Académique Documents
Professionnel Documents
Culture Documents
Informacin de contacto
Sede de la empresa:
Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
ii
Contenido
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Integracin del cortafuegos en su red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Determinacin de la estrategia de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Realizacin de la configuracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Establecimiento de acceso a la red para servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Registro del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Activacin de la licencia y suscripciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Gestin de la actualizacin de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Instalacin de actualizaciones de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Creacin del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Implementaciones de interfaz bsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Acerca de la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Planificacin de la implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Configuracin de polticas de seguridad bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Habilitacin de funciones de prevencin de amenazas bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Habilitacin de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Exploracin del trfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Prcticas recomendadas para completar la implementacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 44
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Uso de la interfaz de lnea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Gestin de los administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks. . . . . . . . . . . . . . . . . 107
Puertos usados para funciones de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Puertos usados para HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Puertos usados para Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Puertos usados para User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Restablecimiento del cortafuegos a los ajustes predeterminados de fbrica . . . . . . . . . . . . . . . . . . . . . . . . 112
119
119
121
121
124
125
126
127
128
135
136
142
144
146
149
149
149
152
152
153
Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directrices de configuracin para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de las condiciones de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificacin de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
156
157
158
160
166
167
Recursos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
ii
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Descripcin general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Conceptos de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Asignacin de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Habilitacin de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Asignacin de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Asignacin de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
iii
257
266
269
279
285
294
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Descripcin general de App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Gestin de aplicaciones personalizadas o desconocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Prcticas recomendadas para utilizar App-ID en polticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Aplicaciones con compatibilidad implcita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Puertas de enlace de nivel de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 312
314
315
317
321
334
335
336
340
Descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Descripcin general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Conceptos de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inspeccin de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iv
347
348
350
352
353
429
429
430
431
432
433
438
438
439
440
441
442
443
VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Descripcin general de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interfaz de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisin de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intercambio de claves por red (IKE) para VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
466
466
466
467
467
471
471
473
476
479
481
482
483
483
488
494
vi
Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Implementaciones de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
Enrutadores virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Conceptos de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Configuracin de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Configuracin de OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Configuracin del reinicio correcto de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Confirmacin del funcionamiento de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Configuracin de sesin y tiempos de espera de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
Sesiones de capa de transporte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
UDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Configuracin de los tiempos de espera de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Definicin de la configuracin de sesin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Descripcin general de DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Mensajes DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578
vii
Direccin DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Restricciones a la implementacin en Palo Alto Networks del DHCP . . . . . . . . . . . . . . . . . . . . . . . .
Configure una interfaz como servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure una interfaz como cliente DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure una interfaz como agente de rel DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisin y resolucin de problemas de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
579
580
581
582
585
587
587
NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Objetivo del NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas NAT y polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT de origen y destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Capacidades de regla NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sobresuscripcin de NAT de IP dinmica y puerto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estadsticas de memoria NAT de plano de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
589
589
589
590
591
592
593
594
LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Ajustes LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Configuracin de LACP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605
Poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Tipos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Componentes de una regla de poltica de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
Prcticas recomendadas de polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Objetos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfil de proteccin contra ataques por denegacin de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupo de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
617
618
619
620
621
622
623
624
625
626
viii
634
634
638
638
639
640
641
641
642
642
644
ix
Primeros pasos
Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos de
prxima generacin de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red
y configurar polticas de seguridad bsicas y funciones de prevencin de amenazas.
Despus de realizar los pasos de configuracin bsicos necesarios para integrar el cortafuegos en su red, puede
utilizar el resto de los temas de esta gua como ayuda para implementar las completas funciones de la plataforma
de seguridad empresarial segn sea necesario para cubrir sus necesidades de seguridad de red.
Primeros pasos
Primeros pasos
Primeros pasos
Primeros pasos
Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el trfico de su red. El
Centro de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificar
informes de todos los cortafuegos que le permiten realizar anlisis, investigaciones e informes de forma
central sobre el trfico de red, los incidentes de seguridad y las modificaciones administrativas.
Los procedimientos de este documento describen cmo gestionar el cortafuegos usando la interfaz web local.
Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccin
Realizacin de la configuracin inicial de esta gua, verifique que el cortafuegos puede establecer una conexin
con Panorama. A partir de aqu, puede usar Panorama para configurar su cortafuegos de forma centralizada.
Primeros pasos
Primeros pasos
Paso 1
Paso 2
Paso 3
Paso 4
1.
2.
3.
4.
5.
Primeros pasos
Primeros pasos
Paso 5
Paso 6
Paso 7
Paso 8
1.
2.
3.
4.
1.
2.
3.
4.
5.
Paso 9
Primeros pasos
3.
4.
1.
2.
Primeros pasos
Primeros pasos
Primeros pasos
Paso 1
Paso 2
Paso 3
Primeros pasos
2.
3.
4.
5.
Primeros pasos
Paso 4
Configure la interfaz.
1.
2.
3.
4.
5.
6.
7.
8.
Primeros pasos
Primeros pasos
Paso 5
2.
Primeros pasos
3.
4.
5.
Primeros pasos
Paso 6
Paso 7
2.
3.
4.
10
Primeros pasos
Primeros pasos
Paso 1
Paso 2
Busque el nmero de serie y cpielo en el En el Panel, busque su nmero de serie en la seccin Informacin
portapapeles.
general de la pantalla.
Paso 3
Paso 4
Primeros pasos
11
Primeros pasos
Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del trfico descifrado desde
un cortafuegos y enviarlo a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de
paquetes sin formato (como NetWitness o Solera) para su archivado y anlisis.
Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir e
instalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o
BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso a
contenido web.
Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con mltiples sistemas virtuales
en los cortafuegos de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtuales
si desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por los
cortafuegos de las series PA-4000, PA-5000 y PA-7050 (el nmero bsico vara segn la plataforma). Las
series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.
WildFire: Aunque la licencia de prevencin de amenazas incluye asistencia bsica con WildFire, el servicio
de suscripcin a WildFire ofrece servicios mejorados para organizaciones que requieren cobertura inmediata
de las amenazas, habilitando actualizaciones de WildFire en fracciones de hora, reenvo de tipos de archivos
avanzados (APK, PDF, Microsoft Office y Java Applet), adems de la capacidad para cargar archivos usando
la API WildFire. Tambin se requiere una suscripcin a WildFire si sus cortafuegos van a reenviar archivos
a un dispositivo WF-500 WildFire privado.
Activacin de licencias
Paso 1
Paso 2
12
Primeros pasos
Primeros pasos
Paso 3
Paso 4
Comprobar que la licencia se ha activado En la pgina Dispositivo > Licencias, compruebe que la licencia se
correctamente
haya activado correctamente. Por ejemplo, tras activar la licencia de
WildFire, debera ver que la licencia es vlida:
Primeros pasos
13
Primeros pasos
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio
en la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estas
actualizaciones. Se publican nuevas firmas de antivirus todos los das.
Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir y evaluar
los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect. Debe tener
una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas actualizaciones.
Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtect funcione.
Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de
URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones.
Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una
licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automtica.
WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como
consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de
24 a 48 horas para que las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.
Si su cortafuegos no tiene acceso a Internet desde el puerto de gestin, puede descargar las actualizaciones
de contenido desde el portal de asistencia de Palo Alto Networks y cargarlas en su cortafuegos.
Si su cortafuegos est implementado detrs de cortafuegos o servidores proxy existentes, el acceso a estos
recursos externos puede restringirse empleando listas de control de acceso que permiten que el cortafuegos
acceda nicamente a un nombre de host o una direccin IP. En tales casos, para permitir el acceso a la CDN,
establezca la direccin del servidor de actualizaciones para usar el nombre de host
staticupdates.paloaltonetworks.com o la direccin IP 199.167.52.15.
14
Primeros pasos
Primeros pasos
Paso 1
Paso 2
Paso 3
Primeros pasos
15
Primeros pasos
Paso 4
Paso 5
1.
4.
16
5.
6.
7.
Primeros pasos
Primeros pasos
Paso 1
Paso 2
Paso 3
Descargar la actualizacin.
Instale la actualizacin.
1.
2.
Reinicie el cortafuegos:
Si se le pide que reinicie, haga clic en S.
Primeros pasos
17
Primeros pasos
Zona: No fiable
Zona: DMZ
Internet
Los siguientes temas describen los componentes del permetro de seguridad y proporcionan pasos para
configurar las interfaces del cortafuegos, definiendo zonas y estableciendo una poltica de seguridad bsica que
permite el trfico entre su zona interna e Internet y a la DMZ. Creando inicialmente una base de reglas de
poltica de seguridad bsica como esta, podr analizar el trfico que circula por su red y usar esta informacin
para definir polticas ms granulares para habilitar aplicaciones de forma segura y evitando amenazas.
Planificacin de la implementacin
Si usa direcciones IP privadas en sus redes internas, tambin necesitar configurar su traduccin de direcciones
de red (NAT); consulte en Redes los conceptos NAT y las tareas de configuracin.
18
Primeros pasos
Primeros pasos
Implementaciones de capa 2
Implementaciones de capa 3
Para obtener informacin ms detallada sobre la implementacin, consulte Designing Networks with Palo Alto
Networks cortafuegos (Diseo de redes con cortafuegos de Palo Alto Networks).
Implementaciones de capa 2
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms interfaces. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El firewall
ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.
Seleccione esta opcin cuando necesite poder alternar.
Para obtener ms informacin sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note
(Nota tcnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota tcnica sobre proteccin del
trfico entre VLAN).
Primeros pasos
19
Primeros pasos
Implementaciones de capa 3
En una implementacin de capa 3, el cortafuegos enruta el trfico entre puertos. Se debe asignar una direccin
IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando necesite
enrutamiento.
Debe asignar una direccin IP a cada interfaz de capa 3 fsica que configure. Tambin puede crear subinterfaces
lgicas para cada interfaz de capa 3 fsica que le permitan segregar el trfico de la interfaz basndose en el tag
de VLAN (cuando se utilice un enlace troncal de VLAN) o la direccin IP, por ejemplo, para la arquitectura
multiempresa.
Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento
dinmico (BGP, OSPF o RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales,
cada uno de los cuales mantendr un conjunto separado de rutas que no se comparten entre enrutadores
virtuales, lo que le permitir configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
El ejemplo de configuracin de este captulo muestra cmo integrar el cortafuegos en su red de capa 3 utilizando
rutas estticas. Para obtener informacin sobre otros tipos de integraciones de enrutamiento, consulte los
documentos siguientes:
How to Configure OSPF Tech Note (Nota tcnica sobre cmo configurar OSPF)
How to Configure BGP Tech Note (Nota tcnica sobre cmo configurar BGP)
20
Primeros pasos
Primeros pasos
Primeros pasos
21
Primeros pasos
Los diferentes tipos de perfiles de seguridad que pueden vincularse a polticas de seguridad son: Antivirus,
antispyware, proteccin de vulnerabilidades, filtrado de URL, bloqueo de archivos y filtrado de datos. El
cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Creacin de reglas de seguridad para obtener
informacin sobre el uso de los perfiles predeterminados de su poltica de seguridad. Cuando comprenda mejor
las necesidades de seguridad de su red, podr crear perfiles personalizados. Consulte Exploracin del trfico en
busca de amenazas para obtener ms informacin.
22
Primeros pasos
Primeros pasos
Planificacin de la implementacin
Antes de empezar a configurar las interfaces y zonas, dedique algo de tiempo a planificar las zonas que necesitar
basndose en los diferentes requisitos de uso de su organizacin. Adems, debera recopilar toda la informacin
de configuracin que necesitar de manera preventiva. A un nivel bsico, debera planificar qu interfaces
pertenecern a qu zonas. Para implementaciones de capa 3, tambin deber obtener las direcciones IP
obligatorias y la informacin de configuracin de red de su administrador de red, incluida la informacin sobre
cmo configurar el protocolo de enrutamiento o las rutas estticas obligatorias para la configuracin de
enrutador virtual. El ejemplo de este captulo se basar en la siguiente topologa:
Ilustracin: Ejemplo de topologa de capa 3
Zona DMZ
E1/12 10.1.1.1/24
Internet
Zona fiable
Zona no fiable
E1/4 192.168.1.4/24
E1/3 208.80.56.100/24
La siguiente tabla muestra la informacin que utilizaremos para configurar las interfaces de capa 3 y sus
correspondientes zonas, como se muestra en la topologa de muestra.
Zona
Tipos de implementacin
Interfaces
Ajustes de configuracin
No fiable
L3
Ethernet1/3
Fiable
L3
Ethernet1/4
DMZ
L3
Ethernet1/13
Primeros pasos
23
Primeros pasos
Paso 1
1.
2.
3.
4.
Paso 2
24
2.
3.
4.
5.
6.
7.
Primeros pasos
Primeros pasos
Paso 3
1.
Paso 4
5.
6.
7.
1.
2.
3.
4.
5.
6.
7.
Paso 5
Paso 6
Paso 7
Primeros pasos
25
Primeros pasos
26
Primeros pasos
Primeros pasos
Paso 1
3.
4.
5.
6.
7.
Primeros pasos
27
Primeros pasos
Paso 2
3.
4.
5.
6.
7.
Paso 3
3.
4.
5.
6.
28
Primeros pasos
Primeros pasos
Paso 4
1.
2.
3.
4.
5.
6.
Primeros pasos
29
Primeros pasos
Paso 5
1.
2.
3.
4.
Paso 6
30
5.
6.
Primeros pasos
Primeros pasos
Primeros pasos
31
Primeros pasos
32
Primeros pasos
Primeros pasos
Habilitacin de WildFire
Primeros pasos
33
Primeros pasos
Habilitacin de WildFire
El servicio WildFire como parte del producto base. El servicio WildFire permite que el cortafuegos reenve
archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier actividad
malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan automticamente
firmas de software malintencionado que estarn disponibles en las descargas diarias del antivirus en un plazo de
24-48 horas. Su suscripcin a la prevencin de amenazas le da derecho a actualizaciones de firmas de antivirus
que incluyen firmas detectadas por WildFire.
Considere adquirir el servicio de suscripcin a WildFire para obtener estas ventajas adicionales:
Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)
Reenvo de tipos de archivos avanzados (APK, Flash, PDF, Microsoft Office y Java Applet)
Habilitacin de WildFire
Paso 1
Paso 2
1.
2.
3.
1.
2.
34
3.
4.
Primeros pasos
Primeros pasos
Paso 3
Paso 4
1.
2.
3.
4.
5.
6.
2.
3.
Paso 5
Guarde la configuracin.
Paso 6
1.
2.
3.
Primeros pasos
35
Primeros pasos
predeterminado:
estricto:
Para garantizar que el trfico que entra en su red est libre de amenazas, incluya los perfiles predefinidos en sus
polticas bsicas de acceso web. Al supervisar el trfico en su red y ampliar su base de reglas de poltica, puede
disear perfiles ms granulares para hacer frente a sus necesidades de seguridad especficas.
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades
Paso 1
Paso 2
36
1.
2.
Primeros pasos
Primeros pasos
Paso 3
1.
3.
4.
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
Primeros pasos
37
Primeros pasos
Paso 4
1.
Paso 5
38
Guarde la configuracin.
Primeros pasos
Primeros pasos
Paso 1
Paso 2
1.
2.
3.
1.
2.
3.
4.
5.
6.
7.
Primeros pasos
39
Primeros pasos
Paso 3
2.
3.
Paso 4
Paso 5
1.
2.
3.
4.
5.
6.
40
Primeros pasos
Primeros pasos
Paso 1
Paso 2
1.
2.
1.
Paso 3
2.
3.
1.
Primeros pasos
41
Primeros pasos
Paso 4
1.
Paso 5
2.
1.
2.
3.
42
4.
5.
6.
Compile la configuracin.
Primeros pasos
Primeros pasos
Paso 6
2.
3.
4.
5.
6.
Paso 7
Guarde la configuracin.
Paso 8
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
nmero de ID para obtener ms informacin acerca de una amenaza.
Primeros pasos
43
Primeros pasos
Obtenga informacin sobre las diferentes Interfaces de gestin que estn a su disposicin y cmo acceder
a ellas y utilizarlas.
Configure la Alta disponibilidad: La alta disponibilidad (HA) es una configuracin en la que dos
cortafuegos se colocan en un grupo y su configuracin se sincroniza para prevenir el fallo de un nico
punto en su red. Una conexin de latido entre los peers del cortafuegos garantiza una conmutacin por
error sin problemas en el caso de que falle un peer. La configuracin de los cortafuegos en un clster de
dos dispositivos proporciona redundancia y le permite garantizar la continuidad empresarial.
Configuracin de la clave maestra: Cada cortafuegos de Palo Alto Networks tiene una clave maestra
predeterminada que cifra las claves privadas que se utilizan para autenticar administradores cuando
acceden a interfaces de gestin en el cortafuegos. La prctica recomendada para proteger las claves es
configurar la clave maestra en cada cortafuegos para que sea exclusiva.
Gestin de los administradores de cortafuegos: Cada cortafuegos y dispositivo de Palo Alto Networks
viene preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso
completo de lectura-escritura (tambin conocido como acceso de superusuario) al dispositivo. Es
recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las
funciones de administracin o informes del cortafuegos. Esto le permite proteger mejor el dispositivo de
la configuracin (o modificacin) no autorizada y registrar en logs las acciones de cada uno de los
administradores.
Habilite el Descifrado: Los cortafuegos de Palo Alto Networks ofrecen la capacidad de descifrar e
inspeccionar el trfico para lograr visibilidad, control y seguridad detallada. Utilice el descifrado en un
cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido confidencial,
escondido como trfico cifrado o de tnel.
Habilitacin de la recopilacin de DNS pasivo para mejorar la inteligencia contra amenazas: Habilite esta
funcin opcional para habilitar que el cortafuegos acte como un sensor DNS pasivo seleccione enviar
informacin DNS escogida a Palo Alto Networks para su anlisis a fin de mejorar la inteligencia de
amenazas y las funciones de prevencin de amenazas.
Siga las Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7.
44
Primeros pasos
Gestin de dispositivos
Los administradores pueden configurar, gestionar y supervisar los cortafuegos de Palo Alto Networks a travs
de la interfaz web, la CLI y las interfaces de gestin de la API. El acceso administrativo basado en funciones a
las interfaces de gestin puede personalizarse para delegar tareas o permisos especficos a determinados
administradores. Consulte los siguientes temas para obtener informacin sobre opciones de gestin de
dispositivos, incluido cmo empezar a utilizar las interfaces de gestin y cmo personalizar las funciones de
administrador:
Interfaces de gestin
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks
Gestin de dispositivos
45
Interfaces de gestin
Gestin de dispositivos
Interfaces de gestin
Los cortafuegos PAN-OS y Panorama ofrecen tres interfaces de usuario: una interfaz web, una interfaz de lnea
de comando (CLI) y una API de gestin basada en XML. Consulte los siguientes temas para saber cmo acceder
a cada una de las interfaces de gestin de dispositivos y cmo empezar a utilizarlas:
Uso de la interfaz web para realizar tareas administrativas y generar informes desde la interfaz web con
relativa facilidad. Esta interfaz grfica le permite acceder al cortafuegos con HTTPS y es la mejor forma de
realizar tareas administrativas.
Uso de la interfaz de lnea de comandos (CLI) para escribir los comandos con rapidez para realizar una serie
de tareas. La CLI es una interfaz sencilla que admite dos modos de comandos, cada uno de los cuales con su
propia jerarqua de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis de
los comandos, la CLI permite tiempos de respuesta rpidos y ofrece eficacia administrativa.
Uso de la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes
desarrollados internamente. La API XML se proporciona como servicio web implementado usando
solicitudes y respuestas de HTTP/HTTPS.
46
Gestin de dispositivos
Gestin de dispositivos
Interfaces de gestin
Compilacin de cambios
Campos obligatorios
Bloqueo de transacciones
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
Abra un explorador de Internet e introduzca la direccin IP del cortafuegos. Introduzca sus credenciales de
usuario. Si inicia sesin en el cortafuegos por primera vez, escriba el administrador predeterminado (admin) en
los campos Nombre y Contrasea.
Para ver informacin sobre cmo utilizar una pgina especfica y una explicacin de los campos y opciones de
la pgina, haga clic en el icono Ayuda
del rea superior derecha de la pgina para abrir el sistema de ayuda
en lnea. Adems de mostrar ayuda contextual de una pgina, al hacer clic en el icono Ayuda se muestra un panel
de navegacin de ayuda con opciones para examinar todo el contenido de la ayuda y buscar en l.
Para mostrar los elementos del men para una categora de funciones general, haga clic en la pestaa, como
Objetos o Dispositivo, junto a la parte superior de la ventana del explorador.
Gestin de dispositivos
47
Interfaces de gestin
Gestin de dispositivos
Para mostrar los elementos del men secundario, haga clic en el icono
a la izquierda de un elemento. Para
ocultar elementos del men secundario, haga clic en el icono
a la izquierda del elemento.
En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un nuevo elemento.
Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en Eliminar. En la
mayora de los casos, el sistema le solicita confirmar haciendo clic en ACEPTAR o cancelar la eliminacin
haciendo clic en Cancelar.
En algunas pginas de configuracin, puede seleccionar la casilla de verificacin de un elemento y hacer clic
en Duplicar para crear un nuevo elemento con la misma informacin que el elemento seleccionado.
Para ver la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior derecha de la pgina. La
ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio,
mensajes asociados y acciones. Use el men desplegable Mostrar para filtrar la lista de tareas.
48
Gestin de dispositivos
Gestin de dispositivos
Interfaces de gestin
El lenguaje de la interfaz web se controla mediante el lenguaje actual del ordenador que gestiona el
dispositivo si no se ha definido una preferencia de lenguaje especfico. Por ejemplo, si el equipo que utiliza
para gestionar el cortafuegos tiene como idioma establecido el espaol, cuando inicia sesin en el
cortafuegos, la interfaz web estar en espaol.
Para especificar el lenguaje que siempre se usar para una cuenta especfica de la configuracin regional del
ordenador, haga clic en el icono Idioma en la esquina inferior derecha de la pgina para que se abra la ventana
Preferencia de idioma. Haga clic en el men desplegable para seleccionar el lenguaje deseado y haga clic en
ACEPTAR para guardar sus cambios.
En las pginas que muestran la informacin que puede modificar (por ejemplo, la pgina Configuracin en la
pestaa Dispositivos), haga clic en el icono de la esquina superior derecha de una seccin para editar los ajustes.
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para almacenar los cambios.
Cuando hace clic en ACEPTAR, la configuracin actual de candidato se actualiza.
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo Compilar.
Gestin de dispositivos
49
Interfaces de gestin
Gestin de dispositivos
Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en el enlace Avanzado, si
es necesario, para mostrar las opciones:
operacin de compilacin.
Incluir configuracin de objeto compartido: (solo cortafuegos de sistemas virtuales) Incluir los cambios de
configuracin de objetos compartidos en la operacin de compilacin.
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios de configuracin de
objetos y polticas en la operacin de compilacin.
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos paneles que muestra los
Campos obligatorios
Los campos obligatorios se muestran con un fondo amarillo claro. Cuando pasa el ratn o hace clic en el rea
de entrada del campo, aparece un mensaje indicando que el campo es obligatorio.
50
Gestin de dispositivos
Gestin de dispositivos
Interfaces de gestin
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un
conjunto actual de transacciones y de ese modo evitar cambios de configuracin o compilacin de informacin
por otro administrador hasta que se elimine el bloqueo. Se permiten los siguientes tipos de bloqueo:
Bloqueo de configuracin:
Bloqueo de compilacin:
Bloquea los cambios de compilacin por parte de otros administradores hasta que
se liberen todos los bloqueos. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando
dos administradores estn realizando cambios a la vez y el primer administrador finaliza y compila cambios
antes de que finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios actuales
por el administrador que aplic el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones actuales que estn
bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono desbloqueado en la barra superior para abrir el cuadro
de dilogo Bloqueos. Haga clic en Aplicacin de un bloqueo, seleccione el mbito del bloqueo desde la lista
desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales como sea necesario y vuelva a hacer clic en
Cerrar para cerrar el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado que muestra el
nmero de elementos bloqueados en las parntesis.
Para desbloquear una transaccin, haga clic en el icono bloqueado en la barra superior para abrir la ventana
Bloqueos. Haga clic en el icono
del bloqueo que quiere quitar y haga clic en S para confirmar. Haga clic en
Cerrar para cerrar el cuadro de dilogo Bloqueo.
Puede organizar la adquisicin de un bloqueo de compilacin de forma automtica seleccionando la casilla de
verificacin Adquirir bloqueo de compilacin automticamente en el rea de administracin de la pgina
Configuracin de dispositivo.
Gestin de dispositivos
51
Interfaces de gestin
Gestin de dispositivos
Para obtener ms informacin sobre la CLI, consulte la Gua de referencia de la interfaz de lnea de comandos de PAN-OS.
1.
2.
3.
4.
Para introducir el modo de configuracin desde el modo operativo, use el comando configure:
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#
52
Gestin de dispositivos
Gestin de dispositivos
Interfaces de gestin
Para salir del modo de configuracin y regresar al modo de operacin, use el comando abandonar o el
comando salir:
username@hostname# quit
Exiting configuration mode
username@hostname>
Para introducir un comando de modo operativo cuando se est en el modo de configuracin, use el comando
run, por ejemplo:
username@hostname# run ping host 1.1.1.2
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#
Para dirigir un comando de modo operativo a un VSYS particular, especifique el VSYS de destino con el
siguiente comando:
username@hostname# set system setting target-vsys <nombre_vsys>
Gestin de dispositivos
53
Interfaces de gestin
Gestin de dispositivos
http(s)://hostname/esp/restapi.esp?request-parameters-values
http(s)://hostname/api/?request-parameters-values
Existen diferentes API para productos PAN-OS, User-ID y WildFire. Para obtener ms informacin sobre
cmo utilizar la interfaz de la API, consulte la PAN-OS XML API Usage Guide (Gua de uso de la API XML
de PAN-OS). Para acceder a la comunidad en lnea para desarrollar secuencias de comandos, visite:
https://live.paloaltonetworks.com/community/devcenter.
54
Gestin de dispositivos
Gestin de dispositivos
Interfaces de gestin
Paso 1
Paso 2
5.
6.
7.
8.
Paso 3
1.
2.
Para PAN-OS 4.1.0 y versiones
posteriores, cada vez que se genera una
clave de API con las mismas credenciales 3.
de cuenta de administrador, se devuelven
claves de API exclusivas; adems, todas
las claves son vlidas.
4.
Puede decidir revocar y, a continuacin,
cambiar una clave de API asociada a una
cuenta de administrador cambiando la
contrasea asociada a la cuenta de
administrador. Las claves de API
generadas con las credenciales anteriores
dejarn de ser vlidas.
Solicite una clave de API introduciendo la URL con los valores adecuados en un explorador web:
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
Al introducir la URL, aparecer un bloque XML que contiene la clave de API:
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Siga utilizando la clave de API para crear solicitudes de la API. Por ejemplo, para generar un informe:
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&reportname
=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM6A=
Gestin de dispositivos
55
Gestin de dispositivos
Los siguientes temas describen las diversas formas de configurar cuentas administrativas y ofrecen
procedimientos para configurar accesos administrativos bsicos:
Funciones administrativas
Autenticacin administrativa
Funciones administrativas
El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su
organizacin, de que tenga servicios de autenticacin previos que desee integrar y del nmero de funciones
administrativas que necesite. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado.
Se pueden asignar dos tipos de funciones:
Funciones dinmicas: Funciones integradas que proporcionan acceso al cortafuegos en las categoras de
superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo
lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones
dinmicas solo tendr que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas
caractersticas cuando las funciones se actualizan automticamente.
Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer
un control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por
ejemplo, podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione
acceso a las reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los
administradores de seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e
informes. Tenga en cuenta que con los perfiles de funcin de administrador deber actualizar los perfiles
para asignar privilegios de forma explcita para nuevos componentes/caractersticas que se aadan al
producto. Si desea informacin sobre los privilegios que puede configurar para las funciones de
administrador personalizado, consulte Referencia: acceso de administrador a la interfaz web.
56
Gestin de dispositivos
Gestin de dispositivos
Autenticacin administrativa
Hay cuatro formas de autenticar a usuarios administrativos:
Cuenta de administrador local con autenticacin local: Tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticacin son locales para el cortafuegos. Puede aadir un nivel
de proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un
perodo de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el
dispositivo.
Cuenta de administrador local con autenticacin basada en SSL: Con esta opcin, puede crear las
cuentas de administrador en el cortafuegos, pero la autenticacin se basa en certificados SSH (para acceso a
CLI) o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte el artculo How to
Configure Certificate-based Authentication for the WebUI (Cmo configurar la autenticacin basada en certificados
para la IU web) para obtener informacin sobre cmo configurar este tipo de acceso administrativo.
Cuenta de administrador local con autenticacin externa: Las cuentas de administrador se gestionan en
el cortafuegos local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo
de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga
referencia al perfil.
Gestin de dispositivos
57
Gestin de dispositivos
Paso 1
Complete los siguientes pasos para cada funcin que desee crear:
1. Seleccione Dispositivo > Funciones de administrador y, a
continuacin, haga clic en Aadir.
2.
3.
58
Gestin de dispositivos
Gestin de dispositivos
Paso 2
Paso 3
Gestin de dispositivos
2.
3.
4.
5.
59
Gestin de dispositivos
Paso 4
4.
5.
Paso 5
60
6.
7.
1.
Gestin de dispositivos
Gestin de dispositivos
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Panel
No
ACC
No
Gestin de dispositivos
61
Nivel de acceso
Descripcin
Supervisar
Gestin de dispositivos
Solo
lectura
Deshabilitar
S
Controla el acceso a la pestaa Supervisar. Si
deshabilita este privilegio, el administrador no ver la
pestaa Supervisar ni tendr acceso a ninguno de los
logs, capturas de paquetes, informacin de sesin,
informes o Appscope. Para obtener un control ms
detallado sobre qu informacin de supervisin puede
ver el administrador, deje la opcin Supervisar
habilitada y, a continuacin, habilite o deshabilite nodos
especficos en la pestaa como se describe en Acceso
detallado a la pestaa Supervisar.
No
Polticas
No
Objetos
No
Red
No
62
Habilitar
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Dispositivo
S
Controla el acceso a la pestaa Dispositivo. Si
deshabilita este privilegio, el administrador no ver la
pestaa Dispositivo ni tendr acceso a ninguna
informacin de configuracin de todo el dispositivo,
como informacin de configuracin de User-ID, alta
disponibilidad, perfil de servidor o certificado. Para
obtener un control ms detallado sobre qu objetos
puede ver el administrador, deje la opcin Objetos
habilitada y, a continuacin, habilite o deshabilite nodos
especficos en la pestaa como se describe en Acceso
detallado a la pestaa Dispositivo.
Solo
lectura
Deshabilitar
No
Descripcin
Disponibilidad de la
Habilitar
funcin de administrador
Supervisar
Cortafuegos: S
Gestin de dispositivos
Lectura DeshaSolo
bilitar
No
Panorama: S
Plantilla/grupo de
dispositivos: S
63
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de la
Habilitar
funcin de administrador
Logs
Cortafuegos: S
Trfico
Lectura DeshaSolo
bilitar
No
No
No
No
Panorama: S
Plantilla/grupo de
dispositivos: S
Amenaza
Panorama: S
Plantilla/grupo de
dispositivos: S
Envos a
WildFire
No
Filtrado de
datos
No
No
Plantilla/grupo de
dispositivos: S
Coincidencias
HIP
64
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: S
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de la
Habilitar
funcin de administrador
Configuracin
Lectura DeshaSolo
bilitar
No
No
No
No
No
Plantilla/grupo de
dispositivos: No
Sistema
Alarmas
Captura de
paquetes
Appscope
Explorador de
sesin
Cortafuegos: S
Panorama: No
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Cortafuegos: S
Gestin de dispositivos
Panorama: S
Plantilla/grupo de
dispositivos: S
Panorama: No
Plantilla/grupo de
dispositivos: No
65
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de la
Habilitar
funcin de administrador
Botnet
Cortafuegos: S
Informes en
PDF
Gestionar
resumen de
PDF
Informes de
resumen en
PDF
66
Lectura DeshaSolo
bilitar
No
No
Panorama: No
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de la
Habilitar
funcin de administrador
Informe de
actividad del
usuario
Cortafuegos: S
Grupos de
informes
Programador
de correo
electrnico
Gestin de dispositivos
Lectura DeshaSolo
bilitar
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
67
Nivel de
acceso
Descripcin
Gestin de dispositivos
Disponibilidad de la
Habilitar
funcin de administrador
Gestionar
Habilita o deshabilita el acceso a toda la Cortafuegos: S
informes
funcionalidad de informe personalizado. Panorama: S
personalizados Tambin puede dejar este privilegio
Lectura DeshaSolo
bilitar
No
No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Log de filtrado
de datos
No
Registro de
amenaza
No
No
Resumen de
amenaza
68
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de la
Habilitar
funcin de administrador
Registro de
trfico
Cortafuegos: S
Lectura DeshaSolo
bilitar
No
No
No
No
Ver informes
Especifica si el administrador puede ver Cortafuegos: S
personalizados un informe personalizado que se haya
Panorama: S
programados
programado para su generacin.
No
No
No
No
Resumen de
trfico
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Registro de Url
Coincidencia
HIP
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Plantilla/grupo de
dispositivos: No
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Gestin de dispositivos
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
69
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de la
Habilitar
funcin de administrador
Vista
predefinida
Informes de
trfico
Cortafuegos: S
Lectura DeshaSolo
bilitar
No
Panorama: S
Plantilla/grupo de
dispositivos: No
Descripcin
Seguridad
NAT
70
Habilitar
Solo
lectura
Deshabilitar
S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de polticas
de seguridad. Establezca el privilegio como de solo
lectura si desea que el administrador pueda ver las
reglas, pero no modificarlas. Para impedir que el
administrador vea la base de reglas de polticas de
seguridad, deshabilite este privilegio.
S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de poltica
NAT. Establezca el privilegio como de solo lectura
si desea que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que el
administrador vea la base de reglas de poltica NAT,
deshabilite este privilegio.
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
QoS
Reenvo basado en
polticas
Descifrado
Solo
lectura
Deshabilitar
S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de poltica
de QoS. Establezca el privilegio como de solo lectura si
desea que el administrador pueda ver las reglas, pero no
modificarlas. Para impedir que el administrador vea la
base de reglas de poltica de QoS, deshabilite este
privilegio.
S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de poltica
de descifrado. Establezca el privilegio como de solo
lectura si desea que el administrador pueda ver las
reglas, pero no modificarlas. Para impedir que el
administrador vea la base de reglas de poltica de
descifrado, deshabilite este privilegio.
S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de poltica
de portal cautivo. Establezca el privilegio como de solo
lectura si desea que el administrador pueda ver las
reglas, pero no modificarlas. Para impedir que el
administrador vea la base de reglas de poltica de portal
cautivo, deshabilite este privilegio.
Habilitar
Gestin de dispositivos
71
Gestin de dispositivos
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Direcciones
Grupos de direcciones
S
Especifica si el administrador puede ver, aadir o
eliminar objetos de grupos de direcciones para su uso
en una poltica de seguridad.
Regiones
S
Especifica si el administrador puede ver, aadir o
eliminar objetos de regiones para su uso en una poltica
de seguridad, de descifrado o DoS.
Aplicaciones
Grupos de aplicaciones
S
Especifica si el administrador puede ver, aadir o
eliminar objetos de grupos de aplicaciones para su uso
en una poltica.
Filtros de aplicacin
Servicios
S
Especifica si el administrador puede ver, aadir o
eliminar objetos de servicio para su uso en la creacin
de polticas que limiten los nmeros de puertos que
puede utilizar una aplicacin.
Grupos de servicios
S
Especifica si el administrador puede ver, aadir o
eliminar objetos de grupos de servicios para su uso en
una poltica de seguridad.
72
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
dispositivo.
GlobalProtect
No
Objetos HIP
S
Especifica si el administrador puede ver, aadir o
eliminar objetos HIP, que se utilizan para definir
perfiles HIP. Los objetos HIP tambin generan logs de
coincidencias HIP.
Perfiles HIP
S
Especifica si el administrador puede ver, aadir o
eliminar perfiles HIP para su uso en una poltica de
seguridad y/o para generar logs de coincidencias HIP.
Objetos personalizados
S
Especifica si el administrador puede ver las firmas
personalizadas de spyware y vulnerabilidad. Puede
restringir el acceso para habilitar o deshabilitar el acceso
a todas las firmas personalizadas a este nivel, o bien
proporcionar un control ms detallado habilitando el
privilegio Objetos personalizados y, a continuacin,
restringiendo el acceso a cada tipo de firma.
No
Patrones de datos
Spyware
S
Especifica si el administrador puede ver, aadir o
eliminar firmas de spyware personalizadas para su uso
en la creacin de perfiles de proteccin contra
vulnerabilidades personalizados.
Vulnerabilidades
Categora de URL
S
Especifica si el administrador puede ver, aadir o
eliminar categoras de URL personalizadas para su uso
en una poltica.
Gestin de dispositivos
73
Nivel de acceso
Descripcin
Perfiles de seguridad
Antivirus
Gestin de dispositivos
Solo
lectura
Deshabilitar
S
Especifica si el administrador puede ver perfiles de
seguridad. Puede restringir el acceso para habilitar o
deshabilitar el acceso a todos los perfiles de seguridad a
este nivel, o bien proporcionar un control ms
detallado habilitando el privilegio Perfiles de seguridad
y, a continuacin, restringiendo el acceso a cada tipo de
perfil.
No
Antispyware
Proteccin de
vulnerabilidades
S
Especifica si el administrador puede ver, aadir o
eliminar perfiles de proteccin contra vulnerabilidades.
Filtrado de URL
Bloqueo de archivo
Filtrado de datos
Grupos de perfiles de
seguridad
Reenvo de logs
Perfil de descifrado
Programaciones
S
Especifica si el administrador puede ver, aadir o
eliminar programaciones para limitar una poltica de
seguridad a una fecha y/o rango de tiempo especfico.
74
Habilitar
Gestin de dispositivos
Gestin de dispositivos
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Interfaces
Zonas
VLAN
Cables virtuales
Enrutadores virtuales
Tneles de IPSec
DHCP
Proxy DNS
GlobalProtect
S
Especifica si el administrador puede ver, aadir o
modificar configuraciones de portal y puerta de enlace
de GlobalProtect. Puede deshabilitar el acceso a las
funciones de GlobalProtect por completo, o bien
puede habilitar el privilegio GlobalProtect y, a
continuacin, restringir la funcin a las reas de
configuracin del portal o de la puerta de enlace.
No
Portales
Puertas de enlace
Gestin de dispositivos
75
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
MDM
No
S
Controla el acceso al nodo Perfiles de red >
Criptogrfico de IPSec. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de red >
Criptogrfico de IPSec ni especificar protocolos y
algoritmos para la identificacin, autenticacin y
cifrado en tneles de VPN basndose en la negociacin
de SA de IPSec.
QoS
Perfiles de red
Puertas de enlace de IKE Controla el acceso al nodo Perfiles de red > Puertas
de enlace de IKE. Si deshabilita este privilegio, el
administrador no ver el nodo Puertas de enlace de
IKE ni definir puertas de enlace que incluyan la
76
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Supervisar
S
Controla el acceso al nodo Perfiles de red >
Supervisar. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de red >
Supervisar ni podr crear o editar un perfil de
supervisin que se utilice para supervisar tneles de
IPSec y supervisar un dispositivo de siguiente salto para
reglas de reenvo basado en polticas (PBF).
Solo
lectura
Deshabilitar
Proteccin de zona
S
Controla el acceso al nodo Perfiles de red >
Proteccin de zonas. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de red >
Proteccin de zonas ni podr configurar un perfil que
determine cmo responde el cortafuegos ante ataques
desde zonas de seguridad especificadas.
Gestin de dispositivos
77
Gestin de dispositivos
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Configuracin
No
No
No
Funciones de
administrador
Administradores
78
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Sistemas virtuales
Origen de informacin
de VM
Gestin de dispositivos
79
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Alta disponibilidad
S
Controla el acceso al nodo Alta disponibilidad.
Si deshabilita este privilegio, el administrador no
ver el nodo Alta disponibilidad ni tendr acceso
a informacin de configuracin de alta disponibilidad
de todo el dispositivo, como informacin de
configuracin general o supervisin de enlaces y rutas.
Solo
lectura
Deshabilitar
No
Certificados
OCSP responder
80
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Pginas de respuesta
No
Sistema
S
Controla el acceso al nodo Configuracin de log >
Sistema. Si deshabilita este privilegio, el administrador
no ver el nodo Configuracin de log > Sistema ni
S
Controla el acceso al nodo Configuracin de log >
Configuracin. Si deshabilita este privilegio, el
administrador no ver el nodo Configuracin de log >
Configuracin ni podr especificar las entradas de logs
Gestin de dispositivos
81
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Coincidencias HIP
S
Controla el acceso al nodo Configuracin de log >
Coincidencias HIP. Si deshabilita este privilegio, el
administrador no ver el nodo Configuracin de log >
Coincidencias HIP ni podr especificar los ajustes de
log de coincidencias de perfil de informacin de host
(HIP) que se utilizan para proporcionar informacin
sobre polticas de seguridad que se aplican a clientes de
GlobalProtect.
Solo
lectura
Deshabilitar
No
S
Controla el acceso al nodo Configuracin de log >
Alarmas. Si deshabilita este privilegio, el administrador
no ver el nodo Configuracin de log > Alarmas ni
podr configurar notificaciones que se generan cuando
una regla de seguridad (o un grupo de reglas) se
incumple repetidas veces en un perodo de tiempo
establecido.
S
Controla el acceso al nodo Configuracin de log >
Gestionar logs. Si deshabilita este privilegio, el
administrador no ver el nodo Configuracin de log >
Gestionar logs ni podr borrar los logs indicados.
82
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Traps SNMP
S
Controla el acceso al nodo Perfiles de servidor >
Traps SNMP. Si desactiva este privilegio, el
administrador no ver el nodo Perfiles de servidor >
Traps SNMP ni podr especificar uno o ms destinos
de trap SNMP que deben usarse para las entradas de
log de sistema.
Solo
lectura
Deshabilitar
S
Controla el acceso al nodo Perfiles de servidor >
Syslog. Si desactiva este privilegio, el administrador no
ver el nodo Perfiles de servidor > Syslog ni podr
especificar uno o ms servidores de syslog.
S
Controla el acceso al nodo Perfiles de servidor >
Correo electrnico. Si desactiva este privilegio, el
administrador no ver el nodo Perfiles de servidor >
Correo electrnico ni podr especificar un perfil de
correo electrnico que pueda usarse para activar una
notificacin de correo electrnico para las entradas de
log de sistema y configuracin.
Gestin de dispositivos
83
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
RADIUS
S
Controla el acceso al nodo Perfiles de servidor >
LDAP. Si desactiva este privilegio, el administrador no
ver el nodo Perfiles de servidor > LDAP ni podr
configurar los ajustes para los servidores LDAP que se
usar para la autenticacin mediante los perfiles de
autenticacin.
No
S
Controla el acceso al nodo Perfiles de servidor >
Kerberos. Si desactiva este privilegio, el administrador
no ver el nodo Perfiles de servidor > Kerberos ni
podr configurar un servidor Kerberos que permite a
los usuarios para autenticarse nativamente en un
controlador de dominios.
84
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Usuarios
Solo
lectura
Deshabilitar
Perfil de autenticacin
S
Controla el acceso al nodo Perfil de autenticacin.
Si deshabilita este privilegio, el administrador no ver
el nodo Perfil de autenticacin ni podr crear o
editar perfiles de autenticacin que especifiquen ajustes
de base de datos local, RADIUS, LDAP o Kerberos
que se pueden asignar a cuentas de administrador.
S
Controla el acceso al nodo Secuencia de
autenticacin. Si deshabilita este privilegio, el
administrador no ver el nodo Secuencia de
autenticacin ni podr crear o editar una secuencia de
autenticacin.
Gestin de dispositivos
85
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Dominio de acceso
S
Controla el acceso al nodo Programacin de la
exportacin de logs. Si deshabilita este privilegio, el
administrador no ver el nodo Programacin de la
exportacin de logs ni podr programar exportaciones
de logs y guardarlas en un servidor File Transfer
Protocol (FTP) en formato CSV o usar Secure Copy
(SCP) para transferir datos de forma segura entre el
dispositivo y un host remoto.
No
Cliente de GlobalProtect
86
Gestin de dispositivos
Gestin de dispositivos
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Actualizaciones
dinmicas
S
Controla el acceso al nodo Asistencia tcnica. Si
deshabilita este privilegio, el administrador no ver el
nodo Asistencia tcnica, no podr acceder a alertas de
productos y seguridad de Palo Alto Networks ni
generar archivos de asistencia tcnica o de volcado de
estadsticas.
Asistencia tcnica
S
Controla el acceso al nodo Clave maestra y
diagnstico. Si deshabilita este privilegio, el
administrador no ver el nodo Clave maestra y
diagnstico ni podr especificar una clave maestra para
cifrar claves privadas en el cortafuegos.
Gestin de dispositivos
87
Gestin de dispositivos
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Privacidad
N/D
Mostrar direcciones IP
completas
S
Cuando se establece como deshabilitado, las
direcciones IP completas obtenidas a travs del trfico
que pasa por el cortafuegos de Palo Alto Networks no
se muestran en logs ni informes. En lugar de las
direcciones IP que suelen mostrarse, aparecer la
subred relevante.
N/D
N/D
N/D
88
Gestin de dispositivos
Gestin de dispositivos
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Compilar
N/D
Habilitar
Solo
lectura
Deshabilitar
Descripcin
Global
S
Establece el estado predeterminado para habilitar o
deshabilitar para todos los ajustes globales descritos a
continuacin. En este momento, este ajuste solamente
es efectivo para Alarmas del sistema.
N/D
N/D
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Configuracin
S
Panorama: S
Especifica si el administrador puede
visualizar o editar la informacin de
Plantilla/grupo de
configuracin Panorama, como Gestin,
dispositivos: No
Operaciones, Servicios, WildFire o HSM.
Solo
lectura
Deshabilitar
Gestin de dispositivos
89
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Plantillas
Panorama: S
Solo
lectura
Deshabilitar
No
Panorama: S
Plantilla/grupo de
dispositivos: No
Panorama: S
Especifica si el administrador puede ver,
aadir, editar, etiquetar o eliminar
Plantilla/grupo de
cortafuegos como dispositivos gestionados, dispositivos: S
e instalar actualizaciones de contenido o
software en ellos.
Si define este privilegio como de solo
lectura, el administrador puede ver los
cortafuegos gestionados pero no aadir,
eliminar, etiquetar ni instalar
actualizaciones.
90
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Solo
lectura
Deshabilitar
Grupos de
dispositivos
Panorama: S
Recopiladores
gestionados
Panorama: S
Plantilla/grupo de
dispositivos: No
Panorama: S
Plantilla/grupo de
dispositivos: No
Gestin de dispositivos
91
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Funciones de
administrador
No
Especifica si el administrador puede ver las Panorama: S
funciones de administrador de Panorama. Plantilla/grupo de
No puede activar el acceso completo a esta dispositivos: No
funcin: solo un acceso de solo lectura.
(Solo los administradores con Panorama
con una funcin dinmica pueden aadir,
editar o eliminar funciones personalizadas
de Panorama.) Con un acceso de solo
lectura, el administrador puede ver
configuraciones de funcin de
administrador de Panorama, pero no puede
configurarlas.
Solo
lectura
Deshabilitar
No
Especifica si el administrador puede ver los Panorama: S
detalles de la cuenta de administrador de
Plantilla/grupo de
Panorama.
dispositivos: No
No puede activar el acceso completo a esta
funcin: solo un acceso de solo lectura.
(Solo los administradores con Panorama
con una funcin dinmica pueden aadir,
editar o eliminar administradores de
Panorama.) Con un acceso de solo lectura,
el administrador puede ver la informacin
sobre su cuenta, pero ninguna otra cuenta
de administrador de Panorama.
Panorama: S
Plantilla/grupo de
dispositivos: No
92
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Administrador
de servicios
VMware
S
Especifica si el administrador puede ver y Panorama: S
editar ajustes de VMware Service Manager. Plantilla/grupo de
Si define este privilegio como de solo
dispositivos: No
lectura, el administrador puede ver los
ajustes pero no realizar ningn
procedimiento operativo o de
configuracin relacionado.
Solo
lectura
Deshabilitar
S
Define el estado predeterminado, activado Panorama: S
o desactivado de todos los privilegios de
Plantilla/grupo de
gestin de certificados de Panorama.
dispositivos: No
No
Certificados
S
Panorama: S
Especifica si el administrador puede ver,
editar, generar, eliminar, revocar, renovar o Plantilla/grupo de
exportar certificados. Este privilegio
dispositivos: No
tambin especifica si el administrador
puede importar o exportar claves HA.
No
S
Panorama: S
Especifica si el administrador puede ver,
aadir, editar, eliminar o clonar los perfiles Plantilla/grupo de
de certificados de Panorama.
dispositivos: No
Si define este privilegio como de solo
lectura, el administrador puede ver los
perfiles de certificados de Panorama, pero
no gestionarlos.
S
Define el estado predeterminado, activado Panorama: S
o desactivado de todos los privilegios de
Plantilla/grupo de
ajuste de logs.
dispositivos: No
Gestin de dispositivos
93
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Solo
lectura
Deshabilitar
Sistema
Panorama: S
S
Especifica si el administrador puede ver y Panorama: S
configurar los ajustes que controlan el
Plantilla/grupo de
reenvo de los logs de configuracin tema a dispositivos: No
servicios externos (Syslog, correo
electrnico o servidores trap SNMP).
Plantilla/grupo de
dispositivos: No
94
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Solo
lectura
Deshabilitar
Coincidencias
HIP
Panorama: S
Plantilla/grupo de
dispositivos: No
Panorama: S
Plantilla/grupo de
dispositivos: No
Gestin de dispositivos
95
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Solo
lectura
Deshabilitar
Amenaza
Panorama: S
Plantilla/grupo de
dispositivos: No
Panorama: S
Plantilla/grupo de
dispositivos: No
96
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Perfiles de
servidor
Traps SNMP
Disponibilidad de Habilitar
la funcin de
administrador
Solo
lectura
Deshabilitar
S
Define el estado predeterminado, activado Panorama: S
o desactivado de todos los privilegios de
Plantilla/grupo de
perfil de servidor.
dispositivos: No
Estos privilegios solo pertenecen a
los perfiles de servidor que se usan
para reenviar logs que Panorama
genera o recopila de cortafuegos y
los perfiles de servidor que se usan
para autenticar a los
administradores de Panorama. Las
pginas Dispositivo > Perfiles de
servidor controlan los perfiles de
servidor que se usan para reenviar
logs directamente desde los
cortafuegos a servicios externos
(sin agregacin en Panorama) y para
autenticar administradores de
cortafuegos.
No
Panorama: S
Plantilla/grupo de
dispositivos: No
Panorama: S
Plantilla/grupo de
dispositivos: No
Gestin de dispositivos
97
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Solo
lectura
Deshabilitar
Correo
electrnico
Panorama: S
S
Especifica si el administrador puede ver y Panorama: S
configurar los perfiles de servidor RADIUS Plantilla/grupo de
que se usan para autenticar a los
dispositivos: No
administradores de Panorama.
S
Especifica si el administrador puede ver y Panorama: S
configurar los perfiles de servidor Kerberos Plantilla/grupo de
que se usan para autenticar a los
dispositivos: No
administradores de Panorama.
Plantilla/grupo de
dispositivos: No
Panorama: S
Plantilla/grupo de
dispositivos: No
98
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Solo
lectura
Deshabilitar
Perfil de
autenticacin
S
Panorama: S
Especifica si el administrador puede ver,
aadir, editar, eliminar o clonar los perfiles Plantilla/grupo de
de autenticacin de los administradores de dispositivos: No
Panorama.
S
Panorama: S
Especifica si el administrador puede ver,
aadir, editar, eliminar o clonar los
Plantilla/grupo de
dominios de acceso de los administradores dispositivos: No
de Panorama.
Panorama: S
Plantilla/grupo de
dispositivos: No
Gestin de dispositivos
99
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Solo
lectura
Deshabilitar
Exportacin de
configuracin
programada
Panorama: S
No
S
Panorama: S
Especifica si el administrador puede: ver
informacin sobre las actualizaciones de
Plantilla/grupo de
software de Panorama; descargar, cargar o dispositivos: No
instalar actualizaciones; y ver las notas de la
versin asociadas.
Plantilla/grupo de
dispositivos: No
100
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Solo
lectura
Deshabilitar
S
Panorama: S
Especifica si el administrador puede: ver
informacin de asistencia de Panorama,
Plantilla/grupo de
alertas de productos y de seguridad; activar dispositivos: No
una licencia de asistencia, generar archivos
de asistencia tecnolgica y gestionar casos.
Disponibilidad de Habilitar
la funcin de
administrador
Panorama: S
Plantilla/grupo de
contenido de Panorama (por ejemplo,
dispositivos: No
actualizaciones de WildFire); descargar,
cargar, instalar o revertir las actualizaciones;
y ver las notas de la versin asociadas.
Si define este privilegio como de solo
lectura, el administrador puede ver
informacin sobre las actualizaciones de
contenido de Panorama y ver las notas de
versin asociadas, pero no puede realizar
ninguna operacin relacionada.
Si desactiva este privilegio, el administrador
no puede ver las actualizaciones de
contenido de Panorama, consulte las notas
de versin asociadas o realizar ninguna
operacin relacionada.
Este privilegio solo pertenece al
contenido instalado en un servidor
de gestin de Panorama. La pgina
Panorama > Implementacin de
dispositivo > Actualizaciones
dinmicas controla el acceso a las
actualizaciones de contenido
implementadas en los cortafuegos y
los recopiladores de log dedicados.
Asistencia
tcnica
Gestin de dispositivos
101
Nivel de
acceso
Descripcin
Gestin de dispositivos
Solo
lectura
Deshabilitar
No
S
Panorama: S
Especifica si el administrador puede: ver
informacin sobre las actualizaciones de
Plantilla/grupo de
software instaladas en cortafuegos y
dispositivos: S
recopiladores de logs; descargar, cargar o
instalar actualizaciones; y ver las notas de la
versin asociadas.
implementacin de dispositivos.
Disponibilidad de Habilitar
la funcin de
administrador
Panorama: S
Plantilla/grupo de
dispositivos: S
actualizaciones de software y
contenido instaladas en un servidor
de gestin de Panorama.
Software
102
Gestin de dispositivos
Gestin de dispositivos
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Solo
lectura
Deshabilitar
Cliente SSL
VPN
Panorama: S
S
Panorama: S
Especifica si el administrador puede: ver
informacin sobre las actualizaciones de
Plantilla/grupo de
software de cliente GlobalProtect;
dispositivos: S
descargar, cargar o activar actualizaciones, y
ver las notas de la versin asociadas.
Plantilla/grupo de
dispositivos: S
Gestin de dispositivos
103
Nivel de
acceso
Descripcin
Gestin de dispositivos
Solo
lectura
Deshabilitar
S
Panorama: S
Especifica si el administrador puede ver,
actualizar y activar licencias de cortafuegos. Plantilla/grupo de
Si define este privilegio como de solo
dispositivos: S
lectura, el administrador puede ver las
licencias de cortafuegos pero no actualizar
ni activar esas licencias.
Disponibilidad de Habilitar
la funcin de
administrador
Panorama: S
Plantilla/grupo de
contenido (por ejemplo, actualizaciones de dispositivos: S
aplicaciones) instaladas en cortafuegos y
recopiladores de logs dedicados; descargar,
cargar o instalar actualizaciones, y ver las
notas de la versin asociadas.
Si define este privilegio como de solo
lectura, el administrador puede ver
informacin sobre las actualizaciones de
contenido y ver las notas de versin
asociadas, pero no puede implementar las
actualizaciones en cortafuegos o
recopiladores de logs dedicados.
Si define este privilegio como de solo
lectura, el administrador puede ver
informacin sobre las actualizaciones de
contenido de Panorama y ver las notas de
versin asociadas, pero no puede
implementar las actualizaciones en
cortafuegos o recopiladores de logs
dedicados.
Licencias
Panorama: S
Plantilla/grupo de
dispositivos: No
104
Gestin de dispositivos
Gestin de dispositivos
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Panel
No
ACC
No
Supervisar
S
Controla el acceso a la pestaa Supervisar. Si
deshabilita este privilegio, el administrador no ver la
pestaa Supervisar ni tendr acceso a ninguno de los
logs, capturas de paquetes, informacin de sesin,
informes o Appscope. Para obtener un control ms
detallado sobre qu informacin de supervisin puede
ver el administrador, deje la opcin Supervisar
habilitada y, a continuacin, habilite o deshabilite nodos
especficos en la pestaa como se describe en Acceso
detallado a la pestaa Supervisar.
No
Polticas
No
Gestin de dispositivos
105
Nivel de acceso
Descripcin
Objetos
Gestin de dispositivos
Habilitar
Solo
lectura
Deshabilitar
No
Red
No
Dispositivo
S
Controla el acceso a la pestaa Dispositivo. Si
deshabilita este privilegio, el administrador no ver la
pestaa Dispositivo ni tendr acceso a ninguna
informacin de configuracin de todo el dispositivo,
como informacin de configuracin de User-ID, alta
disponibilidad, perfil de servidor o certificado. Si desea
un control ms granular de los objetos que puede ver el
administrador, deje activada la opcin Dispositivo y
active o desactive nodos especficos de la pestaa tal y
como se describe en Acceso detallado a la pestaa
Dispositivo.
No
No
106
Gestin de dispositivos
Gestin de dispositivos
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks
Protocolo
Descripcin
22
TCP
Se usa para comunicarse desde un sistema cliente con la interfaz CLI del
cortafuegos.
80
TCP
123
UDP
443
TCP
Se usa para comunicarse desde un sistema cliente con la interfaz web del
cortafuegos. Este es tambin el puerto en el que escucha el cortafuegos o el agente
User-ID para las actualizaciones de origen de informacin de VM. Este es el nico
puerto que se usa para la supervisin de un entorno AWS. Para supervisar un
entorno VMware vCenter/ESXi, el puerto de escucha cambia de forma
predeterminada a 443, aunque puede configurarse.
162
UDP
Puerto que el cortafuegos, Panorama o el recopilador de logs usa para enviar Traps
SNMP a un receptor de traps SNMP.
Este puerto no tiene que estar abierto en el dispositivo Palo Alto Networks.
El receptor de trap SNMP debe estar configurado para escuchar en este
puerto.
161
UDP
Puerto que escucha el cortafuegos para las solicitudes de sondeo SNMP del NMS.
514
TCP
514
UDP
6514
SSL
Puerto que usan el cortafuegos, Panorama o el Recopilador de logs para enviar logs
a un servidor de Syslog y los puertos a los que escucha el agente de User-ID (en el
cortafuegos o en un servidor de Windows) para la autenticacin Mensajes de syslog
que se usan con User-ID.
2055
UDP
Gestin de dispositivos
107
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks
Gestin de dispositivos
Puerto de
destino
Protocolo
Descripcin
5008
TCP
6081
TCP
6082
TCP
Protocolo
Descripcin
28769
TCP
28260
TCP
Se usa para el enlace de control HA1 para una comunicacin de texto clara entre los
cortafuegos de peer de HA. El enlace de HA1 es un enlace de capa 3 y requiere una
direccin IP.
28
TCP
Se usa para el enlace de control HA1 para una comunicacin cifrada (SSH en TCP)
entre los cortafuegos de peer de HA.
28770
TCP
28771
TCP
99
IP
29281
UDP
Se usa para el enlace HA2 para sincronizar sesiones, reenviar tablas, las asociaciones
de la seguridad IPSec y las tablas ARP entre los cortafuegos en un par de HA. El
flujo de datos en el enlace HA2 siempre es unidireccional (excepto para el
mantenimiento de HA2); fluye desde el dispositivo activo (activo/pasivo), o el
activo-principal (activo/activo) al dispositivo pasivo (activo/pasivo) o activo
secundario (activo/activo). El enlace de HA2 es un enlace de capa 2 y utiliza el tipo
0x7261 de manera predeterminada.
El enlace de datos HA tambin puede configurarse para usar el IP (nmero de
protocolo 99) o UDP (puerto 29281) como el transporte, y por lo tanto permite que
el enlace de datos de HA abarque las subredes.
108
Gestin de dispositivos
Gestin de dispositivos
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks
Protocolo Descripcin
22
TCP
Se usa para comunicarse desde un sistema cliente con la interfaz CLI de Panorama.
443
TCP
Se usa para comunicarse desde un sistema cliente con la interfaz web de Panorama.
3978
TCP
TCP
TCP
TCP
28
TCP
TCP
TCP
La usa el dispositivo virtual Panorama para escribir logs en el almacn de datos NFS.
Gestin de dispositivos
109
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks
Gestin de dispositivos
Protocolo
Descripcin
389
TCP
Puerto que usa el cortafuegos para conectar con el servidor LDAP (texto normal o
StartTLS) para Asignacin de usuarios a grupos.
636
TCP
Puerto que usa el cortafuegos para conectar con el servidor LDAP (LDAP por SSL)
para Asignacin de usuarios a grupos. Se usa para las conexiones LDAP por SSL.
514
514
6514
TCP
UDP
SSL
5007
TCP
5006
TCP
Puerto al que escucha el agente User-ID para recibir solicitudes de API XML de
User-ID. El origen de esta comunicacin suele ser el sistema que ejecuta una
secuencia de comandos que invoque la API.
88
UDP
1812
UDP
135
TCP
Puerto que usa el agente User-ID para establecer conexiones WMI basadas en TC
con el asignador de extremos de llamada a procedimiento remoto (RPC) de
Microsoft. El asignador de extremos asigna al agente un puerto asignado
aleatoriamente en el intervalo de puertos 49152-65535. El agente usa esta conexin
para crear consultas RPC para las tablas de sesin y los logs de seguridad del
servidor AD o servidor Exchange. Este es tambin el puerto que se usa para acceder
a los servicios de terminal.
El agente User-ID tambin usa este puerto para conectar con sistemas cliente y
realizar sondeos de WMI.
110
Gestin de dispositivos
Gestin de dispositivos
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks
Puerto de
destino
Protocolo
Descripcin
139
TCP
Puerto que usa el agente User-ID para establecer conexiones NetBIOS basadas en
TCP con el servidor AD, de modo que pueda enviar consultas RPC sobre logs de
seguridad e informacin de sesin.
El agente User-ID tambin usa este puerto para conectar con sistemas cliente para
sondeos de NetBIOS (admitidos nicamente en el agente User-ID basado en
Windows).
445
TCP
Gestin de dispositivos
Puerto que usa el agente User-ID para conectar con Active Directory (AD)
mediante conexiones SMB basadas en TCP al servidor AD para acceder a la
informacin de inicio de sesin de usuario (administrador de trabajos de impresin
y Net Logon).
111
Gestin de dispositivos
Paso 1
1.
2.
3.
1.
2.
predeterminada de fbrica
3.
112
Gestin de dispositivos
Gestin de certificados
Los siguientes temas describen los distintos certificados y claves que utilizan los dispositivos de Palo Alto
Networks, as como el modo de obtenerlos y gestionarlos:
Claves y certificados
Revocacin de certificados
Implementacin de certificados
Obtencin de certificados
Configuracin del tamao de clave para los certificados de servidor proxy SSL de reenvo
Gestin de certificados
113
Claves y certificados
Gestin de certificados
Claves y certificados
Para garantizar la confianza entre las partes de una sesin de comunicacin segura, los dispositivos de Palo Alto
Networks utilizan certificados digitales. Cada certificado contiene una clave criptogrfica para cifrar el texto sin
formato o descifrar el texto cifrado. Cada certificado tambin incluye una firma digital para autenticar la
identidad del emisor. Este debe estar incluido en la lista de entidades de certificacin (CA) de confianza de la
parte que realiza la autenticacin. De manera opcional, la parte que realiza la autenticacin verifica que el emisor
no haya revocado el certificado (consulte Revocacin de certificados).
Los dispositivos de Palo Alto Networks utilizan certificados en las siguientes aplicaciones:
Autenticacin de usuarios para portal cautivo, GlobalProtect, gestor de seguridad mvil y acceso a la interfaz
web del cortafuegos/Panorama.
Autenticacin de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).
Autenticacin de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet (IKE).
Descifrado de trfico SSL entrante y saliente. Un cortafuegos descifra el trfico para aplicar polticas de
seguridad y reglas y, a continuacin, vuelve a cifrarlo antes de reenviar el trfico al destino definitivo. Para el
trfico saliente, el cortafuegos acta como servidor proxy de reenvo, estableciendo una conexin SSL/TLS
con el servidor de destino. Para proteger una conexin entre s mismo y el cliente, el cortafuegos utiliza un
certificado de firma para generar automticamente una copia del certificado del servidor de destino.
La tabla siguiente describe las claves y los certificados que utilizan los dispositivos de Palo Alto Networks. Una
prctica recomendada es utilizar diferentes claves y certificados para cada uso.
Tabla: Claves/certificados de dispositivo de Palo Alto Networks
Uso de clave/certificado
Descripcin
Acceso administrativo
Portal cautivo
En las implementaciones en las que el portal cautivo identifique a los usuarios que accedan
a recursos HTTPS, designe un certificado de servidor para la interfaz de portal cautivo. Si
configura el portal cautivo para que utilice certificados (en lugar o adems de credenciales
de nombre de usuario/contrasea) para la identificacin de usuarios, designe tambin un
certificado de usuario. Si desea obtener ms informacin sobre el portal cautivo, consulte
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo.
Reenvo fiable
Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo confa
en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el certificado
de CA fiable de reenvo para generar una copia del certificado del servidor de destino y
enviarla al cliente. Para definir el tamao de clave, consulte Configuracin del tamao de
clave para los certificados de servidor proxy SSL de reenvo Para mayor seguridad, almacene
la clave en un mdulo de seguridad de hardware (si desea informacin detallada, consulte
Claves seguras con un mdulo de seguridad de hardware).
114
Gestin de certificados
Gestin de certificados
Claves y certificados
Uso de clave/certificado
Descripcin
Reenvo no fiable
Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo no
confa en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el
certificado de CA no fiable de reenvo para generar una copia del certificado del servidor de
destino y enviarla al cliente.
Certificado SSL de exclusin Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por ejemplo, si
habilita el descifrado SSL pero su red incluye servidores para los que el cortafuegos no
debera descifrar el trfico (por ejemplo, servicios web para sus sistemas de RR. HH.),
importe los correspondientes certificados en el cortafuegos y configrelos como
certificados SSL de exclusin. Consulte Configuracin de excepciones de descifrado.
GlobalProtect
En una implementacin de VPN de sitio a sitio de IPSec, los dispositivos de peer utilizan
puertas de enlace de intercambio de claves de Internet (IKE) para establecer un canal
seguro. Las puertas de enlace de IKE utilizan certificados o claves precompartidas para
autenticar los peers entre s. Los certificados o las claves se configuran y asignan al definir
una puerta de enlace de IKE en un cortafuegos. Consulte Descripcin general de VPN de
sitio a sitio.
Clave maestra
El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas y contraseas.
Si su red requiere una ubicacin segura para almacenar claves privadas, puede utilizar una
clave de cifrado (ajuste) almacenada en un mdulo de seguridad de hardware (HSM) para
cifrar la clave maestra. Para obtener ms informacin, consulte Cifrado de una clave maestra
con HSM.
Syslog seguro
CA raz de confianza
Gestin de certificados
115
Revocacin de certificados
Gestin de certificados
Revocacin de certificados
Los dispositivos de Palo Alto Networks utilizan certificados digitales para garantizar la confianza entre las partes
de una sesin de comunicacin segura. La configuracin de un dispositivo para que compruebe el estado de
revocacin de certificados ofrece una seguridad adicional. Una parte que presente un certificado revocado no
es fiable. Cuando un certificado forma parte de una cadena, el dispositivo comprueba el estado de cada
certificado de la cadena, excepto el certificado de CA raz, cuyo estado de revocacin no puede verificar el
dispositivo.
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociacin entre el sujeto y la entidad de certificacin (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelacin (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificacin que emiti el certificado deber revocarlo.
Los dispositivos de Palo Alto Networks admiten los siguientes mtodos para verificar el estado de revocacin
de certificados. Si configura los dos, los dispositivos primero intentarn utilizar el mtodo OCSP; si el servidor
OCSP no est disponible, los dispositivos utilizarn el mtodo CRL.
116
Gestin de certificados
Gestin de certificados
Revocacin de certificados
Para cubrir situaciones en las que el OCSP responder no est disponible, configure la CRL como mtodo de
retroceso. Para obtener ms informacin, consulte Configuracin de la verificacin del estado de revocacin de
certificados utilizados para la autenticacin de usuarios/dispositivos.
Gestin de certificados
117
Implementacin de certificados
Gestin de certificados
Implementacin de certificados
Los enfoques bsicos de implementacin de certificados para dispositivos de Palo Alto Networks son los
siguientes:
Obtenga certificados de una CA de empresa: Las empresas que tengan su propia CA interna podrn
utilizarla para emitir certificados para aplicaciones de cortafuegos e importarlos en el cortafuegos. La ventaja
es que los clientes finales probablemente ya confen en la CA de empresa. Puede generar los certificados
necesarios e importarlos en el cortafuegos o generar una solicitud de firma de certificado (CSR) en el
cortafuegos y enviarla a la CA de empresa para que la firme. La ventaja de este mtodo es que la clave privada
no abandona el cortafuegos. Un CA de empresa tambin puede emitir un certificado de firma, que el
cortafuegos utiliza para generar certificados automticamente (por ejemplo, para VPN a gran escala de
GlobalProtect o sitios que requieran un descifrado SSL/TLS). Consulte Importacin de un certificado y una
clave privada.
118
Gestin de certificados
Gestin de certificados
Gestin de certificados
119
Gestin de certificados
Paso 1
1.
2.
3.
4.
5.
Paso 2
1.
Paso 3
120
4.
5.
6.
Gestin de certificados
Gestin de certificados
Paso 1
Configuracin de un perfil de certificado Asigne uno o ms certificados CA raz al perfil y seleccione el modo
para cada aplicacin.
en que el cortafuegos verifica el estado de revocacin de certificados.
El nombre comn (FQDN o direccin IP) de un certificado debe
coincidir con una interfaz en la que aplique el perfil del Paso 2.
Si desea informacin detallada sobre los certificados que utilizan las
distintas aplicaciones, consulte Claves y certificados
Paso 2
Paso 1
Acceda a la pgina
Configuracin de revocacin
de certificado de descifrado.
Gestin de certificados
121
Gestin de certificados
Paso 2
Dependiendo del valor de Tiempo de espera del estado del certificado que
especifique en el Paso 3, puede que el cortafuegos registre un tiempo de espera
antes de que pase cualquiera de los intervalos de Tiempo de espera de
recepcin o ambos.
Paso 3
Paso 4
Defina el comportamiento de
bloqueo para el estado de
certificado Desconocido o un
tiempo de espera de solicitud
de estado de revocacin.
Paso 5
122
Gestin de certificados
Gestin de certificados
1.
En un cortafuegos, seleccione Dispositivo > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic
en el icono Editar.
En Panorama, seleccione Panorama > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic en el
icono Editar.
2.
3.
Defina una Nueva clave principal y, a continuacin, seleccione la accin Confirmar clave maestra. La clave debe
contener exactamente 16 caracteres.
4.
(Opcional) Para especificar la Duracin de la clave maestra, introduzca el nmero de Das y/u Horas tras los cuales
vencer la clave. Si establece una duracin, cree una nueva clave maestra antes de que venza la clave anterior.
5.
(Opcional) Si establece la duracin de una clave, introduzca un Tiempo para el recordatorio que especifique el
nmero de Das y Horas que precedan al vencimiento de la clave maestra cuando el cortafuegos le enviar un
recordatorio por correo electrnico.
6.
(Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Para obtener ms informacin, consulte
Cifrado de una clave maestra con HSM.
7.
Gestin de certificados
123
Obtencin de certificados
Gestin de certificados
Obtencin de certificados
124
Gestin de certificados
Gestin de certificados
Obtencin de certificados
1.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.
3.
4.
Introduzca un Nombre de certificado, como GlobalProtect_CA. El nombre distingue entre maysculas y minsculas
y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
5.
6.
Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solo aparece si el dispositivo admite mltiples sistemas virtuales.
7.
Deje el campo Firmado por en blanco para designar el certificado como autofirmado.
8.
9.
No seleccione un OCSP responder. La verificacin del estado de revocacin de certificados no se aplica a certificados
de CA raz.
Gestin de certificados
125
Obtencin de certificados
Gestin de certificados
1.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.
3.
4.
Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
5.
6.
Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solo aparece si el dispositivo admite mltiples sistemas virtuales.
7.
8.
9.
(Opcional) Defina la Configuracin criptogrfica segn sea necesario para crear un certificado que funcione con
los dispositivos que deben autenticarse con l. El tamao de clave predeterminado y recomendado (Nmero de bits)
es 2048 bits. El algoritmo de cifrado predeterminado y recomendado (Resumen) es SHA256.
10. (Opcional) Deber Aadir los Atributos del certificado para identificar de manera exclusiva el cortafuegos y el
servicio que vaya a utilizar el certificado.
Si aade un atributo Nombre de host (nombre DNS), la prctica recomendada es que coincida con el Nombre
comn. El nombre de host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.
11. Haga clic en Generar y, en la pestaa Certificados de dispositivos, haga clic en el Nombre del certificado.
12. Seleccione las casillas de verificacin que se correspondan con el uso que se pretende dar al certificado en el
cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para autenticar el acceso de usuario a su
interfaz web, seleccione la casilla de verificacin Certificado de GUI web segura.
13. Haga clic en ACEPTAR y Confirmar.
126
Gestin de certificados
Gestin de certificados
Obtencin de certificados
1.
Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizar para la autenticacin.
Al exportar una clave privada, debe introducir una frase de contrasea para cifrar la clave para su transporte.
Asegrese de que el sistema de gestin puede acceder a los archivos de l certificado y clave. Al importar la clave en
el cortafuegos, debe introducir la misma frase de contrasea para descifrarla.
2.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
3.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.
4.
5.
Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
6.
Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solo aparece si el dispositivo admite mltiples sistemas virtuales.
7.
Introduzca la ruta y el nombre del Archivo de certificado que recibi de la CA o seleccione Examinar para buscar
el archivo.
8.
9.
Introduzca y vuelva a introducir (confirme) la Frase de contrasea utilizada para cifrar la clave privada.
10. Haga clic en ACEPTAR. La pestaa Certificados de dispositivos muestra el certificado importado.
Gestin de certificados
127
Obtencin de certificados
Gestin de certificados
Paso 1
2.
3.
4.
5.
6.
7.
8.
9.
128
Gestin de certificados
Gestin de certificados
Obtencin de certificados
Paso 2
Paso 3
Paso 4
Importe el certificado.
Configure el certificado.
Gestin de certificados
1.
2.
1.
2.
3.
4.
1.
2.
3.
129
Gestin de certificados
Paso 1
Obtenga los certificados de la entidad de Realice uno de los pasos siguientes para obtener los certificados de
certificacin (CA) que asignar.
CA que asignar al perfil. Debe asignar al menos uno.
Generacin de un certificado en un cortafuegos.
Exporte un certificado de la CA de su empresa y, a continuacin,
imprtelo en el cortafuegos (consulte Paso 3).
Paso 2
1.
130
2.
3.
Gestin de certificados
Gestin de certificados
Paso 3
3.
4.
Gestin de certificados
131
Gestin de certificados
Paso 4
1.
2.
3.
4.
5.
con la sesin.
Paso 5
132
Gestin de certificados
Gestin de certificados
Configuracin del tamao de clave para los certificados de servidor proxy SSL de reenvo
Paso 1
Seleccione Dispositivo > Configuracin > Sesin y, en la seccin Configuracin de descifrado, haga clic en
Configuracin de certificados de servidor proxy de reenvo.
Paso 2
Paso 3
Gestin de certificados
133
Gestin de certificados
Revocacin de un certificado
Renovacin de un certificado
Revocacin de un certificado
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociacin entre el sujeto y la entidad de certificacin (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelacin (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificacin (CA) que emiti el certificado deber revocarlo. La siguiente tarea
describe cmo revocar un certificado para el que el cortafuegos sea la CA.
Revocacin de un certificado
1.
Seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.
3.
4.
Haga clic en Revocar. PAN-OS inmediatamente establece el estado del certificado como revocado y aade el nmero
de serie a la cach del respondedor del protocolo de estado de certificado en lnea (OCSP) o la lista de revocacin
de certificados (CRL). No necesita realizar una confirmacin.
Renovacin de un certificado
Si un certificado vence, o lo har pronto, puede restablecer el perodo de validez. Si una entidad de certificacin
(CA) externa firm el certificado y el cortafuegos utiliza el protocolo de estado de certificado en lnea (OCSP)
para verificar el estado de revocacin de certificados, el cortafuegos utilizar informacin del OCSP responder
para actualizar el estado del certificado (consulte Configuracin de un OCSP Responder). Si el cortafuegos es
la CA que emiti el certificado, el cortafuegos lo sustituir por un nuevo certificado que tenga un nmero de
serie diferente pero los mismos atributos que el certificado anterior.
Renovacin de un certificado
1.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.
3.
4.
5.
134
Gestin de certificados
Gestin de certificados
Gestin de certificados
135
Gestin de certificados
Los siguientes temas describen cmo configurar la conectividad entre el cortafuegos/Panorama y uno de los
HSM admitidos:
136
Gestin de certificados
Gestin de certificados
Paso 1
1.
2.
3.
4.
5.
6.
Paso 2
3.
4.
5.
6.
Paso 3
7.
1.
2.
3.
4.
5.
6.
Gestin de certificados
137
Gestin de certificados
Paso 4
Paso 6
1.
2.
3.
4.
5.
Siga del Paso 1 al Paso 5 para aadir un HSM adicional para alta
disponibilidad (HA).
Este proceso aade un nuevo HSM al grupo de HA existente.
Si elimina un HSM de su configuracin, repita el Paso 5.
Esto quitar el HSM eliminado del grupo de HA.
Paso 7
1.
2.
3.
cortafuegos.
Estado de mdulo: Estado de funcionamiento actual del HSM. Siempre
tiene el valor Autenticado si el HSM se muestra en esta tabla.
138
Gestin de certificados
Gestin de certificados
Paso 1
Configure el servidor
Thales Nshield Connect
como el proveedor de
HSM del cortafuegos.
1.
2.
3.
4.
Paso 2
5.
6.
Gestin de certificados
139
Gestin de certificados
Paso 3
Paso 4
Configure el sistema de
archivos remoto para
aceptar conexiones del
cortafuegos.
Inicie sesin en la pantalla del panel frontal de la unidad HSM Thales Nshield
Connect.
En el panel frontal de la unidad, utilice el botn de navegacin de la derecha
para seleccionar Sistema > Configuracin del sistema > Configuracin de
cliente > Nuevo cliente.
3.
4.
1.
2.
<hash-Kneti-key>
4.
140
Gestin de certificados
Gestin de certificados
Paso 5
Configure el cortafuegos
para autenticarlo para el
HSM.
1.
2.
3.
4.
Paso 6
Paso 7
Sincronice el cortafuegos 1.
con el sistema de archivos 2.
remoto.
Verifique que el
cortafuegos puede
conectarse al HSM.
1.
2.
3.
Gestin de certificados
141
Gestin de certificados
Los temas siguientes describen cmo descifrar la clave maestra inicialmente y cmo actualizar el cifrado de la
clave maestra.
Paso 1
Paso 2
Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseas del cortafuegos
en el campo Clave maestra.
Paso 3
Paso 4
142
Gestin de certificados
Gestin de certificados
1.
Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un HSM:
> request hsm mkey-wrapping-key-rotation
Si la clave maestra est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM y
cifrar la clave maestra con la nueva clave de ajuste.
Si la clave maestra no est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM
para su uso en el futuro.
Este comando no elimina la clave de ajuste anterior.
Gestin de certificados
143
Gestin de certificados
Proxy SSL de reenvo: La clave privada del certificado de CA que se utiliza para firmar certificados en
operaciones de proxy SSL/TLS de reenvo se puede almacenar en el HSM. A continuacin, el cortafuegos
enviar los certificados que genere durante las operaciones de proxy SSL/TLS de reenvo al HSM para su
envo antes de reenviarlos al cliente.
Inspeccin de entrada SSL: Las claves privadas de los servidores internos para los que est haciendo una
inspeccin de entrada SSL/TLS se pueden almacenar en el HSM.
Para obtener instrucciones sobre cmo importar claves privadas en el HSM, consulte la documentacin de su
proveedor de HSM. Despus de que las claves necesarias se encuentren en el HSM, podr configurar el
cortafuegos para ubicar las claves de la manera siguiente:
Almacenamiento de claves privadas en un HSM
Paso 1
Paso 2
1.
(nicamente Thales Nshield
Connect) Sincronice los datos de
claves del sistema de archivos
2.
remoto del HSM con el
cortafuegos.
Paso 3
1.
Importe los certificados que se
correspondan con las claves
privadas que est almacenando en 2.
el HSM en el cortafuegos.
3.
4.
Paso 4
5.
6.
7.
144
Gestin de certificados
Gestin de certificados
Paso 5
Gestin de certificados
145
Gestin de certificados
Muestre la informacin detallada Seleccione Mostrar informacin detallada en la seccin Operaciones de seguridad
del HSM.
de hardware.
Aparecer informacin relativa a los servidores HSM, el estado de HA del HSM y
el hardware del HSM.
Exporte el archivo de
compatibilidad.
146
Gestin de certificados
Alta disponibilidad
La alta disponibilidad (HA) es una configuracin en la que dos cortafuegos se colocan en un grupo y su
configuracin se sincroniza para prevenir el fallo de un nico punto en su red. Una conexin de latido entre los
peers del cortafuegos garantiza una conmutacin por error sin problemas en el caso de que falle un peer. La
configuracin de los cortafuegos en un clster de dos dispositivos proporciona redundancia y le permite
garantizar la continuidad empresarial.
Los cortafuegos de Palo Alto Networks admiten una alta disponibilidad activa/activa o activa/pasiva de estado
con sincronizacin de sesin y configuracin. Algunos modelos del cortafuegos, como los cortafuegos
VM-Series y PA-200, nicamente admiten HA lite sin capacidad de sincronizacin de sesin. Los siguientes
temas proporcionan ms informacin sobre la alta disponibilidad y sobre cmo configurarla en su entorno.
Conceptos de HA
Configuracin de la HA activa/pasiva
Recursos de HA
Alta disponibilidad
147
Alta disponibilidad
148
Alta disponibilidad
Alta disponibilidad
Conceptos de HA
Conceptos de HA
Los siguientes temas ofrecen informacin conceptual sobre cmo funciona la HA en un cortafuegos de
Palo Alto Networks:
Modos de HA
Temporizadores de HA
Modos de HA
Puede configurar los cortafuegos para la HA en dos modos:
Activo/pasivo: Un dispositivo gestiona activamente el trfico mientras que el otro est sincronizado y listo
para pasar al estado activo en el caso de que se produjera un fallo. En esta configuracin, ambos dispositivos
comparten los mismos ajustes de configuracin y uno gestiona activamente el trfico hasta que se produce
un fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control
sin problemas y aplica las mismas polticas para mantener la seguridad de red. La HA activa/pasiva es
compatible con las implementaciones de Virtual Wire, capa 2 y capa 3. Si desea informacin sobre cmo
ajustar sus dispositivos en una configuracin activa/pasiva, consulte Configuracin de la HA activa/pasiva.
Los cortafuegos PA-200 y VM-Series admiten una versin lite de la HA activa/pasiva. HA Lite
permite la sincronizacin de la configuracin y la sincronizacin de algunos datos de tiempo de
ejecucin, como asociaciones de seguridad de IPSec. No admite ninguna sincronizacin de
sesiones y, por lo tanto, HA Lite no ofrece una conmutacin por error con estado.
Activo/activo: Ambos dispositivos del par estn activos y procesan el trfico. Asimismo, trabajan
sincronizadamente para gestionar la configuracin y la pertenencia de la sesin. La implementacin
activa/activa es compatible con las implementaciones de Virtual Wire y capa 3 y nicamente se recomienda
para redes con enrutamiento asimtrico. Si desea informacin sobre el establecimiento de una configuracin
activa/activa para los dispositivos, consulte Active/Active High Availability Tech Note (Nota tcnica sobre
alta disponibilidad activa/activa).
Alta disponibilidad
149
Conceptos de HA
Alta disponibilidad
Los enlaces de HA1 y HA2 proporcionan sincronizacin para funciones que residen en el plano
de gestin. Utilizar las interfaces de HA especficas del plano de gestin es ms eficaz que
utilizar los puertos internos, ya que as se elimina la necesidad de pasar los paquetes de
sincronizacin a travs del plano de datos.
Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e informacin de
estado de HA, as como la sincronizacin del plano de gestin para el enrutamiento e informacin de
User-ID. Este enlace tambin se utiliza para sincronizar cambios de configuracin en el dispositivo activo o
pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una direccin IP.
Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicacin con texto claro; puerto
28 para una comunicacin cifrada (SSH sobre TCP).
Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de
seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2
siempre es unidireccional (excepto en la conexin persistente de HA2); fluye desde el dispositivo activo al
dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera
predeterminada.
Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (nmero de
protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA
abarque las subredes.
Asimismo, se utiliza un enlace de HA3 en implementaciones de HA activa/activa. Cuando hay una ruta
asimtrica, se utiliza el enlace de HA3 para reenviar paquetes al peer de HA al que pertenece la sesin. El
enlace de HA3 es un enlace de capa 2 y no permite el cifrado ni las direcciones de capa 3.
Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan
puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes
directrices al configurar enlaces de HA de copia de seguridad:
Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre s.
Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente de la de los enlaces
de HA principales.
Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos fsicos separados. El
enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260.
Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (que utiliza el puerto
28771 en la interfaz de gestin) si utiliza un puerto interno para los enlaces de copia de seguridad
de HA1 o HA2.
150
Alta disponibilidad
Alta disponibilidad
Conceptos de HA
Descripcin
Enlace de
control
HA1-A
Velocidad: Ethernet
10/100/1000
HA1-B
Velocidad: Puerto Ethernet
10/100/1000
Enlace de
datos
Las interfaces Quad Port SFP (QSFP) se usan para conectar dos
cortafuegos PA-7050 con una configuracin de HA. Cada puerto
(High Speed Chassis
consta de cuatro enlaces internos de 10 gigabits para alcanzar una
Interconnect, interconexin
de bastidores de alta velocidad) velocidad combinada de 40 gigabits y se usa para enlaces de datos
HA2 en la configuracin activa/pasiva. En el modo activo/activo, el
puerto tambin se usa para reenvo de paquetes HA3 en sesiones de
enrutamiento asimtrica que requieren inspeccin de capa 7 para
App-ID y Content-ID.
HSCI-A
HSCI-B
Alta disponibilidad
151
Conceptos de HA
Alta disponibilidad
Supervisin de enlaces
Las interfaces fsicas que deben supervisarse se agrupan en un grupo de enlaces y se supervisa su estado
(enlace activado o desactivado). Un grupo de enlaces puede contener una o ms interfaces fsicas. Se activa
un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo. El comportamiento
predeterminado es que el fallo de cualquier enlace del grupo de enlaces har que el dispositivo cambie el
estado de HA a no funcional para indicar el fallo de un objeto supervisado.
Supervisin de rutas
Supervisa toda la ruta a travs de la red hasta direcciones IP de vital importancia. Los pings ICMP se utilizan
para verificar que se puede llegar a la direccin IP. El intervalo predeterminado para pings es de 200 ms. Se
considera que no se puede llegar a una direccin IP cuando fallan 10 pings consecutivos (el valor
predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna o todas las direcciones
IP supervisadas. El comportamiento predeterminado es que cualquiera de las direcciones IP a las que no se
pueda llegar har que el dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto
supervisado.
152
Alta disponibilidad
Alta disponibilidad
Conceptos de HA
Adems de los activadores de conmutacin por error enumerados anteriormente, tambin se produce una
conmutacin por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce
una preferencia.
En los cortafuegos de las series PA-3000, PA-5000 y PA-7050, se puede producir una conmutacin por error si
falla una comprobacin de estado interna. Esta comprobacin de estado no es configurable y se habilita para
verificar el estado operativo de todos los componentes del cortafuegos.
Temporizadores de HA
Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de cortafuegos y activar una
conmutacin por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno
de los tres perfiles que se han aadido: Recomendada, Agresivo y Avanzado. Estos perfiles cumplimentan
automticamente los valores ptimos del temporizador de HA para la plataforma de cortafuegos especfica con
el fin de habilitar una implementacin de HA ms rpida.
Utilice el perfil Recomendada para ajustes comunes del temporizador de conmutacin por error y el perfil
Agresivo para ajustes ms rpidos del temporizador de conmutacin por error. El perfil Avanzado le permite
personalizar los valores del temporizador para que se adapten a sus requisitos de red.
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales de
los diferentes modelos de hardware; estos valores se indican nicamente como referencia y pueden cambiar en
versiones posteriores.
Valores de temporizador de HA Recomendada/Agresivo por plataforma
Temporizadores
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
Tiempo de espera
Intervalo durante el cual el
ascendente tras fallo cortafuegos permanecer
de supervisor
activo tras un fallo de
supervisor de ruta o supervisor
de enlace. Se recomienda este
ajuste para evitar una
conmutacin por error de HA
debido a los flaps ocasionales
de los dispositivos vecinos.
0/0
0/0
0/0
Tiempo de espera
para ser preferente
1/1
1/1
1/1
Alta disponibilidad
Descripcin
153
Conceptos de HA
Temporizadores
Alta disponibilidad
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
2000/1000
2000/1000
2000/500
Tiempo de espera de Tiempo que el dispositivo
promocin
pasivo (en el modo
activo/pasivo) o el dispositivo
secundario activo (en el modo
activo/activo) esperar antes
de tomar el control como
dispositivo activo o principal
activo despus de perder las
comunicaciones con el peer de
HA. Este tiempo de espera
nicamente comenzar
despus de haber realizado una
declaracin de fallo de peer.
2000/500
2000/500
500/500
Este intervalo de tiempo se
Tiempo de espera
ascendente principal aplica al mismo evento que
adicional
Tiempo de espera ascendente
tras fallo de supervisor (rango:
0-60.000 ms; valor
predeterminado: 500 ms).
El intervalo de tiempo
adicional nicamente se aplica
al dispositivo activo en el
modo activo/pasivo y al
dispositivo principal activo
en el modo activo/activo. Se
recomienda este temporizador
para evitar una conmutacin
por error cuando ambos
dispositivos experimentan el
mismo fallo de supervisor de
enlace/ruta simultneamente.
500/500
7000/5000
Intervalo de
heartbeat
154
Alta disponibilidad
Alta disponibilidad
Temporizadores
Intervalo de saludo
Conceptos de HA
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
8000/8000
Intervalo de tiempo en
milisegundos entre los
paquetes de saludo enviados
para verificar que la
funcionalidad de HA del otro
cortafuegos est operativo.
El rango es de 8000-60000 ms
con un valor predeterminado
de 8000 ms para todas las
plataformas.
3/3
N. mximo de flaps Se cuenta un flap cuando el
cortafuegos deja el estado
activo antes de que transcurran
15 minutos desde la ltima vez
que dej el estado activo.
Este valor indica el nmero
mximo de flaps permitidos
antes de que se determine
suspender el cortafuegos y que
el cortafuegos pasivo tome el
control (rango: 0-16; valor
predeterminado: 3).
Alta disponibilidad
8000/8000
8000/8000
3/3
No aplicable
155
Configuracin de la HA activa/pasiva
Alta disponibilidad
Configuracin de la HA activa/pasiva
Configuracin de la HA activa/pasiva
156
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de mquina
virtual.
La misma versin de PAN-OS: Ambos dispositivos deben ejecutar la misma versin de PAN-OS y estar
actualizados en las bases de datos de la aplicacin, URL y amenazas. Ambos deben tener la misma funcin
de varios sistemas virtuales (vsys mltiple o nico).
El mismo tipo de interfaces: Enlaces de HA especficos o una combinacin del puerto de gestin y los
puertos internos que se establecen para la HA de tipo de interfaz.
Si utiliza la capa 3 como mtodo de transporte para la conexin de HA2 (datos), determine la direccin
IP para el enlace de HA2. Utilice la capa 3 nicamente si la conexin de HA2 debe comunicarse a travs
de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de
HA1 ni con ninguna otra subred asignada a los puertos de datos del cortafuegos.
El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden
compartir entre los dispositivos. Por lo tanto, debe obtener licencias idnticas para ambos dispositivos. Si
los dos dispositivos no tienen un conjunto idntico de licencias, no podrn sincronizar informacin de
configuracin y mantener la paridad para una conmutacin por error sin problemas.
Si tiene un cortafuegos existente y desea aadir un nuevo cortafuegos para HA pero el nuevo
cortafuegos tiene una configuracin existente, se recomienda que realice un Restablecimiento
del cortafuegos a los ajustes predeterminados de fbrica en el nuevo cortafuegos. Esto
garantizar que el nuevo cortafuegos tenga una configuracin limpia. Despus de configurar la
HA, deber sincronizar la configuracin del dispositivo principal con el dispositivo recin
introducido con la configuracin limpia.
Alta disponibilidad
157
Configuracin de la HA activa/pasiva
Alta disponibilidad
158
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:
Ajustes de
configuracin
independientes
PeerA
PeerB
Enlace de control
La informacin de
Si utiliza una conexin de capa 3, configure la
enlace de datos se
direccin IP para el enlace de datos de este
sincroniza entre los
dispositivos despus de dispositivo (PeerA).
habilitar la HA y
establecer el enlace de
control entre los
dispositivos.
Prioridad de
dispositivo (obligatorio
si se habilita la
preferencia)
Supervisin de enlaces:
Supervise una o ms
interfaces fsicas que
gestionen el trfico
vital de este dispositivo
y defina la condicin
de fallo.
Supervisin de rutas:
Supervise una o ms
direcciones IP de
destino en las que el
cortafuegos pueda
utilizar pings ICMP
para verificar la
capacidad de respuesta.
Alta disponibilidad
159
Configuracin de la HA activa/pasiva
Alta disponibilidad
Configuracin de la HA activa/pasiva
El siguiente procedimiento muestra cmo configurar un par de cortafuegos en una implementacin
activa/pasiva como se muestra en la topologa de ejemplo siguiente.
Internet
Conmutador
Pasivo
Enlace de HA2
Activo
Enlace de HA1
Conmutador
Paso 1
Paso 2
160
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Paso 3
1.
2.
3.
4.
1.
2.
Paso 4
Paso 5
1.
Alta disponibilidad
2.
3.
161
Configuracin de la HA activa/pasiva
Alta disponibilidad
Paso 6
Paso 7
1.
2.
4.
5.
6.
7.
162
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Paso 8
1.
Habilite la copia de seguridad de
heartbeat si su enlace de control utiliza un
puerto de HA especfico o un puerto
2.
interno.
No necesita habilitar la copia de seguridad
de heartbeat si est utilizando el puerto de
gestin para el enlace de control.
Paso 9
1.
2.
3.
Seleccione Preferente.
Debe habilitar la preferencia tanto en el dispositivo activo como
en el pasivo.
Alta disponibilidad
163
Configuracin de la HA activa/pasiva
Alta disponibilidad
1.
2.
3.
4.
5.
6.
164
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Alta disponibilidad
165
Configuracin de la HA activa/pasiva
Alta disponibilidad
Paso 1
Paso 2
Paso 3
1.
Para configurar la supervisin de rutas,
defina las direcciones IP de destino en las
que el cortafuegos debera hacer ping para
verificar la conectividad de red.
2.
Enrutador virtual.
Seleccione el elemento adecuado del men desplegable para el
Nombre y haga clic en Aadir para aadir las direcciones IP
(origen y/o destino, segn se le pida) que desee supervisar.
A continuacin, seleccione la Condicin de fallo del grupo.
El grupo de rutas que defina se aadir a la seccin Grupo de
rutas.
Paso 4
Si est utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de motor de SNMPv3 es
exclusivo para cada dispositivo; EngineID no se sincroniza entre el par de HA y, por lo tanto, le permite supervisar
independientemente cada dispositivo del par de HA. Si desea informacin sobre cmo configurar SNMP,
consulte Configuracin de los destinos de Trap SNMP.
Como EngineID se genera utilizando el nmero de serie exclusivo del dispositivo, en el cortafuegos VM-Series
deber aplicar una licencia vlida para obtener un EngineID exclusivo para cada cortafuegos.
166
Alta disponibilidad
Alta disponibilidad
Configuracin de la HA activa/pasiva
Paso 1
Paso 2
Paso 3
1.
2.
Alta disponibilidad
167
Recursos de HA
Alta disponibilidad
Recursos de HA
Para obtener ms informacin sobre la HA, consulte las siguientes fuentes:
168
Alta disponibilidad
Informes y logs
El cortafuegos proporciona informes y logs que resultan de utilidad para supervisar la actividad de su red. Puede
supervisar los logs y filtrar la informacin para generar informes con vistas predefinidas o personalizadas. Por
ejemplo, puede utilizar plantillas predefinidas para generar informes sobre la actividad de un usuario o analizar
los informes y logs para interpretar un comportamiento inusual en su red, y generar un informe personalizado
sobre el patrn de trfico. Los siguientes temas describen cmo ver, gestionar, personalizar y generar los
informes y logs en el cortafuegos:
Uso de Appscope
Plantillas de NetFlow
Gestin de informes
Informes y logs
169
Informes y logs
Descripciones
Aplicaciones principales
Muestra las aplicaciones con la mayora de sesiones. El tamao del bloque indica el nmero
relativo de sesiones (pase el ratn sobre el bloque para ver el nmero) y el color indica el
riesgo de seguridad, desde verde (ms bajo) a rojo (ms alto). Haga clic en una aplicacin
para ver su perfil de aplicacin.
Aplicaciones principales de
alto riesgo
Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de mayor riesgo
con la mayora de las sesiones.
Informacin general
Estado de la interfaz
Indica si cada interfaz est activa (verde), no est operativa (rojo) o en un estado
desconocido (gris).
Registros de amenazas
Logs de configuracin
Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la fecha y hora de
las 10 ltimas entradas en el log Configuracin.
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de datos.
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de URL.
Muestra el uso de CPU de gestin, el uso de plano de datos y el Nmero de sesiones que
muestra el nmero de sesiones establecidas a travs del cortafuegos.
Administradores registrados
Muestra la direccin IP de origen, el tipo de sesin (Web o CLI) y la hora de inicio de sesin
para cada administrador actualmente registrado.
Muestra el factor de riesgo medio (1 a 5) para el trfico de red procesado la semana pasada.
Los valores mayores indican un mayor riesgo.
Alta disponibilidad
Si la alta disponibilidad (HA) est activada, indica el estado de la Alta disponibilidad (HA)
del dispositivo local y del peer: Verde (activa), amarillo (pasiva) o negro (otro). Si desea ms
informacin sobre HA, consulte Alta disponibilidad.
Bloqueos
170
Informes y logs
Informes y logs
Grficos de ACC
Uso de ACC
Informes y logs
171
Informes y logs
172
Informes y logs
Informes y logs
Grficos de ACC
Se muestran 5 grficos en la pestaa Centro de comando de aplicacin (ACC):
Aplicacin
Filtrado de URL
Prevencin de amenazas
Filtrado de datos
Coincidencias HIP
Grfico de ACC
Descripcin
Aplicacin
Filtrado de URL
Prevencin de
amenazas
Informes y logs
173
Informes y logs
Grfico de ACC
Descripcin
Filtrado de datos
Muestra informacin sobre los datos filtrados por el cortafuegos agrupada por los siguientes
atributos:
Tipos de contenido/archivo
Tipos
Nombres de archivos
Coincidencias HIP
174
Informes y logs
Informes y logs
Informes y logs
175
Informes y logs
Uso de ACC
En el siguiente procedimiento se describe cmo utilizar la pestaa ACC y cmo personalizar su vista:
Uso de ACC
Paso 1
Paso 2
Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces de logs en la esquina inferior
derecha de la pgina, como se muestra a continuacin. El contexto de los logs coincide con la informacin que
aparece en la pgina.
Paso 3
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese elemento a la barra de
filtrado ubicada sobre los nombres de columna de log. Despus de agregar los filtros deseados, haga clic en el
icono Aplicar filtro.
176
Informes y logs
Informes y logs
Uso de Appscope
Uso de Appscope
Los informes de Appscope proporcionan herramientas de visibilidad y anlisis para detectar los
comportamientos problemticos, lo que permite comprender los cambios en el uso de las aplicaciones y la
actividad del usuario, y los usuarios y las aplicaciones que consumen la mayor parte del ancho de banda de la
red, e identificar las amenazas en la red.
Con los informes de Appscope, puede comprobar rpidamente si algn comportamiento es inusual o
inesperado. Cada informe proporciona una ventana dinmica y personalizable por el usuario en la red; al pasar
el ratn por encima y hacer clic en las lneas y barras de los grficos, se abre informacin detallada acerca de la
aplicacin especfica, categora de la aplicacin, usuario u origen del ACC. Los grficos de Appscope ofrecen la
posibilidad de:
Alternar entre los atributos de la leyenda para ver solamente los detalles del grfico que desea revisar. La
posibilidad de incluir o excluir datos del grfico permite cambiar la escala y revisar los detalles ms
detenidamente.
Hacer clic en un atributo del grfico de barras y ver los detalles de las sesiones relacionadas en el ACC. Haga
clic en un nombre de aplicacin, una categora de aplicacin, un nombre de amenaza, una categora de
amenaza, una direccin IP de origen o una direccin IP de destino en cualquier grfico de barras para filtrar
el atributo y ver las sesiones relacionadas en el ACC.
Exportar un grfico o un mapa a PDF o como una imagen. Para garantizar la portabilidad y la visualizacin
fuera de lnea, puede exportar los grficos y mapas como PDF o imgenes PNG.
Informe de resumen
Informes y logs
177
Uso de Appscope
Informes y logs
Informe de resumen
El informe de resumen de Appscope muestra grficos de los cinco principales ganadores, perdedores,
aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios y orgenes.
178
Informes y logs
Informes y logs
Uso de Appscope
Descripcin
Informes y logs
179
Uso de Appscope
Botn
Informes y logs
Descripcin
180
Informes y logs
Informes y logs
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
supervisor de amenazas contiene los siguientes botones y opciones.
Botn
Descripcin
Informes y logs
181
Uso de Appscope
Informes y logs
Descripcin
182
Informes y logs
Informes y logs
Uso de Appscope
Descripcin
Informes y logs
183
Uso de Appscope
Informes y logs
Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
mapa de trfico contiene los siguientes botones y opciones.
Botones
Descripcin
184
Informes y logs
Informes y logs
La tabla siguiente describe la configuracin de la captura de paquetes en Supervisar > Captura de paquetes.
Campo
Descripcin
Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo filtro y
especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP, incluir todo
el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6 en el filtro.
Filtrado
Anterior a la coincidencia Haga clic para alternar la opcin activar o desactivar anterior a la coincidencia.
Informes y logs
185
Campo
Descripcin
Captura de paquetes
Informes y logs
3.
Fase de captura de
paquetes
Archivos capturados
Borrar toda la
configuracin
186
Informes y logs
Informes y logs
Visualizacin de informes
Adems, puede configurar el cortafuegos (a excepcin de los cortafuegos de las series PA-4000
y PA-7050) para exportar los datos de flujo a un recopilador NetFlow para el anlisis y la
generacin de informes. Para establecer la configuracin de NetFlow, consulte PAN-OS Web
Interface Reference Guide (en ingls).
Informes y logs
187
Informes y logs
188
Informes y logs
Informes y logs
De forma predefinida, todos los archivos log se generan y guardan de forma local en el cortafuegos. Puede ver
estos archivos log directamente (Supervisar > Logs):
Informes y logs
189
Informes y logs
de una entrada.
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Todas las entradas incluyen
la fecha y la hora, las zonas de origen y destino, las direcciones y los puertos, el nombre
de la aplicacin, el nombre de la regla de seguridad aplicada al flujo, la accin de la regla
(permitir, denegar o descartar), la interfaz de entrada y salida, el nmero de bytes y la
razn para finalizar la sesin.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la sesin,
como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino
(el valor Recuento ser superior a uno).
La columna Tipo indica si la entrada es para el inicio o el fin de la sesin o si se ha
denegado o descartado la sesin. Un descarte indica que la regla de seguridad que ha
bloqueado el trfico ha especificado una aplicacin cualquiera, mientras que
denegacin indica que la regla ha identificado una aplicacin especfica.
Si se descarta el trfico antes de identificar la aplicacin, como cuando una regla descarta
todo el trfico para un servicio especfico, la aplicacin aparece como no aplicable.
190
Informes y logs
Informes y logs
Grficos de
descripciones del log
Descripcin
Amenaza
Muestra una entrada cuando el trfico coincide con un perfil de seguridad (Antivirus,
Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o
Proteccin DoS) que se haya adjuntado a una poltica de seguridad del cortafuegos.
Cada entrada incluye la fecha y hora, un nombre de amenaza o URL, las zonas de origen
y destino, direcciones, puertos, el nombre de aplicacin y la accin de alarma (permitir
o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la amenaza,
como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y
destino (el valor Recuento ser superior a uno).
La columna Tipo indica el tipo de amenaza, como virus o spyware. La columna
Nombre es la descripcin de la amenaza o URL y la columna Categora es la categora
de la amenaza (como registrador de pulsaciones de teclas) o la categora de la URL.
Si las capturas de paquetes locales estn activadas, haga clic en
junto a una entrada
para acceder a los paquetes capturados. Para habilitar capturas de paquetes locales,
consulte Realizacin de capturas de paquetes.
Filtrado de URL
Muestra logs para todo el trfico que coincide con un perfil de filtrado de URL
adjuntado a una poltica de seguridad. Por ejemplo, si la poltica bloquea el acceso a sitios
web y categoras de sitios web especficos o si la poltica est configurada para generar
una alerta cuando se acceda a un sitio web. Para obtener informacin sobre cmo
definir perfiles de filtrado de URL, consulte Filtrado de URL.
Envos a WildFire
Muestra logs de los archivos cargados y analizados por la nube de WildFire. Los datos
de los logs se vuelven a enviar al dispositivo despus del anlisis junto con los resultados
del anlisis.
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que informaciones
confidenciales como nmeros de tarjetas de crdito o de la seguridad social abandonen
el rea protegida por el cortafuegos. Consulte Configuracin de filtrado de datos para
obtener informacin sobre cmo definir perfiles de filtrado de datos.
Este log tambin muestra informacin de los perfiles de bloqueo de archivos. Por
ejemplo, si est bloqueando archivos .exe, el log le mostrar los archivos que estaban
bloqueados. Si reenva archivos a WildFire, podr ver los resultados de dicha accin. En
este caso, si reenva archivos PE a WildFire, por ejemplo, el log mostrar que el archivo
se ha reenviado y tambin el estado para determinar si se ha cargado correctamente en
WildFire.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye la fecha
y hora, el nombre de usuario del administrador, la direccin IP desde la cual se ha
realizado el cambio, el tipo de cliente (XML, Web o CLI), el tipo de comando ejecutado,
si el comando se ha ejecutado correctamente o ha fallado, la ruta de configuracin y los
valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y hora,
la gravedad del evento y una descripcin del evento.
Coincidencias HIP
Muestra los flujos de trfico que coinciden con el objeto HIP o el perfil HIP que ha
configurado.
Informes y logs
191
Informes y logs
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una
opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host en la entrada de log de 10.0.0.252 y
Explorador web, se agregarn ambos elementos y la bsqueda encontrar entradas que coinciden con ambos
(bsqueda Y).
Para definir otros criterios de bsqueda, haga clic en Aadir filtro de log. Seleccione el tipo de bsqueda (y/o),
el atributo a incluir en la bsqueda, el operador asociado y los valores de la coincidencia, si es necesario. Haga
clic en Aadir para agregar el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar
la ventana emergente. Haga clic en Aplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha definido
en la ventana emergente Expresin. Cada uno se agrega como una entrada en la lnea Filtro de
la pgina de log. Si establece el filtro en Tiempo recibido como ltimos 60 segundos,
algunos enlaces de la pgina en el visor de logs podran no mostrar resultados ya que el nmero
de pginas puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en Borrar filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en Guardar filtro, introduzca un nombre para el
filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier filtro aplicado), haga
clic en Guardar filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificacin
si desea continuar utilizando la misma opcin. Haga clic en ACEPTAR.
Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a CSV. De manera
predeterminada, la exportacin de la lista de logs al formato CSV genera un informe CSV con hasta
2.000 filas de logs. Para cambiar el lmite de filas mostradas en informes CSV, utilice el campo Mx. de filas
en exportacin CSV de la pestaa Exportacin e informes de logs (seleccione Dispositivo > Configuracin >
Gestin > Configuracin de log e informes).
Para cambiar el intervalo de actualizacin automtica, seleccione un intervalo de la lista desplegable (1 min,
o Manual).
30 segundos, 10 segundos
Para cambiar el nmero de entradas de logs por pgina, seleccione el nmero de filas en el men desplegable
Filas.
Las entradas de logs se recuperan en bloques de 10 pginas. Utilice los controles de pgina en la parte inferior
de la pgina para navegar por la lista de logs. Seleccione la casilla de verificacin Resolver nombre de host para
iniciar la resolucin de direcciones IP externas en nombres de dominio.
192
Informes y logs
Informes y logs
Informes y logs
193
Informes y logs
Visualizacin de informes
El cortafuegos tambin usa datos del log para generar informes (Supervisar > Informes) que muestran los datos
del log en forma de grfico o tabla. Consulte Acerca de los informes para obtener informacin ms detallada
sobre los informes predefinido y personalizados disponibles en el cortafuegos.
194
Informes y logs
Informes y logs
Configurar el cortafuegos para que acceda a los servicios remotos que recibirn los logs. Consulte
Definicin de destinos de logs remotos.
Configurar cada tipo de log para reenvo. Consulte Habilitacin del reenvo de logs.
En el caso de los logs de trfico y amenazas, la habilitacin del reenvo de logs incluye la configuracin de
un perfil de reenvo de logs o un perfil de reenvo de logs predeterminado. Para obtener ms informacin,
consulte Perfiles de reenvo de logs.
Informes y logs
195
Informes y logs
Para una notificacin inmediata de amenazas o eventos crticos del sistema que requieren su atencin,
puede generar traps SNMP o enviar alertas de correo electrnico. Consulte Configuracin de alertas de
correo electrnico y/o Configuracin de los destinos de Trap SNMP.
Para aadir y elaborar informes de datos de logs de cortafuegos de Palo Alto Networks, puede reenviar los
logs a un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Habilitacin del
reenvo de logs.
Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar
logs de trfico a un servidor Syslog y logs de sistema a uno diferente. Tambin puede incluir varias entradas de
servidor en un nico perfil de servidor para poder registrarse en varios servidores Syslog y conseguir
redundancia.
De forma predeterminada, todos los datos de logs se reenvan a travs de la interfaz de gestin.
Si pretende usar una interfaz que no sea de gestin, deber configurar una ruta de servicio para
cada servicio al que desee reenviar logs, como se describe en el paso 5 del procedimiento para
Establecimiento de acceso a la red para servicios externos.
196
Informes y logs
Informes y logs
Paso 1
1.
2.
3.
4.
5.
Paso 2
(Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea ms
mensajes de correo electrnico que enva informacin sobre cmo crear formatos personalizados para los
el cortafuegos.
distintos tipos de log, consulte Common Event Format
Configuration Guide (Gua de configuracin de formato de eventos
comunes).
Paso 3
Informes y logs
1.
2.
197
Informes y logs
Paso 1
3.
198
Informes y logs
Informes y logs
Paso 2
Cree un perfil de servidor que contenga la informacin para conectarse y autenticar los gestores de SNMP.
1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.
4. Especifique la versin de SNMP que est usando (V2c o V3).
5. Haga clic en Aadir para aadir una nueva entrada de receptor de trap SNMP (puede aadir hasta cuatro
receptores de traps por perfil de servidor). Los valores requeridos dependen de si est usando SNMP V2c
o V3, como se explica a continuacin:
SNMP V2c
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.
SNMP V3
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP.
EngineID: ID de motor del cortafuegos, segn se ha identificado en el Paso 1. Es un valor hexadecimal de
entre 5 y 64 bytes con un prefijo 0x. Cada cortafuegos tiene un ID de motor nico.
Contrasea de autenticacin: Contrasea que se usar para los mensajes de nivel authNoPriv para
el gestor de SNMP. Esta contrasea contar con un algoritmo hash de seguridad (SHA-1), pero no
estar cifrada.
Contrasea priv.: Contrasea que se usar para los mensajes de nivel authPriv para el gestor de SNMP.
Esta contrasea tendr un algoritmo hash SHA y estar cifrada con el estndar de cifrado avanzado
(AES 128).
6. Haga clic en Aceptar para guardar el perfil de servidor.
Paso 3
(Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envan a travs de la
para traps SNMP.
interfaz de gestin. Si desea utilizar una interfaz diferente para traps
SNMP, deber editar la ruta de servicio para permitir que el
cortafuegos acceda a su gestor de SNMP. Consulte Establecimiento
de acceso a la red para servicios externos para obtener instrucciones.
Paso 4
Paso 5
Informes y logs
199
Informes y logs
El cortafuegos genera seis tipos de logs que pueden reenviarse a un servidor Syslog externo: trfico, amenaza,
WildFire, coincidencia del perfil de informacin de host (HIP), configuracin y sistema. Si quiere reenviar todos
o algunos de estos logs a un servicio externo para un almacenamiento y un anlisis a largo plazo, puede utilizar
TCP o SSL para un transporte fiable y seguro de logs, o UDP para un transporte no seguro.
Configuracin del reenvo de Syslog
Paso 1
1.
2.
3.
4.
Haga clic en Aadir para aadir una nueva entrada del servidor
Syslog e introduzca la informacin necesaria para conectar con
el servidor Syslog (puede aadir hasta cuatro servidores Syslog
al mismo perfil):
Nombre: Nombre exclusivo para el perfil de servidor.
Servidor: Direccin IP o nombre de dominio completo
(FQDN) del servidor Syslog.
Transporte: Seleccione TCP, UDP o SSL como el mtodo de
comunicacin con el servidor Syslog.
Puerto: Nmero de puerto por el que se enviarn mensajes
de Syslog (el valor predeterminado es UDP en el puerto 514);
debe usar el mismo nmero de puerto en el cortafuegos y en
el servidor Syslog.
Formato: Seleccione el formato de mensaje de Syslog que se
debe utilizar, BSD o IETF. Tradicionalmente, el formato
BSD es a travs de UDP y el formato IETF es a travs de
TCP/SSL. Para configurar el reenvo de Syslog seguro con la
autenticacin de cliente, consulte Configuracin del
cortafuegos para autenticarlo con el servidor Syslog.
Instalaciones: Seleccione uno de los valores de Syslog
estndar, que se usa para calcular el campo de prioridad (PRI)
en la implementacin de su servidor Syslog. Debe seleccionar
el valor que asigna cmo usa el campo PRI para gestionar sus
mensajes de Syslog.
200
5.
6.
Informes y logs
Informes y logs
Paso 2
1.
(Opcional) Configure el formato de
encabezado utilizado en los mensajes de
Syslog. La seleccin del formato de
2.
encabezado ofrece ms flexibilidad para
3.
filtrar y crear informes sobre los datos de
log para algunos SIEM.
Paso 3
Paso 4
Paso 5
La clave privada debe estar disponible en el dispositivo de envo; las claves no pueden almacenarse en un
mdulo de seguridad de hardware (HSM).
Informes y logs
201
Informes y logs
El certificado no es una CA de confianza ni una solicitud de firma de certificado (CSR). Ninguno de estos
tipos de certificados puede habilitarse para una comunicacin Syslog segura.
Paso 1
3.
4.
5.
6.
7.
8.
9.
10. Verifique los detalles del certificado y que est marcado para Uso
como Certificado para Syslog seguro.
202
Informes y logs
Informes y logs
Logs de trfico: Habilita el reenvo de logs de trfico creando un perfil de reenvo de logs (Objetos > Reenvo
de logs) y aadindolo a las polticas de seguridad que desea que activen el reenvo de logs. Solo el trfico que
coincida con una regla especfica dentro de la poltica de seguridad ser registrado y enviado. Para obtener
informacin sobre la configuracin de un perfil de reenvo de logs, consulte Perfiles de reenvo de logs.
Logs de amenaza: Habilita el reenvo de logs de amenaza creando un perfil de reenvo de logs (Objetos >
Reenvo de logs) que especifique qu niveles de seguridad desea reenviar y, a continuacin, aadindolo a las
polticas de seguridad para las que desea activar el reenvo de logs. Solo se crear (y enviar) una entrada de
log de amenaza si el trfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware,
Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Proteccin DoS). Para obtener
informacin sobre la configuracin de un perfil de reenvo de logs, consulte Perfiles de reenvo de logs.
La siguiente tabla resume los niveles de gravedad de las amenazas:
Gravedad
Descripcin
Crtico
Alto
Medio
Bajo
Informes y logs
203
Informes y logs
Gravedad
Descripcin
Informativo
Descripcin
Crtico
Alto
Medio
Bajo
Informativo
204
Informes y logs
Informes y logs
Paso 1
1.
2.
3.
4.
Paso 1
5.
1.
Paso 1
3.
1.
2.
3.
Informes y logs
Seleccione Confirmar.
205
Informes y logs
1.
2.
3.
4.
5.
206
Informes y logs
Informes y logs
Paso 1
Paso 2
1.
2.
3.
Informes y logs
4.
5.
207
Informes y logs
Paso 3
Paso 4
Paso 5
Configure el software de gestin de Consulte las instrucciones especficas para realizar este proceso en la
SNMP para que supervise los OID documentacin de su gestor de SNMP.
que le interesan.
Paso 6
208
Informes y logs
Informes y logs
Paso 1
Paso 2
1.
2.
3.
4.
5.
Para cada recopilador NetFlow (hasta dos por perfil) que reciba
campos, haga clic en Aadir y especifique un Nombre de
servidor, nombre de host o direccin IP que faciliten la
identificacin (Servidor NetFlow), y acceda al Puerto (el valor
predeterminado es 2055).
6.
Informes y logs
3.
209
Plantillas de NetFlow
Informes y logs
Plantillas de NetFlow
El cortafuegos de Palo Alto Networks admite las siguientes plantillas de NetFlow:
Plantilla
ID
IPv4 Standard
256
IPv4 Enterprise
257
IPv6 Standard
258
IPv6 Enterprise
259
260
En la siguiente tabla se incluyen los campos de NetFlow que el cortafuegos puede enviar junto con las plantillas
que los definen:
Valor Campo
Descripcin
Plantillas
IN_BYTES
Contador de entrada con una longitud de N * 8 bits para el Todas las plantillas
nmero de bytes asociado a un flujo IP. De forma
predeterminada, N es 4.
IN_PKTS
Contador de entrada con una longitud de N * 8 bits para el Todas las plantillas
nmero de paquetes asociado a un flujo IP. De forma
predeterminada, N es 4.
PROTOCOL
TOS
TCP_FLAGS
L4_SRC_PORT
IPV4_SRC_ADDR
IPv4 Standard
IPv4 Enterprise
IPv4 con NAT Standard
IPv4 con NAT Enterprise
10
INPUT_SNMP
11
L4_DST_PORT
210
Informes y logs
Informes y logs
Plantillas de NetFlow
Valor Campo
Descripcin
Plantillas
12
IPv4 Standard
IPV4_DST_ADDR
IPv4 Enterprise
IPv4 con NAT Standard
IPv4 con NAT Enterprise
14
OUTPUT_SNMP
21
LAST_SWITCHED
22
FIRST_SWITCHED
27
IPV6_SRC_ADDR
IPv6 Standard
IPv6 Enterprise
28
IPV6_DST_ADDR
IPv6 Standard
IPv6 Enterprise
32
ICMP_TYPE
DIRECTION
Direccin de flujo:
0 = entrada
1 = salida
148
flowId
233
firewallEvent
Informes y logs
211
Plantillas de NetFlow
Informes y logs
Valor Campo
Descripcin
Plantillas
225
postNATSourceIPv4
Address
226
postNATDestinationI La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard
Pv4Address
la de destinationIPv4Address, a excepcin de que indica un IPv4 con NAT Enterprise
valor modificado que una funcin de middlebox (dispositivo
intermedio de control) NAT genera una vez pasado el
paquete al punto de observacin.
227
postNAPTSourceTran La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard
sportPort
la de sourceTransportPort, a excepcin de que indica un
IPv4 con NAT Enterprise
valor modificado que una funcin de middlebox (dispositivo
intermedio de control) NAPT (traduccin de puerto de
direccin de red) genera una vez pasado el paquete al punto
de observacin.
228
postNAPTDestinatio
nTransportPort
346
privateEnterpriseNum Nmero de empresa privado nico que identifica a Palo Alto IPv4 Enterprise
ber
Networks: 25461.
IPv4 con NAT Enterprise
IPv6 Enterprise
56701 App-ID
IPv4 Enterprise
IPv4 con NAT Enterprise
IPv6 Enterprise
56702 User-ID
IPv4 Enterprise
IPv4 con NAT Enterprise
IPv6 Enterprise
212
Informes y logs
Informes y logs
Los ndices de interfaces fsicas estn comprendidos en un intervalo de 1-9999, el cual calcula el cortafuegos del
modo siguiente:
Plataforma de cortafuegos
Clculo
No basada en bastidor:
La plataforma de la serie
PA-4000 es compatible
con SNMP, pero no con
NetFlow.
Basada en bastidor:
Cortafuegos PA-7050
Esta plataforma es
compatible con SNMP,
pero no con NetFlow.
Los ndices de interfaces lgicas para todas las plataformas son nmeros de nueve dgitos que el cortafuegos
calcula del modo siguiente:
Informes y logs
213
Tipo de
interfaz
Intervalo
Interfaz de
capa 3
101010001- Tipo: 1
199999999
Ranura de Puerto de
Subinterfaz:
interfaz: 1-9 interfaz: 1-9 sufijo 1-9999
(01-09)
(01-09)
(0001-9999)
Interfaz de
capa 2
101010001- Tipo: 1
199999999
Ranura de Puerto de
Subinterfaz:
interfaz: 1-9 interfaz: 1-9 sufijo 1-9999
(01-09)
(01-09)
(0001-9999)
Subinterfaz
Vwire
101010001- Tipo: 1
199999999
Ranura de Puerto de
Subinterfaz:
interfaz: 1-9 interfaz: 1-9 sufijo 1-9999
(01-09)
(01-09)
(0001-9999)
VLAN
200000001- Tipo: 2
200009999
00
00
Sufijo de
VLAN:
1-9999
(0001-9999)
Bucle invertido
300000001- Tipo: 3
300009999
00
00
Tnel
400000001- Tipo: 4
400009999
00
00
Sufijo de
tnel: 1-9999
(0001-9999)
Grupo de
agregados
500010001- Tipo: 5
500089999
00
Sufijo AE:
1-8 (01-08)
Subinterfaz:
sufijo 1-9999
(0001-9999)
214
Dgitos 1-4
Informes y logs
Informes y logs
Informes y logs
Gestin de informes
Gestin de informes
Las funciones de generacin de informes del cortafuegos le permiten comprobar el estado de su red, validar sus
polticas y concentrar sus esfuerzos en mantener la seguridad de la red para que sus usuarios estn protegidos y
sean productivos.
Visualizacin de informes
Informes y logs
215
Gestin de informes
Informes y logs
Informes predefinidos: Le permiten ver un resumen rpido del trfico de su red. Hay disponible un
conjunto de informes predefinidos divididos en cuatro categoras: Aplicaciones, Trfico, Amenaza y Filtrado
de URL. Consulte Visualizacin de informes.
Informes de actividad de usuario o grupo: Le permiten programar o crear un informe a peticin sobre
el uso de la aplicacin y la actividad de URL para un usuario especfico o para un grupo de usuarios. El
informe incluye las categoras de URL y un clculo del tiempo de exploracin estimado para usuarios
individuales. Consulte Generacin de informes de Botnet.
Los informes se pueden generar segn se necesiten, con una planificacin recurrente, y se puede programar su
envo diario por correo electrnico.
216
Informes y logs
Informes y logs
Gestin de informes
Visualizacin de informes
El cortafuegos proporciona una variedad de ms de 40 informes predefinidos que se generan cada da. Estos
informes se pueden visualizar directamente en el cortafuegos. Adems de estos informes, puede visualizar
informes personalizados e informes de resumen programados.
Se asignan aproximadamente 200 MB de almacenamiento para guardar informes en el cortafuegos. El usuario
no puede configurar este espacio de almacenamiento y los informes ms antiguos se purgan para almacenar
informes recientes. Por lo tanto, para una retencin a largo plazo de los informes, puede exportar los informes
o programar los informes para la entrega por correo electrnico. Para deshabilitar informes seleccionados y
conservar recursos del sistema en el cortafuegos, consulte Deshabilitacin de informes predefinidos.
Los informes de actividad de usuario/grupo deben generarse a peticin o programarse para una
entrega por correo electrnico. A diferencia de los otros informes, estos informes no se pueden
guardar en el cortafuegos.
Visualizacin de informes
Paso 1
Paso 2
Paso 3
Para visualizar un informe fuera de lnea, puede exportar el informe en los formatos PDF, CSV o XML. Haga
clic en Exportar a PDF, Exportar a CSV o Exportar a XML en la parte inferior de la pgina. A continuacin,
imprima o guarde el archivo.
Informes y logs
217
Gestin de informes
Informes y logs
1.
2.
3.
4.
218
Informes y logs
Informes y logs
Gestin de informes
Descripcin
Origen de datos
Archivo de datos que se utiliza para generar el informe. El cortafuegos ofrece dos tipos
de orgenes de datos: bases de datos de resumen y logs detallados.
Las bases de datos de resumen estn disponibles para estadsticas de trfico,
amenaza y aplicacin. El cortafuegos agrega los logs detallados en trfico, aplicacin
y amenaza en intervalos de 15 minutos. Los datos estn condensados; es decir, las
sesiones estn agrupadas y aumentan con un contador de repeticiones y algunos
atributos (o columnas) no se incluyen en el resumen. Esta condensacin permite un
tiempo de respuesta ms rpido al generar informes.
Los logs detallados se componen de elementos y son una lista completa de todos los
atributos (o columnas) relativos a la entrada de log. Los informes basados en logs
detallados tardan mucho ms en ejecutarse y no se recomiendan a menos que sea
absolutamente necesario.
Atributos
Columnas que quiere utilizar como criterios de coincidencia. Los atributos son las
columnas disponibles para su seleccin en un informe. Desde la lista de Columnas
disponibles, puede aadir los criterios de seleccin para datos coincidentes y para
agregar la informacin detallada (Columnas seleccionadas).
Ordenar por/Agrupar por Los criterios Ordenar por y Agrupar por le permiten organizar/segmentar los datos
del informe; los atributos de ordenacin y agrupacin disponibles varan basndose en
el origen de datos seleccionado.
La opcin Ordenar por especifica el atributo que se utiliza para la agregacin. Si no
selecciona un atributo segn el cul ordenar, el informe devolver el primer nmero N
de resultados sin ninguna agregacin.
La opcin Agrupar por le permite seleccionar un atributo y utilizarlo como ancla para
agrupar datos; a continuacin, todos los datos del informe se presentarn en un
conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo, si selecciona Hora para
Agrupar por y desea disponer de los 25 grupos principales durante un perodo de 24
horas, los resultados del informe se generan cada hora durante un perodo de 24 horas.
La primera columna del informe ser la hora y el siguiente conjunto de columnas ser
el resto de las columnas del informe seleccionadas.
Informes y logs
219
Gestin de informes
Seleccin
Informes y logs
Descripcin
Las columnas dentro de un crculo rojo (arriba) muestran las columnas seleccionadas,
que son los atributos que deben coincidir para generar el informe. Se analiza cada
entrada de log del origen de datos y se establecen las coincidencias con estas columnas.
Si varias sesiones tienen los mismos valores para las columnas seleccionadas, las
sesiones se agregarn y se incrementar el recuento de repeticiones (o sesiones).
La columna dentro de un crculo azul indica el orden de clasificacin seleccionado.
Cuando se especifica el orden de clasificacin (Ordenar por), los datos se ordenan (y
agregan) segn el atributo seleccionado.
La columna dentro de un crculo verde indica la seleccin de Agrupar por, que sirve
de ancla para el informe. La columna Agrupar por se utiliza como criterio de
coincidencia para filtrar los N grupos principales. A continuacin, para cada uno de los
N grupos principales, el informe enumera los valores del resto de las columnas
seleccionadas.
220
Informes y logs
Informes y logs
Seleccin
Gestin de informes
Descripcin
El informe est anclado por Da y se ordena por Sesiones. Enumera los 5 das (5 grupos) con el mximo de trfico
en el perodo de tiempo de ltimos 7 das. Los datos se enumeran segn las 5 principales sesiones de cada da para
las columnas seleccionadas: Categora de aplicacin, Subcategora de aplicacin y Riesgo.
Perodo de tiempo
Rango de fechas para el que quiere analizar datos. Puede definir un rango
personalizado o seleccionar un perodo de tiempo que vaya desde los ltimos
15 minutos hasta los ltimos 30 das. Los informes se pueden ejecutar a peticin o se
pueden programar para su ejecucin cada da o cada semana.
Generador de consultas
Informes y logs
221
Gestin de informes
Informes y logs
1.
2.
3.
Cada vez que cree un informe personalizado, se crear un informe Vista de log automticamente. Este informe
muestra los logs que se utilizaron para crear el informe personalizado. El informe Vista de log utiliza el mismo
nombre que el informe personalizado, pero aade la frase Log View al nombre del informe.
Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para obtener
ms informacin, consulte Gestin de grupos de informes.
4.
Seleccione la casilla de verificacin Programado para ejecutar el informe cada noche. A continuacin, el informe
estar disponible para su visualizacin en la columna Informes del lateral.
5.
Defina los criterios de filtrado. Seleccione el Perodo de tiempo, el orden Ordenar por y la preferencia Agrupar por
y seleccione las columnas que deben mostrarse en el informe.
6.
(Opcional) Seleccione los atributos de Generador de consultas si desea limitar aun ms los criterios de seleccin.
Para crear una consulta de informe, especifique lo siguiente y haga clic en Aadir. Repita las veces que sean necesarias
para crear la consulta completa.
Conector: Seleccione el conector (y/o) para preceder la expresin que est agregando.
Negar: Seleccione la casilla de verificacin para interpretar la consulta como una negativa. Si, por ejemplo, decide hacer
coincidir las entradas de las ltimas 24 horas o se originan en la zona no fiable, la opcin de negacin produce una
coincidencia en las entradas que no se hayan producido en las ltimas 24 horas o no pertenezcan a la zona no fiable.
Atributo: Seleccione un elemento de datos. Las opciones disponibles dependen de la eleccin de la base de datos.
Operador: Seleccione el criterio para determinar si se aplica el atributo (como =). Las opciones disponibles
dependen de la eleccin de la base de datos.
Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustracin (basada en la base de datos Log de trfico) muestra una consulta que coincide
si se ha recibido la entrada de log de trfico en las ltimas 24 horas de la zona no fiable.
7.
Para comprobar los ajustes de informes, seleccione Ejecutar ahora. Modifique los ajustes segn sea necesario para
cambiar la informacin que se muestra en el informe.
8.
222
Informes y logs
Informes y logs
Gestin de informes
Si desea configurar un informe sencillo en el que utiliza la base de datos de resumen de trfico de los ltimos
30 das y ordena los datos por las 10 sesiones principales y dichas sesiones se agrupan en 5 grupos por da de
la semana. Debera configurar el informe personalizado para que tuviera un aspecto parecido a este:
Informes y logs
223
Gestin de informes
Informes y logs
Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente a los
principales consumidores de los recursos de red dentro de un grupo de usuarios, debera configurar el informe
para que tuviera un aspecto parecido a este:
El informe debera mostrar a los principales usuarios del grupo de usuarios de gestin de productos ordenados
por bytes, de la manera siguiente:
224
Informes y logs
Informes y logs
Gestin de informes
1.
2.
Seleccione Supervisar > Botnet y haga clic en el botn Configuracin del lado derecho de la pgina.
Para el trfico HTTP, seleccione la casilla de verificacin Habilitar para los eventos que desea incluir en los informes:
Visita a URL de software malintencionado: Identifica a los usuarios que se estn comunicando con URL con
software malintencionado conocidas basndose en las categoras de filtrado de URL de software malintencionado
y Botnet.
Uso de DNS dinmica: Busca trfico de consultas DNS dinmicas que pueden indicar una comunicacin de botnet.
Navegacin por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL.
Navegacin en dominios registrados recientemente: Busca trfico en dominios que se han registrado en los
ltimos 30 das.
Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL
desconocidas.
3.
Para aplicaciones desconocidas, seleccione aplicaciones con TCP desconocido o UDP desconocido como sospechosas
y especifique la siguiente informacin:
Sesiones por hora: Nmero de sesiones de aplicacin por hora asociadas a la aplicacin desconocida.
Destinos por hora: Nmero de destinos por hora asociados a la aplicacin desconocida.
Bytes mnimos: Tamao mnimo de carga.
Bytes mximos: Tamao mximo de carga.
Informes y logs
225
Gestin de informes
Informes y logs
4.
Seleccione la casilla de verificacin para incluir servidores IRC como sospechosos. Los servidores IRC a menudo
utilizan bots para funciones automatizadas.
1.
En Perodo de ejecucin del informe, seleccione el intervalo de tiempo para el informe (ltimas 24 horas o
ltimo da del calendario).
2.
3.
Seleccione Programado para ejecutar el informe a diario. De manera alternativa, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet.
4.
Cree la consulta de informe especificando lo siguiente y, a continuacin, haga clic en Aadir para agregar la
expresin configurada a la consulta. Repita las veces que sean necesarias para crear la consulta completa:
Conector: Especifique un conector lgico (Y/O).
Atributo: Especifique la zona, la direccin o el usuario de origen o destino.
Operador: Especifique el operador para relacionar el atributo con un valor.
Valor: Especifique el valor para coincidir.
5.
Seleccione Negar para aplicar la negacin a la consulta especificada, lo que significa que el informe contendr
toda la informacin que no sea resultado de la consulta definida.
6.
226
Informes y logs
Informes y logs
Gestin de informes
Paso 1
1.
2.
3.
en PDF.
Informes y logs
4.
5.
227
Gestin de informes
Informes y logs
Paso 2
228
Vea el informe.
Informes y logs
Informes y logs
Gestin de informes
1.
Seleccione Supervisar > Informes en PDF > Informe de actividad del usuario.
2.
3.
Cree el informe:
Para un informe de actividad del usuario: Seleccione Usuario e introduzca el Nombre de usuario o la
Direccin IP (IPv4 o IPv6) del usuario que ser el asunto del informe.
Para informe de actividad de grupo: Seleccione Grupo y seleccione el Nombre de grupo para el que recuperar
informacin de grupos de usuarios en el informe.
4.
5.
Seleccione Incluir exploracin detallada para incluir logs de URL detallados en el informe.
La informacin de navegacin detallada puede incluir un gran volumen de logs (miles de logs) para el usuario o grupo
de usuarios seleccionado y puede hacer que el informe sea muy extenso.
6.
7.
Para guardar el informe, haga clic en Aceptar. Los informes de actividad del usuario/grupo no se pueden guardar en
el cortafuegos; para programar el informe para una entrega por correo electrnico, consulte Programacin de
informes para entrega de correos electrnicos.
Informes y logs
229
Gestin de informes
Informes y logs
Paso 1
1.
2.
230
Informes y logs
Informes y logs
Gestin de informes
1.
2.
Seleccione el Grupo de informes para la entrega de correos electrnicos. Para configurar un grupo de informes,
consulte Gestin de grupos de informes.
3.
4.
Seleccione el perfil del servidor de correo electrnico que debe utilizarse para entregar los informes. Para configurar
un perfil de servidor de correo electrnico, consulte Cree un perfil de servidor para su servidor de correo electrnico.
5.
Cancelar correos electrnicos del destinatario le permite enviar este informe exclusivamente a los destinatarios
especificados en este campo. Cuando aade destinatarios a Cancelar correos electrnicos del destinatario, el
informe no se enva a los destinatarios configurados en el perfil de servidor de correo electrnico. Utilice esta opcin
para las ocasiones en las que el informe vaya dirigido a una persona distinta de los administradores o destinatarios
definidos en el perfil de servidor de correo electrnico.
Informes y logs
231
Informes y logs
Logs de trfico
Logs de amenaza
Logs de configuracin
Logs de sistema
Gravedad de Syslog
Secuencias de escape
Logs de trfico
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Bytes, Bytes enviados,
Bytes recibidos, Paquetes, Fecha de inicio, Tiempo transcurrido, Categora, FUTURE_USE, Nmero de
secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de destino, FUTURE_USE, Paquetes enviados,
Paquetes recibidos, Razn del fin de sesin*
Nombre de campo
Descripcin
Tipo (type)
Especifica el tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema
y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar y Denegar.
Iniciar: sesin iniciada.
Finalizar: sesin finalizada.
Colocar: sesin colocada antes de identificar la aplicacin; no hay ninguna regla
que permita la sesin.
Denegar: sesin colocada despus de identificar la aplicacin; hay una regla para
bloquear o no hay ninguna regla que permita la sesin.
232
Informes y logs
Informes y logs
Nombre de campo
Descripcin
IP de destino (dst)
Aplicacin (app)
ID de sesin (sessionid)
Nmero de repeticiones
(repeatcnt)
Informes y logs
233
Informes y logs
Nombre de campo
Descripcin
Marcas (flags)
Protocolo (proto)
Accin (action)
Bytes (bytes)
Paquetes (packets)
Categora (category)
234
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Razn por la que ha finalizado una sesin. Si la finalizacin ha tenido varias causas,
este campo solo muestra la ms importante. Los valores de la posible razn de
finalizacin de la sesin son los siguientes en orden de prioridad (el primero es el
ms importante):
threat: el cortafuegos ha detectado una amenaza asociada a una accin de
restablecimiento, borrado o bloqueo (direccin IP).
policy-deny: la sesin ha hecho coincidir una poltica de seguridad con una accin
de denegacin o borrado.
tcp-rst-from-client: el cliente ha enviado un restablecimiento de TCP al servidor.
tcp-rst-from-server: el servidor ha enviado un restablecimiento de TCP al cliente.
resources-unavailable: la sesin se ha cancelado debido a una limitacin de
recursos del sistema. Por ejemplo, la sesin podra haber superado el nmero de
paquetes que no funcionan permitidos por flujo o por la cola de paquetes que no
funcionan globales.
tcp-fin: uno o varios hosts de la conexin han enviado un mensaje FIN de TCP
para cerrar la sesin.
tcp-reuse: se reutiliza una sesin y el cortafuegos cierra la sesin anterior.
decoder: el decodificador detecta una nueva conexin en el protocolo (como
HTTP-Proxy) y finaliza la conexin anterior.
aged-out: la sesin ha caducado.
unknown: este valor se aplica en las siguientes situaciones:
Terminaciones de sesiones a las que no se aplican los motivos anteriores (por
ejemplo, un comando clear session all).
Para logs generados en una versin de PAN-OS que no admite el campo de
razn de finalizacin de sesin (versiones posteriores a PAN-OS 6.1), el valor
ser unknown (desconocido) despus de una actualizacin de la versin actual
de PAN-OS o despus de que los logs se carguen en el cortafuegos.
En Panorama, los logs recibidos de los cortafuegos para los que la versin de
PAN-OS no admite razones de finalizacin de sesin tendrn un valor
unknown.
n/a: este valor se aplica cuando el tipo de log de trfico no es end.
Informes y logs
235
Informes y logs
Logs de amenaza
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Varios, ID de amenaza,
Categora, Gravedad, Direccin, Nmero de secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de
destino, FUTURE_USE, Tipo de contenido, ID de captura de paquetes, Resumen de archivo, Nube,
FUTURE_USE, Agente de usuario*, Tipo de archivo*, X-Forwarded-For*, Sitio de referencia*, Remitente*,
Asunto*, Destinatario*, ID de informe*
Nombre de campo
Descripcin
Tipo (type)
Especifica el tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y
Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de amenaza; los valores son URL, Virus, Spyware, Vulnerabilidades,
Archivo, Analizar, Inundacin, Datos y WildFire:
URL: log de filtrado de datos
Virus: deteccin de virus
Spyware: deteccin de spyware
Vulnerabilidades: deteccin de exploits de vulnerabilidades
Archivo: log de tipo de archivo
Analizar: exploracin detectada mediante un perfil de proteccin de zona
Inundacin: inundacin detectada mediante un perfil de proteccin de zona
Datos: patrn de datos detectado desde un perfil de proteccin de zona
WildFire: log de WildFire
Tiempo generado
(time_generated)
IP de origen (src)
IP de destino (dst)
Aplicacin (app)
236
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Interfaz de entrada
(inbound_if)
Interfaz de salida
(outbound_if)
Perfil de reenvo de logs
(logset)
ID de sesin (sessionid)
Nmero de repeticiones
(repeatcnt)
Marcas (flags)
Campo de 32 bits que proporciona informacin detallada sobre la sesin; este campo
puede descodificarse aadiendo los valores con Y y con el valor registrado:
0x80000000: la sesin tiene una captura de paquetes (PCAP)
0x02000000: sesin IPv6.
0x01000000: la sesin SSL se ha descifrado (proxy SSL).
0x00800000: la sesin se ha denegado a travs del filtrado de URL.
0x00400000: la sesin ha realizado una traduccin NAT (NAT).
0x00200000: la informacin de usuario de la sesin se ha capturado mediante el
portal cautivo (Portal cautivo).
0x00080000: el valor X-Forwarded-For de un proxy est en el campo Usuario de
origen.
0x00040000: el log corresponde a una transaccin en una sesin de proxy HTTP
(Transaccin proxy).
0x00008000: la sesin es un acceso a la pgina de contenedor (Pgina de
contenedor).
0x00002000: la sesin tiene una coincidencia temporal en una regla para la gestin
de las dependencias de las aplicaciones implcitas. Disponible en PAN-OS 5.0.0 y
posterior.
0x00000800: se utiliz el retorno simtrico para reenviar trfico para esta sesin.
Protocolo (proto)
Informes y logs
237
Informes y logs
Nombre de campo
Descripcin
Accin (action)
Accin realizada para la sesin; los valores son Alerta, Permitir, Denegar, Colocar,
Colocar todos los paquetes, Restablecer cliente, Restablecer servidor, Restablecer
ambos y Bloquear URL.
Alerta: amenaza o URL detectada pero no bloqueada.
Permitir: alerta de deteccin de inundacin.
Denegar: mecanismo de deteccin de inundacin activado y denegacin de trfico
basndose en la configuracin.
Colocar: amenaza detectada y se descart la sesin asociada.
Colocar todos los paquetes: amenaza detectada y la sesin permanece, pero se
colocan todos los paquetes.
Restablecer cliente: amenaza detectada y se enva un TCP RST al cliente.
Restablecer servidor: amenaza detectada y se enva un TCP RST al servidor.
Restablecer ambos: amenaza detectada y se enva un TCP RST tanto al cliente como
al servidor.
Bloquear URL: la solicitud de URL se bloque porque coincida con una categora
de URL que se haba establecido como bloqueada.
Varios (misc)
ID de amenaza (threatid)
Categora (category)
Gravedad (severity)
Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio, Alto y
Crtico.
238
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Direccin (direction)
Nube (cloud)
Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.
La cadena cloud muestra el FQDN del dispositivo WildFire (privado) o la nube de
WildFire (pblica) desde donde se carg el archivo para su anlisis.
Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan este campo.
El campo Agente de usuario especifica el explorador web que utiliza el usuario para
acceder a la URL (por ejemplo, Internet Explorer). Esta informacin se enva en la
solicitud de HTTP al servidor.
Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.
Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan este campo.
X-Forwarded-For (xff)
Informes y logs
239
Informes y logs
Nombre de campo
Descripcin
Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan este campo.
Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.
Remitente (sender)
Asunto (subject)
Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.
Destinatario (recipient)
Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.
ID de informe (reportid)
Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias HIP.
Subtipo (subtype)
Tiempo generado
(time_generated)
Nombre de la mquina
(machinename)
240
Informes y logs
Informes y logs
Nombre de campo
Descripcin
SO
HIP (matchname)
Nmero de repeticiones
(repeatcnt)
Nmero de secuencia
(seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada tipo de log
tiene un espacio de nmero nico. Este campo no es compatible con los cortafuegos
PA-7050.
Marcas de accin
(actionflags)
Logs de configuracin
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, Host, Sistema virtual, Comando, Administrador, Cliente, Resultado, Ruta de configuracin, Nmero
de secuencia, Marcas de accin, Detalle antes del cambio*, Detalle despus del cambio*
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias HIP.
Subtipo (subtype)
Tiempo generado
(time_generated)
Host (host)
Comando (cmd)
Comando ejecutado por el administrador; los valores son Aadir, Duplicar, Compilar,
Eliminar, Editar, Mover, Renombrar, Establecer y Validar.
Administrador (admin)
Cliente (client)
Resultado (result)
Informes y logs
241
Informes y logs
Nombre de campo
Descripcin
Ruta de configuracin
(path)
Ruta del comando de configuracin emitido; puede tener una longitud de hasta 512 bytes.
Nmero de secuencia
(seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de log
tiene un espacio de nmero exclusivo. Este campo no es compatible con los cortafuegos
PA-7050.
Marcas de accin
(actionflags)
Este campo solo se incluye en los logs personalizados y no tiene el formato predeterminado.
Detalle despus del cambio Este campo solo se incluye en los logs personalizados y no tiene el formato predeterminado.
(after_change_detail)
Contiene la xpath completa despus del cambio de configuracin.
Novedad en la versin 6.1
Logs de sistema
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, Sistema virtual, ID de evento, Objeto, FUTURE_USE, FUTURE_USE, Mdulo, Gravedad,
Descripcin, Nmero de secuencia, Marcas de accin
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias
HIP.
Subtipo (subtype)
Subtipo del log de sistema; hace referencia al demonio de sistema que genera el log; los
valores son Criptogrfico, DHCP, Proxy DNS, Denegacin de servicio, General,
GlobalProtect, HA, Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, ID de usuario, Filtrado de URL y VPN.
Tiempo generado
(time_generated)
ID de evento (eventid)
Objeto (object)
Mdulo (module)
Este campo nicamente es vlido cuando el valor del campo Subtipo es General.
Proporciona informacin adicional acerca del subsistema que genera el log; los valores son
General, Gestin, Autenticacin, HA, Actualizar y Bastidor.
242
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Gravedad (severity)
Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y Crtico.
Descripcin (opaque)
Nmero de secuencia
(seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada tipo de log
tiene un espacio de nmero nico. Este campo no es compatible con los cortafuegos
PA-7050.
Marcas de accin
(actionflags)
Gravedad de Syslog
La gravedad de Syslog se establece basndose en el tipo de log y el contenido.
Tipo/gravedad de log
Gravedad de Syslog
Trfico
Informacin
Configurar
Informacin
Amenaza/Sistema: Informativo
Informacin
Amenaza/Sistema: Bajo
Aviso
Amenaza/Sistema: Medio
Advertencia
Amenaza/Sistema: Alto
Error
Amenaza/Sistema: Crtico
Crtico
Secuencias de escape
Cualquier campo que contenga una coma o comillas dobles aparecer entre comillas dobles. Adems, si aparecen
comillas dobles dentro de un campo, se definirn como carcter de escape anteponindoles otras comillas
dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de amenaza siempre
aparecer entre comillas dobles.
Informes y logs
243
Informes y logs
244
Informes y logs
User-ID
La identificacin de usuarios (User-ID) es una funcin de cortafuegos de prxima generacin de Palo Alto
Networks que le permite crear polticas y realizar informes basndose en usuarios y grupos en lugar de
direcciones IP individuales. Las siguientes secciones describen la funcin User-ID de Palo Alto Networks y
ofrecen instrucciones sobre cmo configurar el acceso basado en usuarios y grupos:
Conceptos de User-ID
Habilitacin de User-ID
User-ID
245
User-ID
eDirectory Novell
Para poder crear polticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos los usuarios
disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus
polticas. Obtiene esta informacin de Asignacin de grupos conectndose directamente a su servidor de
directorio LDAP.
Para poder aplicar las polticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones
IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para
obtener estas asignaciones de direcciones IP a nombres de usuarios. Por ejemplo, utiliza agentes para supervisar
logs de servidor en busca de eventos de inicio de sesin y/o sondear clientes, as como escuchar mensajes de
Syslog de servicios de autenticacin. Para identificar asignaciones de direcciones IP que no se asignaron
mediante uno de los mecanismos de agente, puede configurar el cortafuegos para que redirija las solicitudes
HTTP a un inicio de sesin de portal cautivo. Puede personalizar los mecanismos que utiliza para la Asignacin
de usuario para que se adapten a su entorno, e incluso puede utilizar diferentes mecanismos en sitios distintos.
246
User-ID
User-ID
Ilustracin: User-ID
Joe
Sondeo
de clientes
eDirectory
Portal
cautivo
GlobalProtect
Controlador
de dominios
Agente de
servicios Aerohive AP
de terminal
Blue Coat
AUTENTICACIN DE USUARIOS
Juniper UAC
RECEPTOR DE SYSLOG
EVENTO DE AUTENTICACIN
Directorios
Servicios Servicios de
de terminal autenticacin
Dispositivos de Joe
11.11.11.11
12.12.12.12
API XML
Directorios
Funciones/grupos de Joe
Active Directory
LDAP
Administradores de TI
Empleados de la sede
Vaya a Conceptos de User-ID para obtener informacin sobre cmo funciona User-ID y a Habilitacin de
User-ID para obtener instrucciones sobre cmo configurar User-ID en el cortafuegos.
User-ID
247
Conceptos de User-ID
User-ID
Conceptos de User-ID
Asignacin de grupos
Asignacin de usuario
Asignacin de grupos
Para definir las polticas de seguridad basndose en usuarios o grupos, el cortafuegos debe recuperar la lista de grupos
y la correspondiente lista de miembros de su servidor de directorio. Para habilitar esta funcin como Asignacin de
usuarios a grupos, debe crear un perfil de servidor LDAP que indique al cortafuegos cmo conectarse al servidor y
autenticarlo, as como el modo de buscar en el directorio la informacin de usuarios y grupos. Tras conectarse al
servidor LDAP y configurar la funcin de asignacin de grupos para la identificacin de usuarios, podr seleccionar
usuarios o grupos al definir sus polticas de seguridad. El cortafuegos admite una variedad de servidores de directorio
LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server.
A continuacin podr definir polticas basndose en los miembros de grupos en lugar de en usuarios
individuales para una administracin simplificada. Por ejemplo, la siguiente poltica de seguridad permite el
acceso a aplicaciones internas especficas basndose en los miembros de grupos:
Asignacin de usuario
Contar con los nombres de los usuarios y grupos es nicamente una pieza del puzzle. El cortafuegos tambin
necesita saber qu direcciones IP asignar a qu usuarios de modo que las polticas de seguridad puedan aplicarse
correctamente. La Ilustracin: User-ID muestra los diferentes mtodos que se utilizan para identificar usuarios
y grupos en su red y presenta el modo en que la asignacin de usuarios y la asignacin de grupos trabajan en
conjunto para habilitar la visibilidad y la aplicacin de la seguridad basada en usuarios y grupos.
248
User-ID
User-ID
Conceptos de User-ID
Supervisin de servidor
Sondeo de cliente
Asignacin de puertos
Syslog
Portal cautivo
GlobalProtect
Supervisin de servidor
Con la supervisin de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute en
un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el cortafuegos)
supervisa los logs de eventos de seguridad en busca de Microsoft Exchange Servers especificados, controladores
de dominio o servidores Novell eDirectory en busca de eventos de inicio de sesin. Por ejemplo, en un entorno
AD, puede configurar el agente de User-ID para que supervise los logs de seguridad en busca de renovaciones
o concesiones de tickets de Kerberos, acceso al servidor Exchange (si est configurado) y conexiones de servicio
de impresin y archivo. Recuerde que para que estos eventos se registren en el log de seguridad, el dominio AD
debe configurarse para registrar eventos de inicio de sesin de cuenta correctos. Adems, dado que los usuarios
pueden iniciar sesin en cualquiera de los servidores del dominio, debe configurar la supervisin de servidor
para todos los servidores con el fin de capturar todos los eventos de inicio de sesin de usuarios.
Dado que la supervisin de servidor requiere muy pocos gastos y dado que la mayora de los usuarios por lo
general puede asignarse con este mtodo, se recomienda como el mtodo de asignacin de usuarios bsico para
la mayora de implementaciones de User-ID. Consulte Configuracin de la asignacin de usuarios mediante el
agente de User-ID de Windows o Configuracin de la asignacin de usuarios mediante el agente de User-ID
integrado en PAN-OS para obtener informacin detallada.
Sondeo de cliente
En un entorno de Microsoft Windows, puede configurar el agente de User-ID para sondear los sistemas cliente
mediante Windows Management Instrumentation (WMI). El agente de User-ID basado en Windows tambin
puede realizar un sondeo de NetBIOS (no compatible con el agente de User-ID integrado en PAN-OS). El
sondeo es de especial utilidad en entornos con una alta rotacin de direcciones IP, debido a que los cambios se
reflejarn en el cortafuegos ms rpido, permitiendo una aplicacin ms precisa de las polticas basadas en
usuarios. Sin embargo, si la correlacin entre direcciones IP y usuarios es bastante esttica, probablemente no
necesite habilitar el sondeo de cliente. Ya que el sondeo puede generar una gran cantidad de trfico de red
(basndose en el nmero total de direcciones IP asignadas), el agente que vaya a iniciar los sondeos debera estar
situado lo ms cerca posible de los clientes finales.
Si el sondeo est habilitado, el agente sondear peridicamente cada direccin IP obtenida (cada 20 minutos de
manera predeterminada, pero esto puede configurarse) para verificar que el mismo usuario sigue conectado.
Adems, cuando el cortafuegos se encuentre una direccin IP para la que no tenga una asignacin de usuarios,
enviar la direccin al agente para un sondeo inmediato.
User-ID
249
Conceptos de User-ID
User-ID
Asignacin de puertos
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma direccin IP. En este caso, el proceso de asignacin de usuario a direccin IP
requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignacin, debe instalar
el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal Windows/Citrix para
que sirva de intermediario en la asignacin de puertos de origen a los diversos procesos de usuario. Para los
servidores de terminal que no admiten el agente de servicios de terminal, como los servidores de terminal de
Linux, puede utilizar la API XML para enviar informacin de asignacin de usuarios de eventos de inicio de
sesin y cierre de sesin a User-ID. Consulte Configuracin de la asignacin de usuarios para usuarios del
servidor de terminal para obtener informacin detallada sobre la configuracin.
Syslog
En entornos con servicios de red existentes que autentiquen usuarios, tales como controladores inalmbricos,
dispositivos 802.1x, servidores Open Directory de Apple, servidores proxy u otros mecanismos de control de
acceso a la red (NAC), el agente de User-ID del cortafuegos (bien el agente de Windows, bien el agente
integrado en PAN-OS en el cortafuegos) puede escuchar mensajes de Syslog de autenticacin de esos servicios.
Los filtros de Syslog, que se proporcionan mediante una actualizacin de contenido (solamente para agentes de
User-ID integrados) o se configuran manualmente, permiten que el agente de User-ID analice y extraiga
nombres de usuarios y direcciones IP de eventos de Syslog de autenticacin generados por el servicio externo,
as como que aada la informacin a las asignaciones de direcciones IP a nombres de usuarios de User-ID
mantenidas por el cortafuegos. Consulte Configuracin de User-ID para recibir asignaciones de usuarios desde
un emisor de Syslog para obtener informacin detallada sobre la configuracin.
250
User-ID
User-ID
Conceptos de User-ID
Autenticacin de Unix
Autenticacin de proxy
Autenticacin 802.1x
Autenticacin
802.1x
Receptor de Syslog
Dispositivos de Joe
11.11.11.11
12.12.12.12
Funciones/grupos
de Joe
Administradores de TI
Empleados de la sede
Portal cautivo
Si el cortafuegos o el agente de User-ID no puede asignar una direccin IP a un usuario (por ejemplo, si el
usuario no ha iniciado sesin o si est utilizando un sistema operativo como Linux que no es compatible con
sus servidores de dominio), podr configurar un portal cautivo. Cuando est configurado, cualquier trfico web
(HTTP o HTTPS) que coincida con su poltica de portal cautivo requerir la autenticacin de usuario, ya sea de
manera transparente a travs de un desafo NT LAN Manager (NTLM) para el explorador, o de manera activa
redirigiendo al usuario a un formulario de autenticacin web para una autenticacin con una base de datos de
autenticacin RADIUS, LDAP, Kerberos o local o utilizando una autenticacin de certificado de cliente.
Consulte Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo para obtener
informacin detallada.
GlobalProtect
En el caso de usuarios mviles o con itinerancia, el cliente GlobalProtect proporciona la informacin de
asignacin de usuarios directamente al cortafuegos. En este caso, cada usuario de GlobalProtect tiene un agente
o una aplicacin ejecutndose en el cliente que requiere que el usuario introduzca credenciales de inicio de sesin
para un acceso mediante VPN al cortafuegos. A continuacin, esta informacin de inicio de sesin se aade a
la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicacin de polticas
de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse para poder
User-ID
251
Conceptos de User-ID
User-ID
acceder a la red, la asignacin de direcciones IP a nombres de usuarios se conoce de manera explcita. Esta es
la mejor solucin en entornos confidenciales en los que deba estar seguro de quin es un usuario para permitirle
el acceso a una aplicacin o un servicio. Para obtener ms informacin sobre cmo configurar GlobalProtect,
consulte la Gua del administrador de GlobalProtect.
252
User-ID
User-ID
Habilitacin de User-ID
Habilitacin de User-ID
Debe completar las siguientes tareas para configurar el cortafuegos para utilizar usuarios y grupos en la
aplicacin de polticas, la creacin de logs y la elaboracin de informes:
User-ID
253
User-ID
Si tiene un nico dominio, solamente necesita un perfil de servidor LDAP que conecte el cortafuegos
con el controlador de dominio utilizando la mejor conectividad. Puede aadir controladores de dominio
adicionales para la tolerancia a errores.
Si tiene varios dominios y/o varios bosques, deber crear un perfil de servidor para conectarse a un
servidor de dominio en cada dominio/bosque. Tome las medidas oportunas para garantizar que los
nombres se usuarios son exclusivos en los distintos bosques.
Si tiene grupos universales, cree un perfil de servidor para conectarse con el servidor de catlogo global.
Paso 1
254
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener informacin de asignacin de grupos.
1. Seleccione Dispositivo > Perfiles de
servidor > LDAP.
2. Haga clic en Aadir y, a continuacin,
introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al
que se aplica este perfil en el men
desplegable Ubicacin.
4. Haga clic en Aadir para aadir una nueva
entrada de servidor LDAP y, a continuacin,
introduzca un nombre de Servidor para
identificar al servidor (de 1 a 31 caracteres) y
el nmero de Direccin IP y Puerto que
debera utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para
LDAP sobre SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que
aada a un perfil debern ser del mismo tipo. Para la redundancia, debera aadir como mnimo dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deber crear perfiles de servidor separados.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se est conectando. Los atributos de LDAP correctos de la
configuracin de asignacin de grupos se cumplimentarn automticamente segn su seleccin. Sin embargo, si ha
personalizado su esquema de LDAP, puede que tenga que modificar los ajustes predeterminados.
7. En el campo Base, seleccione el DN que se corresponda con el punto del rbol de LDAP donde desee que el
cortafuegos comience su bsqueda de informacin de usuarios y grupos.
8. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato Nombre
principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a travs de una conexin segura, seleccione la
casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de puerto adecuado.
10. Haga clic en Aceptar para guardar el perfil.
User-ID
User-ID
Paso 2
User-ID
Compile la configuracin.
255
User-ID
Para asignar usuarios a medida que inicien sesin en sus servidores Exchange, controladores de dominio o
servidores eDirectory o clientes de Windows que puedan sondearse directamente, debe configurar un
agente de User-ID para supervisar los logs de servidor y/o sondear sistemas cliente. Puede instalar el
agente de User-ID de Windows independiente en uno o ms servidores miembros en el dominio que
contenga los servidores y clientes que vayan a supervisarse (consulte Configuracin de la asignacin de
usuarios mediante el agente de User-ID de Windows) o puede configurar el agente de User-ID del
cortafuegos que est integrado con PAN-OS (Configuracin de la asignacin de usuarios mediante el
agente de User-ID integrado en PAN-OS). Para obtener orientacin sobre qu configuracin de agente es
adecuada para su red y el nmero y las ubicaciones de agentes que son obligatorios, consulte Architecting
User Identification Deployments (en ingls).
Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server, Citrix Metaframe
Presentation Server o XenApp, consulte Configuracin del agente de servidor de terminal de Palo Alto
Networks para la asignacin de usuarios para obtener instrucciones sobre cmo instalar y configurar el
agente en un servidor de Windows. Si tiene un sistema multiusuario que no se est ejecutando en
Windows, puede utilizar la API XML de User-ID para enviar las asignaciones de direcciones IP a nombres
de usuarios directamente al cortafuegos. Consulte Recuperacin de asignaciones de usuarios de un
servidor de terminal mediante la API XML de User-ID.
Para obtener asignaciones de usuarios a partir de servicios de red existentes que autentiquen usuarios, tales
como controladores inalmbricos, dispositivos 802.1x, servidores Open Directory de Apple, servidores
proxy u otros mecanismos de control de acceso a la red (NAC), configure el agente de User-ID (bien el
agente de Windows, bien la funcin de asignacin de usuarios sin agente en el cortafuegos) para que
escuche mensajes de Syslog de autenticacin de esos servicios. Consulte Configuracin de User-ID para
recibir asignaciones de usuarios desde un emisor de Syslog.
Si tiene usuarios con sistemas cliente que no hayan iniciado sesin en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesin en el dominio), consulte Asignacin de
direcciones IP a nombres de usuario mediante un portal cautivo.
En el caso de otros clientes que no pueda asignar utilizando los mtodos anteriores, puede utilizar la API
XML de User-ID para aadir asignaciones de usuarios directamente al cortafuegos. Consulte Envo de
asignaciones de usuarios a User-ID mediante la API XML.
Como la poltica es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las
asignaciones de direcciones IP a nombres de usuarios para aplicar de forma precisa la poltica de seguridad
segn el grupo o usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las
asignaciones de usuarios y las distribuya a los otros cortafuegos. Para obtener ms informacin, consulte
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos.
256
User-ID
User-ID
User-ID
257
User-ID
Paso 1
2.
La prctica recomendada es instalar la
misma versin del agente de User-ID que
la versin de PAN-OS que se est
3.
ejecutando en los cortafuegos.
Paso 3
4.
2.
258
3.
4.
User-ID
User-ID
Paso 4
Paso 5
User-ID
3.
259
User-ID
Paso 6
260
User-ID
User-ID
Paso 1
User-ID
261
User-ID
Paso 2
1.
2.
3.
5.
6.
262
User-ID
User-ID
Paso 3
1.
(Opcional) Si ha configurado el agente
para que se conecte a un servidor Novell
eDirectory, debe especificar el modo en 2.
que el agente debera buscar el directorio.
Paso 4
User-ID
263
User-ID
Paso 5
Guarde la configuracin.
Paso 6
Paso 7
264
3.
4.
5.
6.
7.
User-ID
User-ID
Paso 8
User-ID
3.
4.
5.
265
User-ID
Paso 1
266
User-ID
User-ID
Paso 2
1.
Defina los servidores que debera
supervisar el cortafuegos para recopilar
informacin de asignacin de direccin 2.
IP a usuario. Puede definir entradas para
hasta 100 servidores Microsoft Active
3.
Directory, Microsoft Exchange o Novell
eDirectory en su red.
4.
Recuerde que para recopilar todas las
5.
asignaciones necesarias, deber
conectarse a todos los servidores en los
que sus usuarios inician sesin para que el 6.
cortafuegos pueda supervisar los archivos
de log de seguridad en todos los
servidores que contengan eventos de
inicio de sesin.
Paso 3
User-ID
267
User-ID
Paso 4
1.
Paso 5
Paso 6
Guarde la configuracin.
2.
3.
Verifique la configuracin.
1.
Paso 7
1.
2.
268
User-ID
User-ID
Paso 1
1.
User-ID
269
User-ID
Paso 2
2.
3.
4.
5.
270
User-ID
User-ID
Paso 3
2.
User-ID
271
User-ID
Paso 4
1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.
2.
El ejemplo siguiente muestra una
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:
3.
4.
Aadir.
3.
4.
5.
6.
272
User-ID
User-ID
Paso 6
1.
2.
3.
Paso 7
User-ID
Guarde la configuracin.
273
User-ID
Paso 8
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:
1000
1000
0
4
Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Vsys
From
User
IdleTimeout(s) M
SYSLOG
acme\jdonaldson
2480
vsys1
SYSLOG
acme\ccrisp
2476
vsys1
SYSLOG
acme\jjaso
2476
vsys1
SYSLOG
acme\jblevins
2480
vsys1
SYSLOG
acme\bmoss
2480
vsys1
SYSLOG
acme\esogard
2476
vsys1
SYSLOG
acme\acallaspo
2476
vsys1
SYSLOG
acme\jlowrie
2478
Total: 9 users
274
User-ID
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog
Paso 1
Paso 2
3.
4.
5.
User-ID
275
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog (Continuacin)
Paso 3
1.
Si seleccion Regex como el Tipo de
anlisis, cree los patrones de coincidencias
de regex para identificar los eventos de
autenticacin y extraer la informacin de
asignacin de usuarios.
El ejemplo siguiente muestra una
configuracin de Regex para mensajes de
Syslog coincidentes con el siguiente
formato:
2.
3.
Si el Syslog contiene un espacio
y/o una tabulacin independiente
como delimitador, debe utilizar \s
(para un espacio) y/o \t (para una
tabulacin) con el fin de que el
agente analice el Syslog.
4.
276
User-ID
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog (Continuacin)
Paso 4
1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.
2.
El ejemplo siguiente muestra una
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:
Paso 5
3.
4.
1.
2.
3.
1.
Defina los servidores que enviarn
mensajes de Syslog al agente de User-ID. 2.
Puede definir hasta 100 emisores de
3.
Syslog. El agente de User-ID descartar
los mensajes de Syslog recibidos de
4.
servidores que no estn en esta lista.
5.
6.
Paso 6
7.
User-ID
277
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog (Continuacin)
Paso 7
Guarde la configuracin.
Paso 8
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:
1000
1000
0
4
Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Vsys
From
User
IdleTimeout(s) M
SYSLOG
acme\jdonaldson
2480
vsys1
SYSLOG
acme\ccrisp
2476
vsys1
SYSLOG
acme\jjaso
2476
vsys1
SYSLOG
acme\jblevins
2480
vsys1
SYSLOG
acme\bmoss
2480
vsys1
SYSLOG
acme\esogard
2476
vsys1
SYSLOG
acme\acallaspo
2476
vsys1
SYSLOG
acme\jlowrie
2478
Total: 9 users
278
User-ID
User-ID
Descripcin
Autenticacin de NTLM
Formato web
Certificado de autenticacin de cliente Solicita al explorador que presente un certificado de cliente vlido para autenticar al
usuario. Para utilizar este mtodo debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir
esos certificados en el cortafuegos. Este es el nico mtodo de autenticacin que
habilita una autenticacin transparente para clientes de Mac OS y Linux.
User-ID
279
User-ID
Descripcin
Transparente
Redirigir
Paso 1
Paso 2
Asegrese de que DNS est configurado Para verificar que la resolucin es correcta, haga ping en el FQDN
para resolver sus direcciones de
del servidor. Por ejemplo:
controlador de dominio.
admin@PA-200> ping host dc1.acme.com
280
User-ID
User-ID
Paso 3
1.
Paso 4
2.
3.
3.
User-ID
281
User-ID
Paso 5
Configure un mecanismo de
1.
autenticacin para utilizarlo cuando se
invoque el formato web. Tenga en cuenta
que aunque tenga la intencin de utilizar
NTLM, tambin deber configurar un
mecanismo de autenticacin secundario
que pueda utilizarse si falla la
autenticacin de NTLM o si el agente de
usuario no la admite.
Prcticas recomendadas:
Si utiliza RADIUS para autenticar
a usuarios desde el formato web,
asegrese de introducir un
dominio de RADIUS. Esto se
2.
utilizar como el dominio
predeterminado si los usuarios no
proporcionan uno al iniciar sesin.
Si utiliza AD para autenticar a
usuarios desde el formato web,
asegrese de introducir
sAMAccountName como
LogonAttribute.
282
User-ID
User-ID
Paso 6
4.
Paso 7
1.
Al utilizar el agente de
identificacin de usuarios incluido
2.
en el dispositivo, el cortafuegos
debe poder resolver
correctamente el nombre de DNS 3.
de su controlador de dominio para
que el cortafuegos se una al
dominio. Las credenciales que
4.
proporcione aqu se utilizarn para
unir el cortafuegos al dominio tras
la correcta resolucin de DNS.
User-ID
283
User-ID
Paso 8
1.
2.
3.
4.
5.
284
7.
8.
User-ID
User-ID
Configuracin del agente de servidor de terminal de Palo Alto Networks para la asignacin de
usuarios
Paso 1
1.
2.
3.
4.
User-ID
285
User-ID
Paso 2
2.
3.
4.
Paso 3
286
Inicie la aplicacin del agente de servidor Haga clic en Iniciar y seleccione Agente de servidor de terminal.
de terminal.
User-ID
User-ID
Paso 4
1.
Seleccione Configurar.
2.
3.
4.
5.
User-ID
287
User-ID
Paso 5
Paso 6
3.
4.
5.
6.
7.
1.
2.
288
User-ID
User-ID
Para habilitar un servidor de terminal que no sea de Windows para que enve informacin de asignacin de
usuarios directamente al cortafuegos, cree secuencias de comandos que extraigan los eventos de inicio de sesin
y cierre de sesin de usuarios y utilcelas para introducirlos en el formato de solicitud de API XML de User-ID.
A continuacin defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o
wget y proporcionando la clave de API del cortafuegos para lograr comunicaciones seguras. La creacin de
asignaciones de usuarios desde sistemas multiusuario como servidores de terminal requiere el uso de los
siguientes mensajes de la API:
<blockstart>: Se utiliza con los mensajes <login> y <logout> para indicar el nmero de puerto de
origen de partida asignado al usuario. A continuacin, el cortafuegos utiliza el tamao de bloque para
determinar el intervalo de nmeros de puertos que debe asignarse a la direccin IP y al nombre de usuario
del mensaje de inicio de sesin. Por ejemplo, si el valor de <blockstart> es 13200 y el tamao de bloque
configurado para el sistema multiusuario es 300, el intervalo del puerto de origen asignado al usuario es del
13200 al 13499. Cada conexin iniciada por el usuario debera utilizar un nmero de puerto de origen
exclusivo dentro del intervalo asignado, permitiendo que el cortafuegos identifique al usuario basndose en
sus asignaciones de direcciones IP, puertos y usuarios para la aplicacin de reglas de polticas de seguridad
basadas en usuarios y grupos. Cuando un usuario agota todos los puertos asignados, el servidor de terminal
debe enviar un nuevo mensaje <login> que asigne un nuevo intervalo de puertos para el usuario con el fin
de que el cortafuegos pueda actualizar la asignacin de direcciones IP, puertos y usuarios. Adems, un nico
nombre de usuario puede tener varios bloques de puertos asignados simultneamente. Cuando un
cortafuegos recibe un mensaje <logout> que incluye un parmetro <blockstart>, elimina la correspondiente
asignacin de direccin IP, puerto y usuario de su tabla de asignaciones. Cuando el cortafuegos recibe un
mensaje <logout> con un nombre de usuario y una direccin IP, pero sin <blockstart>, elimina al usuario
de su tabla. Y si el cortafuegos recibe un mensaje <logout> nicamente con una direccin IP, elimina el
sistema multiusuario y todas las asignaciones asociadas al mismo.
Los archivos XML que el servidor de terminal enva al cortafuegos pueden contener varios tipos
de mensajes y estos mensajes no tienen que estar en ningn orden especfico dentro del archivo.
Sin embargo, al recibir un archivo XML que contenga varios tipos de mensajes, el cortafuegos
los procesar en el siguiente orden: solicitudes multiusersystem en primer lugar, seguidas de
inicios de sesin y cierres de sesin.
El siguiente flujo de trabajo ofrece un ejemplo de cmo utilizar la API XML de User-ID para enviar
asignaciones de usuarios desde un servidor de terminal que no sea de Windows al cortafuegos.
User-ID
289
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean de Windows
Paso 1
Paso 2
290
User-ID
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean de Windows
Paso 3
La carga de eventos de
inicio de sesin que el
servidor de terminal
enva al cortafuegos
puede contener varios
eventos de inicio de
sesin.
User-ID
291
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean de Windows
Paso 4
Paso 5
292
Una forma de hacerlo sera utilizar reglas de NAT netfilter para ocultar sesiones
de usuarios detrs de los intervalos de puertos especficos asignados a travs de
la API XML basndose en el UID. Por ejemplo, para garantizar que un usuario
cuyo User-ID sea jjaso se asigne a una traduccin de direcciones de red de
origen (SNAT) cuyo valor sea 10.1.1.23:20000-20099, la secuencia de comandos
que cree debera incluir lo siguiente:
[root@ts1 ~]# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso
-p tcp -j SNAT --to-source 10.1.1.23:20000-20099
Del mismo modo, las secuencias de comandos que cree tambin deberan
garantizar que la configuracin de enrutamiento de la tabla de IP elimine
dinmicamente la asignacin de SNAT cuando el usuario cierre sesin o cuando
cambie la asignacin de puertos:
[root@ts1 ~]# iptables -t nat -D POSTROUTING 1
User-ID
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean de Windows
Paso 6
Paso 7
User-ID
293
User-ID
294
User-ID
User-ID
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos
Cortafuegos 1
Cortafuegos
de redistribucin
Cortafuegos 2
Servidor de dominio
Cortafuegos 3
Paso 1
Configure el cortafuegos de
redistribucin.
Las configuraciones de User-ID
solamente se aplican a un nico
sistema virtual. Para redistribuir
asignaciones de User-ID de varios
sistemas virtuales, debe configurar
los ajustes de asignacin de
usuarios en cada sistema virtual
por separado, utilizando una clave
precompartida exclusiva en cada
configuracin.
User-ID
1.
2.
Seleccione Redistribucin.
3.
4.
5.
295
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos
User-ID
Paso 2
Paso 3
3.
4.
5.
6.
6.
7.
8.
9.
296
User-ID
User-ID
Paso 4
Verifique la configuracin.
de gestin).
Paso 1
User-ID
297
User-ID
Paso 2
1.
2.
298
User-ID
User-ID
Paso 3
1.
2.
3.
4.
5.
Paso 4
User-ID
299
User-ID
Paso 1
Paso 2
Vsys
From
User
Timeout
-----------------------------------------------------192.168.201.1
vsys1 UIA
acme\george
192.168.201.11
vsys1 UIA
acme\duane
210
192.168.201.50
vsys1 UIA
acme\betsy
210
192.168.201.10
vsys1 UIA
acme\administrator
210
acme\administrator
748
192.168.201.100 vsys1 AD
210
Total: 5 users
*: WMI probe succeeded
Paso 3
300
User-ID
User-ID
Paso 4
1.
2.
3.
4.
Paso 5
User-ID
Verifique que los nombres de usuario se muestran en los archivos de log (Supervisar > Logs).
301
User-ID
Paso 6
302
Verifique que los nombres de usuario se muestran en los informes (Supervisar > Informes). Por ejemplo, al
examinar el informe de aplicaciones denegadas, debera ver una lista de los usuarios que intentaron acceder a las
aplicaciones como en el ejemplo siguiente.
User-ID
App-ID
Para habilitar aplicaciones de forma segura en su red, los cortafuegos de prxima generacin de Palo Alto
Networks ofrecen proteccin tanto para aplicaciones como para Internet (App-ID y filtrado de URL) frente a
una amplia gama de riesgos legales, normativos, de productividad y de uso de recursos.
App-ID le permite visualizar las aplicaciones de la red, para que as pueda saber cmo funcionan y comprender
las caractersticas de su comportamiento y su riesgo relativo. Los conocimientos de esta aplicacin le permiten
crear y aplicar polticas de seguridad para habilitar, inspeccionar y moldear las aplicaciones que desee y bloquear
las que no desee. Cuando defina polticas para empezar a permitir el trfico, App-ID empezar a clasificar el
trfico sin ninguna configuracin adicional.
App-ID
303
App-ID
A continuacin, se aplican firmas al trfico permitido para identificar la aplicacin en funcin de sus
propiedades y caractersticas de transacciones. La firma tambin determina si la aplicacin se est utilizando
en su puerto predeterminado o si est utilizando un puerto no estndar. Si la poltica permite el trfico, a
continuacin este se examina en busca de amenazas y se analiza en mayor profundidad para identificar la
aplicacin de manera ms granular.
Si App-ID determina que el cifrado (SSL o SSH) ya est en uso y se est aplicando una poltica de descifrado,
la sesin se descifra y las firmas de la aplicacin se aplican de nuevo sobre el flujo descifrado.
Posteriormente, los descifradores de protocolos conocidos se utilizan para aplicar firmas adicionales basadas
en contextos para detectar otras aplicaciones que podran estar pasando por dentro del protocolo (por
ejemplo, Yahoo! Instant Messenger a travs de HTTP). Los descifradores validan que el trfico cumple con
la especificacin del protocolo y ofrecen asistencia para la NAT transversal y la apertura de pinholes
dinmicos para aplicaciones como SIP y FTP.
Para aplicaciones que son especialmente evasivas y que no se pueden identificar mediante firmas avanzadas
y anlisis de protocolos, podrn utilizarse la heurstica o los anlisis de comportamiento para determinar la
identidad de la aplicacin.
Cuando se identifica la aplicacin, la comprobacin de la poltica determina cmo tratar la aplicacin: por
ejemplo, bloquearla o autorizarla y analizarla en busca de amenazas, inspeccionar la transferencia no autorizada
de archivos y patrones de datos o moldearla utilizando QoS.
304
App-ID
App-ID
Datos incompletos: Se establece un protocolo, pero no se ha enviado ningn paquete de datos antes del
tiempo de espera.
Datos insuficientes: Se establece un protocolo seguido por uno o ms paquetes de datos; sin embargo, no se
han intercambiado suficientes paquetes de datos para identificar la aplicacin.
Cree polticas de seguridad para controlar aplicaciones desconocidas por TCP desconocido, UDP
desconocido o por una combinacin de zona de origen, zona de destino y direcciones IP.
Solicite una App-ID de Palo Alto Networks: Si desea inspeccionar y controlar las aplicaciones que atraviesan
su red, en el caso de cualquier trfico desconocido, puede registrar una captura de paquetes. Si la captura de
paquetes revela que la aplicacin es una aplicacin comercial, puede enviar esta captura de paquetes a Palo
Alto Networks para que App-ID lo desarrolle. Si es una aplicacin interna, puede crear una App-ID
personalizada y/o definir una poltica de cancelacin de aplicacin.
Cree una App-ID personalizada con una firma y adjntela a una poltica de seguridad, o bien cree una
App-ID personalizada y defina una poltica de cancelacin de aplicacin. Una App-ID personalizada le
permite personalizar la definicin de la aplicacin interna (sus caractersticas, categora y subcategora, riesgo,
puerto y tiempo de espera) y ejercer un control granular de las polticas para reducir al mnimo el rango de
trfico no identificado en su red. La creacin de una App-ID personalizada tambin le permite identificar
correctamente la aplicacin en el ACC y los logs de trfico y resulta de utilidad a la hora de realizar
auditoras/informes de las aplicaciones de su red. En el caso de una aplicacin personalizada, puede
especificar una firma y un patrn que identifiquen de manera exclusiva la aplicacin y la adjunten a una
poltica de seguridad que permita o niegue la aplicacin.
Para recopilar los datos correctos y as crear una firma de aplicacin personalizada, necesitar
comprender bien las capturas de paquetes y cmo se forman los datagramas. Si la firma se crea
de manera demasiado amplia, puede que incluya otro trfico similar de forma accidental; si se
define de manera demasiado reducida, el trfico evadir la deteccin si no coincide exactamente
con el patrn.
Las App-ID personalizadas se almacenan en una base de datos separada del cortafuegos y su
base de datos no se ve afectada por las actualizaciones semanales de App-ID.
Los descifradores de protocolos de aplicaciones admitidos que habilitan el cortafuegos para que
detecte las aplicaciones que puedan estar pasando a travs de un tnel por dentro del protocolo
incluyen los siguientes, segn la actualizacin de contenido 424: HTTP, HTTPS, DNS, FTP,
IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH, GNU-Debugger,
GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (tambin conocido como
CIFS). Adems, con la versin 4.0 de PAN-OS, esta capacidad de App-ID personalizada se ha
ampliado para incluir TCP desconocido y UDP desconocido.
App-ID
305
App-ID
De forma alternativa, si desea que el cortafuegos procese la aplicacin personalizada utilizando el mtodo
rpido (la inspeccin de capa 4 en lugar de utilizar App-ID para la inspeccin de capa 7), puede hacer
referencia a la App-ID personalizada en una poltica de cancelacin de aplicacin. Una cancelacin de
aplicacin con una aplicacin personalizada evitar que el motor de App-ID procese la sesin, lo cual es una
inspeccin de capa 7. Por el contrario, obliga a que el cortafuegos gestione la sesin como un cortafuegos
de inspeccin de estado normal en la capa 4, con lo que ahorra tiempo de procesamiento de la aplicacin.
Por ejemplo, si crea una aplicacin personalizada que se activa en el encabezado de un host www.misitioweb.com,
los paquetes se identifican primero como exploracin web y, a continuacin, se identifican con su aplicacin
personalizada (cuya aplicacin principal es exploracin web). Dado que la aplicacin principal es exploracin
web, la aplicacin personalizada se inspecciona como capa 7 y se examina en busca de contenido y
vulnerabilidades.
Si define una cancelacin de aplicacin, el cortafuegos deja de procesar en la capa 4. El nombre de la
aplicacin personalizada se asigna a la sesin para ayudar a identificarla en los logs y no se examina el trfico
en busca de amenazas.
Si desea informacin ms detallada, consulte los siguientes artculos:
306
App-ID
App-ID
Consulte el ACC para obtener la lista de aplicaciones de su red y determine qu aplicaciones permitir o
bloquear. Si est migrando desde un cortafuegos donde defini reglas basadas en puertos, para obtener
una lista de las aplicaciones que se ejecutan en un puerto determinado, busque el nmero de puerto en el
explorador de aplicaciones (Objetos > Aplicaciones) del cortafuegos de Palo Alto Networks o en
Applipedia.
Utilice predeterminado de aplicacin para el Servicio. El cortafuegos compara el puerto utilizado con la lista
de puertos predeterminados para esa aplicacin. Si el puerto utilizado no es un puerto predeterminado
para la aplicacin, el cortafuegos descarta la sesin y registra en el log el mensaje appid policy lookup deny.
Si tiene una aplicacin a la que se accede desde varios puertos y desea limitar los puertos en los que se
utiliza la aplicacin, especifquelo en los objetos Servicio/Grupo de servicios de las polticas.
Utilice filtros de aplicacin para incluir dinmicamente nuevas aplicaciones en reglas de poltica existentes.
Vea un ejemplo.
App-ID
307
App-ID
Admite implcitamente
360-safeguard-update
http
apple-update
http
apt-get
http
as2
http
avg-update
http
avira-antivir-update
http, ssl
blokus
rtmp
bugzilla
http
clubcooee
http
corba
http
cubby
http, ssl
dropbox
ssl
esignal
http
evernote
http, ssl
ezhelp
http
http, ssl
chat de facebook
jabber
http
fastviewer
http, ssl
forticlient-update
http
gmail
http
good-for-enterprise
http, ssl
308
App-ID
App-ID
Aplicacin
Admite implcitamente
google-cloud-print
google-desktop
http
google-drive-web
http
google-talk
jabber
google-update
http
gotomypc-desktop-sharing
citrix-jedi
gotomypc-file-transfer
citrix-jedi
gotomypc-printing
citrix-jedi
hipchat
http
iheartradio
infront
http
http, ssl
issuu
http, ssl
java-update
http
jepptech-updates
http
kerberos
rpc
kik
http, ssl
lastpass
http, ssl
logmein
http, ssl
mcafee-update
http
megaupload
http
metatrader
http
mocha-rdp
t_120
mount
rpc
ms-frs
msrpc
ms-rdp
t_120
ms-scheduler
msrpc
ms-service-controller
msrpc
nfs
rpc
oovoo
http, ssl
paloalto-updates
ssl
panos-global-protect
http
App-ID
309
App-ID
Aplicacin
Admite implcitamente
panos-web-interface
http
pastebin
http
pastebin-posting
http
http, ssl
portmapper
rpc
prezi
http, ssl
rdp2tcp
t_120
renren-im
jabber
roboform
http, ssl
salesforce
http
stumbleupon
http
supremo
http
symantec-av-update
http
trendmicro
http
trillian
http, ssl
http
http, ssl
xm-radio
rtsp
310
App-ID
App-ID
App-ID
311
App-ID
1.
2.
3.
Seleccione Personalizar... para ALG en la seccin Opciones del cuadro de dilogo Aplicacin.
4.
Seleccione la casilla de verificacin Deshabilitar ALG del cuadro de dilogo Aplicacin - sip y haga
clic en ACEPTAR.
5.
312
App-ID
Prevencin de amenazas
El cortafuegos de prxima generacin de Palo Alto Networks protege y defiende su red ante amenazas de
productos y amenazas avanzadas persistentes (APT). Los mecanismos de deteccin con varios elementos del
cortafuegos incluyen un enfoque basado en firmas (IPS/comando y control/antivirus), un enfoque basado en
la heurstica (deteccin de bots), un enfoque basado en Sandbox (WildFire) y un enfoque basado en anlisis con
el protocolo de capa 7 (App-ID).
Las amenazas de productos son exploits que son menos sofisticados y que se detectan y previenen ms
fcilmente con una combinacin de las capacidades de antivirus, antispyware, proteccin contra
vulnerabilidades y filtrado de URL/identificacin de aplicaciones del cortafuegos.
Las amenazas avanzadas son cometidas por cibercriminales organizados o grupos malintencionados que utilizan
vectores de ataque sofisticados que tienen como objetivo su red, habitualmente para robar propiedad intelectual
y datos financieros. Estas amenazas son ms evasivas y requieren mecanismos de supervisin inteligentes para
realizar una investigacin detallada de host y de red en busca de software malintencionado. El cortafuegos de
prxima generacin de Palo Alto Networks, en combinacin con WildFire y Panorama proporciona una
solucin completa que intercepta y detiene la cadena de ataque y ofrece visibilidad para evitar un incumplimiento
de la seguridad en sus infraestructuras de red, incluidas las mviles y las virtualizadas.
Prevencin de amenazas
313
Prevencin de amenazas
Para obtener informacin sobre cmo controlar el acceso web como parte de su estrategia de prevencin de
amenazas, consulte Filtrado de URL.
314
Prevencin de amenazas
Prevencin de amenazas
Paso 1
Paso 2
1.
Prevencin de amenazas
1.
2.
3.
4.
315
Prevencin de amenazas
La recomendacin general para programar las actualizaciones de firmas de antivirus es realizar una descarga e instalacin
diariamente en el caso de los antivirus y semanalmente para las aplicaciones y vulnerabilidades.
Recomendaciones para configuraciones de HA:
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
Paso 4
1.
2.
Paso 5
316
Guarde la configuracin.
Prevencin de amenazas
Prevencin de amenazas
Paso 1
1.
2.
3.
Paso 2
1.
2.
3.
Prevencin de amenazas
317
Prevencin de amenazas
Paso 3
4.
318
Prevencin de amenazas
Prevencin de amenazas
Paso 4
Paso 5
Especifique qu aplicaciones se
filtrarn y determine los tipos de
archivo.
1.
2.
2.
3.
Prevencin de amenazas
319
Prevencin de amenazas
Paso 6
Paso 7
Compile la configuracin.
Paso 8
320
Compruebe la configuracin de
filtrado de datos.
Prevencin de amenazas
Prevencin de amenazas
Paso 1
Paso 2
Paso 3
1.
2.
1.
2.
3.
4.
5.
6.
7.
1.
2.
3.
4.
Compile la configuracin.
Prevencin de amenazas
321
Prevencin de amenazas
Paso 4
Para comprobar su configuracin de bloqueo de archivos, acceda a un PC cliente en la zona fiable del cortafuegos
y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debera aparecer una pgina de
respuesta. Haga clic en Continuar para descargar el archivo. Tambin puede establecer otras acciones, como
nicamente alertar, reenviar (que reenviar a WildFire) o bloquear, que no proporcionar al usuario una pgina
que le pregunte si desea continuar. A continuacin se muestra la pgina de respuesta predeterminada de Bloqueo
de archivos:
Paso 5
(Opcional) Defina pginas de respuesta de bloqueo de archivos (Dispositivo > Pginas de respuesta). Esto le
permite ofrecer ms informacin a los usuarios cuando ven una pgina de respuesta. Puede incluir informacin
como la informacin de polticas de empresa e informacin de contacto de un departamento de soporte tcnico.
Cuando crea un perfil de bloqueo de archivos con la accin Continuar o Continuar y reenviar (utilizado
para el reenvo de WildFire), nicamente puede elegir la aplicacin de navegacin web. Si elige cualquier
otra aplicacin, el trfico que coincida con la poltica de seguridad no fluir hacia el cortafuegos debido
al hecho de que los usuarios no vern una pgina que les pregunte si desean continuar. Asimismo, si el
sitio web utiliza HTTPS, necesitar tener instaurada una poltica de descifrado.
Tal vez desee comprobar sus logs para confirmar qu aplicacin se est usando al probar esta caracterstica. Por ejemplo,
si est utilizando Microsoft Sharepoint para descargar archivos, aunque est utilizando un explorador web para acceder al
sitio, la aplicacin en realidad es sharepoint-base o sharepoint-document. Tal vez quiera establecer el tipo de
aplicacin como Cualquiera para probar.
322
Prevencin de amenazas
Prevencin de amenazas
Aada el perfil de vulnerabilidad a una regla de seguridad. Consulte Configuracin de antivirus, antispyware
y proteccin contra vulnerabilidades.
Instale actualizaciones de contenido que incluyan nuevas firmas para proteger ante amenazas emergentes.
Consulte Gestin de la actualizacin de contenidos.
Personalizacin de la accin y las condiciones de activacin para una firma de fuerza bruta
Prevencin de amenazas
323
Prevencin de amenazas
Nombre de amenaza
40001
40000
40003
40004
40005
40006
40007
CORREO: Intento de
fuerza bruta en el inicio
de sesin de usuario
31709
40008
324
31719
Prevencin de amenazas
Prevencin de amenazas
ID de firma
Nombre de amenaza
40009
31732
31753
40010
40011
40012
40013
40014
40015
40016
40017
40018
40019
31914
HTTP: Intento de
denegacin de servicio
de Apache
32452
HTTP: Intento de
denegacin de servicio
de IIS
32513
Prevencin de amenazas
325
Prevencin de amenazas
ID de firma
Nombre de amenaza
40020
Intento de agotamiento
de nmero de llamadas
de Digium Asterisk
IAX2
32785
MS-RDP: Intento de
conexin a escritorio
remoto de MS
33020
40021
40022
40023
40028
40030
40031
40032
40033
40034
326
34520
DNS: Ataque de
denegacin de servicio
de fuerza bruta en
consultas ANY
34842
Prevencin de amenazas
Prevencin de amenazas
Cree una regla para modificar la accin predeterminada para todas las firmas de la categora de fuerza bruta.
Puede definir la accin para permitir, alertar, bloquear, restablecer o descartar el trfico.
Defina una excepcin para una firma especfica. Por ejemplo, puede buscar una CVE y definir una excepcin
para ella.
Para una firma principal, puede modificar tanto las condiciones de activacin como la accin; para una firma
secundaria, solamente puede modificarse la accin.
Para mitigar un ataque de manera eficaz, se recomienda la accin Bloquear direccin IP antes
que la accin Colocar o Restaurar para la mayora de firmas de fuerza bruta.
Paso 1
Paso 2
1.
2.
1.
2.
Prevencin de amenazas
3.
4.
5.
6.
7.
327
Prevencin de amenazas
Paso 3
2.
3.
4.
328
5.
6.
7.
Prevencin de amenazas
Prevencin de amenazas
Paso 4
Haga clic en
para editar el atributo de tiempo y los criterios
de agregacin para la firma.
2.
3.
Paso 5
Paso 6
Prevencin de amenazas
4.
1.
329
Prevencin de amenazas
Actualice a la ltima versin del software PAN-OS y la ltima versin de publicacin de contenido para
asegurarse de que tiene las ltimas actualizaciones de seguridad. Consulte Gestin de la actualizacin de
contenidos y Instalacin de actualizaciones de software.
Para servidores web, cree una poltica de seguridad para que solo se permitan los protocolos que admite el
servidor. Por ejemplo, garantice que solo se permite el trfico HTTP a un servidor web. Si ha definido una
poltica de anulacin de aplicaciones para una aplicacin personalizada, asegrese de restringir el acceso a
una zona de origen especfica o un conjunto de direcciones IP.
Adjunte los siguientes perfiles de seguridad a sus polticas de seguridad para proporcionar una proteccin
basada en firmas.
Cree un perfil de proteccin contra vulnerabilidades para bloquear todas las vulnerabilidades con
gravedad baja y alta.
Cree un perfil de antivirus para bloquear todo el contenido que coincida con una firma de antivirus.
Bloquee todas las aplicaciones o trfico desconocidos mediante la poltica de seguridad. Normalmente, las
nicas aplicaciones clasificadas como trfico desconocido son aplicaciones internas o personalizadas de su
red, o posibles amenazas. Dado que el trfico desconocido puede ser una aplicacin no compatible, un
protocolo anormal o una aplicacin conocida que utiliza puertos no estndar, el trfico desconocido se
debe bloquear. Consulte Gestin de aplicaciones personalizadas o desconocidas.
Cree un perfil de bloqueo de archivos que bloquee tipos de archivos Portable Executable (PE) para trfico
de SMB (bloqueo de mensajes del servidor) basado en Internet para que no pase de las zonas fiables a las
no fiables (aplicaciones ms-ds-smb).
Para lograr una proteccin adicional, cree una poltica antivirus para detectar y bloquear los archivos DLL
malintencionados conocidos.
330
Cree un perfil de proteccin de zona configurado para ofrecer proteccin frente a los ataques basados en
paquetes.
Quite las marcas de tiempo de TCP de los paquetes SYN para que el cortafuegos pueda reenviar los
paquetes. Si quita la opcin de marca de tiempo de TCP de un paquete SYN, la pila TCP de ambos
extremos de la conexin TCP no admite las marcas de tiempo de TCP. Por lo tanto, mediante la
deshabilitacin de la marca de tiempo de TCP de un paquete SYN, puede evitar un ataque que utilice
distintas marcas de tiempo en varios paquetes para el mismo nmero de secuencia.
Prevencin de amenazas
Prevencin de amenazas
Verifique que est habilitada la compatibilidad con IPv6 si ha configurado direcciones IPv6 en sus hosts de
red. (Red > Interfaces > Ethernet > IPv6)
Esto permite acceder a hosts IPv6 y filtra los paquetes IPv6 que estn resumidos en paquetes IPv4. Al
habilitar la compatibilidad con IPv6 se evita que las direcciones de multidifusin IPv6 sobre IPv4 se
aprovechen para el reconocimiento de red.
Habilite la compatibilidad con trfico de multidifusin para que el cortafuegos pueda aplicar la poltica
sobre trfico de multidifusin. (Red > Enrutador virtual > Multidifusin)
Habilite el siguiente comando de la CLI para borrar la marca de bit URG en el encabezado TCP y
desautorice el procesamiento de paquetes fuera de banda.
El puntero de urgencia en el encabezado TCP se utiliza para promover un paquete para su procesamiento
inmediato retirndolo de la cola de procesamiento y envindolo a travs de la pila TCP/IP en el host. Este
proceso se denomina procesamiento fuera de banda. Debido a que la implementacin del puntero de
urgencia vara segn el host, para eliminar la ambigedad, utilice el siguiente comando de la CLI para
desautorizar el procesamiento fuera de banda; el byte fuera de banda en la carga se convierte en parte de la
carga y el paquete no se procesa con urgencia. Al hacer este cambio, elimina la ambigedad del modo de
procesamiento del paquete en el cortafuegos y en el host, y el cortafuegos ve exactamente el mismo flujo
en la pila de protocolos como el host al que se destina el paquete.
set deviceconfig setting tcp urgent-data clear
Si configura el cortafuegos para quitar la marca de bit URG y el paquete no tiene ninguna otra marca en el
encabezado TCP, utilice el siguiente comando de la CLI para configurar el cortafuegos para que descarte
los paquetes sin marcas:
set deviceconfig setting tcp drop-zero-flag yes
Prevencin de amenazas
331
Prevencin de amenazas
Habilite los siguientes comandos de la CLI para deshabilitar la inspeccin de paquetes cuando se alcance el
lmite de paquetes que no funcionan. El cortafuegos de Palo Alto Networks puede recopilar hasta 32
paquetes que no funcionan por sesin. Este contador identifica si los paquetes han superado el lmite de
32 paquetes. Cuando el ajuste de derivacin se establece como no, el dispositivo descarta los paquetes que
no funcionan que superan el lmite de 32 paquetes. Es necesario confirmar.
set deviceconfig setting tcp bypass-exceed-oo-queue no
set deviceconfig setting ctd tcp-bypass-exceed-queue no
set deviceconfig setting ctd udp-bypass-exceed-queue no
Habilite los siguientes comandos de la CLI para comprobar la marca de tiempo de TCP. La marca de
tiempo de TCP registra cundo se envi el segmento y permite que el cortafuegos verifique si la marca de
tiempo es vlida para esa sesin. Los paquetes con marcas de tiempo no vlidas se descartan si esta
configuracin est habilitada.
set deviceconfig setting tcp check-timestamp-option yes
332
Prevencin de amenazas
Prevencin de amenazasHabilitacin de la recopilacin de DNS pasivo para mejorar la inteligencia contra amenazas
La supervisin de DNS pasivo est deshabilitada de forma predeterminada, pero se recomienda habilitarla para
facilitar la mejora de la inteligencia contra amenazas. Utilice el siguiente procedimiento para habilitar el DNS
pasivo:
Habilitacin del DNS pasivo
1.
2.
3.
Seleccione la pestaa Firmas DNS y haga clic en la casilla de verificacin Habilitar supervisin
de DNS pasivo.
4.
Prevencin de amenazas
333
Prevencin de amenazas
Sinkholing de DNS
334
Prevencin de amenazas
Prevencin de amenazas
Sinkholing de DNS
La funcin de sinkholing de DNS facilita la identificacin de hosts infectados en la red protegida mediante
trfico DNS en situaciones en las que el cortafuegos no puede ver la consulta de DNS del cliente infectado (es
decir, el cortafuegos no puede ver el originador de la consulta de DNS). En una implementacin tpica, donde
el cortafuegos est antes del servidor DNS local, el log de amenazas identificar la resolucin DNS local como
el origen del trfico en lugar del host infectado. Las consultas de DNS de malware de sinkholing resuelven este
problema de visibilidad generando respuestas errneas a las consultas de host de cliente dirigidas a dominios
malintencionados, de modo que los clientes que intenten conectarse a dominios malintencionados (mediante
comando y control, por ejemplo) intenten conectarse en su lugar a una direccin IP sinkhole que defina, como
se describe en Configuracin de sinkholing de DNS. Los hosts infectados pueden identificarse fcilmente en
los logs de trfico porque cualquier host que intente conectarse a la direccin IP sinkhole est infectado casi con
toda seguridad con malware.
Ilustracin: Ejemplo de sinkholing de DNS
Servidor
DNS pblico
Servidor
hacker
Enrutador
Zona no
fiable
Cortafuegos
Zona de sinkhole
Direccin IP de sinkhole
IPv4 - 10.15.0.20
IPv6fd97:3dec:4d27:e37c:5:5:5:5.
Zona
fiable
Conmutador
Servidor
DNS interno
Escritorio
192.168.2.10
Prevencin de amenazas
335
Prevencin de amenazas
Paso 1
336
Prevencin de amenazas
Prevencin de amenazas
Paso 2
1.
2.
El trfico de la zona en la que se
encuentran los hosts de cliente se debe
3.
enrutar a la zona en la que se ha definido
la direccin IP de sinkhole para que se
registre el trfico.
6.
Para aadir una zona para sinkhole, seleccione Red > Zonas y
haga clic en Aadir.
7.
8.
9.
3.
4.
5.
6.
Prevencin de amenazas
7.
8.
337
Prevencin de amenazas
Paso 4
Paso 5
1.
Para asegurarse de poder identificar los
hosts infectados, compruebe si el trfico
desde el host de cliente de la zona de
confianza hasta la nueva zona de sinkhole
se est registrando.
En este ejemplo, el cliente de host
infectado es 192.168.2.10 y la direccin
IPv4 de sinkhole es 10.15.0.20.
2.
338
Prevencin de amenazas
Prevencin de amenazas
Paso 6
2.
1.
Prevencin de amenazas
3.
4.
339
Prevencin de amenazas
Paso 1
1.
2.
3.
340
Prevencin de amenazas
Prevencin de amenazas
Paso 2
Prevencin de amenazas
341
Prevencin de amenazas
URL
Base de datos de
aplicaciones
updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15
Base de datos
amenazas/antivirus
updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15
downloads.paloaltonetworks.com:443
Como prctica recomendada, establezca
el servidor de actualizaciones para que
acceda a updates.paloaltonetworks.com.
De esta forma el dispositivo de Palo Alto
Networks podr recibir actualizaciones
de contenidos desde el servidor que est
ms cercano en la infraestructura de
CDN.
*.urlcloud.paloaltonetworks.com
Se resuelve como la direccin URL
principal
s0000.urlcloud.paloaltonetworks.com y, a
continuacin, se redirige al servidor
regional ms prximo:
s0100.urlcloud.paloaltonetworks.com
s0200.urlcloud.paloaltonetworks.com
s0300.urlcloud.paloaltonetworks.com
s0500.urlcloud.paloaltonetworks.com
Filtrado de URL de
BrightCloud
342
database.brightcloud.com:443/80
service.brightcloud.com:80
Prevencin de amenazas
Prevencin de amenazas
Recurso
URL
WildFire
beta.wildfire.paloaltonetworks.com:
443/80
mail.wildfire.paloaltonetworks.com:25 o la
direccin IP 54.241.16.83
beta-s1.wildfire.paloaltonetworks.com:
443/80
wildfire.paloaltonetworks.com:443/80 o
54.241.8.199
Solo es posible acceder a los sitios Las direcciones URL/IP regionales son las
siguientes:
Beta por un cortafuegos que est
ejecutando una versin Beta.
ca-s1.wildfire.paloaltonetworks.com:44 o
mail.wildfire.paloaltonetworks.com:25
54.241.34.71
wildfire.paloaltonetworks.com:443/80
va-s1.wildfire.paloaltonetworks.com:443 o
174.129.24.252
eu-s1.wildfire.paloaltonetworks.com:443 o
54.246.95.247
sg-s1.wildfire.paloaltonetworks.com:443 o
54.251.33.241
jp-s1.wildfire.paloaltonetworks.com:443 o
54.238.53.161
portal3.wildfire.paloaltonetworks.com:443/8
0 o 54.241.8.199
ca-s3.wildfire.paloaltonetworks.com:443 o
54.241.34.71
va-s3.wildfire.paloaltonetworks.com:443 o
23.21.208.35
eu-s3.wildfire.paloaltonetworks.com:443 o
54.246.95.247
sg-s3.wildfire.paloaltonetworks.com:443 o
54.251.33.241
jp-s3.wildfire.paloaltonetworks.com:443 o
54.238.53.161
wildfire.paloaltonetworks.com.jp:443/80 o
180.37.183.53
wf1.wildfire.paloaltonetowrks.jp:443 o
180.37.180.37
wf2.wildfire.paloaltonetworks.jp:443 o
180.37.181.18
portal3.wildfire.paloaltonetworks.jp:443/80
o 180.37.183.53
Prevencin de amenazas
343
Prevencin de amenazas
Para ver una lista de las amenazas y aplicaciones que los productos de Palo Alto Networks pueden identificar,
utilice los siguientes enlaces:
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
nmero de ID para obtener ms informacin acerca de una amenaza.
344
Prevencin de amenazas
Descifrado
Los cortafuegos de Palo Alto Networks ofrecen la posibilidad de descifrar y examinar el trfico para ofrecer
gran visibilidad, control y seguridad granular. El descifrado de un cortafuegos de Palo Alto Networks ofrece la
capacidad de aplicar polticas de seguridad al trfico cifrado, que de otra manera no podran bloquearse ni
moldearla de acuerdo con los ajustes de seguridad que ha configurado. Use el descifrado en un cortafuegos para
evitar que entre en su red contenido malicioso o que salga de ella contenido sensible, escondido como trfico
cifrado. La activacin del descifrado en un cortafuegos de Palo Alto Networks puede incluir la preparacin de
claves y certificados necesarios para el descifrado, la creacin de una poltica de descifrado y la configuracin de
un reflejo de puerto de descifrado. Consulte los siguientes temas para saber ms sobre el descifrado y
configurarlo:
Conceptos de descifrado
Descifrado
345
Descifrado
Evite que el malware oculto como trfico cifrado se introduzca en una red de su empresa.
Descifre el trfico de forma selectiva; por ejemplo, puede excluir del descifrado el trfico de sitios financieros
o sanitarios mediante la configuracin de excepciones de descifrado.
Las tres polticas de descifrado que se ofrecen en el cortafuegos, Proxy SSL de reenvo, Inspeccin de entrada
SSL y Proxy SSH, proporcionan mtodos para detectar y examinar especficamente trfico saliente SSL, trfico
SSL entrante y trfico SSH, respectivamente. Las polticas de descifrado proporcionan los ajustes para que
especifique qu trfico descifrar y qu perfiles de descifrado se pueden seleccionar al crear una poltica con el
objetivo de aplicar ajustes de seguridad ms granulares al trfico descifrado, como por ejemplo para buscar
certificados del servidor, modos no admitidos y fallos. Este descifrado basado en polticas en el cortafuegos le
ofrece visibilidad y controla del trfico cifrado SSL y SSH de acuerdo con parmetros configurables.
Tambin puede optar por extender una configuracin de descifrado en el cortafuegos para incluir el Reflejo del
puerto de descifrado, lo que permite el reenvo de trfico descifrado como texto sin cifrar a una solucin externa
para su anlisis y archivado.
346
Descifrado
Descifrado
Conceptos de descifrado
Conceptos de descifrado
Para saber ms sobre las claves y certificados para el descifrado, las polticas de descifrado y el reflejo de los
puertos de descifrado, consulte los siguientes temas:
Proxy SSH
Excepciones de descifrado
Descifrado
347
Conceptos de descifrado
Descifrado
Tabla: Claves y certificados de dispositivos de Palo Alto Networks describe las distintas claves y certificados que
usan los dispositivos de Palo Alto Networks para el descifrado. Una prctica recomendada es utilizar diferentes
claves y certificados para cada uso.
348
Descifrado
Descifrado
Conceptos de descifrado
Descripcin
Reenvo fiable
Reenvo no fiable
Certificado SSL de exclusin Certificados de servidores que quiere excluir del descifrado SSL/TLS. Por ejemplo, si
Descifrado
Certificado que se usa para descifrar el trfico SSL/TLS entrante para su inspeccin y
la aplicacin de polticas. Para esta aplicacin, debe importar el certificado de servidor
para los servidores a los que realiza una inspeccin de entrada SSL o almacenarlos en
un HSM (consulte Almacenamiento de claves privadas en un HSM).
349
Conceptos de descifrado
Descifrado
350
Descifrado
Descifrado
Conceptos de descifrado
Consulte Configuracin del proxy SSL de reenvo si desea ms detalles sobre la configuracin del proxy SSL de
reenvo.
Descifrado
351
Conceptos de descifrado
Descifrado
Consulte Configuracin de la inspeccin de entrada SSL si desea ms detalles sobre la configuracin del proxy
SSL de reenvo.
352
Descifrado
Descifrado
Conceptos de descifrado
Proxy SSH
El proxy SSH permite que el cortafuegos descifre las conexiones de SSH entrantes y salientes que lo atraviesan
para asegurar que el SSH no se use para encubrir aplicaciones y contenido no deseado. El descifrado SSH no
requiere ningn certificado, y la clave que se usa para el descifrado SSH se genera automticamente al iniciar el
cortafuegos. Durante el proceso de inicio, el cortafuegos comprueba si ya existe una clave. De lo contrario, se
genera una clave. Esta clave se usa para descifrar las sesiones SSH de todos los sistemas virtuales configurados
en el dispositivo. La misma clave se usa para descifrar todas las sesiones SSH v2.
En una configuracin Proxy SSH, el cortafuegos se encuentra entre un cliente y un servidor. Cuando el cliente
inicia una solicitud SSH al servidor, el cortafuegos intercepta la solicitud la reenva al servidor. A continuacin
el cortafuegos intercepta la respuesta del servidor y la reenva al cliente, estableciendo un tnel SSH entre el
cortafuegos y el cliente y un tnel SSH entre el cortafuegos y el servidor, por lo que el cortafuegos funciona
como proxy. A medida que el trfico fluye entre el cliente y el servidor, el cortafuegos puede distinguir si el
trfico SSH se enruta normalmente o si usa un tnel SSH (reenvo de puertos). Las inspecciones de contenido
y amenazas no se realizan en los tneles SSH, sin embargo, si el cortafuegos identifica tneles SSH, el trfico
con tnel SSH se bloquear y restringir de acuerdo con las polticas de seguridad configuradas.
Ilustracin: Descifrado del proxy SSH muestra este proceso en detalle.
Ilustracin: Descifrado del proxy SSH
Consulte Configuracin del Proxy SSH si desea ms detalles sobre la configuracin de una poltica de
proxy SSH.
Descifrado
353
Conceptos de descifrado
Descifrado
Excepciones de descifrado
Hay trfico que puede excluirse del descifrado mediante criterios de comparacin (con una poltica de
descifrado) o mediante la especificacin del servidor de destino (mediante certificados); mientras que algunas
aplicaciones se excluyen del descifrado por defecto.
Las aplicaciones que no funcionen adecuadamente cuando las descifra el cortafuegos se excluirn
automticamente del descifrado SSL. Las aplicaciones que se excluyen por defecto del descifrado SSL son
aquellas que suelen fallar por el descifrado porque la aplicacin busca detalles especficos en el certificado que
pueden no estar presentes en el certificado generado por el proxy SSL de reenvo. Consulte el artculo de la base
de conocimientos (KB) List of Applications Excluded from SSL Decryption (Lista de aplicaciones excluidas del
cifrado SSL) si desea una lista actualizada de las aplicaciones excluidas por defecto del descifrado SSL en el
cortafuegos.
Puede configurar excepciones de descifrado para ciertas categoras o aplicaciones de URL que pueden no
funcionar adecuadamente cuando el descifrado est activado o por cualquier otro motivo, incluidos los fines
legales o de privacidad. Puede usar una poltica de descifrado para excluir el trfico del descifrado en funcin
del origen, el destino y la categora de URL. Por ejemplo, con el descifrado SSL activado, puede excluir el trfico
que se categoriza como financiero o sanitario del descifrado mediante la seleccin de categora URL.
Tambin puede excluir servidores del descifrado SSL segn el nombre comn (CN) del certificado del servidor.
Por ejemplo, si ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el descifrado SSL
(por ejemplo, servicios web de sus sistemas de RR. HH.), puede excluir esos servidores del descifrado
importando el certificado del servidor al cortafuegos y modificndolo para que sea un certificado SSL de
exclusin.
Para excluir el trfico del descifrado segn el origen, destino o categora de URL o para excluir el trfico de un
servidor especfico del descifrado, consulte Configuracin de excepciones de descifrado.
354
Descifrado
Descifrado
Conceptos de descifrado
SSL/TLS
SSL/TLS
www.google.com
Descifrado
355
Descifrado
Utilice la siguiente tarea para configurar el proxy SSL de reenvo, incluido cmo configurar los certificados y
crear una poltica de descifrado.
Configuracin del proxy SSL de reenvo
Paso 1
356
Asegrese de que las interfaces adecuadas Visualice las interfaces configuradas en la pestaa Red >
Interfaces > Ethernet. La columna Tipo de interfaz muestra si
estn configuradas como interfaces de
Virtual Wire, capa 2 o capa 3.
una interfaz est configurada para ser una interfaz de Virtual Wire,
Capa 2 o Capa 3. Puede seleccionar una interfaz para modificar su
configuracin, incluido qu tipo de interfaz es.
Descifrado
Descifrado
Paso 2
Descifrado
357
Descifrado
358
Descifrado
Descifrado
Paso 3
1.
2.
3.
4.
5.
6.
7.
8.
Paso 4
Paso 5
2.
1.
Descifrado
359
Descifrado
Paso 6
1.
2.
3.
4.
5.
Paso 7
360
Compile la configuracin.
6.
7.
Descifrado
Descifrado
Paso 1
Asegrese de que las interfaces adecuadas Visualice las interfaces configuradas en la pestaa Red >
Interfaces > Ethernet. La columna Tipo de interfaz muestra si
estn configuradas como interfaces de
Virtual Wire, capa 2 o capa 3.
una interfaz est configurada para ser una interfaz de Virtual
Wire, Capa 2 o Capa 3. Puede seleccionar una interfaz para
modificar su configuracin, incluido qu tipo de interfaz es.
Paso 2
Paso 3
2.
3.
4.
1.
Descifrado
361
Descifrado
Paso 4
1.
2.
3.
4.
5.
Paso 5
362
Compile la configuracin.
6.
7.
Descifrado
Descifrado
Paso 1
Paso 2
1.
Paso 4
Compile la configuracin.
Descifrado
1.
2.
3.
4.
5.
6.
7.
363
Descifrado
Paso 1
364
1.
2.
3.
4.
5.
6.
Descifrado
Descifrado
Paso 2
Mueva la poltica de descifrado a la parte En la pgina Descifrado > Polticas, seleccione la poltica
superior de la lista de polticas de
No-Decrypt-Finance-Health y haga clic en Mover hacia arriba hasta que
descifrado.
aparezca en la parte superior de la lista (o puede arrastrarla y soltarla).
El orden en que aparecen las polticas de descifrado es el mismo
orden en que se aplican al trfico de red. Si mueve la poltica con la
accin No hay ningn descifrado aplicada a la parte superior de la
lista, garantizar que el trfico especificado no se descifre de acuerdo
con otra poltica configurada.
Paso 3
Compile la configuracin.
Paso 1
Paso 2
Seleccione el certificado del servidor de destino en la pestaa Certificados de dispositivo y habiltelo como un
Certificado SSL de exclusin.
Con el certificado del servidor de destino importado en el cortafuegos y designado como Certificado SSL de
exclusin, el trfico del servidor no se descifrar cuando pase a travs del cortafuegos.
Descifrado
365
Descifrado
Paso 1
1.
2.
3.
4.
5.
6.
7.
8.
9.
366
Descifrado
Descifrado
Paso 2
1.
2.
3.
Paso 3
Descifrado
367
Descifrado
Paso 1
368
3.
4.
5.
Descifrado
Descifrado
Paso 2
Paso 3
2.
3.
4.
Paso 4
2.
3.
4.
1.
2.
3.
4.
Descifrado
369
Descifrado
Paso 5
1.
2.
4.
Paso 6
Paso 7
370
Guarde la configuracin.
3.
4.
Descifrado
Descifrado
Desactivacin del descifrado SSL set system setting ssl-decrypt skip-ssl-decrypt yes
Reactivacin del descifrado SSL set system setting ssl-decrypt skip-ssl-decrypt no
Descifrado
371
Descifrado
372
Descifrado
Filtrado de URL
La solucin de filtrado de URL de Palo Alto Networks es una potente funcin de PAN-OS que se utiliza para
supervisar y controlar el modo en que los usuarios acceden a Internet a travs de HTTP y HTTPS. Los
siguientes temas ofrecen una descripcin general del filtrado de URL, informacin de configuracin y solucin
de problemas y las prcticas recomendadas para sacar el mximo partido de esta funcin:
Filtrado de URL
373
Filtrado de URL
PAN-DB: Base de datos de filtrado de URL desarrollada por Palo Alto Networks, que est estrechamente
integrada en PAN-OS mediante el uso de almacenamiento en cach local de alto rendimiento para lograr el
mximo rendimiento en lnea de las bsquedas de URL, mientras que una arquitectura de nube distribuida
proporciona cobertura para los sitios web ms recientes. Adems, PAN-DB se integra perfectamente con
WildFire de modo que siempre que WildFire detecta un sitio malintencionado, actualiza la categora de URL
de PAN-DB correspondiente como malware, lo que bloquea de inmediato el acceso futuro al sitio siempre
que haya adjuntado un perfil de filtrado de URL a la regla de la poltica de seguridad. Para ver una lista de
categoras de PAN-DB URL Filtering, consulte
https://urlfiltering.paloaltonetworks.com/CategoryList.aspx.
BrightCloud: Base de datos de URL externa, propiedad de Webroot, Inc., que est integrada en los
cortafuegos de PAN-OS. Para obtener informacin sobre la base de datos de URL de BrightCloud, visite
http://brightcloud.com.
Para obtener instrucciones sobre cmo configurar el cortafuegos para usar uno de los proveedores de filtrado
de URL admitidos, consulte Habilitacin de un proveedor de filtrado de URL.
374
Filtrado de URL
Filtrado de URL
Filtrado de URL
375
Filtrado de URL
Categoras de URL
Pginas contenedoras
376
Filtrado de URL
Filtrado de URL
Categoras de URL
Cada sitio web definido en la base de datos de filtrado de URL tiene asignada una de las aproximadamente 60
categoras de URL diferentes. Hay dos formas de usar la categorizacin de URL en el cortafuegos:
Bloquear o permitir el trfico segn la categora de URL: Puede crear un perfil de filtrado de URL que
especifique una accin para cada categora de URL y adjuntar el perfil a una poltica. El trfico que coincida
con poltica dependera de la configuracin del filtrado de URL en el perfil. Por ejemplo, para bloquear todos
los sitios web de juego, debe establecer la accin de bloqueo para la categora de URL juegos en el perfil de
URL y adjuntarla a las reglas de la poltica de seguridad que permiten el acceso web. Consulte Configuracin
de filtrado de URL para obtener ms informacin.
Establecer la coincidencia con el trfico segn la categora de URL para la aplicacin de la poltica:
Si desea que una regla de una poltica especfica se aplique solamente al trfico web de los sitios de una
categora especfica, debe aadir la categora como un criterio de coincidencia al crear la regla de la poltica.
Por ejemplo, puede usar la categora de URL aplicaciones de transmisin multimedia en una poltica de QoS para
aplicar controles de ancho de banda a todos los sitios web categorizados como aplicaciones de transmisin
multimedia. Consulte Categora de URL como criterio de coincidencia de poltica para obtener ms
informacin.
Al agrupar sitios web en categoras, resulta ms fcil definir acciones basndose en determinados tipos de sitios
web. Adems de las categoras de URL estndar, hay tres categoras adicionales:
No resuelto
Indica que el sitio web no se ha encontrado en la base de datos de filtrado de URL local
y que el cortafuegos no ha podido conectarse con la base de datos de la nube para
comprobar la categora. Cuando se realiza una bsqueda de categora de URL, en
primer lugar el cortafuegos comprueba la cach del plano de datos en busca de la URL.
Si no se encuentra ninguna coincidencia, a continuacin comprueba la cach del plano
de gestin y si no se encuentra ninguna coincidencia aqu, consulta la base de datos de
URL en la nube.
Al decidir qu accin realizar para el trfico categorizado como No resuelto, tenga en
cuenta que si establece una accin de bloqueo, puede perjudicar mucho a los usuarios.
Para obtener ms informacin sobre la solucin de problemas de bsqueda, consulte
Solucin de problemas del filtrado de URL.
Direcciones IP privadas
Indica que el sitio web es un nico dominio (no tiene subdominios), la direccin IP est
en el intervalo de IP privadas o el dominio raz de la URL es desconocido para la nube.
Desconocido
Filtrado de URL
377
Filtrado de URL
Pginas contenedoras
378
Filtrado de URL
Filtrado de URL
Accin
Descripcin
alerta
El sitio web est permitido y se genera una entrada de log en el log de filtrado de URL.
permitir
bloquear
El sitio web est bloqueado y el usuario ver una pgina de respuesta y no podr ir al sitio
web. Se generar una entrada de log en el log de filtrado de URL.
continuar
El usuario recibir una pgina de respuesta indicando que el sitio se ha bloqueado debido a
la poltica de la empresa, pero se le dar la opcin de ir al sitio web. La accin continuar se
suele usar para categoras que se consideran inofensivas y se usa para mejorar la experiencia
del usuario mediante la posibilidad de continuar si considera que el sitio se ha categorizado
incorrectamente. El mensaje de la pgina de respuesta se puede personalizar para incluir
informacin detallada especfica de su empresa. Se generar una entrada de log en el log de
filtrado de URL.
La pgina Continuar no se mostrar correctamente en mquinas cliente configuradas
para usar un servidor proxy.
cancelar
El usuario ver una pgina de respuesta indicando que se requiere una contrasea para
permitir el acceso a los sitios web de la categora en cuestin. Con esta opcin, el
administrador de seguridad o el miembro del departamento de soporte tcnico
proporcionara una contrasea que concedera un acceso temporal a todos los sitios web de
la categora en cuestin. Se generar una entrada de log en el log de filtrado de URL.
Consulte Configuracin de la cancelacin de administrador de URL.
La pgina Cancelar no se mostrar correctamente en mquinas cliente configuradas
para usar un servidor proxy.
ninguno
La accin ninguno solo se aplica a las categoras de URL personalizadas. Seleccione ninguno
para asegurarse de que si existen varios perfiles de URL, la categora personalizada no tendr
ningn efecto en otros perfiles. Por ejemplo, si tiene dos perfiles de URL y la categora de
URL personalizada se ha establecido en bloquear en uno de los perfiles, la accin del otro
perfil se debe establecer en ninguno si no desea que se aplique.
Adems, para eliminar una categora de URL personalizada, se debe establecer en ninguno
en cualquier perfil en el que se use.
Filtrado de URL
379
Filtrado de URL
No incluya HTTP y HTTPS al definir las URL. Por ejemplo, introduzca www.paloaltonetworks.com o
paloaltonetworks.com en lugar de https://www.paloaltonetworks.com.
Las entradas de la lista de bloqueo deben ser una coincidencia exacta y no distinguen entre maysculas y
minsculas.
Por ejemplo: Si desea impedir que un usuario acceda a cualquier sitio web que est dentro del dominio
paloaltonetworks.com, tambin debera aadir *.paloaltonetworks.com para que se realice la accin
especificada, independientemente del prefijo de dominio que se aada a la direccin (http://, www o un
prefijo de subdominio, como mail.paloaltonetworks.com). Lo mismo ocurre con el sufijo de subdominio; si
desea bloquear paloaltonetworks.com/en/US, debe aadir tambin paloaltonetworks.com/*.
Las listas de bloqueadas y permitidas admiten patrones de comodines. Los siguientes caracteres se
consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo. Un testigo puede ser cualquier nmero
de caracteres ASCII que no contenga un carcter separador o *. Por ejemplo, los siguientes patrones son
vlidos:
*.yahoo.com (los testigos son: *, yahoo y com)
www.*.com (los testigos son: www, * and com)
www.yahoo.com/search=* (los testigos son: www, yahoo, com, search, *)
Los siguientes patrones no son vlidos porque el carcter * no es el nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
380
Filtrado de URL
Filtrado de URL
Bloqueo de resultados de bsqueda sin la configuracin de bsqueda segura estricta: Cuando un usuario final
intenta realizar una bsqueda sin habilitar primero la configuracin de bsqueda segura ms estricta, el
cortafuegos bloquea los resultados de la consulta de bsqueda y muestra la pgina de bloque de bsqueda
segura de filtrado de URL. De forma predeterminada, esta pgina proporciona una direccin URL al
proveedor de bsquedas para configurar la bsqueda segura.
Habilitacin del forzaje de bsquedas seguras transparente: Cuando un usuario final intenta realizar una
bsqueda sin habilitar primero la configuracin de bsqueda segura estricta, el cortafuegos bloquea los
resultados de la bsqueda mediante un cdigo de estado HTTP 503 y redirige la consulta de bsqueda a una
direccin URL que incluye los parmetros de bsqueda segura. Para habilitar esta funcin, importe una
pgina de bloque de bsqueda segura de filtrado de URL nueva que contenga Javascript para reescribir la
direccin URL de bsqueda de modo que incluya los parmetros de bsqueda segura estricta. Con esta
configuracin, los usuarios no vern la pgina de bloque, sino que sern redirigidos automticamente a una
consulta de bsqueda que fuerza las opciones de bsqueda segura ms estrictas. Este mtodo de forzaje de
bsquedas seguras requiere la versin de publicacin de contenido 475 o posterior y solo es compatible con
las bsquedas en Google, Yahoo y Bing.
Adems, dado que la mayora de los proveedores de bsquedas ahora usan SSL para devolver resultados de
bsqueda, tambin debe configurar una poltica de Descifrado de modo que el trfico de bsqueda permita que
el cortafuegos inspeccione el trfico de bsqueda y fuerce la bsqueda segura.
En las publicaciones de contenido se aaden peridicamente mejoras del forzaje de bsquedas
seguras y asistencia para los nuevos proveedores de bsquedas. Esta informacin se detalla en
las notas de la versin de contenido sobre aplicaciones y amenazas. Cada proveedor de
bsquedas es el que valora si un sitio es seguro o no, y no Palo Alto Networks.
La configuracin de bsqueda segura vara segn el proveedor de bsquedas, como se detalla en la Tabla:
Configuracin de bsqueda segura de proveedores de bsquedas.
Filtrado de URL
381
Filtrado de URL
Google/YouTube
Bing
382
Filtrado de URL
Filtrado de URL
Pginas contenedoras
Una pgina de contenedor es la pgina principal a la que accede un usuario al visitar un sitio web, pero se pueden
cargar sitios web adicionales dentro de la pgina principal. Si se habilita la opcin Pgina de contenedor de log
nicamente en el perfil de filtrado de URL, solamente se registrar la pgina de contenedor principal y no las
pginas posteriores que puedan cargarse en la pgina de contenedor. Dado que el filtrado de URL
potencialmente puede generar muchas entradas de log, puede que quiera activar esta opcin; de este modo, las
entradas de log solamente incluirn esos URI cuando el nombre de archivo de la pgina solicitada coincida con
los tipos MIME especficos. El conjunto predeterminado incluye los siguientes tipos MIME:
application/pdf
application/soap+xml
application/xhtml+xml
text/html
text/plain
text/xml
Si ha habilitado la opcin Pgina de contenedor de log nicamente, puede que no siempre
haya una entrada de log de URL correlacionada para amenazas detectadas por antivirus o
proteccin contra vulnerabilidades.
Filtrado de URL
383
Filtrado de URL
Descripcin
Agente de usuario
Explorador web que usa el usuario para acceder a la direccin URL (por
ejemplo, Internet Explorer). Esta informacin se enva en la solicitud de
HTTP al servidor.
Sitio de referencia
Direccin URL de la pgina web que dirige al usuario a otra pgina web. Se
trata del origen que redirige (remite) al usuario a la pgina web que se est
solicitando.
X-Forwarded-For
Opcin del campo de encabezado que conserva la direccin IP del usuario que
ha solicitado la pgina web. Permite identificar la direccin IP del usuario, en
concreto si tiene un servidor proxy en la red, donde el origen de todas las
solicitudes parece ser la direccin IP del servidor proxy.
384
Filtrado de URL
Filtrado de URL
Pgina de bloque de URL: Acceso bloqueado por un perfil de filtrado de URL o porque la categora de
URL est bloqueada por una poltica de seguridad.
Pgina de continuacin y cancelacin de filtrado de URL: Pgina con poltica de bloqueo inicial que
permite que los usuarios eludan el bloqueo. En la pgina de cancelacin, despus de hacer clic en Continuar,
el usuario debe especificar una contrasea para cancelar la poltica que bloquea la direccin URL.
Pgina de bloque de bsqueda segura de filtrado de URL: Acceso bloqueado por una poltica de
seguridad con un perfil de filtrado de URL que tiene habilitada la opcin Forzaje de bsquedas seguras. El
usuario ver esta pgina si se realiza una bsqueda con Google, Bing, Yahoo o Yandex y la configuracin de
cuenta de su explorador o motor de bsqueda para la bsqueda segura no est establecida como estricta.
Puede usar las pginas predefinidas o puede usar la opcin de Personalizacin de las pginas de respuesta de
filtrado de URL para comunicar sus polticas de uso aceptable especficas o personalizacin de marca
corporativa. Adems, puede usar las Variables de pgina de respuesta de filtrado de URL para la sustitucin en
el momento del evento de bloqueo o aadir una de las Referencias de pgina de respuesta admitidas a imgenes,
sonidos u hojas de estilo externos.
Filtrado de URL
385
Filtrado de URL
Uso
<user/>
<url/>
<category/>
<pan_form/>
Adems, puede aadir cdigo que active el cortafuegos para mostrar el uso de distintos mensajes segn la
categora de URL a la que el usuario est intentando acceder. Por ejemplo, el siguiente fragmento de cdigo de
una pgina de respuesta especifica que se muestre el mensaje 1 si la categora de URL es juegos, el mensaje 2 si
la categora es viajes o el mensaje 3 si la categora es nios:
var cat = "<category/>";
switch(cat)
{
case 'games':
document.getElementById("warningText").innerHTML = "Message 1";
break;
case 'travel':
document.getElementById("warningText").innerHTML = "Message 2";
break;
case 'kids':
document.getElementById("warningText").innerHTML = "Message 3";
break;
}
Solo se puede cargar una pgina HTML en cada sistema virtual para cada tipo de pgina de bloque. Sin embargo,
otros recursos como las imgenes, los sonidos y las hojas de estilos en cascada (archivos CSS) se pueden cargar
de otros servidores en el momento en el que se muestra la pgina de respuesta en el explorador. Todas las
referencias deben incluir una direccin URL completa.
Referencias de pgina de respuesta
Tipo de referencia
Imagen
Sonido
Hoja de estilos
Hiperenlace
<a href="http://en.wikipedia.org/wiki/Acceptable_use_policy">View
Corporate
Policy</a>
386
Filtrado de URL
Filtrado de URL
Descripcin
Portal cautivo
Para garantizar que los usuarios se autentican antes de permitirles el acceso a una categora
especfica, puede adjuntar una categora de URL como criterio de coincidencia para la
poltica de portal cautivo.
Descifrado
Las polticas de descifrado pueden usar categoras de URL como criterios de coincidencia
para determinar si los sitios web especificados deberan descifrarse o no. Por ejemplo, si
tiene una poltica de descifrado con la accin Descifrar para todo el trfico entre dos zonas,
puede haber categoras de sitios web especficas, como servicios financieros y/o salud y medicina,
que no deberan descifrarse. En este caso, debe crear una nueva poltica de descifrado con
la accin No descifrar que precede a la poltica de descifrado y, a continuacin, define una lista
de categoras de URL como criterios de coincidencia para la poltica. Al hacer esto, no se
descifrar ninguna categora de URL que forme parte de la poltica de no descifrado.
Adems, puede configurar una categora de URL personalizada para definir su propia lista
de URL que, a continuacin, se puede usar en la poltica de no descifrado.
QoS
Una poltica de QoS puede utilizar categoras de URL para determinar los niveles de
rendimiento de categoras especficas de sitios web. Por ejemplo, puede que quiera permitir
la categora aplicaciones de transmisin multimedia y al mismo tiempo limitar el
rendimiento aadiendo la categora de URL como criterio de coincidencia a la poltica
de QoS.
Filtrado de URL
387
Filtrado de URL
Tipo de poltica
Descripcin
Seguridad
Las categoras de URL se pueden definir directamente en las polticas de seguridad para
usarlas como criterios de coincidencia en la pestaa Categora de URL/servicio y los perfiles de
filtrado de URL se pueden configurar en la pestaa Acciones.
Por ejemplo, puede que el grupo de seguridad de una empresa necesite acceder a la categora
hacking, pero debera evitarse que el resto de usuarios accediera a estos sitios. Para ello,
deber crear una regla de seguridad que permita el acceso entre las zonas utilizadas para el
acceso web, la pestaa Categora de URL/servicios contendr la categora hacking y el grupo
de seguridad se definir a continuacin en la pestaa Usuarios de la poltica. A continuacin,
la regla de seguridad principal que permite un acceso web general a todos los usuarios tendr
un perfil de filtrado de URL que bloquear todos los sitios de hacking. La poltica que
permite el acceso al hacking deber indicarse antes de la poltica que bloquea el hacking. De
este modo, cuando un usuario que forme parte del grupo de seguridad intente acceder a un
sitio de hacking, la poltica permitir el acceso y se detendr el procesamiento de reglas.
Es importante comprender que al crear polticas de seguridad, las reglas de bloqueo no son
terminales y las reglas de permiso son terminales. Esto significa que si establece una regla
de bloqueo y hay una coincidencia de trfico para esa regla, se comprobarn las dems reglas
posteriores a la regla de bloqueo para determinar si hay una coincidencia. Con una regla de
permiso, que es terminal, cuando el trfico coincide con la regla, el trfico se permite y las
reglas posteriores no se comprueban. Por ejemplo, puede que tenga configurada una regla
de bloqueo que bloquee la categora compras para todos los usuarios, pero luego tenga una
regla de permiso que permita las compras para un grupo de usuarios especfico. En este
ejemplo, un usuario del grupo permitido probablemente tambin forma parte del grupo
general que incluye a todo el mundo. Debido a esto, lo mejor es indicar una regla de permiso
especfica antes de la regla de bloqueo, para que se detenga el procesamiento de reglas
despus de que el trfico coincida y se realice la accin Permitir.
388
Filtrado de URL
Filtrado de URL
Descripcin
Filtrado de URL
389
Filtrado de URL
Componente
Descripcin
Servicio de la nube
390
Filtrado de URL
Filtrado de URL
Si una consulta de URL coincide con una entrada caducada de la cach de URL del plano de datos, la cach
responder con la categora caducada, pero tambin enviar una consulta de categorizacin de URL al plano de
gestin. Se hace esto para evitar retrasos innecesarios en el plano de datos, suponiendo que la frecuencia de
cambio de categoras sea baja. Del mismo modo, en la cach de URL del plano de gestin, si una consulta de
URL del plano de datos coincide con una entrada caducada del plano de gestin, el plano de gestin responder
al plano de datos con la categora caducada y tambin enviar una solicitud de categorizacin de URL al servicio
de la nube. Al obtener la respuesta de la nube, el cortafuegos reenviar la respuesta actualizada al plano de datos.
A medida que se definan nuevas URL y categoras o si se necesitan actualizaciones clave, la base de datos de la
nube se actualizar. Cada vez que el cortafuegos consulte a la nube con una bsqueda de URL o si no se
producen bsquedas en la nube durante 30 minutos, las versiones de la base de datos del cortafuegos se
compararn y, si no coinciden, se realizar una actualizacin progresiva.
Filtrado de URL
391
Filtrado de URL
Si tiene licencias vlidas para PAN-DB y BrightCloud, la activacin de la licencia de PAN-DB desactiva
automticamente la licencia de BrightCloud (y viceversa).
392
Filtrado de URL
Filtrado de URL
Paso 1
1.
Obtenga e instale una licencia de
PAN-DB URL Filtering y confirme que
est instalada.
Si la licencia caduca, PAN-DB
URL Filtering sigue funcionando
de acuerdo con la informacin de
categoras de URL existente en las 2.
cachs del plano de datos y el
plano de gestin. No obstante, las
bsquedas en la nube de URL y
otras actualizaciones basadas en la
nube no funcionarn hasta que
instale una licencia vlida.
Paso 2
1.
Descargue la base de datos de envos
iniciales y active PAN-DB URL Filtering.
El cortafuegos debe tener acceso a 2.
Internet y no puede cargar
manualmente PAN-DB.
3.
Filtrado de URL
393
Filtrado de URL
Paso 3
1.
2.
394
Filtrado de URL
Filtrado de URL
Paso 1
Paso 2
El mtodo usado para hacer esto depende En la pgina Dispositivo > Licencias, seccin Filtrado de URL de
de si el cortafuegos tiene acceso directo a BrightCloud, campo Activo, haga clic en el enlace Activar para
instalar la base de datos de BrightCloud. Esta operacin inicia
Internet.
automticamente un restablecimiento del sistema.
Cortaguegos sin acceso directo a Internet
1. Descargue la base de datos de BrightCloud en un host con
acceso a Internet. El cortafuegos debe tener acceso al host:
a. En un host con acceso a Internet, vaya al sitio web de
asistencia tcnica de Palo Alto
(https://support.paloaltonetworks.com) e inicie sesin.
b. En la seccin Recursos, haga clic en Actualizaciones
dinmicas.
c. En la seccin Base de datos de BrightCloud, haga clic en
Descargar y guarde el archivo en el host.
2.
3.
Filtrado de URL
395
Filtrado de URL
Paso 3
1.
Habilite las bsquedas en la nube para
categorizar dinmicamente una direccin 2.
URL si la categora no est disponible en
la base de datos de BrightCloud local.
Paso 4
3.
396
Filtrado de URL
Filtrado de URL
Paso 1
Paso 2
2.
3.
1.
Configure la accin para todas las
categoras como Alertar, excepto para las
categoras propensas a las amenazas, que 2.
deberan permanecer bloqueadas.
Para seleccionar todos los
elementos de la lista de categoras
de un sistema Windows, haga clic
en la primera categora y, a
continuacin, mantenga pulsada la
tecla Mays y haga clic en la ltima
categora para seleccionar todas
las categoras. Mantenga pulsada
la tecla Ctrl y haga clic en los
elementos cuya seleccin debera
cancelarse. En un Mac, haga lo
mismo utilizando las teclas
Maysculas y Comando. Tambin 3.
podra establecer todas las
categoras como Alertar y cambiar
manualmente las categoras
recomendadas de nuevo a
Bloquear.
4.
Filtrado de URL
397
Filtrado de URL
Paso 3
3.
Paso 4
Guarde la configuracin.
Paso 5
398
Filtrado de URL
Filtrado de URL
Filtrado de URL
399
Filtrado de URL
Log Bloquear: En este log, la categora alcohol y tabaco se ha establecido como Bloquear, por lo que la
accin es Bloquear URL y el usuario ver una pgina de respuesta que indica que el sitio web se ha bloqueado.
Log Alertar en sitio web cifrado: En este ejemplo, la categora es redes sociales y la aplicacin es base de
facebook, que es obligatoria para acceder al sitio web de Facebook y otras aplicaciones de Facebook. Dado
que facebook.com siempre est cifrado con SSL, el cortafuegos descifr el trfico, lo que permite reconocer
y controlar el sitio web si es necesario.
Tambin puede aadir otras columnas a su vista de log de filtrado de URL, como las zonas de origen y destino,
el tipo de contenido y si se realiz o no una captura de paquetes. Para modificar qu columnas mostrar, haga
clic en la flecha hacia abajo en cualquier columna y seleccione el atributo que debe mostrarse.
400
Filtrado de URL
Filtrado de URL
Para ver la informacin detallada completa del log y/o solicitar un cambio de categora para la URL especfica
a la que se accedi, haga clic en el icono de informacin detallada del log en la primera columna del log.
Filtrado de URL
401
Filtrado de URL
402
Filtrado de URL
Filtrado de URL
Paso 1
1.
2.
Paso 2
Filtrado de URL
3.
4.
5.
1.
2.
3.
403
Filtrado de URL
Paso 3
Visualice el informe de actividad del usuario abriendo el archivo PDF que se descarg. La parte superior del
informe incluir un ndice parecido al siguiente:
Paso 4
Haga clic en un elemento del ndice para ver informacin detallada. Por ejemplo, haga clic en Resumen de trfico
por categora de URL para ver estadsticas para el usuario o grupo seleccionado.
404
Filtrado de URL
Filtrado de URL
Paso 1
1.
2.
3.
Paso 2
1.
2.
3.
Paso 3
Paso 4
1.
2.
Guarde la configuracin.
Filtrado de URL
405
Filtrado de URL
Paso 1
1.
406
Filtrado de URL
Filtrado de URL
Paso 3
Modifique la configuracin para registrar La opcin Pgina de contenedor de log nicamente est habilitada
logs solo de las Pginas contenedoras.
de forma predeterminada para que solo se registre la pgina
principal que coincide con la categora, pero no las pginas o
categoras posteriores que puedan cargarse en la pgina de
contenedor. Para habilitar el registro de logs para todas las pgina o
categoras, desactive la casilla de verificacin Pgina de contenedor
de log nicamente.
Paso 5
Paso 6
Paso 7
Filtrado de URL
3.
4.
407
Filtrado de URL
Paso 8
Guarde la configuracin.
408
Filtrado de URL
Filtrado de URL
Paso 1
Paso 2
1.
2.
3.
1.
2.
Paso 3
Paso 4
Filtrado de URL
1.
2.
3.
4.
5.
409
Filtrado de URL
Paso 5
410
Compruebe si se muestra la nueva pgina En un explorador, vaya a la direccin URL que activar la pgina de
de respuesta.
respuesta. Por ejemplo, para ver una pgina de respuesta modificada
de filtrado de URL y coincidencia de categoras, busque la direccin
URL cuyo bloqueo es requerido segn la configuracin de su poltica
de filtrado de URL.
Filtrado de URL
Filtrado de URL
Paso 1
1.
2.
3.
4.
5.
6.
7.
Filtrado de URL
411
Filtrado de URL
Paso 2
Paso 3
1.
2.
3.
4.
1.
(Solo en el modo Redirigir) Cree una
interfaz de capa 3 a la que redirigir las
solicitudes web para los sitios en una
categora configurada para la cancelacin.
2.
412
Filtrado de URL
Filtrado de URL
Paso 4
Paso 5
Paso 6
3.
4.
1.
2.
3.
Paso 7
Guarde la configuracin.
Filtrado de URL
413
Filtrado de URL
414
Filtrado de URL
Filtrado de URL
Paso 1
1.
2.
3.
4.
5.
6.
Paso 2
Paso 3
1.
Aada el perfil de filtrado de URL a la
regla de la poltica de seguridad que
permite el trfico de clientes de la zona de
confianza a Internet.
2.
Filtrado de URL
3.
1.
2.
415
Filtrado de URL
Paso 4
2.
3.
Paso 5
416
Guarde la configuracin.
Filtrado de URL
Filtrado de URL
Paso 6
1.
Filtrado de URL
4.
5.
417
Filtrado de URL
Paso 1
Paso 1
3.
4.
5.
3.
4.
5.
6.
Paso 2
418
1.
Aada el perfil de filtrado de
URL a la regla de la poltica de
seguridad que permite el trfico
de clientes en la zona de
2.
confianza de Internet.
3.
Filtrado de URL
Filtrado de URL
Paso 3
1.
3.
Filtrado de URL
419
Filtrado de URL
Paso 4
1.
Edite la pgina de bloque de
bsqueda segura de filtrado de
URL para sustituir el cdigo
2.
existente por Javascript con el fin
de reescribir las URL de consulta
3.
de bsqueda para forzar la
bsqueda segura de forma
transparente.
Paso 5
420
1.
2.
3.
4.
Filtrado de URL
Filtrado de URL
Paso 6
Paso 7
Guarde la configuracin.
Filtrado de URL
1.
2.
421
Filtrado de URL
422
Filtrado de URL
Filtrado de URL
Paso 1
Paso 2
1.
2.
2.
3.
1.
2.
3.
Paso 3
Filtrado de URL
423
Filtrado de URL
Paso 4
Paso 5
3.
3.
424
Filtrado de URL
Filtrado de URL
Paso 6
6.
7.
8.
9.
Filtrado de URL
425
Filtrado de URL
Paso 7
1.
Configure la poltica de seguridad para
bloquear al resto de usuarios de modo que
no puedan utilizar ninguna aplicacin de
Facebook que no sea una exploracin
2.
web bsica. La forma ms sencilla de
hacer esto es duplicar la poltica de
3.
permiso de marketing y, a continuacin,
modificarla.
4.
5.
6.
7.
8.
9.
Con estas polticas establecidas, cualquier usuario que forme parte del grupo de marketing tendr un acceso
completo a todas las aplicaciones de Facebook y cualquier usuario que no forme parte del grupo de marketing
solamente tendr acceso de solo lectura al sitio web de Facebook y no podr utilizar determinadas funciones de
Facebook, como la publicacin, el chat, el correo electrnico y el intercambio de archivos.
426
Filtrado de URL
Filtrado de URL
Paso 1
1.
Cree la regla de no descifrado que se
incluir primero en la lista de polticas de 2.
descifrado. Esto impedir el descifrado
de cualquier sitio web que tenga las
3.
categoras de URL servicios financieros o
salud y medicina.
4.
Filtrado de URL
5.
6.
7.
427
Filtrado de URL
Paso 2
Paso 3
1.
Cree la poltica de descifrado que
descifrar el resto del trfico. Esta poltica
se enumerar despus de la poltica de no 2.
descifrado.
3.
4.
5.
6.
1.
2.
Paso 4
Guarde la configuracin.
Con estas dos polticas de descifrado establecidas, cualquier trfico destinado a las categoras de URL servicios
financieros o salud y medicina no se descifrar. El resto del trfico s se descifrar.
Tambin puede definir un control ms detallado sobre las polticas de descifrado definiendo polticas de
descifrado, que se utilizan para realizar comprobaciones como verificaciones de certificados de servidor o para
bloquear sesiones con certificados vencidos. A continuacin, el perfil se aade a la pestaa Opciones de la
poltica de descifrado. Para obtener una lista completa de las comprobaciones que se pueden realizar, seleccione
Objetos > Perfiles de descifrado en el cortafuegos y, a continuacin, haga clic en el icono de ayuda.
Ahora que tiene unos conocimientos bsicos de las potentes funciones del filtrado de URL, App-ID y User-ID,
puede aplicar polticas similares a su cortafuegos para controlar cualquier aplicacin de la base de datos de firmas
de App-ID de Palo Alto Networks y controlar cualquier sitio web incluido en la base de datos de filtrado de URL.
Para obtener ayuda para solucionar problemas del filtrado de URL, consulte Solucin de problemas del filtrado
de URL.
428
Filtrado de URL
Filtrado de URL
Categorizacin incorrecta
1.
2.
Compruebe si el cortafuegos tiene una licencia de PAN-DB vlida mediante la ejecucin del siguiente comando:
admin@PA-200> request license info
Debe ver la entrada de licencia Feature: PAN_DB URL Filtering. Si la licencia no est instalada, deber obtener e
instalar una licencia. Consulte Configuracin de filtrado de URL.
4.
Una vez instalada la licencia, descargue una nueva base de datos de envos PAN-DB mediante la ejecucin del
siguiente comando:
admin@PA-200> request url-filtering download paloaltonetworks region
5.
<region>
Si el mensaje es distinto de PAN-DB download: Finished successfully, detenga el proceso, ya que puede haber
un a problema de conexin con la nube. Intente solucionar el problema de conectividad realizando una solucin
de problemas de red bsica entre el cortafuegos e Internet. Para obtener ms informacin, consulte Problemas de
conectividad con la nube de PAN-DB.
Si el mensaje es PAN-DB download: Finished successfully, el cortafuegos habr descargado correctamente la
base de datos de envos de URL. Intente habilitar PAN-DB de nuevo mediante la ejecucin del siguiente comando:
admin@PA-200> set system setting url-database paloaltonetworks
6.
Si el problema persiste, pngase en contacto con el equipo de asistencia tcnica de Palo Alto Networks.
Filtrado de URL
429
Filtrado de URL
valid
s0000.urlcloud.paloaltonetworks.com
connected
2013.11.18.000
2013.11.18.000 ( last update time
good
pan/0.0.2
pan/0.0.2
compatible
430
Filtrado de URL
Filtrado de URL
En la siguiente tabla se describen los procedimientos que puede usar para solucionar problemas provocados por
la salida del comando show url-cloud status, cmo hacer ping a los servidores de la nube de URL y qu
comprobar si el cortafuegos tiene una configuracin de alta disponibilidad (HA).
Solucin de problemas de conectividad con la nube
Si el campo de la licencia de PAN-DB URL Filtering no es vlido, obtenga e instale una licencia de PAN-DB vlida.
Si la base de datos de URL no est actualizada, descargue una base de datos de envos nueva mediante la ejecucin del
siguiente comando:
admin@pa-200> request url-filtering download paloaltonetworks region <region>
Si el cortafuegos tiene una configuracin de HA, verifique que el estado de HA de los dispositivos admita la conectividad
con los sistemas de la nube. Puede determinar el estado de HA mediante la ejecucin del siguiente comando:
admin@pa-200> show high-availability state
La conexin con la nube se bloquear si el cortafuegos no tiene uno de los siguientes estados:
activa
activa-principal
activa-secundaria
Si el problema persiste, pngase en contacto con el equipo de asistencia tcnica de Palo Alto Networks.
1.
Compruebe la conexin con la nube de PAN-DB mediante la ejecucin del siguiente comando:
admin@PA-200> show url-cloud status
En el campo de conexin con la nube se debe mostrar Conectado. Si no se muestra Conectado, cualquier URL
que no exista en la cach del plano de gestin se categoriza como No resuelto. Para solucionar este problema,
consulte Problemas de conectividad con la nube de PAN-DB.
2.
Si el estado de conexin de la nube es Conectado, compruebe el uso actual del cortafuegos. Si el rendimiento
del cortafuegos tiene picos, puede que las solicitudes de URL se descarten (puede que no lleguen al plano de
gestin) y se categoricen como No resuelto.
Para ver los recursos del sistema, ejecute el siguiente comando y consulte las columnas %CPU y %MEM:
admin@PA-200> show system resources
Adems, para ver los recursos del sistema en las interfaces web del cortafuegos, haga clic en la pestaa Panel
y consulte la seccin Recursos del sistema.
3.
Si el problema persiste, pngase en contacto con el equipo de asistencia tcnica de Palo Alto Networks.
Filtrado de URL
431
Filtrado de URL
Categorizacin incorrecta
En los siguientes pasos se describen los procedimientos que puede usar si identifica una URL que no tiene una
categorizacin correcta. Por ejemplo, si la URL paloaltonetworks.com se categoriza como alcohol y tabaco, la
categorizacin no es correcta. La categora debe ser informacin de equipo e internet.
Solucin de problemas de categorizacin incorrecta
1.
Por ejemplo, para ver la categora del sitio web de Palo Alto Networks, ejecute el siguiente comando:
admin@PA-200> show running url paloaltonetworks.com
Si la URL almacenada en la cach del plano de datos tiene la categora correcta (informacin de equipo e internet en
este ejemplo), la categorizacin es correcta y no es necesario realizar ninguna otra accin. Si la categora no es
correcta, vaya al paso siguiente.
2.
<URL>
Por ejemplo:
admin@PA-200> test url-info-host paloaltonetworks.com
Si la URL almacenada en la cach del plano de gestin tiene la categora correcta, quite la URL de la cach del plano
de datos mediante la ejecucin del siguiente comando:
admin@PA-200> clear url-cache url
<URL>
La prxima vez que el dispositivo solicite la categora de esta URL, la solicitud se reenviar al plano de gestin. Esto
solucionar el problema y no ser necesario realizar ninguna otra accin. Si esto no soluciona el problema, vaya al
paso siguiente para comprobar la categora de URL en los sistemas de la nube.
3.
4.
Si la URL almacenada en la nube tiene la categora correcta, quite la URL de las cachs del plano de datos y el plano
de gestin.
Ejecute el siguiente comando para eliminar una URL de la cach del plano de datos:
admin@PA-200> clear url-cache url <URL>
Ejecute el siguiente comando para eliminar una URL de la cach del plano de gestin:
admin@PA-200> delete url-database url <URL>
La prxima vez que el dispositivo solicite la categora de dicha URL, la solicitud se reenviar al plano de gestin y, a
continuacin, a la nube. Esto debera solucionar el problema de bsqueda de categora. Si el problema persiste,
consulte el paso siguiente para enviar una solicitud de cambio de categorizacin.
5.
432
Para enviar una solicitud de cambio desde la interfaz web, vaya al log de URL y seleccione la entrada de log para la
URL que desee cambiar.
Filtrado de URL
Filtrado de URL
6.
Haga clic en el enlace Solicitar cambio de categorizacin y siga las instrucciones. Adems, para solicitar un cambio
de categora en el sitio web Test A Site (en ingls) de Palo Alto Networks, busque la URL y, a continuacin, haga clic
en el icono Solicitar cambio. Para ver una lista de todas las categoras disponibles con descripciones para cada
categora, consulte https://urlfiltering.paloaltonetworks.com/CategoryList.aspx.
Si la solicitud de cambio se aprueba, recibir una notificacin por correo electrnico. A continuacin, tiene dos
opciones para asegurarse de que la categora de URL se actualiza en el cortafuegos:
Espere hasta que la URL de la cach caduque y la prxima vez que un usuario acceda a la URL, la actualizacin
de la nueva categorizacin se incluir en la cach.
Ejecute el siguiente comando para forzar la actualizacin en la cach:
admin@PA-200> request url-filtering update url
<URL>
En la interfaz web, seleccione Dispositivo > Licencias y, en la seccin PAN-DB URL Filtering, haga clic en el
enlace Volver a descargar.
<region_name>
Filtrado de URL
433
Filtrado de URL
434
Filtrado de URL
Calidad de servicio
La calidad de servicio (QoS) es un conjunto de tecnologas que funciona en una red para garantizar su capacidad
de ejecutar de manera fiable aplicaciones de alta prioridad y trfico bajo una capacidad de red limitada. Las
tecnologas de QoS lo consiguen ofreciendo una gestin diferenciada y una asignacin de capacidad a flujos
especficos del trfico de red. Esto permite que el administrador de red asigne el orden el en que se gestiona el
trfico y la cantidad de ancho de banda permitida para el trfico.
La calidad de servicio (QoS) de aplicaciones de Palo Alto Networks ofrece una QoS bsica aplicada a redes y la
ampla para proporcionar QoS a aplicaciones y usuarios.
Utilice los siguientes temas para obtener informacin sobre la QoS de aplicaciones de Palo Alto Networks y
configurarla:
Conceptos de QoS
Configuracin de QoS
Puede utilizar la herramienta de comparacin de productos de Palo Alto Networks para ver las
funciones de QoS admitidas en su plataforma de cortafuegos. Seleccione dos o ms plataformas
de productos y haga clic en Comparar ahora para ver la compatibilidad de las funciones de QoS
para cada plataforma (por ejemplo, puede comprobar si su plataforma de cortafuegos admite QoS
en subinterfaces y, si es as, el nmero mximo de subinterfaces en las que QoS puede habilitarse).
El cortafuegos PA-7050 admite QoS en interfaces Ethernet de agregacin (AE) de PAN-OS 6.0.0.
Calidad de servicio
435
Calidad de servicio
Establezca la prioridad del trfico de red y aplicaciones, garantizando una alta prioridad para el trfico
importante o limitando el trfico no esencial.
Logre un ancho de banda equivalente compartiendo diferentes subredes, clases o usuarios en una red.
Asigne el ancho de banda externa o internamente o de ambas formas, aplicando QoS tanto al trfico de carga
como al de descarga o solamente al trfico de carga o al de descarga.
Garantice una baja latencia para el trfico generador de ingresos y de clientes en un entorno empresarial.
Realice la generacin de perfiles de trfico de aplicaciones para garantizar el uso del ancho de banda.
La implementacin de QoS en un cortafuegos de Palo Alto Networks comienza con tres componentes de
configuracin principales que admiten una solucin completa de QoS: un Perfil de QoS, una Poltica de QoS y
la configuracin de la Interfaz de salida de QoS. Cada una de estas opciones de la tarea de configuracin de QoS
facilita un proceso ms amplio que optimiza y establece la prioridad del flujo de trfico y asigna y garantiza el
ancho de banda de acuerdo con los parmetros configurables.
La Ilustracin: flujo de trfico de QoS muestra el trfico a medida que se desplaza desde el origen, es moldeado
por el cortafuegos con la QoS habilitada y, por ltimo, recibe su prioridad y se entrega en su destino.
Ilustracin: flujo de trfico de QoS
436
Calidad de servicio
Calidad de servicio
Las opciones de configuracin de QoS le permiten controlar el flujo de trfico y definirlo en puntos diferentes
del flujo. La Ilustracin: flujo de trfico de QoS indica en qu lugar las opciones configurables definen el flujo
de trfico. Utilice el perfil de QoS para definir clases de QoS y utilice la poltica de QoS para asociar clases de
QoS al trfico seleccionado. Habilite el perfil de QoS en una interfaz para moldear el trfico de acuerdo con la
configuracin de QoS a medida que se desplaza por la red.
Puede configurar un perfil de QoS y una poltica de QoS individualmente o en cualquier orden, de acuerdo con
sus preferencias. Cada una de las opciones de configuracin de QoS tiene componentes que influyen en la
definicin de las otras opciones. Adems, las opciones de configuracin de QoS se pueden utilizar para crear
una poltica de QoS completa y detallada o se pueden utilizar con moderacin con un mnimo de acciones del
administrador.
Cada modelo de cortafuegos admite un nmero mximo de puertos que se puede configurar con QoS. Consulte
la hoja de especificaciones de su modelo de cortafuegos o utilice la herramienta de comparacin de productos
para ver la compatibilidad de las funciones de QoS de dos o ms cortafuegos en una nica pgina.
Calidad de servicio
437
Conceptos de QoS
Calidad de servicio
Conceptos de QoS
Utilice los siguientes temas para obtener informacin sobre los diferentes componentes y mecanismos de una
configuracin de QoS en un cortafuegos de Palo Alto Networks:
Perfil de QoS
Clases de QoS
Poltica de QoS
O al trfico de un usuario:
438
Calidad de servicio
Calidad de servicio
Conceptos de QoS
Perfil de QoS
Utilice un perfil de QoS para definir los valores de hasta ocho clases de QoS incluidas en ese perfil individual
(Red > Perfiles de red > Perfil de QoS):
QoS se habilita aplicando un perfil de QoS a la interfaz de salida para el trfico de red, aplicacin o usuario (o,
especficamente, para el trfico de texto claro o de tnel). Una interfaz configurada con QoS moldea el trfico
de acuerdo con las definiciones de clases del perfil de QoS y el trfico asociado a dichas clases en la poltica de
QoS.
Hay un perfil de QoS predeterminado disponible en el cortafuegos. El perfil predeterminado y las clases
definidas en el perfil no tienen lmites de ancho de banda garantizado o mximo predefinidos.
Puede establecer lmites de ancho de banda para un perfil de QoS y/o establecer lmites para clases de QoS
individuales dentro del perfil de QoS. Los lmites de ancho de banda garantizados totales de las ocho clases de
QoS de un perfil de QoS no pueden superar el ancho de banda total asignado a dicho perfil de QoS. La
habilitacin de QoS en una interfaz fsica incluye el establecimiento del ancho de banda mximo para el trfico
que sale del cortafuegos a travs de esta interfaz. El ancho de banda garantizado de un perfil de QoS (el campo
Salida garantizada) no debera superar el ancho de banda asignado a la interfaz fsica en el que est habilitada la
QoS.
Si desea informacin detallada, consulte Cree un perfil de QoS.
Calidad de servicio
439
Conceptos de QoS
Calidad de servicio
Clases de QoS
Una clase de QoS determina la prioridad y el ancho de banda del trfico al que est asignada. En la interfaz web,
utilice el perfil de QoS para definir clases de QoS (Red > Perfiles de red > Perfil de QoS):
La definicin de una clase de QoS incluye el establecimiento de la prioridad de la clase, el ancho de banda
mximo (Mximo de salida) y el ancho de banda garantizado (Salida garantizada).
La prioridad en tiempo real suele utilizarse para aplicaciones que son especialmente sensibles a
la latencia, como las aplicaciones de voz y vdeo.
Utilice la poltica de QoS para asignar una clase de QoS al trfico especificado (Polticas > QoS):
Hay hasta ocho clases de QoS definibles en un nico perfil de QoS. A menos que est configurado de otra
forma, al trfico que no coincida con una clase de QoS se le asignar la clase 4.
El establecimiento de colas de prioridad y la gestin del ancho de banda de QoS, los mecanismos fundamentales
de una configuracin de QoS, se configuran dentro de la definicin de la clase de QoS (consulte el Paso 3). El
establecimiento de colas de prioridad se determina por la prioridad establecida para una clase de QoS. La gestin
del ancho de banda se determina segn los anchos de banda mximo y garantizado establecidos para una clase
de QoS.
440
Calidad de servicio
Calidad de servicio
Conceptos de QoS
Los mecanismos de establecimiento de colas y gestin del ancho de banda determinan el orden del trfico y el
modo en que se gestiona el trfico al entrar o salir de una red:
Prioridad de QoS: Se puede definir una de las cuatro prioridades de QoS siguientes en una clase de QoS:
en tiempo real, alta, media y baja. Cuando una clase de QoS se asocia a un trfico especfico, la prioridad
definida en esa clase de QoS se asigna al trfico. A continuacin, los paquetes del flujo de trfico se ponen
en cola segn su prioridad hasta que la red est lista para procesarlos. Este mtodo de establecimiento de
colas de prioridad proporciona la capacidad de garantizar que el trfico, las aplicaciones o los usuarios
importantes tengan prioridad.
Gestin del ancho de banda de clase de QoS: La gestin del ancho de banda de clase de QoS proporciona
la capacidad de controlar los flujos de trfico de una red para que el trfico no supere la capacidad de la red,
lo que provocara la congestin de la red, o asignar lmites de ancho de banda especficos para el trfico,
aplicaciones o usuarios. Puede establecer lmites generales en el ancho de banda utilizando el perfil de QoS
o establecer lmites para clases de QoS individuales. Un perfil de QoS y las clases de QoS del perfil tienen
lmites de ancho de banda garantizado y mximo. El lmite de ancho de banda garantizado (Salida
garantizada) asegura que se procesar cualquier cantidad de trfico hasta ese lmite de ancho de banda
establecido. El lmite de ancho de banda mximo (Mximo de salida) establece el lmite total del ancho de
banda asignado al perfil de QoS o a la clase de QoS. El trfico que supere el lmite de ancho de banda mximo
se descartar. Los lmites de ancho de banda total y lmites de ancho de banda garantizado de las clases de
QoS de un perfil de QoS no pueden superar el lmite de ancho de banda del perfil de QoS.
Poltica de QoS
En una configuracin de QoS, la poltica de QoS identifica el trfico que requiere un tratamiento de QoS (ya sea
un tratamiento preferente o una limitacin del ancho de banda) mediante un parmetro definido o varios
parmetros y le asigna una clase.
Utilice la poltica de QoS, parecida a una poltica de seguridad, para establecer los criterios que identifican el
trfico:
Calidad de servicio
441
Conceptos de QoS
Calidad de servicio
Servicios y grupos de servicios limitados a nmeros de puertos TCP y/o UDP concretos.
La poltica de QoS de la interfaz web (Polticas > QoS) le permite asociar los criterios utilizados para especificar
el trfico con una clase de QoS.
Consulte el Paso 3 para saber cmo Identifique la interfaz de salida para las aplicaciones que identifique que
necesitan un tratamiento de QoS.
442
Calidad de servicio
Calidad de servicio
Conceptos de QoS
Calidad de servicio
443
Configuracin de QoS
Calidad de servicio
Configuracin de QoS
Utilice la siguiente tarea para configurar la calidad de servicio (QoS), incluido cmo crear un perfil de QoS, crear
una poltica de QoS y habilitar QoS en una interfaz.
Configuracin de QoS
Paso 1
Paso 2
Seleccione ACC para ver la pgina Centro de control de aplicaciones. Utilice los
ajustes y los grficos de la pgina ACC para ver tendencias y el trfico relacionado
con aplicaciones, filtrado de URL, prevencin de amenazas, filtrado de datos y
coincidencias HIP.
Haga clic en cualquier nombre de aplicacin para mostrar informacin de
aplicacin detallada.
Seleccione Supervisar > Logs > Trfico para ver los logs de trfico del
Identifique la interfaz de
salida para las aplicaciones que dispositivo.
identifique que necesitan un Para filtrar y mostrar nicamente los logs de una aplicacin especfica:
tratamiento de QoS.
Si se muestra una entrada para la aplicacin, haga clic en el enlace subrayado
Consejo: La interfaz de salida
de la columna Aplicacin y, a continuacin, haga clic en el icono de envo.
del trfico depende del flujo
Si una entrada no se muestra para la aplicacin, haga clic en el icono Aadir
de trfico. Si est moldeando
log y busque la aplicacin.
el trfico entrante, la interfaz
La Interfaz de salida de los logs de trfico muestra la interfaz de salida de cada
de salida es la interfaz de
aplicacin. Para mostrar la columna Interfaz de salida si no aparece de manera
orientacin interna. Si est
moldeando el trfico saliente, predeterminada:
la interfaz de salida es la
Haga clic en cualquier encabezado de columna para aadir una columna al
interfaz de orientacin
log:
externa.
444
Calidad de servicio
Calidad de servicio
Configuracin de QoS
Paso 3
1.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en Aadir para
abrir el cuadro de dilogo Perfil de QoS.
Introduzca un Nombre de perfil descriptivo.
Introduzca un Mximo de salida para establecer la asignacin del ancho de
banda total para el perfil de QoS.
Introduzca una Salida garantizada para establecer el ancho de banda
garantizado para el perfil de QoS.
Todo el trfico que supere el lmite garantizado de salida del perfil de
QoS ser la mejor opcin pero no estar garantizado.
5.
6.
Calidad de servicio
445
Configuracin de QoS
Calidad de servicio
Paso 4
1.
Seleccione Polticas > QoS y haga clic en Aadir para abrir el cuadro de
dilogo Regla de poltica de QoS.
2.
3.
446
4.
5.
Calidad de servicio
Calidad de servicio
Configuracin de QoS
Paso 5
1.
3.
Seleccione Red > QoS y haga clic en Aadir para abrir el cuadro de dilogo
Interfaz de QoS.
Habilite QoS en la interfaz fsica:
a. En la pestaa Interfaz fsica, seleccione el Nombre de interfaz de la
interfaz a la que se aplicar el perfil de QoS.
En el ejemplo, Ethernet 1/1 es la interfaz de salida para el trfico de
exploracin web (consulte el Paso 2).
b. Seleccione Activar la funcin QoS en esta interfaz.
En la pestaa Interfaz fsica, seleccione un perfil de QoS que debe aplicarse
de manera predeterminada a todo el trfico de tipo Trfico en claro.
(Opcional) Utilice el campo Interfaz de tnel para aplicar un perfil de QoS
de manera predeterminada a todo el trfico de tnel.
Para obtener ms
informacin, consulte Trfico
de texto claro y de tnel de
QoS.
Compruebe si la
4.
plataforma que est
utilizando admite la
habilitacin de QoS en
una subinterfaz
revisando un resumen
de las especificaciones
del producto.
La prctica
recomendada es
5.
definir siempre el valor
de Mximo de salida
para una interfaz
de QoS.
Calidad de servicio
6.
7.
447
Configuracin de QoS
Calidad de servicio
Paso 6
Verifique la configuracin
de QoS.
Seleccione Red > QoS para ver la pgina Polticas de QoS y haga clic en el enlace
Estadsticas para ver el ancho de banda de QoS, las sesiones activas de un nodo
o una clase de QoS que haya seleccionado y las aplicaciones activas del nodo o
la clase de QoS que haya seleccionado.
Por ejemplo, vea las estadsticas de Ethernet 1/1 con la QoS habilitada:
448
Calidad de servicio
Calidad de servicio
Consulte Virtual Systems (VSYS) tech note (en ingls) para obtener informacin sobre los sistemas virtuales y
sobre cmo configurarlos.
Calidad de servicio
449
Calidad de servicio
Paso 1
Paso 2
Identifique el trfico al que aplicar la QoS. Seleccione ACC para ver la pgina Centro de control de
aplicaciones. Utilice los ajustes y los grficos de la pgina ACC para
ver tendencias y el trfico relacionado con aplicaciones, filtrado de
URL, prevencin de amenazas, filtrado de datos y coincidencias HIP.
Para ver informacin de un sistema virtual especfico, seleccione el
sistema virtual en el men desplegable Sistema virtual:
450
Calidad de servicio
Calidad de servicio
Paso 3
Seleccione Supervisar > Logs > Trfico para ver los logs de trfico
Identifique la interfaz de salida para las
aplicaciones que identifique que necesitan del dispositivo. Cada entrada tiene la opcin de mostrar columnas
un tratamiento de QoS.
con informacin necesaria para configurar QoS en un entorno de
sistema virtual:
En un entorno de sistema virtual, la QoS
se aplica al trfico del punto de salida del sistema virtual
trfico en el sistema virtual. Dependiendo
de la configuracin del sistema virtual y la
poltica de QoS, el punto de salida del
trfico de QoS podra asociarse a una
interfaz fsica o podra ser una zona
configurada.
Este ejemplo muestra cmo limitar el
trfico de exploracin web en VSYS 1.
interfaz de salida
interfaz de entrada
zona de origen
zona de destino
Para mostrar una columna si no aparece de manera predeterminada:
Haga clic en cualquier encabezado de columna para aadir una
columna al log:
Calidad de servicio
451
Calidad de servicio
Paso 4
1.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en
Aadir para abrir el cuadro de dilogo Perfil de QoS.
2.
3.
4.
5.
6.
452
Calidad de servicio
Calidad de servicio
Paso 5
1.
Calidad de servicio
4.
5.
6.
7.
453
Calidad de servicio
Paso 6
1.
2.
La prctica recomendada es
definir siempre el valor de Mximo
de salida para una interfaz
de QoS.
Seleccione Red > QoS y haga clic en Aadir para abrir el cuadro
de dilogo Interfaz de QoS.
Habilite QoS en la interfaz fsica:
a. En la pestaa Interfaz fsica, seleccione el Nombre de
interfaz de la interfaz a la que se aplicar el perfil de QoS.
En este ejemplo, Ethernet 1/1 es la interfaz de salida para el
trfico de exploracin web de VSYS 1 (consulte el Paso 2).
4.
5.
454
6.
7.
Calidad de servicio
Calidad de servicio
Paso 7
Seleccione Red > QoS para ver la pgina Polticas de QoS. La pgina
Polticas de QoS verifica que QoS est habilitada e incluye el enlace
Estadsticas. Haga clic en el enlace Estadsticas para ver el ancho
de banda de QoS, las sesiones activas de un nodo o una clase de
QoS que haya seleccionado y las aplicaciones activas del nodo o la
clase de QoS que haya seleccionado.
En un entorno de VSYS mltiple, las sesiones no pueden abarcar
varios sistemas. Se crean varias sesiones para un flujo de trfico si
el trfico pasa por ms de un sistema virtual. Para examinar las
sesiones que se ejecuten en el cortafuegos y ver las reglas de QoS
y las clases de QoS aplicadas, seleccione Supervisar > Explorador
de sesin.
Calidad de servicio
455
Calidad de servicio
456
Calidad de servicio
Calidad de servicio
Paso 1
El administrador crea el perfil de QoS CEO_traffic para definir el modo en que el trfico originado en la
directora ejecutiva se tratar y moldear a medida que salga de la red empresarial:
El administrador asigna un ancho de banda garantizado (Salida garantizada) de 50 Mbps para garantizar que la
directora ejecutiva disponga de esa cantidad de ancho de banda garantizado en todo momento (ms de lo que
necesitara utilizar), independientemente de la congestin de la red.
El administrador sigue designando el trfico de clase 1 como alta prioridad y establece el uso del ancho de banda
mximo del perfil (Mximo de salida) como 1000 Mbps, el mismo ancho de banda mximo para la interfaz en
el que el administrador habilitar QoS. El administrador ha decidido no restringir el uso del ancho de banda de
la directora ejecutiva de ningn modo.
La prctica recomendada es cumplimentar el campo Mximo de salida para un perfil de QoS, aunque el
ancho de banda mximo del perfil coincida con el ancho de banda mximo de la interfaz. El ancho de
banda mximo del perfil de QoS nunca debera superar el ancho de banda mximo de la interfaz en la
que tenga la intencin de habilitar QoS.
Calidad de servicio
457
Calidad de servicio
Paso 2
El administrador crea una poltica de QoS para identificar el trfico de la directora ejecutiva (Polticas > QoS) y
asignarle la clase que defini en el perfil de QoS (consulte el Paso 1). Como se ha configurado User-ID, el
administrador utiliza la pestaa Origen de la poltica de QoS para identificar de manera exclusiva el trfico de la
directora ejecutiva por su nombre de usuario de red empresarial. (Si no se ha configurado User-ID, el
administrador podra Aadir la direccin IP de la directora ejecutiva bajo Direccin de origen. Consulte
User-ID.):
El administrador asocia el trfico de la directora ejecutiva a la clase 1 (pestaa Otros ajustes) y, a continuacin,
sigue cumplimentando los campos obligatorios restantes de la poltica; el administrador otorga a la poltica un
Nombre descriptivo (pestaa General) y selecciona Cualquiera para la Zona de origen (pestaa Origen) y Zona
de destino (pestaa Destino):
Paso 3
Ahora que la clase 1 est asociada al trfico de la directora ejecutiva, el administrador habilita QoS seleccionando
Activar la funcin QoS en esta interfaz y seleccionando la interfaz de salida del flujo de trfico. La interfaz de
salida del flujo de trfico de la directora ejecutiva es la interfaz de orientacin externa, en este caso, Ethernet 1/2:
Como el administrador quiere asegurarse de que todo el trfico originado en la directora ejecutiva est
garantizado por el perfil de QoS y la poltica de QoS asociada que cre, selecciona CEO_traffic para aplicarlo al
trfico de tipo Trfico en claro que se desplaza desde Ethernet 1/2.
458
Calidad de servicio
Calidad de servicio
Paso 4
Despus de confirmar la configuracin de QoS, el administrador se desplaza a la pgina Red > QoS para
confirmar que CEO_traffic del perfil de QoS est habilitado en la interfaz de orientacin externa, Ethernet 1/2:
Hace clic en Estadsticas para ver cmo se est moldeando el trfico originado en la directora ejecutiva (clase 1)
a medida que se desplaza desde Ethernet 1/2:
Este caso demuestra cmo aplicar QoS a trfico originado en un nico usuario de origen. Sin embargo, si tambin
quisiera garantizar o moldear el trfico para un usuario de destino, podra realizar una configuracin de QoS similar.
En lugar o adems de este flujo de trabajo, cree una poltica de QoS que especifique la direccin IP del usuario
como la Direccin de destino en la pgina Polticas > QoS (en lugar de especificar la informacin de origen del
usuario, como se muestra en el Paso 2) y, a continuacin, habilite QoS en la interfaz de orientacin interna de la
red en la pgina Red > QoS (en lugar de la interfaz de orientacin externa, como se muestra en el Paso 3).
Calidad de servicio
459
Calidad de servicio
Paso 1
El administrador crea un perfil de QoS, definiendo la clase 2 para que todo el trfico asociado a la clase 2 reciba
una prioridad en tiempo real y, en una interfaz con un ancho de banda mximo de 1000 Mbps, se garantice un
ancho de banda de 250 Mbps en todo momento, incluidos los perodos en los que ms se utilice la red.
La prioridad en tiempo real suele recomendarse para las aplicaciones afectadas por la latencia y es de especial
utilidad a la hora de garantizar el rendimiento y la calidad de aplicaciones de voz y vdeo.
En la pgina Red > Perfiles de red > Perfil de QoS, el administrador hace clic en Aadir, introduce el Nombre
de perfil ensure voip-video traffic y define el trfico de clase 2.
460
Calidad de servicio
Calidad de servicio
Paso 2
El administrador crea una poltica de QoS para identificar el trfico de voz y vdeo. Como la empresa no tiene
una aplicacin de voz y vdeo estndar, el administrador quiere asegurarse de que la QoS se aplica en un par de
aplicaciones utilizadas ampliamente y con frecuencia por los empleados para comunicarse con otras oficinas,
socios y clientes. En la pestaa Polticas > QoS > Regla de poltica de QoS > Aplicaciones, el administrador hace
clic en Aadir y abre la ventana Filtro de aplicacin. El administrador sigue seleccionando criterios para filtrar
las aplicaciones en las que quiere aplicar la QoS, seleccionando la Subcategora voip-video y restringindola al
especificar nicamente aplicaciones de VoIP y vdeo que tengan un riesgo bajo y que se utilicen ampliamente.
El filtro de aplicacin es una herramienta dinmica que, cuando se utiliza para filtrar aplicaciones en la poltica
de QoS, permite aplicar QoS en todas las aplicaciones que cumplan los criterios de VoIP y vdeo, riesgo bajo y
ampliamente utilizado en cualquier momento.
El administrador asigna a la poltica de QoS el nombre Voice-Video y asocia el filtro de aplicacin voip-video-low-risk
al trfico de clase 2 (como lo defini en el Paso 1). Va a utilizar la poltica de QoS Voice-Video tanto para el trfico
de QoS entrante como el saliente, as que establece la informacin de Origen y Destino como Cualquiera:
Calidad de servicio
461
Calidad de servicio
Paso 3
Como el administrador quiere garantizar la QoS tanto para comunicaciones de voz y vdeo entrantes como
salientes, habilita QoS en la interfaz de orientacin externa de la red (para aplicar QoS a comunicaciones
salientes) y en la interfaz de orientacin interna (para aplicar QoS a comunicaciones entrantes).
El administrador empieza habilitando el perfil de QoS que cre en el Paso 1, ensure voice-video traffic (la clase 1 de
este perfil est asociada a la poltica creada en el Paso 2, Voice-Video) en la interfaz de orientacin externa, en este
caso, Ethernet 1/2.
A continuacin, habilita el mismo perfil de QoS, ensure voip-video traffic, en la interfaz de orientacin interna, en
este caso, Ethernet 1/1.
Paso 4
El administrador confirma que la QoS se ha habilitado tanto para el trfico de voz y vdeo entrante como para
el saliente:
El administrador ha habilitado la QoS correctamente tanto en la interfaz de orientacin interna de la red como en la
externa. Ahora se garantiza la prioridad en tiempo real para el trfico de aplicaciones de voz y vdeo a medida que se
desplaza hacia adentro y hacia afuera de la red, garantizando que estas comunicaciones, que son especialmente sensibles
a la latencia y la vibracin, puedan utilizarse de manera fiable y eficaz para realizar comunicaciones empresariales tanto
internas como externas.
462
Calidad de servicio
VPN
Las redes privadas virtuales (VPN) crean tneles que permiten que los usuarios o sistemas se conecten de
manera segura a travs de una red pblica como si se estuvieran conectando a travs de una red de rea local
(LAN). Para configurar un tnel VPN, hacen falta dos dispositivos que puedan autenticarse mutuamente y cifrar
el flujo de informacin entre ellos. Los dispositivos pueden ser una pareja de cortafuegos de Palo Alto
Networks, o bien un cortafuegos de Palo Alto Networks y un dispositivo de otro proveedor con capacidad
para VPN.
Implementaciones de VPN
463
Implementaciones de VPN
VPN
Implementaciones de VPN
El cortafuegos de Palo Alto Networks admite las siguientes implementaciones de VPN:
VPN de sitio a sitio: Una sencilla VPN que se conecta a un sitio central y a un sitio remoto, o bien una
VPN de concentrador y radio que se conecta a un sitio central con mltiples sitios remotos. El cortafuegos
usa conjunto de protocolos de Seguridad IP (IPSec) para configurar un tnel seguro entre los dos sitios.
Consulte Descripcin general de VPN de sitio a sitio.
VPN de usuario remoto a sitio: Una solucin que usa el agente GlobalProtect para permitir a un usuario
remoto establecer una conexin segura a travs del cortafuegos. Esta solucin usa SSL e IPSec para
establecer una conexin segura entre el usuario y el sitio. Consulte la Gua del administrador de
GlobalProtect.
VPN a gran escala: La VPN a gran escala de GlobalProtect de Palo Alto Networks (LSVPN) ofrece un
mecanismo simplificado para implementar una VPN de concentrador y radio con un mximo de 1024
oficinas satlite. Esta solucin requiere que haya cortafuegos de Palo Alto Networks implementados en el
concentrador y en todos los radios. Usa certificados para la autenticacin de dispositivos, SSL para la
proteccin entre todos los componentes e IPSec para proteger los datos. Consulte VPN a gran escala
(LSVPN).
464
VPN
465
VPN
Interfaz de tnel
Supervisin de tnel
Interfaz de tnel
Para configurar un tnel VPN, la interfaz de capa 3 en cada extremo debe tener una interfaz de tnel lgica para
que el cortafuegos se conecte y establezca un tnel VPN. Una interfaz de tnel es una interfaz (virtual) lgica
que se usa para enviar trfico entre dos extremos. Cada interfaz de tnel puede tener un mximo de 10 tneles
IPSec; lo que significa que se pueden asociar hasta 10 redes con la misma interfaz de tnel en el cortafuegos.
La interfaz de tnel debe pertenecer a una zona de seguridad para aplicar una poltica; asimismo, debe estar
asignada a un enrutador virtual para usar la infraestructura de enrutamiento existente. Compruebe que la
interfaz de tnel y la interfaz fsica estn asignadas al mismo enrutador virtual, de modo que el cortafuegos
pueda realizar una bsqueda de rutas y determinar el mejor tnel que puede usar.
Normalmente, la interfaz de capa 3 a la que est vinculada la interfaz de tnel pertenece a una zona externa, por
ejemplo, la zona no fiable. Aunque la interfaz de tnel puede estar en la misma zona de seguridad que la interfaz
fsica, puede crear una zona separada para la interfaz de tnel con el fin de lograr una mayor seguridad y mejor
visibilidad. Si crea una zona separada para la interfaz de tnel (p. ej., una zona VPN), necesitar crear polticas
de seguridad que habiliten el flujo del trfico entre la zona VPN y la zona fiable.
466
VPN
Para enrutar trfico entre los sitios, una interfaz de tnel no necesita una direccin IP. Solo es necesaria una
direccin IP si quiere habilitar la supervisin de tneles o si est usando un protocolo de enrutamiento dinmico
para enrutar trfico a travs del tnel. Con enrutamiento dinmico, la direccin IP del tnel funciona como
direccin IP de prximo salto para el enrutamiento de trfico al tnel VPN.
Si est configurando el cortafuegos Palo Alto Networks con un peer VPN que utiliza una VPN basada en
polticas, debe configurar un ID de proxy local y remoto cuando configure el tnel IPSec. Cada peer compara
los ID de proxy que tiene configurados con lo que se recibe realmente en el paquete para permitir una
negociacin IKE de fase 2 correcta. Si se requieren varios tneles, configure ID de proxy exclusivos para cada
interfaz de tnel; una interfaz de tnel puede tener un mximo de 250 ID de proxy. Cada ID de proxy se tendr
en cuenta a la hora de calcular la capacidad del tnel VPN de IPSec del cortafuegos, y la capacidad del tnel
vara en funcin del modelo de cortafuegos.
Consulte Configuracin de un tnel de IPSec para obtener informacin detallada sobre la configuracin.
Supervisin de tnel
Para un tnel VPN, puede comprobar la conectividad con una direccin IP de destino a travs del tnel. El perfil
de supervisin de la red del cortafuegos le permite verificar la conectividad (mediante ICMP) con una direccin
IP de destino o un prximo salto en el intervalo de sondeo especificado, as como especificar una accin o fallo
para acceder a la direccin IP supervisada.
Si no es posible alcanzar la IP de destino, puede configurar el cortafuegos para que espere a que se recupere el
tnel o configurar una conmutacin por error a otro tnel. En cada caso, el cortafuegos genera un log de sistema
que le alerta de un fallo del tnel y renegocia las claves de IPSec para acelerar la recuperacin.
El perfil de supervisin predeterminado est configurado para esperar a que el tnel se recupere; el intervalo de
sondeo es de 3 segundos y el umbral de fallo es 5.
Consulte Configuracin de la supervisin de tnel para obtener informacin detallada sobre la configuracin.
467
VPN
IKE de fase 1
En esta fase, los cortafuegos usan los parmetros definidos en la configuracin de la puerta de enlace de IKE y
el perfil criptogrfico de IKE para autenticarse mutuamente y establecer un canal de control. La fase IKE es
compatible con el uso de claves compartidas previamente o certificados digitales (que usan infraestructuras de
clave pblicas, PKI) para la autenticacin mutua de los peers VPN. Las claves previamente compartidas son una
solucin sencilla para proteger redes pequeas, ya que no necesitan ser compatibles con una infraestructura PKI.
Los certificados digitales pueden ser ms adecuados para redes o implementaciones de mayor tamao que
requieren de mayor seguridad para la autenticacin.
Al usar certificados, asegrese de que la CA que emite el certificado es de confianza para ambos peers de la
puerta de enlace y que la longitud mxima de la cadena de certificados es 5 o menos. Con la fragmentacin IKE
habilitada, el cortafuegos puede volver a juntar mensajes de IKE con hasta 5 certificados en la cadena de
certificados y establecer correctamente el tnel VPN.
El perfil criptogrfico de IKE define las siguientes opciones que se usan en la negociacin de SA de IKE:
Grupo Diffie-Hellman (DH) para la generacin de claves simtricas para IKE. El algoritmo Diffie Hellman
usa la clave privada de una parte y la clave pblica de la otra para crear un secreto compartido, que es una
clave cifrada compartida por ambos peers del tnel VPN. Los grupos DH compatibles con el cortafuegos
son: grupo 1: 768 bits; grupo 2: 1024 bits (predeterminado); grupo 5: 1536 bits; grupo 14: 2048 bits.
Opciones de autenticacin: sha1; sha 256; sha 384; sha 512; md5
IKE de fase 2
Una vez protegido y autenticado el tnel, en la fase 2 se aumenta la proteccin del canal para la transferencia de
datos entre las redes. IKE de fase 2 usa las claves que se establecieron en la fase 1 del proceso y el perfil
criptogrfico de IPSec, que define los protocolos y las claves IPSec usadas para la SA en el IKE de fase 2.
468
VPN
IPSEC usa los siguientes protocolos para habilitar una comunicacin segura:
Carga de seguridad encapsulada (ESP): Le permite cifrar el paquete de IP completo, as como autenticar la
fuente y verificar la integridad de los datos. Aunque que ESP necesita que cifre y autentique el paquete, puede
elegir solo cifrar o solo autenticar definiendo la opcin de cifrado como Null; no se recomienda usar cifrado
sin autenticacin.
Encabezado de autenticacin (AH): Autentica el origen del paquete y verifica la integridad de datos. AH no
cifra la carga de datos y se desaconseja su uso en implementaciones en las que es importante la privacidad
de los datos. AH se suele usar cuando el principal objetivo es verificar la legitimidad del peer y no se requiere
privacidad de datos.
AH
3des
aes128
aes192
aes256
aes128ccm16
null
Algoritmos de autenticacin compatibles
md5
md5
sha 1
sha 1
sha 256
sha 256
sha 384
sha 384
sha512
sha 512
ninguno
469
VPN
Clave manual: La clave manual se suele usar si el cortafuegos Palo Alto Networks est estableciendo un
tnel VPN con un dispositivo antiguo o si quiere reducir los gastos de la generacin de claves de sesin. Si
usa claves manuales, debe configurarse la misma en ambos peers.
Las claves manuales no son recomendables para establecer un tnel VPN porque las claves de sesin pueden
verse comprometidas cuando transmitan la informacin de claves entre peers; si las claves ven
comprometida su seguridad, la transferencia de datos deja de ser segura.
Clave automtica: La clave automtica le permite generar claves automticamente para configurar y
mantener el tnel IPSec basado en algoritmos definidos en el perfil criptogrfico de IPSec.
470
VPN
Asegrese de que sus interfaces Ethernet, enrutadores virtuales y zonas estn configurados correctamente.
Para obtener ms informacin, consulte Configuracin de interfaces y zonas.
Cree sus interfaces de tnel. Lo ideal sera colocar las interfaces de tnel en una zona separada para que el
trfico de tnel pueda utilizar polticas diferentes.
Configure rutas estticas o asigne protocolos de enrutamiento para redirigir el trfico a los tneles VPN.
Para admitir el enrutamiento dinmico (son compatibles OSPF, BGP, RIP), debe asignar una direccin IP
a la interfaz del tnel.
Defina puertas de enlace de IKE para establecer comunicacin entre peers a cada lado del tnel VPN;
defina tambin el perfil criptogrfico que especifica los protocolos y algoritmos para identificacin,
autenticacin y cifrado que se usarn para configurar tneles VPN en IKEv1 de fase 1. Consulte
Configuracin de una puerta de enlace de IKE y Definicin de perfiles criptogrficos de IKE.
Configure los parmetros necesarios para establecer la conexin IPSec para transferencia de datos a travs
del tnel VPN; consulte Configuracin de un tnel de IPSec Para IKEv1 de fase 2, consulte Definicin de
perfiles criptogrficos de IPSec.
(Opcional) Especifique el modo en que el cortafuegos supervisar los tneles de IPSec. Consulte
Configuracin de la supervisin de tnel.
Cuando haya terminado estas tareas, el tnel estar listo para su uso. El trfico destinado a zonas/direcciones
definidas en la poltica se enruta automticamente correctamente basndose en la ruta de destino de la tabla de
enrutamiento y se gestiona como trfico VPN. Para ver algunos ejemplos de VPN de sitio a sitio, consulte
Configuraciones rpidas de VPN de sitio a sitio.
471
VPN
Paso 1
Paso 2
2.
3.
1.
Paso 4
2.
Paso 3
Seleccione el mtodo de autenticacin del Para configurar una clave previamente compartida, consulte el
peer.
Paso 4.
Esto es necesario tanto para peers
estticos como dinmicos.
1.
2.
Paso 5
472
VPN
Paso 6
3.
4.
5.
6.
7.
Paso 7
473
VPN
Para proteger las comunicaciones a travs del tnel VPN, el cortafuegos requiere perfiles criptogrficos de IKE
e IPSec para completar las negociaciones del IKE de fase 1 y de fase 2, respectivamente. El cortafuegos incluye
un perfil criptogrfico predeterminado de IKE y un perfil criptogrfico predeterminado de IPSec que est listo para
usarse.
Paso 1
Paso 2
1.
2.
Paso 3
Paso 4
Especifique la duracin de la validez de la Seleccione la duracin de la clave. El periodo entre cada negociacin
clave.
se conoce como duracin; cuando el tiempo especificado vence, el
cortafuegos vuelve a negociar un nuevo conjunto de claves.
Paso 5
Paso 6
Adjunte el perfil criptogrfico de IKE y la Consulte el Paso 6 en Configuracin de una puerta de enlace de IKE.
configuracin de la puerta de enlace
de IKE.
474
VPN
Paso 1
1.
2.
3.
4.
Paso 2
Paso 3
2.
Paso 4
Paso 5
Consulte el Paso 4 en
475
VPN
Paso 1
Seleccione Red > Tneles de IPSec > General e introduzca un Nombre para el nuevo tnel.
Paso 2
476
VPN
Paso 3
1.
Seleccione la pestaa IPv6 en Red > Interfaces > Tnel > IPv6.
2.
3.
4.
Para introducir una direccin IPv6, haga clic en Aadir e introduzca una
direccin IPv6 y la longitud del prefijo, por ejemplo 2001:400:f00::1/64.
Si no se selecciona Prefijo, la direccin IPv6 asignada a la interfaz ser la
que especifique completamente en el cuadro de texto de la direccin.
a. Seleccione Usar ID de interfaz como parte de host para asignar una
direccin IPv6 a la interfaz que utilizar el ID de interfaz como la parte
de host de la direccin.
b. Seleccione Difusin por proximidad para incluir el enrutado mediante
el nodo ms cercano.
Paso 4
Seleccione el tipo de clave que se Contine con uno de los pasos siguientes, dependiendo del tipo de
usar para proteger el tnel
intercambio de claves que est utilizando:
IPSec.
Configure el intercambio de clave automtica.
Configure el intercambio de clave automtica.
477
VPN
2.
Paso 5
Proteccin contra un ataque de Marque la casilla de verificacin Mostrar opciones avanzadas, seleccione
reproduccin.
Habilitar proteccin de reproduccin para detectar y neutralizar ataques de
reproduccin.
Un ataque de reproduccin
consiste en interceptar un
paquete de forma
malintencionada y retransmitirlo.
Paso 6
Paso 7
Habilite la supervisin de tnel Para alertar al administrador de dispositivo de los fallos del tnel y
proporcionar una conmutacin por error automtica a otra interfaz de tnel:
Deber asignar una
1. Especifique una IP de destino en el otro lado del tnel que el supervisor
direccin IP a la interfaz
de tnel utilizar para determinar si el tnel funciona correctamente.
de tnel para su
Paso 8
Paso 9
478
supervisin.
2.
1.
2.
VPN
Paso 1
Seleccione Red > Perfiles de red > Supervisar. Hay un perfil de supervisin de tnel disponible para su uso.
Paso 2
Paso 3
Paso 4
Paso 5
Adjunte el perfil de supervisin a una configuracin de tnel de IPSec. Consulte Habilite la supervisin de tnel
479
VPN
1.
2.
3.
4.
Para solucionar problemas de un tnel VPN que an no est activo, consulte Interpretacin de mensajes de error
de VPN.
480
VPN
Inicie el IKE de fase 1 haciendo un ping a un host a travs del tnel o usando el siguiente comando de la CLI:
test vpn ike-sa gateway gateway_name
A continuacin, introduzca el siguiente comando para probar si el IKE de fase 1 est configurado:
gateway_name
En el resultado, compruebe si se muestra la asociacin de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
Inicie el IKE de fase 2 haciendo un ping a un host a travs del tnel o usando el siguiente comando de la CLI:
test vpn ipsec-sa tunnel
tunnel_name
A continuacin, introduzca el siguiente comando para probar si el IKE de fase 1 est configurado:
show vpn ipsec-sa tunnel tunnel_name
En el resultado, compruebe si se muestra la asociacin de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
Para ver la informacin del flujo de trfico VPN, use el siguiente comando.
show vpn-flow
admin@PA-500> show vpn flow
total tunnels configured:
name
id
state
local-ip
peer-ip
tunnel-i/f
----------------------------------------------------------------------------vpn-to-siteB
active
100.1.1.1
200.1.1.1
tunnel.41
481
VPN
Pruebe a:
o
IKE phase 1 negotiation is failed.
Couldnt find configuration for IKE
phase-1 request for peer IP
x.x.x.x[1929]
Received unencrypted notify
payload (no proposal chosen) from
IP x.x.x.x[500] to y.y.y.y[500],
ignored...
o
IKE phase-1 negotiation is failed.
Unable to process peers SA
payload.
pfs group mismatched:my: 2peer: 0
o
IKE phase-2 negotiation failed when
processing SA payload. No suitable
proposal found in peers SA
payload.
482
VPN
483
VPN
Paso 1
1.
2.
3.
4.
5.
484
Interfaz: ethernet1/11
Zona de seguridad: no fiable
Enrutador virtual: predeterminado
IPv4: 192.168.210.120/24
VPN
Paso 2
4.
5.
6.
Paso 3
Interfaz: tnel.12
Zona de seguridad: vpn_tun
Enrutador virtual: predeterminado
IPv4: 192.168.69.2/24
2.
485
VPN
Paso 4
1.
2.
1.
Paso 5
2.
Interfaz: ethernet1/7
Direccin IP local: 192.168.210.26/24
Tipo/Direccin IP del peer: esttica/192.168.210.120
Claves previamente compartidas: introduzca un valor
Identificacin local: Ninguna; significa que la direccin
3.
486
Interfaz: ethernet1/11
Direccin IP local: 192.168.210.120/24
Tipo/Direccin IP del peer: esttica/192.168.210.26
Claves previamente compartidas: introduzca el mismo
VPN
Paso 6
1.
2.
3.
4.
Paso 7
1.
2.
Paso 8
Paso 9
487
VPN
488
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF
Paso 1
2.
3.
4.
5.
6.
Interfaz: ethernet1/11
Zona de seguridad: no fiable
Enrutador virtual: predeterminado
IPv4: 200.1.1.1/24
489
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 2
4.
5.
6.
Paso 3
Interfaz: tnel.40
Zona de seguridad: vpn_tun
Enrutador virtual: predeterminado
IPv4: 2.1.1.140/24
1.
2.
490
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 4
3.
Paso 5
1.
2.
Estos ejemplos usan direcciones IP
estticas para ambos peers VPN.
Normalmente, la sede usa una direccin
IP configurada estticamente y la sucursal
puede usar una direccin IP dinmica; las
direcciones IP dinmicas no son las ms
indicadas para configurar servicios
estables como VPN.
3.
Interfaz: ethernet1/11
Direccin IP local: 200.1.1.1/24
Direccin IP del peer: 100.1.1.1/24
Claves previamente compartidas: introduzca el mismo
491
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 6
1.
2.
3.
4.
Paso 7
492
1.
2.
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 8
Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre s con estado
desde la CLI.
completo. Confirme adems la direccin IP de la interfaz del tnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
show routing protocol ospf neighbor
Paso 9
493
VPN
494
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico
Paso 1
2.
3.
4.
5.
6.
Paso 2
Interfaz: ethernet1/11
Zona de seguridad: no fiable
Enrutador virtual: predeterminado
IPv4: 200.1.1.1/24
1.
2.
495
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 3
1.
2.
Con claves compartidas previamente,
para aadir el escrutinio de autenticacin
al configurar el tnel IKE de fase 1, puede
configurar atributos de identificacin de
peer y local, y un valor correspondiente
con el que coincide en el proceso de
negociacin.
Interfaz: ethernet1/7
Direccin IP local: 100.1.1.1/24
Tipo de IP de peer: dinmica
Claves previamente compartidas: introduzca un valor
Identificacin local: seleccione FQDN(nombre de host)
3.
496
Interfaz: ethernet1/11
Direccin IP local: 200.1.1.1/24
Direccin IP de peer: dinmica
Claves previamente compartidas: introduzca el mismo
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 4
4.
5.
6.
Paso 5
Interfaz: tnel.42
Zona de seguridad: vpn_tun
Enrutador virtual: predeterminado
IPv4: 2.1.1.140/24
497
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 6
1.
2.
3.
4.
Paso 7
1.
2.
498
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 8
1.
2.
3.
Paso 9
4.
1.
2.
499
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 10 Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre s con estado
desde la CLI.
completo. Confirme adems la direccin IP de la interfaz del tnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
show routing protocol ospf neighbor
500
Los siguientes temas describen los componentes de LSVPN y cmo configurarlos para habilitar servicios de
VPN de sitio a sitio entre cortafuegos de Palo Alto Networks:
501
Puertas de enlace de GlobalProtect: Cortafuegos de Palo Alto Networks que proporciona el extremo del
tnel para conexiones de satlites. Los recursos a los que acceden los satlites estn protegidos por la poltica
de seguridad de la puerta de enlace. No es obligatorio tener un portal y una puerta de enlace separados; un
nico cortafuegos puede actuar tanto de portal como de puerta de enlace.
Satlite de GlobalProtect: Cortafuegos de Palo Alto Networks en una ubicacin remota que establece
tneles de IPSec con las puertas de enlace de sus sedes para lograr un acceso seguro a recursos centralizados.
La configuracin del cortafuegos del satlite es mnima, lo que le permite ajustar rpida y fcilmente su VPN
a medida que aada nuevas ubicaciones.
El siguiente diagrama muestra cmo funcionan los componentes de LSVPN de GlobalProtect en conjunto.
502
Portal de GlobalProtect: Requiere una interfaz de capa 3 para que se conecten los satlites de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde sus sucursales.
Puertas de enlace de GlobalProtect: Requiere tres interfaces: una interfaz de capa 3 en la zona a la que
pueden acceder los satlites remotos, una interfaz interna en la zona fiable que se conecta con los recursos
protegidos y una interfaz de tnel lgica para finalizar los tneles de VPN desde los satlites. A diferencia de
otras soluciones de VPN de sitio a sitio, la puerta de enlace de GlobalProtect solamente requiere una nica
interfaz de tnel, que utilizar para las conexiones de tnel con todos sus satlites remotos (punto a
multipunto). Si tiene la intencin de utilizar el enrutamiento dinmico, deber asignar una direccin IP a la
interfaz de tnel.
Satlite de GlobalProtect: Requiere una nica interfaz de tnel para establecer una VPN con las puertas
de enlace remotas (hasta un mximo de 25 puertas de enlace). Si tiene la intencin de utilizar el enrutamiento
dinmico, deber asignar una direccin IP a la interfaz de tnel.
Si desea ms informacin sobre portales, puertas de enlace y satlites, consulte Descripcin general de LSVPN.
Configuracin de interfaces y zonas para la LSVPN de GlobalProtect
Paso 1
1.
5.
6.
503
Paso 2
1.
En los cortafuegos donde se alojen
puertas de enlace de GlobalProtect,
2.
configure la interfaz de tnel lgica que
finalizar los tneles de VPN establecidos
3.
por los satlites de GlobalProtect.
No se requieren direcciones IP en
la interfaz de tnel a menos que
tenga la intencin de utilizar el
enrutamiento dinmico. Sin
embargo, asignar una direccin IP
a la interfaz de tnel puede resultar
til para solucionar problemas de
conexin.
6.
Paso 3
Si ha creado una zona separada para la finalizacin del tnel de las conexiones VPN, cree una poltica de
seguridad para habilitar el flujo de trfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de
poltica habilita el trfico entre la zona lsvpn-tun y la zona L3-Trust.
Paso 4
Guarde la configuracin.
504
505
Paso 1
Paso 2
2.
3.
4.
506
Paso 3
1.
2.
3.
4.
5.
6.
7.
8.
9.
Prcticas recomendadas:
Exporte los certificados de servidor
autofirmados emitidos por la CA raz
desde el portal e imprtelos en las
puertas de enlace.
Asegrese de emitir un nico
certificado de servidor para cada
puerta de enlace.
El campo de nombre comn (CN) y, si
es aplicable, de nombre alternativo del
asunto (SAN) del certificado deben
coincidir con la direccin IP o con el
nombre de dominio completo
(FQDN) de la interfaz donde
configure la puerta de enlace.
507
Paso 4
Paso 5
Paso 6
508
1.
2.
3.
4.
5.
Guarde la configuracin.
perfil.
Nmero de serie: Puede configurar el portal con el nmero de serie de los cortafuegos satlite autorizados
para unirse a la LSVPN. Durante la conexin inicial del satlite al portal, el satlite presenta su nmero de
serie al portal y, si el portal tiene el nmero de serie en su configuracin, el satlite se autenticar
correctamente. Los nmeros de serie de los satlites autorizados se aaden al configurar el portal. Consulte
Configuracin del portal.
Nombre de usuario y contrasea: Si prefiere asignar sus satlites sin tener que introducir manualmente
los nmeros de serie de los dispositivos de satlite en la configuracin del portal, puede pedir al
administrador del satlite que se autentique cuando establezca la conexin inicial con el portal. Aunque el
portal siempre buscar el nmero de serie en la solicitud inicial del satlite, si no puede identificar el nmero
de serie, el administrador de satlites deber proporcionar un nombre de usuario y una contrasea para
autenticarlo en el portal. Debido a que el portal siempre retroceder a esta forma de autenticacin, debe crear
un perfil de autenticacin para confirmar la configuracin del portal. Esto requiere que configure un perfil
de autenticacin para la configuracin de LSVPN del portal, aunque tenga la intencin de autenticar los
satlites mediante el nmero de serie.
El siguiente flujo de trabajo describe el modo de configurar el portal para la autenticacin de satlites mediante
un servicio de autenticacin existente. LSVPN de GlobalProtect admite la autenticacin externa mediante una
base de datos local, LDAP (incluido Active Directory), Kerberos o RADIUS.
509
Paso 1
1.
6.
Paso 2
7.
8.
1.
2.
3.
4.
5.
Paso 3
510
Guarde la configuracin.
Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Debe
configurar tanto la interfaz fsica como la interfaz de tnel virtual. Consulte Creacin de interfaces y zonas
para la LSVPN.
Configure los certificados de servidor de puerta de enlace y el perfil de certificado necesario para habilitar
el satlite y la puerta de enlace de GlobalProtect para que establezcan una conexin SSL/TLS mutua.
Consulte Habilitacin de SSL entre componentes de LSVPN de GlobalProtect.
Paso 1
1.
2.
3.
511
Paso 2
1.
2.
Paso 4
Paso 5
1.
2.
3.
4.
1.
2.
512
Paso 6
Seleccione el perfil criptogrfico que debe Seleccione predeterminado en el men desplegable Perfil
criptogrfico de IPSec u, opcionalmente, seleccione Nuevo perfil
utilizarse al establecer conexiones de
tnel.
criptogrfico de IPSec para definir un nuevo perfil. Si desea
informacin detallada sobre las opciones de autenticacin y cifrado
El perfil criptogrfico especifica el tipo de
en el perfil criptogrfico, consulte la ayuda en lnea.
cifrado de IPSec y/o el mtodo de
autenticacin para proteger los datos que
atraviesen el tnel. Dado que ambos
extremos del tnel de una LSVPN son
cortafuegos fiables de su organizacin,
por lo general puede utilizar el perfil
predeterminado, que utiliza cifrado
ESP-DH group2-AES 128 con SHA-1.
Sin embargo, si requiere una mezcla
diferente de mecanismos de cifrado y
autenticacin, puede crear opcionalmente
un perfil criptogrfico de IPSec
personalizado.
513
Paso 7
4.
514
Paso 8
Paso 9
1.
2.
3.
Para filtrar cules de las rutas anunciadas por los satlites deben
aadirse a la tabla de rutas de la puerta de enlace, haga clic en
Aadir y, a continuacin, defina las subredes que hay que incluir.
Por ejemplo, si todos los satlites estn configurados con la
subred 192.168.x.0/24 en el extremo de la LAN, configurando
una ruta permitida de 192.168.0.0/16 para habilitar la puerta de
enlace con el fin de que solamente acepte rutas del satlite si est
en la subred 192.168.0.0/16.
1.
2.
Compile la configuracin.
515
Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creacin de interfaces y zonas para la LSVPN.
Emitir el certificado de servidor del portal y certificados de servidor de la puerta de enlace, as como
configurar el portal para emitir certificados de servidor para los satlites. Consulte Habilitacin de SSL
entre componentes de LSVPN de GlobalProtect.
Definir el perfil de autenticacin que se utilizar para autenticar satlites de GlobalProtect en el caso de
que el nmero de serie no est disponible. Consulte Configuracin del portal para autenticar satlites.
516
Paso 1
Paso 2
Paso 3
Aada el portal.
2.
3.
1.
Especifique la informacin de red que
permita a los satlites conectarse al portal.
Paso 4
1.
Siga definiendo las configuraciones que Haga clic en ACEPTAR para guardar la configuracin de portal o vaya
deben enviarse a los satlites o, si ya ha
a Definicin de las configuraciones de satlites.
creado las configuraciones de los satlites,
guarde la configuracin del portal.
517
518
Paso 1
1.
2.
3.
Paso 2
519
Paso 3
Paso 4
520
Paso 5
Paso 6
Paso 7
1.
2.
2.
521
Paso 1
Paso 2
6.
522
Paso 3
1.
Si gener el certificado de servidor del
portal mediante una CA raz que no es de
confianza para los satlites (por ejemplo,
si utiliz certificados autofirmados),
importe el certificado de CA raz utilizado
para emitir el certificado de servidor del
portal.
El certificado de CA raz es obligatorio
para habilitar el dispositivo satlite con el
fin de que establezca la conexin inicial
con el portal para obtener la
configuracin de LSVPN.
2.
Paso 4
2.
3.
4.
5.
6.
7.
523
Paso 5
Paso 6
Paso 7
1.
1.
2.
524
Paso 1
Paso 1
En cada cortafuegos que aloje una puerta de enlace, verifique que los
satlites pueden establecer tneles de VPN seleccionando Red >
GlobalProtect > Puertas de enlace y haciendo clic en Informacin
de satlite en la columna Informacin de la entrada de
configuracin de la puerta de enlace. Los satlites que hayan
establecido tneles correctamente con la puerta de enlace aparecern
en la pestaa Activar satlites.
Paso 1
525
526
El siguiente flujo de trabajo muestra los pasos para establecer esta configuracin bsica:
Configuracin rpida: bsica de LSVPN con rutas estticas
Paso 1
Paso 2
Cree la regla de poltica de seguridad para habilitar el flujo de trfico entre la zona de la VPN donde finaliza el
tnel (lsvpn-tun) y la zona fiable donde residen las aplicaciones corporativas (L3-Trust).
527
Paso 4
1.
2.
Paso 5
Paso 6
Paso 7
Configuracin de la puerta de enlace para Seleccione Red > GlobalProtect > Puertas de enlace y haga clic en
LSVPN.
Aadir para aadir una configuracin. Este ejemplo requiere la
siguiente configuracin de puerta de enlace:
Interfaz: ethernet1/11
Direccin IP: 203.0.113.11/24
Certificado de servidor: lsvpnserver
Perfil del certificado: lsvpn-profile
Interfaz de tnel: tnel.1
DNS principal/DNS secundario: 4.2.2.1/4.2.2.2
Grupo de IP: 2.2.2.111-2.2.2.120
Acceder a ruta: 10.2.10.0/24
Paso 8
528
Paso 9
Creacin de una configuracin de satlite En la pestaa Configuracin Satlite de la configuracin del portal,
de GlobalProtect.
haga clic en Aadir para aadir una configuracin de satlite y una
CA raz de confianza y especifique la CA que utilizar el portal para
emitir certificados para los satlites. En este ejemplo, los ajustes
obligatorios son los siguientes:
Puerta de enlace: 203.0.113.11
Emisor del certificado: lsvpn-CA
CA raz de confianza: lsvpn-CA
lsvpn-CA
Configuracin de tnel de IPSec
529
Asignacin manual de direcciones IP a interfaces de tnel en todas las puertas de enlace y todos los satlites.
Configuracin de OSPF de punto a multipunto (P2MP) en el enrutador virtual en todas las puertas de enlace
y todos los satlites. Adems, como parte de la configuracin de OSPF de cada puerta de enlace, debe definir
manualmente la direccin IP de tnel de cada satlite como un vecino OSPF. Del mismo modo, en cada
satlite, debe definir manualmente la direccin IP de tnel de cada puerta de enlace como un vecino OSPF.
Aunque el enrutamiento dinmico requiere una configuracin adicional durante la configuracin inicial de la
LSVPN, reduce las tareas de mantenimiento asociadas a la actualizacin de las rutas a medida que se producen
cambios de topologa en su red.
La siguiente ilustracin muestra una configuracin de enrutamiento dinmico de LSVPN. Este ejemplo muestra
cmo configurar OSPF como el protocolo de enrutamiento dinmico para la VPN.
Para realizar una configuracin bsica de una LSVPN, siga los pasos de Configuracin bsica de LSVPN con
rutas estticas. A continuacin, podr realizar los pasos del siguiente flujo de trabajo para ampliar la
configuracin con el fin de utilizar el enrutamiento dinmico en lugar de rutas estticas.
530
Paso 1
3.
4.
5.
6.
7.
8.
531
Paso 3
532
3.
4.
5.
6.
7.
8.
Repita este paso cada vez que aada una nueva puerta de enlace.
Paso 4
Verifique que las puertas de enlace y los satlites pueden formar adyacencias de enrutador.
En cada satlite y cada puerta de enlace, confirme que se han formado adyacencias de peer y que se han creado
entradas de tabla de rutas para los peers (es decir, que los satlites tienen rutas hacia las puertas de enlace y las
puertas de enlace tienen rutas hacia los satlites). Seleccione Red > Enrutador virtual y haga clic en el enlace
Ms estadsticas de tiempo de ejecucin para el enrutador virtual que est utilizando para la LSVPN. En la
pestaa Enrutamiento, verifique que el peer de la LSVPN tiene una ruta.
En la pestaa OSPF > Vecino, verifique que los cortafuegos que alojan a sus puertas de enlace han establecido
adyacencias de enrutador con los cortafuegos que alojan a sus satlites y viceversa. Verifique tambin que el
Estado es Completo, lo que indica que se han establecido adyacencias completas.
533
534
Redes
Todos los cortafuegos de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prcticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podr elegir entre una implementacin de interfaz de cable virtual, capa 2
o capa 3. Adems, para permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos
de interfaces en diferentes puertos. La seccin Implementaciones de interfaz ofrece informacin bsica sobre
cada tipo de implementacin. Para obtener informacin ms detallada sobre la implementacin, consulte
Designing Networks with Palo Alto Networks Firewalls (Diseo de redes con cortafuegos de Palo Alto Networks).
Los siguientes temas describen conceptos de redes y cmo integrar cortafuegos de prxima generacin de Palo
Alto Networks en su red.
Implementaciones de interfaz
Enrutadores virtuales
Rutas estticas
RIP
OSPF
BGP
DHCP
NAT
LACP
Si desea ms informacin sobre la distribucin de rutas, consulte Understanding Route Redistribution and
Filtering (en ingls).
Integracin en la red
535
Implementaciones de interfaz
Redes
Implementaciones de interfaz
Un cortafuegos Palo Alto Networks puede funcionar en mltiples implementaciones a la vez porque las
implementaciones se producen en el nivel de interfaz. Las siguientes secciones describen las implementaciones.
Implementaciones de capa 2
Implementaciones de capa 3
No requiere ningn cambio de configuracin en los dispositivos de red adyacentes o que se encuentren
alrededor.
El default-vwire que se entrega como configuracin predeterminada de fbrica conecta los puertos Ethernet
1 y 2 y permite todo el trfico sin etiquetar. No obstante, puede utilizar un Virtual Wire para conectar dos
puertos cualquiera y configurarlo para que bloquee o permita el trfico basndose en las etiquetas de la LAN
virtual (VLAN); la etiqueta 0 de la VLAN indica el trfico sin etiquetar. Tambin puede crear varias
subinterfaces, aadirlas a diferentes zonas y, a continuacin, clasificar el trfico de acuerdo con una etiqueta de
la VLAN, o una combinacin de una etiqueta de la VLAN con clasificadores IP (direccin, intervalo o subred)
para aplicar un control detallado de las polticas para etiquetas especficas de la VLAN o para etiquetas de la
VLAN de una direccin IP de origen, intervalo o subred en concreto.
Ilustracin: Implementacin de cable virtual
536
Integracin en la red
Redes
Implementaciones de interfaz
1.
Configure dos interfaces Ethernet con el tipo Virtual Wire y asigne estas interfaces a un Virtual Wire.
2.
Cree subinterfaces en el Virtual Wire principal para separar el trfico del cliente A del cliente B. Asegrese de que las
etiquetas de la VLAN definidas en cada par de subinterfaces configuradas como Virtual Wire sean idnticas. Esto es
esencial, porque un Virtual Wire no conmuta etiquetas de la VLAN.
3.
Cree nuevas subinterfaces y defina clasificadores IP. Esta tarea es opcional y solamente es necesaria si desea aadir
subinterfaces adicionales con clasificadores IP para gestionar aun ms el trfico de un cliente basndose en la
combinacin de etiquetas de la VLAN y una direccin IP de origen, intervalo o subred en concreto.
Tambin puede utilizar clasificadores IP para gestionar el trfico sin etiquetar. Para ello, debe crear una subinterfaz
con la etiqueta 0 de la VLAN y definir subinterfaces con clasificadores IP para gestionar el trfico sin etiquetar
mediante clasificadores IP.
La clasificacin de IP solamente puede utilizarse en las subinterfaces asociadas con un lado del
Virtual Wire. Las subinterfaces definidas en el lado correspondiente del Virtual Wire deben utilizar
la misma etiqueta de la VLAN, pero no deben incluir un clasificador IP.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (nicamente etiquetas de la VLAN) muestra al
cliente A y al cliente B conectados al cortafuegos mediante una interfaz fsica, Ethernet 1/1, configurada como Virtual
Wire, que es la interfaz de entrada. Una segunda interfaz fsica, Ethernet 1/2, tambin forma parte del Virtual Wire y
se utiliza como la interfaz de salida que proporciona acceso a Internet. Para el cliente A, tambin tiene las subinterfaces
Ethernet 1/1.1 (entrada) y Ethernet 1/2.1 (salida). Para el cliente B, tambin tiene las subinterfaces Ethernet 1/1.2
(entrada) y Ethernet 1/2.2 (salida). Cuando configure las subinterfaces, debe asignar la etiqueta de la VLAN y la zona
correctas para aplicar las polticas a cada uno de los clientes. En este ejemplo, las polticas del cliente A se crean entre
la zona 1 y la zona 2, y las polticas del cliente B se crean entre la zona 3 y la zona 4.
Integracin en la red
537
Implementaciones de interfaz
Redes
Cuando el trfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deber coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este
ejemplo, una subinterfaz simple coincide con la etiqueta de la VLAN en el paquete entrante, por lo que se
seleccionar esa subinterfaz. Las polticas definidas para la zona se evalan y aplican antes de que el paquete
salga de la subinterfaz correspondiente.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
muestra al cliente A y al cliente B conectados a un cortafuegos fsico que tiene dos sistemas virtuales (vsys),
adems del sistema virtual predeterminado (vsys1). Cada sistema virtual es un cortafuegos virtual independiente
que se gestiona por separado para cada cliente. Cada vsys tiene adjuntadas interfaces/subinterfaces y zonas de
seguridad que se gestionan de manera independiente.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
Vsys1 est configurado para utilizar las interfaces fsicas Ethernet 1/1 y Ethernet 1/2 como Virtual Wire;
Ethernet 1/1 es la interfaz de entrada y Ethernet 1/2 es la interfaz de salida que proporciona el acceso a
Internet. Este Virtual Wire est configurado para aceptar todo el trfico etiquetado y sin etiquetar a excepcin
de las etiquetas 100 y 200 de la VLAN que estn asignadas a las subinterfaces.
El cliente A se gestiona en vsys2 y el cliente B se gestiona en vsys3. En vsys2 y vsys3, se crean las siguientes
subinterfaces de vwire con las etiquetas de la VLAN y las zonas adecuadas para aplicar las medidas incluidas en
las polticas.
Cliente
Vsys
Subinterfaces de Vwire
Zona
e1/1.1 (entrada)
Zona 3
100
e1/2.1 (salida)
Zona 4
100
e1/1.2 (entrada)
Zona 5
100
Subred IP
e1/2.2 (salida)
Zona 6
100
192.1.0.0/16
e1/1.3 (entrada)
Zona 7
100
Subred IP
e1/2.3 (salida)
Zona 8
100
192.2.0.0/16
e1/1.4 (entrada)
Zona 9
200
Ninguno
e1/2.4 (salida)
Zona 10
200
2
2
B
538
Ninguno
Integracin en la red
Redes
Implementaciones de interfaz
Cuando el trfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deber coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este caso,
para el cliente A, hay varias subinterfaces que utilizan la misma etiqueta de la VLAN. De este modo, el cortafuegos
primero acota la clasificacin a una subinterfaz basndose en la direccin IP de origen del paquete. Las polticas
definidas para la zona se evalan y aplican antes de que el paquete salga de la subinterfaz correspondiente.
Para el trfico de ruta de retorno, el cortafuegos compara la direccin IP de destino del modo definido en el
clasificador IP en la subinterfaz del cliente y selecciona el Virtual Wire adecuado para enrutar el trfico a travs
de la subinterfaz precisa.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
Implementaciones de capa 2
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms redes. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos
ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.
Seleccione esta opcin cuando necesite poder alternar.
Ilustracin: Implementacin de capa 2
Implementaciones de capa 3
En una implementacin de capa 3, el cortafuegos enruta el trfico entre mltiples puertos. Se debe asignar una
direccin IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando
necesite enrutamiento.
Ilustracin: Implementacin de capa 3
Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Consulte Enrutadores virtuales.
Integracin en la red
539
Implementaciones de interfaz
Redes
Cliente DHCP
Puede configurar la interfaz del cortafuegos para que funcione como un cliente DHCP y recibir una direccin
IP asignada dinmicamente. El cortafuegos tambin permite propagar los ajustes recibidos mediante la interfaz
del cliente DHCP en un servidor DHCP que funciona mediante cortafuegos. Esta opcin se suele utilizar para
propagar los ajustes del servidor DNS desde un proveedor de servicios de Internet a las mquinas cliente de la
red que estn protegidas por el cortafuegos.
El cliente DHCP no es compatible en modo HA activo/activo.
540
Integracin en la red
Redes
Enrutadores virtuales
Enrutadores virtuales
El cortafuegos utiliza enrutadores virtuales para obtener rutas a otras subredes definiendo manualmente una
ruta (rutas estticas) o mediante la participacin en protocolos de enrutamiento de capa 3 (rutas dinmicas).
Las mejores rutas obtenidas a travs de estos mtodos se utilizan para cumplimentar la tabla de enrutamiento
IP del cortafuegos. Cuando un paquete est destinado a una subred diferente, el enrutador virtual obtendr la
mejor ruta a partir de esta tabla de enrutamiento IP y reenviar el paquete al siguiente enrutador de salto definido
en la tabla.
Las interfaces Ethernet y VLAN definidas en el cortafuegos reciben y reenvan el trfico de capa 3. La zona de
destino se deriva de la interfaz de salida basada en los criterios de reenvo y se consultas las normativas para
identificar las polticas de seguridad aplicadas. Adems de enrutar a otros dispositivos de red, los enrutadores
virtuales pueden enrutar a otros enrutadores virtuales en el mismo cortafuegos si se especifica un siguiente salto
que seale a otro enrutador virtual.
Puede configurar el enrutador virtual para participar con protocolos de enrutamiento dinmico (BGP, OSPF o
RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales, cada uno de los cuales
mantendr un conjunto separado de rutas que no se comparten entre enrutadores virtuales, lo que le permitir
configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
Todas las interfaces de capa 3, de bucle invertido y VLAN definidas en el cortafuegos se deben asociar con un
enrutador virtual. Si bien cada interfaz nicamente puede pertenecer a un enrutador virtual, se pueden
configurar varios protocolos de enrutamiento y rutas estticas para un enrutador virtual. Independientemente
de las rutas estticas y los protocolos de enrutamiento dinmico configurados para un enrutador virtual, es
necesario contar con una configuracin general comn. El cortafuegos utiliza la conmutacin de Ethernet para
leer otros dispositivos de la misma subred IP.
Los siguientes protocolos de enrutamiento de capa 3 son compatibles desde enrutadores virtuales:
RIP
OSPF
OSPFv3
BGP
Paso 1
Paso 2
Integracin en la red
2.
3.
4.
541
Enrutadores virtuales
Redes
Paso 3
Paso 4
1.
2.
3.
1.
Paso 5
Paso 6
542
Integracin en la red
Redes
Rutas estticas
Rutas estticas
El siguiente procedimiento muestra cmo integrar el cortafuegos en la red mediante rutas estticas.
Configuracin de interfaces y zonas
Paso 1
Paso 2
Integracin en la red
1.
2.
3.
4.
1.
2.
3.
4.
5.
6.
7.
543
Rutas estticas
Redes
Paso 3
1.
2.
3.
4.
5.
Paso 4
6.
7.
1.
2.
3.
4.
5.
7.
Paso 5
Paso 6
Paso 7
544
Integracin en la red
Redes
RIP
RIP
El protocolo de informacin de enrutamiento (RIP) es un protocolo de puerta de enlace interior (IGP) diseado
para pequeas redes IP. RIP se basa en el recuento de saltos para determinar las rutas; las mejores rutas tienen
el menor nmero de saltos. RIP se basa en UDP y utiliza el puerto 520 para las actualizaciones de rutas. Al limitar
las rutas a un mximo de 15 saltos, el protocolo ayuda a evitar el desarrollo de bucles de enrutamiento, adems
de limitar el tamao de red admitido. Si se requieren ms de 15 saltos, el trfico no se enruta. RIP tambin puede
tardar ms en converger que OSPF y otros protocolos de enrutamiento. El cortafuegos admite RIP v2.
Realice el siguiente procedimiento para configurar RIP:
Configuracin de RIP
Paso 1
Paso 2
1.
2.
3.
4.
Paso 3
Integracin en la red
1.
2.
3.
4.
5.
6.
7.
545
RIP
Redes
Configuracin de RIP
Paso 4
1.
Paso 5
2.
3.
4.
3.
4.
3.
4.
5.
546
6.
7.
8.
Integracin en la red
Redes
OSPF
OSPF
Open Shortest Path First (OSPF) es un protocolo de puerta de enlace interior (IGP) que suele utilizarse la
mayora de las veces para gestionar dinmicamente rutas de red en redes de empresas de gran tamao. determina
las rutas de forma dinmica obteniendo la informacin de otros enrutadores y anunciando las rutas a otros
enrutadores mediante anuncios de estado de enlaces (LSA). La informacin recopilada de los LSA se utiliza para
construir un mapa de topologa de la red. Este mapa de topologa se comparte entre los enrutadores de la red y
se utiliza para cumplimentar la tabla de enrutamiento de IP con rutas disponibles.
Los cambios en la topologa de la red se detectan dinmicamente y se utilizan para generar un nuevo mapa de
topologa en cuestin de segundos. Se calcula un rbol con la ruta ms corta de cada ruta. Se utilizan las medidas
asociadas a cada interfaz de enrutamiento para calcular la mejor ruta. Pueden incluir distancia, rendimiento de
red, disponibilidad de enlaces, etc. Adems, estas medidas pueden configurarse de manera esttica para dirigir el
resultado del mapa de topologa de OSPF.
La implementacin de Palo Alto Networks de OSPF admite por completo los siguientes RFC:
Los siguientes temas ofrecen ms informacin sobre el OSPF y los procedimientos para configurar OSPF en el
cortafuegos:
Conceptos de OSPF
Configuracin de OSPF
Configuracin de OSPFv3
Conceptos de OSPF
Los siguientes temas presentan los conceptos de OSPF que deber comprender para configurar el cortafuegos
con el fin de que participe en la red de OSPF:
OSPFv3
Vecinos OSPF
reas OSPF
Integracin en la red
547
OSPF
Redes
OSPFv3
OSPFv3 permite la compatibilidad con el protocolo de enrutamiento OSPF dentro de una red IPv6. Como tal,
permite la compatibilidad con direcciones y prefijos IPv6. Conserva la mayor parte de la estructura y las
funciones de OSPFv2 (para IPv4) con algunos cambios menores. A continuacin se indican algunas de las
adiciones y los cambios en OSPFv3:
Compatibilidad con varias instancias por enlace: Con OSPFv3, puede ejecutar varias instancias del
protocolo OSPF a travs de un nico enlace. Esto se consigue al asignar un nmero de ID de instancia de
OSPFv3. Una interfaz que est asignada a una ID de instancia descartar paquetes que contengan un ID
diferente.
Procesamiento de protocolos por enlace: OSPFv3 funciona segn enlace en lugar de hacerlo segn
subred IP como en OSPFv2.
Cambios en las direcciones: Las direcciones IPv6 no estn presentes en paquetes OSPFv3, excepto en el
caso de cargas de LSA en paquetes de actualizacin de estado de enlace. Los enrutadores vecinos se
identifican mediante el ID de enrutador.
Compatibilidad con varias instancias por enlace: Cada instancia se corresponde con un ID de instancia
incluido en el encabezado de paquete OSPFv3.
Nuevos tipos de LSA: OSPFv3 admite dos nuevos tipos de LSA: LSA de enlace y LSA de prefijo intrarea.
Vecinos OSPF
Dos enrutadores con OSPF conectados por una red comn y en la misma rea OSPF que forman una relacin
son vecinos OSPF. La conexin entre estos enrutadores puede ser a travs de un dominio de difusin comn o
mediante una conexin de punto a punto. Esta conexin se realiza a travs del intercambio de paquetes de
saludo del protocolo OSPF. Estas relaciones de vecinos se utilizan para intercambiar actualizaciones de
enrutamiento entre enrutadores.
548
Integracin en la red
Redes
OSPF
reas OSPF
OSPF funciona en un nico sistema autnomo (AS). No obstante, las redes de dentro de este AS nico pueden
dividirse en distintas reas. De manera predeterminada, se crea el rea 0. El rea 0 puede funcionar por s sola
o actuar como la red troncal de OSPF para un mayor nmero de reas. Cada rea OSPF recibe un nombre que
es un identificador de 32 bits, el cual, en la mayora de los casos, se escribe en la misma notacin decimal con
puntos que una direccin IP4. Por ejemplo, el rea 0 suele escribirse como 0.0.0.0.
La topologa de un rea se mantiene en su propia base de datos de estados de enlaces y se oculta de otras reas,
lo que reduce la cantidad de trfico de enrutamiento que necesita OSPF. A continuacin, la topologa se
comparte de manera resumida entre reas mediante un enrutador de conexin.
Tabla: Tipos de reas OSPF
Tipo de rea
Descripcin
rea troncal
El rea troncal (rea 0) es el ncleo de una red de OSPF. El resto de las reas se
conectan a ella y todo el trfico entre las reas debe atravesarla. Todo el enrutamiento
entre las reas se distribuye a travs del rea troncal. Si bien el resto de las reas OSPF
debe conectarse al rea troncal, esta conexin no tiene que ser directa y puede realizarse
a travs de un enlace virtual.
En un rea OSPF normal no hay restricciones; el rea puede aceptar todo tipo de rutas.
rea OSPF de cdigo auxiliar Un rea de cdigo auxiliar no recibe rutas de otros sistemas autnomos. El
El rea de NSSA (Not So Stubby Area) es un tipo de rea de cdigo auxiliar que puede
importar rutas externas con algunas excepciones limitadas.
Enrutador interno: Enrutador que solamente tiene relaciones de vecino OSPF con los dispositivos de la
misma rea.
Enrutador de borde de rea (ABR): Enrutador que tiene relaciones de vecino OSPF con los dispositivos
de varias reas. Los ABR recopilan informacin de topologa de sus reas adjuntas y la distribuyen al rea
troncal.
Enrutador troncal: Cualquier enrutador de OSPF adjunto a la red troncal de OSPF. Como los ABR siempre
estn conectados a la red troncal, siempre se clasifican como enrutadores troncales.
Integracin en la red
549
OSPF
Redes
Configuracin de OSPF
OSPF determina las rutas de forma dinmica obteniendo la informacin de otros enrutadores y anunciando las
rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El enrutador mantiene la informacin
sobre los enlaces entre l y el destino y puede realizar decisiones de enrutamiento de gran eficacia. Se asigna un
coste a cada interfaz de enrutador y las mejores rutas son aquellas con menor coste, despus de sumar todas las
interfaces de enrutador saliente detectadas y la interfaz que recibe los LSA.
Las tcnicas jerrquicas se utilizan para limitar el nmero de rutas que se deben anunciar y los LSA asociados.
Como OSPF procesa dinmicamente una cantidad considerable de informacin de enrutamiento, tiene mayores
requisitos de procesador y memoria que RIP.
Configuracin de OSPF
Paso 1
Paso 2
1.
2.
3.
4.
550
Integracin en la red
Redes
OSPF
Paso 3
1.
2.
3.
4.
Integracin en la red
5.
6.
551
OSPF
Redes
Paso 4
Paso 5
2.
1.
552
Integracin en la red
Redes
OSPF
Integracin en la red
553
OSPF
Redes
Paso 6
1.
2.
Paso 7
3.
4.
3.
4.
5.
554
6.
7.
Integracin en la red
Redes
OSPF
Paso 8
1.
2.
3.
Configuracin de OSPFv3
Configuracin de OSPFv3
Paso 1
Paso 2
1.
2.
3.
4.
Paso 3
1.
2.
3.
Integracin en la red
555
OSPF
Redes
Paso 4
Configure el perfil de autenticacin Al configurar un perfil de autenticacin, debe utilizar una carga de
seguridad encapsulada (ESP) o un encabezado de autenticacin (AH) de
para el protocolo OSFPv3.
IPv6.
OSPFv3 no incluye ninguna
capacidad de autenticacin propia; Autenticacin de ESP OSPFv3
1. En la pestaa Perfiles de autenticacin, haga clic en Aadir.
por el contrario, se basa
completamente en IPSec para
2. Introduzca un nombre para el perfil de autenticacin para autenticar
proteger las comunicaciones entre
los mensajes OSPFv3.
vecinos.
3. Especifique un ndice de poltica de seguridad (SPI). El SPI debe
coincidir entre ambos extremos de la adyacencia de OSPFv3. El
nmero del SPI debe ser un valor hexadecimal entre 00000000 y
FFFFFFFF.
4.
5.
6.
Autenticacin de AH OSPFv3
1. En la pestaa Perfiles de autenticacin, haga clic en Aadir.
2.
3.
4.
5.
556
6.
7.
8.
Integracin en la red
Redes
OSPF
Paso 5
1.
2.
3.
Paso 6
Para un rea
1. En la pestaa reas, seleccione un rea existente de la tabla.
2.
3.
Integracin en la red
2.
3.
557
OSPF
Redes
Paso 7
Paso 8
1.
2.
3.
4.
5.
6.
7.
1.
2.
3.
4.
Cortafuegos como dispositivo de reinicio: En una situacin en la que el cortafuegos vaya a estar inactivo
durante un breve perodo de tiempo o no est disponible durante intervalos breves, enviar LSA de gracia a
sus vecinos OSPF. Los vecinos deben estar configurados para ejecutarse en el modo auxiliar de reinicio
correcto. En el modo auxiliar, los vecinos reciben los LSA de gracia que le informan que el cortafuegos
558
Integracin en la red
Redes
OSPF
realizar un reinicio correcto en un perodo de tiempo especificado definido como el Periodo de gracia.
Durante el perodo de gracia, el vecino sigue reenviando rutas a travs del cortafuegos y enviando LSA que
anuncian rutas a travs del cortafuegos. Si el cortafuegos reanuda su funcionamiento antes de que venza el
perodo de gracia, el reenvo de trfico seguir como antes sin ninguna interrupcin de la red. Si el
cortafuegos no reanuda su funcionamiento despus de que venza el periodo de gracia, los vecinos saldrn
del modo auxiliar y reanudarn el funcionamiento normal, lo que implicar la reconfiguracin de la tabla de
enrutamiento para eludir el cortafuegos.
Cortafuegos como auxiliar de reinicio correcto: En una situacin en la que los enrutadores vecinos
puedan estar inactivos durante breves periodos de tiempo, se puede configurar el cortafuegos para que
funcione en el modo auxiliar de reinicio correcto. Si se configura con este modo, el cortafuegos se
configurar con un Mx. de hora de reinicio del mismo nivel. Cuando el cortafuegos reciba los LSA de
gracia de su vecino OSFP, seguir enrutando trfico al vecino y anunciando rutas a travs del vecino hasta
que venza el perodo de gracia o el mximo de hora de reinicio del mismo nivel. Si ninguno de los dos vence
antes de que el vecino vuelva a estar en funcionamiento, el reenvo de trfico continuar como antes sin
ninguna interrupcin de la red. Si ninguno de los dos periodos vence antes de que el vecino vuelva a estar
en funcionamiento, el cortafuegos saldr del modo auxiliar y reanudar el funcionamiento normal, que
implicar la reconfiguracin de la tabla de enrutamiento para eludir el vecino.
1.
Seleccione Red > Enrutadores virtuales y seleccione el enrutador virtual que quiera configurar.
2.
3.
Verifique que las siguientes casillas de verificacin estn seleccionadas (estn habilitadas de manera predeterminada).
Habilitar reinicio correcto
Habilitar modo auxiliar
Habilitar comprobacin de LSA estricta
Las casillas de verificacin deberan permanecer seleccionadas a menos que su topologa lo requiera.
4.
5.
Integracin en la red
559
OSPF
Redes
El siguiente procedimiento describe cmo utilizar la interfaz web para ver la tabla de enrutamiento.
Visualizacin de la tabla de enrutamiento
1.
2.
Seleccione la pestaa Enrutamiento y examine la columna Marcas de la tabla de enrutamiento para determinar qu
rutas ha obtenido OSPF.
560
Integracin en la red
Redes
OSPF
1.
2.
Seleccione OSPF > Vecino y examine la columna Estado para determinar si se han establecido adyacencias de OSPF.
1.
Seleccione Supervisar > Sistema y busque mensajes que confirmen que se han establecido adyacencias de OSPF.
Integracin en la red
561
OSPF
Redes
2.
562
Seleccione OSPF > Vecino y examine la columna Estado para determinar si se han establecido adyacencias de OSPF.
Integracin en la red
Redes
BGP
BGP
El protocolo de puerta de enlace de borde (BGP) es el principal protocolo de enrutamiento de Internet. BGP
determina el alcance de la red en funcin de los prefijos IP que estn disponibles en sistemas autnomos (AS),
donde un sistema autnomo es un conjunto de prefijos IP que un proveedor de red ha designado para formar
parte de una poltica de enrutamiento simple.
En el proceso de enrutamiento, las conexiones se establecen entre pares BGP (o vecinos). Si la poltica permite
una ruta, se guarda en la base de informacin de enrutamiento (RIB). Cada vez que se actualiza la RIB del
cortafuegos local, el cortafuegos determina las rutas ptimas y enva una actualizacin a la RIB externa, si se
activa la exportacin.
Los anuncios condicionales se utilizan para controlar la forma en que se anuncian las rutas BGP. Las rutas BGP
deben cumplir las normas de anuncios condicionales para poder anunciarse a los peers.
BGP admite la especificacin de agregados, que combinan mltiples rutas en una ruta nica. Durante el proceso
de agregacin, el primer paso es encontrar la regla de agregacin correspondiente ejecutando la correspondencia
ms larga que compare la ruta entrante con los valores de prefijo de otras reglas de agregacin.
Para obtener ms informacin sobre BGP, consulte How to Configure BGP Tech Note (Nota tcnica sobre
cmo configurar BGP).
El cortafuegos proporciona una implementacin completa de BGP que incluye las siguientes funciones:
Polticas de enrutamiento basadas en asignaciones de rutas para controlar los procesos de importacin,
exportacin y anuncios, filtrado basado en prefijos y agregacin de direcciones.
Funciones BGP avanzadas que incluyen un reflector de ruta, confederacin de AS, amortiguacin de flap de
ruta y reinicio correcto.
Configuraciones por instancia de enrutamiento, que incluyen parmetros bsicos como opciones avanzadas
de ID de ruta local y AS local como seleccin de ruta, reflector de ruta, confederacin AS, flap de ruta y
perfiles de amortiguacin.
Perfiles de autenticacin que especifican la clave de autenticacin MD5 para conexiones BGP.
Ajustes de vecino y grupos de peers, que incluyen opciones avanzadas de direcciones de vecino y AS como
atributos y conexiones de vecino.
Poltica de enrutamiento, que especifica conjuntos de reglas que peers y grupos de peers utilizan para
implementar las importaciones, exportaciones, anuncios condicionales y controles de agregacin de
direccin.
Integracin en la red
563
BGP
Redes
Configuracin de BGP
Paso 1
Paso 2
Paso 3
3.
4.
3.
4.
5.
6.
7.
8.
564
Integracin en la red
Redes
BGP
Paso 4
1.
2.
3.
4.
5.
Integracin en la red
565
BGP
Redes
Paso 5
1.
2.
3.
4.
5.
Paso 6
566
6.
1.
2.
3.
4.
5.
6.
Integracin en la red
Redes
BGP
Paso 7
Paso 8
1.
2.
3.
4.
5.
1.
2.
5.
6.
Integracin en la red
567
Redes
El primero de los siguientes temas ofrece breves resmenes de la capa de transporte del modelo OSI, TCP, UDP
e ICMP. Para obtener ms informacin acerca de los protocolos, consulte sus RFC respectivos. El resto de temas
describen la configuracin y los tiempos de espera de sesin.
TCP
UDP
ICMP
568
Integracin en la red
Redes
TCP
El protocolo de control de transmisin (TCP) (RFC 793) es uno de los protocolos principales del conjunto de
protocolos de Internet (IP), y est tan extendido que a menudo se le hace referencia junto a IP como TCP/IP.
Se considera que el TCP es un protocolo de transporte fiable, ya que ofrece comprobacin de errores mientras
transmite y recibe segmentos, reconoce los segmentos recibidos y reorganiza los segmentos desordenados desde
el dispositivo que los envi. TCP tambin solicita y ofrece la retransmisin de segmentos que faltaban. TCP se
basa en el estado y conexin, en el sentido de que la conexin entre el remitente y el receptor se establece durante
la duracin de la sesin. El TCP ofrece un control del flujo de paquetes para que pueda gestionar la gestin de
las redes.
TCP realiza un protocolo de tres vas durante la configuracin de la sesin para iniciar y reconocer una sesin.
Cuando se han transferido los datos, la sesin se cierra de manera ordenada.
Entre las aplicaciones que usan TCP como protocolo de transporte se incluyen el protocolo de transferencia de
hipertexto (HTTP), protocolo seguro de transferencia de hipertexto (HTTPS), protocolo de transferencia de
archivos (FTP), protocolo simple de transferencia de correo (SMTP), Telnet, protocolo de oficina de correos
versin 3 (POP3), protocolo de acceso a mensajes de Internet (IMAP) y shell seguro (SSH).
Los siguientes temas tienen informacin detallada sobre la implementacin PAN-OS de TCP.
Integracin en la red
569
Redes
La siguiente ilustracin muestra el momento en que dos temporizadores del cortafuegos se activan durante el
procedimiento de terminacin de la conexin TCP.
El temporizador de tiempo de espera de TCP debe definirse con un valor inferior al temporizador semicerrado
TCP por los siguientes motivos:
Mientras ms tiempo se permita tras ver el primer FIN, ms tiempo tiene la otra parte de la conexin para
cerrar por completo la sesin.
El tiempo de espera ms corto se debe a que no hay necesidad de que la sesin permanezca abierta durante
mucho tiempo tras ver el segundo FIN o RST. Un tiempo de espera ms breve libera los recursos antes, pero
deja tiempo para que el cortafuegos vea la confirmacin final y la posible retransmisin de otros datagramas.
Si configura un temporizador de tiempo de espera TCP con un valor ms alto que el del TCP semicerrado, se
aceptar la confirmacin, pero en la prctica el temporizador de tiempo de espera TCP no superar el valor de
TCP semicerrado.
Los temporizadores pueden definirse globalmente o por aplicacin. Los ajustes globales se utilizan para todas
las aplicaciones de forma predeterminada. Si configura las temporizadores de espera TCP en el nivel de
aplicacin, estos ajustes sustituirn a los ajustes globales.
570
Integracin en la red
Redes
El paquete RST queda dentro de la ventana TCP pero no tiene el nmero de secuencia esperado, por lo que
queda sin verificar y est sujeto al ajuste de temporizador RST sin verificar. Este comportamiento evita los
ataques de denegacin de servicio (DoS), en los que se intenta interrumpir las sesiones existentes enviando
paquetes RST aleatorios al cortafuegos.
El paquete RST queda dentro de la ventana TCP y tiene el nmero de secuencia exacto esperado, por lo que
queda sujeto al ajuste de temporizador de tiempo de espera RST.
UDP
El protocolo de datagramas de usuario (UDP) (RFC 768) es otro de los principales protocolos del conjunto IP,
y ofrece una alternativa al TCP. El UDP es independiente del estado y la conexin en el sentido de que no hay
un protocolo para establecer sesin ni ninguna conexin entre el remitente y el receptor; los paquetes pueden
tomar distintas rutas para llegar a un nico destino. UDP no se considera un protocolo fiable porque no ofrece
reconocimientos, comprobacin de errores, retransmisin ni reorganizacin de datagramas. Al no tener la carga
de trabajo necesaria para ofrecer estas funciones, UDP tiene una latencia reducida y es ms rpido que TCP.
UDP es el mejor protocolo de menor esfuerzo, sin ningn mecanismo o forma de garantizar que los datos
llegarn a su destino.
Aunque UDP usa una suma de comprobacin para saber la integridad de los datos, no realizar ninguna
comprobacin de errores a nivel de la interfaz de red. Se asume que la comprobacin de errores no es necesaria
o que la realiza la aplicacin en lugar del propio UDP. UDP no tiene ningn mecanismo para gestionar el control
de flujo de paquetes.
UDP a menudo se usa con aplicaciones que requieren velocidades ms altas y una entrega en tiempo real sensible
al tiempo, como voz sobre IP (VoIP), transmisin de audio y vdeo y los juegos en lnea. UDP se basa en las
transacciones, por lo que tambin se usa para aplicaciones que responden a pequeas consultas de muchos
clientes, como el sistema de nombres de dominio (DNS) y el protocolo trivial de transferencia de archivos
(TFTP).
Integracin en la red
571
Redes
ICMP
El protocolo de mensajes de control de Internet (ICMP) (RFC 792) es otro de los protocolos principales del
conjunto de protocolos de Internet (IP), y opera en la capa de red del modelo OSI. El ICMP se usa para
diagnstico y control para enviar mensajes de error sobre operaciones de IP o mensajes sobre servicios
solicitados o el alcance de un host o enrutador. Hay utilidades de red como traceroute y ping que se implementan
mediante varios mensajes ICMP.
ICMP es un protocolo sin conexin que no abre ni mantiene sesiones reales. Sin embargo, los mensajes ICMP
entre dos dispositivos pueden considerarse una sesin.
Los cortafuegos de Palo Alto Networks admiten ICMPv4 y ICMPv6. Los paquetes de errores ICMPv4 y
ICMPv6 pueden controlarse configurando una poltica de seguridad para una zona y seleccionando la aplicacin
icmp o ipv6-icmp en la poltica. Adems, la tasa de paquetes de errores ICMPv6 puede controlarse a travs del
portal de asistencia tcnica como se describe en la seccin Definicin de la configuracin de sesin.
572
Integracin en la red
Redes
Adems de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada aplicacin en la
pestaa Objetos > Aplicaciones. El cortafuegos aplica los tiempos de espera de la aplicacin a una aplicacin
que est en estado Establecido. Cuando se configuran, los tiempos de espera para una aplicacin anulan los
tiempos de espera globales de la sesin TCP o UDP.
Volviendo a los ajustes globales, realice las siguientes tareas opcionales si necesita cambiar los valores
predeterminados de los ajustes de tiempos de espera de sesin globales para TCP, UDP, ICMP, autenticacin
del portal cautivo u otros tipos de sesiones. Todos los valores se indican los segundos.
Los valores predeterminados son valores ptimos. Sin embargo, puede modificarlos segn las
necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mnimos en la red, lo que podra producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podra retrasarse la deteccin
de errores.
Paso 1
Paso 2
(Opcional) Cambio de los tiempos Predeterminado: Tiempo mximo que una sesin que no es
de espera mixtos.
TCP/UDP ni ICMP se puede abrir sin una respuesta. Valor
predeterminado: 30. Intervalo: 1-1599999.
Descartar valor predeterminado: La longitud mxima de tiempo que
una sesin permanece abierta cuando PAN-OS deniega una sesin
debido a las polticas de seguridad configuradas en el cortafuegos. Valor
predeterminado: 60. Intervalo: 1-1599999.
Exploracin: Tiempo mximo de espera que una sesin seguir abierta
despus de considerarse inactiva; se considera que una aplicacin est en
estado inactivo cuando supera el umbral de generacin de aplicaciones
que tiene definido. Valor predeterminado: 10. Intervalo: 5-30.
Portal cautivo: Tiempo de espera de la sesin de autenticacin para el
formato web del portal cautivo. Para acceder al contenido solicitado, el
usuario debe introducir las credenciales de autenticacin en este formato
y autenticarse correctamente. Valor predeterminado: 30. Intervalo:
1-1599999.
Para definir otros tiempos de espera del portal cautivo, como el
temporizador de inactividad y el tiempo que debe pasar para volver a
autenticar al usuario, seleccione
Dispositivo > Identificacin de usuario > Configuracin de portal
cautivo. Consulte Configuracin de portal cautivo.
Integracin en la red
573
Redes
Paso 3
(Opcional) Cambio de los tiempos Descartar TCP: La longitud mxima de tiempo que una sesin TCP
de espera TCP.
permanece abierta cuando se deniega una sesin debido a las polticas
de seguridad configuradas en el cortafuegos. Valor predeterminado: 90.
Intervalo: 1-1599999.
TCP: Tiempo mximo que una sesin TCP permanece abierta sin una
respuesta despus de que una sesin TCP active el estado Establecido
(despus de que se complete el protocolo o la transmisin de datos haya
comenzado). Valor predeterminado: 3600. Intervalo: 1-1599999.
Protocolo de enlace TCP: Tiempo mximo entre la recepcin de
SYN-ACK y la siguiente ACK para establecer completamente la sesin.
Valor predeterminado: 10. Intervalo: 1-60.
Inicializacin de TCP: Tiempo mximo permitido entre la recepcin de
SYN y SYN-ACK antes de iniciar el temporizador del protocolo de
enlace TCP. Valor predeterminado: 5. Intervalo: 1-60.
TCP semicerrado: Tiempo mximo entre la recepcin del primer FIN
y la recepcin del segundo FIN o RST. Valor predeterminado: 120.
Intervalo: 1-604800.
Tiempo de espera TCP: Tiempo mximo despus de recibir el segundo
FIN o RST. Valor predeterminado: 15. Intervalo: 1-600.
RST sin verificar: Tiempo mximo despus de recibir un RST que no se
puede verificar (el RST est dentro de la ventana TCP pero tiene un
nmero de secuencia inesperado o el RST procede de una ruta
asimtrica). Valor predeterminado: 30. Intervalo: 1-600.
Vea tambin el tiempo de espera de Explorar en la seccin (Opcional)
Cambio de los tiempos de espera mixtos.
Paso 4
(Opcional) Cambio de los tiempos Descartar UDP: La longitud mxima de tiempo que una sesin UDP
de espera UDP.
permanece abierta cuando se deniega una sesin debido a las polticas
de seguridad configuradas en el cortafuegos. Valor predeterminado: 60.
Intervalo: 1-1599999.
UDP: Tiempo mximo que una sesin UDP permanece abierta sin una
respuesta de UDP. Valor predeterminado: 30. Intervalo: 1-1599999.
Vea tambin el tiempo de espera de Explorar en la seccin (Opcional)
Cambio de los tiempos de espera mixtos.
Paso 5
(Opcional) Cambio de los tiempos ICMP: Tiempo mximo que una sesin ICMP puede permanecer abierta
de espera ICMP.
sin una respuesta de ICMP. Valor predeterminado: 6. Intervalo:
1-1599999.
Vea tambin el tiempo de espera de Descartar valor predeterminado y
Explorar en la seccin (Opcional) Cambio de los tiempos de espera
mixtos.
Paso 6
574
Integracin en la red
Redes
Paso 1
Paso 2
Acceda a Configuracin de
sesin.
(Opcional) Cambio de los
ajustes de sesin.
1.
2.
Integracin en la red
575
Redes
576
Integracin en la red
Redes
DHCP
DHCP
Esta seccin describe el protocolo de configuracin de host dinmico (DHCP) y las tareas necesarias para
configurar una interfaz en un cortafuegos de Palo Alto Networks para actuar como servidor, cliente o agente
de rel de DHCP. Al asignar esas funciones a distintas interfaces, el cortafuegos puede desempear mltiples
funciones.
Mensajes DHCP
Direccin DHCP
Opciones de DHCP
Un dispositivo que funcione como cliente DHCP (host) puede solicitar una direccin IP y otros ajustes de
configuracin al servidor DHCP. Los usuarios de los dispositivos cliente ahorran el tiempo y esfuerzo de
configuracin, y no necesitan conocer el plan de direcciones de red y otros recursos y opciones que heredan
del servidor DHCP.
Un dispositivo que acta como un servidor DHCP puede atender a los clientes. Si se usa alguno de esos tres
mecanismos de Direccin DHCP, el administrador de red ahorra tiempo y tiene el beneficio de reutilizar un
nmero limitado de direcciones IP cuando un cliente ya no necesita una conectividad de red. El servidor
puede ofrecer direcciones IP y muchas opciones DHCP a muchos clientes.
Un dispositivo que acta como un agente de rel DHCP transmite mensajes DHCP entre los clientes y los
servidores DHCP.
DHCP usa protocolo de datagramas de usuario(UDP), RFC 768, como protocolo de transporte. Los mensajes DHCP
que un cliente enva a un servidor se envan al puerto conocido 67 (UDP, protocolo de arranque y DHCP).
Mensajes DHCP que un servidor enva a un cliente se envan al puerto 68.
Integracin en la red
577
DHCP
Redes
Una interfaz de un cortafuegos de Palo Alto Networks puede realizar la funcin de un servidor, un cliente o un
agente de rel DHCP. La interfaz de un servidor o agente de rel DHCP debe ser una interfaz VLAN de capa
3, Ethernet agregado o Ethernet de capa 3. El administrador de red configura las interfaces del cortafuegos con
los ajustes adecuados para cualquier combinacin de funciones. Las tareas de configuracin de cada funcin se
proporcionan en este documento.
Mensajes DHCP
DHCP usa ocho tipos de mensajes estndar, que se identifican mediante un nmero de tipo de opcin en el
mensaje DHCP. Por ejemplo, cuando un cliente quiere encontrar un servidor DHCP, difunde un mensaje
DHCPDISCOVER en su subred fsica local. Si no hay ningn servidor DHCP en su subred y si DHCP auxiliar
o un rel DHCP se configura adecuadamente, el mensaje se reenva a los servidores DHCP en una subred fsica
diferente. De lo contrario, el mensaje no avanzar ms all de la subred en la que se origina. Uno o ms
servidores DHCP respondern al mensaje DHCPOFFER que contienen una direccin de red disponible y otros
parmetros de configuracin.
Cuando el cliente necesita una direccin IP, enva un DHCPREQUEST a uno o ms servidores. Por supuesto,
si el cliente solicita una direccin IP, an no tiene una, por lo que RFC 2131 requiere que el mensaje de difusin
que enva el cliente tenga una direccin de origen de 0 en su encabezado IP.
Cuando un cliente solicita parmetros de configuracin desde un servidor, puede recibir respuestas de ms de
un servidor. Cuando un cliente ha recibido su direccin IP, se dice que el cliente tiene al menos una direccin
IP y posiblemente otros parmetros de configuracin vinculados a ella. Los servidores DHCP gestionan esa
vinculacin de parmetros de configuracin con los clientes.
La siguiente tabla enumera los mensajes de DHCP.
Mensaje DHCP
Descripcin
DHCPDISCOVER
El cliente realiza una difusin para buscar los servidores DHCP disponibles.
DHCPOFFER
DHCPREQUEST
Mensaje del cliente dirigido a uno o ms servidores para hacer algo de lo siguiente:
Solicitar los parmetros a un servidor y rechazar implcitamente ofertas de otros
servidores.
Confirmar que una direccin antes asignada es correcta, por ejemplo, un reinicio del
sistema.
Extender la concesin de una direccin de red.
DHCPACK
DHCPNAK
Reconocimiento negativo del servidor al cliente, que indica que el cliente comprende
que la direccin de red es incorrecta (por ejemplo, si el cliente se mueve a una subred
nueva) o que la concesin del cliente ha vencido.
DHCPDECLINE
Mensaje de cliente a servidor que indica que la direccin de red ya se est usando.
578
Integracin en la red
Redes
DHCP
Mensaje DHCP
Descripcin
DHCPRELEASE
DHCPINFORM
Direccin DHCP
Hay tres formas en que el servidor DHCP asigna o enva una direccin IP a un cliente.
Ubicacin automtica: El servidor DHCP asigna una direccin IP permanente a un cliente desde sus
Grupos de IP. En el cortafuegos, una Concesin que se especifique como Ilimitada significa que la ubicacin
es permanente.
Ubicacin dinmica: El servidor DHCP asigna una direccin IP reutilizable desde Grupos de IP de
direcciones a un cliente para un periodo mximo de tiempo, conocido como Concesin. Este mtodo de
asignacin de la direccin es til cuando el cliente tiene un nmero limitado de direcciones IP; pueden
asignarse a los clientes que necesitan solo un acceso temporal a la red. Consulte la seccin Concesiones
DHCP.
Asignacin esttica: El administrador de red selecciona la direccin IP para asignarla al cliente y el servidor
DHCP se la enva. La asignacin DHCP esttica es permanente; se realiza configurando un servidor DHCP
y seleccionando una Direccin reservada para que corresponda con la Direccin MAC del dispositivo cliente.
La asignacin DHCP contina en su lugar aunque el cliente cierre sesin, reinicie, sufra un corte de
alimentacin, etc.
La asignacin esttica de una direccin IP es til, por ejemplo, si tiene una impresora en una LAN y no desea
que su direccin IP siga cambiando porque se asocia con un nombre de impresora a travs de DNS. Otro
ejemplo es si el dispositivo cliente se usa para una funcin crucial y debe mantener la misma direccin IP
aunque el dispositivo se apague, desconecte, reinicie o sufra un corte de alimentacin, etc.
Tenga lo siguiente en cuenta cuando configure una Direccin reservada:
Si no configura ninguna Direccin reservada, los clientes del servidor recibirn nuevas asignaciones de
DHCP del grupo cuando sus concesiones venzan o si se reinician, etc. (a no ser que haya especificado
que una Concesin sea Ilimitada).
Si asigna todas las direcciones de Grupos IP como una Direccin reservada, no hay direcciones dinmicas
libres para asignarlas al siguiente cliente DHCP que solicite una direccin.
Puede configurar una Direccin reservada sin configurar una Direccin MAC. En este caso, el servidor
DHCP no asignar la Direccin reservada a ningn dispositivo. Puede reservar unas direcciones del
grupo y asignarlas estticamente a un fax e impresora, por ejemplo, sin usar DHCP.
Integracin en la red
579
DHCP
Redes
Concesiones DHCP
Una concesin se define como la duracin durante la que el servidor DHCP asigna a una direccin IP para un
cliente. La concesin puede extenderse (renovarse) en las solicitudes posteriores. Si el cliente ya no necesita la
direccin, puede liberarla en el servidor antes de que la concesin termine. El servidor es entonces libre de
asignar esa direccin a un cliente distinto, si ya se le han agotado las direcciones sin asignar.
El periodo de concesin configurado para un servidor DHCP se aplica a todas las direcciones que un servidor
DHCP nico (interfaz) asigna dinmicamente a sus clientes. Es decir, todas las direcciones de interfaz asignadas
dinmicamente tienen una duracin Ilimitada o el mismo valor de Tiempo de espera. Un servidor DHCP
diferente configurado en el cortafuegos puede tener un plazo de concesin distinto para sus clientes. Una
Direccin reservada es una asignacin de direccin esttica y no est sometida a esas condiciones de concesin.
Segn el estndar DHCP, RFC 2131, un cliente DHCP no espera a que la concesin venza, ya que se arriesga a
que se le asigne una nueva direccin. En su lugar, cuando un cliente DHCP alcanza el punto medio de su periodo
de concesin, intenta extenderla para conservar la misma direccin IP. As, la duracin de la concesin es como
una ventana corredera.
Por lo general, si se ha asignado una direccin IP a un dispositivo, y este se saca de la red sin prolongar su
concesin, el servidor dejar que esa concesin se agote. Como el cliente ha salido de la red y ya no necesita la
direccin, se alcanza la duracin de la concesin del servidor y la concesin pasa al estado Expirado.
El cortafuegos tiene un temporizador de espera que evita que la direccin IP expirada se reasigne
inmediatamente. Este sistema reserva temporalmente la direccin para el dispositivo en caso de que vuelva a la
red. Pero si el grupo de direcciones se queda sin direcciones, el servidor reubicar esta direccin expirada antes
de que se termine el temporizador de espera. Las direcciones expiradas se borran automticamente a medida
que los sistemas necesitan ms direcciones o cuando el temporizador de espera las libera.
En la CLI, use el comando operativo show dhcp server lease para ver la informacin de concesin
de las direcciones IP asignadas. Si no desea esperar a que las concesiones expiradas se liberen automticamente,
puede usar el comando clear dhcp lease interface value expired-only para borrar las
concesiones expiradas, hacindolas de nuevo disponibles en el grupo. Puede usar el comando clear dhcp
lease interface value ip ip para liberar una direccin IP concreta. Puede usar el comando clear
dhcp lease interface value mac direccin_mac para liberar una direccin MAC concreta.
Opciones de DHCP
La historia del DHCP y sus opciones DHCP se remonta al protocolo de arranque (BOOTP). Un host us
BOOTP para configurarse dinmicamente durante su procedimiento de arranque. El host reciba una direccin
IP y un archivo desde el que descargaba un programa de arranque desde un servidor, junto con la direccin del
servidor y la direccin de la puerta de enlace de Internet.
En el BOOTP inclua un campo de informacin del proveedor, que contena un nmero de campos etiquetados
con distintos tipos de informacin como la mscara de subred, el tamao del archivo BOOTP y muchos otros
valores. RFC 1497 describe las extensiones de informacin de proveedor BOOTP.
Estas extensiones llegan a expandirse con el uso de los parmetros de configuracin de host DHCP y DHCP,
conocidos como opciones. Al igual que las extensiones de proveedor, las opciones de DHCP son elementos de
datos etiquetados que proporcionan informacin a un cliente DHCP. La opciones se envan en un campo de
580
Integracin en la red
Redes
DHCP
longitud variable al final de un mensaje DHCP. Por ejemplo, el tipo de mensaje DHCP es la opcin 53, y un
valor de 1 indica un mensaje DHCPDISCOVER. Las opciones DHCP se definen en RFC 2132, las opciones
de DHCP y las extensiones de proveedores de BOOTP.
Un cliente DHCP puede negociar con el servidor, limitndolo a enviar solo esas opciones que solicita el cliente.
El cortafuegos de Palo Alto Networks admite un subconjunto de opciones DHCP estndar para su
implementacin del servidor DHCP. Dichas opciones se configuran en el servidor DHCP y se envan a los
clientes que envan una DHCPREQUEST al servidor. Se dice que los clientes heredan e implementan las
opciones que estn programados para aceptar. El cortafuegos admite las siguientes opciones predefinidas en sus
servidores DHCP, que se muestran en el orden en que aparecen en la pantalla de configuracin del servidor
DHCP:
Opcin de DHCP
51
Duracin de la concesin
Puerta de enlace
44
41
42
70
69
15
Sufijo DNS
El estndar DHCP, RFC 2131, se ha diseado para admitir direcciones IPv4 e IPv6. Las implementaciones
de Palo Alto Networks del servidor DHCP y el cliente DHCP solo admiten direcciones IPv4. Su
implementacin del rel DHCP admite IPv4 e IPv6.
El cortafuegos admite el servidor DHCPv4 y el rel DHCPv6. Sin embargo, una nica interfaz no admite el
servidor DHCPv4 y el rel DHCPv6.
Integracin en la red
581
DHCP
Redes
Realice la siguiente tarea para configurar una interfaz en el cortafuegos para que acte como servidor DHCP.
Puede configurar mltiples direcciones DHCP.
Configure una interfaz como servidor DHCP
Paso 1
1.
Seleccione Red > DHCP > Servidor DHCP y haga clic en Aadir.
2.
3.
4.
582
Integracin en la red
Redes
DHCP
Paso 2
Configure las Opciones de DHCP que el En la seccin Opciones, seleccione un tipo de Concesin.
servidor enva a sus clientes.
El ajuste Ilimitada provoca que el servidor seleccione
dinmicamente direcciones IP desde los Grupos IPy los asigne
de forma permanente a los clientes.
Tiempo de espera determina cunto durar esa concesin.
Introduzca el nmero de Das y Horas y, opcionalmente, el
nmero de Minutos.
Origen de herencia: Deje Ninguno o seleccione una interfaz de
cliente DHCP de origen o una interfaz de cliente PPPoE para
propagar distintos ajustes de servidor en el servidor de DHCP. Si
especifica un Origen de herencia, seleccione una o varias opciones
que desee como heredadas desde este origen.
Entre los beneficios de especificar un origen de herencia se
encuentra que rpidamente aade los opciones DHCP desde el
servidor de subida del cliente DHCP de origen. Tambin mantiene
actualizadas las opciones de cliente si el origen cambia una opcin.
Por ejemplo, si el origen sustituye a su servidor NTP (que se ha
identificado como el servidor NTP principal), el cliente heredar
automticamente la nueva direccin como su nuevo servidor NTP
principal.
Comprobar estado de origen de herencia: si ha seleccionado
Origen de herencia, al hacer clic en este enlace se abrir la ventana
Estado de interfaz de IP dinmica que muestra las opciones que
se han heredado desde el cliente DHCP.
Puerta de enlace: la direccin IP de la puerta de enlace de la red
(una interfaz en el cortafuegos) que se usa para llegar a cualquier
dispositivo que no est en la misma LAN que este servidor DHCP.
Subred de grupo de IP: Mscara de red que se aplica a las
direcciones del campo Grupos de IP.
Integracin en la red
583
DHCP
Redes
584
Integracin en la red
Redes
DHCP
Paso 4
Paso 5
Integracin en la red
585
DHCP
Redes
Paso 1
1.
2.
3.
4.
5.
6.
7.
Paso 2
Guarde la configuracin.
Paso 3
586
1.
2.
Integracin en la red
Redes
DHCP
Paso 1
Paso 2
Paso 3
Guarde la configuracin.
3.
4.
5.
Integracin en la red
587
DHCP
Redes
lease all
IPs in pool: 5. 20.0000% used
state
duration
lease_time
committed 0
Wed Jul 2 08:10:56 2014
Para ver las opciones que un servidor DHCP ha asignado a los clientes, use el siguiente comando:
admin@PA-200> show dhcp server settings all
Interface
GW
DNS1
DNS2
DNS-Suffix
Inherit source
------------------------------------------------------------------------------------ethernet1/2
192.168.3.1
10.43.2.10
10.44.2.10
ethernet1/3
admin@PA-200>
588
Integracin en la red
Redes
NAT
NAT
Esta seccin describe la traduccin de direcciones de red (NAT) y cmo configurar las reglas y funciones
de NAT.
Configuracin de NAT
Integracin en la red
589
NAT
Redes
En la entrada, el cortafuegos examina el paquete y enruta la bsqueda para determinar la interfaz de salida y la
zona. Entonces el cortafuegos determina si el paquete coincide con alguna de las reglas de NAT que se han
definido, basndose en la zona de origen o destino. A continuacin, evala y aplica las polticas de seguridad que
coincidan con el paquete basndose en las direcciones de origen y destino originales (anteriores a NAT), pero
en las zonas posteriores a NAT. Por ltimo, en la salida cuando una de las reglas NAT coincide, el cortafuegos
traduce las direcciones y nmeros de puerto de la fuente y el destino.
Tenga en cuenta que la traduccin de la direccin IP y el puerto no se produce hasta que el paquete sale del
cortafuegos. Las reglas y polticas de seguridad NAT se aplican a la direccin IP original (la direccin anterior a
NAT). Una regla NAT se configura en funcin de la zona asociada con una direccin IP anterior a NAT.
Las polticas de seguridad difieren de las reglas NAT en que examinan las zonas anteriores a NAT para
determinar si se permite o no el paquete. Como la naturaleza de NAT es modificar las direcciones IP de fuente
o destino, lo que puede provocar que se modifique la zona y la interfaz saliente del paquete, las polticas de
seguridad se aplican en la zona posterior a NAT.
NAT de origen
Los usuarios internos suelen usar el NAT de origen para acceder a Internet; la direccin de origen de traduce y
se mantienen en privado. Hay tres tipos de NAT de origen:
IP y puerto dinmico (DIPP): Permite que mltiples hosts traduzcan sus direcciones IP de origen a la
misma direccin IP pblica con distintos nmeros de puerto. La traduccin dinmica es a la siguiente
direccin disponible en el grupo de direcciones NAT, que configura como un grupo de Direccin traducida
para direccin IP, intervalo de direcciones, subred o combinacin de todas.
Como alternativa a la siguiente direccin en el grupo de direcciones NAT, el DIPP le permite especificar la
direccin de la propia Interfaz. La ventaja de especificar la interfaz de la regla NAT es que la regla NAT se
actualizar automticamente para utilizar cualquier direccin que adquiera la interfaz a continuacin.
DIPP tiene una ratio predeterminada de sobresuscripcin NAT, es decir, el nmero de ocasiones en las que
el mismo par de direccin IP y puerto traducido se pueden usar de forma simultnea. Para obtener ms
informacin, consulte Sobresuscripcin de NAT de IP dinmica y puerto y Modificacin de la ratio de
sobresuscripcin para NAT DIPP.
590
Integracin en la red
Redes
NAT
IP dinmica: Permite una traduccin dinmica 1 a 1 de una direccin IP de origen nicamente (sin nmero
de puerto) a la siguiente traduccin disponible en el grupo de direcciones NAT. Por defecto, si el grupo de
direcciones de origen es mayor que el de direcciones NAT y en un momento dado se asignan todas las
direcciones NAT, se descartan las nuevas conexiones que necesiten una traduccin de la direccin. El
comportamiento predeterminado puede cambiarse haciendo clic en Avanzado (IP dinmica/traduccin de
puerto), que provoca que se usen direcciones DIPP cuando sea necesario. En cualquiera de los dos casos, a
medida que las sesiones terminan y las direcciones en el grupo estn disponibles, pueden asignarse para
traducir nuevas conexiones.
IP esttica: Permite la traduccin esttica 1 a 1 de una direccin IP de origen, pero deja el puerto de origen
sin modificar. Una situacin comn en la que se traduce una IP esttica es un servidor interno que debe estar
disponible en Internet.
NAT de destino
El NAT de destino se realiza en los paquetes entrantes, cuando el cortafuegos traduce una direccin de destino
pblica a una privada. El NAT de destino no usa intervalos ni grupos de direcciones. Es una traduccin esttica
1 a 1 con la opcin de realizar reenvo o traduccin de puertos.
Un uso comn del NAT de destino es configurar varias reglas NAT que asignen una direccin de destino pblica
nica a varias direcciones de destino privadas a servidores o servicios. Por ejemplo:
Reenvo de puertos: Puede traducir una direccin de destino pblica y un nmero de puerto a una
direccin de destino privada, pero mantiene el mismo nmero de puerto.
Traduccin de puertos: Puede traducir una direccin de destino pblica y un nmero de puerto a una
direccin de destino privada y un nmero de puerto distinto, con lo que el nmero de puerto real es
privado. Se configura introduciendo un Puerto traducido en la pestaa Paquete traducido de la regla de
poltica de NAT.
Si se queda sin recursos de grupo no podr crear ms reglas NAT aunque no se haya alcanzado el recuento
mximo de reglas de la plataforma.
Si consolida las reglas NAT, los logs e informes se consolidarn tambin. Las estadsticas se proporcionan por
regla, no para todas las direcciones de la regla. Si necesita logs e informes granulares, no combine las reglas.
Integracin en la red
591
NAT
Redes
PA-200
PA-500
PA-2020
PA-2050
PA-3020
PA-3050
PA-3060
PA-4020
PA-4050
PA-4060
PA-5020
PA-5050
PA-5060
PA-7050
VM-100
VM-200
VM-300
VM-1000-HV
592
Integracin en la red
Redes
NAT
El cortafuegos admite un mximo de 256 direcciones IP traducidas por regla NAT, y cada plataforma admite un
nmero mximo de direcciones IP traducidas (para todas las reglas NAT combinadas). Si la sobresuscripcin provoca
que se supere el mximo de direcciones traducidas por regla (256), el cortafuegos reducir automticamente la tasa de
sobresuscripcin en un intento de que funcione la compilacin. Sin embargo, si sus reglas NAT generan traducciones
que superan el mximo de direcciones traducidas para la plataforma, la compilacin fallar.
Para las estadsticas de grupo NAT de un sistema virtual, el comando show running ippool tiene
comandos que indican el tamao de memoria usado por la regla NAT y la tasa de sobresuscripcin usada (para
reglas DIPP). La siguiente es una muestra de resultados del comando.
Un campo del resultado del comando show running nat-rule-ippool rule muestra la memoria
(bytes) usada por regla NAT. El siguiente es una ejemplo de resultados del comando con el uso de memoria de
la regla rodeado.
Integracin en la red
593
NAT
Redes
Configuracin de NAT
Realice las siguientes tareas para configurar varios aspectos del NAT.
El ejemplo de NAT de esta seccin se basa en la siguiente topologa, que tambin se usaba en Primeros pasos
para configurar interfaces y zonas:
Basndose en la topologa que utilizamos inicialmente en Primeros pasos para crear las interfaces y las zonas,
hay tres polticas NAT que necesitamos crear de la manera siguiente:
594
Integracin en la red
Redes
NAT
Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones 192.168.1.0
internas debern traducirse a direcciones enrutables pblicamente. En este caso, configuraremos NAT de
origen, utilizando la direccin de interfaz de salida, 203.0.113.100, como la direccin de origen en todos los
paquetes que salgan del cortafuegos desde la zona interna. Consulte Traduccin de direcciones IP de clientes
internos a su direccin IP pblica para obtener instrucciones.
Para permitir que los clientes de la red interna accedan al servidor web pblico en la zona DMZ,
necesitaremos configurar una regla NAT que redirija el paquete desde la red externa, donde la bsqueda de
tabla de enrutamiento original determinar que debe ir, basndose en la direccin de destino de 203.0.113.11
dentro del paquete, a la direccin real del servidor web de la red DMZ de 10.1.1.11. Para ello, deber crear
una regla NAT desde la zona fiable (donde se encuentra la direccin de origen del paquete) hasta la zona no
fiable (donde se encuentra la direccin de destino) para traducir la direccin de destino a una direccin de la
zona DMZ. Este tipo de NAT de destino se denomina NAT de ida y vuelta. Consulte Habilitacin de clientes
de la red interna para acceder a sus servidores pblicos para obtener instrucciones.
Para permitir que el servidor web (que tiene tanto una direccin IP privada en la red DMZ como una
direccin pblica para que accedan usuarios externos) enve y reciba solicitudes, el cortafuegos debe traducir
los paquetes entrantes desde la direccin IP pblica hacia la direccin IP privada y los paquetes salientes
desde la direccin IP privada hacia la direccin IP pblica. En el cortafuegos, puede conseguir esto con una
nica poltica NAT de origen esttico bidireccional. Consulte Habilitacin de la traduccin de direcciones
bidireccional para sus servidores pblicos.
Integracin en la red
595
NAT
Redes
Paso 1
1.
2.
3.
4.
596
Integracin en la red
Redes
NAT
Paso 2
Paso 3
Guarde la configuracin.
Integracin en la red
1.
2.
3.
4.
5.
6.
597
NAT
Redes
Paso 1
Paso 1
598
2.
3.
4.
1.
2.
3.
4.
Integracin en la red
Redes
NAT
Paso 2
Guarde la configuracin.
5.
6.
Paso 1
1.
2.
3.
4.
Integracin en la red
599
NAT
Redes
Paso 2
Paso 3
600
Guarde la configuracin.
1.
2.
3.
4.
5.
6.
7.
Integracin en la red
Redes
NAT
Paso 1
1.
Paso 2
1.
2.
3.
Paso 1
Paso 2
Guarde la configuracin.
Integracin en la red
1.
2.
3.
4.
5.
6.
601
LACP
Redes
LACP
El cortafuegos ahora puede usar el protocolo de control de adicin de enlaces (LACP) para detectar las
interfaces fsicas entre s mismo y un dispositivo conectado (Peer) y gestionar esas interfaces como una nica
interfaz virtual (grupo agregado). Un grupo de agregacin aumenta el ancho de banda entre peers. La activacin
de LACP ofrece redundancia en el grupo: el protocolo detecta automticamente los fallos de interfaz y realiza
una conmutacin por error para poner en espera las interfaces. Sin LACP, debe identificar manualmente los
fallos de interfaz que se producen en capas por encima de la fsica o se produzcan entre peers que no estn
conectados directamente.
Los siguientes cortafuegos de Palo Alto Networks admiten LACP: PA-500, serie PA-3000, serie PA-4000, serie
PA-5000 y PA-7050. Los cortafuegos admiten LACP para HA3 (solo en PA-500, las series PA-3000, las series
PA-4000 y PA-5000) y las interfaces de la capa 2 y 3.
Los siguientes temas describen LACP y cmo configurarlo para grupos de agregacin:
Ajustes LACP
Configuracin de LACP
Ajustes LACP
Para poder implementar LACP debe configurar un grupo de agregacin en cada peer LACP que vaya a usar el
protocolo. Antes de realizar el procedimiento Configuracin de LACP, determine los ajustes ptimos para cada
peer, tal y como se describe en los siguientes temas:
Modo
Velocidad de transmisin
Conmutacin rpida
Modo
En el modo activo LACP, un dispositivo busca activamente en la red peers y consulta su estado (no disponible
o sin respuesta). En modo pasivo, un dispositivo solo responde a las consultas de un peer activo. Entre dos peers,
se recomienda que uno sea activo y otro pasivo. LACP no puede funcionar si los dos peers son pasivos.
Velocidad de transmisin
Puede configurar un dispositivo para que detecte el estado (disponible o sin respuesta) de peers e interfaces
individuales a intervalos rpidos (cada segundo) o lentos (cada 30 segundos). Cuando el dispositivo no recibe
una actualizacin LACP desde el peer en un periodo tres veces superior a la velocidad de transmisin (3
segundos o 90 segundos), etiqueta el peer como sin respuesta. Por ello, debe definir la velocidad de transmisin
segn cunto procesamiento LACP puede admitir su red y la rapidez con la que un dispositivo puede detectar
y resolver fallos de interfaz.
602
Integracin en la red
Redes
LACP
Por ejemplo, en una red en la que los peers pueden tener muchos enlaces, un nico fallo de interfaz no interrumpira
el trfico. En este caso, una velocidad baja sera suficiente para detectar fallos y evitara el procesamiento adicional
asociado con una velocidad alta. Si la red puede admitir el procesamiento adicional y necesita una alta disponibilidad
(por ejemplo, para centros de datos que realizan operaciones comerciales crticas), una velocidad de transmisin alta
permitira que el cortafuegos sustituyera las interfaces con fallos ms rpidamente.
Si los dispositivos tienen distintas velocidades de transmisin, cada una usa la velocidad de su
peer.
Conmutacin rpida
Cuando una interfaz falla, realiza una conmutacin a una interfaz en espera. El estndar IEEE 802.1ax que
define LACP especifica un proceso de conmutacin de fallos que tarde al menos 3 segundos. Para redes que
requieran una conmutacin de fallos ms rpida, el cortafuegos ofrece la opcin de realizar una segunda
conmutacin de fallos en un segundo. La opcin se recomienda para implementaciones en las que pueden
perderse datos crticos durante el intervalo de conmutacin de fallos estndar. Por ejemplo, si la cantidad de
trfico entre peers se acerca al mximo que pueden admitir las interfaces activas, y una de las interfaces falla, el
riesgo de que se pierdan los datos hasta que una interfaz en espera se activa es considerablemente menor con la
conmutacin rpida que con la conmutacin por error normal.
Como ambos peers realizan una conmutacin por error cuando falla una interfaz, se recomienda
que configure una conmutacin por error rpida en ambos para que completen el proceso en el
mismo margen de tiempo.
Para habilitar LACP entre dos peers, cada uno requiere una configuracin de grupo de agregacin. Si los valores
de prioridad de puerto de las interfaces miembro difieren en cada peer, los valores del peer con mayor Prioridad
del sistema sobrescribirn al otro peer en la determinacin de interfaces activas y en espera.
Para las prioridades de puerto y sistema, el nivel de prioridad es inverso a su valor numrico: una prioridad de 1
designa el nivel de prioridad ms alto, mientras que el valor 65535 designa el nivel de menor prioridad. El valor
predeterminado es de 32768.
La siguiente ilustracin muestra una instancia de grupo de agregacin configurada en un cortafuegos y en un
conmutador. El grupo tiene cuatro interfaces y el parmetro Mximo nmero de puertos se define como tres.
Esto implica que hay tres interfaces activas y una en espera. El administrador del cortafuegos asigna las
prioridades de puerto 12, 64, 128 y 258 a las interfaces. El administrador conmutador asigna las prioridades de
puerto 22, 54, 158 y 258 a las interfaces. LACP usa las prioridades de puerto de la instancia de cortafuegos
porque la Prioridad del sistema del cortafuegos es mayor que la de su conmutador.
Integracin en la red
603
LACP
Redes
Se recomienda asignar una prioridad de sistema nica a cada peer. Sin embargo, en algunos casos los peers pueden
tener el mismo valor. Esto podra ocurrir si un administrador distinto ha configurado el grupo de agregacin a cada
peer. En esos casos, el peer para el que el ID del sistema es un valor numrico inferior al otro peer con respecto a las
prioridades de puerto. LACP deriva automticamente el ID de sistema de la prioridad de sistema y la direccin
MAC de sistema. Una direccin MAC numricamente inferior produce un ID de sistema numricamente inferior.
La siguiente cifra muestra los mismos peers que en Ilustracin: Prioridad de sistema LACP, pero con prioridades
de sistema idnticas. En este caso, LACP usa los ID de sistema para determinar la priorizacin de puerto; el
conmutador sobrescribe al cortafuegos.
Ilustracin: ID de sistema LACP
604
Integracin en la red
Redes
LACP
Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo valor de prioridad del sistema. Sin embargo,
en una implementacin activa/pasiva, el ID del sistema de cada uno puede ser igual o distinto, dependiendo de si
asigna o no la misma direccin MAC. (Los cortafuegos de una implementacin activa/activa requieren direcciones
MAC nicas, de forma que PAN-OS las asigne automticamente.) Cuando los peers del LACP (tambin en modo
de HA) se virtualizan (apareciendo para la red como un dispositivo nico), se recomienda seleccionar la opcin
Misma direccin MAC del sistema para modo Activo-Pasivo de HA para los cortafuegos para minimizar la latencia
durante la conmutacin por error. Cuando los peers del LACP no se virtualizan, usando la direccin MAC nica
de cada cortafuegos, se recomienda minimizar la latencia del fallo. En el ltimo caso, si el par de cortafuegos HA
y los dispositivos peer LACP tienen la misma prioridad de sistema en el par HA con un nico ID de sistema, un
cortafuegos puede tener un ID de sistema inferior a los peers LACP, mientras que otro tiene un ID de sistema ms
alto que los peers LACP. En este caso, cuando el fallo se produzca en los cortafuegos, la prioridad de puerto cambia
entre los peers del LACP y el cortafuegos que se activa.
Configuracin de LACP
Antes de empezar este procedimiento:
Determine qu interfaces fsicas se conectan con los peers LACP. Este procedimiento asume que el
cableado es completo.
Realice los siguientes pasos para configurar LACP en un cortafuegos. En una implementacin de alta
disponibilidad, configure el cortafuegos primario (activo/activo) o activa (activo/pasivo); el cortafuegos
secundario o pasivo se sincroniza automticamente.
Integracin en la red
605
LACP
Redes
Configuracin de LACP
Paso 1
1.
2.
3.
4.
5.
6.
7.
8.
9.
606
Integracin en la red
Redes
LACP
Paso 2
Realice los siguientes pasos para cada interfaz fsica (1-8) que
pertenecer al grupo de agregacin.
1.
2.
3.
4.
Paso 3
Paso 4
5.
6.
1.
2.
3.
4.
1.
3.
Integracin en la red
607
LACP
608
Redes
Integracin en la red
Poltica
Las polticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de poltica que puede
crear en el cortafuegos son: seguridad, NAT, calidad de servicio (QoS), reenvo basado en polticas (PFB),
descifrado, cancelacin de aplicaciones, portal cautivo, denegacin de servicio (DoS) y proteccin de zonas.
Todas estas diferentes polticas funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar,
descifrar, realizar excepciones, autenticar el acceso y restablecer conexiones segn sea necesario para ayudar a
proteger su red. Los siguientes temas describen cmo trabajar con polticas:
Tipos de polticas
Poltica de seguridad
Objetos de polticas
Perfiles de seguridad
Poltica
609
Tipos de polticas
Poltica
Tipos de polticas
El cortafuegos de prxima generacin de Palo Alto Networks admite diversos tipos de polticas que se
complementan mutuamente para habilitar aplicaciones en su red.
Tipo de poltica
Descripcin
Seguridad
NAT
QoS
Identifica el trfico que debera usar una interfaz de salida diferente a la que debera
usar segn la tabla de enrutamiento. Para obtener ms informacin, consulte Reenvo
basado en polticas.
Descifrado
Identifica el trfico que quiere inspeccionar para ganar visibilidad, control y seguridad
granular. Si desea informacin ms detallada, consulte Descifrado.
Cancelacin de aplicacin
Identifica sesiones que no quiere que procese el motor App-ID, lo cual es una
inspeccin de capa 7. El trfico que coincida con una poltica de cancelacin de
aplicacin obliga a que el cortafuegos gestione la sesin como un cortafuegos de
inspeccin de estado normal en la capa 4. Si desea informacin ms detallada, consulte
Gestin de aplicaciones personalizadas o desconocidas.
Portal cautivo
Identifica el trfico que requiere un usuario conocido. La poltica de portal cautivo solo
se activa si el resto de mecanismos User-ID no identificaron a un usuario para asociarlo
con la direccin IP de origen. Si desea informacin ms detallada, consulte Portal
cautivo.
610
Poltica
Poltica
Poltica de seguridad
Poltica de seguridad
Las polticas de seguridad protegen los activos de red frente a amenazas e interrupciones y ayudan a asignar de
manera ptima los recursos de red para mejorar la productividad y la eficacia en los procesos empresariales. En
el cortafuegos de Palo Alto Networks, las polticas de seguridad determinan si una sesin se bloquear o se
permitir basndose en atributos del trfico, como la zona de seguridad de origen y destino, la direccin IP de
origen y destino, la aplicacin, el usuario y el servicio.
Se buscan coincidencias entre todo el trfico que atraviesa el cortafuegos y una sesin, y entre cada sesin y una
poltica de seguridad. Cuando se encuentra una coincidencia, se aplica la poltica de seguridad al trfico
bidireccional (cliente a servidor y servidor a cliente) de esa sesin. Para el trfico que no coincide con ninguna
regla definida, se aplican las reglas predeterminadas. Las reglas predeterminadas (que aparecen en la parte
inferior de la base de reglas de seguridad) se predefinen para permitir todo el trfico de intrazona (en la zona) y
denegar el trfico interzona (entre zonas). Aunque estas reglas son parte de la configuracin predefinida y son
de solo lectura de forma predeterminada, puede cancelarlas y cambiar un nmero limitado de ajustes, incluidas
las etiquetas, accin (permitir o denegar) configuracin de log y perfiles de seguridad.
Las polticas de seguridad se evalan de izquierda a derecha y de arriba a abajo. Un paquete coincide con la
primera regla que cumpla los criterios definidos; despus de activar una coincidencia, las reglas posteriores no
se evalan. Por lo tanto, las reglas ms especficas deben preceder a las ms genricas para aplicar los mejores
criterios de coincidencia. El trfico que coincide con una regla genera una entrada de log al final de la sesin en
el log de trfico, si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla.
Por ejemplo, se pueden configurar para registrarse al inicio de una sesin en lugar o adems de registrarse al final
de una sesin.
Poltica
611
Poltica de seguridad
Poltica
Campos obligatorios
Campos opcionales
Campos obligatorios
Campo obligatorio
Descripcin
Nombre
Tipo de regla
Zona de origen
Zona de destino
Zona en la que termina el trfico. Si utiliza NAT, asegrese de hacer referencia siempre a la
zona posterior a NAT.
Aplicacin
Accin
Especifica una accin de permiso o denegacin para el trfico basndose en los criterios que
defina en la regla.
612
Poltica
Poltica
Poltica de seguridad
Campos opcionales
Campo opcional
Descripcin
Etiqueta
Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto es de utilidad cuando
ha definido muchas reglas y desea revisar las que estn etiquetadas con una palabra clave
especfica, por ejemplo Entrante en DMZ.
Descripcin
Direccin IP de origen
Direccin IP de destino
Ubicacin o destino del trfico. Si utiliza NAT, asegrese de hacer siempre referencia a las
direcciones IP originales del paquete (es decir, la direccin IP anterior a NAT).
Usuario
Usuario o grupo de usuarios a los que se aplica la poltica. Debe tener habilitado User-ID en
la zona. Para habilitar User-ID, consulte Descripcin general de User-ID.
Categora de URL
Servicio
Poltica
613
Poltica de seguridad
Poltica
Campo opcional
Descripcin (Continuacin)
Perfiles de seguridad
GlobalProtect)
Opciones
614
Le permite definir logs para la sesin, registrar ajustes de reenvo, cambiar marcas de calidad
de servicio (Quality of Service, QoS) de paquetes que coincidan con la regla y planificar
cundo (da y hora) debera ser efectiva la regla de seguridad.
Poltica
Poltica
Poltica de seguridad
Si tiene dos o ms zonas con requisitos de seguridad idnticos, combnelas en una regla de seguridad.
El orden de las reglas es crucial para garantizar los mejores criterios de coincidencia. Dado que la poltica
se evala de arriba a abajo, las polticas ms especficas deben preceder a las ms generales, de modo que
las reglas ms especficas no estn atenuadas. Esto quiere decir que una regla no se evala o se omite porque
se encuentra a un nivel ms bajo en la lista de polticas. Cuando la regla se sita ms abajo, no se evala
porque otra regla precedente cumple los criterios de coincidencia, impidiendo as la evaluacin de poltica
de la primera regla.
Para restringir y controlar el acceso a las aplicaciones entrantes, en la poltica de seguridad, defina
explcitamente el puerto al que escuchar el servicio/aplicacin.
El registro de reglas de permiso amplio (por ejemplo, acceso a servidores conocidos, como DNS) puede
generar mucho trfico. Por lo tanto, no se recomienda a no ser que sea absolutamente necesario.
De manera predeterminada, el cortafuegos crea una entrada de log al final de una sesin. Sin embargo,
puede modificar este comportamiento predeterminado y configurar el cortafuegos para que se registre al
inicio de la sesin. Debido a que esto aumentan significativamente el volumen de logs, el registro al inicio
de la sesin nicamente se recomienda cuando est solucionando un problema. Otra alternativa para
solucionar un problema sin habilitar el registro al inicio de la sesin es utilizar el explorador de sesin
(Supervisar > Explorador de sesin) para ver las sesiones en tiempo real.
Poltica
615
Objetos de polticas
Poltica
Objetos de polticas
Un objeto de poltica es un objeto nico o una unidad colectiva que agrupa identidades discretas, como
direcciones IP, URL, aplicaciones o usuarios. Con objetos de polticas que sean unidades colectivas, podr hacer
referencia al objeto en la poltica de seguridad en lugar de seleccionar manualmente varios objetos de uno en
uno. Por lo general, al crear un objeto de poltica, se agrupan objetos que requieran permisos similares en la
poltica. Por ejemplo, si su organizacin utiliza un conjunto de direcciones IP de servidor para autenticar
usuarios, podr agrupar el conjunto de direcciones IP de servidor como objeto de poltica de grupo de direcciones
y hacer referencia al grupo de direcciones en la poltica de seguridad. Al agrupar objetos, podr reducir
significativamente la carga administrativa al crear polticas.
Puede crear los siguientes objetos de polticas en el cortafuegos:
Objeto de poltica
Descripcin
Direccin/Grupo de
direcciones, Regin
Le permite crear una lista de usuarios desde la base de datos local o una base de datos
externa y agruparlos.
Grupo de aplicaciones y Filtro Un Filtro de aplicacin le permite filtrar aplicaciones dinmicamente. Le permite filtrar y
de aplicacin
guardar un grupo de aplicaciones mediante los atributos definidos en la base de datos
Le permite especificar los puertos de origen y destino y el protocolo que puede utilizar
un servicio. El cortafuegos incluye dos servicios predefinidos (servicio-http y
servicio-https) que utilizan los puertos 80 y 8080 de TCP para HTTP y el puerto 443
de TCP para HTTPS. Sin embargo, puede crear cualquier servicio personalizado en
cualquier puerto TCP/UDP de su eleccin para restringir el uso de la aplicacin a
puertos especficos de su red (dicho de otro modo, puede definir el puerto
predeterminado para la aplicacin).
Para ver los puertos estndar utilizados por una aplicacin, en Objetos >
Aplicaciones, busque la aplicacin y haga clic en el enlace. Aparecer una
descripcin concisa.
616
Poltica
Poltica
Perfiles de seguridad
Perfiles de seguridad
Mientras que con las polticas de seguridad puede permitir o denegar el trfico en su red, los perfiles de seguridad
le ayudan a definir una regla de permiso con exploracin, que explora las aplicaciones permitidas en busca de
amenazas, tales como virus, software malintencionado, spyware y ataques DDOS. Cuando el trfico coincida
con la regla de permiso definida en la poltica de seguridad, los perfiles de seguridad vinculados a la regla se
aplicarn para reglas de inspeccin de contenido adicionales, como comprobaciones antivirus y filtrado de datos.
Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de trfico. El
perfil de seguridad se aplica para explorar el trfico despus de que la poltica de seguridad
permita la aplicacin o categora.
El cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Configuracin de polticas de seguridad bsicas para
obtener informacin sobre el uso de los perfiles predeterminados de su poltica de seguridad. Cuando
comprenda mejor las necesidades de seguridad de su red, podr crear perfiles personalizados. Consulte
Exploracin del trfico en busca de amenazas para obtener ms informacin.
Puede aadir perfiles de seguridad que se aplican habitualmente juntos a un grupo de perfil de seguridad; este
conjunto de perfiles se puede tratar como una unidad y aadirlo a las polticas de seguridad en un solo paso (o
incluirlo en polticas de seguridad de manera predeterminada, si opta por configurar un grupo de perfiles de
seguridad predeterminado).
Los siguientes temas ofrecen informacin ms detallada acerca de cada tipo de perfil de seguridad y sobre cmo
configurar un grupo de perfiles de seguridad.
Perfiles de antivirus
Perfiles de antispyware
Poltica
617
Perfiles de seguridad
Poltica
Perfiles de antivirus
Los perfiles de antivirus protegen contra virus, gusanos, troyanos y descargas de spyware. Al usar un motor de
prevencin contra software malintencionado basado en secuencias, que analiza el trfico nada ms recibir el
primer paquete, la solucin antivirus Palo Alto Networks puede ofrecer proteccin para clientes sin que esto
tenga un impacto significativo en el rendimiento del cortafuegos. Este perfil analizar una gran variedad de
software malintencionado en archivos ejecutables, PDF, HTML y virus JavaScript, incluida la compatibilidad
con el anlisis dentro de archivos comprimidos y esquemas de codificacin de datos. Si ha habilitado Descifrado
en el cortafuegos, el perfil tambin habilita el anlisis de contenido cifrado.
El perfil predeterminado inspecciona todos los descodificadores de protocolos enumerados para virus y genera
alertas para protocolos SMTP, IMAP y POP3 al tiempo que bloquea protocolos FTP, HTTP y SMB. Los perfiles
personalizados se pueden utilizar para minimizar la exploracin antivirus para el trfico entre zonas de seguridad
fiables y para maximizar la inspeccin o el trfico recibido de zonas no fiables, como Internet, as como el trfico
enviado a destinos altamente sensibles, como granjas de servidores.
El sistema WildFire de Palo Alto Networks tambin ofrece firmas para amenazas persistentes ms evasivas y
que todava no han sido descubiertas por otras soluciones de antivirus. A medida que WildFire detecta
amenazas, se van creando las firmas rpidamente y despus se integran en las firmas de antivirus estndar que
los suscriptores de prevencin de amenazas pueden descargar todos los das (o cada hora o menos en el caso de
suscriptores de WildFire).
618
Poltica
Poltica
Perfiles de seguridad
Perfiles de antispyware
Los perfiles de antispyware impiden que el spyware intente realizar llamadas a casa o balizamiento a servidores
externos de comando y control (C2) en hosts comprometidos, lo que le permite detectar el trfico
malintencionado que sale de la red desde clientes infectados. Puede aplicar diversos niveles de proteccin entre
zonas. Por ejemplo, tal vez desee tener perfiles antispyware personalizados que reduzcan al mnimo la inspeccin
entre zonas fiables y amplan al mximo la inspeccin del trfico procedente de una zona no fiable, como zonas
de Internet.
Puede definir sus propios perfiles antispyware, o bien elegir uno de los siguientes perfiles predefinidos al aplicar
antispyware a una poltica de seguridad:
Predeterminado:
Usa la accin predeterminada para cada firma, tal como especifica Palo Alto Networks al
crear la firma.
Estricto: Anula
Asimismo, puede habilitar la Sinkholing de DNS en perfiles de antispyware para que el cortafuegos genere una
respuesta errnea a una consulta DNS para un dominio malintencionado conocido, haciendo que el nombre de
dominio malintencionado se resuelva en una direccin IP que usted defina. Esta funcin ayuda a identificar
hosts infectados en la red protegida usando trfico DNS. De este modo, los hosts infectados pueden
identificarse fcilmente en los logs de trfico y amenazas porque cualquier host que intente conectarse a la
direccin IP sinkhole est infectado casi con toda seguridad con software malintencionado.
Los perfiles de proteccin contra vulnerabilidades y antispyware se configuran de forma similar.
Poltica
619
Perfiles de seguridad
Poltica
620
Poltica
Poltica
Perfiles de seguridad
Poltica
621
Perfiles de seguridad
Poltica
CC# (tarjeta de crdito): Identifica nmeros de tarjetas de crdito usando un algoritmo de hash. El
contenido debe coincidir con el algoritmo de hash para detectar los datos como un nmero de tarjeta de
crdito. Este mtodo reduce los falsos positivos.
SSN# (nmero de la seguridad social): Usa un algoritmo para detectar los nueve dgitos, independientemente
del formato. Hay dos campos: SSN# y SSN# (sin guin).
622
Poltica
Poltica
Perfiles de seguridad
Alertar : Cuando
Bloquear :
Continuar : Cuando se detecta el tipo de archivo especificado, se presenta al usuario una pgina de respuesta
personalizable. El usuario puede hacer clic en la pgina para descargar el archivo. Tambin se genera un log
en el log de filtrado de datos. Dado que este tipo de accin de reenvo requiere la interaccin del usuario,
solo se aplica al trfico web.
Reenviar : Cuando se detecta el tipo de archivo especificado, se enva a WildFire para analizarlo. Tambin se
Continuar y reenviar: Cuando se detecta el tipo de archivo especificado, se presenta al usuario una pgina de
continuacin personalizable. El usuario puede hacer clic en la pgina para descargar el archivo. Si el usuario
hace clic en la pgina de continuacin para descargar el archivo, el archivo se enva a WildFire para analizarlo.
Tambin se genera un log en el log de filtrado de datos.
Poltica
623
Perfiles de seguridad
Poltica
Proteccin contra inundaciones: Detecta y evita los ataques en los que la red est inundada con paquetes
y esto provoca que haya muchas sesiones a medio abrir o servicios que no pueden responder a cada solicitud.
En este caso la direccin de origen del ataque suele estar falsificada.
Proteccin de recursos: Detecta y previene los ataques de agotamiento por sesiones. En este tipo de
ataque, se usa un gran nmero de hosts (bots) para establecer el mayor nmero posible de sesiones completas
para consumir todos los recursos del sistema.
Puede habilitar ambos tipos de mecanismos de proteccin en un nico perfil de proteccin DoS.
El perfil DoS se usa para especificar el tipo de accin que se llevar a cabo y los detalles de los criterios de
coincidencia para la poltica DoS. El perfil DoS define ajustes para inundaciones de ICMP, SYN y UDP, puede
habilitar la proteccin de recursos y define el nmero mximo de conexiones simultneas. Una vez configurado
el perfil de proteccin DoS, agrguelo a una poltica DoS.
Al configurar proteccin DoS, es importante analizar su entorno para establecer los umbrales correctos y,
debido a algunas de las complejidades para definir las polticas de proteccin DoS, esta gua no ofrece ejemplos
detallados. Para obtener ms informacin, consulte Threat Prevention Tech Note (en ingls).
624
Poltica
Poltica
Perfiles de seguridad
Poltica
625
Perfiles de seguridad
Poltica
Paso 1
626
1.
2.
3.
4.
5.
Poltica
Poltica
Perfiles de seguridad
Paso 2
Paso 3
2.
3.
4.
5.
Poltica
627
Perfiles de seguridad
Poltica
1.
2.
3.
4.
5.
6.
7.
8.
9.
628
Poltica
Poltica
Perfiles de seguridad
1.
2.
3.
4.
Poltica
629
Poltica
630
Poltica
Poltica
Tras enviar las reglas desde Panorama, consulte la lista completa de reglas con nmeros en el dispositivo gestionado.
Desde la interfaz web del dispositivo gestionado, seleccione Polticas y elija cualquier base de reglas debajo de la misma.
Por ejemplo, seleccione Polticas > Seguridad y vea el conjunto completo de las reglas numeradas que se evaluarn en
el dispositivo.
Poltica
631
Poltica
Paso 1
Crear etiquetas
1.
2.
Para etiquetar una zona, debe
crear una etiqueta con el mismo
nombre que la zona. Cuando la
zona est incluida en reglas de la 3.
poltica, el color de la etiqueta se
muestra automticamente como el 4.
color de fondo en contraste con el
nombre de la zona.
632
5.
6.
Poltica
Poltica
Paso 2
Paso 3
1.
2.
Haga clic en Aadir para crear una regla de poltica y use los
objetos etiquetados que ha creado en el Paso 1.
3.
Poltica
633
Poltica
Tras aplicar el filtro de bsqueda, la base de reglas ahora solo muestra reglas de polticas de seguridad con el
perfil de seguridad BloquearTodo incluido del siguiente modo:
634
Poltica
Poltica
Tras aplicar el filtro de bsqueda, la base de reglas ahora solo muestra reglas de polticas de seguridad con el
perfil de seguridad bloquear software malintencionado incluido del siguiente modo:
Poltica
635
Poltica
636
Poltica
Poltica
Poltica
637
Poltica
638
Poltica
Poltica
De forma similar, para ver todas las reglas de polticas que generan logs al inicio de una sesin, puede filtrar la
base de reglas usando el filtro:
log-start eq yes
Poltica
639
Poltica
640
Poltica
Poltica
Poltica
641
Poltica
Si aade comentarios, deben incluirse en la misma lnea que la direccin/intervalo/subred IP. El espacio al
final de la direccin IP es el delimitador que separa un comentario de la direccin IP.
Por ejemplo:
192.168.20.10/32
2001:db8:123:1::1 #direccin IPv6 de prueba
192.168.20.0/24 ; subred interna de prueba
2001:db8:123:1::/64 intervalo de IPv6 interno de prueba
192.168.20.40-192.168.20.50
Para una direccin IP bloqueada, puede mostrar una pgina de notificacin solo si el protocolo
es HTTP.
Paso 1
642
1.
Poltica
Poltica
Paso 2
Paso 3
Paso 4
1.
2.
3.
4.
5.
6.
7.
1.
Usar la lista de bloque dinmico como
objeto de direccin de origen o destino en 2.
la poltica
7.
8.
9.
2.
3.
Poltica
643
Poltica
Para ver una lista de direcciones IP que el cortafuegos ha recuperado del servidor web, introduzca el siguiente comando
de la CLI:
request system external-list show name <nombre>
Por ejemplo, para una lista con el nombre DBL_2014, el resultado es:
vsys1/DBL_2014:
Prxima actualizacin el: Mircoles 27 de agosto 16:00:00 2014
IP:
1.1.1.1
1.2.2.2/20 #prueba China
192.168.255.0; prueba interna
192.168.254.0/24 prueba de intervalo interno
1.
2.
Obtenga el ID de trabajo para el trabajo actualizado usando el comando de la CLI: show jobs all
Busque el ltimo trabajo EBL Refresh en la lista
3.
Consulte los detalles del ID de trabajo. Use el comando show jobs id <nmero>
Aparecer un mensaje para indicar si se ha realizado correcta o incorrectamente. Por ejemplo:
admin@PA-200> show jobs id 55
En cola
ID
Tipo
Estado Resultado Completado
-------------------------------------------------------------------------2014/08/26 15:34:14
55
EBLRefresh
FIN
ACEPTAR 15:34:40
Advertencias:
Detalles:
644
Poltica
Poltica
Agente User-ID para Windows: En un entorno donde ha implementado el agente User-ID, puede habilitar
el agente User-ID para supervisar 100 servidores VMware ESXi o vCenter. Al asignar o modificar mquinas
virtuales en estos servidores VMware, el agente puede recuperar los cambios de direcciones IP y
compartirlos con el cortafuegos.
Orgenes de informacin de VM: Le permite supervisar los servidores VMware ESXi y vCenter, as como
AWS-VPC para recuperar las direcciones IP cuando asigna o modifica mquinas virtuales en estos orgenes.
Orgenes de informacin de VM sondea en busca de un conjunto predefinido de atributos y no requiere
secuencias de comandos externas para registrar las direcciones IP a travs de la API XML. Consulte
Supervisin de cambios en el entorno virtual.
VMware Service Manager (disponible solo para la solucin NSX integrada): La solucin NSX integrada
est diseada para la asignacin y distribucin automticas de servicios de Palo Alto Networks de nueva
generacin y ofrecer polticas de seguridad dinmicas basadas en contexto mediante Panorama. NSX
Manager actualiza Panorama con la informacin ms reciente de las etiquetas y direcciones IP asociadas a
las mquinas virtuales implementadas en esta solucin integrada. Para obtener informacin sobre esta
solucin, consulte Set Up a VM-Series NSX Edition Firewall (Configuracin de un cortafuegos VM-Series
NSX Edition).
API XML: El cortafuegos y Panorama admiten una API XML que use solicitudes HTTP estndar para
enviar y recibir datos. Puede usar esta API para registrar direcciones IP y etiquetas en el cortafuegos o
Panorama. Las llamadas de la API se pueden realizar directamente desde utilidades de lneas de comando
como cURL o usando cualquier marco de secuencias de comandos o aplicaciones compatible con servicios
basados en REST. Consulte PAN-OS XML API Usage Guide (en ingls) para obtener ms informacin.
Para obtener informacin sobre cmo crear y usar grupos de direcciones dinmicas, consulte Uso de grupos de
direcciones dinmicas en polticas.
Para consultar los comandos de la CLI para el registro dinmico de etiquetas, consulte Comandos de la CLI para
etiquetas y direcciones IP.
Poltica
645
Poltica
646
Poltica
Poltica
Poltica
647
Poltica
Paso 1
2.
648
Poltica
Poltica
Paso 2
conectado.
Poltica
649
Poltica
UUID
Arquitectura
Nombre
ID de imagen
ID de instancia
Anotacin
Estado de instancia
Versin
Tipo de instancia
Red: nombre del conmutador virtual, nombre del grupo de Nombre de clave
puerto e ID de VLAN
Nombre del contenedor: nombre de vCenter, nombre del Colocacin: arrendamiento, nombre de grupo, zona de
objeto del centro de datos, nombre del grupo de recursos,
disponibilidad
nombre del clster, host, direccin IP del host.
Nombre de DNS privado
Nombre de DNS pblico
ID de subred
Etiqueta (clave, valor) (se admiten hasta 5 etiquetas por
instancia)
ID de VPC
650
Poltica
Poltica
100.000
PA-5050
50.000
PA-5020
25.000
5000
1000
El siguiente ejemplo muestra cmo los grupos de direcciones dinmicas pueden simplificar el forzaje de
seguridad de la red. El flujo de trabajo de ejemplo muestra cmo:
Habilitar el agente de supervisin VM en el cortafuegos para supervisar el host VMware ESX(i) o el servidor
vCenter y registrar las direcciones IP de la VM y las etiquetas asociadas.
Crear grupos de direcciones dinmicas y definir etiquetas para el filtro. En este ejemplo se han creado dos
grupos de direcciones. Uno que solo filtra por etiquetas dinmicas y otro que filtra por etiquetas tanto
estticas como dinmicas para aadir los miembros del grupo.
Comprobar que los miembros del grupo de direcciones dinmicas se han aadido al cortafuegos.
Poltica
651
Poltica
Usar grupos de direcciones dinmicas en la poltica. Este ejemplo usa dos polticas de seguridad diferentes:
Una poltica de seguridad para todos los servidores Linux que se implementan como servidores FTP;
esta regla busca coincidencias con las etiquetas registradas dinmicamente.
Una poltica de seguridad para todos los servidores Linux que se implementan como servidores; esta
regla busca coincidencias con el grupo de direcciones dinmicas que usa etiquetas estticas y dinmicas.
Comprobar que los miembros de los grupos de direcciones dinmicas estn actualizados como nuevos
servidores FTP o que se implementan servidores web. De este modo se garantiza que se fuercen las reglas
de seguridad tambin en estas nuevas mquinas virtuales.
Paso 1
Paso 2
3.
4.
5.
6.
Los criterios de coincidencia para cada grupo de direcciones dinmicas en este ejemplo son los siguientes:
ftp_server: coincidencias en el sistema operativo invitado Linux 64-bit y anotado como ftp ('guestos.Ubuntu Linux
64-bit' y 'annotation.ftp').
web-servers: coincidencias en dos criterios: la etiqueta negra o si el sistema operativo invitado es Linux 64 bits y el nombre
del servidor es Web_server_Corp. ('guestos.Ubuntu Linux 64-bit' y 'vmname.WebServer_Corp' o 'black')
652
Poltica
Poltica
Paso 3
3.
4.
5.
6.
7.
8.
Este ejemplo muestra cmo crear dos polticas: una para todo el acceso a los servidores FTP y otro para el acceso a los
servidores web.
Paso 4
3.
Poltica
653
Poltica
Comando de la CLI
IP registrada
Etiquetas
----------------------------- ----------------fe80::20c:29ff:fe69:2f76
"state.poweredOn"
10.1.22.100
"state.poweredOn"
2001:1890:12f2:11:20c:29ff:fe69:2f76
"state.poweredOn"
fe80::20c:29ff:fe69:2f80
"state.poweredOn"
192.168.1.102
"state.poweredOn"
10.1.22.105
"state.poweredOn"
2001:1890:12f2:11:2cf8:77a9:5435:c0d
"state.poweredOn"
fe80::2cf8:77a9:5435:c0d
"state.poweredOn"
Mostrar direcciones IP registradas desde todos los show object registered-ip all
orgenes
Mostrar el recuento de direcciones IP registradas
desde todos los orgenes
654
Poltica
Poltica
Ejemplo
Comando de la CLI
Ver todas las etiquetas registradas desde un origen show vm-monitor source source-name vmware1
tag all
de informacin especfico
vlanId.4095
vswitch.vSwitch1
host-ip.10.1.5.22
portgroup.TOBEUSED
hostname.panserver22
portgroup.VM Network 2
datacenter.ha-datacenter
vlanId.0
state.poweredOn
vswitch.vSwitch0
vmname.Ubuntu22-100
vmname.win2k8-22-105
resource-pool.Resources
vswitch.vSwitch2
guestos.Ubuntu Linux 32-bit
guestos.Microsoft Windows Server 2008 32-bit
annotation.
version.vmx-08
portgroup.VM Network
vm-info-source.vmware1
uuid.564d362c-11cd-b27f-271f-c361604dfad7
uuid.564dd337-677a-eb8d-47db-293bd6692f76
Total: 22
Ver todas las etiquetas registradas desde un origen Para ver etiquetas registradas desde la CLI:
de datos especfico, por ejemplo, desde el agente de
show log iptag datasource_type equal unknown
supervisin de VM en el cortafuegos, la API XML,
Para ver etiquetas registradas desde la API XML:
el agente de User-ID de Windows o la CLI
show log iptag datasource_type equal xml-api
Para ver etiquetas registradas desde orgenes de informacin de
VM:
show log iptag datasource_type equal vm-monitor
Para ver etiquetas registradas desde el agente User-ID de Windows:
show log iptag datasource_type equal xml-api
datasource_subtype equal user-id-agent
Ver todas las etiquetas registradas para una
direccin IP especfica (en todos orgenes).
Poltica
655
Poltica
Paso 1
1.
Habilitar el registro de campos
x-forwarded a los logs de filtrado de URL 2.
Este valor ser la direccin IP del cliente
que origin la solicitud o la direccin IP
del ltimo servidor proxy que proces esa
solicitud en una cadena de proxies.
Paso 2
656
1.
2.
Poltica
Poltica
1.
2.
Aada un nuevo perfil e introduzca un nombre descriptivo, o bien seleccione un perfil existente (excepto el
En la pestaa Categoras, defina cmo controlar el acceso al contenido web. En cada categora para la que quiera
visibilidad o que quiera controlar, seleccione un valor en la columna Accin de la siguiente forma:
Si no se preocupa por el trfico a una categora concreta (es decir, que no quiere bloquear ni registrar),
seleccione Permitir.
Para tener visibilidad del trfico de los sitios de una categora, seleccione Alerta.
Para denegar el acceso al trfico que coincide con la categora y registrar en logs el trfico bloqueado,
seleccione Bloquear.
4.
En la pestaa Configuracin, seleccione la casilla de verificacin X-Forwarded-For para habilitar el registro del
valor x-forwarded-for en el log de filtrado de URL.
5.
6.
Poltica
657
Poltica
PBF
658
Poltica
Poltica
PBF
Las reglas PBF permiten al trfico tomar una ruta alternativa desde el siguiente salto especificado en la tabla de
enrutamiento, y se suelen usar para especificar una interfaz de salida por razones de seguridad o rendimiento.
Imaginemos que su empresa tiene dos enlaces entre la oficina corporativa y la sucursal: un enlace de Internet de
bajo coste y una lnea alquilada de mayor coste. La lnea alquilada es un enlace de gran ancho de banda y baja
latencia. Para una mayor seguridad, puede usar la PBF para enviar aplicaciones que no son de trfico cifrado,
como el trfico FTP, a travs de la lnea de alquiler privada y el resto del trfico a travs del enlace de Internet.
O bien, si se da prioridad al rendimiento, puede elegir enrutar las aplicaciones crticas para la empresa a travs
de la lnea alquilada y enviar el resto del trfico, como la navegacin web, a travs del enlace de bajo coste.
Poltica
659
Poltica
Supervisin de rutas
La supervisin de rutas le permite verificar la conectividad a una direccin IP, de modo que el cortafuegos pueda
dirigir el trfico a travs de una ruta alternativa en caso necesario. El cortafuegos usa pings ICMP como latidos
para comprobar que se puede alcanzar la direccin IP especificada.
Un perfil de supervisin permite especificar el nmero de latidos (umbral) para determinar si se puede alcanzar
la direccin IP. Si no se puede alcanzar la direccin IP supervisada, puede deshabilitar la regla PBF o especificar
una accin de conmutacin por error o esperar recuperacin. Deshabilitar la regla PBF permite al enrutador virtual
tomar el control de las decisiones de enrutamiento.
La siguiente tabla enumera las diferencias de comportamiento ante un fallo de supervisin de ruta en una nueva
sesin frente a una sesin establecida.
Comportamiento de una
sesin en un fallo de
supervisin
660
Poltica
Poltica
Ms an, las aplicaciones tienen dependencias y la identidad de la aplicacin puede cambiar a medida que el
cortafuegos va recibiendo ms paquetes. Puesto que PBF toma una decisin de ruta al inicio de la sesin, el
cortafuegos no puede forzar un cambio en la identidad de la aplicacin. YouTube, por ejemplo, comienza como
navegacin web pero cambia a Flash, RTSP o YouTube en funcin de los diferentes enlaces y vdeos incluidos
en la pgina. No obstante, con PBF, dado que el cortafuegos identifica la aplicacin como navegacin web al
inicio de la sesin, el cambio de la aplicacin no se reconoce a partir de ese momento.
Las reglas PBF no se pueden basar en nombres de dominio; solo las direcciones IP son vlidas; asimismo, no puede usar
aplicaciones predeterminadas, filtros de aplicacin o grupos de aplicacin en reglas PBF.
Poltica
661
Poltica
Paso 1
1.
4.
662
Poltica
Poltica
5.
Paso 2
Poltica
663
Poltica
Habilite una regla PBF que enrute el trfico a travs del ISP principal y aada un perfil de supervisin a la
regla. El perfil de supervisin activa el cortafuegos para que use la ruta predeterminada a travs de un ISP
de reserva cuando el principal no est disponible.
Defina las reglas NAT de origen tanto para el ISP principal como el de reserva que indican al cortafuegos
que use la direccin IP de origen asociada con la interfaz de salida para el ISP correspondiente. De este modo
se garantiza que el trfico saliente tiene la direccin IP de salida correcta.
Aada una ruta esttica al ISP de reserva, de modo que cuando el ISP principal no est disponible, entre en
vigor la ruta predeterminada y el trfico se dirija a travs del ISP de reserva.
664
Poltica
Poltica
Paso 1
1.
Poltica
665
Poltica
Paso 2
666
1.
2.
3.
4.
5.
Poltica
Poltica
Paso 3
5.
Poltica
667
Poltica
668
Poltica
Poltica
Paso 4
Poltica
669
Poltica
Paso 5
3.
4.
5.
6.
7.
Paso 6
670
Poltica
Poltica
Paso 7
2.
3.
Para confirmar que la regla PBF est activa, use el comando CLI
show pbf rule all
admin@PA-NGFW> show pbf rule all
Regla
ID
Estado de regla Accin IF/VSYS de salida
Siguiente salto
========== === ========== ====== ============== =======
Usar ISP-Pr 1
Activa
Reenvo ethernet1/1
1.1.1.1
Paso 8
1.
Compruebe que se produce la
conmutacin por error al ISP de reserva y 2.
que la NAT de origen se aplica
correctamente.
3.
Poltica
671
Poltica
4.
5.
87212
c2s flow:
source:
dst:
proto:
sport:
state:
src user:
dst user:
192.168.54.56 [Trust]
204.79.197.200
6
53236
dport:
ACTIVE
type:
desconocido
desconocido
443
FLOW
s2c flow:
source:
204.79.197.200 [ISP-East]
dst:
2.2.2.2
proto:
6
sport:
443
dport:
12896
state:
ACTIVE
type:
FLOW
src user:
desconocido
dst user:
desconocido
start time
: Wed Nov5 11:16:10 2014
timeout
: 1800 sec
time to live
: 1757 sec
total byte count(c2s)
: 1918
total byte count(s2c)
: 4333
layer7 packet count(c2s)
: 10
layer7 packet count(s2c)
: 7
vsys
: vsys1
application
: ssl
rule
: Trust2ISP
session to be logged at end
: True
session in session ager
: True
session synced from HA peer
: False
address/port translation
: source
nat-rule
: NAT-Backup ISP(vsys1)
layer7 processing
: enabled
URL filtering enabled
: True
URL category
: search-engines
session via syn-cookies
: False
session terminated on host
: False
session traverses tunnel
: False
captive portal session
: False
ingress interface
: ethernet1/2
egress interface
: ethernet1/3
session QoS rule
: N/A (class 4)
672
Poltica
Sistemas virtuales
Este tema describe los sistemas virtuales, sus beneficios, los casos de uso tpicos y cmo configurarlos. Esto
ofrece enlaces a los otros temas donde los sistemas virtuales se documentan cuando actan con otras funciones.
Sistemas virtuales
673
Sistemas virtuales
Un sistema virtual se compone de un conjunto de interfaces y subinterfaces fsicas y lgicas (que incluyen
VLAN y cables virtuales), enrutadores virtuales y zonas de seguridad. Puede seleccionar el modo de
implementacin (cualquier combinacin de cable virtual, capa 2 o capa 3) de cada sistema virtual. Puede usar
los sistemas virtuales para segmentar cualquiera de los siguientes elementos:
Acceso administrativo
La gestin de todas las polticas (seguridad, NAT, QoS, reenvo segn polticas, descifrado, sobrescritura de
aplicaciones, portal cautivo y proteccin contra ataques por denegacin de servicio)
Todos los objetos (como objetos de direcciones, grupos y filtros de aplicaciones, listas de bloques dinmicos,
perfiles de seguridad, perfiles de descripcin, objetos personalizados, etc.)
674
Sistemas virtuales
Sistemas virtuales
User-ID
Gestin de certificados
Perfiles de servidores
Los sistemas virtuales afectan a las funciones de seguridad del cortafuegos, pero por s solos no afectan a las
funciones de red como el enrutamiento esttico y dinmico. Puede segmentar el enrutamiento de cada sistema
virtual creando uno o ms enrutadores virtuales para cada sistema virtual, como en los siguientes casos de uso:
Si tiene sistemas virtuales para los departamentos de una organizacin y el trfico de red de todos los
departamentos est en una red comn, puede crear un nico enrutador virtual para mltiples sistemas virtuales.
Si desea segmentar el enrutamiento y el trfico de cada sistema virtual debe aislarse de los dems sistemas,
puede crear uno o ms enrutadores virtuales para cada sistema virtual.
Flexibilidad: Una vez configurado el cortafuegos fsico, la adicin o eliminacin de clientes o unidades
comerciales puede realizarse con eficiencia. Un ISP, o proveedor de servicios de seguridad gestionados, y una
empresa pueden ofrecer distintos servicios de seguridad a cada cliente.
Reduccin del capital y los gastos operativos: Los sistemas virtuales eliminan la necesidad de tener
mltiples cortafuegos fsicos en una misma ubicacin, ya que los sistemas virtuales coexisten en el mismo
cortafuegos. Al no tener que adquirir mltiples cortafuegos, una organizacin puede ahorrar en gastos de
hardware, consumo elctrico y espacio en los racks, y puede reducir los gastos de gestin y mantenimiento.
Sistemas virtuales
675
Sistemas virtuales
Para admitir mltiples sistemas virtuales en cortafuegos de las series PA-2000 o PA-3000.
Si desea informacin sobre la licencia, consulte Activacin de la licencia y suscripciones. Para ver el nmero base
y mximo de sistemas virtuales admitidos, consulte la herramienta Comparar cortafuegos.
Los cortafuegos de las series PA-200, PA-500 o VM no admiten mltiples sistemas virtuales.
En un cortafuegos de Palo Alto Networks, un paquete puede cambiar de un sistema virtual a otro o a una
puerta de enlace compartida. Un paquete no puede atravesar ms de dos sistemas virtuales o puertas de
enlace compartidas. Por ejemplo, un paquete no puede ir de un sistema virtual a una puerta de enlace
compartida y de ah a otro sistema virtual del cortafuegos.
Un administrador de sistema virtual puede ver los logs nicamente de los sistemas virtuales que se le han
asignado. Alguien con un permiso de superusuario o Administrador de dispositivo puede visualizar todos los logs
o seleccionar un sistema virtual para visualizarlo.
Las personas con el permiso vsysadmin pueden compilar configuraciones nicamente para los sistemas virtuales
que se les han asignado.
676
Sistemas virtuales
Sistemas virtuales
Sistemas virtuales
677
Sistemas virtuales
Zona externa
Zona externa
La comunicacin en el caso de uso anterior se consigue configurando polticas de seguridad que sealan hacia
o desde una zona externa. Una zona externa es un objeto de seguridad que se asocia con un sistema virtual que
puede alcanzar, la zona es externa al sistema virtual. Un sistema virtual solo puede tener una zona externa,
independientemente del nmero de zonas de seguridad que contenga. Las zonas externas deben permitir el
trfico entre zonas en distintos sistemas virtuales, sin que llegue a salir del cortafuegos.
678
Sistemas virtuales
Sistemas virtuales
El administrador del sistema virtual configura las polticas de seguridad necesarias para permitir el trfico entre
dos sistemas virtuales. A diferencia de las zonas de seguridad, una zona externa no se asocia con una interfaz,
se asocia con un sistema virtual. La poltica de seguridad permite o deniega el trfico entre la zona de seguridad
(interna) y la zona externa.
Como las zonas externas no tienen interfaces o direcciones IP asociadas, algunos perfiles de proteccin de zonas
no se admiten en las zonas externas.
Recuerde que cada sistema virtual es una instancia diferente de un cortafuegos, lo que significa que cada paquete
que se mueve entre sistemas virtuales se inspeccionar para una evaluacin de App-ID y poltica de seguridad.
Para poder crear zonas externas, el administrador del dispositivo debe configurar sistemas virtuales para que se
vean entre s. Las zonas externas no tienen polticas de seguridad entre ellas porque sus sistemas virtuales son
visibles entre s.
Para una comunicacin entre sistemas virtuales, las interfaces de entrada y salida del cortafuegos se asignan a un
nico enrutador virtual o se conectan usando rutas estticas de enrutador inter-virtual. El ms sencillo de estos
dos enfoques es asignar todos los sistemas virtuales que deben comunicarse entre s a un nico enrutador virtual.
Puede haber un motivo por el que los sistemas virtuales deben tener su propio enrutador virtual, por ejemplo,
si los sistemas virtuales usan rangos de direcciones IP superpuestos. El trfico puede enrutarse entre los sistemas
virtuales, pero cada enrutador virtual debe tener rutas estticas que sealen al otro enrutador virtual como el
siguiente salto.
En la situacin anterior, debe haber una empresa con dos grupos administrativos: departamentoA y
departamentoB. El grupo del departamentoA gestiona la red local y los recursos DMZ. El grupo del
departamentoB gestiona el trfico de salida o entrada del segmento de ventas de la red. Todo el trfico se
Sistemas virtuales
679
Sistemas virtuales
encuentra en la red local, por lo que solo se usa un nico enrutador virtual. Hay dos zonas externas configuradas
para la comunicacin entre los dos sistemas virtuales. El sistema virtual del departamentoA tiene tres zonas que
se usan en polticas de seguridad: deptA-DMZ, deptA-confianza y deptA-Externa. El sistema virtual del
departamentoB tambin tiene tres zonas: deptB-DMZ, deptB-confianza y deptB-Externa. Ambos grupos
pueden controlar el trfico que atraviesa sus sistemas virtuales.
Para permitir el trfico entre el deptA-confianza al deptB-confianza, es obligatorio contar con dos polticas de
seguridad. En la siguiente ilustracin las dos flechas verticales indican dnde controlan el trfico las polticas de
seguridad (que se describe bajo la ilustracin).
Poltica de seguridad 1: En la ilustracin anterior, el trfico tiene como destino la zona deptB-confianza. El
trfico abandona la zona deptA-confianza y va a la zona deptA-Externa. Una poltica de seguridad debe
permitir el trfico de la zona de origen (deptA-confianza) a la zona de destino (deptA-Externa). Un sistema
virtual permite que se use cualquier tipo de poltica para este trfico, incluido el NAT.
No hay necesidad de ninguna poltica entre las zonas externas porque el trfico enviado a una zona externa
aparece y tiene acceso automtico a las otras zonas externas que son visibles desde la zona externa original.
Poltica de seguridad 2: En la ilustracin anterior, el trfico desde deptB-Externa sigue estando destinado a
la zona deptB-confianza y es necesario configurar una poltica de seguridad para permitirlo. La poltica de
seguridad debe permitir el trfico de la zona de origen (deptB-Externa) a la zona de destino
(deptB-confianza).
El sistema virtual del departamentoB podra configurarse para bloquear el trfico desde el sistema virtual del
departamentoA y viceversa. Al igual que con el trfico de cualquier otra zona, la poltica debe permitir
explcitamente que el trfico de las zonas externas llegue a otras zonas de un sistema virtual.
Adems de las zonas externas necesarias para el trfico entre sistemas virtuales que no
abandona el cortafuegos, tambin se necesitan zonas externas si configura una Puerta de
enlace compartida, en cuyo caso el trfico debe abandonar el cortafuegos.
680
Sistemas virtuales
Sistemas virtuales
Sistemas virtuales
681
Sistemas virtuales
682
Sistemas virtuales
Sistemas virtuales
La puerta de enlace compartida tiene una direccin IP enrutada globalmente que se usa para comunicarse con
el mundo exterior. Las interfaces de los sistemas virtuales tambin tienen direcciones IP, pero puede tratarse de
direcciones IP privadas y no enrutables.
Como recordar, el administrador debe especificar si un sistema virtual es visible para otros. A diferencia de los
sistemas virtuales, una puerta de enlace compartida siempre es visible para todos los sistemas virtuales del
cortafuegos.
Un nmero de ID de puerta de enlace compartida aparece como sg<ID> en la interfaz web. Se recomienda que
asigne a su puerta de enlace compartida un nombre que incluya su nmero de ID.
Cuando aada objetos como zonas o interfaces a una puerta de enlace compartida, esta aparecer como un
sistema virtual disponible en el men desplegable de vsys.
Una puerta de enlace compartida es una versin limitada de un sistema virtual; admite NAT, reenvo basado en
polticas (PBF) y polticas de denegacin de servicio, pero no admite la seguridad, QoS, descifrado, sobrescritura
de aplicaciones o polticas de portal cautivo.
Los sistemas virtuales de un caso de puerta de enlace compartida acceden a Internet a travs de la interfaz
fsica de la puerta de enlace usando una nica direccin IP. Si las direcciones IP de los sistemas virtuales no
pueden enrutarse globalmente, configure el NAT de origen para traducir esas direcciones a direcciones IP
que s puedan enrutarse globalmente.
Un enrutador virtual enruta el trfico de todos los sistemas virtuales a travs de la puerta de enlace
compartida.
La ruta predeterminada para los sistemas virtuales debe sealar a la puerta de enlace compartida.
Es necesario configurar polticas de seguridad para cada sistema virtual con el fin de permitir el trfico entre
la zona interna y la externa, que es visible para la puerta de enlace compartida.
Un administrador de dispositivo debe controlar el enrutador virtual de modo que ningn miembro del
sistema virtual pueda afectar al trfico de los dems sistemas virtuales.
Para ahorrar tiempo y esfuerzos de configuracin, considere las siguientes ventajas de una puerta de enlace
compartida:
En vez de configurar el NAT para mltiples sistemas virtuales asociados con una puerta de enlace
compartida, puede configurar NAT para la puerta de enlace compartida.
En vez de configurar el enrutamiento basado en polticas (PBR) para mltiples sistemas virtuales asociados
con una puerta de enlace compartida, puede configurar PBR para la puerta de enlace compartida.
Sistemas virtuales
683
Sistemas virtuales
Paso 1
1.
2.
Paso 2
1.
2.
3.
684
Sistemas virtuales
Sistemas virtuales
Paso 3
1.
4.
5.
Paso 4
1.
(Opcional) Limite las asignaciones de
recursos por sesiones, reglas y tneles
VPN permitidos para el sistema virtual.
La flexibilidad de poder asignar lmites
por sistema virtual le permite controlar de
forma efectiva los recursos de
dispositivos.
2.
Paso 5
Guarde la configuracin.
Sistemas virtuales
685
Sistemas virtuales
Paso 6
Paso 7
Paso 8
Paso 9
Guarde la configuracin.
Paso 10 (Opcional) Vea las polticas de seguridad Abra una sesin SSH para usar el CLI. Para ver las polticas de
configuradas para un sistema virtual.
seguridad para un sistema virtual, en el modo operativo, use los
siguientes comandos:
PA-5060> set system setting target-vsys
<vsys-id>
PA-5060> show running security-policy
686
Sistemas virtuales
Sistemas virtuales
Paso 1
1.
Seleccione Red > Zonas y Aadir una nueva zona por Nombre.
2.
3.
4.
5.
8.
Paso 2
Paso 3
Guarde la configuracin.
Sistemas virtuales
687
Sistemas virtuales
Ha configurado una interfaz con una direccin IP enrutable globalmente, que ser la puerta de enlace
compartida.
Ha completado la tarea anterior, Configuracin de sistemas virtuales. Para la interfaz, selecciona la interfaz
externa con la direccin IP enrutable globalmente.
Durante la configuracin de los sistemas virtuales, en el campo Sistema virtual visible, se han seleccionado
las casillas de todos los sistemas virtuales que deben comunicarse entre s para que sean visibles.
Paso 1
Paso 2
2.
3.
4.
5.
Seleccione Red > Zonas y Aadir una nueva zona por Nombre.
En Ubicacin, seleccione la puerta de enlace compartida para la
que est creando una zona.
5.
6.
7.
Paso 3
688
Guarde la configuracin.
Sistemas virtuales
Sistemas virtuales
Si est configurando la HA activa/pasiva, los dos cortafuegos deben tener la misma funcionalidad del
sistema virtual (funcionalidad de sistema virtual mltiple o nico). Consulte Alta disponibilidad.
Para configurar QoS para sistemas virtuales, consulte Configuracin de QoS para un sistema virtual.
Si desea informacin sobre cmo configurar un cortafuegos con sistemas virtuales en un cable virtual que
usa subinterfaces (y etiquetas VLAN), consulte la seccin Redes, Subinterfaces de Virtual Wire.
Sistemas virtuales
689
Sistemas virtuales
690
Sistemas virtuales