grupos de rutas configurados en el
cortafuegos.
De manera predeterminada, el cortafuegos activará una conmutación por error cuando falle cualquier
ruta supervisada.
Establezca la Failure Condition (Condición de fallo) como All (Todas).
El ajuste predeterminado es Any (Cualquiera).
Si ya tiene un cortafuegos y desea añadir uno nuevo para HA pero este ya está
configurado, se recomienda que realice el Restablecimiento del cortafuegos a los
ajustes predeterminados de fábrica en el nuevo cortafuegos. Esto garantizará que
el nuevo cortafuegos tenga una configuración limpia. Después de configurar la HA,
deberá sincronizar la configuración del cortafuegos principal con el cortafuegos recién
introducido con la configuración limpia. También deberá configurar las direcciones IP
locales.
STEP 1 | Conecte los puertos de HA para establecer una conexión física entre los cortafuegos.
Para cada caso de uso, los cortafuegos podrían ser cualquier modelo de hardware; elija
el paso HA3 que corresponda a su modelo.
• En el caso de cortafuegos con puertos de HA específicos, utilice un cable Ethernet para conectar
los puertos de HA1 y HA2 específicos de los peers. Utilice un cable cruzado si los cortafuegos están
conectados directamente entre sí.
• En el caso de cortafuegos sin puertos de HA específicos, seleccione dos interfaces de datos para el
enlace de HA2 y el enlace de HA1 de backup. A continuación, utilice un cable Ethernet para conectar
estas interfaces de HA internas entre ambos cortafuegos. Utilice el puerto de gestión para el enlace
de HA1 y asegúrese de que los puertos de gestión pueden conectarse entre sí a través de su red.
• Para HA3:
• En los cortafuegos de la serie PA-7000, conecte la interconexión de bastidor de alta velocidad
(High Speed Chassis Interconnect, HSCI) en el primer bastidor con la HSCI-A en el segundo
bastidor, y la HSCI-B en el primer bastidor con la HSCI-B en el segundo bastidor. En un
cortafuegos de la serie PA-5200 (que posee un puerto HSCI), conéctese con el puerto HSCI del
primer bastidor con el puerto HSCI en el segundo bastidor. También puede utilizar los puertos de
datos para los cortafuegos HA3 en los cortafuegos de la serie PA-5200.
• En cualquier otro modelo de hardware, use interfaces de plano de datos para HA3.
STEP 3 | Si el cortafuegos no tiene puertos de HA específicos, configure los puertos de datos para que
funcionen como puertos de HA.
En el caso de cortafuegos con puertos de HA específicos, vaya al siguiente paso.
1. Seleccione Network (Red) > Interfaces.
2. Confirme que el enlace está activado en los puertos que desee utilizar.
3. Seleccione la interfaz y establezca el Interface Type (Tipo de interfaz) como HA.
4. Establezca los ajustes Link Speed (Velocidad de enlace) y Link Duplex (Dúplex de enlace) según
corresponda.
STEP 6 | Determine si el cortafuegos con el ID de dispositivo más bajo reemplaza al cortafuegos activo-
principal tras la recuperación después de un fallo.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite Election Settings
(Configuración de elección).
2. Seleccione Preemptive (Preferente) para que el cortafuegos con el ID de dispositivo más bajo
reanude automáticamente el funcionamiento activo-principal después de que cualquiera de los
cortafuegos se recuperen de un fallo. Ambos cortafuegos deben tener la opción Preemptive
(Preferente) seleccionada para que se produzca el reemplazo.
Deje Preemptive (Preferente) sin seleccionar si desea que la función activa-principal continúe con
el cortafuegos actual hasta que usted convierta manualmente el cortafuegos recuperado en el
cortafuegos activo-principal.
STEP 7 | Habilite el backup del heartbeat si su enlace de control utiliza un puerto de HA específico o un
puerto interno.
No necesita habilitar la copia de seguridad de heartbeat si está utilizando el puerto de gestión para el
enlace de control.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite Election Settings
(Configuración de elección).
2. Seleccione Heartbeat Backup (Copia de seguridad de heartbeat).
Para permitir la transmisión de heartbeats entre los cortafuegos, deberá verificar que el puerto de
gestión entre ambos peers puede enrutarse del uno al otro.
STEP 12 | Configure la conexión del enlace de datos (HA2) y la conexión de HA2 de backup entre los
cortafuegos.
STEP 19 | Habilite las tramas gigantes en los cortafuegos que no sean de la serie PA-7000.
Los puertos de conmutación que conectan el enlace HA3 deben admitir tramas gigantes para manejar la
carga de trabajo asociada con la encapsulación MAC-in-MAC en el enlace HA3.
El tamaño del paquete de trama gigante en el cortafuegos debe coincidir con el ajuste del
conmutador.
STEP 5 | Configure el cortafuegos del peer de la misma manera, excepto en el paso 5, si seleccionó
el ID de dispositivo 0 para el primer cortafuegos, seleccione el ID de dispositivo 1 para el
cortafuegos del peer.
STEP 4 | Habilite las tramas gigantes en los cortafuegos que no sean de la serie PA-7000.
Realice el paso 19 de la Configuración HA activa/activa.
STEP 4 | Habilite las tramas gigantes en los cortafuegos que no sean de la serie PA-7000.
STEP 7 | Configure el cortafuegos del peer de la misma manera, pero no seleccione un ID de dispositivo
diferente.
Por ejemplo, si seleccionó el ID de dispositivo 0 para el primer cortafuegos, seleccione el ID de
dispositivo 1 para el cortafuegos del peer.
La vinculación de la dirección IP flotante con el cortafuegos activo-principal le brinda mayor control sobre
la manera en que el cortafuegos determina la propiedad de la dirección IP flotante a medida que se mueve
entre diferentes estados HA de cortafuegos. Se obtienen las siguientes ventajas:
• Puede tener una configuración HA activa/activa para la supervisión de ruta de ambos cortafuegos, pero
tener la función de los cortafuegos como una configuración HA activa/pasiva debido a que el tráfico
direccionado hacia la dirección IP flotante siempre va hacia el cortafuegos activo-principal.
Cuando desactiva la preferencia en ambos cortafuegos, tiene los siguientes beneficios adicionales:
• La dirección IP flotante no se mueve hacia atrás y hacia adelante entre los cortafuegos HA si el
cortafuegos activo-secundario alterna entre activo e inactivo.
• Puede revisar la funcionalidad del cortafuegos recuperado y los componentes adyacentes antes de dirigir
el tráfico manualmente otra vez, y puede realizar esto en un tiempo de inactividad adecuado.
No puede configurar NAT para una dirección IP flotante que está vinculada a un cortafuegos
activo-principal.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite la configuración de
elección.
2. Desmarque Preemptive si está habilitado.
3. Haga clic en OK (Aceptar).
También debe diseñar la red para eliminar la posibilidad de flujo de tráfico asimétrico
hacia el par HA. Si no lo hace y el tráfico va hacia el cortafuegos activo-secundario,
configurar Session Owner Selection (Selección del responsable de la sesión) y
Session Setup (Configuración de la sesión) en Primary Device (Dispositivo principal)
STEP 7 | Habilite las tramas gigantes en los cortafuegos que no sean de la serie PA-7000.
STEP 9 | Configure el cortafuegos del peer de la misma manera, excepto que con la selección de un ID
de dispositivo diferente.
Por ejemplo, si seleccionó el ID de dispositivo 0 para el primer cortafuegos, seleccione el ID de
dispositivo 1 para el cortafuegos del peer.
STEP 7 | Habilite las tramas gigantes en los cortafuegos que no sean de la serie PA-7000.
STEP 10 | Configure el cortafuegos del peer, PA-3050-1, con los mismos ajustes, excepto por los
siguientes cambios:
• Seleccione Device ID 0 (ID de dispositivo 0).
• Configure una dirección virtual de 10.1.1.100.
• Para Device 1 Priority (Prioridad de dispositivo 1), introduzca 255. Para Device 0 Priority (Prioridad
de dispositivo 0), introduzca 0.
En este ejemplo, el ID de dispositivo 0 posee un valor de prioridad baja, por lo cual tiene prioridad
alta . Así pues, el cortafuegos con el ID de dispositivo 0 (PA-3050-1) es propietario de la dirección IP
10.1.1.100.
STEP 11 | Antes de salir de PA-3050-1, cree la regla NAT de origen para el ID de dispositivo 0.
1. Seleccione Policies (Políticas) > NAT y haga clic en Add (Añadir).
2. Introduzca un nombre en Name (Nombre) para la regla, que en este ejemplo la identifica como una
regla NAT de origen para el ID de dispositivo 0.
3. Para NAT Type (Tipo de NAT), seleccione ipv4 (opción por defecto).
4. En Original Packet (Paquete original), para Source Zone (Zona de origen), seleccione Any
(Cualquiera).
5. Para Destination Zone (Zona de destino), seleccione la zona que creó para la red externa.
6. Permita que Destination Interface (Interfaz de destino), Service (Servicio), Source Address (Dirección
de origen) y Destination Address (Dirección de destino) queden configuradas en Any (Cualquiera).
7. Para el Translated Packet (Paquete traducido), seleccione Dynamic IP And Port (IP dinámica y
puerto) para Translation Type (Tipo de traducción).
8. Para Address Type (Tipo de dirección), seleccione Interface Address (Dirección de interfaz), en cuyo
caso la dirección traducida será la dirección IP en la interfaz. Seleccione Interface (Interfaz) (eth1/1
en este ejemplo) y una IP Address (Dirección IP) de la dirección IP flotante 10.1.1.100.
9. En la pestaña Active/Active HA Binding (Vinculación de HA activa/activa), para Active/Active HA
Binding, seleccione0 para vincular la regla NAT al ID de dispositivo 0.
10.Haga clic en OK (Aceptar).
STEP 6 | Habilite las tramas gigantes en los cortafuegos que no sean de la serie PA-7000.
STEP 9 | Configure el cortafuegos del peer, PA-3050-1 (ID de dispositivo 0), con la misma configuración,
excepto en el paso 2, donde debe seleccionar Device ID 0 (ID de dispositivo 0).
STEP 10 | Antes de salir de PA-3050-1 (ID de dispositivo 0), cree la regla NAT de destino para que el
cortafuegos activo-principal responda a solicitudes de ARP.
1. Seleccione Policies (Políticas) > NAT y haga clic en Add (Añadir).
2. Introduzca un nombre en Name (Nombre) para la regla, que en este ejemplo la identifica como una
regla NAT de destino para el ARP de capa 2.
3. Para NAT Type (Tipo de NAT), seleccione ipv4 (opción por defecto).
4. En Original Packet (Paquete original), para Source Zone (Zona de origen), seleccione Any
(Cualquiera).
5. Para Destination Zone (Zona de destino), seleccione la zona Untrust que creó para la red externa.
6. Permita que Destination Interface (Interfaz de destino), Service (Servicio) y Source Address
(Dirección de origen) queden configuradas en Any (Cualquiera).
7. Para Destination Address (Dirección de destino), especifique 10.1.1.200.
8. Para Translated Packet (Paquete traducido), Source Address Translation(Traducción de dirección de
origen) queda en None (Ninguno).
9. Para Destination Address Translation (Traducción de dirección de destino), introduzca la dirección IP
privada del servidor de destino, que en este ejemplo es 192.168.1.200.
10.En la pestaña Active/Active HA Binding (Enlace HA activo/activo), en Active/Active HA Binding
(Enlace HA activo/activo), seleccione primary (principal) para vincular la regla NAT con el
cortafuegos en estado activo-principal.
11.Haga clic en OK (Aceptar).
STEP 6 | Habilite las tramas gigantes en los cortafuegos que no sean de la serie PA-7000.
STEP 9 | Configure el cortafuegos del peer, PA-3050-1 (ID de dispositivo 0), con la misma configuración,
pero ajuste la Device ID (ID de dispositivo) en 0 en lugar de 1.
STEP 10 | Antes de salir de PA-3050-1 (ID de dispositivo 0), cree la regla NAT de destino para el ID de
dispositivo 0 y el ID de dispositivo 1
1. Seleccione Policies (Políticas) > NAT y haga clic en Add (Añadir).
2. Introduzca un nombre en Name (Nombre) para la regla, que en este ejemplo la identifica como una
regla NAT de destino para el ARP de capa 3.
3. Para NAT Type (Tipo de NAT), seleccione ipv4 (opción por defecto).
4. En Original Packet (Paquete original), para Source Zone (Zona de origen), seleccione Any
(Cualquiera).
5. Para Destination Zone (Zona de destino), seleccione la zona Untrust que creó para la red externa.
6. Permita que Destination Interface (Interfaz de destino), Service (Servicio) y Source Address
(Dirección de origen) queden configuradas en Any (Cualquiera).
7. Para Destination Address (Dirección de destino), especifique 10.1.1.200.
8. Para Translated Packet (Paquete traducido), Source Address Translation(Traducción de dirección de
origen) queda en None (Ninguno).
9. Para Destination Address Translation (Traducción de dirección de destino), introduzca la dirección IP
privada del servidor de destino, que en este ejemplo es 192.168.1.200.
10.En la pestaña Active/Active HA Binding (Enlace HA activo/activo), en Active/Active HA Binding
(Enlace HA activo/activo), seleccioneboth (Ambos) para vincular la regla NAT al ID de dispositivo 0 y
al ID de dispositivo 1.
11.Haga clic en OK (Aceptar).
Inicial A/P o A/A Estado transitorio de un cortafuegos cuando se une al par de HA. El
cortafuegos permanece en este estado tras el arranque hasta que
descubre a un peer y las negociaciones comienzan. Luego del tiempo
de espera, el cortafuegos se vuelve activo si la negociación de HA no
ha iniciado.
No funcional A/P o A/A Estado de error debido a un fallo en el plano de datos o una falta
de coincidencia en la configuración, como un solo cortafuegos
configurado para el reenvío de paquetes, la sincronización de VR o la
sincronización de QoS.
En modo activo/pasivo, todas las causas que se enumeran para el
estado provisional causan un estado no funcional.
Solo las configuraciones confirmadas se sincronizan entre los peers HA. Las confirmaciones
en la cola de confirmación en el momento de la sincronización HA no se sincronizarán.
Los siguientes temas identifican qué ajustes de configuración debe establecer en cada cortafuegos de
manera independiente (estos ajustes no están sincronizados del peer HA).
• ¿Qué ajustes no se sincronizan en HA Activo/pasivo? on page 294
• ¿Qué ajustes no se sincronizan en HA Activo/activo? on page 296
• Sincronización de información de tiempos de ejecución del sistema on page 300
Capacidad de vsys Debe activar la licencia de los sistemas virtuales en cada cortafuegos del
múltiples par para aumentar la cantidad de sistemas virtuales sobre la cantidad
de referencia que se proporciona de manera predeterminada en los
cortafuegos serie PA-3000, PA-5000, PA-5200 y PA-7000
Además, debe habilitar Multi Virtual System Capability (Capacidad para
múltiples sistemas virtuales) en cada cortafuegos (Device [Dispositivos] >
Setup [Configuración] > Management [Gestión] > General Settings
[Configuración general]).
Rutas de servicio Device (Dispositivo) > Setup (Configuración) > Servicess (Servicios) >
globales Service Route Configuration (Configuración de ruta de servicio)
Configuración Device (Dispositivo) > Setup (Configuración) > Telemetry and Threat
de telemetría e Intelligence (Telemetría e inteligencia de amenazas)
inteligencia de
amenazas
Protección de datos Device (Dispositivo) > Setup (Configuración) > Content-ID > Manage
Data Protection (Gestionar protección de datos)
Jumbo Frames Device (Dispositivo) > Setup (Configuración) > Session (Sesión) > Session
Settings (Configuración de sesión) > Enable Jumbo Frame (Habilitar
trama gigante)
Reenviar los ajustes Device (Dispositivo) > Setup (Configuración) > Session (Sesión) >
de certificados del Decryption Settings (Configuración de descifrado) > SSL Forward Proxy
servidor proxy Settings (Configuración de proxy de reenvío SSL)
Clave maestra Device (Dispositivo) > Setup (Configuración) > HSM > Hardware
asegurada por HSM Security Module Provider (Proveedor de módulo de seguridad de
Clave maestra La clave maestra debe ser idéntica en cada cortafuegos en el par
HA, pero debe introducirla manualmente en cada cortafuegos
(Device [Dispositivo] > Master Key and Diagnostics [Clave maestra y
diagnóstico]).
Antes de cambiar la clave maestra, debe deshabilitar la sincronización de
configuración en ambos peers (Device [Dispositivo] > High Availability
[Alta disponibilidad] > General > Setup [Configuración] y desmarcar la
casilla de verificación Enable Config Sync [Habilitar sincronización de
configuración]) y después volver a habilitarla tras cambiar las claves.
Capacidad de vsys Debe activar la licencia de sistemas virtuales en cada cortafuegos del par
múltiples para aumentar la cantidad de sistemas virtuales por encima del número base
proporcionado de manera predeterminada en los cortafuegos de la serie
PA-3000, PA-5000, PA-5200 y PA-7000.
Asimismo, debe habilitar Multi Virtual System Capability (Capacidad para
múltiples sistemas virtuales) en cada cortafuegos (Device [Dispositivo] >
Setup [Configuración] > Management [Gestión] > General Settings [Ajustes
generales]).
Ajustes de Panorama Defina los siguientes ajustes de Panorama en cada cortafuegos (Device
[Dispositivo] > Setup [Configuración] > Management [Gestión] > Panorama
Settings [Ajustes de panorama]).
• Servidores de Panorama
• Disable Panorama Policy and Objects (Deshabilitar política y objetos de
Panorama) y Disable Device and Network Template (Deshabilitar plantilla
de dispositivo y red).
SNMP Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones) >
SNMP Setup (Configuración de SNMP)
Rutas de servicio Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Service
globales Route Configuration (Configuración de la ruta de servicios)
Ajustes de telemetría Device (Dispositivo) > Setup (Configuración) > Telemetry and Threat
e inteligencia contra Intelligence (Telemetría e inteligencia contra amenazas)
amenazas
Protección de datos Device (Dispositivo) > Setup (Configuración) > Content-ID > Manage Data
Protection (Protección de datos de gestión)
Jumbo Frames Device (Dispositivo) > Setup (Configuración) > Session (Sesión) > Session
Settings (Ajustes de sesión) > Enable Jumbo Frame (Habilitar tramas
gigantes)
Reenviar los ajustes de Device (Dispositivo) > Setup (Configuración) > Session (Sesión) > Decryption
certificados del servidor Settings (Ajustes de descifrado) > SSL Forward Proxy Settings (Ajustes de
proxy proxy de reenvío SSL)
Configuración del HSM. Device (Dispositivo) > Setup (Configuración) > HSM
Prioridad del sistema Cada peer debe tener un único ID de sistema LACP en una implementación
LACP activa/activa (Network [Red] > Interface [Interfaz] > Ethernet > Add
Aggregate Group [Añadir grupo de agregación] > System Priority [Prioridad
del sistema])
Políticas de calidad del La configuración de QoS se sincroniza solo si ha habilitado QoS Sync (Device
servicio (QoS) [Dispositivo] > High Availability [Alta disponibilidad] > Active/Active Config
[Configuración activa/activa] > Packet Forwarding [Reenvío de paquetes]).
Puede elegir no sincronizar la QoS si, por ejemplo, tiene un ancho de banda
distinto en cada enlace o diferentes latencias en sus proveedores de servicio.
Clave maestra La clave maestra debe ser idéntica en cada cortafuegos en el par HA, pero
debe introducirla manualmente en cada cortafuegos (Device [Dispositivo] >
Master Key and Diagnostics [Clave maestra y diagnóstico]).
Antes de cambiar la clave maestra, debe deshabilitar la sincronización de
configuración en ambos peers (Device [Dispositivo] > High Availability [Alta
disponibilidad] > General > Setup [Configuración] y desmarcar la casilla de
verificación Enable Config Sync [Habilitar sincronización de configuración]) y
después volver a habilitarla tras cambiar las claves.
A/P A/A
Plano de administración
A/P A/A
Plano de datos
A/P A/A
Tabla de sesiones Yes (sí) Yes (sí) HA2 • Los peers activos/
pasivos no sincronizan
ICMP ni la información
de sesión del host.
• Los peers activos/
activos no sincronizan
información de sesiones
de host, sesiones de
multidifusión ni sesiones
BFD.
Se
recomienda
borrar la
memoria
caché
de ARP
(clear
arp) en
ambos
peers
antes de
actualizar
a PAN-OS
7.1.
A/P A/A
305
306 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Supervisión
© 2017 Palo Alto Networks, Inc.
Uso del panel
Los widgets de la pestaña Dashboard (Panel) muestran información general del cortafuegos, como la
versión de software, el estado operativo de cada interfaz, la utilización de recursos y hasta 10 de las
entradas más recientes en los logs de sistema, configuración y amenazas. Todos los widgets disponibles
aparecen de forma predeterminada, pero cada administrador puede eliminar y agregar widgets individuales
según sea necesario. Haga clic en el icono de actualización para actualizar el panel o un widget individual.
Para cambiar el intervalo de actualización automática, seleccione un intervalo del menú desplegable (1
min, 2 min, 5 min o Manual). Para agregar un widget al panel, haga clic en el menú desplegable Widget,
seleccione una categoría y luego el nombre del widget. Para eliminar un widget, haga clic en en la barra de
títulos. La siguiente tabla describe los widgets del panel.
Aplicaciones Muestra las aplicaciones con la mayoría de sesiones. El tamaño del bloque
principales indica el número relativo de sesiones (pase el ratón sobre el bloque para ver el
número) y el color indica el riesgo de seguridad, desde verde (más bajo) a rojo
(más alto). Haga clic en una aplicación para ver su perfil de aplicación.
Aplicaciones Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de
principales de alto mayor riesgo con la mayoría de las sesiones.
riesgo
Información general Muestra el nombre del cortafuegos, el modelo, la versión del software de PAN-
OS, la aplicación, las amenazas, las versiones de definición del filtro de URL, la
fecha y hora actuales y el período transcurrido desde el último reinicio.
Estado de interfaz Indica si cada interfaz está activa (verde), no está operativa (rojo) o en un
estado desconocido (gris).
Logs de configuración Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la
fecha y hora de las 10 últimas entradas en el log Configuración.
Logs de filtrado de Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log
datos Filtrado de datos.
Registros de filtrado Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log
de URL Filtrado de URL.
Logs del sistema Muestra la descripción y la fecha y hora de las últimos 10 entradas en el log
Sistema.
Recursos del sistema Muestra el uso de CPU de gestión, el uso de plano de datos y el Número
de sesiones que muestra el número de sesiones establecidas a través del
cortafuegos.
Factor de riesgo de Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado la
ACC semana pasada. Los valores mayores indican un mayor riesgo.
High Availability Si la alta disponibilidad (high availability, HA) está habilitada, indica el estado
de HA del dispositivo local y del peer: verde (activo), amarillo (pasivo) o negro
(otro). Para obtener más información sobre HA, consulte Alta disponibilidad on
page 241.
Pestañas de ACC
El ACC incluye las siguientes pestañas predefinidas para visualizar la actividad de red, la actividad de las
amenazas y la actividad bloqueada.
Pestaña DESCRIPTION
Network Activity Muestra una visualización general del tráfico y la actividad de los usuarios
(Actividad de red) en su red, incluido:
• Las aplicaciones principales en uso
• Los usuarios que generan más tráfico (con una descripción
pormenorizada de los bytes, contenido, amenazas o URL a las que ha
accedido el usuario
• Las reglas de seguridad más usadas con las que coincide el tráfico
Actividad bloqueada Se centra en el tráfico al que se ha impedido entrar en la red. Los widgets
de esta pestaña le permiten ver la actividad denegada por nombre de
aplicación, nombre de usuario, nombre de amenaza, contenido bloqueado
(archivos y datos) por un perfil de bloqueo de archivo. También enumera
las principales reglas de seguridad que se compararon para bloquear
amenazas, contenido y URL.
También puede Interacción con el ACC on page 320 para crear pestañas personalizadas con widgets y
diseño personalizado que cumplan sus necesidades de supervisión de red, exportar la pestaña y compartirla
con otros administradores.
Widgets de ACC
Los widgets de cada pestaña son interactivos; puede definir los Filtros de ACC y desglosar detalles de cada
tabla o gráfico, o personalizar los widgets incluidos en la pestaña para centrarse en la información que
necesita. Si desea detalles sobre la visualización de cada widget, consulte las Descripciones de los widgets.
Descripciones de widget
Cada pestaña del ACC incluye un conjunto distinto de widgets.
Widget Descripción
Network Activity (Actividad de red): Muestra una descripción general del tráfico y la actividad de los
usuarios en su red.
Application Usage (Uso La tabla muestra las principales diez aplicaciones que se usan en la red; todas
de aplicación) las aplicaciones restantes que se usan en la red se agregan y visualizan como
otras. El gráfico muestra todas las aplicaciones por categoría y subcategoría
de aplicación y la aplicación. Use este widget para buscar las aplicaciones que
se intentan usar en la red, le informa sobre las aplicaciones predominantes
según ancho de banda, recuento de sesiones, transferencias de archivos,
activación de más amenazas y acceso a URL.
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
User Activity (Actividad Muestra los diez usuarios más activos de la red que han generado el mayor
del usuario) volumen de tráfico y consumido recursos de red para obtener contenido. Use
este widget para monitorizar los principales usuarios según uso ordenado por
bytes, sesiones, amenazas, contenido (archivos y patrones) y URL visitadas.
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
Gráficos disponibles: área, columna, línea (los gráficos varían según el atributo
de ordenación seleccionado)
Source IP Activity Muestra las principales direcciones IP o nombres de host de los dispositivos
(Actividad de IP de que han iniciado la actividad en la red. Todos los demás dispositivos se
origen) agregan y visualizan como otros.
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
Gráficos disponibles: área, columna, línea (los gráficos varían según el atributo
de ordenación seleccionado)
Destination IP Activity Muestra las direcciones IP o nombres de host de los diez principales destinos
(Actividad de IP de a los que accedieron los usuarios de la red.
destino)
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
Gráficos disponibles: área, columna, línea (los gráficos varían según el atributo
de ordenación seleccionado)
Source Regions Muestra las diez principales direcciones (regiones definidas personalizadas o
(Regiones de origen) integradas) del mundo desde las que los usuarios iniciaron la actividad en su
red.
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
Gráficos disponibles: mapa, barra
Destination Regions Muestra las diez principales regiones de destino (regiones definidas
(Regiones de destino) personalizadas o integradas) del mundo desde las que los usuarios accedieron
al contenido de la red.
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
Gráficos disponibles: mapa, barra
GlobalProtect Muestra información del estado de los hosts en los que se ejecuta el agente
Host Information GlobalProtect; el sistema de host es un cliente de GlobalProtect. Esta
(Información de host de información se origina desde entradas en el log de coincidencias HIP que se
GlobalProtect) generan cuando los datos enviados por el agente GlobalProtect coinciden
con un objeto HIP o un perfil HIP que haya definido en el cortafuegos. Si no
tiene log de coincidencias HIP, este widget está en blanco. Para aprender a
crear objetos HIP y perfiles HIP, y usarlos como criterios de coincidencias de
políticas, consulte Configuración de la aplicación de políticas basadas en HIP.
Atributos de ordenación: perfiles, objetos, sistemas operativos
Gráficos disponibles: barra
Rule Usage (Uso de Muestra las diez principales reglas que han iniciado más tráfico en la red.
reglas) Use este widget para ver las reglas usadas más comúnmente, monitorizar los
patrones de uso y para evaluar si las reglas son efectivas para asegurar su red.
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
Gráficos disponibles: línea
Ingress Interfaces Muestra las interfaces de cortafuegos que se usan más para permitir el tráfico
(Interfaces de entrada) en la red.
Atributos de ordenación: bytes, bytes enviados, bytes recibidos
Gráficos disponibles: línea
Egress Interfaces Muestra las interfaces de cortafuegos que más usa el tráfico que sale de la
(Interfaces de salida) red.
Atributos de ordenación: bytes, bytes enviados, bytes recibidos
Gráficos disponibles: línea
Source Zones (Zonas Muestra las zonas que más se usan para permitir que el tráfico entre en la red.
de origen)
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
Gráficos disponibles: línea
Destination Zones Muestra las zonas que más usa el tráfico que sale de la red.
(Zonas de destino)
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
Gráficos disponibles: línea
Threat Activity (Actividad de amenazas): Esta pestaña muestra una descripción general de las amenazas
en la red.
Compromised Hosts Muestra los hosts con más probabilidad de estar en riesgo en la red.
(Hosts en riesgo) Este widget resume los eventos desde los logs de correlación. Para cada
dirección IP/usuario de origen, incluye el objeto de correlación que activó la
coincidencia y el recuento de coincidencias que se agrega desde la correlación
de evidencias en los logs de eventos correlacionados. Para más información,
consulte Use el motor de correlación automatizada. on page 336.
Disponible en la serie PA-3000, PA-5000, PA-5200, PA-7000 Series y
Panorama.
Atributos de ordenación: gravedad (por defecto)
Hosts Visiting Muestra la frecuencia con la que los hosts (dirección IP/nombres de host)
Malicious URLs (Hosts de su red han accedido a URL malintencionadas. Se sabe que esas URL son
de visitas a URL malware por su categorización en PAN-DB.
malintencionadas)
Atributos de ordenación: recuento
Gráficos disponibles: línea
Hosts Resolving Muestra los host que más coinciden con las firmas de DNS; los hosts de
Malicious Domains la red que intentan resolver el nombre de host o dominio de una URL
Threat Activity Muestra las amenazas que se ven en su red. Esta información se basa en
(Actividad de coincidencias de firmas en antivirus, antispyware y perfiles de protección de
amenazas) vulnerabilidad y virus de los que informa WildFire.
Atributos de ordenación: amenazas
Gráficos disponibles: barra, área, columna
WildFire Activity by Muestra las aplicaciones con la mayoría de envíos de WildFire. Este widget
Application (Actividad usa los veredictos de malintencionado/benigno de los logs de envío de
de WildFire por WildFire.
aplicación)
Atributos de ordenación: malintencionado, benigno
Gráficos disponibles: barra, línea
WildFire Activity by Muestra un vector de amenazas por tipo de archivo. Este widget muestra los
File Type (Actividad de tipos de archivo que han generado la mayoría de envíos de WildFire y usa
WildFire por tipo de el veredicto de malintencionado o benigno del log de envíos de WildFire. Si
archivo) estos datos no están disponibles, el widget está vacío.
Atributos de ordenación: malintencionado, benigno
Gráficos disponibles: barra, línea
Applications using Muestra las aplicaciones que entran en su red por puertos no estándar. Si ha
Non Standard Ports migrado sus reglas de cortafuegos de un cortafuegos basado en puerto, use
(Aplicaciones que usan esta información para diseñar reglas de políticas que permitan únicamente el
puertos no estándar) tráfico en el puerto predeterminado de la aplicación. Cuando sea necesario,
haga una excepción para permitir el tráfico en un puerto no estándar o cree
una aplicación personalizada.
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL
Gráficos disponibles: mapa jerárquico, línea
Rules Allowing Muestra reglas de políticas de seguridad que permiten aplicaciones en puertos
Applications On Non no predeterminados. El gráfico muestra todas las reglas mientras la tabla
Standard (Reglas que muestra las diez reglas principales y agrega los datos de las reglas restantes
permiten aplicaciones como Otro.
en puertos no estándar)
Esta información le ayuda a identificar huecos en la seguridad de red
permitiéndole evaluar si una aplicación está saltándose puertos o entrando
furtivamente en su red. Por ejemplo, puede validar si tiene una regla que
permita el tráfico en cualquier puerto excepto el puerto predeterminado
para la aplicación. Pongamos, por ejemplo, que tiene una regla que define el
tráfico DNS en el puerto predeterminado de la aplicación (el puerto 53 es el
Blocked Activity (Actividad bloqueada): Esta pestaña se centra en el tráfico bloqueado para que no entre
en la red.
Blocked Application Muestra las aplicaciones que se han denegado en su red, y le permite
Activity (Actividad de visualizar las amenazas, el contenido y las URL que mantiene fuera de su red.
aplicación bloqueada)
Atributos de ordenación: amenazas, contenido, URL
Gráficos disponibles: mapa jerárquico, área, columna
Blocked User Activity Muestra las solicitudes de usuario que se bloquearon por coincidencia con el
(Actividad de usuario perfil de antivirus, antispyware, bloqueo de archivos o filtrado de URL adjunto
bloqueado) a la regla de política de seguridad.
Atributos de ordenación: amenazas, contenido, URL
Gráficos disponibles: barra, área, columna
Blocked Threats Muestra las amenazas que se rechazaron con mayor éxito en su red. Estas
(Amenazas bloqueadas) amenazas se comparan con firmas antivirus, firmas de vulnerabilidad y firmas
DNS disponibles a través de las actualizaciones de contenido dinámico en el
cortafuegos.
Atributos de ordenación: amenazas
Gráficos disponibles: barra, área, columna
Blocked Content Muestra los archivos y datos que se bloquearon para que no entren en la red.
(Contenido bloqueado) El contenido se bloqueó porque la política de seguridad denegó el acceso en
función de los criterios definidos en el perfil de seguridad Bloqueo de archivo
o un perfil de seguridad de Filtrado de datos.
Atributos de ordenación: archivos, datos
Gráficos disponibles: barra, área, columna
Security Policies Muestra reglas de políticas de seguridad que bloquean o restringen el tráfico
Blocking Activity de su red. Como su widget muestra las amenazas, el contenido y las URL a las
(Actividad de bloqueo que se denegó acceso a la red, puede usarlos para evaluar la efectividad de las
de políticas de reglas de políticas. Este widget no muestra el tráfico que se bloqueó por las
seguridad) reglas de denegación que se han definido en la política.
Atributos de ordenación: amenazas, contenido, URL
Gráficos disponibles: barra, área, columna
Filtros de ACC
Los gráficos y tablas de los widgets de ACC le permiten usar filtros para restringir el ámbito de datos que
se muestra, de modo que puede aislar atributos específicos y analizar información que quiera ver en mayor
detalle. El ACC admite el uso simultáneo de filtros globales y widget.
• Filtros globales: Aplique filtros globales en todas las pestañas en el ACC. Un filtro global le permite
pivotar la vista alrededor de la información que necesita instantáneamente y excluir la información
irrelevante para la vista actual. Por ejemplo, para ver todos los eventos relacionados con un usuario y
aplicación específicos, puede aplicar el nombre de usuario y la aplicación como un filtro global y ver solo
información relativa a ese usuario y aplicación a través de todas las pestañas y widgets en el ACC. Los
filtros globales sí se borran al reiniciar.
ejemplo .
La edición de una pestaña le permite añadir, eliminar o restablecer los widgets que se muestran en la
pestaña. También puede cambiar el diseño de widget de la pestaña.
2. Para eliminar un widget o grupo de widgets, modifique la pestaña y la sección del espacio de trabajo,
haga clic en el icono (X) de la derecha. Esta acción no se puede deshacer.
• Utilice la lista desplegable de la tabla para buscar más información sobre un atributo.
1. Pase el ratón sobre un atributo de la tabla para ver el menú desplegable.
2. Haga clic en el menú desplegable para ver las opciones disponibles.
• Global Find (Búsqueda global): Uso de Global Find para buscar el cortafuegos o servidor de
gestión de Panorama on page 63 le permite encontrar referencias al atributo (nombre de
usuario/dirección IP, nombre de objeto, nombre de regla de política, ID de amenaza o nombre de
aplicación) en cualquier lugar de la configuración candidata.
• Value (Valor): muestra los detalles del ID de amenaza, nombre de aplicación u objeto de dirección.
• Who Is: realiza una búsqueda de nombre de dominio (WHOIS) para la dirección IP. Las bases de
datos de consulta de búsqueda que almacenan los usuarios registrados o asignados de un recurso
de Internet.
• Search HIP Report (Buscar en informe HIP): usa el nombre de usuario o dirección IP para buscar
coincidencias en un informe de coincidencias HIP.
También puede hacer clic en un atributo en la siguiente tabla bajo el gráfico para
aplicarlo como un filtro de widget.
2. Haga clic en el icono para ver la lista de filtros que quiere aplicar.
• Eliminar un filtro.
Haga clic en el icono para eliminar un filtro.
• Para filtros globales: Se encuentra en el panel Filtros globales.
• Para filtros de widget: Haga clic en el icono para ver el cuadro de diálogo Configurar filtros locales,
seleccione el filtro y haga clic en el icono .
La pestaña Application Usage (Uso de aplicación) ahora muestra que la aplicación principal que usaba
Marsha era RapidShare, un sitio de alojamiento de archivos con base en Suiza que pertenece a la categoría
de URL de intercambio de archivos. Para una investigación más detallada, añada RapidShare como filtro
global y vea la actividad de Marsha en el contexto de RapidShare.
Considere si desea aprobar RapidShare para que lo use la compañía. ¿Debería permitir las
cargas a este sitio y necesita una política de QoS para limitar el ancho de banda?
Para ver con qué direcciones IP se ha comunicado Marsha, seleccione el widget Destination IP Activity
(Actividad de IP de destino) y visualice los datos por bytes y por URL.
A partir de estos datos, puede confirmar que Marsha, una usuaria de su red, ha establecido sesiones
establecidas en Corea y Estados Unidos, y que ha registrado 19 amenazas en sus sesiones dentro de la
Unión Europea.
Para ver la actividad de Marsha desde una perspectiva de amenazas, quite el filtro global de RapidShare.
Para investigar cada amenaza por nombre, puede crear un filtro global para indicar Microsoft Works File
Converter Field Length Remote Code Execution Vulnerability (Vulnerabilidad de ejecución de código
remoto de longitud de campo de conversor de archivo Microsoft Works). A continuación, vea el widget
User Activity widget (widget Actividad del usuario) en la pestaña Network Activity (Actividad de red). Esta
pestaña se filtra automáticamente para mostrar la actividad de amenazas de Marsha (observe los filtros
globales en la captura de pantalla).
Después, averigüe por qué imap usó un puerto 43206 no estándar en lugar del puerto 143, que es el puerto
predeterminado para la aplicación. Considere modificar la regla de políticas de seguridad para permitir que
las aplicaciones usen únicamente el puerto predeterminado para la aplicación o evalúe si este puerto debe
ser una excepción para su red.
Haga clic en la barra de imap en el gráfico y desglose las amenazas entrantes asociadas con la aplicación.
Para saber con quién está registrada una dirección IP, pase el ratón sobre la dirección IP atacante y
seleccione el enlace Who Is en el menú desplegable.
Como el recuento de sesiones desde esta dirección IP es alto, seleccione los widgets Blocked Content
(Contenido bloqueado) y Blocked Threats (Amenazas bloqueadas) en la pestaña Blocked Activity
(Actividad bloqueada) para los eventos relacionados con esta dirección IP. La pestaña Blocked Activity
(Actividad bloqueada) le permite validar si sus reglas de políticas son efectivas a la hora de bloquear
contenido o amenazas cuando un host de su red está en riesgo.
Use la funcionalidad Export PDF (Exportar PDF) en el ACC para exportar la vista actual (crear una
instantánea de los datos) y enviarla a un equipo de respuesta a incidencias. Para ver los logs de amenazas
directamente desde el widget, también puede hacer clic en el icono para ir a los logs; la consulta se
genera automáticamente y solo los logs relevantes se muestran en pantalla (por ejemplo en Monitor
[Supervisar] > Logs > Threat Logs [Logs de amenazas]).
Informe de resumen
El informe de resumen de App Scope (Monitor [Supervisar] > App Scope > Summary [Resumen]) muestra
gráficos de las cinco principales aplicaciones ganadoras, perdedoras y que consumen ancho de banda,
categorías de aplicación, usuarios y orígenes.
Botón Descripción
Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. El informe
del supervisor de amenazas contiene los siguientes botones y opciones.
Botón Desripción
Botón Descripción
Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico. El informe del
mapa de tráfico contiene los siguientes botones y opciones.
Botones Descripción
Objeto de correlación
Un objeto de correlación es un archivo de definición que especifica patrones para la búsqueda de
coincidencias, orígenes de datos que se usarán para las búsquedas y el periodo durante el que buscarán
dichos patrones. Un patrón es una estructura booleana de condiciones que consulta los siguientes orígenes
de datos (o logs) en el cortafuegos: estadísticas de aplicación, tráfico, resumen de tráfico, resumen de
amenazas, amenazas, filtrado de datos y filtrado de URL. Cada patrón tiene una puntuación de gravedad, y
un umbral para el número de veces que el patrón debe ocurrir en un límite de tiempo definido para indicar
una actividad malintencionada. Cuando se produce una coincidencia con un patrón, se registra un evento de
correlación.
Un objeto de correlación puede conectar eventos de red aislados y buscar patrones que indiquen un evento
más significativo. Estos objetos identifican patrones de tráfico sospechosos y anomalías de red, incluida
la actividad IP sospechosa, actividad de comando y control conocida, explotaciones de vulnerabilidad
conocidas o actividad de botnet que, cuando se correlaciona, indica que hay una alta probabilidad de que
un host de la red esté en riesgo. Los objetos de correlación se han definido y desarrollado por el equipo de
investigación de amenazas de Palo Alto Networks y se han distribuido con las actualizaciones dinámicas
semanales al cortafuegos y a Panorama. Para obtener nuevos objetos de correlación, el cortafuegos debe
tener una licencia de Threat Prevention. Panorama requiere una licencia de compatibilidad para obtener las
actualizaciones.
Los patrones definidos en un objeto de correlación pueden ser estáticos y dinámicos. Los objetos
correlacionados que incluyen los patrones observados en WildFire son dinámicos y pueden correlacionar
Eventos correlacionados
Un evento correlacionado se registra cuando los patrones y umbrales definidos en un objeto de correlación
coincide con los patrones de tráfico de su red. Para la Interpretación de eventos correlacionados on page
338 y la visualización de una pantalla gráfica de los eventos, consulte Uso del widget de los hosts en
riesgo en el ACC on page 340.
STEP 1 | Seleccione Monitor (Supervisar) > Automated Correlation Engine (Motor de correlación
automatizada) > Correlation Objects (Objetos de correlación). Todos los objetos de la lista
están habilitados de manera predeterminada.
STEP 2 | Visualice los detalles de cada objeto de correlación. Cada objeto ofrece la siguiente
información:
• Name (Nombre) y Title (Título): el nombre y el título indican el tipo de actividad que detecta el objeto
de correlación. La columna Nombre está oculta a la vista de manera predeterminada. Para ver la
definición del objeto, muestre la columna y haga clic en el enlace del nombre.
• ID: un número único que identifica el objeto de correlación; esta columna también está oculta de
manera predeterminada. Los ID están en la serie 6000.
• Category (Categoría): una clasificación del tipo de amenaza o daño que supone para la red, el usuario
o el host. Por ahora, todos los objetos identifican los hosts comprometidos en la red.
• State (Estado): indica si el objeto de correlación está habilitado (activo) o deshabilitado (inactivo).
Todos los objetos de la lista están habilitados de manera predeterminada, por lo tanto están activos.
Como estos objetos se han basado en los datos de inteligencia de amenazas y los ha definido el
equipo de investigación de amenazas de Palo Alto Networks, mantenga los objetos activos para
poder monitorizar y detectar una actividad malintencionada en su red.
• Description (Descripción): especifica las condiciones de coincidencia que el cortafuegos o Panorama
utilizará para analizar los logs. Describe la secuencia de condiciones que se comparan para identificar
la aceleración o progresión de la actividad malintencionada o el comportamiento sospechoso del
host. Por ejemplo, el objeto Compromise Lifecycle (Alterar ciclo de vida) detecta un host implicado
en un ciclo de vida de ataques completo en una progresión de tres pasos que comienza con una
Campo Descripción
Hora de actualización La hora en la que evento se actualizó por última vez con evidencia sobre
la coincidencia. Cuando el cortafuegos recopila pruebas sobre el patrón o
secuencia de eventos definidos en un objeto de correlación, la marca de
tiempo del log de evento correlacionado se actualiza.
Usuario de origen La información del usuario y grupo de usuarios del servidor de directorios, si
User-ID on page 449 está habilitado.
Haga clic en el icono para consultar la vista detallada de log, que incluye todas las pruebas de una
coincidencia:
Pestaña Descripción
Información Detalles de objeto: Presenta la información sobre el Objeto de correlación on page 336
de que activó la coincidencia.
coincidencias
Detalles de coincidencia: Un resumen de los detalles de coincidencia que incluye la
hora de la coincidencia, la última hora de actualización de la prueba de coincidencia, la
gravedad del evento y un resumen de eventos.
Evidencia Presenta todas las pruebas que corroboran el evento correlacionado. Enumera la
de información detallada en las pruebas recopiladas de cada sesión.
coincidencias
Si desea más información, consulte Use el motor de correlación automatizada. on page 336 y Uso del
centro de comando de aplicación on page 309.
La captura de paquetes puede hacer un uso muy intensivo de la CPU y puede degradar
el rendimiento del cortafuegos. Utilice esta función únicamente cuando sea necesario y
asegúrese de desactivarla cuando haya recopilado los paquetes necesarios.
STEP 1 | Antes de iniciar una captura de paquetes, identifique los atributos del tráfico que desea
capturar.
Por ejemplo, para determinar la dirección IP de origen, la dirección IP de NAT de origen y la dirección IP
de destino para el tráfico entre dos sistemas, realice un ping desde el sistema de origen hasta el sistema
de destino. Cuando el ping se haya completado, vaya a Monitor (Supervisar) > Traffic (Tráfico) y ubique
el log de tráfico para los dos sistemas. Haga clic en el icono Detailed Log View (Vista detallada del log)
ubicado en la primera columna del log y anote la dirección de origen, la IP NAT de origen y la dirección
de destino.
STEP 2 | Defina los filtros de captura de paquetes para que el cortafuegos solo capture el tráfico en el
que está interesado.
El uso de filtros le facilitará la búsqueda de la información que necesita en la captura de paquete y
reducirá la potencia de procesamiento requerida para que el cortafuegos realice la captura de paquetes.
Para capturar todo el tráfico, no defina filtros y deje la opción de filtro desactivada.
Por ejemplo, si ha configurado NAT en el cortafuegos, deberá aplicar dos filtros. El primero filtra según la
dirección IP de origen preNAT a la dirección IP de destino, y el segundo filtra el tráfico de un servidor de
destino a la dirección IP NAT de origen.
1. Seleccione Monitor (Supervisar) > Packet Capture (Captura de paquetes).
2. Haga clic en Clear All Settings (Borrar todos l los ajustes) en la parte inferior de la ventana para
borrar cualquier ajuste de captura existente.
3. Haga clic en Manage Filters (Gestionar filtros) y después en Add (Añadir).
4. Seleccione Id 1 y en el campo Source (Origen), escriba la dirección IP de origen en la que está
interesado y en el campo Destination (Destino) escriba una dirección IP de destino.
Por ejemplo, escriba la dirección IP de origen 192.168.2.10 y la dirección IP de destino
10.43.14.55. Para filtrar aún más la captura, defina Non-IP como exclude (excluir) para excluir el
tráfico no IP, tal como el tráfico de difusión.
5. Seleccione Add (Añadir) para añadir el segundo filtro y seleccione Id 2.
Por ejemplo, en el campo Source (Origen), escriba 10.43.14.55 y en el campo Destination
(Destino) escriba 10.43.14.25. En el menú desplegable Non-IP, seleccione exclude (excluir).
STEP 4 | Especifique la etapa del tráfico que activa la captura de paquetes y el nombre de archivo que se
va a usar para almacenar el contenido capturado. Si desea una definición de cada etapa, haga
clic en el icono Help (Ayuda) en la página de captura de paquetes.
Por ejemplo, para configurar todas las etapas de capturas de paquetes y definir un nombre de archivo
para cada etapa, realice el siguiente procedimiento:
1. Seleccione Add (Añadir) para añadir una Stage (Etapa) a la configuración de captura de paquetes y
defina un nombre de archivo en File (Archivo) para la captura de paquetes resultante.
Por ejemplo, seleccione receive (recibir) como Stage (Etapa) y defina el nombre de archivo en File
(Archivo) como telnet-test-received.
2. Seleccione nuevamente Add (Añadir) y luego añada cada Stage (Etapa) que desee capturar (receive
[recibir], firewall [cortafuegos], transmit [transmitir] y drop [descartar]) y defina un nombre de
archivo único en File (Archivo) para cada etapa.
STEP 6 | Genera tráfico que coincide con los filtros que haya definido.
STEP 7 | Defina la captura de paquetes como OFF (Desactivada) y haga clic en el icono actualizar para
ver los archivos de captura de paquetes.
Observe que, en este caso, no se han perdido paquetes, de modo que el cortafuegos no ha creado un
archivo para la etapa de colocación.
STEP 8 | Descargue las capturas de paquetes haciendo clic en el nombre de archivo de la columna File
(Nombre de archivo).
STEP 9 | Visualice los archivos de captura de paquetes con un analizador de paquetes de red.
En este ejemplo, la captura de paquete .pcap recibida muestra una sesión de Telnet fallida desde el
sistema de origen en 192.168.2.10 al servidor con Telnet en 10.43.14.55. El sistema de origen envió la
solicitud de Telnet al servidor, pero este no respondió. En este ejemplo, puede que el servidor no tenga
Telnet habilitado, por lo que debe consultar el servidor.
STEP 12 | Descargue y abra el archivo .pcap recibido y visualícelo usando un analizador de paquetes de
red.
La siguiente captura de paquetes ahora muestra una sesión de Telnet fallida desde el usuario host en
192.168.2.10 al servidor con Telnet en 10.43.14.55.
Si se establece que la acción para una amenaza determinada sea diferente a permitir, el
cortafuegos solo capturará los paquetes que coincidan con la firma de amenazas.
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) y habilite la opción de
captura de paquetes para los perfiles admitidos como se indica a continuación:
• Antivirus: seleccione un perfil antivirus personalizado y, en la pestaña Antivirus, seleccione la
casilla de verificación Packet Capture (Captura de paquetes).
• Antispyware: seleccione un perfil antispyware personalizado, haga clic en la pestaña DNS
Signatures (Firmas DNS) y, en la lista desplegable Packet Capture (Captura de paquete),
seleccione single-packet (paquete único) o extended-capture (captura extendida).
• Vulnerability Protection (Protección contra vulnerabilidades): seleccione un perfil de protección
de vulnerabilidades personalizado y, en la pestaña Rules (Reglas), haga clic en Add (Añadir) para
añadir una nueva regla o seleccione una regla existente. Defina Packet Capture (Captura de
paquetes) como single-packet (paquete único) o extended-capture (captura extendida).
STEP 2 | Añada el perfil de seguridad (con la captura de paquetes habilitada) a una regla de la política de
seguridad.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione una regla.
2. Seleccione la pestaña Actions (Acciones).
STEP 1 | Compruebe que la captura de paquetes de aplicaciones desconocidas está activada. Esta
opción está deshabilitada de manera predeterminada.
1. Para ver la configuración de la captura de aplicaciones desconocidas, ejecute el siguiente comando de
la CLI:
STEP 3 | Haga clic en el icono de captura de paquetes para ver la captura de paquetes o seleccione
Export (Exportar) para exportar esa captura a su sistema local.
STEP 1 | Use una aplicación de emulador de terminal, como PuTTY, para iniciar una sesión SSH en el
cortafuegos.
STEP 3 | Vea el resultado de los ajustes de captura de paquetes para asegurar que se aplican los filtros
correctos. El resultado aparece tras habilitar la captura de paquetes.
En el siguiente resultado, verá que el filtrado de aplicaciones se basa en la aplicación basada en Facebook
para el tráfico que coincida con rule1.
Application setting:
Application cache : yes
Supernode : yes
Heuristics : yes
Cache Threshold : 16
Bypass when exceeds queue limit: no
Traceroute appid : yes
Traceroute TTL threshold : 30
Use cache for appid : no
Max. unknown sessions : 5000
Current unknown sessions : 0
Application capture : on
Max. application sessions : 5000
Current application sessions : 0
Application filter setting:
Rule : rule1
From : any
To : any
Source : any
Destination : any
Protocol : any
Source Port : any
Dest. Port : any
Application : facebook-base
Current APPID Signature
Signature Usage : 21 MB (Max. 32 MB)
TCP 1 C2S : 15503 states
TCP 1 S2C : 5070 states
TCP 2 C2S : 2426 states
TCP 2 S2C : 702 states
UDP 1 C2S : 11379 states
UDP 1 S2C : 2967 states
UDP 2 C2S : 755 states
UDP 2 S2C : 224 states
STEP 4 | Acceda a Facebook.com desde un navegador web para generar tráfico de Facebook y luego
desactive la captura de paquetes de aplicaciones al ejecutar el siguiente comando CLI:
Cada plataforma tiene un número predeterminado de bytes que captura tcpdump. Los
cortafuegos PA-200 y PA-500 capturan 68 bytes de datos de cada paquete, y cualquier
byte que lo supere queda truncado. Los cortafuegos serie PA-3000, PA-5000, PA-7000 y
VM capturan 96 bytes de datos de cada paquete. Para definir el número de paquetes que
capturará tcpdump, use la opción snaplen (longitud de instantánea) (intervalo 0-65535).
Si define snaplen como 0, el cortafuegos usará la longitud máxima necesaria para capturar
paquetes completos.
STEP 1 | Use una aplicación de emulador de terminal, como PuTTY, para iniciar una sesión SSH en el
cortafuegos.
STEP 2 | Para iniciar una captura de paquetes en la interfaz MGT, ejecute el comando siguiente:
Por ejemplo, para capturar el tráfico que se genera cuando un administrador se autentica en el
cortafuegos usando RADIUS, filtre según la dirección IP de destino del servidor RADIUS (10.5.104.99 en
este ejemplo):
También puede filtrar por src (dirección IP de origen), host y red, y puede excluir contenido. Por ejemplo,
para filtrar en una subred y excluir todo el tráfico SCP, SFTP y SSH traffic (que usa el puerto 22), ejecute
el siguiente comando:
STEP 3 | Cuando el tráfico en el que está interesado haya atravesado la interfaz MGT, pulse Ctrl + C
para detener la captura.
El siguiente resultado muestra la captura de paquete del puerto MTG (10.5.104.98) al servidor RADIUS
(10.5.104.99):
STEP 5 | (Opcional) Exporte la captura de paquetes del cortafuegos usando SCP (o TFTP). Por ejemplo,
para exportar la captura de paquetes con SCP, ejecute el siguiente comando:
Por ejemplo, para exportar el pcap a un servidor con SCP en 10.5.5.20 a una carpeta temporal llamada
temp-SCP, ejecute el siguiente comando de la CLI:
STEP 6 | Ahora puede visualizar los archivos de captura de paquetes con un analizador de paquetes de
red como Wireshark.
Infraestructura de red de entrega de contenido para actualizaciones dinámicas on page 572 para
comprobar si los eventos registrados en logs en el cortafuegos conllevan un riesgo para la seguridad.
El resumen de inteligencia de AutoFocus muestra la prevalencia de propiedades, actividades o
comportamientos asociados con los logs de su red y a escala global, además del veredicto de WildFire y
las etiquetas de AutoFocus vinculadas a ellos. Con una suscripción activa a AutoFocus, puede utilizar esta
información para crear alertas de AutoFocus personalizadas que rastrean amenazas específicas en su red.
Logs de tráfico
Los logs de tráfico muestran una entrada para el inicio y el final de cada sesión. Todas las entradas incluyen
la siguiente información: fecha y hora, las zonas de origen y destino, las direcciones y los puertos, el nombre
de la aplicación, la regla de seguridad aplicada al flujo de tráfico, la acción de la regla (permitir, denegar o
descartar), la interfaz de entrada y salida, el número de bytes y la razón para finalizar la sesión.
La columna Type (Tipo) indica si la entrada es para el inicio o el final de la sesión. La columna Action (Acción)
indica si el cortafuegos permitió, denegó o descartó la sesión. El descarte indica que la regla de seguridad
que ha bloqueado el tráfico ha especificado una aplicación cualquiera, mientras que la denegación indica
que la regla ha identificado una aplicación específica. Si el cortafuegos descarta el tráfico antes de identificar
la aplicación, como cuando una regla descarta todo el tráfico para un servicio específico, la columna
Application (Aplicación) muestra not-applicable.
Logs de amenazas
Los logs de amenazas muestran entradas cuando el tráfico coincide con uno de los Perfiles de seguridad
on page 997 adjuntos a una regla de seguridad en el cortafuegos. Cada entrada incluye la siguiente
información: fecha y hora; tipo de amenaza (como virus o spyware); descripción de la amenaza o URL
(columna Name);, zonas de origen y destino, direcciones y puertos; nombre de la aplicación; acción de la
alarma (como permitir o bloquear); y nivel de gravedad.
Para ver más detalles de las entradas de log de amenazas individuales:
• Haga clic en junto a una entrada para ver detalles como si la entrada agrega varias amenazas del
mismo tipo entre el mismo origen y destino (en cuyo caso el valor de la columna Count (Recuento) será
superior a uno).
• Si configuró el cortafuegos para Realización de capturas de paquetes on page 341, haga clic en junto a
cualquier entrada para acceder a los paquetes capturados.
La siguiente tabla resume los niveles de gravedad de las amenazas:
Gravedad Descripción
Crítica Amenazas graves, como aquellas que afectan a las instalaciones predeterminadas de
software ampliamente implementado, que comprometen profundamente los servidores y
dejan el código de explotación al alcance de los atacantes. El atacante no suele necesitar
ningún tipo de credenciales de autenticación o conocimientos acerca de las víctimas y el
objetivo no necesita ser manipulado para que realice ninguna función especial.
Alta Amenazas que tienen la habilidad de convertirse en críticas pero que tienen factores
atenuantes; por ejemplo, pueden ser difíciles de explotar, no conceder privilegios elevados
o no tener un gran grupo de víctimas.
Intermedia Amenazas menores en las que se minimiza el impacto, como ataques DoS que no
comprometen al objetivo o explotaciones que requieren que el atacante esté en la misma
LAN que la víctima, afectan solo a configuraciones no estándar o aplicaciones oscuras u
ofrecen acceso muy limitado. Además, las entradas de log de Presentaciones de WildFire
con un veredicto de malware se registran como amenazas de nivel medio.
Baja Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura
de la organización. Suelen requerir acceso local o físico al sistema y con frecuencia
suelen ocasionar problemas en la privacidad de las víctimas, problemas de DoS y fugas de
información. Las coincidencias de perfiles de filtrado de datos se registran como bajas.
Informativa Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para
indicar que podría haber problemas más serios. Las entradas de logs de filtrado de URL y
las entradas de logs de Presentaciones de WildFire con un veredicto benigno se registran
como informativas.
Gravedad DESCRIPTION
Bueno Indica que la entrada recibió un veredicto de benigno tras el análisis de WildFire. Los
archivos clasificados como benignos son seguros y no exhiben un comportamiento
malintencionado.
Grayware Indica que la entrada recibió un veredicto de grayware del análisis de WildFire. Los
archivos clasificados como grayware no suponen una amenaza de seguridad directa,
pero pueden mostrar un comportamiento agresivo de algún tipo. Grayware puede incluir
adware, spyware y objetos de ayuda del explorador (BHO).
Phishing Indica que WildFire le asignó un veredicto de análisis de phishing a un enlace. Un veredicto
de phishing indica que el sitio hacia el que el enlace dirige a los usuarios mostró actividad
de phishing de credenciales.
malicioso Indica que la entrada recibió un veredicto malintencionado tras el análisis de WildFire.
Las muestras clasificadas como malintencionadas pueden suponer una amenaza para la
seguridad. El malware puede incluir virus, gusanos, troyanos, herramientas de acceso
remoto (RAT), rootkits y botnets. Para las muestras que se identifican como malware, la
nube de WildFire genera y distribuye una firma para evitar futuras exposiciones.
Logs de correlación
El cortafuegos registra en evento correlacionado cuando los patrones y umbrales definidos en un Objeto de
correlación on page 336 coinciden con los patrones de tráfico de su red. Para la Interpretación de eventos
correlacionados on page 338 y la visualización de una pantalla gráfica de los eventos, consulte Uso del
widget de los hosts en riesgo en el ACC on page 340.
La siguiente tabla resume los niveles de gravedad de los logs de correlación:
Crítical Confirma que un host se ha visto en peligro basándose en eventos correlacionados que
(Crítico) indican un patrón de progresión. Por ejemplo, se registra un evento crítico cuando un
host que ha recibido un archivo considerado malintencionado por WildFire muestra la
misma actividad de comando y control observada en ese archivo malintencionado dentro
del espacio aislado de WildFire.
High (Alta) Indica que hay una probabilidad muy alta de que un host vea comprometida su seguridad
basándose en una correlación entre varios eventos de amenaza, como el software
malicioso detectado en cualquier punto de la red que coincida con la actividad de
comando y control generada por un host concreto.
Medium Indica que hay una probabilidad de que un host vea comprometida su seguridad
(Intermedia) basándose en la detección de uno o varios eventos sospechosos, como las visitas
repetidas a URL consideradas malintencionadas que sugiere la existencia de una actividad
de comando y control generada por una secuencia de comandos.
Low (Baja) Indica la posibilidad de que un host vea comprometida su seguridad basándose en la
detección de uno o varios eventos sospechosos, como una visita a una URL considerada
malintencionada o un dominio DNS dinámico.
Informational Detecta un evento que podría resultar útil en conjunto para identificar una actividad
(Informativo) sospechosa; un evento por separado no tiene por qué ser significativo en sí.
Logs de configuración
Los logs de configuración muestran entradas de todos los cambios en la configuración del cortafuegos.
Cada entrada incluye la fecha y hora, el nombre de usuario del administrador, la dirección IP desde la cual
se realizó el cambio, el tipo de cliente (Web, CLI o Panorama), el tipo de comando ejecutado, el estado del
comando (si se ejecutó correctamente o falló), la ruta de configuración y los valores anteriores y posteriores
al cambio.
Gravedad Description
Crítica Fallos de hardware, lo que incluye la conmutación por error de alta disponibilidad (high
availability,HA) y los fallos de enlaces.
Alta Problemas graves, incluidas las interrupciones en las conexiones con dispositivos externos,
como servidores LDAP y RADIUS.
Logs de User-ID
User-ID on page 449 muestran información sobre las asignaciones de direcciones IP a nombres de
usuario y Marcas de tiempo de la autenticación on page 199, como los orígenes de la información de
asignación y los períodos de tiempo cuando los usuarios se autenticaron. Puede utilizar esta información
para ayudar a solucionar problemas de User-ID y de autenticación. Por ejemplo, si el cortafuegos está
aplicando la regla de política incorrecta a un usuario, puede ver los logs para verificar si ese usuario está
asignado a la dirección IP correcta y si las asociaciones de grupo son correctas.
Logs de alarmas
Una alarma es un mensaje generado por el cortafuegos que indica que el número de eventos de un tipo
determinado (por ejemplo, fallos de cifrado y descifrado) superó el límite configurado para ese tipo de
evento. Para habilitar las alarmas y configurar los límites de las alarmas, seleccione Device (Dispositivo) >
Log Settings (Configuración de logs) y edite la configuración de las alarmas.
Cuando genera una alarma, el cortafuegos crea un log de alarma y abre el diálogo System Alarms (Alarmas
del sistema) para mostrar la alarma. Tras cerrar el diálogo haciendo clic en Close (Cerrar), puede volver a
abrirlo en cualquier momento haciendo clic en Alarms (Alarmas) ( ) al final de la interfaz web. Para evitar
que el cortafuegos abra automáticamente el cuadro de diálogo de una alarma en particular, seleccione la
alarma en la lista Unacknowledged Alarms (Alarmas no aceptadas) y haga clic en Acknowledge (Aceptar)
para aceptar la alarma.
Los logs del sistema registran eventos de autenticación relacionados con GlobalProtect y el
acceso de los administradores a la interfaz web.
Logs unificados
Los logs unificados son entradas de logs de tráfico, amenazas, filtrado de URL, envíos de WildFire y filtrado
de datos en una sola pantalla. La vista de logs unificados le permite investigar y filtrar las entradas más
recientes de diferentes tipos de logs en un lugar, en vez de buscar en cada tipo de log por separado. Haga
clic en Effective Queries ( ) en el área de filtros para seleccionar qué tipos de logs mostrarán entradas en
la vista de logs unificados.
La vista de logs unificados muestra solo las entradas de los logs de los que tiene permiso para ver. Por
ejemplo un administrador que no dispone permisos para ver los logs de envíos a WildFire, no verá esas
entradas al visualizar los logs unificados. Tipos de funciones administrativas on page 71 definen estos
permisos.
Visualización de logs
Puede ver los diferentes tipos de logs en el cortafuegos en forma de tabla. El cortafuegos almacena
localmente todos los archivos de log y genera automáticamente logs de configuración y sistema por defecto.
Para obtener más información sobre las reglas de seguridad que desencadenan la creación de entradas para
los demás tipos de logs, consulte Tipos de logs y niveles de gravedad on page 353.
Para configurar el cortafuegos para el reenvío de logs como mensajes de syslog, notificaciones por correo
electrónico o capturas del protocolo simple de administración de redes (Simple Network Management
Protocol, SNMP), aplique el Uso de servicios externos para la monitorización on page 381
El cortafuegos muestra solo los logs que tiene permiso para ver. Por ejemplo, si su
cuenta administrativa no tiene permiso para ver los logs de envíos de WildFire, el
cortafuegos no muestra ese tipo de log cuando accede a las páginas de logs. Tipos de
funciones administrativas on page 71 definen esos permisos.
STEP 3 | Vea los detalles adicionales sobre las entradas del log.
• Haga clic en el catalejo ( ) para ver una entrada de log específica. La vista detallada de logs tiene
más información sobre el origen y destino de la sesión, además de una lista de sesiones relacionadas
con la entrada del log.
• (Solo para logs de amenazas) Haga clic en junto a una entrada para acceder a las capturas de
paquetes locales de la amenaza. Para habilitar capturas de paquetes locales, consulte Realización de
capturas de paquetes on page 341.
• (Solo tráfico, amenaza, filtrado de URL, envíos de WildFire, filtrado de datos y logs unificados) Vea
los datos de amenazas de AutoFocus para acceder a una entrada del log.
1. Habilitación de la inteligencia contra amenazas AutoFocus on page 49.
Pasos siguientes:
• Filtrar logs on page 359.
• Exportación de logs on page 360.
• Configuración de cuotas de almacenamiento y periodos de vencimiento de logs on page 361.
Filtrar logs
Cada log tiene un área de filtrado que le permite configurar criterios para mostrar las entradas del log.
La capacidad de filtrar logs resulta útil para centrarse en los eventos de su cortafuegos que poseen
propiedades o atributos particulares. Filtre los logs según los artefactos que estén asociados con entradas
de log individuales.
STEP 1 | (Solo para logs unificados) Seleccione los tipos de logs que se incluirán en la vista de logs
unificados.
1. Haga clic en Effective Queries (Consultas efectivas) ( ).
2. Seleccione uno o más tipos de logs en la lista (traffic [tráfico], threat [amenaza], url, data [datos] y
wildfire).
3. Haga clic en OK (Aceptar). Los logs unificados se actualizan para mostrar solo las entradas de los
tipos de logs que seleccionó.
• Haga clic en uno o más artefactos (como el tipo de aplicación asociado con el tráfico y la dirección IP
de un atacante) en una entrada de log. Por ejemplo, haga clic en 10.0.0.25 para Source (Origen) y en
web-browsing para Application (Aplicación) en una entrada de log para mostrar solo las entradas que
contienen ambos artefactos en el log (búsqueda con AND).
• Para especificar los artefactos que se añadirán al campo de filtros, haga clic en Add Filter (Añadir
filtro) ( ).
• Para añadir un filtro guardado previamente, haga clic en Load Filter (Cargar filtro) ( ).
Exportación de logs
Puede exportar el contenido de un tipo de log a un informe con formato de valores separados por coma
(comma-separated value, CSV). Por defecto, el informe contiene hasta 2000 filas de entradas de logs.
Si desea eliminar manualmente los logs, seleccione Device (Dispositivo) > Log Settings
(Configuración de log) y, en la sección Manage Logs (Gestionar logs), haga clic en los
enlaces para borrar los logs por tipo.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y edite la
configuración de creación de logs e informes.
STEP 2 | Seleccione Log Storage (Almacenamiento de logs) e introduzca una Quota (Cuota) (%) para
cada tipo de log. Al cambiar un valor del porcentaje, el cuadro de diálogo se actualiza para
mostrar el valor absoluto correspondiente (columna de cuota GB/MB).
STEP 3 | Introduzca Max Days (Máx. de días) (período de vencimiento) para cada tipo de log (el intervalo
es de 1 a 2000). Los campos están en blanco por defecto, lo que significa que los logs nunca
vencen.
Puede usar comandos de copia segura (SCP) de la CLI para exportar la base de datos de
logs completa a un servidor SCP e importarlo a otro cortafuegos. Como la base de datos de
logs es demasiado grande para que sea práctico importarla o exportarla en las siguientes
plataformas, estas no admiten esas opciones: Los cortafuegos serie PA-7000 (todas las
versiones de PAN-OS), el dispositivo virtual de Panorama que se ejecuta en Panorama
6.0 o versiones posteriores y los dispositivos serie M de Panorama (todas las versiones de
Panorama).
STEP 1 | Seleccione Device (Dispositivo) > Scheduled Log Export (Exportación de logs programada) y
haga clic en Add (Añadir).
STEP 2 | Introduzca un Name (Nombre) para la exportación de logs programada y seleccione Enable
(Habilitar) para habilitarla.
STEP 5 | Seleccione el Protocol (Protocolo) para exportar los logs: SCP (seguro) o FTP.
STEP 7 | Introduzca el número de Port (Puerto). De manera predeterminada, FTP usa el puerto 21 y SCP
usa el puerto 22.
STEP 8 | Introduzca la Path (Ruta) o directorio donde se guardarán los logs almacenados.
STEP 10 | (Solo FTP) Seleccione Enable FTP Passive Mode (Habilitar modo pasivo de FTP) si desea
utilizar el modo pasivo de FTP, en el que el cortafuegos inicia una conexión de datos con el
servidor FTP. De manera predeterminada, el cortafuegos utiliza el modo activo FTP en el que
el servidor FTP inicia una conexión de datos con el cortafuegos. Seleccione el modo según lo
que admite su servidor FTP y sus requisitos de red.
STEP 11 | (Solo SCP) Haga clic en Test SCP server connection (Probar la conexión de servidor SCP).
Antes de establecer una conexión, el cortafuegos debe aceptar la clave del host para el
servidor SCP.
Tipos de informes
El cortafuegos incluye informes predefinidos que puede utilizar tal cual o bien puede crear informes
personalizados que satisfagan sus necesidades por lo que respecta a datos específicos y tareas útiles o
combinar informes predefinidos y personalizados para compilar la información que necesita. El cortafuegos
proporciona los siguientes tipos de informes:
• Informes predefinidos: le permiten ver un resumen rápido del tráfico de su red. Hay disponible un
conjunto de informes predefinidos divididos en cuatro categorías: Aplicaciones, Tráfico, Amenaza y
Filtrado de URL. Consulte Visualización de informes on page 365.
• Informes de actividad de usuario o grupo: le permiten programar o crear un informe a petición sobre
el uso de la aplicación y la actividad de URL para un usuario específico o para un grupo de usuarios. El
informe incluye las categorías de URL y un cálculo del tiempo de exploración estimado para usuarios
individuales. Consulte Generación de informes de actividad del usuario/grupo on page 377.
• Informes personalizados: cree y programe informes personalizados que muestren exactamente la
información que desee ver, filtrando según las condiciones y las columnas que deben incluirse. También
puede incluir generadores de consultas para un desglose más específico de los datos de informe.
Consulte Generación de informes personalizados on page 368.
• Informes de resumen en PDF: agregue hasta 18 informes/gráficos predefinidos o personalizados de las
categorías Amenaza, Aplicación, Tendencia, Tráfico y Filtrado de URL a un documento PDF. Consulte
Gestión de informes de resumen en PDF on page 375.
• Informes de Botnet: le permiten utilizar mecanismos basados en el comportamiento para identificar
posibles hosts infectados por Botnet en la red. Consulte Generación de informes de Botnet on page
371.
• Grupos de informes: combine informes personalizados y predefinidos en grupos de informes y compile
un único PDF que se enviará por correo electrónico a uno o más destinatarios. Consulte Gestión de
grupos de informes on page 378.
Los informes se pueden generar según se necesiten, con una planificación recurrente, y se puede programar
su envío diario por correo electrónico.
STEP 2 | Seleccione un informe para visualizarlo. Luego, la página de informes muestra el informe del día
anterior.
Para ver informes de otros días, seleccione una fecha en el calendario en la parte inferior derecha de
la página y seleccione un informe. Si selecciona un informe en otra sección, la selección de la fecha se
restablece a la fecha actual.
STEP 3 | Para visualizar un informe fuera de línea, puede exportar el informe en los formatos PDF, CSV
o XML. Haga clic en Export to PDF (Exportar a PDF), Export to CSV (Exportar a CSV) o Export
to XML (Exportar a XML) en la parte inferior de la página, y luego imprima o guarde.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión), edite la
configuración de creación de logs e informes, y seleccione la pestaña Log Export and Reporting
(Exportación e informes de logs).
STEP 2 | Establezca el Report Runtime (Período de ejecución del informe) en una hora en una
programación de 24 horas (valor predeterminado: 02:00; rango: 00:00 [medianoche] a 23:00).
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y edite la
configuración de creación de logs e informes.
Informes personalizados
Para crear informes personalizados con un fin concreto, debe considerar los atributos o la información clave
que quiere recuperar y analizar. Esta consideración le guiará a la hora de realizar las siguientes selecciones
en un informe personalizado:
Selección DESCRIPTION
Base de datos Puede basar el informe en uno de los siguientes tipos de bases de datos:
• Bases de datos de resumen: estas bases de datos están disponibles para
estadísticas de aplicación, tráfico, amenaza, filtrado de URL y logs de
inspección de túnel. El cortafuegos agrega los logs detallados en intervalos
de 15 minutos. Para habilitar un tiempo de respuesta más rápido al generar
informes, el cortafuegos condensa los datos: las sesiones duplicadas
se agrupan e incrementan con un contador repetido y ciertos atributos
(columnas) se excluyen del resumen.
• Logs detallados: estas bases de datos detallan los logs y enumeran todos los
atributos (columnas) para cada entrada de log.
Atributos Columnas que quiere utilizar como criterios de coincidencia. Los atributos
son las columnas disponibles para su selección en un informe. Desde la lista
de Available Columns (Columnas disponibles), puede añadir los criterios de
selección para datos coincidentes y para agregar la información detallada
(Selected Columns [Columnas seleccionadas]).
Ordenar por/Agrupar Los criterios Sort By (Ordenar por) y Group By (Agrupar por) le permiten
por organizar/segmentar los datos del informe; los atributos de ordenación y
agrupación disponibles varían basándose en el origen de datos seleccionado.
La opción Sort By (Ordenar por) especifica el atributo que se utiliza para la
agregación. Si no selecciona un atributo según el cual ordenar, el informe
devolverá el primer número N de resultados sin ninguna agregación.
La opción Agrupar por le permite seleccionar un atributo y utilizarlo como
ancla para agrupar datos; a continuación, todos los datos del informe se
presentarán en un conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo,
si selecciona Hora para Agrupar por y desea disponer de los 25 grupos
principales durante un periodo de 24 horas, los resultados del informe se
generan cada hora durante un periodo de 24 horas. La primera columna del
informe será la hora y el siguiente conjunto de columnas será el resto de las
columnas del informe seleccionadas.
El informe está anclado por Day (Día) y se ordena por Sessions (Sesiones).
Enumera los 5 días (5 Groups [5 grupos]) con el máximo de tráfico en el
período de tiempo de Last 7 Days (Últimos 7 días). Los datos se enumeran
según las Top 5 (5 principales) sesiones de cada día para las columnas
seleccionadas: App Category (Categoría de aplicación), App Subcategory
(Subcategoría de aplicación) y Risk (Riesgo).
Período de tiempo Intervalo de fechas para el que quiere analizar datos. Puede definir un intervalo
personalizado o seleccionar un periodo que vaya desde los últimos 15 minutos
hasta los últimos 30 días. Los informes se pueden ejecutar a petición o se
pueden programar para su ejecución cada día o cada semana.
Para basar un informe en una plantilla predefinida, haga clic en Cargar plantilla y
seleccione la plantilla. A continuación, podrá editar la plantilla y guardarla como un
informe personalizado.
STEP 3 | Seleccione la Database (Base de datos) que debe utilizarse para el informe.
Cada vez que cree un informe personalizado, se creará un informe de vista de log
automáticamente. Este informe muestra los logs que se utilizaron para crear el
informe personalizado. El informe Vista de log utiliza el mismo nombre que el informe
personalizado, pero añade las palabras (Vista de log) al nombre del informe.
Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para
obtener más información, consulte Gestión de grupos de informes.
STEP 4 | Seleccione la casilla de verificación Scheduled (Programado) para ejecutar el informe cada
noche. A continuación, el informe estará disponible para su visualización en la columna Reports
(Informes) del lateral.
STEP 5 | Defina los criterios de filtrado. Seleccione el Time Frame (Período), el orden Sort By (Ordenar
por) y la preferencia Group By (Agrupar por), y seleccione las columnas que deben mostrarse
en el informe.
STEP 6 | (Opcional) Seleccione los atributos de Query Builder (Generador de consultas) si desea
limitar aun más los criterios de selección. Para crear una consulta de informe, especifique
lo siguiente y haga clic en Add (Añadir). Repita las veces que sean necesarias para crear la
consulta completa.
• Connector (Conector): seleccione el conector (y/o) para preceder la expresión que está agregando.
• Negate (Negar): seleccione la casilla de verificación para interpretar la consulta como una negativa.
Si, por ejemplo, decide hacer coincidir las entradas de las últimas 24 horas o se originan en la zona no
fiable, la opción de negación produce una coincidencia en las entradas que no se hayan producido en
las últimas 24 horas o no pertenezcan a la zona no fiable.
• Attribute (Atributo): seleccione un elemento de datos. Las opciones disponibles dependen de la
elección de la base de datos.
• Operator (Operador): seleccione el criterio para determinar si se aplica el atributo (como =). Las
opciones disponibles dependen de la elección de la base de datos.
• Value (Valor): especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente figura (basada en la base de datos Traffic Log) muestra una consulta que
coincide si se ha recibido la entrada de log de tráfico de la zona no fiable en las últimas 24 horas.
STEP 7 | Para comprobar los ajustes de informes, seleccione Run now (Ejecutar ahora). Modifique los
ajustes según sea necesario para cambiar la información que se muestra en el informe.
Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente
a los principales consumidores de los recursos de red dentro de un grupo de usuarios, debería configurar
el informe para que tuviera un aspecto parecido a este:
STEP 1 | Defina los tipos de tráfico que indican una posible actividad de botnet.
1. Seleccione Monitor (Supervisar) > Botnet y haga clic en Configuration (Configuración) a la derecha
de la página.
2. Habilite con Enable (Habilitar) y defina el conteo con Count (Recuento) para cada tipo de Tráfico
HTTP que desea que incluya el informe.
Los valores de Count (Recuento) representan el número mínimo de eventos de cada tipo de tráfico
que deben producirse para que el informe enumere el host asociado con una puntuación de confianza
más alta (mayor probabilidad de infección de botnet). Si el número de eventos es inferior al Count
El informe de uso de aplicación SaaS predefinido que se introdujo en PAN-OS 7.0 aún está
disponible como informe diario que enumera las principales 100 aplicaciones SaaS (con la
característica de aplicación SaaS, SaaS=yes) que se ejecuta en la red en un día dado.
STEP 1 | Etiquete las aplicaciones que aprueba para su uso en la red como Sanctioned.
Ejemplo: Si Box es sancionada en vsys1 y Google Drive es sancionada en vsys2, los usuarios de Google
Drive en vsys1 se contarán como usuarios de una aplicación SaaS no sancionada y los usuarios de
Box en vsys2 se contarán como usuarios de una aplicación SaaS no sancionada. El resultado principal
en el informe destacará que un total de dos aplicaciones SaaS únicas se detectan en la red con dos
aplicaciones sancionadas y dos aplicaciones no sancionadas.
1. Seleccione Object (Objeto) > Applications (Aplicaciones).
4. Haga clic en OK (Aceptar) y Close (Cerrar) para salir de todos los cuadros de diálogo abiertos.
STEP 1 | Configurar los tiempos de exploración y número de logs para informes de actividad de grupo/
usuario.
Solo es obligatorio si desea cambiar los valores predeterminados.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión), edite la
configuración de creación de logs e informes, y seleccione la pestaña Log Export and Reporting
(Exportación e informes de logs).
2. En Max Rows in User Activity Report (Filas máximas en informe de actividad de usuario): introduzca
el número máximo de filas que se admite para los informes de actividad detallada del usuario
(intervalo: 1-1048576; valor por defecto: 5000). Escriba el número de logs que analiza el informe.
3. Introduzca el Average Browse Time (Tiempo de exploración promedio) en segundos que estima que
los usuarios deberían tardar en explorar una página web (intervalo: 0-300 segundos; por defecto: 60).
Cualquier solicitud realizada después de que haya transcurrido el tiempo medio de exploración se
considerará una nueva actividad de exploración. El cálculo usa Páginas contenedoras on page 638
(iniciado en los logs de filtrado de URL) como base e ignorará las páginas web nuevas que se carguen
El informe Log View (Ver log) es un tipo de informe que se crea automáticamente cada vez que
crea un informe personalizado y utiliza el mismo nombre que el informe personalizado. Este
informe mostrará los logs que se han utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log al crear un grupo de informes, añada su informe personalizado
a la lista Custom Reports (Informes personalizados) y, a continuación, para añadir el informe Vista
de log, seleccione el nombre del informe coincidente en la lista Log View (Vista de log). El informe
incluirá los datos del informe personalizado y los datos de log que se han utilizado para crear el
informe personalizado.
5. Haga clic en OK (Aceptar) para guardar la configuración.
6. Para utilizar el grupo de informes, consulte Programación de informes para entrega de correos
electrónicos.
STEP 1 | Seleccione Monitor (Supervisar) > PDF Reports (Informes en PDF) > Email Scheduler
(Programador de correo electrónico) y haga clic en Add (Añadir).
STEP 3 | Seleccione el Report Group (Grupo de informes) para la entrega de correos electrónicos. Para
configurar un grupo de informes, consulte Gestión de grupos de informes.
STEP 4 | En Email Profile (Perfil de correo electrónico), seleccione un perfil de servidor de correo
electrónico que se utilizará para entregar los informes o haga clic en el enlace Email Profile
(Perfil de correo electrónico) para llevar a cabo la Creación de un perfil de correo electrónico.
STEP 6 | El campo Override Email Addresses (Cancelar direcciones de correo electrónico) le permite
enviar este informe exclusivamente a los destinatarios especificados. Cuando añade
destinatarios al campo, el cortafuegos no envía el informe a los destinatarios configurados en
el perfil de servidor de correo electrónico. Utilice esta opción para las ocasiones en las que el
informe vaya dirigido a una persona distinta de los administradores o destinatarios definidos en
el perfil de servidor de correo electrónico.
Puede reenviar logs desde los cortafuegos directamente a servicios externos o desde
los cortafuegos a Panorama y después configurar Panorama para reenviar los logs a los
servidores. Consulte las Opciones de reenvío de logs para los factores a tener en cuenta a la
hora de decidir dónde enviar los logs.
Puede usar comandos de copia segura (SCP) de la CLI para exportar la base de datos de
logs completa a un servidor SCP e importarlo a otro cortafuegos. Como la base de datos de
logs es demasiado grande para que sea práctico importarla o exportarla en el cortafuegos
PA-7000 Series, esta no admite esas opciones. También puede usar la interfaz web en
todas las plataformas para ver y gestionar informes, pero solo según tipo de logs, no según
toda la base de datos de logs.
STEP 1 | Configure un perfil de servidor para cada servicio externo que recibirá información de logs.
Puede usar perfiles diferentes para enviar conjuntos de logs diferentes, filtrados por
atributos de log, a un servidor diferente. Para aumentar la disponibilidad, defina múltiples
servidores en un único perfil.
STEP 3 | Asigne el perfil de reenvío de logs a las reglas de politica y zonas de red.
Las reglas de seguridad, autenticación y protección DoS admiten el reenvío de logs. En este ejemplo, se
asigna el perfil a una regla de seguridad.
Realice los siguientes pasos por cada regla que desee que active el reenvío de logs:
1. Seleccione Policies (Políticas) > Security (Seguridad) y modifique la regla.
2. Seleccione Actions (Acciones) y seleccione el perfil de Log Forwarding (Reenvío de logs) que creó.
3. Configure el Profile Type (Tipo de perfil), en Profiles (Perfiles) o Group (Grupo), y luego seleccione
los perfiles de seguridad o Group Profile (Perfil de grupo) requeridos para activar la generación y el
reenvío de logs para lo siguiente:
• Logs de amenazas: el tráfico debe coincidir con cualquier perfil de seguridad asignado a una regla.
• Logs de envío de WildFire: el tráfico debe coincidir con un perfil de análisis de WildFire asignado a
la regla.
4. Para los logs de tráfico, seleccione Log At Session Start (Log al iniciar sesión) o Log At Session End
(Log al finalizar sesión).
5. Haga clic en OK (Aceptar) para guardar la regla.
STEP 4 | Configure los destinos de los logs de sistema, configuración, ID de usuario, coincidencias HIP y
correlación.
Panorama genera logs de correlación basados en los logs de cortafuegos que recibe, en
lugar de agrupar logs de correlación de los cortafuegos.
STEP 5 | (Solo cortafuegos PA-7000 Series) Configure una interfaz de tarjeta de log para realizar el
reenvío de logs.
1. Seleccione Network (Red) > Interfaces > Ethernet y haga clic en Add Interface (Añadir interfaz).
2. Seleccione la Slot (Ranura) y el Interface Name (Nombre de interfaz).
3. Cambie el Interface Type (Tipo de interfaz) a Log Card (Tarjeta de log).
4. Introduzca la IP Address (Dirección IP), Default Gateway (Puerta de enlace predeterminada) y (para
IPv4 únicamente) la Netmask (Máscara de red).
5. Seleccione Advanced (Avanzado) y especifique Link Speed (Velocidad del enlace), Link Duplex
(Dúplex de enlace) y Link State (Estado de enlace).
Estos campos están configurados por defecto en auto, que especifica que el
cortafuegos determina automáticamente los valores según la conexión. Sin embargo,
el valor mínimo recomendado de Link Speed (Velocidad de enlace) para cualquier
conexión es de 1000 (Mbps).
6. Haga clic en OK (Aceptar) para guardar los cambios.
Puede usar perfiles separados para enviar notificaciones de correo electrónico para
cada tipo de log a un servidor diferente. Para aumentar la disponibilidad, defina múltiples
servidores (hasta cuatro) en un único perfil.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > Email (Correo electrónico).
2. Haga clic en Add (Añadir) y, a continuación, introduzca un Name (Nombre) para el perfil.
3. Si el cortafuegos tiene más de un sistema virtual (vsys), seleccione la Location (Ubicación) (vsys o
Shared [Compartido]) en la que el perfil está disponible.
4. Para cada servidor (de correo electrónico) de protocolo simple de transferencia de correo (Simple
Mail Transport Protocol, SMTP), haga clic en Add (Añadir) y defina la siguiente información:
• Name (Nombre): nombre para identificar el servidor SMTP (1-31 caracteres). Este campo es solo
una etiqueta y no tiene que ser el nombre de host de un servidor de correo electrónico existente.
• Email Display Name (Nombre de visualización de correo electrónico): el nombre que aparecerá en
el campo De del correo electrónico.
• From (De): la dirección de correo electrónico desde la cual el cortafuegos envía correos
electrónicos.
• To (Para): la dirección de correo electrónico a la cual el cortafuegos envía correos electrónicos.
• Additional Recipient (Destinatario adicional): si desea que las notificaciones se envíen a una
segunda cuenta, introduzca la dirección aquí. Solo puede añadir un destinatario adicional. Para
varios destinatarios, añada la dirección de correo electrónico de una lista de distribución.
• Email Gateway (Puerta de enlace de correo electrónico): la dirección IP o el nombre de host de la
puerta de enlace SMTP que se usará para enviar los mensajes de correo electrónico.
5. (Opcional) Seleccione la pestaña Custom Log Format (Formato de log personalizado) y personalice el
formato de los mensajes de correo electrónico. Si desea más información sobre cómo crear formatos
personalizados para los distintos tipos de log, consulte Guía de configuración de formato de eventos
comunes.
6. Haga clic en OK (Aceptar) para guardar el perfil de servidor de correo electrónico.
STEP 2 | Configure las alertas de correo electrónico para logs de envíos de WildFire, tráfico y amenaza.
1. Consulte el paso Creación de un perfil de reenvío de logs.
1. Seleccione Objects (Objetos) > Log Forwarding (Reenvío de logs), haga clic en Add (Añadir) e
introduzca un Name (Nombre) para identificar el perfil.
2. Para cada tipo de log y nivel de gravedad o veredicto de WildFire, seleccione el perfil de servidor
de correo electrónico y haga clic en OK.
2. Consulte el paso Asignación del perfil de reenvío de logs a las reglas de la política y las zonas de la
red.
STEP 3 | Configure las alertas de correo electrónico de los logs de sistema, configuración, coincidencias
HIP y correlación.
1. Seleccione Device (Dispositivo) > Log Settings (Configuración de logs).
2. Para cada log de sistema y correlación, haga clic en cada nivel de gravedad, seleccione el perfil de
servidor de Email (Correo electrónico) y haga clic en OK (Aceptar).
Puede usar perfiles diferentes para enviar syslogs para cada tipo de log a un servidor
diferente. Para aumentar la disponibilidad, defina múltiples servidores (hasta cuatro) en
un único perfil.
STEP 2 | Configure el reenvío de syslog para logs de envíos de WildFire, tráfico y amenaza.
1. Consult el paso Creación de un perfil de reenvío de logs.
STEP 6 | Compile sus cambios y revise los logs del servidor syslog.
1. Haga clic en Commit (Confirmar).
2. Para revisar los logs, consulte la documentación de su software de gestión de syslog. También puede
revisar las descripciones del campo de Syslog.
Los logs de envío de WildFire son un subtipo de logs de amenazas y utilizan el mismo
formato que syslog.
Número de serie (n.° de serie) Número de serie del cortafuegos que generó el log.
Tipo de amenaza/contenido Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y
Denegar.
• Iniciar: sesión iniciada.
• Finalizar: sesión finalizada.
• Descartar: Sesión descartada antes de identificar la aplicación; no
hay ninguna regla que permita la sesión.
• Denegar: Sesión descartada después de identificar la aplicación;
hay una regla para bloquear o no hay ninguna regla que permita la
sesión.
Usuario de destino Nombre del usuario para el que iba destinada la sesión.
País de origen País de origen o región interna para direcciones privadas; la longitud
máxima es de 32 bytes.
Razón del fin de sesión Razón por la que ha finalizado una sesión. Si la finalización ha
(session_end_reason) tenido varias causas, este campo solo muestra la más importante.
Los valores de la posible razón de finalización de la sesión son los
siguientes en orden de prioridad (el primero es el más importante):
• threat (amenaza): el cortafuegos ha detectado una amenaza
asociada a una acción de restablecimiento, borrado o bloqueo
(dirección IP).
• policy-deny: la sesión ha hecho coincidir una regla de seguridad
con una acción de denegación o borrado.
• decrypt-cert-validation: la sesión finalizó debido a que usted
configuró el cortafuegos para que bloquee el cifrado de proxy
/api/?type=op&cmd=<show><dg-hierarchy></dg-
hierarchy></show>
Nombre de sistema virtual El nombre del sistema virtual asociado con la sesión; solo válido en
los cortafuegos habilitados para múltiples sistemas virtuales.
Nombre del dispositivo El nombre de host del cortafuegos en el que se inició sesión.
Origen de acción (action_source) Especifica si la acción desarrollada para permitir o bloquear una
aplicación se definió en la aplicación o en la política. Las acciones
pueden: permitir, denegar, descartar, restablecer servidor, restablecer
cliente o restablecer ambos para la sesión.
Número de serie (n.° de Número de serie del cortafuegos que generó el log.
serie)
Tipo Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración,
Sistema y Coincidencias HIP.
Tipo de amenaza/ Subtipo del log de amenaza. Los valores incluyen lo siguiente:
contenido
• data (datos): patrón de datos que coinciden con un perfil de filtrado de
datos.
• file (archivo): tipo de archivo que coincide con un perfil de bloqueo de
archivos.
• flood (congestión): congestión detectada mediante un perfil de
protección de zona.
• packet (paquete): protección de ataque basada en paquetes
desencadenada por un perfil de protección de zona.
• scan (análisis): análisis detectado mediante un perfil de protección de
zona.
• spyware: spyware detectado mediante un perfil de antispyware.
• url: log de filtrado de URL.
• virus: virus detectado mediante un perfil de antivirus.
Usuario de destino Nombre del usuario para el que iba destinada la sesión.
Acción Acción realizada para la sesión; los valores son Alerta, Permitir, Denegar,
Descartar, Descartar todos los paquetes, Restablecer cliente, Restablecer
servidor, Restablecer ambos y Bloquear URL.
• Alerta: amenaza o URL detectada pero no bloqueada.
• Permitir: alerta de detección de inundación.
• Denegar: el mecanismo de detección de inundación está activado, y el
tráfico se deniega en función de la configuración.
• Descartar: se detecta una amenaza y se descarta la sesión asociada.
• Descartar todos los paquetes: se detecta una amenaza y la sesión
permanece, pero se descartan todos los paquetes.
• Restablecer cliente: se detecta una amenaza y se envía un TCP RST al
cliente.
• Restablecer servidor: se detecta una amenaza y se envía un TCP RST al
servidor.
• Restablecer ambos: se detecta una amenaza y se envía un TCP RST
tanto al cliente como al servidor.
• Bloquear URL: la solicitud de URL se bloqueó porque coincidía con una
categoría de URL que se había establecido como bloqueada.
Nombre de amenaza/ Identificador de Palo Alto Networks para la amenaza. Es una cadena
contenido de descripción seguida de un identificador numérico de 64 bits entre
paréntesis para algunos subtipos:
• 8000 - 8099: detección de exploración.
• 8500 - 8599: detección de inundación.
• 9999: log de filtrado de URL.
• 10000 - 19999: detección de llamada a casa de spyware.
• 20000 - 29999: detección de descarga de spyware.
• 30000 - 44999: detección de exploits de vulnerabilidades.
• 52000 - 52999: detección de tipo de archivo.
• 60000 - 69999: detección de filtrado de datos.
Gravedad Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio,
Alto y Crítico.
País de origen País de origen o región interna para direcciones privadas. La longitud
máxima es de 32 bytes.
País de destino País de destino o región interna para direcciones privadas. La longitud
máxima es de 32 bytes.
Resumen de archivo Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
(filedigest)
La cadena filedigest muestra el hash binario del archivo enviado para ser
analizado por el servicio WildFire.
Nube (cloud) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
La cadena cloud muestra el FQDN del dispositivo WildFire (privado) o la
nube de WildFire (pública) desde donde se cargó el archivo para su análisis.
Agente de usuario Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan
(user_agent) este campo.
El campo Agente de usuario especifica el explorador web que utiliza
el usuario para acceder a la URL (por ejemplo, Internet Explorer). Esta
información se envía en la solicitud de HTTP al servidor.
Tipo de archivo (filetype) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Especifica el tipo de archivo que el cortafuegos ha reenviado para el
análisis de WildFire.
X-Forwarded-For (xff) Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan
este campo.
El campo X-Forwarded-For del encabezado HTTP contiene la dirección IP
del usuario que ha solicitado la página web. Permite identificar la dirección
Sitio de referencia (referer) Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan
este campo.
El campo Referer (Sitio de referencia) del encabezado HTTP contiene la
dirección URL de la página web que enlaza al usuario a otra página web. Es
el origen que redirige (remite) al usuario a la página web solicitada.
Remitente (sender) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Especifica el nombre del remitente de un mensaje de correo electrónico
que WildFire considera malintencionado al analizar el enlace del mensaje
de correo electrónico reenviado por el cortafuegos.
Asunto (subject) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Especifica el asunto de un mensaje de correo electrónico que WildFire
considera malintencionado al analizar el enlace del mensaje de correo
electrónico reenviado por el cortafuegos.
Destinatario (recipient) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Especifica el nombre del destinatario de un mensaje de correo electrónico
que WildFire considera malintencionado al analizar el enlace del mensaje
de correo electrónico reenviado por el cortafuegos.
ID de informe (reportid) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Identifica la solicitud de análisis en la nube de WildFire o el dispositivo
WildFire.
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo
de dispositivos de dispositivos dentro de una jerarquía de grupos de dispositivos. El
(dg_hier_level_1 a cortafuegos (o sistema virtual) que genera el log incluye el número de
dg_hier_level_4) identificación de cada antecesor en su jerarquía de grupos de dispositivos.
El grupo de dispositivos compartidos (nivel 0) no se incluye en esta
estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó un
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45,
y que sus antecesores son 34 y 12. Para ver los nombres de grupos de
dispositivos que corresponden con el valor 12, 34 o 45, use uno de los
siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-
meta-data
/api/?type=op&cmd=<show><dg-hierarchy></dg-
hierarchy></show>
Nombre de sistema virtual El nombre del sistema virtual asociado con la sesión; solo válido en los
(vsys_name) cortafuegos habilitados para múltiples sistemas virtuales.
Nombre del dispositivo El nombre de host del cortafuegos en el que se inició sesión.
(device_name)
UUID VM de origen Indica el identificador único universal de origen para un equipo virtual
invitado en el entorno NSX VMware.
UUID VM de destino Indica el identificador único universal de destino para un equipo virtual
invitado en el entorno NSX VMware.
Método HTTP Solo en logs de filtrado URL. Describe el método HTTP utilizado en la
solicitud web. Solo se registran los siguientes métodos: Conectar, Eliminar,
Obtener, Encabezado, Opciones, Publicar, Colocar.
Etiqueta/IMEI de El valor definido por el usuario que agrupa el tráfico similar para fines de
supervisión creación de logs e informes. Este valor se define a nivel global.
ID de sesión primaria ID de la sesión en la cual se tuneliza esta sesión. Se aplica al túnel interno
(si hay dos niveles de tunelización) o al contenido interno (si hay un nivel
de tunelización) únicamente.
Categoría de amenaza Describe las categorías de amenaza utilizadas para clasificar diferentes
(thr_category) tipos de firmas de amenaza.
Serial Number (Serial Número de serie del cortafuegos que generó el log.
#)
Tipo Tipo de log; los valores son traffic (tráfico), threat (amenaza), config
(configuración), system (sistema) y hip-match (coincidencias HIP).
Tipo HIP (matchtype) Especifica si el campo HIP representa un objeto HIP o un perfil HIP.
Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada
tipo de log tiene un espacio de número único.
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo de
de dispositivos dispositivos dentro de una jerarquía de grupos de dispositivos. El cortafuegos
(dg_hier_level_1 a (o sistema virtual) que genera el log incluye el número de identificación de cada
dg_hier_level_4) antecesor en su jerarquía de grupos de dispositivos. El grupo de dispositivos
compartidos (nivel 0) no se incluye en esta estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó un
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45, y que
sus antecesores son 34 y 12. Para ver los nombres de grupos de dispositivos
que corresponden con el valor 12, 34 o 45, use uno de los siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-meta-
data
/api/?type=op&cmd=<show><dg-hierarchy></dg-hierarchy></
show>
Nombre de sistema El nombre del sistema virtual asociado con la sesión; solo válido en los
virtual cortafuegos habilitados para múltiples sistemas virtuales.
Serial Number (Serial Número de serie del cortafuegos que generó el log.
#)
Tipo (type) Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración,
Sistema y Coincidencias HIP.
Threat/Content Type Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y
(Tipo de amenaza/ Denegar.
contenido)
"Iniciar: sesión iniciada
"Finalizar: sesión finalizada.
"Descartar: sesión descartada antes de identificar la aplicación; no hay
ninguna regla que permita la sesión.
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo
de dispositivos de dispositivos dentro de una jerarquía de grupos de dispositivos. El
(dg_hier_level_1 a cortafuegos (o sistema virtual) que genera el log incluye el número de
dg_hier_level_4) identificación de cada antecesor en su jerarquía de grupos de dispositivos.
El grupo de dispositivos compartidos (nivel 0) no se incluye en esta
estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó un
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45,
y que sus antecesores son 34 y 12. Para ver los nombres de grupos de
dispositivos que corresponden con el valor 12, 34 o 45, use uno de los
siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-meta-
data
Consulta de la API: /api/?type=op&cmd=<show><dg-
hierarchy></dg-hierarchy></show>
Nombre de sistema El nombre del sistema virtual asociado con la sesión; solo válido en los
virtual cortafuegos habilitados para múltiples sistemas virtuales.
Data Source Name Origen de User-ID que envía la asignación de (puerto) ID a usuarios.
Time Out (timeout) Tiempo de espera tras el cual se borran las asignaciones de IP a usuarios.
Tipo de factor Proveedor que se utiliza para autenticar un usuario cuando se cuenta con
autenticación multifactor.
Número de factor Indica el uso de la autenticación primaria (1) o los factores adicionales (2,
3).
Receive Time (Fecha Mes, día y hora en que se recibió el log en el plano de gestión.
de registro)
Serial Number (Serial Número de serie del cortafuegos que generó el log.
#) (Número de serie [n.
° de serie])
Threat/Content Type Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y Denegar.
(Tipo de amenaza/
• Start (Iniciar): sesión iniciada.
contenido)
• End (Finalizar): sesión finalizada.
• Drop (Descartar): sesión descartada antes de identificar la aplicación; no
hay ninguna regla que permita la sesión.
NAT Source IP (NAT Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior.
IP origen)
Flags (Marcas) Campo de 32 bits que proporciona información detallada sobre la sesión;
este campo puede descodificarse añadiendo los valores con Y y con el valor
registrado:
• 0x80000000: la sesión tiene una captura de paquetes (PCAP).
• 0x02000000: sesión IPv6.
• 0x01000000: la sesión SSL se ha descifrado (proxy SSL).
• 0x00800000: la sesión se ha denegado a través del filtrado de URL.
• 0x00400000: la sesión ha realizado una traducción NAT (NAT).
• 0x00200000: la información de usuario de la sesión se ha capturado
mediante el portal cautivo (Captive Portal).
• 0x00080000: el valor X-Forwarded-For de un proxy está en el campo
Usuario de origen.
• 0x00040000: el log corresponde a una transacción en una sesión de proxy
HTTP (Transacción proxy).
• 0x00008000: la sesión es un acceso a la página de contenedor (Container
Page).
• 0x00002000: la sesión tiene una coincidencia temporal en una regla para
la gestión de las dependencias de las aplicaciones implícitas. Disponible en
PAN-OS 5.0.0 y posterior.
• 0x00000800: se utilizó el retorno simétrico para reenviar tráfico para esta
sesión.
Severity (Gravedad) Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y
Crítico.
Sequence Number Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada
(Número de secuencia) tipo de log tiene un espacio de número único. Este campo no es compatible
con los cortafuegos PA-7000 Series.
Action Flags (Marcas Campo de bits que indica si el log se ha reenviado a Panorama.
de acción)
Source Location País de origen o región interna para direcciones privadas; la longitud máxima es
(source country) de 32 bytes.
(Ubicación de origen
[país de origen])
Destination Location País de destino o región interna para direcciones privadas. La longitud máxima
(destination country) es de 32 bytes.
(Ubicación de destino
[país de destino])
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo de
de dispositivos dispositivos dentro de una jerarquía de grupos de dispositivos. El cortafuegos
(dg_hier_level_1 a (o sistema virtual) que genera el log incluye el número de identificación de cada
dg_hier_level_4) antecesor en su jerarquía de grupos de dispositivos. El grupo de dispositivos
compartidos (nivel 0) no se incluye en esta estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó un
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45, y que
sus antecesores son 34 y 12. Para ver los nombres de grupos de dispositivos
que corresponden con el valor 12, 34 o 45, use uno de los siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-meta-
data
Consulta de la API:
/api/?type=op&cmd=<show><dg-hierarchy></dg-hierarchy></
show>
Virtual System Name El nombre del sistema virtual asociado con la sesión; solo válido en los
(Nombre de sistema cortafuegos habilitados para múltiples sistemas virtuales.
virtual)
Device Name (Nombre El nombre de host del cortafuegos en el que se inició sesión.
del dispositivo)
Tunnel ID/IMSI (ID/ ID del túnel que se está inspeccionando o ID de identidad de suscriptor móvil
IMSI de túnel) internacional (International Mobile Subscriber Identity, IMSI) del usuario móvil.
Monitor Tag/IMEI Nombre de supervisor que configuró para la regla de política de inspección de
(Etiqueta/IMEI de túnel o el ID de identidad de equipo móvil internacional (International Mobile
supervisión) Equipment Identity, IMEI) del dispositivo móvil.
Parent Session ID (ID ID de la sesión en la cual se tuneliza esta sesión. Se aplica al túnel interno
de sesión primaria) (si hay dos niveles de tunelización) o al contenido interno (si hay un nivel de
tunelización) únicamente.
Encapsulación máxima Cantidad de paquetes que el cortafuegos descartó debido a que el paquete
(max_encap) excedía la cantidad máxima de niveles de encapsulación configurados en la
regla de política de inspección de túnel (descartar paquete si se excede el nivel
máximo de inspección de túnel).
Comprobación estricta Cantidad de paquetes que el cortafuegos descartó debido a que el encabezado
(strict_check) del protocolo del túnel en el paquete no cumplió con el RFC para el protocolo
del túnel, según se habilitó en la regla de política de inspección de túnel (Drop
Razón del fin de sesión Razón por la que ha finalizado una sesión. Si la finalización ha tenido varias
(session_end_reason) causas, este campo solo muestra la más importante. Los valores de la posible
razón de finalización de la sesión son los siguientes en orden de prioridad (el
primero es el más importante):
• threat (amenaza): el cortafuegos ha detectado una amenaza asociada a una
acción de restablecimiento, borrado o bloqueo (dirección IP).
• policy-deny: La sesión ha hecho coincidir una regla de seguridad con una
acción de denegación o borrado.
• decrypt-cert-validation: la sesión finalizó debido a que usted configuró
el cortafuegos para que bloquee el cifrado de proxy de reenvío SSL o
la inspección de entrada SSL cuando la sesión utilice la autenticación
de cliente o un certificado de servidor con cualquiera de las siguientes
condiciones: vencido, emisor no fiable, estado desconocido o tiempo de
espera de verificación de estado agotado. Este motivo de fin de la sesión
también se muestra cuando el certificado del servidor produce un alerta
de error irrecuperable de tipo bad_certificate, unsupported_certificate,
certificate_revoked, access_denied o no_certificate_RESERVED (SSLv3
únicamente).
• decrypt-unsupport-param: la sesión finalizó porque usted configuró el
cortafuegos para que bloquee el descifrado de proxy de reenvío SSL o la
inspección de entrada SSL cuando la sesión utiliza una versión de protocolo,
cifra o algoritmo SSH no compatible. Este motivo de fin de la sesión se
muestra cuando la sesión produce una alerta de error irrecuperable de tipo
unsupported_extension, unexpected_message o handshake_failure.
• decrypt-error: la sesión finalizó porque usted configuró el cortafuegos
para que bloquee el descifrado de proxy de reenvío SSL o la inspección de
entrada SSL cuando los recursos del cortafuegos o el módulo de seguridad
de (hardware security module, HSM) no estaban disponibles. Este motivo de
fin de la sesión también se muestra cuando usted configura el cortafuegos
para que bloquee el tráfico SSL con errores de SSH que produjo una alerta
de error irrecuperable que no sea ninguna de las enumeradas para los
motivos de finalización decrypt-cert-validation y decrypt-unsupport-param.
• tcp-rst-from-client: el cliente ha enviado un restablecimiento de TCP al
servidor.
• tcp-rst-from-server: el servidor ha enviado un restablecimiento de TCP al
cliente.
• resources-unavailable: la sesión se ha cancelado debido a una limitación
de recursos del sistema. Por ejemplo, la sesión podría haber superado el
Fuente de acción Especifica si la acción desarrollada para permitir o bloquear una aplicación se
(action_source) definió en la aplicación o en la política. Las acciones pueden: permitir, denegar,
descartar, restablecer servidor, restablecer cliente o restablecer ambos para la
sesión.
Serial Number (Serial #) Número de serie del dispositivo que generó el log.
Tipo Tipo de log; los valores son traffic (tráfico), threat (amenaza), config
(configuración), system (sistema) y hip-match (coincidencias HIP).
Tipo de amenaza/ Subtipo del log de sistema; hace referencia al demonio de sistema que genera
contenido el log. Los valores son crypto (criptográfico), dhcp, dnsproxy (proxy DNS), dos,
general (general), global-protect (GlobalProtect), ha (alta disponibilidad), hw
(hardware), nat (NAT), ntpd (demonio NTP), pbf (PBF), port (puerto), pppoe
(PPPoE), ras (RAS), routing (enrutamiento), satd, sslmgr (gestor SSL), sslvpn
(VPN SSL), userid (ID de usuario), url-filtering (filtrado de URL) y vpn (VPN).
Normalizar usuario Versión normalizada del nombre de usuario que se autentica (como la anexión
de un nombre de dominio al nombre de usuario).
Tipo de cliente Tipo de cliente que se utiliza para completar la autenticación (como el portal
de autenticación).
Número de factor Indica el uso de la autenticación primaria (1) o los factores adicionales (2, 3).
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo de
de dispositivos dispositivos dentro de una jerarquía de grupos de dispositivos. El cortafuegos
(dg_hier_level_1 a (o sistema virtual) que genera el log incluye el número de identificación
dg_hier_level_4) de cada antecesor en su jerarquía de grupos de dispositivos. El grupo de
dispositivos compartidos (nivel 0) no se incluye en esta estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó un
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45,
y que sus antecesores son 34 y 12. Para ver los nombres de grupos de
dispositivos que corresponden con el valor 12, 34 o 45, use uno de los
siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-meta-
data
Consulta de la API:
/api/?type=op&cmd=<show><dg-hierarchy></dg-hierarchy></
show>
Nombre de sistema El nombre del sistema virtual asociado con la sesión; solo válido en los
virtual cortafuegos habilitados para múltiples sistemas virtuales.
Nombre del dispositivo El nombre de host del cortafuegos en el que se inició sesión.
Serial Number (N.° de Número de serie del dispositivo que generó el log.
serie)
Type (Tipo) Tipo de log; los valores son traffic (tráfico), threat (amenaza), config
(configuración), system (sistema) y hip-match (coincidencias HIP).
Comando (cmd) Comando ejecutado por el administrador; los valores son añadir, duplicar,
compilar, eliminar, editar, mover, renombrar y establecer.
Client (cliente) Cliente utilizado por el administrador; los valores son Web y CLI.
Configuration Path Ruta del comando de configuración emitido; puede tener una longitud de hasta
(ruta) 512 bytes.
Detalle antes Este campo solo se incluye en los logs personalizados y no tiene el formato
del cambio predeterminado.
(before_change_detail)
Contiene la xpath completa antes del cambio de configuración.
Detalle después Este campo solo se incluye en los logs personalizados y no tiene el formato
del cambio predeterminado.
(after_change_detail)
Contiene la xpath completa después del cambio de configuración.
Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada
(seqno) tipo de log tiene un espacio de número exclusivo.
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo de
de dispositivos dispositivos dentro de una jerarquía de grupos de dispositivos. El cortafuegos
(dg_hier_level_1 a (o sistema virtual) que genera el log incluye el número de identificación de cada
dg_hier_level_4) antecesor en su jerarquía de grupos de dispositivos. El grupo de dispositivos
compartidos (nivel 0) no se incluye en esta estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó un
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45, y que
sus antecesores son 34 y 12. Para ver los nombres de grupos de dispositivos
que corresponden con el valor 12, 34 o 45, use uno de los siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-meta-
data
Consulta de la API:
/api/?type=op&cmd=<show><dg-hierarchy></dg-hierarchy></
show>
Virtual System Name El nombre del sistema virtual asociado con la sesión; solo válido en los
(Nombre de sistema cortafuegos habilitados para múltiples sistemas virtuales.
virtual)
Device Name (Nombre El nombre de host del cortafuegos en el que se inició sesión.
del dispositivo)
Serial Number (Serial #) Número de serie del cortafuegos que generó el log.
Type (Tipo) Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y
Coincidencias HIP.
Content/Threat Type Subtipo del log de sistema; hace referencia al demonio de sistema que genera
(Tipo de contenido/ el log. Los valores son crypto (criptográfico), dhcp, dnsproxy (proxy DNS), dos,
amenaza) general (general), global-protect (GlobalProtect), ha (alta disponibilidad), hw
(hardware), nat (NAT), ntpd (demonio NTP), pbf (PBF), port (puerto), pppoe
(PPPoE), ras (RAS), routing (enrutamiento), satd, sslmgr (gestor SSL), sslvpn
(VPN SSL), userid (ID de usuario), url-filtering (filtrado de URL) y vpn (VPN).
Module (módulo) Este campo únicamente es válido cuando el valor del campo Subtipo es
General. Proporciona información adicional acerca del subsistema que genera
el log; los valores son General, Gestión, Autenticación, HA, Actualizar y
Bastidor.
Severity (Gravedad) Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y
Crítico.
Sequence Number Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada
(Número de secuencia) tipo de log tiene un espacio de número único.
Action Flags (Marcas de Campo de bits que indica si el log se ha reenviado a Panorama.
acción)
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo de
de dispositivos dispositivos dentro de una jerarquía de grupos de dispositivos. El cortafuegos
(dg_hier_level_1 a (o sistema virtual) que genera el log incluye el número de identificación
dg_hier_level_4) de cada antecesor en su jerarquía de grupos de dispositivos. El grupo de
dispositivos compartidos (nivel 0) no se incluye en esta estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó un
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45,
y que sus antecesores son 34 y 12. Para ver los nombres de grupos de
dispositivos que corresponden con el valor 12, 34 o 45, use uno de los
siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-meta-
data
Consulta de la API:
/api/?type=op&cmd=<show><dg-hierarchy></dg-hierarchy></
show>
Virtual System Name El nombre del sistema virtual asociado con la sesión; solo válido en los
(Nombre de sistema cortafuegos habilitados para múltiples sistemas virtuales.
virtual)
Device Name (Nombre El nombre de host del cortafuegos en el que se inició sesión.
del dispositivo)
Serial Number (Serial #) Número de serie del dispositivo que generó el log.
Tipo Tipo de log; los valores son traffic (tráfico), threat (amenaza), config
(configuración), system (sistema) y hip-match (coincidencias HIP).
Content/Threat Type Subtipo del log de sistema; hace referencia al demonio de sistema que genera
el log. Los valores son crypto (criptográfico), dhcp, dnsproxy (proxy DNS), dos,
general (general), global-protect (GlobalProtect), ha (alta disponibilidad), hw
Category Resumen del tipo de amenaza o riesgo para la red, usuario o host.
Gravedad Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y
Crítico.
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo de
de dispositivos dispositivos dentro de una jerarquía de grupos de dispositivos. El cortafuegos
(dg_hier_level_1 a (o sistema virtual) que genera el log incluye el número de identificación
dg_hier_level_4) de cada antecesor en su jerarquía de grupos de dispositivos. El grupo de
dispositivos compartidos (nivel 0) no se incluye en esta estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó un
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45,
y que sus antecesores son 34 y 12. Para ver los nombres de grupos de
dispositivos que corresponden con el valor 12, 34 o 45, use uno de los
siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-meta-
data
Consulta de la API:
/api/?type=op&cmd=<show><dg-hierarchy></dg-hierarchy></
show>
Nombre de sistema El nombre del sistema virtual asociado con la sesión; solo válido en los
virtual cortafuegos habilitados para múltiples sistemas virtuales.
Nombre del dispositivo El nombre de host del cortafuegos en el que se inició sesión.
Nombre de objeto Nombre del objeto de correlación con el que se produjo la coincidencia.
(objectname)
Prueba Una afirmación de resumen que indica las veces que el host halló
coincidencias con las condiciones definidas en el objeto de correlación. Por
ejemplo, el host ingresó en la URI de malware conocida (19 veces).
Gravedad de Syslog
La gravedad de Syslog se establece basándose en el tipo de log y el contenido.
Tráfico info
Configurar info
Secuencias de escape
Cualquier campo que contenga una coma o comillas dobles aparecerá entre comillas dobles. Además, si
aparecen comillas dobles dentro de un campo, se definirán como carácter de escape anteponiéndoles
otras comillas dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de
amenaza siempre aparecerá entre comillas dobles.
Compatibilidad de SNMP
Puede utilizar el administrador del SNMP para supervisar las alertas activadas por eventos y las estadísticas
operativas del cortafuegos, Panorama o el dispositivo WF-500 y para el tráfico que procesan. Las
estadísticas y capturas pueden ayudarle a identificar las limitaciones de recursos, cambios o fallos
de sistemas, y ataques de malware. Puede configurar alertas mediante el reenvío de datos de log
como capturas y permitir el envío de estadísticas en respuesta a mensajes GET (solicitudes) desde
su administrador SNMP. Cada captura y estadística tiene un identificador de objeto (OID). Los OID
relacionados se organizan jerárquicamente dentro de las bases de información de gestión (MIB) que cargue
en el gestor SNMP para habilitar la monitorización.
El cortafuegos, Panorama y el dispositivo WF-500 admiten SNMP versión 2c y versión 3. Decida cuál usar
en función de la versión que otros dispositivos de su red admiten y sus requisitos de seguridad de red.
SNMP versión 3 es más seguro y permite un control de acceso más pormenorizado para las estadísticas
del sistema que el SNMP versión 2c. La siguiente tabla resume las funciones de seguridad de cada versión.
Podrá seleccionar la versión y configurar las funciones de seguridad cuando realice la Supervisión de
estadísticas con SNMP y el Reenvío de capturas a un administrador SNMP.
SNMPv3 EngineID, nombre de Contraseña de Yes (sí) Acceso del usuario en función de las
usuario y contraseña privacidad para vistas que incluyen o excluyen los
de autenticación cifrado AES 128 OID específicos
(hash SHA para la de mensajes
contraseña) SNMP
STEP 1 | Cargue todas las MIB admitidas on page 427 en su gestor SNMP.
STEP 2 | Busque todo el árbol MIB para el OID conocido. El resultado de la búsqueda muestra la ruta
de MIB para el OID, así como la información sobre el OID (por ejemplo, el nombre, estado
y descripción). Luego puede seleccionar otros OID en la misma MIB para ver la información
sobre ellos.
STEP 3 | (Opcional) Realice un Recorrido por un MIB on page 421 para mostrar todos sus objetos.
STEP 1 | Revise las MIB compatibles para determinar cuál contiene el tipo de estadística que desea.
Por ejemplo, PAN-COMMON-MIB.my contiene información de versión de hardware. La
MIB panCommonEventEventsV2 contiene todas las capturas que admiten los cortafuegos,
Panorama y dispositivos WF-500 de Palo Alto Networks.
STEP 2 | Abra la MIB en un editor de texto y realice una búsqueda de palabras clave. Por ejemplo, el uso
de una versión de hardware como cadena de búsqueda en PAN-COMMON-MIB identifica el
objeto panSysHwVersion:
panSysHwVersion OBJECT-TYPE
SYNTAX DisplayString (SIZE(0..128))
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"Hardware version of the unit."
::= {panSys 2}
STEP 3 | En una explorador de MIB, busque el árbol de MIB para que el nombre de objeto
identificado muestre su OID. Por ejemplo, el objeto panSysHwVersion tiene un OID de
1.3.6.1.4.1.25461.2.1.2.1.2.
STEP 2 | Cree una regla de seguridad para permitir los dispositivos SNMP.
1. Seleccione Policies (Políticas) > Security (Seguridad) y haga clic en Add (Añadir).
2. En la pestaña General, introduzca un nombre en Name (Nombre) para la regla.
3. En las pestañas Source (Origen) y Destination (Destino), haga clic en Add (Añadir) e introduzca una
zona de origen en Source Zone (Zona de origen) y una zona de destino en Destination Zone (Zona de
destino) para el tráfico.
4. En la pestaña Applications (Aplicaciones), haga clic en Add (Añadir), introduzca el nombre del grupo
de aplicaciones que acaba de crear y selecciónelo en el menú desplegable.
5. En la pestaña Actions (Acciones), compruebe que Action (Acción) esté configurada en Allow
(Permitir) y haga clic en OK (Aceptar) y después en Commit (Confirmar).
No puede configurar un administrador SNMP para que controle los cortafuegos de Palo Alto
Networks (mediante mensajes SET), solo para recopilar estadísticas de ellos (mediante
mensajes GET). Para obtener más información sobre cómo se implementa el SNMP en los
cortafuegos de Palo Alto Networks, consulte Compatibilidad de SNMP on page 419.
STEP 1 | Puede configurar un administrador SNMP para recibir estadísticas de los cortafuegos.
Los siguientes pasos ofrecen una descripción de las tareas que realiza en el administrador SNMP. Para
ver los pasos específicos, consulte la documentación de su gestor SNMP.
1. Para permitir que el administrador SNMP interprete estadísticas del cortafuegos, cargue las MIB
admitidas on page 427 de los cortafuegos de Palo Alto Networks y, si es necesario, compílelas.
2. Para cada cortafuegos que vaya a supervisar el administrador SNMP, defina los ajustes de conexión
(dirección IP y puerto) y los ajustes de autenticación (cadena de comunidad SNMP 2c o ID de motor/
nombre de usuario/contraseña de SNMP 3) para el cortafuegos.
El administrador SNMP puede usar la misma conexión o una diferente, y los mismos ajustes de
autenticación o diferentes para múltiples cortafuegos. Los ajustes deben coincidir con los que usted
definió al configurar el SNMP en el cortafuegos (consulte el paso 3 on page 425). Por ejemplo, si
usa SNMPv2c, la cadena de comunidad que define al configurar el cortafuegos debe coincidir con la
cadena de comunidad que defina en el administrador SNMP de ese cortafuegos.
3. Determine los identificadores de objeto (OID) de las estadísticas que desea monitorizar. Por
ejemplo, para monitorizar el porcentaje de utilización de la sesión de un cortafuegos, un explorador
MIB muestra que esta estadística corresponde con el OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 en PAN-
COMMON-MIB.my on page 433. Si desea información detallada, consulte Active el gestor SNMP
para explorar MIB y objetos on page 420.
4. Configure el gestor SNMP para monitorizar los OID deseados.
PAN-OS no sincroniza los ajustes de interfaz de gestión (MGT) para cortafuegos en una
configuración de alta disponibilidad (high availability, HA). Debe configurar la interfaz
para cada par de HA.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones) y, en la sección
Miscellaneous (Varios), haga clic en SNMP Setup (Configuración de SNMP).
2. Seleccione la versión de SNMP en Version (Versión) y configure los valores de autenticación del
siguiente modo. Si desea información más detallada sobre versión, consulte Compatibilidad de SNMP
on page 419.
• V2c: introduzca la SNMP Community String, que identifica a una comunidad de administradores
SNMP y dispositivos supervisados, además de servir como contraseña para autenticar a los
miembros de la comunidad entre sí.
Cuando supervise las estadísticas relacionadas a las interfaces del cortafuegos, debe
comparar los índices de interfaz del gestor SNMP con los nombres de interfaz de la
interfaz web del cortafuegos. Si desea información detallada, consulte Identificadores de
interfaz de cortafuegos en los gestores SNMP y recopiladores de NetFlow on page 446.
Para ver la lista de capturas que los dispositivos de Palo Alto Networks admiten, use su
administrador SNMP para acceder a la MIB panCommonEventEventsV2. Para obtener más
detalles, consulte Cómo usar un gestor SNMP para explorar MIB y objetos.
Para obtener información detallada sobre cómo los cortafuegos de Palo Alto Networks
implementan el SNMP, consulte SNMP Support (Asistencia de SNMP).
STEP 1 | Habilite el gestor SNMP para que interprete las capturas que recibe.
Cargue los MIB compatibles para los cortafuegos de Palo Alto Networks y, si es necesario, confírmelos.
Para ver los pasos específicos, consulte la documentación de su gestor SNMP.
Cuando supervise las estadísticas relacionadas con las interfaces del cortafuegos, debe
comparar los índices de interfaz del gestor SNMP con los nombres de interfaz de la
interfaz web del cortafuegos. Si desea información detallada, consulte Identificadores de
interfaz de cortafuegos en los gestores SNMP y recopiladores de NetFlow.
MIB admitidas
La tabla siguiente muestra las bases de información de gestión (management information bases, MIB) del
Protocolo simple de administración de redes (Simple Network Management Protocol, SNMP) que admiten
los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks. Debe cargar esas MIB en su
administrador SNMP para monitorizar los objetos (estadísticas y capturas del sistema) que se han definido
en las MIB. Para obtener más detalles, consulte Cómo usar un gestor SNMP para explorar MIB y objetos.
MIB-II
MIB-II proporciona identificadores de objetos (OID) para protocolos de gestión de red en redes basadas en
TCP/IP. Use esta MIB para supervisar información general sobre sistemas e interfaces. Por ejemplo, puede
analizar tendencias de uso de ancho de banda ancha por tipo de interfaz (objeto ifType) para determinar si
el cortafuegos necesita más interfaces de ese tipo para acomodar los picos de volumen del tráfico.
Los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks solo admiten los siguientes
grupos de objetos:
Interfaces Ofrece estadísticas para interfaces físicas y lógicas como tipo, ancho de banda
actual (velocidad), estado operativo (por ejemplo, activo o inactivo) y paquetes
descartados. La interfaz lógica admite, entre otros, túneles VPN, grupos de
agregación, subinterfaces de capa 2, subinterfaces de capa 3, interfaces de
loopback e interfaces VLAN.
IF-MIB
IF-MIB admite los tipos de interfaz (física y lógica) y contadores más altos (64K), más allá de los definidos
en MIB-II on page 428. Use esta MIB para estadísticas de interfaz más allá de las que proporciona MIB-II.
Por ejemplo, para monitorizar el ancho de banda actual de interfaces de alta velocidad (mayor que 2,2Gps)
como las interfaces 10G de los cortafuegos PA-5000 Series, debe comprobar el objeto ifHighSpeed de
IF-MIB en lugar del objeto ifSpeed de MIB-II. Las estadísticas IF-MIB pueden ser útiles para evaluar la
capacidad de su red.
Los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks solo admiten la ifXTable en IF-
MIB, lo que ofrece información de interfaz, como el número de paquetes de multidifusión y difusión que se
transmiten y reciben, si la interfaz está en modo promiscuo o si tiene un conector físico.
RFC 2863 define esta MIB.
HOST-RESOURCES-MIB
HOST-RESOURCES-MIB ofrece información sobre los recursos del ordenador host. Use esta MIB para
supervisar las estadísticas de uso de memoria y CPU. Por ejemplo, si consulta la carga actual de la CPU
(objeto hrProcessorLoad) puede solucionar problemas de rendimiento del cortafuegos.
ENTITY-MIB
ENTITY-MIB ofrece OID para múltiples componentes físicos y lógicos. Use esta MIB para determinar qué
componentes físicos se cargan en un sistema (por ejemplo, sensores de temperatura y de los ventiladores) y
ver información relacionada como los modelos y números de serie. También puede utilizar los números de
índice para que estos componentes determinen su estado operativo en la ENTITY-SENSOR-MIB on page
430 y ENTITY-STATE-MIB on page 431.
Los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks solo admiten partes del grupo
entPhysicalTable:
Objeto DESCRIPTION
entPhysicalClass Bastidor (3), contenedor (5) para una ranura, suministro de alimentación (6),
ventilador (7), sensor (8) para cada temperatura u otros aspectos ambientales
y módulo (9) para cada tarjeta de línea.
ENTITY-SENSOR-MIB
ENTITY-SENSOR-MIB añade compatibilidad con los sensores físicos de equipos de red más allá de lo que
define la ENTITY-MIB on page 429. Use esta MIB junto con ENTITY-MIB para supervisar el estado
operativo de los componentes físicos de un sistema (por ejemplo, los sensores de temperatura y de los
ventiladores). Por ejemplo, para solucionar problemas que pueden derivar de las condiciones ambientales,
puede asignar los índices de entidad desde la ENTITY-MIB (objeto entPhysicalDescr) para valores de estado
operativo (objeto entPhysSensorOperStatus) en la ENTITY-SENSOR-MIB. En el siguiente ejemplo, todos los
sensores de temperatura y ventiladores de un cortafuegos PA-3020 están funcionando:
Los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks solo admiten partes del grupo
entPhySensorTable. Las partes admitidas varían según la plataforma e incluyen solo los sensores térmicos
(temperatura en Celsius) y de los ventiladores (RPM).
RFC 3433 define la ENTITY-SENSOR-MIB.
ENTITY-STATE-MIB
ENTITY-STATE-MIB ofrece información sobre el estado de los componentes físicos más allá de lo que
define la ENTITY-MIB on page 429, incluido el estado administrativo y operativo de componentes en las
plataformas basadas en bastidor. Use esta MIB junto con ENTITY-MIB para monitorizar el estado operativo
de los componentes físicos de un cortafuegos PA-7000 Series (por ejemplo, tarjetas de línea, bandejas de
ventilador y fuentes de alimentación). Por ejemplo, para solucionar problemas de reenvío de logs de logs
de amenazas, puede asignar los índices de (LPC) de tarjeta de procesamiento de logs desde la ENTITY-MIB
(objeto entPhysicalDescr) a los valores de estado operativo (objeto entStateOper) en la ENTITY-SENSOR-
MIB. Los valores de estado operativo usan números para indicar el estado: 1 para desconocido, 2 para
deshabilitado, 3 para habilitado y 4 para pruebas. El cortafuegos de la serie PA-7000 es el único cortafuegos
de Palo Alto Networks que admite esta MIB.
RFC 4268 defina la ENTITY-STATE-MIB.
Tabla DESCRIPTION
Tabla de configuración Esta tabla contiene información sobre cada grupo de agregación que se
de agregador asocia con un cortafuegos. Cada grupo de agregación tiene una entrada.
(dot3adAggTable)
Algunos objetos de tabla tienen restricciones, que describe el objeto
dot3adAggIndex. Este índice es el identificador único que el sistema
local asigna al grupo de agregación. Identifica una instancia de grupo de
agregación entre los objetos gestionados subordinados del objeto contenido.
El identificador es de solo lectura.
Tabla de lista de Esta tabla enumera los puertos asociados con cada grupo de agregación en un
puerto de agregación cortafuegos. Cada grupo de agregación tiene una entrada.
(dot3adAggPortListTable)
El atributo dot3adAggPortListPorts enumera el conjunto completo de puertos
asociados con un grupo de agregación. Cada bit definido en la lista representa
un miembro de puerto. Para las plataformas no basados en bastidor, este es
un valor de 64 bits. Para plataformas de bastidor, el valor es una matriz de
ocho entradas de 64 bits.
Tabla de puerto Esta tabla contiene información de configuración LACP sobre cada puerto
de agregación asociado con un grupo de agregación en un cortafuegos. Cada puerto tiene
(dot3adAggPortTable) una entrada. La tabla no tiene entradas para puertos que no están asociados
con un grupo de agregación.
Tabla de estadística Esta tabla contiene información de agregación de enlaces sobre cada puerto
de LACP asociado con un grupo de agregación en un cortafuegos. Cada puerto tiene
(dot3adAggPortStatsTable)una fila. La tabla no tiene entradas para puertos que no están asociados con
un grupo de agregación.
La MIB IEEE 802.3 LAG incluye las siguientes capturas relacionadas con LACP:
panLACPLostConnectivityTrap
El peer perdió conectividad con el cortafuegos.
LLDP-V2-MIB.my
Use el LLDP-V2-MIB para monitorizar los eventos de protocolo de detección de nivel de enlace (LLDP on
page 938). Por ejemplo, puede consultar el objeto lldpV2StatsRxPortFramesDiscardedTotal para ver el
número de tramas LLDP que se descartaron por cualquier razón. El cortafuegos de Palo Alto Networks
usa LLDP para descubrir dispositivos vecinos y sus funcionalidades. LLDP facilita la solución de problemas,
especialmente para las implementaciones de Virtual Wire donde las utilidades de ping o tracerout no
detecta el cortafuegos.
Los cortafuegos de Palo Alto Networks admiten todos los objetos LLDP-V2-MIB excepto:
BFD-STD-MIB
Use la MIB de detección de reenvío bidireccional (Bidirectional Forwarding Detection, BFD) para supervisar
y recibir alertas de fallos para la ruta bidireccional entre dos motores de reenvío, tal como interfaces,
enlaces de datos o los motores en sí. Por ejemplo, puede comprobar el objeto bfdSessState para ver el
estado de una sesión BFD entre motores de reenvío. En la implementación de Palo Alto Networks, uno de
los motores de reenvío es una interfaz en el cortafuegos y el otro es un peer BFD adyacente configurado.
RFC 7331 define esta MIB.
PAN-COMMON-MIB.my
Utilice PAN-COMMON-MIB para supervisar la siguiente información para los cortafuegos, Panorama y
dispositivos WF-500 de Palo Alto Networks:
PAN-GLOBAL-REG-MIB.my
PAN-GLOBAL-REG-MIB.my contiene definiciones de OID global de máximo nivel para varios subárboles de
módulo MIB de empresa de Palo Alto Networks. Esta MIB no contiene objetos para que los supervise; solo
es necesaria para que hagan referencia a ella otras MIB.
PAN-GLOBAL-TC-MIB.my
PAN-GLOBAL-TC-MIB.my define convenciones (por ejemplo, la longitud de caracteres y caracteres
admitidos) para los valores de texto de objetos en módulos MIB de empresa de Palo Alto Networks. Todos
los productos de Palo Alto Networks sigue estas convenciones. Esta MIB no contiene objetos para que los
supervise; solo es necesaria para que hagan referencia a ella otras MIB.
PAN-LC-MIB.my
PAN-LC-MIB.my contiene definiciones de objetos gestionados que implementan los recopiladores de logs
(dispositivos M-Series en un modo de recopilador de logs). Use esta MIB para monitorizar la tasa de logging,
la duración de almacenamiento de base de datos de logs (en días) y uso de disco (en MB) de cada disco
lógico (hasta cuatro) en un recopilador de logs. Por ejemplo, puede usar esta información para determinar
si debe añadir más recopiladores de logs o reenviar logs a un servidor externo (por ejemplo, un servidor de
syslog) para el archivado.
PAN-PRODUCT-MIB.my
PAN-PRODUCT-MIB.my define OID de sysObjectID para todos los productos de Palo Alto Networks. Esta
MIB no contiene objetos para que los supervise; solo es necesaria para que hagan referencia a ella otras
MIB.
PAN-ENTITY-EXT-MIB.my
Use PAN-ENTITY-EXT-MIB.my en conjunto con ENTITY-MIB on page 429 para supervisar el uso de
la alimentación para componentes físicos de un cortafuegos dela serie PA-7000 (por ejemplo, bandejas
de ventilador y fuentes de alimentación), que es el único cortafuegos de Palo Alto Networks que admite
esta MIB. Por ejemplo, para solucionar problemas de reenvío de logs, puede querer comprobar el uso de
alimentación de las tarjetas de procesamiento de logs (LPC): puede asignar los índices LPC desde ENTITY-
MIB (objeto entPhysicalDescr) a valores en PAN-ENTITY-EXT-MIB (objeto panEntryFRUModelPowerUsed).
PAN-TRAPS.my
Use PAN-TRAPS.my para ver una lista completa de todas las capturas generadas e información sobre ellas
(por ejemplo, una descripción). Para acceder a una lista de capturas que admiten los cortafuegos, Panorama
y los dispositivos WF-500 de Palo Alto Networks, consulte el objeto PAN-COMMON-MIB.my on page
433 panCommonEvents > panCommonEventsEvents > panCommonEventEventsV2.
STEP 1 | Cree un perfil de servidor HTTP para enviar logs a un destino HTTP.
El perfil de servidor HTTP le permite especificar de qué manera acceder al servidor y definir el formato
en el cual enviar logs al destino HTTP. De manera predeterminada, el cortafuegos utiliza el puerto
de gestión para enviar estos logs. Sin embargo, puede asignar una interfaz de origen y una dirección
IP diferente en Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Service Route
Configuration (Configuración de ruta de servicio).
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > HTTP, en Name (Nombre)
añada un nombre para el perfil de servidor y seleccione la Location (Ubicación). El perfil puede ser
Shared (Compartido)entre todos los sistemas virtuales o aplicado a un sistema virtual específico.
2. Haga clic en Add (Añadir) para proporcionar detalles para cada servidor. Cada perfil puede tener un
máximo de 4 servidores.
3. Introduzca un Name (Nombre) y una Address (Dirección) IP.
4. Seleccione el Protocol (Protocolo) (HTTP o HTTPS). El Port (Puerto) es 80 o 443, respectivamente;
usted puede modificar el número de puerto para que coincida con el puerto en el cual escucha su
servidor HTTP.
5. Seleccione el HTTP Method (Método HTTP) que el servicio externo admite: PUT, POST (opción
predeterminada), GET y DELETE.
6. Ingrese el Username (Nombre de usuario) y Password (Contraseña) para autenticar el servidor, si
fuera necesario. Haga clic en OK (Aceptar).
7. Seleccione Test Server Connection (Comprobar la conexión del servidor) para verificar la
conectividad de red entre el cortafuegos y el servidor HTTP.
STEP 2 | Seleccione el Payload Format (Formato de carga útil) para la solicitud HTTP.
1. Seleccione el enlace de Log Type (Tipo de Log) para cada tipo de log para el cual desee definir el
formato de solicitud HTTP.
3. Seleccione Send Test Log (Enviar log de prueba) para verificar que el servidor HTTP reciba la
solicitud. Cuando envía de manera interactiva un log de prueba, el cortafuegos utiliza el formato tal
como está y no reemplaza la variable por un valor de un log del cortafuegos. Si su servidor HTTP
envía una respuesta 404, proporcione valores para los parámetros, a fin de que el servidor pueda
procesar la solicitud correctamente.
STEP 3 | Defina los criterios de coincidencia para determina cuándo el cortafuegos enviará logs al
servidor HTTP, y adjunte el perfil de servidor HTTP para usar.
1. Seleccione los tipos de logs para los cuales desea activar un flujo de trabajo:
• Añada un perfil de envío de logs (Objects [Objetos] > Log Forwarding Profile [Perfil de envío de
logs]) para los logs que pertenecen a la actividad de usuario. Por ejemplo, logs de tráfico, amenaza
o autenticación.
• Seleccione Device (Dispositivo) > Log Settings (Configuración de logs) para los logs que
pertenecen a eventos del sistema, tales como logs de configuración o sistema.
2. Seleccione el tipo de log y utilice el nuevo Filter Builder (Generador de filtro) para definir los criterios
de coincidencia.
3. Seleccione Add (Añadir) para añadir un perfil de servidor HTTP para enviar logs a un destino HTTP.
STEP 4 | Registre o cancele el registro de una etiqueta en una dirección IP de origen o destino, en una
entrada de log para un agente de User-ID remoto.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > HTTP, en Name (Nombre)
añada un nombre para el perfil de servidor y seleccione la Location (Ubicación). El perfil puede ser
Shared (Compartido)entre todos los sistemas virtuales o aplicado a un sistema virtual específico.
2. Seleccione Tag Registration (Registro de etiqueta) para habilitar el cortafuegos para que registre la
dirección IP y la asignación de etiquetas con el agente de User-ID en un cortafuegos remoto. Con el
registro de etiqueta habilitado, usted no puede especificar el formato de carga útil.
3. Añada los detalles de conexión para acceder al agente de User-ID remoto.
Para aplicar la política dinámica debe usar grupos de direcciones dinámicas en la política.
STEP 2 | Asigne el perfil del servidor NetFlow a las interfaces del cortafuegos que transfieren el tráfico
que desea analizar.
En este ejemplo, asigne el perfil a una interfaz de Ethernet existente.
1. Seleccione Network (Red) > Interfaces > Ethernet y haga clic en el nombre de la interfaz para
editarlo.
STEP 3 | (Necesario para los cortafuegos serie PA-7000 y PA-5200) Configure una ruta de servicio que
el cortafuegos utilizará para enviar registros de NetFlow.
No puede utilizar una interfaz de gestión (MGT) para enviar registros de NetFlow desde los cortafuegos
serie PA-7000 y PA-5200. En el caso de los otros modelos de cortafuegos, una ruta de servicio es
opcional. En todos los cortafuegos, el interfaz que envía registros de NetFlow no debe ser el mismo que
el interfaz para el que el cortafuegos recopila los registros.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios).
2. (Cortafuegos con múltiples sistemas virtuales) Seleccione una de las siguientes opciones:
• Global: seleccione esta opción si la ruta de servicio se aplica a todos los sistemas virtuales del
cortafuegos.
• Sistemas virtuales: seleccione esta opción si la ruta de servicio se aplica a un sistema virtual
específico. Establezca la Location (Ubicación) del sistema virtual.
3. Seleccione Service Route Configuration (Configuración de ruta de servicios) y personalícela.
4. Seleccione el protocolo (IPv4 o IPv6) que utiliza la interfaz. Puede configurar la ruta de servicio de
ambos protocolos si es necesario.
5. Haga clic en NetFlow en la columna Service (Servicio).
6. Seleccione la Source Interface (Interfaz de origen).
Any (Todos), Use default (Utilizar predeterminado) y MGT (Gestión) no son opciones
de interfaz válidas para enviar registros de NetFlow desde cortafuegos serie PA-7000 o
PA-5200.
7. Seleccione una Source Address (Dirección de origen) (dirección IP).
8. Haga clic en OK (Aceptar) dos veces para guardar los cambios.
Para solucionar los problemas de entrega de NetFlow, utilice el comando operativo de la CLI debug
log-receiver netflow statistics.
Plantillas de NetFlow
Los recopiladores de NetFlow usan plantillas para descifrar los campos que exporta el cortafuegos. El
cortafuegos selecciona una plantilla según el tipo de datos exportados: tráfico IPv4 o IPv6, con o sin
NAT y con campos estándar o específicos de empresa (específicos de PAN-OS). El cortafuegos actualiza
periódicamente las plantillas para reevaluar cuál se usa (en caso de que el tipo de datos exportados cambie)
y aplicar los cambios a los campos en la plantilla seleccionada. Cuando configura exportaciones de NetFlow,
Plantilla ID
En la siguiente tabla se incluyen los campos de NetFlow que el cortafuegos puede enviar junto con las
plantillas que los definen:
228 postNAPTDestinationTransportPort
La definición de este elemento IPv4 con NAT
de información es idéntica a la de Standard
destinationTransportPort, a excepción
IPv4 con NAT
de que indica un valor modificado
Enterprise
que el cortafuegos produjo durante la
traducción del puerto de la dirección
de red después de que el paquete
atravesara la interfaz.
Debe hacer coincidir los índices con nombres comprendiendo las fórmulas que usa el cortafuegos para
calcular los índices. Las fórmulas varían por plataforma y tipo de interfaz: física o lógica.
Los índices de interfaces físicas están comprendidos en un intervalo de 1-9999, el cual calcula el
cortafuegos del modo siguiente:
Los índices de interfaces lógicas para todas las plataformas son números de nueve dígitos que el
cortafuegos calcula del modo siguiente:
Interfaz 101010001/-199999999
Tipo: Ranura Puerto Subinterfaz: Eth1/5.22 = 100000000
de capa 1 de de sufijo (tipo) + 100000 (ranura)
3 interfaz: interfaz: 1-9999 + 50000 (puerto) + 22
1-9 1-9 (0001-9999) (sufijo) = 101050022
(01-09) (01-09)
Interfaz 101010001/-199999999
Tipo: Ranura Puerto Subinterfaz: Eth2/3.6 = 100000000
de capa 1 de de sufijo (tipo) + 200000 (ranura) +
2 interfaz: interfaz: 1-9999 30000 (puerto) + 6 (sufijo)
1-9 1-9 (0001-9999) = 102030006
(01-09) (01-09)
Subinterfaz101010001/-199999999
Tipo: Ranura Puerto Subinterfaz: Eth4/2.312 = 100000000
Vwire 1 de de sufijo (tipo) + 400000 (ranura)
interfaz: interfaz: 1-9999 + 20000 (puerto) + 312
1-9 1-9 (0001-9999) (sufijo) = 104020312
(01-09) (01-09)
VLAN 200000001-200009999
Tipo: 00 00 Sufijo de VLAN.55 = 200000000
2 VLAN: (tipo) + 55 (sufijo) =
1-9999 200000055
(0001-9999)
Loopback 300000001-300009999
Tipo: 00 00 Sufijo de Loopback.55 =
3 loopback: 300000000 (tipo) + 55
1-9999 (sufijo) = 300000055
(0001-9999)
Túnel 400000001-400009999
Tipo: 00 00 Sufijo Tunnel.55 = 400000000
4 de túnel: (tipo) + 55 (sufijo) =
1-9999 400000055
(0001-9999)
Grupo 500010001-500089999
Tipo: 00 Sufijo Subinterfaz: AE5.99 = 500000000
de 5 AE: 1-8 sufijo (tipo) + 50000 (sufijo AE)
agregados (01-08) 1-9999 + 99 (sufijo) = 500050099
(0001-9999)
449
450 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | User-ID
© 2017 Palo Alto Networks, Inc.
Descripción general de User-ID
User-ID™ le permite identificar a todos los usuarios en su red utilizando una variedad de técnicas para
garantizar que pueda identificar los usuarios en todas las ubicaciones con una variedad de métodos de
acceso y sistemas operativos, como Microsoft Windows, Apple iOS, Mac OS, Android y Linux®/UNIX.
Conocer sus usuarios en lugar de solo conocer sus direcciones IP le permite lo siguiente:
• Visibilidad: la visibilidad mejorada del uso de las aplicaciones basada en los usuarios le ofrece
información más pertinente sobre la actividad de la red. La importancia de User-ID se vuelve evidente
cuando observa una aplicación extraña o desconocida en su red. Por medio del ACC o el visor de logs, su
equipo de seguridad puede determinar cuál es la aplicación, quién es el usuario, el consumo de ancho de
banda y de sesión, el origen y el destino del tráfico de la aplicación y cualquier amenaza asociada.
• Control de políticas: la conexión de la información del usuario con las reglas de la política de seguridad
permite una habilitación segura de las aplicaciones que atraviesan la red y garantiza que solo los usuarios
con una necesidad empresarial de una aplicación puedan acceder. Por ejemplo, algunas aplicaciones,
tales como las aplicaciones SaaS que habilitan el acceso a los servicios de Recursos Humanos (tales
como Workday o Service Now) deben estar disponibles para todos los usuarios conocidos de la red. Sin
embargo, para las aplicaciones más delicadas puede reducir la superficie de ataque al garantizar que solo
los usuarios que las necesitan tengan acceso a ellas. Por ejemplo, si bien el personal de asistencia técnica
de TI puede necesitar legítimamente el acceso a aplicaciones de escritorio remoto, la mayoría de sus
usuarios no lo necesitan.
• Creación de logs, creación de informes, análisis de datos: si se produce un incidente de seguridad, el
análisis de datos y la generación de informes basados en la información del usuario, en lugar de solo las
direcciones IP, brindan una imagen más completa del problema. Por ejemplo, puede utilizar la actividad
de grupo/usuario predefinida para ver un resumen de las actividades web de usuarios individuales o
grupos de usuarios, o el informe de uso de aplicaciones SaaS para ver los usuarios que transfieren más
datos mediante aplicaciones SaaS no sancionadas.
Para aplicar las políticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones
IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para
recopilar esta información de Asignación de usuario on page 453. Por ejemplo, el agente de User-ID
supervisa los logs de servidor para eventos de inicio de sesión y escucha mensajes de syslog de servicios de
autenticación. Para identificar asignaciones de direcciones IP que el agente no asignó, puede configurar la
Política de autenticación on page 199 para que redirija las solicitudes HTTP a un inicio de sesión de portal
cautivo. Puede adaptar los mecanismos de asignación de usuarios a su entorno e incluso utilizar diferentes
mecanismos en diferentes sitios para garantizar que permite a todos los usuario acceder de manera segura a
las aplicaciones en todas las ubicaciones, todo el tiempo.
Para habilitar las políticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos
los usuarios disponibles y su pertenencia a los grupos, de modo que pueda seleccionar grupos al definir
las reglas de su política. El cortafuegos recopila información de Asignación de grupos on page 453
conectándose directamente con el servidor de su directorio LDAP o utilizando integración de la API de XML
con el servidor de su directorio.
Consulte Conceptos de User-ID on page 453 si desea información sobre cómo funciona User-ID y
Habilitación de User-ID on page 457 si desea instrucciones sobre la configuración de User-ID.
User-ID no funciona en entornos en los que las direcciones IP de los usuarios están sujetas
a la traducción NAT antes de que el cortafuegos asigne las direcciones IP a nombres de
usuarios.
Asignación de grupos
Para definir las reglas de políticas basadas en usuarios o grupos, primero cree un perfil de servidor
LDAP que defina la forma en que el cortafuegos se conecta a su servidor de directorio y se autentica. El
cortafuegos admite una variedad de servidores de directorio, incluidos Microsoft Active Directory (AD),
Novell eDirectory y Sun ONE Directory Server. El perfil de servidor también define cómo el cortafuegos
busca el directorio para recuperar la lista de grupos y la lista de miembros correspondiente. Si utiliza un
servidor de directorio que no es compatible con el cortafuegos de forma nativa, puede integrar la función
de asignación de grupos utilizando la API de XML. Luego, puede crear una configuración de asignación de
grupos para realizar la Asignación de usuarios a grupos on page 460 y la Habilitación de política basada en
usuarios y grupos on page 500.
La definición de reglas de políticas que se basen en la pertenencia a grupos en lugar de en usuarios
individuales simplifica la administración porque no tiene que actualizar las reglas siempre que se agregan
nuevos usuarios a un grupo. Cuando configure una asignación de grupo, puede limitar qué grupos estarán
disponibles en las reglas de políticas. Puede especificar grupos que ya existen en su servicio de directorios
o especificar grupos personalizados basados en filtros LDAP. Puede tardar si define grupos personalizados
que si crea nuevos grupos o cambia los existentes en un servidor LDAP, y la definición no requiere la
intervención de un administrador LDAP. User-ID asigna todos los usuarios de directorio LDAP que hacen
coincidir el filtro con el grupo personalizado. Por ejemplo, puede querer una política de seguridad que
permita a los contratistas del departamento de marketing acceder a los sitios de redes sociales. Si no existe
ningún grupo de Active Directory para ese departamento, puede configurar un filtro LDAP que coincida con
los usuarios cuyo atributo de LDAP Departamento está definido como Marketing. Las consultas e informes
de log que se basan en grupos de usuarios incluirán grupos personalizados.
Asignación de usuario
Conocer los nombres de usuario y de grupos representa solo un paso. El cortafuegos también necesita
saber qué direcciones IP asignar a qué usuarios de modo que las reglas de seguridad puedan aplicarse
correctamente. User-ID on page 452 muestra los diferentes métodos que se utilizan para identificar
usuarios y grupos en su red y presenta el modo en que la asignación de usuarios y la asignación de grupos
trabajan en conjunto para habilitar la visibilidad y la aplicación de la seguridad basada en usuarios y grupos.
Los temas siguientes describen los diferentes métodos de asignación de usuarios:
• Monitorización de servidor on page 453
• Asignación de puertos on page 454
• Syslog on page 454
• Encabezados XFF on page 454
• Política de autenticación y portal cautivo on page 454
• GlobalProtect on page 455
• XML API on page 456
• Sondeo de cliente on page 456
Monitorización de servidor
Con la supervisión de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute
en un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el
cortafuegos) supervisa los logs de eventos de seguridad en busca de los servidores de Microsoft Exchange,
Asignación de puertos
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma dirección IP. En este caso, el proceso de asignación de usuario a dirección
IP requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignación,
debe instalar el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal
Windows/Citrix para que sirva de intermediario en la asignación de puertos de origen a los diversos
procesos de usuario. Para los servidores de terminal que no admiten el agente de servicios de terminal,
como los servidores de terminal de Linux, puede utilizar la API XML para enviar información de asignación
de usuarios de eventos de inicio de sesión y cierre de sesión a User-ID. Consulte Configuración de la
asignación de usuarios para usuarios del servidor de terminal on page 491 para obtener información
detallada sobre la configuración.
Encabezados XFF
User-ID puede leer las direcciones IPv4 o IPv6 de los usuarios en el encabezado X-Forwarded-For (XFF) de
las solicitudes de cliente de HTTP cuando el cortafuegos se encuentra entre Internet y un servidor proxy
que normalmente ocultaría las direcciones IP de los usuarios. User-ID asocia las direcciones IP reales de los
usuarios con los nombres de usuario. Consulte el paso 9 on page 459
Syslog
Es posible que su entorno cuente con servicios de red existentes que autentican usuarios. Entre estos
servicios se incluyen controladores inalámbricos, dispositivos 802.1x, servidores Open Directory de Apple,
servidores proxy y otros mecanismos de control de acceso a la red (NAC). Puede configurar estos servicios
para enviar mensajes de syslog con información sobre los eventos de inicio de sesión y cierre de sesión,
GlobalProtect
En el caso de usuarios móviles o con itinerancia, el cliente GlobalProtect proporciona la información de
asignación de usuarios directamente al firewall. En este caso, cada usuario de GlobalProtect tiene un agente
o una aplicación ejecutándose en el cliente que requiere que el usuario introduzca credenciales de inicio de
sesión para un acceso mediante VPN al cortafuegos. A continuación, esta información de inicio de sesión se
añade a la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicación
de políticas de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse
para poder acceder a la red, la asignación de direcciones IP a nombres de usuarios se conoce de manera
explícita. Esta es la mejor solución en entornos confidenciales en los que deba estar seguro de quién es
un usuario para permitirle el acceso a una aplicación o un servicio. Para obtener más información sobre
cómo configurar GlobalProtect, consulte la GlobalProtect Administrator’s Guide (Guía del administrador de
GlobalProtect).
Sondeo de cliente
En un entorno de Microsoft Windows, puede configurar el agente de User-ID para probar sistemas de
cliente con el Instrumental de administración de Windows (Windows Management Instrumentation, WMI) o
sondeos de NetBIOS en intervalos regulares para verificar que la asignación de usuario existente siga siendo
válida o para obtener el nombre de usuario para una dirección IP que todavía no se haya asignado.
El sondeo de clientes se diseñó para las redes heredadas, en las que la mayoría de los usuarios utilizan
estaciones de trabajo en Windows en la red interna, pero no es ideal para las redes actuales más modernas
que son compatibles con una base de usuarios móviles o con itinerancia en diversos dispositivos y sistemas
operativos. Además, el sondeo de clientes puede generar una gran cantidad de tráfico de red (basado en el
número total de direcciones IP asignadas) y puede implicar una amenaza de seguridad cuando se configura
incorrectamente. Por lo tanto, el sondeo de clientes ya no es un método recomendado para la asignación
de usuarios. En su lugar, recoja información de asignación de usuarios de fuentes más aisladas y fiables,
como controladores de dominio, y mediante integraciones con Syslog on page 454 o la XML API on page
456, que le permiten capturar con seguridad la información de asignación de usuarios desde cualquier
tipo de dispositivo o sistema operativo. Si tiene aplicaciones confidenciales que requieren que conozca
exactamente quién es cada usuario, configure Política de autenticación y portal cautivo on page 454 con
el fin de garantizar que solo permita el acceso a los usuarios autorizados.
Dado que el sondeo del WMI confía en datos que se informan en el extremo, no es un
método que se recomiende para obtener información de User-ID en una red de alta
seguridad. Si utiliza un agente de User-ID para analizar los logs de eventos de seguridad
del AD, los mensajes de syslog, o la API de XML para obtener las asignaciones de User-ID,
Palo Alto Networks recomienda deshabilitar el sondeo del WMI.
Si elige el sondeo del WMI, no lo habilite en interfaces externas no fiables, dado que podría
provocar que el agente envíe las sondas del WMI con información confidencial, como el
nombre de usuario, el nombre de dominio y hash de contraseña de la cuenta de servicio del
agente de User-ID, fuera de su red. Es muy posible que un atacante utilice esta información
para penetrar la red y obtener acceso avanzado.
Si habilita el sondeo en sus zonas fiables, el agente sondeará periódicamente cada dirección IP obtenida
(cada 20 minutos de manera predeterminada, pero esto puede configurarse) para verificar que el mismo
usuario sigue conectado. Además, cuando el cortafuegos se encuentre una dirección IP para la que no tenga
una asignación de usuario, enviará la dirección al agente para un sondeo inmediato.
Consulte Configuración de la asignación de usuarios mediante el agente de User-ID de Windows on page
466 o Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS on
page 473 para obtener información detallada.
STEP 1 | Habilite User-ID en las zonas de origen que contengan los usuarios que enviarán solicitudes
que requieran controles de acceso basados en usuarios.
1. Seleccione Network (Red) > Zones (Zonas) y haga clic en el nombre de la zona.
2. Seleccione Enable User Identification (Habilitar identificación de usuario) y haga clic en OK
(Aceptar).
STEP 2 | Creación de una cuenta de servicio exclusiva para el agente de User-ID on page 463.
Como práctica recomendada, cree una cuenta de servicio con el conjunto mínimo de
permisos necesarios para respaldar las opciones de User-ID que usted permite para
reducir la superficie de ataque en caso de que una cuenta de servicio se vea afectada.
Esto es necesario si usted planea usar el agente de User-ID basado en Windows o el agente de User-
ID integrado en PAN-OS para supervisar los controladores de dominio, los servidores de Microsoft
Exchange o los clientes de Windows para los eventos de inicio y cierre de sesión.
La manera de hacerlo depende de dónde se encuentran los usuarios y qué tipos de sistemas utilizan, y
qué sistemas de su red están recopilando eventos de inicio y cierre de sesión para los usuarios. Debe
configurar uno o más agentes de User-ID para habilitar Asignación de usuario on page 453:
• Configuración de la asignación de usuarios mediante el agente de User-ID de Windows on page
466.
• Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS on
page 473.
STEP 5 | Especifique las redes que se deben incluir en la asignación de usuarios y excluir de esta.
Como práctica recomendada, siempre especifique qué redes incluir y excluir de User-ID.
Esto le permite asegurarse de que solo se sondeen sus activos fiables y de que no se
creen asignaciones de usuario indeseables de manera imprevista.
Configure cada agente que haya configurado para la asignación de usuario de la siguiente manera:
• Paso 2 on page 471
• Paso 3 on page 474
Cree reglas basadas en grupos en lugar de usuarios siempre que sea posible. Esto evita
que tenga que actualizar continuamente sus políticas (lo que requiere una confirmación)
cada vez que cambie su base de usuarios.
Después de configurar User-ID, podrá seleccionar un nombre de usuario o grupo al definir el origen o el
destino de una regla de seguridad:
1. Seleccione Policies (Políticas) > Security (Seguridad) y Add (Añadir) para añadir una nueva regla o
haga clic en un nombre de regla existente para modificarlo.
2. Seleccione User (Usuario) y especifique qué usuarios y grupos deben coincidir en la regla de una de
las siguientes formas:
• Si desea seleccionar usuarios o grupos específicos como criterios de coincidencia, haga clic en
el botón Add (Añadir) en la sección Source User (Usuario de origen) para mostrar una lista de
usuarios y grupos detectados por la función de asignación de grupos del cortafuegos. Seleccione
los usuarios o grupos que deben añadirse a la regla.
• Si desea que la política coincida con cualquier usuario que se haya autenticado correctamente
o no, y no necesita conocer el nombre específico del usuario o grupo, seleccione known-user
(usuario conocido) o unknown (desconocido) en la lista desplegable que se encuentra por encima
de la lista Source User (Usuario de origen).
3. Configure el resto de la regla según sea adecuado y, a continuación, haga clic en OK (Aceptar). Para
obtener información detallada sobre otros campos de la política de seguridad, consulte Configuración
de una política de seguridad básica on page 38.
STEP 8 | Cree las reglas de política de seguridad para habilitar de manera segura User-ID en sus zonas
fiables y evitar que el tráfico de User-ID salga de la red.
STEP 1 | Cree una cuenta de Active Directory (AD) para el agente de User-ID.
Debe crear una cuenta de servicio en cada dominio que el agente supervisará.
1. Inicie sesión en el controlador de dominio.
2. Haga clic con el botón derecho del ratón en el icono de Windows ( ), seleccione Search (Buscar) para
buscar Active Directory Users and Computers (Usuarios y equipos de Active
Directory) e inicie la aplicación.
3. En el panel de navegación, abra el árbol de dominio, haga clic con el botón derecho en Managed
Service Accounts (Cuentas de servicio gestionadas) y seleccione New (Nuevo) > User (Usuario).
4. Ingrese el First Name (Nombre), Last Name (Apellido) y User logon name (Nombre de inicio de
sesión de usuario) del usuario y haga clic en Next (Siguiente).
5. Ingrese la Password (Contraseña) y luego Confirm Password (Confirmar contraseña), y luego haga
clic en Next (Siguiente) y Finish (Finalizar).
STEP 2 | Añada la cuenta a los grupos Builtin que tienen privilegios para el acceso a los servicios y hosts
que el agente de User-ID supervisará.
1. Haga clic con el botón derecho del ratón en la cuenta de servicio que acaba de añadir y seleccione
Add to a group (Añadir a un grupo).
2. Enter the object names to select (Ingrese los nombres de objetos para seleccionar) de la siguiente
manera para asignar la cuenta a los grupos. Separe cada entrada con punto y coma.
• Event Log Readers (Lectores de log de evento) o un grupo personalizado que tiene privilegios
para leer eventos de log de seguridad. Estos privilegios son necesarios si el agente de User-ID
recopilará información de asignación al supervisar los logs de seguridad.
• (Agente integrado de PAN-OS únicamente) El grupo Distributed COM Users (Usuarios COM
distribuidos), que tiene privilegios para iniciar, activar y usar objetos de modelo de objeto de
componente distribuido (Distributed Component Object Model, DCOM).
• (No recomendado) El grupo Server Operators (Operadores de servidor), que tiene privilegios para
abrir las sesiones. El agente solo necesita estos privilegios si planea configurarlo para que actualice
información de asignación existente al supervisar las sesiones de usuario.
Para un cortafuegos con varios sistemas virtuales, solo vsys1 puede unirse al dominio debido a las
restricciones de AD en los sistemas virtuales que se ejecutan en el mismo host.
3. Seleccione Check Names (Comprobar nombres) para validar sus entrada y haga clic en OK (Aceptar)
dos veces.
STEP 3 | Si planea usar el sonde de WMI, habilite la cuenta para leer el espacio de nombres CIMV2 en
los sistemas cliente.
De manera predeterminada, las cuentas del grupo de operadores de servidor tienen este permiso.
Realice esta tarea en cada sistema cliente que el agente de User-ID sondeará para la información de
asignación de usuarios:
1. Haga clic con el botón derecho del ratón en el icono de Windows ( ), seleccione Search (Buscar) para
buscar wmimgmt.msc e inicie la consola de gestión WMI.
2. En el árbol de la consola, haga clic con el botón derecho en WMI Control (Control de WMI) y
seleccione Properties (Propiedades).
3. Seleccione Security (Seguridad), seleccione Root (Raíz) > CIMV2 y haga clic en Security (Seguridad).
4. Seleccione Add (Añadir) para añadir el nombre de la cuenta de servicio que creó y luego Check
Names (Comprobar nombres) para verificar su entrada, y haga clic en OK (Aceptar).
Es posible que deba cambiar las Locations (Ubicaciones) o hacer clic en Advanced
(Avanzado) para consultar los nombres de cuenta. Consulte la ayuda del cuadro de
diálogo para obtener más detalles.
5. En la sección Permissions (Permisos) para <Username>, seleccione Allow (Permitir) para habilitar los
permisos Enable Account (Habilitar cuenta), Read Security (Seguridad de lectura) y Remote Enable
(Llamada remota habilitada).
6. Haga clic en OK (Aceptar) dos veces.
Para obtener información sobre los requisitos del sistema para instalar el agente de User-
ID basado en Windows y para obtener información sobre las versiones admitidas del SO del
servidor, consulte la matriz de compatibilidad de Palo Alto Networks.
Para obtener información más detallada sobre dónde instalar agentes de User-ID,
consulte Diseño de implementaciones de identificación de usuario (User-ID).
• Debe instalar el agente de User-ID en un sistema que ejecute una de las versiones de SO admitidas:
consulte “Compatibilidad del agente de User-ID con el sistema operativo (SO)” en las Notas de
versión de agente de User-ID.
• Asegúrese de que el sistema que alojará el agente de User-ID es un miembro del mismo dominio que
los servidores que supervisará.
• La práctica recomendada es instalar el agente de User-ID cerca de los servidores que supervisará (hay
más tráfico entre el agente de User-ID y los servidores supervisados que entre el agente de User-ID y
el cortafuegos, de modo que ubicar el agente cerca de los servidores supervisados optimiza el uso del
ancho de banda).
• Para garantizar la asignación de usuarios más completa, debe supervisar todos los servidores que
contengan información de inicio de sesión de usuarios. Puede que necesite instalar varios agentes de
User-ID para supervisar eficazmente todos sus recursos.
Instale la misma versión del agente de User-ID que la versión de PAN-OS que se esté
ejecutando en el cortafuegos. Si no hubiera una versión de agente de User-ID que
coincida con la versión de PAN-OS, instale la versión más reciente que sea más cercana
a la versión de PAN-OS. Por ejemplo, si está ejecutando PAN-OS 7.1 en su cortafuegos,
instale el agente de User-ID versión 7.0.
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.0-1.msi
STEP 6 | (Opcional) Cambie la cuenta de servicio que utiliza el agente de User-ID para iniciar sesión.
De manera predeterminada, el agente utiliza la cuenta de administrador utilizada para instalar el
archivo .msi. Sin embargo, puede que quiera cambiarla por una cuenta restringida de la manera siguiente:
1. Seleccione User Identification (Identificación de usuarios) > Setup (Configuración) y haga clic en Edit
(Editar).
2. Seleccione la pestaña Authentication (Autenticación) e introduzca el nombre de cuenta de servicio
que quiera que utilice el agente de User-ID en el campo User name for Active Directory (Nombre de
usuario para Active Directory).
3. Introduzca la Password (Contraseña) para la cuenta especificada.
STEP 8 | (Opcional) Asigne sus propios certificados para la autenticación mutua entre el agente de User-
ID de Windows y el cortafuegos.
1. Obtenga su certificado para el agente de User-ID de Windows. La clave privada del certificado del
servidor debe estar cifrada y cargarse usando los paquetes PFX o P12.
• Generar un certificado on page 220 Luego expórtelo para cargarlo en el agente de User-ID de
Windows.
• Exporte un certificado de la autoridad de certificados (CA) de la empresa y cárguelo en el agente
de User-ID de Windows.
2. Añada un certificado de servidor en el agente de User-ID de Windows.
1. En el agente de User-ID de Windows, seleccione Server Certificate (Certificado de servidor) y
haga clic en Add (Añadir).
2. Ingrese la ruta y el nombre del archivo de certificado que recibió de la CA o busque el archivo de
certificado.
3. Ingrese la contraseña de clave privada.
4. Haga clic en OK (Aceptar) y, a continuación, en Commit (Confirmar).
3. Cargue un certificado en el cortafuegos para validar la identidad del agente de User-ID de Windows.
4. Configure el perfil de certificado para el dispositivo de cliente. Dispositivo cliente (cortafuegos o
Panorama)
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificate
Profile (Perfil de certificados).
2. Configuración de un perfil de certificado on page 225.
Para obtener información sobre las versiones del OS del servidor admitidas por el agente
de User-ID, consulte “Operating System (OS) Compatibility User-ID Agent” (en inglés) en las
notas de versión de agente de User-ID.
STEP 1 | Defina los servidores que supervisará el agente de User-ID para recopilar información de
asignación de direcciones IP a usuarios.
El agente de User-ID puede supervisar hasta 100 servidores, de los cuales hasta 50 pueden ser emisores
de syslog.
Para recopilar todas las asignaciones necesarias, el agente de User-ID debe conectarse
a todos los servidores en los que sus usuarios inician sesión para supervisar los archivos
de log de seguridad en todos los servidores que contengan eventos de inicio de sesión.
Asegúrese de que el ajuste Enable Server Session Read (Habilitar lectura de sesión
de servidor) no esté seleccionado. Esta configuración requiere que el agente User-ID
tenga una cuenta de Active Directory con privilegios de operador de servidor para que
pueda leer todas las sesiones de usuario. En su lugar, debe utilizar una integración
de Syslog o XML API para supervisar los orígenes que capturan eventos de inicio de
sesión y cierre de sesión para todos los tipos de dispositivos y sistemas operativos
STEP 2 | Especifique las subredes que el agente de User-ID de Windows debería incluir o excluir de
User-ID.
De manera predeterminada, User-ID asigna a todos los usuarios que acceden a los servidores que usted
está supervisando.
Como práctica recomendada, siempre especifique qué redes incluir y excluir de User-
ID para garantizar que el agente solo se comunique con recursos internos y evitar la
asignación de usuarios no autorizados. Solo debe habilitar User-ID en las subredes en
las que los usuarios internos de su organización inician sesión.
Si añade subredes para exclusión sin añadir ninguna para inclusión, el agente no
realizará la asignación de usuarios en ninguna subred.
4. Haga clic en OK (Aceptar).
STEP 3 | (Opcional) Si ha configurado el agente para que se conecte a un servidor Novell eDirectory,
debe especificar el modo en que el agente debería buscar el directorio.
1. Seleccione User Identification (Identificación de usuarios) > Setup (Configuración) y haga clic en Edit
(Editar) en la sección Setup (Configuración) de la ventana.
2. Seleccione la pestaña eDirectory y, a continuación, cumplimente los campos siguientes:
• Search Base (Base de búsqueda): punto de partida o contexto raíz para las consultas del agente,
por ejemplo: dc=domain1, dc=example, dc=com.
• Bind Distinguished Name (Enlazar nombre distintivo): cuenta que debe utilizarse para enlazarla
con el directorio, por ejemplo: cn=admin, ou=IT, dc=domain1, dc=example, dc=com.
• Bind Password (Enlazar contraseña): contraseña de la cuenta de enlace. El agente guardará la
contraseña cifrada en el archivo de configuración.
• Search Filter (Filtro de búsqueda): consulta de búsqueda para entradas de usuarios (el valor
predeterminado es objectClass=Person).
• Server Domain Prefix (Prefijo del dominio de servidor): prefijo que identifica de manera exclusiva
al usuario. Esto solamente es obligatorio si hay espacios de nombres solapados, como diferentes
usuarios con el mismo nombre de dos directorios diferentes.
• Use SSL (Utilizar SSL): seleccione la casilla de verificación para utilizar SSL para el enlace de
eDirectory.
1. En la pestaña Client Probing (Sondeo de clientes), seleccione la casilla de verificación Enable WMI
Probing (Habilitar sondeo de WMI) y/o la casilla de verificación Enable NetBIOS Probing (Habilitar
sondeo de NetBIOS).
2. Asegúrese de que el cortafuegos de Windows permitirá el sondeo de clientes añadiendo una
excepción de administración remota al cortafuegos de Windows para cada cliente sondeado.
STEP 6 | (Opcional) Defina el conjunto de usuarios para los que no necesite proporcionar asignaciones de
dirección IP a nombre de usuario, como cuentas de kiosco.
También puede utilizar la lista ignore-user para identificar a usuarios que desee
obligar a autenticar mediante un portal cautivo.
SPAdmin
SPInstall
TFSReport
Puede utilizar un asterisco como carácter de comodín para hacer coincidir varios nombres de usuario,
pero solo como último carácter en la entrada. Por ejemplo, corpdomain\it-admin* coincidiría con
todos los administradores del dominio corpdomain cuyos nombres de usuario comienzan con la
cadena it#admin.
Realice los siguientes pasos en cada cortafuegos que quiera conectar al agente de User-ID para recibir
asignaciones de usuarios:
1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > User-ID Agents
(Agentes de User-ID) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) para el agente de User-ID.
3. Introduzca la dirección IP del Host de Windows en el que está instalado el agente de User-ID.
4. Introduzca el número de Port (Puerto) (1-65535) en el que el agente escuchará solicitudes de
asignación de usuarios. Este valor debe coincidir con el valor configurado en el agente de User-ID.
De manera predeterminada, el puerto se establece como 5007 en el cortafuegos y en versiones más
recientes del agente de User-ID. Sin embargo, algunas versiones anteriores del agente de User-ID
utilizan el puerto 2010 como valor predeterminado.
5. Asegúrese de que la configuración esté establecida en Enabled (Habilitado) y, a continuación, haga
clic en OK (Aceptar).
6. Seleccione Commit (Confirmar) para confirmar los cambios.
7. Verifique que el estado Connected status (Estado conectado) aparezca activado (luz verde).
STEP 8 | Verifique que el agente de User-ID está asignando correctamente direcciones IP a nombres de
usuarios y que los cortafuegos pueden conectarse con el agente.
1. Inicie el agente de User-ID y seleccione User Identification (Identificación de usuarios).
2. Verifique que el estado del agente muestra Agent is running (El agente se está ejecutando). Si el
agente no se está ejecutando, haga clic en Start (Iniciar).
3. Para verificar que el agente de User-ID se puede conectar con servidores supervisados, asegúrese de
que el estado de cada servidor sea Connected (Conectado).
4. Para verificar que los cortafuegos se pueden conectar con el agente de User-ID, asegúrese de que el
estado de cada dispositivo conectado sea Connected (Conectado).
5. Para verificar que el agente de User-ID está asignando direcciones IP a nombres de usuarios,
seleccione Monitoring (Supervisando) y asegúrese de que la tabla de asignaciones se cumplimenta.
También puede seleccionar Search (Búsqueda) para buscar usuarios específicos o Delete (Eliminar)
para borrar asignaciones de usuarios de la lista.
STEP 1 | Cree una cuenta de servicio de Active Directory para que el agente de User-ID acceda a los
servicios y hosts que supervisará para recopilar información de asignación de usuarios.
Creación de una cuenta de servicio exclusiva para el agente de User-ID on page 463.
STEP 2 | Defina los servidores que supervisará el cortafuegos para recopilar información de asignación
de usuarios.
Dentro del máximo total de 100 servidores supervisados por cortafuegos, puede definir no más de 50
emisores de syslog para cualquier sistema virtual simple.
1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > User Mapping
(Asignación de usuario).
2. Haga clic en Add (Añadir) en la sección Server Monitoring (Supervisión de servidor).
3. Introduzca un nombre en Name para identificar el servidor.
4. Seleccione el Type (Tipo) de servidor.
5. Introduzca la Network Address (Dirección de red) (una dirección FQDN o IP) del servidor.
6. Asegúrese de que el perfil del servidor esté Enabled (Habilitado) y, a continuación, haga clic en OK
(Aceptar).
7. (Opcional) Haga clic en Discover (Detectar) si desea que el firewall detecte automáticamente
controladores de dominio en su red mediante búsquedas de DNS.
STEP 3 | Especifique las subredes que el agente de User-ID integrado a PAN-OS debería incluir en la
asignación de usuarios o excluir de dicha asignación.
De manera predeterminada, User-ID asigna a todos los usuarios que acceden a los servidores que usted
está supervisando.
Si añade subredes para exclusión sin añadir ninguna para inclusión, el agente no
realizará la asignación de usuarios en ninguna subred.
4. Haga clic en OK (Aceptar).
STEP 4 | Establezca las credenciales de dominio de la cuenta que utilizará el firewall para acceder a
recursos de Windows. Esto es necesario para supervisar servidores Exchange y controladores
de dominio, así como para el sondeo de WMI.
1. Edite la opción Palo Alto Networks User ID Agent Setup.
2. En la pestaña WMI Authentication (Autenticación WMI), introduzca el User Name (Nombre de
usuario) y la Password (Contraseña) de la cuenta que el agente User-ID utilizará para sondear los
clientes y supervisar los servidores. Introduzca el nombre de usuario mediante la sintaxis de dominio/
nombre de usuario.
STEP 5 | (Opcional, no recomendado) Configure el sondeo de WMI (el agente de User-ID integrado a PAN-
OS no admite el sondeo de NetBIOS).
No habilite el sondeo de WMI en redes de alta seguridad. El sondeo del cliente puede
generar una gran cantidad de tráfico de red y puede representar una amenaza de
seguridad cuando no se configura correctamente.
1. En la pestaña Client Probing (Sondeo de clientes), seleccione la casilla de verificación Enable Probing
(Habilitar sondeo).
2. (Opcional) Si es necesario, modifique el Probe Interval (Intervalo de sondeo) (en minutos) para
garantizar que sea lo suficientemente extenso para que el agente de User-ID sondee todas las
direcciones IP obtenidas (por defecto: 20; intervalo: 1-1440). Este es el intervalo entre el final de la
última solicitud de sondeo consulta y el inicio de la siguiente.
STEP 6 | (Opcional) Defina el conjunto de usuarios para los que no necesite proporcionar asignaciones de
dirección IP a nombre de usuario, tales como cuentas de kiosco.
Seleccione la pestaña Ignore User List (Lista de usuarios para ignorar) y luego Add (Añadir) para
añadir cada nombre de usuario que se debe excluir de la asignación de usuarios. Puede utilizar un
asterisco como carácter de comodín para hacer coincidir varios nombres de usuario, pero solo como
último carácter en la entrada. Por ejemplo, corpdomain\it-admin* coincidiría con todos los
administradores del dominio corpdomain , cuyos nombres de usuario comienzan con la cadena
it#admin. Puede añadir hasta 5.000 entradas para excluir de la asignación de usuarios.
STEP 1 | Determine si hay un perfil de análisis de Syslog predefinido para sus emisores syslog
particulares.
Palo Alto Networks proporciona varios perfiles predefinidos a través de actualizaciones de contenido
de aplicaciones. Los filtros predefinidos son generales para el cortafuegos, mientras que los perfiles
definidos de manera personalizada solo se aplican a un sistema virtual.
STEP 2 | Defina los perfiles de análisis de Syslog para crear y eliminar asignaciones de usuario.
Cada perfil filtra los mensajes syslog para identificar eventos de inicio de sesión (para crear asignaciones
de usuario) o eventos de cierre de sesión (para eliminar asignaciones), pero ningún perfil puede hacer
ambas cosas.
1. Revise los mensajes syslog que el emisor syslog genera para identificar la sintaxis de los eventos
de inicio y cierre de sesión. Esto le permite identificar los patrones coincidentes al crear perfiles de
análisis de Syslog.
1. Ingrese el Event Regex (Regex de evento) para el tipo de evento que desea encontrar:
• Eventos de inicio de sesión: para el mensaje de ejemplo, la regex (authentication\
success){1} extrae la primera instancia {1} de la cadena authentication success.
• Eventos de cierre de sesión: para el mensaje de ejemplo, la regex (logout\ successful){1}
extrae la primera instancia {1} de la cadena logout successful.
La barra invertida (\) antes del espacio es un carácter regex de "escape" estándar que indica al motor
de regex que no trate el espacio como carácter especial.
2. Ingrese el Username Regex (Regex de nombre de usuario) para identificar el inicio del nombre de
usuario.
En el mensaje de ejemplo, la regex User:([a-zA-Z0-9\\\._]+) coincidiría con la cadena
User:johndoe1 e identificaría johndoe1 como el nombre de usuario.
3. Ingrese la Address Regex (Regex de dirección) para identificar la parte de la dirección IP de los
mensajes syslog.
En el mensaje de ejemplo, la expresión regular Source:([0-9]{1,3}\.[0-9]{1,3}\.[0-9]
{1,3}\.[0-9]{1,3}) coincide con la dirección IPv4 Source:192.168.3.212.
El siguiente es un ejemplo de un perfil de análisis de Syslog que utiliza regex para identificar eventos
de inicio de sesión:
Debe tener precaución a la hora de usar UDP para recibir mensajes de syslog, ya
que no es un protocolo fiable y, como tal, no hay manera de verificar que un mensaje
se envió desde un servidor de syslog de confianza. Aunque puede restringir los
mensajes de syslog a direcciones IP de origen específicas, esto no impide a los
atacantes replicar la dirección IP, lo que permite la inyección de mensajes de syslog
Un emisor de Syslog que utilice SSL para conectarse mostrará un estado conectado cuando haya una
conexión SSL activa. Los emisores de Syslog que utilicen UDP no mostrarán ningún valor para Estado.
7. Para cada formato de syslog que el emisor admita, seleccione Add (Añadir) para añadir un perfil
de análisis de Syslog a la lista de filtros. Seleccione el Event Type (Tipo de evento) para cuya
identificación se ha configurado cada perfil: login (inicio de sesión) (opción predeterminada) o logout
(cierre de sesión).
8. (Opcional) Si los mensajes de syslog no contienen información de dominio y sus asignaciones de
usuario requieren nombres de dominio, ingrese un Default Domain Name (Nombre de dominio
predeterminado) para anexar a las asignaciones.
9. Haga clic en OK (Aceptar) para guardar la configuración.
STEP 6 | Habilite los servicios del receptor de syslog en la interfaz que el cortafuegos utiliza para
recopilar asignaciones de usuario.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > Interface Mgmt (Gestión de
interfaces) y modifique un perfil de gestión de interfaz existente o seleccione Add (Añadir) para
añadir un nuevo perfil.
2. Seleccione User-ID Syslog Listener-SSL o User-ID Syslog Listener-UDP, o ambos, dependiendo de
los protocolos que definió para los emisores de syslog en la lista de supervisión de servidores.
Los puertos de recepción (514 para UDP y 6514 para SSL) no son configurables;
están habilitados a través del servicio de gestión únicamente.
3. Haga clic en OK (Aceptar) para guardar el perfil de gestión de interfaz.
STEP 7 | Verifique que el cortafuegos añada y elimine asignaciones de usuario cuando los usuarios
inician o cierran sesión.
Puede usar comandos CLI para ver información adicional sobre emisores syslog,
mensajes syslog y asignaciones de usuario.
1. Inicie sesión en un sistema cliente para el cual un emisor syslog supervisado genere mensajes de
evento de inicio y cierre de sesión.
2. Inicie sesión en la CLI del cortafuegos.
3. Verifique que el cortafuegos haya asignado el nombre de usuario de inicio de sesión a la dirección IP
del cliente:
El agente de User-ID de Windows acepta Syslogs únicamente a través de TCP y UDP. Sin
embargo, debe tener precaución a la hora de usar UDP para recibir mensajes de syslog,
ya que no es un protocolo fiable y, como tal, no hay manera de verificar que un mensaje se
haya enviado desde un emisor syslog de confianza. Aunque puede restringir los mensajes
de syslog a direcciones IP de origen específicas, esto no impide a los atacantes replicar
la dirección IP, lo que permite la inyección de mensajes de syslog no autorizados en el
cortafuegos. Se recomienda utilizar TCP en lugar de UDP. En ambos casos, asegúrese
de que tanto el servidor syslog como el cliente de syslog estén en una VLAN dedicada y
segura, para evitar que hosts no fiables envíen syslogs al agente User-ID.
STEP 2 | Defina los perfiles de análisis de Syslog para crear y eliminar asignaciones de usuario.
Cada perfil filtra los mensajes syslog para identificar eventos de inicio de sesión (para crear asignaciones
de usuario) o eventos de cierre de sesión (para eliminar asignaciones), pero ningún perfil puede hacer
ambas cosas.
STEP 6 | Verifique que el agente de User-ID añada y elimine asignaciones de usuario cuando los
usuarios inician o cierran sesión.
Puede usar comandos CLI para ver información adicional sobre emisores syslog,
mensajes syslog y asignaciones de usuario.
1. Inicie sesión en un sistema cliente para el cual un emisor syslog supervisado genere mensajes de
evento de inicio y cierre de sesión.
2. Verifique que el agente de User-ID haya asignado el nombre de usuario de inicio de sesión a la
dirección IP del cliente:
1. En el agente de User-ID, seleccione Monitoring (Supervisión).
2. Ingrese el nombre de usuario o la dirección IP en el campo de filtro, seleccione Search (Buscar), y
verifique que la lista muestre la asignación.
3. Verifique que el cortafuegos reciba la asignación de usuario del agente de User-ID:
1. Inicie sesión en la CLI del cortafuegos.
2. Ejecute el siguiente comando:
No matched record
Kerberos SSO El cortafuegos utiliza el inicio de sesión único (SSO) de Kerberos para
obtener credenciales de usuario del explorador de forma transparente.
Para usar este método, su red requiere una infraestructura Kerberos
que incluya un centro de distribución de claves (KDC) con un servidor
de autenticación y servicios de concesión de tickets. El cortafuegos no
debe tener una cuenta de Kerberos.
Si la autenticación de SSO de Kerberos falla, el cortafuegos volverá a
la autenticación de NT LAN Manager (NTLM). Si no configura NTLM
o la autenticación de NTLM falla, el cortafuegos retrocederá a una
autenticación con formato web o certificado de cliente, en función de
su política de autenticación y la configuración del portal cautivo.
NT LAN Manager (NTLM) El cortafuegos utiliza un mecanismo de respuesta por desafío cifrado
para obtener las credenciales del usuario desde el explorador. Si se
configura correctamente, el explorador proporcionará las credenciales
al cortafuegos de manera transparente sin preguntar al usuario, pero
mostrará un mensaje de solicitud de credenciales si es necesario.
Si usa el agente de Id de usuarios basado en Windows, las respuestas
NTLM van directamente al controlador de dominio en el que ha
instalado el agente.
Si configura la autenticación SSO de Kerberos, el cortafuegos
intenta ese método antes de volver a la autenticación de NTLM. Si el
explorador no puede realizar la autenticación de NTLM o si esta falla,
el cortafuegos retrocederá a una autenticación con formato web o
certificado de cliente, en función de su política de autenticación y la
configuración del portal cautivo.
Microsoft Internet Explorer admite NTLM de manera predeterminada.
Puede configurar Mozilla Firefox y Google Chrome para usar también
NTLM, pero no puede usar NTLM para autenticar a clientes que no
sean de Windows.
Modo DESCRIPTION
Si tiene la intención de utilizar un portal cautivo sin utilizar las otras funciones de User-ID
(asignación de usuarios y grupos), no necesita configurar un agente User-ID.
STEP 2 | Asegúrese de que el sistema de nombres de dominio (DNS, Domain Name System) está
configurado para resolver sus direcciones de controlador de dominio.
Para verificar que la resolución es correcta, haga ping en el FQDN del servidor. Por ejemplo:
STEP 3 | Configure los clientes para que confíen en los certificados del portal cautivo.
Obligatorio para el modo de redireccionamiento: para redirigir usuarios de forma transparente sin
mostrar errores de certificados. Utilice un certificado autofirmado o importe un certificado que haya
firmado una entidad de certificación (CA) externa.
Para utilizar un certificado autofirmado, primero deberá crear un certificado de CA raíz y, a continuación,
utilizarlo para firmar el certificado que usará en el portal cautivo:
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Device Certificates (Certificados de dispositivo).
2. Cree un certificado CA raíz autofirmado o importe un certificado CA (consulte Importación de un
certificado y clave privada).
3. Genere un certificado para usar con el portal cautivo. Asegúrese de configurar los siguientes campos:
• Common Name (Nombre común): introduzca el nombre DNS del host de intranet para la interfaz
de capa 3.
• Signed By (Firmado por): seleccione el certificado de CA que acaba de crear o importar.
1. Use un certificado de CA raíz para generar un certificado de cliente para cada usuario que se
autenticará a través del portal cautivo. La CA en este caso suele ser la CA de su empresa, no el
cortafuegos.
2. Exporte el certificado de CA en el formato PEM a un sistema al que puede acceder el cortafuegos.
3. Importe el certificado CA al cortafuegos: consulte Importación de un certificado y clave privada.
Después de la importación, haga clic en el certificado importado, seleccione Trusted Root CA (CA raíz
fiable) y haga clic en OK (Aceptar).
4. Configuración de un perfil de certificado.
• En el menú desplegable Username Field (Campo de nombre de usuario), seleccione el campo de
certificado que contenga la información de la identidad del usuario.
• En la lista CA Certificates (Certificados de CA), haga clic en Add (Añadir) y seleccione el
certificado de CA que acaba de importar.
1. Si aún no lo hizo, cree una cuenta de servicio dedicada para el agente de ID de usuario.
Para obtener información sobre los servidores de terminal compatibles con el agente de TS,
consulte la matriz de compatibilidad de Palo Alto Networks.
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>TaInstall-8.0.0-1.msi
3. Siga los mensajes de configuración para instalar el agente con los ajustes predeterminados. De
manera predeterminada, el agente se instala en la carpeta C:\Program Files (x86)\Palo
Alto Networks\Terminal Server Agent, pero puede hacer clic en Examinar para seleccionar
una ubicación diferente.
STEP 3 | Defina el intervalo de puertos para el agente de TS que debe asignarse a los usuarios finales.
Los campos System Source Port Allocation Range (Intervalo de asignación del puerto de
origen del sistema) y System Reserved Source Ports (Puertos de origen reservados del
sistema) especifican el intervalo de puertos que se asignará a las sesiones que no sean
de usuarios. Asegúrese de que los valores especificados en estos campos no se solapan
con los puertos que designó para el tráfico de usuarios. Estos valores solamente pueden
cambiarse editando los correspondientes ajustes de registro de Windows.
1. Abra el menú Inicio de Wndows y seleccione Terminal Server Agent para iniciar la aplicación de
agente de servicios de terminal.
2. Haga clic en Configure (Configurar) en el menú lateral.
3. Introduzca el Source Port Allocation Range (Intervalo de asignación de puerto de origen) (valor
por defecto: 20 000-39 999). Este es el intervalo completo de números de puertos que el agente
de TS adjudicará para la asignación de usuarios. El intervalo de puertos que especifique no puede
solaparse con el System Source Port Allocation Range (Intervalo de asignación del puerto de origen
del sistema).
4. (Opcional) Si hay puertos/intervalos de puertos en la asignación del puerto de origen que no desea
que el agente de TS adjudique a sesiones de usuario, especifíquelos como Reserved Source Ports
(Puertos de origen reservados). Para incluir varios intervalos, utilice comas sin espacios, por ejemplo:
2000-3000,3500,4000-5000.
5. Especifique el número de puertos que deben asignarse a cada usuario individual tras su inicio de
sesión en el servidor de terminal en el campo Port Allocation Start Size Per User (Tamaño de inicio
de asignación de puertos por usuario) (valor predeterminado: 200).
6. Especifique el Port Allocation Maximum Size Per User (Tamaño máximo de asignación de puerto por
usuario), que es el número máximo de puertos que el agente de servicios de terminal puede asignar a
un usuario individual.
7. Especifique si desea continuar procesando el tráfico del usuario si el usuario se queda sin puertos
asignados. De manera predeterminada, está seleccionada la opción Fail port binding when available
ports are used up (Fallo en el enlace de puertos cuando se utilizan los puertos disponibles), que
indica que la aplicación no enviará tráfico cuando se hayan utilizado todos los puertos. Para habilitar a
los usuarios para que sigan utilizando aplicaciones cuando se queden sin puertos, cancele la selección
de esta casilla de verificación. Recuerde que puede que este tráfico no se identifique con User-ID.
STEP 4 | (Opcional) Asigne sus propios certificados para la autenticación mutua entre el agente de TS y el
cortafuegos.
1. Obtenga su certificado para el agente de TS para su PKI de la empresa o genere uno en el
cortafuegos. La clave privada del certificado del servidor debe estar cifrada. El certificado debe
cargarse en un formato de archivo PEM.
• Generar un certificado on page 220 Luego expórtelo para cargarlo en el agente de TS.
• Exporte un certificado de la autoridad de certificados (CA) de la empresa y cárguelo en el agente
de TS.
2. Añada un certificado de servidor en el agente de TS.
1. En el agente de TS, seleccione Server Certificate (Certificado de servidor) y haga clic en Add
(Añadir).
STEP 6 | Verifique que el agente de servicios de terminal está asignando correctamente direcciones IP a
nombres de usuarios y que los cortafuegos pueden conectarse con el agente.
1. Abra el menú Inicio de Windows y seleccione Terminal Server Agent.
2. Verifique que los cortafuegos puedan conectarse asegurándose de que el Connection Status (Estado
de conexión) de cada cortafuegos de la lista de conexión sea Connected (Conectado).
3. Para verificar que el agente de servicios de terminal esté asignando correctamente intervalos de
puertos a nombres de usuarios, seleccione Monitoring (Supervisión) en el menú lateral y asegúrese
de que la tabla de asignaciones está cumplimentada.
STEP 7 | (Servidores Windows 2012 R2 únicamente) Deshabilite el modo protegido mejorado de Microsoft
Internet Explorer para cada usuario que utilice ese navegador.
Esta tarea no es necesaria para otros navegadores tales como Google Chrome o Mozilla Firefox.
Los archivos XML que el servidor de terminal envía al cortafuegos pueden contener varios
tipos de mensajes, y estos mensajes no tienen que estar en ningún orden específico dentro
del archivo. Sin embargo, al recibir un archivo XML que contenga varios tipos de mensajes,
el cortafuegos los procesará en el siguiente orden: solicitudes multiusersystem en primer
lugar, seguidas de inicios de sesión y cierres de sesión.
El siguiente flujo de trabajo ofrece un ejemplo de cómo utilizar la API XML de PAN-OS para enviar
asignaciones de usuarios desde un servidor de terminal que no sea de Windows al cortafuegos.
STEP 1 | Genere la clave de API que se utilizará para autenticar la comunicación de la API entre el
cortafuegos y el servidor de terminal. Para generar la clave, debe proporcionar credenciales
de inicio de sesión para una cuenta administrativa; la API está disponible para todos los
administradores (incluidos los administradores basados en funciones con privilegios de la API
XML habilitados).
Todos los caracteres especiales de la contraseña deben estar codificados con URL/
porcentaje.
Desde un explorador, inicie sesión en el cortafuegos. A continuación, para generar la clave de API para el
cortafuegos, abra una nueva ventana del explorador e introduzca la siguiente URL:
https://<Firewall-IPaddress>/api/?
type=keygen&user=<username>&password=<password>
https://10.1.2.5/api/?type=keygen&user=admin&password=admin
<response status="success">
<result>
<key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key>
</result>
</response>
STEP 2 | (Opcional) Genere un mensaje de configuración que el servidor de terminal enviará para
especificar el intervalo de puertos y el tamaño de bloque de los puertos por usuario que utiliza
su agente de servicios de terminal.
Si el agente de servicios de terminal no envía un mensaje de configuración, el cortafuegos
automáticamente creará una configuración de agente de servidor de terminal mediante los siguientes
ajustes predeterminados tras recibir el primer mensaje de inicio de sesión:
• Intervalo de puertos predeterminado: De 1025 a 65534
<uid-message>
<payload>
<multiusersystem>
<entry ip="10.1.1.23" startport="20000" endport="39999"
blocksize="100">
</multiusersystem>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
donde entry ip especifica la dirección IP asignada a los usuarios del servidor de terminal, startport
y endport especifican el intervalo de puertos que debe utilizarse al asignar puertos a usuarios
individuales y blocksize especifica el número de puertos que debe asignarse a cada usuario. El tamaño
de bloque máximo es 4000 y cada sistema multiusuario puede asignar un máximo de 1000 bloques.
Si define un tamaño de bloque y/o intervalo de puertos personalizado, recuerde que debe configurar
los valores de modo que se asignen todos los puertos del intervalo y que no haya huecos ni puertos sin
utilizar. Por ejemplo, si establece el intervalo de puertos como 1000-1499, podría establecer el tamaño
de bloque como 100, pero no como 200. Esto se debe a que si lo estableciera como 200, habría puertos
sin utilizar al final del intervalo.
STEP 3 | Cree una secuencia de comandos que extraiga los eventos de inicio de sesión y cree el archivo
de entrada XML que debe enviarse al cortafuegos.
Asegúrese de que la secuencia de comandos aplica la asignación de intervalos de números de puertos
con límites fijos y sin que los puertos se solapen. Por ejemplo, si el intervalo de puertos es 1000-1999 y
el tamaño de bloque es 200, los valores aceptables de blockstart serían 1000, 1200, 1400, 1600 o 1800.
Los valores de blockstart 1001, 1300 o 1850 no serían aceptables porque algunos de los números de
puertos del intervalo se quedarían sin utilizar.
A continuación se muestra el formato del archivo de entrada de un evento de inicio de sesión XML de
PAN-OS:
<uid-message>
<payload>
<login>
<entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
<entry name="acme\jparker" ip="10.1.1.23" blockstart="20100">
<entry name="acme\ccrisp" ip="10.1.1.23" blockstart="21000">
</login>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
STEP 4 | Cree una secuencia de comandos que extraiga los eventos de cierre de sesión y cree el archivo
de entrada XML que debe enviarse al cortafuegos.
Tras recibir un mensaje de evento logout con un parámetro blockstart, el cortafuegos elimina la
correspondiente asignación de dirección IP, puerto y usuario. Si el mensaje logout contiene un nombre
de usuario y una dirección IP, pero ningún parámetro blockstart, el cortafuegos eliminará todas las
asignaciones del usuario. Si el mensaje logout solamente contiene una dirección IP, el cortafuegos
eliminará el sistema multiusuario y todas las asignaciones asociadas.
A continuación se muestra el formato del archivo de entrada de un evento de cierre de sesión XML de
PAN-OS:
<uid-message>
<payload>
<logout>
<entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
<entry name="acme\ccrisp" ip="10.1.1.23">
<entry ip="10.2.5.4">
</logout>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
También puede borrar del cortafuegos la entrada del sistema multiusuario mediante el
siguiente comando de la CLI: clear xml-api multiusersystem
STEP 5 | Asegúrese de que las secuencias de comandos que cree incluyan un modo de aplicar
dinámicamente que el intervalo de bloques de puertos asignado mediante la API XML coincida
con el puerto de origen asignado al usuario en el servidor de terminal y que la asignación se
elimine cuando el usuario cierre sesión o cuando cambie la asignación de puertos.
Una forma de hacerlo sería utilizar reglas de NAT netfilter para ocultar sesiones de usuarios detrás de los
intervalos de puertos específicos asignados a través de la API XML basándose en el UID. Por ejemplo,
para garantizar que un usuario cuyo User-ID sea jjaso se asigne a una traducción de direcciones de red
de origen (SNAT) cuyo valor sea 10.1.1.23:20000-20099, la secuencia de comandos que cree debería
incluir lo siguiente:
Del mismo modo, las secuencias de comandos que cree también deberían garantizar que la configuración
de enrutamiento de la tabla de IP elimine dinámicamente la asignación de SNAT cuando el usuario cierre
sesión o cuando cambie la asignación de puertos:
STEP 6 | Defina cómo empaquetar los archivos de entrada XML que contienen los eventos de
configuración, inicio de sesión y cierre de sesión en mensajes wget o cURL para su transmisión
al cortafuegos.
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml al cortafuegos en
10.2.5.11 utilizando la clave k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg con wget tendría el
siguiente aspecto:
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml al cortafuegos en
10.2.5.11 utilizando la clave k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg con cURL
tendría el siguiente aspecto:
STEP 7 | Verifique que el cortafuegos esté recibiendo correctamente eventos de inicio de sesión de los
servidores de terminal.
Verifique la configuración abriendo una conexión de SSH con el cortafuegos y, a continuación,
ejecutando los siguientes comandos de la CLI:
Para verificar si el servidor de terminal se está conectando con el cortafuegos a través de XML:
Para verificar que el cortafuegos está recibiendo asignaciones de un servidor de terminal a través de
XML:
Total host: 1
STEP 1 | Configure un grupo de usuarios para cada servicio que requiera distintos privilegios de acceso.
En este ejemplo, cada grupo es para un único servicio (servidor MySQL o correo electrónico). Sin
embargo, es común configurar cada grupo para un conjunto de servicios que requieran los mismos
privilegios (por ejemplo, un grupo para todos los servicios de usuario básicos y otro grupo para todos los
servicios administrativos).
Si su organización ya tiene grupos de usuarios que pueden acceder a los servicios que requiere el
usuario, solo tiene que añadir el nombre de usuario que se use para servicios menos restringidos a esos
grupos. En este ejemplo, el servidor de correo electrónico requiere un acceso menos restringido que
el servidor MySQL, y corp_user es el nombre de usuario para acceder al correo electrónico. Así, añade
corp_user a un grupo que pueda acceder a correo electrónico (corp_employees) y a un grupo que pueda
acceder al servidor MySQL (network_services).
Si añadir un nombre de usuario a un grupo existente concreto puede infringir las normas de su
organización, puede crear un grupo personalizado que se base en un filtro LDAP. En este ejemplo,
supongamos que network_services es un grupo personalizado que configura como sigue:
1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > Group Mapping
Settings (Configuración de asignación de grupo) y seleccione Add (Añadir) para añadir una
configuración de asignación de grupo con un nombre único en Name (Nombre).
2. Seleccione un Server Profile (Perfil de servidor) LDAP y asegúrese de que la casilla de verificación
Enabled (Habilitado) esté habilitada.
3. Seleccione la pestaña Custom Group (Grupo personalizado) y seleccione Add (Añadir) para añadir un
grupo personalizado con network_services en Name (Nombre).
4. Especifique un LDAP Filter (Filtro LDAP) que coincida con un atributo LDAP de corp_user y haga clic
en OK (Aceptar).
5. Haga clic en OK (Aceptar) y Commit (Confirmar).
Por último, si otros usuarios que están en el grupo de servicios menos restringidos
reciben nombres de usuario adicionales que acceden a servicios más restringidos,
STEP 2 | Configure las reglas que controlan el acceso del usuario en función de los grupos que acaba de
configurar.
Paso 7 on page 458
1. Configure una regla de seguridad que permita que el grupo corp_employees acceda al correo
electrónico.
2. Configure una regla de seguridad que permita que el grupo network_services acceda al servidor
MySQL.
En este ejemplo, tanto corp_user como admin_user deben tener cuentas de correo electrónico, de modo
que el servidor de correo electrónico no pedirá credenciales adicionales independientemente del nombre
de usuario que haya introducido el usuario al iniciar sesión en la red.
El cortafuegos está ahora listo para aplicar reglas a un usuario con múltiples nombres de usuario.
Puede configurar el reenvío de logs de Windows para las versiones 2003, 2008, 2008 R2,
2012 y 2012 R2 de Windows Server. El reenvío de logs de Windows no está disponible para
los servidores que no son de Microsoft.
Para recopilar la información de asignación de grupo en una red a gran escala, puede configurar el
cortafuegos para que consulte a un servidor del catálogo global que recibe la información de cuenta desde
los controladores de dominio.
La siguiente figura ilustra la asignación de usuarios y la asignación de grupos para una red a gran escala
en la que el cortafuegos usa un agente de User-ID basado en Windows. Consulte Planificación de una
implementación de User-ID a gran escala on page 506 para determinar si esta implementación se adapta
a su red.
STEP 1 | En cada servidor miembro que vaya a recopilar eventos de seguridad, habilite la recopilación de
eventos, añada los controladores de dominio con orígenes de eventos y configure la consulta
de recopilación de eventos (suscripción). Los eventos que especifique en la suscripción varían
según la plataforma de controlador del dominio:
• Windows Server 2003: Los ID de evento para los eventos requeridos son 672 (vale de autenticación
concedido), 673 (vale de servicio concedido) y 674 (vale concedido renovado).
• Windows Server 2012: Los ID de evento para los eventos requeridos son 4768 (vale de autenticación
concedido), 4769 (vale de servicio concedido) y 4770 (vale concedido renovado).
Debe enviar eventos a la ubicación de los logs de seguridad en los servidores miembros,
no a la ubicación de logs reenviados predeterminados.
STEP 2 | Configure una política de grupo para permitir la gestión remota de Windows (WinRM,
Windows Remote Management) en los controladores de dominio.
STEP 3 | Configure una política de grupo para permitir el reenvío de eventos de Windows en los
controladores de dominio.
STEP 3 | Configure el agente de User-ID de Windows para recopilar asignaciones de usuarios desde los
servidores miembros.
1. Inicie el agente de User-ID basado en Windows.
2. Seleccione User Identification (Identificación de usuarios) > Discovery (Detección) y realice los
siguientes pasos para cada servidor miembro que recibirá eventos de los controladores de dominio:
1. En la sección Servers, haga clic en Add (Añadir) e introduzca un nombre en Name para identificar
el servidor miembro.
2. En el campo Server Address (Dirección de servidor), introduzca el FQDN o dirección IP del
servidor miembro.
3. En Server Type (Tipo de servidor), seleccione Microsoft Active Directory.
4. Haga clic en OK (Aceptar) para guardar la entrada del servidor.
3. Realice el resto de la configuración del agente de User-ID: consulte la Configuración del agente de
User-ID basado en Windows para la asignación de usuarios.
STEP 4 | Configure un perfil de servidor LDAP para especificar cómo conecta el cortafuegos con los
servidores de catálogo global (hasta cuatro) para obtener información de asignación del grupo.
Para mejorar la disponibilidad, use al menos dos servidores de catálogo global para
asegurar la redundancia.
Puede recopilar información de asignación de grupos únicamente para grupos universales, no para
grupos de dominio local (subdominios).
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > LDAP, haga clic en Add
(Añadir) e introduzca un nombre para el perfil en Name (Nombre).
2. En la sección Servers, para cada catálogo global, haga clic en Add (Añadir) e introduzca en Name el
nombre del servidor, la dirección IP (LDAP Server) y el Port (Puerto). En el caso de una conexión
con texto sin formato o seguridad de capa de transporte de inicio (Start TLS), use el Port (Puerto)
3268. Para una conexión de LDAP por SSL, use el Port (Puerto) 3269. Si la conexión va a usar TLS de
inicio o LDAP en SSL, seleccione la casilla de verificación Require SSL/TLS secured connection (Exigir
conexión SSL/TLS segura).
3. En el campo Base DN, introduzca el nombre distintivo (DN) del punto en el servidor de catálogo
global en el que el cortafuegos comenzará a buscar información de asignación de grupo (por ejemplo,
DC=acbdomain,DC=com).
4. En Type (Tipo), seleccione active-directory.
5. Configure el resto de los campos según sea necesario: consulte Añada un perfil de servidor LDAP.
STEP 5 | Configure un perfil de servidor LDAP para especificar cómo conecta el cortafuegos con los
servidores (hasta cuatro) para obtener información de asignación de dominio.
User-ID utiliza esta información para asignar nombres de dominios DNS a los nombres de dominios de
NetBIOS. Esta asignación garantiza que las referencias a nombres de usuario/dominio sean coherentes
en las reglas de políticas.
Los pasos son idénticos que con el perfil de servidor LDAP que creó para los catálogos globales en el
paso 4, excepto para los siguientes campos:
• LDAP Server (Servidor LDAP): introduzca la dirección IP del controlador de dominio que contiene la
información de asignación de dominios.
• Port (Puerto): para una conexión de texto sin formato o TLS de inicio, use el Port (Puerto) 389.
Para una conexión de LDAP por SSL, use el Port (Puerto) 636. Si la conexión va a usar TLS de inicio
o LDAP en SSL, seleccione la casilla de verificación Require SSL/TLS secured connection (Exigir
conexión SSL/TLS segura).
• Base DN: seleccione el DN del punto en el controlador de dominio donde el cortafuegos
comenzará su búsqueda de información de asignación de dominio. El valor debe
empezar con la cadena: cn=partitions,cn=configuration (por ejemplo,
cn=partitions,cn=configuration,DC=acbdomain,DC=com).
STEP 6 | Cree una configuración de asignación de grupos para cada perfil de servidor de LDAP que haya
creado.
1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > Group Mapping
Settings (Configuración de asignación de grupos).
2. Haga clic en Add (Añadir) e introduzca un nombre en Name para identificar la configuración de
asignación de grupos.
3. Seleccione el Server Profile (Perfil de servidor) de LDAP y asegúrese de que la casilla de verificación
Enabled (Habilitada) esté seleccionada.
4. Configure el resto de campos como sea necesario; consulte Asignación de usuarios a grupos.
STEP 2 | Configure la ruta de servicio que utiliza el cortafuegos para consultar a otros cortafuegos la
información de User-ID.
Omita este paso si el cortafuegos recibe información de asignación de usuarios de agentes de User-ID
basados en Windows o directamente de las fuentes de información (como los servidores de directorio)
en lugar de otros cortafuegos.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios).
2. (Cortafuegos con sistemas virtuales múltiples únicamente) Seleccione Global (para una ruta de
servicio de todo el cortafuegos) o Virtual Systems (Sistemas virtuales) (para una ruta de servicio
específica del sistema virtual), y realice la Configuración de la ruta de servicio.
3. Haga clic en Service Route Configuration (Configuración de ruta de servicios), seleccione Customize
(Personalizar) y seleccione IPv4 o IPv6 según los protocolos de su red. Configure la ruta de servicio
para ambos protocolos si su red usa ambos.
4. Seleccione UID Agent (Agente UID) y luego seleccione la Source Interface (Interfaz de origen) y la
Source Address (Dirección de origen).
5. Haga clic en OK (Aceptar) dos veces para guardar la ruta de servicio.
STEP 3 | Permita que el cortafuegos responda cuando otros cortafuegos consulten la información de
User-ID.
Omita este paso si el cortafuegos recibe, pero no redistribuye información de User-ID.
Configure un perfil de gestión de interfaz con el servicio de User-ID habilitado y asigne el perfil a una
interfaz de cortafuegos.
515
516 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Prevención de amenazas
© 2017 Palo Alto Networks, Inc.
Configuración de antivirus, antispyware y
protección frente a vulnerabilidades
Todos los cortafuegos de próxima generación de Palo Alto Networks incluyen perfiles predefinidos
de antivirus, antispyware y protección de vulnerabilidades que puede incluir en las reglas de políticas
de seguridad. Incluye un perfil de antivirus predefinido, default (predeterminado), que usa la acción
predeterminada para cada protocolo (bloquear tráfico HTTP, FTP y SMB y alerta de tráfico SMTP, IMAP y
POP3). Hay dos perfiles predefinidos de antispyware y protección contra vulnerabilidades:
• default (predeterminado): aplica la acción predeterminada a todo el spyware y eventos de protección
de vulnerabilidades de gravedad crítica, alta y media de cliente y servidor. No detecta los niveles bajo e
informativo.
• strict (estricto): aplica la respuesta de bloqueo a todo el spyware y eventos de protección de
vulnerabilidades de gravedad crítica, alta y media de cliente y servidor y usa la acción predeterminada
para los eventos bajos e informativos.
Para garantizar que el tráfico que entra en su red está libre de amenazas, incluya los perfiles predefinidos en
sus políticas básicas de acceso web. Al supervisar el tráfico en su red y ampliar su base de reglas de políticas,
puede diseñar perfiles más granulares para hacer frente a sus necesidades de seguridad específicas.
Use el siguiente flujo de trabajo para configurar los perfiles de seguridad de antivirus, antispyware y
protección de vulnerabilidades.
Palo Alto Networks define una acción predeterminada para todas las firmas antispyware
y de protección de vulnerabilidades. Para ver la acción predeterminada, seleccione
Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Anti-Spyware u Objects
(Objetos) > Security Profiles (Perfiles de seguridad) > Vulnerability Protection (Protección
de vulnerabilidades) y luego seleccione un perfil. Haga clic en la pestaña Exceptions
(Excepciones) y después en Show all signatures (Mostrar todas las firmas) para ver la lista
de todas las firmas y la Action (Acción) predeterminada correspondiente. Para cambiar la
acción predeterminada, debe crear un nuevo perfil y, a continuación, especificar una Action
(Acción) y/o añadir excepciones de firma individuales a las Exceptions (Excepciones) en el
perfil.
1. Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas) y luego haga clic en
Schedule (Programar) para recuperar automáticamente las actualizaciones de firmas de antivirus y
aplicaciones y amenazas.
2. Especifique la frecuencia y momento de las actualizaciones:
• download-only (solo descarga): el cortafuegos descarga automáticamente las actualizaciones más
recientes según el cronograma que usted defina, pero debe instalarlas manualmente.
• download-and-install (descargar e instalar): el cortafuegos descarga e instala automáticamente las
actualizaciones según el cronograma que usted defina.
3. Haga clic en OK (Aceptar) para guardar el cronograma actualizado, no se necesita confirmar.
4. (Opcional) Defina un Threshold (Umbral) para indicar una cantidad mínima de horas transcurridas
desde que una actualización está disponible para que el cortafuegos la descargue. Por ejemplo,
configurar el Threshold (Umbral) en 10 significa que el cortafuegos no descargará una actualización
hasta que tenga al menos 10 horas, independientemente del cronograma.
5. (HA únicamente) Decida si elegirá la opción Sync To Peer (Sincronizar con el peer), que permite que
el peer sincronice las actualizaciones de contenido después de descargar e instalar (el cronograma
de actualización no sincroniza entre los peers; usted debe configurar manualmente el cronograma en
ambos peers).
Existen consideraciones adicionales para decidir si usará la opción Sync To Peer (Sincronizar con el
peer) y cómo, según su implementación HA:
• HA activo/pasivo: si los cortafuegos utilizan el puerto MGT para las actualizaciones de contenido,
programe ambos cortafuegos para que descarguen e instalen las actualizaciones de forma
independiente. Sin embargo, si los cortafuegos utilizan un puerto de datos para las actualizaciones
de contenido, el cortafuegos pasivo no descargará ni instalará actualizaciones, a menos y hasta
que esté activo. Para mantener los cronogramas sincronizados en ambos cortafuegos al usar un
puerto de datos para las actualizaciones, programa actualizaciones en ambos cortafuegos y luego
habilite Sync To Peer (Sincronizar con el peer) para que, sea cual fuera el cortafuegos activo, este
descargue e instale las actualizaciones, y también las envíe al cortafuegos pasivo.
• HA activo/activo: si los cortafuegos utilizan la interfaz MGT para las actualizaciones de contenido,
seleccione download-and-install (descargar a instalar) en ambos cortafuegos, pero no habilite
Sync To Peer (Sincronizar con el peer). Sin embargo, si los cortafuegos usan un puerto de datos,
seleccione download-and-install (descargar e instalar) en ambos cortafuegos y habilite Sync To
Peer (Sincronizar con el peer) para que si un cortafuegos asume un estado activo-secundario, el
cortafugos activo-primario descargue e instale las actualizaciones y las envíe al cortafuegos activo-
secundario.
STEP 4 | (Opcional) Cree perfiles de seguridad personalizados para antivirus, antispyware y protección de
vulnerabilidades.
O bien, puede usar los perfiles estricto o predeterminado predefinido.
Cuando configura el cortafuegos con una regla de política de seguridad que utiliza un
perfil de protección de vulnerabilidades para bloquear las conexiones, el cortafuegos
automáticamente bloquea el tráfico en el hardware (consulte Supervisión de direcciones
IP bloqueadas).
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione la regla que desea modificar.
2. En la pestaña Actions (Acciones), seleccione Profiles (Perfiles) como el Profile Type (Tipo de perfil).
3. Seleccione los perfiles de seguridad que creó para Antivirus, Anti-Spyware y Vulnerability Protection
(Protección de vulnerabilidades).
A pesar de que puede utilizar un perfil de antivirus para excluir firmas de antivirus, no
puede cambiar la acción que aplica el cortafuegos a una firma de antivirus determinada.
Sin embargo, puede definir la acción que el cortafuegos aplicará a los virus que
encuentre en diferentes tipos de tráfico editando los decodificadores (Objects [Objetos] >
Security Profiles [Perfiles de seguridad] > Antivirus > <antivirus-profile> > Antivirus).
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Antivirus.
2. Haga clic en Add (Añadir) para añadir un nuevo perfil de antivirus o modifique uno existente en el que
desea excluir una firma de amenazas, y seleccione Virus Exception (Excepción de virus).
3. Haga clic en Add (Añadir) para añadir la Threat ID (ID de amenazas) de la firma de amenazas que
desea excluir de la aplicación de acciones del cortafuegos.
STEP 2 | Modifique la aplicación de acciones para las vulnerabilidades y las firmas de spyware (excepto
las firmas de DNS; pase a la próxima opción para modificar la aplicación de acciones para las
firmas de DNS, que son un tipo de firma de spyware).
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Anti-Spyware
(Antispyware) u Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Vulnerability
Protection (Protección frente a vulnerabilidades).
En el caso de las firmas que desea excluir de la aplicación de acciones debido a que provocan falsos
positivos, configure Allow (Permitir) como Action (Acción).
5. Haga clic en OK (Aceptar) para guardar su perfil nuevo o modificado antispyware o de protección
frente a vulnerabilidades.
4. Haga clic en OK (Aceptar) para guardar el perfil de antispyware modificado o uno nuevo.
STEP 1 | Defina un nuevo objeto de patrón de datos para detectar la información que desea filtrar.
1. Seleccione Objects (Objetos) > Custom Objects (Objetos personalizados) > Data Patterns (Patrones
de datos) y luego Add (Añadir) para añadir un nuevo objeto.
2. Proporcione un nombre descriptivo para el nuevo objeto en Name (Nombre).
3. (Opcional) Seleccione Shared (Compartido) si desea que el patrón de datos esté disponible para lo
siguiente:
• Every virtual system (vsys) on a multi-vsys firewall (Cada sistema virtual [vsys] en un cortafuegos
de varios vsys): si no está marcada (deshabilitada), el patrón de datos está disponible solo para el
sistema virtual seleccionado en la pestaña Objects (Objetos).
• Every device group on Panorama (Cada grupo de dispositivos en Panorama): si no está marcada
(deshabilitada), el patrón de datos está disponible solo para el grupo de dispositivos seleccionado
en la pestaña Objects (Objetos).
4. (Opcional, Panorama únicamente) Seleccione Disable override (Deshabilitar cancelación) para
evitar que los administradores cancelen la configuración de este objeto de patrón de datos en los
grupos de dispositivos que lo heredan. Esta opción no está seleccionada de manera predeterminada,
lo que significa que los administradores pueden sobrescribir la configuración de cualquier grupo de
dispositivos que hereda el objeto.
5. (Opconal: Panorama únicamente) Seleccione Data Capture (Captura de datos) para recopilar
automáticamente los datos bloqueados por el filtro.
El tipo de archivo que seleccione debe ser el mismo tipo de archivo que definió para
el patrón de datos en el paso 1 o debe ser un tipo de archivo que incluya el tipo de
archivo del patrón de datos. Por ejemplo, podría definir el objeto de patrón de datos
y el perfil de filtrado de datos para analizar todos los documentos de Microsoft Office.
O bien, podría definir el objeto de patrón de datos para que coincida solamente con
las presentaciones de PowerPoint de Microsoft, mientras el perfil de filtrado de datos
analiza todos los documentos de Microsoft Office.
Si un objeto de patrón de datos se adjunta a un perfil de filtrado de datos y los tipos de archivo
configurados no se alinean entre los dos, el perfil no filtrará correctamente los documentos que
coincidan con el objeto de patrón de datos.
4. Configure el Alert Threshold (Umbral de alerta) para especificar las veces que el patrón de datos
debe detectarse en un archivo para que se active una alerta.
5. Configure el Block Threshold (Umbral de bloqueo) para bloquear los archivos que contengan al
menos esta cantidad de instancias del patrón de datos.
6. Configure la Log Severity (Gravedad de log) registrada para los archivos que coinciden con esta regla.
7. Haga clic en OK (Aceptar) para guardar el perfil de filtrado de datos.
STEP 4 | (Recomendado) Evite que los exploradores web reanuden sesiones que el cortafuegos ha
finalizado.
Esta opción garantiza que, cuando el cortafuegos detecte y luego descarte un archivo
delicado, el explorador web no pueda reanudar la sesión en un intento por recuperar el
archivo.
Solo los exploradores web pueden mostrar la página de respuesta (mensaje para
continuar) que permite a los usuarios confirmar que su elección de otra aplicación
derive en tráfico bloqueado para esas aplicaciones, debido a que no se muestra un
mensaje a los usuarios que les permita continuar.
4. Seleccione Any (Cualquiera) o especifique uno o más File Types (Tipos de archivo), tal como exe.
5. Especifique la Direction (Dirección), tal como download (descarga).
6. Especifique la Action (Acción) (alert [alertar], block [bloquear] o continue [continuar]). Por ejemplo,
seleccione continue (continuar) a fin de solicitar una confirmación a los usuarios para permitirles
descargar un archivo ejecutable (.exe). O bien, puede elegir block (bloquear) para bloquear archivos
especificados o puede configurar el cortafuegos para que active un alert (alerta) cuando un usuario
descargue un archivo ejecutable.
7. Haga clic en OK (Aceptar) para guardar el perfil.
Compruebe sus logs para determinar la aplicación utilizada para comprobar esta función.
Por ejemplo, si está usando Microsoft Sharepoint para descargar archivos, incluso
aunque esté usando un navegador web para acceder al sitio, la aplicación en realidad es
sharepoint-base o sharepoint-document. (Puede resultar útil configurar el tipo de
aplicación como Any [Cualquiera] para la comprobación).
STEP 2 | Cree una regla que defina la acción para todas las firmas de una categoría.
1. En la pestaña Rules (Reglas), seleccione Add (Añadir) e ingrese un Rule Name (Nombre de regla) para
una nueva regla.
3. Defina la acción. Allow (Permitir), Alert (Alertar), Block Ip (Bloquear IP) o Drop (Descartar). Si
selecciona Block Ip (Bloquear IP), realice estas tareas adicionales:
Para los servidores, cree reglas de política de seguridad que permitan solo las aplicaciones que usted
apruebe en cada servidor. Verifique que el puerto estándar para la aplicación coincida con el puerto de
escucha del servidor. Por ejemplo, para garantizar que solo se permita el tráfico SMTP en su servidor
de correo electrónico, configure la aplicación en smtp y configure el servicio en application-default. Si
su servidor utiliza solo un subconjunto de los puertos estándar (por ejemplo, si su servidor SMTP utiliza
solo el puerto 587 mientras la aplicación SMTP tiene puertos estándar definidos como 25 y 587), cree
un nuevo servicio personalizado que incluya solo el puerto 587 y utilice ese nuevo servicio en su regla
de política de seguridad en lugar de la opción predeterminada de la aplicación Además, asegúrese de
restringir el acceso a zonas de origen y destino específicas, y a conjuntos específicos de direcciones IP.
Cree un perfil de protección de zona configurado para ofrecer protección frente a los ataques basados
en paquetes (Network [Red] > Network Profiles [Perfiles de red] > Zone Protection [Protección de
zona]):
• Seleccione la opción para descartar los paquetes IP Malformed (Con formato incorrecto) (Packet
Based Attack Protection [Protección contra ataque basado en paquetes] > IP Drop [Descarte de IP]).
• Habilite la opción de descarte Mismatched overlapping TCP segment (Segmento TCP superpuesto
no coincidente)(Packet Based Attack Protection [Protección contra ataque basado en paquetes] >
TCP Drop [Descarte de IP]).
Al establecer deliberadamente conexiones con datos superpuestos pero diferentes en ellas, los
atacantes pueden intentar causar una interpretación equivocada de la intención de la conexión
Si configura direcciones IPv6 en sus hosts de red, asegúrese de habilitar el soporte para IPv6 si aún no
está habilitado (Network [Red] > Interfaces > Ethernet > IPv6).
La habilitación de la compatibilidad con IPv6 permite el acceso a hosts IPv6 y también filtra paquetes
IPv6 encapsulados en paquetes IPv4, lo cual evita que las IPv6 en direcciones de multidifusión IPv4 se
utilicen para el reconocimiento de la red.
Deshabilite las opciones Forward datagrams exceeding UDP content inspection queue (Enviar
datagramas que excedan la cola de inspección de contenido UDP) y Forward segments exceeding TCP
content inspection queue (Enviar segmentos que excedan la cola de inspección de contenido TCP)
(Device [Dispositivo] > Setup [Configuración] > Content-ID [ID de contenido] > Content-ID Settings
[Configuración de ID de contenido]).
De manera predeterminada, cuando la cola de inspección de contenido TCP o UDP está llena, el
cortafuegos omite la inspección de ID de contenido para los segmentos TCP o datagramas UDP que
excedan el límite de cola de 64. Al deshabilitar estas opciones, el cortafuegos descarta los segmentos
TCP y ls datagramas UDP cuando la cola de inspección de contenido TCP o UDP está llena.
Cree un perfil de protección de vulnerabilidades que bloquee las anomalías del protocolo si el
comportamiento de un protocolo se desvía del uso estándar y de cumplimiento. Por ejemplo, un paquete
con formato incorrecto, una aplicación escrita de manera deficiente o una aplicación que se ejecuta en
un puerto no estándar se considerarían anomalías y podrían usarse como herramientas de evasión.
STEP 1 | Habilite un cortafuegos que sea un intermediario entre los clientes y los servidores, y que actúe
como proxy DNS.
Realice la Configuración de un objeto proxy DNS, que incluye los siguientes pasos:
• Especifique las interfaces en las cuales desea que el cortafuegos escuche las solicitudes DNS.
• Defina el servidor DNS con el que se comunicará el cortafuegos para resolver las solicitudes DNS.
• Configure las entradas estáticas de FQDN a dirección IP que el cortafuegos puede resolver
localmente, sin tener que conectarse con un servidor DNS.
• Habilite el almacenamiento en caché de asignaciones resueltas de nombre de host a dirección IP.
STEP 2 | Obtenga la versión más reciente de contenido sobre aplicaciones y amenazas (versión 579 o
posterior).
1. Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas).
2. Seleccione Check Now (Comprobar ahora) para descargar las últimas actualizaciones de contenido de
aplicaciones y amenazas.
3. Descargue e instale la versión de contenido 579 de aplicaciones y amenazas (o posterior).
STEP 3 | Defina cómo el cortafuegos debe aplicar acciones al tráfico que coincide con las firmas de
evasión.
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Anti-Spyware
(Antispyware) y Add (Añadir) para añadir o modificar un perfil antispyware.
2. Seleccione Exceptions (Excepciones) y seleccione Show all signatures (Mostrar todas las firmas).
3. Filtre las firmas en función de la palabra clave evasion.
4. Para todas las firmas de evasión, configure Action (Acciones) en un ajuste que no sea el de permitir
o la acción por defecto (la acción por defecto para las firmas de evasión es permitir). Por ejemplo,
establezca que la Action (Acción) para las ID de firmas 14978 y 14984 sea alert (alertar) o drop
(descartar).
5. Haga clic en OK (Aceptar) para guardar el perfil de antispyware actualizado.
6. Adjunte el perfil de antispyware a una regla de política de seguridad: Seleccione Policies (Políticas) >
Security (Seguridad), seleccione la política deseada para modificarla y, a continuación, haga clic en
la pestaña Actions (Acciones). En Profile Settings (Configuración del perfil), haga clic en el menú
desplegable junto a Anti-Spyware, seleccione el perfil antispyware que acaba de modificar para
aplicar las firmas de evasión.
Método para Requisitos de ¿Cómo detecta este método los nombres de usuario o las
comprobar las configuración de contraseñas corporativas a medida que los usuarios las envían
credenciales User-ID a los sitios web?
enviadas
Elementos importantes para recordar al configurar la ID de usuario para habilitar la detección de filtro de
credenciales de dominio:
• Debido a que la eficacia de la detección de suplantación de identidad de credenciales depende
de su configuración de RODC, asegúrese de revisar también las prácticas recomendadas y las
recomendaciones para la administración de RODC.
• Descargue las actualizaciones de software de ID de usuario:
• Instalador de Windows de agente de ID de usuario: UaInstall-x.x.x-x.msi.
• Instalador de Windows del servicio de credenciales del agente de ID de usuario: UaCredInstall64-
x.x.x-x.msi.
• Instale el agente de ID de usuario y el servicio de credenciales del agente de usuario en un RODC
usando una cuenta que tenga privilegios para leer Active Directory a través de LDAP (el agente de ID
de usuario también necesita este privilegio).
4. Seleccione Import from User-ID Credential Agent (Importar del agente de credenciales de ID de
usuario). Esto permite que el agente de ID de usuario importe el filtro de eclosión que el agente
STEP 3 | En el directorio RODC, defina el grupo de usuarios para el cual desea admitir la detección de
envío de credenciales.
• Confirme que los grupos que deben recibir el cumplimiento de envío de credenciales se añadan al
grupo de replicación de contraseña RODC permitida.
• Verifique que ninguno de los grupos dentro del grupo de replicación de contraseña RODC permitida
esté también en el grupo de replicación de contraseña no permitida. Los grupos enumerados en
ambos no estarán sujetos al cumplimiento de la suplantación de identidad de credenciales.
STEP 2 | Si aún no lo ha hecho, configure un perfil de filtrado de URL recomendado para garantizar
protección contra las URL que se observó que alojan malware o contenido de exploits.
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtrado de
URL) y Add (Añadir) para añadir o modificar un perfil de filtrado de URL.
2. Bloquee el acceso a todas las categorías URL peligrosas conocidas: malware, phishing, DNS dinámico,
desconocidas, cuestionables, extremistas, de infracción de derechos de autor, proxy-avoidance-and-
anonymizers y estacionadas.
STEP 3 | Configure el perfil de filtrado de URL para detectar envíos de credenciales corporativas a sitios
web que están en categorías URL permitidas.
STEP 5 | Aplique el perfil de filtro URL con los ajustes de detección de credenciales a sus reglas de
política de seguridad.
Seleccione ACC > Hosts Visiting Malicious URLs (Hosts de visitas a URL
malintencionadas) para ver la cantidad de usuarios que visitaron sitios de malware y
phishing.
Seleccione Monitor (Supervisar) > Logs > URL Filtering (Filtrado de URL).
La nueva columna Credential Detected (Credencial detectada) indica eventos en los que el cortafuegos
detectó una solicitud post HTTP que incluía una credencial válida:
(Para visualizar esta columna, pase el ratón sobre cualquier encabezado de columna y haga clic en la
flecha para seleccionar las columnas que desea visualizar).
Los detalles de entrada del log también indican el envío de credenciales:
El resultado de este comando varía según el método configurado para que el cortafuegos detecte envíos
de credenciales. Por ejemplo, si el método Domain Credential Filter (Filtro de credenciales de dominio)
está configurado en un perfil de filtrado de URL, se muestra una lista de agentes de User-ID que han
reenviado un filtro de eclosión al cortafuegos, junto con la cantidad de credenciales incluidas en el filtro
de eclosión.
• (Método Group Mapping [Asignación de grupo) únicamente) Utilice el siguiente comando CLI
para ver información de asignación de grupo, incluido el número de perfiles de filtrado URL con
El resultado del comando ahora muestra recuentos de filtro de eclosión que incluyen la cantidad
de actualizaciones de filtro de eclosión que el cortafuegos ha recibido de cada agente, si alguna
actualización de filtro de eclosión falló en el proceso, y cuántos segundos transcurrieron desde la
última actualización de filtro de eclosión.
• (Método de Domain Credential Filter (Filtrado de credenciales de dominio únicamente) El agente
de User-ID basado en Windows muestra los mensajes de log que el filtro de eclosión (bloom filter,
BF) de referencia envía al cortafuegos. En la interfaz del agente de User-ID, seleccione Monitoring
(Supervisión) > Logs.
setting DESCRIPTION
Informes de aplicación La cantidad y el tamaño de las aplicaciones conocidas por puerto de destino,
las aplicaciones desconocidas por puerto de destino y las aplicaciones
desconocidas por dirección IP de destino. El cortafuegos genera estos
informes a partir de los logs del cortafuegos y los reenvía cada 4 horas.
Informes de prevención La información del atacante, la cantidad de amenazas de cada país de origen
de amenazas y el puerto de destino, y los objetos de correlación que desencadenaron los
eventos de amenazas. El cortafuegos genera estos informes de los logs de
amenazas y los reenvía cada 4 horas.
Informes de URL Las URL con las siguientes categorías de URL de PAN-DB: malware, phishing,
DNS dinámico, evasión de proxy, contenido sospechoso, estacionado y
desconocido (URL que PAN-DB aún no ha categorizado). El cortafuegos
genera estos informes a partir de los logs de filtrado de URL.
Datos de prevención de Datos de logs de eventos de amenazas que activaron firmas que se
amenazas encuentran bajo evaluación de eficacia de Palo Alto Networks. Los datos de
prevención de amenazas proporcionan a Palo Alto Networks mayor visibilidad
de su tráfico de red que otras configuraciones de telemetría. Cuando está
habilitado, es posible que el cortafuegos recopile información como las
direcciones IP de origen o víctima.
Habilitar los datos de prevención de amenazas también permite que las
firmas no publicadas, que Palo Alto Networks está probando, se ejecuten en
segundo plano. Estas firmas no afectan a las reglas de políticas de seguridad ni
a los logs del cortafuegos, y no tienen ningún impacto en el rendimiento de su
cortafuegos.
El cortafuegos reenvía los datos de prevención de amenazas cada 5 minutos.
Capturas de paquetes Capturas de paquetes (si habilitó su cortafuegos para la Captura de paquetes
de prevención de de amenazas) de los eventos de amenaza que desencadenan las firmas bajo
amenazas evaluación de eficacia de Palo Alto Networks. Las capturas de los paquetes de
prevención de amenazas proporcionan a Palo Alto Networks mayor visibilidad
de su tráfico de red que otras configuraciones de telemetría. Cuando está
habilitado, es posible que el cortafuegos recopile información como las
direcciones IP de origen o víctima.
El cortafuegos reenvía las capturas de los paquetes de prevención de
amenazas cada 5 minutos.
Estadísticas de uso de Los retrocesos de procesos de cortafuegos que han fallado, así como
producto información sobre el estado del cortafuegos. Los retrocesos de procesos
describen el historial de ejecución de los procesos fallidos. Estos informes
incluyen detalles sobre el modelo de cortafuegos y las versiones de liberación
de contenido y de PAN-OS instaladas en su cortafuegos.
El cortafuegos reenvía estadísticas de uso del producto cada 5 minutos.
Habilitación de la telemetría
Cuando habilita la telemetría, define qué datos recoge el cortafuegos y comparte con Palo Alto Networks.
En algunas configuraciones de telemetría, puede previsualizar los datos que su cortafuegos envía antes de
confirmar. El cortafuegos utiliza la ruta de servicio de los servicios de Palo Alto Networks para enviar los
datos que comparte de la telemetría con Palo Alto Networks.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Telemetry (Telemetría) y edite la
configuración de telemetría.
STEP 2 | Seleccione los datos de telemetría que desea compartir con Palo Alto Networks. Para
obtener descripciones más específicas sobre estos datos, consulte ¿Qué datos de telemetría
recopila el cortafuegos? De manera predeterminada, toda la configuración de telemetría está
deshabilitada.
STEP 3 | Abra un ejemplo de informe ( ) para visualizar el tipo de datos que recoge el cortafuegos
para los informes de aplicaciones, los informes de prevención de amenazas, los informes de
URL y los informes de identificación de tipo de archivo.
El ejemplo de informe, en formato XML, se basa en la actividad de su cortafuegos en las primeras 4 horas
desde que visualizó por primera vez el ejemplo de informe. Un ejemplo de informe no muestra ninguna
entrada si el cortafuegos no encontró ningún tráfico coincidente para el informe. El cortafuegos solo
recoge nueva información para un ejemplo de informe cuando reinicia el cortafuegos y abre un ejemplo
de informe.
La figura a continuación muestra un ejemplo de informe de los informes de prevención de amenazas:
STEP 4 | Visualice el tipo de datos que recoge el cortafuegos para las estadísticas de uso del producto.
Introduzca el siguiente comando operativo de la CLI: show system info
STEP 5 | Haga clic en OK (Aceptar) y en Commit (Confirmar) para aplicar los cambios.
STEP 6 | Si habilitó las opciones Threat Prevention Data (Datos de prevención de amenazas) y Threat
Prevention Packet Captures (Capturas de paquetes de prevención de amenazas), visualice los
datos que recoge el cortafuegos.
1. Edite la configuración de la telemetría.
2. Haga clic en Download Threat Prevention Data (Descargar los datos de prevención de amenazas)
( ) para descargar un archivo tarball (.tar.gz) con las 100 carpetas de datos más recientes que
recogió el cortafuegos de Threat Prevention Data (Datos de prevención de amenazas) y Threat
Prevention Packet Captures (Captura de paquetes de prevención de amenazas). Si nunca habilitó
estas configuraciones o si las habilitó, pero no hay eventos de amenaza que coincidan con las
condiciones para estas configuraciones, el cortafuegos no generará un archivo y, en su lugar,
devolverá un mensaje de error.
Actualmente, no existe una manera de visualizar la información de DNS que recoge el cortafuegos
mediante la supervisión de DNS pasivo.
Sinkholing de DNS
La función de sinkholing de DNS facilita la identificación de hosts infectados en la red protegida mediante
tráfico DNS en situaciones en las que el cortafuegos no puede ver la consulta de DNS del cliente infectado
(es decir, el cortafuegos no puede ver el originador de la consulta de DNS). En una implementación típica,
donde el cortafuegos está antes del servidor DNS local, el log de amenazas identificará la resolución DNS
local como el origen del tráfico en lugar del host infectado. Las consultas de DNS de malware de sinkholing
resuelven este problema de visibilidad al generar respuestas erróneas a las consultas de host de cliente
dirigidas a dominios malintencionados, de modo que los clientes que intenten conectarse a dominios
malintencionados (mediante comando y control, por ejemplo) intentarán, en cambio, conectarse a una
dirección IP sinkhole de Palo Alto Networks o a una dirección IP definida por el usuario, como se describe
en Configure DNS Sinkholing for a List of Custom Domains (Configuración del sinkholing de DNS para una
lista de dominios personalizados). Los hosts infectados pueden identificarse fácilmente en los logs de tráfico
porque cualquier host que intente conectarse a la dirección IP sinkhole probablemente esté infectado con
malware.
Si desea habilitar el sinkholing de DNS para las firmas de DNS de Palo Alto Networks, adjunte el perfil
antispyware predeterminado a una regla de la política de seguridad (consulte Configuración de antivirus,
antispyware y protección frente a vulnerabilidades). Las consultas DNS a cualquier dominio incluido en
las firmas de DNS de Palo Alto Networks se resolverán en la dirección IP de sinkhole por defecto de Palo
Alto Networks. Las direcciones IP actualmente son IPv4 (71.19.152.112 y una dirección de bucle invertido
IPv6)::1. Esta dirección está sujeta a cambios y puede actualizarse con actualizaciones de contenido.
STEP 1 | Habilite el sinkholing de DNS para la lista personalizada de dominios en una lista dinámica
externa.
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Anti-Spyware.
2. Modifique un perfil existente o seleccione uno de los perfiles por defecto existentes y duplíquelo.
3. Asigne un nombre al perfil en Name y, a continuación, seleccione la pestaña DNS Signatures.
4. Haga clic en Add (Añadir) y seleccione External Dynamic Lists (Listas dinámicas externas) en la lista
desplegable.
Por ejemplo:
Como alternativa, puede usar la interfaz del cortafuegos para recuperar una lista dinámica
externa del servidor web.
Las direcciones de sinkhole se deben reservar con este fin y no es necesario asignarlas a
un host físico. Además, puede utilizar un servidor honey-pot (trampa) como host físico para
analizar más detenidamente el tráfico malintencionado.
Para los siguientes pasos de configuración, se utilizan las siguientes direcciones de sinkhole
de DNS de ejemplo:
Dirección de sinkhole de DNS IPv4: 10.15.0.20
Dirección de sinkhole de DNS IPv6: fd97:3dec:4d27:e37c:5:5:5:5
Utilice una zona específica para el tráfico de sinkhole, ya que el host infectado enviará
tráfico a esta zona.
1. Seleccione Network (Red) > Interfaces y seleccione una interfaz para configurar como su interfaz de
sinkhole.
2. En la lista desplegable Interface Type (Tipo de interfaz), seleccione Layer3.
3. Para añadir una dirección IPv4, seleccione la pestaña IPv4, seleccione Static (Estático) y, a
continuación, haga clic en Add (Añadir). En este ejemplo, añada 10.15.0.20 como la dirección IPv4 de
DNS sinkhole.
4. Seleccione la pestaña IPv6, haga clic en Static (Estático) y, a continuación, haga clic en Add (Añadir) y
especifique una dirección IPv6 y una máscara de subred. En este ejemplo, fd97:3dec:4d27:e37c::/64
es la dirección de sinkhole IPv6.
5. Haga clic en OK (Aceptar) para guardar.
6. Para añadir una zona para el sinkhole, seleccione Network (Red) > Zones (Zonas) y haga clic en Add
(Añadir).
7. Especifique un Name (Nombre) para la zona.
8. En la lista desplegable Type (Tipo), seleccione Layer3.
9. En la sección Interfaces, haga clic en Add (Añadir) y añada la interfaz que ha configurado.
10.Haga clic en OK (Aceptar).
STEP 3 | Edite la regla de la política de seguridad que permite el tráfico de los hosts de cliente de la zona
de confianza a la zona que no es de confianza para incluir la zona de sinkhole como un destino
y adjuntar el perfil de antispyware.
La modificación de las reglas de política de seguridad que permiten el tráfico desde hosts clientes en la
zona fiable hacia la zona no fiable garantiza la identificación del tráfico de hosts infectados. Al añadir la
zona de sinkhole como un destino en la regla, permite que los clientes infectados envíen consultas de
DNS falsas al sinkhole de DNS.
1. Seleccione Policies (Políticas) > Security (Seguridad).
2. Seleccione una regla existente que permita el tráfico de la zona del host de cliente a la zona que no es
de confianza.
3. En la pestaña Destination (Destino), seleccione Add (Añadir) para añadir la zona de sinkhole. Esto
permite que el tráfico del host de cliente fluya hasta la zona de sinkhole.
4. En la pestaña Actions (Acciones), seleccione la casilla de verificación Log at Session Start (Log al
iniciar sesión) para habilitar el registro de logs. De este modo, garantiza que el tráfico de los hosts
de cliente de la zona de confianza se registre al acceder a las zonas que no son de confianza o de
sinkhole.
5. En la sección Profile Setting (Ajuste de perfil), seleccione el perfil de Antispyware en el que ha
habilitado el sinkholing de DNS.
6. Haga clic en OK (Aceptar) para guardar la regla de política de seguridad y, a continuación, en Commit
(Confirmar).
La salida del siguiente ejemplo muestra la solicitud de ping a la dirección de sinkhole de DNS en
10.15.0.2 y el resultado, que es Request timed out debido a que en este ejemplo la dirección IP
de sinkhole no se ha asignado a un host físico:
C:\>ping 10.15.0.20
Pinging 10.15.0.20 with 32 bytes of data:
Request timed out.
Request timed out.
Ping statistics for 10.15.0.20:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
2. En el cortafuegos, seleccione Monitor (Supervisar) > Logs > Traffic (Tráfico) y encuentre la entrada
de log con el origen 192.168.2.10 y el destino 10.15.0.20. Esto confirma que el tráfico para la
dirección IP de sinkhole atraviesa las zonas del cortafuegos.
Puede buscar o filtrar los logs y mostrar solo los logs con el destino 10.15.0.20. Para
ello, haga clic en la dirección IP (10.15.0.20) en la columna Destination (Destino), lo
que añadirá el filtro (addr.dst en 10.15.0.20) al campo de búsqueda. Haga clic en el
icono Aplicar filtro a la derecha del campo de búsqueda para aplicar el filtro.
conficker:tbsbana 1
variants: net
2. En el host de cliente, abra un símbolo del sistema.
3. Realice la acción NSLOOKUP para una dirección URL identificada como un dominio malintencionado
conocido.
C:\>nslookup
track.bidtrk.com
Server: my-local-dns.local
Address: 10.0.0.222
Non-authoritative answer:
Name: track.bidtrk.com.org
Addresses: fd97:3dec:4d27:e37c:5:5:5:510.15.0.20
En este ejemplo, el host de cliente infectado realiza una acción NSLOOKUP para un dominio
malintencionado conocido incluido en la base de datos de firmas DNS de Palo Alto Networks. A
continuación, la consulta se envía al servidor DNS local, el cual reenvía la solicitud a través del
cortafuegos a un servidor DNS externo. La política de seguridad del cortafuegos con el perfil
de antispyware configurado coincide con la consulta enviada a la base de datos de firmas DNS,
la cual falsifica a continuación la respuesta mediante la dirección de sinkhole de 10.15.0.20 y
fd97:3dec:4d27:e37c:5:5:5:5. El cliente intenta iniciar una sesión y el log de tráfico registra la actividad
con el host de origen y la dirección de destino, que ahora se dirige a la dirección de sinkhole falsa.
La visualización del log de tráfico en el cortafuegos permite identificar cualquier host de cliente que
envíe tráfico a la dirección de sinkhole. En este ejemplo, los logs muestran que la dirección de origen
192.168.2.10 ha enviado la consulta de DNS malintencionada. A continuación, el host se puede buscar
y limpiar. Sin la opción de sinkhole de DNS, el administrador solo vería el servidor DNS local como el
sistema que ha realizado la consulta y no vería el host de cliente infectado. Si intenta ejecutar un informe
en el log de amenazas mediante la acción “sinkhole”, el log muestra el servidor DNS local, pero no el host
infectado.
1. Seleccione Monitor (Supervisar) > Manage Custom Reports (Gestionar informes personalizados).
2. Haga clic en Add (Añadir) y asigne un Name (Nombre) al informe.
3. Defina un informe personalizado que capture el tráfico para la dirección de sinkhole del modo
siguiente:
4. Haga clic en Run Now (Ejecutar ahora) para ejecutar el informe. El informe muestra todos los hosts
de cliente que han enviado tráfico a la dirección de sinkhole, lo que indica que es probable que estén
infectados. A continuación, puede hacer un seguimiento de los hosts y comprobarlos para detectar
spyware.
5. Para ver los informes programados que se han ejecutado, seleccione Monitor (Supervisar) > Reports
(Informes).
Mantenga una duración más breve para las entradas de lista de bloqueo de hardware
que para las entradas de lista de bloqueo de software, a fin de reducir la probabilidad de
superar la capacidad de bloqueo del hardware.
• Cambie el sitio web predeterminado para encontrar más información sobre una dirección IP de
Network Solutions Who Is a otro sitio web.
• Visualice los recuentos de direcciones IP bloqueadas por hardware y software; por ejemplo,
para ver la tasa de ataques.
Visualice la suma total de entradas de direcciones IP en la tabla de bloqueo de hardware y la lista de
bloqueo (bloqueadas por hardware y software):
Visualice el recuento de entradas de direcciones IP en la lista de bloqueo que fueron bloqueadas por
software:
Además, puede utilizar las categorías de amenazas (que clasifican los tipos de eventos de amenazas) para
reducir su vista de ciertos tipos de actividad de amenazas o para crear informes personalizados.
• Evaluación de los artefactos del cortafuegos con AutoFocus
• Más información sobre las firmas de amenazas
• Supervisión de actividad y creación de informes personalizados en función de las categorías de amenazas
Analysis Information La pestaña Analysis Information (Información del análisis) muestra la siguiente
información:
• Sesiones: la cantidad de veces que se inició sesión en su cortafuegos y se
detectaron muestras asociadas al artefacto.
• Muestras: una comparación de las muestras de la organización y muestras
globales asociadas al artefacto o agrupadas por veredicto de WildFire
(benigna, malware o greyware). Global se refiere a muestras de todas los
envíos de WildFire, mientras que organización se refiere solo a muestras
enviadas a WildFire por su organización.
• Etiquetas coincidentes: las etiquetas de AutoFocus que coinciden con
el artefacto. Las etiquetas de AutoFocus indican si un artefacto está
vinculado con malware o ataques dirigidos.
DNS pasivo La pestaña Passive DNS (DNS pasivo) muestra el historial de DNS pasivo que
incluye el artefacto. El historial de DNS pasivo se basa en la inteligencia de
DNS global en AutoFocus; no se limita a la actividad de DNS en su red. El
historial de DNS pasivo consiste en lo siguiente:
• La solicitud de dominio
• El tipo de solicitud DNS
• La dirección IP o el dominio producto de la resolución de la solicitud DNS
(las direcciones IP privadas no se muestran)
• La cantidad de veces que se realizó la solicitud
• La fecha y la hora en la que la solicitud se vio por primera y última vez
Matching Hashes La pestaña Matching Hashes (Hashes coincidentes) muestra las 5 muestras
coincidentes que se detectaron más recientemente. La información de las
muestras incluye:
• El hash SHA256 de la muestra
STEP 3 | Coloque el cursor sobre un artefacto para abrir el menú desplegable y haga clic en AutoFocus.
STEP 5 | Inicie una búsqueda en AutoFocus para buscar otros artefactos en el resumen de inteligencia
de AutoFocus.
Haga clic en los siguientes artefactos para determinar su omnipresencia en su organización:
• Veredictos de WildFire en la pestaña Analysis Information (Información del análisis)
• URL y direcciones IP en la pestaña Passive DNS (DNS pasivo)
• Hashes SHA256 en la pestaña Matching Hashes (Hashes coincidentes)
STEP 7 | Vea la cantidad de ejemplos asociados al artefacto por alcance y veredicto de WildFire.
Coloque el cursor sobre las barras de ejemplos.
STEP 3 | Coloque el cursor sobre un Threat Name (Nombre de amenaza) o el ID de amenazas para
abrir el menú desplegable, y haga clic en Exception (Excepción) para revisar los detalles de la
amenaza y cómo se configura el cortafuegos para aplicar la amenaza.
Por ejemplo, obtenga más información sobre una amenaza principal ilustrada en el ACC:
STEP 5 | Compruebe si una firma de amenazas se configuró como una excepción de su política de
seguridad.
• Si la columna Used in current security rule (Utilizada en la regla de seguridad actual) está vacía, el
cortafuegos aplica la amenaza en función de la acción de la firma predeterminada recomendada (por
ejemplo, bloquear o crear alerta).
• Una marca de verificación en la columna Used in current security rule (Utilizada en la regla de
seguridad actual) indica que una regla de la política de seguridad se configuró para aplicar una acción
STEP 6 | Haga clic en Add (Añadir) para añadir una dirección IP para filtrar la excepción de amenaza o
ver las Exempt IP Addresses (Direcciones IP exentas) existentes.
Configure una dirección IP de exención para aplicar una excepción de amenaza solo cuando la sesión
asociada cuente con una dirección IP de origen o de destino coincidente; en el caso de las otras sesiones,
la amenaza se aplica en función de la acción de la firma predeterminada.
• Cree informes personalizados basados en las categorías de amenazas para recibir información
sobre tipos específicos de amenazas que detectó el cortafuegos.
1. Seleccione Monitor (Supervisar) > Manage Custom reports (Gestionar informes personalizados) para
añadir un nuevo informe personalizado o modificar uno existente.
2. Seleccione la Database (Base de datos) que se utilizará como el origen del informe personalizado.
En este caso, seleccione Threat (Amenaza) de cualquiera de los dos tipos de orígenes de la base
de datos, base de datos de resumen y logs detallados. Los datos de la base de datos de resumen
se resumen para permitir una respuesta más rápida cuando se generan informes. La generación de
logs detallados requiere más tiempo, pero estos proporcionan un conjunto de datos detallados y
completos de cada entrada del log.
3. En el generador de consultas de log, añada un filtro de informes con el atributo Threat Category
(Categoría de amenaza) y en el campo Value (Valor), seleccione una categoría de amenaza en la que
se basará su informe.
4. Para comprobar la configuración del nuevo informe, seleccione Run now (Ejecutar ahora).
5. Haga clic en OK (Aceptar) para guardar el informe.
575
576 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | App-ID
© 2017 Palo Alto Networks, Inc.
Descripción general de App-ID
App-ID, un sistema de clasificación de tráfico patentado disponible únicamente en los cortafuegos de Palo
Alto Networks, determina qué es la aplicación, independientemente del puerto, el protocolo, el cifrado
(SSH o SSL) o cualquier otra táctica evasiva utilizada por la aplicación. Aplica múltiples mecanismos de
clasificación (firmas de aplicaciones, decodificación de protocolos de aplicaciones y heurística) al flujo de
tráfico de su red para identificar aplicaciones de forma precisa.
App-ID identifica las aplicaciones que pasan por su red de la siguiente forma:
• El tráfico se compara con la política para comprobar si está permitido en la red.
• A continuación, se aplican firmas al tráfico permitido para identificar la aplicación en función de sus
propiedades y características de transacciones. La firma también determina si la aplicación se está
utilizando en su puerto predeterminado o si está utilizando un puerto no estándar. Si la política permite
el tráfico, a continuación, este se examina en busca de amenazas y se analiza en mayor profundidad para
identificar la aplicación de manera más granular.
• Si App-ID determina que el cifrado (SSL o SSH) ya está en uso y se está aplicando una regla de políticas
de Descifrado on page 599, se descifra la sesión y se vuelven a aplicar las firmas de la aplicación sobre
el flujo descifrado.
• Posteriormente, los decodificadores de protocolos conocidos se utilizan para aplicar firmas adicionales
basadas en contextos para detectar otras aplicaciones que podrían estar pasando por dentro del
protocolo (por ejemplo, Yahoo! Instant Messenger a través de HTTP). Los decodificadores validan si el
tráfico cumple con la especificación del protocolo y ofrecen soporte para NAT transversal y la apertura
de pinholes dinámicos para aplicaciones como SIP y FTP.
• Para aplicaciones que son especialmente evasivas y que no se pueden identificar mediante firmas
avanzadas y análisis de protocolos, podrán utilizarse la heurística o el análisis de comportamiento para
determinar la identidad de la aplicación.
Cuando se identifica la aplicación, la comprobación de la política determina cómo tratarla: por ejemplo,
bloquearla o autorizarla y analizarla en busca de amenazas, inspeccionar la transferencia no autorizada de
archivos y patrones de datos o moldearla utilizando QoS.
STEP 3 | Haga clic en el enlace Apps (Aplicaciones) de la columna Features (Funciones) para ver detalles
de aplicaciones recientemente identificadas:
Una lista de App-ID muestra todos los App-ID nuevos introducidos, desde la versión de contenido
instalada en el cortafuegos hasta la versión de contenido de Content Version (Versión de contenido)
seleccionada.
Los detalles App-ID que puede usar para evaluar un posible impacto en la aplicación de políticas
incluyen:
• Depends on (Depende de): enumera las firmas de aplicación en la que se basa este App-ID para
identificar de forma única la aplicación. Si una de las firmas de aplicación enumeradas en el campo
Depends On (Depende de) está deshabilitada, el App-ID que depende de ella también lo estará.
• Previously Identified As (Previamente identificada como): enumera los App-ID que coinciden con la
aplicación antes de que el nuevo App-ID se instale para identificar de forma única la aplicación.
• App-ID Enabled (Habilitado para App-ID): todos los App-ID aparecen como habilitados cuando se
descarga una versión de contenido, a menos que opte por deshabilitar manualmente la firma de App-
ID antes de instalar la actualización de contenido (consulte Deshabilitación o habilitación de App-ID
on page 582).
Los cortafuegos con vsys múltiples muestran los estados de App-ID como vsys-specific (específicos
de vsys). Esto se debe a que el estado no se aplica a distintos sistemas virtuales y debe habilitarse o
deshabilitarse individualmente para cada sistema virtual. Para ver el estado de App-ID de un sistema
virtual específico, haga clic en Objects (Objetos) > Applications (Aplicaciones), seleccione un sistema
virtual en Virtual System (Sistema virtual) y seleccione el App-ID.
STEP 2 | Puede revisar el impacto de las políticas de nuevas versiones de contenido que se descargan
en el cortafuegos. Seleccione Download (Descargar) para descargar una nueva versión de
contenido y haga clic en Review Policies (Revisar políticas) en la columna Action (Acción).
El cuadro de diálogo Policy review based on candidate configuration (Revisión de políticas
basada en la configuración de candidatos) le permite filtrar por Content Version (Versión de
contenidos) y ver los App-ID introducidos en una versión específica (también puede filtrar el
impacto en la política de App-ID nuevos de acuerdo con Rulebase [Base de reglas] y Virtual
System [Sistema virtual]).
STEP 3 | Seleccione un App-ID nuevo en el menú desplegable Application (Aplicación) para ver las
reglas de la política que implementa actualmente la aplicación. Las reglas mostradas se basan
en las firmas de aplicaciones que coinciden con la aplicación antes de que se instale el App-ID
nuevo (vea los detalles de la aplicación para ver la lista de firmas de aplicaciones en Previously
Identified As [Identificado anteriormente como] antes del nuevo App-ID).
STEP 4 | Use los detalles proporcionados en la revisión de la política para planificar actualizaciones de
reglas de políticas que surtan efecto cuando el App-ID se instale y habilite para identificar de
forma única la aplicación.
Puede ir a Preparación de actualizaciones de política para App-ID pendientes on page 583 o añadir
directamente el nuevo App-ID a reglas de políticas con las que se identificaba anteriormente la
aplicación usando el cuadro de diálogo de revisión de políticas.
En el siguiente ejemplo, se ha introducido el nuevo App-ID nube-adobe en una versión de contenido. El
tráfico de nube-adobe se identifica actualmente como tráfico de navegación web y SSL. Se muestran las
reglas de políticas configuradas para aplicar el tráfico de navegación web o SSL para indicar qué reglas
de políticas se verán afectadas cuando se instale el nuevo App-ID. En este ejemplo, la regla Permitir
aplicación SSL aplica actualmente el tráfico SSL. Para seguir permitiendo el tráfico de nube-adobe
cuando se identifica de forma única y deja de identificarse como tráfico SSL:
Añada el nuevo App-ID a las reglas de la política existente de modo que se siga aplicando el tráfico de
aplicación de acuerdo con sus requisitos de seguridad existentes cuando se instale el App-ID.
En este ejemplo, para seguir permitiendo el tráfico de nube-adobe cuando el nuevo App-ID lo identifica
de forma única, y no se identifica más como tráfico SSL, añada el nuevo App-ID a la regla de políticas de
seguridad Permitir aplicación SSL.
• Habilitación de App-ID.
Habilite los App-ID que deshabilitó previamente seleccionando Objects (Objetos) > Applications
(Aplicaciones). Seleccione la casilla de verificación de una o más aplicaciones y haga clic en Enable
Los App-ID que se incluyen en una versión de contenido descargada pueden tener un
estado de App-ID habilitado, pero los App-ID no entran en vigor hasta que se instala la
versión de contenido que corresponda.
1. Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas) y haga clic en
Download (Descargar) para descargar la versión de contenido más reciente.
2. Realice la Revisión del impacto de un App-ID nuevo sobre las reglas de políticas existentes para
evaluar el impacto de la política en los nuevos App-ID.
3. Seleccione Install para instalar la versión de contenido más reciente. Antes de que se instale la
versión de contenido, se le pedirá que elija Disable new apps in content update (Deshabilitar
aplicaciones nuevas en la actualización de contenido). Seleccione la casilla de verificación y continúe
STEP 2 | Seleccione Add (Añadir) para añadir un grupo y Name (Nombre) para asignarle un nombre
descriptivo.
STEP 3 | (Opcional) Seleccione Shared (Compartido) para crear el objeto en una ubicación compartida
para el acceso como un objeto compartido en Panorama para el uso en todos los sistemas
virtuales en un cortafuegos de sistema virtual múltiple.
STEP 4 | Seleccione Add (Añadir) para añadir las aplicaciones que desea incluir en el grupo y haga clic en
OK (Aceptar).
STEP 2 | Seleccione Add (Añadir) para añadir un filtro y Name (Nombre) para asignarle un nombre
descriptivo.
STEP 3 | (Opcional) Seleccione Shared (Compartido) para crear el objeto en una ubicación compartida
para el acceso como un objeto compartido en Panorama para el uso en todos los sistemas
virtuales en un cortafuegos de sistema virtual múltiple.
STEP 4 | Defina el filtro seleccionando valores de atributo desde las secciones Categoría, Subcategoría,
Tecnología, Riesgo y Característica. A medida que seleccione valores, observará que la lista de
aplicaciones coincidentes de la parte inferior del cuadro de diálogo se reduce. Cuando ajuste
los atributos de filtro para que coincidan con los tipos de aplicaciones que desee habilitar de
forma segura, haga clic en OK (Aceptar).
Para garantizar que sus aplicaciones personalizadas internas no aparezcan como tráfico desconocido, cree
una aplicación personalizada. Así podrá ejercer un control granular de las políticas sobre esas aplicaciones
para minimizar el intervalo de tráfico no identificado de su red, reduciendo así la superficie de ataque. La
creación de una aplicación personalizada también le permite identificar correctamente la aplicación del ACC
y los logs de tráfico y resulta de utilidad a la hora de realizar auditorías/informes de las aplicaciones de su
red.
Para crear una aplicación personalizada, debe definir los atributos de aplicaciones: sus características,
categoría y subcategoría, riesgo, puerto y tiempo de espera. Además, debe definir patrones o valores que
el cortafuegos pueda usar para comparar los propios flujos de tráfico (la firma). Por último, puede vincular
la aplicación personalizada a una política de seguridad que permita o deniegue la aplicación (o añadirla a
un grupo de aplicaciones o identificarla con un filtro de aplicaciones). También puede crear aplicaciones
personalizadas para identificar aplicaciones efímeras según tema, como vídeo ESPN3 del mundial de fútbol
o un campeonato de baloncesto.
Para recopilar los datos correctos y así crear una firma de aplicación personalizada,
necesitará comprender bien las capturas de paquetes y cómo se forman los datagramas.
Si la firma se crea de manera demasiado amplia, puede que incluya otro tráfico similar
de forma accidental; si se define de manera demasiado específica, el tráfico evadirá la
detección si no coincide exactamente con el patrón.
Las aplicaciones personalizadas se almacenan en una base de datos separada del
cortafuegos y su base de datos no se ve afectada por las actualizaciones semanales de
App-ID.
Los decodificadores de protocolos de aplicación admitidos que habilitan el cortafuegos
para que detecte las aplicaciones que puedan estar pasando a través de un túnel dentro
del protocolo incluyen los siguientes, según la actualización de contenido 609: FTP, HTTP,
IMAP, POP3, SMB y SMTP.
STEP 1 | Reúna información sobre la aplicación que pueda usar para escribir firmas personalizadas.
Para ello, debe conocer la aplicación y cómo controlar el acceso. Por ejemplo, puede limitar qué
operaciones pueden realizar los usuarios en la aplicación (como cargar, descargar o transmitir en directo).
Tal vez quiera permitir la aplicación, pero aplicando políticas de QoS.
• Capture paquetes de aplicación de modo que pueda encontrar características únicas sobre la
aplicación en la que basar su firma de aplicación personalizada. Un modo de hacerlo es ejecutar un
analizador de protocolos, como Wireshark, en el sistema del cliente para capturar los paquetes entre
el cliente y el servidor. Realice distintas acciones en la aplicación, como la carga y descarga, para que
pueda ubicar cada tipo de sesión en las capturas de paquetes resultantes (PCAP).
• Como el cortafuegos por defecto toma capturas de paquetes de todo el tráfico desconocido, si el
cortafuegos se encuentra el cliente y el servidor podrá ver la captura de paquete para el tráfico
desconocido directamente desde el log de tráfico.
• Use las capturas de paquete para encontrar patrones o valores en los contextos de paquete que
puede usar para crear firmas que coincidan de forma única con el tráfico de aplicación. Por ejemplo,
busque patrones de cadena en encabezados de solicitudes o respuestas HTTP, rutas URI o nombres
de host. Si desea información sobre los distintos contextos de cadena que puede usar para crear
STEP 3 | Defina detalles sobre la aplicación, como el protocolo subyacente, el número de puerto en el
que se ejecuta la aplicación, los valores de tiempo de espera y cualquier tipo de escaneo que
puede realizar en el tráfico.
En la pestaña Advanced (Avanzado), defina los ajustes que permitirán al cortafuegos identificar el
protocolo de la aplicación:
• Especifique el protocolo y los puertos predeterminados que usa la aplicación.
• Especifique los valores de tiempo de espera de sesión. Si no especifica valores de tiempo de espera,
se usarán los predeterminados.
• Indique cualquier tipo de escaneo adicional que planee realizar en el tráfico de aplicación.
Por ejemplo, para crear una aplicación personalizada basada en TCP que se ejecute en SSL, pero use el
puerto 4443 (en lugar del puerto predeterminado de SSL, 443), deberá especificar el número de puerto.
Al añadir el número de puerto para una aplicación personalizada, puede crear reglas de políticas que
usen el puerto predeterminado para la aplicación, en lugar de abrir puertos adicionales en el cortafuegos.
Hacerlo mejora su estrategia de seguridad.
STEP 6 | Valide que el tráfico coincida con la aplicación personalizada como se espera.
1. Seleccione Policies (Políticas) > Security (Seguridad) y luego Add (Añadir) para añadir una regla de
políticas de seguridad que permita la nueva aplicación.
2. Ejecute la aplicación desde un sistema cliente que esté entre el cortafuegos y la aplicación, y
compruebe los logs de tráfico (Monitor [Supervisar] > Traffic [Tráfico]) para asegurarse de ver el
tráfico que coincide con la aplicación nueva (y de que se está gestionando según su regla de políticas).
360-safeguard-update http
apple-update http
apt-get http
as2 http
avg-update http
blokus rtmp
bugzilla http
clubcooee http
corba http
dropbox ssl
esignal http
ezhelp http
forticlient-update http
google-desktop http
google-talk jabber
google-update http
gotomypc-desktop-sharing citrix-jedi
gotomypc-file-transfer citrix-jedi
gotomypc-printing citrix-jedi
hipchat http
infront http
java-update http
jepptech-updates http
kerberos rpc
mcafee-update http
megaupload http
metatrader http
mocha-rdp t_120
mount rpc
ms-frs msrpc
ms-rdp t_120
ms-scheduler msrpc
ms-service-controller msrpc
nfs rpc
paloalto-updates ssl
panos-global-protect http
panos-web-interface http
pastebin http
pastebin-posting http
portmapper rpc
rdp2tcp t_120
renren-im jabber
salesforce http
stumbleupon http
supremo http
symantec-av-update http
trendmicro http
twitter http
xm-radio rtsp
La siguiente tabla enumera los ALG IPv4, NAT, IPv6, NPTv6 y NAT64 e indica con una marca de verificación
si el ALG admite cada protocolo (como el SIP).
STEP 3 | Seleccione Customize... (Personalizar...) para ALG en la sección Opciones del cuadro de diálogo
Aplicación.
STEP 5 | Haga clic en Close (Cerrar) para cerrar el cuadro de diálogo Application (Aplicación) y en
Commit (Confirmar) para guardar el cambio.
599
600 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Descifrado
© 2017 Palo Alto Networks, Inc.
Descripción general del descifrado
Los protocolos SSL (Secure Sockets Layer, Capa de sockets seguros) y SSH (Secure Shell, Shell seguro)
se usan para asegurar el tráfico entre dos entidades, como un servidor web y un cliente. El SSL y el SSH
encapsulan el tráfico, cifrando los datos de modo que sean ininteligibles para todas las entidades excepto
el cliente y el servidor que cuenten con las claves para descodificar los datos y los certificados, lo que
garantiza la confianza entre los dispositivos. El tráfico que se ha cifrado con los protocolos SSL y SSH puede
descifrarse para garantizar que esos protocolos se están usando únicamente para los fines deseados y no
para ocultar una actividad no deseada o contenido malicioso.
Los cortafuegos de Palo Alto Networks descifran el tráfico cifrado mediante claves que transforman las
cadenas (contraseñas y secretos compartidos) de texto cifrado a texto sin cifrar (descifrado) y de texto sin
cifrar a texto cifrado (recifrado del tráfico cuando abandona el dispositivo). Los certificados se usan para
definir al cortafuegos como un interlocutor de confianza y crear una conexión segura. El cifrado SSL (tanto
en la inspección de entrada como el proxy de reenvío) requiere certificados para establecer la confianza
entre dos entidades para asegurar una conexión SSL/TLS. Los certificados también pueden usarse al excluir
a los servidores del descifrado SSL. Puede integrar un módulo de seguridad de hardware (HSM) con un
cortafuegos para permitir una seguridad mejorada para las claves privadas usadas en el proxy de envío
SSL como en el descifrado de inspección de entrada SSL. Para saber más sobre el almacenamiento y la
generación de claves con un HSM, y la integración del HSM en su cortafuegos, consulte Claves seguras con
un módulo de seguridad de hardware. El descifrado SSH no requiere certificados.
El descifrado del cortafuegos de Palo Alto Networks se basa en políticas y puede usarse para descifrar,
examinar y controlar las conexiones SSL y SSH entrantes y salientes. Las políticas de descifrado le permiten
especificar el tráfico que se desea descifrar en función de la categoría de URL, destino u origen para poder
bloquear o restringir el tráfico especificado según sus ajustes de seguridad. El cortafuegos usa certificados y
claves para descifrar el tráfico especificado por la política y convertirlo a texto sin formato, y después aplica
App-ID y ajustes de seguridad en el tráfico de texto sin formato, lo que incluye el descifrado, antivirus,
vulnerabilidades, antispyware, filtrado de URL y perfiles de bloqueo de archivos. Cuando el tráfico se
haya descifrado y examinado en el cortafuegos, el tráfico de texto sin cifrar se volverá a cifrar al salir
del cortafuegos para asegurar su privacidad y seguridad. Utilice el descifrado basado en la política en el
cortafuegos para lo siguiente:
• Evite que el malware camuflado como tráfico cifrado se introduzca en una red de su empresa.
• Evite que salga información corporativa sensible de la red corporativa.
• Asegúrese de que las aplicaciones correctas se ejecuten en una red segura.
• Descifre el tráfico de forma selectiva; por ejemplo, puede excluir del descifrado el tráfico de sitios
financieros o sanitarios mediante la configuración de excepciones de descifrado.
Las tres políticas de descifrado que se ofrecen en el cortafuegos, el proxy de reenvío SSL, la inspección
entrante de SSL y el proxy SSH, proporcionan métodos para detectar y examinar específicamente tráfico
saliente SSL, tráfico entrante SSL y tráfico SSH, respectivamente. Las políticas de descifrado proporcionan
los ajustes para que usted especifique qué tráfico descifrar, además puede anexar un perfil de descifrado a
una política con el objetivo de aplicar ajustes de seguridad más pormenorizados al tráfico descifrado como,
por ejemplo, para buscar certificados del servidor, modos no admitidos y fallos. Este descifrado basado
en políticas en el cortafuegos le ofrece visibilidad y controla del tráfico cifrado SSL y SSH de acuerdo con
parámetros configurables.
También puede optar por extender una configuración de descifrado en el cortafuegos para incluir el reflejo
de descifrado, lo que permite el reenvío de tráfico descifrado como texto sin cifrar a una solución externa
para su análisis y archivado.
Para controlar las CA de confianza en las que confía su cortafuegos, use la pestaña
Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Default Trusted Certificate Authorities (Entidades de certificación de
confianza predeterminadas) en la interfaz web del cortafuegos.
La siguiente tabla describe los distintos certificados que usan los cortafuegos de Palo Alto Networks para el
descifrado.
Certificado SSL de Certificados de servidores que quiere excluir del descifrado SSL. Por ejemplo,
exclusión si ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en
el descifrado SSL (por ejemplo, servicios web de sus sistemas de RR.'A0;HH.),
importe los correspondientes certificados en el cortafuegos y configúrelos
como certificados SSL de exclusión. Consulte Exclusión de un servidor del
descifrado.
inspección de SSL Certificado que se usa para descifrar el tráfico SSL entrante para su
entrante inspección y la aplicación de políticas. Para esta aplicación, debe importar
los certificados de servidor y las claves privadas para los servidores a los que
realiza una inspección de entrada SSL. Para mayor seguridad, almacene las
claves privadas en un HSM (consulte Almacenamiento de claves privadas en
un HSM).
Proxy Ssh
El proxy SSH permite que el cortafuegos descifre las conexiones de SSH entrantes y salientes que lo
atraviesan para asegurar que el SSH no se use para encubrir aplicaciones y contenido no deseado. El
descifrado SSH no requiere ningún certificado, y la clave que se usa para el descifrado SSH se genera
automáticamente al iniciar el cortafuegos. Durante el proceso de inicio, el cortafuegos comprueba si ya
existe una clave. De lo contrario, se genera una clave. Esta clave se usa para descifrar las sesiones SSH de
todos los sistemas virtuales configurados en el cortafuegos. La misma clave se usa para descifrar todas las
sesiones SSH v2.
En una configuración Proxy SSH, el cortafuegos se encuentra entre un cliente y un servidor. Cuando el
cliente inicia una solicitud SSH al servidor, el cortafuegos intercepta la solicitud la reenvía al servidor. A
continuación, el cortafuegos intercepta la respuesta del servidor y la reenvía al cliente, estableciendo un
túnel SSH entre el cortafuegos y el cliente y un túnel SSH entre el cortafuegos y el servidor, por lo que el
cortafuegos funciona como proxy. A medida que el tráfico fluye entre el cliente y el servidor, el cortafuegos
puede distinguir si el tráfico SSH se enruta normalmente o si usa un túnel SSH (reenvío de puertos). La
inspección de contenido y amenazas no se realizan en los túneles SSH; sin embargo, si el cortafuegos
identifica túneles SSH, el tráfico en el túnel SSH se bloqueará y restringirá de acuerdo con las políticas de
seguridad configuradas.
La siguiente figura muestra cómo funciona el cifrado de proxy SSH. Consulte la Configuración de proxy SSH
para obtener información detallada sobre cómo habilitar el cifrado de proxy SSH.
El descifrado para sitios web y aplicaciones que utiliza certificados de ECC no admite tráfico
que se refleja hacia el cortafuegos; el tráfico cifrado que utiliza certificados de ECC debe
pasar mediante el cortafuegos directamente para que este lo descifre.
No puede utilizar un módulo de seguridad de hardware (hardware security module, HSM)
para almacenar las claves privadas asociadas a los certificados de ECDSA.
STEP 2 | (Opcional) Permita que la regla del perfil sea de Shared (Uso compartido) en cada sistema virtual
de un cortafuegos o cada grupo de dispositivos de Panorama.
STEP 3 | (Reflejo de descifrado únicamente) Habilite una interfaz Ethernet que el cortafuegos pueda utilizar
para copiar y reenviar el tráfico descifrado.
Independientemente de esta tarea, siga los pasos para realizar la Configuración del reflejo del puerto de
descifrado. El reflejo del puerto de descifrado requiere una licencia de reflejo del puerto de descifrado.
STEP 5 | (Opcional) Bloquee y controle el tráfico (por ejemplo, una categoría URL) para la cual tenga el
descifrado deshabilitado.
Seleccione No Decryption (Sin descifrado) y configure los ajustes para validar los certificados para el
tráfico que se excluye del descifrado.
Estos ajustes están activos únicamente cuando el perfil de descifrado se adjunta a una regla de política
de descifrado que deshabilita el descifrado para cierto tráfico.
STEP 7 | Añada la regla del perfil de descifrado a una regla de política de descifrado.
El tráfico que coincide con las reglas de la política se aplica en función de la configuración adicional que
definió en el perfil de descifrado.
1. Seleccione Policies (Políticas) > Decryption (Descifrado) y realice la Creación de una regla de política
de descifrado o modifique una regla existente.
2. Seleccione Options (Opciones)y seleccione un Decryption Profile (Perfil de descifrado) para bloquear
y controlar los diferentes aspectos del tráfico que coincide con la regla.
Los ajustes de la regla del perfil que se aplican al tráfico coincidente dependen de la acción de la regla
de política (descifrar o no descifrar) y al tipo de la regla de política (proxy de reenvío SSL, inspección
entrante SSL o proxy SSH). Esto le permite usar el perfil de descifrado por defecto, el perfil de
descifrado estándar personalizado para su organización, con diferentes tipos de reglas de política de
descifrado.
3. Haga clic en OK (Aceptar).
STEP 2 | Configure la regla de descifrado para que coincida con el tráfico en función de la red y los
objetos de política:
• Firewall security zones: seleccione Source (Origen) y/o Destination (Destino) y busque el tráfico en
función de la Source Zone (Zona de origen) y/o la Destination Zone (Zona de destino).
• IP addresses, address objects, and/or address groups (Direcciones IP, objetos de dirección o grupos
de direcciones): seleccione Source (Origen) o Destination (Destino) para buscar el tráfico en función
de la Source Address (Dirección de origen) o la Destination Address (Dirección de destino). O bien,
seleccione Negate (Negar) para excluir la lista de direcciones de origen del descifrado.
• Users (Usuarios): seleccione Source (Origen) y configure el Source User (Usuario de origen) para
el cual se debe descifrar el tráfico. Puede descifrar el tráfico de un usuario o grupo específico, o
descifrar el tráfico de ciertos tipos de usuarios, tal como usuarios desconocidos o usuarios previo al
inicio de sesión (usuarios que se conectaron a GlobalProtect pero que aún no iniciaron sesión).
• Ports and protocols (Puertos y protocolos): seleccione Service/URL Category (Categoría de URL/
servicio) para configurar la regla de buscar el tráfico en función del servicio. Por defecto, la regla
de política se configura para descifrar todo el tráfico en los puertos TCP y UDP. Puede añadir un
servicio o grupo de servicios y, opcionalmente, configurar la regla en application-default (aplicación-
predeterminada) para que coincida únicamente con los puertos predeterminados de la aplicación.
• URLs and URL categories (URL y categorías de URL): seleccione Service/URL Category (Categoría de
URL/servicio) y descifre el tráfico en función de:
• Una lista de URL en host externo que el cortafuegos recupera para la aplicación de la política
(consulte Objects [Objetos] > External Dynamic Lists [Listas dinámicas externas]).
• Categorías de URL personalizadas (consulte Objects [Objetos] > Custom Objects [Objetos
personalizados] > URL Category [Categoría de URL]).
• Categorías de URL de Palo Alto Networks. Esta opción es útil para las Exclusiones de descifrado.
Por ejemplo, puede crear una categoría de URL personalizada para agrupar sitios que no desea
descifrar, o podría excluir del descifrado los sitios financieros o relacionados con la salud en
función de las categorías de URL de Palo Alto Networks.
STEP 3 | Configure la regla de modo que descifre el tráfico coincidente o excluya el tráfico coincidente
del descifrado.
Seleccione Options (Opciones) y configure la Action (Acción) de la regla de política:
Para descifrar el tráfico coincidente:
1. Configure Action (Acción) en Decrypt (Descifrado).
2. Configure el Type (Tipo) de descifrado que realizará el cortafuegos en el tráfico coincidente:
• Proxy Ssl de reenvío
• Proxy Ssh
• Inspección entrante de SSL. Si desea habilitar la inspección entrante de SSL, seleccione también el
Certificate (Certificado) para el servidor interno de destino del tráfico entrante de SSL.
Para excluir del descifrado el tráfico coincidente:
STEP 4 | (Opcional) Seleccione un Decryption Profile (Perfil de descifrado) para realizar comprobaciones
adicionales en el tráfico que coincide con la regla de la política.
Por ejemplo, adjunte un perfil de descifrado a una regla de la política para garantizar que los certificados
del servidor sean válidos y para bloquear sesiones utilizando protocolos o cifrado no compatible. Para
llevar a cabo la Creación de un perfil de descifrado, seleccione Objects (Objetos) > Decryption Profile
(Perfil de descifrado).
STEP 6 | Seleccione el próximo paso para habilitar completamente el cortafuegos para que descifre el
tráfico:
• Configuración del proxy SSL de reenvío
• Configuración de la inspección de entrada SSL
• Configuración del Proxy SSH
• Creación de Exclusiones de descifrado
STEP 1 | Asegúrese de que las interfaces adecuadas están configuradas como interfaces de Virtual Wire,
capa 2 o capa 3.
Visualice las interfaces configuradas en la pestaña Network (Red) > Interfaces > Ethernet. La columna
Interface Type (Tipo de interfaz) muestra si una interfaz está configurada para ser una interfaz de Virtual
Wire, Layer 2 oLayer 3. Puede seleccionar una interfaz para modificar su configuración, incluido qué tipo
de interfaz es.
STEP 2 | Configure el certificado de reenvío fiable para que el cortafuegos presente a los clientes
cuando el certificado del servidor esté firmado por una CA fiable. Puede usar un certificado
firmado por una CA empresarial o un certificado autofirmado como el certificado de reenvío
fiable.
(Recomendado) Use un certificado firmado por una CA empresarial como el certificado de reenvío fiable:
1. Genere una solicitud de firma de certificado (Certificate Signing Request, CSR) para que la CA de
empresa lo firme y valide.
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) y haga clic en Generate (Generar).
2. Introduzca un Certificate Name (Nombre de certificado), como my-fwd-proxy.
Deje Export private key (Exportar clave privada) sin seleccionar para garantizar
que la clave privada permanezca protegida en el cortafuegos.
3. Haga clic en OK (Aceptar).
3. Proporcione el archivo del certificado a su CA de empresa. Cuando reciba el certificado firmado de
CA de empresa de su CA de empresa, guárdelo para importarlo en el cortafuegos.
4. Importe el certificado firmado por la CA de empresa al cortafuegos:
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) y haga clic en Import (Importar).
2. Introduzca el Certificate Name (Nombre de certificado) pendiente de manera exacta (en este
caso, my-fwd-trust). El Certificate Name (Nombre del certificado) que introduzca debe coincidir
exactamente con el nombre del certificado pendiente a fin de que este se valide.
3. Seleccione el Certificate File (Archivo del certificado) que recibió de su CA de empresa.
4. Haga clic en OK (Aceptar). El certificado se muestra como válido con las casillas de verificación
Clave y CA seleccionadas.
5. Seleccione el certificado validado, en este caso, my-fwd-proxy, para habilitarlo como Forward Trust
Certificate (Reenviar certificado fiable) y utilizarlo para el descifrado del proxy SSL de reenvío.
6. Haga clic en OK (Aceptar) para guardar el certificado de reenvío fiable firmado por la CA de empresa.
Use un certificado autofirmado como el certificado de reenvío fiable:
1. Genere un nuevo certificado.
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificado) > Certificates
(Certificados).
2. Haga clic en Generate (Generar) en la parte inferior de la ventana.
3. Introduzca un nombre de certificado, como mi-reenvio-fiable.
4. Escriba un Common Name (Nombre común), como 192.168.2.1. Debería ser la dirección IP o el
FQDN que aparecerá en el certificado. En este caso estamos usando la IP de la interfaz fiable.
Evite usar espacios en este campo.
5. Deje en blanco el campo Signed By (Firmado por).
6. Haga clic en la casilla de verificación Certificate Authority (Autoridad del certificado) para
habilitar el cortafuegos para que emita el certificado. Al seleccionar esta casilla de verificación, se
crea una entidad de certificación (CA) en el cortafuegos que se importará a los exploradores de los
clientes, de modo que los clientes confíen en el cortafuegos como CA.
7. Seleccione Generate (Generar) el certificado.
2. Haga clic en nuevo certificado my-fwd-trust para modificarlo y habilite la opción Forward Trust
Certificate (Reenviar certificado fiable).
3. Haga clic en OK (Aceptar) para guardar el certificado de reenvío fiable autofirmado.
STEP 3 | Distribuya el certificado de reenvío fiable a los almacenes de certificados del sistema cliente.
Si no instala el certificado de reenvío fiable en los sistemas cliente, los usuarios verán
advertencias de certificación en cada sitio SSL que visiten.
Esta opción es compatible con las versiones de SO cliente de Windows y Mac, y requiere
la instalación del agente GlobalProtect 3.0.0 o posterior en los sistemas cliente.
1. Seleccione Network (Red) > GlobalProtect > Portals (Portales) y luego seleccione una configuración
de portal existente o seleccione Add (Añadir) para añadir una nueva.
2. Seleccione Agent (Agente) y luego seleccione una configuración de agente existente o seleccione
Add (Añadir) para añadir una nueva.
3. Seleccione Add (Añadir) para añadir el certificado de reenvío fiable de proxy de reenvío SSL a la
sección de CA raíz de confianza.
4. Seleccione Install in Local Root Certificate Store (Instalar en el almacén de certificados raíz locales)
para que el portal de GlobalProtect distribuya automáticamente el certificado y lo instale en el
almacén de certificados en los sistemas cliente de GlobalProtect.
5. Haga clic en OK (Aceptar) dos veces.
Sin GlobalProtect:
Exporte el certificado fiable de reenvío para importarlo en sistemas cliente resaltando el certificado y
haciendo clic en Export (Exportar) en la parte inferior de la ventana. Elija el formato PEM y no seleccione
la opción Export private key (Exportar clave privada). Impórtelo a la lista de CA raíz de confianza del
explorador de los sistemas cliente para que los clientes confíen en él. Al importar en el explorador del
cliente, asegúrese de que el certificado se añade al almacén de certificados de entidades de certificación
raíz de confianza. En sistemas Windows, la ubicación de importación predeterminada es el almacén
de certificados personales. También puede simplificar este proceso utilizando una implementación
centralizada, como un objeto de directiva de grupo (GPO) de Active Directory.
STEP 6 | Cree una regla de política de descifrado para definir el tráfico que el cortafuegos descifrará.
1. Seleccione Policies (Políticas) > Decryption (Descifrado), añada o modifique una regla existente y
defina el tráfico que debe descifrarse.
2. Seleccione Options (Opciones) y:
• Configure la Action (Acción) de la regla en Decrypt (Descifrar) para descifrar el tráfico
coincidente.
• Configure el Type (Tipo) de regla en SSL Forward Proxy (Proxy de reenvío SSL).
• (Opcional) Seleccione un Decryption Profile (Perfil de descifrado) para bloquear y controlar
diferentes aspectos del tráfico descifrado (por ejemplo, cree un perfil de descifrado para realizar
comprobaciones de certificados y aplicar sólidos conjuntos de cifras y versiones de protocolo).
3. Haga clic en OK (Aceptar) para guardar.
STEP 7 | Habilite el cortafuegos para que envíe tráfico descifrado SSL para el análisis de WildFire.
Esta opción requiere una licencia WildFire activa y es una práctica recomendad de
WildFire.
STEP 1 | Asegúrese de que las interfaces adecuadas estén configuradas como interfaces de modo tap,
cable virtual, capa 2 o capa 3.
No puede utilizar una interfaz de modo tap en la inspección entrante de SSL si el cifrado
negociado incluye algoritmos de intercambio de claves PFS (DHE y ECDHE).
Visualice las interfaces configuradas en las pestañas Network (Red) > Interfaces > Ethernet. La columna
Interface Type (Tipo de interfaz) muestra si una interfaz está configurada para ser una interfaz de Virtual
Wire, Layer 2 oLayer 3. Puede seleccionar una interfaz y modificar su configuración, incluido qué tipo de
interfaz es.
STEP 2 | Asegúrese de que el certificado del servidor de destino esté instalado en el cortafuegos.
En la interfaz web, seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates > Device Certificates (Certificados de dispositivos) para ver los certificados instalados en el
cortafuegos.
Para importar el certificado del servidor de destino en el cortafuegos:
1. En la pestaña Device Certificates (Certificados de dispositivos), seleccione Import (Importar).
2. Introduzca un Certificate Name (Nombre de certificado ) descriptivo.
3. Busque y seleccione el Certificate File (Archivo del certificado) del servidor de destino.
4. Haga clic en OK (Aceptar).
STEP 3 | Lleve a cabo la Creación de una regla de la política de descifrado para definir el tráfico que el
cortafuegos debe descifrar.
1. Seleccione Policies (Políticas) > Decryption (Descifrado), añada o modifique una regla existente, y
defina el tráfico que se descifrará.
2. Seleccione Options (Opciones) y:
• Configure la Action (Acción) de la regla en Decrypt (Descifrar) para descifrar el tráfico
coincidente.
• Configure el Type (Tipo) de regla en SSL Inbound Inspection (Inspección de entrada SSL).
• Seleccione el Certificate (Certificado) para el servidor interno que es el destino del tráfico SSL
entrante.
• (Opcional) Seleccione un Decryption Profile (Perfil de descifrado) para bloquear y controlar
diferentes aspectos del tráfico descifrado (por ejemplo, la Creación de un perfil de descifrado para
finalizar sesiones si los recursos del sistema no están disponibles para el descifrado del proceso).
3. Haga clic en OK (Aceptar) para guardar.
STEP 1 | Asegúrese de que las interfaces adecuadas están configuradas como interfaces de Virtual Wire,
capa 2 o capa 3. El descifrado solo se puede realizar en Virtual Wire, interfaces de capa 2 o
capa 3.
Visualice las interfaces configuradas en las pestañas Network (Red) > Interfaces > Ethernet. La columna
Interface Type (Tipo de interfaz) muestra si una interfaz está configurada para ser una interfaz de Virtual
Wire, Layer 2 oLayer 3. Puede seleccionar una interfaz para modificar su configuración, incluido qué tipo
de interfaz es.
STEP 2 | Lleve a cabo la Creación de una regla de la política de descifrado para definir el tráfico que el
cortafuegos debe descifrar.
1. Seleccione Policies (Políticas) > Decryption (Descifrado), añada o modifique una regla existente, y
defina el tráfico que se descifrará.
2. Seleccione Options (Opciones) y:
• Configure la Action (Acción) de la regla en Decrypt (Descifrar) para descifrar el tráfico
coincidente.
• Configure el Type (Tipo) de regla en SSL Proxy.
• (Opcional) Seleccione un Decryption Profile (Perfil de descifrado) para bloquear y controlar
diferentes aspectos del tráfico descifrado (por ejemplo, la Creación de un perfil de descifrado para
finalizar sesiones si los recursos del sistema no están disponibles para el descifrado del proceso).
3. Haga clic en OK (Aceptar) para guardar.
STEP 4 | (Opcional) Continúe con las Exclusiones de descifrado para deshabilitar el descifrado de
diferentes tipos de tráfico.
STEP 1 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > SSL
Decryption Exclusions (Exclusiones de descifrado SSL).
STEP 2 | Haga clic en Add (Añadir) para añadir una nueva exclusión de descifrado, o seleccione una
entrada personalizada existente para modificarla.
STEP 3 | Introduzca el hostname (nombre de host) del sitio web o la aplicación que desea excluir del
descifrado.
Para excluir del descifrado todos los nombres de host asociados a un determinado dominio, puede
utilizar un asterisco de comodín (*). En este caso, todas las sesiones en las que el servidor presente un
CN que contenga el dominio se excluyen del descifrado.
Asegúrese de que el campo del nombre de host sea único para cada entrada personalizada. Si una
exclusión predefinida coincide con una entrada personalizada, la entrada personalizada tiene prioridad.
STEP 4 | (Opcional) Seleccione Shared (Uso compartido) para compartir una exclusión en todos los
sistemas virtuales en un cortafuegos de sistema virtual múltiple.
STEP 5 | Haga clic en Exclude (Excluir) para excluir la aplicación del descifrado. De manera alternativa,
si modifica una exclusión de descifrado existente, puede desmarcar esta casilla de verificación
para comenzar a descifrar una entrada que, previamente, se excluía del descifrado.
STEP 3 | Compruebe que la página de exclusión aparece cuando intenta desplazarse a un sitio.
STEP 1 | Solicite una licencia para cada cortafuegos en el que desee habilitar el reflejo del puerto de
descifrado.
1. Inicie sesión en el sitio web de Asistencia técnica de Palo Alto Networks y desplácese a la pestaña
Assets (Activos).
2. Seleccione la entrada para el cortafuegos para el que desea obtener una licencia y seleccione Actions.
3. Seleccione Decryption Port Mirror (Reflejo de puerto de descifrado). Aparecerá un aviso legal.
4. Si está de acuerdo con los requisitos y las posibles implicaciones legales, haga clic en I understand
and wish to proceed (Comprendo las condiciones y deseo continuar).
5. Haga clic en Activate (Activar).
4. Reinicie el cortafuegos (Device [Dispositivo] > Setup [Configuración] > Operations [Operaciones]).
Esta función no estará disponible para su configuración hasta que no vuelva a cargarse PAN-OS.
STEP 4 | Habilite una interfaz Ethernet que se usará para el reflejo de descifrado.
1. Seleccione Network (Red) > Interfaces (Interfaces) > Ethernet.
2. Seleccione la interfaz Ethernet que quiera configurar para el reflejo del puerto de descifrado.
3. Seleccione Reflejo de descifrado como el Tipo de interfaz.
Este tipo de interfaz solo aparece si la licencia de Reflejo de puerto de descifrado está instalada.
4. Haga clic en OK (Aceptar) para guardar.
STEP 6 | Adjunte la regla de perfiles de descifrado (con el reflejo de puerto de descifrado habilitado) a
una regla de políticas de descifrado. Se reflejará todo el tráfico descifrado en función de la regla
de políticas.
1. Seleccione Policies (Políticas) > Decryption (Descifrado).
2. Haga clic en Añadir para configurar una política de descifrado o seleccione una política de descifrado
existente para editarla.
3. En la pestaña Options (Opciones), seleccione Decrypt (Descifrado) y el Decryption Profile (Perfil de
descifrado) creado en el paso 4.
4. Haga clic en OK (Aceptar) para guardar la política.
627
628 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Filtrado de URL
© 2017 Palo Alto Networks, Inc.
Descripción general del filtrado de URL
La solución de filtrado de URL de Palo Alto Networks complementa App-ID, ya que le permite configurar el
cortafuegos para identificar y controlar el acceso al tráfico web (HTTP y HTTPS), y para proteger su red de
los ataques.
Con el filtrado de URL habilitado, todo el tráfico web se compara con la base de datos de filtrado de URL,
que contiene una lista de millones de sitios web que se han clasificado en categorías. Puede utilizar estas
categorías de URL como criterios de coincidencia para aplicar una política de seguridad y para habilitar con
seguridad el acceso web y el control del tráfico que atraviesa su red. También puede utilizar el filtrado de
URL para aplicar una configuración de búsqueda segura para sus usuarios y para garantizar la Prevención de
phishing de credenciales en función de la categoría de URL.
Aunque la solución de filtrado de URL de Palo Alto Networks admite tanto BrightCloud como PAN-DB, solo
la solución de filtrado de URL PAN-DB URL Filtering le permite escoger entre la nube pública de PAN-DB
y la nube privada de PAN-DB. Use la solución de nube pública si los cortafuegos de nueva generación de
Palo Alto Networks de su red pueden acceder directamente a Internet. Si los requisitos de seguridad de red
de su empresa prohíben que los cortafuegos accedan directamente a Internet, puede implementar una nube
privada de PAN-DB en uno o más dispositivos M-500 que funcionen como servidores de PAN-DB en su
red.
• Proveedores de filtrado de URL
• Interacción entre App-ID y categorías de URL
• Nube privada de PAN-DB
Los cortafuegos que ejecuten PAN-OS 5.0 o versiones posteriores pueden comunicarse con
la nube privada de PAN-DB.
Cuando realice la Configuración de la nube privada de PAN-DB on page 679, puede configurar el
dispositivo M-500 para tener acceso directo a internet o mantenerlo completamente fuera de línea. Dado
que el dispositivo M-500 requiere actualizaciones de base de datos y contenido para realizar búsquedas
de URL, si el dispositivo no tiene una conexión activa a Internet, deberá descargar manualmente las
actualizaciones en un servidor de su red e importar las actualizaciones utilizando SCP en cada dispositivo
M-500 de la nube privada de PAN-DB. Además, los dispositivos deben poder obtener la base de datos de
valores de inicialización y cualquier otra actualización de contenido normal o crítica de los cortafuegos a los
que atiende.
Para autenticar los cortafuegos que conectan con la nube privada de PAN-DB, un conjunto de certificados
de servidor predeterminado se empaquetan con el dispositivo; no puede importar ni usar otro certificado de
servidor para autenticar los cortafuegos. Si cambia el nombre de host del dispositivo M-500, el dispositivo
genera automáticamente un nuevo conjunto de certificados para autenticar los cortafuegos.
• Dispositivo M-500 para la nube privada de PAN-DB on page 631
• Table 3: Diferencias entre la nube pública de PAN-DB y la nube privada de PAN-DB on page 631
Categorías de URL
Cada sitio web definido en la base de datos de filtrado de URL tiene asignada una categoría de URL. A
continuación se ilustran algunas maneras de aprovechar las categorías de URL:
• Bloquear o permitir el tráfico según la categoría de URL: puede crear un perfil de filtrado de URL que
especifique una acción para cada categoría de URL y adjuntar el perfil a una política. El tráfico que
coincida con política dependería de la configuración del filtrado de URL en el perfil. Por ejemplo, para
bloquear todos los sitios web de juego, debe establecer la acción de bloqueo para la categoría de URL
juegos en el perfil de URL y adjuntarla a las reglas de política de seguridad que permiten el acceso web.
Consulte Configuración de filtrado de URL para obtener más información.
• Aplicar política según la categoría URL: si desea que una regla de una política específica se aplique
solamente al tráfico web de los sitios de una categoría específica, use la categoría URL como criterio
de coincidencia al crear la regla de la política. Por ejemplo, puede usar la categoría de URL aplicaciones
de transmisión multimedia en una política de QoS para aplicar controles de ancho de banda a todos los
sitios web categorizados como aplicaciones de transmisión multimedia. Consulte Categoría URL como
criterios de coincidencia de política para obtener más información.
• Bloquear o permitir los envíos de credenciales corporativas según la categoría de URL: prevenga
el phishing de identidades al habilitar el cortafuegos para que detecte los envíos de credenciales
corporativas a los sitios y luego bloquee o permita dichos envíos según la categoría de URL. Bloquee a
los usuarios para el envío de credenciales a sitios malintencionados y no fiables, advierta a los usuarios
sobre el ingrese de credenciales corporativas en sitios desconocidos o advierta contra la reutilización de
credenciales corporativas en sitios no corporativos, y permita explícitamente a los usuarios que envíen
credenciales a sitios corporativos y aprobados.
Al agrupar sitios web en categorías, resulta más fácil definir acciones basándose en determinados tipos de
sitios web. Además de las categorías de URL estándar, hay tres categorías adicionales:
Categoría Descripción
private-ip-addresses Indica que el sitio web es un único dominio (no tiene subdominios), la
dirección IP está en el intervalo de IP privadas o el dominio raíz de la URL es
desconocido para la nube.
Obtenga más información sobre cómo configurar un perfil de filtrado de URL recomendado
para garantizar protección contra las URL que se observó que alojan malware o contenido
de exploits.
Acción Descripción
Acceso a sitio
alert (alertar) El sitio web está permitido y se genera una entrada de log en el log de filtrado
de URL.
allow (permitir) El sitio web está permitido y no se genera ninguna entrada de log.
block (bloquear) El sitio web está bloqueado y el usuario verá una página de respuesta y no
podrá ir al sitio web. Se generará una entrada de log en el log de filtrado de
URL.
El bloqueo del acceso a un sitio para una categoría de URL también establece
el bloqueo del envío de credenciales de usuario para esa categoría de URL.
continue (continuar) El usuario recibirá una página de respuesta indicando que el sitio se ha
bloqueado debido a la política de la empresa, pero se le dará la opción de ir
al sitio web. La acción continue (continuar) se suele usar para categorías que
se consideran inofensivas y se usa para mejorar la experiencia del usuario
mediante la posibilidad de continuar si considera que el sitio se ha categorizado
incorrectamente. El mensaje de la página de respuesta se puede personalizar
para incluir información detallada específica de su empresa. Se generará una
entrada de log en el log de filtrado de URL.
override (cancelar) El usuario verá una página de respuesta indicando que se requiere una
contraseña para permitir el acceso a los sitios web de la categoría en cuestión.
Con esta opción, el administrador de seguridad o el miembro del departamento
de soporte técnico proporcionaría una contraseña que concedería un acceso
temporal a todos los sitios web de la categoría en cuestión. Se generará una
entrada de log en el log de filtrado de URL. Configure la Habilitación del acceso
a determinados sitios mediante contraseña.
none (ninguno) La acción none (ninguno) solo se aplica a las categorías de URL personalizadas.
Seleccione none (ninguno) para asegurarse de que si existen varios perfiles
de URL, la categoría personalizada no tendrá ningún efecto en otros perfiles.
Por ejemplo, si tiene dos perfiles URL y la categoría URL personalizada está
configurada como block (bloquear) en un perfil, si no desea que la acción de
bloquear se aplique al otro perfil, debe configurar la acción en none (ninguno).
Además, para eliminar una categoría de URL personalizada, se debe establecer
en none (ninguno) en cualquier perfil en el que se use.
alert (alertar) Permita a los usuarios que envíen credenciales corporativas a los sitios de esta
categoría de URL, pero genere un log de alerta de filtrado URL cada vez que
esto ocurra.
Permitir (opción Permita a los usuarios que envíen credenciales corporativas a los sitios web de
predeterminada) esta categoría de URL.
block (bloquear) Bloquee a los usuarios para que no envíen credenciales corporativas a los sitios
web de esta categoría. La página de respuesta antiphishing predeterminada se
muestra a los usuarios cuando acceden a sitios para los cuales los envíos de
credenciales corporativas están bloqueados. Puede optar por crear una página
de bloqueo personalizada para mostrar.
continue (continuar) Muestra una página de respuesta a los usuarios que solicita que seleccionen
Continue (Continuar) para acceder al sitio. De manera predeterminada, la
página de continuar para la prevención del phishing se muestra a los usuarios
cuando estos ingresan en los sitios para los cuales no se recomienda el envío
de credenciales. También puede optar por crear una página de respuesta
predeterminada para mostrar, por ejemplo, si desea advertir a los usuarios
contra los intentos de phishing o la reutilización de credenciales en otros sitios
web.
Páginas contenedoras
Una página contenedora es la página principal a la que accede un usuario al visitar un sitio web, pero se
pueden cargar sitios web adicionales dentro de la página principal. Si se habilita la opción Log Container
page only (Página de contenedor de log únicamente) en el perfil de filtrado de URL, solamente se
registrará la página de contenedor principal y no las páginas posteriores que puedan cargarse en la página
de contenedor. Dado que el filtrado de URL potencialmente puede generar muchas entradas de log,
puede que quiera activar esta opción; de este modo, las entradas de log solamente incluirán esos URI
cuando el nombre de archivo de la página solicitada coincida con los tipos MIME específicos. El conjunto
predeterminado incluye los siguientes tipos MIME:
• application/pdf
• application/soap+xml
• application/xhtml+xml
• text/html
• text/plain
• text/xml
Atributo Descripción
Agente de usuario Explorador web que usa el usuario para acceder a la dirección URL
(por ejemplo, Internet Explorer). Esta información se envía en la
solicitud de HTTP al servidor.
Sitio de referencia Dirección URL de la página web que dirige al usuario a otra página
web. Se trata del origen que redirige (remite) al usuario a la página
web que se está solicitando.
X-Forwarded-For (xff) Opción del campo de encabezado de solicitud HTTP que conserva
la dirección IP del usuario que ha solicitado la página web. Si
tiene un servidor proxy en la red, el XFF le permite identificar la
dirección IP del usuario que solicitó el contenido, en lugar de solo
registrar la dirección IP del servidor proxy como dirección IP de
origen que solicitó la página web.
Variable Uso
Además, puede añadir código que active el cortafuegos para mostrar el uso de distintos mensajes según
la categoría de URL a la que el usuario está intentando acceder. Por ejemplo, el siguiente fragmento de
código de una página de respuesta especifica que se muestre el mensaje 1 si la categoría de URL es games,
el mensaje 2 si la categoría es travel o el mensaje 3 si la categoría es kids:
Imagen
<img src="http://virginiadot.org/images/Stop-Sign-
gif.gif">
Sonido
<embed src="http://simplythebest.net/sounds/WAV/
WAV_files/ movie_WAV_files/ do_not_go.wav" volume="100"
hidden="true" autostart="true">
Hoja de estilos
<link href="http://example.com/style.css"
rel="stylesheet" type="text/css" />
Hiperenlace
<a href="http://en.wikipedia.org/wiki/
Acceptable_use_policy">View Corporate
Policy</a>
Autenticación Para garantizar que los usuarios están autenticados antes de permitirles el
acceso a una categoría específica, puede adjuntar una categoría de URL como
criterio de coincidencia para las reglas de la política de autenticación.
Descifrado Las políticas de descifrado pueden usar categorías de URL como criterios
de coincidencia para determinar si los sitios web especificados deberían
descifrarse o no. Por ejemplo, si tiene una política de descifrado con la acción
Descifrar para todo el tráfico entre dos zonas, puede haber categorías de
sitios web específicas, como servicios financieros y/o salud y medicina,
Políticas de calidad del Las políticas de QoS pueden utilizar categorías de URL para asignar los niveles
servicio (QoS) de rendimiento de categorías específicas de sitios web. Por ejemplo, puede que
quiera permitir la categoría aplicaciones de transmisión multimedia y al mismo
tiempo limitar el rendimiento añadiendo la categoría de URL como criterio de
coincidencia a la política de QoS.
Seguridad En las políticas de seguridad, puede utilizar categorías de URL como criterios
de coincidencia en la pestaña Service/URL Category (Servicio/Categoría de
URL) y en los perfiles de filtrado de URL que se incluyen en la pestaña Actions
(Acciones).
Si, por ejemplo, el grupo de seguridad de TI de su empresa necesita acceder
a la categoría hacking, mientras a todos los demás usuarios se les deniega el
acceso a la categoría, deberá crear las siguientes reglas:
• Una regla de la política de seguridad que permita que el grupo seguridad de
TI acceda al contenido categorizado como hacking. La regla de la política
de seguridad hace referencia a la categoría hacking de la pestaña Services/
URL Category (Servicio/Categoría de URL) y el grupo de seguridad de TI en
la pestaña Users (Usuarios).
• Otra regla de la política de seguridad que permita acceso web general a
todos los usuarios. Para esta regla, adjunte un perfil de filtrado de URL que
bloquea la categoría hacking.
La política que permite el acceso al hacking deberá indicarse antes de la política
que bloquea el hacking. Esto se debe a que las reglas de políticas de seguridad
se evalúan de arriba a abajo, de modo que cuando un usuario que forme parte
del grupo de seguridad intente acceder a un sitio de hacking, la regla de política
que permite el acceso se evalúa en primer lugar, y después permite que el
usuario acceda a los sitios de hacking. Los usuarios de todos los demás grupos
se evalúan con respecto a la regla de acceso web general que bloquea el
acceso a los sitios de hacking.
Si la URL solicitada coincide con una entrada caducada de la caché de URL del plano de datos (dataplane,
DP), la caché responderá con la categoría caducada, pero también enviará una consulta de categorización de
URL a la caché del plano de gestión (management plane, MP). Esto evita retrasos innecesarios en el plano
de datos, suponiendo que la frecuencia de cambio de categorías sea baja. De manera similar, en la caché
de URL del plano de gestión, si una consulta de URL del plano de datos coincide con una entrada caducada
del plano de gestión, el plano de gestión responderá al plano de datos con la categoría caducada y también
enviará una solicitud de categorización de URL al servicio de la nube de PAN-DB. Al obtener la respuesta de
la nube, el cortafuegos enviará la categoría actualizada al plano de datos.
A medida que se definan nuevas URL y categorías, o si se necesitan actualizaciones clave, la base de datos
de la nube se actualizará. Cada vez que el cortafuegos consulte a la nube con una búsqueda de URL o si no
se producen búsquedas en la nube durante 30 minutos, las versiones de la base de datos del cortafuegos se
compararán y, si no coinciden, se realizará una actualización progresiva.
La tabla siguiente describe los componentes de PAN-DB de manera detallada. El sistema BrightCloud
funciona de manera similar, pero no utiliza una base de datos de envíos iniciales.
Componente DESCRIPTION
Caché de URL del plano Cuando se activa PAN-DB en el cortafuegos, el cortafuegos descarga una
de gestión (MP) base de datos de valores de inicialización de uno de los servidores de la nube
de PAN-DB para cumplimentar inicialmente la caché local; esto se hace
para mejorar el rendimiento de búsqueda. Cada base de datos de valores de
inicialización regional contiene las principales URL de la región. Asimismo, el
tamaño de la base de datos de valores de inicialización (número de entradas
de URL) también depende de la plataforma del dispositivo. La caché de
URL del plano de gestión se escribe automáticamente en la unidad local del
cortafuegos cada ocho horas, antes de que se reinicie el cortafuegos o cuando
la nube actualiza la versión de la base de datos de URL en el cortafuegos.
Después de reiniciar el cortafuegos, el archivo que se guardó en la unidad
local se cargará en la caché del plano de gestión. También se implementa el
mecanismo de usados menos recientemente (LRU) en la caché de URL del
plano de gestión en el caso de que la caché esté llena. Si la caché se llena, las
URL a las que se ha accedido menos se sustituirán por las URL más recientes.
Caché de URL del plano Se trata de un subconjunto de la caché del plano de gestión. Es una base de
de datos (DP) datos de URL dinámica personalizada que se almacena en el plano de datos
(DP) y se usa para mejorar el rendimiento de búsqueda de URL. La caché
de URL del plano de datos se borra tras cada reinicio del cortafuegos. El
número de URL que se almacenan en la caché de URL del plano de datos varía
Si tiene licencias válidas para PAN-DB y BrightCloud, la activación de la licencia de PAN-DB desactiva
automáticamente la licencia de BrightCloud (y viceversa). No puede haber más de una licencia de filtrado de
URL activa en un cortafuegos a la vez.
• Habilitación de PAN-DB URL Filtering
• Habilitación del filtrado de URL de BrightCloud
1. Seleccione Device (Dispositivo) > Licenses (Licencias) y, en la sección License Management (Gestión
de licencias), seleccione el método de instalación de la licencia:
• Retrieve license keys from license server (Recuperar claves de licencia del servidor de licencias)
• Activate feature using authorization code (Activar característica mediante código de
autorización)
• Manually upload license key (Clave de licencia de carga manual)
2. Después de instalar la licencia, confirme si en la sección PAN-DB URL Filtering, en el campo Date
Expires (Fecha de caducidad), se muestra una fecha válida.
STEP 2 | Descargue la base de datos de envíos iniciales y active el filtrado de URL de PAN-DB.
El cortafuegos debe tener acceso a Internet y no puede cargar manualmente las de datos
de valores de inicialización de PAN-DB.
Las actualizaciones de aplicaciones y amenazas pueden incluir actualizaciones para el filtrado de URL
en relación con la opción Safe Search Enforcement (Aplicación de búsquedas seguras).
STEP 3 | Habilite las búsquedas en la nube para categorizar dinámicamente una dirección URL si la
categoría no está disponible en la base de datos de BrightCloud local.
1. Acceda a la CLI de PAN-OS.
2. Introduzca los siguientes comandos para activar el filtrado de URL dinámica.
> configure
# set deviceconfig setting url dynamic-url yes
# commit
STEP 4 | Programe el cortafuegos para descargar actualizaciones dinámicas para firmas de aplicaciones y
amenazas y filtrado de URL.
Solo puede programar actualizaciones dinámicas si el cortafuegos tiene acceso directo a Internet.
Las actualizaciones de Aplicaciones y amenazas pueden incluir actualizaciones para el filtrado de URL
en relación con la opción Safe Search Enforcement (Aplicación de búsquedas seguras) en el perfil de
filtrado de URL. Por ejemplo, si Palo Alto Networks añade la compatibilidad con un nuevo proveedor
de búsquedas o si cambia el método usado para detectar la configuración de búsqueda segura de un
proveedor existente, la actualización se incluirá en las actualizaciones de Aplicaciones y amenazas.
STEP 2 | Configure la acción para todas las categorías como alert (alertar), excepto para las categorías
propensas a las amenazas, que deberían permanecer bloqueadas.
1. En la sección en la que se incluyen todas las categorías de URL, seleccione todas las categorías.
2. A la derecha del encabezado de la columna Acción, pase el ratón por encima, seleccione la flecha
hacia abajo, a continuación, seleccione Set Selected Actions (Establecer acciones seleccionadas) y
seleccione alert (alertar).
STEP 3 | Aplique el perfil de filtrado de URL a las reglas de política de seguridad que permiten el tráfico
web para los usuarios.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione la política de seguridad
correspondiente para modificarla.
2. Seleccione la pestaña Actions (Acciones) y, en la sección Profile Setting (Ajuste de perfil), haga clic en
el menú desplegable URL Filtering (Filtrado de URL) y seleccione el nuevo perfil.
3. Haga clic en OK (Aceptar) para guardar.
STEP 5 | Visualice los logs de filtrado de URL para determinar todas las categorías de sitios web a las
que están accediendo sus usuarios. En este ejemplo, algunas categorías se establecen como
bloqueadas, de modo que dichas categorías también aparecerán en los logs.
Para obtener información sobre cómo visualizar los logs y generar informes, consulte Supervisión de la
actividad web.
Seleccione Monitor (Supervisar) > Logs (Logs) > URL Filtering (Filtrado de URL). Se creará una entrada
de log para cualquier sitio web que exista en la base de datos de filtrado de URL que esté en una
categoría establecida con una acción distinta de allow (permitir).
Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtrado de URL)
y Add (Añadir) para añadir o modificar un perfil de filtrado de URL.
STEP 3 | Configure el perfil de filtrado de URL para detectar envíos de credenciales corporativas a sitios
web que están en categorías URL permitidas.
STEP 4 | Habilite o bloquee a los usuarios para el envío de credenciales corporativas a sitios en función
de la categoría de URL para la prevención del phishing de credenciales.
1. Para cada categoría de URL a la cual se permite el acceso al sitio, seleccione cómo desea que se
manejen los envíos de credenciales de usuario:
• alert (alerta): permite que los usuarios envíen sus credenciales al sitio web, pero genera un log de
alerta de filtrado de URL cada vez que un usuario envía credenciales a sitios de esta categoría de
URL.
• allow (permitir): (predeterminado) permite que los usuarios envíen sus credenciales al sitio web.
• block (bloquear): muestra la Página de bloqueo antiphishing para bloquear a los usuarios para el
envío de credenciales al sitio web.
• continue (continuar): presente la Página de continuación antiphishing para solicitar a los usuarios
que hagan clic en Continue (Continuar) para acceder al sitio.
2. Configure el perfil de filtrado de URL para detectar envíos de credenciales corporativas a sitios web
que están en categorías URL permitidas.
STEP 5 | Defina las listas de bloqueados y permitidos para especificar los sitios web que siempre deben
bloquearse o permitirse, independientemente de la categoría de URL.
Por ejemplo, para reducir los logs de filtrado de URL, puede añadir sus sitios web corporativos a la lista
de permitidos, de modo que no se genere ningún log para estos sitios. O bien, si hay un sitio web que
STEP 7 | Registre solo Container Pages (Páginas de contenedor) para los eventos de filtrado de URL.
1. Seleccione URL Filtering Settings (Configuración de filtrado URL). La opción Log container page only
(Página de contenedor de log únicamente) está habilitada de forma predeterminada para que solo se
registre la página principal que coincide con la categoría, pero no las páginas o categorías posteriores
que puedan cargarse en la página de contenedor.
2. Para habilitar el registro de logs para todas las página o categorías, desactive la casilla de verificación
Log container page only (Página de contenedor de log únicamente).
STEP 8 | Habilite HTTP Header Logging (Registro de encabezado HHTTP) para uno o varios de los
campos de encabezado HTTP admitidos.
Seleccione URL Filtering Settings (Configuración de filtrado URL) y seleccione uno o varios de los
siguientes campos para registrar:
• User-Agent (Agente de usuario)
• Referer (Sitio de referencia)
• X-Forwarded-For (X reenviado para)
STEP 1 | Configuración del cortafuegos para acceder a una lista dinámica externa.
• Asegúrese de que la lista no incluya direcciones IP o nombres de dominio el cortafuegos omite las
entradas que no sean URL.
• Compruebe el formato de la lista (consulte Listas de bloqueados y permitidos).
• Seleccione URL List (Lista de URL) de la lista desplegable Type (Tipo).
Si una URL que está incluida en una lista dinámica externa también se incluye en una
categoría de URL personalizada o en las Listas de bloqueados y permitidos, la acción
especificada en la categoría personalizada o la lista de bloqueados y permitidos
tendrá prioridad sobre la lista dinámica externa.
5. Haga clic en OK (Aceptar).
6. Adjunte el perfil de filtrado de URL a una regla de política de seguridad.
1. Seleccione Policies (Políticas) > Security (Seguridad).
2. Seleccione la pestaña Actions (Acciones) y, en la sección Profile Setting (Ajuste de perfil),
seleccione el nuevo perfil en el menú desplegable URL Filtering (Filtrado de URL).
3. Haga clic en OK (Aceptar) y Commit (Confirmar).
Use el siguiente comando CLI en un cortafuegos para revisar los detalles de una lista.
Por ejemplo:
STEP 4 | (Solo en el modo Redirigir) Para redirigir a los usuarios de forma transparente sin mostrar
errores de certificado, instale un certificado que coincida con la dirección IP de la interfaz a la
que va a redirigir las solicitudes web para un sitio en una categoría de URL configurada para la
cancelación. Puede generar un certificado autofirmado o importar un certificado firmado por
una CA externa.
Para usar un certificado autofirmado, primero debe crear un certificado de CA raíz y, a continuación,
usar esa CA para firmar el certificado que usará para la cancelación de administrador de URL del modo
siguiente:
1. Para crear un certificado de CA raíz, seleccione Device (Dispositivo) > Certificate Management
(Gestión de certificados) > Certificates (Certificados) > Device Certificates (Certificados de
dispositivo) y luego haga clic en Generate (Generar). Introduzca un Certificate Name (Nombre de
certificado), como RootCA. No seleccione ningún valor en el campo Signed By (Firmado por) (esto
es lo que indica que está autofirmado). Asegúrese de seleccionar la casilla de verificación Certificate
Authority (Autoridad del certificado) y, a continuación, haga clic en Generate (Generar) para generar
el certificado.
2. Para crear el certificado que se usará para la cancelación de administrador de URL, haga clic en
Generate (Generar). Especifique el Certificate Name (Nombre del certificado) y el nombre de host
DNS o la dirección IP de la interfaz como el Common Name (Nombre común). En el campo Signed
By (Firmado por), seleccione la CA que creó en el paso anterior. Añada un atributo de dirección IP
y especifique la dirección IP de la interfaz de capa 3 a la que redirigirá las solicitudes web para las
categorías de URL con la acción de cancelación.
3. Seleccione Generate (Generar) el certificado.
4. Para configurar clientes para que confíen en el certificado, seleccione el certificado de CA en
la pestaña Device Certificates (Certificados de dispositivos) y haga clic en Export (Exportar). A
continuación deberá importar el certificado como una CA raíz de confianza en todos los exploradores
de cliente, ya sea configurando manualmente el explorador o añadiendo el certificado a las raíces de
confianza en un objeto de directiva de grupo (GPO) de Active Directory.
STEP 5 | Especifique qué categorías de URL requieren una contraseña de cancelación para permitir el
acceso.
1. Seleccione Objects (Objetos) > URL Filtering (Filtro URL) y seleccione un perfil de filtrado de URL
existente o seleccione Add (Añadir) para añadir uno nuevo.
2. En la pestaña Categories (Categorías), establezca la acción en override (cancelar) para cada categoría
que requiera una contraseña.
3. Complete las secciones restantes del perfil de filtrado de URL y, a continuación, haga clic en OK
(Aceptar) para guardar el perfil.
STEP 6 | Aplique el perfil de filtrado de URL a las reglas de política de seguridad que permiten el acceso
a los sitios que requieren la cancelación de la contraseña para el acceso.
STEP 2 | Añada el perfil de filtrado de URL a la regla de la política de seguridad que permite el tráfico de
clientes de la zona de confianza a Internet.
STEP 4 | (Recomendado) Bloquee el tráfico de búsqueda Bing que se ejecuta con SSL.
Dado que el motor de búsqueda SSL de Bing no cumple la configuración de búsqueda segura, para una
aplicación forzada de búsquedas completo, debe rechazar todas las sesiones de Bing que se ejecutan con
SSL.
1. Añada una categoría de URL personalizada para Bing:
1. Seleccione Objects (Objetos) > Custom Objects (Objetos personalizados) > URL Category
(Categoría de URL) y luego Add (Añadir) para añadir una categoría personalizada.
2. Introduzca un nombre en Name (Nombre) para la categoría, como EnableBingSafeSearch.
3. Seleccione Add (Añadir) para añadir lo siguiente a la lista de sitios:
www.bing.com/images/*
www.bing.com/videos/*
4. Haga clic en OK (Aceptar) para guardar el objeto de la categoría de URL personalizada.
2. Cree otro perfil de filtrado de URL para bloquear la categoría personalizada que ha creado:
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtro
URL).
2. Seleccione Add (Añadir) para añadir un perfil nuevo y asígnele un Name (Nombre) descriptivo.
3. Busque la categoría personalizada en la lista de categorías y establézcala en block (bloquear).
4. Haga clic en OK (Aceptar) para guardar el perfil de filtro de URL.
3. Añada una regla de la política de seguridad para bloquear el tráfico SSL de Bing:
1. Seleccione Policies (Políticas) > Security (Seguridad) y Add (Añadir) para añadir una regla de
política que permita el tráfico de su zona fiable a Internet.
2. En la pestaña Actions (Acciones), adjunte el perfil de filtrado de URL que acaba de crear para
bloquear la categoría de Bing personalizada.
STEP 3 | Añada el perfil de filtrado de URL a la regla de la política de seguridad que permite el tráfico de
clientes de la zona de confianza a Internet.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione una regla a la cual aplicar el perfil de
filtro URL que acaba de habilitar para el cumplimiento de la búsqueda segura.
2. En la pestaña Actions (Acciones), seleccione el perfil de URL Filtering (Filtrado de URL).
3. Haga clic en OK (Aceptar) para guardar la regla de la política de seguridad.
STEP 4 | (Recomendado) Bloquee el tráfico de búsqueda Bing que se ejecuta con SSL.
Dado que el motor de búsqueda SSL de Bing no cumple la configuración de búsqueda segura, para una
aplicación forzada de búsquedas completo, debe rechazar todas las sesiones de Bing que se ejecutan con
SSL.
1. Añada una categoría de URL personalizada para Bing:
1. Seleccione Objects (Objetos) > Custom Objects (Objetos personalizados) > URL Category
(Categoría de URL) y luego Add (Añadir) para añadir una categoría personalizada.
2. Introduzca un Name (Nombre) para la categoría, como EnableBingSafeSearch.
3. Seleccione Add (Añadir) para añadir lo siguiente a la lista de sitios:
www.bing.com/images/*
www.bing.com/videos/*
4. Haga clic en OK (Aceptar) para guardar el objeto de la categoría de URL personalizada.
2. Cree otro perfil de filtrado de URL para bloquear la categoría personalizada que ha creado:
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtro
URL).
STEP 5 | Edite la página de bloque de búsqueda segura de filtrado de URL para sustituir el código
existente por JavaScript con el fin de reescribir las URL de consulta de búsqueda para forzar la
búsqueda segura de forma transparente.
1. Seleccione Device (Dispositivo) > Response Pages (Páginas de respuesta) > URL Filtering Safe
Search Block Page (Página de bloque de búsqueda segura de filtrado de URL).
2. Seleccione Predefined (Predefinido) y, a continuación, haga clic en Export (Exportar) para guardar el
archivo localmente.
3. Use un editor HTML para sustituir todo el texto de la página de bloque existente por el siguiente
texto y, a continuación, guarde el archivo:
<html>
<head>
<title>Search Blocked</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta http-equiv="pragma" content="no-cache">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
STEP 6 | Importe la página de bloque de búsqueda segura de filtrado de URL editada en el cortafuegos.
1. Para importar la página de bloque editada, seleccione Device (Dispositivo) > Response Pages
(Páginas de respuesta) > URL Filtering Safe Search Block Page (Página de bloque de búsqueda
segura de filtrado de URL).
2. Haga clic en Import (Importar) y, a continuación, introduzca la ruta y el nombre de archivo en el
campo Import File (Importar archivo) o Browse (Examinar) para encontrar el archivo.
3. (Opcional) Seleccione el sistema virtual en el que se usará esta página de inicio de sesión en la lista
desplegable Destination (Destino) o seleccione shared (compartido) para que esté disponible para
todos los sistemas virtuales.
4. Haga clic en OK (Aceptar) para importar el archivo.
• Para obtener una vista rápida de las categorías más comunes a las que acceden los usuarios
de su entorno, seleccione los widgets de ACC. La mayoría de widgets de la pestaña Network
Activity (Actividad de red) le permiten ordenar las URL. Por ejemplo, en el widget Uso de
aplicación puede ver que la categoría de red es la categoría a la que más se accede, seguida
del túnel cifrado y ssl. También puede ver la lista de Threat Activity (Actividad de amenazas) y
Blocked Activity (Actividad bloqueada) ordenada en URL.
• En el ACC, puede pasar directamente a los logs ( ) o seleccionar Monitor (Supervisar) >
Logs > URL Filtering (Filtrado de URL).
La acción del log para cada entrada depende de la configuración de acceso al sitio que define para la
categoría correspondiente:
• También puede añadir otras columnas a su vista de log de filtrado de URL, como las zonas
de origen y destino, el tipo de contenido y si se realizó o no una captura de paquetes. Para
modificar qué columnas mostrar, haga clic en la flecha hacia abajo en cualquier columna y
seleccione el atributo que debe mostrarse.
• Para ver la información detallada completa del log y/o solicitar un cambio de categoría para la
URL específica a la que se accedió, haga clic en el icono de información detallada del log en la
primera columna del log.
STEP 3 | Vea el informe de actividad del usuario abriendo el archivo que descargó. La versión PDF
del informe muestra el usuario o el grupo en el que basó el informe, el período de tiempo del
informe y un índice:
4. (Opcional) Seleccione una opción Sort By (Ordenar por) para configurar el atributo que se utilizará
para agregar los detalles del informe. Si no selecciona un atributo según el cual ordenar, el informe
devolverá el primer número N de resultados sin ninguna agregación. Seleccione un atributo Group
By (Agrupar por) que se utilizará como delimitador para agrupar los datos. El siguiente ejemplo
muestra un informe con Group By (Agrupar por) la App Category (Categoría de aplicaciones) y Sort
By (Ordenar por) el Count (Conteo) de los Top 5 (5 principales).
El dispositivo M-500 del modo PAN-DB usa dos puertos MGT (Eth0) y Eth1; Eth2 no
se usa en el modo PAN-DB. El puerto de gestión se usa para el acceso administrativo
al dispositivo y para obtener las últimas actualizaciones de contenido desde la nube
pública de PAN-DB. Para una comunicación entre el dispositivo (servidor PAN-DB) y los
cortafuegos de la red, puede usar el puerto MGT o Eth1.
donde <server-IP> es la dirección IP que quiere asignar a la interfaz de gestión del servidor,
<netmask> es la máscara de subred, <gateway-IP> es la dirección IP de la gateway de red y <DNS-
IP> es la dirección IP del servidor DNS principal.
4. Configure los ajustes de acceso a la red, incluida la dirección IP para la interfaz Eth1:
Puede cambiar del modo Panorama al modo PAN-DB y viceversa; y del modo
Panorama al modo de recopilador de logs y viceversa. No se permite cambiar
directamente desde el modo PAN-DB al modo de recopilador de logs ni viceversa.
Cuando cambie el modo operativo, se activa un reinicio de datos. Con la excepción
de los ajustes de acceso de gestión, todos los logs y la configuración existente se
eliminarán en el reinicio.
2. Use los comandos siguientes para comprobar que el modo ha cambiado:
show pan-url-cloud-status
hostname: M-500
ip-address: 1.2.3.4
netmask: 255.255.255.0
default-gateway: 1.2.3.1
ipv6-address: unknown
ipv6-link-local-address: fe80:00/64
ipv6-default-gateway:
mac-address: 00:56:90:e7:f6:8e
time: Mon Apr 27 13:43:59 2015
uptime: 10 days, 1:51:28
family: m
model: M-500
serial: 0073010000xxx
sw-version: 7.0.0
app-version: 492-2638
app-release-date: 2015/03/19 20:05:33
av-version: 0
av-release-date: unknown
wf-private-version: 0
wf-private-release-date: unknown
logdb-version: 7.0.9
platform-family: m
pan-url-db: 20150417-220
system-mode: Pan-URL-DB
operational-mode: normal
show pan-url-cloud-status
Cloud status: Up
URL database version: 20150417-220
Seleccione uno de los siguientes métodos de instalación de las actualizaciones de contenido y base de
datos:
• Si el servidor PAN-DB tiene acceso directo a Internet, use los siguientes comandos:
1. Para comprobar si se ha publicado una nueva versión use:
request pan-url-db upgrade check
2. Para consultar qué versión tiene instalada actualmente en su servidor use:
request pan-url-db upgrade info
3. Para descargar e instalar la última versión:
• request pan-url-db upgrade download latest
• request pan-url-db upgrade install <version latest | file>
La nube privada de PAN-DB no admite el uso de VSA de RADIUS. Si los VSA empleados en el
cortafuegos o Panorama se usan para habilitar el acceso a la nube privada de PAN-DB, se producirá un
fallo de autenticación.
• Para definir un usuario administrativo local del servidor PAN-DB:
1. Configurar
2. set mgt-config users <username> permissions role-based <superreader |
superuser> yes
3. set mgt-config users <username> password
4. Enter password:xxxxx
5. Confirm password:xxxxx
6. Confirmar
• Para definir un usuario administrativo con la autenticación RADIUS:
STEP 1 | Seleccione una de las siguientes opciones en función de la versión de PAN-OS del cortafuegos.
O en la interfaz web de cada cortafuegos, seleccione Device (Dispositivo) > Setup (Configuración) >
Content-ID, edite la sección URL Filtering (Filtrado de URL) e introduzca la dirección IP o FQDN del
PAN-DB Server (Servidor PAN-DB). La lista debe estar separada por comas.
• Con los cortafuegos que ejecuten PAN-OS 5.0, 6.0 o 6.1, use el siguiente comando de la CLI para el
configurar acceso a la nube privada:
Para eliminar las entradas de los servidores de PAN-DB privados, y permitir que los
cortafuegos se conecten con la nube pública de PAN-DB, use el comando:
STEP 3 | Para verificar que el cambio es efectivo, use el siguiente comando de la CLI en el cortafuegos:
show url-cloud-status
Cloud status: Up
URL database version: 20150417-220
Estos casos de uso dependen de User-ID on page 449 para implementar políticas basadas
en usuarios y grupos, y se requiere Descifrado on page 599 para identificar y controlar los
sitios web cifrados con SSL/TLS.
STEP 2 | Confirme que User-ID funciona. User-ID es obligatorio para crear políticas basadas en usuarios
y grupos.
1. Para comprobar la asignación de grupos, desde la CLI, ingrese el siguiente comando:
show user group-mapping statistics
2. Para comprobar la asignación de usuarios, desde la CLI, ingrese el siguiente comando:
STEP 4 | Configure el perfil de filtrado de URL para que bloquee redes sociales y permita Facebook.
1. Modifique el nuevo perfil de filtrado de URL y, en la lista Category (Categoría), desplácese hasta
social-networking (redes sociales) y, en la columna Action (Acción), haga clic en Allow (Permitir) y
cambie la acción a Block (Bloquear).
2. En el cuadro Allow List (Lista de permitidas), introduzca facebook.com, pulse Intro para iniciar una
nueva línea y, a continuación, introduzca*.facebook.com. Ambos formatos son obligatorios, así
que se identificarán todas las variantes de URL que un usuario pueda utilizar, como facebook.com,
www.facebook.com y https://facebook.com.
STEP 5 | Aplique el nuevo perfil de filtrado de URL a la regla de la política de seguridad que permite el
acceso web desde la red de usuario a Internet.
1. Seleccione Policies (Políticas) > Security (Seguridad) y haga clic en la regla de la política que permite
el acceso web.
2. En la pestaña Actions (Acciones), seleccione el perfil de URL que acaba de crear en el menú
desplegable URL Filtering (Filtrado de URL).
STEP 6 | Cree la regla de política de seguridad que permitirá al departamento de marketing acceder al
sitio web de Facebook y a todas las aplicaciones de Facebook.
Esta regla debe preceder a las demás porque:
• Es una regla específica. Las reglas más específicas deben debe preceder a las demás.
• La regla permitir terminará cuando se produzca una coincidencia de tráfico.
1. Seleccione Policies (Políticas) > Security (Seguridad) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) y, opcionalmente, una Description (Descripción) y Tag (Etiqueta).
3. En la pestaña Source (Origen), añada la zona donde los usuarios estén conectados.
4. En la pestaña User (Usuario) de la sección Source User (Usuario de origen), haga clic en Add (Añadir).
5. Seleccione el grupo de directorios que incluya a sus usuarios de marketing.
6. En la pestaña Destination (Destino), seleccione la zona conectada a Internet.
7. En la pestaña Applications (Aplicaciones), haga clic en Add (Añadir) y añada la firma de App-ID
facebook.
8. En la pestaña Actions (Acciones), añada los perfiles predeterminados para Antivirus, Vulnerability
Protection (Protección contra vulnerabilidades) y Antispyware.
9. Haga clic en OK (ACEPTAR) para guardar el perfil de seguridad.
La firma de App-ID facebook utilizada en esta política engloba todas las aplicaciones de Facebook,
como base de facebook, chat de facebook y correo de facebook, por lo que esta es la única firma de
App-ID obligatoria en esta regla.
Cuando esta regla está establecida, si un empleado de marketing intenta acceder al sitio web de
Facebook o cualquier aplicación de Facebook, la regla coincide basándose en el hecho de que el
usuario forma parte del grupo de marketing. Para el tráfico de cualquier usuario que no pertenezca al
departamento de marketing, la regla se omitirá porque no habrá ninguna coincidencia de tráfico y el
procesamiento de reglas continuará.
STEP 7 | Configure la política de seguridad para bloquear al resto de usuarios de modo que no puedan
utilizar ninguna aplicación de Facebook que no sea una exploración web básica. La forma
más sencilla de hacer esto es duplicar la política de permiso de marketing y, a continuación,
modificarla.
1. Desde Policies (Políticas) > Security (Seguridad), haga clic en la política de permiso de Facebook
de marketing que creó anteriormente para resaltarla y, a continuación, haga clic en el icono Clone
(Duplicar).
2. Introduzca un Name (Nombre) y, opcionalmente, introduzca una Description (Descripción) y Tag
(Etiqueta).
STEP 1 | Cree la regla de no descifrado que se incluirá primero en la lista de políticas de descifrado.
Esto impedirá el descifrado de cualquier sitio web que tenga las categorías de URL servicios
financieros o salud y medicina.
1. Seleccione Policies (Políticas) > Decryption (Descifrado) y haga clic en Add (Añadir).
STEP 2 | Cree la regla de política de descifrado que descifrará el resto del tráfico.
1. Seleccione la política de no descifrado que creó anteriormente y, a continuación, haga clic en Clone
(Duplicar).
2. Introduzca un Name (Nombre) y, opcionalmente, introduzca una Description (Descripción) y Tag
(Etiqueta).
3. En la pestaña URL Category (Categoría de URL), seleccione servicios financieros y salud y medicina
y, a continuación, haga clic en el icono Delete (Eliminar).
4. En la pestaña Options (Opciones), establezca la acción como Decrypt (Descifrar) y el Type( Tipo)
como SSL Forward Proxy (Proxy SSL de reenvío).
5. (Opcional) Adjunte un Decryption profile (Perfil de descifrado) para especificar la verificación del
certificado de servidor, las comprobaciones de modo no admitidas y las comprobaciones de fallos del
tráfico SSL. Consulte Configuración del proxy SSL de reenvío para obtener información detallada.
6. Asegúrese de que esta nueva regla de descifrado aparezca después de la regla de no descifrado para
garantizar que el procesamiento de reglas se realice en el orden correcto, y que los sitios web de
servicios financieros y salud y medicina no se descifren.
7. Haga clic en OK (ACEPTAR) para guardar la regla de política.
STEP 3 | (Solo BrightCloud) Active búsquedas en la nube para categorizar dinámicamente una URL
cuando la categoría no está disponible en la base de datos local del cortafuegos.
1. Acceda a la CLI en el cortafuegos.
2. Especifique los siguientes comandos para habilitar el filtrado de URL dinámicas:
STEP 3 | Compruebe si el cortafuegos tiene una licencia de PAN-DB válida mediante la ejecución del
siguiente comando:
request license info
Debería de ver la entrada de licencia Feature: PAN_DB URL Filtering. Si la licencia no está
instalada, deberá obtener e instalar una. Consulte Configuración de filtrado de URL.
STEP 4 | Tras instalar la licencia, descargue una nueva base de datos de envíos de PAN-DB mediante la
ejecución del siguiente comando:
request url-filtering download paloaltonetworks region <region>
Si aún tiene problemas de conectividad entre el cortafuegos y la nube de PAN-DB, póngase en contacto con
el equipo de asistencia técnica de Palo Alto Networks.
STEP 1 | Compruebe la conexión con la nube de PAN-DB mediante la ejecución del siguiente comando:
show url-cloud status
En el campo de conexión con la nube se debe mostrar connected (conectado). Si no se muestra
connected (conectado), cualquier URL que no exista en la caché del plano de gestión se categoriza
como not-resolved (no resuelto). Para solucionar este problema, consulte Problemas de
conectividad con la nube de PAN-DB.
STEP 2 | Si el estado de conexión de la nube es connected (conectado), compruebe el uso actual del
cortafuegos. Si el rendimiento del cortafuegos tiene picos, puede que las solicitudes de URL
se descarten (puede que no lleguen al plano de gestión) y se categoricen como not-resolved
(no resueltas).
Para ver los recursos del sistema, ejecute el siguiente comando y vea las columnas %CPU y %MEM:
show system resources
También puede ver los recursos del sistema en el widget System Resouces (Recursos del sistema) en el
Dashboard (Panel) en la interfaz web.
STEP 3 | Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto
Networks.
Categorización incorrecta
Es posible que, a veces, considere que algunas URL están categorizadas incorrectamente. Utilice el siguiente
flujo de trabajo para determinar la categorización de una URL para un sitio y solicitar un cambio de
categoría, de ser necesario.
STEP 1 | Compruebe la categoría en el plano de datos mediante la ejecución del siguiente comando:
Por ejemplo, para ver la categoría del sitio web de Palo Alto Networks, ejecute el siguiente comando:
STEP 2 | Compruebe la categoría en el plano de gestión mediante la ejecución del siguiente comando:
Por ejemplo:
Si la URL almacenada en la caché del plano de gestión tiene la categoría correcta, quite la URL de la
caché del plano de datos mediante la ejecución del siguiente comando:
La próxima vez que el cortafuegos solicite la categoría de esta URL, la solicitud se reenviará al plano
de gestión. Esto solucionará el problema y no será necesario realizar ninguna otra acción. Si esto no
soluciona el problema, vaya al paso siguiente para comprobar la categoría de URL en los sistemas de la
nube.
STEP 4 | Si la URL almacenada en la nube tiene la categoría correcta, quite la URL de las cachés del
plano de datos y el plano de gestión.
Ejecute el siguiente comando para eliminar una URL de la caché del plano de datos:
Ejecute el siguiente comando para eliminar una URL de la caché del plano de gestión:
La próxima vez que el cortafuegos solicite la categoría de la URL dada, la solicitud se reenviará al plano
de gestión y, a continuación, a la nube. Esto debería solucionar el problema de búsqueda de categoría. Si
el problema persiste, consulte el paso siguiente para enviar una solicitud de cambio de categorización.
STEP 5 | Para enviar una solicitud de cambio desde la interfaz web, vaya al log de URL y seleccione la
entrada de log para la URL que desee cambiar.
STEP 6 | Haga clic en el enlace Request Categorization (Solicitar cambio de categorización) y siga
las instrucciones. Además, para solicitar un cambio de categoría en el sitio web Test A Site
(en inglés) de Palo Alto Networks, busque la URL y, a continuación, haga clic en el icono
Request Change (Solicitar cambio). Para ver una lista de todas las categorías disponibles
con descripciones para cada categoría, consulte https://urlfiltering.paloaltonetworks.com/
CategoryList.aspx.
695
696 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Calidad de servicio
© 2017 Palo Alto Networks, Inc.
Descripción general del QoS
Utilice el QoS para establecer la prioridad y ajustar los aspectos de calidad del tráfico de red. Puede asignar
el orden en el que se gestionan los paquetes y adjudicar el ancho de banda, garantizando la aplicación del
tratamiento preferido y los niveles óptimos de rendimiento al tráfico, aplicaciones y usuarios seleccionados.
Las medidas de calidad de servicio sujetas a una implementación de QoS son el ancho de banda (tasa de
transferencia máxima), el rendimiento (tasa de transferencia real), la latencia (retraso) y la vibración (varianza
en latencia). La capacidad de moldear o controlar estas medidas de calidad de servicio hace que el QoS sea
de especial importancia para el ancho de banda alto, el tráfico en tiempo real como la voz sobre IP (VoIP), las
videoconferencias y el vídeo bajo demanda con una alta sensibilidad a la latencia y la vibración. Asimismo,
utilice QoS para lograr resultados como los siguientes:
• Establezca la prioridad del tráfico de red y aplicaciones, garantizando una alta prioridad para el tráfico
importante o limitando el tráfico no esencial.
• Logre un ancho de banda equivalente compartiendo diferentes subredes, clases o usuarios en una red.
• Asigne el ancho de banda externa o internamente o de ambas formas, aplicando QoS tanto al tráfico de
carga como al de descarga o solamente al tráfico de carga o al de descarga.
• Garantice una baja latencia para el tráfico generador de ingresos y de clientes en un entorno empresarial.
• Realice la generación de perfiles de tráfico de aplicaciones para garantizar el uso del ancho de banda.
La implementación de QoS en un cortafuegos de Palo Alto Networks comienza con tres componentes de
configuración principales que admiten una solución completa de QoS: un perfil de QoS, una política de QoS
y la configuración de la interfaz de salida de QoS. Cada una de estas opciones de la tarea de configuración
de QoS facilita un proceso más amplio que optimiza y establece la prioridad del flujo de tráfico y asigna y
garantiza el ancho de banda de acuerdo con los parámetros configurables.
La figura QoS Traffic Flow (Flujo de tráfico de QoS) muestra el tráfico a medida que se desplaza desde el
origen, el cortafuegos con el QoS habilitada lo moldea y, por último, recibe una prioridad y se entrega en su
destino.
Las opciones de configuración de QoS le permiten controlar el flujo de tráfico y definirlo en puntos
diferentes del flujo. La figura QoS Traffic Flow (Flujo de tráfico de QoS) indica en qué lugar las opciones
configurables definen el flujo de tráfico. Una regla de política QoS le permite definir el tráfico que desea que
reciba tratamiento QoS y asignar a ese tráfico una clase QoS. Entonces, el tráfico coincidente se modela en
función de los ajustes de la clase de perfil QoS a medida que sale de la interfaz física.
Política de QoS
Use una regla de políticas de QoS para definir si el tráfico recibe tratamiento QoS (ya sea preferente o de
limitación de ancho de banda) y si se le asigna a dicho tráfico una clase de servicio de QoS.
Defina una regla de políticas de QoS que coincida con el tráfico basándose en:
• Aplicaciones y grupos de aplicaciones.
• Zonas de origen, direcciones de origen y usuarios de origen.
• Zonas de destino y direcciones de destino.
• Servicios y grupos de servicios limitados a números de puertos TCP o UDP concretos.
• Categorías de URL, incluidas categorías de URL personalizadas.
• Los valores de Punto de código de servicios diferenciados (DSCP) y Tipo de servicio (ToS) se utilizan para
indicar el nivel de servicio solicitado para el tráfico, como la prioridad alta o la entrega de la mejor opción.
Configure varias reglas de políticas de QoS (Policies [Políticas] > QoS) para asociar diferentes tipos de
tráfico a diferentes Clases de QoS on page 700 de servicio.
Perfil de QoS
Utilice una regla de perfil QoS para definir valores de hasta ocho clases de QoS incluidos en esa regla de
perfil.
Con una regla de perfil QoS, puede definir el Establecimiento de colas de prioridad de QoS y la Gestión del
ancho de banda de QoS para las clases de QoS. Cada regla de perfil QoS le permite configurar el ancho de
banda y los ajustes de prioridad individuales para hasta ocho clases de QoS, además del ancho de banda
total asignado para las ocho clases combinadas. Asocie la regla de perfil QoS (o las múltiples reglas de
perfil QoS) a una interfaz física para aplicar la prioridad y los ajustes del ancho de banda definidos al tráfico
saliente de la interfaz.
Clases de QoS
Una clase de QoS determina la prioridad y el ancho de banda del tráfico que coincide con una regla de la
política de QoS. Puede utilizar una regla de la política de QoS para definir las clases de QoS. Hay hasta ocho
clases de QoS definibles en un único perfil de QoS. A menos que esté configurado de otra forma, al tráfico
que no coincida con una clase de QoS se le asignará la clase 4.
El establecimiento de colas de prioridad y la gestión del ancho de banda de QoS, los mecanismos
fundamentales de una configuración de QoS, se configuran dentro de la definición de la clase de QoS
(consulte el paso Añada una regla del perfil de QoS). Para cada clase de QoS, puede establecer una prioridad
(tiempo real, alta, media y baja) y el máximo y el ancho de banda garantizado para el tráfico coincidente.
El establecimiento de colas de prioridad de QoS y la gestión del ancho de banda determinan el orden y el
modo en el que se gestiona el tráfico al entrar o al salir de una red:
El ancho de banda garantizado acumulado para las reglas de perfil QoS asociadas a la
interfaz no debe superar el ancho de banda total asignado a la interfaz.
Para definir la configuración de ancho de banda de las clases de QoS, consulte el paso Añada una regla del
perfil de QoS. Para aplicar esa configuración de ancho de banda a tráfico de texto normal y de túnel, y para
establecer el límite de ancho de banda general para una interfaz de QoS, consulte el paso Habilite QoS en
una interfaz física.
Consulte el paso Identifique la interfaz de salida para las aplicaciones en las que se identificó una necesidad
de tratamiento de QoS. para obtener más información sobre cómo realizar el paso Identifique la interfaz de
salida para las aplicaciones que desea que reciban tratamiento de QoS.
STEP 2 | Identifique la interfaz de salida para las aplicaciones que desea que reciban un tratamiento de
QoS.
La interfaz de salida del tráfico depende del flujo de tráfico. Si está moldeando el tráfico
entrante, la interfaz de salida es la interfaz de orientación interna. Si está moldeando el
tráfico saliente, la interfaz de salida es la interfaz de orientación externa.
Seleccione Monitor (Supervisar) > Logs > Traffic (Tráfico) para ver los logs de tráfico.
Para filtrar y mostrar únicamente los logs de una aplicación específica:
• Si se muestra una entrada para la aplicación, haga clic en el enlace subrayado de la columna
Aplicación y, a continuación, haga clic en el icono de envío.
• Si una entrada no se muestra para la aplicación, haga clic en el icono Añadir log y busque la aplicación.
La Egress I/F (Interfaz de salida) de los logs de tráfico muestra la interfaz de salida de cada aplicación.
Para mostrar la columna Interfaz de salida si no aparece de manera predeterminada:
• Haga clic en cualquier encabezado de columna para añadir una columna al log:
• Haga clic en el icono de catalejo a la izquierda de cualquier entrada para mostrar un log detallado que
incluye la interfaz de salida de la aplicación indicada en la sección Destino:
Todo el tráfico que supere el valor de Egress Guaranteed será la mejor opción pero
no estará garantizado. El ancho de banda que está garantizado pero sin usar continúa
disponible para todo el tráfico.
4. En la sección Clases, especifique cómo tratar hasta ocho clases de QoS individuales:
1. Haga clic en Add (Añadir) para añadir una clase al perfil de QoS.
2. Seleccione la Priority (Prioridad) para la clase: tiempo real, alta, media o baja.
1. Seleccione Network (Red) > QoS y Add (Añadir) para añadir una interfaz QoS.
2. Seleccione Physical Interface (Interfaz física) y elija el Interface Name (Nombre de interfaz) de la
interfaz en que desea habilitar QoS.
En el ejemplo, Ethernet 1/1 es la interfaz de salida para el tráfico de exploración web (consulte el
paso 2).
3. Configure el valor de ancho de banda Egress Max (Máximo de salida) para todo el tráfico que sale de
esta interfaz.
1. (Opcional) Prosiga con la definición de ajustes más detallados para proporcionar QoS para tráfico
sin cifrar y de túnel. Los ajustes configurados en la pestaña Clear Text Traffic (Tráfico no cifrado) y
en la pestaña Tunneled Traffic (Tráfico de túnel) cancelan automáticamente los ajustes de perfil por
defecto para el texto sin cifrar y el tráfico de túnel en la pestaña de interfaz física.
• Seleccione Clear Text Traffic (Tráfico no cifrado) y:
• Establezca los anchos de banda de Egress Guaranteed (Salida garantizada) y Egress Max
(Máximo de salida) para el tráfico de texto no cifrado.
• Haga clic en Add (Añadir) y aplique una regla de perfil QoS para aplicar tráfico de texto sin
cifrar basado en la interfaz de origen y la subred de origen.
• Seleccione Tunneled Traffic (Tráfico de túnel)y:
• Establezca los anchos de banda de Egress Guaranteed (Salida garantizada) y Egress Max
(Máximo de salida) para el tráfico de túnel.
• Haga clic en Add (Añadir) y asocie un perfil de QoS a una única interfaz de túnel.
2. Haga clic en OK (Aceptar).
Consulte Sistemas virtuales para obtener información sobre los sistemas virtuales y cómo configurarlos.
STEP 1 | Confirme que las interfaces, los enrutadores virtuales y las zonas de seguridad adecuados están
asociados a cada sistema virtual.
• Para ver interfaces configuradas, seleccione Network (Red) > Interface (Interfaz).
• Para ver zonas configuradas, seleccione Network (Red) > Zones (Zonas)
• Para ver nformación sobre enrutadores virtuales definidos, seleccione Network (Red) > Virtual
Routers (Enrutadores virtuales).
Haga clic en cualquier nombre de aplicación para mostrar información de aplicación detallada.
STEP 3 | Identifique la interfaz de salida para las aplicaciones que identifique que necesitan un
tratamiento de QoS.
En un entorno de sistema virtual, el QoS se aplica al tráfico del punto de salida del tráfico en el sistema
virtual. Dependiendo de la configuración de la política de QoS para un sistema virtual, el punto de salida
del tráfico de QoS podría asociarse a una interfaz física o podría ser una zona.
Este ejemplo muestra cómo limitar el tráfico de exploración web en VSYS 1.
Seleccione Monitor (Supervisar) > Logs > Traffic (Tráfico) para ver logs de tráfico. Cada entrada tiene la
opción de mostrar columnas con información necesaria para configurar QoS en un entorno de sistema
virtual:
• Sistema virtual
• Interfaz de salida
• Interfaz de entrada
• zona de origen
• zona de destino
Para mostrar una columna si no aparece de manera predeterminada:
• Haga clic en cualquier encabezado de columna para añadir una columna al log:
• Haga clic en el icono de catalejo a la izquierda de cualquier entrada para mostrar un log detallado
que incluye la interfaz de salida de la aplicación, así como zonas de origen y destino, en las secciones
Origen y Destino:
Todo el tráfico que supere el límite garantizado de salida del perfil de QoS será la
mejor opción pero no estará garantizado.
5. En la sección Clases del Perfil de QoS, especifique cómo tratar hasta ocho clases de QoS individuales:
1. Haga clic en Añadir para añadir una clase al perfil de QoS.
2. Seleccione la Prioridad de la clase.
3. Introduzca un Máximo de salida para la clase para establecer el límite de ancho de banda total
para esa clase individual.
4. Introduzca una Salida garantizada para la clase para establecer el ancho de banda garantizado para
esa clase individual.
6. Haga clic en ACEPTAR para guardar el perfil de QoS.
5. Seleccione Destination y Add para seleccionar la zona de destino del tráfico de exploración web de
vsys 1.
6. Seleccione Other Settings y seleccione una QoS Class para asignarla a la regla de política de QoS. Por
ejemplo, asigne la clase 2 al tráfico de exploración web de VSYS 1:
1. Seleccione Network (Red) > QoS y haga clic en Add (Añadir) para abrir el cuadro de diálogo QoS
Interface (Interfaz de QoS).
2. Habilite QoS en la interfaz física:
1. En la pestaña Interfaz física, seleccione el Nombre de interfaz de la interfaz a la que se aplicará el
perfil de QoS.
En este ejemplo, Ethernet 1/1 es la interfaz de salida para el tráfico de exploración web de vsys 1
(consulte el paso 2).
STEP 2 | Defina el tráfico que debe recibir tratamiento QoS en función del valor de DSCP.
1. Seleccione Policies (Políticas) > QoS y Add (Añadir) para añadir o modificar una regla QoS existente,
y rellene los campos obligatorios.
Si reenvío rápido (Expedited Forwarding, EF) está seleccionado como el Type (Tipo)
de marca DSCP, no se puede especificar un valor de Codepoint (Punto de código)
detallado. La política de QoS coincidirá con el tráfico marcado con cualquier valor de
punto de código EF.
6. Seleccione Other Settings (Otros ajustes) y asigne una QoS Class (Clase de QoS) al tráfico que
coincida con la regla de QoS. En este ejemplo, asigne la clase 1 a las sesiones en las que se detecte la
marca DSCP de AF11 para el primer paquete de la sesión.
7. Haga clic en OK (Aceptar) para guardar la regla de QoS.
STEP 3 | Defina la prioridad de QoS para la recepción del tráfico cuando coincida con una regla de QoS
basada en el marcado de DSCP detectado al inicio de una sesión.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > QoS Profile (Perfil QoS) y
luego haga clic en Add (Añadir) para añadir o modifique un perfil de QoS existente. Para obtener
información sobre opciones de perfiles para establecer la prioridad y el ancho de banda del tráfico,
consulte Conceptos de QoS y Configuración de QoS.
2. Seleccione Add (Añadir) para añadir o modificar una clase de perfil. Por ejemplo, dado que el paso 2
mostraba pasos para clasificar el tráfico AF11 como tráfico de clase 1, podría añadir o modificar una
entrada de class1.
3. Seleccione una Priority (Prioridad) para la clase de tráfico, como por ejemplo, high (alta).
4. Haga clic en OK (Aceptar) para guardar el perfil de QoS.
STEP 1 | El administrador crea el perfil de QoS CEO_traffic para definir el modo en que el tráfico
originado en la directora ejecutiva se tratará y moldeará a medida que salga de la red
empresarial:
STEP 2 | El administrador crea una política de QoS para identificar el tráfico de la directora ejecutiva
(Policies [Políticas] > QoS) y asignarle la clase que definió en el perfil de QoS (consulte el
paso anterior). Como se ha configurado User-ID, el administrador utiliza la pestaña Source
(Origen)de la política de QoS para identificar de manera exclusiva el tráfico de la directora
ejecutiva por su nombre de usuario de red empresarial. (Si no se ha configurado User-ID, el
administrador podría Add (Añadir) la dirección IP de la directora ejecutiva bajo Source Address
(Dirección de origen). Consulte User-ID):
STEP 3 | Ahora que la clase 1 está asociada al tráfico de la directora ejecutiva, el administrador
habilita QoS seleccionando Dirección de origen (Activar la función QoS en esta interfaz)y
seleccionando la interfaz de salida del flujo de tráfico. La interfaz de salida del flujo de tráfico
de la directora ejecutiva es la interfaz de orientación externa, en este caso, Ethernet 1/2:
Como el administrador quiere asegurarse de que todo el tráfico originado en la directora ejecutiva está
garantizado por el perfil de QoS y la política de QoS asociada que creó, selecciona CEO_traffic para
aplicarlo al tráfico de tipo Clear Text (No cifrado) que se desplaza desde Ethernet 1/2.
Este caso demuestra cómo aplicar QoS a tráfico originado en un único usuario de origen.
Sin embargo, si también quisiera garantizar o moldear el tráfico para un usuario de
destino, podría realizar una configuración de QoS similar. En lugar o además de este
flujo de trabajo, cree una política de QoS que especifique la dirección IP del usuario
como la Destination Address (Dirección de destino) en la página Policies (Políticas) >
QoS (en lugar de especificar la información de origen del usuario) y, a continuación,
habilite QoS en la interfaz de orientación interna de la red en la página Network (Red) >
QoS (en lugar de la interfaz de orientación externa).
STEP 1 | El administrador crea un perfil de QoS y define la clase 2 de forma que el tráfico asociado a la
clase 2 reciba una prioridad en tiempo real y, en una interfaz con un ancho de banda máximo
de 1000 Mbps, en todo momento, se garantizará un ancho de banda de 250 Mbps, incluyendo
los períodos en los que más se utilice la red.
La prioridad en tiempo real suele recomendarse para las aplicaciones afectadas por la latencia y es de
especial utilidad a la hora de garantizar el rendimiento y la calidad de aplicaciones de voz y vídeo.
STEP 2 | El administrador crea una política de QoS para identificar el tráfico de voz y vídeo. Como la
empresa no tiene una aplicación de voz y vídeo estándar, el administrador quiere asegurarse
de que el QoS se aplica en un par de aplicaciones utilizadas ampliamente y con frecuencia por
los empleados para comunicarse con otras oficinas, socios y clientes. En la pestaña Policies
(Políticas) > QoS > QoS Policy Rule (Regla de política de QoS) > Applications (Aplicaciones),
el administrador hace clic en Add (Añadir) y abre la ventana Application Filter (Filtro de
aplicación). El administrador sigue seleccionando criterios para filtrar las aplicaciones en
las que quiere aplicar el QoS, seleccionando la Subcategoría voip-video y restringiéndola al
especificar únicamente aplicaciones de VoIP y vídeo que tengan un riesgo bajo y que se utilicen
ampliamente.
El filtro de aplicación es una herramienta dinámica que, cuando se utiliza para filtrar aplicaciones en la
política de QoS, permite aplicar QoS en todas las aplicaciones que cumplan los criterios de VoIP y vídeo,
riesgo bajo y ampliamente utilizado en cualquier momento.
STEP 3 | Como el administrador quiere garantizar el QoS para comunicaciones de voz y vídeo tanto
entrantes como salientes, habilita QoS en la interfaz de orientación externa de la red (para
aplicar QoS a comunicaciones salientes) y en la interfaz de orientación interna (para aplicar QoS
a comunicaciones entrantes).
El administrador empieza habilitando el perfil de QoS que creó, garantiza el tráfico de voz-vídeo (la clase
2 en este perfil está asociada con la política, voz-vídeo) en la interfaz de orientación externa, en este
caso, Ethernet 1/2.
A continuación, habilita el mismo perfil de QoS, ensure voip-video traffic en una segunda interfaz, la
interfaz de orientación interna (en este caso, Ethernet 1/1).
723
724 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN
© 2017 Palo Alto Networks, Inc.
Implementaciones de VPN
El cortafuegos de Palo Alto Networks admite las siguientes implementaciones de VPN:
• VPN de sitio a sitio: Una VPN sencilla que se conecta a un sitio central y a un sitio remoto, o bien una
VPN hub and spoke que se conecta a un sitio central con múltiples sitios remotos. El cortafuegos usa
el conjunto de protocolos de Seguridad IP (IPSec) para configurar un túnel seguro entre los dos sitios.
Consulte Descripción general de VPN de sitio a sitio.
• VPN de usuario remoto a sitio: Una solución que usa el agente GlobalProtect para permitir a un usuario
remoto establecer una conexión segura a través del cortafuegos. Esta solución usa SSL e IPSec para
establecer una conexión segura entre el usuario y el sitio. Consulte la GlobalProtect Administrator’s
Guide (Guía del administrador de GlobalProtect).
• VPN a gran escala: La VPN a gran escala de GlobalProtect de Palo Alto Networks (LSVPN) ofrece un
mecanismo simplificado para implementar una VPN hub and spoke con un máximo de 1.024 oficinas
satélite. Esta solución requiere que haya cortafuegos de Palo Alto Networks implementados en el
concentrador y en todos los radios. Usa certificados para la autenticación de dispositivos, SSL para la
protección entre todos los componentes e IPSec para proteger los datos. Consulte Large Scale VPN
(LSVPN) (VPN a gran escala (LSVPN)).
Interfaz de túnel
Para configurar un túnel VPN, la interfaz de capa 3 en cada extremo debe tener una interfaz de túnel lógica
para que el cortafuegos se conecte y establezca un túnel VPN. Una interfaz de túnel es una interfaz (virtual)
lógica que se usa para enviar tráfico entre dos extremos. Si configura ID proxy, la ID proxy se considera en
la capacidad total del túnel IPSec.
La interfaz de túnel debe pertenecer a una zona de seguridad para aplicar una política; asimismo, debe estar
asignada a un enrutador virtual para usar la infraestructura de enrutamiento existente. Compruebe que la
interfaz de túnel y la interfaz física estén asignadas al mismo enrutador virtual, de modo que el cortafuegos
pueda realizar una búsqueda de rutas y determinar el mejor túnel que puede usar.
Normalmente, la interfaz de capa 3 a la que está vinculada la interfaz de túnel pertenece a una zona externa,
por ejemplo, la zona no fiable. Aunque la interfaz de túnel puede estar en la misma zona de seguridad que
la interfaz física, puede crear una zona separada para la interfaz de túnel con el fin de lograr una mayor
seguridad y mejor visibilidad. Si crea una zona separada para la interfaz de túnel (p. ej., una zona VPN),
necesitará crear políticas de seguridad que habiliten el flujo del tráfico entre la zona VPN y la zona fiable.
Para enrutar tráfico entre los sitios, una interfaz de túnel no necesita una dirección IP. Solo es necesaria
una dirección IP si quiere habilitar la supervisión de túneles o si está usando un protocolo de enrutamiento
dinámico para enrutar tráfico a través del túnel. Con enrutamiento dinámico, la dirección IP del túnel
funciona como dirección IP de próximo salto para el enrutamiento de tráfico al túnel VPN.
Si está configurando el cortafuegos Palo Alto Networks con un peer VPN que utiliza una VPN basada
en políticas, debe configurar un ID de proxy local y remoto cuando configure el túnel IPSec. Cada peer
compara los ID de proxy que tiene configurados con lo que se recibe realmente en el paquete para permitir
una negociación IKE de fase 2 correcta. Si se requieren varios túneles, configure ID de proxy exclusivos para
cada interfaz de túnel; una interfaz de túnel puede tener un máximo de 250 ID de proxy. Cada ID de proxy
Monitorización de túnel
Para un túnel VPN, puede comprobar la conectividad con una dirección IP de destino a través del túnel. El
perfil de supervisión de la red del cortafuegos le permite verificar la conectividad (mediante ICMP) con una
dirección IP de destino o un próximo salto en el intervalo de sondeo especificado, así como especificar una
acción o fallo para acceder a la dirección IP supervisada.
Si no es posible alcanzar la IP de destino, puede configurar el cortafuegos para que espere a que se recupere
el túnel o configurar una conmutación por error a otro túnel. En cada caso, el cortafuegos genera un log de
sistema que le alerta de un fallo del túnel y renegocia las claves IPSec para acelerar la recuperación.
Consulte Configuración de la supervisión de túnel on page 745 para obtener información detallada sobre
la configuración.
IKE de fase 1
En esta fase, los cortafuegos usan los parámetros definidos en la configuración del gateway IKE y el perfil
criptográfico IKE para autenticarse mutuamente y establecer un canal de control. La fase IKE es compatible
con el uso de claves compartidas previamente o certificados digitales (que usan infraestructuras de claves
públicas, PKI) para la autenticación mutua de los peers VPN. Las claves previamente compartidas son una
solución sencilla para proteger redes pequeñas, ya que no necesitan ser compatibles con una infraestructura
IKE de fase 2
Una vez protegido y autenticado el túnel, en la fase 2 se aumenta la protección del canal para la
transferencia de datos entre las redes. IKE de fase 2 usa las claves que se establecieron en la fase 1 del
proceso y el perfil criptográfico IPSec, que define los protocolos y las claves IPSec usadas para la SA en el
IKE de fase 2.
IPSEC usa los siguientes protocolos para habilitar una comunicación segura:
• Encapsulating Security Payload (ESP) (Carga de seguridad encapsulada): le permite cifrar el paquete
de IP completo, así como autenticar la fuente y verificar la integridad de los datos. Mientras que ESP
necesita que cifre y autentique el paquete, puede elegir solo cifrar o solo autenticar definiendo la opción
de cifrado como Null; no se recomienda usar cifrado sin autenticación.
• Authentication header (AH) (Encabezado de autenticación): autentica el origen del paquete y verifica la
integridad de datos. AH no cifra la carga de datos y se desaconseja su uso en implementaciones en las
que es importante la privacidad de los datos. AH se suele usar cuando el principal objetivo es verificar la
legitimidad del peer y no se requiere privacidad de datos.
ESP AH
• 3des Estándar de cifrado triple de datos (3DES) con una fuerza de seguridad
de 112 bits
• aes-192-cbc AES usando CBC con una fuerza de seguridad de 192 bits
• aes-256-cbc AES usando CBC con una fuerza de seguridad de 256 bits
• aes-128-ccm AES usando Counter CBC-MAC (CCM) con una fuerza de seguridad
de 128 bits
• aes-128-gcm AES usando Modo Galois/Counter (GCM) con una fuerza de seguridad
de 128 bits
• aes-256-gcm AES usando GCM con una fuerza de seguridad de 256 bits
• des Estándar de cifrado de datos (Data Encryption Standard, DES) con una
fuerza de seguridad de 56 bits
• md5 • md5
• sha 1 • sha 1
Comprobación de actividad
La comprobación de actividad IKEv2 es similar a Detección de fallo del peer (DPD), que IKEv1 usa para
determinar si un peer sigue disponible.
En IKEv2, la comprobación de actividad la logra cualquier transmisión de paquete IKEv2 o mensaje de
información vacío que envíe el gateway al peer en un intervalo configurable (predeterminado: cinco
segundos). En caso necesario, el remitente intenta la retransmisión hasta diez veces. Si no recibe respuesta,
el remitente cierra y elimina la IKE_SA y las CHILD_SA correspondientes. El remitente empezará de nuevo
enviando otro mensaje IKE_SA_INIT.
Selectores de tráfico
En IKEv1, un cortafuegos que tiene una VPN basada en rutas necesita usar un ID de proxy local y remoto
para configurar un túnel IPSec. Cada peer compara los ID de proxy con lo que se recibe realmente en el
paquete para permitir una negociación IKE de fase 2 correcta. El IKE de fase 2 consiste en negociar las SA
para configurar un túnel IPSec. (Para obtener más información sobre ID de proxy, consulte Interfaz de túnel
on page 727).
En IKEv2, puede realizar una Configuración de selectores de tráfico IKEv2 on page 739, que son
componentes de tráfico de red que se usan durante la negociación IKE. Los selectores de tráfico se usan
durante la CHILD_SA (creación de túnel) de fase 2 para configurar el túnel y determinar qué tráfico está
permitido a través del túnel. Los dos peers de puerta de enlace IKE deben negociar y acordar sus selectores
de tráfico; de lo contrario, una parte estrecha su intervalo de direcciones para acuerdo. Una conexión IKE
puede tener múltiples túneles; por ejemplo, puede asignar diferentes túneles a cada departamento para
aislar su tráfico. La separación de tráfico también permite implementar funciones como QoS.
Los selectores de tráfico IPv4 e IPv6 son:
• Dirección IP de origen: un prefijo de red, intervalo de dirección, host específico o un comodín.
• Dirección IP de destino: un prefijo de red, intervalo de dirección, host específico o un comodín.
• Protocolo: un protocolo de transporte, como TCP o UDP.
• Puerto de origen: el puerto donde se ha originado el paquete.
• Puerto de destino: el puerto al que está destinado el paquete.
Durante la negociación IKE, puede haber múltiples selectores de tráfico para diferentes redes y protocolos.
Por ejemplo, el Iniciador puede indicar que quiere enviar paquetes TCP desde 172.168.0.0/16 a través
del túnel a su peer, destinado a 198.5.0.0/16. También quiere enviar paquetes UDP desde 172.17.0.0/16
a través del mismo túnel a la misma puerta de enlace, con destino a 0.0.0.0 (cualquier red). La puerta de
enlace de peers debe coincidir con estos selectores de tráfico para que sepa qué esperar.
Es posible que una puerta de enlace empiece la negociación usando un selector de tráfico que sea una
dirección IP más específica que la dirección de la otra puerta de enlace.
STEP 3 | Establezca el peer en el extremo más alejado del túnel (puerta de enlace).
1. Seleccione si la asignación de direcciones del Peer IP Type (Tipo de IP del peer) será Static (Estática)
o Dynamic (Dinámica).
2. Si la Peer IP Address (Dirección IP del peer) es estática, introduzca la dirección IP del peer.
STEP 1 | Seleccione Device (Dispositivo) > Certificates (Certificados) y, si su plataforma admite varios
sistemas virtuales, en Location (Ubicación), seleccione el sistema virtual adecuado.
STEP 3 | Para File Format (Formato de archivo), seleccione Binary Encoded Certificate (DER)
(Certificado codificado binario).
STEP 4 | Deje Export private key (Exportar clave privada) sin marcar. No es necesario exportar la clave
privada para Hash y URL
STEP 1 | Seleccione Network (Red) > IPSec Tunnels (Túneles IPSec) > Proxy IDs (ID de proxy).
STEP 3 | Haga clic en Add (Añadir) e introduzca el Name (Nombre) en el campo Proxy ID (ID de proxy).
Todos los gateways IKE configurados en la misma interfaz o dirección IP local deben usar el
mismo perfil criptográfico.
DES está disponible para brindar compatibilidad con versiones anteriores en dispositivos
heredados que no admiten un cifrado más seguro, pero se recomienda usar siempre un
algoritmo de cifrado más seguro, tal como 3DES o AES si el peer lo admite.
STEP 2 | Seleccione el Grupo DH para usar las negociaciones de SA IPSec en el IKE de fase 2.
Seleccione el nivel de la clave que quiere usar para el DH Group (Grupo DH) en el menú desplegable.
Si no sabe con certeza con qué son compatibles los peers VPN, añada múltiples grupos en orden de
mayor a menor seguridad del siguiente modo; los peers negocian el grupo admitido más fuerte para
establecer el túnel: group20, group19, group14, group5, group2 y group1.
Seleccione no-pfs, si no desea renovar la clave que se creó en la fase 1; la clave actual se vuelve a utilizar
para las negociaciones de SA IPSEC.
STEP 1 | Seleccione Network (Red) > IPSec Tunnels (Túneles IPSec) y luego Add (Añadir) para añadir
una configuración de túnel.
STEP 2 | En la pestaña General, introduzca en Name (Nombre) un nombre para el nuevo túnel.
STEP 3 | Seleccione la Tunnel interface (Interfaz de túnel) que se usará para configurar el túnel de IPSec.
Para crear una nueva interfaz de túnel:
1. Seleccione Tunnel Interface (Interfaz de túnel) > New Tunnel Interface (Nueva interfaz de túnel).
(También puede seleccionar Network [Red] > Interfaces > Tunnel [Túnel] y hacer clic en Add
[Añadir].)
2. En el campo Interface Name (Nombre de interfaz), especifique un sufijo numérico, como .2.
3. En la pestaña Config, seleccione el menú desplegable Security Zone (Zona de seguridad) para definir
la zona del siguiente modo:
Usar una zona fiable como punto de finalización del túnel: seleccione la zona del menú desplegable.
Asociar la interfaz del túnel con la misma zona (y enrutador virtual) que la interfaz externa por la que
entran los paquetes al cortafuegos reduce la necesidad de crear enrutamiento entre zonas.
O bien:
Crear una zona separada para la terminación de túnel VPN (Recomendado): seleccione New Zone
(Nueva zona), defina un nombre para la nueva zona (por ejemplo, vpn-corp) y haga clic en OK (Aceptar).
1. En el menú desplegable Virtual Router (Enrutador virtual), seleccione default (por defecto).
STEP 7 | (Opcional) Conserve el encabezado Type of Service (Tipo de servicio) para la prioridad o el
tratamiento de paquetes de IP.
En la sección Show Advanced Options (Mostrar opciones avanzadas), seleccione Copy TOS Header
(Copiar encabezado de TOS). De este modo se copia el encabezado de TOS (Tipo de servicio) desde el
encabezado IP interno en el encabezado IP externo de los paquetes resumidos con el fin de preservar la
información original de TOS.
Si existen varias sesiones dentro del túnel (cada una con un valor TOS diferente), el
copiar el encabezado TOS puede hacer que los paquetes IPSec lleguen desordenados.
Para alertar al administrador de dispositivo de los fallos del túnel y proporcionar una conmutación por
error automática a otra interfaz de túnel:
1. Especifique una Destination IP (IP de destino) en el otro lado del túnel que el supervisor de túnel
utilizará para determinar si el túnel funciona correctamente.
2. Seleccione un Profile (Perfil) para determinar la acción cuando falla un túnel. Para crear un nuevo
perfil, consulte Definición de perfiles supervisión de túnel.
STEP 1 | Seleccione Network (Red) > Network Profiles (Perfiles de red) > Monitor (Supervisión). Hay un
perfil de supervisión de túnel disponible para su uso.
STEP 2 | Haga clic en Add (Añadir) e introduzca un Name (Nombre) para el perfil.
STEP 4 | Especifique el Interval (sec) (Intervalo [s]) y el Threshold (Umbral) para iniciar la acción
especificada.
• El Threshold (Umbral) especifica el número de latidos que se perderán antes de que el cortafuegos
realice la acción especificada (rango: 2 a 100; valor predeterminado: 5).
• Interval (sec) (Intervalo [s]) especifica el tiempo (en segundos) entre latidos (rango: 2 a 10; valor
predeterminado: 3).
STEP 5 | Adjunte el perfil de supervisión a una configuración de túnel IPSec. Consulte Habilitación de la
supervisión de túnel.
Puerta de Actualiza las estadísticas en pantalla para Reinicia la puerta de enlace IKE seleccionada.
enlace IKE la puerta de enlace IKE seleccionada.
Túnel IPSec Actualiza las estadísticas en pantalla para Reinicia el túnel IPSec.
(IKE de fase el túnel IPSec seleccionado.
Un reinicio interrumpe todas las sesiones
2)
Equivale a emitir un segundo comando existentes.
show en el CLI (tras un comando show
Equivale a emitir una secuencia de comandos
inicial).
clear, test, show en la CLI.
STEP 2 | Introduzca el siguiente comando para probar si el IKE de fase 1 está configurado:
STEP 3 | Inicie el IKE de fase 2 haciendo un ping a un host a través del túnel o usando el siguiente
comando del CLI:
STEP 4 | Introduzca el siguiente comando para probar si el IKE de fase 2 está configurado:
STEP 5 | Para ver la información del flujo de tráfico VPN, use el siguiente comando.
show vpn-flow
total tunnels configured: 1
filter - type IPSec, state any
STEP 2 | Cree una interfaz de túnel y vincúlela a un enrutador virtual y una zona de seguridad.
1. Seleccione Network (Red) > Interfaces > Tunnel (Túnel) y haga clic en Add (Añadir).
2. En el campo Interface Name (Nombre de interfaz), especifique un sufijo numérico, como .1.
3. En la pestaña Config (Configurar), amplíe el menú desplegable Security Zone (Zona de seguridad)
para definir la zona del siguiente modo:
• Para usar una zona fiable como punto de finalización del túnel, seleccione la zona en el menú
desplegable.
• (Recomendado) Si desea crear una zona separada para la finalización del túnel de VPN, haga clic
en New Zone (Nueva zona). En el cuadro de diálogo Zona, defina un Name (Nombre) para una
nueva zona, por ejemplo vpn-tun, y haga clic en OK (Aceptar).
4. Seleccione el Virtual Router (Enrutador virtual).
5. (Opcional) Asigne una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4 o IPv6, haga clic
en Add (Añadir) en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la
interfaz.
Con rutas estáticas, la interfaz de túnel no necesita una dirección IP. Para el tráfico destinado a una
subred/dirección IP específica, la interfaz de túnel se convertirá automáticamente en el próximo salto.
Plantéese añadir una dirección IP si quiere habilitar la supervisión de túnel.
6. Para guardar la configuración de la interfaz, haga clic en OK (Aceptar).
En este ejemplo, la configuración para el peer A de VPN es:
• Interface (Interfaz): tunnel.10 (túnel.10)
• Security Zone (Zona de seguridad): vpn_tun
• Virtual Router (Enrutador virtual): default (predeterminado)
• IPv4: 172.19.9.2/24
La configuración para el peer B de VPN es:
• Interface (Interfaz): tunnel.11 (túnel.11)
• Security Zone (Zona de seguridad): vpn_tun
• Virtual Router (Enrutador virtual): default (predeterminado)
• IPv4: 192.168.69.2/24
STEP 4 | Configure los perfiles criptográficos (perfil criptográfico IKE para fase 1 y perfil criptográfico
IPSec para fase 2).
Complete esta tarea en ambos peers y asegúrese de definir valores idénticos.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IKE Crypto (Criptográfico IKE). En
este ejemplo, hemos usado el perfil predeterminado.
2. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IPSec Crypto (Criptográfico IPSec).
En este ejemplo, hemos usado el perfil predeterminado.
STEP 7 | Cree políticas para permitir el tráfico entre los sitios (subredes).
1. Seleccione Policies (Políticas) > Security (Seguridad).
2. Cree reglas para permitir el tráfico entre la zona no fiable y la zona vpn-tun y la zona vpn-tun y la
zona no fiable para tráfico que se origine desde el origen especificado y las direcciones IP de destino.
STEP 2 | Cree una interfaz de túnel y vincúlela a un enrutador virtual y una zona de seguridad.
1. Seleccione Network (Red) > Interfaces > Tunnel (Túnel) y haga clic en Add (Añadir).
2. En el campo Interface Name (Nombre de interfaz), especifique un sufijo numérico, como .11.
3. En la pestaña Config (Configurar), amplíe el menú desplegable Security Zone (Zona de seguridad)
para definir la zona del siguiente modo:
• Para usar una zona fiable como punto de finalización del túnel, seleccione la zona en el menú
desplegable.
• (Recomendado) Si desea crear una zona separada para la finalización del túnel de VPN, haga clic
en New Zone (Nueva zona). En el cuadro de diálogo Zona, defina un Name (Nombre) para una
nueva zona (por ejemplo, vpn-tun), y haga clic en OK (Aceptar).
4. Seleccione el Virtual Router (Enrutador virtual).
5. Asigne una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4 o IPv6, haga clic en Add
(Añadir) en la sección IP e introduzca la dirección IP y la máscara de red/prefijo para asignarlas a la
interfaz, por ejemplo, 172.19.9.2/24.
Esta dirección IP se usará como dirección IP de próximo salto para enrutar el tráfico al túnel y
también puede usarse para supervisar el estado del túnel.
6. Para guardar la configuración de la interfaz, haga clic en OK (Aceptar).
En este ejemplo, la configuración para el peer A de VPN es:
• Interface (Interfaz): tunnel.41 (túnel.41)
• Security Zone (Zona de seguridad): vpn_tun
• Virtual Router (Enrutador virtual): default (predeterminado)
• IPv4: 2.1.1.141/24
La configuración para el peer B de VPN es:
• Interface (Interfaz): túnel.40
• Security Zone (Zona de seguridad): vpn_tun
• Virtual Router (Enrutador virtual): default (predeterminado)
• IPv4: 2.1.1.140/24
STEP 4 | Establezca la configuración OSPF en el enrutador virtual y adjunte las áreas OSPF con las
interfaces apropiadas en el cortafuegos.
Para obtener más información sobre las opciones OSPF disponibles en el cortafuegos, consulte
Configuración de OSPF.
Use Broadcast como el tipo de enlace cuando haya más de dos enrutadores OSPF que necesiten
intercambiar información de enrutamiento.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador
predeterminado o añada uno nuevo.
2. Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione Enable (Habilitar).
3. En este ejemplo, la configuración OSPF para el peer A de VPN es:
• Router ID (ID del enrutador): 192.168.100.141
• Area ID (ID de área): 0.0.0.0 que se asigna a la interfaz del túnel.1 con el tipo de enlace: p2p
• Area ID (ID de área): 0.0.0.10 que se asigna a la interfaz Ethernet1/1 con el tipo de enlace:
Broadcast
La configuración OSPF para el peer B de VPN es:
• Router ID (ID del enrutador): 192.168.100.140
• Area ID (ID de área): 0.0.0.0 que se asigna a la interfaz del túnel.1 con el tipo de enlace: p2p
• Area ID (ID de área): 0.0.0.20 que se asigna a la interfaz Ethernet1/15 con el tipo de enlace:
Difusión
STEP 7 | Cree políticas para permitir el tráfico entre los sitios (subredes).
1. Seleccione Policies (Políticas) > Security (Seguridad).
2. Cree reglas para permitir el tráfico entre la zona no fiable y la zona vpn-tun y la zona vpn-tun y la
zona no fiable para tráfico que se origine desde el origen especificado y las direcciones IP de destino.
STEP 2 | Configure los perfiles criptográficos (perfil criptográfico IKE para fase 1 y perfil criptográfico
IPSec para fase 2).
Complete esta tarea en ambos peers y asegúrese de definir valores idénticos.
STEP 4 | Cree una interfaz de túnel y vincúlela a un enrutador virtual y una zona de seguridad.
1. Seleccione Network (Red) > Interfaces > Tunnel (Túnel) y haga clic en Add (Añadir).
2. En el campo Interface Name (Nombre de interfaz), especifique un sufijo numérico, p. ej., .41.
3. En la pestaña Config, amplíe el menú desplegable Security Zone (Zona de seguridad) para definir la
zona del siguiente modo:
• Para usar una zona fiable como punto de finalización del túnel, seleccione la zona en el menú
desplegable.
• (Recomendado) Si desea crear una zona separada para la finalización del túnel de VPN, haga clic
en New Zone (Nueva zona). En el cuadro de diálogo Zone (Zona), defina un Name (Nombre) para
una nueva zona, por ejemplo vpn-tun, y haga clic en OK (Aceptar).
4. Seleccione el Virtual Router (Enrutador virtual).
5. Asigne una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4 o IPv6, haga clic en Add
(Añadir) en la sección IP e introduzca la dirección IP y la máscara de red/prefijo para asignarlas a la
interfaz, por ejemplo, 172.19.9.2/24.
Esta dirección IP se usará para enrutar el tráfico al túnel y supervisar el estado del túnel.
6. Para guardar la configuración de la interfaz, haga clic en OK (Aceptar).
STEP 6 | Establezca la ruta estática y la configuración OSPF en el enrutador virtual y adjunte las áreas
OSPF con las interfaces apropiadas en el cortafuegos.
1. En el peer B de VPN, seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione
el enrutador predeterminado o añada uno nuevo.
2. Seleccione Static Routes (Rutas estáticas) y Add (Añadir) para añadir la dirección IP del túnel como el
próximo salto para el tráfico en la red 172.168.x.x.
Asigne la métrica de ruta deseada; usando un valor bajo se aumenta la prioridad para la selección de
ruta en la tabla de reenvíos.
3. Seleccione OSPF (para IPv4) u OSPFv3 (para IPv6) y seleccione Enable (Habilitar).
4. En este ejemplo, la configuración OSPF para el peer B de VPN es:
• ID del enrutador: 192.168.100.140
• ID de área: 0.0.0.0 se asigna a la interfaz Ethernet1/12 con el tipo de enlace: Broadcast
• ID de área: 0.0.0.10 que se asigna a la interfaz Ethernet1/1 con el tipo de enlace: Broadcast
• ID de área: 0.0.0.20 se asigna a la interfaz Ethernet1/15 con el tipo de enlace: Broadcast
STEP 7 | Cree un perfil de redistribución para inyectar las rutas estáticas en el sistema autónomo OSPF.
1. Cree un perfil de redistribución en el peer B de VPN.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador que
ha usado más arriba.
2. Seleccione Redistribution Profiles (Perfiles de redistribución) y haga clic en Add (Añadir).
3. Introduzca un nombre para el perfil, seleccione Redist y asigne un valor de Priority (Prioridad). Si
ha configurado múltiples perfiles, coincidirá primero el perfil con el valor de propiedad más bajo.
4. Defina Source Type (Tipo de origen) como static (estático) y haga clic en OK (Aceptar). Se usará la
ruta estática definida en el 6-b para la redistribución.
2. Inyecte rutas estáticas en el sistema OSPF.
1. Seleccione OSPF > Export Rules (Reglas de exportación) (para IPv4) u OSPFv3 > Export Rules
(Reglas de exportación) (para IPv6).
2. Haga clic en Add (Añadir) y seleccione el perfil de redistribución que acaba de crear.
3. Seleccione cómo se llevan las rutas externas al sistema OSPF. La opción predeterminada, Ext2,
calcula el coste total de la ruta usando solo métricas externas. Para usar métricas OSPF tanto
internas como externas, use Ext1.
STEP 9 | Cree políticas para permitir el tráfico entre los sitios (subredes).
1. Seleccione Policies (Políticas) > Security (Seguridad).
2. Cree reglas para permitir el tráfico entre la zona no fiable y la zona vpn-tun y la zona vpn-tun y la
zona no fiable para tráfico que se origine desde el origen especificado y las direcciones IP de destino.
LSVPN habilita VPN de sitio a sitio entre cortafuegos de Palo Alto Networks.
Para configurar una VPN de sitio a sitio entre un cortafuegos de Palo Alto
Networks y otro dispositivo, consulte VPN on page 723.
Los siguientes temas describen los componentes de LSVPN y cómo configurarlos para habilitar
servicios de VPN de sitio a sitio entre cortafuegos de Palo Alto Networks:
763
764 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
Descripción general de LSVPN
GlobalProtect proporciona una completa infraestructura para gestionar el acceso seguro a recursos
corporativos desde sus ubicaciones remotas. Esta infraestructura incluye los siguientes componentes:
• Portal de GlobalProtect: Proporciona las funciones de gestión necesarias para su infraestructura de
LSVPN de GlobalProtect. Cada satélite que participa en la LSVPN de GlobalProtect recibe información
de configuración del portal, incluida información de configuración para permitir que los satélites (los
radios) se conecten a las puertas de enlace (los concentradores). El portal se configura en una interfaz de
cualquier cortafuegos de última generación de Palo Alto Networks.
• Puertas de enlace de GlobalProtect: cortafuegos de Palo Alto Networks que proporciona el extremo
del túnel para conexiones de satélites. Los recursos a los que acceden los satélites están protegidos por
la política de seguridad de la puerta de enlace. No es obligatorio tener un portal y una puerta de enlace
separados; un único cortafuegos puede actuar tanto de portal como de puerta de enlace.
• Satélite de GlobalProtect: cortafuegos de Palo Alto Networks en una ubicación remota que establece
túneles de IPSec con las puertas de enlace de sus sedes para lograr un acceso seguro a recursos
centralizados. La configuración del cortafuegos del satélite es mínima, lo que le permite ajustar rápida y
fácilmente su VPN a medida que añada nuevas ubicaciones.
El siguiente diagrama muestra cómo funcionan los componentes de LSVPN de GlobalProtect en conjunto.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 765
© 2017 Palo Alto Networks, Inc.
Creación de interfaces y zonas para la LSVPN
Debe configurar las siguientes interfaces y zonas para su infraestructura de LSVPN:
• Portal de GlobalProtect: requiere una interfaz de capa 3 para que se conecten los satélites de
GlobalProtect. Si el portal y el gateway se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde sus sucursales.
• Gateways de GlobalProtect: Requiere tres interfaces: una interfaz de capa 3 en la zona a la que
pueden acceder los satélites remotos, una interfaz interna en la zona fiable que se conecta con los
recursos protegidos y una interfaz de túnel lógica para finalizar los túneles de VPN desde los satélites. A
diferencia de otras soluciones de VPN de sitio a sitio, el gateway de GlobalProtect solamente requiere
una única interfaz de túnel, que utilizará para las conexiones de túnel con todos sus satélites remotos
(punto a multipunto). Si tiene la intención de utilizar el enrutamiento dinámico, deberá asignar una
dirección IP a la interfaz de túnel. GlobalProtect admite el direccionamiento IPv6 e IPv4 para la interfaz
de túnel.
• Satélite de GlobalProtect: Requiere una única interfaz de túnel para establecer una VPN con
los gateways remotos (hasta un máximo de 25 gateways). Si tiene la intención de utilizar el
enrutamiento dinámico, deberá asignar una dirección IP a la interfaz de túnel. GlobalProtect admite el
direccionamiento IPv6 e IPv4 para la interfaz de túnel.
Si desea más información sobre portales, puertas de enlace y satélites, consulte Descripción general de
LSVPN.
766 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
STEP 2 | En los cortafuegos donde se alojen gateways de GlobalProtect, configure la interfaz de túnel
lógica que finalizará los túneles de VPN establecidos por los satélites de GlobalProtect.
1. Seleccione Network (Red) > Interfaces > Tunnel (Túnel) y haga clic en Add (Añadir).
2. En el campo Interface Name (Nombre de interfaz), especifique un sufijo numérico, como .2.
3. En la pestaña Config (Configurar), amplíe el menú desplegable Security Zone (Zona de seguridad)
para definir la zona del siguiente modo:
• Para usar una zona fiable como punto de finalización del túnel, seleccione la zona en el menú
desplegable.
• (Recomendado) Si desea crear una zona separada para la finalización del túnel de VPN, haga
clic en New Zone (Nueva zona). En el cuadro de diálogo Zona, defina un Name (Nombre) para la
nueva zona (por ejemplo, lsvpn-tun), seleccione la casilla de verificación Enable User Identification
(Habilitar identificación de usuarios) y, a continuación, haga clic en OK (Aceptar).
4. Seleccione el Virtual Router (Enrutador virtual).
5. (Opcional) Para asignar una dirección IP a la interfaz de túnel:
• Para una dirección IPv4, seleccione IPv4 y Add (Añadir) para añadir la dirección IP y la máscara de
red para asignar a la interfaz; por ejemplo, 203.0.11.100/24.
• Para una dirección IPv6, seleccione IPv6, Enable IPv6 on the interface (Habilitar IPv6 en la
interfaz) y Add (Añadir) para añadir la dirección IP y la máscara de red para asignar a la interfaz;
por ejemplo, 2001:1890:12f2:11::10.1.8.160/80.
6. Para guardar la configuración de la interfaz, haga clic en OK (Aceptar).
STEP 3 | Si ha creado una zona separada para la finalización del túnel de las conexiones VPN, cree una
política de seguridad para habilitar el flujo de tráfico entre la zona VPN y su zona fiable.
Por ejemplo, una regla de política habilita el tráfico entre la zona lsvpn-tun y la zona L3-Trust.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 767
© 2017 Palo Alto Networks, Inc.
Habilitación de SSL entre componentes de
LSVPN de GlobalProtect
Toda la interacción entre los componentes de GlobalProtect se realiza a través de una conexión SSL/TLS.
Por lo tanto, debe generar y/o instalar los certificados necesarios antes de configurar cada componente,
de modo que pueda hacer referencia a los certificados y/o perfiles de certificados adecuados en las
configuraciones de cada componente. En las siguientes secciones se describen los métodos compatibles de
implementación de certificados, las descripciones y las directrices de recomendaciones para los diversos
certificados de GlobalProtect, además de ofrecer instrucciones para la generación e implementación de los
certificados necesarios:
• Acerca de la implementación de certificados on page 768
• Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect on page
768
• Implementación de certificados cliente en los satélites de GlobalProtect usando SCEP on page 771
768 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
STEP 1 | En el cortafuegos que aloja el portal GlobalProtect, cree el certificado de CA raíz para la
emisión de certificados autofirmados para los componentes de GlobalProtect.
Creación de un certificado de CA raíz autofirmado:
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Device Certificates (Certificados de dispositivo) y haga clic en Generate (Generar).
2. Introduzca un Certificate Name (Nombre de certificado), como LSVPN_CA.
3. No seleccione ningún valor en el campo Signed By (Firmado por) (esto es lo que indica que está
autofirmado).
4. Seleccione la casilla de verificación Certificate Authority (Autoridad del certificado) y, a continuación,
haga clic en OK (Aceptar) para generar el certificado.
STEP 2 | Cree perfiles de servicio SSL/TLS para el portal y los gateways GlobalProtect.
Para el portal y cada gateway, debe asignar un perfil de servicio SSL/TLS que haga referencia a un único
certificado de servidor autofirmado.
1. Utilice la CA raíz en el portal para la generación de un certificado para cada puerta de enlace que
implemente:
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Device Certificates (Certificados de dispositivo) y haga clic en Generate
(Generar).
2. Introduzca un Certificate Name (Nombre de certificado).
3. Introduzca el FQDN (recomendado) o la dirección IP de la interfaz donde pretende configurar la
puerta de enlace en el campo Common Name (Nombre común).
4. En el campo Signed By (Firmado por), seleccione el certificado LSVPN_CA que acaba de crear.
5. En la sección Atributos del certificado, haga clic en Add (Añadir) y defina los atributos para
identificar de forma exclusiva la puerta de enlace. Tenga en cuenta que si añade un atributo
Host Name (Nombre de host) (que cumplimenta el campo SAN del certificado), debe coincidir
exactamente con el valor que haya definido en el campo Common Name (Nombre común).
6. Seleccione Generate (Generar) el certificado.
2. Configure un perfil de servicio SSL/TLS para el portal y cada puerta de enlace:
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > SSL/TLS
Service Profile (Perfil de servicio SSL/TLS) y haga clic en Add (Añadir).
2. Introduzca un nombre en Name (Nombre) para identificar el perfil y seleccione el Certificate
(Certificado) de servidor que acaba de crear para el portal o puerta de enlace.
3. Defina el intervalo de versiones TLS (Min Version [Versión mín.]) a Max Version [Versión máx.])
permitido para comunicarse con dispositivos satélite y haga clic en OK (Aceptar).
Recomendaciones:
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 769
© 2017 Palo Alto Networks, Inc.
• Exporte los certificados de servidor autofirmados emitidos por la CA raíz desde el portal e impórtelos
en los gateways.
• Asegúrese de emitir un único certificado de servidor para cada gateway.
• El campo de nombre común (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del
certificado deben coincidir con la dirección IP o con el nombre de dominio completo (FQDN) de la
interfaz donde configure el gateway.
1. En el portal, seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates (Certificados) > Device Certificates (Certificados de dispositivo), seleccione el certificado
de puerta de enlace que desea implementar y haga clic en Export (Exportar).
2. Seleccione Encrypted Private Key and Certificate (PKCS12) (Clave privada cifrada y certificado) en el
menú desplegable File Format (Formato de archivo).
3. Introduzca dos veces una Passphrase (Frase de contraseña) para cifrar la clave privada asociada
al certificado y, a continuación, haga clic en OK (Aceptar) para descargar el archivo PKCS12 en su
ordenador.
4. En la puerta de enlace, seleccione Device (Dispositivo) > Certificate Management (Gestión de
certificados) > Certificates (Certificados) > Device Certificates (Certificados de dispositivo) y haga
clic en Import (Importar).
5. Introduzca un Certificate Name (Nombre de certificado).
6. Introduzca la ruta y el nombre en el Certificate File (Archivo de certificado) que acaba de descargar
del portal o seleccione Browse (Examinar) para buscar el archivo.
7. Seleccione Encrypted Private Key and Certificate (PKCS12) (Clave privada cifrada y certificado
[PKCS12]) como el File Format (Formato de archivo).
8. Introduzca la ruta y nombre en el archivo PKCS#12 en el campo Key File (Archivo de clave) o
seleccione Browse (Examinar) para encontrarla.
9. Vuelva a introducir la Passphrase (Frase de contraseña) que usó para cifrar la clave privada cuando la
exportó del portal y después haga clic en OK (Aceptar) para importar el certificado y la clave.
STEP 4 | Importe el certificado de CA raíz utilizado para la emisión de certificados de servidor para los
componentes de LSVPN.
Debe importar el certificado de CA raíz en todas los gateways y los satélites. Por motivos de seguridad,
asegúrese de exportar únicamente el certificado, no la clave privada asociada.
1. Descargue el certificado de CA raíz del portal.
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Device Certificates (Certificados de dispositivo).
2. Seleccione el certificado de CA raíz utilizado para la emisión de certificados para los componentes
de LSVPN y haga clic en Export (Exportar).
3. Seleccione Base64 Encoded Certificate (Certificado codificado en Base64) (PEM) en la lista
desplegable File Format (Formato de archivo) y haga clic en OK (Aceptar) para descargar el
certificado. (No exporte la clave privada).
2. En los cortafuegos que alojan los gateways y los satélites, importe el certificado de CA raíz.
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Device Certificates (Certificados de dispositivo) y haga clic en Import (Importar).
2. Introduzca un Certificate Name (Nombre de certificado) que identifique al certificado como su
certificado de CA de cliente.
3. Seleccione Browse (Examinar) para buscar el Certificate File (Archivo del certificado) que
descargó de la CA.
4. Seleccione Base64 Encoded Certificate (PEM) (Certificado con codificación Base64 [PEM]) como
File Format (Formato de archivo) y, a continuación, haga clic en OK (Aceptar).
770 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
5. Seleccione el certificado que acaba de importar en la pestaña Device Certificates (Certificados de
dispositivos) para abrirlo.
6. Seleccione Trusted Root CA (CA raíz de confianza) y, a continuación, haga clic en OK (Aceptar).
7. Seleccione Commit (Confirmar) para confirmar los cambios.
STEP 2 | (Opcional) Para que la generación de certificados basada en SCEP sea más segura, configure
un mecanismo de respuesta de comprobación de SCEP entre la PKI y el portal de cada solicitud
de certificado.
Luego de configurar este mecanismo, su operación es invisible, y no requerirá que realice otras acciones.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 771
© 2017 Palo Alto Networks, Inc.
Para cumplir con el Estándar federal de procesamiento de información (Federal Information Processing
Standard, FIPS) de EE. UU., utilice una comprobación SCEP dinámica y especifique una URL de servidor
que utilice HTTPS (consulte el paso 7).
Seleccione una de las siguientes opciones:
• None (Ninguna): (valor por defecto) el servidor SCEP no comprueba el portal antes de emitir un
certificado.
• Fixed (Fijo): obtenga la contraseña de comprobación de inscripción del servidor SCEP (por ejemplo,
http://10.200.101.1/CertSrv/mscep_admin/) en la infraestructura PKI y luego copie o
introduzca la contraseña en el campo Password.
• Dynamic (Dinámica): introduzca la Server URL (URL de servidor) de SCEP a la que el portal-cliente
envía estas credenciales (por ejemplo, http://10.200.101.1/CertSrv/mscep_admin/)
y un nombre de usuario y OTP que desee. El nombre de usuario y la contraseña pueden ser las
credenciales del administrador de PKI.
STEP 3 | Especifique los ajustes para la conexión entre el servidor SCEP y el portal, para habilitar el
portal a fin de que solicite y reciba certificados de cliente.
Para identificar el satélite, el portal incluye automáticamente el número de serie del dispositivo en la
solicitud CSR para el servidor SCEP. Debido a que el perfil SCEP requiere un valor en el campo Subject
(Asunto), puede dejar el símbolo $USERNAME por defecto aunque el valor no se use en los certificados
cliente para LSVPN.
1. Configure la Server URL (URL de servidor) que el portal utiliza para llegar al servidor SCEP en la PKI
(por ejemplo, http://10.200.101.1/certsrv/mscep/).
2. Introduzca una cadena (hasta 255 caracteres de extensión) en el campo CA-IDENT Name (Nombre
CA-IDENT) para identificar el servidor SCEP.
3. Seleccione el tipo de nombre de asunto alternativo en Subject Alternative Name Type (Tipo de
nombre de asunto alternativo):
• RFC 822 Name (Nombre RFC 822): introduzca el nombre del correo electrónico en la extensión
de nombre alternativo de asunto o en el asunto del certificado.
• DNS Name (Nombre de DNS): ingrese el nombre de DNS usado para evaluar los certificados.
• Uniform Resource Identifier (Identificador de recurso uniforme): introduzca el nombre del recurso
URI desde el cual el cliente obtendrá el certificado.
• None (Ninguno): no especifique atributos para el certificado.
STEP 5 | (Opcional) Configure los usos permitidos del certificado, ya sea para firma o cifrado.
• Para usar este certificado para la firma, seleccione la casilla de verificación Use as digital signature
(Usar como firma digital). Esto permite que el endpoint use la clave privada en el certificado para
validar una firma digital.
• Para usar este certificado para el cifrado, seleccione la casilla de verificación Use for key
encipherment (Usar para el cifrado de la clave). Esto permite que el cliente use la clave privada en el
certificado para cifrar los datos intercambiados en la conexión HTTPS establecida con los certificados
emitidos por el servidor SCEP.
772 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
STEP 6 | (Opcional) Para garantizar que el portal se conecte al servidor SCEP correcto, introduzca la
huella digital de certificado CA en CA Certificate Fingerprint (Huella de certificado de CA).
Obtenga esta huella en la interfaz del servidor SCEP en el campo Thumbprint.
1. Introduzca la URL para la IU administrativa del servidor SCEP (por ejemplo, http://<hostname or
IP>/CertSrv/mscep_admin/).
2. Copie la huella digital e introdúzcala en el campo CA Certificate Fingerprint (Huella de certificado de
CA).
STEP 7 | Habilite la autenticación SSL mutua entre el servidor SCEP y el portal de GlobalProtect. Esto
es obligatorio para cumplir con el Estándar federal de procesamiento de información (FIPS) de
EE. UU.
Seleccione el certificado de CA raíz del servidor SCEP en CA Certificate (Certificado de CA). De manera
opcional, puede habilitar la autenticación SSL mutua entre el servidor SCEP y el portal de GlobalProtect
seleccionado un Client Certificate (Certificado de cliente).
STEP 9 | (Opcional) Si después de guardar el perfil SCEP el portal no logra obtener el certificado, usted
puede generar manualmente una solicitud de firma de certificado (CSR) del portal.
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Device Certificates (Certificados de dispositivo) y luego haga clic en Generate
(Generar).
2. Introduzca un Certificate Name (Nombre de certificado). Este nombre no puede contener espacios.
3. Seleccione el SCEP Profile (Perfil SCEP) que se debe utilizar para enviar una CSR a la PKI de su
empresa.
4. Haga clic en OK (Aceptar) para enviar la solicitud y generar el certificado.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 773
© 2017 Palo Alto Networks, Inc.
Configuración del portal para autenticar
satélites
Para registrarse en la LSVPN, cada satélite debe establecer una conexión SSL/TLS con el portal. Tras
establecer la conexión, el portal autentica el dispositivo satélite para asegurarse de que está autorizado
para unirse a la LSVPN. Después de autenticar correctamente el satélite, el portal emitirá un certificado
de servidor para el satélite y enviará la configuración de LSVPN que especifica los gateways a los que
puede conectarse el satélite y el certificado de CA raíz necesario para establecer una conexión SSL con los
gateways.
Hay dos formas en las que el satélite puede autenticar en el portal durante su conexión inicial:
• Número de serie: Puede configurar el portal con el número de serie de los cortafuegos satélite
autorizados para unirse a la LSVPN. Durante la conexión inicial del satélite al portal, el satélite presenta
su número de serie al portal y, si el portal tiene el número de serie en su configuración, el satélite se
autenticará correctamente. Los números de serie de los satélites autorizados se añaden al configurar el
portal. Consulte la Configuración del portal.
• Nombre de usuario y contraseña: si prefiere proporcionar sus dispositivos satélite sin introducir
manualmente los números de serie de los dispositivos satélite en la configuración del portal, puede
solicitar al administrador de los dispositivos satélite que los autentique al establecer la conexión inicial
con el portal. Aunque el portal siempre buscará el número de serie en la solicitud inicial del satélite, si
no puede identificar el número de serie, el administrador de satélites deberá proporcionar un nombre
de usuario y una contraseña para autenticarlo en el portal. Debido a que el portal siempre retrocederá
a esta forma de autenticación, debe crear un perfil de autenticación para confirmar la configuración del
portal. Esto requiere que configure un perfil de autenticación para la configuración de LSVPN del portal,
aunque tenga la intención de autenticar los satélites mediante el número de serie.
El siguiente flujo de trabajo describe el modo de configurar el portal para la autenticación de satélites
mediante un servicio de autenticación existente. LSVPN de GlobalProtect admite la autenticación externa
mediante una base de datos local, LDAP (incluido Active Directory), Kerberos o TACACS+ o RADIUS.
774 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
Si utiliza la autenticación local, omita este paso y añada un usuario local para el
administrador de dispositivos satélite; consulte Añada la cuenta de usuario a la base de
datos local.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 775
© 2017 Palo Alto Networks, Inc.
Configuración de puertas de enlace de
GlobalProtect para LSVPN
Puesto que la configuración de GlobalProtect que el portal entrega a los satélites incluye la lista de puertas
de enlace a los que puede conectarse el satélite, es recomendable configurar las puertas de enlace antes de
configurar el portal.
Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes:
• Creación de interfaces y zonas para la LSVPN on page 766 en la interfaz donde pretende configurar cada
puerta de enlace. Debe configurar tanto la interfaz física como la interfaz de túnel virtual.
• Habilitación de SSL entre componentes de LSVPN de GlobalProtect on page 768 al configurar los
certificados de servidor de puerta de enlace, los perfiles de servicio SSL/TLS y el perfil de certificado
necesario para establecer una conexión SSL/TLS mutua desde los dispositivos satélite GlobalProtect con
la puerta de enlace.
Configure cada puerta de enlace de GlobalProtect para que participe en la LSVPN de la manera siguiente:
STEP 2 | Especifique la información de red que permita a los satélites conectarse a la puerta de enlace.
Si aún no ha creado la interfaz de red para la puerta de enlace, consulte las instrucciones de Creación de
interfaces y zonas para la LSVPN on page 766.
1. Seleccione la Interfaz que utilizarán los satélites para acceder a la puerta de enlace.
2. Especifique el IP Address Type (Tipo de dirección IP) y la IP address (Dirección IP) para el acceso a la
puerta de enlace:
• El tipo de dirección IP puede ser IPv4 (únicamente), IPv6 (únicamente) o IPv4 e IPv6. Utilice
IPv4 e IPv6 si su red admite dos configuraciones de pila, donde IPv4 y IPv6 se ejecutan al mismo
tiempo.
• La dirección IP debe ser compatible con el tipo de dirección IP. Por ejemplo, 172.16.1/0 para las
direcciones IPv4 o 21DA:D3:0:2F3B para las direcciones IPv6. Para las configuraciones de pila
doble, introduzca una dirección IPv4 e IPv6.
3. Haga clic en OK (Aceptar) para guardar los cambios.
STEP 3 | Especifique de qué manera la puerta de enlace autentica los dispositivos satélite al intentar
establecer túneles. Si aún no ha creado un certificado de servicio SSL/TLS para la puerta de
enlace, consulte Implementación de certificados de servidor en los componentes de LSVPN de
GlobalProtect on page 768.
Si no ha configurado aún los perfiles de autenticación o del certificado, consulte las instrucciones de
Configuración del portal para autenticar satélites on page 774.
776 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
Si no ha configurado aún el perfil de certificado, consulte las instrucciones de Habilitación de SSL entre
componentes de LSVPN de GlobalProtect on page 768.
En el cuadro de diálogo de configuración de la puerta de enlace de GlobalProtect, seleccione
Authentication y luego configure cualquiera de las siguientes opciones:
• Para proteger la comunicación entre la puerta de enlace y los dispositivos satélite, seleccione SSL/
TLS Service Profile (Perfil de servicio SSL/TLS) para la puerta de enlace.
• Para especificar el perfil de autenticación para usar en la autenticación de dispositivos satélite,
seleccione Add (Añadir) para añadir una autenticación de cliente. Luego, introduzca un nombre en
Name para identificar configuración y seleccione OS: Satellite (Satélite) para aplicar la configuración
a todos los dispositivos satélite y especifique el Authentication Profile (Perfil de autenticación) para
usar al autenticar el dispositivo satélite. También puede seleccionar un Certificate Profile (Perfil de
certificado) que debe utilizar la puerta de enlace para autenticar dispositivos satélite que intenten
establecer túneles.
Si existen varias sesiones dentro del túnel (cada una con un valor TOS diferente),
el copiar el encabezado TOS puede hacer que los paquetes IPSec lleguen
desordenados.
STEP 6 | Seleccione el perfil criptográfico IPSec que debe utilizarse al establecer conexiones de túnel.
El perfil especifica el tipo de cifrado de IPSec y/o el método de autenticación para proteger los datos
que atraviesen el túnel. Dado que ambos extremos del túnel de una LSVPN son cortafuegos fiables de
su organización, por lo general puede utilizar el perfil predeterminado, que utiliza el protocolo ESP como
protocolo IPSec, el grupo DH 2, el cifrado AES-128-CBC y la autenticación SHA-1.
Seleccione default (predeterminado) en el menú desplegable IPSec Crypto Profile (Perfil criptográfico
IPSec) para usar el perfil por defecto o seleccione New IPSec Crypto Profile (Nuevo perfil criptográfico
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 777
© 2017 Palo Alto Networks, Inc.
IPSec) para definir un nuevo perfil. Si desea información detallada sobre las opciones de autenticación y
cifrado, consulte Definición de perfiles criptográficos IPSec on page 741.
STEP 7 | Configure los ajustes de red para asignar los satélites durante el establecimiento del túnel de
IPSec.
También puede configurar el dispositivo satélite para que envíe la configuración DNS
a sus clientes locales al configurar un servidor DHCP en el cortafuegos que aloja al
dispositivo satélite. En esta configuración, el satélite enviará la configuración DNS que
obtenga de la puerta de enlace a los clientes DHCP.
Tenga en cuenta que, en este caso, todo el tráfico excepto el destinado a la subred
local se enviará a la puerta de enlace a través de túnel.
• Para enrutar únicamente parte del tráfico a través de la puerta de enlace (lo que se denomina
túneles divididos), especifique las subredes de destino que deberán tunelizarse. En este caso, el
satélite enrutará el tráfico no destinado a una ruta de acceso especificada mediante su propia
tabla de rutas. Por ejemplo, puede decidir tunelizar únicamente el tráfico destinado a su red
corporativa y utilizar el satélite local para permitir el acceso a Internet de forma segura.
• Si desea habilitar el enrutamiento entre satélites, introduzca la ruta de resumen para la red
protegida por cada satélite.
STEP 8 | (Opcional) Defina qué rutas, si las hubiera, aceptará la puerta de enlace de los satélites.
De manera predeterminada, la puerta de enlace no añadirá ninguna ruta que los satélites anuncien en su
tabla de rutas. Si no desea que la puerta de enlace acepte rutas de puerta de enlace, no necesita realizar
este paso.
1. Para habilitar la puerta de enlace para que acepte rutas anunciadas por dispositivos satélite,
seleccione Satellite (Satélite) > Route Filter (Filtro de ruta).
2. Seleccione la casilla de verificación Accept published routes (Aceptar rutas publicadas).
3. Para filtrar cuáles de las rutas anunciadas por los satélites deben añadirse a la tabla de rutas de la
puerta de enlace, haga clic en Add (Añadir) y, a continuación, defina las subredes que hay que incluir.
Por ejemplo, si todos los satélites están configurados con la subred 192.168.x.0/24 en el extremo de
la LAN, configurando una ruta permitida de 192.168.0.0/16 para habilitar la puerta de enlace con el
fin de que solamente acepte rutas del satélite si está en la subred 192.168.0.0/16.
778 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
STEP 9 | Guarde la configuración de la puerta de enlace.
1. Haga clic en OK (Aceptar) para guardar los ajustes y cierre el cuadro de diálogo GlobalProtect
Gateway Configuration (Configuración de la puerta de enlace de GlobalProtect).
2. Seleccione Commit (Confirmar) para confirmar la configuración.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 779
© 2017 Palo Alto Networks, Inc.
Configuración del portal de GlobalProtect para
LSVPN
El portal de GlobalProtect proporciona las funciones de gestión para su LSVPN de GlobalProtect. Todos los
sistemas satélite que participan en la LSVPN reciben información de configuración desde el portal, incluida
información sobre los gateways disponibles, así como el certificado que necesitan para conectarse a los
gateways.
Las siguientes secciones describen los procedimientos para configurar el portal:
• Tareas previas del portal de GlobalProtect para LSVPN on page 780
• Configuración del portal on page 780
• Definición de las configuraciones de satélites on page 781
STEP 2 | Especifique la información de red que permita a los satélites conectarse al portal.
Si no ha creado la interfaz de red para el portal, consulte la Creación de interfaces y zonas para LSVPN
para obtener instrucciones.
1. Seleccione la Interfaz que utilizarán los satélites para acceder al portal.
2. Especifique el IP Address Type (Tipo de dirección IP) y la IP address (Dirección IP) para acceder por
satélite al portal:
• El tipo de dirección IP puede ser IPv4 (solo para tráfico IPv4), IPv6 (solo para tráfico IPv6, o IPv4
and IPv6 (IPv4 y IPv6). Utilice IPv4 e IPv6 si su red admite dos configuraciones de pila, donde
IPv4 y IPv6 se ejecutan al mismo tiempo.
780 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
• La dirección IP debe ser compatible con el tipo de dirección IP. Por ejemplo, 172.16.1/0 para
direcciones IPv4 o 21DA:D3:0:2F3B para direcciones IPv6. En las dos configuraciones de pila,
introduzca una dirección IPv4 y una dirección IPv6.
3. Haga clic en OK (Aceptar) para guardar los cambios.
STEP 3 | Seleccione el perfil de servicio SSL/TLS que se debe usar para permitir que el dispositivo
satélite establezca una conexión SSL/TLS con el portal.
Si todavía no ha creado un perfil de servicio SSL/TLS para el portal y emitió certificados de puerta de
enlace, consulte la Implementación de certificados de servidores en los componentes de LSVPN de
GlobalProtect.
1. En el cuadro de diálogo de configuración del portal de GlobalProtect, seleccione Authentication.
2. Seleccione SSL/TLS Service Profile (Perfil de servicio SL/TLS).
Si el portal no puede validar los números de serie de los dispositivos satélite en conexión,
volverá al perfil de autenticación. Por lo tanto, antes de guardar la configuración del
portal (al hacer clic en OK [Aceptar]), debe realizar la Configuración de un perfil de
autenticación.
Seleccione Add (Añadir) para añadir una autenticación de cliente y luego introduzca un nombre en
Name para identificar la configuración y seleccione OS: Satellite para aplicar la configuración a todos
los dispositivos satélite y especifique el Authentication Profile (Perfil de autenticación) para usar
al autenticar los dispositivos satélite. También puede especificar un Certificate Profile (Perfil de
certificado) que debe utilizar el portal para autenticar dispositivos satélite.
STEP 5 | Proceda a definir las configuraciones que deben enviarse a los dispositivos satélite o, si ya ha
creado las configuraciones de los dispositivos satélite, guarde la configuración del portal.
Haga clic en OK (Aceptar) para guardar la configuración del portal o continúe para llevar a cabo la
Definición de las configuraciones de satélites.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 781
© 2017 Palo Alto Networks, Inc.
Utilice el siguiente procedimiento para crear una o más configuraciones de satélites.
STEP 2 | Especifique los dispositivos satélite en los cuales implementar esta configuración.
El portal utiliza los ajustes Enrollment User/User Group (Usuario de inscripción/Grupo de usuarios) y/
o los números de serie de Devices (Dispositivos) para hacer coincidir un satélite con una configuración.
Por lo tanto, si tiene múltiples configuraciones, asegúrese de ordenarlas correctamente. En cuanto el
portal encuentre una coincidencia, distribuirá la configuración. Así, las configuraciones más específicas
deberán preceder a las más generales. Consulte en el paso 5 para conocer las instrucciones sobre cómo
ordenar la lista de configuraciones de satélites.
Especifique los criterios de coincidencia para la configuración de satélite de la manera siguiente:
• Para restringir esta configuración a dispositivos satélite con números de serie específicos, seleccione
la pestaña Devices (Dispositivos), haga clic en Add (Añadir), e introduzca un número de serie (no
necesita introducir el nombre de host del dispositivo satélite; se añadirá automáticamente cuando el
satélite se conecte). Repita este paso para cada satélite que quiera que reciba esta configuración.
• Seleccione la pestaña Enrollment User/User Group (Usuario de inscripción/Grupo de usuarios),
haga clic en Add (Añadir) y, a continuación, seleccione el usuario o grupo que quiera que reciba esta
configuración. Los satélites que no coinciden en el número de serie deberán autenticarse como un
usuario especificado aquí (bien como un usuario individual, bien como un miembro de grupo).
782 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
Para poder restringir la configuración a grupos específicos, debe asignar usuarios a
grupos.
STEP 3 | Especifique los gateways con los que los satélites con esta configuración podrán establecer
túneles de VPN.
Las rutas publicadas por el gateway se instalan en el satélite como rutas estáticas. La
medida para la ruta estática es 10 veces la prioridad de enrutamiento. Si tiene más
de un gateway, asegúrese también de establecer la prioridad de enrutamiento para
garantizar que las rutas anunciadas por gateways de reserva tienen medidas más
altas en comparación con las mismas rutas anunciadas por gateways principales. Por
ejemplo, si establece la prioridad de enrutamiento para el gateway principal y el gateway
de reserva como 1 y 10 respectivamente, el satélite utilizará 10 como medida para el
gateway principal y 100 como medida para el gateway de reserva.
STEP 5 | Prepare las configuraciones de satélites para que se implemente la configuración correcta en
cada satélite.
• Para subir una configuración de satélite en la lista de configuraciones, selecciónela y haga clic en
Move Up (Mover hacia arriba).
• Para bajar una configuración de satélite en la lista de configuraciones, selecciónela y haga clic en
Move Down (Mover hacia abajo).
STEP 6 | Especifique los certificados necesarios para permitir a los satélites participar en la LSVPN.
1. En el campo Trusted Root CA (CA raíz de confianza), haga clic en Add (Añadir) y, a continuación,
seleccione el certificado de CA utilizado para emitir los certificados de servidor de la puerta de enlace.
El portal implementará los certificados de CA raíz que añada aquí a todos los satélites como parte de
la configuración para habilitar el satélite con el fin de que pueda establecer una conexión SSL con los
gateways. Se recomienda usar el mismo emisor para todos los gateways.
2. Seleccione el método de distribución de Client Certificate (Certificado de cliente):
• Para almacenar los certificados de cliente en el portal: seleccione Local y seleccione el certificado
de CA raíz que el portal utilizará para emitir certificados cliente para satélites tras autenticarlos
correctamente desde el menú desplegable Issuing Certificate (Emisor del certificado).
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 783
© 2017 Palo Alto Networks, Inc.
Si el certificado de CA raíz utilizado para emitir sus certificados de servidor de la
puerta de enlace no está en el portal, haga clic en Import (Importar) para importarlo
ahora. Consulte Habilitación de SSL entre componentes de LSVPN de GlobalProtect
para obtener información detallada sobre cómo importar un certificado de CA raíz.
• Para habilitar el portal para que actúe como cliente SCEP para solicitar y emitir certificados
de cliente de forma dinámica: seleccione SCEP y luego seleccione el perfil SCEP utilizado para
generar CSR para su servidor SCEP.
Si aún no ha configurado el portal para que funcione como cliente SCEP, puede
añadir un nuevo perfil SCEP ahora haciendo clic en New (Nuevo). Consulte
Implementación de certificados de cliente en los satélites de GlobalProtect usando
SCEP para obtener detalles.
784 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
Preparación del satélite para unirse a la LSVPN
Para participar en la LSVPN, los dispositivos satélite necesitan una cantidad mínima de configuración.
Debido a que la configuración exigida es mínima, puede preconfigurar los dispositivos satélite antes de
enviarlos a sus sucursales para su instalación.
STEP 1 | Configure una interfaz de capa 3 (consulte Configuración de interfaces de capa 3).
Esta es la interfaz física que el satélite utilizará para conectarse al portal y a la puerta de enlace.
Esta interfaz debe estar en una zona que permita el acceso fuera de la red fiable local. La práctica
recomendada es crear una zona específica para conexiones de VPN con el fin de lograr visibilidad y
control sobre el tráfico destinado a las puertas de enlace corporativas.
STEP 2 | Configure la interfaz de túnel lógica para el túnel que deberá utilizarse para establecer túneles
de VPN con las puertas de enlace de GlobalProtect.
1. Seleccione Network (Red) > Interfaces > Tunnel (Túnel) y haga clic en Add (Añadir).
2. En el campo Interface Name (Nombre de interfaz), especifique un sufijo numérico, como .2.
3. En la pestaña Config (Configuración), amplíe el menú desplegable Security Zone (Zona de seguridad)
y seleccione una zona existente o cree una zona separada para el tráfico de túnel de VPN haciendo
clic en New Zone (Nueva zona) y definiendo un Name (Nombre) para la nueva zona (por ejemplo,
lsvpnsat).
4. En el menú desplegable Virtual Router (Enrutador virtual), seleccione default (predeterminado).
5. (Opcional) Para asignar una dirección IP a la interfaz de túnel:
• Para una dirección IPv4, seleccione IPv4 y Add (Añadir) para añadir la dirección IP y la máscara de
red para asignar a la interfaz; por ejemplo, 203.0.11.100/24.
• Para una dirección IPv6, seleccione IPv6, Enable IPv6 on the interface (Habilitar IPv6 en la
interfaz) y Add (Añadir) para añadir la dirección IP y la máscara de red para asignar a la interfaz;
por ejemplo, 2001:1890:12f2:11::10.1.8.160/80.
6. Para guardar la configuración de la interfaz, haga clic en OK (Aceptar).
STEP 3 | Si generó el certificado de servidor del portal mediante una CA raíz que no es de confianza para
los satélites (por ejemplo, si utilizó certificados autofirmados), importe el certificado de CA raíz
utilizado para emitir el certificado de servidor del portal.
El certificado de CA raíz es obligatorio para habilitar el dispositivo satélite con el fin de que establezca la
conexión inicial con el portal para obtener la configuración de LSVPN.
1. Descargue el certificado de CA que se utilizó para generar los certificados de servidor del portal.
Si está utilizando certificados autofirmados, exporte el certificado de CA raíz desde el portal de la
manera siguiente:
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Device Certificates (Certificados de dispositivo).
2. Seleccione el certificado de CA y haga clic en Export (Exportar).
3. Seleccione Certificado codificado en Base64 (PEM) (Certificado codificado en Base64 ([PEM]) en
la lista desplegable File Format (Formato de archivo) y haga clic en OK (Aceptar) para descargar el
certificado. (No necesita exportar la clave privada.)
2. Importe el certificado de CA raíz que acaba de exportar en cada satélite de la manera siguiente.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 785
© 2017 Palo Alto Networks, Inc.
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Device Certificates (Certificados de dispositivo) y haga clic en Import (Importar).
2. Introduzca un Certificate Name (Nombre de certificado) que identifique al certificado como su
certificado de CA de cliente.
3. Seleccione Browse (Examinar) para buscar el archivo del certificado que descargó de la CA.
4. Seleccione Base64 Encoded Certificate (PEM) (Certificado con codificación Base64 [PEM]) como
File Format (Formato de archivo) y, a continuación, haga clic en OK (Aceptar).
5. Seleccione el certificado que acaba de importar en la pestaña Device Certificates (Certificados de
dispositivos) para abrirlo.
6. Seleccione Trusted Root CA (CA raíz de confianza) y, a continuación, haga clic en OK (Aceptar).
STEP 5 | (Opcional) Configure el satélite para publicar rutas locales en la puerta de enlace.
Enviar rutas a la puerta de enlace permite el tráfico de las subredes locales al satélite a través de la
puerta de enlace. Sin embargo, también debe configurar la puerta de enlace para aceptar las rutas como
se detalla en Configuración de puertas de enlace de GlobalProtect para LSVPN
1. Para permitir que el satélite envíe rutas a la puerta de enlace, en la pestaña Advanced (Avanzado),
seleccione Publish all static and connected routes to Gateway (Publicar todas las rutas estáticas y
conectadas a la puerta de enlace).
Si selecciona esta casilla de verificación, el cortafuegos reenviará todas las rutas estáticas y
conectadas desde el satélite a la puerta de enlace. Sin embargo, para evitar la creación de bucles de
enrutamiento, el cortafuegos aplicará algunos filtros de ruta como los siguientes:
• Rutas predeterminadas
• Las rutas de un enrutador virtual distinto de los enrutadores virtuales asociados con la interfaz de
túnel.
• Rutas que usan la interfaz de túnel
• Rutas que usan la interfaz física asociada con la interfaz de túnel
2. (Opcional) Si solamente desea enviar rutas para subredes específicas en lugar de a todas las rutas,
haga clic en Add (Añadir) en la sección Subred y especifique qué rutas de subredes deben publicarse.
STEP 7 | Si se le pide, proporcione las credenciales para permitir que el satélite se autentique en el
portal.
Este paso solamente es obligatorio si el portal no ha podido encontrar un número de serie coincidente en
su configuración o si el número de serie no ha funcionado. En este caso, el satélite no podrá establecer el
túnel con las puertas de enlace.
786 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
1. Seleccione Network (Red) > IPSec Tunnels (Túneles de IPSec) y haga clic en el enlace Gateway Info
(Información de puerta de enlace) en la columna Status (Estado) de la configuración de túnel que creó
para la LSVPN.
2. Haga clic en el enlace enter credentials (introducir credenciales) del campo Portal Status (Estado del
portal) e introduzca el nombre de usuario y la contraseña necesarios para autenticar el satélite en el
portal.
Después de que el satélite se autentique correctamente en el portal, recibirá su certificado firmado
y su configuración, que deberá utilizar para conectarse a las puertas de enlace. Debería ver cómo se
establece el túnel y cómo cambia el Status (Estado) a Active (Activo).
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 787
© 2017 Palo Alto Networks, Inc.
Verificación de la configuración de LSVPN
Después de configurar el portal, las puertas de enlace y los dispositivos satélite, verifique que los
dispositivos satélite puedan conectarse al portal y a la puerta de enlace, y establecer túneles de VPN con las
puertas de enlace.
788 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
Configuraciones rápidas de LSVPN
Las siguientes secciones proporcionan instrucciones detalladas para configurar algunas implementaciones
comunes de LSVPN de GlobalProtect:
• Configuración básica de LSVPN con rutas estáticas on page 789
• Configuración avanzada de LSVPN con enrutamiento dinámico on page 791
• Configuración avanzada de LSVPN con iBGP on page 793
El siguiente flujo de trabajo muestra los pasos para establecer esta configuración básica:
STEP 2 | En los cortafuegos donde se alojen puertas de enlace de GlobalProtect, configure la interfaz de
túnel lógica que finalizará los túneles de VPN establecidos por los satélites de GlobalProtect.
Para permitir la visibilidad de los usuarios y grupos que se conecten a través de la VPN,
habilite User-ID en la zona donde finalicen los túneles de VPN.
En este ejemplo, la interfaz de túnel del portal/puerta de enlace requiere la siguiente configuración:
• Interface (Interfaz): túnel.1
• Security Zone (Zona de seguridad): lsvpn-tun
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 789
© 2017 Palo Alto Networks, Inc.
STEP 3 | Cree la regla de políticas de seguridad para habilitar el flujo de tráfico entre la zona de la VPN
donde finaliza el túnel (lsvpn-tun) y la zona fiable donde residen las aplicaciones corporativas
(L3-Trust).
Consulte Creación de una regla de política de seguridad.
STEP 4 | Asigne un perfil de servicio SSL/TLS al portal/puerta de enlace. El perfil debe hacer referencia a
un certificado de servidor autofirmado.
El nombre de asunto del certificado debe coincidir con el FQDN o la dirección IP de la interfaz de capa 3
que cree para el portal/puerta de enlace.
1. En el cortafuegos que aloja el portal GlobalProtect, cree el certificado de CA raíz para la emisión de
certificados autofirmados para los componentes de GlobalProtect. En este ejemplo, el certificado de
CA raíz, lsvpn-CA, se utilizará para emitir el certificado de servidor para el portal/puerta de enlace.
Además, el portal utilizará este certificado de CA raíz para firmar las CSR de los dispositivos satélite.
2. Cree perfiles de servicio SSL/TLS para el portal y las puertas de enlace de GlobalProtect.
Como el portal y la puerta de enlace estarán en la misma interfaz en este ejemplo, pueden compartir
un perfil de servicio SSL/TLS que usa el mismo certificado de servidor. En este ejemplo, el perfil se
denomina lsvpnserver.
STEP 6 | Configure un perfil de autenticación para que lo utilice el portal si el número de serie del
satélite no está disponible.
1. Cree un tipo de perfil de servidor en el portal:
• Añada un perfil de servidor RADIUS.
790 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
• IP Pool (Grupo de IP): 2.2.2.111-2.2.2.120
• Access Route (Ruta de acceso): 10.2.10.0/24
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 791
© 2017 Palo Alto Networks, Inc.
• Configuración de OSPF de punto a multipunto (P2MP) en el enrutador virtual en todos los gateways
y todos los satélites. Además, como parte de la configuración de OSPF de cada gateway, debe definir
manualmente la dirección IP de túnel de cada satélite como un vecino OSPF. Del mismo modo, en cada
satélite, debe definir manualmente la dirección IP de túnel de cada gateway como un vecino OSPF.
Aunque el enrutamiento dinámico requiere una configuración adicional durante la configuración inicial de
la LSVPN, reduce las tareas de mantenimiento asociadas a la actualización de las rutas a medida que se
producen cambios de topología en su red.
La siguiente ilustración muestra una configuración de enrutamiento dinámico de LSVPN. Este ejemplo
muestra cómo configurar OSPF como el protocolo de enrutamiento dinámico para la VPN.
Para realizar una configuración básica de una LSVPN, siga los pasos de Configuración básica de LSVPN con
enrutamiento estático. A continuación, podrá realizar los pasos del siguiente flujo de trabajo para ampliar la
configuración con el fin de utilizar el enrutamiento dinámico en lugar de rutas estáticas.
STEP 1 | Añada una dirección IP a la configuración de interfaz de túnel en cada gateway y cada satélite.
Realice los siguientes pasos en cada gateway y cada satélite:
1. Seleccione Network (Red) > Interfaces > Tunnel (Túnel) y seleccione la configuración de túnel que
creó para la LSVPN, para abrir el cuadro de diálogo Tunnel Interface (Interfaz de túnel).
Si aún no ha creado la interfaz de túnel, consulte el paso 2 en Creación de interfaces y zonas para la
LSVPN.
2. En la pestaña IPv4, haga clic en Añadir y, a continuación, introduzca una dirección IP y una máscara
de subred. Por ejemplo, para añadir una dirección IP para la interfaz de túnel de gateway, debería
introducir 2.2.2.100/24.
3. Haga clic en OK (Aceptar) para guardar la configuración.
792 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
7. Haga clic en Ok (Aceptar) dos veces para guardar la configuración del enrutador virtual y, a
continuación, haga clic en Commit (Confirmar) para confirmar los cambios en la puerta de enlace.
8. Repita este paso cada vez que añada un nuevo satélite a la LSVPN.
STEP 4 | Verifique que los gateways y los satélites pueden formar adyacencias de enrutador.
• En cada satélite y cada gateway, confirme que se han formado adyacencias de peer y que se han
creado entradas de tabla de rutas para los peers (es decir, que los satélites tienen rutas hacia los
gateways y los gateways tienen rutas hacia los satélites). Seleccione Network (Red) > Virtual Router
(Enrutador virtual) y luego haga clic en el enlace More Runtime Stats (Más estadísticas de tiempo de
ejecución) para el enrutador virtual que está utilizando para la LSVPN. En la pestaña Enrutamiento,
verifique que el peer de la LSVPN tiene una ruta.
• En la pestaña OSPF > Interface (Interfaz), verifique que el Type (Tipo) sea p2mp.
• En la pestaña OSPF > Neighbor (Vecino), verifique que los cortafuegos que alojan a sus puertas de
enlace hayan establecido adyacencias de enrutador con los cortafuegos que alojan a sus satélites
y viceversa. Verifique también que el Estado es Completo, lo que indica que se han establecido
adyacencias completas.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 793
© 2017 Palo Alto Networks, Inc.
En este ejemplo de configuración, un par HA activo/pasivo de cortafuegos PA-5050 se implementa en
el centro de datos primarios (activo) y actúa como el portal y puerta de enlace primaria. El centro de
datos de recuperación ante desastres también posee dos PA-5050 en un par HA activo/pasivo que actúa
como la puerta de enlace LSVPN de respaldo. El portal y las puertas de enlace actúan como 500 PA-200
implementados como satélites LSVPN en las sucursales.
Ambos centros de datos anuncian las rutas, pero con diferentes métricas. Como resultado, los satélites
prefieren e instalan las rutas de centros de datos activos. Sin embargo, las rutas de respaldo también existen
en la base de información de enrutamiento (routing information base, RIB). Si el centro de datos activo
falla, las rutas anunciadas por el centro de datos se eliminan y reemplazan por rutas del centro de datos de
recuperación ante desastres. El tiempo de conmutación por error depende de la selección de los tiempos de
iBGP y la convergencia de enrutamiento asociada con iBGP.
El siguiente flujo de trabajo muestra los pasos para configurar esta implementación:
794 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
• Interfaz: ethernet1/1
• IPv4: 172.16.13.1/22
• Zona: L3-Trust
• Interfaz: ethernet1/2,1
• IPv4: 200.101.1.1/24
STEP 2 | En los cortafuegos donde se alojen gateways de GlobalProtect, configure la interfaz de túnel
lógica que finalizará los túneles de VPN establecidos por los satélites de GlobalProtect.
Puerta de enlace primaria:
• Interfaz: tunnel.5
• IPv4: 10.11.15.254/22
• Zona: LSVPN-Tunnel-Primary
Puerta de enlace de respaldo:
• Interfaz: tunnel.1
• IPv4: 10.11.15.245/22
• Zona: LSVPN-Tunnel-Backup
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 795
© 2017 Palo Alto Networks, Inc.
1. Seleccione Network (Red) > GlobalProtect > Gateways (Puertas de enlace) y haga clic en Add
(Añadir).
2. En la pestaña General, nombre la puerta de enlace primaria como LSVPN-Scale.
3. En Network Settings (Configuración de red), seleccione ethernet1/21 como la puerta de enlace
primaria e introduzca 172.16.22.1/24 como la dirección IP.
4. En la pestaña Authentication (Autenticación), seleccione el certificado de escala LSVPN creado en el
paso 3.
5. Seleccione Satellite (Satélite) > Tunnel Settings (Ajustes de túnel) y seleccione Tunnel Configuration
(Configuración de túnel). Configure la Tunnel Interface (Interfaz de túnel) en tunnel.5. Todos los
satélites en este caso de uso se conectan con una misma puerta de enlace, por lo que se necesita una
sola configuración de satélite. Los satélites son cotejados según el número de serie, por lo que no se
necesitarán satélites para autenticarse como usuario.
6. En Satellite (Satélite) > Network Settings (Configuración de red), defina el grupo de direcciones IP
para asignar a la interfaz de túnel en el satélite una vez que se establece la conexión VPN. Debido a
que este caso de uso utiliza un enrutamiento dinámico, el ajuste de las rutas de acceso permanece en
blanco.
7. Repita los pasos del 1 al 5 en la puerta de enlace de respaldo con los siguientes ajustes:
• Name (Nombre): LSVPN de respaldo
• Interfaz de puerta de enlace: ethernet1/5
• IP de puerta de enlace: 172.16.22.25/24
• Certificado de servidor: LSVPN-backup-GW-cert
• Interfaz de túnel: tunnel.1
STEP 5 | Configure iBGP en las puertas de enlace primaria y de respaldo, y añada un perfil de
redistribución para permitir que los satélites introduzcan rutas locales nuevamente en las
puertas de enlace.
Cada oficina satélite gestiona su propia red y cortafuegos, por lo que el perfil de redistribución
denominado ToAllSat se configura para redistribuir las rutas locales nuevamente a la puerta de enlace de
GlobalProtect.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y Add (Añadir) para añadir un
enrutador virtual.
2. En Router Settings (Configuración de enrutador), añada el Name (Nombre) y la Interface (Interfaz)
para el enrutador virtual.
3. En Redistribution Profile (Perfil de redistribución) y seleccione Add (Añadir).
1. Nombre el perfil de redistribución ToAllSat y configure la Priority (Prioridad) en 1.
2. Configure Redistribute (Redistribuir) en Redist (Redistribución).
3. Seleccione Add (Añadir) ethernet1/23 en la lista desplegable de la interfaz.
4. Haga clic en OK (Aceptar).
4. Seleccione BGP en el enrutador virtual para configurar BGP.
1. En BGP > General, seleccione Enable (Habilitar).
2. Ingrese la dirección IP de la puerta de enlace como la Router ID (ID de enrutador) (172.16.22.1)
y 1000 como el AS Number (Número AS).
3. En la sección Options (Opciones), seleccione Install Route (Instalar ruta).
4. En BGP > Peer Group (Grupo de peer), haga clic en Add (Añadir) para añadir un grupo de peer con
todos los satélites que se conectarán a la puerta de enlace.
5. En BGP > Redist Rules (Reglas de distribución), seleccione Add (Añadir) para añadir el perfil de
distribución ToAllSat que creó anteriormente.
5. Haga clic en OK (Aceptar).
796 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
© 2017 Palo Alto Networks, Inc.
6. Repita los pasos del 1 al 5 en la puerta de enlace de respaldo usando ethernet1/6 para el perfil de
distribución.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 797
© 2017 Palo Alto Networks, Inc.
STEP 8 | Verifique la configuración de LSVPN.
798 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
Networking
Todos los cortafuegos de próxima generación de Palo Alto Networks® proporcionan una
arquitectura de red flexible que incluye la compatibilidad con el enrutamiento dinámico, la
conmutación y la conectividad de VPN, lo que le permite implementar el cortafuegos en
prácticamente cualquier entorno de red. Al configurar los puertos Ethernet en su cortafuegos,
podrá elegir entre una implementación de interfaz de Virtual Wire, capa 2 o capa 3. Además,
para permitirle integrar una variedad de segmentos de red, podrá configurar diferentes tipos de
interfaces en diferentes puertos.
Los siguientes temas describen conceptos de redes y cómo integrar cortafuegos de próxima
generación de Palo Alto Networks en su red.
799
800 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Networking
© 2017 Palo Alto Networks, Inc.
Configuración de interfaces
Un cortafuegos de última generación Palo Alto Networks puede funcionar en múltiples implementaciones
a la vez porque las implementaciones se producen en el nivel de la interfaz. Por ejemplo, puede configurar
algunas interfaces para que las interfaces de capa 3 integren el cortafuegos a su entorno de enrutamiento
dinámico y configurar otras interfaces de modo que se integren en su red de conmutación de capa 2.
Los siguientes temas describen cada tipo de implementación de interfaz y cómo configurar los tipos de
interfaces correspondientes:
• Interfaces de modo tap
• interfaces de cables virtuales
• Interfaces de capa 2
• Interfaces de capa 3
• Configuración de los grupos de interfaces de agregación
• Uso de los perfiles de gestión de interfaz para restringir el acceso
En una implementación de modo tap, el cortafuegos no puede realizar ninguna acción como
bloquear el tráfico o aplicar controles QoS.
Si no desea utilizar el cable virtual preconfigurado, debe eliminar esta configuración para
evitar que interfiera con otra configuración del cortafuegos. Consulte el Establecimiento de
acceso a la red para servicios externos.
Cuando configure un cable virtual, utilice dos puertos que funcionen a la misma velocidad de
enlace para que funcionen correctamente.
Para que los grupos de interfaces agregados funcionen correctamente, asegúrese de que
todos los enlaces del mismo grupo de LACP en el mismo lado del cable virtual se asignen a
la misma zona.
• Configure dos interfaces Ethernet con el tipo Virtual Wire y asigne estas interfaces a un Virtual Wire.
• Cree subinterfaces en el Virtual Wire principal para separar el tráfico del cliente A del cliente B.
Asegúrese de que las etiquetas VLAN definidas en cada par de subinterfaces configuradas como
Virtual Wire sean idénticas. Esto es esencial, porque un Virtual Wire no conmuta etiquetas VLAN.
• Cree nuevas subinterfaces y defina clasificadores IP. Esta tarea es opcional y solamente es necesaria
si desea añadir subinterfaces adicionales con clasificadores IP para gestionar de manera más
exhaustiva el tráfico de un cliente basándose en la combinación de etiquetas VLAN y una dirección IP
de origen, intervalo o subred en concreto.
También puede utilizar clasificadores IP para gestionar el tráfico sin etiquetar. Para ello, debe crear una
subinterfaz con la etiqueta VLAN “0” y definir subinterfaces con clasificadores IP para gestionar el tráfico
sin etiquetar mediante clasificadores IP.
Figure 11: Implementación de Virtual Wire con subinterfaces (únicamente etiquetas VLAN)
Implementación de Virtual Wire con subinterfaces (únicamente etiquetas VLAN) muestra al cliente A y al
cliente B conectados al cortafuegos mediante una interfaz física, Ethernet 1/1, configurada como Virtual
Wire, que es la interfaz de entrada. Una segunda interfaz física, Ethernet1/2, también forma parte del
Virtual Wire y se utiliza como la interfaz de salida que proporciona acceso a Internet.
Para el cliente A, también tiene las subinterfaces Ethernet 1/1.1 (entrada) y Ethernet 1/2.1 (salida). Para el
cliente B, tiene las subinterfaces Ethernet 1/1.2 (entrada) y Ethernet 1/2.2 (salida). Cuando configure las
subinterfaces, debe asignar la etiqueta VLAN y la zona correctas para aplicar las políticas a cada uno de los
clientes. En este ejemplo, las políticas del cliente A se crean entre la zona 1 y la zona 2, y las políticas del
cliente B se crean entre la zona 3 y la zona 4.
Cuando el tráfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta VLAN del paquete
entrante primero deberá coincidir con la etiqueta VLAN definida en las subinterfaces de entrada. En
este ejemplo, solo una subinterfaz coincide con la etiqueta VLAN en el paquete entrante, por lo que se
seleccionará esa subinterfaz. Las políticas definidas para la zona se evalúan y aplican antes de que el
paquete salga de la subinterfaz correspondiente.
No debe definirse la misma etiqueta VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas VLAN definidas en la lista Tag Allowed (Etiquetas
Implementación de Virtual Wire con subinterfaces (etiquetas VLAN y clasificadores IP) muestra al cliente A
y al cliente B conectados a un cortafuegos físico que tiene dos sistemas virtuales (vsys), además del sistema
virtual predeterminado (vsys1). Cada sistema virtual es un cortafuegos virtual independiente que se gestiona
por separado para cada cliente. Cada vsys tiene adjuntadas interfaces/subinterfaces y zonas de seguridad
que se gestionan de manera independiente.
Figure 12: Implementación de Virtual Wire con subinterfaces (etiquetas VLAN y clasificadores IP)
Vsys1 está configurado para utilizar las interfaces físicas Ethernet 1/1 y Ethernet 1/2 como Virtual Wire;
Ethernet 1/1 es la interfaz de entrada y Ethernet 1/2 es la interfaz de salida que proporciona el acceso
a Internet. Este Virtual Wire está configurado para aceptar todo el tráfico etiquetado y sin etiquetar a
excepción de las etiquetas VLAN 100 y 200, que están asignadas a las subinterfaces.
El cliente A se gestiona en vsys2 y el cliente B se gestiona en vsys3. En vsys2 y vsys3, se crean las siguientes
subinterfaces de Virtual Wire con las etiquetas VLAN y las zonas adecuadas para aplicar las medidas
incluidas en las políticas.
Cuando el tráfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta VLAN del paquete
entrante primero deberá coincidir con la etiqueta VLAN definida en las subinterfaces de entrada. En este
caso, para el cliente A, hay varias subinterfaces que utilizan la misma etiqueta VLAN. De este modo, el
cortafuegos primero acota la clasificación a una subinterfaz basándose en la dirección IP de origen del
paquete. Las políticas definidas para la zona se evalúan y aplican antes de que el paquete salga de la
subinterfaz correspondiente.
Para el tráfico de ruta de retorno, el cortafuegos compara la dirección IP de destino del modo definido en
el clasificador IP en la subinterfaz del cliente y selecciona el Virtual Wire adecuado para enrutar el tráfico a
través de la subinterfaz precisa.
No debe definirse la misma etiqueta VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas VLAN definidas en la lista Tag Allowed (Etiquetas
permitidas) de la interfaz de Virtual Wire principal (Network [Red] > Virtual Wires [Cables
virtuales]) no se incluyan en una subinterfaz.
STEP 5 | Cree una zona de seguridad para cada una de las interfaces de cable virtual.
1. Seleccione Network (Red) > Zones (Zonas) y Add (Añadir) para añadir una zona.
2. Ingrese un nombre para la zona en Name, tal como Internet.
3. Para Location (Ubicación), seleccione el sistema virtual al que se aplica la zona.
4. Para Type (Tipo), seleccione Virtual Wire (Cable virtual).
5. Seleccione Add (Añadir) para añadir la Interface (Interfaz) que pertenece a la zona, Ethernet 1/3.
6. Haga clic en OK (Aceptar).
7. Repita estos pasos para añadir Ethernet 1/4 a otra zona.
STEP 6 | (Opcional) Cree reglas de política de seguridad para permitir el paso del tráfico de capa 3.
1. Para permitir el tráfico de capa 3 en el cable virtual, cree una regla de política de seguridad para
permitir el tráfico desde la zona de usuario a la zona de Internet, y otra para permitir el tráfico desde
la zona de Internet a la zona de usuario, al seleccionar las aplicaciones que desea permitir, tal como
BGP u OSPF.
STEP 9 | (Opcional) Configure un perfil LLDP y aplíquelo a las interfaces de cable virtual.
STEP 10 | (Opcional) Aplique control de protocolo no IP a las zonas de cable virtual. De lo contrario,
todo el tráfico no IP se reenviará por el cable virtual.
Configure la protección de protocolo.
Interfaces de capa 2
En una implementación de capa 2, el cortafuegos permite cambiar entre dos o más redes. Los dispositivos
se conectan a una trama de capa 2; el cortafuegos reenvía las tramas al puerto adecuado, que se asocia a la
dirección MAC que se identifica en la trama. Realice la Configuración de una interfaz de capa 2 cuando se
requiera la conmutación.
En una implementación de capa 2, el cortafuegos reescribe el número de ID de VLAN del puerto entrante
(PVID) en un árbol de conmutación por VLAN (PVST+) Cisco o una unidad de datos para protocolo puente
(BPDU) de PVST+ rápido con el número de ID de VLAN entrante adecuado y lo reenvía. El cortafuegos
reescribe dichas BPDU en las interfaces Ethernet de capa 2 y Ethernet de agregación (Aggregated Ethernet,
AE) únicamente.
El conmutador Cisco debe tener el loopguard deshabilitado para que PVST+ o la BPDU de
PVST+ rápido reescriba la función correctamente en el cortafuegos.
Los siguientes temas describen los diferentes tipos de interfaces de capa 2 que puede configurar para cada
tipo de implementación que necesita, lo que incluye los detalles sobre la utilización de LAN virtuales (VLAN)
para la separación del tráfico y la política en los grupos.
• Interfaces de capa 2 sin LAN
• Interfaces de capa 2 con LAN
• Configure la interfaz de capa 2
• Configuración de una interfaz de capa 2, una subinterfaz y una VLAN
STEP 1 | Configure una interfaz de capa 2 y una subinterfaz, y asigne una ID de VLAN.
1. Seleccione Network (Redes) > Interfaces (Interfaces) > Ethernet y seleccione una interfaz. El
Interface Name (Nombre de la interfaz) es fijo, como ethernet1/1.
STEP 3 | (Opcional) Aplique un perfil de protección de zona con protección de protocolo para controlar
paquetes de protocolo no IP entre zonas de capa 2 (o entre interfaces dentro de una zona de
capa 2).
Configuración de la protección de protocolos.
Interfaces de capa 3
En una implementación de capa 3, el cortafuegos enruta el tráfico entre múltiples puertos. Antes de que
pueda realizar la Configuración de interfaces de capa 3, debe configurar los enrutadores virtuales que desea
que el cortafuegos utilice para enrutar el tráfico para cada interfaz de capa 3.
Los siguientes temas describen cómo configurar interfaces de capa 3, y cómo utilizar el protocolo de
detección de vecinos (NDP) para suministrar hosts IPv6 y visualizar las direcciones IPv6 de los dispositivos
en la red local del enlace para ubicar dispositivos con rapidez.
• Configuración de interfaces de capa 3
• Gestión de hosts IPv6 con NDP
Si está utilizando rutas IPv6, puede configurar el cortafuegos para que proporcione anuncios de enrutador
IPv6 para la configuración DNS. El cortafuegos proporciona a los clientes DNS IPv6 direcciones de servidor
DNS recursivas (RDNS) y una lista de búsqueda DNS para que el cliente pueda resolver sus solicitudes DNS
IPv6. Por lo tanto, el cortafuegos actúa como un servidor DHCPv6 para usted.
1. Seleccione Network (Red) > Interfaces y Ethernet, VLAN, loopback (bucle invertido) o Tunnel
(Túnel).
2. Seleccione la interfaz que desea configurar.
3. En la pestaña IPv4, configure el Type (Tipo) en PPPoE.
4. En la pestaña General, seleccione Enable (Habilitar) para activar la interfaz para la finalización de
PPPoE.
5. Introduzca el Username (Nombre de usuario) de la conexión de punto a punto.
6. Introduzca la Password (Contraseña) para el nombre de usuario y seleccione Confirm Password
(Confirmar contraseña).
7. Haga clic en OK (Aceptar).
STEP 4 | Configure una interfaz como cliente DHCP, para que reciba una dirección IPv4 asignada
dinámicamente.
1. Seleccione Network (Red) > Interfaces y Ethernet, VLAN, loopback (bucle invertido) o Tunnel
(Túnel).
2. Seleccione la interfaz que desea configurar.
3. En la pestaña IPv4, configure el Type (Tipo) en DHCP Client (Cliente DHCP).
4. Seleccione Enable (Habilitar) para activar el cliente DHCP en la interfaz.
5. Seleccione Automatically create default route pointing to default gateway provided by server
(Crear ruta predeterminada automáticamente que apunte a la puerta de enlace predeterminada
proporcionada por el servidor) para crear de manera automática una ruta predeterminada que apunte
a la puerta de enlace predeterminada que proporciona el servidor DHCP.
6. (Opcional) Introduzca una Default Route Metric (Métrica de ruta predeterminada) (nivel de prioridad)
para la ruta predeterminada que el cortafuegos utiliza para la selección de ruta (el intervalo es de 1 a
65.535; no hay valor predeterminado). Cuanto más bajo sea el valor, más alta será la prioridad.
7. Haga clic en OK (Aceptar).
STEP 6 | (Interfaz Ethernet o VLAN usando una dirección IPv6 únicamente) Habilite el cortafuegos para que
envíe los anuncios de enrutador IPv6 (RA) desde una interfaz y, opcionalmente, para que ajuste
los parámetros RA.
Ajuste los parámetros RA por cualquiera de estos motivos: Para interoperar con un
enrutador/host que utilice diferentes valores. Para lograr una convergencia más rápida
cuando haya varias puertas de enlace presentes. Por ejemplo, configure valores de Min
Interval (Intervalo mínimo), Max Interval (Intervalo máximo) y Router Lifetime (Duración
del enrutador) más bajos para que el cliente/host IPv6 pueda cambiar rápidamente
la puerta de enlace predeterminada después de que haya fallado la puerta de enlace
principal, e iniciar el envío a otra puerta de enlace predeterminada en la red.
STEP 7 | (Interfaz Ethernet o VLAN usando una dirección IPv6 únicamente) Especifique las direcciones del
servidor DNS recursivo y la lista de búsqueda de DNS que el cortafuegos anunciará en los
anuncios de enrutador ND desde esta interfaz.
Los servidores RDNS y la lista de búsqueda DNS son parte de la configuración DNS para el cliente DNS,
de manera que el cliente pueda resolver las solicitudes DNS IPv6.
1. Seleccione Network (Red) > Interfaces y Ethernet o VLAN.
2. Seleccione la interfaz que está configurando.
3. Seleccione IPv6 > DNS Support (Soporte DNS).
4. Seleccione Include DNS information in Router Advertisement (Incluir información DNS en el anuncio
de enrutador) para habilitar el cortafuegos para que envíe información DNS IPv6.
5. Para el Server (Servidor) DNS, seleccione Add (Añadir) para añadir la dirección IPv6 de un servidor
DNS recursivo. Seleccione Add (Añadir) para añadir hasta ocho servidores DNS recursivos.
El cortafuegos envía direcciones de servidor en un anuncio de enrutador ICMPv6 en orden
descendente.
6. Especifique la Lifetime (Duración) en segundos, que es la extensión de tiempo máxima durante la que
el cliente puede usar el servidor RDNS específico para resolver nombres de dominio.
• El intervalo de la Lifetime (Duración) es cualquier valor igual o entre el Max Interval (Intervalo
máximo) (que configuró en la pestaña Router Advertisement [Anuncio de enrutador]) y dos veces
STEP 12 | Configure rutas estáticas o un protocolo de enrutamiento dinámico (RIP, OSPF o BGP), para
que el enrutador virtual pueda enrutar el tráfico.
• Configuración de una ruta estática
• RIP
• OSPF
• BGP
La capacidad del cortafuegos de enviar RA IPv6 para la configuración del DNS le permite al
cortafuegos realizar una función similar al DHCP y no se relaciona con el cortafuegos como
proxy DNS, cliente DNS o servidor DNS.
Después de configurar el cortafuegos con las direcciones de los servidores RDNS, el cortafuegos suministra
un host IPv6 (el cliente DNS) con esas direcciones. El host IPv6 utiliza una o más de estas direcciones para
alcanzar un servidor RDNS. El DNS recursivo corresponde a una serie de solicitudes DNS de un servidor
RDNS, como se muestra con tres pares de consultas y respuestas en la siguiente figura. Por ejemplo, cuando
un usuario intenta acceder a www.paloaltonetworks.com, el explorador local detecta que esa dirección IP
para ese nombre de dominio no se encuentra en su almacenamiento en caché ni en el sistema operativo
del cliente. El sistema operativo del cliente inicia una consulta DNS para un servidor DNS recursivo
perteneciente al ISP local.
Un anuncio de enrutador IPv6 puede incluir varias opciones de dirección de servidor DNS recursivo y cada
opción posee una duración similar o diferente. Una opción única de dirección de servidor DNS recursivo
STEP 1 | Permita que el cortafuegos envíe anuncios de enrutadores IPv6 desde una interfaz.
1. Seleccione Network (Red) > Interfaces (Interfaces) y Ethernet o VLAN.
2. Seleccione la interfaz que desee configurar.
3. En la pestaña IPv6, seleccione Enable IPv6 on the interface (Habilitar las direcciones IPv6 en la
interfaz).
4. En la pestaña Router Advertisement (Anuncios de enrutadores), seleccione Enable Router
Advertisement (Habilitar anuncios de enrutadores).
5. Haga clic en OK (Aceptar).
STEP 2 | Especifique las direcciones del servidor DNS recursivo y la lista de búsqueda de DNS que el
cortafuegos anunciará en los anuncios de enrutadores de ND de esta interfaz.
Los servidores de RDNS y la lista de búsqueda de DNS forman parte de la configuración del cliente de
DNS, lo que permite al cliente resolver las solicitudes de DNS IPv6.
1. Seleccione Network (Red) > Interfaces (Interfaces) y Ethernet o VLAN.
2. Seleccione la interfaz que desee configurar.
3. Seleccione IPv6 > DNS Support (Asistencia de DNS).
4. Haga clic en Include DNS information in Router Advertisement (Incluir información de DNS en los
anuncios de enrutadores) para permitir que el cortafuegos envíe información de DNS IPv6.
5. En el Server (Servidor) DNS, haga clic en Add (Añadir) para añadir la dirección IPv6 de un servidor
DNS recursivo. Add (Añada) hasta ocho servidores DNS recursivos. El cortafuegos envía direcciones
de servidor en un anuncio de enrutadores ICMPv6 desde el principio al final.
6. Especifique la Lifetime (Duración) en segundos, que es el período de tiempo máximo durante el cual
el cliente puede utilizar un servidor RDNS específico para resolver los nombres del dominio.
Monitorización NDP
El protocolo de detección de vecinos (NDP) para la dirección IPv6 (RFC 4861) lleva a cabo funciones
similares a las funciones de ARP para IPv4. El cortafuegos predeterminado ejecuta el NDP, que utiliza
paquetes ICMPv6 para encontrar y rastrear las direcciones de capa de enlace y el estado de los vecinos en
los enlaces conectados.
Habilitar supervisión NDP on page 820 de modo que pueda visualizar las direcciones IPv6 de los
dispositivos en la red local del enlace, sus direcciones MAC, el nombre de usuario asociado de User-ID (si
el usuario de ese dispositivo utilizó un servicio de directorio para iniciar sesión), el estado de alcance de la
dirección, y la última fecha y hora informada en la que el supervisor NDP recibió un anuncio de enrutador
de esta dirección IPv6. El nombre de usuario depende del mejor caso; pueden existir varios dispositivos IPv6
en una red sin nombre de usuario, como las impresoras, los equipos de fax, los servidores, etc.
Si desea rastrear con rapidez un dispositivo y un usuario que violó una regla de seguridad, es útil que la
dirección IPv6, la dirección MAC y el nombre de usuario se muestren en un lugar. Necesita la dirección
MAC que corresponde a la dirección IPv6 para rastrear la dirección MAC de vuelta a un conmutador físico o
punto de acceso.
No se garantiza que la supervisión de NDP descubra todos los dispositivos debido a que
podría haber otros dispositivos de red entre el cortafuegos y el cliente que filtra mensajes de
NDP o detección de direcciones duplicadas (DAD). El cortafuegos solo puede supervisar los
dispositivos que encuentra en la interfaz.
La supervisión de NDP también supervisa los paquetes de detección de direcciones duplicadas (DAD) de
clientes y vecinos. También puede supervisar los logs de ND IPv6 para facilitar la resolución de problemas.
La supervisión de NDP admite interfaces Ethernet, subinterfaces, interfaces Ethernet de agregación e
interfaces VLAN en todos los modelos PAN-OS.
Habilitar supervisión NDP
Realice esta tarea para habilitar la supervisión NDP en una interfaz.
Cada fila de la tabla detallada de supervisión NDP de la interfaz muestra la dirección IPv6 de
un vecino que descubrió el cortafuegos, la dirección MAC correspondiente, la ID de usuario
correspondiente (basada en el mejor caso), estado de alcance de la dirección, y última fecha y hora
informada en la que este supervisor NDP recibió un RA de esta dirección IP. Una ID de usuario no se
mostrará en las impresoras u otros hosts no basados en un usuario. Si el estado de la dirección IP es
antiguo, se desconoce si el vecino es alcanzable, según RFC 4861.
En la esquina inferior derecha, se encuentra el contador de Total Devices Detected (Dispositivos
totales detectados) en la red local del enlace.
• Introduzca una dirección IPv6 en el campo de filtro para buscar la dirección que desea mostrar.
• Seleccione las casillas de verificación para mostrar o no mostrar las direcciones IPv6.
• Haga clic en los números, la flecha derecha o izquierda, o la barra de desplazamiento vertical para
avanzar a través de las entradas.
• Haga clic en Clear All NDP Entries (Borrar todas las entradas de NDP) para borrar toda la tabla.
Antes de configurar un grupo de agregación, debe configurar sus interfaces. Entre las interfaces asignadas
a cualquier grupo de agregación particular, el soporte físico del hardware puede ser diferente (por ejemplo,
puede mezclar fibra óptica y cobre), pero el ancho de banda y el tipo de interfaz deben ser los mismos. Las
opciones de ancho de banda y tipo de interfaz son las siguientes:
• Ancho de banda: 1 Gbps, 10 Gbps, 40 Gbps o 100 Gbps
• Tipo de interfaz: HA3, Virtual Wire, capa 2 o capa 3. Puede agregar las interfaces HA3 (reenvío de
paquetes) en una configuración activa/activa de alta disponibilidad (high availability, HA), pero solo en
cortafuegos de la serie PA-500, serie PA-3000 y serie PA-5000.
Se recomienda configurar un peer LACP como activo y el otro como pasivo. LACP
no puede funcionar si los dos peers son pasivos. El cortafuegos no puede detectar el
modo de su dispositivo peer.
3. Configure la Transmission Rate (Tasa de transmisión) para la consulta LACP e intercambios de
respuesta en Slow (Lenta) (cada 30 segundos, el valor por defecto) o Fast (Rápida) (cada segundo).
Base su selección en el nivel de procesamiento LACP que admite la red y con qué velocidad los peers
LACP deben detectar y resolver fallos de interfaz.
4. Seleccione Fast Failover (Conmutación por error rápida) si desea habilitar la conmutación por error
a una interfaz en espera en menos de un segundo. Por defecto, la opción está deshabilitada y el
cortafuegos utiliza el estándar IEEE 802.1ax para el procesamiento de conmutación por error, que
demora al menos tres segundos.
Si selecciona esta opción, no puede seleccionar Same System MAC Address for
Active-Passive HA (Misma dirección MAC del sistema para HA activo-pasivo); la
negociación previa requiere direcciones MAC de interfaz únicas en cada cortafuegos
HA.
7. (Opcional) Para los cortafuegos activos/pasivos únicamente, seleccione Same System MAC Address
for Active-Passive HA (Misma dirección MAC del sistema para HA activo-pasivo) y especifique una
sola MAC Address (Dirección MAC) para ambos cortafuegos HA. Esta opción minimiza la latencia
de conmutación por error si los peers LACP están virtualizados (aparecen en la red como un solo
dispositivo). Por defecto, esta opción está deshabilitada: cada cortafuegos de un par en HA tiene una
única dirección MAC.
Cuando los peers del LACP no se virtualizan, utilizar las direcciones MAC únicas
minimiza la latencia de la conmutación por error.
STEP 4 | Si los cortafuegos tienen una configuración activa/activa y usted está agregando interfaces
HA3, habilite el reenvío de paquetes para el grupo de agregación.
1. Seleccione Device (Dispositivo) > High Availability (Alta disponibilidad) > Active/Active Config
(Config. activa/activa), y edite la sección Packet Forwarding (Reenvío de paquetes).
2. Seleccione el grupo de agregación que configuró para HA3 Interface (Interfaz HA3) y haga clic en OK
(Aceptar).
STEP 3 | Establezca las distancias administrativas para las rutas estáticas y el enrutamiento dinámico.
Establezca las distancias administrativas para los tipos de rutas como sea necesario para su red.
Cuando el enrutador virtual tiene dos o más rutas diferentes hacia el mismo destino, utiliza la distancia
Consulte ECMP si desea aprovechar varias rutas a igual coste para el reenvío.
STEP 5 | Configure las interfaces Ethernet, VLAN, de bucle invertido y de túnel como sea necesario.
Configuración de interfaces de capa 3.
2. Seleccione Customize (Personalizar) y realice una de las siguientes tareas para crear una ruta de
servicio:
• Para un servicio predefinido:
• Seleccione IPv4 o IPv6 y haga clic en el enlace del servicio cuya ruta de servicio desea
personalizar.
Next VR (Siguiente El cortafuegos utiliza la dirección IP de origen de la ruta estática como la dirección
VR) de origen en el ping ICMP. La interfaz de salida se basa en el resultado de
búsqueda del enrutador virtual de próximo salto. La dirección IP de destino
configurada del destino controlado como es la dirección de destino del ping.
None (Ninguno) El cortafuegos utiliza la dirección IP de destino del control de ruta como el
próximo salto y envía el ping de ICMP a la interfaz especificada en la ruta estática.
Cuando el control de ruta para una ruta estática o predeterminada falla, el cortafuegos registra un evento
crítico (ruta-control-fallo). Cuando la ruta estática o predeterminada se recupera, el cortafuegos registra
otro evento crítico (ruta-contro-recuperación).
El cortafuegos sincroniza las configuraciones de control de ruta para una implementación HA activa/pasiva,
pero el cortafuegos bloquea los paquetes de ping ICMP de salida en un peer HA pasivo, debido a que no
procesa activamente el tráfico. El cortafuegos no sincroniza las configuraciones de control de ruta para las
implementaciones HA activas/activas.
5. (Opcional) Especifique el Ping Interval (sec) (Intervalo de ping [s]) ICMP en segundos para
determinar con qué frecuencia el cortafuegos supervisará la ruta (el intervalo es de 1 a 60 y el valor
predeterminado es 3).
6. (Opcional) Especifique el Ping Count (Recuento de pings) ICMP de paquetes que no regresan del
destino para que el cortafuegos considere la ruta estática como inactiva y la elimine de RIB y FIB (el
intervalo es de 3 a 10; el valor predeterminado es 5).
7. Haga clic en OK (Aceptar).
STEP 3 | Determine si el control de ruta para la ruta estática se basa en uno o todos los destinos
controlados, y configure el tiempo de retención preferente.
Seleccione All (Todos) para evitar la posibilidad de que un solo destino controlado
designe un fallo de ruta cuando, por ejemplo, el destino esté simplemente fuera de
línea para el mantenimiento.
2. (Opcional) Especifique el Preemptive Hold Time (min) (Tiempo de espera preferente [s]), que es la
cantidad de minutos que un monitor de ruta inactivo debe permanecer en estado activo para que
el cortafuegos vuelva a instalar la ruta estática en RIB. El monitor de ruta evalúa todos sus destinos
controlados para la ruta estática y aparece según la condición de fallo de Any (Cualquiera) o All
(Todos). Si el enlace se desactiva o fluctúa durante el tiempo de espera, cuando el enlace vuelve
a estar activo, el monitor de ruta puede volver a activarse; el temporizador se reinicia cuando el
monitor de ruta regresa al estado activo.
Un Preemptive Hold Time (Tiempo de espera preferente) de cero hace que el cortafuegos vuelva a
instalar la ruta en el RIB inmediatamente después de que el monitor de ruta se activa. El intervalo es
de 0 a 1,440; el valor predeterminado es 2.
3. Haga clic en OK (Aceptar).
STEP 6 | Visualice el RIB y FIB para verificar que la ruta estática se haya eliminado.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y en la fila del enrutador virtual
en el que está interesado, seleccione More Runtime Stats (Más estadísticas de tiempo de ejecución).
2. En la pestaña Routing (Enrutamiento), seleccione Route Table (Tabla de rutas) (RIB) y luego la
Forwarding Table (Tabla de reenvío) (FIB) para visualizar cada una, respectivamente.
3. Seleccione Unicast (Unidifusión) o Multicast (Multidifusión) para visualizar la tabla de rutas
correspondiente.
Para visualizar los eventos registrados para el control de ruta, seleccione Monitor
(Supervisar) > Logs > System (Sistema). Verifique la entrada para path-monitor-
failure (ruta-control-fallo), que indica el control de ruta para un destino de ruta estática
fallido, de tal forma que la ruta se eliminó. Verifique la entrada para path-monitor-
recovery (ruta-control-recuperación), que indica el control de ruta para un destino de
ruta estática recuperado, de tal forma que la ruta se restauró.
Conceptos de OSPF
Los siguientes temas presentan los conceptos de OSPF que debe comprender para configurar el
cortafuegos con el fin de que participe en una red OSPF:
• OSPFv3
• Vecinos OSPF
• Áreas OSPF
• Tipos de enrutadores OSPF
OSPFv3
OSPFv3 permite la compatibilidad con el protocolo de enrutamiento OSPF dentro de una red IPv6. Como
tal, permite la compatibilidad con direcciones y prefijos IPv6. Conserva la mayor parte de la estructura y las
funciones de OSPFv2 (para IPv4) con algunos cambios menores. A continuación se indican algunas de las
adiciones y los cambios en OSPFv3:
• Compatibilidad con varias instancias por enlace: con OSPFv3, puede ejecutar varias instancias del
protocolo OSPF a través de un único enlace. Esto se consigue al asignar un número de ID de instancia de
OSPFv3. Una interfaz que esté asignada a un ID de instancia descartará paquetes que contengan un ID
diferente.
• Procesamiento de protocolos por enlace: OSPFv3 funciona según enlace en lugar de hacerlo según
subred IP como en OSPFv2.
Vecinos OSPF
Dos enrutadores con OSPF conectados por una red común y en la misma área OSPF que forman una
relación son vecinos OSPF. La conexión entre estos enrutadores puede ser a través de un dominio
de difusión común o mediante una conexión de punto a punto. Esta conexión se realiza a través del
intercambio de paquetes de saludo del protocolo OSPF. Estas relaciones de vecinos se utilizan para
intercambiar actualizaciones de enrutamiento entre enrutadores.
Áreas OSPF
OSPF funciona en un único sistema autónomo (AS). No obstante, las redes de dentro de este AS único
pueden dividirse en distintas áreas. De manera predeterminada, se crea el área 0. El área 0 puede funcionar
por sí sola o actuar como la red troncal de OSPF para un mayor número de áreas. Cada área OSPF recibe
un nombre que es un identificador de 32 bits, el cual, en la mayoría de los casos, se escribe en la misma
notación decimal con puntos que una dirección IP4. Por ejemplo, el área 0 suele escribirse como 0.0.0.0.
La topología de un área se mantiene en su propia base de datos de estados de enlaces y se oculta de otras
áreas, lo que reduce la cantidad de tráfico de enrutamiento que necesita OSPF. A continuación, la topología
se comparte de manera resumida entre áreas mediante un enrutador de conexión.
Área troncal El área troncal (Área 0) es el núcleo de una red OSPF. El resto de las áreas
se conectan a ella y todo el tráfico entre las áreas debe atravesarla. Todo
el enrutamiento entre las áreas se distribuye a través del área troncal.
Si bien el resto de las áreas OSPF deben conectarse al área troncal, esta
conexión no tiene que ser directa y puede realizarse a través de un enlace
virtual.
Área OSPF normal En un área OSPF normal no hay restricciones; el área puede aceptar todo
tipo de rutas.
Área OSPF de código Un área de código auxiliar no recibe rutas de otros sistemas autónomos.
auxiliar El enrutamiento desde el área de código auxiliar se realiza a través de la
ruta predeterminada hasta el área troncal.
Área de NSSA El área de NSSA (Not So Stubby Area) es un tipo de área de código
auxiliar que puede importar rutas externas con algunas excepciones
limitadas.
Configuración de OSPF
OSPF determina las rutas de forma dinámica obteniendo la información de otros enrutadores y anunciando
las rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El enrutador mantiene la
información sobre los enlaces entre él y el destino y puede realizar decisiones de enrutamiento con gran
eficiencia. Se asigna un coste a cada interfaz de enrutador y las mejores rutas son aquellas con menor coste,
después de sumar todas las interfaces de enrutador saliente detectadas y la interfaz que recibe los LSA.
Las técnicas jerárquicas se utilizan para limitar el número de rutas que se deben anunciar y los LSA
asociados. Como OSPF procesa dinámicamente una cantidad considerable de información de enrutamiento,
tiene mayores requisitos de procesador y memoria que RIP.
Configuración de OSPFv3
OSPFv3 admite IPv4 e IPv6. Usted debe usar OSPFv3 si está utilizando IPv6.
STEP 1 | Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador
virtual que desea configurar.
STEP 2 | Seleccione OSPF > Advanced (Avanzado) o OSPFv3 > Advanced (Avanzado).
STEP 5 | Configure un Max Neighbor Restart Time (Tiempo máx. de reinicio del mismo nivel) en
segundos.
STEP 1 | Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y en la misma fila del
enrutador virtual en el que está interesado, haga clic en el enlace More Runtime Stats (Más
estadísticas de tiempo de ejecución).
STEP 2 | Seleccione Routing (Enrutamiento) > Route Table (Tabla de rutas) y examine la columna Flags
(Marcas) de la tabla de enrutamiento para determinar qué rutas ha obtenido OSPF.
STEP 1 | Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y en la misma fila del
enrutador virtual en el que está interesado, haga clic en el enlace More Runtime Stats (Más
estadísticas de tiempo de ejecución).
STEP 2 | Seleccione OSPF > Neighbor (Vecino) y examine la columna Status (Estado) para determinar si
se establecieron adyacencias OSPF.
STEP 2 | Seleccione OSPF > Neighbor (Vecino) y examine la columna Status (Estado) para determinar si
se establecieron adyacencias OSPF (completas).
MP-BGP
BGP admite prefijos de unidifusión IPv4, pero una red BGP que utiliza rutas multidifusión IPv4 o prefijos de
unidifusión IPv6 necesita BGP multiptotocolo (MP-BGP) a fin de intercambiar rutas de tipos de direcciones
que no sean unidifusión IPv4. MP-BGP permite a los peers BGP que transporten rutas multidifusión IPv4 y
rutas unidifusión IPv6 en paquetes de actualización, además de las rutas unidifusión IPv4 que los peers BGP
pueden transportar sin habilitar MP-BGP.
De esta manera, MP-BGP proporciona conectividad IPv6 para sus redes BGP que utilizan IPv6 nativa o
IPv4 e IPv6 de pila doble. Los proveedores de servicio pueden ofrecer servicio IPv6 a sus clientes y las
empresas pueden usar servicio IPv6 de los proveedores de servicio. El cortafuegos y un peer BGP pueden
comunicarse entre sí usando direcciones IPv6.
A fin de que BGP admita protocolos de capa de red múltiples (que no sea BGP para IPv4), extensiones
multiprotocolo para BGP-4 (RFC 4760), utilice la información de disponibilidad de capa de red (Network
Layer Reachability Information, NLRI) en un atributo NLRI alcanzable multiprotocolo que el cortafuegos
envía y recibe en paquetes de actualización BGP. El atributo contiene información sobre el prefijo de
destino, incluidos estos dos identificadores:
El uso de tablas de rutas de unidifusión y multidifusión separadas le brinda mayor flexibilidad y control
cuando configura estas funciones BGP:
• Instale una ruta estática IPv4 en la tabla de rutas de unidifusión o multidifusión, o ambas, según se
describió en el ejemplo anterior. (Puede instalar una ruta estática IPv6 en la tabla de ruta de unidifusión
únicamente).
• Cree una regla de importación para que cualquier prefijo que coincida con los criterios se importen en la
tabla de rutas de unidifusión o multidifusión, o ambas.
• Cree una regla de exportación para que cualquier prefijo que coincida con los criterios se exporten
(envíen al peer) desde la tabla de rutas de unidifusión o multidifusión, o ambas.
Configuración de BGP
Realice la siguiente tarea para configurar BGP.
STEP 2 | Habilite BGP para el enrutador virtual, asigne una ID de enrutador y asigne el enrutador virtual
a un AS.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione un enrutador virtual.
2. Seleccione BGP.
3. Seleccione Enable (Habilitar) para habilitar BGP para este enrutador virtual.
4. Asigne un Router ID (ID de enrutador) a BGP para el enrutador virtual, que generalmente es una
dirección IPv4, para garantizar que el ID de enrutador sea único.
5. Asigne el AS Number, el número AS al que pertenece el enrutador virtual, en función del ID del
enrutador. El intervalo es de 1-4.294.967.295.
6. Haga clic en OK (Aceptar).
STEP 6 | Configure un peer BGP que pertenezca al grupo de peers y especifique su direccionamiento.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione un enrutador virtual.
2. Seleccione BGP > Peer Group (Grupo de peers) y seleccione el grupo de peers que creó.
3. Para el peer, seleccione Add (Añadir) para añadir un peer por Name (Nombre).
4. Seleccione Enable (Habilitar) para activar el peer.
5. Introduzca el Peer AS al cual pertenece el peer.
6. Seleccione Addressing (Direccionamiento).
7. Para Local Address (Dirección local), seleccione la Interface (Interfaz) para la cual está configurando
BGP. Si la interfaz tiene más de una dirección IP, introduzca la dirección IP para que esa interfaz sea
el peer BGP.
8. Para la Peer Address (Dirección del peer), ingrese la dirección IP del peer BGP.
9. Haga clic en OK (Aceptar).
STEP 8 | Configure el peer BGP con los ajustes para el cliente reflector de ruta, tipo de emparejamiento,
prefijos máximos y detección de reenvío bidireccional (BFD).
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione un enrutador virtual.
2. Seleccione BGP > Peer Group (Grupo de peers) y seleccione el grupo de peers que creó.
3. Seleccione el Peer que configuró.
4. Seleccione Advanced (Avanzado).
5. En Reflector Client (Cliente reflector), seleccione una de las opciones siguientes:
• non-client (no cliente): el peer no es un cliente reflector de ruta (valor predeterminado).
• client (cliente): el peer es un cliente reflector de ruta.
• meshed-client (cliente en malla)
6. Para Peering Type (Tipo de emparejamiento), seleccione una de las siguientes opciones:
• Bilateral: los dos peers BGP establecen una conexión de peer.
• Unspecified (No especificado): (valor predeterminado).
7. Para los Max Prefixes (Prefijos máximos), introduzca la cantidad máxima de prefijos IP admitidos (el
intervalo es de 1 a 100.000) o seleccione unlimited (ilimitado).
8. Para habilitar BFD para el peer (y por lo tanto, cancelar la configuración BFD por BGP, siempre que
BFD no esté deshabilitado para BGP a nivel del enrutador virtual), seleccione una de las siguientes
opciones:
• default (predeterminado): usa únicamente los ajustes BFD por defecto.
• Inherit-vr-global-setting (Heredar ajuste global para el enrutador virtual) (valor predeterminado):
el peer hereda el perfil BFD que usted seleccionó globalmente para BGP para el enrutador virtual.
• Un perfil BFD que haya configurado. Consulte Creación de un perfil BFD.
STEP 10 | Configure los anuncios condicionales, que le permiten controlar la ruta que se anunciará en
caso de que no exista ninguna ruta diferente en la tabla de enrutamiento BGP local (LocRIB),
indicando un fallo de emparejamiento o alcance.
Esta función es muy útil si desea probar y forzar rutas de un AS a otro, por ejemplo, si tiene enlaces a
Internet con varios ISP y desea enrutar el tráfico a un único proveedor, en lugar de a los otros, salvo que
se produzca una pérdida de conectividad con el proveedor preferido.
1. Seleccione la pestaña Conditional Adv (Anuncio condicional), haga clic en Add (Añadir) e introduzca
un nombre en el campo Policy (Política).
2. Seleccione Enable (Habilitar).
3. Haga clic en Add (Añadir) para añadir en la sección Used By (Utilizado por) los grupos del peer que
utilizarán la política de anuncios condicionales.
4. Seleccione la pestaña Non Exist Filter (Filtro no existente) y defina los prefijos de red de la ruta
preferida. Especifica la ruta que desea anunciar, si está disponible en la tabla de ruta de BGP local. Si
un prefijo se va a anunciar y coincide con un filtro no existente, el anuncio se suprimirá.
5. Seleccione la pestaña Advertise Filters (Anunciar filtros) y defina los prefijos de la ruta de la tabla de
enrutamiento Local-RIB que se debería anunciar en caso de que la ruta del filtro no existente no esté
disponible en la tabla de enrutamiento local. Si un prefijo se va a anunciar y no coincide con un filtro
no existente, el anuncio se producirá.
STEP 2 | (Opcional) Cree una ruta estática e instálela en la tabla de rutas de unidifusión, ya que desea que
la ruta se utilice solo para fines de unidifusión.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador virtual
que está configurando.
2. Seleccione Static Routes (Rutas estáticas), seleccione IPv4 o IPv6, y luego Add (Añadir) para añadir
una ruta.
3. Introduzca un nombre en Name (Nombre) para la ruta estática.
4. Introduzca el prefijo y la máscara de red de Destination (Destino) IPv4 o IPv6, según si elige IPv4 o
IPv6.
5. Seleccione la salida Interface (Interfaz).
6. Seleccione Next Hop (Próximo salto) como IPv6 Address (Dirección IPv6) (o IP Address [Dirección
IP] si elige IPv4) e introduzca la dirección del siguiente salto al cual desea dirigir el tráfico de
unidifusión para esta ruta estática.
7. Ingrese una Admin Distance (Distancia de administrador).
8. Ingrese una Metric (Métrica).
9. Para la Route Table (Tabla de ruta), seleccione Unicast (Unidifusión).
10.Haga clic en OK (Aceptar).
STEP 1 | Habilite las extensiones del MP-BGP para que un peer de BGP puede intercambiar rutas de
multidifusión IPv4.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador virtual
que desea configurar.
2. Seleccione BGP.
3. Seleccione Peer Group (Grupo de peers), seleccione un grupo de peers y un peer de BGP.
4. Seleccione Addressing (Direccionamiento).
5. Seleccione Enable MP-BGP Extensions (Habilitación de las extensiones del MP-BGP).
STEP 2 | (Opcional) Cree una ruta estática IPv4 e instálela en la tabla de rutas de multidifusión
únicamente.
Estos pasos se realizan para dirigir el tráfico de rutas de multidifusión de un peer de BGP a un siguiente
salto específico, como se muestra en la topología en el MP-BGP.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador virtual
que desea configurar.
2. Seleccione Static Routes (Rutas estáticas) > IPv4 y Add (Añadir) para añadir un nombre en el campo
Name (Nombre) para la ruta.
3. Introduzca el prefijo de Destination (Destino) IPv4 y la máscara de red.
4. Seleccione la Interface (Interfaz) de salida.
5. Seleccione el Next Hop (Siguiente salto) como la IP Address (Dirección IP) e introduzca la dirección
IP del siguiente salto al que desea dirigir el tráfico de rutas de multidifusión para esta ruta estática.
6. Introduzca una Admin Distance (Distancia administrativa).
7. Introduzca una Metric (Métrica).
8. En Route Table (Tabla de rutas), seleccione Multicast (Multidifusión).
9. Haga clic en OK (Aceptar).
STEP 5 | Para ver la tabla de reenvío, la tabla de la RIB local del BGP o la tabla de salida de la RIB del
BGP, consulte la Configuración de un peer de BGP con MP-BGP para rutas de unidifusión IPv4
o IPv6.
STEP 2 | (Opcional: cuando el filtrado general incluye ospfv3) Cree un filtro OSPF para especificar en detalle
qué rutas OSPFv3 redistribuir.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador virtual.
2. Seleccione Redistribution Profile (Perfil de redistribución) > IPv6 y seleccione el perfil que creó.
3. Seleccione OSPF Filter (Filtro OSPF).
4. Para Path Type (Tipo de ruta), seleccione uno o más de los siguientes tipos de ruta OSPF para
redistribuir ext-1, ext-2, inter-area o intra-area.
5. Para especificar un Area (Área) desde la cual redistribuir las rutas OSPFv3, seleccione Add (Añadir) y
añada un área en formato de dirección IP.
6. Para especificar una Tag (Etiqueta), seleccione Add (Añadir) para añadir una etiqueta en formato de
dirección IP.
7. Haga clic en OK (Aceptar).
STEP 3 | (Opcional: cuando el filtrado general incluye bgp) Cree un filtro BGP para especificar en detalle qué
rutas BGP redistribuir.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador virtual.
2. Seleccione Redistribution Profile (Perfil de redistribución) > IPv6 y seleccione el perfil que creó.
3. Seleccione BGP Filter (Filtro BGP).
4. Para Community (Comunidad), seleccione Add (Añadir) para seleccionar de la lista de comunidades,
tal como las comunidades reconocidas: local-as, no-advertise, no-export o nopeer. También puede
ingresar un valor de 32 bits en formato decimal o hexadecimal o formato AS:VAL en el que AS y VAL
estén dentro del intervalo 0 a 65 535. Ingrese un máximo de 10 entradas.
5. Para Extended Community (Comunidad extendida), seleccione Add (Añadir) para añadir una
comunidad extendida como un valor de 64 bits en formato hexadecimal o en formato TYPE:AS:VAL
o TYPE:IP:VAL. TYPE es de 16 bits; AS o IP es de 16 bits; VAL es de 32 bits. Ingrese un máximo de
cinco entradas.
6. Haga clic en OK (Aceptar).
STEP 4 | Seleccione el protocolo en el cual está redistribuyendo las rutas, y establezca los atributos para
esas rutas.
Esta tarea ilustra las rutas de redistribución en BGP.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador virtual.
2. Seleccione BGP > Redist Rules (Reglas de redistribución).
3. Seleccione Allow Redistribute Default Route (Permitir ruta predeterminada de redistribución) para
permitir que el cortafuegos redistribuya la ruta predeterminada.
4. Haga clic en Add (Añadir).
5. Seleccione Address Family Type (Tipo de familia de direcciones): IPv4 o IPv6 para especificar en qué
tabla de rutas se colocarán las rutas redistribuidas.
6. En Name (Nombre) seleccione el nombre del perfil de redistribución que creó, que selecciona las
rutas para redistribuir.
7. Seleccione Enable (Habilitar) para habilitar la regla de redistribución.
Mensajes DHCP
DHCP usa ocho tipos de mensajes estándar, que se identifican mediante un número de tipo de opción en
el mensaje DHCP. Por ejemplo, cuando un cliente quiere encontrar un servidor DHCP, difunde un mensaje
DHCPDISCOVER en su subred física local. Si no hay ningún servidor DHCP en su subred y si DHCP auxiliar
o un relé DHCP se configura adecuadamente, el mensaje se reenvía a los servidores DHCP en una subred
física diferente. De lo contrario, el mensaje no avanzará más allá de la subred en la que se origina. Uno o
más servidores DHCP responderán al mensaje DHCPOFFER que contienen una dirección de red disponible
y otros parámetros de configuración.
Cuando el cliente necesita una dirección IP, envía un DHCPREQUEST a uno o más servidores. Por supuesto,
si el cliente solicita una dirección IP, aún no tiene una, por lo que RFC 2131 requiere que el mensaje de
difusión que envía el cliente tenga una dirección de origen de 0 en su encabezado IP.
Cuando un cliente solicita parámetros de configuración desde un servidor, puede recibir respuestas de
más de un servidor. Cuando un cliente ha recibido su dirección IP, se dice que el cliente tiene al menos una
dirección IP y posiblemente otros parámetros de configuración vinculados a ella. Los servidores DHCP
gestionan esa vinculación de parámetros de configuración con los clientes.
La siguiente tabla enumera los mensajes de DHCP.
DHCPDISCOVER El cliente realiza una difusión para buscar los servidores DHCP
disponibles.
DHCPREQUEST Mensaje del cliente dirigido a uno o más servidores para hacer algo de lo
siguiente:
• Solicitar los parámetros a un servidor y rechazar implícitamente
ofertas de otros servidores.
• Confirmar que una dirección antes asignada es correcta, por ejemplo,
un reinicio del sistema.
• Extender la concesión de una dirección de red.
DHCPNAK Reconocimiento negativo del servidor al cliente, que indica que el cliente
comprende que la dirección de red es incorrecta (por ejemplo, si el cliente
se mueve a una subred nueva) o que la concesión del cliente ha vencido.
DHCPDECLINE Mensaje de cliente a servidor que indica que la dirección de red ya se está
usando.
Direccionamiento DHCP
• Métodos de asignación de direcciones DHCP on page 865
• Concesiones DHCP on page 866
Concesiones DHCP
Una concesión se define como la duración durante la que el servidor DHCP asigna a una dirección IP
para un cliente. La concesión puede extenderse (renovarse) en las solicitudes posteriores. Si el cliente ya
no necesita la dirección, puede liberarla en el servidor antes de que la concesión termine. El servidor es
entonces libre de asignar esa dirección a un cliente distinto, si ya se le han agotado las direcciones sin
asignar.
El periodo de concesión configurado para un servidor DHCP se aplica a todas las direcciones que un
servidor DHCP único (interfaz) asigna dinámicamente a sus clientes. Es decir, todas las direcciones de
interfaz asignadas dinámicamente tienen una duración Unlimited (Ilimitada) o el mismo valor de Timeout
(Tiempo de espera). Un servidor DHCP diferente configurado en el cortafuegos puede tener un plazo de
concesión distinto para sus clientes. Una Reserved Address (Dirección reservada) es una asignación de
dirección estática y no está sometida a esas condiciones de concesión.
Según el estándar DHCP, RFC 2131, un cliente DHCP no espera a que la concesión venza, ya que se
arriesga a que se le asigne una nueva dirección. En su lugar, cuando un cliente DHCP alcanza el punto medio
de su periodo de concesión, intenta extenderla para conservar la misma dirección IP. Así, la duración de la
concesión es como una ventana corredera.
Por lo general, si se ha asignado una dirección IP a un dispositivo, y este se saca de la red sin prolongar su
concesión, el servidor DHCP dejará que esa concesión se agote. Como el cliente ha salido de la red y ya
no necesita la dirección, se alcanza la duración de la concesión del servidor y la concesión pasa al estado
“Expirado”.
El cortafuegos tiene un temporizador de espera que evita que la dirección IP expirada se reasigne
inmediatamente. Este sistema reserva temporalmente la dirección para el dispositivo en caso de que
vuelva a la red. Pero si el grupo de direcciones se queda sin direcciones, el servidor reubicará esta
dirección expirada antes de que se termine el temporizador de espera. Las direcciones expiradas se borran
automáticamente a medida que los sistemas necesitan más direcciones o cuando el temporizador de espera
las libera.
En la CLI, use el comando operativo show dhcp server lease para ver la información de
concesión de las direcciones IP asignadas. Si no desea esperar a que las concesiones vencidas se liberen
automáticamente, puede utilizar el comando clear dhcp lease interface <interface>
expired-only para borrar las concesiones vencidas y permitir que vuelvan a estar disponibles en el
grupo. Puede utilizar el comando clear dhcp lease interface <interface> ip <ip_address>
para liberar una dirección IP concreta. Puede utilizar el comando clear dhcp lease interface
<interface> mac <mac_address> para liberar una dirección MAC concreta.
51 Duración de la concesión
3 Puerta de enlace
15 Sufijo DNS
Como se menciona, también puede configurar opciones específicas del proveedor y personalizadas,
compatibles con una gran variedad de equipos de oficina, tales como teléfonos IP y dispositivos de
infraestructura inalámbrica. Cada código de opción admite múltiples valores, que pueden ser direcciones IP
o formato hexadecimal ASCII. Gracias a la compatibilidad con la opción de DCHP mejorada, las sucursales
no necesitan comprar y gestionar sus propios servidores de DHCP para ofrecer opciones personalizadas y
específicas de proveedores a los clientes de DHCP.
Puede enviar códigos específicos del proveedor personalizados que no están definidos en RFC 2132. Estos
códigos de opción pueden estar dentro del intervalo 1-254 y tener una longitud fija o variable.
Para tipos de opciones ASCII DHCP hexadecimal, el valor de opción puede ser de 255 octetos como
máximo.
Si el ping recibe una respuesta, significará que ya hay un dispositivo diferente con
esa dirección, por lo que no está disponible para su asignación. El servidor asigna
Tras definir las opciones y volver a la pestaña del servidor DHCP, la columna Probe
IP (Rastrear IP) de la interfaz indicará si Ping IP when allocating new IP (Hacer ping a
la IP al asignar IP nuevas) estaba seleccionada.
STEP 2 | Configure las Opciones DHCP predefinidas que el servidor envía a sus clientes.
• En la sección Opciones, seleccione un tipo de Concesión.
• Unlimited (Ilimitada) provoca que el servidor seleccione dinámicamente direcciones IP desde los
Grupos IP y los asigne de forma permanente a los clientes.
• Timeout (Tiempo de espera) determina cuánto durará esa concesión. Introduzca el número de Days
(Días) y Hours (Horas) y, opcionalmente, el número de Minutes (Minutos).
• Inheritance Source (Origen de herencia): deje None (Ninguno) o seleccione una interfaz de cliente
DHCP de origen o una interfaz de cliente PPPoE para propagar distintos ajustes de servidor en el
servidor de DHCP. Si especifica un Inheritance Source (Origen de herencia), seleccione una o varias
opciones que desee como inherited (heredadas) desde este origen.
Especificar un origen de herencia permite al cortafuegos añadir rápidamente opciones de DHCP desde el
servidor previo recibidas por el cliente DHCP. También mantiene actualizadas las opciones de cliente si
el origen cambia una opción. Por ejemplo, si el origen sustituye a su servidor NTP (que se ha identificado
como el servidor Primary NTP [NTP principal]), el cliente heredará automáticamente la nueva dirección
como su nuevo servidor Primary NTP (NTP principal).
Al heredar opciones de DHCP que contienen múltiples direcciones IP, el cortafuegos usa
solo la primera dirección IP contenida en la opción para ocupar menos memoria caché.
Si necesita múltiples direcciones IP para una única opción, configure las opciones DHCP
directamente en el cortafuegos en lugar de configurar la herencia.
• Check inheritance source status (Verificar estado del origen de herencia): si ha seleccionado
Inheritance Source (Origen de herencia), al hacer clic en este enlace se abrirá la ventana Dynamic IP
Interface Status (Estado de interfaz de IP dinámica), que muestra las opciones que se han heredado
del cliente DHCP.
• Gateway (Puerta de enlace): la dirección IP de la puerta de enlace de la red (una interfaz en el
cortafuegos) que se usa para llegar a cualquier dispositivo que no esté en la misma LAN que este
servidor DHCP.
• Subnet Mask (Máscara de subred): máscara de red con las direcciones del campo IP Pools (Grupos de
IP).
En los siguientes campos, haga clic en la flecha hacia abajo y seleccione None (Ninguno) o inherited
(heredado), o introduzca una dirección IP de servidor remoto que su servidor DHCP enviará a los
clientes para acceder a ese servicio. Si ha seleccionado inherited (heredado), el servidor DHCP hereda
los valores desde el cliente DHCP de origen, especificado como Inheritance Source (Origen de herencia).
• Primary DNS (DNS primario), Secondary DNS (DNS secundario): dirección IP de los servidores del
sistema de nombres de dominio (DNS) preferidos y alternativos.
• Primary WINS (WINS primario), Secondary WINS (WINS secundario): dirección IP de los servidores
Windows Internet Naming Service (WINS) preferidos y alternativos.
• Primary NIS (NIS primario), Secondary NIS (NIS secundario): introduzca la dirección IP de los
servidores del Servicio de información de la red (NIS) preferidos y alternativos.
• Primary NTP (NTP primario), Secondary NTP (NTP secundario): dirección IP de los servidores del
protocolo de tiempo de redes disponibles.
• POP3 Server (Servidor POP3): dirección IP del servidor Post Office Protocol (POP3).
STEP 3 | (Opcional) Configure una opción DHCP personalizada o específica del proveedor que el
servidor DHCP enviará a los clientes.
1. En la sección opciones de DHCP personalizadas, haga clic en Add (Añadir) e introduzca un nombre
descriptivo en Name (Nombre) para identificar la opción DHCP.
2. Introduzca el Option Code (Código de opción) que desea configurar para ofrezca el servidor (el
intervalo es 1-254). (Consulte RFC 2132 para conocer códigos de opción).
3. Si el Option Code (Código de opción) es 43, aparecerá el campo Vendor Class Identifier
(Identificador de tipo de proveedor). Introduzca un VCI, que es una cadena o valor hexadecimal
(con prefijo 0x) usado como coincidencia frente a un valor procedente de la solicitud del cliente que
contiene una opción 60. El servidor busca el VCI entrante en esta tabla, lo encuentra, y devuelve la
opción 43 y el valor de opción correspondiente.
4. Inherit from DHCP server inheritance source (Heredar del origen de herencia del servidor DHCP):
seleccione esta opción si ha especificado un Inheritance Source (Origen de herencia) para las
opciones predeterminadas del servidor DHCP y desea heredar también de este origen.
5. Check inheritance source status (Verificar estado del origen de herencia): si ha seleccionado
Inheritance Source (Origen de herencia), al hacer clic en este enlace se abrirá la ventana Dynamic IP
Interface Status (Estado de interfaz de IP dinámica), que muestra las opciones que se han heredado
del cliente DHCP.
6. Si no ha seleccionado la casilla de verificación Inherit from DHCP server inheritance source (Heredar
del origen de herencia del servidor DHCP), seleccione un Option Type (Tipo de opción): IP Address
(Dirección IP), ASCII o Hexadecimal. Los valores hexadecimales deben empezar por el prefijo 0x.
7. Introduzca el Option Value (Valor de opción) que el servidor DHCP debe ofrecer para ese Option
Code (Código de opción). Puede introducir múltiples valores en líneas separadas.
8. Haga clic en OK (Aceptar).
STEP 4 | (Opcional) Añada otra opción DHCP personalizada o específica del cliente.
1. Repita el paso anterior para introducir otra opción DHCP personalizada.
• Puede introducir múltiples valores de opciones para un Option Code (Código de opción) con el
mismo Option Name (Nombre de opción), pero todos los valores para un Option Code deben ser
del mismo tipo (IP Address [Dirección IP], ASCII o Hexadecimal). Si se hereda o introduce un tipo
y se introduce un segundo tipo para el mismo Option Code (Código de opción) y Option Name
(Nombre de opción), el segundo tipo sobrescribirá al primero.
Al introducir múltiples valores para una opción, introduzca los valores en el orden de preferencia,
o si no, mueva las opciones de DHCP personalizadas para establecer el orden que prefiera en la
lista. Seleccione una opción y haga clic en Move Up (Mover arriba) o Move Down (Mover abajo).
• Puede introducir un Option Code (Código de opción) más de una vez usando un Option Name
(Nombre de opción) diferente. En este caso, el Option Type (Tipo de opción) del Código de opción
puede variar entre los múltiples nombres de opción.
2. Haga clic en OK (Aceptar).
STEP 5 | Identifique el grupo de direcciones IP de estado desde el que el servidor DHCP selecciona una
dirección y la asigna a un cliente DHCP.
STEP 6 | (Opcional) Especifique una dirección IP de los grupos IP que no se asignarán dinámicamente.
Si especifica también una MAC Address (Dirección MAC), la Reserved Address (Dirección
reservada) se asigna a ese dispositivo cuando el dispositivo solicita una dirección IP a través de
DHCP.
STEP 3 | (Opcional) Vea qué interfaces del cortafuegos se han configurado como clientes DHCP.
1. Seleccione Network (Red) > Interfaces > Ethernet y observe el campo IP Address (Dirección IP) para
verificar las interfaces que se indican como cliente DHCP.
2. Seleccione Network (Red) > Interfaces > VLAN y observe el campo IP Address (Dirección IP) para
verificar las interfaces que se indican como cliente DHCP.
• Para los modelos de cortafuegos basados en hardware (no la serie de VM), configure la
interfaz de gestión con una dirección IP estática cuando fuera posible.
• Si el cortafuegos adquiere una dirección de interfaz de gestión a través de DHCP, asigne
una reserva de dirección MAC en el servidor DHCP que se encarga de ese cortafuegos.
La reserva garantiza que el cortafuegos conserve su dirección IP de gestión después
de un reinicio. Si el servidor DHCP es un cortafuegos de Palo Alto Networks, consulte el
paso 6 de Configuración de una interfaz como servidor DHC para reservar una dirección.
Si configura la interfaz de gestión como un cliente DHCP, se aplican las siguientes restricciones:
• No puede usar la interfaz de gestión en una configuración HA para el enlace de control (copia de
seguridad de HA1 o HA1), enlace de datos (copia de seguridad de HA2 o HA2 o la comunicación de
reenvío de paquete (HA3).
• No puede seleccionar MGT como la interfaz de origen al personalizar las rutas de servicio (Device
[Dispositivo] > Setup [Configuración] > Services [Servicios] > Service Route Configuration
[Configuración de ruta de servicio] > Customize [Personalizar]). Sin embargo, puede seleccionar Use
default (Usar predeterminado) para enrutar los paquetes a través de la interfaz de gestión.
• No puede usar la dirección IP dinámica de la interfaz de gestión para conectarse con un módulo de
seguridad de hardware (Hardware Security Module, HSM). La dirección IP en el cortafuegos del cliente
STEP 1 | Configure la interfaz de gestión como cliente DHCP ara que pueda recibir su dirección IP
(IPv4), máscara de red (IPv4) y puerta de enlace por defecto de un servidor DHCP.
O bien, también puede enviar el nombre de host e identificador de cliente de la interfaz de gestión al
servidor DHCP si el sistema de orquestación que utiliza acepta esta información.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y modifique los
ajustes de interfaz de gestión.
2. Para IP Type (Tipo de IP), seleccione DHCP Client (Cliente DHCP).
3. (Opcional) Seleccione una de las opciones, o ambas, para que el cortafuegos envíe al servidor DHCP
en los mensajes de detección o solicitud de DHCP:
• Send Hostname (Enviar nombre de host): envía el Hostname (Nombre de host) (como se definió
en Device [Dispositivo] > Setup [Configuración] > Management [Gestión]) como parte de la
opción 12 de DHCP.
• Send Client ID (Enviar ID de cliente): envía su identificador de cliente como parte de la opción 61
de DHCP. Un identificador de cliente identifica de manera única un cliente DHCP, y el servidor
DHCP lo utiliza para indexar su base de datos de parámetro de configuración.
4. Haga clic en OK (Aceptar).
STEP 2 | (Opcional) Configure el cortafuegos para que acepte el nombre de host y dominio del servidor
DHCP.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y modifique los
ajustes generales.
2. Seleccione una opción o ambas:
• Accept DHCP server provided Hostname (Aceptar nombre de host proporcionado por el servidor
DHCP): permite que el cortafuegos acepte el nombre de host del servidor DHCP (si es válido).
Cuando está habilitada, el nombre de host del servidor DHCP sobrescribe cualquier Hostname
(Nombre de host) existente especificado en Device (Dispositivo) > Setup (Configuración) >
Management (Gestión). No seleccione esta opción si desea configurar manualmente un nombre
de host.
• Accept DHCP server provided Domain (Aceptar dominio proporcionado por el servidor DHCP):
permite que el cortafuegos acepte el dominio del servidor DHCP. El dominio (sufijo DNS) del
servidor DHCP sobrescribe cualquier dominio existente especificado en Device (Dispositivo) >
Setup (Configuración) > Management (Gestión). No seleccione esta opción si desea configurar
manualmente un dominio.
3. Haga clic en OK (Aceptar).
STEP 6 | (Opcional) Libere las siguientes opciones de DHCP provenientes del servidor DHCP:
• IP Address (Dirección IP)
• Máscara de red
• Puerta de enlace predeterminada
• Servidor DNS (primario y secundario)
• Servidor NTP (primario y secundario)
• Dominio (sufijo DNS)
Una liberación desbloquea la dirección IP, que desactiva la conexión de su red y hace
que el cortafuegos no pueda gestionarse si no hay otra interfaz configurada para el
acceso de gestión.
STEP 2 | Especifique la dirección IP del servidor DHCP con el que se comunicará el agente del relé
DHCP.
1. En el campo Interface (Interfaz), seleccione en la lista desplegable la interfaz que desea que sea el
agente de relé DHCP.
2. Seleccione IPv4 o IPv6, lo que indica el tipo de dirección del servidor DHCP que va a especificar.
3. Si seleccionó IPv4, en el campo DHCP Server IP Address (Dirección IP del servidor DHCP), haga clic
en Add (Añadir) e introduzca la dirección del servidor DHCP de origen y destino para la transmisión
de mensajes DHCP.
4. Si seleccionó IPv6, en el campo DHCP Server IPv6 Address (Dirección IPv6 del servidor DHCP),
haga clic en Add (Añadir) e introduzca la dirección del servidor DHCP de origen y destino para la
transmisión de mensajes DHCP. Si especifica una dirección multidifusión, especifique también una
Interface (Interfaz) saliente.
5. (Opcional) Repita los tres pasos anteriores para introducir un máximo de ocho direcciones de servidor
DHCP por cada familia de dirección IP.
• Vea las estadísticas de grupo DHCP, la dirección IP que ha asignado el servidor DHCP, la
dirección MAC, el estado y la duración de la concesión, y la hora de inicio de la concesión.
interfaz: "ethernet1/2"
Allocated IPs: 1, Total number of IPs in pool: 5 20.0000% used
ip mac state duration lease_time
192.168.3.11 f0:2f:af:42:70:cf committed 0 Wed Jul 2
08:10:56 2014
admin@PA-200>
• Libere una concesión de una dirección MAC particular, por ejemplo, f0:2c:ae:29:71:34.
Al configurar múltiples usuarios (abonados del ISP) con servicios DNS, se debe definir el
proxy DNS de cada usuario, lo que mantiene el servicio DNS separado de los servicios
de otros usuarios.
En el objeto de proxy, se especifican las interfaces en las que el cortafuegos actúa como proxy DNS. El
proxy DNS para la interfaz no usa la ruta de servicio; las respuestas a las solicitudes DNS se envían siempre
a la interfaz asignada al enrutador virtual donde se recibió la solicitud de DNS.
Cuando realiza la Configuración de un objeto proxy DNS on page 881, puede introducir en el proxy DNS
asignaciones estáticas de FQDN a dirección. Además, puede crear reglas de proxy DNS que controlen a qué
servidor DNS se dirigen las consultas de nombres de dominio especificado (que coinciden con las reglas de
proxy). Puede configurar un máximo de 256 objetos de proxy DNS en un cortafuegos.
Cuando un cortafuegos recibe una consulta de FQDN (y el nombre del dominio no se encuentra en el caché
de proxy DNS), el cortafuegos compara el nombre de dominio de la consulta de FQDN con los nombres de
dominio en las reglas de proxy DNS del objeto de proxy DNS. Si especifica múltiples nombres de dominio
en una regla de proxy DNS, una consulta que coincida con alguno de los nombres de dominio en la regla
indicará que la consulta coincide con la regla. Regla de proxy DNS y coincidencia FQDN on page 888
describe cómo el cortafuego determina si un FQDN coincide con un nombre de dominio en una regla de
proxy DNS. Una consulta de DNS que coincide con una regla se envía al servidor DNS principal configurado
para el objeto de proxy que debe resolverse.
Cuando el cortafuegos está habilitado para funcionar como proxy DNS, las firmas de
evasión que detectan solicitudes HTTP o TLS manipuladas pueden alertar en instancias
en las que un cliente se conecta a un dominio que no sea el dominio especificado en la
solicitud DNS original. Como práctica recomendada, habilite las firmas de evasión después
de configurar el proxy DNS.
STEP 3 | (Opcional) Indique las entradas estáticas FQDN a dirección en el proxy DNS. Las entradas DNS
estáticas permiten al cortafuegos resolver el FQDN a una dirección IP sin enviar una consulta al
servidor DNS.
1. En la pestaña Static Entries (Entradas estáticas), haga clic en Add (Añadir) e introduzca un nombre en
Name (Nombre).
2. Introduzca el nombre de dominio completo (FQDN).
3. Para Address (Dirección), haga clic en Add (Añadir) e introduzca la dirección IP a la que se debería
asignar el FQDN.
Puede proporcionar direcciones IP adicionales para una entrada. El cortafuegos proporcionará todas
las direcciones IP en su respuesta DNS y el cliente elige qué dirección usar.
4. Haga clic en OK (Aceptar).
STEP 4 | (Opcional) Habilite el almacenamiento en caché y configure otros ajustes avanzados para el
proxy DNS.
1. En la pestaña Advanced (Avanzada), seleccione TCP Queries (Consultas TCP) para habilitar las
consultas DNS mediante TCP.
• Max Pending Requests (Solicitudes pendientes máximas): introduzca el número máximo de
solicitudes DNS TCP pendientes simultáneas que admitirá el cortafuegos (intervalo 64-256, por
defecto: 64).
2. Para UDP Queries Retries (Reintentos de consultas UDP), introduzca lo siguiente:
• Interval (Intervalo): el tiempo (en segundos) después del cual se enviará otra solicitud si no se ha
recibido respuesta (el intervalo es de 1 a 30, la opción predeterminada es 2).
• Attempts (Intentos): el número máximo de intentos de consulta UDP (sin incluir el primer intento)
después de los cuales se intentará el siguiente servidor DNS (el intervalo es de 1 a 30, el valor
predeterminado es 5).
STEP 1 | Nombre el perfil de servidor DNS, seleccione el sistema virtual al que se aplica y especifica las
direcciones de servidor DNS principal y secundaria.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > DNS y Add (Añadir) para
añadir un Name (Nombre) para el perfil de servidor DNS.
2. Para Location (Ubicación), seleccione el sistema virtual al que se aplica el perfil.
3. Para Inheritance Source (Origen de herencia), en el menú desplegable, seleccione None (Ninguno) si
las direcciones de servidor DNS no son heredadas. De lo contrario, especifique el servidor de DNS
desde el que el perfil debería heredar la configuración. Si ha elegido un servidor DNS, haga clic en
Check inheritance source status (Verificar estado del origen de herencia) para ver esa información.
4. Especifique la dirección IP del servidor Primary DNS (DNS primario), o déjelo como inherited
(heredado) si ha elegido un Inheritance Source (Origen de herencia).
Tenga en cuenta que si especifica un FQDN en lugar de una dirección IP, el DNS
para ese FQDN se resuelve en Device (Dispositivo) > Virtual Systems (Sistema
virtual) > DNS Proxy (Proxy DNS).
5. Especifique la dirección IP del servidor Secondary DNS (DNS secundario), o déjelo como inherited
(heredado) si ha elegido un Inheritance Source (Origen de herencia).
STEP 2 | Configure la ruta de servicio que usa el cortafuegos automáticamente, basada en si el servidor
DNS de destino tiene un tipo de familia de dirección IP IPv4 o IPv6.
1. Haga clic en Service Route IPv6 (Ruta de servicio IPv4) para habilitar la siguiente interfaz y la
dirección IPv6 que se usará como ruta de servicio, si la dirección DNS de destino es una dirección
IPv6.
2. Especifique la Source Interface (Interfaz de origen) para seleccionar la dirección IP de origen del
servidor DNS que usará la ruta de servicio. El cortafuegos determina qué enrutador virtual se asigna
a esa interfaz, y después realiza una búsqueda de rutas en la tabla de enrutamiento del enrutador
virtual para llegar a la red de destino (en función de la dirección Primary DNS [DNS primario]).
STEP 1 | Configure los servidores DNS principal y secundario que quiere que use el cortafuegos para sus
resoluciones de DNS de gestión.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Global y haga clic en
Edit (Editar). (Para dispositivos que no admiten múltiples sistemas virtuales, no hay pestaña Global;
solo tiene que editar los servicios).
2. En la pestaña Services (Servicios), en DNS, haga clic en Servers (Servidores) e introduzca la dirección
del Primary DNS Server (Servidor DNS principal) y la dirección del Secondary DNS Server (Servidor
DNS secundario).
3. Haga clic en OK (Aceptar) y Commit (Confirmar).
STEP 2 | De manera alternativa, puede configurar un objeto Proxy DNS si desea configurar funciones
DNS avanzadas como DNS dividido, anulaciones de proxy DNS, reglas de proxy DNS, entradas
estáticas o herencia DNS.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Global y haga clic en
Edit (Editar).
Los objetos proxy DNS compartidos no utilizan perfiles de servidor DNS porque no
requieren una ruta de servicio específica que pertenezca a un sistema virtual del
usuario.
3. Introduzca la dirección IP del servidor DNS principal en Primary (Principal). También puede
introducir una dirección IP del servidor DNS Secondary (Secundario).
4. Haga clic en OK (Aceptar) y Commit (Confirmar).
Caso de uso 2: El usuario del ISP usa proxy DNS para gestionar la
resolución DNS para políticas de seguridad, informes y servicios
dentro de su sistema virtual.
En este caso de uso, se definen varios usuarios (abonados del ISP) en el cortafuegos y a cada usuario se le
asigna un sistema virtual (vsys) y un enrutador virtual diferentes para segmentar sus servicios y dominios
administrativos. La siguiente figura ilustra varios sistemas virtuales dentro de un cortafuegos.
Cada usuario tiene sus propios perfiles de servidor para sus reglas de política de seguridad, informes y
servicios de gestión (como correo electrónico, Kerberos, SNMP, syslog, etc.) definidos en sus propias redes.
Para las resoluciones DNS iniciadas por estos servicios, cada sistema virtual está configurado con su propio
Objeto proxy DNS on page 879 para permitir que cada usuario personalice la gestión de la resolución
DNS dentro de su sistema virtual. Cualquier servicio con una Location (Ubicación) usará el objeto Proxy
DNS configurado para el sistema virtual para determinar el servidor DNS principal (o secundario) para
resolver FQDN, como se ilustra en la siguiente figura.
STEP 2 | Configure un proxy DNS y un perfil de servidor para permitir la resolución DNS para un sistema
virtual.
1. Seleccione Network (Red) > DNS Proxy y haga clic en Add (Añadir).
2. Haga clic en Enable (Habilitar) e introduzca un nombre en Name (Nombre) para el proxy DNS.
3. En Location (Ubicación), seleccione el sistema virtual del usuario, en este ejemplo, Corp1 Corporation
(vsys6). (Puede elegir el recurso proxy DNS Shared (Compartido) en su lugar).
4. En Server Profile (Perfil de servidor), seleccione o cree un perfil con el fin de personalizar servidores
DNS para usar resoluciones DNS para esta política de seguridad de usuarios, informe y servicios de
perfil de servidor.
Si el perfil aún no está configurado, en el campo Server Profile (Perfil de servidor), haga clic en DNS
Server Profile (Perfil de servidor DNS) para la Configuración de un perfil de servidor DNS on page
883.
El perfil de servidor DNS identifica las direcciones IP del servidor DNS principal y secundario para
usar las resoluciones de DNS de gestión para este sistema virtual.
5. También para este perfil de servidor, tiene la opción de configurar una Service Route IPv4 (IPv4 de
ruta de servicio) o una Service Route IPv6 (IPv6 de ruta de servicio) para indicar al cortafuegos qué
Source Interface (Interfaz de origen) usar en sus solicitudes DNS. Si esta interfaz tiene más de una
dirección IP, configure también la Source Address (Dirección de origen).
6. Haga clic en OK (Aceptar).
7. Haga clic en OK (Aceptar) y Commit (Confirmar).
Si usa dos perfiles de servidor DNS separados en el mismo objeto Proxy DNS, uno para el proxy DNS
y otro para la regla de proxy DNS, se produce lo siguiente:
• Si se define una ruta de servicio en el perfil de servidor DNS usado por el proxy DNS, tiene
prioridad y se usa.
• Si se define una ruta de servicio en el perfil de servidor DNS usado en las reglas del proxy DNS,
no se usa. Si la ruta de servicio difiere de la definida en el perfil de servidor DNS usado en el proxy
DNS, se muestra el siguiente mensaje de advertencia durante el proceso Commit (Confirmar):
• Si no se define ninguna ruta de servicio en ningún perfil de servidor DNS, se usa la ruta de servicio
global en caso necesario.
El escenario utiliza DNS dividido, una configuración donde las reglas de proxy DNS se configuran para
redirigir las solicitudes DNS a un conjunto de servidores DNS basados en una coincidencia de nombres de
dominio. Si no hay coincidencia, el perfil del servidor determina los servidores DNS a los que se envía la
solicitud; por eso, hay dos métodos de resolución de DNS dividido.
Para las resoluciones DNS de plano de datos, la dirección IP de origen desde el proxy
DNS en PAN-OS al servidor DNS externo sería la dirección del proxy (la IP de destino de la
solicitud original). No se usa ninguna ruta de servicio definida en el perfil de servidor DNS.
Por ejemplo, si la consulta se realiza desde el host 1.1.1.1 al proxy DNS 2.2.2.2, la solicitud
al servidor DNS (en 3.3.3.3) usaría un origen 2.2.2.2 y un destino 3.3.3.3.
STEP 1 | Seleccione Network (Red) > DNS Proxy (Proxy DNS) y haga clic en Add (Añadir).
STEP 3 | En Location (Ubicación), seleccione el sistema virtual del usuario, en este ejemplo, Corp1
Corporation (vsys6).
STEP 4 | En Interface (Interfaz), seleccione la interfaz que recibirá las solicitudes DNS de los hosts del
usuario, en este ejemplo, Ethernet 1/20.
STEP 5 | Seleccione o cree un Server Profile (Perfil de servidor) para personalizar servidores DNS para
que resuelvan solicitudes DNS para este usuario.
STEP 6 | En la pestaña DNS Proxy Rules (Reglas de proxy DNS), haga clic en Add (Añadir) para
introducir un nombre para la regla en Name (Nombre).
STEP 7 | (Opcional) Seleccione Turn on caching of domains resolved by this mapping (Activar el
almacenamiento en caché de dominios resueltos por esta asignación).
STEP 8 | Haga clic en Add (Añadir) para añadir uno o más nombres de dominio en Domain Name
(Nombre de dominio), uno por fila. En Búsqueda de coincidencias de FQDN en la regla de
proxy DNS, se describe cómo el cortafuegos encuentra coincidencias entre los FQDN y los
nombres de dominio en una regla de proxy DNS.
STEP 9 | En DNS Server profile (Perfil de servidor DNS), seleccione un perfil del menú desplegable.
El cortafuegos compara el nombre de dominio en la solicitud DNS con el nombre de dominio
definido en DNS Proxy Rules (Reglas de proxy DNS). Si hay coincidencia, se usa el DNS Server
profile (Perfil de servidor DNS) definido en la regla para determinar el servidor DNS.
Regla: www.boat.*
FQDN: www.boat.com: coincidencia
FQDN: www.boat.fish.com: coincidencia
Cuando se utilizan caracteres comodín en Caracteres comodín consecutivos antes de los tokens:
tokens consecutivos, el primer * coincide
Regla: *.*.boat.com
con uno o más tokens; el segundo * coincide
con un token. FQDN: www.blue.boat.com: coincidencia
Esto significa que una regla que consta FQDN: www.blue.sail.boat.com: coincidencia
únicamente de *.* compara cualquier FQDN
con dos o más tokens.
Prácticas recomendadas para crear reglas de proxy DNS a fin de evitar ambigüedad y resultados
inesperados
Las reglas no NAT están configuradas para permitir la exclusión de direcciones IP definidas en el intervalo
de las reglas NAT definidas posteriormente en la política NAT. Para definir una política no NAT, especifique
todos los criterios coincidentes y seleccione Sin traducción de origen en la columna de traducción de origen.
Puede verificar las reglas de NAT procesadas mediante el uso del comando CLI test nat-policy-match
en modo operativo. Por ejemplo:
El cortafuegos realiza NAT de origen para un cliente, traduciendo la dirección de origen 1.1.1.1 a la
dirección en el grupo NAT, 2.2.2.2. El paquete traducido se envía a un enrutador.
Para el tráfico de retorno, el enrutador no sabe cómo llegar a 2.2.2.2 (porque la dirección IP 2.2.2.2 solo
es una dirección en el grupo de direcciones NAT), de modo que envía un paquete de solicitud de ARP al
cortafuegos.
• Si el grupo de direcciones (2.2.2.2) está en la misma subred como la dirección IP de interfaz de entrada/
salida (2.2.2.3/24), el cortafuegos puede enviar una respuesta de ARP proxy al enrutador, que indica la
dirección MAC de capa 2 de la dirección IP, como muestra la figura anterior.
• Si el grupo de direcciones (2.2.2.2) no es una subred de una interfaz en el cortafuegos, el cortafuegos no
enviará una respuesta ARP proxy al enrutador. Esto significa que el enrutador debe estar configurado
con la ruta necesaria para saber a dónde enviar los paquetes destinados a 2.2.2.2, con el fin de garantizar
que el tráfico de retorno se enruta de vuelta al cortafuegos, como se muestra en la figura siguiente.
NAT de origen
Los usuarios internos suelen usar el NAT de origen para acceder a Internet; la dirección de origen de
traduce y se mantienen en privado. Hay tres tipos de NAT de origen:
• IP y puerto dinámico (DIPP): Permite que múltiples hosts traduzcan sus direcciones IP de origen a la
misma dirección IP pública con distintos números de puerto. La traducción dinámica es a la siguiente
dirección disponible en el grupo de direcciones NAT, que configura como un grupo de Dirección
traducida para dirección IP, intervalo de direcciones, subred o combinación de todas.
NAT de destino
El NAT de destino se realiza en los paquetes entrantes, cuando el cortafuegos traduce una dirección de
destino pública a una privada. El NAT de destino también ofrece la opción para realizar reenvío o traducción
de puertos.
El NAT de destino es una traducción estática de uno a uno que se puede configurar en varios formatos.
Puede especificar que el paquete original tenga una dirección IP de destino única, un rango de direcciones
IP o una lista de direcciones IP únicas, siempre que el paquete traducido especifique la misma cantidad
de posibles direcciones IP (una dirección IP única, o una dirección IP y una longitud de prefijo que cubra
la misma cantidad de direcciones IP que el paquete original). El cortafuegos traduce estáticamente una
dirección de destino original a la misma dirección de destino traducida cada vez. Es decir, si hay más de una
dirección de destino, el cortafuegos traduce la primera dirección de destino configurada para el paquete
original a la primera dirección de destino configurada para el paquete traducido, y traduce la segunda
dirección de destino original configurada a la segunda dirección de destino traducida configurada, y así
sucesivamente, y siempre utiliza la misma traducción.
Por ejemplo, el cortafuegos permite las siguientes traducciones de NAT de destino:
192.168.1.1-192.168.1.4
2.2.2.0/30 El paquete original y el paquete traducido tienen cuatro
direcciones de destino posibles:
192.168.1.1 siempre se asigna a 2.2.2.0
192.168.1.2 siempre se asigna a 2.2.2.1
192.168.1.3 siempre se asigna a 2.2.2.2
192.168.1.4 siempre se asigna a 2.2.2.3
Un uso común del NAT de destino es configurar varias reglas NAT que asignen una dirección de destino
pública única a varias direcciones de host de destino privadas a servidores o servicios. En este caso, los
números de puerto de destino se usan para identificar a los hosts de destino. Por ejemplo:
• Reenvío de puertos: Puede traducir una dirección de destino pública y un número de puerto a una
dirección de destino privada, pero mantener el mismo número de puerto.
• Traducción de puertos: Puede traducir una dirección de destino pública y un número de puerto a una
dirección de destino privada y un número de puerto distinto, con lo que el número de puerto real es
privado. Se configura introduciendo un puerto traducido en la pestaña Translated Packet (Paquete
traducido) de la regla de política de NAT. Consulte NAT de destino con ejemplo de traducción de puerto.
PA-200 2
PA-220 2
PA-500 2
PA-820 2
PA-850 2
PA-3020 2
PA-3050 2
PA-3060 2
PA-5020 4
PA-5050 8
PA-5060 8
PA-5220 4
PA-5250 8
PA-5260 8
PA-7050 8
PA-7080 8
VM-50 2
VM-100 1
VM-200 1
VM-300 2
VM-500 8
VM-700 8
VM-1000-HV 2
El cortafuegos admite un máximo de 256 direcciones IP traducidas por regla NAT y cada modelo admite una
cantidad máxima de direcciones IP traducidas (para todas las reglas NAT combinadas). Si la sobresuscripción
provoca que se supere el máximo de direcciones traducidas por regla (256), el cortafuegos reducirá
automáticamente la tasa de sobresuscripción en un intento de que funcione la compilación. Sin embargo, si
sus reglas NAT generan traducciones que superan el máximo de direcciones traducidas para el modelo, la
confirmación fallará.
Un campo del resultado del comando show running nat-rule-ippool rule muestra la memoria
(bytes) usada por regla NAT. El siguiente es una ejemplo de resultados del comando con el uso de memoria
de la regla rodeado.
Configuración de NAT
Realice las siguientes tareas para configurar varios aspectos del NAT. Además de los ejemplos siguientes,
hay otros en la sección Ejemplos de configuración de NAT.
• Traducción de direcciones IP de clientes internos a su dirección IP pública (NAT DIPP de origen)
• Habilitación de clientes de la red interna para acceder a sus servidores públicos (NAT de ida y vuelta de
destino)
• Habilitación de la traducción de direcciones bidireccional para sus servidores públicos (NAT de origen
estática)
• Modificación de la ratio de sobresuscripción para NAT DIPP
• Deshabilitación de NAT para un host o interfaz específico
• Reserva de direcciones NAT de IP dinámicas
Los ejemplos de NAT en esta sección se basan en la siguiente topología:
En función de esta topología, se deben crear tres políticas de NAT de la siguiente manera:
STEP 1 | Cree un objeto de dirección para la dirección IP externa que tenga la intención de utilizar.
1. Seleccione Objects (Objetos) > Addresses (Direcciones) y Add (Añadir) para añadir un nombre en
Name (Nombre) y una descripción opcional en Description (Descripción) para el objeto.
2. Seleccione IP Netmask (Máscara de red IP) en el menú desplegable Type (Tipo) y, a continuación,
introduzca la dirección IP de la interfaz externa en el cortafuegos, 203.0.113.100 en este ejemplo.
3. Haga clic en OK (Aceptar).
Aunque no tiene que utilizar objetos de dirección en sus políticas, es una práctica
recomendada porque simplifica la administración al permitirle realizar actualizaciones
en un lugar en vez de tener que actualizar cada política donde se hace referencia a la
dirección.
STEP 1 | Cree un objeto de dirección para la dirección IP interna del servidor web.
1. Seleccione Objects (Objetos) > Addresses (Direcciones) y Add (Añadir) para añadir un nombre en
Name (Nombre) y una descripción opcional en Description (Descripción) para el objeto.
Por ejemplo, supongamos que hay un grupo NAT de IP dinámicas de 30 direcciones y que hay 20
traducciones en curso cuando nat reserve-time se establece en 28800 segundos (8 horas). Estas
20 traducciones ahora están reservadas, de modo que cuando expire la última sesión (de cualquier
aplicación) que use cada asignación de IP de origen /IP traducida, la dirección IP traducida estará
reservada solo para aquella dirección IP de origen durante 8 horas en caso de que la dirección IP de
origen necesite de nuevo una traducción. Asimismo, dado que las 10 direcciones traducidas restantes
están asignadas, cada una está reservada para su dirección IP de origen, cada una con un temporizador
que se inicia cuando expire la última sesión de esa dirección IP de origen.
De este modo, cada dirección IP de origen puede traducirse repetidas veces a la misma dirección NAT
del grupo; no se asignará la dirección IP traducida reservada del grupo a ningún otro host, incluso aunque
no haya sesiones activas para esa dirección traducida.
Supongamos que han caducado todas las sesiones de una asignación IP de origen/IP traducida y que se
pone en marcha su temporizador de 8 horas. Si se inicia una nueva sesión, el temporizador se detiene y
las sesiones continúan hasta su finalización, momento en el cual el temporizador de reservas se inicia de
nuevo para reservar las direcciones traducidas.
El temporizador de reservas permanece activo en el grupo NAT de IP dinámicas hasta que lo desactive al
introducir el comando set setting nat reserve-ip no o al cambiar el valor de nat reserve-
time por un valor diferente.
Los comandos de la CLI para reservas no afectan a los grupos de IP y puertos dinámicos (DIPP) o NAT de
IP estáticas.
La dirección de la política coincide con la zona de entrada y la zona donde está ubicado
físicamente el servidor.
Todo el tráfico HTTP se envía al host 10.1.1.100 y el tráfico SSH se envía al servidor 10.1.1.101. Se
requieren los siguientes tipos de perfil:
• Objeto de dirección para una dirección IP pretraducida del servidor
• Objeto de dirección para la dirección IP real del servidor SSH
• Objeto de dirección para la dirección IP real del servidor web
Se crean los objetos de dirección correspondientes:
• Servidores-públicos: 1.1.1.100
• Servidor-SSH: 10.1.1.101
Ruta en R1:
3.1.1.0/24 2.1.1.2
Ruta en R2:
1.1.1.0/24 2.1.1.1
Ahora el cortafuegos está implementado en modo Virtual Wire entre los dos dispositivos de Capa 3. Todas
las comunicaciones de clientes en la red 1.1.1.0/24 que acceden a servidores en la red 3.1.1.0/24 se
traducen a una dirección IP en el intervalo 2.1.1.9-2.1.1.14. Se configura en el cortafuegos un grupo de
direcciones IP de NAT con el intervalo 2.1.1.9-2.1.1.14.
Todas las conexiones de los clientes en la subred 1.1.1.0/24 llegarán al enrutador R2 con una dirección
de origen traducida en el intervalo 2.1.1.9-2.1.1.14. La respuesta de los servidores se dirigirá a esas
direcciones. Para que la NAT de origen funcione, debe configurar el enrutamiento adecuado en el enrutador
R2, de modo que los paquetes dirigidos a otras direcciones no sean descartados. La siguiente tabla de
enrutamiento muestra la tabla de enrutamiento modificada en el enrutador R2. La ruta garantiza que el
tráfico a los destinos 2.1.1.9-2.1.1.14 (es decir, hosts en la subred 2.1.1.8/29) serán enviados de vuelta al
enrutador R1 a través del cortafuegos.
Ruta en R2:
2.1.1.8/29 2.1.1.1
Ruta en R2:
2.1.1.100/32 2.1.1.1
Ruta en R2:
2.1.1.100/32 2.1.1.1
Funcionamiento de NPTv6
Cuando configura una política NPTv6, el cortafuegos de Palo Alto Networks realiza una traducción de IPv6
uno a uno estática en ambas direcciones. La traducción está basada en el algoritmo descrito en RFC 6296.
En un caso de uso, el cortafuegos que realiza NPTv6 se encuentra entre una red interna y una externa
(como Internet) que usa prefijos enrutables globalmente. Cuando los datagramas van en dirección de salida,
el prefijo de origen interno se sustituye por un prefijo externo, lo que se conoce como traducción de origen.
Es importante comprender que NPTv6 no aporta seguridad. Al planificar sus políticas NAT NPTv6, recuerde
también configurar las políticas de seguridad en cada dirección.
Una regla de políticas NAT o NPTv6 no puede tener las dos direcciones (origen y destino) configuradas en
Cualquiera.
En un entorno en el que quiera traducción de prefijos IPv6, se combinan tres funciones del cortafuegos:
Políticas NAT NPTv6, políticas de seguridad y Proxy NDP.
El cortafuegos no traduce lo siguiente:
• Las direcciones que el cortafuegos tiene en su caché de Detección de vecinos (ND, Neighbor Discovery).
• La subred 0xFFFF (de acuerdo con RFC 6296, Apéndice B).
• Direcciones de multidifusión IP.
• Direcciones IPv6 con una longitud de prefijo de /31 o inferior.
• Direcciones locales de vínculo Si el cortafuegos está funcionando en el modo Virtual Wire, no hay
direcciones IP que traducir, y el cortafuegos no traduce direcciones locales de vínculo.
• Direcciones de sesiones para TCP que autentican peers usando la opción de autenticación TCP (RFC
5925).
Al usar NPTv6, el rendimiento del tráfico de método rápido se ve afectado porque NPTv6 se realiza en el
método lento.
NPTv6 funcionará con IPSec IPv6 solo si el cortafuegos se origina y termina en el túnel. El tráfico de tránsito
IPSec fallaría porque la dirección IPv6 de origen o destino se modificaría. Una técnica NAT transversal que
encapsulara el paquete permitiría a IPSec IPv6 trabajar con NPTv6.
• Asignación neutral de suma de comprobación
• Traducción bidireccional
• NPTv6 aplicada a un servicio específico
Proxy NDP
El protocolo de detección de vecinos (NDP) para IPv6 realiza funciones similares a las que ofrece el
protocolo de resolución de direcciones (ARP) para IPv4. RFC 4861 define la detección de vecinos para IP
versión 6 (IPv6). Hosts, enrutadores y cortafuegos usan NDP para determinar las direcciones de capa de
enlace de los vecinos en enlaces conectados, llevar un seguimiento de los vecinos con los que se puede
contactar y actualizar las direcciones de capa de enlace de los vecinos que han cambiado. Los peers
anuncian sus propias direcciones MAC y su dirección IPv6, y solicitan además direcciones de los peers.
NDP también es compatible con el concepto de proxy, cuando un nodo tiene un dispositivo vecino que es
capaz de reenviar paquetes en nombre del nodo. El dispositivo (cortafuegos) actúa como Proxy NDP.
Los cortafuegos de Palo Alto Networks son compatibles con NDP y Proxy NDP en sus interfaces. Al
configurar el cortafuegos para que actúe como un Proxy NDP para direcciones, este puede enviar anuncios
de detección de vecinos (ND) y responder a solicitudes de ND de peers que están solicitando direcciones
MAC de prefijos IPv6 asignados a dispositivos tras el cortafuegos. También puede configurar direcciones
para las que el cortafuegos no responderá a solicitudes de proxy (direcciones negadas).
De hecho, NDP está habilitado de manera predeterminada, y necesita configurar Proxy NDP al configurar
NPTv6 por estos motivos:
• NPTv6 no tiene estado, por lo que necesita un modo de indicar al cortafuegos que responda a paquetes
de ND enviados a direcciones de Proxy NDP especificadas, y que no responda a direcciones Proxy NDP
negadas.
NAT64 Overview
Puede configurar dos tipos de traducción NAT64 en un cortafuegos Palo Alto Networks; cada uno realiza
una traducción bidireccional entre dos familias de direcciones IP:
• El cortafuegos admite NAT64 con estado para la Comunicación de Pv6 iniciada on page 923, que
asigna varias direcciones IPv6 a una dirección IPv4, además de conservar las direcciones IPv4. (No
admite NAT64 sin estado, que asigna una dirección IPv6 a una dirección IPv4, y, por lo tanto, no
conserva las direcciones IPv4). Configuración de NAT64 para la comunicación iniciada por IPv6 on page
924.
• El cortafuegos admite la comunicación de IPv4 iniciada con un enlace estático que asigna una dirección
IPv4 y un número de puerto a una dirección IPv6. Configuración de NAT64 para la comunicación de IPv4
iniciada on page 927. También admite la reescritura de puertos, lo que permite conservar incluso más
direcciones IPv4 traduciendo una dirección IPv4 y un número de puerto a una dirección IPv6 con varios
números de puerto. Configuración de NAT64 para la comunicación iniciada por IPv4 con traducción de
puerto on page 929.
Una dirección IPv4 puede utilizarse para NAT44 y NAT64; no reserva un grupo de direcciones IPv4 solo
para NAT64.
NAT64 opera en las interfaces, subinterfaces e interfaces de túnel de capa 3. Para utilizar NAT64 en el
cortafuegos de Palo Alto Networks para la comunicación de IPv6 iniciada, debe contar con un Servidor
DNS64 on page 922 externo o una solución para separar la función de consultas de DNS de la función
NAT. El servidor DNS64 traduce entre su host IPv6 y un servidor DNS IPv4 codificando la dirección IPv4
que recibe de un servidor DNS público en una dirección IPv6 para el host IPv6.
Palo Alto Networks admite las siguientes funciones de NAT64:
• Redirección (Giro en U de NAT); además, NAT64 previene los ataques de bucle de redirección
descartando todos los paquetes IPv6 entrantes que cuenten con un prefijo de origen 64::/n.
• Traducción de paquetes TCP/UDP/ICMP según RFC 6146 y el cortafuegos se esfuerza por traducir
otros protocolos que no utilizan una puerta de enlace de nivel de aplicación (application-level gateway,
ALG). Por ejemplo, el cortafuegos puede traducir un paquete GRE. Esta traducción tiene la misma
limitación que NAT44: si no cuenta con una ALG para un protocolo que pueda utilizar un canal de
control y datos separado, es posible que el cortafuegos no comprenda el flujo del tráfico de retorno.
• La traducción entre IPv4 y IPv6 del atributo de longitud de ICMP del campo de datagrama original, según
RFC 4884.
El cortafuegos admite la traducción de subredes /32, /40, /48, /56, /64 y /96 utilizando estos prefijos. Un
cortafuegos único admite múltiples prefijos; cada regla NAT64 utiliza un prefijo. El prefijo puede ser un
prefijo conocido (64:FF9B::/96) o un prefijo específico de la red (NSP) que es único en la organización que
controla el traductor de direcciones (el dispositivo DNS64). Por lo general, un NSP es una red dentro del
prefijo IPv6 de la organización. Normalmente, el dispositivo DNS64 configura el campo u y el sufijo en cero;
el cortafuegos ignora estos campos.
Servidor DNS64
Si desea realizar una traducción de NAT64 utilizando una Comunicación de Pv6 iniciada on page 923,
debe utilizar un servidor DNS64 externo u otra solución DNS64 que se configure con el prefijo conocido o
su NSP. Cuando un host IPv6 intenta acceder a un host ipV4 o un dominio en internet, el servidor DNS64
le solicita a un servidor DNS autorizado la dirección IPv4 asignada a ese nombre de host. El servidor DNS le
envía un registro de dirección (registro A) al servidor DNS64 con la dirección IPv4 del nombre de host.
El servidor DNS64 convierte la dirección IPv4 en formato hexadecimal y la cifra en los octetos adecuados
del prefijo IPv6 que su configuración le permite utilizar (el prefijo conocido o su NSP) en función de la
longitud del prefijo, lo que produce una Dirección IPv6 integrada en la dirección IPv4 on page 922. El
servidor DNS64 envía un registro AAAA al host IPv6 que asigna la dirección IPv6 integrada en la dirección
IPv4 al nombre de host IPv4.
Tras la resolución de nombres transparente, el host IPv6 envía un paquete al cortafuegos con su dirección
IPv6 de origen y su dirección IPv6 de destino 64:FF9B::C633:6401, como lo determina el servidor DNS64.
El cortafuegos realiza la traducción de NAT64 en función de su regla NAT64.
STEP 2 | Cree un objeto de dirección para la dirección de destino IPv6 (previo a la traducción).
1. Seleccione Objects (Objetos) > Addresses (Direcciones) y haga clic en Add (Añadir).
2. Introduzca un nombre para el objeto en Name; por ejemplo, servidor nat64-IPv4.
3. Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese el prefijo IPv6 con una
máscara de red que cumpla con RFC 6052 (/32, /40, /48, /56, /64 o /96). Este es el prefijo conocido
o su prefijo específico de red que está configurado en el servidor DNS64.
Para este ejemplo, ingrese 64:FF9B::/96.
El origen y el destino deben tener la misma máscara de red (extensión del prefijo).
STEP 3 | (Opcional) Cree un objeto de dirección para la dirección de origen IPv6 (previo a la
traducción).
1. Seleccione Objects (Objetos) > Addresses (Direcciones) y haga clic en Add (Añadir).
2. Introduzca un nombre para el objeto en Name.
3. Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese la dirección del host IPv6; en
este ejemplo, 2001:DB8::5/96.
4. Haga clic en OK (Aceptar).
STEP 4 | (Opcional) Cree un objeto de dirección para la dirección de origen IPv4 (previo a la
traducción).
1. Seleccione Objects (Objetos) > Addresses (Direcciones) y haga clic en Add (Añadir).
2. Introduzca un nombre para el objeto en Name.
3. Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese la dirección IPv4 de la interfaz
de salida del cortafuegos; en este ejemplo, 192.0.2.1.
4. Haga clic en OK (Aceptar).
STEP 8 | Configure una interfaz de túnel para emular una interfaz de bucle invertido con una máscara de
red que no sea 128.
1. Seleccione Network (Red) > IPSec Tunnels (Túneles IPSec) y luego Add (Añadir) para añadir un túnel.
2. En la pestaña General, introduzca en Name (Nombre) un nombre para el túnel.
3. Para Tunnel Interface (Interfaz de túnel), seleccione New Tunnel Interface (Nueva interfaz de túnel).
4. En el campo Interfaz Name (Nombre de interfaz), especifique un sufijo numérico, como .2.
5. En la pestaña Config, seleccione el Virtual Router (Enrutador virtual) donde configuró NAT64.
6. Para Security Zone (Zona de seguridad), seleccione la zona de destino asociada con el destino de
servidor IPv4 (zona fiable).
7. En la pestaña IPv6, seleccione Enable IPv6 on the interface (Habilitar IPv6 en la interfaz).
8. Haga clic en Add (Añadir) y para Address (Dirección), seleccione New Address (Nueva dirección).
9. Introduzca en Name (Nombre) un nombre para el perfil.
10.(Opcional) Introduzca una Description (Descripción) para la dirección de túnel.
11.Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese su prefijo IPv6 y la extensión
del prefijo; en este ejemplo, 64:FF9B::/96.
12.Haga clic en OK (Aceptar) para guardar la nueva dirección.
13.Seleccione Enable address on interface (Habilitar la dirección en la interfaz) y haga clic en OK
(Aceptar).
14.Haga clic en OK (Aceptar) para guardar la interfaz de túnel.
15.Haga clic en OK (Aceptar) para guardar el túnel.
STEP 9 | Cree una política de seguridad para permitir el tráfico NAT de la zona fiable.
1. Seleccione Policies (Políticas) > Security (Seguridad) y luego Add (Añadir) para añadir un Name
(Nombre) de regla.
2. Seleccione Source (Origen) y luego Add (Añadir) para añadir una Source Zone (Zona de origen);
seleccione Trust (Fiable).
3. Para Source Address (Dirección de origen), seleccione Any (Cualquiera).
4. Seleccione Destination (Destino) y Add (Añadir) para añadir una Destination Zone (Zona de destino);
y seleccione Untrust (No fiable).
5. Para Application (Aplicación), seleccione Any (Cualquiera).
6. Para Actions (Acciones), seleccione Allow (Permitir).
7. Haga clic en OK (Aceptar).
STEP 2 | (Opcional) Cuando un paquete IPv4 tiene cada bit de DF definido en cero (y debido a que IPv6
no fragmenta paquetes), asegúrese de que los paquetes IPv6 traducidos no superen la MTU de
ruta para la red IPv6 de destino.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y edite la configuración de
la sesión.
2. En NAT64 IPv6 Minimum Network MTU (MTU de red mínima de IPv6 de NAT64), introduzca la
cantidad mínima de bytes en la que el cortafuegos fragmentará los paquetes IPv4 para la traducción a
IPv6 (rango: 1280 a 9216, valor predeterminado: 1280).
STEP 3 | Cree un objeto de dirección para la dirección IPv4 de destino (previa a la traducción).
1. Seleccione Objects (Objetos) > Addresses (Direcciones) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) para el objeto; por ejemplo, nat64_ip4server.
3. En Type (Tipo), seleccione la IP Netmask (Máscara de red IP) e introduzca la dirección IPv4 y la
máscara de red de la interfaz del cortafuegos en la zona Untrust. Este ejemplo utiliza 198.51.19.1/24.
4. Haga clic en OK (Aceptar).
El origen y el destino deben tener la misma máscara de red (longitud del prefijo).
STEP 9 | Cree una política de seguridad para permitir el tráfico de NAT desde la zona Untrust.
1. Seleccione Policies (Políticas) > Security (Seguridad) y Add (Añadir) para añadir un Name (Nombre)
de regla.
2. Seleccione Source (Origen) y Add (Añadir) para añadir una Source Zone (Zona de origen); seleccione
Untrust.
3. En Source Address (Dirección de origen), seleccione Any (Cualquiera).
4. Seleccione Destination (Destino) y Add (Añadir) para añadir una Destination Zone (Zona de destino);
seleccione DMZ.
5. En Actions (Acciones), seleccione Allow (Permitir).
STEP 2 | (Opcional) Cuando un paquete IPv4 posee su bit DF configurado en cero (y debido a que IPv6
no fragmenta los paquetes), asegúrese de que el paquete IPv6 traducido no supera la ruta MTU
para la red IPv6 de destino.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y modifique la
configuración de la sesión.
2. Para NAT64 IPv6 Minimum Network MTU (MTU de red mínima IPv6 NAT64), ingrese el número
más bajo de bytes en los cuales el cortafuegos fragmentará los paquetes IPv4 para la traducción en
IPv6 (el intervalo es 1280 a 9216; el valor predeterminado es 1280).
STEP 3 | Cree un objeto de dirección para la dirección de destino IPv4 (previo a la traducción).
1. Seleccione Objects (Objetos) > Addresses (Direcciones) y haga clic en Add (Añadir).
2. Introduzca un nombre para el objeto en Name; por ejemplo, nat64_ip4server.
El origen y el destino deben tener la misma máscara de red (extensión del prefijo).
STEP 7 | Especifique la información de origen y destino original, y cree un servicio para limitar la
traducción a un solo número de puerto de ingreso.
1. Para Original Packet (Paquete original), seleccione Add (Añadir) para añadir la Source Zone (Zona de
origen), posiblemente una zona no fiable.
2. Seleccione la Destination Zone (Zona de destino), probablemente una zona fiable o DMZ.
3. Para Service (Servicio), seleccione New Service (Nuevo servicio).
4. Introduzca un nombre para el servicio en Name, tal como Port_8080.
5. Seleccione TCP como el Protocol (Protocolo).
6. Para Destination Port (Puerto de destino), ingrese 8080.
7. Haga clic en OK (Aceptar) para guardar el servicio.
8. Para Source Address (Dirección de origen), seleccione Any (Cualquiera)o Add (Añadir) para añadir el
objeto de dirección para el host IPv4.
9. Para Destination Address (Dirección de destino), seleccione Add (Añadir) el objeto de dirección para
el destino IPv4; en este ejemplo, nat64_ip4server.
STEP 9 | Cree una política de seguridad para permitir el tráfico NAT de la zona no fiable.
1. Seleccione Policies (Políticas) > Security (Seguridad) y luego Add (Añadir) para añadir un Name
(Nombre) de regla.
2. Seleccione Source (Origen) y luego Add (Añadir) para añadir una Source Zone (Zona de origen);
seleccione Untrust (No fiable).
3. Para Source Address (Dirección de origen), seleccione Any (Cualquiera).
4. Seleccione Destination (Destino) y Add (Añadir) para añadir una Destination Zone (Zona de destino);
y seleccione DMZ.
5. Para Actions (Acciones), seleccione Allow (Permitir).
6. Haga clic en OK (Aceptar).
Cada uno de los cuatro algoritmos posibles hace hincapié en una prioridad diferente, tal y como se indica a
continuación:
• Los algoritmos basados en hash dan prioridad a la permanencia de la sesión: los algoritmos IP Modulo
e IP Hash usan hashes basados en la información del encabezado de paquete, como las direcciones de
origen y destino. Dado que el encabezado de cada flujo en una sesión determinada contiene la misma
información de origen y destino, estas opciones conceden prioridad a la pegajosidad de la sesión. Si
Asigne enlaces de menor velocidad o capacidad con un peso menor. Asigne enlaces de
mayor velocidad o capacidad con un peso mayor. De este modo, el cortafuegos puede
distribuir sesiones basándose en estas relaciones, en lugar de saturar un enlace de baja
capacidad que es una de las rutas a igual coste.
STEP 3 | Especifique el número máximo de rutas a igual coste (a una red de destino) que se pueden
copiar desde la base de información de rutas (RIB) a la base de información de reenvío (FIB).
Para el valor máximo de rutas permitidas, en Max Path (Ruta máxima), introduzca 2, 3 o 4. Default: 2
STEP 4 | Seleccione el algoritmo de equilibrio de carga para el enrutador virtual. Para obtener más
información sobre los métodos de equilibrio de carga y sus diferencias, consulte Algoritmos de
equilibrio de carga ECMP .
En Load Balance (Equilibrio de carga), seleccione una de las siguientes opciones del menú desplegable
Method (Método):
• IP Modulo (predeterminado): usa un hash de las direcciones IP de origen y destino en el encabezado
del paquete para determinar qué ruta ECMP se usará.
• IP Hash: existen dos métodos de hash IP que determinan qué ruta ECMP se usará (seleccione las
opciones de hash en el paso 5):
• Use un hash de la dirección de origen (disponible en PAN-OS 8.0.3 y versiones posteriores).
• Utilice un hash de las direcciones IP de origen y destino (el método de hash IP predeterminado).
• Balanced Round Robin (Operación por turnos equilibrada): usa operación por turnos entre rutas
ECMP y reequilibra las rutas cuando cambia el número de rutas.
• Weighted Round Robin (Operación por turnos ponderada): usa operación por turnos y un peso
relativo para seleccionar entre las rutas ECMP. Especifique los pesos en el paso 6 a continuación.
La habilitación de esta opción junto con Use Source Address Only (Usar la dirección
de origen únicamente) asignará aleatoriamente la selección de ruta incluso para las
sesiones que pertenecen a la misma dirección IP de origen.
3. Introduzca un valor Hash Seed (Inicialización de hash) (un valor entero con un máximo de nueve
dígitos). Especifique un valor Hash Seed (Inicialización de hash) para aleatorizar aún más el equilibrio
de carga. Especificar un valor de inicialización de hash resulta útil si tiene un gran número de sesiones
con la misma información de tupla.
STEP 6 | (Solo para Weighted Round Robin [Operación por turnos ponderada]) Defina un peso para
cada interfaz en el grupo ECMP.
Si ha seleccionado Weighted Round Robin (Operación por turnos ponderada) como Method (Método),
defina un peso para cada una de las interfaces que constituyen los puntos de salida para enrutar el
tráfico a los mismos destinos (es decir, interfaces que forman parte de un grupo ECMP, como las
interfaces que ofrecen enlaces redundantes a su ISP o interfaces a las aplicaciones empresariales
fundamentales de su red corporativa).
A mayor peso, con mayor frecuencia se seleccionará la ruta a igual coste para una nueva sesión.
Aporte a los enlaces de mayor velocidad un peso más alto que a los enlaces más lentos,
con el fin de que haya más tráfico ECMP que atraviese el enlace más rápido.
1. Cree un grupo ECMP haciendo clic en Add (Añadir) y seleccionando Interface (Interfaz) en el menú
desplegable.
2. Seleccione Add (Añadir) para añadir las otras interfaces en el grupo ECMP.
3. Haga clic en Weight (Peso) y especifique el peso relativo de cada interfaz (el intervalo es 1-255; el
valor por defecto es 100).
Este mensaje se muestra solo si está modificando un enrutador virtual con ECMP.
En la figura siguiente, dos rutas ECMP a un destino atraviesan dos cortafuegos que pertenecen a dos ISP
diferentes en sistemas BGP autónomos distintos.
Verificación de ECMP
Un enrutador virtual configurado para ECMP indica en la base de información de reenvío (FIB) qué rutas son
ECMP. Una marca ECMP (E) para una ruta indica que está participando en ECMP para la interfaz de salida al
siguiente salto para esa ruta. Para verificar el ECMP, utilice el siguiente procedimiento para observar la FIB y
confirmar que algunas rutas son rutas múltiples a igual coste.
STEP 2 | En la fila del enrutador virtual en el que ha habilitado ECMP, haga clic en More Runtime Stats
(Más estadísticas de tiempo de ejecución).
STEP 3 | Seleccione Routing (Enrutamiento) > Forwarding Table (Tabla de reenvío) para ver la FIB.
En la tabla, observe que varias rutas al mismo destino (excepto una interfaz diferente)
tienen la marca E. Un asterisco (*) indica la ruta preferida para el grupo ECMP.
La siguiente tabla enumera los TLV opcionales compatibles con el cortafuegos de Palo Alto Networks:
TLV opcionales Tipo de Finalidad y notas relacionadas con la implementación del cortafuegos
TLV
Dirección de 8 Una o más direcciones IP usadas para la gestión del cortafuegos, del
gestión siguiente modo:
• Dirección IP de la interfaz de gestión (MGT)
• Dirección IPv4 o IPv6 de la interfaz
• Dirección de bucle invertido
• Dirección definida por el usuario en el campo de dirección de gestión
Si no se indica una dirección IP de gestión, la predeterminada es la
dirección MAC de la interfaz de transmisión.
Se incluye el número de interfaz de la dirección de gestión especificada.
También se incluye el OID de la interfaz de hardware con la dirección de
gestión especificada (si se aplica).
Si se ha especificado más de una dirección de gestión, se enviará en el
orden especificado, empezando por el principio de la lista. Se admite un
máximo de cuatro direcciones de gestión.
Es un parámetro opcional que puede dejarse deshabilitado.
STEP 3 | Ver resumen de información de LLDP para cada vecino visto en una interfaz.
1. Seleccione la pestaña Peers.
2. (Opcional) Si lo desea, puede incluir un filtro para restringir la información que se muestra.
Interfaz local: Interfaz en el cortafuegos que detectó el dispositivo vecino.
ID de bastidor remoto: ID de bastidor del peer. Se usará la dirección MAC.
ID de puerto: ID del puerto del peer.
Nombre: Nombre del peer.
Más información: Ofrece la siguiente información del peer remoto, que se basa en TLV obligatorios y
opcionales.
• Tipo de bastidor: Dirección MAC.
• Dirección MAC: La dirección MAC del peer.
• Nombre del sistema: Nombre del peer.
• Descripción del sistema: Descripción del peer.
• Descripción de puerto: Descripción del puerto del peer.
• Tipo de puerto: Nombre de interfaz.
• ID de puerto: El cortafuegos usa el ifname de la interfaz.
• Capacidades del sistema: Funcionalidades del sistema. O=Otro, P=Repetidor, B=Puente, W=LAN-
Inalámbrico, R=Enrutador, T=Teléfono
• Capacidades habilitadas: Funcionalidades habilitadas en el peer.
• Dirección de gestión: Dirección de gestión del peer.
Cuando habilita BFD para las interfaces de difusión OSPFv2 o OSPFv3, OSPF establece una sesión BFD
únicamente con su enrutador designado (Designated Router, DR) y el enrutador designado de respaldo
(Backup Designated Router, BDR). En las interfaces de punto a punto, OSPF establece una sesión BFD con
el vecino directo. En las interfaces de punto a punto, OSPF establece una sesión BFD con cada peer.
El cortafuegos no admite BFD en un OSPF o enlace virtual OSPFv3.
Cada protocolo de enrutamiento puede tener sesiones BFD independientes en una interfaz. O bien, dos o
más protocolos de enrutamiento (BGP, OSPf y RIP) pueden compartir una sesión de BFD común para una
interfaz.
Cuando habilita BFD para múltiples protocolos en la misma interfaz, y la dirección IP de origen y la dirección
IP de destino para los protocolos también son las mismas, los protocolos comparten una sola sesión BFD,
con lo cual se reducen ambas cargas de trabajo del plano de datos (CPU) y carga de trabajo en la interfaz. Si
configura diferentes perfiles BFD para estos protocolos, solo se usa un perfil BFD: el que tiene el Desired
Minimum Tx Interval (Intervalo Tx mínimo deseado) más bajo. Si los perfiles tienen el mismo Desired
Minimum Tx Interval, se activa el perfil utilizado por la primera sesión creada. En el caso de que una ruta
estática y OSPF compartan la misma sesión, debido a que una sesión estática se crea inmediatamente
después de una confirmación, si bien el OSPF espera hasta que haya una adyacencia activa, el perfil de la
ruta estática tiene prevalencia.
El beneficio de usar una sola sesión de BFD en estos casos es que este comportamiento utiliza recursos de
manera más eficiente. El cortafuegos puede utilizar los recursos guardados para admitir más sesiones de
BFD en diferentes interfaces o admitir BFD para diferentes ares de dirección IP de origen y de destino.
IPv4 e IPv6 en la misma interfaz siempre crea diferentes sesiones BFD, incluso aunque usen el mismo perfil
BFD.
Configuración de BFD
Esta tarea supone que usted ha realizado los siguientes requisitos previos:
• Leyó la descripción general de BFD, que incluye los modelos de cortafuegos y las interfaces compatibles.
• Configuró uno o más enrutadores virtuales.
• Configuró una o más rutas estáticas si está aplicando BFD a rutas estáticas.
• Configuró un protocolo de enrutamiento (BGP, OSPF, OSPFv3 o RIP) si está aplicando BFD a un
protocolo de enrutamiento.
Si cambia un ajuste en un perfil de BFD que una sesión de BFD existente está utilizando
y confirma el cambio, antes de que el cortafuegos elimine esa sesión BFD y vuelva a
crearla con el nuevo ajuste, el cortafuegos envía un paquete BFD con el estado local
configurado con el administrador inactivo. El dispositivo del peer puede o no alternar
el protocolo de enrutamiento o ruta estática, según la implementación del peer de
RFC 5882, Sección 3.2.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > BFD Profile (Perfil BFD) y luego
Add (Añadir) para añadir un Name (Nombre) para el perfil BFD. El nombre distingue entre mayúsculas
y minúsculas y debe ser único en el cortafuegos. Utilice solamente letras, números, espacios, guiones
y guiones bajos.
2. Seleccione el Mode (Modo) en el que BFD operará:
• Active (Activo): BFD inicia el envío de los paquetes de control (por defecto). Al menos uno de los
peers de BFD debe estar activo; ambos pueden estar activos.
• Passive (Pasivo): BFD espera que el peer envíe los paquetes de control y responde según
corresponda.
STEP 5 | (Opcional: para una implementación de IPv4 de BGP únicamente) configure ajustes
relacionados con el salto para el perfil BFD.
1. Seleccione Multihop (Múltiples pasos) para habilitar BFD en varios saltos de BGP.
2. Introduzca el Minimum Rx TTL (TTL Rx mínimo). Este es el valor mínimo de período de vida (cantidad
de saltos) que BFD aceptará (recibirá) en un paquete de control de BFD cuando BGP admite varios
saltos de BFD. (El intervalo es 1-254; no hay valor por defecto).
El cortafuegos descarta el paquete si recibe un TTL menor que el Minimum Rx TTL (TTL Rx mínimo)
configurado. Por ejemplo, si el peer está a 5 saltos de distancia y el peer transmite un paquete BFD
con un TTL de 100 al cortafuegos, y si el valor Minimum Rx TTL (TTL Rx mínimo) para el cortafuegos
está configurado en 96 o más, el cortafuegos descarta el paquete.
STEP 8 | (Opcional) Habilite BFD para todas las interfaces BGP o para un solo peer BGP.
Si implementa ambos BFD para el control de ruta HA y BGP, Palo Alto Networks le
recomienda no implementar el BGP Graceful Restart (Reinicio correcto BGP). Cuando
la interfaz del peer de BFD falla y el control de ruta falla, BFD puede eliminar las rutas
afectadas de la tabla de rutas y sincronizar este cambio con el cortafuegos HA pasivo
antes de que el reinicio correcto surta efecto. Si decide implementar BFD para BGP, el
reinicio correcto para BGP y el control de ruta HA, debe configurar BFD con un intervalo
Tx mínimo deseado superior y un multiplicador de tiempo de detección superior a los
valores predeterminados.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales), y seleccione el enrutador virtual
donde está configurado BGP.
2. Seleccione la pestaña BGP.
3. (Opcional) Para aplicar BFD a todas las interfaces BGP en el enrutador virtual, en el menú desplegable
BFD seleccione una de las siguientes opciones y haga clic en OK (Aceptar):
• default (predeterminado): usa únicamente los ajustes por defecto.
• Un perfil BFD que haya configurado. Consulte Creación de un perfil BFD.
• New BFD Profile (Nuevo perfil BFD): le permite crear un perfil BFD.
STEP 9 | (Opcional) Habilite BFD para OSPF u OSPFv3 globalmente para una interfaz OSPF.
STEP 10 | (Opcional) Habilite BFD para RIP globalmente o para una sola interfaz RIP.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales), y seleccione el enrutador virtual
donde está configurado RIP.
2. Seleccione la pestaña RIP.
3. (Opcional) En el menú desplegable BFD, seleccione una de las siguientes opciones para habilitar BFD
para todas las interfaces RIP en el enrutador virtual y haga clic en OK (Aceptar):
• default (predeterminado): usa únicamente los ajustes por defecto.
• Un perfil BFD que haya configurado. Consulte Creación de un perfil BFD.
• New BFD Profile (Nuevo perfil BFD): le permite crear un perfil BFD.
STEP 13 | Supervise los perfiles de BFD a los que hace referencia una configuración de enrutamiento;
supervise las estadísticas de BFD, el estado y la condición.
Use los siguientes comandos operativos de CLI:
• show routing bfd active-profile [<name>]
• show routing bfd details [interface <name>][local-ip <ip>][multihop][peer-
ip <ip>][session-id][virtual-router <name>]
• show routing bfd drop-counters session-id <session-id>
• show counter global | match bfd
Interface (Interfaz) ethernet1/12 Interfaz que seleccionó donde BFD se está ejecutando.
Perfil BFD valor por defecto Nombre del perfil BFD aplicado a la interfaz.
*(Esta sesión
Debido a que la interfaz de muestra tiene una ruta
BFD tiene varios
estática y OSPF que ejecuta BFD con diferentes perfiles,
perfiles BFD. El
el cortafuegos utiliza el perfil con el intervalo de Tx
“intervalo de Tx
deseado mínimo más bajo. En este ejemplo, el perfil
deseado mínimo
utilizado es el perfil por defecto.
[ms]” más bajo
se utiliza para
seleccionar el
perfil efectivo).
Estado (local/remoto) activo/activo Estados de BFD de los peers de BFD locales y remotos.
Los estados posibles son administrador inactivo, inactivo,
inicializado y activo.
Local Diag Code 0 (sin diagnóstico) Los códigos de diagnóstico indican el motivo del último
cambio de estado del sistema local:
0: sin diagnóstico
1: vencimiento del tiempo de detección de control
2: error de la función Echo
3: sesión de señalización de vecino inactiva
Last Received Remote 0 (sin diagnóstico) Último código de diagnóstico recibido del peer BFD.
Diag Code
Agent Data Plane Ranura 1 - DP 0 En los cortafuegos de la serie PA-7000, el CPU del plano
de datos que se asignó para manejar los paquetes para
esta sesión BFD.
Diagnostic Code 0 (sin diagnóstico) Código de diagnóstico del último paquete que causó un
cambio de estado.
Required Min Echo Rx 0 ms PAN-OS no admite la función Echo de BFD, por lo cual
Interval este valor siempre será 0 ms.
TCP
El protocolo de control de transmisión (TCP) (RFC 793) es uno de los protocolos principales del conjunto de
protocolos de Internet (IP), y está tan extendido que a menudo se le hace referencia junto a IP como TCP/
IP. Se considera que el TCP es un protocolo de transporte fiable, ya que ofrece comprobación de errores
mientras transmite y recibe segmentos, reconoce los segmentos recibidos y reorganiza los segmentos
recibidos en un orden incorrecto. TCP también solicita y ofrece la retransmisión de segmentos que faltaban.
TCP se basa en el estado y conexión, lo que significa que la conexión entre el remitente y el receptor se
establece durante la duración de la sesión. TCP ofrece un control del flujo de paquetes para que pueda
gestionar la gestión de las redes.
TCP realiza un protocolo de enlace durante la configuración de la sesión para iniciar y reconocer una
sesión. Cuando se han transferido los datos, la sesión se cierra de manera ordenada: cada lado transmite
un paquete FIN y lo reconoce con un paquete ACK. El protocolo de enlace que inicia la sesión TCP suele
ser un protocolo de enlace en tres pasos (un intercambio de tres mensajes) entre el iniciador y el agente
de escucha, o puede ser una variación, como un protocolo de enlace en cuatro o cinco pasos o abierto
simultáneo. En Descarte de paquetes de protocolo de enlace dividido de TCP on page 959 se explica
La opción Split Handshake (Protocolo de enlace dividido) está configurada para un perfil de Protección de
zona que está asignado a una zona. Una interfaz que forme parte de la zona descarta cualquier paquete
de sincronización (SYN) enviado desde el servidor, evitando así las siguientes variaciones de protocolos
de enlace. La letra A en la figura representa al iniciador de la sesión y la B, al agente de escucha. Cada
segmento numerado del protocolo de enlace tiene una flecha que indica la dirección del segmento desde el
remitente hasta el destinatario, y cada segmento indica el ajuste de control de bits.
Si el bit de no fragmentar (don't fragment, DF) se configura para un paquete, resulta especialmente útil
tener un tamaño de ajuste de MSS mayor y un MSS menor, a fin de que los encabezados más extensos no
generen una extensión de paquete que exceda la MTU permitida. Si se configuró el bit DF y se superó la
MTU, los paquetes más grandes de descartarán.
El cortafuegos admite un tamaño de ajuste de MSS configurable para direcciones IPv4 e IPv6 en los
siguientes tipos de interfaz de capa 3: Ethernet, subinterfaces, Ethernet de agregación (AE), VLAN y bucle
invertido. El tamaño de ajuste de MSS de IPv6 se aplica únicamente si IPv6 está habilitada en la interfaz.
Si IPv4 e IPv6 están habilitadas en una interfaz y el tamaño de ajuste de MSS difiere entre
los dos formatos de dirección IP, se usa el valor de MSS correspondiente al tipo de IP para
el tráfico TCP.
Para las direcciones IPv4 e IPv6, el cortafuegos permite extensiones de encabezado TCP mayores de lo
previsto. En el caso en que un paquete TCP tiene un encabezado más extenso de lo previsto, el cortafuegos
elige para el tamaño de ajuste de MSS el mayor de los siguientes dos valores:
• El tamaño de ajuste de MSS configurado.
• La suma de la extensión del encabezado TCP (20) + la extensión de los encabezados IP en TCP SYN.
Este comportamiento significa que el cortafuegos cancela el tamaño de ajuste de MSS configurado si es
necesario. Por ejemplo, si configura un tamaño de ajuste de MSS de 42, se prevé que el MSS sea igual a
UDP
El protocolo de datagramas de usuario (UDP) (RFC 768) es otro de los principales protocolos del conjunto
IP, y ofrece una alternativa al TCP. El UDP es independiente del estado y la conexión en el sentido de
que no hay un protocolo para establecer sesión ni ninguna conexión entre el remitente y el receptor; los
paquetes pueden tomar distintas rutas para llegar a un único destino. UDP no se considera un protocolo
fiable porque no ofrece reconocimientos, comprobación de errores, retransmisión ni reorganización de
datagramas. Al no tener la carga de trabajo necesaria para ofrecer estas funciones, UDP tiene una latencia
reducida y es más rápido que TCP. UDP es conocido como el protocolo de menor esfuerzo, sin ningún
mecanismo o forma de garantizar que los datos llegarán a su destino.
Un datagrama UDP se encapsula en un paquete IP. Aunque UDP usa una suma de comprobación para saber
la integridad de los datos, no realizará ninguna comprobación de errores a nivel de la interfaz de red. Se
asume que la comprobación de errores no es necesaria o que la realiza la aplicación en lugar del propio
UDP. UDP no tiene ningún mecanismo para gestionar el control de flujo de paquetes.
UDP a menudo se usa con aplicaciones que requieren velocidades más altas y una entrega en tiempo real
sensible al tiempo, como voz sobre IP (VoIP), transmisión de audio y vídeo y los juegos en línea. UDP se
basa en las transacciones, por lo que también se usa para aplicaciones que responden a pequeñas consultas
de muchos clientes, como el sistema de nombres de dominio (DNS) y el protocolo trivial de transferencia de
archivos (TFTP).
Utilice los Perfiles de protección de zonas on page 1107 para configurar la protección contra inundaciones
y especificar la tasa de conexiones por segundo de UDP (que no coinciden con una sesión existente) que
activan una alarma, provocan que el cortafuegos descarte paquetes UDP de manera aleatoria y causan que
el cortafuegos descarte paquetes UDP que superan la tasa máxima. (A pesar de que el UDP es un protocolo
sin conexión, el cortafuegos rastrea los datagramas UDP en los paquetes IP en función de las sesiones; por
lo tanto, si el paquete UDP no coincide con una sesión existente, se considera una nueva sesión y se cuenta
como una conexión en los umbrales).
ICMP
El protocolo de mensajes de control de Internet (ICMP) (RFC 792) es otro de los protocolos principales
del conjunto de protocolos de Internet (IP), y opera en la capa de red del modelo OSI. El ICMP se usa para
diagnóstico y control; para enviar mensajes de error sobre operaciones de IP o mensajes sobre servicios
solicitados o el alcance de un host o enrutador. Hay utilidades de red como traceroute y ping que se
implementan mediante varios mensajes ICMP.
ICMP es un protocolo sin conexión que no abre ni mantiene sesiones reales. Sin embargo, los mensajes
ICMP entre dos dispositivos pueden considerarse una sesión.
Los cortafuegos de Palo Alto Networks admiten ICMPv4 e ICMPv6. Puede controlar los paquetes ICMPv4 e
ICMPv6 de varias maneras:
• Cree Reglas de la política de seguridad basadas en paquetes ICMP e ICMPv6 on page 962 y seleccione
la aplicación icmp o ipv6-icmp en la regla.
• Controle la Límite de tasa ICMPv6 on page 963 cuando realice la Definición de la configuración de
sesión on page 965.
• Utilice los Perfiles de protección de zonas on page 1107 para configurar la protección contra
inundaciones, especifique la tasa de conexiones por segundo de ICMP o ICMPv6 (que no coincidan con
A pesar de que puede anular las reglas predeterminadas para habilitar la creación
de logs o cambiar la acción predeterminada, no recomendamos que modifique el
comportamiento predeterminado para un caso específico dado que impactará en todo el
tráfico que esas reglas predeterminadas afectan. En cambio, cree reglas de la política de
seguridad para controlar y registrar paquetes ICMP o ICMPv6 explícitamente.
Existen dos maneras de crear reglas explícitas de la política de seguridad para manejar paquetes ICMP o
ICMPv6 que no son paquetes de error o redirigidos:
• Cree una regla de la política de seguridad para permitir (o denegar) todos los paquetes ICMP o
ICMPv6: en esta regla de la política de seguridad, especifique el icmp o ipv6-icmp de la aplicación;
el cortafuegos permite (o deniega) todos los paquetes IP que coincidan con el número de protocolo
ICMP (1) o el número de protocolos ICMPv6 (58), respectivamente, mediante el cortafuegos.
• Cree una aplicación personalizada y una regla de la política de seguridad para permitir (o denegar)
paquetes desde o hacia esa aplicación: este enfoque más detallado le permite llevar a cabo el Control
de tipos y códigos específicos de ICMP o ICMPv6 on page 963.
STEP 1 | Cree una aplicación personalizada para tipos y códigos de mensajes ICMP o ICMPv6.
1. Seleccione Object (Objeto) > Applications (Aplicaciones) y Add (Añadir) para añadir una aplicación
personalizada.
2. En la pestaña Configuration (Configuración), introduzca un nombre en Name (Nombre) para la
aplicación personalizada y una descripción en Description (Descripción). Por ejemplo, introduzca el
nombre ping6.
3. En Category (Categoría), seleccione networking (redes).
4. En Subcategory (Subcategoría), seleccione ip-protocol (Protocolo IP).
5. En Technology (Tecnología), seleccione network-protocol (Protocolo de red).
6. Haga clic en OK (Aceptar).
7. En la pestaña Advanced (Avanzado), seleccione ICMP Type (Tipo ICMP) o ICMPv6 Type (Tipo
ICMPv6).
8. En Type (Tipo), introduzca un número (rango: 0 a 255) que designe el tipo de mensaje ICMP o
ICMPv6 que desea permitir o denegar. Por ejemplo, 128 corresponde al mensaje Echo Request
(Solicitud de Echo) (ping).
9. Si el campo Type (Tipo) incluye los códigos, introduzca el número de Code (Código) (rango: 0 a 255)
que aplique al valor de Type (Tipo) que desea permitir o denegar. Algunos valores de Type (Tipo)
tienen solo un código 0.
10.Haga clic en OK (Aceptar).
STEP 2 | Cree una regla en la política de seguridad que permita o deniegue la aplicación personalizada
que creó.
Creación de una regla de política de seguridad. En la pestaña Application (Aplicación), especifique el
nombre de la aplicación personalizada que acaba de crear.
Los valores predeterminados son valores óptimos. Sin embargo, puede modificarlos según
las necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se
detecten retrasos mínimos en la red, lo que podría producir errores a la hora de establecer
conexiones con el cortafuegos. Si configura un valor demasiado alto, entonces podría
retrasarse la detección de errores.
STEP 2 | Especifique si aplicará las reglas de política de seguridad recientemente configuradas a las
sesiones que están en curso.
Seleccione Rematch all sessions on config policy change (Volver a cotejar todas las sesiones tras
el cambio a la política configurada) para aplicar las reglas de política de seguridad recientemente
configurada a las sesiones que están en curso. Esta capacidad está habilitada de manera predeterminada.
Si desmarca esta casilla de verificación, los cambios de la regla de política que realice se aplicarán
únicamente a las sesiones iniciadas después de que confirmó el cambio de la política.
Los eventos de alerta se registran en el log del sistema. Los eventos para el tráfico
descartado, las sesiones descartadas y la dirección IP bloqueada se registran en el
log de amenazas.
• Block Hold Time (sec) (Tiempo de espera de bloqueo [s]): el tiempo que se permite continuar a la
sesión mitigada con RED antes de que se descarte. Por defecto, el tiempo de espera del bloqueo
es de 60 segundos. El intervalo es de 0 a 65.535. Si el valor se configura en 0, el cortafuegos no
descarta las sesiones en función de la protección de búfer de paquetes.
• Block Duration (sec) (Duración del bloqueo [s]): Este ajuste define por cuánto tiempo se descarta
una sesión o se bloquea una dirección IP. El valor predeterminado es 3600 segundos con un
intervalo de 0 segundos a 15.999.999 segundos. Si este valor se configura en 0, el cortafuegos
no descarta las sesiones ni bloquea las direcciones IP en función de la protección de búfer de
paquetes.
STEP 10 | Configure los ajustes detallados de Maximum Segment Size (MSS) (Tamaño máximo del
segmento) para una interfaz de capa 3.
1. Seleccione Network (Red) > Interfaces, seleccione Ethernet, VLAN o Loopback (Bucle invertido), y
seleccione la interfaz de capa 3.
2. Seleccione Advanced (Avanzado) > Other Info (Otra información).
3. Seleccione Adjust TCP MSS (Ajustar tamaño máximo del segmento de TCP) e introduzca un valor
para una de las dos opciones siguientes, o ambas:
• IPv4 MSS Adjustment Size (Tamaño de ajuste de MSS Ipv4) (el intervalo es de 40 a 300 bytes; el
valor predeterminado es 40 bytes).
• IPv6 MSS Adjustment Size (Tamaño de ajuste MSS de IPv6)(el intervalo es 60-300 bytes; el valor
por defecto es 60 bytes).
4. Haga clic en OK (Aceptar).
Cortafuegos PA-5220 1
Cortafuegos PA-5250 2
Cortafuegos PA-5260 3
Los siguientes temas proporcionan información sobre las políticas de distribución de sesiones disponibles,
cómo cambiar una política activa y cómo ver las estadísticas de distribución de sesiones.
• Descripciones de las políticas de distribución de sesiones
• Cambio de la política de distribución de sesiones y visualización de las estadísticas
Tarea Comando
Mostrar la política Utilice el comando show session distribution policy para ver la
activa de distribución de política activa de distribución de sesiones.
sesiones.
El siguiente resultado muestra un cortafuegos PA-7080 con cuatro NPC
instaladas en las ranuras 2, 10, 11 y 12 con la política de distribución ingress-
slot habilitada:
STEP 1 | Configure un perfil de Zona de protección para impedir que las sesiones de TCP establezcan
una sesión si no es mediante un protocolo de enlace en tres pasos.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > Zone Protection (Protección de
zona) y haga clic en Add (Añadir) para añadir un nuevo perfil (o seleccione un perfil existente).
2. Si está creando un nuevo perfil, introduzca un nombre en Name (Nombre) para el perfil y una
descripción opcional en Description (Descripción).
3. Seleccione Packet Based Attack Protection (Protección contra ataques basados en paquetes) > TCP
Drop (Descarte de TCP) y seleccione Split Handshake (Protocolo de enlace dividido).
4. Haga clic en OK (Aceptar).
La siguiente tabla indica con una marca de verificación qué tipos de política puede aplicar a una sesión de
túnel externa, una sesión de túnel interna y la sesión original interna:
Cancelación de aplicación — —
Protección DoS
NAT — —
Seguridad (obligatorio)
User-ID
Protección de zonas
Las sesiones de túnel internas y las sesiones de túnel externas cuentan para la capacidad de sesión máxima
del modelo de cortafuegos.
Cuando usted habilita o edita una política de inspección de túnel (para añadir un protocolo, aumentar los
niveles máximos de inspección o habilitar opciones de seguridad), afecta las sesiones de túnel existentes.
El cortafuegos trata las sesiones TCP existentes dentro del túnel como flujos TCP no SYN. Para evitar que
el cortafuegos descarte todas las sesiones existentes cuando habilita o edita una política de inspección de
túnel, puede crear un perfil de protección de zona que deshabilite Reject Non-SYN TCP (Rechazar TCP
no SYN) y aplique el perfil a las zonas que controlan las políticas de seguridad de su túnel. La tarea de
Configuración de la inspección del contenido del túnel incluye estos pasos.
El cortafuegos no admite una regla de política de inspección de túnel que compare el tráfico de un túnel que
finalice en el cortafuegos, el cortafuegos descarta los paquetes que coinciden con la sesión de túnel interno.
Por ejemplo, cuando un túnel IPSec finaliza en el cortafuegos, no cree una regla de política de inspección de
STEP 1 | Cree una política de seguridad que permita paquetes a través del túnel desde la zona de origen
hasta la zona de destino y que utilice una aplicación específica, tal como la aplicación GRE.
Creación de una regla de política de seguridad
STEP 3 | Especifique los criterios que determinan el origen de los paquetes a los cuales se aplica la regla
de política de inspección de túneles.
1. Seleccione la pestaña Source (Origen).
2. Seleccione Add (Añadir) para añadir una Source Zone (Zona de origen) en la lista de zonas. El valor
predeterminado es Any (Cualquier) zona.
3. (Opcional) Seleccione Add (Añadir) para añadir una Source Address (Dirección de origen). Puede
introducir una dirección IPv4 o IPv6, un grupo de direcciones o un objeto de dirección de región
geográfica. El valor predeterminado es Any (Cualquier) dirección de origen.
4. (Opcional) Seleccione Negate (Negar) para seleccionar cualquier dirección excepto las configuradas.
5. (Opcional) Seleccione Add (Añadir) para añadir un Source User (Usuario de origen). El valor
predeterminado es any (cualquier) usuario de origen. Known-user (Usuario conocido) es un usuario
que se ha autenticado; un usuario Unknown (Desconocido), no se ha autenticado.
STEP 4 | Especifique los criterios que determinan el destino de los paquetes a los cuales se aplica la
regla de política de inspección de túneles.
1. Seleccione la pestaña Destination (Destino).
2. Seleccione Add (Añadir) para añadir una Destination Zone (Zona de destino) de la lista de zonas. El
valor predeterminado es Any (Cualquier) zona.
3. (Opcional) Seleccione Add (Añadir) para añadir una Destination Address (Dirección de destino).
Puede introducir una dirección IPv4 o IPv6, un grupo de direcciones o un objeto de dirección de
región geográfica. El valor predeterminado es Any (Cualquier) dirección de destino.
También puede configurar una nueva dirección o grupo de direcciones.
4. (Opcional) Seleccione Negate (Negar) para seleccionar cualquier dirección excepto las configuradas.
STEP 5 | Especifique los protocolos de túnel que el cortafuegos inspeccionará para esta regla.
1. Seleccione la pestaña Inspection (Inspección).
2. Add (Añadir) uno o más Protocols (Protocolos) de túnel que desea que el cortafuegos inspeccione:
• GRE: El cortafuegos inspecciona los paquetes que utilizan Generic Route Encapsulation en el
túnel.
• GTP-U: el cortafuegos inspecciona los paquetes que utilizan el protocolo de túnel General Packet
Radio Service (GPRS) para datos de usuario (GTP-U) en el túnel.
• Non-encrypted IPSec (IPSec no cifrado): El cortafuegos inspecciona los paquetes que usan IPSec
no cifrado (Null Encrypted IPSec o IPSec AH en modo Transporte) en el túnel.
STEP 8 | (Opcional) Cree una zona de origen de túnel y una zona de destino de túnel para el contenido de
túnel y configure una regla de política de seguridad para cada zona.
La práctica recomendada es crear zonas de túnel para su tráfico de túnel. Por lo tanto, el
cortafuegos crea sesiones separadas para los paquetes tunelizados y no tunelizados que
tienen la misma tupla de cinco (dirección IP y puerto de origen, dirección IP y puerto de
destino, y protocolo).
1. Si desea que el contenido del túnel esté sujeto a diferentes reglas de política de seguridad de las
reglas de política de seguridad para la zona del túnel externo (configurado anteriormente), seleccione
Network (Red) > Zones (Zonas) y Add (Añadir) para añadir un nombre para la zona de origen de túnel
en Name (Nombre).
2. Para Location (Ubicación), seleccione el sistema virtual.
3. En Tipo, seleccione Tunnel (Túnel).
4. Haga clic en OK (Aceptar).
5. Repita estos pasos secundarios para crear la zona de destino de túnel.
6. Configure una regla de política de seguridad para la zona de origen de túnel.
Debido a que quizás no conozca al originador del tráfico de túnel o la dirección del
flujo del tráfico y no desea prohibir accidentalmente el tráfico para una aplicación
a través del túnel, especifique ambas zonas de túnel como la Source Zone (Zona
de origen) y especifique ambas zonas de túnel como la Destination Zone (Zona de
destino) en su regla de política de seguridad, o seleccione Any (Cuaquiera) para las
zonas de origen y destino; y luego especifique las Applications (Aplicaciones).
7. Configure una regla de política de seguridad para la zona de destino de túnel. El consejo para
configurar una regla de política de seguridad para la zona de origen de túnel se aplica también a la
zona de destino de túnel.
STEP 9 | (Opcional) Especifique la zona de origen de túnel y la zona de destino de túnel para el contenido
interno.
1. Especifique la zona de origen de túnel y la zona de destino de túnel que acaba de añadir como las
zonas para el contenido interno. Seleccione Policies (Políticas) > Tunnel Inspection (Inspección de
túnel) y en la pestaña General, seleccione en Name el nombre de la regla de política de inspección
que ha creado.
2. Seleccione Inspection (Inspección).
3. Seleccione Security Options (Opciones de seguridad).
4. Seleccione Enable Security Options (Habilitar opciones de seguridad) para hacer que el origen del
contenido interno pertenezca a la Tunnel Source Zone (Zona de origen de túnel) que especifique y
que el destino de contenido interno pertenezca a la Tunnel Destination Zone (Zona de destino del
túnel) que especifique. (Está deshabilitado de forma predeterminada).
Si no elige Enable Security Options (Habilitar opciones de seguridad), el origen del contenido interno
pertenecerá a la misma zona de origen que el origen de túnel externo y el destino de contenido
interno pertenecerá a la misma zona de destino que el destino del túnel externo, y por lo tanto
estarán sujetos a las mismas reglas de política de seguridad que se aplican a esas zonas externas.
5. En Tunnel Source Zone (Zona de origen de túnel), seleccione una de las opciones siguientes:
• Default (el ajuste predeterminado). El contenido interno utilizará la misma zona que se utiliza en el
túnel externo para la aplicación de políticas.
• La zona de túnel correspondiente que creó en el paso anterior, para que las reglas de políticas de
seguridad asociadas con esa zona se apliquen a la zona de origen del túnel.
6. En Tunnel Destination Zone (Zona de destino de túnel), seleccione una de las opciones siguientes:
• Default (el ajuste predeterminado). El contenido interno utilizará la misma zona que se utiliza en el
túnel externo para la aplicación de políticas.
• La zona de túnel correspondiente que creó en el paso anterior, para que las reglas de políticas de
seguridad asociadas con esa zona se apliquen a la zona de destino del túnel.
STEP 10 | (Opcional) Si habilitó Rematch Sessions (Volver a cotejar sesiones) (Device [Dispositivo] >
Setup [Configuración] > Session [Sesión]), asegúrese de que el cortafuegos no descarte las
sesiones existentes cuando cree o revise una política de inspección de túnel, al deshabilitar
Reject Non-SYN TCP (Rechazar TCP Non-SYN) para las zonas que controlen sus políticas de
seguridad de túnel.
El cortafuegos muestra la siguiente advertencia cuando usted:
• Crea una regla de política de inspección de túnel.
• Modifica una regla de política de inspección de túnel al añadir un Protocol (Protocolo) o al aumentar
los Maximum Tunnel Inspection Levels (Niveles máximos de inspección de túnel) de One Level (Un
nivel) a Two Levels (Dos niveles).
• Seleccione Enable Security Options (Habilitar las opciones de seguridad) en la pestaña Security
Options (Opciones de seguridad) al añadir nuevas zonas o cambiar una zona por otra.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > Zone Protection (Protección de
zona) y Add (Añadir) para añadir un perfil.
2. Introduzca un Name (Nombre) para el perfil.
3. Seleccione Packet Based Attack Protection (Protección contra ataques basados en paquetes) > TCP
Drop (Descarte de TCP).
4. Para Reject Non-SYN TCP (Rechazar TCP Non-SYN), seleccione no.
5. Haga clic en OK (Aceptar).
6. Seleccione Network (Red) > Zones (Zonas) y seleccione la zona que controla sus políticas de
seguridad de túnel.
7. En Zone Protection Profile (Perfil de protección de zona), seleccione el perfil de protección de zona
que acaba de crear.
8. Haga clic en OK (Aceptar).
9. Repita los tres pasos anteriores de esta sección para aplicar el perfil de protección de zona a zonas
adicionales que controlan sus políticas de seguridad de túnel.
10.Una vez que las sesiones existentes han sido reconocidas por el cortafuegos, puede volver a habilitar
el ajuste Reject Non-SYN TCP (Rechazar TCP Non-SYN) al configurarlo en yes (sí) o global.
1. Seleccione Policies (Políticas) > Tunnel Inspection (Inspección de túnel) y seleccione el nombre de la
regla de política de inspección de túnel que ha creado.
2. Seleccione Inspection (Inspección) > Monitor Options (Opciones de supervisión).
3. Ingrese un Monitor Name (Nombre de supervisor) para agrupar el tráfico similar para fines de
registro y elaboración de informes.
4. Ingrese una Monitor Tag (number) (Etiqueta de supervisión [número]) para agrupar tráfico similar
para fines de registro y elaboración de informes (el intervalo es de 1 a 16.777.215). El número de
etiqueta se define globalmente.
5. Haga clic en OK (Aceptar).
STEP 1 | Seleccione ACC y seleccione un Virtual System (Sistema virtual) o All (Todos) los sistemas
virtuales.
STEP 3 | Seleccione un Time period (Período) para ver, como Last 24 Hrs (Últimas 24 horas) o Last 30
Days (Últimos 30 días).
STEP 4 | En Global Filters (Filtros globales), haga clic en los botones + o - para utilizar los filtros de ACC
en la actividad del túnel.
STEP 5 | Vea la actividad del túnel inspeccionado; puede mostrar u ordenar los datos en cada ventana
por bytes, sessions (sesiones), threats (amenazas), content (contenido) o URLs. Cada ventana
muestra un aspecto diferente de los datos del túnel en un gráfico o una tabla:
• Visualice otros logs para obtener información sobre la inspección del túnel.
1. Seleccione Monitor (Supervisar) > Logs.
2. Seleccione Traffic (Tráfico), Threat (Amenaza), URL Filtering (Filtrado de URL), WildFire Submissions
(Envíos de WildFire), Data Filtering (Filtrado de datos) o Unified (Unificado).
3.
En una entrada de log, haga clic en el icono de vista detallada de log .
4. En la ventana Flags (Marcas), consulte si se ha seleccionado la marca Tunnel Inspected (Túnel
inspeccionado). Una marca Tunnel Inspected (Túnel inspeccionado) indica que el cortafuegos utilizó
una regla de la política Tunnel Inspection (Inspección del túnel) para inspeccionar el contenido interno
o túnel interno. La información de Parent Session (Sesión principal) corresponde a un túnel exterior
(en relación a un túnel interior) o un túnel interno (en relación al contenido interno).
En los logs Traffic (Tráfico), Threat (Amenaza), URL Filtering (Filtrado de URL), WildFire Submissions
(Envíos de WildFire), Data Filtering (Filtrado de datos), solo la información principal directa aparece
en la vista detallada del log de sesión interna, no la información del log del túnel. Si configuró dos
niveles de inspección de túnel, puede seleccionar la sesión principal de la información principal
STEP 1 | Seleccione Monitor (Supervisar) > Manage Custom Reports (Gestionar informes
personalizados) y haga clic en Add (Añadir).
STEP 2 | En Database (Base de datos), seleccione el log de Tráfico, Amenaza, URL, Filtrado de datos o
envíos de WildFire.
STEP 3 | En Available Columns (Columnas disponibles), seleccione Flags (Marcas) y Monitor Tag
(Etiqueta de supervisión), además de otros datos que desee incluir en el informe.
Consulte Generación de informes personalizados para obtener información detallada sobre la creación
de un informe personalizado.
985
986 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Política
© 2017 Palo Alto Networks, Inc.
Tipos de políticas
El cortafuegos de nueva generación de Palo Alto Networks admite diversos tipos de políticas que se
complementan mutuamente para habilitar aplicaciones en su red.
Políticas de calidad del Identifica el tráfico que requiere un tratamiento de QoS (ya sea un
servicio (QoS) tratamiento preferente o una limitación del ancho de banda) mediante un
parámetro definido o varios parámetros y le asigna una clase. Para obtener
información detallada, consulte Calidad de servicio.
Reenvío basado en Identifica el tráfico que debería usar una interfaz de salida diferente a la
políticas que debería usar según la tabla de enrutamiento. Para obtener información
detallada, consulte Reenvío basado en políticas.
Descifrado Identifica el tráfico que quiere inspeccionar para ganar visibilidad, control y
seguridad granular. Para obtener información detallada, consulte Decifrado.
Cancelación de Identifica sesiones que no quiere que procese el motor de App-ID, lo cual
aplicación es una inspección de capa 7. El tráfico que coincida con una política de
cancelación de aplicación obliga a que el cortafuegos gestione la sesión como
un cortafuegos de inspección de estado normal en la capa 4. Para obtener
información detallada, consulte Gestión de aplicaciones personalizadas o
desconocidas.
Autenticación Identifica el tráfico que requiere que los usuarios se autentiquen. Para
obtener información detallada, consulte Política de autenticación.
Para garantizar que los usuarios finales se autentican cuando intentan acceder a los
recursos de red, el cortafuegos evalúa la política de autenticación antes que la de seguridad.
Se buscan coincidencias entre todo el tráfico que atraviesa el cortafuegos y una sesión, y entre cada sesión
y una regla de la política de seguridad. Cuando se encuentra una coincidencia, el cortafuegos aplica la regla
de la política de seguridad al tráfico bidireccional (cliente a servidor y servidor a cliente) de esa sesión.
Para el tráfico que no coincide con ninguna regla definida, se aplican las reglas predeterminadas. Las reglas
predeterminadas (que aparecen en la parte inferior de la base de reglas de seguridad) se predefinen para
permitir todo el tráfico de intrazona (en la zona) y denegar el tráfico interzona (entre zonas). Aunque estas
reglas son parte de la configuración predefinida y son de solo lectura de forma predeterminada, puede
cancelarlas y cambiar un número limitado de ajustes, incluidas las etiquetas, acción (permitir o bloquear)
configuración de log y perfiles de seguridad.
Las reglas de la política de seguridad se evalúan de izquierda a derecha y de arriba a abajo. Un paquete
coincide con la primera regla que cumpla los criterios definidos; después de activar una coincidencia, las
reglas posteriores no se evalúan. Por lo tanto, las reglas más específicas deben preceder a las más genéricas
para aplicar los mejores criterios de coincidencia. El tráfico que coincide con una regla genera una entrada
de log al final de la sesión en el log de tráfico, si se permite el logging para esa regla. Las opciones de logs
pueden configurarse para cada regla. Por ejemplo, se pueden configurar para registrarse al inicio de una
sesión en lugar o además del logging al final de una sesión.
• Componentes de una regla de política de seguridad
• Acciones de la política de seguridad
• Creación de una regla de política de seguridad
Campo
Obligatorio/ Descripción
Opcional
ObligatorioName (Nombre) Etiqueta que admite hasta 31 caracteres, utilizada para identificar la regla.
Rule Type (Tipo Especifica si la regla se aplica al tráfico en una zona, entre zonas o ambas.
de regla)
• universal (predeterminado): aplica la regla a todo el tráfico
coincidente de interzona e intrazona en las zonas de origen y destino
especificadas. Por ejemplo, si crea una regla universal con las zonas
de origen A y B y las zonas de destino A y B, esta se aplicará a todo
el tráfico dentro de la zona A, a todo el tráfico de la zona B, a todo el
tráfico que vaya de la zona A a la B y a todo el tráfico de la zona B a la
A.
Destination Zone Zona en la que termina el tráfico. Si utiliza NAT, asegúrese de hacer
(Zona de destino) referencia siempre a la zona posterior a NAT.
Action (Acción) Especifica una acción de Allw (Permitir) o Block (Bloquear) para el tráfico
basándose en los criterios que defina en la regla. Cuando configure
el cortafuegos para bloquear el tráfico, este restablecerá la conexión
o descartará los paquetes en segundo plano. Para proporcionar una
mejor experiencia al usuario, puede configurar opciones granulares para
bloquear el tráfico en lugar de descartar paquetes en segundo plano,
lo que puede provocar que algunas aplicaciones fallen y no respondan
al usuario. Para obtener más detalles, consulte Acciones de política de
seguridad.
Opcional Tag (Etiqueta) Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto
es de utilidad cuando ha definido muchas reglas y desea revisar las que
están etiquetadas con una palabra clave específica, como por ejemplo,
aplicaciones aprobadas por TI o aplicaciones de alto riesgo.
Description Campo de texto, de hasta 255 caracteres, utilizado para describir la regla.
(Descripción)
User (Usuario) Usuario o grupo de usuarios a los que se aplica la política. Debe tener
habilitado User-ID en la zona. Para habilitar User-ID, consulte Descripción
general de la ID de usuario.
HIP Profile Le permite identificar a clientes con el perfil de información de host (Host
(Perfil HIP) (para Information Profile, HIP) y, a continuación, aplicar privilegios de acceso.
GlobalProtect)
Acción Descripción
Deny (Denegar) Bloquea el tráfico y aplica la acción por defecto Denegar definida
para la aplicación que se está denegando. Para ver la acción de
denegación definida de manera predeterminada para una aplicación,
vea la información detallada de la aplicación en Objects (Objetos) >
Applications (Aplicaciones) o consulte los detalles de las aplicaciones en
Applipedia.
Drop (Descartar) Descarta en segundo plano el tráfico; para una aplicación, sobrescribe la
acción de cancelación predeterminada. No se envía un restablecimiento
de TCP al host o la aplicación.
Para las interfaces de Capa 3, para enviar opcionalmente una respuesta
ICMP inalcanzable al cliente, defina la acción: Seleccione Drop (Descartar)
y habilite la casilla de verificación Send ICMP Unreachable (Enviar
ICMP inalcanzable). Cuando está habilitado, el cortafuegos envía
el código ICMP que indica que la comunicación con el destino está
administrativamente prohibida; ICMPv4: Tipo 3, Código 13; ICMPv6: Tipo
1, Código 1.
Para una sesión TCP con una acción de restablecimiento, el cortafuegos no envía una respuesta de
ICMP inalcanzable.
Para una sesión UDP con una acción de restablecimiento o descarte, si la casilla de verificación
ICMP Unreachable (ICMP inalcanzable) está seleccionada, el cortafuegos envía un mensaje de
ICMP al cliente.
STEP 3 | Defina los criterios de coincidencia para los campos de origen en el paquete.
1. En la pestaña Source (Origen), seleccione la Source Zone (Zona de origen).
2. Especifique una Source IP Address (Dirección IP de origen) o deje el valor configurado en any
(cualquiera).
3. Especifique un User (Usuario) de origen o deje el valor configurado en any (cualquiera).
STEP 4 | Defina los criterios de coincidencia para los campos de destino en el paquete.
1. En la pestaña Destination (Destino), seleccione la Destination Zone (Zona de destino).
2. Especifique una Destination IP Address (Dirección IP de destino) o deje el valor configurado en any
(cualquiera).
STEP 6 | (Opcional) Especifique una categoría de URL como criterio de coincidencia para la regla.
En la pestaña Service/URL Category (Categoría de URL/servicio), seleccione la URL Category (Categoría
de URL).
Si selecciona una categoría de URL, solo el tráfico web coincidirá con la regla y solo si el tráfico es de la
categoría especificada.
STEP 7 | Defina qué acción desea que el cortafuegos realice para el tráfico que coincide con la regla.
En la pestaña Actions (Acciones), seleccione una Action (Acción). Consulte Acciones de política de
seguridad para obtener una descripción de cada acción.
STEP 9 | Adjunte perfiles de seguridad para habilitar el cortafuegos para que explore todo el tráfico
permitido en busca de amenazas.
En la pestaña Actions (Acciones), seleccione Profiles (Perfiles) en el menú desplegable Profile Type (Tipo
de perfil) y luego seleccione los perfiles de seguridad individuales para adjuntar la regla.
O bien, seleccione Group (Grupo) en el menú desplegable Profile Type (Tipo de perfil) y seleccione un
Group Profile (Perfil de grupo) de seguridad para adjuntar.
STEP 11 | Para verificar que ha configurado sus políticas básicas de manera eficaz, compruebe si sus
reglas de política de seguridad se están evaluando y determine qué regla de política de
seguridad se aplica a un flujo de tráfico.
Para verificar la regla de políticas que coincide con un flujo, utilice el siguiente comando de la CLI:
El resultado muestra la regla que coincide mejor con la dirección IP de origen y destino especificada en el
comando de la CLI.
Por ejemplo, para verificar la regla de política que se aplicará a un servidor en el centro de datos con la
dirección IP 208.90.56.11 cuando accede al servidor de actualización de Microsoft:
Usuario/grupo de Le permite crear una lista de usuarios desde la base de datos local o una
usuarios base de datos externa y agruparlos.
El cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Configuración de una política de seguridad básica
para obtener información sobre el uso de los perfiles predeterminados de su política de seguridad. Cuando
comprenda mejor las necesidades de seguridad de su red, podrá crear perfiles personalizados. Consulte
Perfiles de seguridad para obtener más información.
Para obtener recomendaciones sobre los ajustes recomendados para perfiles de seguridad,
consulte Creación de perfiles de seguridad de práctica recomendada.
Puede añadir perfiles de seguridad que se aplican habitualmente juntos para crear un grupo de perfiles de
seguridad; este conjunto de perfiles se puede tratar como una unidad y añadirlo a las políticas de seguridad
en un solo paso (o incluirlo en políticas de seguridad de manera predeterminada, si opta por configurar un
grupo de perfiles de seguridad predeterminado).
Perfiles de antivirus Los perfiles de antivirus protegen contra virus, gusanos, troyanos y descargas
de spyware. Al usar un motor de prevención contra software malintencionado
basado en secuencias, que analiza el tráfico nada más recibir el primer
paquete, la solución antivirus Palo Alto Networks puede ofrecer protección
para clientes sin que esto tenga un impacto significativo en el rendimiento
del cortafuegos. Este perfil analizará una gran variedad de software
malintencionado en archivos ejecutables, PDF, HTML y virus JavaScript,
incluida la compatibilidad con el análisis dentro de archivos comprimidos y
esquemas de codificación de datos. Si ha habilitado el Decryption (Descifrado)
en el cortafuegos, el perfil también habilita el análisis de contenido descifrado.
El perfil predeterminado inspecciona todos los decodificadores de protocolos
enumerados para virus y genera alertas para protocolos SMTP, IMAP y
POP3 al tiempo que bloquea protocolos FTP, HTTP y SMB. Puede configurar
la acción para una firma de decodificador o antivirus, y especificar cómo
responde el cortafuegos ante un evento de amenaza:
• Default (Predeterminado): para cada firma de amenazas y firma de
antivirus que define Palo Alto Networks, se especifica internamente una
acción predeterminada. Por lo general, la acción predeterminada es una
alerta o un restablecimiento de ambos. La acción predeterminada se
muestra entre paréntesis, por ejemplo predeterminado (alertar) en la firma
de amenazas o antivirus.
• Allow (Permitir): permite el tráfico de la aplicación.
Perfiles de antispyware Los perfiles de antispyware impiden que el spyware intente realizar llamadas
a casa o balizamiento a servidores externos de comando y control (C2) en
hosts comprometidos, lo que le permite detectar el tráfico malintencionado
que sale de la red desde clientes infectados. Puede aplicar diversos niveles de
protección entre zonas. Por ejemplo, tal vez desee tener perfiles antispyware
personalizados que reduzcan al mínimo la inspección entre zonas fiables y
amplíen al máximo la inspección del tráfico procedente de una zona no fiable,
como zonas de Internet.
Puede definir sus propios perfiles antispyware, o bien elegir uno de los
siguientes perfiles predefinidos al aplicar antispyware a una regla de política
de seguridad:
• Default (Predeterminado): usa la acción predeterminada para cada firma,
tal como especifica Palo Alto Networks al crear la firma.
• Strict (Estricto): Anula la acción predeterminada de amenazas de gravedad
crítica, alta y media para la acción de bloqueo, independientemente de la
acción definida en el archivo de firma. Este perfil sigue usando la acción
predeterminada para firmas de gravedad baja o informativa.
Cuando el cortafuegos detecte un evento de amenazas, puede configurar las
siguientes acciones en un perfil antispyware:
• Default (Predeterminado): para cada firma de amenazas y firma de
antispyware que define Palo Alto Networks, se especifica internamente
una acción por defecto. Por lo general, la acción predeterminada es una
alerta o un restablecimiento de ambos. La acción predeterminada se
muestra entre paréntesis, por ejemplo predeterminado (alertar) en la firma
de amenazas o antivirus.
• Allow (Permitir): permite el tráfico de la aplicación.
Perfiles de filtrado de Los perfiles de filtrado de URL le permiten supervisar y controlar el modo en
URL que los usuarios acceden a la web a través de HTTP y HTTPS. El cortafuegos
incluye un perfil predeterminado que está configurado para bloquear sitios
web tales como sitios conocidos de software malintencionado, de phishing
y con contenido para adultos. Puede utilizar el perfil predeterminado en
una política de seguridad, duplicarlo para utilizarlo como punto de partida
para nuevos perfiles de filtrado de URL o añadir un nuevo perfil de URL que
tenga todas las categorías establecidas como permitidas para lograr visibilidad
del tráfico de su red. A continuación, podrá personalizar los perfiles de URL
recién añadidos y añadir listas de sitios web específicos que siempre deberían
Perfiles de filtrado de Los perfiles de filtrado de datos evitan que la información confidencial, como
datos los números de tarjeta de crédito o seguridad social, salga de la red protegida.
El perfil de filtrado de datos también le permite filtrar por palabras clave,
como el nombre de un proyecto confidencial o la palabra confidencial. Es
importante centrar su perfil en el tipo de archivos deseado para reducir los
falsos positivos. Por ejemplo, puede que solo quiera buscar documentos de
Word o Excel. O tal vez solo quiera analizar el tráfico de navegación web, o
FTP.
Puede crear objetos de patrón de datos personalizados y adjuntarlos a un
perfil de filtrado de datos para definir el tipo de información que desea filtrar.
Cree objetos de patrón de datos basados en lo siguiente:
• Predefined Patterns (Patrones predefinidos): filtre números de tarjeta
de crédito y seguridad social (con o sin guiones) usando patrones
predefinidos.
• Regular Expressions (Expresiones regulares): filtre por cadena de
caracteres.
• File Properties (Propiedades de archivo): filtre por propiedades de archivo
y valores basados en el tipo de archivo.
Perfiles de bloqueo de El cortafuegos usa los perfiles de bloqueo de archivos para bloquear tipos
archivo de archivos especificados y en la dirección de flujo de sesión especificada
(entrante/saliente/ambas). Puede establecer el perfil para emitir alertas o
realizar bloqueos en cargas y descargas y puede especificar qué aplicaciones
quedarán sujetas al perfil de bloqueo de archivos. También puede configurar
páginas de bloqueo personalizadas que aparecerán cuando un usuario intente
descargar el tipo de archivo especificado. Esto permite al usuario dedicar unos
instantes a considerar si desea o no descargar el archivo.
Puede definir sus propios perfiles de bloqueo de archivo, o bien elegir uno
de los siguientes perfiles predefinidos al aplicar bloqueo de archivos a una
regla de política de seguridad: Los perfiles predefinidos, que están disponibles
con la versión de actualización de contenido 653 y posteriores, le permiten
habilitar rápidamente los ajustes recomendados de bloqueo de archivos:
• basic file blocking (bloqueo de archivo básico): adjunte este perfil para las
reglas de política de seguridad que permiten el tráfico hacia y desde las
aplicaciones menos sensibles para bloquear archivos que habitualmente
se incluyen en campañas de ataques de malware o que no tienen un
caso de uso real para la carga/descarga. Este perfil bloquea la carga y
descarga de archivos PE ( .scr, .cpl, .dll, .ocx, .pif, .exe), archivos Java
(.class, .jar), archivos de ayuda (.chm, .hlp) y otros archivos posiblemente
Perfiles de análisis de Use un perfil de análisis de WildFire para habilitar al cortafuegos para reenviar
WildFire los archivos o enlaces de correo electrónico desconocidos para el análisis
de WildFire. Especifique los archivos que se enviarán para el análisis basado
en aplicaciones, el tipo de archivo y la dirección de la transmisión (carga o
descarga). Los archivos o enlaces de correo electrónico comparados con la
regla de perfil se reenvían a la nube pública de WildFire o la nube privada de
WildFire (alojadas con un dispositivo WF-500), en función de la ubicación
del análisis definido para la regla. Si una regla de perfil está configurada para
reenviar archivos a la nube pública de WildFIre, el cortafuegos también debe
reenviar los archivos que coincidan con las firmas de antivirus existentes,
además de los archivos desconocidos.
También puede usar perfiles de análisis de WildFire para definir una
implementación de nube híbrida de Wildfire. Si está usando un dispositivo
WildFire para analizar archivos sensibles localmente (como PDF), puede
especificar tipos de archivos menos sensibles (como archivos PE) o tipos
de archivo no compatibles con el análisis de dispositivos WildFire (como
APK) para que se analicen mediante la nube pública de WildFire. El uso del
dispositivo WildFire y la nube WildFire para el análisis le permite disfrutar de
un rápido veredicto de los archivos que ya hayan sido procesados por la nube
y de los archivos que no admiten el análisis del dispositivo; además, libera la
capacidad del dispositivo para procesar el contenido sensible.
Perfiles de protección Los perfiles de protección DoS ofrecen un control detallado de las políticas de
DoS protección contra ataques por denegación de servicio (DoS). Las políticas DoS
permiten controlar el número de sesiones entre interfaces, zonas, direcciones
y países, basadas en sesiones agregadas o direcciones IP de origen o destino.
Perfiles de protección Los perfiles de protección de zona ofrecen protección adicional entre zonas
de zonas de red específicas para protegerlas de los ataques. El perfil debe aplicarse a
toda la zona, así que es importante probar cuidadosamente los perfiles para
evitar que surjan problemas cuando el tráfico normal cruce la zona. Si define
límites de umbral de paquetes por segundo (pps) de perfiles de protección de
zonas, el umbral se basa en los paquetes por segundo que no coinciden con
ninguna sesión establecida previamente.
1. Seleccione Objects (Objetos) > Security Profile Groups (Grupos de perfiles de seguridad) y haga clic
en Add (Añadir) un nuevo grupo de perfil de seguridad.
2. Asígnele un Name (Nombre) descriptivo al grupo de perfiles, p. ej., Amenazas.
3. Si el cortafuegos está en modo de Sistema virtual múltiple, habilite el perfil para que sea Shared
(Compartido) entre todos los sistemas virtuales.
4. Añada perfiles existentes al grupo.
5. Haga clic en OK (Aceptar) para guardar la política y en Commit (Confirmar) para confirmar sus
cambios.
10.Haga clic en OK (Aceptar) para guardar la política y en Commit (Confirmar) para confirmar sus
cambios.
Inspección de todo Debido a que no puede protegerse contra amenazas que no puede ver,
el tráfico para lograr debe asegurarse de tener una visibilidad total de todo el tráfico de todos
visibilidad los usuarios y aplicaciones en todo momento. Para lograr esto:
• Implemente GlobalProtect para extender la plataforma de seguridad de
última generación a los usuarios y dispositivos, independientemente de
su ubicación.
• Habilite el cifrado SSL para que el cortafuegos pueda inspeccionar el
tráfico cifrado (los flujos de tráfico SSL/TLS representan el 40 % o más
del tráfico total en una red típica actual).
• Habilite User-ID para asignar el tráfico de una aplicación y las amenazas
asociadas a usuarios y dispositivos.
El cortafuego podrá entonces inspeccionar todo el tráfico (incluidas
aplicaciones, amenazas y contenido) y asociarlo al usuario,
independientemente de la ubicación o tipo de dispositivo, puerto, cifrado o
técnicas evasivas empleadas usando las tecnologías App-ID, Content-ID y
User-ID nativas.
La visibilidad completa de las aplicaciones, el contenido y los usuarios de la
red es el primer paso hacia un control de política informado.
Reducción de la superficie Una vez que tiene el contexto del tráfico de la red (aplicaciones, su
de ataque contenido asociado y los usuarios que acceden a ellas), cree reglas de
política de seguridad basadas en la aplicación para permitir las aplicaciones
que son críticas para su empresa y reglas adicionales para bloquear todas
las aplicaciones de alto riesgo que no tienen un caso de uso legítimo.
Para reducir aún más la superficie de ataque, adjunte perfiles de bloqueo
de archivos y filtrado de URL a todas las reglas que permiten el tráfico
de aplicaciones, para impedir que los usuarios ingresen en sitios web
Prevención de amenazas Habilite el cortafuegos para que analice todo el tráfico permitido para
conocidas detectar amenazas conocidas al adjuntar perfiles de seguridad a todas las
reglas de permiso para detectar y bloquear exploits de vulnerabilidades
de la capa de aplicación y red, desbordamiento de búfer, ataques DoS
y análisis de puerto, variantes de malware conocidas (incluidas aquellas
ocultas en archivos comprimidos o tráfico HTTP/HTTPS comprimido). Para
habilitar la inspección de tráfico cifrado, habilite el descifrado SSL.
Además de las reglas de política de seguridad basadas en aplicaciones, cree
reglas para bloquear direcciones IP malintencionadas conocidas sobre la
base de la inteligencia contra amenazas de Palo Alto Networks y fuentes
externas reconocidas.
Detección de amenazas Reenvíe todos los archivos desconocidos a WildFire para su análisis.
desconocidas WildFire identifica software malintencionado desconocido o dirigido
(también denominado amenazas avanzadas persistentes o APT
[advanced persistent threats]) oculto en archivos al observar directamente
y ejecutar archivos desconocidos en un entorno de espacio aislado
virtualizado en la nube o en el dispositivo WildFire. WildFire supervisa
más de 250 comportamientos malintencionados y, si se detecta malware,
automáticamente desarrolla una firma y se la envía en tan solo 5 minutos
(y ahora que la amenaza desconocida es una amenaza conocida).
Tipos generales de Además de las aplicaciones que sanciona e implementa oficialmente, también
aplicaciones deberá permitir a sus usuarios utilizar de manera segura otros tipos de
aplicaciones:
• Aplicaciones empresariales generales: por ejemplo, permita acceso a las
actualizaciones de software y a los servicios web, como WebEx, servicios en
línea de Adobe y Evernote.
• Aplicaciones personales: por ejemplo, es posible que desee permitir a
sus usuarios navegar por Internet o utilizar de manera segura un correo
electrónico basado en la web, mensajería instantánea o aplicaciones de
redes sociales.
STEP 1 | Realice la configuración de SSL Decryption (Descifrado SSL) > SSL Forward Proxy (Proxy de
reenvío SSL) para bloquear las excepciones durante la negociación SSL y bloquear las sesiones
que no pueden descifrarse:
STEP 2 | Realice la configuración de SSL Decryption (Descifrado SSL) > SSL Protocol Settings
(Configuración del protocolo SSL) para bloquear el uso de versiones vulnerables SSL/TLS (TLS
1.0 y SSLv3) y para evitar los algoritmos débiles (MD5, RC4 y 3DES):
Bloqueo de Cree un perfil de bloqueo de archivos estricto predefinido que bloquee los archivos
archivo que se incluyen comúnmente en las campañas de ataque de software malintencionado
o que no tienen un caso de uso real para carga/descarga. El perfil estricto predefinido
bloquea archivos por lotes, DLL, archivos tipo Java, archivos de ayuda, accesos directos
de Windows (.lnk) y archivos BitTorrent, además de archivos portables ejecutables
(PE) de Windows, que incluyen archivos .exe, .cpl, .dll, .ocx, .sys, .scr, .drv, .efi, .fon
y .pif. El perfil permite la carga/descarga de archivos ejecutables y comprimidos (.zip
y .rar), pero fuerza a los usuarios a hacer clic en continuar antes de transferir un archivo
para establecer una pausa. El perfil predefinido alerta sobre todos los demás tipos
de archivos para brindar visibilidad en las otras transferencias de archivo que están
ocurriendo, para poder determinar si necesita introducir cambios en la política.
antivirus Adjunte un perfil de antivirus a todo el tráfico permitido para detectar y prevenir que
los virus y el software malintencionado se transfieran a través de los protocolos HTTP,
SMTP, IMAP, POP3, FTP y SMB. El perfil de antivirus recomendado utiliza la acción por
defecto cuando detecta tráfico que coincide con una firma de antivirus o una firma de
WildFire. La acción por defecto difiere para cada protocolo y sigue la recomendación
más actualizada de Palo Alto Networks sobre cómo evitar mejor la propagación del
software malintencionado en cada tipo de protocolo.
Por defecto, el cortafuegos alerta sobre los virus detectados en el tráfico SMTP.
Sin embargo, si no tiene una solución de puerta de enlace de antivirus dedicada
vigente para su tráfico SMTP, defina una acción más estricta para este protocolo,
para protegerlo contra el contenido de correo electrónico infectado. Utilice la acción
restablecer-ambos para devolver una respuesta 541 al servidor SMTP de envío para
evitar que vuelva a enviar el mensaje bloqueado.
Antispyware Adjunte un perfil antispyware a todo el tráfico permitido para detectar tráfico de
comando y de control (C2) iniciado desde spyware instalado en un servidor o extremo,
y evitar que los sistemas afectados establezcan una conexión saliente desde su red. El
perfil antispyware recomendado restablece la conexión cuando el cortafuegos detecta
una amenaza de gravedad intermedia, alta o crítica, y bloquea o filtra las consultas DNS
para dominios malintencionados conocidos.
Para crear este perfil, duplique el perfil estricto predefinido y asegúrese de habilitar el
sinkhole DNS y la captura de paquetes para facilitar el rastreo del extremo que intentó
resolver el dominio malintencionado.
Filtrado de Como práctica recomendada, use el filtrado de URL de PAN-DB para prevenir el acceso
URL al contenido web que tiene alto riesgo de ser malintencionado. Adjunte un perfil de
filtrado URL para todas las reglas que permiten el acceso a las aplicaciones basadas en
la Web, para proteger contra URL que se observó que alojan software malintencionado
o contenido de exploits.
El perfil de filtrado de URL recomendado configura todas las categorías peligrosas
de URL como bloqueadas. Estas incluyen software malintencionado, phishing,
DNS dinámicas, desconocidas, proxy-avoidance-and-anonymizers, cuestionables,
extremistas, infractoras de derechos de autor y estacionadas. El no bloquear estas
categorías peligrosas lo pone en riesgo de infiltración de exploits, descarga de malware,
actividad de comando y control, y exfiltración de datos.
Además de bloquear categorías de riesgo conocidas, también debe alertar sobre
todas las demás categorías para tener visibilidad en los sitios que sus usuarios están
visitando. Si necesita introducir gradualmente una política de bloqueo, configure las
categorías para continuar y cree una página de respuesta personalizada para informar
a los usuarios sobre sus políticas de uso aceptable y alertarlos sobre el hecho de que
están ingresando en un sitio que puede suponer una amenaza. Esto preparará el camino
para que bloquee completamente las categorías después de un período de supervisión.
Análisis de Si bien el resto de los perfiles de seguridad recomendados reducen en gran medida
WildFire la superficie de ataque en la red al detectar y bloquear las amenazas conocidas, el
panorama de amenazas cambia constantemente y el riesgo de amenazas desconocidas
que acechan los archivos que usamos a diario (PDF, documentos de Microsoft Office
[.doc y .xls] cada vez es más alto. Y, debido a que estas amenazas desconocidas son
cada vez más sofisticadas y específicas, a menudo no son detectadas hasta mucho
tiempo después del ataque. Para proteger su red contra amenazas desconocidas, debe
configurar el cortafuegos para que reenvíe archivos a WildFire para su análisis. Sin esta
protección, los atacantes tienen total libertad para infiltrarse en la red y aprovechar
las vulnerabilidades en las aplicaciones que sus empleados usan a diario. Debido a
que WildFire protege contra las amenazas desconocidas, es su mejor defensa contra
amenazas avanzadas persistentes (advanced persistent threats, APT).
STEP 1 | Bloquee el tráfico desde y hacia las direcciones IP que Palo Alto Networks ha identificado
como maliciosas.
Esta regla lo protege contra direcciones IP • Una regla bloquea el tráfico saliente hacia
que Palo Alto Networks comprobó que se direcciones IP maliciosas conocidas, mientras
utilizan casi exclusivamente para distribuir que otra regla bloquea el tráfico entrante de
malware, iniciar actividades de comando y esas direcciones.
control, e iniciar ataques. • Establezca la lista dinámica externa Palo
Alto Networks - Known malicious IP
addresses (Palo Alto Networks: direcciones
IP malintencionadas conocidas) como la
dirección de destino de la regla para tráfico
saliente y como la dirección de origen de la
regla para el tráfico entrante.
• Deniegue el tráfico que coincida con estas
reglas.
• Habilite la creación de logs para el tráfico que
coincide con esta regla, para poder investigar
las posibles amenazas en su red.
• Debido a que estas reglas tienen como fin
capturar el tráfico malintencionado, coincide
con el tráfico de cualquier usuario que se
ejecuta en cualquier puerto.
STEP 2 | Registre el tráfico desde y hacia las direcciones IP de alto riesgo de asesores de confianza sobre
amenazas.
A pesar de que Palo Alto Networks • Una regla registra el tráfico saliente hacia
no cuenta con evidencia directa de la direcciones IP de alto riesgo, mientras que
maldad de las direcciones IP en la fuente otra regla registra el tráfico entrante de esas
de direcciones IP de alto riesgo, debe direcciones.
supervisar estas direcciones IP dado que los • Establezca la lista dinámica externa Palo Alto
asesores de amenazas las vincularon con Networks - High risk IP addresses (Palo Alto
comportamientos maliciosos. Networks: direcciones IP de alto riesgo)
STEP 3 | (Solo usuarios MineMeld) Bloquee el tráfico de las direcciones IP entrantes que las fuentes
externas de confianza identificaron como maliciosas.
El acceso a DNS es necesario para brindar • Debido a que la regla es muy específica,
servicios de infraestructura de red, pero colóquela en la parte superior de la base de
habitualmente es vulnerado por atacantes. reglas.
El permitir el acceso únicamente a su servidor • Cree un objeto de dirección para usar para la
DNS interno reduce la superficie de ataque. dirección de destino, a fin de garantizar que
los usuarios solo accedan al servidor DNS de
su centro de datos.
• Debido a que los usuarios necesitarán acceder
a estos servicios antes de iniciar sesión, debe
permitir al acceso a todos los usuarios.
Habilite las aplicaciones que proporcionan la • Debido a que estas aplicaciones se ejecutan
infraestructura y funciones de gestión de su en el puerto por defecto, permiten el acceso
red, tales como NTP, OCSP, STUN y ping. de cualquier usuario (es posible que los
Si bien el tráfico DNS permitido en la regla usuarios aún no sean usuarios conocidos
anterior se limita a la dirección de destino debido al momento en que se necesitan estos
en el centro de datos, es posible que estas servicios) y todas tiene una dirección de
aplicaciones no residan en su centro de datos destino de cualquiera, inclúyalas en un solo
y, por lo tanto, requieran una regla separada. grupo de aplicaciones y cree una sola regla
para habilitar el acceso a todas.
• Es posible que los usuarios aún no hayan
iniciado sesión al momento en que necesiten
el acceso a las aplicaciones de infraestructura,
por lo que debe asegurarse de que esta regla
permita el acceso a todos los usuarios.
Con las aplicaciones SaaS, sus datos de • Agrupe todas las aplicaciones SaaS aprobadas
propiedad exclusiva están en la nube. en un grupo de aplicaciones.
Esta regla garantiza que solo sus usuarios • Las aplicaciones SaaS siempre deben
conocidos tendrán acceso a estas aplicaciones ejecutarse en el puerto por defecto de
(y a los datos subyacentes). aplicaciones.
Analice el tráfico SaaS permitido en busca de • Restrinja el acceso a sus usuarios conocidos.
amenazas. Consulte Creación de grupos de usuario
para el acceso a las aplicaciones de la lista de
permitidos.
Las aplicaciones de centro de datos críticas • Agrupe todas las aplicaciones de centro de
para la actividad comercial a menudo son datos en un grupo de aplicaciones.
STEP 5 | Permita el acceso a las aplicaciones que necesitan sus usuarios administrativos.
Para reducir la superficie de ataque, cree • Esta regla limita el acceso a los usuarios del
grupos de usuario para el acceso a las grupo IT_admins.
aplicaciones de la lista de permitidos. • Cree aplicaciones personalizadas para las
Debido a que los administradores a menudo aplicaciones internas o aplicaciones que se
necesitan acceder a datos de cuenta delicados ejecutan en puertos no estándar, para que
y el acceso remoto a otros sistemas (por pueda exigirlas en los puertos por defecto en
ejemplo, RDP), puede reducir en gran medida lugar de abrir puertos adicionales en la red.
la superficie de ataque al permitir el acceso • Si tiene diferentes grupos de usuarios para
únicamente a los administradores que tienen diferentes aplicaciones, cree reglas separadas
una necesidad comercial. para un control pormenorizado.
Más allá de las aplicaciones que aprueba para • Restrinja el acceso a sus usuarios conocidos.
el uso y que administra para sus usuarios, Consulte Creación de grupos de usuario
existe una variedad de aplicaciones que para el acceso a las aplicaciones de la lista de
los usuarios pueden usar habitualmente permitidos.
para fines comerciales, por ejemplo, para • Para mayor visibilidad, cree filtros de
interactuar con socios, tales como WebEx, aplicaciones separados para cada tipo de
servicios en línea de Adobe o Evernote, aplicación que desee permitir.
pero que posiblemente usted no apruebe
oficialmente.
Debido a que la línea que divide los • Restrinja el acceso a sus usuarios conocidos.
dispositivos de trabajo y personales es Consulte Creación de grupos de usuario
borrosa, le recomendamos asegurarse de para el acceso a las aplicaciones de la lista de
que todas las aplicaciones a las que acceden permitidos.
sus usuarios se habiliten de manera segura y • Para mayor visibilidad, cree filtros de
estén libres de amenazas. aplicaciones separados para cada tipo de
Al usar filtros de aplicaciones, puede habilitar aplicación que desee permitir.
de manera segura el acceso a aplicaciones • Analice todo el tráfico en busca de amenazas
personales cuando crea esta base de reglas al adjuntar su grupo de perfiles de seguridad
inicial. Una vez que evalúa qué aplicaciones recomendados. Consulte Creación de perfiles
están en uso, puede usar la información de seguridad de práctica recomendada.
para decidir si eliminará el filtro y permitirá
un subconjunto menor de aplicaciones
personales apropiadas para sus políticas de
uso aceptable.
Si bien la regla anterior permitía el acceso • Esta regla usa los mismos perfiles de
a aplicaciones personales (muchas de ellas seguridad recomendados que el resto de las
basadas en la Web), esta regla permite la reglas, excepto por el perfil de bloqueo de
navegación web en general. archivos, que es más estricto debido a que el
La navegación web general presenta tráfico de navegación web general es mucho
más riesgos que otros tipos de tráfico de más vulnerable a las amenazas.
Cada una de las reglas de ajuste que definirá en Paso 4: creación de reglas de ajuste
temporales está diseñada para identificar una brecha específica de su política inicial. Por
lo tanto, algunas de estas reglas deberán estar por encima de las reglas de bloqueo de
aplicación y otras deberán ir después.
Bloquee las aplicaciones maliciosas, tales • Use la acción Drop (Descartar) para descartar
como túneles cifrados y uso compartido silenciosamente el tráfico sin enviar una señal
de archivos punto a punto, además de al cliente o al servidor.
aplicaciones de uso compartido de archivos • Habilite la creación de logs para el tráfico que
basadas en la Web que no están aprobadas coincide con esta regla, para poder investigar
por TI. el uso indebido de aplicaciones y las posibles
Debido a que las reglas de ajuste que siguen amenazas en su red.
están diseñadas para permitir el tráfico • Debido a que esta regla tiene como fin
con contenido malintencionado o tráfico capturar el tráfico malintencionado, busca el
legítimo que no coincide con sus reglas tráfico de cualquier usuario que se ejecuta en
de política según lo previsto, estas reglas cualquier puerto.
también podrían permitir el tráfico de riesgo
o malintencionado en su red. Esta regla evita
Bloquee las aplicaciones DNS/SMTP para • Use la acción Reset both client and server
evitar la tunelización de DNS, el tráfico (Restablecer cliente y servidor) para enviar
de comando y control, y la administración un mensaje de restablecimiento de TCP a los
remota. dispositivos del lado del cliente y del lado del
servidor.
• Habilite la creación de logs para el tráfico que
coincide con esta regla, para poder investigar
una posible amenaza en su red.
Algunas de las reglas de ajuste temporales deben ir por encima de las reglas para bloquear
las aplicaciones nocivas y algunas deben ir después, para garantizar que el tráfico
específico coincida con la regla correspondiente, a la vez que se garantiza que el tráfico
malintencionado no ingrese en la red.
STEP 1 | Permita la navegación web y SSL en puertos no estándar para usuarios conocidos para
determinar si existen aplicaciones legítimas que se ejecutan en puertos no estándar.
STEP 2 | Permita la navegación web y el tráfico SSL en puertos no estándar de usuarios desconocidos
para destacar a todos los usuarios desconocidos, independientemente del puerto.
Esta regla lo ayuda a determinar si existen • Si bien la mayoría de las reglas de lista
brechas en su cobertura de User-ID. de aplicaciones permitidas se aplican a
Esta regla también lo ayuda a identificar usuarios conocidos o a grupos de usuarios
dispositivos afectados o incrustados que específicos, esta regla explícitamente busca
están intentando acceder a Internet. la coincidencia con el tráfico de usuarios
Es importante bloquear el uso de puertos no desconocidos.
estándar, incluso para el tráfico de navegación • Esta regla debe ir por encima de las reglas de
web, debido a que generalmente es una bloqueo de aplicaciones o, de lo contrario, el
técnica de evasión. tráfico nunca coincidirá con ella.
• Debido a que es una regla de permiso,
debe adjuntar los perfiles de seguridad
recomendados para analizar en busca de
amenazas.
Esta regla aporta visibilidad sobre aplicaciones • Debido a que esta regla permite todas las
que usted no sabía que se estaban ejecutando aplicaciones, debe añadirla después de las
en su red, a fin de que pueda ajustar de reglas de bloqueo de aplicación para prevenir
manera precisa la lista de aplicaciones que las aplicaciones nocivas se ejecuten en la
permitidas. red.
Supervise todo el tráfico que coincide con • Si está ejecutando PAN-OS 7.0.x o
esta regla, para determinar si representa una una versión anterior, para identificar
posible amenaza o si necesita modificar sus adecuadamente las aplicaciones imprevistas
reglas de lista de permitidos para admitir el debe usar un filtro de aplicaciones que incluya
tráfico. todas las aplicaciones, en lugar de configurar
la regla para permitir cualquier aplicación.
STEP 4 | Permita cualquier aplicación en cualquier puerto para identificar las aplicaciones que se
ejecutan en ubicaciones donde no deberían hacerlo.
Esta regla lo ayuda a identificar aplicaciones • Debido a que esta es una regla muy general
legítimas conocidas que se ejecutan en que permite cualquier aplicación de cualquier
puertos desconocidos. usuario en cualquier puerto, debe aparecer al
Esta regla también lo ayuda a identificar final de su base de reglas.
aplicaciones desconocidas para las cuales • Habilite la creación de logs para el tráfico
debe crear una aplicación personalizada para que coincide con esta regla, para poder
añadir a la lista de aplicaciones permitidas. investigar el uso indebido de aplicaciones y
Todo el tráfico que coincide con esta regla las posibles amenazas en su red, o identificar
puede ejecutarse y requiere que usted rastree aplicaciones legítimas que requieren una
el origen y se asegure de no permitir tráfico aplicación personalizada.
tcp, udp o non-syn-tcp desconocido.
STEP 3 | En la pestaña Actions (Acciones), seleccione Log at session end (Log al finalizar la sesión) y
haga clic en OK (Aceptar).
STEP 4 | Cree un informe personalizado para supervisar el tráfico que coincida con esta regla.
1. Seleccione Monitor (Supervisar) > Manage Custom Reports (Gestionar informes personalizados).
2. Seleccione Add (Añadir) para añadir un informe y Name (Nombre) para asignarle un nombre
descriptivo.
3. Configure la Database (Base de datos) en Traffic Summary (Resumen de tráfico).
4. Seleccione la casilla de verificación Scheduled (Programado).
5. Añada lo siguiente a la lista de columnas seleccionadas: Rule (Regla), Application (Aplicación), Bytes,
Sessions (Sesiones).
6. Configure los campos Time Frame (Periodo), Sort By (Ordenar por) y Group By (Agrupar por) con los
valores que desee.
7. Defina la consulta para que coincida con el tráfico que corresponda a la regla de interzona-por
defecto:
(rule eq 'interzone-default')
STEP 5 | Seleccione Commit (Confirmar) para confirmar los cambios que realizó en la base de reglas.
Debido a que los nuevos App-ID se añaden en publicaciones de contenido semanal, revise
el impacto que los cambios de los App-ID tienen en su política.
STEP 1 | Cree informes personalizados que le permitan supervisar el tráfico que coincide con las reglas
diseñadas para identificar brechas en la política.
1. Seleccione Monitor (Supervisar) > Manage Custom Reports (Gestionar informes personalizados).
2. Seleccione Add para añadir un informe y luego Name para asignarle un nombre descriptivo
que indique la brecha de política particular que está investigando, tal como Ajuste de política
recomendada
3. Configure la Database en Traffic Summary.
4. Seleccione la casilla de verificación Scheduled (Programado).
STEP 2 | Revise el informe periódicamente para asegurarse de que comprende por qué el tráfico
coincide con cada una de las reglas de ajuste de política recomendadas y actualice la política
para incluir aplicaciones y usuarios legítimos, o use la información del informe para evaluar el
riesgo de uso de la aplicación e implementar reformas a la política.
STEP 1 | Antes de instalar una nueva versión de lanzamiento de contenido, revise los nuevos App-ID
para determinar si habrá un impacto en la política.
STEP 2 | Deshabilite los nuevos App-ID introducidos en una versión de contenido para obtener al
instante el beneficio de protección contra las amenazas más recientes sin perder la flexibilidad
para habilitar posteriormente los App-ID después de preparar las actualizaciones de políticas
necesarias. Puede deshabilitar todos los App-ID introducidos en una versión de contenido,
definir actualizaciones de contenido programadas para deshabilitar automáticamente nuevos
App-ID o deshabilitar App-ID para aplicaciones específicas.
STEP 3 | Ajuste las reglas de política de seguridad para representar los cambios de App-ID incluidas en
una versión de contenido o para añadir nuevas aplicaciones aprobadas o eliminar aplicaciones
de las reglas de lista de aplicaciones permitidas.
• Tras enviar las reglas desde Panorama, consulte la lista completa de reglas con números en el
dispositivo gestionado.
Desde la interfaz web del cortafuegos, seleccione Policies (Políticas) y elija cualquier base de reglas
debajo de ella. Por ejemplo, seleccione Policies (Políticas) > Security (Seguridad) y visualice el conjunto
completo de las reglas numeradas que evaluará el cortafuegos.
Cuando clona varias reglas de la política, el orden en el que selecciona las reglas
determinará el orden en el que se copian al grupo de dispositivos. Por ejemplo, si tiene
las reglas de 1 a 4 y su orden de selección es 2-1-4-3, el grupo de dispositivos donde se
clonarán estas reglas mostrará las reglas en el mismo orden en el que las seleccionó. Sin
embargo, puede reorganizar las reglas como lo desee cuando se copien correctamente.
STEP 1 | Seleccione el tipo de política (por ejemplo, Policy [Política] > Security [Seguridad]) o el tipo de
objeto (por ejemplo, Objects [Objetos] > Addresses [Direcciones]).
STEP 2 | Seleccione el Virtual System (Sistema virtual) y seleccione uno o más objetos o reglas de
política.
STEP 4 | En el menú desplegable Destination (Destino), seleccione el nuevo sistema virtual o Shared
(Compartido).
STEP 6 | La casilla de verificación Error out on first detected error in validation (Detener tras el primer
error detectado en la validación) está seleccionada por defecto. El cortafuegos deja de realizar
las comprobaciones para la acción de traslado y duplicación cuando encuentra el primer error,
y solo muestra este error. Por ejemplo, si se produce un error cuando el vsys de Destination
(Destino) no tiene un objeto al que haga referencia la regla de política que está moviendo, el
cortafuegos mostrará el error y detendrá cualquier otra validación. Cuando mueva o duplique
múltiples elementos a la vez, seleccione esta casilla de verificación para ver los errores uno a
uno y solucionarlos. Si cancela la selección de la casilla de verificación, el cortafuegos recoge y
STEP 7 | Haga clic en OK (Aceptar) para iniciar la validación de errores. Si el cortafuegos muestra
errores, soluciónelos y vuelva intentar la operación de traslado o duplicación. Si el cortafuegos
no muestra errores, el objeto se traslada o duplica con éxito. Cuando finalice la operación, haga
clic en Commit (Confirmar).
Para etiquetar una zona, debe crear una etiqueta con el mismo nombre que la zona.
Cuando la zona está incluida en las reglas de política, el color de la etiqueta se muestra
automáticamente como el color de fondo en contraste con el nombre de la zona.
6. Haga clic en OK (Aceptar) y seleccione Commit (Confirmar) para guardar los cambios.
STEP 3 | Aplique etiquetas a un objeto de dirección, grupo de direcciones, servicio o grupo de servicios.
1. Cree el objeto.
Por ejemplo, para crear un grupo de servicios, seleccione Objects (Objetos) > Service Groups (Grupos
de servicio) > Add (Añadir).
2. Seleccione una etiqueta en el menú desplegable Tags (Etiquetas) para introducir un nombre en el
campo y crear una nueva etiqueta
Para editar una etiqueta o añadirle color, consulte seleccione Modificación de etiquetas.
Modificación de etiquetas
• Seleccione Objects (Objetos) > Tags (Etiquetas) para realizar cualquiera de las siguientes
operaciones con etiquetas:
• Haga clic en el enlace de la columna Nombre para ver las propiedades de una etiqueta.
• Seleccione una etiqueta de la tabla y haga clic en Eliminar para eliminar la etiqueta del cortafuegos.
• Haga clic en Clone (Duplicar) para crear una etiqueta duplicada con las mismas propiedades. Se añade
un sufijo numérico al nombre de etiqueta. Por ejemplo, FTP-1.
Para ver información sobre cómo se crean etiquetas, consulte Creación y aplicación de etiquetas on page
1038. Si desea más información sobre cómo trabajar con etiquetas, consulte Uso del explorador de
etiquetas on page 1039.
6. Search bar (Barra de búsqueda): le permite buscar una etiqueta, introducir el término y hacer clic en
el icono de flecha verde para aplicar el filtro. También muestra el número total de etiquetas de la base
de reglas y el número de etiquetas seleccionadas.
7. Expanda o contraiga el explorador de etiquetas.
Al analizar la lista, el cortafuegos omite las entradas que no coinciden con el tipo de lista
e ignora las entradas que superan la cantidad máxima admitida para el modelo. Para
garantizar que las entradas no superen el límite, verifique la cantidad de entradas que se
utilizan actualmente en la política. Seleccione Objects (Objetos) > External Dynamic Lists
(Listas dinámicas externas) y haga clic en List Capacities (Capacidades de la lista).
192.168.20.10/32
2001:db8:123:1::1 #test IPv6 address
192.168.20.0/24 ; test internal subnet
2001:db8:123:1::/64 test internal IPv6 range
192.168.20.40-192.168.20.50
Para una dirección IP bloqueada, puede mostrar una página de notificación solo si el
protocolo es HTTP.
Lista de dominios
Introduzca cada nombre de dominio en una nueva línea; la lista no admite URL ni direcciones IP. No añada
el prefijo del protocolo al nombre de dominio, http:// or https://. No se admiten comodines.
Ejemplo de lista de dominios:
www.example.com
baddomain.com
qqq.abcedfg.au
Lista de URL
Consulte Listas de bloqueadas y permitidas on page 637.
STEP 1 | (Opcional) Personalice la ruta de servicio que el cortafuegos utiliza para recuperar listas
dinámicas externas.
Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Service Route
Configuration (Configuración de ruta de servicio) > Customize (Personalizar) y modifique la ruta de
servicio de listas dinámicas externas.
STEP 2 | Busque una lista dinámica externa para usar con el cortafuegos.
• Cree una lista dinámica externa y alójela en un servidor web. Ingrese las direcciones IP, dominios o
URL en un archivo de texto en blanco. Cada entrada de la lista debe estar en una línea separada. Por
ejemplo:
financialtimes.co.in
www.wallaby.au/joey
www.exyang.com/auto-tutorials/How-to-enter-Data-for-Success.aspx
*.example.com/*
abc?*/abc.com
*&*.net
Consulte las Directrices de formato para una lista dinámica externa, a fin de asegurarse de que el
cortafuegos no omita entradas de la lista. Para evitar errores de confirmación y entradas no válidas,
no incluya el prefijo http:// o https:// en ninguna de las entradas.
• Utilice una lista dinámica externa alojada por otro origen y verifique que siga las Directrices de
formato para una lista dinámica externa.
STEP 3 | Seleccione Objects (Objetos) > External Dynamic Lists (Listas dinámicas externas).
STEP 4 | Haga clic en Add (Añadir) e introduzca un Name (Nombre) descriptivo para la lista.
STEP 5 | (Opcional) Seleccione Shared (Compartida) para compartir la lista con todos los sistemas
virtuales en un dispositivo que esté habilitado para varios sistemas virtuales. De manera
predeterminada, el objeto se crea en el sistema virtual que esté seleccionado actualmente en el
menú desplegable Virtual Systems (Sistemas virtuales).
STEP 7 | Seleccione el Type (Tipo) para la lista (por ejemplo, URL List [Lista de URL]).
Asegúrese de que la lista solo incluya entradas para el tipo de lista. Consulte Verificar si las entradas en la
lista dinámica externa se ignoraron u omitieron.
STEP 8 | Introduzca el Source (Origen) de la lista que acaba de crear en el servidor web. El origen deben
incluir la ruta completa para acceder a la lista. Por ejemplo, https://1.2.3.4/EDL_IP_2015.
Si esta creando una lista de tipo IP predefinida, seleccione una fuente de dirección IP malintencionada de
Palo Alto Networks para usar como origen.
STEP 9 | Si el origen de la lista está asegurado con SSL (es decir, listas con URL HTTPS), habilite la
autenticación de servidor. Seleccione un Certificate Profile (Perfil de certificado) o cree un
New Certificate Profile (Perfil de certificado nuevo) para autenticar el servidor que aloja
la lista. El perfil de certificado que seleccione debe tener certificados de CA (autoridad de
certificado) raíz y certificados CA intermedios que coincidan con los certificados instalados en
el servidor que usted está autenticando.
Maximice la cantidad de listas dinámicas externas que puede usar para aplicar la política.
Utilice el mismo perfil de certificado para autenticar las listas dinámicas externas de
la misma URL de origen. Si asigna diferentes perfiles de certificado a listas dinámicas
externas de la misma URL de origen, el cortafuegos cuenta cada lista como lista
dinámica externa única.
STEP 10 | Habilite la autenticación del cliente si el origen de la lista posee una URL HTTPS y requiere
una autenticación HTTP para el acceso a la lista.
1. Seleccione Client Authentication (Autenticación de cliente).
2. Ingrese un nombre de usuario válido en Username (Nombre de usuario) para acceder a la lista.
3. Especifique el valor de Password (Contraseña) y seleccione Confirm Password (Confirmar
contraseña).
STEP 12 | (Opcional) Especifique la frecuencia de Repeat (Repetir) con la que el cortafuegos debe
recuperar la lista. Por defecto, el cortafuegos recupera la lista una vez por hora y confirma los
cambios.
STEP 1 | Para recuperar la lista a demanda, seleccione Objects (Objetos) > External Dynamic Lists
(Listas dinámicas externas).
STEP 2 | Seleccione la lista que desea actualizar y haga clic en Import Now (Importar ahora). La tarea de
importar la lista se añadirá a la cola.
STEP 3 | Para ver el estado de la tarea en el gestor de tareas, consulte Gestión y supervisión de tareas
administrativas.
STEP 4 | (Opcional) Una vez que el cortafuegos recupere la lista, lleve a cabo la Visualización de entradas
de lista dinámica externa.
STEP 1 | Seleccione Objects (Objetos) > External Dynamic Lists (Listas dinámicas externas).
STEP 4 | Introduzca una dirección IP, un dominio o una URL (según el tipo de lista) en el campo de filtro
y haga clic en Apply Filter (Aplicar filtro) ( ) para comprobar que se encuentre en la lista.
Realice la Exclusión de entradas de una lista dinámica externa en función de las direcciones IP,
los dominios y las URL que desea bloquear o permitir.
STEP 5 | (Opcional) Vea el resumen de inteligencia de AutoFocus para obtener información sobre una
entrada de la lista. Coloque el cursor sobre una entrada para abrir el menú desplegable y haga
clic en Autofocus.
STEP 2 | Seleccione hasta 100 entradas para excluir de la lista y haga clic en Submit (Enviar) ( ) o Add
(Añadir) para añadir manualmente una excepción de la lista.
• No puede guardar los cambios de la lista dinámica externa si tiene entradas duplicadas en la lista de
excepciones manuales. Para identificar las entradas duplicadas, busque entradas con un subrayado
rojo.
• Una excepción manual debe coincidir con una entrada en la lista con exactitud. Por ejemplo, si el
rango de la dirección IP 1.1.1.1-3.3.3.3 es una entrada de la lista e introduce manualmente una
STEP 3 | Haga clic en OK (Aceptar) y seleccione Commit (Confirmar) para guardar los cambios.
• Utilice una lista dinámica externa de tipo URL como criterio de coincidencia en una regla de
política de seguridad.
1. Seleccione Policies (Políticas) > Security (Seguridad).
2. Haga clic en Add (Añadir) e introduzca un nombre descriptivo en Name (Nombre) para la lista.
3. En la pestaña Source (Origen), seleccione la Source Zone (Zona de origen).
4. En la pestaña Destination (Destino), seleccione la Destination Zone (Zona de destino).
5. En la pestaña Service/URL Category (Categoría de URL/servicio), haga clic en Add (Añadir) para
seleccionar la lista dinámica externa de la lista de categorías URL.
6. En la pestaña Actions (Acciones), configure Action Setting (Configuración de acción) en Allow
(Permitir) o Deny (Denegar)
7. Haga clic en OK (Aceptar) y Commit (Confirmar).
8. Verifique si las entradas en la lista dinámica externa se ignoraron u omitieron.
Use el siguiente comando CLI en un cortafuegos para revisar los detalles de una lista.
Por ejemplo:
STEP 2 | Construya los siguientes filtros para visualizar todos los mensajes relacionados con fallos de
autenticación y aplique los filtros. Para obtener más información, revise el flujo de trabajo
completo para realizar el Filtrado de logs.
• Fallo de autenticación de servidor: (eventid eq tls-edl-auth-failure)
• Fallo de autenticación de cliente: (eventid eq edl-cli-auth-failure)
STEP 3 | Revise los mensajes del log del sistema. La descripción del mensaje incluye el nombre de la lista
dinámica externa, la URL de origen de la lista y el motivo del fallo de autenticación.
El servidor que aloja la lista dinámica externa falla la autenticación si el certificado ha vencido. Si ha
configurado el perfil del certificado para comprobar el estado de revocación de certificados mediante
la lista de revocación de certificados (CRL) o el protocolo de estado de certificado en línea (OCSP), es
posible que es servidor también falle la autenticación si se cumple alguna de las siguientes condiciones:
• El certificado se ha revocado.
• El estado de revocación del certificado es desconocido.
• Se acaba el tiempo de espera de la conexión mientras el cortafuegos intenta conectarse al servicio de
CRL/OCSP.
Para obtener más información sobre la configuración del perfil de certificados, consulte los pasos para
realizar la Configuración de un perfil de certificado.
STEP 4 | (Opcional) Realice la Deshabilitación de autenticación para una lista dinámica externa que falló
la autenticación como una medida provisional hasta que el propietario de la lista renueve el
certificado del servidor que aloja la lista.
username@hostname> configure
Entering configuration mode
[edit]
username@hostname#
El cambio del símbolo > al símbolo # indica que se encuentra en modo de configuración.
• Dominio
• URL
STEP 3 | Compruebe que la autenticación se encuentre deshabilitada para la lista dinámica externa.
Actualice la lista (consulte Recuperación de una lista dinámica externa del servidor web). Si el
cortafuegos recupera la lista correctamente, la autenticación de servidor está deshabilitada.
• (Opcional) Introduzca el intervalo en horas cuando la conexión con el origen supervisado esté
cerrada, si el host no responde. (El intervalo es de 2 a 10; el valor predeterminado es 2).
Para cambiar el valor predeterminado, seleccione la casilla de verificación Enable timeout when
the source is disconnected (Habilitar el tiempo de espera cuando el origen esté desconectado)
y especifique el valor. Cuando se alcanza el límite especificado o si no se puede acceder al host o
este no responde, el cortafuegos cerrará la conexión al origen.
• Haga clic en OK (Aceptar) y seleccione Commit (Confirmar) los cambios.
• Compruebe que el Status (Estado) de conexión aparezca como conectado.
UUID Arquitectura
PA-5050 50 000
PA-5020 25.000
El siguiente ejemplo muestra cómo los grupos de direcciones dinámicas pueden simplificar la aplicación
forzada de seguridad de la red. El flujo de trabajo de ejemplo muestra cómo:
• Habilitar el agente de supervisión VM en el cortafuegos para supervisar el host VMware ESX(i) o el
servidor vCenter y registrar las direcciones IP de la VM y las etiquetas asociadas.
STEP 3 | Los criterios de coincidencia para cada grupo de direcciones dinámicas en este ejemplo son los
siguientes:
Consulte el tutorial.
STEP 5 | Este ejemplo muestra cómo crear dos políticas: una para todo el acceso a los servidores FTP y
otro para el acceso a los servidores web.
STEP 6 | Comprobar que los miembros del grupo de direcciones dinámicas se han añadido al
cortafuegos.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione la regla.
2. Seleccione la flecha desplegable junto al vínculo del grupo de direcciones y elija Inspect
(Inspeccionar). También puede comprobar si los criterios de coincidencia son precisos.
La política entra en vigor para todas las direcciones IP que pertenecen a este grupo de direcciones y
se muestra aquí.
Ver todas las etiquetas registradas desde • Para ver etiquetas registradas desde la CLI:
un origen de datos específico, por ejemplo,
desde el agente de supervisión de VM en show log iptag datasource_type equal
el cortafuegos, la API XML, el agente de unknown
User-ID de Windows o la CLI.
• Para ver etiquetas registradas desde la API XML:
El logging de valores XFF no rellena los valores de dirección IP de origen de los logs.
Cuando visualice los logs, el campo de origen muestra la dirección IP del servidor proxy si
hay uno implementado entre los clientes de usuario y el cortafuegos. Sin embargo, puede
configurar el cortafuegos para la Adición de valores XFF a logs de filtrado de URL on page
1067 de modo que pueda ver las direcciones IP del usuario en esos logs.
Para garantizar que los atacantes no puedan leer ni aprovechar los valores XFF en paquetes de solicitud
web que salen del cortafuegos para recuperar el contenido desde un servidor externo, también puede
configurar el cortafuegos para quitar los valores XFF desde paquetes salientes.
Estas opciones no son mutuamente excluyentes: si configura ambas, el cortafuegos pone a cero los valores
de XFF solo después de usarlos en las políticas y logs.
STEP 1 | Habilite el cortafuegos para que use los valores de XFF en las políticas y en los campos de
usuario de origen de los logs.
STEP 3 | Compruebe que el cortafuegos rellena los campos de logs del usuario de origen.
1. Seleccione un tipo de log que tenga un campo de usuario de origen (por ejemplo, Monitor
[Supervisar] > Logs > Traffic [Tráfico]).
2. Compruebe que la columna Usuario de origen muestra los nombres de usuario de los usuarios que
acceden a la web.
Este método de hacer logging de valores XFF no añade nombres de usuario a los campos
de usuario de origen en logs de filtrado de URL. Para rellenar los campos de usuario de
origen, consulte Uso de los valores XFF en las políticas y en el registro de usuarios de origen.
3. En la pestaña Categories (Categorías), Defina el acceso al sitio para cada categoría de URL.
4. Seleccione la pestaña Settings (Configuración) y seleccione X-Forwarded-For.
5. Haga clic en OK (Aceptar) para guardar el perfil.
STEP 3 | Compruebe que el cortafuegos está haciendo el logging de los valores XFF.
1. Seleccione Monitor (Supervisar) > Logs (Logs) > URL Filtering (Filtrado de URL).
2. Muestre los valores XFF de uno de estos modos:
• Para mostrar el valor XFF en un único log, haga clic en el icono de lupa para que el log muestre los
detalles. La sección Encabezados HTTP muestra el valor de X-Forwarded-For.
PBF
Las reglas PBF permiten al tráfico tomar una ruta alternativa desde el siguiente salto especificado en la
tabla de enrutamiento, y se suelen usar para especificar una interfaz de salida por razones de seguridad o
rendimiento. Imaginemos que su empresa tiene dos enlaces entre la oficina corporativa y la sucursal: un
enlace de internet de bajo coste y una línea alquilada de mayor coste. La línea alquilada es un enlace de gran
ancho de banda y baja latencia. Para una mayor seguridad, puede utilizar la PBF para enviar aplicaciones que
no son de tráfico cifrado, como el tráfico FTP, a través de la línea de alquiler privada y el resto del tráfico a
través del enlace de internet. O bien, si se da prioridad al rendimiento, puede elegir enrutar las aplicaciones
críticas para la empresa a través de la línea alquilada y enviar el resto del tráfico, como la navegación web, a
través del enlace de bajo coste.
• Ruta de salida y retorno simétrico on page 1069
• Supervisión de rutas para PBF on page 1070
• Servicio frente a aplicaciones en PBF on page 1070
Para determinar el siguiente salto para retornos simétricos, el cortafuegos usa una tabla
de protocolo de resolución de direcciones (ARP). El número máximo de entradas que
admite esta tabla ARP está limitado por el modelo de cortafuegos, y el usuario no puede
configurar el valor. Para conocer el límite de su modelo, use el comando de la CLI: show
pbf return-mac all.
Puede especificar las direcciones de origen y destino usando una dirección IP, un objeto
de dirección o un FQDN. Sin embargo, para el próximo salto, debe especificar una
dirección IP.
1. Seleccione Policies (Políticas) > Policy Based Forwarding (Reenvío basado en políticas) y haga clic en
Add (Añadir).
2. Asigne a la regla un nombre descriptivo en la ficha General.
3. En la pestaña Source (Origen), seleccione lo siguiente:
1. Seleccione el Type (Tipo) (Zone [Zona] o Interface [Interfaz]) al que se aplicará la política de
reenvío y la zona o interfaz relevante. Si desea aplicar el retorno simétrico, debe seleccionar una
interfaz de origen.
El PBF solo es compatible con las interfaces de capa 3; las interfaces de bucle
invertido no admiten PBGF.
2. (Opcional) Especifique una Source Addres (Dirección de origen) a la que se aplicará el PBF. Por
ejemplo, una dirección IP específica o dirección IP de subred desde la que quiere reenviar el
tráfico a la zona o interfaz especificada en esta regla.
Use la opción Negate (Negar) para excluir una o más direcciones desde la regla
PBF. Por ejemplo, si la regla PBF dirige todo el tráfico desde la zona especificada
a Internet, Negate (Negar) le permite excluir las direcciones IP internas de la regla
PBF.
El orden de evaluación es de arriba abajo. Un paquete coincide con la primera regla que cumpla los
criterios definidos; después de activar una coincidencia, las reglas posteriores no se evalúan.
3. (Opcional) Add (Añada) y seleccione el Source User (Usuario de origen) o los grupos de usuarios a
los que se aplican las políticas.
4. En la pestaña Destination/Application/Service (Destino/Aplicación/Servicio), seleccione lo siguiente:
1. Destination Address (Dirección de destino). De manera predeterminada, esta regla se aplica a Any
(Cualquiera) dirección IP. Use la opción Negate (Negar) para excluir una o más direcciones IP de
destino desde la regla PBF.
2. Seleccione las aplicaciones o servicios que quiere controlar usando PBF.
Si está configurando PBF en un entorno multi-VSYS, debe crear reglas PBF separadas
para cada sistema virtual (y crear las reglas de política de seguridad apropiadas para
habilitar el tráfico).
Para activar la acción especificada con una frecuencia diaria, semanal o sin
repetición, cree y añada una programación.
• (Opcional) Habilite la supervisión para comprobar la conectividad con una dirección IP de
destino o con la dirección IP de siguiente salto. Seleccione Monitor (Supervisar) y añada un
Profile (Perfil) de monitorización (predeterminado o personalizado) que especifique la acción
cuando no se pueda alcanzar la dirección IP.
2. (Requerido para entornos de enrutamiento asimétrico; de lo contrario, opcional) Seleccione
Enforce Symmetric Return (Aplicar retorno simétrico) e introduzca una o más direcciones IP en
la lista Next Hop Address List (Lista de direcciones de próximo salto) (no puede usar un FQDN
como próximo salto). Puede añadir hasta 8 direcciones IP de próximo salto; las interfaces PPoE y
de túnel no están disponibles como direcciones IP de próximo salto.
Al habilitar el retorno simétrico se garantiza que el tráfico de retorno (por ejemplo, desde la zona
fiable en la LAN a Internet) se reenvíe a través de la misma interfaz por la cual el tráfico accede a
Internet.
5. Haga clic en OK (Aceptar) dos veces para guardar la configuración de enrutador virtual.
STEP 3 | Crear una regla PBF que redirija el tráfico a la interfaz que está conectada al ISP principal
Asegúrese de excluir el tráfico destinado a direcciones IP/servidores internos desde PBF. Defina una
regla de negación para que el tráfico destinado a direcciones IP internas no se enrute a través de la
interfaz de salida definida en la regla PBF.
1. Seleccione Policies (Políticas) > Policy Based Forwarding (Reenvío basado en políticas) y haga clic en
Add (Añadir).
2. Use un Name (Nombre) descriptivo para la regla en la pestaña General.
3. En la pestaña Source (Origen), configure Source Zone (Zona de origen) en Trust (Confiable).
4. En la pestaña Destination/Application/Service (Destino/aplicación/servicio), defina lo siguiente:
1. En la sección Dirección de destino, Add (Añadir) las direcciones IP o el intervalo de direcciones
para los servidores en la red interna o cree un objeto de dirección para sus servidores internos.
Seleccione Negate (Negar) para excluir de usar esta regla a las direcciones IP u objetos de
direcciones enumerados anteriormente.
2. En la sección Servicio, Add (Añadir) los servicios service-http y service-https para permitir que el
tráfico HTTP y HTTPS use estos puertos predeterminados. Para el resto de tráfico permitido por
una política de seguridad, se usa la ruta predeterminada.
Para reenviar todo el tráfico usando PBF, defina el Servicio en Any (Cualquiera).
3. Habilitar Monitor (Supervisar) y añada el perfil de supervisión predeterminado para activar una
conmutación por error al ISP de reserva. En este ejemplo no especificamos una dirección IP de
destino para la supervisión. El cortafuegos supervisa la dirección IP de siguiente salto; si no se puede
alcanzar esta dirección IP, el cortafuegos dirigirá el tráfico a la ruta predeterminada especificada en el
enrutador virtual.
4. (Necesario si tiene rutas asimétricas). Seleccione Enforce Symmetric Return (Aplicar vuelta simétrica)
para garantizar que el tráfico de retorno desde la zona de confianza a Internet se reenvíe por la misma
interfaz a través de la que el tráfico accedió desde Internet.
5. NAT garantiza que el tráfico desde Internet regrese a la dirección IP/interfaz correcta en el
cortafuegos.
6. Haga clic en OK (Aceptar) para guardar los cambios.
STEP 5 | Crear reglas NAT basadas en la interfaz de salida e ISP. Estas reglas garantizar que se use la
dirección IP de origen correcta para conexiones salientes.
1. Seleccione Policies (Políticas) > NAT y haga clic en Add (Añadir).
2. En este ejemplo, la regla NAT que creamos para cada ISP es la siguiente:
STEP 6 | Cree una política de seguridad para permitir el acceso saliente a Internet.
Para habilitar aplicaciones de forma segura, cree una regla que permita acceder a Internet y añada los
perfiles de seguridad disponibles en el cortafuegos.
1. Seleccione Policies (Políticas) > Security (Seguridad) y haga clic en Add (Añadir).
2. Use un Name (Nombre) descriptivo para la regla en la pestaña General.
3. En la pestaña Source (Origen), configure Source Zone (Zona de origen) en Trust (Confiable).
4. En la pestaña Destination (Destino), defina la Destination Zone (Zona de destino) como ISP-East e
ISP-West.
5. En la pestaña Service/ URL Category (Categoría de URL/servicio), deje la opción por defecto de
application-default (valor predeterminado de aplicación).
6. En la ficha Actions (Acciones) , realice estas tareas:
1. Establezca Action Setting (Configuración de acción) como Allow (Permitir).
2. Adjunte los perfiles por defecto para la protección antivirus, antispyware y contra
vulnerabilidades, y para el filtrado de URL, en Profile Setting (Ajuste de perfil).
7. En Options (Opciones), compruebe que el registro está activado al final de una sesión. Solo se
registra el tráfico que coincida con una regla de seguridad.
STEP 8 | Compruebe que la regla PBF está activa y que se usa el ISP principal para el acceso de Internet.
1. Inicie un explorador web y acceda al servidor web En el cortafuegos, compruebe el log de tráfico para
la actividad de navegación web.
2. Desde un cliente de la red, use la utilidad ping para comprobar la conectividad a un servidor web en
Internet y compruebe el tráfico en el cortafuegos.
C:\Users\pm-user1>ping 4.2.2.1
Pinging 4.2.2.1 with 32 bytes of data:
Reply from 4.2.2.1: bytes=32 time=34ms TTL=117
Reply from 4.2.2.1: bytes=32 time=13ms TTL=117
Reply from 4.2.2.1: bytes=32 time=25ms TTL=117
Reply from 4.2.2.1: bytes=32 time=3ms TTL=117
Ping statistics for 4.2.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 34ms, Average = 18ms
3. Para confirmar que la regla PBF está activa, use el siguiente comando CLI:
STEP 9 | Compruebe que se produce la conmutación por error al ISP de reserva y que la NAT de origen
se aplica correctamente.
1. Desactive la conexión al ISP principal.
2. Confirme que la regla PBF esté inactiva mediante el siguiente comando CLI:
4. Consulte los detalles de la sesión para confirmar que la regla NAT funciona correctamente.
1079
1080 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Virtual Systems
© 2017 Palo Alto Networks, Inc.
Descripción general de los sistemas virtuales
Los sistemas virtuales son instancias de cortafuegos separados y lógicos en un único cortafuegos físico
de Palo Alto Networks. En lugar de usar múltiples cortafuegos, las empresas y proveedores de servicios
gestionados pueden usar un único par de cortafuegos (para una alta disponibilidad) y habilitar en ellos
sistemas virtuales. Cada sistema virtual (vsys) es un cortafuegos independiente y gestionado de forma
separada cuyo tráfico está separado del de otros sistemas virtuales.
• Componentes y segmentación de los sistemas virtuales
• Ventajas de los sistemas virtuales
• Casos de uso de sistemas virtuales
• Compatibilidad con plataformas y licencias de sistemas virtuales
• Funciones de administrador para sistemas virtuales
• Objetos compartidos para sistemas virtuales
Zona externa
La comunicación en el caso de uso anterior se consigue configurando políticas de seguridad que señalan
hacia o desde una zona externa. Una zona externa es un objeto de seguridad que se asocia con un sistema
virtual que puede alcanzar, la zona es externa al sistema virtual. Un sistema virtual solo puede tener una
zona externa, independientemente del número de zonas de seguridad que contenga. Las zonas externas
deben permitir el tráfico entre zonas en distintos sistemas virtuales, sin que llegue a salir del cortafuegos.
El administrador del sistema virtual configura las políticas de seguridad necesarias para permitir el tráfico
entre dos sistemas virtuales. A diferencia de las zonas de seguridad, una zona externa no se asocia con una
interfaz, se asocia con un sistema virtual. La política de seguridad permite o deniega el tráfico entre la zona
de seguridad (interna) y la zona externa.
Como las zonas externas no tienen interfaces o direcciones IP asociadas, algunos perfiles de protección de
zonas no se admiten en las zonas externas.
Recuerde que cada sistema virtual es una instancia diferente de un cortafuegos, lo que significa que cada
paquete que se mueve entre sistemas virtuales se inspeccionará para una evaluación de App-ID y política de
seguridad.
Para crear zonas externas, el administrador del cortafuegos debe configurar sistemas virtuales para que
sean visibles entre sí. Las zonas externas no tienen políticas de seguridad entre ellas porque sus sistemas
virtuales son visibles entre sí.
Para una comunicación entre sistemas virtuales, las interfaces de entrada y salida del cortafuegos se asignan
a un único enrutador virtual o se conectan usando rutas estáticas entre enrutadores virtuales. El más
sencillo de estos dos enfoques es asignar todos los sistemas virtuales que deben comunicarse entre sí a un
único enrutador virtual.
• Política de seguridad 1: En la ilustración anterior, el tráfico tiene como destino la zona deptB-confianza.
El tráfico abandona la zona deptA-confianza y va a la zona deptA-Externa. Una política de seguridad
debe permitir el tráfico de la zona de origen (deptA-confianza) a la zona de destino (deptA-Externa). Un
sistema virtual permite que se use cualquier tipo de política para este tráfico, incluido el NAT.
No hay necesidad de ninguna política entre las zonas externas porque el tráfico enviado a una zona
externa aparece en las otras zonas externas y tiene acceso automático a las mismas si son visibles desde
la zona externa original.
• Política de seguridad 2: En la ilustración anterior, el tráfico desde deptB-Externa sigue estando destinado
a la zona deptB-confianza y es necesario configurar una política de seguridad para permitirlo. La política
de seguridad debe permitir el tráfico de la zona de origen (deptB-Externa) a la zona de destino (deptB-
confianza).
El sistema virtual del departamentoB podría configurarse para bloquear el tráfico desde el sistema virtual
del departamentoA y viceversa. Al igual que con el tráfico de cualquier otra zona, la política debe permitir
explícitamente que el tráfico de las zonas externas llegue a otras zonas de un sistema virtual.
Además de las zonas externas necesarias para el tráfico entre sistemas virtuales que no
abandona el cortafuegos, también se necesitan zonas externas si configura una puerta de
enlace compartida, en cuyo caso el tráfico debe abandonar el cortafuegos.
La puerta de enlace compartida tiene una dirección IP enrutada globalmente que se usa para comunicarse
con el mundo exterior. Las interfaces de los sistemas virtuales también tienen direcciones IP, pero puede
tratarse de direcciones IP privadas y no enrutables.
Como recordará, el administrador debe especificar si un sistema virtual es visible para otros. A diferencia de
los sistemas virtuales, una puerta de enlace compartida siempre es visible para todos los sistemas virtuales
del cortafuegos.
STEP 4 | (Opcional) Limite las asignaciones de recursos por sesiones, reglas y túneles VPN permitidos
para el sistema virtual. La flexibilidad de poder asignar límites por sistema virtual le permite
controlar de forma eficaz los recursos de cortafuegos.
1. En la pestaña Resource (Recurso), defina si desea los límites de un sistema virtual. Cada campo
muestra el intervalo válido de valores; no hay valores predeterminados.
• Límite de sesiones
STEP 6 | Cree al menos un enrutador virtual para el sistema virtual para que este sea capaz de realizar
funciones de red, como el enrutamiento estático y dinámico.
Otra opción es que su sistema virtual use una VLAN o un Virtual Wire, dependiendo de su
implementación.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y Add (Añadir) para añadir un
enrutador virtual por Name (Nombre).
2. Para Interfaces, haga clic en Add (Añadir) y en el menú desplegable seleccione las interfaces que
pertenecen al enrutador virtual.
3. Haga clic en OK (Aceptar).
STEP 7 | Configure una zona de seguridad para cada interfaz del sistema virtual.
STEP 8 | Configure las reglas de políticas de seguridad que permitan o denieguen el tráfico hacia y desde
las zonas del sistema virtual.
Consulte Creación de una regla de política de seguridad.
Una vez creado un sistema virtual, puede usar la CLI para confirmar una configuración
para un sistema virtual específico únicamente:
STEP 10 | (Opcional) Vea las políticas de seguridad configuradas para un sistema virtual.
Abra una sesión SSH para usar la CLI. Para ver las políticas de seguridad para un sistema virtual, en el
modo operativo, use los siguientes comandos:
set system setting target-vsys <vsys-id>
show running security-policy
STEP 2 | Configure las reglas de la política de seguridad para permitir o denegar el tráfico desde las
zonas internas a las externas del sistema virtual, y viceversa.
• Consulte la Creación de una regla de política de seguridad.
• Consulte Tráfico entre VSYS que permanece en el cortafuegos.
Cuando añada objetos como zonas o interfaces a una puerta de enlace compartida, esta
aparecerá como un vsys disponible en el menú desplegable VSYS.
1. Seleccione Network (Red) > Zones (Zonas) y Add (Añadir) para añadir una nueva zona por Name
(Nombre).
2. En Location (Ubicación), seleccione la puerta de enlace compartida para la que está creando una
zona.
3. En Type (Tipo), seleccione Layer3.
4. (Opcional) Seleccione un Zone Protection Profile (Perfil de protección de zona) (o configure uno más
tarde) que proporcione protección contra desbordamiento, reconocimiento o ataques basados en
paquetes.
5. (Opcional) En Log Setting (Configuración de logs), seleccionar un perfil de reenvío de logs para
reenviar los logs de protección de zona a un sistema externo.
6. (Opcional) Seleccione Enable User Identification (Habilitar identificación de usuarios) para habilitar el
User-ID para la puerta de enlace compartida.
7. Haga clic en OK (Aceptar).
Puede seleccionar un enrutador virtual para una ruta de servicio en un sistema virtual; no
puede seleccionar la interfaz de salida. Después de seleccionar el enrutador virtual y de
que el cortafuegos envíe el paquete desde el enrutador virtual, el cortafuegos selecciona
la interfaz de salida basándose en la dirección IP de destino. Por lo tanto, si un sistema
virtual tiene múltiples enrutadores virtuales, los paquetes dirigidos a todos los servidores
para un servicio deben salir de un único enrutador virtual. Un paquete con una dirección de
origen de interfaz puede salir de una interfaz diferente, pero el tráfico de retorno estaría en
la interfaz que tiene la dirección IP de origen, creando así tráfico asimétrico.
• Para limitar la lista del menú desplegable Source Address (Dirección de origen), seleccione una
Source Interface (Interfaz de origen) y elija una dirección de origen (de esa interfaz) como la
ruta de servicio. Si selecciona Any (Todos) como Source Interface (Interfaz de origen), todas las
direcciones IP en todas las interfaces del sistema virtual estarán disponibles en la lista del menú
desplegable Source Address (Dirección de origen) en la que seleccionó una dirección. Puede
seleccionar Inherit Global Setting (Heredar configuración global).
• En Source Address (Dirección de origen), se indicará Inherited (Heredada) si ha seleccionado
Inherit Global Setting (Heredar configuración global) para la Source Interface (Interfaz de origen)
o indicará la dirección de origen que seleccionó. Si ha seleccionado Any (Cualquiera) para Source
Interface (Interfaz de origen), seleccione una dirección IP del menú desplegable o introduzca
una dirección IP (usando el formato IPv4 o IPv6 que coincide con la pestaña que ha elegido) para
especificar la dirección de origen que se usará en los paquetes enviados al servicio externo.
• Si modifica un objeto de dirección y el tipo de familia IP (IPv4/IPv6) cambia, es necesaria una
confirmación para actualizar la familia de ruta de servicio que se usará.
5. Haga clic en OK (Aceptar).
6. Repita los pasos anteriores para configurar direcciones de origen para otros servicios externos.
7. Haga clic en OK (Aceptar).
STEP 2 | Añada una subinterfaz para cada usuario en la interfaz física de LPC.
1. Resalte la interfaz Ethernet que es un tipo de interfaz de tarjeta de logs y haga clic en Add
Subinterface (Añadir subinterfaz).
2. Para Interface Name (Nombre de interfaz), introduzca la subinterfaz asignada al sistema virtual del
usuario.
3. Para Tag (Etiqueta), introduzca un valor de etiqueta VLAN.
1101
1102 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
Segmentación de la red con zonas
Cuanto mayor es la red, más difícil es protegerla. Una red extensa y sin segmentar presenta una gran
superficie de ataque con mayores debilidades y vulnerabilidades. Dado que el tráfico y las aplicaciones
tienen acceso a toda la red, cuando un atacante accede a una red, este puede moverse lateralmente en
una red para acceder a datos críticos. Además, una red extensa es más difícil de supervisar y controlar. La
segmentación de la red limita la capacidad de un atacante de moverse por la red evitando el movimiento
lateral entre las zonas.
Una zona de seguridad es un grupo de uno o más cortafuegos físicos o virtuales, y los segmentos de red
conectados a las interfaces de la red. Puede controlar la protección de cada zona de manera individual, de
modo que cada zona reciba la protección específica que necesita. Por ejemplo, es posible que una zona del
departamento de finanzas no deba permitir todas las aplicaciones que permite una zona para TI.
Para proteger su red completamente, todo el tráfico debe fluir por el cortafuegos. Realice la Configuración
de interfaces y zonas para crear zonas separadas para las diferentes áreas funcionales como la puerta de
enlace de internet, el almacenamiento de datos confidenciales y las aplicaciones empresariales, y para
los diferentes grupos de las organizaciones, como finanzas, TI, marketing e ingeniería. Siempre que exista
una división lógica de la funcionalidad, el uso de la aplicación o los privilegios de acceso de los usuarios,
podrá crear una zona separada para aislar y proteger el área, y aplicar las reglas adecuadas de la política
de seguridad para evitar el acceso innecesario a los datos y las aplicaciones a los que solo deben acceder
uno o algunos grupos. Cuanto más detalladas sean las zonas, mayores serán la visibilidad y el control que
posee del tráfico de la red. La división de su red en zonas ayuda a crear una arquitectura de Zero Trust
(confianza cero) que ejecuta una filosofía de seguridad basada en la ausencia de confianza en los usuarios,
los dispositivos, las aplicaciones o los paquetes, donde se comprueba todo. El objetivo final es crear una
red que permita el acceso solo a los usuarios, los dispositivos y las aplicaciones que posean necesidades
empresariales legítimas, y denegar el resto del tráfico.
La restricción y el permiso de acceso adecuados a las zonas dependen del entorno de la red. Por ejemplo,
es posible que los entornos como las plantas de producción de semiconductores o las plantas de montaje
robótico, donde las estaciones de trabajo controlan equipo industrial delicado, o áreas con acceso muy
restringido, requieran una segmentación física que no permita que los dispositivos externos accedan (sin
acceso desde dispositivos móviles).
En los entornos donde los usuarios pueden acceder a la red con dispositivos móviles, la habilitación de User-
ID y App-ID, además de la segmentación de red en zonas garantiza que los usuarios recibirán los privilegios
de acceso adecuados independientemente de desde dónde accedan a la red, dado que los privilegios de
acceso se encuentran vinculados a un usuario o a un grupo de usuarios, en lugar de a un dispositivo en una
zona particular.
Es posible que los requisitos de protección de las diferentes áreas y grupos funcionales varíen. Por ejemplo,
es posible que una zona que maneja una gran cantidad de tráfico requiera umbrales de protección contra
inundaciones diferentes a los de una zona que, por lo general, gestiona menos tráfico. La capacidad de
definir la protección adecuada para cada zona es otro motivo para segmentar la red. La protección adecuada
depende de su arquitectura de red, lo que desea proteger y el tráfico que desea permitir y denegar.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1103
© 2017 Palo Alto Networks, Inc.
¿Cómo las zonas protegen la red?
Las zonas no solo protegen su red segmentándola en áreas más pequeñas que se controlan con mayor
facilidad; las zonas también protegen la red debido a que puede controlar el acceso a las zonas y el
movimiento de tráfico entre zonas.
Las zonas evitan que el tráfico no controlado fluya por las interfaces del cortafuegos hacia su red debido
a que las interfaces del cortafuegos no pueden procesar tráfico hasta que las asigne a las zonas. El
cortafuegos aplica la protección de zona a las interfaces de ingreso, donde el tráfico ingresa al cortafuegos
en dirección del flujo desde el cliente de origen al servidor que responde (c2s) para filtrar el tráfico antes de
que ingrese a una zona.
El tipo de interfaz y el tipo de zona del cortafuegos (de modo tap, cable virtual, L2, L3, túnel o externo)
deben coincidir, lo que permite proteger la red contra el tráfico admitido que no pertenece a la zona. Por
ejemplo, puede asignar una interfaz L2 a una zona L2 o una interfaz L3 a una zona L3, pero no puede
asignar una interfaz L2 a una zona L3.
Además, una interfaz del cortafuegos puede pertenecer solo a una zona. El tráfico destinado a diferentes
zonas no puede utilizar la misma interfaz, lo que permite evitar que el tráfico inadecuado ingrese a una
zona y le permite configurar la protección adecuada para cada zona individual. Puede conectar más de una
interfaz del cortafuegos a una zona para aumentar el ancho de banda, pero cada interfaz se puede conectar
solo a una zona.
Una vez que el cortafuegos permita tráfico en una zona, el tráfico fluye libremente dentro de la zona y no
se registra. Cuanto más pequeña es una zona, mayor será el control que tendrá sobre el tráfico que accede
a cada zona, y mayor será la dificultad para que el malware se mueva lateralmente dentro de la red entre las
zonas. El tráfico no puede fluir entre las zonas a menos que una regla de la política de seguridad lo permita y
las zonas sean del mismo tipo (de modo tap, cable virtual, L2, L3, túnel o externa). Por ejemplo, una regla de
la política de seguridad puede permitir el tráfico entre dos zonas L3, pero no entre una zona L3 y una zona
L2. El cortafuegos registra el tráfico que fluye entre las zonas cuando una regla de la política de seguridad
permite el tráfico entre las zonas.
De manera predeterminada, las reglas de la política de seguridad evitan el movimiento lateral del tráfico
entre las zonas, de modo que el malware no pueda acceder a una zona y moverse libremente dentro de la
red hacia otros destinos.
Las zonas del túnel son para túneles no cifrados. Puede aplicar diferentes reglas de la
política de seguridad al contenido del túnel y a la zona del túnel externo, como se describe
en Descripción general de la inspección del contenido del túnel.
1104 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
Defensa de zona
La protección de zona defiende las zonas contra los ataques de inundación, reconocimiento, basados en
paquetes y basados en protocolos con perfiles de protección de zona, y las defiende contra los ataques de
inundación y recursos dirigidos con perfiles de protección contra denegación de servicio (denial-of-service,
DoS) y las reglas de la política de protección contra DoS para complementar las funciones del cortafuegos
de última generación como App-ID y User-ID. Un ataque de DoS sobrecarga la red con grandes cantidades
de tráfico no deseado con el fin de interrumpir los servicios de la red.
A diferencia de las reglas de la política de seguridad, no existen perfiles de protección de zona o perfiles de
protección contra DoS y reglas de la política de protección contra DoS predeterminados. Puede configurar y
aplicar la protección de zona en función de la manera en la que segmenta su red en zonas y en función de lo
que desea proteger en cada zona.
• Herramientas de defensa de zona on page 1105
• ¿Cómo funcionan las herramientas de defensa de zona? on page 1106
• Perfiles de protección de zonas on page 1107
• Protección de búfer de paquetes on page 1110
• Perfiles de protección y reglas de la política del DoS on page 1110
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1105
© 2017 Palo Alto Networks, Inc.
Un perfil de protección DoS establece umbrales de protección contra congestión (límites de conexiones
por segundo), umbrales de protección de recursos (límites de sesión para endpoints y recursos
especificados) y si el perfil se aplica al tráfico agregado o clasificado.
Una regla de política de protección DoS especifica lo siguiente:
• Criterios de coincidencia de origen, destino y servicios.
• La acción que se debe realizar cuando el tráfico coincide con la regla.
• Opciones de creación de logs y programación.
• El perfil de protección DoS agregado o clasificado que la regla aplica al tráfico coincidente al proteger
los recursos.
Los perfiles de protección DoS agregados y las reglas de políticas se aplican a todo el tráfico que
coincide con el origen, el destino y los servicios especificados. Los perfiles de protección DoS y las reglas
de política clasificados protegen únicamente el tráfico que coincide con la dirección IP de origen, la
dirección IP de destino o el par de direcciones IP de origen y destino, y los servicios especificados en la
regla de política de protección DoS.
• Las reglas de política de seguridad influyen tanto en el flujo de ingreso (c2s) como en el salida (s2c)
de una sesión. Para establecer una sesión, el tráfico entrante debe coincidir con una regla de política
de seguridad (incluidas las reglas predeterminadas). Si no hay coincidencia, el cortafuegos descarta el
paquete.
Una política de seguridad puede proteger las zonas al controlar el tráfico entre zonas (interzona) y dentro
de las zonas (intrazona) usando criterios que incluyen zonas, direcciones IP, usuarios, aplicaciones,
servicios y categorías URL.
Las reglas de política de seguridad predeterminadas no permiten que el tráfico se desplace entre zonas,
por lo que necesita configurar una regla de seguridad si desea permitir el tráfico interzona. Todo el
tráfico intrazona está permitido de manera predeterminada. Puede configurar reglas de política de
seguridad para cotejar y controlar el tráfico intrazona, interzona o universal (intrazona e interzona).
Los perfiles de protección de zona, los perfiles de protección DoS y las reglas de política,
y las reglas de política de seguridad solo afectan al tráfico del plano de datos en el
cortafuegos. El tráfico que se origina en la interfaz de gestión del cortafuegos no cruza el
plano de datos, por lo que el cortafuegos no coteja el tráfico de gestión con estos perfiles
o reglas de política.
1106 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
La segunda protección que aplica el cortafuegos es una búsqueda de reglas de la política de protección
contra DoS. Incluso si un perfil de protección de zona permite un paquete en función de la cantidad total
de tráfico hacia la zona, es posible que una regla de la política de protección contra DoS y un perfil de
protección denieguen el paquete si se dirige a un destino particular o si proviene de un origen particular
que superó la configuración de protección contra inundaciones o de protección de recursos en el perfil
de protección contra DoS de la regla. Si el paquete coincide con una regla de la política de protección
contra DoS, el cortafuegos aplica la regla al paquete. Si la regla deniega el acceso, el cortafuegos descarta
el paquete y no realiza la búsqueda en la política de seguridad. Si la regla permite el acceso, el cortafuegos
realiza la búsqueda en la política de seguridad. La regla de la política de protección contra DoS se aplica solo
en las sesiones nuevas.
La tercera protección que aplica el cortafuegos es una búsqueda en la política de seguridad, que sucede solo
si el perfil de protección de zona y las reglas de la política de protección contra DoS permiten el paquete.
Si el cortafuegos no encuentra una coincidencia con el paquete en la regla de la política de seguridad, el
cortafuegos descarta el paquete. Si el cortafuegos encuentra una coincidencia en la regla de la política de
seguridad, el cortafuegos aplica la regla al paquete. El cortafuegos aplica la regla de la política de seguridad
en el tráfico en ambas direcciones (c2s y s2c) por la duración de la sesión.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1107
© 2017 Palo Alto Networks, Inc.
correspondientes en nombre del servidor de destino. Cuando el cortafuegos recibe un paquete de ACK del
iniciador con las cookies correctas, el cortafuegos reenvía el paquete de SYN al servidor de destino.
La ventaja de utilizar cookies de SYN en lugar del RED es que el cortafuegos descarta los paquetes ilícitos
y trata las conexiones legítimas de manera equitativa. Dado que el RED descarta conexiones de manera
aleatoria, el RED afecta a parte del tráfico legítimo. Sin embargo, si utiliza cookies de SYN en lugar del RED,
se utilizan más recursos del cortafuegos debido a que el cortafuegos gestion el protocolo de enlace de SYN
de tres pasos del servidor de destino. Esta opción utiliza más recursos del cortafuegos en comparación a la
ausencia del descarte de tráfico legítimo con el RED y la descarga del protocolo de enlace de SYN desde el
servidor de destino.
Ajuste los valores del umbral predeterminado en un perfil de protección de zona a los niveles adecuados
para su red. Los valores predeterminados son altos, de modo que si se activa un perfil de protección, no se
descarte tráfico legítimo inesperadamente.
Ajuste los umbrales de su entorno tomando una medición de referencia de la carga máxima de tráfico para
cada tipo de inundación para determinar la carga normal de tráfico para la zona. Establezca un valor para
los umbrales de Alarm Rate (Tasa de alarma) de un 15 a 20 por ciento mayor a la cantidad de conexiones
por segundo de referencia y supervise las alarmas para observar si el umbral es razonable para la carga de
tráfico legítimo. Dado que la carga normal de tráfico varía, se recomienda no descartar paquetes de manera
muy agresiva.
Además de determinar un valor de referencia y probar el umbral de Alarm Rate (Tasa de alarma), establezca
umbrales altos de Activate (Activación) y Maximum (Máximo) para evitar que se descarten paquetes
legítimos si los umbrales son demasiados agresivos. Tras determinar un umbral de Alarm Rate (Tasa de
alarma) razonable, establezca umbrales altos de Activate (Activación) y Maximum (Máximo) para que se
descarten paquetes cuando el tráfico aumente suficiente sobre el valor normal, lo que indica un ataque de
inundación. Continúe supervisando el tráfico y ajuste los umbrales para cumplir sus objetivos de seguridad y
garantizar que los umbrales no permitan que se descarte tráfico legítimo, pero evite picos indeseados en el
volumen de tráfico.
Una gran diferencia entre la protección contra inundaciones con un perfil de protección de zona y un perfil
de protección contra DoS es dónde el cortafuego aplica la protección contra inundación. Los perfiles de
protección de zona se aplican a toda una zona, mientras que los perfiles de protección contra DoS aplican
solo a las direcciones IP, las zonas y los usuarios especificados en la regla de la política de protección contra
DoS asociada al perfil.
Protección de reconocimiento
De manera similar a la definición del ejército del reconocimiento, la definición de seguridad de la red del
reconocimiento se produce cuando los atacantes intentan obtener información sobre las vulnerabilidades
de su red sondeando de manera secreta su red en busca de debilidades. Por lo general, las actividades de
reconocimiento se producen antes de un ataque de red.
Los perfiles de protección de zona con protección de reconocimiento habilitada se defienden de los análisis
de puertos y las limpiezas de host:
• Los análisis de puertos descubren los puertos abiertos de una red. Una herramienta de análisis de
puertos envía solicitudes de cliente a distintos puertos en un host para ubicar un puerto activo que
pueda aprovecharse en un ataque. Los perfiles de protección de zona defienden de los análisis de
puertos con TCP y UDP.
• Las limpiezas de hosts examinan varios hosts para determinar si un puerto específico está abierto y
vulnerable.
Puede utilizar herramientas de reconocimiento con fines legítimos como la prueba de sombrero blanco
de la seguridad de la red o la fortaleza de un cortafuegos. Puede especificar hasta 20 direcciones IP u
objetos de dirección de máscara de red que excluirá de la protección de reconocimiento, de modo que su
departamento de TI interno pueda llevar a cabo pruebas de sombrero blanco para buscar y resolver las
vulnerabilidades de la red.
1108 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
Puede establecer la acción que se llevará a cabo cuando el tráfico de reconocimiento (excepto el tráfico
de sombrero blanco) supere el umbral que configuró cuando realizó la Configuración de la protección de
reconocimiento on page 1113.
Protección de protocolo
Mientras que la protección contra ataques basados en paquetes defiende contra ataques basados en
paquetes de capa 3, la protección de protocolos defiende contra paquetes de protocolo no IP. La sección
de protección de protocolos de un perfil de protección de zona bloquea o permite paquetes de protocolo
no IP entre las zonas de seguridad en una VLAN de capa 2 o en un cable virtual o entre interfaces dentro de
una zona en una VLAN de capa 2. Realice la Configuración de la protección de protocolos para reducir los
riesgos de seguridad y facilitar el cumplimiento de las normativas evitando que los paquetes de protocolos
menos seguros ingresen a una zona, o una interfaz en una zona, donde no pertenecen.
Ejemplos de protocolos no IP que puede bloquear (excluir) o permitir (incluir) incluyen los sistemas
AppleTalk, Banyan VINES, LLDP, NetBEUI, de árbol de conmutación, y el sistema de control y adquisición
de datos (Supervisory Control And Data Acquisition, SCADA ), como los eventos de subestaciones
orientados a objetos genéricos (Generic Object Oriented Substation Event, GOOSE).
Puede ejecutar informes de App-ID para determinar si alguno de los paquetes de protocolo no IP llegan a
las interfaces de capa 2 del cortafuegos. Aplique el perfil de protección a una zona de seguridad de ingreso
para interfaces físicas o interfaces AE, y controle el tráfico interzona (donde los paquetes de protocolo
intentan ingresar a una zona desde otra) o el tráfico intrazona (donde los paquetes de protocolo atraviesan
una zona única, VLAN, entre sus interfaces).
Cada lista de inclusión y lista de exclusión que configura admite hasta 64 entradas Ethertype; cada
una se identifica por su código Ethertype hexadecimal IEEE. Otras fuentes de códigos Ethertype son
standards.ieee.org/develop/regauth/ethertype/eth.txt y http://www.cavebear.com/archive/cavebear/
Ethernet/type.html.
La protección de protocolos no le permite bloquear IPv4 (Ethertype 0x0800), IPv6 (0x86DD), ARP (0x0806)
o tramas con etiquetas VLAN (0x8100). Estos cuatro códigos Ethertype siempre se permiten implícitamente
en una lista de inclusión sin necesidad de que se incluyan. También se permiten implícitamente incluso si
configura una lista de exclusión; no puede excluirlos.
Cuando configura una protección de zona para protocolos no IP en zonas que cuentan con interfaces de
Ethernet agregado (Aggregated Ethernet, AE), no puede bloquear o permitir un protocolo no IP en solo una
interfaz de AE debido a que las interfaces de AE se consideran un grupo.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1109
© 2017 Palo Alto Networks, Inc.
Protección de búfer de paquetes
La protección de búfer de paquetes le permite proteger su cortafuegos y su red de ataques contra DoS
de sesión única que pueden superar el búfer de paquetes del cortafuegos y provocar que se descarte
tráfico legítimo. A pesar de que no realiza la Configuración de la protección de búfer de paquetes on page
1119 en un perfil de protección de zona, o en un perfil o regla de la política de protección contra DoS, la
protección de búfer de paquetes defiende las zonas y puede habilitarla cuando configura o edita una zona
(Network [Red] > Zones [Zonas]).
Cuando habilita la protección de búfer de paquetes, el cortafuegos supervisa las sesiones de todas las
zonas y cómo cada sesión utiliza el búfer de paquetes. Si una sesión supera un porcentaje configurado de
utilización del búfer de paquetes y atraviesa una zona de ingreso con la protección de búfer de paquetes
habilitada, el cortafuegos realiza acciones contra la sesión. El cortafuegos inicia con la creación de un log
de alerta en el log del sistema cuando una sesión alcanza el primer umbral. Si una sesión alcanza el segundo
umbral, el cortafuegos mitiga el abuso implementando el descarte aleatorio temprano (Random Early
Drop, RED) para limitar la sesión. Si el cortafuegos no puede reducir la utilización del búfer de paquetes
con el RED, el temporizador de tiempo de espera del bloqueo comienza la cuenta regresiva. Cuando el
temporizador vence, el cortafuegos realiza pasos de mitigación adicionales (descarte de sesión o bloqueo de
IP). La duración del bloqueo define por cuánto tiempo una sesión permanece descartada o una dirección IP
permanece bloqueada después de alcanzar el tiempo de espera del bloqueo.
Además de supervisar la utilización del búfer de sesiones individuales, la protección de búfer de paquetes
puede bloquear una dirección IP si se cumplen determinados criterios. Cuando el cortafuegos supervisa
el búfer de paquetes, si detecta una dirección IP de origen que crea sesiones rápidamente (lo que no se
consideraría de manera individual un ataque), bloquea esa dirección IP.
1110 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
• Las direcciones IP de destino y los rangos de direcciones, los objetos de grupos de direcciones y los
países
• Servicios (por puerto o protocolo)
• Usuarios
Los criterios de coincidencia flexibles le permiten proteger zonas o subredes completas, un servidor único o
elementos intermedios. Cuando el tráfico coincide con una regla de la política de protección contra DoS, el
cortafuegos realiza una de las tres acciones:
• Denegar: el cortafuegos deniega el acceso y no aplica un perfil de protección contra DoS. La denegación
implica la prohibición del tráfico que coincide con esa regla.
• Permitir: el cortafuegos permite el acceso y no aplica un perfil de protección contra DoS. Esto implica el
permiso del tráfico que coincide con esa regla.
• Proteger: el cortafuegos aplica el perfil o los perfiles de protección contra DoS especificados. Una regla
de la política de protección contra DoS puede tener un perfil de protección contra DoS agregado y un
perfil de protección contra DoS clasificado. Los paquetes entrantes se consideran frente a ambos perfiles
de protección contra DoS si coinciden con la regla. La acción de Protect (Proteger) protege contra
inundaciones aplicando los umbrales que se establecen en el perfil o los perfiles de protección contra
DoS para el tráfico que coincide con la regla.
El cortafuegos solo se aplica los perfiles de protección contra DoS si la Action (Acción) es Protect
(Proteger). Si la Action (Acción) de la regla de la política de protección contra DoS es Protect (Proteger),
especifique el perfil de protección contra DoS agregado o clasificado correspondiente en la regla, de modo
que el cortafuegos aplique el perfil de protección contra DoS al tráfico que coincida con la regla.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1111
© 2017 Palo Alto Networks, Inc.
umbrales de inundación para permitir la carga de tráfico legítima esperada y limitar o descartar el tráfico
cuando la carga indique un ataque de inundación. Supervise el tráfico y continúe ajustando los umbrales
hasta que cumplan sus objetivos de protección.
Durante la configuración de los umbrales de protección de los recursos en un perfil de protección contra
DoS, se establece la cantidad máxima de sesiones simultáneas que admite un recurso. Cuando la cantidad
de sesiones simultáneas alcanza su límite máximo, se descartan las sesiones nuevas. Puede definir el recurso
que protege en una regla de la política de protección contra DoS por la dirección IP de origen, la dirección IP
de destino o el par de direcciones IP de origen y destino del recurso.
Un perfil de protección contra DoS agregado se aplica a todo el tráfico que coincide con la regla de la
política de protección contra DoS asociada para todos los orígenes, destinos y servicios que permite esa
regla. Un perfil de protección contra DoS clasificado puede aplicar diferentes límites de sesión en diferentes
grupos de host de destino o, incluso, en un host de destino particular.
A continuación, se presentan algunos ejemplos de lo que puede realizar con un perfil de protección contra
DoS clasificado:
• Para evitar que los hosts en su red inicien un ataque contra el DoS, puede supervisar la tasa de tráfico
que inicia cada host en un grupo de direcciones de origen. Para ello, establezca un umbral de alarma
adecuado en un perfil de protección contra DoS que le notifique si un host inicia una cantidad de tráfico
inusualmente considerable y cree una regla en la política de protección contra DoS que aplique el perfil
al grupo de direcciones de origen. Investigue los hosts que inicien suficiente tráfico para activar la
alarma.
• Para proteger los servidores web o DNS críticos de su red, proteja los servidores individuales. Para ello,
establezca los umbrales de protección contra inundaciones y de recursos adecuados en un perfil de
protección contra DoS, y cree una regla en la política de protección contra DoS que aplique el perfil a la
dirección IP de cada servidor añadiendo las direcciones IP como los criterios de destino de la regla.
• Rastree el flujo entre un par de extremos estableciendo umbrales adecuados en el perfil de protección
contra DoS y creando una regla en la política de protección contra DoS que especifique las direcciones
IP de origen y de destino de los extremos como criterios de coincidencia.
No utilice la clasificación IP de origen para las zonas orientadas a internet en las reglas
de la política de protección contra DoS clasificada. El cortafuegos no puede almacenar
contadores para todas las direcciones IP posibles en internet.
1112 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
Configuración de la protección de la zona para
aumentar la seguridad de la red
Los siguientes temas proporcionan ejemplos de configuración de la protección de la zona:
• Configuración de la protección de reconocimiento on page 1113
• Configuración de la protección de ataques basada en paquetes on page 1114
• Configuración de la protección de protocolos on page 1114
• Configuración de la protección de búfer de paquetes on page 1119
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1113
© 2017 Palo Alto Networks, Inc.
3. Haga clic en Commit (Confirmar) para compilar los cambios.
Si ya implementó perfiles de protección de zona cuando actualizó PAN-OS 8.0, las tres
configuraciones predeterminadas se aplicarán a cada perfil y el cortafuegos actuará en
consecuencia.
STEP 1 | Cree un perfil de protección de zona para la protección de ataques basada en paquetes.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > Zone Protection (Protección de
zona) y Add (Añadir) para añadir un nuevo perfil.
2. En Name (Nombre), introduzca un nombre para el perfil y, opcionalmente, una Description
(Descripción).
3. Seleccione Packet Based Attack Protection (Protección de ataques basada en paquetes).
4. En cada pestaña (IP Drop [Descarte de IP], TCP Drop [Descarte de TCP], ICMP Drop [Descarte de
ICMP], IPv6 Drop [Descarte de IPv6] y ICMPv6 Drop [Descarte de ICMPv6]), seleccione los ajustes
que desee aplicar para proteger una zona.
5. Haga clic en OK (Aceptar).
STEP 2 | Aplique el perfil de protección de zona a una zona de seguridad que se asigna a las interfaces
que desea proteger.
1. Seleccione Network (Red) > Zones (Zonas) y seleccione la zona a la que desea asignar el perfil de
protección de zona.
2. Add (Añada) las Interfaces (Interfaces) de la zona.
3. En Zone Protection Profile (Perfil de protección de zona), seleccione el perfil que acaba de crear.
4. Haga clic en OK (Aceptar).
1114 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
• Caso de uso: Protección de protocolo no IP dentro de una zona de seguridad en interfaces de capa 2 on
page 1117
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1115
© 2017 Palo Alto Networks, Inc.
STEP 2 | Configure la protección de protocolo en un perfil de protección de zona para bloquear los
paquetes de protocolo GOOSE.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > Zone Protection (Protección de
zona) y haga clic en Add (Añadir) para añadir un perfil.
2. Introduzca en Name (Nombre) el nombre Block GOOSE.
3. Seleccione Protocol Protection (Protección de protocolo).
4. Seleccione Rule Type (Tipo de regla) para la Exclude List (Lista de exclusión).
5. Introduzca el nombre de protocolo GOOSE en Protocol Name (Nombre de protocolo) para identificar
con facilidad el Ethertype en la lista. El cortafuegos no comprueba que el nombre que introduce
coincida con el código Ethertype; solo utiliza el código Ethertype para el filtrado.
6. Introduzca el código Ethertype 0x88B8. Se debe introducir 0x antes del código Ethertype para indicar
un valor hexadecimal. El rango es 0x0000 a 0xFFFF.
7. Seleccione Enable (Habilitar) para habilitar la protección del protocolo. Puede deshabilitar un
protocolo de la lista, por ejemplo, para una prueba.
8. Haga clic en OK (Aceptar).
STEP 4 | Configure la protección de protocolos para permitir los paquetes de protocolo GOOSE.
Cree otro perfil de protección de zona denominado Allow GOOSE (Permitir GOOSE) y seleccione el Rule
Type (Tipo de regla) de la Include List (Lista de inclusión).
Cuando configure la lista de inclusión, incluya todos los protocolos no IP necesarios; una
lista incompleta puede provocar que se bloquee tráfico no IP legítimo.
1116 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
> show counter global name pkt_nonip_pkt_drop
> show counter global name pkt_nonip_pkt_drop delta yes
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1117
© 2017 Palo Alto Networks, Inc.
3. El valor de Interface Name (Nombre de interfaz) vuelve al valor predeterminado de la interfaz
(ethernet 1/1). Luego del punto, introduzca 8.
4. En Tag (Etiqueta), introduzca 400.
5. En Security Zone (Zona de seguridad), seleccione User (Usuario).
6. Haga clic en OK (Aceptar).
STEP 5 | Aplique el perfil de protección de zona a la zona de seguridad a la que pertenece la VLAN de
capa 2.
1. SeleccioneNetwork (Red) > Zones (Zonas).
2. Haga clic en Add (Añadir) para añadir una zona.
3. Introduzca el Name (Nombre) de la zona User (Usuario).
4. En Location (Ubicación), seleccione el sistema virtual al que se aplica la zona.
5. En Type (Tipo), seleccione Layer2 (Capa 2).
6. Haga clic en Add (Añadir) para añadir una Interface (Interfaz) que pertenezca a la zona, ethernet1/1.7
7. Haga clic en Add (Añadir) para añadir una Interface (Interfaz) que pertenezca a la zona, ethernet1/1.8
8. En Zone Protection Profile (Perfil de protección de zona), seleccione el perfil Block LLDP (LLDP de
bloqueo).
9. Haga clic en OK (Aceptar).
1118 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
> show counter global name pkt_nonip_pkt_drop
> show counter global name pkt_nonip_pkt_drop delta yes
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1119
© 2017 Palo Alto Networks, Inc.
Protección DoS contra inundaciones de nuevas
sesiones
La protección DoS contra la inundación de nuevas sesiones es útil contra los ataques de una sesión y
múltiples sesiones de gran volumen. En un ataque de una única sesión, un atacante usa una única sesión
para dirigirse contra un dispositivo situado tras el cortafuegos. Si una regla de seguridad admite el tráfico, la
sesión se establece y el atacante inicia un ataque enviando paquetes a una tasa muy elevada con la misma
dirección IP y número de puerto de origen, dirección IP y número de puerto de destino y protocolo para
intentar sobrecargar al objetivo. En un ataque de múltiples sesiones, un atacante emplea múltiples sesiones
(o conexiones por segundo [cps]) desde un único host para iniciar un ataque DoS.
Esta función solo protege contra los ataques DoS de nuevas sesiones, es decir, el
tráfico que no se ha descargado en el hardware. Esta función no protege contra ataques
descargados. Sin embargo, este tema describe cómo crear una regla de políticas de
seguridad para restablecer el cliente; el atacante reinicia el ataque con numerosas
conexiones por segundo y es bloqueado por las defensas que se indican en este tema.
Perfiles de protección y reglas de la política del DoS on page 1110 funcionan en conjunto para ofrecer
protección contra inundaciones de diversos paquetes SYN, UDP, ICMP e ICMPv6 entrantes y otros tipos
de paquetes IP. Puede determinar los umbrales que constituyen una inundación. Por lo general, el perfil de
protección DoS establece los umbrales en los que el cortafuego genera una alarma DoS, realiza una acción
como Random Early Drop (Descarte aleatorio temprano) y descarta conexiones entrantes adicionales. La
regla de la política de protección DoS que se establece como protect (proteger) (en lugar de permitir o
denegar paquetes) determina los criterios de coincidencia de los paquetes (como dirección de origen) que
se tendrán en cuenta para el umbral. Esta flexibilidad le permite prohibir determinado tráfico o permitir
determinado tráfico y tratar otro tráfico como tráfico DoS. Cuando la tasa entrante supera el umbral
máximo, el cortafuegos bloquea el tráfico entrante de la dirección de origen.
• Ataque DoS multisesión on page 1120
• Ataque DoS de una sesión on page 1123
• Configuración de protección DoS contra inundaciones de nuevas sesiones on page 1123
• Finalización de un ataque DoS de una sesión on page 1126
• Identificación de sesiones que utilizan un porcentaje excesivo del búfer de paquete on page 1127
• Eliminación de una sesión sin confirmación on page 1129
1120 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
Secuencia de eventos cuando un cortafuegos pone una dirección IP en cuarentena
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1121
© 2017 Palo Alto Networks, Inc.
La siguiente figura describe más detalladamente lo que ocurre cuando una dirección IP que coincide
con la regla de política de protección de DoS se incluye en la lista de bloqueados. También describe el
temporizador de duración del bloqueo.
Cada segundo, el cortafuegos permite que la dirección IP salga de la lista de bloqueados para poder probar
los patrones de tráfico y determinar si el ataque sigue activo. El cortafuegos realiza la siguiente acción:
• Durante este periodo de prueba de un segundo, el cortafuegos permite que los paquetes que no
coinciden con los criterios de la política de protección DoS (tráfico HTTP en este ejemplo) atraviesen las
reglas de políticas de protección DoS en la política de seguridad para la validación. Muy pocos paquetes,
o ninguno, tienen tiempo para llegar, porque el primer paquete de ataque que recibe el cortafuegos
después de dejar que la dirección IP salga de la lista de bloqueados coincidirá con los criterios de la
política de protección DoS, lo que rápidamente hará que la dirección IP se devuelva rápidamente a la
lista de bloqueados durante otro segundo. El cortafuegos repite esta prueba cada segundo hasta que el
ataque se detiene.
• El cortafuegos evita que todo el tráfico de ataque pase las reglas de política de protección DoS (la
dirección se mantiene en la lista de bloqueados) hasta que vence la duración de bloqueo.
Cuando el ataque se detiene, el cortafuegos no devuelve la dirección IP a la lista de bloqueados. El
cortafuegos permite que el tráfico que no sea de ataque atraviese las reglas de políticas de protección DoS
a las reglas de política de seguridad para su evaluación. Debe configurar una regla de política de seguridad
para permitir o denegar el tráfico porque, sin una, una regla de denegación implícita deniega todo el tráfico.
1122 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
La lista de bloqueados se basa en una combinación de zona de origen y dirección de origen. Este
comportamiento permite que las direcciones IP duplicadas existan siempre y cuando estén en distintas
zonas que pertenecen a enrutadores virtuales separados.
El ajuste de duración de bloqueo en un perfil de protección DoS especifica durante cuánto tiempo el
cortafuegos bloquea los paquetes (infractores) que coinciden exactamente con una regla de política de
protección DoS. El tráfico del ataque sigue bloqueado hasta que vence la duración del bloqueo, después
de lo cual el tráfico del ataque debe superar de nuevo el umbral de tasa máxima para que pueda volver a
bloquearse.
Si el atacante usa múltiples sesiones o bots que inician múltiples sesiones de ataque,
las sesiones cuentan hacia los umbrales del perfil de protección DoS sin una regla de
denegación de política de seguridad vigente. Por lo tanto, un ataque de sesión única
requiere una regla de denegación o descarte de política de seguridad para que cada
paquete cuente en los umbrales; en cambio, un ataque de sesión múltiple no la necesita.
Por ello, la protección DoS contra la inundación de nuevas sesiones permite que el cortafuegos proteja
eficientemente contra una dirección IP de origen mientras haya tráfico de ataque en curso, y permite que
el tráfico que no sea de ataque pase en cuanto se detenga el ataque. El colocar la dirección IP infractora
en la lista de bloqueados permite que la funcionalidad de protección DoS aproveche la lista de bloqueados,
lo cual está diseñado para poner en cuarentena toda la actividad de esa dirección IP de origen, tal como
paquetes con una aplicación diferente. Poner la dirección IP en cuarentena de toda actividad protege contra
atacantes modernos que intentan un ataque de aplicación rotatorio, en el que el atacante simplemente
cambia de aplicación para iniciar un nuevo ataque o usa una combinación de diferentes ataques en un
ataque DoS híbrido. Puede Supervisar direcciones IP bloqueadas para visualizar la lista de bloqueo, eliminar
entradas de dicha lista y obtener información adicional sobre una dirección IP de la lista de bloqueo.
A partir de PAN-OS 7.0.2, hay un cambio de comportamiento que hace que el cortafuegos
sitúe la dirección IP de origen de ataque en la lista de bloqueo. Cuando el ataque se
detiene, el tráfico de no ataque puede continuar con el cumplimiento de la política de
seguridad. El tráfico de ataque que coincidía con el perfil de protección DoS y las reglas de
política de protección DoS continúa bloqueado hasta que vence la duración de bloqueo.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1123
© 2017 Palo Alto Networks, Inc.
han activado el umbral de política de protección DoS; opcional para la mitigación de
ataques de sesión múltiple)
Este paso es uno de los pasos que suele realizarse para detener un ataque existente.
Consulte Finalización de un ataque DoS de una sesión on page 1126.
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > DoS Protection (Protección
DoS) y Add (Añadir) para añadir un nombre de perfil en Name (Nombre).
2. Seleccione Classified (Clasificado) como el Type (Tipo).
3. Para Flood Protection (Protección contra congestión), seleccione todos los tipos de protección
contra congestión.
• Congestión SYN
• Congestión UDP
• Congestión ICMP
• Congestión de ICMPv6
• Otra congestión IP
4. Cuando habilite SYN Flood (Congestión SYN), seleccione la Action (Acción) que ocurre cuando las
conexiones por segundo (cps) superan el umbral de la Activate Rate (Tasa de activación):
1. Random Early Drop (Descarte aleatorio temprano): el cortafuegos utiliza un algoritmo para iniciar
el descarte progresivo de ese tipo de paquete. Si el ataque continúa, cuanto más alta sea la tasa
de cps entrantes (por encima de la tasa de activación), más paquetes descartará el cortafuegos.
El cortafuegos descarta los paquetes hasta que la tasa de cps entrantes alcanza la Max Rate
(Tasa máxima), en cuyo punto el cortafuegos descarta todas las conexiones entrantes. Random
Early Drop (Descarte aleatorio temprano) (RED) es la acción predeterminada para SYN Flood
(Congestión SYN) y la única acción para UDP Flood (Congestión UDP), ICMP Flood (Congestión
ICMP), ICMPv6 Flood (Congestión ICMPv6) y Other IP Flood (Otra congestión IP). RED es más
eficiente que las cookies SYN y puede manejar ataques mayores, pero no diferencia entre tráfico
positivo y negativo.
2. SYN Cookies: en lugar de enviar inmediatamente SYN al servidor, el cortafuegos genera una
cookie (en nombre del servidor) para enviar en el SYN-ACK al cliente. El cliente responde con su
ACK y la cookie, tras esta validación, el cortafuegos luego envía el SYN al servidor. La acción SYN
Cookies requiere de más recursos del cortafuegos que Random Early Drop (Descarte aleatorio
temprano); permite diferenciar mejor, ya que afecta al tráfico negativo.
5. (Opcional) En cada una de las pestañas de inundación, cambie los siguientes umbrales para ajustarlos
a su entorno:
• Alarm Rate (connections/s) (Tasa de alarma [conexiones/s]): especifique la tasa de umbral
(cps) por encima de la cual se activa una alarma DoS. (El intervalo es 0-2.000.000; el valor
predeterminado es 10.000).
• Activate Rate (connections/s) (Tasa de activación [conexiones/s]): especifique la tasa de umbral
(cps) por encima de la cual se activa una respuesta DoS. Cuando se alcanza el umbral de Activate
Rate (Tasa de activación), se produce un Random Early Drop (Descarte aleatorio temprano).
El intervalo es 0-2.000.000; el valor predeterminado es 10.000. (Para la congesión SYN, puede
seleccionar la acción que ocurre).
1124 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
• Max Rate (packets/s) (Tasa máxima [paquetes/s]): especifique la tasa de umbral de conexiones
entrantes por segundo que permite el cortafuegos. Cuando se supera el umbral, se descartan las
nuevas conexiones que llegan. (El intervalo es 2-2.000.000; el valor predeterminado es 40.000).
Los valores de umbral predeterminados de este paso solo son puntos de inicio y
pueden no ser adecuados para su red. Debe analizar el comportamiento de su red
para definir adecuadamente valores de umbral iniciales.
6. En cada pestaña de congestión, especifique la Block Duration (en segundos), que es el período
durante el cual el cortafuegos bloquea paquetes que coinciden con la regla de política de protección
DoS que hace referencia a este perfil. Especifique un valor mayor que cero. (El intervalo es 1-21.600;
el valor predeterminado es 300).
Defina un valor de Block Duration (Duración de bloqueo) alto si está más preocupado por bloquear
ataques volumétricos que por bloquear incorrectamente paquetes que no sean parte de un ataque.
7. Haga clic en OK (Aceptar).
STEP 3 | Configure una regla de política de protección DoS que especifique los criterios para comparar
el tráfico entrante.
Los recursos de cortafuegos son limitados, por lo cual no debería clasificar el uso de
direcciones de origen en una zona accesible desde internet, debido a que puede haber
una gran cantidad de direcciones IP únicas que coincidan con la regla de política de
protección DoS. Eso requeriría numerosos contadores y el cortafuegos se quedaría sin
recursos de rastreo. En su lugar, defina una regla de política de protección DoS que se
clasifique usando la dirección de destino (del servidor que está protegiendo).
1. Seleccione Policies (Políticas) > DoS Protection (Protección DoS) y luego Add (Añadir) para añadir un
Name (Nombre) en la pestaña General. El nombre distingue entre mayúsculas y minúsculas y puede
tener un máximo de 31 caracteres, incluidas letras, números, espacios, guiones y guiones bajos.
2. En la pestaña Source (Origen), seleccione el Type (Tipo) para que sea una Zone (Zona) o Interface
(Interfaz), y después seleccione Add (Añadir) para añadir las zonas o interfaces. Elija la zona o interfaz
según su implementación y lo que desea proteger. Por ejemplo, si tiene solo una interfaz que ingresa
en el cortafuegos, elija una interfaz.
3. (Opcional) En Source Address (Dirección de origen), seleccione Any (Cualquiera) para que cualquier
dirección IP entrante coincida con la regla o seleccione Add (Añadir) para añadir un objeto de
dirección como una región geográfica.
4. (Opcional) Para Source User (Usuario de origen), seleccione any (cualquiera) o especifique un usuario.
5. (Opcional) Seleccione Negate (Negar) para que coincida con cualquier origen excepto los que
especifique.
6. (Opcional) En la pestaña Destination (Destino), seleccione el Type (Tipo) para que sea una Zone
(Zona) o Interface (Interfaz), y después seleccione Add (Añadir) para añadir las zonas o interfaces. Por
ejemplo, escriba la zona de seguridad que desee proteger.
7. (Opcional) En Destination Address (Dirección de destino), seleccione Any (Cualquiera) o introduzca la
dirección IP del dispositivo que desee proteger.
8. (Opcional) En la pestaña Option/Protection (Opción/Protección), seleccione Add (Añadir) para
añadir un Service (Servicio). Seleccione un servicio o haga clic en Service (Servicio) e introduzca un
nombre en Name. Seleccione TCP o UDP. Introduzca un Destination Port (Puerto de destino). Si
no especifica un servicio concreto, la regla comparará la inundación de cualquier tipo de protocolo
indistintamente del puerto específico de la aplicación.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1125
© 2017 Palo Alto Networks, Inc.
9. En la pestaña Option/Protection (Opción/Protección), para Action (Acción), seleccione Protect
(Proteger).
10.Seleccione Classified (Clasificado).
11.En Profile (Perfil), seleccione el nombre del perfil de DoS Protection (Protección DoS) que creó.
12.En Address (Dirección), seleccione source-ip-only o src-dest-ip-both, lo que determina el tipo
de dirección IP al que se aplica la regla. Seleccione el ajuste en función de cómo desea que el
cortafuegos identifique el tráfico infractor:
• Especifique source-ip-only si desea que el cortafuegos clasifique únicamente la dirección IP de
origen. Debido a que los atacantes a menudo prueban toda la red en busca de hosts a los cuales
atacar, source-ip-only es el ajuste típico para un examen más amplio.
• Especifique src-dest-ip-both si desea proteger únicamente contra ataques DoS en el servidor
que tiene una dirección de destino específica y asegurarse de que ninguna dirección IP de origen
sobrepase un umbral específico de cps con ese servidor.
13.Haga clic en OK (Aceptar).
STEP 2 | Cree una regla de política de protección DoS que bloqueará la dirección IP del atacante cuando
se hayan superado los umbrales de ataque.
STEP 3 | Cree una regla de política de seguridad para denegar la dirección IP de origen y su tráfico de
ataque.
STEP 4 | Finalice cualquier ataque existente desde la dirección IP de origen del ataque ejecutando el
comando operativo clear session all filter source <ip-address>.
De manera alternativa, si conoce el ID de sesión, puede ejecutar el comando clear session id
<value> para finalizar únicamente esa sesión.
Cuando haya finalizado la sesión de ataque existente, cualquier intento posterior de formar una sesión
de ataque será bloqueado por la política de seguridad. La política de protección DoS cuenta todos los
intentos de conexión y los incluye en los umbrales. Cuando se alcanza el umbral máximo de la tasa, la
1126 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
dirección IP de origen se bloquea durante la duración del bloqueo, como se describe en Multiple-Session
DoS Attack (Ataque de DoS de múltiples sesiones).
STEP 1 | Visualice del uso de recursos del cortafuegos, las sesiones principales y los detalles de sesión
Ejecute el siguiente comando operativo en la CLI (a continuación un ejemplo de resultado del
comando):
El comando muestra un máximo de las cinco sesiones principales que usan el 2 % cada una o más del
almacenamiento en búfer de paquetes.
El ejemplo de resultado anterior indica que la sesión 6 está utilizando el 92 % del almacenamiento en
búfer de paquetes con paquetes TCP (protocolo 6) provenientes de la dirección IP 192.168.2.35.
• SESS-ID: indica el ID de sesión global que se utiliza en todos los demás comandos show session.
El ID de sesión global es único dentro del cortafuegos.
• GRP-ID: indica una fase interna del procesamiento de paquetes.
• COUNT: indica cuántos paquetes hay en ese GRP-ID para esa sesión.
• APP: indica el App-ID extraído de la información de sesión que puede ayudarlo a determinar si el
tráfico es legítimo. Por ejemplo, si los paquetes usan un puerto TCP o UDP común, pero el resultado
de CLI indica una APP de undecided, los paquetes posiblemente sean tráfico de ataque. La APP es
undecided cuando los decodificadores IP de la aplicación no pueden obtener suficiente información
para determinar la aplicación. Una APP unknown indica que los decodificadores de IP de aplicación
no pueden determinar la aplicación; una sesión de APP unknown que utiliza un alto porcentaje del
almacenamiento en búfer de paquetes también es sospechosa.
Para restringir el resultado que se muestra:
En un modelo de la serie PA-7000, puede limitar el resultado a una ranura, un plano de datos o ambos.
Por ejemplo:
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1127
© 2017 Palo Alto Networks, Inc.
admin@PA-7050> show running resource-monitor ingress-backlogs slot s1 dp
dp1
En la serie PA-5000, PA-5200 y PA-7000 únicamente, puede limitar el resultado a un plano de datos.
Por ejemplo:
STEP 2 | Utilice el resultado de comando para determinar si el origen de la dirección IP de origen que
usa un alto porcentaje del almacenamiento en búfer de paquetes está enviando tráfico legítimo
o de ataque.
En el ejemplo de resultado anterior, probablemente se esté produciendo el ataque de una sola sesión.
Una sola sesión (ID de sesión 6) está usando el 92 % del almacenamiento en búfer de paquetes para la
ranura 1, DP1 y la aplicación en ese punto es undecided.
• Si determina que un solo usuario está enviando un ataque y el tráfico no es descargado, puede
finalizar un ataque DoS de sesión única. Como mínimo, puede configurar protección DoS contra
inundaciones de nuevas sesiones.
• En un modelo de hardware que tiene una matriz de puertas de campo programable (field-
programmable gate array, FPGA), el cortafuegos descarga el tráfico en la FPGA cuando es posible
para aumentar el rendimiento. Si el tráfico se descarga en el hardware, el borrar la sesión no ayuda,
ya que luego es el software el que debe manejar el bombardeo de paquetes. En lugar de ello, debe
eliminar una sesión sin confirmación.
Para ver si una sesión está descargada o no, use el comando operativo show session id
<session-id> en la CLI como se muestra en el siguiente ejemplo. El valor layer7 processing
(procesamiento de capa7) indica completed (completo) para las sesiones descargadas o
enabled (habilitado) para las sesiones no descargadas.
1128 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
© 2017 Palo Alto Networks, Inc.
Eliminación de una sesión sin confirmación
Realice esta tarea para descartar de manera permanente una sesión, tal como una sesión que está
sobrecargando el almacenamiento en búfer de paquetes. No se necesita confirmación; la sesión se elimina
inmediatamente después de ejecutar el comando. Los comandos se aplican a las sesiones descargadas y no
descargadas.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1129
© 2017 Palo Alto Networks, Inc.
admin@PA-7050> show session all filter state discard
1130 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
Certificaciones
Los siguientes temas describen cómo configurar los cortafuegos y los dispositivos de Palo
Alto Networks® para que admitan los criterios comunes y los estándares federales de
procesamiento de la información 140-2 (FIPS 140-2), que son certificados de seguridad que
garantizan un conjunto estándar de garantías y funciones de seguridad. Estos certificados
suelen solicitarlos las agencias civiles del gobierno de EE. UU. y contratistas gubernamentales.
Si desea información detallada sobre las certificaciones de los productos y la validación
externa, consulte la página de Certificaciones.
1131
1132 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Certificaciones
© 2017 Palo Alto Networks, Inc.
Habilitación de FIPS y compatibilidad con
criterios comunes
Utilice el siguiente procedimiento para habilitar el modo FIPS-CC en una versión de software que admita
los criterios comunes y los estándares federales de procesamiento de la información 140-2 (FIPS 140-2).
Cuando habilita el modo FIPS-CC, se incluye toda la funcionalidad FIPS y CC.
El modo FIPS-CC es compatible con todos los cortafuegos y todos los dispositivos de última generación
de Palo Alto Networks, incluso los cortafuegos serie VM. Para habilitar el modo FIPS-CC, arranque el
cortafuegos en la Maintenance Recovery Tool (Herramienta de recuperación de mantenimiento, MRT) y
cambie el modo operativo de modo normal a modo FIPS-CC. El procedimiento necesario para cambiar el
modo operativo es el mismo en todos los cortafuegos y dispositivos, pero el procedimiento necesario para
acceder a la MRT varía.
• Acceda a la MRT en los cortafuegos y los dispositivos del hardware (como los cortafuegos
PA-200, los cortafuegos PA-7000 o los dispositivos serie M).
1. Establezca una sesión de consola serie hacia el cortafuegos o el dispositivo.
1. Conecte un cable serie desde el puerto serie de su ordenador hasta el puerto de consola del
cortafuegos o dispositivo.
Después de que el cortafuegos o el dispositivo arranque con la MRT, puede acceder a la MRT de
manera remota estableciendo una conexión SSH a la dirección IP del interfaz de administración
(MGT). En el mensaje de inicio de sesión, introduzca maint como nombre de usuario y el número de
serie del cortafuegos o el dispositivo como contraseña.
• Acceda a la MRT en los cortafuegos serie VM que se implementan en una nube privada (como
en un hipervisor VMware ESXi o KVM).
1. Establezca una sesión SSH para la dirección IP de administración del cortafuegos e inicie sesión con
una cuenta de administrador.
2. Introduzca el siguiente comando de CLI y pulse y para confirmar:
• Acceda a la MRT en los cortafuegos serie VM que se implementan en la nube privada (como
AWS o Azure).
1. Establezca una sesión SSH para la dirección IP de administración del cortafuegos e inicie sesión con
una cuenta de administrador.
2. Introduzca el siguiente comando de CLI y pulse y para confirmar:
STEP 3 | Seleccione Enable FIPS-CC Mode (Habilitación del modo FIPS-CC). Se inicia la
operación de cambio de modo y un indicador de estado muestra el progreso. Una vez
completado el cambio de modo, el estado es Success (Correcto).
Tras cambiar al modo FIPS-CC, observará el siguiente estado: FIPS-CC mode enabled
successfully.
Además, permanecen vigentes los siguientes cambios:
• FIPS-CC aparece siempre en la barra de estado de la parte inferior de la interfaz web.
• Las credenciales predeterminadas de inicio de sesión del administrador cambiarán a admin/paloalto.
Consulte las Funciones de seguridad de FIPS-CC para obtener información detallada de las funciones de
seguridad que se aplican en el modo FIPS-CC.