Sie sind auf Seite 1von 496

Palo Alto Networks®

Guía del administrador de PAN-OS


Versión 6.0
Información de contacto

Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/

Acerca de esta guía

Esta guía ofrece los conceptos y soluciones que le ayudarán a sacar el máximo
partido de sus cortafuegos de próxima generación de Palo Alto Networks.
Para obtener más información, consulte las siguientes fuentes:

 Para obtener instrucciones de principio a fin sobre cómo configurar un nuevo


cortafuegos, consulte la Palo Alto Networks Getting Started Guide (Guía de
inicio de Palo Alto Networks).

 Para acceder al conjunto completo de documentación técnica, vaya a


http://www.paloaltonetworks.com/documentation.

 Para acceder a la base de conocimientos y los foros de debate, vaya a


https://live.paloaltonetworks.com.
 Para ponerse en contacto con el equipo de asistencia técnica, obtener
información sobre los programas de asistencia técnica o gestionar su cuenta
o los dispositivos, vaya a https://support.paloaltonetworks.com.
 Para leer las notas sobre la última versión, vaya la página de actualizaciones de
software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentación, diríjase a:
documentation@paloaltonetworks.com

Palo Alto Networks, Inc.


www.paloaltonetworks.com
© 2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto
Networks, Inc. Todas las demás marcas comerciales son propiedad de sus
respectivos propietarios.
7 de julio de 2014
Contenido

Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Integración del cortafuegos en su red de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Configuración del acceso a la gestión del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Activación de servicios de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Creación del perímetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Descripción general del perímetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Implementaciones de cortafuegos básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Acerca de la traducción de direcciones de red (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Acerca de las políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuración de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Configuración de políticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Configuración de políticas de seguridad básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Habilitación de funciones de prevención de amenazas básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Habilitación de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Exploración del tráfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Prácticas recomendadas para completar la implementación del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 48

Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Interfaces de gestión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Uso de la interfaz de línea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Gestión de administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Autenticación administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Creación de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Gestión de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95


¿Cómo utilizan los dispositivos las claves y los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
¿Cómo verifican los dispositivos el estado de revocación de certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Lista de revocación de certificados (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Protocolo de estado de certificado en línea (OCSP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
¿Cómo obtienen los dispositivos los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Configuración de la verificación del estado de revocación de certificados . . . . . . . . . . . . . . . . . . . . . . . . . 101
Configuración de un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Configuración de la verificación del estado de revocación de certificados utilizados
para la autenticación de usuarios/dispositivos103

Guía del administrador de PAN-OS i


Configuración de la verificación del estado de revocación de certificados utilizados
para el descifrado SSL/TLS103
Configuración de la clave maestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Obtención de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Creación de un certificado de CA raíz autofirmado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Generación de un certificado en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Importación de un certificado y una clave privada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Obtención de un certificado de una CA externa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Configuración de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Revocación y renovación de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Revocación de un certificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Renovación de un certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Claves seguras con un módulo de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Configuración de la conectividad con un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Cifrado de una clave maestra utilizando un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Almacenamiento de claves privadas en un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Gestión de la implementación del HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127


Descripción general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Modos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Activadores de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Configuración de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Directrices de configuración para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Configuración de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Definición de las condiciones de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Verificación de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147


Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Uso del centro de comando de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Informe de resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Supervisión del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Supervisión de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Visualización de datos de logs locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

ii Guía del administrador de PAN-OS


Reenvío de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Supervisión del cortafuegos mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Gestión de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Acerca de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Visualización de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Deshabilitación de informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Generación de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Generación de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Programación de informes para entrega de correos electrónicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Análisis de la descripción de campos en logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Logs de tráfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Logs de amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Logs de coincidencias HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Logs de configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Logs de sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Gravedad de Syslog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Formato de logs/eventos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Secuencias de escape. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Descripción general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Acerca de la asignación de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Acerca de la asignación de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Asignación de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Asignación de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Configuración de la asignación de usuarios mediante el agente de User-ID de Windows . . . . . . . . . 219
Configuración de la asignación de usuarios mediante el agente de User-ID integrado
en PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Configuración de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog . . . . . . 230
Asignación de direcciones IP a nombres de usuario mediante un portal cautivo . . . . . . . . . . . . . . . . 241
Configuración de la asignación de usuarios para usuarios del servidor de terminal . . . . . . . . . . . . . . 246
Envío de asignaciones de usuarios a User-ID mediante la API XML . . . . . . . . . . . . . . . . . . . . . . . . . 254
Configuración de un cortafuegos para compartir datos de asignación de usuarios
con otros cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Habilitación de política basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Verificación de la configuración de User-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
¿Qué es App-ID? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Prácticas recomendadas para utilizar App-ID en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Aplicaciones con compatibilidad implícita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Acerca de las puertas de enlace de nivel de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

Guía del administrador de PAN-OS iii


Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 274

Prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275


Concesión de licencias para la prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Acerca de las licencias de prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Obtención e instalación de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Acerca de los perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Configuración de políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Configuración de antivirus, antispyware y protección contra vulnerabilidades. . . . . . . . . . . . . . . . . . 282
Configuración de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Configuración de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Prevención de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
¿Cómo se activa una firma para un ataque de fuerza bruta? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Personalización de la acción y las condiciones de activación para una firma de fuerza bruta . . . . . . 293
Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 . . . . . . . . . . . . . . . . . . . . 296
Infraestructura de Content Delivery Network para actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . 298

Descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Descripción general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Políticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Proxy SSL de reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Inspección de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Excepciones de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Configuración del proxy SSL de reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Configuración de la inspección de entrada SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Configuración del Proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Configuración de excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Exclusión de tráfico del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Exclusión de un servidor del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Configuración del reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318

Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321


Descripción general del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
¿Cómo funciona el filtrado de URL?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Interacción entre App-ID y categorías de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Control de URL basado en categoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
¿Cómo se utilizan las categorías de URL como criterios de coincidencia en las políticas?. . . . . . . . . 327
Componentes y flujo de trabajo de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Componentes de categorización de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Flujo de trabajo de categorización de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Configuración de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Habilitación del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332

iv Guía del administrador de PAN-OS


Determinación de los requisitos de la política de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Definición de controles del sitio web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Ejemplos de casos de uso del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Caso de uso: control de acceso web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Caso de uso: uso de categorías de URL en la política . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Solución de problemas del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Problemas en la activación de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Problemas de conectividad con la nube de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
URL clasificadas como no resueltas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Categorización incorrecta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Base de datos de URL vencida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357


Descripción general de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Implementación de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Conceptos de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Configuración de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Configuración de QoS para un sistema virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Ejemplos de casos de uso de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
QoS para un único usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
QoS para aplicaciones de voz y vídeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381

VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Descripción general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Configuración de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Configuración de una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Definición de perfiles criptográficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Configuración de un túnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Configuración de la supervisión de túnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Prueba de conectividad VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Interpretación de mensajes de error de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Configuraciones rápidas de VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
VPN de sitio a sitio con rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
VPN de sitio a sitio con OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416

VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423


Componentes de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Creación de interfaces y zonas para la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Habilitación de SSL entre componentes de LSVPN de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Acerca de la implementación de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect . . . . 427

Guía del administrador de PAN-OS v


Configuración del portal para autenticar satélites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Configuración de puertas de enlace de GlobalProtect para LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Configuración de la puerta de enlace. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Configuración del portal de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Configuración del portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Definición de las configuraciones de satélites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Preparación del dispositivo satélite para unirse a la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Verificación de la configuración de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Configuraciones rápidas de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Configuración básica de LSVPN con rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Configuración avanzada de LSVPN con enrutamiento dinámico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451

Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Implementaciones de cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Configuración de rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Configuración de RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Configuración de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Conceptos de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Configuración de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Configuración de OSPFv3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Configuración del reinicio correcto de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Confirmación del funcionamiento de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Configuración de BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483

vi Guía del administrador de PAN-OS


Primeros pasos
Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos de
próxima generación de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red
y configurar políticas de seguridad básicas y funciones de prevención de amenazas.
Después de realizar los pasos de configuración básicos necesarios para integrar el cortafuegos en su red, puede
utilizar el resto de los temas de esta guía como ayuda para implementar las completas funciones de la plataforma
de seguridad empresarial según sea necesario para cubrir sus necesidades de seguridad de red.
 Integración del cortafuegos en su red de gestión
 Creación del perímetro de seguridad
 Habilitación de funciones de prevención de amenazas básicas
 Prácticas recomendadas para completar la implementación del cortafuegos

Primeros pasos 1
Integración del cortafuegos en su red de gestión Primeros pasos

Integración del cortafuegos en su red de gestión


Los siguientes temas describen cómo realizar los pasos de la configuración inicial necesarios para integrar un
nuevo cortafuegos en la red de gestión e implementarlo con una configuración de seguridad básica.

Los siguientes temas describen cómo integrar un único cortafuegos de próxima generación de
Palo Alto Networks en su red. Si desea información detallada sobre cómo implementar un par de
cortafuegos en una configuración de alta disponibilidad, lea la información de la documentación
de HA antes de continuar.
 Configuración del acceso a la gestión del cortafuegos
 Activación de servicios de cortafuegos

Configuración del acceso a la gestión del cortafuegos

Todos los cortafuegos de Palo Alto Networks incluyen un puerto de gestión externo (MGT) que puede usar
para llevar a cabo las funciones de administración del cortafuegos. Al usar el puerto de gestión, está separando
las funciones de gestión del cortafuegos de las funciones de procesamiento de datos, de modo que protege el
acceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas las tareas de
configuración inicial desde el puerto de gestión, incluso aunque pretenda usar un puerto interno para gestionar
su dispositivo más adelante.
Algunas tareas de gestión, como la recuperación de licencias, la actualización de amenazas y las firmas de las
aplicaciones en el cortafuegos requieren acceso a Internet. Si no desea activar el acceso externo a su puerto de
gestión, deberá establecer un puerto de datos para permitir el acceso a los servicios externos requeridos o
plantearse cargar manualmente actualizaciones de forma regular.
Las siguientes secciones contienen instrucciones para establecer el acceso de gestión al cortafuegos:
 Determinación de la estrategia de gestión
 Realización de la configuración inicial
 Establecimiento de acceso a la red para servicios externos

Determinación de la estrategia de gestión

El cortafuegos Palo Alto Networks puede configurarse y gestionarse de forma local o gestionarse de forma
central usando Panorama, el sistema de gestión de seguridad centralizado de Palo Alto Networks. Si tiene seis o
más cortafuegos implementados en su red, use Panorama para obtener estas ventajas:

 Reducir la complejidad y la carga administrativa en la configuración de la gestión, políticas, software y cargas


de contenido dinámico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionar
eficazmente la configuración específica de los dispositivos en un dispositivo e introducir las políticas
compartidas en todos los dispositivos o grupos de dispositivos.

 Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el tráfico de su red. El
Centro de comando de aplicación (ACC) de Panorama ofrece un panel de pantalla única para unificar
informes de todos los cortafuegos que le permiten realizar análisis, investigaciones e informes de forma
central sobre el tráfico de red, los incidentes de seguridad y las modificaciones administrativas.

2 Primeros pasos
Primeros pasos Integración del cortafuegos en su red de gestión

Los procedimientos de este documento describen cómo gestionar el cortafuegos usando la interfaz web local.
Si quiere utilizar Panorama para la gestión centralizada, cuando haya completado las instrucciones de la sección
Realización de la configuración inicial de esta guía, verifique que el cortafuegos puede establecer una conexión
con Panorama. Desde ese momento, podrá utilizar Panorama para configurar su cortafuegos de forma central.

Realización de la configuración inicial

De forma predeterminada, la dirección IP del cortafuegos es 192.168.1.1 y el nombre de usuario/contraseña es


admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de
configuración del cortafuegos. Debe realizar estas tareas de configuración inicial desde la interfaz de gestión
(MGT), aunque no pretenda usar esta interfaz para la gestión de su cortafuegos, o usar una conexión de serie
directa al puerto de la consola del dispositivo.

Configuración del acceso de red al cortafuegos

Paso 1 Obtenga la información necesaria de su • Dirección IP para el puerto MGT


administrador de red.
• Máscara de red
• Puerta de enlace predeterminada
• Dirección de servidor DNS

Paso 2 Conecte su ordenador al cortafuegos. Puede conectarse al cortafuegos de uno de estos modos:
• Conecte un cable serie desde su ordenador al puerto de la consola y
conecte con el cortafuegos usando el software de emulación de
terminal (9600-8-N-1). Espere unos minutos hasta que se complete
la secuencia de arranque; cuando el dispositivo esté listo, el mensaje
cambiará al nombre del cortafuegos, por ejemplo PA-500
login.
• Conecte un cable Ethernet RJ-45 desde su ordenador hasta el
puerto de gestión del cortafuegos. Use un navegador para ir a
https://192.168.1.1. Tenga en cuenta que tal vez deba
cambiar la dirección IP de su ordenador a una dirección de la red
192.168.1.0, como 192.168.1.2, para acceder a esta URL.

Paso 3 Cuando se le indique, inicie sesión en el Debe iniciar sesión usando el nombre de usuario y contraseña
cortafuegos. predeterminados (admin/admin). El cortafuegos comenzará a
inicializarse.

Primeros pasos 3
Integración del cortafuegos en su red de gestión Primeros pasos

Configuración del acceso de red al cortafuegos (Continuación)

Paso 4 Configure la interfaz de gestión. 1. Seleccione Dispositivo > Configuración > Gestión y, a
continuación, haga clic en el icono Editar de la sección
Configuración de interfaz de gestión de la pantalla. Introduzca
la dirección IP, máscara de red y puerta de enlace
predeterminada.
2. Fije la velocidad en negociación automática.
3. Seleccione los servicios de gestión que permitirá en la interfaz.
Práctica recomendada:
Asegúrese de que ni Telnet ni HTTP estén seleccionados, ya que
estos servicios usan texto sin formato y no son tan seguros
como los otros servicios.
4. Haga clic en ACEPTAR.

Paso 5 (Opcional) Configure los ajustes 1. Seleccione Dispositivo > Configuración > Gestión y haga clic en
generales del cortafuegos. el icono Editar de la sección Configuración general de la
pantalla.
2. Introduzca un nombre de host para el cortafuegos y el nombre
de dominio de su red. El nombre de dominio tan solo es una
etiqueta, no se usará para unirse al dominio.
3. Introduzca la Latitud y Longitud para permitir la colocación
precisa del cortafuegos en el mapamundi.
4. Haga clic en ACEPTAR.

Paso 6 Configure los ajustes de DNS, hora y 1. Seleccione Dispositivo > Configuración > Servicios y haga clic
fecha. en el icono Editar de la sección Servicios de la pantalla.
Nota Debe configurar manualmente al menos 2. Introduzca la dirección IP de su Servidor DNS principal y, de
un servidor DNS en el cortafuegos o no manera opcional, de su Servidor DNS secundario.
podrá resolver los nombres de host; no 3. Para usar el clúster virtual de servidores horarios de Internet,
usará configuraciones del servidor DNS introduzca el nombre de host pool.ntp.org como servidor NTP
de otra fuente, como un ISP. principal o añada la dirección IP de su servidor NTP principal y,
de manera opcional, su servidor NTP secundario.
4. Haga clic en Aceptar para guardar la configuración.

Paso 7 Establezca una contraseña segura para la 1. Seleccione Dispositivo > Administradores.
cuenta de administrador. 2. Seleccione la función admin.
3. Introduzca la contraseña predeterminada actual y la nueva
contraseña.
4. Haga clic en Aceptar para guardar la configuración.

Paso 8 Compile los cambios. Haga clic en Confirmar. El dispositivo puede tardar hasta 90
Nota Al guardar los cambios de configuración, segundos en guardar sus cambios.
perderá la conexión con la interfaz web, ya
que la dirección IP habrá cambiado.

4 Primeros pasos
Primeros pasos Integración del cortafuegos en su red de gestión

Configuración del acceso de red al cortafuegos (Continuación)

Paso 9 Conecte el cortafuegos a su red. 1. Desconecte el cortafuegos de su ordenador.


2. Conecte el puerto de gestión a un puerto de conmutador en su
red de gestión usando un cable Ethernet RJ-45. Asegúrese de
que el puerto de conmutación que conecta al cortafuegos
mediante un cable está configurado para negociación
automática.

Paso 10 Abra una sesión de gestión SSH en el Usando un software de emulación de terminal, como PuTTY, inicie
cortafuegos. una sesión SSH en el cortafuegos usando la nueva dirección IP que
le ha asignado.

Paso 11 Verifique el acceso a la red para los Si ha conectado el puerto de gestión con un cable para tener acceso
servicios externos requeridos para la desde una red externa, compruebe que tiene acceso al cortafuegos y
gestión del cortafuegos, como el servidor desde el mismo usando la utilidad ping de la CLI. Asegúrese de que
de actualizaciones de Palo Alto Networks, tiene conexión a la puerta de enlace predeterminada, servidor DNS
de uno de estos modos: y el servidor de actualización de Palo Alto Networks como se
• Si no desea permitir que una red muestra en el siguiente ejemplo:
externa acceda a la interfaz de gestión, admin@PA-200> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
tendrá que configurar un puerto de bytes of data.
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
datos para recuperar las actualizaciones 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms
de servicio requeridas. Vaya a 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms

Establecimiento de acceso a la red para Nota Cuando haya comprobado la conectividad, pulse Ctrl+C
servicios externos. para detener los pings.
• Si va a permitir que una red externa
acceda a la interfaz de gestión,
compruebe que tiene conexión y vaya a
Activación de servicios de cortafuegos.

Establecimiento de acceso a la red para servicios externos

De manera predeterminada, el cortafuegos usa la interfaz de gestión para acceder a servicios remotos, como
servidores DNS, actualizaciones de contenido y recuperación de licencias. Si no quiere activar el acceso de una
red externa a su red de gestión, debe establecer un puerto de datos para ofrecer acceso a aquellos servicios
externos requeridos.

Para esta tarea debe estar familiarizado con zonas, políticas e interfaces de cortafuegos. Si
desea más información sobre estos temas, consulte Creación del perímetro de seguridad.

Establecimiento de un puerto de datos para acceder a servicios externos

Paso 1 Decida el puerto que desea usar para La interfaz que use necesitará una dirección IP estática.
acceder a servicios externos y conéctelo
al puerto del conmutador o al puerto del
enrutador.

Primeros pasos 5
Integración del cortafuegos en su red de gestión Primeros pasos

Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)

Paso 2 Inicie sesión en la interfaz web. Si usa una conexión segura (https) desde su navegador web, inicie
sesión usando la nueva dirección IP y contraseña que asignó durante
la configuración inicial (https://<dirección IP>). Verá un
advertencia de certificación; es normal. Vaya a la página web.

Paso 3 (Opcional) El cortafuegos viene Debe eliminar la configuración en el siguiente orden:


preconfigurado con una interfaz de cable 1. Para eliminar la política de seguridad predeterminada, seleccione
virtual predeterminada entre los puertos Políticas > Seguridad, seleccione la regla y haga clic en Eliminar.
Ethernet 1/1 y Ethernet 1/2 (y sus 2. A continuación, elimine el cable virtual predeterminado
correspondientes zonas y políticas de seleccionando Red > Cables virtuales, seleccionando el
seguridad predeterminadas). Si no cable virtual y haciendo clic en Eliminar.
pretende usar esta configuración de cable
virtual, debe eliminar manualmente la 3. Para eliminar las zonas fiables y no fiables predeterminadas,
configuración para evitar que interfiera seleccione Red > Zonas, seleccione cada zona y haga clic en
Eliminar.
con otras configuraciones de interfaz que
defina. 4. Por último, elimine las configuraciones de interfaz seleccionando
Red > Interfaces y, a continuación, seleccione cada interfaz
(ethernet1/1 y ethernet1/2) y haga clic en Eliminar.
5. Confirme los cambios.

Paso 4 Configure la interfaz. 1. Seleccione Red > Interfaces y seleccione la interfaz que
corresponde al puerto en el que conectó el cable en el paso 1.
2. Seleccione el Tipo de interfaz. Aunque su decisión aquí depende
de la topología de su red, este ejemplo muestra los pasos para
Capa 3.
3. En la pestaña Configurar, amplíe el menú desplegable Zona de
seguridad y seleccione Nueva zona.
4. En el cuadro de diálogo Zona, defina un Nombre para una nueva
zona, por ejemplo L3-fiable, y haga clic en Aceptar.
5. Seleccione la pestaña IPv4, seleccione el botón de opción
Estático, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 192.168.1.254/24.
6. Seleccione Avanzada > Otra información, amplíe el menú
desplegable Perfil de gestión y seleccione Nuevo perfil de
gestión.
7. Introduzca un Nombre para el perfil, como permitir_ping, y
seleccione a continuación los servicios que desea permitir en la
interfaz. Estos servicios ofrecen acceso a la gestión del
dispositivo, así que seleccione solo los servicios que correspondan
a actividades de gestión que desee permitir en esta interfaz. Por
ejemplo, si desea utilizar la interfaz de gestión para las tareas de
configuración del dispositivo a través de la interfaz web o CLI, no
debería activar HTTP, HTTPS, SSH o Telnet para poder evitar el
acceso no autorizado a través de esta interfaz. Para permitir el
acceso a los servicios externos, probablemente solo tenga que
activar Ping y después hacer clic en Aceptar.
8. Para guardar la configuración de la interfaz, haga clic en Aceptar.

6 Primeros pasos
Primeros pasos Integración del cortafuegos en su red de gestión

Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)

Paso 5 Dado que el cortafuegos usa la interfaz de 1. Seleccione Dispositivo > Configuración > Servicios >
gestión de manera predeterminada para Configuración de ruta de servicios.
acceder a los servicios externos que
necesita, debe cambiar la interfaz que usa
el cortafuegos para enviar estas
solicitudes editando las rutas de servicios. Nota Para activar sus licencias y obtener el contenido y las
actualizaciones de software más recientes, debe cambiar la
ruta de servicios de DNS, Actualizaciones de Palo Alto,
Actualizaciones de URL y WildFire.
2. Haga clic en el botón de opción Personalizar y seleccione una
de las siguientes opciones:
• En un servicio predefinido, seleccione IPv4 o IPv6 y haga clic
en el enlace del servicio para el que quiera modificar la
interfaz de origen y seleccione la interfaz que acaba de
configurar.
Si se configura más de una dirección IP para la interfaz
seleccionada, el menú desplegable Dirección de origen le
permite seleccionar una dirección IP.
• Para crear una ruta de servicio para un destino personalizado,
seleccione Destino y haga clic en Añadir. Introduzca un
nombre de destino y seleccione una interfaz de origen. Si se
configura más de una dirección IP para la interfaz
seleccionada, el menú desplegable Dirección de origen le
permite seleccionar una dirección IP.
3. Haga clic en ACEPTAR para guardar la configuración.
4. Repita los pasos del 2 al 3 indicados anteriormente para cada
ruta de servicio que quiera modificar.
5. Compile sus cambios.

Primeros pasos 7
Integración del cortafuegos en su red de gestión Primeros pasos

Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)

Paso 6 Configure una interfaz de orientación externa y una zona asociada y, a continuación, cree las reglas de política
NAT y de seguridad para permitir que el cortafuegos envíe solicitudes de servicio de la zona interna a la externa:
1. Seleccione Red > Interfaces y, a continuación, seleccione su interfaz de orientación externa. Seleccione Capa 3
como el Tipo de interfaz, añada la dirección IP (en la pestaña IPv4 o IPv6) y cree la Zona de seguridad asociada
(en la pestaña Configuración), tal como l3-nofiable. No necesita configurar servicios de gestión en esta interfaz.
2. Para configurar una regla de seguridad que permita el tráfico desde su red interna al servidor de actualizaciones
de Palo Alto Networks y los servidores DNS externos, seleccione Políticas > Seguridad y haga clic en Añadir.
Para realizar la configuración inicial, puede crear una regla simple que permita todo el tráfico de l3-fiable a
l3-nofiable del siguiente modo:

3. Si usa una dirección IP


privada en la interfaz de
orientación interna,
deberá crear una regla
NAT de origen para traducir la dirección a una dirección enrutable públicamente. Seleccione Políticas > NAT y,
a continuación, haga clic en Añadir. Como mínimo deberá definir un nombre para la regla (pestaña General),
especificar una zona de origen y destino, l3-fiable a l3-nofiable en este caso (pestaña Paquete original), y definir
la configuración de traducción de dirección de origen (pestaña Paquete traducido); a continuación debe hacer
clic en Aceptar. Si desea más información sobre NAT, consulte Configuración de políticas de NAT.
4. Compile sus cambios.

Paso 7 Compruebe que tiene conectividad desde Inicie la CLI y use la utilidad ping para comprobar que tiene
el puerto de datos a los servicios externos, conectividad. Tenga en cuenta que los pings predeterminados se envían
incluida la puerta de enlace desde la interfaz MGT, por lo que en este caso deberá especificar la
predeterminada, el servidor DNS y el interfaz de origen para las solicitudes de ping del siguiente modo:
servidor de actualización de Palo Alto admin@PA-200> ping source 192.168.1.254 host
updates.paloaltonetworks.com
Networks. PING updates.paloaltonetworks.com (67.192.236.252) from
192.168.1.254 : 56(84) bytes de datos.
Tras comprobar que tiene la conectividad 64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms
64 bytes from 67.192.236.252: icmp_seq=2 ttl=242 time=47.7 ms
de red requerida, vaya a Activación de 64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms
^C
servicios de cortafuegos.
Cuando haya comprobado la conectividad, pulse Ctrl+C para
detener los pings.

Activación de servicios de cortafuegos

Antes de que pueda empezar a usar el cortafuegos para proteger su red, debe registrarlo y activar las licencias
de los servicios que ha adquirido. Además, debe asegurarse de que está ejecutando la versión adecuada de
PAN-OS como se describe en las siguientes secciones:
 Registro en Palo Alto Networks
 Activación de licencias
 Gestión de la actualización de contenidos
 Instalación de actualizaciones de software

8 Primeros pasos
Primeros pasos Integración del cortafuegos en su red de gestión

Registro en Palo Alto Networks

Registro del cortafuegos

Paso 1 Inicie sesión en la interfaz web. Si usa una conexión segura (https) desde su navegador web, inicie
sesión usando la nueva dirección IP y contraseña que asignó durante
la configuración inicial (https://<dirección IP>). Verá un
advertencia de certificación; es normal. Vaya a la página web.

Paso 2 Busque el número de serie y cópielo en el En el Panel, busque su número de serie en la sección Información
portapapeles. general de la pantalla.

Paso 3 Vaya al sitio de asistencia de Palo Alto En una ventana o pestaña nueva del navegador, vaya a
Networks. https://support.paloaltonetworks.com.

Paso 4 Registre el dispositivo. El modo de • Si es el primer dispositivo de Palo Alto Networks que registra y aún
registrarse dependerá de que tenga o no no tiene un inicio de sesión, haga clic en Registrar en el lado
un inicio de sesión en el sitio de asistencia derecho de la página. Para registrarse, debe proporcionar su
técnica. dirección de correo electrónico y el número de serie de su
cortafuegos (que puede pegar desde el portapapeles). También se
le pedirá que establezca un nombre de usuario y una contraseña
para acceder a la comunidad de asistencia técnica de Palo Alto
Networks.
• Si ya dispone de una cuenta de asistencia técnica, inicie sesión y
haga clic en Mis dispositivos. Desplácese hasta la sección Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el
número de serie de su cortafuegos (que puede pegar desde el
portapapeles), su ciudad y su código postal, y haga clic en
Registrar dispositivo.

Activación de licencias

Antes de que pueda empezar a usar su cortafuegos para proteger el tráfico de su red, deberá activar las licencias
de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:
 Prevención de amenazas: Proporciona protección antivirus, antispyware y contra vulnerabilidades.

 Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del tráfico descifrado desde
un cortafuegos y enviarlo a una herramienta de recopilación de tráfico que sea capaz de recibir capturas de
paquetes sin formato (como NetWitness o Solera) para su archivado y análisis.

 Filtrado de URL: Para crear reglas de política basadas en categorías de URL dinámicas, debe adquirir e
instalar una suscripción para una de las bases de datos de filtrado de URL compatibles: PAN-DB o
BrightCloud. Para obtener más información sobre el filtrado de URL, consulte Control del acceso a
contenido web.

Primeros pasos 9
Integración del cortafuegos en su red de gestión Primeros pasos

 Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtuales
en los cortafuegos de las series PA-2000 y PA-3000. Además, debe adquirir una licencia de sistemas virtuales
si desea utilizar un número de sistemas virtuales superior al ofrecido de manera predeterminada por los
cortafuegos de las series PA-4000, PA-5000 y PA-7050 (el número básico varía según la plataforma).
Las series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.

 WildFire: Aunque la compatibilidad básica con WildFire está incluida como parte de la licencia de
prevención de amenazas, el servicio de suscripción a WildFire ofrece servicios mejorados para aquellas
organizaciones que necesitan una cobertura inmediata frente a las amenazas, y permite actualizaciones de la
firma de WildFire con una frecuencia inferior a una hora, el reenvío de tipos de archivos avanzados (APK,
PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. También
se requiere una suscripción a WildFire si sus cortafuegos van a reenviar archivos a un dispositivo WF-500
WildFire privado.

 GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De forma
predeterminada, puede implementar una única puerta de enlace y portal GlobalProtect (sin comprobaciones
de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia
de portal (licencia permanente y única). Si desea utilizar comprobaciones de host, también necesitará
licencias de puertas de enlace (suscripción) para cada puerta de enlace.

Activación de licencias

Paso 1 Encuentre los códigos de activación de Al comprar las suscripciones debió recibir un mensaje de correo
las licencias que ha adquirido. electrónico del servicio de atención al cliente de Palo Alto Networks
con los códigos de activación asociados a cada suscripción. Si no
encuentra este mensaje, póngase en contacto con atención al cliente
para recibir sus códigos de activación antes de continuar.

Paso 2 Inicie la interfaz web y vaya a la página de Seleccione Dispositivo > Licencias.
licencias.

Paso 3 Active todas las licencias que ha 1. Seleccione Activar característica mediante código de
adquirido. autorización.
Nota Si su cortafuegos no tiene acceso a 2. Cuando se le indique, introduzca el Código de autorización y
Internet desde el puerto de gestión, puede haga clic en Aceptar.
descargar sus licencias de forma manual 3. Compruebe que la licencia se haya activado correctamente. Por
desde el sitio de asistencia técnica y ejemplo, tras activar la licencia de WildFire, debería ver que la
cargarlas en el cortafuegos usando la licencia es válida:
opción Clave de licencia de carga
manual.

Gestión de la actualización de contenidos

Para estar por delante del panorama cambiante de amenazas y aplicaciones, Palo Alto Networks mantiene una
infraestructura de Content Delivery Network (CDN, Red de entrega de contenidos) para entregar
actualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos dispositivos acceden a los
recursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones y de ID de contenidos. De

10 Primeros pasos
Primeros pasos Integración del cortafuegos en su red de gestión

forma predeterminada, los dispositivos utilizan el puerto de gestión para acceder a la infraestructura de CDN
para realizar actualizaciones de aplicaciones, de amenazas y de firma de antivirus, actualizaciones y búsquedas
en BrightCloud y en base de datos PAN-DB, así como acceso a la nube de WildFire de Palo Alto Networks. Para
garantizar una protección constante contra las amenazas más recientes (incluidas aquellas que aún no se han
descubierto), debe asegurarse de mantener actualizados sus dispositivos con las actualizaciones más recientes de
Palo Alto Networks.
Están disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:

Aunque puede descargar e instalar de forma manual las actualizaciones de contenido en


cualquier momento, es recomendable programar las actualizaciones para que se realicen
automáticamente.

 Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio
en la nube WildFire. Debe contar con una suscripción a prevención de amenazas para obtener estas
actualizaciones. Se publican nuevas firmas de antivirus todos los días.

 Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualización no requiere


suscripciones adicionales, pero sí un contrato de asistencia/mantenimiento en vigor. Todas las semanas se
publican nuevas actualizaciones de aplicaciones.

 Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta


actualización está disponible si cuenta con una suscripción de prevención de amenazas (y la obtiene en lugar
de la actualización de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.
 Archivo de datos de GlobalProtect: Contiene la información específica del proveedor para definir y
evaluar los datos del perfil de información del host (HIP) proporcionados por los agentes de GlobalProtect.
Debe tener una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas
actualizaciones. Además, debe crear una programación para estas actualizaciones antes de que GlobalProtect
funcione.

 Filtrado de URL de BrightCloud: Ofrece actualizaciones únicamente para la base de datos de filtrado de
URL de BrightCloud. Debe contar con una suscripción a BrightCloud para obtener estas actualizaciones.
Todos los días se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una
licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automática.

 WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como
consecuencia del análisis realizado por el servicio de la nube de WildFire. Sin la suscripción, debe esperar de
24 a 48 horas para que las firmas entren a formar parte de la actualización de aplicaciones y amenazas.

Si su cortafuegos no tiene acceso a Internet desde el puerto de gestión, puede descargar


actualizaciones de contenido desde el sitio de asistencia de Palo Alto Networks
(https://support.paloaltonetworks.com) y, a continuación, cargarlas en su cortafuegos.
Si su cortafuegos está implementado detrás de cortafuegos o servidores proxy existentes, el
acceso a estos recursos externos puede restringirse empleando listas de control de acceso que
permiten que el cortafuegos acceda únicamente a un nombre de host o una dirección IP. En
dichos casos, para permitir el acceso a la CDN, establezca la dirección del servidor de
actualizaciones para que utilice el nombre de host staticupdates.paloaltonetworks.com o la
dirección IP 199.167.52.15.

Primeros pasos 11
Integración del cortafuegos en su red de gestión Primeros pasos

Descarga de las bases de datos más recientes

Paso 1 Verifique que el cortafuegos apunta a la Seleccione Dispositivo > Configuración > Servicios.
infraestructura de CDN. • Como práctica recomendada, establezca el Servidor de
actualizaciones para que acceda a
updates.paloaltonetworks.com. De esta forma el cortafuegos
podrá recibir actualizaciones de contenidos desde el servidor que
esté más cercano en la infraestructura de CDN.
• (Opcional) Si el cortafuegos tiene acceso restringido a Internet,
establezca la dirección del servidor de actualizaciones para que
utilice el nombre de host staticupdates.paloaltonetworks.com o la
dirección IP 199.167.52.15. Para añadir seguridad, seleccione
Verificar identidad del servidor de actualización. El cortafuegos
verificará que el servidor desde el que se descarga el software o el
paquete de contenidos cuenta con un certificado SSL firmado por
una autoridad fiable.

Paso 2 Inicie la interfaz web y vaya a la página Seleccione Dispositivo > Actualizaciones dinámicas.
Actualizaciones dinámicas.

Paso 3 Compruebe las actualizaciones más recientes.


Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda de la ventana) para comprobar las
actualizaciones más recientes. El enlace de la columna Acción indica si una actualización está disponible:
• Descargar: Indica que hay disponible un nuevo archivo de actualización. Haga clic en el enlace para iniciar la
descarga directamente en el cortafuegos. Tras descargarlo correctamente, el enlace en la columna Acción
cambia de Descargar a Instalar.

Nota No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicaciones
y amenazas.
• Actualizar: Indica que hay una nueva versión de la base de datos de BrightCloud disponible. Haga clic en el
enlace para iniciar la descarga e instalación de la base de datos. La actualización de la base de datos se inicia
en segundo plano; al completarse aparece una marca de verificación en la columna Instalado actualmente.
Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no verá ningún enlace de
actualización porque la base de datos de PAN-DB se sincroniza automáticamente con el servidor.

Consejo: Para comprobar el estado de una acción, haga clic en Tareas (en la esquina inferior derecha de la ventana).
• Revertir: Indica que la versión de software correspondiente se ha descargado anteriormente. Puede decidir
revertir a la versión instalada anteriormente de la actualización.

12 Primeros pasos
Primeros pasos Integración del cortafuegos en su red de gestión

Descarga de las bases de datos más recientes (Continuación)

Paso 4 Instale las actualizaciones. Haga clic en el enlace Instalar de la columna Acción. Cuando se
Nota La instalación puede tardar hasta complete la instalación, aparecerá una marca de verificación en la
20 minutos en un dispositivo PA-200, columna Instalado actualmente.
PA-500 o PA-2000, y hasta dos minutos
en los cortafuegos de las series PA-3000,
PA-4000, PA-5000, PA-7050 o VM-Series.

Paso 5 Programe cada actualización. 1. Establezca la programación de cada tipo de actualización


haciendo clic en el enlace Ninguna.
Repita este paso en cada actualización que
desee programar.
Práctica recomendada:
2. Especifique la frecuencia de las actualizaciones seleccionando
Escalone las programaciones de
un valor en el menú desplegable Periodicidad. Los valores
actualizaciones, dado que el cortafuegos
disponibles varían en función del tipo de contenido (las
no puede descargar más de una
actualizaciones de WildFire están disponibles cada 15 minutos,
actualización a la vez. Si ha programado la
cada 30 minutos o cada hora, mientras que para otros tipos de
descarga de varias actualizaciones al
contenidos pueden programarse actualizaciones diarias o
mismo tiempo, solo la primera se realizará
semanales).
correctamente.
3. Especifique la hora (o los minutos que pasan de una hora en el caso
de WildFire) y, si está disponible en función de la Periodicidad
seleccionada, el día de la semana para realizar la actualización.
4. Especifique si desea que el sistema descargue e instale la
actualización (práctica recomendada) o que únicamente la
descargue.
5. En raras ocasiones puede haber errores en las actualizaciones de
contenido. Por este motivo, tal vez desee retrasar la instalación
de nuevas actualizaciones hasta que lleven varias horas
publicadas. Puede especificar el tiempo de espera tras una
publicación para realizar una actualización de contenido
introduciendo el número de horas de espera en el campo
Umbral (horas).
6. Haga clic en Aceptar para guardar estos ajustes de
programación.
7. Haga clic en Confirmar para guardar estos ajustes en la
configuración actual.

Instalación de actualizaciones de software

Al instalar un nuevo cortafuegos, es recomendable usar la actualización más reciente del software (o la versión
recomendada por su distribuidor o por el ingeniero de sistemas de Palo Alto Networks) con el fin de aprovechar
las correcciones y mejoras de seguridad más recientes. Tenga en cuenta que antes de actualizar el software debe

Primeros pasos 13
Integración del cortafuegos en su red de gestión Primeros pasos

asegurarse de tener las actualizaciones de contenido más recientes según se indica en la sección anterior (las
notas de la versión de una actualización de software especifican las versiones de actualización de contenido
mínimas que son compatibles con la versión).

Actualización de PAN-OS

Paso 1 Inicie la interfaz web y vaya a la página Seleccione Dispositivo > Software.
Software.

Paso 2 Compruebe las actualizaciones de Haga clic en Comprobar ahora para comprobar las actualizaciones
software. más recientes. Si el valor de la columna Acción es Descargar, indica
que hay una actualización disponible.

Paso 3 Descargar la actualización. Busque la versión que quiere y haga clic en Descargar. Cuando se
Nota Si su cortafuegos no tiene acceso a complete la descarga, el valor en la columna Acción cambia a
Internet desde el puerto de gestión, puede Instalar.
descargar la actualización de software
desde el sitio de asistencia técnica de Palo
Alto Networks
(https://support.paloaltonetworks.com).
Después podrá cargarla manualmente en
su cortafuegos.

Paso 4 Instale la actualización. 1. Haga clic en Instalar.


2. Reinicie el cortafuegos:
• Si se le pide que reinicie, haga clic en Sí.

• Si no se le pide que reinicie, seleccione Dispositivo >


Configuración > Operaciones y haga clic en Reiniciar
dispositivo en la sección Operaciones de dispositivo de la
pantalla.

14 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Creación del perímetro de seguridad


Los siguientes temas proporcionan pasos básicos para configurar las interfaces del cortafuegos, definir zonas y
configurar una política de seguridad básica:
 Descripción general del perímetro de seguridad
 Configuración del acceso a la gestión del cortafuegos
 Configuración de políticas de NAT
 Configuración de políticas de seguridad básicas

Descripción general del perímetro de seguridad

El tráfico debe pasar por el cortafuegos para que este pueda gestionarlo y controlarlo. Físicamente, el tráfico
entra y sale del cortafuegos a través de las interfaces. El cortafuegos decide cómo actuar sobre un paquete
basándose en si el paquete coincide con una política de seguridad. Al nivel más básico, la política de seguridad debe
identificar de dónde proviene el tráfico y hacia dónde va. En un cortafuegos de próxima generación de Palo Alto
Networks, se aplican políticas de seguridad entre zonas. Una zona es un grupo de interfaces (físicas o virtuales)
que proporciona una abstracción de un área de confianza para el cumplimiento de una política simplificada.
Por ejemplo, en el siguiente diagrama de topología, hay tres zonas: fiable, no fiable y DMZ. El tráfico puede
circular libremente dentro de una zona, pero no podrá hacerlo entre zonas hasta que no defina una política de
seguridad que lo permita.

Las siguientes secciones describen los componentes del perímetro de seguridad e indican los pasos necesarios
para configurar las interfaces del cortafuegos, definir zonas y configurar una política de seguridad básica que
permita el tráfico desde su zona interna hasta Internet y DMZ. Al crear inicialmente una política básica como
esta, podrá analizar el tráfico que circula por su red y utilizar esta información para definir políticas más
específicas y así habilitar aplicaciones de forma segura y evitar amenazas.
 Implementaciones de cortafuegos básicas
 Acerca de la traducción de direcciones de red (NAT)
 Acerca de las políticas de seguridad

Primeros pasos 15
Creación del perímetro de seguridad Primeros pasos

Implementaciones de cortafuegos básicas

Todos los cortafuegos de próxima generación de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinámico, la conmutación y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prácticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podrá elegir entre una implementación de interfaz de cable virtual, capa 2
o capa 3. Además, para permitirle integrar una variedad de segmentos de red, podrá configurar diferentes tipos
de interfaces en diferentes puertos. Las secciones siguientes ofrecen información básica sobre cada tipo de
implementación.
 Implementaciones de cable virtual
 Implementaciones de capa 2
 Implementaciones de capa 3
Para obtener información más detallada sobre la implementación, consulte Designing Networks with Palo Alto
Networks cortafuegos (Diseño de redes con cortafuegos de Palo Alto Networks).

Implementaciones de cable virtual

En una implementación de cable virtual, el cortafuegos se instala de forma transparente en un segmento de red
uniendo dos puertos. Cuando utilice un cable virtual, podrá instalar el cortafuegos en cualquier entorno de red
sin volver a configurar los dispositivos adyacentes. Si fuera necesario, un cable virtual puede bloquear o permitir
el tráfico en función de los valores de etiquetas de LAN virtual (VLAN). También puede crear múltiples
subinterfaces y clasificar el tráfico en función de una dirección IP (nombre, intervalo o subred), VLAN o una
combinación de ambas.
De forma predeterminada, el Virtual Wire (denominado default-vwire) conecta los puertos Ethernet 1 y 2 y
permite todo el tráfico sin etiquetar. Seleccione esta implementación para simplificar la instalación y la
configuración, y/o evitar cambios de configuración en los dispositivos de red que se encuentran alrededor.
Un cable virtual es la configuración predeterminada y solo se debe utilizar cuando no se necesita conmutación
o enrutamiento. Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente la
configuración antes de continuar con la configuración de la interfaz para evitar que interfiera con otras
configuraciones de interfaz que defina. Para obtener instrucciones sobre cómo eliminar el Virtual Wire
predeterminado, así como sus zonas y política de seguridad asociadas, consulte el Paso 3 en Establecimiento de
un puerto de datos para acceder a servicios externos.

Implementaciones de capa 2

En una implementación de capa 2, el cortafuegos permite cambiar entre dos o más interfaces. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos
ejecutará el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN común.
Seleccione esta opción cuando necesite poder alternar.
Para obtener más información sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note
(Nota técnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota técnica sobre protección del
tráfico entre VLAN).

16 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Implementaciones de capa 3

En una implementación de capa 3, el cortafuegos enruta el tráfico entre puertos. Se debe asignar una dirección
IP a cada interfaz y definir un enrutador virtual para enrutar el tráfico. Seleccione esta opción cuando necesite
enrutamiento.
Debe asignar una dirección IP a cada interfaz de capa 3 física que configure. También puede crear subinterfaces
lógicas para cada interfaz de capa 3 física que le permitan segregar el tráfico de la interfaz basándose en el tag
de VLAN (cuando se utilice un enlace troncal de VLAN) o la dirección IP, por ejemplo, para la arquitectura
multiempresa.
Además, dado que el cortafuegos debe enrutar tráfico en una implementación de capa 3, deberá configurar un
enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento
dinámico (BGP, OSPF o RIP), así como añadir rutas estáticas. También puede crear varios enrutadores virtuales,
cada uno de los cuales mantendrá un conjunto separado de rutas que no se comparten entre enrutadores
virtuales, lo que le permitirá configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
El ejemplo de configuración de este capítulo muestra cómo integrar el cortafuegos en su red de capa 3 utilizando
rutas estáticas. Para obtener información sobre otros tipos de integraciones de enrutamiento, consulte los
documentos siguientes:

 How to Configure OSPF Tech Note (Nota técnica sobre cómo configurar OSPF)

 How to Configure BGP Tech Note (Nota técnica sobre cómo configurar BGP)

Acerca de la traducción de direcciones de red (NAT)

Cuando utilice direcciones IP privadas en sus redes internas, deberá utilizar la traducción de direcciones de red
(NAT) para traducir las direcciones privadas en direcciones públicas que puedan enrutarse a redes externas. En
PAN-OS, cree reglas de política NAT que indican al cortafuegos qué paquetes necesitan traducción y cómo
realizar la traducción. El cortafuegos admite tanto la traducción de puerto y/o dirección de origen como la
traducción de puerto y/o dirección de destino. Para obtener información más detallada sobre los diferentes
tipos de reglas de NAT, consulte Understanding and Configuring NAT Tech Note (Nota técnica sobre la comprensión
y configuración de NAT).
Es importante comprender el modo en que el cortafuegos aplica las políticas NAT y de seguridad para
determinar qué políticas necesita basándose en las zonas que ha definido. Al entrar, el cortafuegos inspecciona
un paquete para comprobar si coincide con alguna de las reglas de NAT que se han definido, basándose en la
zona de origen y/o destino. A continuación, evalúa y aplica las reglas de seguridad que coincidan con el paquete
basándose en las direcciones de origen y destino originales (anteriores a NAT). Por último, traduce los números
de puerto de origen y/o destino para las reglas de NAT coincidentes al salir. Esta distinción es importante, ya
que implica que el cortafuegos determina para qué zona está destinado un paquete basándose en la dirección
del paquete, no en la colocación del dispositivo basándose en su dirección asignada de manera interna.

Primeros pasos 17
Creación del perímetro de seguridad Primeros pasos

Acerca de las políticas de seguridad

Las políticas de seguridad protegen los activos de red frente a amenazas e interrupciones y ayudan a asignar de
manera óptima los recursos de red para mejorar la productividad y la eficacia en los procesos empresariales. En
el cortafuegos de Palo Alto Networks, las políticas de seguridad determinan si una sesión se bloqueará o se
permitirá basándose en atributos del tráfico, como la zona de seguridad de origen y destino, la dirección IP de
origen y destino, la aplicación, el usuario y el servicio. De manera predeterminada, se permite el tráfico intrazona
(es decir, el tráfico dentro de la misma zona, por ejemplo, de fiable a fiable). El tráfico entre diferentes zonas
(o tráfico interzonas) está bloqueado hasta que cree una política de seguridad que permita el tráfico.
Las políticas de seguridad se evalúan de izquierda a derecha y de arriba abajo. Un paquete coincide con la primera
regla que cumpla los criterios definidos; después de activar una coincidencia, las reglas posteriores no se evalúan.
Por lo tanto, las reglas más específicas deben preceder a las más genéricas para aplicar los mejores criterios de
coincidencia. El tráfico que coincide con una regla genera una entrada de log al final de la sesión en el log de
tráfico, si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla. Por ejemplo,
se pueden configurar para registrarse al inicio de una sesión en lugar o además de registrarse al final de una
sesión.
 Componentes de una política de seguridad
 Prácticas recomendadas de políticas
 Acerca de objetos de políticas
 Acerca de los perfiles de seguridad

Componentes de una política de seguridad

La estructura de las políticas de seguridad permite una combinación de los componentes obligatorios y
opcionales enumerados a continuación.

Campo Descripción

Campos Nombre Etiqueta que admite hasta 31 caracteres, utilizada para identificar la regla.
obligatorios

Zona de origen Zona en la que se origina el tráfico.

Zona de destino Zona en la que termina el tráfico. Si utiliza NAT, asegúrese de hacer
referencia siempre a la zona posterior a NAT.
Aplicación La aplicación que desea controlar. El cortafuegos utiliza la tecnología de
clasificación de tráfico App-ID para identificar el tráfico de su red.
App-ID permite controlar las aplicaciones y ofrece visibilidad al crear
políticas de seguridad que bloquean las aplicaciones desconocidas, al
tiempo que se habilitan, inspeccionan y moldean las que están permitidas.
Acción Especifica una acción de permiso o denegación para el tráfico basándose en
los criterios que defina en la regla.
Campos Etiqueta Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto es de
opcionales utilidad cuando ha definido muchas reglas y desea revisar las que están
etiquetadas con una palabra clave específica, por ejemplo Entrante en DMZ.

18 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Campo Descripción (Continuación)

Descripción Campo de texto, de hasta 255 caracteres, utilizado para describir la regla.

Dirección IP de origen Define la dirección IP o FQDN de host, la subred, los grupos nombrados
o el cumplimiento basado en el país. Si utiliza NAT, asegúrese de hacer
siempre referencia a las direcciones IP originales del paquete (es decir, la
dirección IP anterior a NAT).
Dirección IP de destino Ubicación o destino del tráfico. Si utiliza NAT, asegúrese de hacer siempre
referencia a las direcciones IP originales del paquete (es decir, la dirección
IP anterior a NAT).
Usuario Usuario o grupo de usuarios a los que se aplica la política. Debe tener
habilitado User-ID en la zona. Para habilitar User-ID, consulte
Descripción general de User-ID.
Categoría de URL El uso de Categoría de URL como criterios de coincidencia le permite
personalizar perfiles de seguridad (antivirus, antispyware,
vulnerabilidades, bloqueo de archivos, filtrado de datos y DoS) según la
categoría de URL. Por ejemplo, puede impedir la descarga/carga de
archivos .exe para las categorías de URL que representen un riesgo más
alto, mientras que sí lo permite para otras categorías. Esta funcionalidad
también le permite adjuntar programaciones a categorías de URL
específicas (permitir sitios web de redes sociales durante el almuerzo y
después de las horas de trabajo), marcar determinadas categorías de URL
con QoS (financiera, médica y empresarial) y seleccionar diferentes
perfiles de reenvío de logs según la categoría de URL.
Aunque puede configurar categorías de URL manualmente en su
dispositivo, para aprovechar las actualizaciones dinámicas de
categorización de URL disponibles en los cortafuegos de Palo Alto
Networks, deberá adquirir una licencia de filtrado de URL.
Nota Para bloquear o permitir el tráfico basado en la categoría de URL,
deberá aplicar un perfil de filtrado de URL a las reglas de políticas
de seguridad. Defina la categoría de URL como Cualquiera y
adjunte un perfil de filtrado de URL a la política de seguridad.
Consulte Creación de reglas de seguridad para obtener
información sobre el uso de los perfiles predeterminados de su
política de seguridad y consulte Control del acceso a contenido
web para obtener información más detallada.

Primeros pasos 19
Creación del perímetro de seguridad Primeros pasos

Campo Descripción (Continuación)

Servicio Le permite seleccionar un puerto de capa 4 (TCP o UDP) para la


aplicación. Puede seleccionar cualquiera, especificar un puerto o utilizar
Valor predeterminado de aplicación para permitir el uso del puerto basado en
estándares de la aplicación. Por ejemplo, en el caso de aplicaciones con
números de puerto conocidos, como DNS, la opción Valor predeterminado
de aplicación coincidirá con el tráfico DNS únicamente en el puerto 53 de
TCP. También puede añadir una aplicación personalizada y definir los
puertos que puede utilizar la aplicación.
Nota Para reglas de permiso entrante (por ejemplo, de no fiable a
fiable), el uso de Valor predeterminado de aplicación impide que las
aplicaciones se ejecuten en puertos y protocolos inusuales. Valor
predeterminado de aplicación es la opción predeterminada; si
bien el dispositivo sigue comprobando todas las aplicaciones en
todos los puertos, con esta configuración, las aplicaciones
solamente tienen permiso en sus puertos/protocolos estándar.

Campos Perfiles de seguridad Proporciona una protección adicional frente a amenazas, vulnerabilidades
opcionales y fugas de datos. Los perfiles de seguridad únicamente se evalúan en el
caso de reglas que tengan una acción de permiso.

Perfil HIP (para Le permite identificar a clientes con el perfil de información de host (Host
GlobalProtect) Information Profile, HIP) y, a continuación, aplicar privilegios de acceso.

Opciones Le permite definir logs para la sesión, registrar ajustes de reenvío, cambiar
marcas de calidad de servicio (Quality of Service, QoS) de paquetes que
coincidan con la regla y planificar cuándo (día y hora) debería ser efectiva
la regla de seguridad.

Prácticas recomendadas de políticas

La tarea de habilitar de forma segura el acceso a Internet y prevenir el uso indebido de los privilegios de acceso
web y la exposición a vulnerabilidades y ataques es un proceso continuo. El principio básico al definir una
política en el cortafuegos de Palo Alto Networks es utilizar un enfoque de cumplimiento positivo, el cual permite
de manera selectiva aquello que es necesario para las operaciones comerciales cotidianas. Lo contrario sería el
cumplimiento negativo, con el que bloquearía de manera selectiva todo lo que no está permitido. Tenga en
cuenta las siguientes sugerencias al crear una política:
 Si tiene dos o más zonas con requisitos de seguridad idénticos, combínelas en una regla de seguridad.
 El orden de las reglas es crucial para garantizar los mejores criterios de coincidencia. Dado que la política
se evalúa de arriba abajo, las políticas más específicas deben preceder a las más generales, de modo que las
reglas más específicas no estén atenuadas. Esto quiere decir que una regla no se evalúa o se omite porque se
encuentra a un nivel más bajo en la lista de políticas. Cuando la regla se sitúa más abajo, no se evalúa
porque otra regla precedente cumple los criterios de coincidencia, impidiendo así la evaluación de política
de la primera regla.
 Para restringir y controlar el acceso a las aplicaciones entrantes, en la política de seguridad, defina
explícitamente el puerto al que escuchará el servicio/aplicación.

20 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

 El registro de reglas de permiso amplio (por ejemplo, acceso a servidores conocidos, como DNS) puede
generar mucho tráfico. Por lo tanto, no se recomienda a no ser que sea absolutamente necesario.
 De manera predeterminada, el cortafuegos crea una entrada de log al final de una sesión. Sin embargo,
puede modificar este comportamiento predeterminado y configurar el cortafuegos para que se registre al
inicio de la sesión. Debido a que esto aumentan significativamente el volumen de logs, el registro al inicio
de la sesión únicamente se recomienda cuando está solucionando un problema. Otra alternativa para
solucionar un problema sin habilitar el registro al inicio de la sesión es utilizar el explorador de sesión
(Supervisar > Explorador de sesión) para ver las sesiones en tiempo real.

Acerca de objetos de políticas

Un objeto de política es un objeto único o una unidad colectiva que agrupa identidades discretas, como direcciones
IP, URL, aplicaciones o usuarios. Con objetos de políticas que sean unidades colectivas, podrá hacer referencia
al objeto en la política de seguridad en lugar de seleccionar manualmente varios objetos de uno en uno. Por lo
general, al crear un objeto de política, se agrupan objetos que requieran permisos similares en la política. Por
ejemplo, si su organización utiliza un conjunto de direcciones IP de servidor para autenticar usuarios, podrá
agrupar el conjunto de direcciones IP de servidor como objeto de política de grupo de direcciones y hacer referencia
al grupo de direcciones en la política de seguridad. Al agrupar objetos, podrá reducir significativamente la carga
administrativa al crear políticas.
Puede crear los siguientes objetos de políticas en el cortafuegos:

Objeto de política Descripción

Dirección/Grupo de Le permite agrupar direcciones de origen o destino específicas que requieren el mismo
direcciones, Región cumplimiento de política. El objeto de dirección puede incluir una dirección IPv4 o
IPv6 (dirección IP simple, intervalo, subred) o FQDN. También puede definir una
región por las coordenadas de latitud y longitud o seleccionar un país y definir la
dirección IP o el intervalo de IP. A continuación puede agrupar un conjunto de objetos
de dirección para crear un objeto de grupo de direcciones.
También puede utilizar grupos de direcciones dinámicas para actualizar
dinámicamente direcciones IP en entornos donde las direcciones IP de host
cambian frecuentemente.
Usuario/grupo de usuarios Le permite crear una lista de usuarios desde la base de datos local o una base de datos
externa y agruparlos.
Grupo de aplicaciones y Filtro Un Filtro de aplicación le permite filtrar aplicaciones dinámicamente. Le permite filtrar y
de aplicación guardar un grupo de aplicaciones mediante los atributos definidos en la base de datos
de la aplicación en el cortafuegos. Por ejemplo, puede filtrar según uno o más atributos
(categoría, subcategoría, tecnología, riesgo y características) y guardar su filtro de
aplicación. Con un filtro de aplicación, cuando se produce una actualización de
contenido de PAN-OS, las nuevas aplicaciones que coincidan con sus criterios de filtro
se añadirán automáticamente a su filtro de aplicación guardado.
Un Grupo de aplicaciones le permite crear un grupo estático de aplicaciones específicas
que desee agrupar para un grupo de usuarios o para un servicio en concreto.

Primeros pasos 21
Creación del perímetro de seguridad Primeros pasos

Objeto de política Descripción

Servicio/Grupos de servicios Le permite especificar los puertos de origen y destino y el protocolo que puede utilizar
un servicio. El cortafuegos incluye dos servicios predefinidos (servicio-http y
servicio-https) que utilizan los puertos 80 y 8080 de TCP para HTTP y el puerto 443
de TCP para HTTPS. Sin embargo, puede crear cualquier servicio personalizado en
cualquier puerto TCP/UDP de su elección para restringir el uso de la aplicación a
puertos específicos de su red (dicho de otro modo, puede definir el puerto
predeterminado para la aplicación).
Para ver los puertos estándar utilizados por una aplicación, en Objetos >
Aplicaciones, busque la aplicación y haga clic en el enlace. Aparecerá una
descripción concisa.

Algunos ejemplos de objetos de políticas de dirección y aplicación se muestran en las políticas de seguridad incluidas
en Creación de reglas de seguridad. Si desea información sobre los otros objetos de políticas, consulte
Habilitación de funciones de prevención de amenazas básicas.

Acerca de los perfiles de seguridad

Mientras que con las políticas de seguridad puede permitir o denegar el tráfico en su red, los perfiles de seguridad
le ayudan a definir una regla de permiso con exploración, que explora las aplicaciones permitidas en busca de
amenazas. Cuando el tráfico coincida con la regla de permiso definida en la política de seguridad, los perfiles de
seguridad vinculados a la regla se aplicarán para reglas de inspección de contenido adicionales, como
comprobaciones antivirus y filtrado de datos.

Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de tráfico.


El perfil de seguridad se aplica para explorar el tráfico después de que la política de seguridad
permita la aplicación o categoría.

Los diferentes tipos de perfiles de seguridad que pueden vincularse a políticas de seguridad son: Antivirus,
Antispyware, Protección contra vulnerabilidades, Filtrado de URL, Bloqueo de archivos y Filtrado de datos. El
cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Creación de reglas de seguridad para obtener
información sobre el uso de los perfiles predeterminados de su política de seguridad. Cuando comprenda mejor
las necesidades de seguridad de su red, podrá crear perfiles personalizados. Consulte Exploración del tráfico en
busca de amenazas para obtener más información.

Configuración de interfaces y zonas

Las siguientes secciones proporcionan información sobre la configuración de interfaces y zonas:


 Planificación de la implementación
 Configuración de interfaces y zonas

22 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Planificación de la implementación

Antes de empezar a configurar las interfaces y zonas, dedique algo de tiempo a planificar las zonas que necesitará
basándose en los diferentes requisitos de uso de su organización. Además, debería recopilar toda la información
de configuración que necesitará de manera preventiva. A un nivel básico, debería planificar qué interfaces
pertenecerán a qué zonas. Para implementaciones de capa 3, también deberá obtener las direcciones IP
obligatorias y la información de configuración de red de su administrador de red, incluida la información sobre
cómo configurar el protocolo de enrutamiento o las rutas estáticas obligatorias para la configuración de
enrutador virtual. El ejemplo de este capítulo se basará en la siguiente topología:

Ilustración: Ejemplo de topología de capa 3

La siguiente tabla muestra la información que utilizaremos para configurar las interfaces de capa 3 y sus
correspondientes zonas, como se muestra en la topología de muestra.

Zona Tipos de implementación Interfaces Ajustes de configuración

No fiable L3 Ethernet1/3 Dirección IP: 208.80.56.100/24


Enrutador virtual: Predeterminado
Ruta predeterminada: 0.0.0.0/0
Siguiente salto: 208.80.56.1

Fiable L3 Ethernet1/4 Dirección IP: 192.168.1.4/24


Enrutador virtual: Predeterminado

DMZ L3 Ethernet1/13 Dirección IP: 10.1.1.1/24


Enrutador virtual: Predeterminado

Configuración de interfaces y zonas

Después de planificar sus zonas y las correspondientes interfaces, podrá configurarlas en el dispositivo. El modo
en que configure cada interfaz dependerá de la topología de su red.
El siguiente procedimiento muestra cómo configurar una implementación de capa 3 como se muestra en la
Ilustración: Ejemplo de topología de capa 3.

Primeros pasos 23
Creación del perímetro de seguridad Primeros pasos

El cortafuegos viene preconfigurado con una interfaz de cable virtual predeterminada entre los
puertos Ethernet 1/1 y Ethernet 1/2 (y una política de seguridad y un enrutador virtual
predeterminados correspondientes). Si no pretende usar el cable virtual predeterminado, debe
eliminar manualmente la configuración y confirmar el cambio antes de continuar para evitar que
interfiera con otras configuraciones que defina. Para obtener instrucciones sobre cómo eliminar
el Virtual Wire predeterminado y sus zonas y política de seguridad asociadas, consulte el Paso 3
en Establecimiento de un puerto de datos para acceder a servicios externos.

Configuración de interfaces y zonas

Paso 1 Configure una ruta predeterminada hacia 1. Seleccione Red > Enrutador virtual y, a continuación,
su enrutador de Internet. seleccione el enlace predeterminado para abrir el cuadro de
diálogo Enrutador virtual.
2. Seleccione la pestaña Rutas estáticas y haga clic en Añadir.
Introduzca un Nombre para la ruta e introduzca la ruta en el
campo Destino (por ejemplo, 0.0.0.0/0).
3. Seleccione el botón de opción Dirección IP en el campo
Siguiente salto y, a continuación, introduzca la dirección IP y la
máscara de red para su puerta de enlace de Internet (por
ejemplo, 208.80.56.1).
4. Haga clic en Aceptar dos veces para guardar la configuración de
enrutador virtual.

Paso 2 Configure la interfaz externa (la interfaz 1. Seleccione Red > Interfaces y, a continuación, seleccione la
que se conecta a Internet). interfaz que quiera configurar. En este ejemplo, estamos
configurando Ethernet1/3 como la interfaz externa.
2. Seleccione el Tipo de interfaz. Aunque su decisión aquí
depende de la topología de su red, este ejemplo muestra los
pasos para Capa 3.
3. En la pestaña Configuración, seleccione Nueva zona en el menú
desplegable Zona de seguridad. En el cuadro de diálogo Zona,
defina un Nombre para una nueva zona, por ejemplo No fiable
y, a continuación, haga clic en Aceptar.
4. En el menú desplegable Enrutador virtual, seleccione
predeterminado.
5. Para asignar una dirección IP a la interfaz, seleccione la pestaña
IPv4, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 208.80.56.100/24.
6. Para que pueda hacer ping en la interfaz, seleccione Avanzada >
Otra información, amplíe el menú desplegable Perfil de
gestión y seleccione Nuevo perfil de gestión. Introduzca un
Nombre para el perfil, seleccione Ping y, a continuación, haga
clic en Aceptar.
7. Para guardar la configuración de la interfaz, haga clic en
Aceptar.

24 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Configuración de interfaces y zonas (Continuación)

Paso 3 Configure la interfaz que se conecta a su 1. Seleccione Red > Interfaces y seleccione la interfaz que desee
red interna. configurar. En este ejemplo, estamos configurando Ethernet1/4
Nota En este ejemplo, la interfaz se conecta a como la interfaz interna.
un segmento de red que utiliza 2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
direcciones IP privadas. Dado que las 3. En la pestaña Configurar, amplíe el menú desplegable Zona de
direcciones IP privadas no se pueden seguridad y seleccione Nueva zona. En el cuadro de diálogo
enrutar externamente, deberá configurar Zona, defina un Nombre para una nueva zona, por ejemplo
NAT. Consulte Configuración de Fiable y, a continuación, haga clic en Aceptar.
políticas de NAT.
4. Seleccione el mismo enrutador virtual que utilizó en el Paso 2;
en este ejemplo, el predeterminado.
5. Para asignar una dirección IP a la interfaz, seleccione la pestaña
IPv4, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 192.168.1.4/24.
6. Para que pueda hacer ping en la interfaz, seleccione el perfil de
gestión que creó en el Paso 2-6.
7. Para guardar la configuración de la interfaz, haga clic en Aceptar.

Paso 4 Configure la interfaz que se conecta a 1. Seleccione la interfaz que desee configurar.
DMZ. 2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz. En
este ejemplo, estamos configurando Ethernet1/13 como la
interfaz de DMZ.
3. En la pestaña Configurar, amplíe el menú desplegable Zona de
seguridad y seleccione Nueva zona. En el cuadro de diálogo
Zona, defina un Nombre para una nueva zona, por ejemplo
DMZ y, a continuación, haga clic en Aceptar.
4. Seleccione el enrutador virtual que utilizó en el Paso 2; en este
ejemplo, el predeterminado.
5. Para asignar una dirección IP a la interfaz, seleccione la pestaña
IPv4, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 10.1.1.1/24.
6. Para que pueda hacer ping en la interfaz, seleccione el perfil de
gestión que creó en el Paso 2-6.
7. Para guardar la configuración de la interfaz, haga clic en
Aceptar.

Paso 5 Guarde la configuración de la interfaz. Haga clic en Confirmar.

Paso 6 Conecte los cables del cortafuegos. Conecte cables directos desde las interfaces que ha configurado al
conmutador o enrutador de cada segmento de red.

Paso 7 Verifique que las interfaces estén activas. Desde la interfaz web, seleccione Red > Interfaces y verifique que el
icono de la columna Estado de enlace es de color verde. También
puede supervisar el estado de enlace desde el widget Interfaces en el
Panel.

Primeros pasos 25
Creación del perímetro de seguridad Primeros pasos

Configuración de políticas de NAT

Basándose en la topología de ejemplo que utilizamos para crear las interfaces y las zonas, hay tres políticas NAT
que necesitamos crear de la manera siguiente:

 Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones 192.168.1.0
internas deberán traducirse a direcciones enrutables públicamente. En este caso, configuraremos NAT de
origen, utilizando la dirección de interfaz de salida, 208.80.56.100, como la dirección de origen en todos los
paquetes que salgan del cortafuegos desde la zona interna. Consulte Traducción de direcciones IP de clientes
internos a su dirección IP pública para obtener instrucciones.

 Para permitir que los clientes de la red interna accedan al servidor web público en la zona DMZ,
necesitaremos configurar una regla NAT que redirija el paquete desde la red externa, donde la búsqueda de
tabla de enrutamiento original determinará que debe ir, basándose en la dirección de destino de 208.80.56.11
dentro del paquete, a la dirección real del servidor web de la red DMZ de 10.1.1.11. Para ello, deberá crear
una regla NAT desde la zona fiable (donde se encuentra la dirección de origen del paquete) hasta la zona no
fiable (donde se encuentra la dirección de destino) para traducir la dirección de destino a una dirección de la
zona DMZ. Este tipo de NAT de destino se denomina NAT de ida y vuelta. Consulte Habilitación de clientes
de la red interna para acceder a sus servidores públicos para obtener instrucciones.

 Para permitir que el servidor web (que tiene tanto una dirección IP privada en la red DMZ como una
dirección pública para que accedan usuarios externos) envíe y reciba solicitudes, el cortafuegos debe traducir
los paquetes entrantes desde la dirección IP pública hacia la dirección IP privada y los paquetes salientes
desde la dirección IP privada hacia la dirección IP pública. En el cortafuegos, puede conseguir esto con una
única política NAT de origen estático bidireccional. Consulte Habilitación de la traducción de direcciones
bidireccional para sus servidores públicos.

26 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Traducción de direcciones IP de clientes internos a su dirección IP pública

Cuando un cliente de su red interna envía una solicitud, la dirección de origen del paquete contiene la dirección
IP del cliente de su red interna. Si utiliza intervalos de direcciones IP privadas, los paquetes del cliente no se
podrán enrutar en Internet a menos que traduzca la dirección IP de origen de los paquetes que salen de la red
a una dirección enrutable públicamente. En el cortafuegos, puede realizar esta acción configurando una política
NAT de origen que traduzca la dirección de origen y opcionalmente el puerto a una dirección pública. Un modo
de hacerlo es traducir la dirección de origen de todos los paquetes a la interfaz de salida de su cortafuegos, como
se muestra en el procedimiento siguiente.

Configuración de NAT de origen

Paso 1 Cree un objeto de dirección para la 1. Desde la interfaz web, seleccione Objetos > Direcciones y, a
dirección IP externa que tenga la continuación, haga clic en Añadir.
intención de utilizar. 2. Introduzca un Nombre y opcionalmente una Descripción para
el objeto.
3. Seleccione Máscara de red IP en el menú desplegable Tipo y, a
continuación, introduzca la máscara de red y la dirección IP de
la interfaz externa en el cortafuegos, 208.80.56.100/24 en este
ejemplo.
4. Para guardar el objeto de dirección, haga clic en Aceptar.
Práctica recomendada:
Aunque no tiene que utilizar objetos de dirección en sus políticas, es
una práctica recomendada porque simplifica la administración al
permitirle realizar actualizaciones en un lugar en vez de tener que
actualizar cada política donde se hace referencia a la dirección.

Primeros pasos 27
Creación del perímetro de seguridad Primeros pasos

Configuración de NAT de origen (Continuación)

Paso 2 Cree la política NAT.


1. Seleccione Políticas > NAT y haga clic en
Añadir.
2. Introduzca un Nombre descriptivo para
la política.
3. En la pestaña Paquete original,
seleccione la zona que creó para su red
interna en la sección Zona de origen
(haga clic en Añadir y, a continuación,
seleccione la zona) y la zona que creó para
la red externa en el menú desplegable
Zona de destino.
4. En la pestaña Paquete traducido, seleccione IP dinámica y puerto en el menú desplegable Tipo de
traducción en la sección Traducción de dirección de origen de la pantalla y, a continuación, haga clic en
Añadir. Seleccione el objeto de dirección que creó en el Paso 1.
5. Haga clic en Aceptar para guardar la
política NAT.

Paso 3 Guarde la configuración. Haga clic en Confirmar.

Habilitación de clientes de la red interna para acceder a sus servidores públicos

Cuando un usuario de la red interna envíe una solicitud para acceder al servidor web corporativo en DMZ, el
servidor DNS se resolverá en la dirección IP pública. Al procesar la solicitud, el cortafuegos utilizará el destino
original del paquete (la dirección IP pública) y enrutará el paquete a la interfaz de salida para la zona no fiable.
Para que el cortafuegos sepa que debe traducir la dirección IP pública del servidor web a una dirección de la red
DMZ cuando reciba solicitudes de usuarios en la zona fiable, deberá crear una regla NAT de destino que permita
al cortafuegos enviar la solicitud a la interfaz de salida para la zona DMZ de la manera siguiente.

28 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Configuración de NAT de ida y vuelta

Paso 1 Cree un objeto de dirección para el 1. Desde la interfaz web, seleccione Objetos > Direcciones y, a
servidor web. continuación, haga clic en Añadir.
2. Introduzca un Nombre y opcionalmente una Descripción para
el objeto.
3. Seleccione Máscara de red IP en el menú desplegable Tipo y, a
continuación, introduzca la máscara de red y la dirección IP
pública del servidor web, 208.80.56.11/24 en este ejemplo.
4. Para guardar el objeto de dirección, haga clic en Aceptar.

Paso 2 Cree la política NAT.


1. Seleccione Políticas > NAT y haga clic en
Añadir.
2. Introduzca un Nombre descriptivo para la
regla NAT.
3. En la pestaña Paquete original, seleccione
la zona que creó para su red interna en la
sección Zona de origen (haga clic en
Añadir y, a continuación, seleccione la
zona) y la zona que creó para la red externa
en el menú desplegable Zona de destino.
4. En la sección Dirección de destino, haga clic en Añadir y seleccione el objeto de dirección que creó para su
servidor web público.
5. En la pestaña Paquete traducido,
seleccione la casilla de verificación
Traducción de dirección de destino y, a
continuación, introduzca la dirección IP
asignada a la interfaz del servidor web de la
red DMZ, 10.1.1.11 en este ejemplo.
6. Haga clic en Aceptar para guardar la
política NAT.

Paso 3 Guarde la configuración. Haga clic en Confirmar.

Habilitación de la traducción de direcciones bidireccional para sus servidores públicos

Cuando sus servidores públicos tengan direcciones IP privadas asignadas en el segmento de red en el que se
encuentran físicamente, necesitará una regla NAT de origen para traducir la dirección de origen del servidor a
la dirección externa en el momento de la salida. Puede realizar esta acción creando una regla NAT estática que
indique al cortafuegos que debe traducir la dirección de origen interna, 10.1.1.11, a la dirección del servidor web
externa, 208.80.56.11 en nuestro ejemplo. Sin embargo, en el caso de un servidor público, el servidor debe poder
enviar paquetes y recibirlos. En este caso, necesita una política recíproca que traduzca la dirección pública que

Primeros pasos 29
Creación del perímetro de seguridad Primeros pasos

será la dirección IP de destino en paquetes entrantes de usuarios de Internet a la dirección privada para permitir
que el cortafuegos enrute correctamente el paquete a su red DMZ. En el cortafuegos, puede realizar esta acción
creando una política NAT estática bidireccional como se describe en el procedimiento siguiente.

Configuración de NAT bidireccional

Paso 1 Cree un objeto de dirección para la 1. Desde la interfaz web, seleccione Objetos > Direcciones y, a
dirección IP interna del servidor web. continuación, haga clic en Añadir.
2. Introduzca un Nombre y opcionalmente una Descripción para
el objeto.
3. Seleccione Máscara de red IP en el menú desplegable Tipo y, a
continuación, introduzca la máscara de red y la dirección IP del
servidor web en la red DMZ, 10.1.1.11/24 en este ejemplo.
4. Para guardar el objeto de dirección, haga clic en Aceptar.
Nota Si todavía no ha creado un objeto de dirección para la
dirección pública de su servidor web, también debería crear
ese objeto ahora.

Paso 2 Cree la política NAT.


1. Seleccione Políticas > NAT y haga clic en
Añadir.
2. Introduzca un Nombre descriptivo para la
regla NAT.
3. En la pestaña Paquete original, seleccione
la zona que creó para su DMZ en la sección
Zona de origen (haga clic en Añadir y, a
continuación, seleccione la zona) y la zona
que creó para la red externa en el menú
desplegable Zona de destino.
4. En la sección Dirección de origen, haga clic en Añadir y seleccione el objeto de dirección que creó para su
dirección de servidor web interno.
5. En la pestaña Paquete traducido,
seleccione IP estática en el menú
desplegable Tipo de traducción de la
sección Traducción de dirección de
origen y, a continuación, seleccione el
objeto de dirección que creó para su
dirección de servidor web externo en el
menú desplegable Dirección traducida.
6. En el campo Bidireccional, seleccione Sí.
7. Haga clic en Aceptar para guardar la política NAT.

Paso 3 Guarde la configuración. Haga clic en Confirmar.

30 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Configuración de políticas de seguridad básicas

Las políticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de política que puede
crear en el cortafuegos son: políticas de seguridad, NAT, calidad de servicio (QoS), reenvío basado en políticas
(PFB), descifrado, cancelación de aplicaciones, portal cautivo, denegación de servicio y protección de zonas.
Todas estas diferentes políticas funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar,
descifrar, realizar excepciones, autenticar el acceso y restablecer conexiones según sea necesario para ayudar a
proteger su red. Esta sección cubre las políticas de seguridad básicas y los perfiles de seguridad predeterminados:
 Creación de reglas de seguridad
 Comprobación de sus políticas de seguridad
 Supervisión del tráfico de su red

Creación de reglas de seguridad

Las políticas de seguridad hacen referencia a zonas de seguridad; gracias a ellas puede permitir, restringir y
realizar un seguimiento del tráfico de su red. Como cada zona implica un nivel de fiabilidad, la regla implícita
para pasar tráfico entre dos zonas diferentes es de denegación, con lo que el tráfico de dentro de una zona está
permitido. Para permitir el tráfico entre dos zonas diferentes, debe crear una regla de seguridad que permita el
flujo de tráfico entre ellas.
Al configurar el marco básico para proteger el perímetro empresarial, es conveniente empezar con una política
de seguridad sencilla que permita el tráfico entre las diferentes zonas sin ser demasiado restrictiva. Como se
muestra en la sección siguiente, nuestro objetivo es reducir al mínimo la probabilidad de interrupción de las
aplicaciones a las que los usuarios de la red necesitan acceder, a la vez que ofrecemos visibilidad de las
aplicaciones y las posibles amenazas para su red.

Al definir políticas, asegúrese de que no crea una política que deniegue todo el tráfico de
cualquier zona de origen a cualquier zona de destino, ya que esto interrumpirá el tráfico intrazona
que se permite de manera implícita. De manera predeterminada, se permite el tráfico intrazona
porque las zonas de origen y de destino son las mismas y, por lo tanto, comparten el mismo nivel
de fiabilidad.

Primeros pasos 31
Creación del perímetro de seguridad Primeros pasos

Definición de reglas de seguridad básicas

Paso 1 Permita el acceso a Internet a todos los Para habilitar de manera segura aplicaciones necesarias para
usuarios de la red empresarial. operaciones comerciales cotidianas, crearemos una regla sencilla que
permitirá el acceso a Internet. Para proporcionar una protección
Zona: De fiable a no fiable
básica contra amenazas, adjuntaremos los perfiles de seguridad
Nota De manera predeterminada, el predeterminados disponibles en el cortafuegos.
cortafuegos incluye una regla de 1. Seleccione Políticas > Seguridad y haga clic en Añadir.
seguridad denominada regla1 que permite
2. Asigne a la regla un nombre descriptivo en la pestaña General.
todo el tráfico desde la zona fiable a la
zona no fiable. Puede eliminar la regla o 3. En la pestaña Origen, establezca Zona de origen como Fiable.
modificarla para reflejar su convención de 4. En la pestaña Destino, establezca Zona de destino como No
denominación de zonas. fiable.
Nota Para inspeccionar las reglas de política e identificar
visualmente las zonas de cada regla, cree una etiqueta con
el mismo nombre que la zona. Por ejemplo, para codificar
por colores la zona fiable y asignarle el color verde,
seleccione Objetos > Etiquetas, haga clic en Añadir,
indique Fiable en el campo Nombre y seleccione el color
verde en el campo Color.

5. En la pestaña Categoría de URL/servicio, seleccione


servicio-http y servicio-https.
6. En la pestaña Acciones, realice estas tareas:
a. Establezca Configuración de acción como Permitir.
b. Adjunte los perfiles predeterminados para la protección
antivirus, antispyware y contra vulnerabilidades y para el
filtrado de URL, en Ajuste de perfil.
7. Verifique que los logs están habilitados al final de una sesión
bajo Opciones. Únicamente se registrará el tráfico que coincida
con una regla de seguridad.

32 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Definición de reglas de seguridad básicas (Continuación)

Paso 2 Permita que los usuarios de la red interna 1. Haga clic en Añadir en la sección Políticas > Seguridad.
accedan a los servidores en DMZ. 2. Asigne a la regla un nombre descriptivo en la pestaña General.
Zona: De fiable a DMZ 3. En la pestaña Origen, establezca Zona de origen como Fiable.
Nota Si utiliza direcciones IP para configurar el 4. En la pestaña Destino, establezca Zona de destino como DMZ.
acceso a los servidores en DMZ, 5. En la pestaña Categoría de URL/servicio, asegúrese de que
asegúrese siempre de hacer referencia a Servicio está establecido como Valor predeterminado de
las direcciones IP originales del paquete aplicación.
(es decir, las direcciones anteriores a
6. En la pestaña Acciones, establezca Configuración de acción
NAT) y la zona posterior a NAT.
como Permitir.
7. Deje el resto de opciones con los valores predeterminados.

Paso 3 Restrinja el acceso desde Internet a los Para restringir el acceso entrante a DMZ desde Internet, configure
servidores en DMZ únicamente a una regla que únicamente permita el acceso a direcciones IP de
direcciones IP de servidor específicas. servidores específicos y en los puertos predeterminados que utilicen
las aplicaciones.
Por ejemplo, puede permitir que los
1. Haga clic en Añadir para añadir una nueva regla y asignarle un
usuarios accedan a los servidores de
correo web únicamente desde fuera. nombre descriptivo.
2. En la pestaña Origen, establezca Zona de origen como No
Zona: De no fiable a DMZ fiable.
3. En la pestaña Destino, establezca Zona de destino como DMZ.
4. Establezca Dirección de destino como el objeto de dirección
Servidor web público que creó anteriormente. El objeto de
dirección de servidor web público hace referencia a la dirección
IP pública (208.80.56.11/24) del servidor web accesible en
DMZ.
5. Seleccione la aplicación de correo web en la pestaña Aplicación.
Nota El Servicio está establecido como Valor predeterminado
de aplicación de manera predeterminada.

6. Establezca Configuración de acción como Permitir.

Primeros pasos 33
Creación del perímetro de seguridad Primeros pasos

Definición de reglas de seguridad básicas (Continuación)

Paso 4 Permita el acceso desde DMZ a su red 1. Haga clic en Añadir para añadir una nueva regla y asignarle un
interna (zona fiable). Para reducir al nombre descriptivo.
mínimo los riesgos, únicamente debe 2. Establezca Zona de origen como DMZ.
permitir el tráfico entre servidores y
3. Establezca Zona de destino como Fiable.
direcciones de destino específicos. Por
ejemplo, si tiene un servidor de aplicación 4. Cree un objeto de dirección que especifique los servidores de su
en DMZ que necesita comunicarse con zona fiable a los que se puede acceder desde DMZ.
un servidor de base de datos específico de
su zona fiable, cree una regla para permitir
el tráfico entre un origen y un destino
específicos.
Zona: De DMZ a fiable

5. En la pestaña Destino de la regla de política de seguridad,


establezca Dirección de destino como el objeto Dirección que
creó anteriormente.
6. En la pestaña Acciones, realice estas tareas:
a. Establezca Configuración de acción como Permitir.
b. Adjunte los perfiles predeterminados para la protección
antivirus, antispyware y contra vulnerabilidades bajo Ajuste
de perfil.
c. En la sección Otros ajustes, seleccione la opción
Deshabilitar inspección de respuesta de servidor. Este
ajuste deshabilita el análisis antivirus y antispyware en las
respuestas del lado del servidor, con lo que reduce la carga del
cortafuegos.

34 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Definición de reglas de seguridad básicas (Continuación)

Paso 5 Habilite los servidores de DMZ para 1. Añada una nueva regla y asígnele una etiqueta descriptiva.
obtener actualizaciones y correcciones 2. Establezca Zona de origen como DMZ.
urgentes de Internet. Por ejemplo,
3. Establezca Zona de destino como No fiable.
digamos que desea permitir el servicio
Microsoft Update. 4. Cree un grupo de aplicaciones para especificar las aplicaciones
que desee permitir. En este ejemplo, permitimos actualizaciones
Zona: De DMZ a no fiable de Microsoft (ms-update) y dns.

Nota El Servicio está establecido como Valor predeterminado


de aplicación de manera predeterminada. Esto hará que el
cortafuegos permita las aplicaciones únicamente cuando
utilicen los puertos estándar asociados a estas aplicaciones.
5. Establezca Configuración de acción como Permitir.
6. Adjunte los perfiles predeterminados para la protección
antivirus, antispyware y contra vulnerabilidades, bajo Perfiles.

Paso 6 Guarde sus políticas en la configuración Haga clic en Confirmar.


que se esté ejecutando en el dispositivo.

Primeros pasos 35
Creación del perímetro de seguridad Primeros pasos

Comprobación de sus políticas de seguridad

Para verificar que ha configurado sus políticas básicas de manera eficaz, compruebe si sus políticas de seguridad
se están evaluando y determine qué regla de seguridad se aplica a un flujo de tráfico.

Verificación de coincidencia de política con un


flujo

Para verificar la regla de política que coincide con Por ejemplo, para verificar la regla de política que se aplicará a
un flujo, utilice el siguiente comando de la CLI: un servidor en DMZ con la dirección IP 208.90.56.11 cuando
test security-policy-match accede al servidor de actualización de Microsoft, deberá
source <IP_address> destination probar con el comando siguiente:
<IP_address> destination port
<port_number> protocol test security-policy-match source 208.80.56.11
<protocol_number> destination 176.9.45.70 destination-port 80
protocol 6
El resultado muestra la regla que coincide mejor
con la dirección IP de origen y destino especificada "Updates-DMZ to Internet" {
en el comando de la CLI. from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;

Supervisión del tráfico de su red

Ahora que tiene establecida una política de seguridad básica, podrá revisar las estadísticas y los datos en el
Centro de comando de aplicación (ACC), logs de tráfico y logs de amenazas para observar tendencias en su red
y así identificar dónde necesita crear políticas más específicas.
A diferencia de los cortafuegos tradicionales que utilizan un puerto o protocolo para identificar aplicaciones, los
cortafuegos de Palo Alto Networks utilizan la firma de aplicaciones (la tecnología App-ID) para supervisar
aplicaciones. La firma de aplicaciones se basa en propiedades de aplicaciones exclusivas y características de
transacciones relacionadas junto con el puerto o protocolo. Por lo tanto, aunque el tráfico utilice el
puerto/protocolo correcto, el cortafuegos puede denegar el acceso al contenido porque la firma de aplicación
no coincide. Esta función le permite habilitar aplicaciones de manera segura permitiendo partes de la aplicación
al mismo tiempo que bloquea o controla funciones dentro de la misma aplicación. Por ejemplo, si permite la
aplicación de exploración web, un usuario podrá acceder a contenido de Internet. Así, si un usuario entra en
Facebook y luego juega al Scrabble en Facebook, el cortafuegos identificará los cambios de aplicación y
reconocerá Facebook como una aplicación y Scrabble como una aplicación de Facebook. Por lo tanto, si crea una regla
específica que bloquee las aplicaciones de Facebook, se denegará el acceso a Scrabble para el usuario aunque
todavía podrá acceder a Facebook.

36 Primeros pasos
Primeros pasos Creación del perímetro de seguridad

Para supervisar el tráfico de su red:

 Uso del centro de comando de aplicación: En el ACC, revise las aplicaciones más utilizadas y las aplicaciones
de alto riesgo en su red. El ACC resume gráficamente la información de logs para resaltar las aplicaciones
que cruzan la red, quién las está utilizando (con el User-ID habilitado) y el posible impacto en la seguridad
del contenido para ayudarle a identificar qué sucede en la red en tiempo real. A continuación, podrá utilizar
esta información para crear políticas de seguridad adecuadas que bloqueen las aplicaciones no deseadas y que
permitan y habiliten aplicaciones de manera segura.

 Determine qué actualizaciones/modificaciones son necesarias para sus reglas de seguridad de red e
implemente los cambios. Por ejemplo:
– Evalúe si desea permitir contenido basándose en la programación, los usuarios o los grupos.
– Permita o controle determinadas aplicaciones o funciones dentro de una aplicación.
– Descifre e inspeccione contenido.
– Permita con exploración en busca de amenazas y explotaciones.
Para obtener información sobre cómo ajustar sus políticas de seguridad y para adjuntar perfiles de
seguridad personalizados, consulte Habilitación de funciones de prevención de amenazas básicas.

 Visualización de los archivos log: De manera específica, visualice los logs de tráfico y amenaza (Supervisar >
Logs).

Los logs de tráfico dependen del modo en que sus políticas de seguridad están definidas y
configuradas para registrar el tráfico. Sin embargo, la pestaña ACC registra aplicaciones y
estadísticas independientemente de la configuración de las políticas; muestra todo el tráfico que
se permite en su red, por lo que incluye el tráfico entre zonas que permite la política y el tráfico
de la misma zona que se permite implícitamente.

 Interpretación de los logs de filtrado de URL: Revise los logs de filtrado de URL para examinar alertas,
y categorías/URL denegadas. Los logs de URL se generan cuando un tráfico coincide con una regla de
seguridad que tenga un perfil de filtrado de URL adjunto con una acción de alertar, continuar, sobrescribir
o bloquear.

Primeros pasos 37
Habilitación de funciones de prevención de amenazas básicas Primeros pasos

Habilitación de funciones de prevención de amenazas


básicas
El cortafuegos de próxima generación de Palo Alto Networks tiene funciones exclusivas de prevención de
amenazas que le permiten proteger su red de ataques frente a técnicas de evasión, tunelización o elusión. Las
funciones de prevención de amenazas del cortafuegos incluyen el servicio WildFire, los perfiles de seguridad
que admiten las funciones Antivirus, Antispyware, Protección contra vulnerabilidades, Filtrado de URL,
Bloqueo de archivos y Filtrado de datos y las funciones Denegación de servicio (DoS) y Protección de zona.
Antes de que pueda aplicar funciones de prevención de amenazas, primero debe configurar
zonas (para identificar una o más interfaces de origen o destino) y políticas de seguridad. Para
configurar interfaces, zonas y las políticas necesarias para aplicar funciones de prevención de
amenazas, consulte Configuración de interfaces y zonas y Configuración de políticas de
seguridad básicas.

Para empezar a proteger su red ante amenazas, comience por aquí:


 Habilitación de WildFire
 Exploración del tráfico en busca de amenazas
 Control del acceso a contenido web

Habilitación de WildFire

El servicio WildFire se incluye como parte del producto básico. El servicio WildFire permite que el cortafuegos
reenvíe archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier
actividad malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan
automáticamente firmas de software malintencionado que estarán disponibles en las descargas diarias del
antivirus en un plazo de 24-48 horas. Su suscripción a la prevención de amenazas le da derecho a actualizaciones
de firmas de antivirus que incluyen firmas detectadas por WildFire.
Considere adquirir el servicio de suscripción a WildFire para obtener estas ventajas adicionales:

 Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)

 Reenvío de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java)
 Capacidad para cargar archivos usando la API de WildFire

 Capacidad para reenviar archivos a un dispositivo WF-500 WildFire privado


Aunque la capacidad de configurar un perfil de bloqueo de archivos para reenviar archivos Portable
Executable (PE) a la nube de WildFire para su análisis es gratuita, para reenviar archivos a un dispositivo
WildFire privado se requiere una suscripción a WildFire.

38 Primeros pasos
Primeros pasos Habilitación de funciones de prevención de amenazas básicas

Habilitación de WildFire

Paso 1 Confirme que su dispositivo está 1. Vaya al sitio de asistencia técnica de Palo Alto Networks, inicie
registrado y que tiene una cuenta válida sesión y seleccione Mis dispositivos.
de asistencia técnica, así como las 2. Verifique que el cortafuegos se incluye en la lista. Si no aparece,
suscripciones que requiera. consulte Register With Palo Alto Networks.
3. (Opcional) Activación de licencias.

Paso 2 Establezca las opciones de reenvío de 1. Seleccione Dispositivo > Configuración > WildFire.
WildFire. 2. Haga clic en el icono Editar de la sección Configuración general.
3. (Opcional) Especifique el Servidor de WildFire al que reenviar
archivos. De forma predeterminada, el cortafuegos reenviará los
archivos a la nube pública de WildFire alojada en EE. UU. Para
reenviar archivos a una nube de WildFire diferente, introduzca
un nuevo valor de la manera siguiente:
• Para reenviar a una nube privada de WildFire, introduzca la
dirección IP o el nombre de dominio completo (FQDN) de
su dispositivo WF-500 WildFire.
• Para reenviar archivos a la nube pública de WildFire que se
ejecuta en Japón, introduzca
wildfire.paloaltonetworks.jp.
Nota Si no tiene una suscripción a WildFire, 4. (Opcional) Si desea cambiar el tamaño de archivo máximo que
únicamente podrá reenviar archivos el cortafuegos puede reenviar para un tipo de archivo específico,
ejecutables. modifique el valor en el campo correspondiente.
5. Haga clic en ACEPTAR para guardar los cambios.

Paso 3 Configure un perfil de bloqueo de 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
archivos para reenviar archivos a archivos y haga clic en Añadir.
WildFire. 2. Introduzca un nombre y, opcionalmente, una descripción para
el perfil.
3. Haga clic en Añadir para crear una regla de reenvío e introduzca
un nombre.
4. En la columna Acción, seleccione Reenviar.
5. Deje los otros campos establecidos como Cualquiera para
reenviar cualquier tipo de archivo compatible desde cualquier
aplicación.
6. Haga clic en Aceptar para guardar el perfil.

Paso 4 Adjunte el perfil de bloqueo de archivos a 1. Seleccione Políticas > Seguridad y bien seleccione una política
las políticas de seguridad que permiten existente o cree una nueva política según se describe en
acceder a Internet. Creación de reglas de seguridad.
2. Haga clic en la pestaña Acciones dentro de la política de
seguridad.
3. En la sección de configuración del perfil, haga clic en el menú
desplegable y seleccione el perfil de bloqueo de archivos que
creó para el reenvío de WildFire. (Si no ve ningún menú
desplegable en el que seleccionar un perfil, seleccione Perfiles
en el menú desplegable Tipo de perfil.

Primeros pasos 39
Habilitación de funciones de prevención de amenazas básicas Primeros pasos

Habilitación de WildFire (Continuación)

Paso 5 Guarde la configuración. Haga clic en Confirmar.

Paso 6 Verifique que el cortafuegos esté 1. Seleccione Supervisar > Logs > Filtrado de datos.
reenviando archivos a WildFire. 2. Compruebe en la columna Acción las siguientes acciones:
• Reenviar: Indica que el perfil de bloqueo de archivos
adjuntado a la política de seguridad reenvió el archivo de
forma correcta.
• Wildfire-upload-success: Indica que el archivo se ha
enviado a WildFire. Esto significa que el archivo no está
firmado por un firmante de archivo fiable y que WildFire no
lo ha analizado anteriormente.
• Wildfire-upload-skip: Indica que el archivo se identificó
como apto para enviarse a WildFire por un perfil de bloqueo
de archivos o una política de seguridad, pero que no fue
necesario que WildFire lo analizase porque ya se había
analizado previamente. En este caso, la acción mostrará
reenviar aparecerá en el registro de filtrado de datos porque
era una acción de reenvío válida, pero que no se envió y
analizó en WildFire porque el archivo ya se envió a la nube de
WildFire desde otra sesión, posiblemente desde otro
cortafuegos.
3. Consulte los registros de WildFire seleccionando Supervisar >
Logs > Envíos de WildFire. Si aparecen nuevos logs de
WildFire, se debe a que el cortafuegos está reenviando
correctamente los archivos a WildFire y a que WildFire está
devolviendo los resultados del análisis de archivos.

Exploración del tráfico en busca de amenazas

Los perfiles de seguridad proporcionan protección ante amenazas en políticas de seguridad. Por ejemplo, puede
aplicar un perfil de antivirus a una política de seguridad y todo el tráfico que coincida con las políticas de
seguridad se analizará para buscar virus.
Las siguientes secciones indican los pasos necesarios para establecer una configuración de prevención de
amenazas básica:
 Configuración de antivirus, antispyware y protección contra vulnerabilidades
 Configuración de bloqueo de archivos

Configuración de antivirus, antispyware y protección contra vulnerabilidades

Cada cortafuegos de próxima generación de Palo Alto Networks incluye perfiles predeterminados de antivirus,
antispyware y protección contra vulnerabilidades que puede adjuntar a políticas de seguridad.

40 Primeros pasos
Primeros pasos Habilitación de funciones de prevención de amenazas básicas

Como práctica recomendada, adjunte los perfiles predeterminados a sus políticas de acceso web
básicas para garantizar que el tráfico que entre en su red esté libre de amenazas.

A medida que supervisa el tráfico de su red y amplía su base de reglas de políticas, puede diseñar perfiles más
detallados que cubran sus necesidades de seguridad específicas. Todas las firmas antispyware y de protección contra
vulnerabilidades tienen una acción predeterminada definida por Palo Alto Networks. Puede ver la acción
predeterminada navegando hasta Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de seguridad >
Protección contra vulnerabilidades y, a continuación, seleccionando un perfil. Haga clic en la pestaña Excepciones y
después en Mostrar todas las firmas; verá una lista de las firmas con la acción predeterminada en la columna Acción.
Para cambiar la acción predeterminada, debe crear un nuevo perfil y después crear reglas con una acción no
predeterminada o añadir excepciones de firma individuales en la pestaña Excepciones del perfil.

Configuración de antivirus/antispyware/protección contra vulnerabilidades

Paso 1 Compruebe que tiene una licencia de • La licencia de prevención de amenazas reúne en una licencia las
prevención de amenazas. funciones de antivirus, antispyware y protección contra
vulnerabilidades.
• Seleccione Dispositivo > Licencias para comprobar que la licencia
de prevención de amenazas está instalada y es válida (compruebe
la fecha de vencimiento).

Paso 2 Descargue las firmas de amenazas de 1. Seleccione Dispositivo > Actualizaciones dinámicas y haga clic
antivirus más recientes. en Comprobar ahora en la parte inferior de la página para
recuperar las firmas más recientes.
2. En la columna Acciones, haga clic en Descargar para instalar
las firmas más recientes de antivirus y de aplicaciones y
amenazas.

Paso 3 Programe actualizaciones de firmas. 1. Desde Dispositivo > Actualizaciones dinámicas, haga clic en el
texto que hay a la derecha de Programación para recuperar
automáticamente las actualizaciones de firmas de Antivirus y
Práctica recomendada para actualizaciones: Aplicaciones y amenazas.
Realice una descarga e instalación diariamente 2. Especifique la frecuencia y sincronización de las actualizaciones
para recibir actualizaciones de antivirus y y si la actualización se descargará e instalará o únicamente se
semanalmente para recibir actualizaciones de descargará. Si selecciona Únicamente descargar, tendrá que
aplicaciones y amenazas. entrar manualmente y hacer clic en el enlace Instalar de la
columna Acción para instalar la firma. Cuando hace clic en
ACEPTAR, se programa la actualización. No es necesario realizar
una compilación.
3. (Opcional) También puede introducir un número de horas en el
campo Umbral para indicar el tiempo mínimo que debe tener
una firma antes de realizar la descarga. Por ejemplo, si introduce
10, la firma debe tener al menos 10 horas de antigüedad antes de
poder descargarla, independientemente de la programación.
4. En una configuración de HA, también puede hacer clic en la
opción Sincronizar en el peer para sincronizar la actualización
de contenido con el peer de HA tras la descarga/instalación.
Esto no hará que se apliquen los ajustes de programación al
dispositivo del peer, sino que tendrá que configurar la
programación en cada dispositivo.

Primeros pasos 41
Habilitación de funciones de prevención de amenazas básicas Primeros pasos

Configuración de antivirus/antispyware/protección contra vulnerabilidades (Continuación)

Recomendaciones para configuraciones de HA:


• HA activa/pasiva: Si el puerto de gestión se usa para descargar firmas de antivirus, configure una programación en
ambos dispositivos y ambos dispositivos realizarán las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizará descargas mientras esté en estado pasivo. En este
caso debería establecer una programación en ambos dispositivos y, a continuación, seleccionar la opción Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarán las actualizaciones y después
se aplicarán al dispositivo pasivo.
• HA activa/activa: Si el puerto de gestión se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalación en ambos dispositivos, pero no seleccione la opción Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizará que si un dispositivo en la configuración activa/activa pasa al estado activo secundario, el dispositivo activo
descargará/instalará la firma y después la aplicará al dispositivo activo secundario.

Paso 4 Añada los perfiles de seguridad a una 1. Seleccione Políticas > Seguridad, seleccione la política deseada
política de seguridad. para modificarla y, a continuación, haga clic en la pestaña
Acciones.
2. En Ajuste de perfil, haga clic en el menú desplegable junto a
cada perfil de seguridad que desea activar. En este ejemplo
seleccionamos el valor predeterminado de Antivirus,
Protección contra vulnerabilidades y Antispyware.
(Si no ve menús desplegables para seleccionar perfiles,
seleccione Perfiles en el menú desplegable Tipo de perfil).

Paso 5 Guarde la configuración. Haga clic en Confirmar.

Configuración de bloqueo de archivos

Los perfiles de bloqueo de archivos le permiten identificar tipos de archivos específicos que desee bloquear o
supervisar. El siguiente flujo de trabajo muestra cómo configurar un perfil de bloqueo de archivos básico que
impide que los usuarios descarguen archivos ejecutables de Internet.

42 Primeros pasos
Primeros pasos Habilitación de funciones de prevención de amenazas básicas

Configuración de bloqueo de archivos

Paso 1 Cree el perfil de bloqueo de archivos. 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
archivos y haga clic en Añadir.
2. Introduzca un nombre para el perfil de bloqueo de archivos, por
ejemplo, Bloquear_EXE. Opcionalmente, introduzca una
descripción, como Bloquear la descarga de archivos exe desde sitios web
por parte de usuarios.

Paso 2 Configure las opciones de bloqueo de 1. Haga clic en Añadir para definir estos ajustes de perfil.
archivos. 2. Introduzca un nombre, como Bloquear_EXE.
3. Establezca las aplicaciones a las que desee aplicar el bloqueo de
archivos o déjelas establecidas como “cualquiera”.
4. Establezca los tipos de archivos que se bloquearán. Por
ejemplo, para bloquear la descarga de archivos ejecutables,
debería seleccionar exe.
5. Especifique la dirección en la que bloquear la descarga de
archivos, la carga de archivos o ambas.
6. Establezca la acción como una de las siguientes:
• Continuar: Los usuarios deberán hacer clic en Continuar
para seguir con la descarga/carga. Debe habilitar páginas de
respuesta en las interfaces asociadas si tiene la intención de
utilizar esta opción.
• Bloquear: Los archivos que coincidan con los criterios
seleccionados tendrán su descarga/carga bloqueada.
• Alertar: Los archivos que coincidan con los criterios
seleccionados estarán permitidos, pero generarán una
entrada de log en el log de filtrado de datos.

7. Haga clic en Aceptar para guardar el perfil.

Paso 3 Adjunte el perfil de bloqueo de archivos a 1. Seleccione Políticas > Seguridad y seleccione una política
las políticas de seguridad que permiten existente o cree una nueva política según se describe en
acceder al contenido. Creación de reglas de seguridad.
2. Haga clic en la pestaña Acciones dentro de la política de
seguridad.
3. En la sección de configuración del perfil, haga clic en el menú
desplegable y seleccione el perfil de bloqueo de archivos que
creó. (Si no ve menús desplegables para seleccionar perfiles,
seleccione Perfiles en el menú desplegable Tipo de perfil).

Primeros pasos 43
Habilitación de funciones de prevención de amenazas básicas Primeros pasos

Configuración de bloqueo de archivos (Continuación)

Paso 4 Habilite páginas de respuesta en el perfil 1. Seleccione Red > Perfiles de red > Gestión de interfaz y, a
de gestión para cada interfaz en la que esté continuación, seleccione un perfil de interfaz para editarlo o
adjuntando un perfil de bloqueo de haga clic en Añadir para crear un nuevo perfil.
archivos con una acción Continuar. 2. Seleccione Páginas de respuesta, así como cualquier otro
servicio de gestión necesario en la interfaz.
3. Haga clic en Aceptar para guardar el perfil de gestión de
interfaz.
4. Seleccione Red > Interfaces y seleccione la interfaz a la que se
adjuntará el perfil.
5. En la pestaña Avanzada > Otra información, seleccione el perfil
de gestión de interfaz que acaba de crear.
6. Haga clic en Aceptar para guardar la configuración de la
interfaz.

Paso 5 Para comprobar la configuración de bloqueo de archivos, acceda a un ordenador cliente en la zona fiable del
cortafuegos y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debería aparecer una
página de respuesta. Haga clic en Continuar para descargar el archivo. También puede establecer otras acciones,
como únicamente alertar, reenviar (que reenviará a WildFire) o bloquear, que no proporcionará al usuario una
página que le pregunte si desea continuar. A continuación se muestra la página de respuesta predeterminada de
Bloqueo de archivos:

Ejemplo: Página de respuesta de bloqueo de archivos predeterminada

Control del acceso a contenido web

El filtrado de URL proporciona visibilidad y control sobre el tráfico web de su red. Con el filtrado de URL
habilitado, el cortafuegos puede categorizar el tráfico web en una o más categorías (de aproximadamente 60). A
continuación, puede crear políticas que especifiquen si se permite, bloquea o crea un log (alerta) para el tráfico
basándose en la categoría a la que pertenece. El siguiente flujo de trabajo muestra cómo habilitar PAN-DB para
el filtrado de URL, crear perfiles de seguridad y adjuntarlos a políticas de seguridad para aplicar una política de
filtrado de URL básica.

44 Primeros pasos
Primeros pasos Habilitación de funciones de prevención de amenazas básicas

Configuración de filtrado de URL

Paso 1 Confirme la información de la licencia 1. Obtenga e instale una licencia de filtrado de URL. Consulte
para el filtrado de URL. Activación de licencias para obtener información detallada.
2. Seleccione Dispositivo > Licencias y compruebe que la licencia
de filtrado de URL es válida.

Paso 2 Descargue la base de datos de envíos y 1. Para descargar la base de datos de envíos, haga clic en
active la licencia. Descargar junto a Descargar estado en la sección Filtrado de
URL de PAN-DB de la página Licencias.
2. Seleccione una región (Norteamérica, Europa, APAC, Japón) y,
a continuación, haga clic en Aceptar para iniciar la descarga.
3. Cuando finalice la descarga, haga clic en Activar.

Paso 3 Cree un perfil de filtrado de URL. 1. Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
Práctica recomendada para nuevos perfiles: 2. Seleccione el perfil predeterminado y, a continuación, haga clic
en Duplicar. El nuevo perfil se denominará predeterminado-1.
Dado que el perfil de filtrado de URL
predeterminado bloquea el contenido de riesgo y 3. Seleccione el nuevo perfil y cámbiele el nombre.
propenso a las amenazas, duplique este perfil
cuando cree un nuevo perfil para conservar la
configuración predeterminada.

Primeros pasos 45
Habilitación de funciones de prevención de amenazas básicas Primeros pasos

Configuración de filtrado de URL (Continuación)

Paso 4 Defina cómo controlar el acceso al 1. En cada categoría para la que quiera visibilidad o que quiera
contenido web. controlar, seleccione un valor en la columna Acción de la
siguiente forma:
Si no está seguro de qué tráfico desea
controlar, considere configurar las • Si no se preocupa por el tráfico a una categoría concreta
categorías (excepto las bloqueadas de (es decir, que no quiere bloquear ni registrar), seleccione
forma predeterminada) en Alertar. A Permitir.
continuación puede utilizar las • Para obtener visibilidad sobre el tráfico a sitios de una
herramientas de visibilidad en el categoría, seleccione Alertar.
cortafuegos, como el Centro de comando
de aplicación (ACC) y Appscope, para • Para evitar el acceso a tráfico que coincida con la política
determinar qué categorías web restringir a asociada, seleccione Bloquear (esto también genera una
grupos específicos o bloquear por entrada de log).
completo. A continuación, puede volver y
modificar el perfil para bloquear y
permitir categorías del modo deseado.
También puede definir sitios web
específicos que deben permitirse siempre
o bloquearse siempre
independientemente de la categoría y
habilitar la opción de búsqueda segura
para filtrar los resultados de búsqueda al
definir el perfil de Filtrado de URL.

2. Haga clic en Aceptar para guardar el perfil de filtro de URL.

Paso 5 Adjunte el perfil de filtro de URL a una 1. Seleccione Políticas > Seguridad.
política de seguridad. 2. Seleccione la política deseada para modificarla y después haga
clic en la pestaña Acciones.
3. Si es la primera vez que define un perfil de seguridad, seleccione
Perfiles en el menú desplegable Tipo de perfil.
4. En la lista de configuración de perfiles, seleccione el perfil que
acaba de crear en el menú desplegable Filtrado de URL. (Si no
ve menús desplegables para seleccionar perfiles, seleccione
Perfiles en el menú desplegable Tipo de perfil).
5. Haga clic en ACEPTAR para guardar el perfil.
6. Compile la configuración.

46 Primeros pasos
Primeros pasos Habilitación de funciones de prevención de amenazas básicas

Configuración de filtrado de URL (Continuación)

Paso 6 Habilite páginas de respuesta en el perfil 1. Seleccione Red > Perfiles de red > Gestión de interfaz y, a
de gestión en cada interfaz en la que filtre continuación, seleccione un perfil de interfaz para editarlo o
tráfico web. haga clic en Añadir para crear un nuevo perfil.
2. Seleccione Páginas de respuesta, así como cualquier otro
servicio de gestión necesario en la interfaz.
3. Haga clic en Aceptar para guardar el perfil de gestión de
interfaz.
4. Seleccione Red > Interfaces y seleccione la interfaz a la que se
adjuntará el perfil.
5. En la pestaña Avanzada > Otra información, seleccione el perfil
de gestión de interfaz que acaba de crear.
6. Haga clic en Aceptar para guardar la configuración de la
interfaz.

Paso 7 Guarde la configuración. Haga clic en Confirmar.

Paso 8 Para comprobar el filtrado de URL, acceda a un ordenador cliente desde la zona donde se aplica la política de
seguridad y trate de acceder a un sitio de una categoría bloqueada. Debe ver una página de respuesta de filtrado
de URL que indica que la página se ha bloqueado:

Cómo obtener más información

Si desea información más detallada sobre cómo proteger su empresa ante amenazas, consulte Prevención de
amenazas. Si desea información detallada sobre cómo explorar el tráfico cifrado (SSH o SSL) en busca de
amenazas, consulte Descifrado.
Si desea más información sobre las amenazas y aplicaciones que pueden identificar los productos de Palo Alto
Networks, visite los siguientes enlaces:

 Applipedia: Ofrece información sobre las aplicaciones que Palo Alto Networks puede identificar.

 Cámara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
número de ID para obtener más información acerca de una amenaza.

Primeros pasos 47
Prácticas recomendadas para completar la implementación del cortafuegos Primeros pasos

Prácticas recomendadas para completar la implementación


del cortafuegos
Ahora que ha integrado el cortafuegos en su red y ha habilitado las funciones de seguridad básicas, puede
empezar a configurar funciones más avanzadas. Estos son algunos aspectos que debería considerar a
continuación:
 Obtenga información sobre las diferentes Interfaces de gestión que están a su disposición y cómo acceder
a ellas y utilizarlas.
 Configure la Alta disponibilidad: La alta disponibilidad (HA) es una configuración en la que dos
cortafuegos se colocan en un grupo y su configuración se sincroniza para prevenir el fallo de un único
punto en su red. Una conexión de latido entre los peers del cortafuegos garantiza una conmutación por
error sin problemas en el caso de que falle un peer. La configuración de los cortafuegos en un clúster de
dos dispositivos proporciona redundancia y le permite garantizar la continuidad empresarial.
 Configuración de la clave maestra: Cada cortafuegos de Palo Alto Networks tiene una clave maestra
predeterminada que cifra las claves privadas que se utilizan para autenticar administradores cuando
acceden a interfaces de gestión en el cortafuegos. La práctica recomendada para proteger las claves es
configurar la clave maestra en cada cortafuegos para que sea exclusiva.
 Gestión de administradores de cortafuegos: Cada cortafuegos y dispositivo de Palo Alto Networks viene
preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso
completo de lectura-escritura (también conocido como acceso de superusuario) al dispositivo. Es
recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las
funciones de administración o informes del cortafuegos. Esto le permite proteger mejor el dispositivo de
la configuración (o modificación) no autorizada y registrar en logs las acciones de cada uno de los
administradores.
 Habilite la identificación de usuarios (User-ID): User-ID es una función de cortafuegos de próxima
generación de Palo Alto Networks que le permite crear políticas y realizar informes basándose en usuarios
y grupos en lugar de direcciones IP individuales.
 Habilite el Descifrado: Los cortafuegos de Palo Alto Networks ofrecen la capacidad de descifrar e
inspeccionar el tráfico para lograr visibilidad, control y seguridad detallada. Utilice el descifrado en un
cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido confidencial,
escondido como tráfico cifrado o de túnel.

48 Primeros pasos
Gestión de dispositivos
Los administradores pueden configurar, gestionar y supervisar los cortafuegos de Palo Alto Networks mediante
la interfaz web, la CLI y las interfaces de gestión de la API. El acceso administrativo basado en funciones a las
interfaces de gestión puede personalizarse para delegar tareas o permisos específicos a determinados
administradores. Consulte los siguientes temas para obtener información sobre opciones de gestión de
dispositivos, incluido cómo empezar a utilizar las interfaces de gestión y cómo personalizar las funciones de
administrador:
 Interfaces de gestión
 Gestión de administradores de cortafuegos
 Referencia: acceso de administrador a la interfaz web

Gestión de dispositivos 49
Interfaces de gestión Gestión de dispositivos

Interfaces de gestión
Los cortafuegos de PAN-OS y Panorama proporcionan tres interfaces de usuario: una interfaz web, una interfaz
de línea de comandos (CLI) y una API REST de gestión. Consulte los siguientes temas para saber cómo acceder
a cada una de las interfaces de gestión de dispositivos y cómo empezar a utilizarlas:

 Uso de la interfaz web para realizar tareas administrativas y generar informes desde la interfaz web con
relativa facilidad. Esta interfaz gráfica le permite acceder al cortafuegos con HTTPS y es la mejor forma de
realizar tareas administrativas.

 Uso de la interfaz de línea de comandos (CLI) para escribir los comandos con rapidez para realizar una serie
de tareas. La CLI es una interfaz sencilla que admite dos modos de comandos, cada uno de los cuales con su
propia jerarquía de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis de
los comandos, la CLI permite tiempos de respuesta rápidos y ofrece eficacia administrativa.

 Uso de la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes
desarrollados internamente. La API XML se proporciona como servicio web implementado usando
solicitudes y respuestas de HTTP/HTTPS.

Uso de la interfaz web

Los siguientes exploradores web son compatibles para acceder a la interfaz web de cortafuegos de PAN-OS y
Panorama:

 Internet Explorer 7+

 Firefox 3.6+

 Safari 5+

 Chrome 11+
Abra un explorador de Internet e introduzca la dirección IP del cortafuegos. Introduzca sus credenciales de
usuario. Si inicia sesión en el cortafuegos por primera vez, escriba el administrador predeterminado (admin) en
los campos Nombre y Contraseña.
Para ver información sobre cómo utilizar una página específica y una explicación de los campos y opciones de
la página, haga clic en el icono Ayuda del área superior derecha de la página para abrir el sistema de
ayuda en línea. Además de mostrar ayuda contextual de una página, al hacer clic en el icono Ayuda se muestra
un panel de navegación de ayuda con opciones para examinar todo el contenido de la ayuda y buscar en él.

Los siguientes temas describen cómo empezar a utilizar la interfaz web del cortafuegos:
 Navegación en la interfaz web
 Compilación de cambios
 Uso de páginas de configuración
 Campos obligatorios
 Bloqueo de transacciones

50 Gestión de dispositivos
Gestión de dispositivos Interfaces de gestión

Navegación en la interfaz web

Se aplican las siguientes convenciones cuando utilice la interfaz web.


 Para mostrar los elementos del menú para una categoría de funciones general, haga clic en la pestaña, como
Objetos o Dispositivo, junto a la parte superior de la ventana del explorador.

 Haga clic en un elemento en el menú lateral para mostrar un panel.

 Para mostrar los elementos del menú secundario, haga clic en el icono a la izquierda de un elemento.
Para ocultar elementos del menú secundario, haga clic en el icono a la izquierda del elemento.

 En la mayoría de las páginas de configuración, puede hacer clic en Añadir para crear un nuevo elemento.

 Para eliminar uno o más elementos, seleccione sus casillas de verificación y haga clic en Eliminar. En la
mayoría de los casos, el sistema le solicita confirmar haciendo clic en ACEPTAR o cancelar la eliminación
haciendo clic en Cancelar.

 En algunas páginas de configuración, puede seleccionar la casilla de verificación de un elemento y hacer clic
en Duplicar para crear un nuevo elemento con la misma información que el elemento seleccionado.

Gestión de dispositivos 51
Interfaces de gestión Gestión de dispositivos

 Para modificar un elemento, haga clic en su enlace subrayado.

 Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior derecha de la página.
La ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio,
mensajes asociados y acciones. Utilice la lista desplegable Mostrar para filtrar la lista de tareas.

 Si no se define una preferencia de idioma, el idioma de la interfaz web estará controlado por el idioma actual
del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que utiliza para gestionar el cortafuegos tiene
como idioma establecido el español, cuando inicia sesión en el cortafuegos, la interfaz web estará en español.
 Para especificar un idioma que se utilizará siempre para una cuenta específica independientemente de la
configuración regional del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la página y
se abrirá la ventana Preferencia de idioma. Haga clic en la lista desplegable para seleccionar el idioma que
desee y, a continuación, haga clic en ACEPTAR para guardar los cambios.

 En páginas donde aparecen informaciones que puede modificar (por ejemplo, la página Configuración en la
pestaña Dispositivos), haga clic en el icono en la esquina superior derecha de una sección para editar los
ajustes.

52 Gestión de dispositivos
Gestión de dispositivos Interfaces de gestión

 Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para almacenar los cambios.
Cuando hace clic en ACEPTAR, se actualiza la configuración actual de “candidato”.

Compilación de cambios

Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de diálogo Compilar.

Las siguientes opciones están disponibles en el cuadro de diálogo compilar. Haga clic en el enlace Avanzado, si
es necesario, para mostrar las opciones:
– Incluir configuración de dispositivo y red: Incluir los cambios de configuración de dispositivo y red en la
operación de compilación.
– Incluir configuración de objeto compartido:
(solo cortafuegos de sistemas virtuales) Incluir los cambios
de configuración de objetos compartidos en la operación de compilación.
– Incluir políticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios de configuración
de objetos y políticas en la operación de compilación.
– Incluir configuración del sistema virtual: Incluir todos los sistemas virtuales o elegir Seleccionar uno o
más sistemas virtuales.

– Vista previa de cambios: Haga clic en este botón para devolver una ventana con dos paneles que muestra
los cambios propuestos en la configuración del candidato en comparación con la configuración
actualmente en ejecución. Puede seleccionar el número de líneas de contexto para mostrar o mostrar
todas las líneas. Los cambios están indicados con colores dependiendo de los elementos que se han
agregado, modificado o eliminado.

Gestión de dispositivos 53
Interfaces de gestión Gestión de dispositivos

Uso de páginas de configuración

Las tablas en las páginas de configuración incluyen opciones para escoger columnas y orden. Haga clic en el
encabezado de una columna para ordenar en esa columna y haga clic de nuevo para cambiar el orden. Haga clic
en la flecha a la derecha de cualquier columna y seleccione casillas de verificación para elegir qué columnas
mostrar.

Campos obligatorios

Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratón o hace clic en el área de
entrada del campo, aparece un mensaje indicando que el campo es obligatorio.

Bloqueo de transacciones

La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un
conjunto actual de transacciones y de ese modo evitar cambios de configuración o compilación de información
por otro administrador hasta que se elimine el bloqueo. Se permiten los siguientes tipos de bloqueo:
 Bloqueo de configuración: Bloquea la realización de cambios en la configuración por otros administradores.
Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. Solo puede eliminarse
por el administrador que lo configuró o por un superusuario del sistema.
 Bloqueo de compilación: Bloquea los cambios de compilación por parte de otros administradores hasta que
se liberen todos los bloqueos. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando
dos administradores están realizando cambios a la vez y el primer administrador finaliza y compila cambios
antes de que finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios actuales
por el administrador que aplicó el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones actuales que están
bloqueadas junto con una marca de tiempo para cada una.

54 Gestión de dispositivos
Gestión de dispositivos Interfaces de gestión

Para bloquear una transacción, haga clic en el icono desbloqueado en la barra superior para abrir el cuadro
de diálogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el ámbito del bloqueo en la lista desplegable y haga
clic en ACEPTAR. Agregue bloqueos adicionales como sea necesario y vuelva a hacer clic en Cerrar para cerrar
el cuadro de diálogo Bloqueo.
La transacción está bloqueada y el icono en la barra superior cambia por un icono bloqueado que muestra el
número de elementos bloqueados en las paréntesis.

Para desbloquear una transacción, haga clic en el icono bloqueado en la barra superior para abrir la ventana
Bloqueos. Haga clic en el icono del bloqueo que desea eliminar y haga clic en Sí para confirmar. Haga clic
en Cerrar para cerrar el cuadro de diálogo Bloqueo.
Puede organizar la adquisición de un bloqueo de compilación de forma automática seleccionando la casilla de
verificación Adquirir bloqueo de compilación automáticamente en el área de administración de la página
Configuración de dispositivo.

Uso de la interfaz de línea de comandos (CLI)

La CLI de PAN-OS le permite acceder a cortafuegos y dispositivos de Panorama, ver información de estado y
configuración y modificar configuraciones. El acceso a la CLI de PAN-OS se proporciona a través de SSH,
Telnet o acceso directo a la consola.
Los siguientes temas describen cómo acceder a la CLI de PAN-OS y cómo empezar a utilizarla:
 Acceso a la CLI de PAN-OS
 Modos de operación y configuración
Para obtener más información sobre la CLI, consulte la Guía de referencia de la interfaz de línea de comandos de
PAN-OS.

Acceso a la CLI de PAN-OS

Antes de empezar, verifique que el cortafuegos está instalado y que se ha establecido una conexión de SSH,
Telnet o directa con la consola.
Utilice la siguiente configuración en la conexión directa de la consola:
• Tasa de datos: 9600
• Bits de datos: 8
• Paridad: No
• Bits de terminación: 1
• Control de flujo: Ninguna

Gestión de dispositivos 55
Interfaces de gestión Gestión de dispositivos

Acceso a la CLI de PAN-OS

Paso 1 Abra la conexión de la consola.

Paso 2 Introduzca el nombre de usuario administrativo. El valor predeterminado es admin.

Paso 3 Introduzca la contraseña administrativa. El valor predeterminado es admin.

Paso 4 La CLI de PAN-OS se abre en el modo de operación y se muestra el siguiente mensaje de la CLI:
username@hostname>

Modos de operación y configuración

Cuando inicie sesión, la CLI de PAN-OS se abre en el modo de operación. Puede alternar entre los modos de
operación y navegación en cualquier momento. Utilice el modo de operación para ver el estado del sistema,
navegar por la CLI de PAN-OS y acceder al modo de configuración. Utilice el modo de configuración para ver
y modificar la jerarquía de configuración.

 Para entrar en el modo de configuración desde el modo de operación, utilice el comando configure :
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#

 Para salir del modo de configuración y regresar al modo de operación, utilice el comando quit o exit:
username@hostname# quit
Exiting configuration mode
username@hostname>

 Para introducir un comando del modo de operación mientras está en el modo de configuración, utilice el
comando run; por ejemplo:
username@hostname# run ping host 1.1.1.2
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#

 Para dirigir un comando del modo de operación a un VSYS en particular, especifique el VSYS de destino
con el siguiente comando:
username@hostname# set system setting target-vsys <vsys_name>

56 Gestión de dispositivos
Gestión de dispositivos Interfaces de gestión

Uso de la API XML

La API XML de Palo Alto Networks utiliza solicitudes HTTP estándar para enviar y recibir datos, lo que permite
el acceso a varios tipos de datos en el dispositivo para que los datos puedan integrarse fácilmente con otros
sistemas y utilizarse en ellos. Utilice la API REST de gestión para ver la configuración de un cortafuegos o
Panorama, extraer datos de informes en formato XML y ejecutar comandos de operación. Las llamadas de la
API se pueden realizar directamente desde utilidades de la línea de comandos como cURL o wget o usando
cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la REST. Al
utilizar la API con herramientas de líneas de comandos, se admiten tanto el método GET como el método
POST de HTTP.
Debe generar una clave de API para empezar a utilizar la API XML. La clave de API autentica al usuario para
el cortafuegos, la aplicación o Panorama. Después de haber generado una clave de API, puede utilizar la clave
para realizar la configuración del dispositivo y tareas de operación, recuperar informes y logs e importar y
exportar archivos. Consulte Generación de una clave de API para conocer los pasos necesarios para generar una
clave de API.
La siguiente tabla muestra la estructura de URL para solicitudes de la API:
Estructura de URL de la API XML

Antes de PAN-OS 4.1.0 http(s)://hostname/esp/restapi.esp?request-parameters-values

PAN-OS 4.1.0 y posterior http(s)://hostname/api/?request-parameters-values

Definiciones de elementos de la estructura de URL:


• hostname: Dirección IP o nombre de dominio del dispositivo.
• request-parameters-values: Serie de varios pares de ‘parámetro=valor’ separados por el carácter &. Estos
valores pueden ser palabras clave o valores de datos en formato estándar o XML (los datos de respuesta siempre
están en formato XML).

Existen diferentes API para productos PAN-OS, User-ID y WildFire. Para obtener más información sobre
cómo utilizar la interfaz de la API, consulte la PAN-OS XML API Usage Guide (Guía de uso de la API XML
de PAN-OS). Para acceder a la comunidad en línea para desarrollar secuencias de comandos, visite:
https://live.paloaltonetworks.com/community/devcenter.

Generación de una clave de API

Para utilizar la API para gestionar un cortafuegos o una aplicación, se necesita una clave de API para autenticar
todas las llamadas de la API. Se utilizan credenciales de cuenta de administrador para generar claves de API.
La práctica recomendada es crear una cuenta de administrador separada para la administración
basada en XML.

Gestión de dispositivos 57
Interfaces de gestión Gestión de dispositivos

Generación de una clave de API

Paso 1 Cree una cuenta de administrador. 1. En la interfaz web, en la pestaña Dispositivo >
Administradores, haga clic en Añadir.
2. Introduzca un Nombre de inicio de sesión para el administrado.
3. Introduzca y confirme una Contraseña para el administrador.
4. Haga clic en ACEPTAR y Confirmar.

Paso 2 Solicite una clave de API. Sustituya los parámetros hostname, username y password de la
siguiente URL por los valores adecuados de sus credenciales de
cuenta de administrador:
http(s)://hostname/api/?type=keygen&user=username&password
=password

La clave de API aparecerá en un bloque XML. Por ejemplo:


<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>

Paso 3 (Opcional) Revoque o cambie una clave 1. En la pestaña Dispositivo > Administradores, abra la cuenta de
de API. administrador asociada a la clave de API.
Para PAN-OS 4.1.0 y versiones 2. Introduzca y confirme una nueva Contraseña para la cuenta de
posteriores, cada vez que se genera una administrador.
clave de API con las mismas credenciales 3. Haga clic en ACEPTAR y Confirmar.
de cuenta de administrador, se devuelven Las claves de API asociadas a la cuenta de administrador antes
claves de API exclusivas; además, todas del cambio de contraseña se revocarán al seleccionar Confirmar.
las claves son válidas.
4. (Opcional) Utilice las credenciales de cuenta de administrador
Puede decidir revocar y, a continuación, actualizadas para generar una nueva clave de API. Consulte
cambiar una clave de API asociada a una Paso 2.
cuenta de administrador cambiando la
contraseña asociada a la cuenta de
administrador. Las claves de API
generadas con las credenciales anteriores
dejarán de ser válidas.

Ejemplo de flujo de trabajo utilizando una clave de API:


Solicite una clave de API introduciendo la URL con los valores adecuados en un explorador web:
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
Al introducir la URL, aparecerá un bloque XML que contiene la clave de API:
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Siga utilizando la clave de API para crear solicitudes de la API. Por ejemplo, para generar un informe:
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&rep
ortname=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM
6A=

58 Gestión de dispositivos
Gestión de dispositivos Gestión de administradores de cortafuegos

Gestión de administradores de cortafuegos


Cada cortafuegos y dispositivo de Palo Alto Networks viene preconfigurado con una cuenta administrativa
predeterminada (admin), que proporciona un acceso completo de lectura-escritura (también conocido como
acceso de superusuario) al dispositivo.
Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite
acceder a las funciones de administración o informes del cortafuegos. Esto le permite proteger
mejor el dispositivo de la configuración (o modificación) no autorizada y registrar en logs las
acciones de cada uno de los administradores.

Los siguientes temas describen las diversas formas de configurar cuentas administrativas y ofrecen
procedimientos para configurar accesos administrativos básicos:
 Funciones administrativas
 Autenticación administrativa
 Creación de una cuenta administrativa

Funciones administrativas

El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su
organización, de que tenga servicios de autenticación previos que desee integrar y del número de funciones
administrativas que necesite. Una función define el tipo de acceso al sistema que tiene el administrador asociado.
Se pueden asignar dos tipos de funciones:

 Funciones dinámicas: Funciones integradas que proporcionan acceso al cortafuegos en las categorías de
superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo
lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones
dinámicas solo tendrá que preocuparse de actualizar las definiciones de función, ya que se añaden nuevas
características cuando las funciones se actualizan automáticamente.

 Perfiles de función de administrador: Le permiten crear sus propias definiciones de función para ofrecer
un control de acceso más granular a las diversas áreas funcionales de la interfaz web, CLI o API XML. Por
ejemplo, podría crear un perfil de función de administrador para su personal de operaciones que proporcione
acceso a las áreas de configuración de red y dispositivo de la interfaz web y un perfil separado para los
administradores de seguridad que proporcione acceso a la definición de política de seguridad, logs e
informes. Tenga en cuenta que con los perfiles de función de administrador deberá actualizar los perfiles
para asignar privilegios de forma explícita para nuevos componentes/características que se añadan al
producto.

Gestión de dispositivos 59
Gestión de administradores de cortafuegos Gestión de dispositivos

Autenticación administrativa

Hay cuatro formas de autenticar a usuarios administrativos:

 Cuenta de administrador local con autenticación local: Tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticación son locales para el cortafuegos. Puede añadir un nivel
de protección adicional a la cuenta del administrador local creando un perfil de contraseña que defina un
período de validez para las contraseñas y estableciendo ajustes de complejidad de la contraseña para todo el
dispositivo.

 Cuenta de administrador local con autenticación basada en SSL: Con esta opción, puede crear las
cuentas de administrador en el cortafuegos, pero la autenticación se basa en certificados SSH (para acceso a
CLI) o certificados de cliente/tarjetas de acceso común (para la interfaz web). Consulte el artículo How to
Configure Certificate-based Authentication for the WebUI (Cómo configurar la autenticación basada en certificados
para la IU web) para obtener información sobre cómo configurar este tipo de acceso administrativo.

 Cuenta de administrador local con autenticación externa: Las cuentas de administrador se gestionan en
el cortafuegos local, pero las funciones de autenticación se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticación que defina el modo
de acceso al servicio de autenticación externa y después crear una cuenta para cada administrador que haga
referencia al perfil.

 Cuenta y autenticación de administrador externas: La administración y la autenticación de la cuenta las


gestiona un servidor RADIUS externo. Para usar esta opción, primero debe definir atributos específicos de
proveedor (VSA) en su servidor RADIUS que se asignen a la función de administrador y, de manera
opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte
el artículo Radius Vendor Specific Attributes (VSA) (Atributos específicos de proveedor [VSA] en Radius) para
obtener información sobre cómo configurar este tipo de acceso administrativo.

Creación de una cuenta administrativa

Cree cuentas administrativas para definir privilegios de acceso y administrativos para administradores de
cortafuegos. Como es común delegar tareas administrativas específicas a administradores determinados con
funciones variables, Palo Alto Networks le recomienda que cree perfiles de función de administrador que
permitan que los administradores accedan únicamente a las áreas de la interfaz de gestión que sean necesarias
para realizar sus trabajos. Puede asignar las distintas funciones que cree a cuentas de administrador individuales
y especificar privilegios de acceso a cada interfaz de gestión: la interfaz web, la interfaz de línea de comandos
(CLI) y la API REST de gestión. Mediante la creación de funciones de administrador con privilegios de acceso
muy detallados, puede garantizar la protección de los datos confidenciales de la empresa y la privacidad de los
usuarios finales.
El siguiente procedimiento describe cómo crear una cuenta de administrador local con autenticación local, lo
que incluye cómo configurar el acceso de administrador para cada interfaz de gestión.

60 Gestión de dispositivos
Gestión de dispositivos Gestión de administradores de cortafuegos

Creación de un administrador local

Paso 1 Cree los perfiles de función de Complete los siguientes pasos para cada función que desee crear:
administrador que tenga la intención de 1. Seleccione Dispositivo > Funciones de administrador y, a
asignar a sus administradores (esto no es continuación, haga clic en Añadir.
aplicable si tiene la intención de utilizar
2. Introduzca un nombre y, opcionalmente, una descripción para
funciones dinámicas). Los perfiles de
la función.
función de administrador definen qué
tipo de acceso dar a las diferentes 3. En las pestañas Interfaz web, Línea de comandos y/o API
secciones de la interfaz web, CLI y API XML, especifique el acceso que debe permitirse a cada interfaz
XML para cada administrador al que de gestión:
asigne una función. • En las fichas Interfaz web y/o API XML, establezca los
niveles de acceso para cada área funcional de la interfaz
Puede utilizar este paso para establecer
haciendo clic en el icono para cambiarlo al ajuste deseado:
privilegios de acceso especialmente
Habilitar , Solo lectura o Deshabilitar .
detallados para usuarios de la interfaz
web. Si desea información detallada sobre • En la ficha Línea de comandos, especifique el tipo de acceso
qué habilita una opción específica en la que permitirá a la CLI: superlector, deviceadmin o
pestaña Interfaz web, consulte Privilegios devicereader (para funciones de dispositivo); vsysadmin o
de acceso a la interfaz web. vsysreader (para funciones de sistema virtual); o Ninguno
para deshabilitar completamente el acceso a la CLI.
4. Haga clic en Aceptar para guardar el perfil.
Por ejemplo, conceda a un administrador un acceso completo a un
dispositivo mediante la API XML, con la excepción de la
importación o la exportación de archivos:

Gestión de dispositivos 61
Gestión de administradores de cortafuegos Gestión de dispositivos

Creación de un administrador local (Continuación)

Paso 2 (Opcional) Establezca requisitos para • Crear perfiles de contraseña: Defina la frecuencia con que los
contraseñas definidas por usuarios administradores deberán cambiar sus contraseñas. Puede crear
locales. varios perfiles de contraseña y aplicarlos a las cuentas de
administrador según sea necesario para imponer la seguridad
deseada. Para crear un perfil de contraseña, seleccione Dispositivo >
Perfiles de la contraseña y, a continuación, haga clic en Añadir.
• Configurar ajustes de complejidad mínima de la contraseña:
Defina reglas que rijan la complejidad de la contraseña, lo que
obligará a los administradores a crear contraseñas más difíciles de
adivinar, descifrar o evitar. A diferencia de los perfiles de
contraseña, que se pueden aplicar a cuentas individuales, estas
reglas son para todo el dispositivo y se aplican a todas las
contraseñas. Para configurar los ajustes, seleccione Dispositivo >
Configuración y, a continuación, haga clic en el icono Editar
de la sección Complejidad de contraseña mínima.

Paso 3 Cree una cuenta para cada administrador. 1. Seleccione Dispositivo > Administradores y, a continuación,
haga clic en Añadir.
2. Introduzca un Nombre de usuario y una Contraseña para el
administrador, o cree un Perfil de autenticación para utilizarlo
para validar las credenciales de un usuario administrativo en un
servidor de autenticación externo. Consulte el Paso 4 para
obtener detalles sobre cómo configurar un perfil de
autenticación.
3. Seleccione la función que se asignará a este administrador.
Puede seleccionar una de las funciones dinámicas predefinidas o
un perfil basado en función personalizado si ha creado uno en
el Paso 1.
4. (Opcional) Seleccione un perfil de contraseña.
5. Haga clic en ACEPTAR para guardar la cuenta.

62 Gestión de dispositivos
Gestión de dispositivos Gestión de administradores de cortafuegos

Creación de un administrador local (Continuación)

Paso 4 (Opcional) Configure la autenticación en 1. Seleccione Dispositivo > Perfil de autenticación y, a


un servidor externo: LDAP, RADIUS o continuación, haga clic en Añadir.
Kerberos. 2. Introduzca un nombre de usuario para identificar un perfil de
El perfil de servidor especifica el modo en autenticación.
el que el cortafuegos puede conectarse al 3. Defina las condiciones para bloquear al usuario administrativo.
servicio de autenticación que tiene la a. Introduzca el tiempo de bloqueo. Este es el número de
intención de utilizar. minutos que se bloquea a un usuario cuando alcanza el
número máximo de intentos fallidos (0-60 minutos; de forma
predeterminada es 0). 0 significa que el bloqueo continuará
mientras que no se desbloquee manualmente.
b. Introduzca el valor en Intentos fallidos. Número de intentos
de inicio de sesión fallidos que se permiten antes de bloquear
la cuenta (1-10; de forma predeterminada es 0). De forma
predeterminada, el número de intentos fallidos es 0, por lo
que no se bloquea al usuario aunque la autenticación falle
repetidamente.
4. Especifique a los usuarios y grupos que tienen permiso explícito
para autenticar. Al añadir una Lista de permitidas a un perfil de
autenticación, puede limitar el acceso a usuarios específicos de
un grupo/directorio de usuarios.
• Seleccione la casilla de verificación Todos para permitir a
todos los usuarios.
• Haga clic en Añadir e introduzca los primeros caracteres de
un nombre en el campo para que aparezca una lista de todos
los usuarios y grupos de usuarios que empiezan por esos
caracteres. Repita el proceso para añadir tantos
usuarios/grupos de usuarios como sea necesario.
5. En el menú desplegable Autenticación, seleccione el tipo de
autenticación que tiene la intención de utilizar en su red.
Si tiene la intención de utilizar una autenticación de base de
datos local, deberá crear la base de datos local. Seleccione
Dispositivo > Base de datos de usuario local y añada los
usuarios y grupos que se autenticarán.
6. Para acceder a un servidor de autenticación externo (que no sea
una base de datos local), seleccione el perfil de servidor
adecuado en el menú desplegable Perfil de servidor. Para crear
un nuevo perfil de servidor, haga clic en el enlace junto a Nuevo
y continúe con la configuración del acceso al servidor LDAP,
RADIUS o Kerberos.
7. Haga clic en ACEPTAR.

Paso 5 Compile los cambios. 1. Haga clic en Confirmar.

Gestión de dispositivos 63
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Referencia: acceso de administrador a la interfaz web


Consulte los temas siguientes para obtener información detallada sobre las opciones necesarias para establecer
privilegios de acceso especialmente detallados para administradores de la interfaz web de PAN-OS y Panorama.
 Privilegios de acceso a la interfaz web
 Acceso a la interfaz web de Panorama

Privilegios de acceso a la interfaz web

Si desea impedir que un administrador basado en funciones acceda a pestañas específicas de la interfaz web,
puede deshabilitar la pestaña y el administrador ni siquiera la verá cuando inicie sesión con la cuenta
administrativa basada en funciones asociada. Por ejemplo, podría crear un perfil de función de administrador
para su personal de operaciones que únicamente proporcione acceso a las pestañas Dispositivo y Red y un perfil
separado para los administradores de seguridad que proporcione acceso a las pestañas Objetos, Política y
Supervisar.

La siguiente tabla describe los privilegios de acceso a nivel de pestaña que puede asignar al perfil de función de
administrador. También proporciona referencias cruzadas a tablas adicionales que indican los privilegios
detallados dentro de una pestaña. Para obtener información específica sobre cómo establecer el perfil de función
de administrador para proteger la privacidad del usuario final, consulte Definición de ajustes de privacidad de
usuario en el perfil de función de administrador.

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Panel Controla el acceso a la pestaña Panel. Si Sí No Sí


deshabilita este privilegio, el administrador no verá
la pestaña ni tendrá acceso a ninguno de los
widgets del panel.

ACC Controla el acceso al Centro de comando de Sí No Sí


aplicación (ACC). Si deshabilita este privilegio, la
pestaña ACC no aparecerá en la interfaz web.
Recuerde que si quiere proteger la privacidad de
sus usuarios y a la vez seguir proporcionando
acceso al ACC, puede deshabilitar la opción
Privacidad > Mostrar direcciones IP completas
y/o la opción Mostrar nombres de usuario en
logs e informes.

64 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Supervisar Controla el acceso a la pestaña Supervisar. Si Sí No Sí


deshabilita este privilegio, el administrador no verá
la pestaña Supervisar ni tendrá acceso a ninguno
de los logs, capturas de paquetes, información de
sesión, informes o Appscope. Para obtener un
control más detallado sobre qué información de
supervisión puede ver el administrador, deje la
opción Supervisar habilitada y, a continuación,
habilite o deshabilite nodos específicos en la
pestaña como se describe en Acceso detallado a la
pestaña Supervisar.

Políticas Controla el acceso a la pestaña Políticas. Si Sí No Sí


deshabilita este privilegio, el administrador no verá
la pestaña Políticas ni tendrá acceso a ninguna
información de política. Para obtener un control
más detallado sobre qué información de políticas
puede ver el administrador, por ejemplo, para
habilitar el acceso a un tipo de política específico
o para habilitar el acceso de solo lectura a
información de políticas, deje la opción Políticas
habilitada y, a continuación, habilite o deshabilite
nodos específicos en la pestaña como se describe
en Acceso detallado a la pestaña Política.

Objetos Controla el acceso a la pestaña Objetos. Si Sí No Sí


deshabilita este privilegio, el administrador no verá
la pestaña Objetos ni tendrá acceso a ninguno de
los objetos, perfiles de seguridad, perfiles de
reenvío de logs, perfiles de descifrado o
programaciones. Para obtener un control más
detallado sobre qué objetos puede ver el
administrador, deje la opción Objetos habilitada y,
a continuación, habilite o deshabilite nodos
específicos en la pestaña como se describe en
Acceso detallado a la pestaña Objetos.

Red Controla el acceso a la pestaña Red. Si deshabilita Sí No Sí


este privilegio, el administrador no verá la pestaña
Red ni tendrá acceso a ninguna información de
configuración de interfaz, zona, VLAN, Virtual
Wire, enrutador virtual, túnel de IPSec, DHCP,
proxy DNS, GlobalProtect o QoS o a los perfiles
de red. Para obtener un control más detallado
sobre qué objetos puede ver el administrador, deje
la opción Red habilitada y, a continuación, habilite
o deshabilite nodos específicos en la pestaña como
se describe en Acceso detallado a la pestaña Red.

Gestión de dispositivos 65
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Dispositivo Controla el acceso a la pestaña Dispositivo. Si Sí No Sí


deshabilita este privilegio, el administrador no verá
la pestaña Dispositivo ni tendrá acceso a ninguna
información de configuración de todo el
dispositivo, como información de configuración
de User-ID, alta disponibilidad, perfil de servidor
o certificado. Para obtener un control más
detallado sobre qué objetos puede ver el
administrador, deje la opción Objetos habilitada y,
a continuación, habilite o deshabilite nodos
específicos en la pestaña como se describe en
Acceso detallado a la pestaña Dispositivo.
Nota No puede habilitar el acceso a los nodos
Funciones de administrador o
Administradores para un administrador
basado en funciones aunque habilite un
acceso completo a la pestaña
Dispositivo.

Acceso detallado a la pestaña Supervisar

En algunos casos, puede que desee habilitar al administrador para que vea algunas pero no todas las áreas de la
pestaña Supervisar. Por ejemplo, puede que desee restringir el acceso de los administradores de operaciones
únicamente a los logs de configuración y sistema debido a que no contienen datos de usuario confidenciales.
Aunque esta sección de la definición de función de administrador especifica qué áreas de la pestaña Supervisar
puede ver el administrador, también puede emparejar los privilegios de esta sección con privilegios de
privacidad, como deshabilitar la capacidad de ver nombres de usuarios en logs e informes. Sin embargo, debe
recordar que todos los informes generados por el sistema seguirán mostrando nombres de usuario y direcciones
IP aunque deshabilite dicha funcionalidad en la función. Por este motivo, si no desea que el administrador vea
ninguna de la información de usuario privada, debería deshabilitar el acceso a informes específicos como se
indica en la tabla siguiente.

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Supervisar Habilita o deshabilita el acceso a la pestaña Sí No Sí


Supervisar. Si está deshabilitado, el administrador
no verá esta pestaña ni ninguno de los logs o
informes asociados.

66 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Logs Habilita o deshabilita el acceso a todos los Sí No Sí


archivos de log. También puede dejar este
privilegio habilitado y, a continuación, deshabilitar
logs específicos que no quiera que vea el
administrador. Recuerde que si quiere proteger la
privacidad de sus usuarios y a la vez seguir
proporcionando acceso a uno o más de los logs,
puede deshabilitar la opción Privacidad > Mostrar
direcciones IP completas y/o la opción Mostrar
nombres de usuario en logs e informes.

Tráfico Especifica si el administrador puede ver los logs de Sí No Sí


tráfico.

Amenaza Especifica si el administrador puede ver los logs de Sí No Sí


amenaza.

Filtrado de URL Especifica si el administrador puede ver los logs de Sí No Sí


filtrado de URL.

Envíos de WildFire Especifica si el administrador puede ver los logs de Sí No Sí


WildFire. Estos logs solamente están disponibles
si tiene una suscripción a WildFire.

Filtrado de datos Especifica si el administrador puede ver los logs de Sí No Sí


filtrado de datos.

Coincidencias HIP Especifica si el administrador puede ver los logs de Sí No Sí


coincidencias HIP. Los logs de coincidencias HIP
solamente están disponibles si tiene una
suscripción a la puerta de enlace y una licencia de
portal de GlobalProtect.

Configuración Especifica si el administrador puede ver los logs de Sí No Sí


configuración.

Sistema Especifica si el administrador puede ver los logs de Sí No Sí


sistema.

Alarmas Especifica si el administrador puede ver las Sí No Sí


alarmas generadas por el sistema.

Captura de paquetes Especifica si el administrador puede ver capturas Sí Sí Sí


de paquetes (pcaps) desde la pestaña Supervisar.
Recuerde que las capturas de paquetes son datos
de flujo sin procesar y, por lo tanto, pueden
contener direcciones IP de usuarios. Si deshabilita
los privilegios Mostrar direcciones IP completas,
no ocultará la dirección IP en la pcap y, por ello,
debería deshabilitar el privilegio Captura de
paquetes si le preocupa la privacidad del usuario.

Gestión de dispositivos 67
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Appscope Especifica si el administrador puede ver las Sí No Sí


herramientas de análisis y visibilidad de Appscope.
Al habilitar Appscope, permite el acceso a todos
los gráficos de Appscope.

Explorador de sesión Especifique si el administrador puede examinar y Sí No Sí


filtrar las sesiones que se están ejecutando
actualmente en el cortafuegos. Recuerde que el
explorador de sesión muestra datos de flujo sin
procesar y, por lo tanto, puede contener
direcciones IP de usuarios. Si deshabilita los
privilegios Mostrar direcciones IP completas, no
ocultará la dirección IP en el explorador de sesión
y, por ello, debería deshabilitar el privilegio
Explorador de sesión si le preocupa la privacidad
del usuario.

Botnet Especifica si el administrador puede generar y ver Sí Sí Sí


informes de análisis de Botnet o ver informes de
Botnet en modo de solo lectura. Si deshabilita los
privilegios Mostrar direcciones IP completas, no
ocultará la dirección IP en informes de Botnet
programados y, por ello, debería deshabilitar el
privilegio Botnet si le preocupa la privacidad del
usuario.

Informes en PDF Habilita o deshabilita el acceso a todos los informes Sí No Sí


en PDF. También puede dejar este privilegio
habilitado y, a continuación, deshabilitar informes
en PDF específicos que no quiera que vea el
administrador. Recuerde que si quiere proteger la
privacidad de sus usuarios y a la vez seguir
proporcionando acceso a uno o más de los
informes, puede deshabilitar la opción Privacidad >
Mostrar direcciones IP completas y/o la opción
Mostrar nombres de usuario en logs e informes.

Gestionar resumen de Especifica si el administrador puede ver, añadir o Sí Sí Sí


PDF eliminar definiciones de informes de resumen en
PDF. Con el acceso de solo lectura, el
administrador puede ver definiciones de informes
de resumen en PDF, pero no puede añadirlas ni
eliminarlas. Si deshabilita esta opción, el
administrador no podrá ver las definiciones de
informes ni añadirlas o eliminarlas.

68 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Informes de resumen Especifica si el administrador puede ver los Sí No Sí


en PDF informes de resumen en PDF generados en
Supervisar > Informes. Si deshabilita esta opción,
la categoría Informes de resumen en PDF no se
mostrará en el nodo Informes.

Informe de actividad del Especifica si el administrador puede ver, añadir o Sí Sí Sí


usuario eliminar definiciones de informes de actividad del
usuario y descargar los informes. Con el acceso de
solo lectura, el administrador puede ver
definiciones de informes de actividad del usuario,
pero no puede añadirlas, eliminarlas ni
descargarlas. Si deshabilita esta opción, el
administrador no podrá ver esta categoría de
informe en PDF.

Grupos de informes Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar definiciones de grupos de informes. Con
el acceso de solo lectura, el administrador puede
ver definiciones de grupos de informes, pero no
puede añadirlas ni eliminarlas. Si deshabilita esta
opción, el administrador no podrá ver esta
categoría de informe en PDF.

Programador de correo Especifica si el administrador puede programar Sí Sí Sí


electrónico grupos de informes para correo electrónico. Dado
que los informes generados que se envían por
correo electrónico pueden contener datos de
usuario confidenciales que no se eliminan al
deshabilitar la opción Privacidad > Mostrar
direcciones IP completas y/o la opción Mostrar
nombres de usuario en logs e informes y dado
que también pueden mostrar datos de log a los que
el administrador no tenga acceso, debería
deshabilitar la opción Programador de correo
electrónico si tiene requisitos de privacidad de
usuario.

Gestión de dispositivos 69
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Gestionar informes Habilita o deshabilita el acceso a toda la Sí No Sí


personalizados funcionalidad de informe personalizado. También
puede dejar este privilegio habilitado y, a
continuación, deshabilitar categorías de informes
personalizados específicas a los que no quiera que
el administrador pueda acceder. Recuerde que si
quiere proteger la privacidad de sus usuarios y a la
vez seguir proporcionando acceso a uno o más de
los informes, puede deshabilitar la opción
Privacidad > Mostrar direcciones IP completas
y/o la opción Mostrar nombres de usuario en
logs e informes.
Nota Los informes programados para
ejecutarse en lugar de ejecutarse a
petición mostrarán la dirección IP e
información de usuario. En este caso,
asegúrese de restringir el acceso a las
áreas de informe correspondientes.
Además, la función de informe
personalizado no restringe la capacidad
de generar informes que contengan
datos de log incluidos en logs que estén
excluidos de la función de administrador.

Estadísticas de Especifica si el administrador puede crear un Sí No Sí


aplicación informe personalizado que incluya datos de la
base de datos de estadísticas de aplicación.

Log de filtrado de datos Especifica si el administrador puede crear un Sí No Sí


informe personalizado que incluya datos del log
de filtrado de datos.

Registro de amenaza Especifica si el administrador puede crear un Sí No Sí


informe personalizado que incluya datos del log
de amenaza.

Resumen de amenaza Especifica si el administrador puede crear un Sí No Sí


informe personalizado que incluya datos de la
base de datos de resumen de amenaza.

Registro de tráfico Especifica si el administrador puede crear un Sí No Sí


informe personalizado que incluya datos del log
de tráfico.

Resumen de tráfico Especifica si el administrador puede crear un Sí No Sí


informe personalizado que incluya datos de la
base de datos de resumen de tráfico.

Registro de URL Especifica si el administrador puede crear un Sí No Sí


informe personalizado que incluya datos del log
de filtrado de URL.

70 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Coincidencia HIP Especifica si el administrador puede crear un Sí No Sí


informe personalizado que incluya datos del log
de coincidencias HIP.

Ver informes Especifica si el administrador puede ver un Sí No Sí


personalizados informe personalizado que se haya programado
programados para su generación.

Ver informes de Especifica si el administrador puede ver informes Sí No Sí


aplicación predefinidos de aplicación. Los privilegios de privacidad no
afectan a los informes disponibles en el nodo
Supervisar > Informes y, por lo tanto, debería
deshabilitar el acceso a los informes si tiene
requisitos de privacidad de usuario.

Ver informes de Especifica si el administrador puede ver informes Sí No Sí


amenazas predefinidos de amenazas. Los privilegios de privacidad no
afectan a los informes disponibles en el nodo
Supervisar > Informes y, por lo tanto, debería
deshabilitar el acceso a los informes si tiene
requisitos de privacidad de usuario.

Ver informes de filtrado Especifica si el administrador puede ver informes Sí No Sí


de URL predefinidos de filtrado de URL. Los privilegios de privacidad
no afectan a los informes disponibles en el nodo
Supervisar > Informes y, por lo tanto, debería
deshabilitar el acceso a los informes si tiene
requisitos de privacidad de usuario.

Ver informes de tráfico Especifica si el administrador puede ver informes Sí No Sí


predefinidos de tráfico. Los privilegios de privacidad no afectan
a los informes disponibles en el nodo Supervisar >
Informes y, por lo tanto, debería deshabilitar el
acceso a los informes si tiene requisitos de
privacidad de usuario.

Acceso detallado a la pestaña Política

Si habilita la opción Política en el perfil de función de administrador, a continuación podrá habilitar, deshabilitar
o proporcionar acceso de solo lectura a nodos específicos dentro de la pestaña como sea necesario para la
función de administrador que esté definiendo. Al habilitar el acceso a un tipo de política específico, habilita la
capacidad de ver, añadir o eliminar reglas de política. Al habilitar un acceso de solo lectura a una política
específica, habilita al administrador para que pueda ver la base de reglas de política correspondiente, pero no
añadir ni eliminar reglas. Al deshabilitar el acceso a un tipo de política específico, impide que el administrador
vea la base de reglas de política.

Gestión de dispositivos 71
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Dado que la política basada en usuarios específicos (por nombre de usuario o dirección IP) debe definirse
explícitamente, los ajustes de privacidad que deshabiliten la capacidad de ver direcciones IP completas o
nombres de usuario no se aplican a la pestaña Política. Por lo tanto, solamente debería permitir el acceso a la
pestaña Política a administradores excluidos de restricciones de privacidad de usuario.

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Seguridad Habilite este privilegio para permitir que el Sí Sí Sí


administrador vea, añada y/o elimine reglas de
políticas de seguridad. Establezca el privilegio
como de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de reglas
de políticas de seguridad, deshabilite este
privilegio.

NAT Habilite este privilegio para permitir que el Sí Sí Sí


administrador vea, añada y/o elimine reglas de
política NAT. Establezca el privilegio como de
solo lectura si desea que el administrador pueda
ver las reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de
política NAT, deshabilite este privilegio.

QoS Habilite este privilegio para permitir que el Sí Sí Sí


administrador vea, añada y/o elimine reglas de
política de QoS. Establezca el privilegio como de
solo lectura si desea que el administrador pueda
ver las reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de
política de QoS, deshabilite este privilegio.

Reenvío basado en Habilite este privilegio para permitir que el Sí Sí Sí


políticas administrador vea, añada y/o elimine reglas de
política de reenvío basado en políticas (PBF).
Establezca el privilegio como de solo lectura si
desea que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que el
administrador vea la base de reglas de política de
PBF, deshabilite este privilegio.

Descifrado Habilite este privilegio para permitir que el Sí Sí Sí


administrador vea, añada y/o elimine reglas de
política de descifrado. Establezca el privilegio
como de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de reglas
de política de descifrado, deshabilite este
privilegio.

72 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Cancelación de Habilite este privilegio para permitir que el Sí Sí Sí


aplicación administrador vea, añada y/o elimine reglas de
política de cancelación de aplicación. Establezca el
privilegio como de solo lectura si desea que el
administrador pueda ver las reglas, pero no
modificarlas. Para impedir que el administrador
vea la base de reglas de política de cancelación de
aplicación, deshabilite este privilegio.

Portal cautivo Habilite este privilegio para permitir que el Sí Sí Sí


administrador vea, añada y/o elimine reglas de
política de portal cautivo. Establezca el privilegio
como de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de reglas
de política de portal cautivo, deshabilite este
privilegio.

Protección contra Habilite este privilegio para permitir que el Sí Sí Sí


ataques por administrador vea, añada y/o elimine reglas de
denegación de servicio política de protección contra ataques por
denegación de servicio. Establezca el privilegio
como de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de reglas
de política de protección contra ataques por
denegación de servicio, deshabilite este privilegio.

Acceso detallado a la pestaña Objetos

Un objeto es un contenedor que agrupa valores de filtros de políticas específicos (como direcciones IP, URL,
aplicaciones o servicios) para una definición de reglas simplificada. Por ejemplo, un objeto de dirección puede
contener definiciones de direcciones IP específicas para servidores web y de aplicaciones en su zona DMZ.
Al decidir si desea permitir el acceso a la pestaña Objetos en su totalidad, determine si el administrador tendrá
responsabilidades de definición de políticas. Si no, probablemente el administrador no necesite acceder a la
pestaña. Sin embargo, si el administrador necesitará crear políticas, podrá habilitar el acceso a la pestaña y, a
continuación, otorgar privilegios de acceso detallados a nivel de nodo.
Al habilitar el acceso a un nodo específico, otorga al administrador el privilegio de ver, añadir y eliminar el tipo
de objeto correspondiente. Al otorgar un acceso de solo lectura, permitirá que el administrador vea los objetos
ya definidos, pero no podrá crear o eliminar ninguno. Al deshabilitar un nodo, impide que el administrador vea
el nodo en la interfaz web.

Gestión de dispositivos 73
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Direcciones Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar objetos de direcciones para su uso en una
política de seguridad.

Grupos de direcciones Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar objetos de grupos de direcciones para su
uso en una política de seguridad.

Regiones Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar objetos de regiones para su uso en una
política de seguridad, de descifrado o DoS.

Aplicaciones Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar objetos de aplicaciones para su uso en
una política.

Grupos de aplicaciones Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar objetos de grupos de aplicaciones para su
uso en una política.

Filtros de aplicación Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar filtros de aplicación para la simplificación
de búsquedas repetidas.
Servicios Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar objetos de servicio para su uso en la
creación de políticas que limiten los números de
puertos que puede utilizar una aplicación.

Grupos de servicios Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar objetos de grupos de servicios para su
uso en una política de seguridad.

Etiquetas (Únicamente Especifica si el administrador puede ver, añadir o Sí Sí Sí


en Panorama) eliminar etiquetas que se hayan definido en el
dispositivo.

GlobalProtect Especifica si el administrador puede ver, añadir o Sí No Sí


eliminar objetos y perfiles HIP. Puede restringir el
acceso a ambos tipos de objetos a nivel de
GlobalProtect, o bien proporcionar un control
más detallado habilitando el privilegio
GlobalProtect y restringiendo el acceso a objetos
HIP o perfiles HIP.
Objetos HIP Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar objetos HIP, que se utilizan para definir
perfiles HIP. Los objetos HIP también generan
logs de coincidencias HIP.

74 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Perfiles HIP Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar perfiles HIP para su uso en una política
de seguridad y/o para generar logs de
coincidencias HIP.

Listas de bloqueos Especifica si el administrador puede ver, añadir o Sí Sí Sí


dinámicos eliminar listas de bloqueos dinámicos para su uso
en una política de seguridad.

Objetos personalizados Especifica si el administrador puede ver las firmas Sí No Sí


personalizadas de spyware y vulnerabilidad. Puede
restringir el acceso para habilitar o deshabilitar el
acceso a todas las firmas personalizadas a este
nivel, o bien proporcionar un control más
detallado habilitando el privilegio Objetos
personalizados y, a continuación, restringiendo el
acceso a cada tipo de firma.
Patrones de datos Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar firmas de patrones de datos
personalizadas para su uso en la creación de
perfiles de protección contra vulnerabilidades
personalizados.
Spyware Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar firmas de spyware personalizadas para su
uso en la creación de perfiles de protección contra
vulnerabilidades personalizados.
Vulnerabilidades Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar firmas de vulnerabilidad personalizadas
para su uso en la creación de perfiles de protección
contra vulnerabilidades personalizados.
Categoría de URL Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar categorías de URL personalizadas para su
uso en una política.

Perfiles de seguridad Especifica si el administrador puede ver perfiles de Sí No Sí


seguridad. Puede restringir el acceso para habilitar
o deshabilitar el acceso a todos los perfiles de
seguridad a este nivel, o bien proporcionar un
control más detallado habilitando el privilegio
Perfiles de seguridad y, a continuación,
restringiendo el acceso a cada tipo de perfil.

Antivirus Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar perfiles de antivirus.

Antispyware Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar perfiles de antispyware.

Gestión de dispositivos 75
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Protección contra Especifica si el administrador puede ver, añadir o Sí Sí Sí


vulnerabilidades eliminar perfiles de protección contra
vulnerabilidades.

Filtrado de URL Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar perfiles de filtrado de URL.

Bloqueo de archivos Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar perfiles de bloqueo de archivos.

Filtrado de datos Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar perfiles de filtrado de datos.

Protección contra Especifica si el administrador puede ver, añadir o Sí Sí Sí


ataques por eliminar perfiles de protección contra ataques por
denegación de denegación de servicio.
servicio

Grupos de perfiles de Especifica si el administrador puede ver, añadir o Sí Sí Sí


seguridad eliminar grupos de perfiles de seguridad.

Reenvío de logs Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar perfiles de reenvío de logs.

Perfil de descifrado Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar perfiles de descifrado.

Programaciones Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar programaciones para limitar una política
de seguridad a una fecha y/o rango de tiempo
específico.

Acceso detallado a la pestaña Red


Al decidir si desea permitir el acceso a la pestaña Red en su totalidad, determine si el administrador tendrá
responsabilidades de administración de red, incluida la administración de GlobalProtect. Si no, probablemente
el administrador no necesite acceder a la pestaña.
También puede definir el acceso a la pestaña Red a nivel de nodo. Al habilitar el acceso a un nodo específico, otorga
al administrador el privilegio de ver, añadir y eliminar las configuraciones de red correspondientes. Al otorgar un
acceso de solo lectura, permitirá que el administrador vea la configuración ya definida, pero no podrá crear o
eliminar ninguna. Al deshabilitar un nodo, impide que el administrador vea el nodo en la interfaz web.

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Interfaces Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar configuraciones de interfaces.

Zonas Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar zonas.

76 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Habilitar Solo Deshabilitar


lectura

VLAN Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar VLAN.

Cables virtuales Especifica si el administrador puede ver, añadir o Sí Sí Sí


eliminar cables virtuales.

Enrutadores virtuales Especifica si el administrador puede ver, añadir, Sí Sí Sí


modificar o eliminar enrutadores virtuales.

Túneles de IPSec Especifica si el administrador puede ver, añadir, Sí Sí Sí


modificar o eliminar configuraciones de túneles de
IPSec.

DHCP Especifica si el administrador puede ver, añadir, Sí Sí Sí


modificar o eliminar configuraciones de servidor
DHCP y retransmisión DHCP.

Proxy DNS Especifica si el administrador puede ver, añadir, Sí Sí Sí


modificar o eliminar configuraciones de proxy
DNS.

GlobalProtect Especifica si el administrador puede ver, añadir o Sí No Sí


modificar configuraciones de portal y puerta de
enlace de GlobalProtect. Puede deshabilitar el
acceso a las funciones de GlobalProtect por
completo, o bien puede habilitar el privilegio
GlobalProtect y, a continuación, restringir la
función a las áreas de configuración del portal o de
la puerta de enlace.

Portales Especifica si el administrador puede ver, añadir, Sí Sí Sí


modificar o eliminar configuraciones de portales
de GlobalProtect.

Puertas de enlace Especifica si el administrador puede ver, añadir, Sí Sí Sí


modificar o eliminar configuraciones de puertas
de enlace de GlobalProtect.
MDM Especifica si el administrador puede ver, añadir, Sí Sí Sí
modificar o eliminar configuraciones de
servidores MDM de GlobalProtect.

QoS Sí Sí Sí

Perfiles de red Establece el estado predeterminado para habilitar Sí No Sí


o deshabilitar para todos los ajustes de red
descritos a continuación.

Gestión de dispositivos 77
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Puertas de enlace Controla el acceso al nodo Perfiles de red > Sí Sí Sí


de IKE Puertas de enlace de IKE. Si deshabilita este
privilegio, el administrador no verá el nodo
Puertas de enlace de IKE ni definirá puertas de
enlace que incluyan la información de
configuración necesaria para realizar la
negociación del protocolo IKE con la puerta de
enlace del peer.
Si el estado del privilegio está establecido como de
solo lectura, podrá ver las puertas de enlace de
IKE actualmente configuradas, pero no podrá
añadir ni editar puertas de enlace.

Criptográfico de Controla el acceso al nodo Perfiles de red > Sí Sí Sí


IPSec Criptográfico de IPSec. Si deshabilita este
privilegio, el administrador no verá el nodo
Perfiles de red > Criptográfico de IPSec ni
especificará protocolos y algoritmos para la
identificación, autenticación y cifrado en túneles
de VPN basándose en la negociación de SA de
IPSec.
Si el estado del privilegio está establecido como de
solo lectura, podrá ver la configuración
criptográfica de IPSec actualmente establecida,
pero no podrá añadir ni editar una configuración.

Criptográfico de IKE Controla el modo en que los dispositivos Sí Sí Sí


intercambian información para garantizar una
comunicación segura. Especifique los protocolos
y algoritmos para la identificación, autenticación y
cifrado en túneles de VPN basándose en la
negociación de SA de IPSec (IKEv1 de fase 1).

Supervisar Controla el acceso al nodo Perfiles de red > Sí Sí Sí


Supervisar. Si deshabilita este privilegio, el
administrador no verá el nodo Perfiles de red >
Supervisar ni podrá crear o editar un perfil de
supervisión que se utilice para supervisar túneles
de IPSec y supervisar un dispositivo de siguiente
salto para reglas de reenvío basado en políticas
(PBF).
Si el estado del privilegio está establecido como de
solo lectura, podrá ver la configuración de perfil
de supervisión actualmente establecida, pero no
podrá añadir ni editar una configuración.

78 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Gestión de interfaz Controla el acceso al nodo Perfiles de red > Sí Sí Sí


Gestión de interfaz. Si deshabilita este privilegio,
el administrador no verá el nodo Perfiles de red
> Gestión de interfaz ni podrá especificar los
protocolos que se utilizan para gestionar el
cortafuegos.
Si el estado del privilegio está establecido como de
solo lectura, podrá ver la configuración de perfil
de gestión de interfaz actualmente establecida,
pero no podrá añadir ni editar una configuración.

Protección de zonas Controla el acceso al nodo Perfiles de red > Sí Sí Sí


Protección de zonas. Si deshabilita este privilegio,
el administrador no verá el nodo Perfiles de red
> Protección de zonas ni podrá configurar un
perfil que determine cómo responde el
cortafuegos ante ataques desde zonas de seguridad
especificadas.
Si el estado del privilegio está establecido como de
solo lectura, podrá ver la configuración de perfil
de protección de zonas actualmente establecida,
pero no podrá añadir ni editar una configuración.

Perfil de QoS Controla el acceso al nodo Perfiles de red > QoS. Sí Sí Sí


Si deshabilita este privilegio, el administrador no
verá el nodo Perfiles de red > QoS ni podrá
configurar un perfil de QoS que determine cómo
se tratan las clases de tráfico de QoS.
Si el estado del privilegio está establecido como de
solo lectura, podrá ver la configuración de perfil
de QoS actualmente establecida, pero no podrá
añadir ni editar una configuración.

Gestión de dispositivos 79
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Acceso detallado a la pestaña Dispositivo

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Configuración Controla el acceso al nodo Configuración. Sí Sí Sí


Si deshabilita este privilegio, el administrador no
verá el nodo Configuración ni tendrá acceso a
información de configuración de todo el
dispositivo, como información de configuración
de gestión, operaciones, servicio, Content-ID,
Wildfire o sesión.
Si el estado del privilegio está establecido como de
solo lectura, podrá ver la configuración actual,
pero no podrá realizar ningún cambio.

Auditoría de Controla el acceso al nodo Auditoría de Sí No Sí


configuraciones configuraciones. Si deshabilita este privilegio, el
administrador no verá el nodo Auditoría de
configuraciones ni tendrá acceso a ninguna
información de configuración de todo el
dispositivo.

Funciones de gestor Controla el acceso al nodo Funciones de gestor. No Sí Sí


Esta función solamente puede permitirse para un
acceso de solo lectura.
Si deshabilita este privilegio, el administrador no
verá el nodo Funciones de gestor ni tendrá
acceso a ninguna información de todo el
dispositivo relativa a la configuración de funciones
de gestor.
Si establece este privilegio como de solo lectura,
podrá ver la información de configuración de
todas las funciones de gestor configuradas en el
dispositivo.

Administradores Controla el acceso al nodo Administradores. No Sí Sí


Esta función solamente puede permitirse para un
acceso de solo lectura.
Si deshabilita este privilegio, el administrador no
verá el nodo Administradores ni tendrá acceso a
información sobre su propia cuenta de
administrador.
Si establece este privilegio como de solo lectura,
el administrador podrá ver la información de
configuración de su propia cuenta de
administrador. No verá información sobre las
cuentas de otros administradores configuradas en
el dispositivo.

80 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Sistemas virtuales Controla el acceso al nodo Sistemas virtuales. Sí Sí Sí


Si deshabilita este privilegio, el administrador no
verá ni podrá configurar sistemas virtuales.
Si el estado del privilegio está establecido como de
solo lectura, podrá ver los sistemas virtuales
actualmente configurados, pero no podrá añadir ni
editar una configuración.

Puertas de enlace Controla el acceso al nodo Puertas de enlace Sí Sí Sí


compartidas compartidas. Las puertas de enlace compartidas
permiten que los sistemas virtuales compartan una
interfaz común para las comunicaciones externas.
Si deshabilita este privilegio, el administrador no
verá ni podrá configurar puertas de enlace
compartidas.
Si el estado del privilegio está establecido como de
solo lectura, podrá ver las puertas de enlace
compartidas actualmente configuradas, pero no
podrá añadir ni editar una configuración.

Identificación de Controla el acceso al nodo Identificación de Sí Sí Sí


usuarios usuarios. Si deshabilita este privilegio, el
administrador no verá el nodo Identificación de
usuarios ni tendrá acceso a información de
configuración de identificación de usuarios de
todo el dispositivo, como asignación de usuario,
agentes de User-ID, servicio, agentes de servicios
de terminal, configuración de asignación de grupo
o configuración de portal cautivo.
Si establece este privilegio como de solo lectura,
el administrador podrá ver información de
configuración del dispositivo, pero no tendrá
permiso para realizar ningún procedimiento de
configuración.

Origen de información Controla el acceso al nodo Origen de información Sí Sí Sí


de VM de VM que le permite configurar el agente de
User-ID de Windows/cortafuegos que recopilará
el inventario de VM automáticamente.
Si deshabilita este privilegio, el administrador no
verá el nodo Origen de información de VM.
Si establece este privilegio como de solo lectura,
el administrador podrá ver los orígenes de
información de VM configurados, pero no podrá
añadir, editar o eliminar ningún origen.

Gestión de dispositivos 81
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Alta disponibilidad Controla el acceso al nodo Alta disponibilidad. Sí Sí Sí


Si deshabilita este privilegio, el administrador no
verá el nodo Alta disponibilidad ni tendrá acceso
a información de configuración de alta
disponibilidad de todo el dispositivo, como
información de configuración general o
supervisión de enlaces y rutas.
Si establece este privilegio como de solo lectura,
el administrador podrá ver información de
configuración de alta disponibilidad del
dispositivo, pero no tendrá permiso para realizar
ningún procedimiento de configuración.

Gestión de certificados Establece el estado predeterminado para habilitar Sí No Sí


o deshabilitar para todos los ajustes de certificados
descritos a continuación.

Certificados Controla el acceso al nodo Certificados. Sí Sí Sí


Si deshabilita este privilegio, el administrador no
verá el nodo Certificados ni podrá configurar o
acceder a información relativa a certificados de
dispositivos o entidades de certificación de
confianza predeterminadas.
Si establece este privilegio como de solo lectura,
el administrador podrá ver información de
configuración de certificados del dispositivo, pero
no tendrá permiso para realizar ningún
procedimiento de configuración.

Perfil del certificado Controla el acceso al nodo Perfil del certificado. Sí Sí Sí


Si deshabilita este privilegio, el administrador no
verá el nodo Perfil del certificado ni podrá crear
perfiles del certificado.
Si establece este privilegio como de solo lectura,
el administrador podrá ver perfiles del certificado
actualmente configurados para el dispositivo, pero
no tendrá permiso para crear o editar un perfil del
certificado.

82 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Habilitar Solo Deshabilitar


lectura

OCSP responder Controla el acceso al nodo OCSP responder. Sí Sí Sí


Si deshabilita este privilegio, el administrador no
verá el nodo OCSP responder ni podrá definir un
servidor que se utilizará para verificar el estado de
revocación de los certificados emitidos por el
dispositivo PAN-OS.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la configuración de OCSP
responder del dispositivo, pero no tendrá
permiso para crear o editar una configuración de
OCSP responder.

Páginas de respuesta Controla el acceso al nodo Páginas de respuesta. Sí Sí Sí


Si deshabilita este privilegio, el administrador no
verá el nodo Páginas de respuesta ni podrá
definir un mensaje HTML personalizado que se
descarga y se visualiza en lugar de una página web
o archivo solicitado.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la configuración de
Páginas de respuesta del dispositivo, pero no
tendrá permiso para crear o editar una
configuración de páginas de respuesta.

Configuración de log Establece el estado predeterminado para habilitar Sí No Sí


o deshabilitar para todos los ajustes de log
descritos a continuación.

Sistema Controla el acceso al nodo Configuración de log > Sí Sí Sí


Sistema. Si deshabilita este privilegio, el
administrador no verá el nodo Configuración de
log > Sistema ni podrá especificar los niveles de
gravedad de las entradas de logs del sistema que se
registran de manera remota con Panorama y se
envían como traps SNMP, mensajes de Syslog y/o
notificaciones por correo electrónico.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la configuración de
Configuración de log > Sistema del dispositivo,
pero no tendrá permiso para crear o editar una
configuración.

Gestión de dispositivos 83
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Configurar Controla el acceso al nodo Configuración de log > Sí Sí Sí


Configuración. Si deshabilita este privilegio, el
administrador no verá el nodo Configuración de
log > Configuración ni podrá especificar las
entradas de logs de configuración que se registran
de manera remota con Panorama y se envían como
mensajes de Syslog y/o notificaciones por correo
electrónico.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la configuración de
Configuración de log > Configuración del
dispositivo, pero no tendrá permiso para crear o
editar una configuración.

Coincidencias HIP Controla el acceso al nodo Configuración de log > Sí Sí Sí


Coincidencias HIP. Si deshabilita este privilegio, el
administrador no verá el nodo Configuración de
log > Coincidencias HIP ni podrá especificar los
ajustes de log de coincidencias de perfil de
información de host (HIP) que se utilizan para
proporcionar información sobre políticas de
seguridad que se aplican a clientes de
GlobalProtect.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la configuración de
Configuración de log > Coincidencias HIP del
dispositivo, pero no tendrá permiso para crear o
editar una configuración.

Alarmas Controla el acceso al nodo Configuración de log > Sí Sí Sí


Alarmas. Si deshabilita este privilegio, el
administrador no verá el nodo Configuración de
log > Alarmas ni podrá configurar notificaciones
que se generan cuando una regla de seguridad (o un
grupo de reglas) se incumple repetidas veces en un
período de tiempo establecido.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la configuración de
Configuración de log > Alarmas del dispositivo,
pero no tendrá permiso para crear o editar una
configuración.

84 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Gestionar logs Controla el acceso al nodo Configuración de log > Sí Sí Sí


Gestionar logs. Si deshabilita este privilegio, el
administrador no verá el nodo Configuración de
log > Gestionar logs ni podrá borrar los logs
indicados.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de
Configuración de log > Gestionar logs, pero no
podrá borrar ninguno de los logs.

Perfiles de servidor Establece el estado predeterminado para habilitar Sí No Sí


o deshabilitar para todos los ajustes de perfiles de
servidor descritos a continuación.

Trap SNMP Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí


Trap SNMP. Si deshabilita este privilegio, el
administrador no verá el nodo Perfiles de
servidor > Trap SNMP ni podrá especificar uno o
más destinos de Trap SNMP que se utilizarán para
entradas de logs del sistema.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de
Perfiles de servidor > Logs de Trap SNMP, pero
no podrá especificar destinos de Trap SNMP.

Syslog Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí


Syslog. Si deshabilita este privilegio, el
administrador no verá el nodo Perfiles de
servidor > Syslog ni podrá especificar uno o más
servidores Syslog.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de
Perfiles de servidor > Syslog, pero no podrá
especificar servidores Syslog.

Correo electrónico Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí


Correo electrónico. Si deshabilita este privilegio,
el administrador no verá el nodo Perfiles de
servidor > Correo electrónico ni podrá
configurar un perfil de correo electrónico que
pueda utilizarse para habilitar notificaciones por
correo electrónico para entradas de logs del
sistema y de configuración.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de
Perfiles de servidor > Correo electrónico, pero
no podrá configurar un perfil de correo
electrónico.

Gestión de dispositivos 85
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Flujo de red Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí


Flujo de red. Si deshabilita este privilegio, el
administrador no verá el nodo Perfiles de
servidor > Flujo de red ni podrá definir un perfil
de servidor de flujo de red, que especifica la
frecuencia de la exportación, junto con los
servidores de flujo de red que recibirán los datos
exportados.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de
Perfiles de servidor > Flujo de red, pero no
podrá definir un perfil de flujo de red.

RADIUS Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí


RADIUS. Si deshabilita este privilegio, el
administrador no verá el nodo Perfiles de
servidor > RADIUS ni podrá configurar ajustes
para los servidores RADIUS identificados en
perfiles de autenticación.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de
Perfiles de servidor > RADIUS, pero no podrá
configurar ajustes para los servidores RADIUS.

LDAP Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí


LDAP. Si deshabilita este privilegio, el
administrador no verá el nodo Perfiles de
servidor > LDAP ni podrá configurar ajustes para
que los servidores LDAP los utilicen para la
autenticación mediante perfiles de autenticación.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de
Perfiles de servidor > LDAP, pero no podrá
configurar ajustes para los servidores LDAP.

Kerberos Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí


Kerberos. Si deshabilita este privilegio, el
administrador no verá el nodo Perfiles de
servidor > Kerberos ni configurará un servidor
Kerberos que permita a los usuarios autenticar de
forma nativa en un controlador de dominio.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de
Perfiles de servidor > Kerberos, pero no podrá
configurar ajustes para servidores Kerberos.

86 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Base de datos de Establece el estado predeterminado para habilitar Sí No Sí


usuario local o deshabilitar para todos los ajustes de base de
datos de usuario local descritos a continuación.

Usuarios Controla el acceso al nodo Base de datos de Sí Sí Sí


usuario local > Usuarios. Si deshabilita este
privilegio, el administrador no verá el nodo Base
de datos de usuario local > Usuarios ni
configurará una base de datos local en el
cortafuegos para almacenar información de
autenticación para usuarios con acceso remoto,
administradores de dispositivos y usuarios de
portal cautivo.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de Base
de datos de usuario local > Usuarios, pero no
podrá configurar una base de datos local en el
cortafuegos para almacenar información de
autenticación.

Grupos de usuarios Controla el acceso al nodo Base de datos de Sí Sí Sí


usuario local > Usuarios. Si deshabilita este
privilegio, el administrador no verá el nodo Base
de datos de usuario local > Usuarios ni podrá
añadir información de grupos de usuarios a la base
de datos local.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de Base
de datos de usuario local > Usuarios, pero no
podrá añadir información de grupos de usuarios a
la base de datos local.

Perfil de autenticación Controla el acceso al nodo Perfil de Sí Sí Sí


autenticación. Si deshabilita este privilegio, el
administrador no verá el nodo Perfil de
autenticación ni podrá crear o editar perfiles de
autenticación que especifiquen ajustes de base de
datos local, RADIUS, LDAP o Kerberos que se
pueden asignar a cuentas de administrador.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de Perfil
de autenticación, pero no podrá crear o editar un
perfil de autenticación.

Gestión de dispositivos 87
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Secuencia de Controla el acceso al nodo Secuencia de Sí Sí Sí


autenticación autenticación. Si deshabilita este privilegio, el
administrador no verá el nodo Secuencia de
autenticación ni podrá crear o editar una
secuencia de autenticación.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de Perfil
de autenticación, pero no podrá crear o editar una
secuencia de autenticación.

Dominio de acceso Controla el acceso al nodo Secuencia de Sí Sí Sí


autenticación. Si deshabilita este privilegio, el
administrador no verá el nodo Secuencia de
autenticación ni podrá crear o editar una
secuencia de autenticación.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de Perfil
de autenticación, pero no podrá crear o editar una
secuencia de autenticación.

Programación de la Controla el acceso al nodo Programación de la Sí No Sí


exportación de logs exportación de logs. Si deshabilita este privilegio,
el administrador no verá el nodo Programación
de la exportación de logs ni podrá programar
exportaciones de logs y guardarlas en un servidor
File Transfer Protocol (FTP) en formato CSV o
usar Secure Copy (SCP) para transferir datos de
forma segura entre el dispositivo y un host
remoto.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de Perfil
de programación de la exportación de logs, pero
no podrá programar la exportación de logs.

Software Controla el acceso al nodo Software. Si Sí Sí Sí


deshabilita este privilegio, el administrador no verá
el nodo Software, no verá las versiones más
recientes del software PAN-OS disponibles desde
Palo Alto Networks, no leerá las notas de cada
versión ni seleccionará una versión para su
descarga e instalación.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la información de
Software, pero no podrá descargar ni instalar
software.

88 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Cliente de Controla el acceso al nodo Cliente de Sí Sí Sí


GlobalProtect GlobalProtect. Si deshabilita este privilegio, el
administrador no verá el nodo Cliente de
GlobalProtect, no verá las versiones de
GlobalProtect disponibles, no descargará el
código ni activará el agente de GlobalProtect.
Si establece este privilegio como de solo lectura, el
administrador podrá ver las versiones de Cliente
de GlobalProtect disponibles, pero no podrá
descargar ni instalar el software de agente.

Actualizaciones Controla el acceso al nodo Actualizaciones Sí Sí Sí


dinámicas dinámicas. Si deshabilita este privilegio, el
administrador no verá el nodo Actualizaciones
dinámicas, no podrá ver las actualizaciones más
recientes, no podrá leer las notas de versión de
cada actualización ni podrá seleccionar una
actualización para su carga e instalación.
Si establece este privilegio como de solo lectura, el
administrador podrá ver las versiones de
Actualizaciones dinámicas disponibles y leer las
notas de versión, pero no podrá cargar ni instalar
el software.

Licencias Controla el acceso al nodo Licencias. Si Sí Sí Sí


deshabilita este privilegio, el administrador no verá
el nodo Licencias ni podrá ver las licencias
instaladas o las licencias activas.
Si establece este privilegio como de solo lectura, el
administrador podrá ver las Licencias instaladas,
pero no podrá realizar funciones de gestión de
licencias.

Asistencia técnica Controla el acceso al nodo Asistencia técnica. Si Sí Sí Sí


deshabilita este privilegio, el administrador no verá
el nodo Asistencia técnica, no podrá acceder a
alertas de productos y seguridad de Palo Alto
Networks ni generar archivos de asistencia técnica
o de volcado de estadísticas.
Si establece este privilegio como de solo lectura, el
administrador podrá ver el nodo Asistencia
técnica y acceder a alertas de productos y
seguridad, pero no podrá generar archivos de
asistencia técnica o de volcado de estadísticas.

Gestión de dispositivos 89
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Habilitar Solo Deshabilitar


lectura

Clave maestra y Controla el acceso al nodo Clave maestra y Sí Sí Sí


diagnóstico diagnóstico. Si deshabilita este privilegio, el
administrador no verá el nodo Clave maestra y
diagnóstico ni podrá especificar una clave maestra
para cifrar claves privadas en el cortafuegos.
Si establece este privilegio como de solo lectura, el
administrador podrá ver el nodo Clave maestra y
diagnóstico y ver información sobre claves
maestras que se han especificado, pero no podrá
añadir ni editar una nueva configuración de clave
maestra.

Definición de ajustes de privacidad de usuario en el perfil de función de administrador


.

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Privacidad Establece el estado predeterminado para habilitar o Sí N/D Sí


deshabilitar para todos los ajustes de privacidad
descritos a continuación.

Mostrar direcciones Cuando se establece como deshabilitado, las Sí N/D Sí


IP completas direcciones IP completas obtenidas a través del
tráfico que pasa por el cortafuegos de Palo Alto
Networks no se muestran en logs ni informes. En
lugar de las direcciones IP que suelen mostrarse,
aparecerá la subred relevante.
Nota Los informes programados que aparecen
en la interfaz a través de Supervisar >
Informes y los informes que se envían a
través de correos electrónicos
programados seguirán mostrando
direcciones IP completas. Debido a esta
excepción, recomendamos deshabilitar
los siguientes ajustes en la pestaña
Supervisar : Informes personalizados,
Informes de aplicación, Informes de
amenazas, Informes de filtrado de URL,
Informes de tráfico y Programador de
correo electrónico.

90 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Mostrar nombres de Cuando se establece como deshabilitado, los Sí N/D Sí


usuario en logs e nombres de usuario obtenidos a través del tráfico
informes que pasa por el cortafuegos de Palo Alto Networks
no se muestran en logs ni informes. Las columnas
donde normalmente aparecerían los nombres de
usuario están vacías.
Nota Los informes programados que aparecen
en la interfaz a través de Supervisar >
Informes o los informes que se envían a
través del programador de correo
electrónico seguirán mostrando nombres
de usuario. Debido a esta excepción,
recomendamos deshabilitar los siguientes
ajustes en la pestaña Supervisar: Informes
personalizados, Informes de aplicación,
Informes de amenazas, Informes de
filtrado de URL, Informes de tráfico y
Programador de correo electrónico.

Ver archivos de Cuando se establece como deshabilitado, los Sí N/D Sí


captura de archivos de captura de paquetes que suelen estar
paquetes disponibles en los logs de tráfico, amenaza y
filtrado de datos no se muestran.

Restricción del acceso de administrador a funciones de confirmación

Restricción del acceso de usuarios mediante el ajuste Confirmar

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Commit Cuando se establece como deshabilitado, un Sí N/D Sí


administrador no puede confirmar ningún cambio en
una configuración.

Acceso detallado a ajustes globales

Restricción del acceso de usuarios mediante ajustes globales

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Global Establece el estado predeterminado para habilitar o Sí N/D Sí


deshabilitar para todos los ajustes globales descritos a
continuación. En este momento, este ajuste
solamente es efectivo para Alarmas del sistema.

Gestión de dispositivos 91
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Alarmas del sistema Cuando se establece como deshabilitado, un Sí N/D Sí


administrador no puede ver ni reconocer alarmas que
se generen.

Acceso a la interfaz web de Panorama

En Panorama, las funciones de gestor le permiten definir el acceso a las opciones de Panorama y la capacidad
de permitir el acceso únicamente a Grupo de dispositivos y Plantilla (pestañas Políticas, Objetos, Red y
Dispositivo).

Las funciones de gestor que puede crear son: Panorama y Grupo de dispositivos y Plantilla. La función de gestor
Grupo de dispositivos y Plantilla no proporciona privilegios de acceso a la CLI.

Si un administrador recibe privilegios de superusuario en la CLI, el administrador tendrá un acceso completo a


todas las funciones, independientemente de los privilegios otorgados por la interfaz web.

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Panel Controla el acceso a la pestaña Panel. Sí No Sí


Si deshabilita este privilegio, el administrador no
verá la pestaña ni tendrá acceso a ninguno de los
widgets del panel.

ACC Controla el acceso al Centro de comando de Sí No Sí


aplicación (ACC). Si deshabilita este privilegio,
la pestaña ACC no aparecerá en la interfaz web.
Recuerde que si quiere proteger la privacidad de
sus usuarios y a la vez seguir proporcionando
acceso al ACC, puede deshabilitar la opción
Privacidad > Mostrar direcciones IP completas
y/o la opción Mostrar nombres de usuario en
logs e informes.

Supervisar Controla el acceso a la pestaña Supervisar. Sí No Sí


Si deshabilita este privilegio, el administrador no
verá la pestaña Supervisar ni tendrá acceso a
ninguno de los logs, capturas de paquetes,
información de sesión, informes o Appscope.
Para obtener un control más detallado sobre qué
información de supervisión puede ver el
administrador, deje la opción Supervisar habilitada
y, a continuación, habilite o deshabilite nodos
específicos en la pestaña como se describe en
Acceso detallado a la pestaña Supervisar.

92 Gestión de dispositivos
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Políticas Controla el acceso a la pestaña Políticas. Sí No Sí


Si deshabilita este privilegio, el administrador no
verá la pestaña Políticas ni tendrá acceso a
ninguna información de política. Para obtener un
control más detallado sobre qué información de
políticas puede ver el administrador, por ejemplo,
para habilitar el acceso a un tipo de política
específico o para habilitar el acceso de solo lectura
a información de políticas, deje la opción Políticas
habilitada y, a continuación, habilite o deshabilite
nodos específicos en la pestaña como se describe
en Acceso detallado a la pestaña Política.

Objetos Controla el acceso a la pestaña Objetos. Sí No Sí


Si deshabilita este privilegio, el administrador no
verá la pestaña Objetos ni tendrá acceso a ninguno
de los objetos, perfiles de seguridad, perfiles de
reenvío de logs, perfiles de descifrado o
programaciones. Para obtener un control más
detallado sobre qué objetos puede ver el
administrador, deje la opción Objetos habilitada y,
a continuación, habilite o deshabilite nodos
específicos en la pestaña como se describe en
Acceso detallado a la pestaña Objetos.

Red Controla el acceso a la pestaña Red. Si deshabilita Sí No Sí


este privilegio, el administrador no verá la pestaña
Red ni tendrá acceso a ninguna información de
configuración de interfaz, zona, VLAN, Virtual
Wire, enrutador virtual, túnel de IPSec, DHCP,
proxy DNS, GlobalProtect o QoS o a los perfiles
de red. Para obtener un control más detallado
sobre qué objetos puede ver el administrador, deje
la opción Red habilitada y, a continuación, habilite
o deshabilite nodos específicos en la pestaña como
se describe en Acceso detallado a la pestaña Red.

Gestión de dispositivos 93
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos

Nivel de acceso Descripción Habilitar Solo Deshabilitar


lectura

Dispositivo Controla el acceso a la pestaña Dispositivo. Si Sí No Sí


deshabilita este privilegio, el administrador no verá
la pestaña Dispositivo ni tendrá acceso a ninguna
información de configuración de todo el
dispositivo, como información de configuración
de User-ID, alta disponibilidad, perfil de servidor
o certificado. Para obtener un control más
detallado sobre qué objetos puede ver el
administrador, deje la opción Objetos habilitada y,
a continuación, habilite o deshabilite nodos
específicos en la pestaña como se describe en
Acceso detallado a la pestaña Dispositivo.
Nota No puede habilitar el acceso a los nodos
Funciones de administrador o
Administradores para un administrador
basado en funciones aunque habilite un
acceso completo a la pestaña
Dispositivo.

94 Gestión de dispositivos
Gestión de certificados

Los siguientes temas describen los distintos certificados y claves que utilizan los dispositivos de Palo Alto
Networks, así como el modo de obtenerlos y gestionarlos:
 ¿Cómo utilizan los dispositivos las claves y los certificados?
 ¿Cómo verifican los dispositivos el estado de revocación de certificados?
 ¿Cómo obtienen los dispositivos los certificados?
 Configuración de la verificación del estado de revocación de certificados
 Configuración de la clave maestra
 Obtención de certificados
 Configuración de un perfil de certificado
 Revocación y renovación de certificados
 Claves seguras con un módulo de seguridad de hardware

Gestión de certificados 95
¿Cómo utilizan los dispositivos las claves y los certificados? Gestión de certificados

¿Cómo utilizan los dispositivos las claves y los certificados?


Para garantizar la confianza entre las partes de una sesión de comunicación segura, los dispositivos de Palo Alto
Networks utilizan certificados digitales. Cada certificado contiene una clave criptográfica para cifrar el texto sin
formato o descifrar el texto cifrado. Cada certificado también incluye una firma digital para autenticar la
identidad del emisor. Este debe estar incluido en la lista de entidades de certificación (CA) de confianza de la
parte que realiza la autenticación. De manera opcional, la parte que realiza la autenticación verifica que el emisor
no haya revocado el certificado (consulte ¿Cómo verifican los dispositivos el estado de revocación de
certificados?).
Los dispositivos de Palo Alto Networks utilizan certificados en las siguientes aplicaciones:

 Autenticación de usuarios para portal cautivo, GlobalProtect, gestor de seguridad móvil y acceso a la interfaz
web del cortafuegos/Panorama.

 Autenticación de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).

 Autenticación de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet (IKE).

 Descifrado de tráfico SSL entrante y saliente. Un cortafuegos descifra el tráfico para aplicar políticas de
seguridad y reglas y, a continuación, vuelve a cifrarlo antes de reenviar el tráfico al destino definitivo. Para el
tráfico saliente, el cortafuegos actúa como servidor proxy de reenvío, estableciendo una conexión SSL/TLS
con el servidor de destino. Para proteger una conexión entre sí mismo y el cliente, el cortafuegos utiliza un
certificado de firma para generar automáticamente una copia del certificado del servidor de destino.
La tabla siguiente describe las claves y los certificados que utilizan los dispositivos de Palo Alto Networks. Una
práctica recomendada es utilizar diferentes claves y certificados para cada uso.

Tabla: Claves/certificados de dispositivo de Palo Alto Networks

Uso de clave/certificado Descripción

Acceso administrativo Un acceso seguro a las interfaces de administración de dispositivos (acceso HTTPS a la
interfaz web) requiere un certificado de servidor para la interfaz de gestión (o una interfaz
designada en el plano de datos si el dispositivo no utiliza una interfaz de gestión) y,
opcionalmente, un certificado para autenticar al administrador.
Portal cautivo En las implementaciones en las que el portal cautivo identifique a los usuarios que accedan
a recursos HTTPS, designe un certificado de servidor para la interfaz de portal cautivo. Si
configura el portal cautivo para que utilice certificados (en lugar o además de credenciales
de nombre de usuario/contraseña) para la identificación de usuarios, designe también un
certificado de usuario. Si desea obtener más información sobre el portal cautivo, consulte
Asignación de direcciones IP a nombres de usuario mediante un portal cautivo.
Reenvío fiable Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy de reenvío confía
en la CA que firmó el certificado del servidor de destino, el cortafuegos utiliza el certificado
de CA fiable de reenvío para generar una copia del certificado del servidor de destino y
enviarla al cliente. El cortafuegos utiliza la misma clave de descifrado para todos los
certificados fiables de reenvío. Para mayor seguridad, almacene la clave en un módulo de
seguridad de hardware (si desea información detallada, consulte Claves seguras con un
módulo de seguridad de hardware).

96 Gestión de certificados
Gestión de certificados ¿Cómo utilizan los dispositivos las claves y los certificados?

Uso de clave/certificado Descripción

Reenvío no fiable Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy de reenvío no
confía en la CA que firmó el certificado del servidor de destino, el cortafuegos utiliza el
certificado de CA no fiable de reenvío para generar una copia del certificado del servidor de
destino y enviarla al cliente.
Inspección de entrada SSL Claves que descifran el tráfico SSL/TLS entrante para su inspección y la aplicación de la
política. Para esta aplicación, importe en el cortafuegos una clave privada para cada servidor
que esté sujeto a una inspección entrante SSL/TLS. Consulte Configuración de la
inspección de entrada SSL.
Certificado SSL de exclusión Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por ejemplo, si
habilita el descifrado SSL pero su red incluye servidores para los que el cortafuegos no
debería descifrar el tráfico (por ejemplo, servicios web para sus sistemas de RR. HH.),
importe los correspondientes certificados en el cortafuegos y configúrelos como
certificados SSL de exclusión. Consulte Configuración de excepciones de descifrado.
GlobalProtect Toda la interacción entre los componentes de GlobalProtect se realiza a través de
conexiones SSL/TLS. Por lo tanto, como parte de la implementación de GlobalProtect,
implemente certificados de servidor para todos los portales, puertas de enlace y gestores de
seguridad móvil de GlobalProtect. Opcionalmente, implemente certificados también para
los usuarios que realizan la autenticación.
Observe que la función de VPN a gran escala (LSVPN) de GlobalProtect requiere que una
CA firme el certificado.
VPN de sitio a sitio (IKE) En una implementación de VPN de sitio a sitio de IPSec, los dispositivos de peer utilizan
puertas de enlace de intercambio de claves de Internet (IKE) para establecer un canal
seguro. Las puertas de enlace de IKE utilizan certificados o claves precompartidas para
autenticar los peers entre sí. Los certificados o las claves se configuran y asignan al definir
una puerta de enlace de IKE en un cortafuegos. Consulte VPN de sitio a sitio.
Clave maestra El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas y contraseñas.
Si su red requiere una ubicación segura para almacenar claves privadas, puede utilizar una
clave de cifrado (ajuste) almacenada en un módulo de seguridad de hardware (HSM) para
cifrar la clave maestra. Para obtener más información, consulte Cifrado de una clave maestra
utilizando un HSM.
Syslog seguro Certificado para habilitar conexiones seguras entre el cortafuegos y un servidor Syslog.
Consulte Configuración del cortafuegos para autenticarlo con el servidor Syslog.
CA raíz de confianza Designación de un certificado raíz emitido por una CA en la que confía el cortafuegos. El
cortafuegos puede utilizar un certificado de CA raíz autofirmado para emitir certificados
automáticamente para otras aplicaciones (por ejemplo, Proxy SSL de reenvío).
Asimismo, si un cortafuegos debe establecer conexiones seguras con otros cortafuegos, la
CA raíz que emite sus certificados debe estar incluida en la lista de CA raíz de confianza del
cortafuegos.

Gestión de certificados 97
¿Cómo verifican los dispositivos el estado de revocación de certificados? Gestión de certificados

¿Cómo verifican los dispositivos el estado de revocación de


certificados?
Los dispositivos de Palo Alto Networks utilizan certificados digitales para garantizar la confianza entre las partes
de una sesión de comunicación segura. La configuración de un dispositivo para que compruebe el estado de
revocación de certificados ofrece una seguridad adicional. Una parte que presente un certificado revocado no
es fiable. Cuando un certificado forma parte de una cadena, el dispositivo comprueba el estado de cada
certificado de la cadena, excepto el certificado de CA raíz, cuyo estado de revocación no puede verificar el
dispositivo.
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociación entre el sujeto y la entidad de certificación (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelación (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificación que emitió el certificado deberá revocarlo.
Los dispositivos de Palo Alto Networks admiten los siguientes métodos para verificar el estado de revocación
de certificados. Si configura los dos, los dispositivos primero intentarán utilizar el método OCSP; si el servidor
OCSP no está disponible, los dispositivos utilizarán el método CRL.
 Lista de revocación de certificados (CRL)
 Protocolo de estado de certificado en línea (OCSP)

En PAN-OS, la verificación del estado de revocación de certificados es una función opcional. La


práctica recomendada es habilitarla para perfiles de certificados, que definen la autenticación de
usuarios y dispositivos para portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso
a la interfaz web del cortafuegos/Panorama.

Lista de revocación de certificados (CRL)

Cada entidad de certificación (CA) emite periódicamente una lista de revocación de certificados (CRL) en un
repositorio público. La CRL identifica los certificados revocados por su número de serie. Después de que la CA
revoque un certificado, la siguiente actualización de la CRL incluirá el número de serie de ese certificado.
El cortafuegos de Palo Alto Networks descarga y guarda en caché la última emisión de la CRL de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en caché solamente se aplica a
certificados validados; si un cortafuegos nunca validó un certificado, el cortafuegos no almacenará la CRL para
la CA de emisión. Asimismo, la caché solamente almacena una CRL hasta que vence.
Para utilizar las CRL para verificar el estado de revocación de certificados cuando el cortafuegos funcione como
proxy SSL de reenvío, consulte Configuración de la verificación del estado de revocación de certificados
utilizados para el descifrado SSL/TLS.
Para utilizar las CRL para verificar el estado de revocación de certificados que autentiquen usuarios y
dispositivos, configure un perfil de certificado y asígnelo a las interfaces específicas de la aplicación: portal
cautivo, GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec o acceso a la
interfaz web del cortafuegos/Panorama. Para obtener más información, consulte Configuración de la
verificación del estado de revocación de certificados utilizados para la autenticación de usuarios/dispositivos.

98 Gestión de certificados
Gestión de certificados ¿Cómo verifican los dispositivos el estado de revocación de certificados?

Protocolo de estado de certificado en línea (OCSP)

Al establecer una sesión SSL/TLS, los clientes pueden utilizar el protocolo de estado de certificado en línea
(OCSP) para comprobar el estado de revocación del certificado de autenticación. El cliente que realiza la
autenticación envía una solicitud que contiene el número de serie del certificado al respondedor OCSP
(servidor). El respondedor busca en la base de datos de la entidad de certificación (CA) que emitió el certificado
y devuelve una respuesta con el estado (Correcto, Revocado o Desconocido) al cliente. La ventaja del método OCSP
es que puede verificar el estado en tiempo real, en lugar de depender de la frecuencia de emisión (cada hora,
diariamente o semanalmente) de las CRL.
El cortafuegos de Palo Alto Networks descarga y guarda en caché información de estado de OCSP de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en caché solamente se aplica a
certificados validados; si un cortafuegos nunca validó un certificado, la caché del cortafuegos no almacenará la
información de OCSP para la CA de emisión. Si su empresa tiene su propia infraestructura de clave pública
(PKI), puede configurar el cortafuegos como un respondedor OCSP (consulte Configuración de un
respondedor OCSP).
Para utilizar el OCSP para verificar el estado de revocación de certificados cuando el cortafuegos funcione como
proxy SSL de reenvío, realice los pasos que se indican en Configuración de la verificación del estado de
revocación de certificados utilizados para el descifrado SSL/TLS.
Las siguientes aplicaciones utilizan certificados para autenticar usuarios y/o dispositivos: portal cautivo,
GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec y acceso a la interfaz web
del cortafuegos/Panorama. Para utilizar OCSP para verificar el estado de revocación de los certificados:
 Configure un respondedor OCSP.
 Habilite el servicio OCSP de HTTP en el cortafuegos.
 Cree u obtenga un certificado para cada aplicación.
 Configure un perfil de certificado para cada aplicación.
 Asigne el perfil de certificado a la aplicación relevante.
Para cubrir situaciones en las que el respondedor OCSP no esté disponible, configure la CRL como método de
retroceso. Para obtener más información, consulte Configuración de la verificación del estado de revocación de
certificados utilizados para la autenticación de usuarios/dispositivos.

Gestión de certificados 99
¿Cómo obtienen los dispositivos los certificados? Gestión de certificados

¿Cómo obtienen los dispositivos los certificados?


Los enfoques básicos para implementar certificados para dispositivos de Palo Alto Networks son los siguientes:
 Obtenga certificados de una CA externa de confianza: La ventaja de obtener un certificado de una
entidad de certificación (CA) externa de confianza como VeriSign o GoDaddy es que los clientes finales ya
confiarán en el certificado debido a que los exploradores comunes incluyen certificados de CA raíz de CA
conocidas en sus almacenes de certificados raíz de confianza. Por lo tanto, para aplicaciones que requieran
que los clientes finales establezcan conexiones seguras con un dispositivo de Palo Alto Networks, adquiera
un certificado de una CA en la que confíen los clientes finales para no tener que implementar previamente
certificados de CA raíz en los clientes finales. (Algunas de estas aplicaciones son un portal de GlobalProtect
o gestor de seguridad móvil de GlobalProtect.) Sin embargo, observe que la mayoría de CA externas no
pueden emitir certificados de firma. Por lo tanto, este tipo de certificado no es adecuado para las aplicaciones
(por ejemplo, descifrado SSL/TLS y VPN a gran escala) que requieran que el cortafuegos emita certificados.

 Obtenga certificados de una CA de empresa: Las empresas que tengan su propia CA interna podrán
utilizarla para emitir certificados para aplicaciones de cortafuegos e importarlos en el cortafuegos. La ventaja
es que los clientes finales probablemente ya confíen en la CA de empresa. Puede generar los certificados
necesarios e importarlos en el cortafuegos o generar una solicitud de firma de certificado (CSR) en el
cortafuegos y enviarla a la CA de empresa para que la firme. La ventaja de este método es que la clave privada
no abandona el cortafuegos. Un CA de empresa también puede emitir un certificado de firma, que el
cortafuegos utiliza para generar certificados automáticamente (por ejemplo, para VPN a gran escala de
GlobalProtect o sitios que requieran un descifrado SSL/TLS).

 Genere certificados autofirmados: Puede generar un certificado de CA raíz autofirmado en el cortafuegos


y utilizarlo para emitir certificados automáticamente para otras aplicaciones de cortafuegos. Observe que si
utiliza este método para generar certificados para una aplicación que requiera que un cliente final confíe en
el certificado, los usuarios finales verán un error de certificado debido a que el certificado de CA raíz no está
en su almacén de certificados raíz de confianza. Para evitar esto, implemente el certificado de CA raíz
autofirmado en todos los sistemas de usuario final. Puede implementar los certificados manualmente o
utilizar un método de implementación centralizado como un objeto de directiva de grupo (GPO) de Active
Directory.

100 Gestión de certificados


Gestión de certificados Configuración de la verificación del estado de revocación de certificados

Configuración de la verificación del estado de revocación


de certificados
Para verificar el estado de revocación de certificados, el cortafuegos utiliza el protocolo de estado de certificado
en línea (OCSP) y/o listas de revocación de certificados (CRL). Si desea información detallada de estos
métodos, consulte ¿Cómo verifican los dispositivos el estado de revocación de certificados? Si configura ambos
métodos, el cortafuegos primero intentará utilizar el OCSP y solamente retrocederá al método CRL si el
respondedor OCSP no está disponible. Si su empresa tiene su propia infraestructura de clave pública (PKI),
puede configurar el cortafuegos para que funcione como el respondedor OCSP.
Los siguientes temas describen cómo configurar el cortafuegos para verificar el estado de revocación de
certificados:
 Configuración de un respondedor OCSP
 Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de
usuarios/dispositivos
 Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado
SSL/TLS

Configuración de un respondedor OCSP

Para utilizar el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de
certificados, debe configurar el cortafuegos para que acceda a un respondedor OCSP (servidor). La entidad que
gestiona el respondedor OCSP puede ser una entidad de certificación (CA) externa o, si su empresa tiene su
propia infraestructura de clave pública (PKI), el propio cortafuegos. Si desea información detallada sobre OCSP,
consulte ¿Cómo verifican los dispositivos el estado de revocación de certificados?

Gestión de certificados 101


Configuración de la verificación del estado de revocación de certificados Gestión de certificados

Configuración de un respondedor OCSP

Paso 1 Defina un respondedor OCSP. 1. En un cortafuegos, seleccione Dispositivo > Gestión de


certificados > OCSP responder y haga clic en Añadir.
En Panorama, seleccione Dispositivo > Gestión de
certificados > OCSP responder, seleccione una Plantilla y
haga clic en Añadir.
2. Introduzca un Nombre para identificar al respondedor (hasta
31 caracteres). El nombre distingue entre mayúsculas y
minúsculas. Debe ser exclusivo y utilizar únicamente letras,
números, espacios, guiones y guiones bajos.
3. Si el cortafuegos admite varios sistemas virtuales, el cuadro de
diálogo muestra el menú desplegable Ubicación. Seleccione el
sistema virtual donde el respondedor estará disponible o
seleccione Compartido para habilitar la disponibilidad en todos
los sistemas virtuales.
4. En el campo Nombre de host, introduzca el nombre de host
(recomendado) o la dirección IP del respondedor OCSP. A
partir de este valor, PAN-OS deriva automáticamente una URL
y la añade al certificado que se está verificando.
Si configura el propio cortafuegos como respondedor OCSP, el
nombre de host debe resolverse en una dirección IP de la
interfaz que utiliza el cortafuegos para servicios de OCSP
(especificado en el Paso 3).
5. Haga clic en ACEPTAR.

Paso 2 Habilite la comunicación de OCSP en el 1. En un cortafuegos, seleccione Dispositivo > Configuración >
cortafuegos. Gestión.
En Panorama, seleccione Dispositivo > Configuración >
Gestión y seleccione una Plantilla.
2. En la sección Configuración de interfaz de gestión, haga clic en
el icono Editar , seleccione la casilla de verificación OCSP de
HTTP y, a continuación, haga clic en ACEPTAR.

Paso 3 Opcionalmente, para configurar el propio 1. Seleccione Red > Perfiles de red > Gestión de interfaz.
cortafuegos como respondedor OCSP, 2. Haga clic en Añadir para crear un nuevo perfil o haga clic en el
añada un perfil de gestión de interfaz a la nombre de un perfil existente.
interfaz utilizada para servicios OCSP.
3. Seleccione la casilla de verificación OCSP de HTTP y haga clic
en ACEPTAR.
4. Seleccione Red > Interfaces y haga clic en el nombre de la
interfaz que utilizará el cortafuegos para servicios OCSP. El
Nombre de host de OCSP especificado en el Paso 1 deberá
resolverse en una dirección IP de esta interfaz.
5. Seleccione Avanzada > Otra información y seleccione el perfil
de gestión de interfaz que configuró.
6. Haga clic en ACEPTAR y Confirmar.

102 Gestión de certificados


Gestión de certificados Configuración de la verificación del estado de revocación de certificados

Configuración de la verificación del estado de revocación de certificados


utilizados para la autenticación de usuarios/dispositivos

El cortafuegos utiliza certificados para autenticar usuarios y dispositivos para aplicaciones tales como portal
cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Para
mejorar la seguridad, la práctica recomendada es configurar el cortafuegos para que verifique el estado de
revocación de certificados que utilice para la autenticación de dispositivos/usuarios.

Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de


usuarios/dispositivos

Paso 1 Configuración de un perfil de certificado Asigne uno o más certificados CA raíz al perfil y seleccione el modo
para cada aplicación. en que el cortafuegos verifica el estado de revocación de certificados.
El nombre común (FQDN o dirección IP) de un certificado debe
coincidir con una interfaz en la que aplique el perfil del Paso 2.
Si desea información detallada sobre los certificados que utilizan las
distintas aplicaciones, consulte ¿Cómo utilizan los dispositivos las
claves y los certificados?

Paso 2 Asigne los perfiles de certificados a las Los pasos para asignar un perfil de certificado dependen de la
aplicaciones relevantes. aplicación que lo requiera.

Configuración de la verificación del estado de revocación de certificados


utilizados para el descifrado SSL/TLS

El cortafuegos descifra el tráfico SSL/TLS saliente para aplicar políticas de seguridad y reglas y, a continuación,
vuelve a cifrar el tráfico antes de reenviarlo. Durante este proceso, el cortafuegos actúa como servidor proxy de
reenvío, manteniendo conexiones separadas con el cliente y el servidor de destino. Para la conexión con el
cliente, el cortafuegos utiliza un certificado de CA para generar automáticamente un certificado de descifrado
que es una copia del certificado del servidor de destino. Puede configurar el cortafuegos para verificar el estado
de revocación de certificados del servidor de destino de la manera siguiente.

Si habilita la verificación del estado de revocación de certificados de descifrado SSL/TLS,


añadirá tiempo al proceso de establecimiento de la sesión. El primer intento de acceder a un sitio
puede fallar si la verificación no termina antes de que se acabe el tiempo de espera de la sesión.
Por estos motivos, la verificación está deshabilitada de manera predeterminada.

Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado


SSL/TLS

Paso 1 Acceda a la página Configuración de En un cortafuegos, seleccione Dispositivo > Configuración >
revocación de certificado de descifrado. Sesión y, en la sección Características de sesión, seleccione
Configuración de revocación de certificado de descifrado.
En Panorama, seleccione Dispositivo > Configuración > Sesión,
seleccione una Plantilla y, en la sección Características de sesión,
seleccione Configuración de revocación de certificado de
descifrado.

Gestión de certificados 103


Configuración de la verificación del estado de revocación de certificados Gestión de certificados

Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado


SSL/TLS (Continuación)

Paso 2 Defina los intervalos de tiempo de espera Realice uno de los dos pasos siguientes o ambos, dependiendo de si
específicos de servicio para las solicitudes el cortafuegos utilizará el método de protocolo de estado de
de estado de revocación. certificado en línea (OCSP) o lista de revocación de certificados
(CRL) para verificar el estado de revocación de certificados. Si el
cortafuegos utiliza ambos, primero intentará utilizar OCSP; si el
respondedor OCSP no está disponible, entonces el cortafuegos
intenta utilizar el método CRL.
1. En la sección CRL, seleccione la casilla de verificación
Habilitar e introduzca el Tiempo de espera de recepción. Este
es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de
esperar una respuesta del servicio CRL.
2. En la sección OCSP, seleccione la casilla de verificación
Habilitar e introduzca el Tiempo de espera de recepción. Este
es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de
esperar una respuesta del respondedor OCSP.
Dependiendo del valor de Tiempo de espera del estado del
certificado que especifique en el Paso 3, puede que el cortafuegos
registre un tiempo de espera antes de que pase cualquiera de los
intervalos de Tiempo de espera de recepción o ambos.

Paso 3 Defina el intervalo de tiempo de espera Introduzca el Tiempo de espera del estado del certificado. Este es
total para las solicitudes de estado de el intervalo (1-60 segundos) tras el cual el cortafuegos deja de
revocación. esperar una respuesta de cualquier servicio de estado de certificados
y aplica la lógica de bloqueo de sesión que defina opcionalmente en
el Paso 4. El Tiempo de espera del estado del certificado se
relaciona con el Tiempo de espera de recepción de OCSP/CRL de
la manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un
tiempo de espera de solicitud después de que pase el menor de
dos intervalos: el valor de Tiempo de espera del estado del
certificado o la suma de los dos valores de Tiempo de espera de
recepción.
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo
de espera de solicitud después de que pase el menor de dos
intervalos: el valor de Tiempo de espera del estado del
certificado o el valor de Tiempo de espera de recepción de
OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de
espera de solicitud después de que pase el menor de dos
intervalos: el valor de Tiempo de espera del estado del
certificado o el valor de Tiempo de espera de recepción de
CRL.

104 Gestión de certificados


Gestión de certificados Configuración de la verificación del estado de revocación de certificados

Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado


SSL/TLS (Continuación)

Paso 4 Defina el comportamiento de bloqueo Si desea que el cortafuegos bloquee sesiones SSL/TLS cuando el
para el estado de certificado Desconocido o servicio OCSP o CRL devuelva el estado de revocación de
un tiempo de espera de solicitud de estado certificados Desconocido, seleccione la casilla de verificación Bloquear
de revocación. sesión con estado de certificado desconocido. De lo contrario, el
cortafuegos continuará con la sesión.
Si desea que el cortafuegos bloquee sesiones SSL/TLS después de
que registre un tiempo de espera de solicitud, seleccione la casilla de
verificación Bloquear sesión al agotar el tiempo de espera de
comprobación de estado de certificado. De lo contrario, el
cortafuegos continuará con la sesión.

Paso 5 Guarde y aplique sus entradas. Haga clic en ACEPTAR y Confirmar.

Gestión de certificados 105


Configuración de la clave maestra Gestión de certificados

Configuración de la clave maestra


Cada cortafuegos tiene una clave maestra predeterminada que cifra las claves privadas y otros secretos (como
contraseñas y claves compartidas). La clave privada autentica a los usuarios cuando acceden a interfaces
administrativas del cortafuegos. La práctica recomendada para proteger las claves es configurar la clave maestra
en cada cortafuegos para que sea exclusiva y cambiarla periódicamente. Para mayor seguridad, utilice una clave
de ajuste almacenada en un módulo de seguridad de hardware (HSM) para cifrar la clave maestra. Para obtener
más información, consulte Cifrado de una clave maestra utilizando un HSM.

En una configuración de alta disponibilidad (HA), asegúrese de que ambos dispositivos del par
utilizan la misma clave maestra para cifrar claves privadas y certificados. Si las claves maestras
son diferentes, la sincronización de la configuración de HA no funcionará correctamente.
Cuando exporta una configuración de cortafuegos, la clave maestra cifra las contraseñas de los
usuarios gestionados en servidores externos. Para los usuarios gestionados localmente, el
cortafuegos añade hash a las contraseñas pero la clave maestra no las cifra.

Configuración de una clave maestra

1. En un cortafuegos, seleccione Dispositivo > Clave maestra y diagnóstico y, en la sección Clave maestra, haga clic
en el icono Editar .
En Panorama, seleccione Panorama > Clave maestra y diagnóstico y, en la sección Clave maestra, haga clic en el
icono Editar .

2. Introduzca la Clave maestra actual, si existe.

3. Defina una Nueva clave principal y, a continuación, seleccione la acción Confirmar clave maestra. La clave debe
contener exactamente 16 caracteres.

4. (Opcional) Para especificar la Duración de la clave maestra, introduzca el número de Días y/u Horas tras los cuales
vencerá la clave. Si establece una duración, cree una nueva clave maestra antes de que venza la clave anterior.

5. (Opcional) Si establece la duración de una clave, introduzca un Tiempo para el recordatorio que especifique el
número de Días y Horas que precedan al vencimiento de la clave maestra cuando el cortafuegos le enviará un
recordatorio por correo electrónico.

6. (Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Para obtener más información, consulte
Cifrado de una clave maestra utilizando un HSM.

7. Haga clic en ACEPTAR y Confirmar.

106 Gestión de certificados


Gestión de certificados Obtención de certificados

Obtención de certificados
 Creación de un certificado de CA raíz autofirmado
 Generación de un certificado en el cortafuegos
 Importación de un certificado y una clave privada
 Obtención de un certificado de una CA externa

Creación de un certificado de CA raíz autofirmado

Un certificado de una entidad de certificación (CA) raíz autofirmado es el certificado de mayor nivel de una
cadena de certificados. Un cortafuegos puede utilizar este certificado para emitir certificados automáticamente
para otros usos. Por ejemplo, el cortafuegos emite certificados para el descifrado SSL/TLS y para dispositivos
satélite de una VPN a gran escala de GlobalProtect.
Al establecer una conexión segura con el cortafuegos, el cliente remoto debe confiar en la CA raíz que emitió el
certificado. De lo contrario, el explorador del cliente mostrará una advertencia indicando que el certificado no
es válido y podría (dependiendo de la configuración de seguridad) bloquear la conexión. Para evitar esto, después
de generar el certificado de CA raíz autofirmado, impórtelo en los sistemas cliente.

Generación de un certificado de CA raíz autofirmado

1. En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.

2. Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione un
sistema virtual para el certificado. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione
la opción compartida descrita en el Paso 6.

3. Haga clic en Generar.

4. Introduzca un Nombre de certificado, como GlobalProtect_CA. El nombre distingue entre mayúsculas y minúsculas
y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.

5. En el campo Nombre común, introduzca el FQDN (recomendado) o la dirección IP de la interfaz en la que


configurará el servicio que utilizará este certificado.

6. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla de verificación
Compartido. Esta casilla de verificación solamente aparece si el dispositivo admite varios sistemas virtuales.

7. Deje el campo Firmado por en blanco para designar el certificado como autofirmado.

8. Seleccione la casilla de verificación Autoridad del certificado.

9. No seleccione un OCSP responder. La verificación del estado de revocación de certificados no se aplica a certificados
de CA raíz.

10. Haga clic en Generar y Confirmar.

Gestión de certificados 107


Obtención de certificados Gestión de certificados

Generación de un certificado en el cortafuegos

El cortafuegos utiliza certificados para autenticar clientes, servidores, usuarios y dispositivos en varias
aplicaciones, entre las que se incluyen descifrado SSL/TLS, portal cautivo, GlobalProtect, VPN de sitio a sitio
de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Genere certificados para cada uso. Si desea
información detallada sobre certificados específicos de aplicaciones, consulte ¿Cómo utilizan los dispositivos las
claves y los certificados?
Para generar un certificado, primero debe crear o importar un certificado de CA raíz para firmarlo. Si desea
información detallada, consulte Creación de un certificado de CA raíz autofirmado o Importación de un
certificado y una clave privada.
Para utilizar el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de
certificados, realice la acción de Configuración de un respondedor OCSP antes de generar el certificado. Si desea
información detallada sobre la verificación del estado, consulte ¿Cómo verifican los dispositivos el estado de
revocación de certificados?

Generación de un certificado en el cortafuegos

1. En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.

2. Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione un
sistema virtual para el certificado. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione
la opción compartida descrita en el Paso 6.

3. Haga clic en Generar.

4. Introduzca un nombre de certificado. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.

5. En el campo Nombre común, introduzca el FQDN (recomendado) o la dirección IP de la interfaz en la que


configurará el servicio que utilizará este certificado.

6. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla de verificación
Compartido. Esta casilla de verificación solamente aparece si el dispositivo admite varios sistemas virtuales.

7. En el campo Firmado por, seleccione el certificado de CA raíz que emitirá el certificado.

8. Si es aplicable, seleccione un OCSP responder.

9. (Opcional) Defina la Configuración criptográfica según sea necesario para crear un certificado que funcione con
los dispositivos que deben autenticarse con él. El tamaño de clave predeterminado y recomendado (Número de bits)
es 2048 bits. El algoritmo de cifrado predeterminado y recomendado (Resumen) es SHA256.

10. (Opcional) Deberá Añadir los Atributos del certificado para identificar de manera exclusiva el cortafuegos y el
servicio que vaya a utilizar el certificado.
Nota Si añade un atributo Nombre de host (nombre DNS), la práctica recomendada es que coincida con el Nombre
común. El nombre de host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.

11. Haga clic en Generar y, en la pestaña Certificados de dispositivos, haga clic en el Nombre del certificado.

108 Gestión de certificados


Gestión de certificados Obtención de certificados

Generación de un certificado en el cortafuegos (Continuación)

12. Seleccione las casillas de verificación que se correspondan con el uso que se pretende dar al certificado en el
cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para autenticar el acceso de usuario a su
interfaz web, seleccione la casilla de verificación Certificado de GUI web segura.

13. Haga clic en ACEPTAR y Confirmar.

Importación de un certificado y una clave privada

Si su empresa tiene su propia infraestructura de clave pública (PKI), puede importar un certificado y una clave
privada en el cortafuegos desde la entidad de certificación (CA) de su empresa. Los certificados de CA de
empresa (a diferencia de la mayoría de certificados adquiridos a una CA externa de confianza) pueden emitir
automáticamente certificados de CA para aplicaciones como el descifrado SSL/TLS o VPN a gran escala.

En lugar de importar un certificado de CA raíz autofirmado en todos los sistemas cliente, la


práctica recomendada es importar un certificado desde la CA de la empresa, dado que los
clientes ya mantienen una relación de confianza con la CA de la empresa, lo cual simplifica la
implementación.
Si el certificado que va a importar forma parte de una cadena de certificados, la práctica
recomendada es importar toda la cadena.

Importación de un certificado y una clave privada

1. Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizará para la autenticación.
Al exportar una clave privada, debe introducir una frase de contraseña para cifrar la clave para su transporte.
Asegúrese de que el sistema de gestión puede acceder a los archivos de l certificado y clave. Al importar la clave en
el cortafuegos, debe introducir la misma frase de contraseña para descifrarla.

2. En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.

3. Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione un
sistema virtual para el certificado. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione
la opción compartida descrita en el Paso 6.

4. Haga clic en Importar.

5. Introduzca un nombre de certificado. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.

6. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla de verificación
Compartido. Esta casilla de verificación solamente aparece si el dispositivo admite varios sistemas virtuales.

7. Introduzca la ruta y el nombre del Archivo de certificado que recibió de la CA o seleccione Examinar para buscar
el archivo.

Gestión de certificados 109


Obtención de certificados Gestión de certificados

Importación de un certificado y una clave privada (Continuación)

8. Seleccione un Formato de archivo:


• Clave privada cifrada y certificado (PKCS12): Este es el formato predeterminado y más común, en el que la clave
y el certificado están en un único contenedor (Archivo del certificado). Si un módulo de seguridad de hardware
(HSM) va a almacenar la clave privada para este certificado, seleccione la casilla de verificación La clave privada
reside en el módulo de seguridad de hardware.
• Certificado codificado en Base64 (PEM): Debe importar la clave independientemente del certificado. Si un
módulo de seguridad de hardware (HSM) almacena la clave privada para este certificado, seleccione la casilla de
verificación La clave privada reside en el módulo de seguridad de hardware y omita el paso 9. De lo contrario,
seleccione la casilla de verificación Importar clave privada, introduzca el Archivo de clave o seleccione Examinar
para buscarlo y, a continuación, realice el paso 9.

9. Introduzca y vuelva a introducir (confirme) la Frase de contraseña utilizada para cifrar la clave privada.

10. Haga clic en ACEPTAR. La pestaña Certificados de dispositivos muestra el certificado importado.

Obtención de un certificado de una CA externa

La ventaja de obtener un certificado de una entidad de certificación (CA) externa es que la clave privada no
abandona el cortafuegos. Para obtener un certificado de una CA externa, genere una solicitud de firma de
certificado (CSR) y envíela a la CA. Después de que la CA emita un certificado con los atributos especiales,
impórtelo en el cortafuegos. La CA puede ser una CA pública conocida o una CA de la empresa.
Para utilizar el protocolo de estado de certificación en línea (OCSP) para verificar el estado de revocación del
certificado, realice la acción de Configuración de un respondedor OCSP antes de generar la CSR.

110 Gestión de certificados


Gestión de certificados Obtención de certificados

Obtención de un certificado de una CA externa

Paso 1 Solicite el certificado de una CA externa. 1. En un cortafuegos, seleccione Dispositivo > Gestión de
certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos y seleccione una
Plantilla.
2. Si el dispositivo admite varios sistemas virtuales, la pestaña
muestra el menú desplegable Ubicación. Seleccione un sistema
virtual para el certificado. Para que el certificado esté disponible
para todos los sistemas virtuales, seleccione la opción
compartida descrita en el subpaso 6.
3. Haga clic en Generar.
4. Introduzca un Nombre de certificado. El nombre distingue
entre mayúsculas y minúsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar únicamente letras,
números, guiones y guiones bajos.
5. En el campo Nombre común, introduzca el FQDN
(recomendado) o la dirección IP de la interfaz en la que
configurará el servicio que utilizará este certificado.
6. Para que el certificado esté disponible para todos los sistemas
virtuales, seleccione la casilla de verificación Compartido. Esta
casilla de verificación solamente aparece si el dispositivo admite
varios sistemas virtuales.
7. En el campo Firmado por, seleccione Autoridad externa
(CSR).
8. Si es aplicable, seleccione un OCSP responder.
9. (Opcional) Deberá Añadir los Atributos del certificado para
identificar de manera exclusiva el cortafuegos y el servicio que
vaya a utilizar el certificado.
Nota Si añade un atributo Nombre de host, la práctica
recomendada es que coincida con el Nombre común (esto
es obligatorio para GlobalProtect). El nombre de host
cumplimenta el campo Nombre alternativo del asunto
(SAN) del certificado.
10. Haga clic en Generar. La pestaña Certificados de dispositivos
muestra la CSR con el estado Pendiente.

Paso 2 Envíe la CSR a la CA. 1. Seleccione la CSR y haga clic en Exportar para guardar el
archivo .csr en un equipo local.
2. Cargue el archivo .csr en la CA.

Gestión de certificados 111


Obtención de certificados Gestión de certificados

Obtención de un certificado de una CA externa (Continuación)

Paso 3 Importe el certificado. 1. Después de que la CA envíe un certificado firmado como


respuesta a la CSR, vuelva a la pestaña Certificados de
dispositivos y haga clic en Importar.
2. Introduzca el Nombre de certificado utilizado para generar la
CSR en el Paso 1-4.
3. Introduzca la ruta y el nombre del Archivo del certificado
PEM que envió la CA o seleccione Examinar para buscarlo.
4. Haga clic en ACEPTAR. La pestaña Certificados de dispositivos
muestra el certificado con el estado Válido.

Paso 4 Configure el certificado. 1. Haga clic en el Nombre del certificado.


2. Seleccione las casillas de verificación que se correspondan con
el uso que se pretende dar al certificado en el cortafuegos. Por
ejemplo, si el cortafuegos va a utilizar este certificado para
autenticar a los administradores que acceden a la interfaz web,
seleccione la casilla de verificación Certificado de GUI web
segura.
3. Haga clic en ACEPTAR y Confirmar.

112 Gestión de certificados


Gestión de certificados Configuración de un perfil de certificado

Configuración de un perfil de certificado


Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal cautivo,
GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad móvil y acceso a la interfaz web del
cortafuegos/Panorama. Los perfiles especifican qué certificados deben utilizarse, cómo verificar el estado de
revocación de certificados y cómo restringe el acceso dicho estado. Configure un perfil de certificado para cada
aplicación.

La práctica recomendada es habilitar el protocolo de estado de certificado en línea (OCSP) y/o


la verificación del estado de la lista de revocación de certificados (CRL) para perfiles de
certificados. Si desea información detallada sobre estos métodos, consulte ¿Cómo verifican los
dispositivos el estado de revocación de certificados?

Configuración de un perfil de certificado

Paso 1 Obtenga los certificados de la entidad de Realice uno de los pasos siguientes para obtener los certificados de
certificación (CA) que asignará. CA que asignará al perfil. Debe asignar al menos uno.
• Creación de un certificado de CA raíz autofirmado.
• Exporte un certificado de la CA de su empresa y, a continuación,
impórtelo en el cortafuegos (consulte Paso 3).

Paso 2 Identifique el perfil de certificado. 1. En un cortafuegos, seleccione Dispositivo > Gestión de


certificados > Perfil del certificado y haga clic en Añadir.
En Panorama, seleccione Dispositivo > Gestión de certificados >
Perfil del certificado, seleccione una Plantilla y haga clic en
Añadir.
2. Introduzca un Nombre para identificar el perfil. El nombre
distingue entre mayúsculas y minúsculas. Debe ser exclusivo y
utilizar únicamente letras, números, espacios, guiones y guiones
bajos. Puede tener hasta 31 caracteres.
3. Si el cortafuegos admite varios sistemas virtuales, el cuadro de
diálogo muestra el menú desplegable Ubicación. Seleccione el
sistema virtual donde el perfil estará disponible o seleccione
Compartido para habilitar la disponibilidad en todos los
sistemas virtuales.

Gestión de certificados 113


Configuración de un perfil de certificado Gestión de certificados

Configuración de un perfil de certificado (Continuación)

Paso 3 Asigne uno o más certificados. Realice los siguientes pasos para cada certificado:
1. En la tabla Certificados de CA, haga clic en Añadir.
2. Seleccione un Certificado de CA del Paso 1 o haga clic en
Importar y realice los siguientes subpasos:
a. Introduzca un nombre de certificado.
b. Introduzca la ruta y el nombre del Archivo de certificado
que exportó desde la CA de su empresa o seleccione
Examinar para buscar el archivo.
c. Haga clic en ACEPTAR.
3. Opcionalmente, si el cortafuegos utiliza OCSP para verificar el
estado de revocación de certificados, configure los siguientes
campos para cancelar el comportamiento predeterminado. Para
la mayoría de las implementaciones, estos campos no son
aplicables.
• De manera predeterminada, el cortafuegos utiliza la URL del
respondedor OCSP que estableció en el procedimiento
Configuración de un respondedor OCSP. Para cancelar ese
ajuste, introduzca una URL de OCSP predeterminada (que
comience por http:// o https://).
• De manera predeterminada, el cortafuegos utiliza el
certificado seleccionado en el campo Certificado de CA para
validar las respuestas de OCSP. Para utilizar un certificado
diferente para la validación, selecciónelo en el campo
Verificación de certificado CA con OCSP.
4. Haga clic en ACEPTAR. La tabla Certificados de CA muestra el
certificado asignado.

114 Gestión de certificados


Gestión de certificados Configuración de un perfil de certificado

Configuración de un perfil de certificado (Continuación)

Paso 4 Defina los métodos para verificar el 1. Seleccione Utilizar CRL y/o Utilizar OCSP. Si selecciona ambos
estado de revocación de certificados y el métodos, el cortafuegos primero intentará utilizar el OCSP y
comportamiento de bloqueo asociado. solamente retrocederá al método CRL si el respondedor OCSP
no está disponible.
2. Dependiendo del método de verificación, introduzca el Tiempo
de espera de recepción de CRL y/o Tiempo de espera de
recepción de OCSP. Estos son los intervalos (1-60 segundos)
tras los cuales el cortafuegos deja de esperar una respuesta del
servicio CRL/OCSP.
3. Introduzca el Tiempo de espera del estado del certificado.
Este es el intervalo (1-60 segundos) tras el cual el cortafuegos
deja de esperar una respuesta de cualquier servicio de estado de
certificados y aplica la lógica de bloqueo de sesión que defina.
El Tiempo de espera del estado del certificado se relaciona
con el Tiempo de espera de recepción de OCSP/CRL de la
manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra
un tiempo de espera de solicitud después de que pase el
menor de dos intervalos: el valor de Tiempo de espera del
estado del certificado o la suma de los dos valores de
Tiempo de espera de recepción.
• Si habilita únicamente OCSP: El cortafuegos registra un
tiempo de espera de solicitud después de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepción de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un
tiempo de espera de solicitud después de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepción de CRL.
4. Si desea que el cortafuegos bloquee sesiones cuando el servicio
OCSP o CRL devuelva el estado de revocación de certificados
Desconocido, seleccione la casilla de verificación Bloquear una
sesión si el estado del certificado es desconocido. De lo
contrario, el cortafuegos continuará con la sesión.
5. Si desea que el cortafuegos bloquee sesiones después de que
registre un tiempo de espera de solicitud de OCSP o CRL,
seleccione la casilla de verificación Bloquear una sesión si no
se puede recuperar el estado del certificado dentro del
tiempo de espera. De lo contrario, el cortafuegos continuará
con la sesión.

Paso 5 Guarde y aplique sus entradas. Haga clic en ACEPTAR y Confirmar.

Gestión de certificados 115


Revocación y renovación de certificados Gestión de certificados

Revocación y renovación de certificados


Los siguientes temas describen cómo revocar o renovar certificados:
 Revocación de un certificado
 Renovación de un certificado

Revocación de un certificado

Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociación entre el sujeto y la entidad de certificación (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelación (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificación (CA) que emitió el certificado deberá revocarlo. La siguiente tarea
describe cómo revocar un certificado para el que el cortafuegos sea la CA.

Revocación de un certificado

1. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos.

2. Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione el
sistema virtual al que pertenece el certificado.

3. Seleccione el certificado que desea revocar.

4. Haga clic en Revocar. PAN-OS inmediatamente establece el estado del certificado como revocado y añade el número
de serie a la caché del respondedor del protocolo de estado de certificado en línea (OCSP) o la lista de revocación
de certificados (CRL). No necesita realizar una confirmación.

Renovación de un certificado

Si un certificado vence, o lo hará pronto, puede restablecer el período de validez. Si una entidad de certificación
(CA) externa firmó el certificado y el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP)
para verificar el estado de revocación de certificados, el cortafuegos utilizará información del respondedor
OCSP para actualizar el estado del certificado (consulte Configuración de un respondedor OCSP). Si el
cortafuegos es la CA que emitió el certificado, el cortafuegos lo sustituirá por un nuevo certificado que tenga
un número de serie diferente pero los mismos atributos que el certificado anterior.

Renovación de un certificado

1. En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.

2. Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione el
sistema virtual al que pertenece el certificado.

3. Seleccione el certificado que desea renovar y haga clic en Renovar.

4. Introduzca un Nuevo intervalo de vencimiento (en días).

5. Haga clic en ACEPTAR y Confirmar.

116 Gestión de certificados


Gestión de certificados Claves seguras con un módulo de seguridad de hardware

Claves seguras con un módulo de seguridad de hardware


Un módulo de seguridad de hardware (HSM) es un dispositivo físico que gestiona claves digitales. Un HSM
proporciona un almacenamiento seguro y la generación de claves digitales. Ofrece tanto protección lógica como
física de estos materiales ante un uso no autorizado y posibles atacantes.
Los clientes HSM integrados con dispositivos de Palo Alto Networks habilitan una seguridad mejorada para las
claves privadas utilizadas en el descifrado SSL/TLS (tanto el proxy SSL de reenvío como la inspección de
entrada SSL). Además, puede utilizar el HSM para cifrar claves maestras de dispositivos.
Los siguientes temas describen cómo integrar un HSM con sus dispositivos de Palo Alto Networks:
 Configuración de la conectividad con un HSM
 Cifrado de una clave maestra utilizando un HSM
 Almacenamiento de claves privadas en un HSM
 Gestión de la implementación del HSM

Configuración de la conectividad con un HSM

Los clientes HSM están integrados con los cortafuegos de las series PA-3000, PA-4000, PA-5000, PA-7050 y
VM-Series y en Panorama (dispositivo virtual y dispositivo M-100) para su uso con los siguientes HSM:

 SafeNet Luna SA 5.2.1 o posterior

 Thales Nshield Connect 11.62 o posterior

La versión del servidor HSM debe ser compatible con estas versiones de cliente. Consulte la
documentación del proveedor del HSM para conocer la matriz de compatibilidad de la versión de
servidor cliente.

Los siguientes temas describen cómo configurar la conectividad entre el cortafuegos/Panorama y uno de los
HSM admitidos:
 Configuración de la conectividad con un HSM SafeNet Luna SA
 Configuración de la conectividad con un HSM Thales Nshield Connect

Configuración de la conectividad con un HSM SafeNet Luna SA

Para configurar la conectividad entre el dispositivo de Palo Alto Networks y un HSM SafeNet Luna SA, debe
especificar la dirección del servidor HSM y la contraseña para conectarse a él en la configuración del
cortafuegos. Además, debe registrar el cortafuegos con el servidor HSM. Antes de comenzar la configuración,
asegúrese de que ha creado una partición para los dispositivos de Palo Alto Networks en el servidor HSM.

La configuración del HSM no está sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deberá configurar el HSM por separado en cada uno de los peers.
En implementaciones de HA activas-pasivas, deberá realizar manualmente una conmutación por
error para configurar y autenticar cada peer de HA individualmente en el HSM. Después de
realizar esta conmutación por error manual, la interacción del usuario no será necesaria para la
función de conmutación por error.

Gestión de certificados 117


Claves seguras con un módulo de seguridad de hardware Gestión de certificados

Configuración de la conectividad con un HSM SafeNet Luna SA

Paso 1 Registre el cortafuegos (el cliente 1. Inicie sesión en el HSM desde un sistema remoto.
HSM) con el HSM y asígnelo a 2. Registre el cortafuegos utilizando el siguiente comando:
una partición en el HSM. client register -c <cl-name> -ip <fw-ip-addr>
Nota Si el HSM ya tiene un cortafuegos siendo <cl-name> un nombre que asigna al cortafuegos para su uso en
con el mismo <cl-name> el HSM y <fw-ip-addr> la dirección IP del cortafuegos que se está
registrado, deberá eliminar el configurando como cliente HSM.
registro duplicado utilizando el 3. Asigne una partición al cortafuegos utilizando el siguiente comando:
siguiente comando antes de que
client assignpartition -c <cl-name> -p <partition-name>
el registro pueda realizarse
correctamente: siendo <cl-name> el nombre asignado al cortafuegos en el comando
client register y <partition-name> el nombre de una partición
client delete -client configurada anteriormente que desee asignar al cortafuegos.
<cl-name>

siendo <cl-name> el nombre del


registro de cliente (cortafuegos)
que desea eliminar.

Paso 2 Configure el cortafuegos para 1. Inicie sesión en la interfaz web del cortafuegos y seleccione Dispositivo >
que se comunique con el HSM Configuración > HSM.
SafeNet Luna SA. 2. Edite la sección Proveedor de módulo de seguridad de hardware y
seleccione Safenet Luna SA como el Proveedor configurado.
3. Haga clic en Añadir e introduzca un Nombre de módulo. Puede ser
cualquier cadena ASCII con una longitud de hasta 31 caracteres.
4. Introduzca la dirección IPv4 del HSM como Dirección de servidor.
Si está realizando una configuración de HSM de alta disponibilidad,
introduzca los nombres de módulos y las direcciones IP de los
dispositivos del HSM adicionales.
5. (Opcional) Si está realizando una configuración de HSM de alta
disponibilidad, seleccione la casilla de verificación Alta disponibilidad y
añada lo siguiente: un valor para Reintento de recuperación
automática y un Nombre de grupo de alta disponibilidad.
Si hay dos servidores HSM configurados, debería configurar la alta
disponibilidad. De lo contrario, el segundo servidor HSM no se utilizará.
6. Haga clic en ACEPTAR y Confirmar.

118 Gestión de certificados


Gestión de certificados Claves seguras con un módulo de seguridad de hardware

Configuración de la conectividad con un HSM SafeNet Luna SA (Continuación)

Paso 3 (Opcional) Configure una ruta de 1. Seleccione Dispositivo > Configuración > Servicios.
servicio para permitir que el 2. Seleccione Configuración de ruta de servicios en el área Características
cortafuegos se conecte al HSM. de servicios.
De manera predeterminada, el 3. Seleccione Personalizar en el área Configuración de ruta de servicios.
cortafuegos utiliza la interfaz de 4. Seleccione la pestaña IPv4.
gestión para comunicarse con el
5. Seleccione HSM en la columna Servicio.
HSM. Para utilizar una interfaz
diferente, debe configurar una 6. Seleccione una interfaz para utilizarla para el HSM en el menú
ruta de servicio. desplegable Interfaz de origen.
Nota Si selecciona un puerto conectado al plano de datos para el HSM,
al emitir el comando de la CLI clear session all se borrarán
todas las sesiones del HSM existentes, lo que hará que todos los
estados del HSM se desconecten y luego se conecten. Durante los
segundos que necesita el HSM para recuperarse, fallarán todas las
operaciones de SSL/TLS.
7. Haga clic en ACEPTAR y Confirmar.

Paso 4 Configure el cortafuegos para 1. Seleccione Dispositivo > Configuración > HSM.
autenticarlo para el HSM. 2. Seleccione Configurar módulo de seguridad de hardware en el área
Operaciones de seguridad de hardware.
3. Seleccione el Nombre de servidor del HSM en el menú desplegable.
4. Introduzca la Contraseña de administrador para autenticar el
cortafuegos para el HSM.
5. Haga clic en ACEPTAR.
El cortafuegos intenta realizar una autenticación con el HSM y muestra
un mensaje de estado.
6. Haga clic en ACEPTAR.

Paso 5 Configure el cortafuegos para 1. Seleccione Dispositivo > Configuración > HSM.
conectarlo a la partición del 2. Haga clic en el icono Actualizar.
HSM.
3. Seleccione Configurar partición HSM en el área Operaciones de
seguridad de hardware.
4. Introduzca la Contraseña de partición para autenticar el cortafuegos
para la partición del HSM.
5. Haga clic en ACEPTAR.

Paso 6 (Opcional) Configure un HSM 1. Siga del Paso 2 al Paso 5 para añadir un HSM adicional para alta
adicional para alta disponibilidad disponibilidad (HA).
(HA). Este proceso añade un nuevo HSM al grupo de HA existente.
2. Si elimina un HSM de su configuración, repita el Paso 5.
Esto quitará el HSM eliminado del grupo de HA.

Gestión de certificados 119


Claves seguras con un módulo de seguridad de hardware Gestión de certificados

Configuración de la conectividad con un HSM SafeNet Luna SA (Continuación)

Paso 7 Verifique la conectividad con el 1. Seleccione Dispositivo > Configuración > HSM.
HSM. 2. Compruebe el Estado de la conexión del HSM:
Verde = El HSM está autenticado y conectado.
Rojo = El HSM no se ha autenticado o la conectividad de red del HSM
está inactiva.
3. Consulte las columnas siguientes del área Estado de módulo de
seguridad de hardware para determinar el estado de autenticación:
Número de serie: Número de serie de la partición del HSM si el HSM
se ha autenticado correctamente.
Partición: Nombre de la partición del HSM que se asignó al
cortafuegos.
Estado de módulo: Estado de funcionamiento actual del HSM. Siempre
tiene el valor Autenticado si el HSM se muestra en esta tabla.

Configuración de la conectividad con un HSM Thales Nshield Connect

El siguiente flujo de trabajo describe cómo configurar el cortafuegos para comunicarse con un HSM Thales
Nshield Connect. Esta configuración requiere que configure un sistema de archivos remoto (RFS) para utilizarlo
como concentrador y así sincronizar datos de claves de todos los cortafuegos de su organización que estén
utilizando el HSM.

La configuración del HSM no está sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deberá configurar el HSM por separado en cada uno de los peers.
Si la configuración del cortafuegos de alta disponibilidad está en modo activo-pasivo, deberá
realizar manualmente una conmutación por error para configurar y autenticar cada peer de HA
individualmente en el HSM. Después de realizar esta conmutación por error manual, la
interacción del usuario no será necesaria para la función de conmutación por error.

Configuración de la conectividad con un HSM Thales Nshield Connect

Paso 1 Configure el servidor 1. Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuración >
Thales Nshield Connect HSM y edite la sección Proveedor de módulo de seguridad de hardware.
como el proveedor de 2. Seleccione Thales Nshield Connect como el Proveedor configurado.
HSM del cortafuegos.
3. Haga clic en Añadir e introduzca un Nombre de módulo. Puede ser cualquier
cadena ASCII con una longitud de hasta 31 caracteres.
4. Introduzca la dirección IPv4 como la Dirección de servidor del HSM.
Si está realizando una configuración de HSM de alta disponibilidad, introduzca
los nombres de módulos y las direcciones IP de los dispositivos del HSM
adicionales.
5. Introduzca la dirección IPv4 de la Dirección de sistema de archivos remoto.
6. Haga clic en ACEPTAR y Confirmar.

120 Gestión de certificados


Gestión de certificados Claves seguras con un módulo de seguridad de hardware

Configuración de la conectividad con un HSM Thales Nshield Connect (Continuación)

Paso 2 (Opcional) Configure una 1. Seleccione Dispositivo > Configuración > Servicios.
ruta de servicio para 2. Seleccione Configuración de ruta de servicios en el área Características de
permitir que el servicios.
cortafuegos se conecte
3. Seleccione Personalizar en el área Configuración de ruta de servicios.
al HSM.
4. Seleccione la pestaña IPv4.
De manera
5. Seleccione HSM en la columna Servicio.
predeterminada, el
cortafuegos utiliza la 6. Seleccione una interfaz para utilizarla para el HSM en el menú desplegable
interfaz de gestión para Interfaz de origen.
comunicarse con el HSM. Nota Si selecciona un puerto conectado al plano de datos para el HSM, al emitir
Para utilizar una interfaz el comando de la CLI clear session all se borrarán todas las sesiones
diferente, debe configurar del HSM existentes, lo que hará que todos los estados del HSM se
una ruta de servicio. desconecten y luego se conecten. Durante los segundos que necesita el
HSM para recuperarse, fallarán todas las operaciones de SSL/TLS.
7. Haga clic en ACEPTAR y Confirmar.

Paso 3 Registre el cortafuegos 1. Inicie sesión en la pantalla del panel frontal de la unidad HSM Thales Nshield
(el cliente HSM) con el Connect.
servidor HSM. 2. En el panel frontal de la unidad, utilice el botón de navegación de la derecha
Este paso describe para seleccionar Sistema > Configuración del sistema > Configuración de
brevemente el cliente > Nuevo cliente.
procedimiento para
Client configuration
utilizar la interfaz del panel Please enter your
frontal del HSM Thales client IP address
Nshield Connect. Si desea 0.0.0.0
información más Cancel Next
detallada, consulte la
documentación de Thales. 3. Introduzca la dirección IP del cortafuegos.
4. Seleccione Sistema > Configuración del sistema > Configuración de cliente >
Sistema de archivos remoto e introduzca la dirección IP del equipo cliente
donde configure el sistema de archivos remoto.

Gestión de certificados 121


Claves seguras con un módulo de seguridad de hardware Gestión de certificados

Configuración de la conectividad con un HSM Thales Nshield Connect (Continuación)

Paso 4 Configure el sistema de 1. Inicie sesión en el sistema de archivos remoto (RFS) desde un cliente Linux.
archivos remoto para 2. Obtenga el número de serie electrónico (ESN) y el hash de la clave KNETI. La
aceptar conexiones del clave KNETI autentica el módulo para clientes:
cortafuegos. anonkneti <ip-address>
siendo <ip-address> la dirección IP del HSM.
A continuación se muestra un ejemplo:
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
En este ejemplo, B1E2-2D4C-E6A2 es el ESM y
5a2e5107e70d525615a903f6391ad72b1c03352c es el hash de la clave KNETI.
3. Utilice el siguiente comando de una cuenta de superusuario para realizar la
configuración del sistema de archivos remoto:
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>
siendo <ip-address> la dirección IP del HSM,
<ESN> el número de serie electrónico (ESN) y
<hash-Kneti-key> el hash de la clave KNETI.
El siguiente ejemplo utiliza los valores obtenidos mediante este procedimiento:
rfs-setup --force <192.0.2.1> <B1E2-2D4C-E6A2>
<5a2e5107e70d525615a903f6391ad72b1c03352c>
4. Utilice el siguiente comando para permitir un envío de cliente en el sistema de
archivos remoto:
rfs-setup --gang-client --write-noauth <FW-IPaddress>
siendo <FW-IPaddress> la dirección IP del cortafuegos.

Paso 5 Configure el cortafuegos 1. Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuración >
para autenticarlo para el HSM.
HSM. 2. Seleccione Configurar módulo de seguridad de hardware en el área
Operaciones de seguridad de hardware.
3. Haga clic en ACEPTAR.
El cortafuegos intenta realizar una autenticación con el HSM y muestra un
mensaje de estado.
4. Haga clic en ACEPTAR.

Paso 6 Sincronice el cortafuegos 1. Seleccione Dispositivo > Configuración > HSM.


con el sistema de archivos 2. Seleccione Sincronizar con sistema de archivos remoto en la sección
remoto. Operaciones de seguridad de hardware.

122 Gestión de certificados


Gestión de certificados Claves seguras con un módulo de seguridad de hardware

Configuración de la conectividad con un HSM Thales Nshield Connect (Continuación)

Paso 7 Verifique que el 1. Seleccione Dispositivo > Configuración > HSM.


cortafuegos puede 2. Compruebe el indicador de estado para verificar que el cortafuegos está
conectarse al HSM. conectado al HSM:
Verde = El HSM está autenticado y conectado.
Rojo = El HSM no se ha autenticado o la conectividad de red del HSM está
inactiva.
3. Consulte las columnas siguientes de la sección Estado de módulo de seguridad
de hardware para determinar el estado de autenticación:
Nombre: Nombre del HSM que trata de ser autenticado.
Dirección IP: Dirección IP del HSM que se asignó en el cortafuegos.
Estado de módulo: Estado de funcionamiento actual del HSM: Autenticado o
No autenticado.

Cifrado de una clave maestra utilizando un HSM

En un cortafuegos de Palo Alto Networks hay configurada una clave maestra para cifrar todas las claves privadas
y contraseñas. Si tiene requisitos de seguridad para almacenar sus claves privadas en una ubicación segura, puede
cifrar la clave maestra utilizando una clave de cifrado que se almacene en un HSM. A continuación, el
cortafuegos solicitará al HSM que descifre la clave maestra cuando sea necesaria para descifrar una contraseña
o clave privada en el cortafuegos. Normalmente, el HSM se encuentra en una ubicación de alta seguridad
separada del cortafuegos para mayor seguridad.
El HSM cifra la clave maestra mediante una clave de ajuste. Para mantener la seguridad, esta clave de cifrado
debe cambiarse de vez en cuando. Por este motivo, se proporciona un comando en el cortafuegos para rotar la
clave de ajuste que cambia el cifrado de la clave maestra. La frecuencia de esta rotación de la clave de ajuste
depende de su aplicación.

El cifrado de clave maestra que utilice un HSM no se admite en cortafuegos configurados en el


modo FIPS o CC.

Los temas siguientes describen cómo descifrar la clave maestra inicialmente y cómo actualizar el cifrado de la
clave maestra.
 Cifrado de la clave maestra
 Actualización del cifrado de clave maestra

Cifrado de la clave maestra

Si no ha cifrado anteriormente la clave maestra de un dispositivo, utilice el siguiente procedimiento para cifrarla.
Utilice este procedimiento la primera vez que cifre una clave o si define una nueva clave maestra y desea
descifrarla. Si desea actualizar el cifrado de una clave cifrada anteriormente, consulte Actualización del cifrado
de clave maestra.

Gestión de certificados 123


Claves seguras con un módulo de seguridad de hardware Gestión de certificados

Cifrado de una clave maestra utilizando un HSM

1. Seleccione Dispositivo > Clave maestra y diagnóstico.

Paso 8 Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseñas del cortafuegos
en el campo Clave maestra.

Paso 9 Si está cambiando la clave maestra, introduzca la nueva clave maestra y confírmela.

Paso 10 Seleccione la casilla de verificación HSM.


Duración: Número de días y horas tras el cual vence la clave maestra (rango: 1-730 días).

Tiempo para el recordatorio: Número de días y horas antes del vencimiento en cuyo momento se notificará al
usuario del vencimiento inminente (rango: 1-365 días).

Paso 11 Haga clic en ACEPTAR.

Actualización del cifrado de clave maestra

La práctica recomendada es actualizar el cifrado de clave maestra con regularidad rotando la clave de ajuste de
clave maestra en el HSM Este comando es el mismo para los HSM SafeNet Luna SA y Thales Nshield Connect.

Actualización del cifrado de clave maestra

1. Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un HSM:
> request hsm mkey-wrapping-key-rotation
Si la clave maestra está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste en el HSM y
cifrará la clave maestra con la nueva clave de ajuste.
Si la clave maestra no está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste en el HSM
para su uso en el futuro.
Este comando no elimina la clave de ajuste anterior.

Almacenamiento de claves privadas en un HSM

Para mayor seguridad, las claves privadas utilizadas para habilitar el descifrado SSL/TLS (tanto el proxy SSL de
reenvío como la inspección de entrada SSL) pueden protegerse con un HSM de la manera siguiente:

 Proxy SSL de reenvío: La clave privada del certificado de CA que se utiliza para firmar certificados en
operaciones de proxy SSL/TLS de reenvío se puede almacenar en el HSM. A continuación, el cortafuegos
enviará los certificados que genere durante las operaciones de proxy SSL/TLS de reenvío al HSM para su
envío antes de reenviarlos al cliente.

 Inspección de entrada SSL: Las claves privadas de los servidores internos para los que está haciendo una
inspección de entrada SSL/TLS se pueden almacenar en el HSM.
Para obtener instrucciones sobre cómo importar claves privadas en el HSM, consulte la documentación de su
proveedor de HSM. Después de que las claves necesarias se encuentren en el HSM, podrá configurar el
cortafuegos para ubicar las claves de la manera siguiente:

124 Gestión de certificados


Gestión de certificados Claves seguras con un módulo de seguridad de hardware

Almacenamiento de claves privadas en un HSM

Paso 1 Importe las claves privadas Para obtener instrucciones sobre cómo importar claves privadas en el HSM,
utilizadas en sus consulte la documentación de su proveedor de HSM.
implementaciones de proxy SSL
de reenvío y/o inspección de
entrada SSL en el HSM.

Paso 2 (Únicamente Thales Nshield 1. Desde la interfaz web del cortafuegos, seleccione Dispositivo >
Connect) Sincronice los datos de Configuración > HSM.
claves del sistema de archivos 2. Seleccione Sincronizar con sistema de archivos remoto en la sección
remoto del HSM con el Operaciones de seguridad de hardware.
cortafuegos.

Paso 3 Importe los certificados que se 1. Desde la interfaz web del cortafuegos, seleccione Dispositivo > Gestión
correspondan con las claves de certificados > Certificados > Certificados de dispositivos.
privadas que esté almacenando en 2. Haga clic en Importar.
el HSM en el cortafuegos.
3. Introduzca el Nombre de certificado.
4. Introduzca el nombre de archivo del Archivo del certificado que
importó en el HSM.
5. Seleccione el Formato de archivo adecuado en el menú desplegable.
6. Seleccione la casilla de verificación La clave privada reside en el
módulo de seguridad de hardware.
7. Haga clic en ACEPTAR y Confirmar.

Paso 4 (Únicamente certificados fiables 1. Seleccione Dispositivo > Gestión de certificados > Certificados >
de reenvío) Habilite el certificado Certificados de dispositivos.
para su uso en el proxy SSL/TLS 2. Localice el certificado que importó en el Paso 3.
de reenvío.
3. Seleccione la casilla de verificación Reenviar certificado fiable.
4. Haga clic en ACEPTAR y Confirmar.

Paso 5 Verifique que el certificado se ha 1. Seleccione Dispositivo > Gestión de certificados > Certificados >
importado correctamente en el Certificados de dispositivos.
cortafuegos. 2. Localice el certificado que importó en el Paso 3.
3. En la columna Clave, observe lo siguiente:
Si se muestra un icono de bloqueo, la clave privada del certificado puede
encontrarse en el HSM.
Si se muestra un icono de error, la clave privada no se ha importado en
el HSM o el HSM no está autenticado o conectado correctamente.

Gestión de certificados 125


Claves seguras con un módulo de seguridad de hardware Gestión de certificados

Gestión de la implementación del HSM

Gestión del HSM

• Visualice los ajustes de Seleccione Dispositivo > Configuración > HSM.


configuración del HSM.

• Muestre la información detallada Seleccione Mostrar información detallada en la sección Operaciones de seguridad
del HSM. de hardware.
Aparecerá información relativa a los servidores HSM, el estado de HA del HSM y
el hardware del HSM.

• Exporte un archivo de asistencia. Seleccione Exportar archivo de asistencia en la sección Operaciones de seguridad
de hardware.
Se creará un archivo de prueba para ayudar en la asistencia a los clientes cuando se
trate de solucionar un problema con una configuración del HSM en el cortafuegos.

• Restablezca la configuración del Seleccione Restablecer configuración de HSM en la sección Operaciones de


HSM. seguridad de hardware.
Seleccionar esta opción elimina todas las conexiones del HSM. Todos los
procedimientos de autenticación deberán repetirse después de utilizar esta opción.

126 Gestión de certificados


Alta disponibilidad
La alta disponibilidad (HA) es una configuración en la que dos cortafuegos se colocan en un grupo y su
configuración se sincroniza para prevenir el fallo de un único punto en su red. Una conexión de latido entre los
peers del cortafuegos garantiza una conmutación por error sin problemas en el caso de que falle un peer. La
configuración de los cortafuegos en un clúster de dos dispositivos proporciona redundancia y le permite
garantizar la continuidad empresarial.
Los cortafuegos de Palo Alto Networks admiten una alta disponibilidad activa/activa o activa/pasiva de estado
con sincronización de sesión y configuración. Algunos modelos del cortafuegos, como los cortafuegos
VM-Series y PA-200, únicamente admiten HA lite sin capacidad de sincronización de sesión. Los siguientes
temas proporcionan más información sobre la alta disponibilidad y sobre cómo configurarla en su entorno.
 Descripción general de la alta disponibilidad
 Configuración de la HA activa/pasiva

Si desea más información, consulte los siguientes artículos:

 Active/Active HA (en inglés)

 High Availability Synchronization (en inglés)


 High Availability Failover Optimization (en inglés)

 Upgrading an HA pair (en inglés)

 Examples: Deploying HA (en inglés)

Alta disponibilidad 127


Descripción general de la alta disponibilidad Alta disponibilidad

Descripción general de la alta disponibilidad


En cortafuegos de Palo Alto Networks, puede configurar dos dispositivos como un par de HA. La HA le
permite reducir al mínimo la inactividad al garantizar que haya un dispositivo alternativo disponible en el caso
de que falle el dispositivo principal. Los dispositivos utilizan puertos de HA específicos o internos en el
cortafuegos para sincronizar datos (configuraciones de red, objeto y política) y mantener información de estado.
Los dispositivos no comparten información de la configuración específica de los dispositivos, como la dirección
IP del puerto de gestión o perfiles de administrador, la configuración específica de HA, datos de log y el Centro
de comando de aplicación (ACC). Para obtener una vista consolidada de aplicaciones y logs a través del par de
HA deberá utilizar Panorama, el sistema de gestión centralizado de Palo Alto Networks.
Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el tráfico, el evento se denomina una conmutación por error. Las condiciones que activan una conmutación por
error son las siguientes:

 Falla una o más de las interfaces supervisadas. (Supervisión de enlaces)

 No se puede llegar a uno o más de los destinos especificados en el dispositivo. (Supervisión de rutas)

 El dispositivo no responde a sondeos de heartbeat. (Sondeos de heartbeat)

Modos de HA

Puede configurar los cortafuegos para la HA en dos modos:

 Activo/pasivo: Un dispositivo gestiona activamente el tráfico mientras que el otro está sincronizado y listo
para pasar al estado activo en el caso de que se produjera un fallo. En esta configuración, ambos dispositivos
comparten los mismos ajustes de configuración y uno gestiona activamente el tráfico hasta que se produce
un fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control
sin problemas y aplica las mismas políticas para mantener la seguridad de red. La HA activa/pasiva es
compatible con las implementaciones de Virtual Wire, capa 2 y capa 3. Si desea información sobre cómo
ajustar sus dispositivos en una configuración activa/pasiva, consulte Configuración de la HA activa/pasiva.

Los cortafuegos PA-200 y VM-Series admiten una versión lite de la HA activa/pasiva. HA Lite
permite la sincronización de la configuración y la sincronización de algunos datos de tiempo de
ejecución, como asociaciones de seguridad de IPSec. No admite ninguna sincronización de
sesiones y, por lo tanto, HA Lite no ofrece una conmutación por error con estado.

 Activo/activo: Ambos dispositivos del par están activos y procesan el tráfico. Asimismo, trabajan
sincronizadamente para gestionar la configuración y la pertenencia de la sesión. La implementación
activa/activa es compatible con las implementaciones de Virtual Wire y capa 3 y únicamente se recomienda
para redes con enrutamiento asimétrico. Si desea información sobre el establecimiento de una configuración
activa/activa para los dispositivos, consulte Active/Active High Availability Tech Note (Nota técnica sobre
alta disponibilidad activa/activa).

128 Alta disponibilidad


Alta disponibilidad Descripción general de la alta disponibilidad

Enlaces de HA y enlaces de copia de seguridad

Los dispositivos de un par de HA utilizan enlaces de HA para sincronizar datos y mantener información de
estado. Algunos modelos del cortafuegos tienen puertos de HA específicos, como enlace de control (HA1) y
enlace de datos (HA2), mientras que otros requieren que utilice los puertos internos como enlaces de HA.
En dispositivos con puertos de HA específicos como los cortafuegos de las series PA-3000, PA-4000, PA-5000
y PA-7050 (consulte Puertos de HA en el cortafuegos PA-7050), utilice los puertos de HA específicos para
gestionar la comunicación y la sincronización entre los dispositivos. Para dispositivos sin puertos de HA
específicos, como los cortafuegos de las series PA-200, PA-500 y PA-2000, la práctica recomendada es utilizar
el puerto de gestión para el enlace de HA1 para permitir una conexión directa entre los planos de gestión de los
dispositivos y un puerto interno para el enlace de HA2.

Los enlaces de HA1 y HA2 proporcionan sincronización para funciones que


residen en el plano de gestión. Utilizar las interfaces de HA específicas del plano
de gestión es más eficaz que utilizar los puertos internos, ya que así se elimina la
necesidad de pasar los paquetes de sincronización a través del plano de datos.
 Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e información de
estado de HA, así como la sincronización del plano de gestión para el enrutamiento e información de
User-ID. Este enlace también se utiliza para sincronizar cambios de configuración en el dispositivo activo o
pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una dirección IP.
Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicación con texto claro; puerto
28 para una comunicación cifrada (SSH sobre TCP).

 Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de
seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2
siempre es unidireccional (excepto en la conexión persistente de HA2); fluye desde el dispositivo activo al
dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera
predeterminada.
Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (número de
protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA
abarque las subredes.
Asimismo, se utiliza un enlace de HA3 en implementaciones de HA activa/activa. Cuando hay una ruta
asimétrica, se utiliza el enlace de HA3 para reenviar paquetes al peer de HA al que pertenece la sesión. El
enlace de HA3 es un enlace de capa 2 y no permite el cifrado ni las direcciones de capa 3.

 Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan
puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes
directrices al configurar enlaces de HA de copia de seguridad:
– Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre sí.
– Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente que la de los
enlaces de HA principales.
– Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos físicos separados. El
enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260.

Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (que utiliza el puerto
28771 en la interfaz de gestión) si utiliza un puerto interno para los enlaces de copia de seguridad
de HA1 o HA2.

Alta disponibilidad 129


Descripción general de la alta disponibilidad Alta disponibilidad

Puertos de HA en el cortafuegos PA-7050

Para la conectividad de HA en el PA-7050, consulte la siguiente tabla para obtener información detallada sobre
qué puertos de la tarjeta de gestión de conmutadores (SMC) son obligatorios y qué puertos de la tarjeta de
procesamiento de red (NPC) son adecuados. Para obtener una descripción general de los módulos y las tarjetas
de interfaz del cortafuegos PA-7050, consulte la Guía de referencia de hardware de PA-7050.
Los siguientes puertos de la SMC están diseñados para la conectividad de HA:

Enlaces de HA Puertos de la SMC Descripción


y enlaces de
copia de
seguridad

Enlace de HA1-A Se utiliza para el control y la sincronización de HA. Conecte este


control Velocidad: Ethernet puerto directamente desde el puerto HA1-A del primer dispositivo al
10/100/1000 puerto HA1-A del segundo dispositivo del par, o bien conéctelos
juntos a través de un conmutador o enrutador.
HA1 no se puede configurar en puertos de datos NPC o el puerto
MGT.

Copia de HA1-B Se utiliza para el control y la sincronización de HA como copia de


seguridad de Velocidad: Puerto Ethernet seguridad para HA1-A. Conecte este puerto directamente desde el
enlace de 10/100/1000 puerto HA1-B del primer dispositivo al puerto HA1-B del segundo
control dispositivo del par, o bien conéctelos juntos a través de un
conmutador o enrutador.
La copia de seguridad de HA1 no se puede configurar en puertos de
datos de NPC o el puerto de gestión.

Enlace de HSCI-A Las interfaces Quad Port SFP (QSFP) se usan para conectar dos
datos (High Speed Chassis cortafuegos PA-7050 con una configuración de HA. Cada puerto
Interconnect, interconexión consta de cuatro enlaces internos de 10 gigabits para alcanzar una
de bastidores de alta velocidad) velocidad combinada de 40 gigabits y se usa para enlaces de datos
HA2 en la configuración activa/pasiva. En el modo activo/activo, el
puerto también se usa para reenvío de paquetes HA3 en sesiones de
enrutamiento asimétrica que requieren inspección de capa 7 para
App-ID y Content-ID.
En una instalación típica, el puerto HSCI-A del primer bastidor se
conecta directamente al HSCI-A del segundo y el HSCI-B del primer
bastidor se conecta al HSCI-B del segundo. Así se alcanzan
velocidades de transferencia máximas de 80 gigabits. En software,
ambos puertos (HSCI-A y HSCI-B) se tratan como una única interfaz
HA.
Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre sí.
Palo Alto Networks recomienda utilizar los puertos HSCI específicos
para las conexiones de HA2 y HA3. Sin embargo, pueden configurarse
los enlaces de HA2 y HA3 en puertos de datos de NPC, si es necesario.

130 Alta disponibilidad


Alta disponibilidad Descripción general de la alta disponibilidad

Enlaces de HA Puertos de la SMC Descripción


y enlaces de
copia de
seguridad

Copia de HSCI-B Las interfaces Quad Port SFP (QSFP) (consulte la descripción
seguridad de (High Speed Chassis anterior) del puerto HSCI-B se utilizan para aumentar el ancho de
enlace de Interconnect, interconexión banda para HA2/HA3.
datos de bastidores de alta velocidad) Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre sí.
Palo Alto Networks recomienda utilizar los puertos HSCI-B
específicos para las conexiones de copia de seguridad de HA2 y HA3.
Puede configurarse un enlace de copia de seguridad de HA2/HA3 en
los puertos de datos de NPC, si es necesario.

Prioridad y preferencia de dispositivos

A los dispositivos de un par de HA se les puede asignar un valor de prioridad de dispositivo para indicar una
preferencia por el dispositivo que debería asumir el papel activo y gestionar el tráfico. Si necesita utilizar un
dispositivo específico del par de HA para proteger de manera activa el tráfico, debe habilitar el comportamiento
de preferencia en ambos cortafuegos y asignar un valor de prioridad de dispositivo para cada dispositivo. El
dispositivo con el valor numérico más bajo y, por lo tanto, mayor prioridad, se designará como activo y gestionará
todo el tráfico de la red. El otro dispositivo estará en un estado pasivo y sincronizará información de
configuración y estado con el dispositivo activo, de manera que esté listo para pasar al estado activo en el caso
de producirse un fallo.
De manera predeterminada, la preferencia está deshabilitada en los cortafuegos y debe habilitarse en ambos
dispositivos. Cuando se habilita, el comportamiento de preferencia permite que el cortafuegos con la mayor
prioridad (valor numérico más bajo) vuelva a estar activo cuando se recupere de un fallo. Cuando se produce una
preferencia, el evento se registra en los logs del sistema.

Activadores de conmutación por error

Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el tráfico, el evento se denomina una conmutación por error. Una conmutación por error se activa cuando falla
una métrica supervisada en el dispositivo activo. Las métricas que se supervisan para detectar un fallo de
dispositivo son las siguientes:

 Mensajes de saludo y sondeos de heartbeat: Los cortafuegos utilizan mensajes de saludo y heartbeats
para verificar que el dispositivo peer responde y está operativo. Los mensajes de saludo se envían desde un
peer al otro en el intervalo de saludo configurado para verificar el estado del dispositivo. El heartbeat es un ping
ICMP para el peer de HA a través del enlace de control y el peer responde al ping para establecer que los
dispositivos están conectados y responden. De manera predeterminada, el intervalo para el heartbeat es de
1.000 milisegundos. Si desea información detallada sobre los temporizadores de HA que activan una
conmutación por error, consulte Temporizadores de HA.

Alta disponibilidad 131


Descripción general de la alta disponibilidad Alta disponibilidad

 Supervisión de enlaces: Las interfaces físicas que deben supervisarse se agrupan en un grupo de enlaces y
se supervisa su estado (enlace activado o desactivado). Un grupo de enlaces puede contener una o más
interfaces físicas. Se activa un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo. El
comportamiento predeterminado es que el fallo de cualquier enlace del grupo de enlaces hará que el
dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto supervisado.

 Supervisión de rutas: Supervisa toda la ruta a través de la red hasta direcciones IP de vital importancia. Los
pings ICMP se utilizan para verificar que se puede llegar a la dirección IP. El intervalo predeterminado para
pings es de 200 ms. Se considera que no se puede llegar a una dirección IP cuando fallan 10 pings
consecutivos (el valor predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna
o todas las direcciones IP supervisadas. El comportamiento predeterminado es que cualquiera de las
direcciones IP a las que no se pueda llegar hará que el dispositivo cambie el estado de HA a no funcional
para indicar el fallo de un objeto supervisado.
Además de los activadores de conmutación por error enumerados anteriormente, también se produce una
conmutación por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce
una preferencia.
En los cortafuegos de las series PA-3000, PA-5000 y PA-7050, se puede producir una conmutación por error si
falla una comprobación de estado interna. Esta comprobación de estado no es configurable y se habilita para
verificar el estado operativo de todos los componentes del cortafuegos.

Temporizadores de HA

Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de cortafuegos y activar una
conmutación por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno
de los tres perfiles que se han añadido: Recomendada, Agresivo y Avanzado. Estos perfiles cumplimentan
automáticamente los valores óptimos del temporizador de HA para la plataforma de cortafuegos específica con
el fin de habilitar una implementación de HA más rápida.
Utilice el perfil Recomendada para ajustes comunes del temporizador de conmutación por error y el perfil
Agresivo para ajustes más rápidos del temporizador de conmutación por error. El perfil Avanzado le permite
personalizar los valores del temporizador para que se adapten a sus requisitos de red.
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales de
los diferentes modelos de hardware; estos valores se indican únicamente como referencia y pueden cambiar en
versiones posteriores.

132 Alta disponibilidad


Alta disponibilidad Descripción general de la alta disponibilidad

Temporizadores Descripción PA-7050 Serie PA-2000 Panorama VM

Serie PA-5000 Serie PA-500 M-100

Serie PA-4000 Serie PA-200

Serie PA-3000 Serie VM

Valores actuales de Recomendada/Agresivo por


plataforma

Tiempo de espera Intervalo durante el cual el 0/0 0/0 0/0


ascendente tras fallo cortafuegos permanecerá
de supervisor activo tras un fallo de
supervisor de ruta o supervisor
de enlace. Se recomienda este
ajuste para evitar una
conmutación por error de HA
debido a los flaps ocasionales
de los dispositivos vecinos.

Tiempo de espera Tiempo que un dispositivo 1/1 1/1 1/1


para ser preferente pasivo o secundario activo
esperará antes de tomar el
control como dispositivo
activo o principal activo.

Intervalo de Frecuencia con la que los peers 1000/1000 2000/1000 2000/1000


heartbeat de HA intercambian mensajes
de heartbeat en forma de un
ping ICMP.

Tiempo de espera de Tiempo que el dispositivo 2000/500 2000/500 2000/500


promoción pasivo (en el modo
activo/pasivo) o el dispositivo
secundario activo (en el modo
activo/activo) esperará antes
de tomar el control como
dispositivo activo o principal
activo después de perder las
comunicaciones con el peer de
HA. Este tiempo de espera
únicamente comenzará
después de haber realizado una
declaración de fallo de peer.

Alta disponibilidad 133


Descripción general de la alta disponibilidad Alta disponibilidad

Temporizadores Descripción PA-7050 Serie PA-2000 Panorama VM

Serie PA-5000 Serie PA-500 M-100

Serie PA-4000 Serie PA-200

Serie PA-3000 Serie VM

Valores actuales de Recomendada/Agresivo por


plataforma

Tiempo de espera Este intervalo de tiempo se 500/500 500/500 7000/5000


ascendente principal aplica al mismo evento que
adicional Tiempo de espera ascendente
tras fallo de supervisor (rango:
0-60.000 ms; valor
predeterminado: 500 ms). El
intervalo de tiempo adicional
únicamente se aplica al
dispositivo activo en el modo
activo/pasivo y al dispositivo
principal activo en el modo
activo/activo. Se recomienda
este temporizador para evitar
una conmutación por error
cuando ambos dispositivos
experimentan el mismo fallo
de supervisor de enlace/ruta
simultáneamente.

Intervalo de saludo Intervalo de tiempo en 8000/8000 8000/8000 8000/8000


milisegundos entre los
paquetes de saludo enviados
para verificar que la
funcionalidad de HA del otro
cortafuegos está operativo. El
rango es de 8000-60000 ms
con un valor predeterminado
de 8000 ms para todas las
plataformas.

N.º máximo de flaps Se cuenta un flap cuando el 3/3 3/3 No aplicable


cortafuegos deja el estado
activo antes de que transcurran
15 minutos desde la última vez
que dejó el estado activo. Este
valor indica el número máximo
de flaps permitidos antes de
que se determine suspender el
cortafuegos y que el
cortafuegos pasivo tome el
control (rango: 0-16; valor
predeterminado: 3).

134 Alta disponibilidad


Alta disponibilidad Configuración de la HA activa/pasiva

Configuración de la HA activa/pasiva
 Requisitos para la HA activa/pasiva
 Directrices de configuración para la HA activa/pasiva
 Configuración de la HA activa/pasiva
 Definición de las condiciones de conmutación por error
 Verificación de conmutación por error

Requisitos para la HA activa/pasiva

Para configurar la alta disponibilidad en sus cortafuegos de Palo Alto Networks, necesitará un par de
cortafuegos que cumplan los siguientes requisitos:

 El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de máquina
virtual.

 La misma versión de PAN-OS: Ambos dispositivos deben ejecutar la misma versión de PAN-OS y estar
actualizados en las bases de datos de la aplicación, URL y amenazas. Ambos deben tener la misma función
de varios sistemas virtuales (vsys múltiple o único).

 El mismo tipo de interfaces: Enlaces de HA específicos o una combinación del puerto de gestión y los
puertos internos que se establecen para la HA de tipo de interfaz.
– Determine la dirección IP de la conexión de HA1 (control) entre el par de dispositivos. La dirección IP
de HA1 de ambos peers debe estar en la misma subred si están conectados directamente o si están
conectados al mismo conmutador.
En el caso de dispositivos sin puertos de HA específicos, puede utilizar el puerto de gestión para la
conexión de control. Al utilizar el puerto de gestión obtiene un enlace de comunicación directa entre
los planos de gestión de ambos dispositivos. Sin embargo, dado que los puertos de gestión no tienen
cables directos entre los dispositivos, asegúrese de que tiene una ruta que conecte estas dos interfaces
a través de su red.
– Si utiliza la capa 3 como método de transporte para la conexión de HA2 (datos), determine la dirección
IP para el enlace de HA2. Utilice la capa 3 únicamente si la conexión de HA2 debe comunicarse a través
de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de
HA1 ni con ninguna otra subred asignada a los puertos de datos del cortafuegos.

 El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden
compartir entre los dispositivos. Por lo tanto, debe obtener licencias idénticas para ambos dispositivos. Si los
dos dispositivos no tienen un conjunto idéntico de licencias, no podrán sincronizar información de
configuración y mantener la paridad para una conmutación por error sin problemas.

Si tiene un cortafuegos existente, desea añadir un nuevo cortafuegos para HA y el nuevo


cortafuegos tiene una configuración existente, se recomienda que realice un restablecimiento de
fábrica en el nuevo cortafuegos. Esto garantizará que el nuevo cortafuegos tenga una
configuración limpia. Después de configurar la HA, deberá sincronizar la configuración del
dispositivo principal con el dispositivo recién introducido con la configuración limpia.

Alta disponibilidad 135


Configuración de la HA activa/pasiva Alta disponibilidad

Directrices de configuración para la HA activa/pasiva

Para establecer un par activo (PeerA) pasivo (PeerB) en HA, debe configurar algunas opciones de manera
idéntica en ambos dispositivos y algunas de manera independiente (no coincidentes) en cada dispositivo. Estos
ajustes de HA no se sincronizan entre los dispositivos. Si desea información detallada sobre qué se sincroniza y
qué no, consulte HA Synchronization (en inglés).
Para ir a las instrucciones sobre cómo configurar los dispositivos en HA, consulte Configuración de la HA
activa/pasiva.
La siguiente tabla enumera los ajustes que debe configurar de manera idéntica en ambos dispositivos:

Ajustes de configuración idénticos en PeerA y PeerB

• La HA debe habilitarse en ambos dispositivos.


• Ambos dispositivos deben tener el mismo valor de ID de grupo. El valor de ID de grupo se utiliza para crear una
dirección MAC virtual para todas las interfaces configuradas. El formato de la dirección MAC virtual es 00-1B-17:00:
xx: yy, donde
00-1B-17: ID de proveedor; 00: fijo; xx: ID de grupo de HA; yy: ID de interfaz.
Cuando un nuevo dispositivo activo tome el control, se enviarán ARP gratuitos desde cada una de las interfaces
conectadas del nuevo miembro activo para informar a los conmutadores de capa 2 conectados acerca de la nueva
ubicación de la dirección MAC virtual.
• Si se utilizan puertos internos, las interfaces de los enlaces de HA1 y HA2 deberán establecerse con el tipo HA.
• El modo de HA deberá establecerse como Activo/pasivo.
• Si es necesario, la preferencia debe habilitarse en ambos dispositivos. Sin embargo, el valor de prioridad de dispositivo
no debe ser idéntico.
• Si es necesario, deberá configurarse el cifrado del enlace de HA1 (para la comunicación entre los peers de HA) en
ambos dispositivos.
• Basándose en la combinación de puertos de copia de seguridad de HA1 y HA2 que está utilizando, utilice las siguientes
recomendaciones para decidir si debería habilitar la copia de seguridad de heartbeat:
• HA1: Puerto de HA1 específico
Copia de seguridad de HA1: Puerto interno
Recomendación: Habilitar copia de seguridad de heartbeat
• HA1: Puerto de HA1 específico
Copia de seguridad de HA1: Puerto de gestión
Recomendación: No habilitar copia de seguridad de heartbeat
• HA1: Puerto interno
Copia de seguridad de HA1: Puerto interno
Recomendación: Habilitar copia de seguridad de heartbeat
• HA1: Puerto de gestión
Copia de seguridad de HA1: Puerto interno
Recomendación: No habilitar copia de seguridad de heartbeat

La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:

136 Alta disponibilidad


Alta disponibilidad Configuración de la HA activa/pasiva

Ajustes de PeerA PeerB


configuración
independientes

Enlace de control Dirección IP del enlace de HA1 configurado en Dirección IP del enlace de HA1
este dispositivo (PeerA). configurado en este dispositivo (PeerB).

En el caso de dispositivos sin puertos de HA específicos, utilice la dirección IP del puerto de


gestión para el enlace de control.

Enlace de datos De manera predeterminada, el enlace de HA2 De manera predeterminada, el enlace de


La información de utiliza Ethernet/capa 2. HA2 utiliza Ethernet/capa 2.
enlace de datos se Si utiliza una conexión de capa 3, configure la Si utiliza una conexión de capa 3, configure
sincroniza entre los dirección IP para el enlace de datos de este la dirección IP para el enlace de datos de
dispositivos después de dispositivo (PeerA). este dispositivo (PeerB).
habilitar la HA y
establecer el enlace de
control entre los
dispositivos.

Prioridad de El dispositivo que tiene la intención de activar Si PeerB es pasivo, establezca el valor de
dispositivo debe tener un valor numérico más bajo que su prioridad de dispositivo con un valor
(obligatorio si se peer. Por lo tanto, si PeerA va a funcionar como el mayor que el de PeerA. Por ejemplo,
habilita la preferencia) dispositivo activo, mantenga el valor establezca el valor como 110.
predeterminado de 100 y aumente el valor de
PeerB.

Supervisión de enlaces: Seleccione las interfaces físicas del cortafuegos que Seleccione un conjunto similar de
Supervise una o más desearía supervisar y defina la condición de fallo interfaces físicas que desearía supervisar y
interfaces físicas que (todo o alguno) que activará una conmutación por defina la condición de fallo (todo o alguno)
gestionen el tráfico error. que activará una conmutación por error.
vital de este dispositivo
y defina la condición de
fallo.

Supervisión de rutas: Defina la condición de fallo (todo o alguno), el Seleccione un conjunto similar de
Supervise una o más intervalo de ping y el recuento de pings. Esto es de dispositivos o direcciones IP de destino
direcciones IP de especial utilidad para supervisar la disponibilidad que se puedan supervisar para determinar
destino en las que el de otros dispositivos de red interconectados. Por la activación de una conmutación por error
cortafuegos pueda ejemplo, supervise la disponibilidad de un para PeerB. Defina la condición de fallo
utilizar pings ICMP enrutador que se conecte a un servidor, la (todo o alguno), el intervalo de ping y el
para verificar la conectividad del propio servidor o cualquier otro recuento de pings.
capacidad de respuesta. dispositivo vital que se encuentre en el flujo del
tráfico.

Asegúrese de que no sea probable que el


nodo/dispositivo que está supervisando no
responda, especialmente cuando tenga una carga
inferior, ya que esto podría provocar un fallo de
supervisión de rutas y activar una conmutación por
error.

Alta disponibilidad 137


Configuración de la HA activa/pasiva Alta disponibilidad

Configuración de la HA activa/pasiva
El siguiente procedimiento muestra cómo configurar un par de cortafuegos en una implementación
activa/pasiva como se muestra en la topología de ejemplo siguiente.

Conexión y configuración de los dispositivos


Paso 1 Conecte los puertos de HA para • En el caso de dispositivos con puertos de HA específicos, utilice
establecer una conexión física entre los un cable Ethernet para conectar los puertos de HA1 y HA2
dispositivos. específicos del par de dispositivos. Utilice un cable cruzado si los
dispositivos están conectados directamente entre sí.
• En el caso de dispositivos sin puertos de HA específicos,
seleccione dos interfaces de datos para el enlace de HA2 y el enlace
de HA1 de copia de seguridad. A continuación, utilice un cable
Ethernet para conectar estas interfaces de HA internas entre
ambos dispositivos. Utilice el puerto de gestión para el enlace de
HA1 y asegúrese de que los puertos de gestión pueden conectarse
entre sí a través de su red.
Seleccione un dispositivo del clúster y realice estas tareas:
Paso 2 Habilite los pings en el puerto de gestión. 1. Seleccione Dispositivo > Configuración > Gestión y, a
La habilitación de los pings permite que el continuación, haga clic en el icono Editar de la sección
puerto de gestión intercambie información Configuración de interfaz de gestión de la pantalla.
de copia de seguridad de heartbeat. 2. Seleccione Ping como servicio permitido en la interfaz.
Paso 3 Si el dispositivo no tiene puertos de HA 1. Seleccione Red > Interfaces.
específicos, configure los puertos de 2. Confirme que el enlace está activado en los puertos que desee
datos para que funcionen como puertos utilizar.
de HA.
3. Seleccione la interfaz y establezca el tipo de interfaz como HA.
En el caso de dispositivos con puertos de
HA específicos, vaya al Paso 4.
4. Establezca los ajustes Velocidad de enlace y Dúplex de enlace
según sea adecuado.

138 Alta disponibilidad


Alta disponibilidad Configuración de la HA activa/pasiva

Conexión y configuración de los dispositivos (Continuación)


Paso 4 Configure la conexión del enlace de 1. En Dispositivo > Alta disponibilidad > General, edite la sección
control. Enlace de control (HA1).
Este ejemplo muestra un puerto interno 2. Seleccione la interfaz a la que ha conectado el cable para
configurado con el tipo de interfaz HA. utilizarla como el enlace de HA1 en el menú desplegable Puerto.
Establezca la dirección IP y la máscara de red. Introduzca una
En el caso de dispositivos que utilicen el dirección IP de puerta de enlace únicamente si las interfaces de
puerto de gestión como el enlace de HA1 están en subredes separadas. No añada una puerta de
control, la información de dirección IP se enlace si los dispositivos están conectados directamente.
cumplimenta previamente de manera
automática.

Paso 5 (Opcional) Habilite el cifrado para la 1. Exporte la clave de HA desde un dispositivo e impórtela al
conexión del enlace de control. dispositivo peer.
Esto suele utilizarse para proteger el a. Seleccione Dispositivo > Gestión de certificados >
enlace si los dos dispositivos no están Certificados.
conectados directamente, es decir, si los b. Seleccione Exportar clave de HA. Guarde la clave de HA en
puertos están conectados a un una ubicación de red a la que pueda acceder el dispositivo peer.
conmutador o un enrutador.
c. En el dispositivo peer, desplácese hasta Dispositivo > Gestión
de certificados > Certificados y seleccione Importar clave
de HA para desplazarse hasta la ubicación donde guardó la
clave e importarla en el dispositivo peer.
2. Seleccione Dispositivo > Alta disponibilidad > General y edite
la sección Enlace de control (HA1).
3. Seleccione Cifrado habilitado.
Paso 6 Configure la conexión del enlace de 1. En Dispositivo > Alta disponibilidad > General, edite la sección
control de copia de seguridad. Enlace de control (copia de seguridad de HA1).
2. Seleccione la interfaz de copia de seguridad de HA1 y configure
la dirección IP y la máscara de red.

Alta disponibilidad 139


Configuración de la HA activa/pasiva Alta disponibilidad

Conexión y configuración de los dispositivos (Continuación)


Paso 7 Configure la conexión del enlace de datos 1. En Dispositivo > Alta disponibilidad > General, edite la sección
(HA2) y la conexión de HA2 de copia de Enlace de datos (HA2).
seguridad entre los dispositivos. 2. Seleccione la interfaz para la conexión del enlace de datos.
3. Seleccione el método Transporte. El valor predeterminado es
Ethernet y funcionará cuando el par de HA se conecte
directamente o a través de un conmutador. Si necesita enrutar el
tráfico del enlace de datos a través de la red, seleccione IP o UDP
como modo de transporte.
4. Si utiliza IP o UDP como método de transporte, introduzca la
dirección IP y la máscara de red.

5. Verifique que se ha seleccionado Habilitar sincronización de


sesión.
6. Seleccione Conexión persistente de HA2 para habilitar la
supervisión del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido (el valor
predeterminado son 10.000 ms), se producirá la acción definida.
En el caso de una configuración activa/pasiva, se generará un
mensaje de log de sistema crítico cuando se produzca un fallo de
conexión persistente de HA2.
Nota Puede configurar la opción Conexión persistente de HA2
en ambos dispositivos o solamente un dispositivo del par de
HA. Si la opción se habilita únicamente en un dispositivo,
solamente ese dispositivo enviará los mensajes de conexión
persistente. Si se produce un fallo, se notificará al otro
dispositivo.
7. Edite la sección Enlace de datos (copia de seguridad de HA2),
seleccione la interfaz y añada la dirección IP y la máscara de red.
Paso 8 Habilite la copia de seguridad de 1. En Dispositivo > Alta disponibilidad > General, edite la sección
heartbeat si su enlace de control utiliza un Configuración de elección.
puerto de HA específico o un puerto 2. Seleccione Copia de seguridad de heartbeat.
interno.
El enlace de copia de seguridad de heartbeat se utiliza para
No necesita habilitar la copia de seguridad transmitir mensajes de saludos y heartbeats redundantes. Para
de heartbeat si está utilizando el puerto de permitir la transmisión de heartbeats entre los dispositivos,
gestión para el enlace de control. deberá verificar que el puerto de gestión entre ambos peers
puede enrutarse del uno al otro.

140 Alta disponibilidad


Alta disponibilidad Configuración de la HA activa/pasiva

Conexión y configuración de los dispositivos (Continuación)


Paso 9 Establezca la prioridad de dispositivo y 1. En Dispositivo > Alta disponibilidad > General, edite la sección
habilite la preferencia. Configuración de elección.
Este ajuste únicamente es necesario si 2. Establezca el valor numérico de Prioridad de dispositivo.
desea asegurarse de que un dispositivo Asegúrese de establecer un valor numérico más bajo en el
específico es el dispositivo activo dispositivo al que desee asignar una mayor prioridad.
preferido. Para obtener información, Nota Si ambos cortafuegos tienen el mismo valor de prioridad de
consulte Prioridad y preferencia de dispositivo, el cortafuegos con la dirección MAC más baja
dispositivos. en el enlace de control de HA1 será el dispositivo activo.
3. Seleccione Preferente.
Debe habilitar la preferencia tanto en el dispositivo activo como
en el pasivo.
Paso 10 (Opcional) Modifique los temporizadores 1. En Dispositivo > Alta disponibilidad > General, edite la sección
de conmutación por error. Configuración de elección.
De manera predeterminada, el perfil del 2. Seleccione el perfil Agresivo para activar la conmutación por
temporizador de HA se establece como el error más rápido; seleccione Avanzado para definir valores
perfil Recomendada y es adecuado para personalizados para activar la conmutación por error en su
la mayoría de implementaciones de HA. configuración.
Nota Para ver el valor preestablecido para un temporizador
concreto incluido en un perfil, seleccione Avanzado y haga
clic en Carga recomendada o Carga intensiva. Los valores
preestablecidos para su modelo de hardware aparecerán en
la pantalla.
Paso 11 (Opcional, únicamente configurado en el Establecer el estado de enlace como Auto permite reducir la cantidad
dispositivo pasivo) Modifique el estado de de tiempo que tarda el dispositivo pasivo en tomar el control cuando
enlace de los puertos de HA en el se produce una conmutación por error y le permite supervisar el
dispositivo pasivo. estado de enlace.
Nota El estado de enlace pasivo es Apagar de Para habilitar el estado de enlace del dispositivo pasivo para que
manera predeterminada. Cuando habilite permanezca activado y refleje el estado de cableado de la interfaz
HA, el estado de enlace de los puertos de física:
HA del dispositivo activo será de color 1. En Dispositivo > Alta disponibilidad > General, edite la sección
verde; los del dispositivo pasivo estarán Configuración Activa/Pasiva.
desactivados y se mostrarán de color rojo. 2. Establezca Estado de los enlaces en el pasivo como Auto.
La opción automática reduce la cantidad de tiempo que tarda el
dispositivo pasivo en tomar el control cuando se produce una
conmutación por error.
Nota Aunque la interfaz se muestre de color verde (cableada y
activada), seguirá descartando todo el tráfico hasta que se
active una conmutación por error.

Cuando modifique el estado de enlace pasivo, asegúrese de


que los dispositivos adyacentes no reenvían el tráfico al
cortafuegos pasivo basándose únicamente en el estado de
enlace del dispositivo.

Alta disponibilidad 141


Configuración de la HA activa/pasiva Alta disponibilidad

Conexión y configuración de los dispositivos (Continuación)


Paso 12 Habilite la HA. 1. Seleccione Dispositivo > Alta disponibilidad > General y edite
la sección Configuración.
2. Seleccione Habilitar HA.
3. Establezca un ID de grupo. Este ID identifica de manera exclusiva
cada par de HA de su red y es esencial si tiene varios pares de HA
que compartan el mismo dominio de difusión en su red.
4. Establezca el modo como Activo Pasivo.
5. Seleccione Habilitar sincronización de configuración. Este
ajuste habilita la sincronización de los ajustes de configuración
entre los dispositivos activo y pasivo.
6. Introduzca la dirección IP asignada al enlace de control del
dispositivo peer en Dirección IP de HA de peer.

En el caso de dispositivos sin puertos de HA específicos, si el


peer utiliza el puerto de gestión para el enlace de HA1,
introduzca la dirección IP del puerto de gestión del peer.
7. Introduzca Dirección IP de HA1 de copia de seguridad.
Paso 13 Guarde los cambios de configuración. Haga clic en Confirmar.
Paso 14 Realice del Paso 2 al Paso 13 en el otro
dispositivo del par de HA.
Paso 15 Cuando termine de configurar ambos 1. Acceda al Panel de ambos dispositivos y visualice el widget Alta
dispositivos, verifique que los dispositivos disponibilidad.
están emparejados en la HA 2. En el dispositivo activo, haga clic en el enlace Sincronizar en el
activa/pasiva. peer.
3. Confirme que los dispositivos están emparejados y
sincronizados, como se muestra a continuación:
En el dispositivo pasivo: El estado del En el dispositivo activo: El estado del dispositivo local
dispositivo local debería mostrarse como debería mostrarse como Activo y la configuración se
Pasivo y la configuración se sincronizará. sincronizará.

142 Alta disponibilidad


Alta disponibilidad Configuración de la HA activa/pasiva

Definición de las condiciones de conmutación por error

Configuración de los activadores de conmutación por error

Paso 1 Para configurar la supervisión de enlaces, 1. Seleccione Dispositivo > Alta disponibilidad > Supervisión de
defina las interfaces que desee supervisar. enlaces y rutas.
Un cambio en el estado de enlace de estas 2. En la sección Grupo de enlaces, haga clic en Añadir.
interfaces activará una conmutación por
3. Asigne un nombre al Grupo de enlaces, añada las interfaces
error.
para su supervisión y seleccione la Condición de fallo para el
grupo. El grupo de enlaces que defina se añadirá a la sección
Grupo de enlaces.

Paso 2 (Opcional) Modifique la condición de fallo 1. Seleccione la sección Supervisión de enlaces.


de los grupos de enlaces que configuró (en 2. Establezca la Condición de fallo como Todos.
el paso anterior) en el dispositivo. El ajuste predeterminado es Cualquiera.
De manera predeterminada, el dispositivo
activará una conmutación por error
cuando falle cualquier enlace supervisado.

Paso 3 Para configurar la supervisión de rutas, 1. En la sección Grupo de rutas de la pestaña Dispositivo > Alta
defina las direcciones IP de destino en las disponibilidad > Supervisión de enlaces y rutas, seleccione la
que el cortafuegos debería hacer ping para opción Añadir para su configuración: Cable virtual, VLAN o
verificar la conectividad de red. Enrutador virtual.
2. Seleccione el elemento adecuado de la lista desplegable para el
Nombre y haga clic en Añadir para añadir las direcciones IP
(origen y/o destino, según se le pida) que desee supervisar. A
continuación, seleccione la Condición de fallo del grupo. El
grupo de rutas que defina se añadirá a la sección Grupo de rutas.

Paso 4 (Opcional) Modifique la condición de Establezca la Condición de fallo como Todos.


fallo para todos los grupos de rutas El ajuste predeterminado es Cualquiera.
configurados en el dispositivo.
De manera predeterminada, el dispositivo
activará una conmutación por error
cuando falle cualquier ruta supervisada.

Paso 5 Guarde sus cambios. Haga clic en Confirmar.

Alta disponibilidad 143


Configuración de la HA activa/pasiva Alta disponibilidad

Si está utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de motor de SNMPv3 es
exclusivo para cada dispositivo; EngineID no se sincroniza entre el par de HA y, por lo tanto, le permite supervisar
independientemente cada dispositivo del par de HA. Si desea información sobre cómo configurar SNMP,
consulte Configuración de los destinos de Trap SNMP.
Como EngineID se genera utilizando el número de serie exclusivo del dispositivo, en el cortafuegos VM-Series
deberá aplicar una licencia válida para obtener un EngineID exclusivo para cada cortafuegos.

Verificación de conmutación por error

Para comprobar que su configuración de HA funciona correctamente, active una conmutación por error manual
y verifique que los dispositivos cambian de estado correctamente.

Verificación de conmutación por error

Paso 1 Suspenda el dispositivo activo. Haga clic en el enlace Suspender dispositivo local en la pestaña
Dispositivo > Alta disponibilidad > Comandos de operación.

Paso 2 Verifique que el dispositivo pasivo ha En el Panel, verifique que el estado del dispositivo pasivo cambia a
tomado el control como activo. Activo en el widget Alta disponibilidad.

144 Alta disponibilidad


Alta disponibilidad Configuración de la HA activa/pasiva

Verificación de conmutación por error (Continuación)

Paso 3 Restablezca el dispositivo suspendido a 1. En el dispositivo que suspendió anteriormente, seleccione el


un estado funcional. Espere un par de enlace Hacer que el dispositivo local sea funcional de la
minutos y, a continuación, verifique que pestaña Dispositivo > Alta disponibilidad > Comandos
se ha producido la preferencia, si se ha operativos.
habilitado.

2. En el widget Alta disponibilidad del Panel, confirme que el


dispositivo ha tomado el control como dispositivo activo y que
el peer ahora está en un estado pasivo.

Alta disponibilidad 145


Configuración de la HA activa/pasiva Alta disponibilidad

146 Alta disponibilidad


Informes y logs
El cortafuegos proporciona informes y logs que resultan de utilidad para supervisar la actividad de su red. Puede
supervisar los logs y filtrar la información para generar informes con vistas predefinidas o personalizadas. Por
ejemplo, puede utilizar plantillas predefinidas para generar informes sobre la actividad de un usuario o analizar
los informes y logs para interpretar un comportamiento inusual en su red y generar un informe personalizado
sobre el patrón de tráfico. Los siguientes temas describen cómo ver, gestionar, personalizar y generar los
informes y logs en el cortafuegos:
 Uso del panel
 Uso del centro de comando de aplicación
 Uso de Appscope
 Realización de capturas de paquetes
 Supervisión del cortafuegos
 Gestión de informes
 Análisis de la descripción de campos en logs

Informes y logs 147


Uso del panel Informes y logs

Uso del panel


Los widgets de la pestaña Panel muestran información general del dispositivo, como la versión de software, el
estado operativo de cada interfaz, la utilización de recursos y hasta 10 de las entradas más recientes en los logs
Sistema, Configuración y Amenaza. Todos los widgets disponibles aparecen de forma predeterminada, pero
cada administrador puede eliminar y agregar widgets individuales según sea necesario.
Haga clic en el icono para actualizar el panel o un widget individual. Para cambiar el intervalo de
actualización automática, seleccione un intervalo del menú desplegable (1 min, 2 min, 5 min o Manual). Para
agregar un widget al panel, haga clic en el menú desplegable Widget, seleccione una categoría y luego el nombre
del widget. Para eliminar un widget, haga clic en en la barra de títulos.
La siguiente tabla describe los widgets del panel.
Gráficos del panel Descripciones

Aplicaciones principales Muestra las aplicaciones con la mayoría de sesiones. El tamaño del bloque indica el número
relativo de sesiones (pase el ratón sobre el bloque para ver el número) y el color indica el
riesgo de seguridad, desde verde (más bajo) a rojo (más alto). Haga clic en una aplicación
para ver su perfil de aplicación.
Aplicaciones de alto riesgo Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de mayor riesgo
principales con la mayoría de las sesiones.
Información general Muestra el nombre del dispositivo, el modelo, la versión del software de PAN-OS, la
aplicación, las amenazas, las versiones de definición del filtro de URL, la fecha y hora
actuales y el período de tiempo transcurrido desde el último reinicio.
Estado de la interfaz Indica si cada interfaz está activa (verde), no está operativa (rojo) o en un estado desconocido
(gris).
Logs de amenaza Muestra el ID de amenaza, la aplicación y la fecha y hora de las 10 últimas entradas en el log
Amenazas. El ID de amenaza es una descripción malintencionada de una URL que incumple
el perfil de filtro de URL.
Logs de configuración Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la fecha y hora de
las 10 últimas entradas en el log Configuración.
Logs Filtrado de datos Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de datos.
Logs Filtrado de URL Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de URL.
Logs de sistema Muestra la descripción y la fecha y hora de las últimos 10 entradas en el log Sistema.
Nota Una entrada Configuración instalada indica que se han llevado a cabo
cambios en la configuración correctamente.
Recursos del sistema Muestra el uso de CPU de gestión, el uso de plano de datos y el Número de sesiones que
muestra el número de sesiones establecidas a través del cortafuegos.
Administradores registrados Muestra la dirección IP de origen, el tipo de sesión (Web o CLI) y la hora de inicio de sesión
para cada administrador actualmente registrado.
Factor de riesgo de ACC Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado la semana pasada.
Los valores mayores indican un mayor riesgo.
Alta disponibilidad Si la alta disponibilidad (HA) está activada, indica el estado de la Alta disponibilidad (HA)
del dispositivo local y del peer: Verde (activa), amarillo (pasiva) o negro (otro). Si desea más
información sobre HA, consulte Alta disponibilidad.
Bloqueos Muestra bloqueos de configuración realizados por los administradores.

148 Informes y logs


Informes y logs Uso del centro de comando de aplicación

Uso del centro de comando de aplicación


Se muestran 5 gráficos en la pestaña Centro de comando de aplicación (ACC):
 Aplicación
 Filtrado de URL
 Prevención de amenazas
 Filtrado de datos
 Coincidencias HIP
La pestaña ACC describe visualmente las tendencias e incluye una vista del historial de tráfico de la red.

La pestaña ACC muestra el nivel de riesgo general para todo el tráfico de red, los niveles de riesgo y el número
de amenazas detectadas para las aplicaciones más activas y con mayor riesgo en su red, así como el número de
amenazas detectadas desde las categorías de aplicación más activas y desde todas las aplicaciones con cualquier
nivel de riesgo. Utilice el ACC para visualizar datos de aplicación de la hora, el día, la semana o el mes anterior
o cualquier período de tiempo definido de forma personalizada.
Los niveles de Riesgo (1=más bajo a 5=más alto) indican el riesgo de seguridad relativo de la aplicación
dependiendo de criterios como si la aplicación puede compartir archivos, es proclive al uso indebido o intenta
esquivar los cortafuegos.

Informes y logs 149


Uso del centro de comando de aplicación Informes y logs

La tabla siguiente describe los gráficos que se muestran en la pestaña ACC:


Gráficos de ACC Descripciones

Aplicación Muestra información de aplicación agrupada por los siguientes atributos:


• Aplicaciones
• Aplicaciones de alto riesgo
• Categorías
• Subcategorías
• Tecnología
• Riesgo
Cada gráfico puede incluir el número de sesiones, los bytes transmitidos y recibidos, el
número de amenazas, la categoría de aplicación, las subcategorías de aplicación, la
tecnología de aplicación y el nivel de riesgo, si es necesario.
Filtrado de URL Muestra información de URL/categoría agrupada por los siguientes atributos:
• Categorías de URL
• URL
• Categorías de URL bloqueadas
• URL bloqueadas
Cada gráfico puede incluir la URL, la categoría de URL y el número de repeticiones
(número de intentos de acceso, si es necesario).
Prevención de amenazas Muestra información de amenaza agrupada por los siguientes atributos:
• Amenazas
• Tipos
• Spyware
• Llamada a casa de spyware
• Descargas de spyware
• Vulnerabilidades
• Virus
Cada gráfico puede incluir el ID de la amenaza, el recuento (número de incidencias), el
número de sesiones y el subtipo (como vulnerabilidad), si es necesario.
Filtrado de datos Muestra información sobre los datos filtrados por el cortafuegos agrupada por
los siguientes atributos:
• Tipos de contenido/archivo
• Tipos
• Nombres de archivos
Coincidencias HIP Muestra la información de host recopilada por el cortafuegos agrupada por:
• Objetos HIP
• Perfiles HIP

150 Informes y logs


Informes y logs Uso del centro de comando de aplicación

Para ver información detallada adicional, haga clic en cualquiera de los enlaces de los gráficos de ACC. Se abrirá
una página de detalles para mostrar información acerca del elemento en la lista principal y las listas adicionales
de los elementos relacionados. Por ejemplo, si hace clic en el enlace de exploración web en el gráfico Aplicación,
se abrirá la página Información de aplicación para la exploración web:

El siguiente procedimiento describe cómo utilizar la pestaña ACC y cómo personalizar su vista:
Uso del ACC

Paso 1 En ACC , cambie uno o más de los ajustes en la parte superior de la página.
• Utilice los menús desplegables para seleccionar Aplicaciones, Categorías de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP para visualizarlos.
• Seleccione un sistema virtual, si los sistemas virtuales están definidos.
• Seleccione un período de tiempo en el menú desplegable Tiempo. El valor predeterminado es Última hora.
• Seleccione un método de orden en el menú desplegable Ordenar por. Puede ordenar los gráficos en orden
descendente por número de sesiones, bytes o amenazas. El valor predeterminado es por número de sesiones.
• Para el método de orden seleccionado, seleccione el mayor número de aplicaciones y categorías de aplicación
que aparecen en cada gráfico en el menú desplegable Principal.
Haga clic en el icono de envío para aplicar los ajustes seleccionados.

Informes y logs 151


Uso del centro de comando de aplicación Informes y logs

Uso del ACC (Continuación)

Paso 2 Para abrir páginas de logs asociadas a la información en la página, utilice los enlaces de logs en la esquina inferior
derecha de la página, como se muestra a continuación. El contexto de los logs coincide con la información que
aparece en la página.

Paso 3 Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregará ese elemento a la barra de
filtrado ubicada sobre los nombres de columna de log. Después de agregar los filtros deseados, haga clic en el
icono Aplicar filtro.

152 Informes y logs


Informes y logs Uso de Appscope

Uso de Appscope
Los informes de Appscope introducen herramientas de análisis y visibilidad para ayudar a localizar
comportamientos problemáticos, ayudándole a comprender los siguientes aspectos de su red:

 Cambios en el uso de la aplicación y la actividad del usuario

 Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
 Amenazas de red
Con los informes de Appscope (Supervisar >Appscope), puede comprobar rápidamente si algún
comportamiento es inusual o inesperado. Cada informe proporciona una ventana dinámica y personalizable por
el usuario en la red; al pasar el ratón por encima y hacer clic en las líneas y barras de los gráficos, se abre
información detallada acerca de la aplicación específica, categoría de la aplicación, usuario u origen del ACC.
Los siguientes informes de Appscope están disponibles:
 Informe de resumen
 Informe del supervisor de cambios
 Informe del supervisor de amenazas
 Informe del supervisor de red
 Informe del mapa de tráfico

Informes y logs 153


Uso de Appscope Informes y logs

Informe de resumen

El informe Resumen muestra gráficos de los cinco principales ganadores, perdedores, aplicaciones de consumo
de ancho de banda, categorías de aplicación, usuarios y orígenes.

Informe del supervisor de cambios

El informe del supervisor de cambios muestra cambios realizados en un período de tiempo específico. Por
ejemplo, el siguiente gráfico muestra las principales aplicaciones adquiridas en la última hora en comparación
con el último período de 24 horas. Las principales aplicaciones se determinan por el recuento de sesiones y se
ordenan por porcentajes.

154 Informes y logs


Informes y logs Uso de Appscope

El informe del supervisor de cambios contiene los siguientes botones y opciones.


Elemento del informe del supervisor de Descripción del elemento
cambios

Barra superior

Determina el número de registros con la mayor medición incluidos en


el gráfico.

Determina el tipo de elemento indicado: Aplicación, Categoría de


aplicación, Origen o Destino.

Muestra mediciones de elementos que han ascendido durante el


período de medición.

Muestra mediciones de elementos que han descendido durante el


período de medición.

Muestra mediciones de elementos que se han agregado durante el


período de medición.

Muestra mediciones de elementos que se han suspendido durante el


período de medición.

Informes y logs 155


Uso de Appscope Informes y logs

Elemento del informe del supervisor de Descripción del elemento


cambios

Aplica un filtro para mostrar únicamente el elemento seleccionado.


Ninguno muestra todas las entradas.

Determina si mostrar información de sesión o byte.

Determina si ordenar entradas por porcentajes o incremento bruto.

Barra inferior

Especifica el período durante el que se realizaron las mediciones de


cambio.

Informe del supervisor de amenazas

El informe del supervisor de amenazas muestra un recuento de las principales amenazas durante el período de
tiempo seleccionado. Por ejemplo, la siguiente ilustración muestra los 10 principales tipos de amenaza en las
últimas 6 horas.

156 Informes y logs


Informes y logs Uso de Appscope

Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. El informe del
supervisor de amenazas contiene los siguientes botones y opciones.
Botón del informe del supervisor de Descripción del botón
amenazas

Barra superior

Determina el número de registros con la mayor medición incluidos en


el gráfico.

Determina el tipo de elemento medido: Amenaza, Categoría de


amenaza, Origen o Destino.

Aplica un filtro para mostrar únicamente el tipo de elemento


seleccionado.

Determina si la información se presenta en un gráfico de columna


apilado o un gráfico de área apilado.

Barra inferior

Especifica el período durante el que se realizaron las mediciones.

Informe del mapa de amenazas

El informe del mapa de amenazas muestra una vista geográfica de amenazas, incluyendo la gravedad. Cada tipo
de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico.

Informes y logs 157


Uso de Appscope Informes y logs

Haga clic en un país en el mapa para acercarlo. Haga clic en el botón Alejar en la esquina inferior derecha de la
pantalla para alejar. El informe del mapa de amenazas contiene los siguientes botones y opciones.

Botón del informe del mapa de amenazas Descripción del botón

Barra superior

Determina el número de registros con la mayor medición incluidos en


el gráfico.

Muestra las amenazas entrantes.

Muestra las amenazas salientes.

Aplica un filtro para mostrar únicamente el tipo de elemento


seleccionado.

Barra inferior

Indica el período durante el que se realizaron las mediciones.

Informe del supervisor de red

El informe del supervisor de red muestra el ancho de banda dedicado a diferentes funciones de red durante el
período de tiempo especificado. Cada función de red está indicada con colores como se indica en la leyenda
debajo del gráfico. Por ejemplo, la imagen siguiente muestra el ancho de banda de aplicación en los 7 últimos
días basándose en la información de sesión.

158 Informes y logs


Informes y logs Uso de Appscope

El informe del supervisor de red contiene los siguientes botones y opciones.


Botón del informe del supervisor de red Descripción del botón
Barra superior
Determina el número de registros con la mayor medición incluidos en
el gráfico.

Determina el tipo de elemento indicado: Aplicación, Categoría de


aplicación, Origen o Destino.

Aplica un filtro para mostrar únicamente el elemento seleccionado.


Ninguno muestra todas las entradas.

Determina si mostrar información de sesión o byte.

Determina si la información se presenta en un gráfico de columna


apilado o un gráfico de área apilado.
Barra inferior
Indica el período durante el que se realizaron las mediciones de
cambio.

Informe del mapa de tráfico


El informe del mapa de tráfico muestra una vista geográfica de los flujos de tráfico según las sesiones o los
flujos.

Informes y logs 159


Uso de Appscope Informes y logs

Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico. El informe del
mapa de tráfico contiene los siguientes botones y opciones.
Botones del informe del mapa de tráfico Descripción del botón

Barra superior

Determina el número de registros con la mayor medición incluidos en


el gráfico.

Muestra las amenazas entrantes.

Muestra las amenazas salientes.

Determina si mostrar información de sesión o byte.

Barra inferior

Indica el período durante el que se realizaron las mediciones de


cambio.

Visualización de la información del sistema

Seleccione Supervisar > Explorador de sesión para examinar y filtrar las sesiones actuales del cortafuegos. Para
obtener información acerca de las opciones de filtrado en esta página, consulte Visualización de la información
del sistema.

160 Informes y logs


Informes y logs Realización de capturas de paquetes

Realización de capturas de paquetes


PAN-OS admite capturas de paquetes para la resolución de problemas o la detección de aplicaciones
desconocidas. Puede definir filtros de modo que solo se capturen los paquetes que coinciden con los filtros. Las
capturas de paquetes se almacenan de forma local en el dispositivo y están disponibles para su descarga en su
equipo local.

Captura de paquetes está destinado exclusivamente a la resolución de problemas. Esta función


puede hacer que el rendimiento del sistema disminuya y solo debe usarse en caso necesario.
Recuerde deshabilitar la función después de finalizar la captura de paquetes.

La tabla siguiente describe la configuración de la captura de paquetes en Supervisar > Captura de paquetes.
Campo Configuración de Descripción
captura de paquetes

Configurar filtrado

Gestionar filtros Haga clic en Gestionar filtros, haga clic en Añadir para agregar un nuevo filtro y
especifique la siguiente información:
• Id: Introduzca o seleccione un identificador para el filtro.
• Interfaz de entrada: Seleccione la interfaz del cortafuegos.
• Origen: Especifique la dirección IP de origen.
• Destino: Especifique la dirección IP de destino.
• Puerto de origen: Especifique el puerto de origen.
• Puerto de destino: Especifique el puerto de destino.
• Proto: Especifique el protocolo para filtrar.
• Sin Ip: Seleccione cómo tratar el tráfico sin IP (excluir todo el tráfico IP, incluir todo
el tráfico IP, incluir solo tráfico IP o no incluir un filtro de IP).
• IPv6: Seleccione la casilla de verificación para incluir paquetes de IPv6 en el filtro.
Filtrado Haga clic para alternar las selecciones de activar o desactivar filtrado.
Anterior a la coincidencia Haga clic para alternar la opción activar o desactivar anterior a la coincidencia.
La opción anterior a la coincidencia se agrega para fines de resolución de problemas
avanzada. Cuando un paquete introduce el puerto de entrada (ingress), avanza a través
de varios pasos de procesamiento antes de analizar coincidencias en contra de filtros
preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la etapa de filtrado. Eso puede
ocurrir, por ejemplo, si falla una búsqueda de ruta.
Establezca la configuración anterior a la coincidencia como Activada para emular una
coincidencia positiva de cada paquete entrando en el sistema. Eso permite al
cortafuegos capturar incluso los paquetes que no alcanzan el proceso de filtrado. Si un
paquete puede alcanzar la etapa de filtrado, se procesará de acuerdo con la
configuración del filtro y se descartará si no consigue cumplir los criterios de filtrado.

Informes y logs 161


Realización de capturas de paquetes Informes y logs

Campo Configuración de Descripción


captura de paquetes

Configurar captura

Captura de paquetes Haga clic para alternar activar o desactivar capturas de paquetes.
Para los perfiles de antispyware y protección contra vulnerabilidades, puede habilitar
capturas de paquetes extendidas para reglas y excepciones definidas en el perfil. Esta
funcionalidad permite al cortafuegos capturar de 1 a 50 paquetes y proporciona más
contexto al analizar los logs de amenaza.
Para definir la longitud de captura de paquetes extendida:
1. Seleccione Dispositivo > Configuración > Content-ID.
2. Edite la sección Configuración de detección de amenaza para especificar la
Longitud de captura para el número de paquetes que debe capturarse.

3. Visualice la captura de paquetes en Supervisar > Logs > Amenaza.


Localice la entrada de log de amenaza y haga clic en el icono de flecha verde
(Captura de paquetes) en la fila correspondiente para ver la captura.
Fase de captura de Haga clic en Añadir y especifique lo siguiente:
paquetes
• Etapa: Indique el punto en el que capturar el paquete:
• Desplegar: Cuando el procesamiento de paquetes encuentra un error y el paquete
no se puede desplegar.
• Cortafuegos: Cuando el paquete tiene una coincidencia de sesión o se crea un
primer paquete con una sesión correctamente.
• Recibir: Cuando se recibe el paquete en el procesador de plano de datos.
• Transmitir: Cuando se transmite el paquete en el procesador de plano de datos.
• Archivo: Especifica el nombre del archivo de captura. El nombre del archivo debe
comenzar por una letra y puede incluir letras, dígitos, puntos, guiones bajos o
guiones.
• Recuento de paquetes: Especifica el número de paquetes después del que se
detiene la captura.
• Recuento de bytes: Especifica el número de bytes después del que se detiene la
captura.

Archivos capturados

Archivos capturados Seleccione Eliminar para quitar un archivo de captura de paquetes desde la lista donde
se muestran los archivos capturados.

Configuración

Borrar toda la Seleccione Borrar toda la configuración para borrar completamente la configuración
configuración de captura de paquetes.

162 Informes y logs


Informes y logs Supervisión del cortafuegos

Supervisión del cortafuegos


Las siguientes secciones describen los métodos que puede usar para supervisar el cortafuegos y ofrecer
instrucciones de configuración básicas.
 Supervisión de aplicaciones y amenazas
 Visualización de datos de logs locales
 Reenvío de logs a servicios externos
 Configuración del cortafuegos para autenticarlo con el servidor Syslog

También puede configurar el cortafuegos (excepto los cortafuegos de la serie PA-4000) para que
exporte los datos de flujo a un recopilador de flujo de red que elabore análisis e informes. Para
configurar los ajustes de NetFlow, consulte PAN-OS-6.0 Web Interface Reference Guide (en
inglés).

Supervisión de aplicaciones y amenazas

Todos los cortafuegos de próxima generación de Palo Alto Networks están equipados con la tecnología App-ID,
que identifica las aplicaciones que cruzan su red, independientemente del protocolo, cifrado o táctica de evasión.
Después puede supervisar las aplicaciones desde el Centro de comando de aplicación (ACC). ACC resume
gráficamente la base de datos de logs para resaltar las aplicaciones que cruzan su red, quién las usa y su posible
impacto en la seguridad. ACC se actualiza de forma dinámica de acuerdo con la clasificación de tráfico continua
que App-ID realiza; si una aplicación cambia de puerto o comportamiento, App-ID continúa observando el
tráfico, mostrando los resultados en ACC.
Puede investigar rápidamente aplicaciones nuevas, peligrosas o desconocidas que aparezcan en ACC con un solo
clic que muestra una descripción de la aplicación, sus características clave, sus características de comportamiento
y quién la usa. La visibilidad adicional de categorías de URL, amenazas y datos ofrece una perspectiva completa
de la actividad de la red. Con ACC, puede obtener información rápidamente acerca del tráfico que cruza su red
y traducir la información a una política de seguridad con más información.

Informes y logs 163


Supervisión del cortafuegos Informes y logs

Visualización de datos de logs locales

Todos los cortafuegos de próxima generación de Palo Alto Networks pueden generar logs que ofrecen un
seguimiento auditado de las actividades y eventos del cortafuegos. Hay diversos logs para distintos tipos de
actividades y eventos. Por ejemplo, los logs de amenaza registran todo el tráfico que genera una alarma de
seguridad en el cortafuegos, mientras que los registros de filtrado de URL registran todo el tráfico que coincide
con un perfil de filtrado de URL asociado a una política de seguridad, y los logs de configuración registran todos
los cambios en la configuración del cortafuegos.
Hay varias formas de ver los datos de log en el cortafuegos local:
 Visualización de los archivos log
 Visualización de los datos de log en el panel
 Visualización de informes

Visualización de los archivos log

El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas, flujos de tráfico,
amenazas, filtrado de URL, filtrado de datos y Perfil de información de host (HIP). Puede visualizar los logs
actuales en cualquier momento. Para ubicar entradas específicas, puede aplicar filtros a la mayoría de los campos
de log.

El cortafuegos muestra la información en logs por lo que se respetan los permisos de


administración basado en función. Cuando muestra logs, solo se incluye la información de cuyo
permiso dispone. Para obtener información acerca de los permisos de administrador, consulte
Funciones administrativas.

De forma predefinida, todos los archivos log se generan y guardan de forma local en el cortafuegos. Puede ver
estos archivos log directamente (Supervisar > Logs):

164 Informes y logs


Informes y logs Supervisión del cortafuegos

Para mostrar detalles adicionales, haga clic en el icono de catalejo de una entrada.

Informes y logs 165


Supervisión del cortafuegos Informes y logs

La siguiente tabla incluye información sobre cada tipo de log:


Gráficos de Descripción
descripciones del log

Tráfico Muestra una entrada para el inicio y el final de cada sesión. Cada entrada incluye la fecha
y hora, las zonas de origen y destino, las direcciones, los puertos, el nombre de la
aplicación, el nombre de la regla de seguridad aplicada al flujo, la acción de la regla
(permitir, denegar o desplegar), la interfaz de entrada (ingress) y salida (egress) y el
número de bytes.
Haga clic en junto a una entrada para ver detalles adicionales acerca de la sesión,
como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino (el
valor Recuento será superior a uno).
La columna Tipo indica si la entrada es para el inicio o el fin de la sesión o si se ha
denegado o descartado la sesión. Un descarte indica que la regla de seguridad que ha
bloqueado el tráfico ha especificado una aplicación cualquiera, mientras que
denegación indica que la regla ha identificado una aplicación específica.
Si se descarta el tráfico antes de identificar la aplicación, como cuando una regla descarta
todo el tráfico para un servicio específico, la aplicación aparece como no aplicable.
Amenaza Muestra una entrada cuando el tráfico coincide con un perfil de seguridad (Antivirus,
Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o
Protección DoS) que se haya adjuntado a una política de seguridad del cortafuegos.
Cada entrada incluye la fecha y hora, un nombre de amenaza o URL, las zonas de origen
y destino, direcciones, puertos, el nombre de aplicación y la acción de alarma (permitir
o bloquear) y la gravedad.
Haga clic en junto a una entrada para ver detalles adicionales acerca de la amenaza,
como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y
destino (el valor Recuento será superior a uno).
La columna Tipo indica el tipo de amenaza, como “virus” o “spyware”. La columna
Nombre es la descripción de la amenaza o URL y la columna Categoría es la categoría
de la amenaza (como “Registrador de pulsaciones de teclas”) o la categoría de la URL.
Si las capturas de paquetes locales están activadas, haga clic en junto a una entrada
para acceder a los paquetes capturados. Para habilitar capturas de paquetes locales,
consulte Realización de capturas de paquetes.
Filtrado de URL Muestra logs para todo el tráfico que coincide con un perfil de filtrado de URL
adjuntado a una política de seguridad. Por ejemplo, si la política bloquea el acceso a sitios
web y categorías de sitios web específicos o si la política está configurada para generar
una alerta cuando se acceda a un sitio web. Para obtener información sobre cómo
definir perfiles de filtrado de URL, consulte Filtrado de URL.
Envíos de WildFire Muestra logs de archivos que ha cargado y analizado la nube de WildFire; los datos de
logs se reenvían al dispositivo después del análisis junto con los resultados del análisis.

166 Informes y logs


Informes y logs Supervisión del cortafuegos

Gráficos de Descripción
descripciones del log

Filtrado de datos Muestra logs para las políticas de seguridad que ayudan a evitar que informaciones
confidenciales como números de tarjetas de crédito o de la seguridad social abandonen
el área protegida por el cortafuegos. Consulte Configuración de filtrado de datos para
obtener información sobre cómo definir perfiles de filtrado de datos.
Este log también muestra información de perfiles de bloqueo de archivos. Por ejemplo,
si está bloqueando archivos .exe, el log le mostrará los archivos que estaban bloqueados.
Si reenvía archivos a WildFire, podrá ver los resultados de dicha acción. En este caso, si
reenvía archivos PE a WildFire, por ejemplo, el log mostrará que el archivo fue
reenviado y también el estado para saber si se cargó correctamente en WildFire.
Configuración Muestra una entrada para cada cambio de configuración. Cada entrada incluye la fecha
y hora, el nombre de usuario del administrador, la dirección IP desde la cual se ha
realizado el cambio, el tipo de cliente (XML, Web o CLI), el tipo de comando ejecutado,
si el comando se ha ejecutado correctamente o ha fallado, la ruta de configuración y los
valores anteriores y posteriores al cambio.
Sistema Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y hora,
la gravedad del evento y una descripción del evento.
Coincidencias HIP Muestra los flujos de tráfico que coinciden con un Objeto HIP o Perfil HIP que haya
configurado.

Cada página de log cuenta con una área de filtro en la parte superior de la página.

Informes y logs 167


Supervisión del cortafuegos Informes y logs

Utilice la área de filtro de la siguiente forma:

 Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una
opción de filtro de logs. Por ejemplo, si hace clic en el enlace Host en la entrada de log de 10.0.0.252 y
Explorador web, se agregarán ambos elementos y la búsqueda encontrará entradas que coinciden con ambos
(búsqueda Y).

 Para definir otros criterios de búsqueda, haga clic en Añadir filtro de log. Seleccione el tipo de búsqueda (y/o),
el atributo a incluir en la búsqueda, el operador asociado y los valores de la coincidencia, si es necesario. Haga
clic en Añadir para agregar el criterio al área de filtro en la página de log, luego haga clic en Cerrar para cerrar
la ventana emergente. Haga clic en Aplicar filtro para mostrar la lista filtrada.

Puede combinar expresiones de filtro agregadas en la página de log con aquellas que ha definido
en la ventana emergente Expresión. Cada uno se agrega como una entrada en la línea Filtro de
la página de log. Si establece el filtro “en” Tiempo recibido como Últimos 60 segundos,
algunos enlaces de la página en el visor de logs podrían no mostrar resultados ya que el número
de páginas puede aumentar o reducirse debido a la naturaleza dinámica de la hora seleccionada.

 Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en Borrar filtro.

 Para guardar sus selecciones como un nuevo filtro, haga clic en Guardar filtro, introduzca un nombre para el
filtro y haga clic en ACEPTAR.

 Para exportar la lista actual de logs (como se muestra en la página, incluyendo cualquier filtro aplicado), haga
clic en Guardar filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación
si desea continuar utilizando la misma opción. Haga clic en ACEPTAR.

 Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a CSV. De manera
predeterminada, la exportación de la lista de logs al formato CSV genera un informe CSV con hasta
2.000 filas de logs. Para cambiar el límite de filas mostradas en informes CSV, utilice el campo Máx. de filas
en exportación CSV en la subficha Exportación e informes de logs (seleccione Dispositivo > Configuración >
Gestión > Configuración de log e informes).

Para cambiar el intervalo de actualización automática, seleccione un intervalo de la lista desplegable (1 min,
30 segundos, 10 segundos o Manual).
Para cambiar el número de entradas de logs por página, seleccione el número de filas en el menú desplegable
Filas.
Las entradas de logs se recuperan en bloques de 10 páginas. Utilice los controles de página en la parte inferior
de la página para navegar por la lista de logs. Seleccione la casilla de verificación Resolver nombre de host para
iniciar la resolución de direcciones IP externas en nombres de dominio.

168 Informes y logs


Informes y logs Supervisión del cortafuegos

Visualización de los datos de log en el panel

También puede supervisar los datos de log locales directamente desde el panel añadiendo los widgets asociados:

Visualización de informes

El cortafuegos también usa datos del log para generar informes (Supervisar > Informes) que muestran los datos
del log en forma de gráfico o tabla. Consulte Acerca de los informes para obtener información más detallada
sobre los informes predefinido y personalizados disponibles en el cortafuegos.

Informes y logs 169


Supervisión del cortafuegos Informes y logs

Reenvío de logs a servicios externos

Dependiendo del tipo y la gravedad de los datos en los archivos log, puede que desee recibir un aviso ante
eventos críticos que requieran su atención, o puede que tenga políticas que requieran que archive los datos
durante más tiempo del que pueden ser almacenados en el cortafuegos. En estos casos, deseará enviar sus datos
de logs a un servicio externo para su archivo, notificación o análisis.
Para reenviar datos de logs a un servicio externo, debe completar las siguientes tareas:
 Configurar el cortafuegos para que acceda a los servicios remotos que recibirán los logs. Consulte
Definición de destinos de logs remotos.
 Configurar cada tipo de log para reenvío. Consulte Habilitación del reenvío de logs.

Definición de destinos de logs remotos

Para alcanzar un servicio externo, como un servidor Syslog o un gestor de capturas SNMP, el cortafuegos debe
conocer los detalles de acceso y, en caso necesario, autenticarse en el servicio. En el cortafuegos, puede definir
esta información en un perfil de servidor. Debe crear un perfil de servidor para cada servicio externo con el que
desee que interactúe el cortafuegos. El tipo de destino de log que necesita configurar y qué logs se reenvían
dependerá de sus necesidades. Algunas situaciones frecuentes de reenvío de logs son:

 Para una notificación inmediata de amenazas o eventos críticos del sistema que requieren su atención, puede
generar traps SNMP o enviar alertas de correo electrónico. Consulte Configuración de alertas de correo
electrónico y/o Configuración de los destinos de Trap SNMP.

 Para el almacenamiento a largo plazo y el archivo de datos y para la supervisión centralizada de dispositivos,
puede enviar los datos de logs a un servidor Syslog. Consulte Definición de servidores Syslog. Esto permite
la integración con herramientas de supervisión de seguridad de terceros, como Splunk! o ArcSight.

 Para añadir y elaborar informes de datos de logs de cortafuegos de Palo Alto Networks, puede reenviar los
logs a un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Habilitación del
reenvío de logs.
Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar
logs de tráfico a un servidor Syslog y logs de sistema a uno diferente. También puede incluir varias entradas de
servidor en un único perfil de servidor para poder registrarse en varios servidores Syslog y conseguir
redundancia.

De forma predeterminada, todos los datos de logs se reenvían a través de la interfaz de gestión.
Si pretende usar una interfaz que no sea de gestión, deberá configurar una ruta de servicio para
cada servicio al que desee reenviar logs, como se describe en el paso 5 del procedimiento para
Establecimiento de acceso a la red para servicios externos.

170 Informes y logs


Informes y logs Supervisión del cortafuegos

Configuración de alertas de correo electrónico

Configuración de alertas de correo electrónico

Paso 1 Cree un perfil de servidor para su 1. Seleccione Dispositivo > Perfiles de servidor > Correo
servidor de correo electrónico. electrónico.
2. Haga clic en Añadir y, a continuación, introduzca un Nombre
para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este
perfil en el menú desplegable Ubicación.
4. Haga clic en Añadir para añadir una nueva entrada de servidor
de correo electrónico e introduzca la información necesaria para
conectar con el servidor SMTP y enviar mensajes de correo
electrónico (puede añadir hasta cuatro servidores de correo
electrónico al perfil):
• Servidor: Nombre para identificar el servidor de correo
electrónico (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
• Mostrar nombre: El nombre que aparecerá en el campo De
del correo electrónico.
• De: La dirección de correo electrónico desde la que se
enviarán las notificaciones de correo electrónico.
• Para: La dirección de correo electrónico a la que se enviarán
las notificaciones de correo electrónico.
• Destinatario adicional: Si desea que las notificaciones se
envíen a una segunda cuenta, introduzca la dirección
adicional aquí. Solo puede añadir un destinatario adicional.
Para añadir varios destinatarios, añada la dirección de correo
electrónico de una lista de distribución.
• Puerta de enlace: La dirección IP o el nombre de host de la
puerta de enlace SMTP que se usará para enviar los mensajes
de correo electrónico.
5. Haga clic en Aceptar para guardar el perfil de servidor.

Paso 2 (Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea más
mensajes de correo electrónico que envía información sobre cómo crear formatos personalizados para los
el cortafuegos. distintos tipos de log, consulte Common Event Format
Configuration Guide (Guía de configuración de formato de eventos
comunes).

Paso 3 Guarde el perfil de servidor y confirme 1. Haga clic en Aceptar para guardar el perfil.
los cambios. 2. Haga clic en Confirmar para guardar los cambios en la
configuración actual.

Informes y logs 171


Supervisión del cortafuegos Informes y logs

Configuración de los destinos de Trap SNMP

SNMP (Protocolo simple de administración de redes) es un servicio estándar para la supervisión de los
dispositivos de su red. Puede configurar su cortafuegos para enviar traps SNMP a su software de gestión de
SNMP para alertarle de amenazas o eventos críticos del sistema que requieran su atención inmediata.

También puede usar SNMP para supervisar el cortafuegos. En este caso, su gestor de SNMP
debe estar configurado para obtener estadísticas del cortafuegos en lugar de (o además de)
hacer que el cortafuegos envíe traps al gestor. Para obtener más información, consulte
Configuración del cortafuegos para autenticarlo con el servidor Syslog.

Configuración de los destinos de Trap SNMP

Paso 1 (Únicamente SNMP v3) Obtenga el ID Para conocer el ID de motor del cortafuegos, deberá configurar el
de motor para el cortafuegos. cortafuegos para SNMP v3 y enviar un mensaje GET desde el gestor
Nota En muchos casos, el explorador de MIB o de SNMP o el explorador de MIB de la manera siguiente:
el gestor de SNMP detectará 1. Habilite la interfaz para permitir solicitudes SNMP entrantes:
automáticamente el ID de motor tras una • Si va a recibir mensajes SNMP GET en la interfaz de gestión,
conexión correcta al agente de SNMP del seleccione Dispositivo > Configuración > Gestión y haga clic
cortafuegos. Normalmente encontrará en el icono Editar que hay en la sección Configuración de
esta información en la sección de interfaz de gestión de la pantalla. En la sección Servicios,
configuración del agente de la interfaz. seleccione la casilla de verificación SNMP y haga clic en
Consulte la documentación de su Aceptar.
producto específico para obtener
• Si va a recibir mensajes SNMP GET en una interfaz distinta,
instrucciones sobre cómo encontrar la
deberá asociar un perfil de gestión a la interfaz y habilitar la
información del agente.
gestión de SNMP.
2. Configure el cortafuegos para SNMP v3 como se describe en el
Paso 2 en Configuración de la supervisión de SNMP. Si no
configura el cortafuegos para SNMP v3, su explorador de MIB
no le permitirá obtener el ID de motor.
3. Conecte su explorador de MIB o gestor de SNMP al
cortafuegos y ejecute GET para OID 1.3.6.1.6.3.10.2.1.1.0. El
valor devuelto es el ID de motor exclusivo del cortafuegos.

172 Informes y logs


Informes y logs Supervisión del cortafuegos

Configuración de los destinos de Trap SNMP (Continuación)

Paso 2 Cree un perfil de servidor que contenga la información para conectarse y autenticar los gestores de SNMP.
1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.
2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el menú desplegable Ubicación.
4. Especifique la versión de SNMP que está usando (V2c o V3).
5. Haga clic en Añadir para añadir una nueva entrada de receptor de trap SNMP (puede añadir hasta cuatro
receptores de traps por perfil de servidor). Los valores requeridos dependen de si está usando SNMP V2c
o V3, como se explica a continuación:
SNMP V2c
• Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
• Gestor: Dirección IP del gestor de SNMP al que desea enviar traps.
• Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.
SNMP V3
• Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
• Gestor: Dirección IP del gestor de SNMP al que desea enviar traps.
• Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP.
• EngineID: ID de motor del cortafuegos, según se ha identificado en el Paso 1. Es un valor hexadecimal de
entre 5 y 64 bytes con un prefijo 0x. Cada cortafuegos tiene un ID de motor único.
• Contraseña de autenticación: Contraseña que se usará para los mensajes de nivel authNoPriv para el
gestor de SNMP. Esta contraseña contará con un algoritmo hash de seguridad (SHA-1), pero no estará
cifrada.
• Contraseña priv.: Contraseña que se usará para los mensajes de nivel authPriv para el gestor de SNMP.
Esta contraseña tendrá un algoritmo hash SHA y estará cifrada con el estándar de cifrado avanzado
(AES 128).
6. Haga clic en Aceptar para guardar el perfil de servidor.

Paso 3 (Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envían a través de la
para traps SNMP. interfaz de gestión. Si desea utilizar una interfaz diferente para traps
SNMP, deberá editar la ruta de servicio para permitir que el
cortafuegos acceda a su gestor de SNMP. Consulte Establecimiento
de acceso a la red para servicios externos para obtener instrucciones.

Paso 4 Compile los cambios. Haga clic en Confirmar. El dispositivo puede tardar hasta
90 segundos en guardar sus cambios.

Paso 5 Habilite el gestor de SNMP para que Cargue los archivos MIB de PAN-OS en su software de gestión de
interprete las traps que recibe del SNMP y compílelos. Consulte las instrucciones específicas para
cortafuegos. realizar este proceso en la documentación de su gestor de SNMP.

Informes y logs 173


Supervisión del cortafuegos Informes y logs

Definición de servidores Syslog

Syslog es un mecanismo de transporte de logs estándar que permite añadir datos de logs desde distintos
dispositivos de la red, tales como enrutadores, cortafuegos o impresoras, de diferentes proveedores a un
repositorio central para su archivo y análisis, así como para elaborar informes.
El cortafuegos genera cinco tipos de logs que pueden reenviarse a un servidor Syslog externo: tráfico, amenaza,
WildFire, coincidencia del perfil de información de host (HIP), configuración y sistema. Si quiere reenviar todos
o algunos de estos logs a un servicio externo para un almacenamiento y un análisis a largo plazo, puede utilizar
TCP o SSL para un transporte fiable y seguro de logs, o UDP para un transporte no seguro.

Configuración del reenvío de Syslog


Paso 1 Cree un perfil de servidor que contenga 1. Seleccione Dispositivo > Perfiles de servidor > Syslog.
la información para conectarse a los 2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el
servidores Syslog. perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el
menú desplegable Ubicación.
4. Haga clic en Añadir para añadir una nueva entrada del servidor Syslog
e introduzca la información necesaria para conectar con el servidor
Syslog (puede añadir hasta cuatro servidores Syslog al mismo perfil):
• Nombre: Nombre exclusivo para el perfil de servidor.
• Servidor: Dirección IP o nombre de dominio completo (FQDN)
del servidor Syslog.
• Transporte: Seleccione TCP, UDP o SSL como el método de
comunicación con el servidor Syslog.
• Puerto: Número de puerto por el que se enviarán mensajes de
Syslog (el valor predeterminado es UDP en el puerto 514); debe
usar el mismo número de puerto en el cortafuegos y en el servidor
Syslog.
• Formato: Seleccione el formato de mensaje de Syslog que se debe
utilizar, BSD o IETF. Tradicionalmente, el formato BSD es a través
de UDP y el formato IETF es a través de TCP/SSL. Para
configurar el reenvío de Syslog seguro con la autenticación de
cliente, consulte Configuración del cortafuegos para autenticarlo
con el servidor Syslog.
• Instalaciones: Seleccione uno de los valores de Syslog estándar,
que se usa para calcular el campo de prioridad (PRI) en la
implementación de su servidor Syslog. Debe seleccionar el valor
que asigna cómo usa el campo PRI para gestionar sus mensajes de
Syslog.
5. (Opcional) Para personalizar el formato de los mensajes de Syslog que
envía el cortafuegos, seleccione la pestaña Formato de log
personalizado. Si desea más información sobre cómo crear formatos
personalizados para los distintos tipos de log, consulte Common
Event Format Configuration Guide (Guía de configuración de
formato de eventos comunes).
6. Haga clic en Aceptar para guardar el perfil de servidor.

174 Informes y logs


Informes y logs Supervisión del cortafuegos

Configuración del reenvío de Syslog (Continuación)


Paso 2 (Opcional) Configure el formato de 1. Seleccione Dispositivo > Configuración > Gestión y haga clic en el
encabezado utilizado en los mensajes de icono Editar de la sección Configuración de log e informes.
Syslog. La selección del formato de 2. Seleccione Exportación e informes de logs.
encabezado ofrece más flexibilidad para
3. Seleccione una de las siguientes opciones en el menú desplegable
filtrar y crear informes sobre los datos de
Enviar nombre de host en Syslog:
log para algunos SIEM.
• FQDN: (Valor predeterminado) Concatena el nombre de host y el
nombre de dominio definidos en el dispositivo de envío.
• Nombre de host: Utiliza el nombre de host definido en el
dispositivo de envío.
• Dirección IPv4: Utiliza la dirección IPv4 de la interfaz utilizada
para enviar logs en el dispositivo. De manera predeterminada,
esta es la interfaz de gestión del dispositivo.
• Dirección IPv6: Utiliza la dirección IPv6 de la interfaz utilizada
para enviar logs en el dispositivo. De manera predeterminada,
esta es la interfaz de gestión del dispositivo.
• Ninguno: Deja el campo Nombre de host sin configurar en el
Nota Se trata de una configuración global y se dispositivo. No hay ningún identificador para el dispositivo que
aplica a todos los perfiles de servidores envía los logs.
Syslog configurados en el dispositivo.
4. Haga clic en ACEPTAR y Confirmar.
Paso 3 Compile los cambios. Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en
guardar sus cambios.

Paso 4 Habilite el reenvío de logs. Consulte Habilitación del reenvío de logs.


Debe configurar cada tipo de log para el reenvío y especificar la gravedad
para la que se registrará el evento.
Nota Los logs de WildFire son un tipo de log de amenaza, pero no se
registran y reenvían junto con los logs de amenaza. Si bien los logs
de WildFire utilizan el mismo formato de Syslog que los logs de
amenaza, el subtipo de amenaza está predefinido como WildFire.
Por lo tanto, debe habilitar el registro/reenvío para logs de
WildFire de manera distinta a la de los logs de amenaza.
Paso 5 Revise los logs del servidor Syslog. Para analizar los logs, consulte Análisis de la descripción de campos en
logs.

Configuración del cortafuegos para autenticarlo con el servidor Syslog

Para habilitar la autenticación de cliente para Syslog a través de SSL, puede utilizar una CA de confianza o una
CA de firma automática para generar certificados que puedan utilizarse para una comunicación Syslog segura.
Compruebe lo siguiente al generar un certificado para una comunicación Syslog segura:

 La clave privada debe estar disponible en el dispositivo de envío; las claves no pueden almacenarse en un
módulo de seguridad de hardware (HSM).

Informes y logs 175


Supervisión del cortafuegos Informes y logs

 El sujeto y el emisor del certificado no deben ser idénticos.

 El certificado no es una CA de confianza ni una solicitud de firma de certificado (CSR). Ninguno de estos
tipos de certificados puede habilitarse para una comunicación Syslog segura.

Configuración del cortafuegos para autenticarlo con el servidor Syslog

Paso 1 Si el servidor Syslog requiere Para verificar que el dispositivo de envío está autorizado para
autenticación de cliente, genere el comunicarse con el servidor Syslog, debe habilitar lo siguiente:
certificado para la comunicación • El servidor y el dispositivo de envío deben tener certificados
segura. Si desea información detallada firmados por la CA de empresa; también puede generar un
sobre certificados, consulte Gestión certificado autofirmado en el cortafuegos, exportar el certificado de
de certificados. CA raíz desde el cortafuegos e importarlo en el servidor Syslog.
• Utilice la CA de empresa o el certificado autofirmado para generar
un certificado con la dirección IP del dispositivo de envío (como
Nombre común) y habilitado para su uso en una comunicación
Syslog segura. El servidor Syslog utiliza este certificado para verificar
que el cortafuegos está autorizado para comunicarse con el servidor
Syslog.
Realice los siguientes pasos para generar el certificado en el
cortafuegos o en Panorama:
1. Seleccione Dispositivo > Gestión de certificados > Certificados >
Certificados de dispositivos.
2. Haga clic en Generar para crear un nuevo certificado que estará
firmado por una CA de confianza o la CA autofirmada.
3. Introduzca un Nombre para el certificado.
4. En Nombre común, introduzca la dirección IP del dispositivo que
enviará logs al servidor Syslog.
5. Seleccione Compartido si desea que el certificado sea de tipo
compartido en Panorama o en todos los sistemas virtuales en un
cortafuegos de sistema virtual múltiple.
6. En Firmado por, seleccione la CA de confianza o la CA
autofirmada que sea de confianza para el servidor Syslog y el
dispositivo de envío.
7. Haga clic en Generar. Se generarán el certificado y el par de claves.
8. Haga clic en el enlace con el nombre del certificado y active la
opción para obtener acceso seguro al servidor
Syslog.
9. Confirme los cambios.
10. Verifique los detalles del certificado y que esté marcado para Uso
como Certificado para Syslog seguro.

176 Informes y logs


Informes y logs Supervisión del cortafuegos

Habilitación del reenvío de logs

Una vez creados los perfiles de servidor que definen dónde se envían sus logs, debe habilitar el reenvío de logs.
Para cada tipo de log, puede especificar si se reenvía a Syslog, correo electrónico, receptor de traps SNMP o
Panorama.

Antes de poder reenviar archivos log a un gestor de Panorama o a un recopilador de logs de


Panorama, el cortafuegos debe estar configurado como un dispositivo gestionado. Entonces
podrá habilitar el reenvío de logs a Panorama para cada tipo de log. Para logs reenviados a
Panorama, tiene a su disposición la compatibilidad con el reenvío centralizado de logs a un
servidor Syslog externo.

La forma de habilitar el reenvío depende del tipo de log:

 Logs de tráfico: Habilita el reenvío de logs de tráfico creando un perfil de reenvío de logs (Objetos > Reenvío
de logs) y añadiéndolo a las políticas de seguridad que desea que activen el reenvío de logs. Solo el tráfico que
coincida con una regla específica dentro de la política de seguridad será registrado y enviado.

 Logs de amenaza: Habilita el reenvío de logs de amenaza creando un perfil de reenvío de logs (Objetos >
Reenvío de logs) que especifique qué niveles de seguridad desea reenviar y, a continuación, añadiéndolo a las
políticas de seguridad para las que desea activar el reenvío de logs. Solo se creará (y enviará) una entrada de
log de amenaza si el tráfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware,
Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Protección DoS). La siguiente tabla
resume los niveles de gravedad de las amenazas:

Gravedad Descripción

Crítico Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software
ampliamente implementado, que comprometen profundamente los servidores y dejan el
código de explotación al alcance de los atacantes. El atacante no suele necesitar ningún tipo
de credenciales de autenticación o conocimientos acerca de las víctimas y el objetivo no
necesita ser manipulado para que realice ninguna función especial.
Alto Amenazas que tienen la habilidad de convertirse en críticas pero que tienen factores
atenuantes; por ejemplo, pueden ser difíciles de explotar, no conceder privilegios elevados o
no tener un gran grupo de víctimas.
Medio Amenazas menores en las que se minimiza el impacto, como ataques DoS que no
comprometen al objetivo o explotaciones que requieren que el atacante esté en la misma
LAN que la víctima, afectan solo a configuraciones no estándar o aplicaciones oscuras u
ofrecen acceso muy limitado. Además, las entradas de log de Presentaciones de WildFire con
un veredicto de software malintencionado se registran como amenazas de nivel medio.
Bajo Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura de la
organización. Suelen requerir acceso local o físico al sistema y con frecuencia suelen
ocasionar problemas en la privacidad de las víctimas, problemas de DoS y fugas de
información. Las coincidencias de perfiles de filtrado de datos se registran como bajas.
Informativo Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para
indicar que podría haber problemas más serios. Las entradas de logs de filtrado de URL y las
entradas de logs de Presentaciones de WildFire con un veredicto benigno se registran como
informativas.

Informes y logs 177


Supervisión del cortafuegos Informes y logs

 Logs de configuración: Habilita el reenvío de logs de configuración especificando un perfil de servidor en


la configuración de ajustes de log. (Dispositivo > Configuración de log > Logs de configuración).

 Logs de sistema: Habilita el reenvío de logs de sistema especificando un perfil de servidor en la


configuración de ajustes de log. (Dispositivo > Configuración de log > Logs de sistema). Debe seleccionar un
perfil de servidor para cada nivel de gravedad que desee reenviar. Para una lista parcial de mensajes de log de
sistema y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema). La siguiente
tabla resume los niveles de gravedad de los logs de sistema:

Gravedad Descripción

Crítico Fallos de hardware, lo que incluye la conmutación por error de HA y los


fallos de enlaces.
Alto Problemas graves, incluidas las interrupciones en las conexiones con
dispositivos externos, como servidores Syslog y RADIUS.
Medio Notificaciones de nivel medio, como actualizaciones de paquetes de
antivirus.
Bajo Notificaciones de menor gravedad, como cambios de contraseña de
usuario.
Informativo Inicios de sesión/cierres de sesión, cambio de nombre o contraseña de
administrador, cualquier cambio de configuración y el resto de eventos no
cubiertos por los otros niveles de gravedad.

Supervisión del cortafuegos mediante SNMP

Todos los cortafuegos de Palo Alto Networks son compatibles con módulos de base de información de gestión
(MIB) de SNMP de red estándar, así como con módulos MIB empresariales privados. Puede configurar un
gestor de SNMP para recibir estadísticas del cortafuegos. Por ejemplo, puede configurar su gestor de SNMP
para que supervise las interfaces, sesiones activas, sesiones simultáneas, porcentajes de uso de sesión,
temperatura o tiempo de actividad en el cortafuegos.

Los cortafuegos de Palo Alto Networks solo son compatibles con solicitudes SNMP GET; no es
compatible con las solicitudes SNMP SET.

Configuración de la supervisión de SNMP

Paso 1 Habilite la interfaz para permitir • Si va a recibir mensajes SNMP GET en la interfaz de gestión,
solicitudes SNMP entrantes: seleccione Dispositivo > Configuración > Gestión y haga clic en el
icono Editar que hay en la sección Configuración de interfaz de
gestión de la pantalla. En la sección Servicios, seleccione la casilla
de verificación SNMP y haga clic en Aceptar.
• Si va a recibir mensajes SNMP GET en una interfaz distinta,
deberá asociar un perfil de gestión a la interfaz y habilitar la gestión
de SNMP.

178 Informes y logs


Informes y logs Supervisión del cortafuegos

Configuración de la supervisión de SNMP (Continuación)

Paso 2 Desde la interfaz web del cortafuegos, 1. Seleccione Dispositivo > Configuración > Operaciones >
configure los ajustes para permitir que el Configuración de SNMP.
agente de SNMP del cortafuegos 2. Especifique la ubicación física del cortafuegos y el nombre o
responda a las solicitudes GET entrantes dirección de correo electrónico de un contacto de gestión.
del gestor de SNMP.
3. Seleccione la versión SNMP y, a continuación, introduzca los
detalles de configuración de la siguiente forma (según la versión
SNMP que utilice) y, a continuación, haga clic en ACEPTAR:
• V2c: Introduzca la cadena de comunidad SNMP que
permitirá que el gestor de SNMP acceda al agente de SNMP
del cortafuegos. El valor predeterminado es público. Como
se trata de una cadena de comunidad ampliamente conocida,
es recomendable usar un valor que no se adivine tan
fácilmente.
• V3: Debe crear al menos una vista y un usuario para poder
utilizar SNMPv3. La vista especifica a qué información de
gestión tiene acceso el gestor. Si desea permitir el acceso a
toda la información de gestión, solamente tiene que
introducir el OID de nivel más alto de .1.3.6.1 y especificar la
opción como incluir (también puede crear vistas que
excluyan determinados objetos). Utilice 0xf0 como la
máscara. A continuación, cuando cree un usuario, seleccione
la vista que acaba de crear y especifique la contraseña de
autenticación y la contraseña privada.
La configuración de autenticación (la cadena de comunidad para
V2c o el nombre de usuario y las contraseñas para V3)
establecida en el cortafuegos debe coincidir con el valor
configurado en el gestor de SNMP.
4. Haga clic en ACEPTAR para guardar la configuración.
5. Haga clic en Confirmar para guardar estos ajustes de SNMP.

Paso 3 Active el gestor de SNMP para interpretar Cargue los archivos MIB de PAN-OS en su software de gestión de
las estadísticas del cortafuegos. SNMP y, si es necesario, compílelos. Consulte las instrucciones
específicas para realizar este proceso en la documentación de su
gestor de SNMP.

Paso 4 Identifique las estadísticas que desee Use un explorador de MIB para examinar los archivos MIB de
supervisar. PAN-OS y localizar los identificadores de objeto (OID) que se
corresponden con las estadísticas que desea supervisar. Por ejemplo,
imagínese que desea supervisar el porcentaje de uso de sesión del
cortafuegos. Usando un explorador de MIB verá que estas
estadísticas se corresponden con los OID
1.3.6.1.4.1.25461.2.1.2.3.1.0 de PAN-COMMON-MIB.

Paso 5 Configure el software de gestión de Consulte las instrucciones específicas para realizar este proceso en la
SNMP para que supervise los OID que le documentación de su gestor de SNMP.
interesan.

Informes y logs 179


Supervisión del cortafuegos Informes y logs

Configuración de la supervisión de SNMP (Continuación)

Paso 6 Cuando haya terminado la configuración A continuación, un ejemplo de la apariencia de un gestor de SNMP
del cortafuegos y el gestor de SNMP al mostrar las estadísticas del porcentaje de uso de sesión en tiempo
podrá empezar a supervisar el real de un cortafuegos de la serie PA-500 supervisado:
cortafuegos desde su software de gestión
de SNMP.

180 Informes y logs


Informes y logs Gestión de informes

Gestión de informes
Las funciones de generación de informes del cortafuegos le permiten comprobar el estado de su red, validar sus
políticas y concentrar sus esfuerzos en mantener la seguridad de la red para que sus usuarios estén protegidos y
sean productivos.
 Acerca de los informes
 Visualización de informes
 Deshabilitación de informes predefinidos
 Generación de informes personalizados
 Generación de informes de Botnet
 Gestión de informes de resumen en PDF
 Generación de informes de actividad del usuario/grupo
 Gestión de grupos de informes
 Programación de informes para entrega de correos electrónicos

Acerca de los informes

El cortafuegos incluye informes predefinidos que puede utilizar tal cual; asimismo, puede crear informes
personalizados que cubran sus necesidades en cuanto a datos específicos y tareas útiles o combinar informes
predefinidos y personalizados para compilar la información que necesita. El cortafuegos proporciona los
siguientes tipos de informes:
 Informes predefinidos: Le permiten ver un resumen rápido del tráfico de su red. Hay disponible un
conjunto de informes predefinidos divididos en cuatro categorías: Aplicaciones, Tráfico, Amenaza y Filtrado
de URL. Consulte Visualización de informes.
 Informes de actividad de usuario o grupo: Le permiten programar o crear un informe a petición sobre
el uso de la aplicación y la actividad de URL para un usuario específico o para un grupo de usuarios; el
informe incluye las categorías de URL y un cálculo del tiempo de exploración estimado para usuarios
individuales. Consulte Generación de informes de actividad del usuario/grupo.
 Informes personalizados: Cree y programe informes personalizados que muestren exactamente la
información que desee ver, filtrando según las condiciones y las columnas que deben incluirse. También
puede incluir generadores de consultas para un desglose más específico de los datos de informe. Consulte
Generación de informes personalizados.
 Informes de resumen en PDF: Agregue hasta 18 informes/gráficos predefinidos o personalizados desde
las categorías Amenaza, Aplicación, Tendencia, Tráfico y Filtrado de URL en un documento PDF. Consulte
Gestión de informes de resumen en PDF.
 Informes de Botnet: Le permiten utilizar mecanismos basados en el comportamiento para identificar
posibles hosts infectados por Botnet en la red. Consulte Generación de informes de Botnet.
 Grupos de informes: Combine informes personalizados y predefinidos en grupos de informes y compile
un único PDF que se enviará por correo electrónico a uno o más destinatarios. Consulte Gestión de grupos
de informes.
Los informes se pueden generar según se necesiten, con una planificación recurrente, y se puede programar su
envío diario por correo electrónico.

Informes y logs 181


Gestión de informes Informes y logs

Visualización de informes

El cortafuegos proporciona una variedad de más de 40 informes predefinidos que se generan cada día; estos
informes pueden visualizarse directamente en el cortafuegos. Además de estos informes, puede visualizar
informes personalizados e informes de resumen programados.
Se asignan aproximadamente 200 MB de almacenamiento para guardar informes en el cortafuegos. El usuario
no puede configurar este espacio de almacenamiento; además, los informes más antiguos se purgan para
almacenar informes recientes. Por lo tanto, para una retención a largo plazo de informes, puede exportar los
informes o programar los informes para una entrega por correo electrónico. Para deshabilitar informes
seleccionados y conservar recursos del sistema en el cortafuegos, consulte Deshabilitación de informes
predefinidos.

Los informes de actividad de usuario/grupo deben generarse a petición o programarse para una
entrega por correo electrónico. A diferencia de los otros informes, estos informes no se pueden
guardar en el cortafuegos.

Visualización de informes

Paso 1 Seleccione Supervisar > Informes.


Los informes se dividen en secciones en el lado derecho de la ventana: Informes personalizados, Informes de
aplicación, Informes de tráfico, Informes de amenazas, Informes de filtrado de URL e Informes de resumen
en PDF.

Paso 2 Seleccione un informe para visualizarlo. Cuando seleccione un informe, el informe del día anterior se mostrará
en la pantalla.
Para ver informes de cualquiera de los días anteriores, seleccione una fecha disponible en el calendario de la parte
inferior de la página y seleccione un informe dentro de la misma sección. Si cambia secciones, se restablecerá la
selección del tiempo.

Paso 3 Para visualizar un informe fuera de línea, puede exportar el informe en los formatos PDF, CSV o XML. Haga
clic en Exportar a PDF, Exportar a CSV o Exportar a XML en la parte inferior de la página. A continuación,
imprima o guarde el archivo.

182 Informes y logs


Informes y logs Gestión de informes

Deshabilitación de informes predefinidos

El cortafuegos incluye aproximadamente 40 informes predefinidos que se generan automáticamente cada día.
Si no utiliza algunos o todos estos informes predefinidos, podrá deshabilitar los informes seleccionados y
conservar recursos del sistema en el cortafuegos.
Antes deshabilitar uno o más informes predefinidos, asegúrese de que el informe no se incluye en ningún
informe de grupos o informe PDF. Si el informe predefinido deshabilitado se incluye en un informe de grupos
o PDF, el informe de grupos/PDF se presentará sin datos.

Deshabilitar informes predefinidos

1. Seleccione Dispositivo > Configuración > Gestión en el cortafuegos.


2. Haga clic en el icono Editar en la sección Configuración de log e informes y seleccione la pestaña Exportación e
informes de logs.
3. Para deshabilitar informes:
• Cancele la selección de la casilla de verificación correspondiente a cada informe que quiera deshabilitar.
• Seleccione Anular selección para deshabilitar todos los informes predefinidos.

4. Haga clic en ACEPTAR y seleccione Confirmar los cambios.

Informes y logs 183


Gestión de informes Informes y logs

Generación de informes personalizados

Para crear informes personalizados con un fin concreto, debe considerar los atributos o la información clave
que quiere recuperar y analizar. Esta consideración le guiará a la hora de realizar las siguientes selecciones en un
informe personalizado:

Selección Descripción

Origen de datos Archivo de datos que se utiliza para generar el informe. El cortafuegos ofrece dos tipos
de orígenes de datos: bases de datos de resumen y logs detallados.
• Las bases de datos de resumen están disponibles para estadísticas de tráfico,
amenaza y aplicación. El cortafuegos agrega los logs detallados en tráfico, aplicación
y amenaza en intervalos de 15 minutos. Los datos están condensados; es decir, las
sesiones están agrupadas y aumentan con un contador de repeticiones y algunos
atributos (o columnas) no se incluyen en el resumen. Esta condensación permite un
tiempo de respuesta más rápido al generar informes.
• Los logs detallados se componen de elementos y son una lista completa de todos los
atributos (o columnas) relativos a la entrada de log. Los informes basados en logs
detallados tardan mucho más en ejecutarse y no se recomiendan a menos que sea
absolutamente necesario.

Atributos Columnas que quiere utilizar como criterios de coincidencia. Los atributos son las
columnas disponibles para su selección en un informe. Desde la lista de Columnas
disponibles, puede añadir los criterios de selección para datos coincidentes y para
agregar la información detallada (Columnas seleccionadas).

Ordenar por/Agrupar por Los criterios Ordenar por y Agrupar por le permiten organizar/segmentar los datos
del informe; los atributos de ordenación y agrupación disponibles varían basándose en
el origen de datos seleccionado.
La opción Ordenar por especifica el atributo que se utiliza para la agregación. Si no
selecciona un atributo según el cuál ordenar, el informe devolverá el primer número N
de resultados sin ninguna agregación.
La opción Agrupar por le permite seleccionar un atributo y utilizarlo como ancla para
agrupar datos; a continuación, todos los datos del informe se presentarán en un
conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo, cuando seleccione Hora
como la selección de Agrupar por y quiere los 25 grupos principales en un período de
tiempo de 24 horas. Los resultados del informe se generarán cada hora en un período
de 24 horas. La primera columna del informe será la hora y el siguiente conjunto de
columnas será el resto de sus columnas de informe seleccionadas.

184 Informes y logs


Informes y logs Gestión de informes

Selección Descripción

El siguiente ejemplo muestra el modo en que los criterios Columnas seleccionadas y


Ordenar por/Agrupar por trabajan en conjunto al generar informes:

Las columnas dentro de un círculo rojo (arriba) muestran las columnas seleccionadas,
que son los atributos que deben coincidir para generar el informe. Se analiza cada
entrada de log del origen de datos y se establecen las coincidencias con estas columnas.
Si varias sesiones tienen los mismos valores para las columnas seleccionadas, las
sesiones se agregarán y se incrementará el recuento de repeticiones (o sesiones).
La columna dentro de un círculo azul indica el orden de clasificación seleccionado.
Cuando se especifica el orden de clasificación (Ordenar por), los datos se ordenan
(y agregan) según el atributo seleccionado.
La columna dentro de un círculo verde indica la selección de Agrupar por, que sirve
de ancla para el informe. La columna Agrupar por se utiliza como criterio de
coincidencia para filtrar los N grupos principales. A continuación, para cada uno de los
N grupos principales, el informe enumera los valores del resto de columnas
seleccionadas.

Informes y logs 185


Gestión de informes Informes y logs

Selección Descripción

Por ejemplo, si un informe tiene las siguientes selecciones:


:

El resultado será el siguiente:

El informe está anclado por Día y se ordena por Sesiones. Enumera los 5 días (5 grupos) con el máximo de tráfico
en el período de tiempo de Últimos 7 días. Los datos se enumeran según las 5 principales sesiones de cada día para
las columnas seleccionadas: Categoría de aplicación, Subcategoría de aplicación y Riesgo.

Período de tiempo Rango de fechas para el que quiere analizar datos. Puede definir un rango
personalizado o seleccionar un período de tiempo que vaya desde los últimos
15 minutos hasta los últimos 30 días. Los informes se pueden ejecutar a petición
o se pueden programar para su ejecución cada día o cada semana.

Generador de consultas El generador de consultas le permite definir consultas específicas para ajustar aun más
los atributos seleccionados. Le permite ver solamente lo que desee en su informe
utilizando los operadores y y o y un criterio de coincidencia y, a continuación, incluir o
excluir datos que coincidan o nieguen la consulta del informe. Las consultas le
permiten generar una intercalación de información más centrada en un informe.

186 Informes y logs


Informes y logs Gestión de informes

Generación de informes personalizados

1. Seleccione Supervisar > Gestionar informes personalizados.


2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el informe.
Nota Para basar un informe en una plantilla predefinida, haga clic en Cargar plantilla y seleccione la plantilla.
A continuación, podrá editar la plantilla y guardarla como un informe personalizado.
3. Seleccione la base de datos que debe utilizarse para el informe.

Nota Cada vez que cree un informe personalizado, se creará un informe Vista de log automáticamente. Este informe
muestra los logs que se utilizaron para crear el informe personalizado. El informe Vista de log utiliza el mismo
nombre que el informe personalizado, pero añade la frase “Log View” al nombre del informe.
Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para obtener
más información, consulte Gestión de grupos de informes.
4. Seleccione la casilla de verificación Programado para ejecutar el informe cada noche. A continuación, el informe
estará disponible para su visualización en la columna Informes del lateral.
5. Defina los criterios de filtrado. Seleccione el Período de tiempo, el orden Ordenar por y la preferencia Agrupar por
y seleccione las columnas que deben mostrarse en el informe.
6. (Opcional) Seleccione los atributos Generador de consultas si desea ajustar aun más los criterios de selección. Para
crear una consulta de informe, especifique lo siguiente y haga clic en Añadir. Repita las veces que sean necesarias para
crear la consulta completa.
• Conector: Seleccione el conector (y/o) para preceder la expresión que está agregando.
• Negar: Seleccione la casilla de verificación para interpretar la consulta como una negativa. Si, por ejemplo, decide
hacer coincidir las entradas de las últimas 24 horas y/o se originan en la zona no fiable, la opción de negación
produce una coincidencia en las entradas que no se hayan producido en las últimas 24 horas y/o no pertenezcan
a la zona no fiable.
• Atributo: Seleccione un elemento de datos. Las opciones disponibles dependen de la elección de la base de datos.
• Operador: Seleccione el criterio para determinar si se aplica el atributo (como =). Las opciones disponibles
dependen de la elección de la base de datos.
• Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustración (basada en la base de datos Log de tráfico) muestra una consulta que coincide
si se ha recibido la entrada de log de tráfico en las últimas 24 horas de la zona “no fiable”.

7. Para comprobar los ajustes de informes, seleccione Ejecutar ahora. Modifique los ajustes según sea necesario para
cambiar la información que se muestra en el informe.
8. Haga clic en ACEPTAR para guardar el informe personalizado.

Informes y logs 187


Gestión de informes Informes y logs

Generación de informes personalizados (Continuación)

Ejemplos de informes personalizados


Si ahora configuramos un único informe en el que utilizamos la base de datos de resumen de tráfico de los
últimos 30 días y ordenamos los datos por las 10 sesiones principales y dichas sesiones se agrupan en 5 grupos
por día de la semana. Debería configurar el informe personalizado para que tuviera un aspecto parecido a este:

Y el resultado en PDF del informe debería tener un aspecto parecido a este:

188 Informes y logs


Informes y logs Gestión de informes

Generación de informes personalizados (Continuación)

Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente a los
principales consumidores de los recursos de red dentro de un grupo de usuarios, debería configurar el informe
para que tuviera un aspecto parecido a este:

El informe debería mostrar a los principales usuarios del grupo de usuarios de gestión de productos ordenados
por bytes, de la manera siguiente:

Informes y logs 189


Gestión de informes Informes y logs

Generación de informes de Botnet

La función Informe de Botnet le permite utilizar mecanismos basados en el comportamiento para identificar
posibles hosts infectados por Botnet en la red. Para evaluar las amenazas, el cortafuegos utiliza los logs de
amenaza, URL y filtrado de datos que tienen datos sobre la actividad de usuario/red y consulta la lista de URL
malintencionadas en PAN-DB, proveedores de DNS dinámico conocidos y dominios registrados recientemente.
Utilizando estos orígenes de datos, el cortafuegos correlaciona e identifica a los hosts que visitaron sitios
malintencionados y sitios de DNS dinámico, dominios registrados recientemente (en los últimos 30 días),
aplicaciones desconocidas utilizadas y búsquedas de la presencia de tráfico de Internet Relay Chat (IRC).
Para los host que coincidan con los criterios, se asigna un margen de confianza del 1 al 5 para indicar la
probabilidad de infección de Botnet (1 indica la probabilidad de infección más baja y 5 la más alta). Como los
mecanismos de detección basados en el comportamiento requieren realizar una correlación de tráfico entre
varios logs durante un período de 24 horas, el cortafuegos genera un informe cada 24 horas con una lista de
hosts ordenada basándose en un nivel de confianza.
 Configuración de informes de Botnet
 Generación de informes de Botnet

Configuración de informes de Botnet

Utilice estos ajustes para especificar tipos de tráfico sospechoso que pueda indicar actividad de Botnet.
Configuración de informes de Botnet

1. Seleccione Supervisar > Botnet y haga clic en el botón Configuración del lado derecho de la página.

2. Para el tráfico HTTP, seleccione la casilla de verificación Habilitar para los eventos que desea incluir en los informes:
• Visita a URL de software malintencionado: Identifica a los usuarios que se están comunicando con URL con
software malintencionado conocidas basándose en las categorías de filtrado de URL de software malintencionado
y Botnet.
• Uso de DNS dinámica: Busca tráfico de consultas DNS dinámicas que pueden indicar una comunicación de botnet.
• Navegación por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL.
• Navegación en dominios registrados recientemente: Busca tráfico en dominios que se han registrado en los
últimos 30 días.
• Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL
desconocidas.

3. Para aplicaciones desconocidas, seleccione aplicaciones con TCP desconocido o UDP desconocido como sospechosas
y especifique la siguiente información:
• Sesiones por hora: Número de sesiones de aplicación por hora asociadas a la aplicación desconocida.
• Destinos por hora: Número de destinos por hora asociados a la aplicación desconocida.
• Bytes mínimos: Tamaño mínimo de carga.
• Bytes máximos: Tamaño máximo de carga.

4. Seleccione la casilla de verificación para incluir servidores IRC como sospechosos. Los servidores IRC a menudo
utilizan bots para funciones automatizadas.

190 Informes y logs


Informes y logs Gestión de informes

Generación de informes de Botnet

Después de configurar el informe de Botnet, especifique consultas de informe para generar informes de análisis
de Botnet. El generador de consultas le permite incluir o excluir atributos tales como direcciones IP de origen
o de destino, usuarios, zonas, interfaces, regiones o países para filtrar los resultados del informe.
Los informes programadas solo se ejecutan una vez al día. También puede generar y mostrar informes a petición
haciendo clic en Ejecutar ahora en la ventana donde define las consultas de informe. El informe generado se
muestra en Supervisar > Botnet.
Para gestionar informes de Botnet, haga clic en el botón Ajuste de informe en el lado derecho de la pantalla.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
Generación de informes de Botnet

1. En Período de ejecución del informe, seleccione el intervalo de tiempo para el informe (últimas 24 horas o
último día del calendario).

2. Seleccione el N.º de filas que desea incluir en el informe.

3. Seleccione Programado para ejecutar el informe a diario. De manera alternativa, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet.

4. Cree la consulta de informe especificando lo siguiente y, a continuación, haga clic en Añadir para agregar la
expresión configurada a la consulta. Repita las veces que sean necesarias para crear la consulta completa:
• Conector: Especifique un conector lógico (Y/O).
• Atributo: Especifique la zona, la dirección o el usuario de origen o destino.
• Operador: Especifique el operador para relacionar el atributo con un valor.
• Valor: Especifique el valor para coincidir.

5. Seleccione Negar para aplicar la negación a la consulta especificada, lo que significa que el informe contendrá
toda la información que no sea resultado de la consulta definida.

6. Confirme los cambios.

Informes y logs 191


Gestión de informes Informes y logs

Gestión de informes de resumen en PDF

Los informes de resumen en PDF contienen información recopilada de informes existentes, basándose en datos
de los 5 principales de cada categoría (en vez de los 50 principales). También pueden contener gráficos de
tendencias que no están disponibles en otros informes.

Generación de informes de resumen en PDF

Paso 1 Configure un Informe de resumen en PDF:


1. Seleccione Supervisar > Informes en PDF > Gestionar resumen de PDF.
2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el informe.
3. Utilice la lista desplegable para cada grupo de informes y seleccione uno o más de los elementos para diseñar
el informe de resumen en PDF. Puede incluir un máximo de 18 elementos de informe.

• Para eliminar un elemento del informe, haga clic en el icono x o cancele la selección del menú desplegable
para el grupo de informes adecuado.
• Para reorganizar los informes, arrastre y coloque los iconos en otra área del informe.
4. Haga clic en ACEPTAR para guardar el informe.
5. Confirme los cambios.

192 Informes y logs


Informes y logs Gestión de informes

Generación de informes de resumen en PDF (Continuación)

Paso 2 Para descargar y ver el informe de resumen en PDF, consulte Visualización de informes.

Generación de informes de actividad del usuario/grupo

Los informes de actividad del usuario/grupo resumen la actividad web de usuarios individuales o grupos de
usuarios. Ambos informes incluyen la misma información con un par de excepciones: Resumen de navegación
por categoría de URL y Cálculos de tiempo de exploración se incluyen en Informes de actividad del usuario, pero
no se incluyen en Informes de actividad del grupo.
User-ID debe configurarse en el cortafuegos para acceder a la lista de usuarios/grupos de usuarios; para obtener
información detallada sobre cómo habilitar esta función, consulte User-ID.

Informes y logs 193


Gestión de informes Informes y logs

Generación de informes de actividad del usuario/grupo

1. Seleccione Supervisar > Informes en PDF > Informe de actividad del usuario.
2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el informe.
3. Cree el informe:
• Para un informe de actividad del usuario: Seleccione Usuario e introduzca el Nombre de usuario o la
Dirección IP (IPv4 o IPv6) del usuario que será el asunto del informe.
• Para informe de actividad de grupo: Seleccione Grupo y seleccione el Nombre de grupo para el que recuperar
información de grupos de usuarios en el informe.
4. Seleccione el período de tiempo para el informe en el menú desplegable.
Nota El número de logs analizados en un informe de actividad del usuario está determinado por el número de filas
definido en Máx. de filas en informe de actividad de usuario en la sección Configuración de log e informes en
Dispositivo > Configuración > Gestión.
5. Seleccione Incluir exploración detallada para incluir logs de URL detallados en el informe.
La información de navegación detallada puede incluir un gran volumen de logs (miles de logs) para el usuario o grupo
de usuarios seleccionado y puede hacer que el informe sea muy extenso.
6. Para ejecutar el informe a petición, haga clic en Ejecutar ahora.
7. Para guardar el informe, haga clic en Aceptar. Los informes de actividad del usuario/grupo no se pueden guardar en
el cortafuegos; para programar el informe para una entrega por correo electrónico, consulte Programación de
informes para entrega de correos electrónicos.

Gestión de grupos de informes

Los grupos de informes le permiten crear conjuntos de informes que el sistema puede recopilar y enviar como
un informe agregado en PDF único con una página de título opcional y todos los informes constituyentes
incluidos.

194 Informes y logs


Informes y logs Gestión de informes

Configuración de grupos de informes

Paso 1 Configure grupos de informes. 1. Cree un perfil de servidor para su servidor de correo
Nota Debe configurar un Grupo de informes electrónico.
para enviar informes por correo 2. Defina el Grupo de informes. Un grupo de informes puede
electrónico. compilar informes predefinidos, informes de resumen en PDF,
informes personalizados e informes Vista de log en un único
PDF.
a. Seleccione Supervisar > Grupo de informes.
b. Haga clic en Añadir y, a continuación, introduzca un Nombre
para el grupo de informes.
c. (Opcional) Seleccione Página de título y añada un Título
para el PDF creado.
d. Seleccione informes de la columna izquierda y haga clic en
Añadir para mover cada informe al grupo de informes en la
derecha.
El informe Vista de log es un tipo de informe que se crea
automáticamente cada vez que crea un informe
personalizado y utiliza el mismo nombre que el informe
personalizado. Este informe mostrará los logs que se han
utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log, al crear un grupo de
informes, añada su informe personalizado a la lista Informes
personalizados y, a continuación, añada el informe Vista de
log seleccionando el nombre del informe coincidente de la
lista Vista de log. El informe incluirá los datos del informe
personalizado y los datos de log que se han utilizado para
crear el informe personalizado.
e. Haga clic en ACEPTAR para guardar la configuración.
f. Para utilizar el grupo de informes, consulte Programación de
informes para entrega de correos electrónicos.

Programación de informes para entrega de correos electrónicos

Los informes se pueden programar para una entrega diaria o semanal en un día especificado. Los informes
programados comienzan a ejecutarse a las 2:00 AM y la entrega de correo electrónico comienza después de que
se hayan generado todos los informes programados.

Informes y logs 195


Gestión de informes Informes y logs

Programación de informes para entrega de correos electrónicos

1. Seleccione Supervisar > Informes en PDF > Programador de


correo electrónico.
2. Seleccione el Grupo de informes para la entrega de correos
electrónicos. Para configurar un grupo de informes, consulte Gestión
de grupos de informes.
3. Seleccione la frecuencia con la que generar y enviar el informe en
Periodicidad.
4. Seleccione el perfil del servidor de correo electrónico que debe
utilizarse para entregar los informes. Para configurar un perfil de
servidor de correo electrónico, consulte Cree un perfil de servidor para su servidor de correo electrónico.
5. Cancelar correos electrónicos del destinatario le permite enviar este informe exclusivamente a los destinatarios
especificados en este campo. Cuando añade destinatarios a Cancelar correos electrónicos del destinatario, el
informe no se envía a los destinatarios configurados en el perfil de servidor de correo electrónico. Utilice esta opción
para las ocasiones en las que el informe vaya dirigido a una persona distinta de los administradores o destinatarios
definidos en el perfil de servidor de correo electrónico.

196 Informes y logs


Informes y logs Análisis de la descripción de campos en logs

Análisis de la descripción de campos en logs


Esta es una lista de los campos estándar de cada uno de los cinco tipos de logs que se reenvían a un servidor
externo. Para facilitar el análisis, la coma es el delimitador; cada campo es una cadena de valores separados por
comas (CSV). Los campos que actualmente no estén implementados/reservados para un uso futuro se etiquetan
como future_use.
 Logs de tráfico
 Logs de amenaza
 Logs de coincidencias HIP
 Logs de configuración
 Logs de sistema

Logs de tráfico

Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicación, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvío de logs, FUTURE_USE, ID de sesión, Número de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Acción, Bytes, Bytes enviados,
Bytes recibidos, Paquetes, Fecha de inicio, Tiempo transcurrido, Categoría, FUTURE_USE, Número de
secuencia, Marcas de acción, Ubicación de origen, Ubicación de destino, FUTURE_USE, Paquetes enviados,
Paquetes recibidos.

Nombre de campo Descripción

Fecha de registro (receive_time) Hora a la que se recibió el log en el plano de gestión.

Número de serie (serial) Número de serie del dispositivo que generó el log.

Tipo (type) Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración,
Sistema y Coincidencias HIP.

Subtipo (subtype) Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y Denegar.
• Iniciar: sesión iniciada.
• Finalizar: sesión finalizada.
• Colocar: sesión colocada antes de identificar la aplicación; no hay ninguna
regla que permita la sesión.
• Denegar: sesión colocada después de identificar la aplicación; hay una regla
para bloquear o no hay ninguna regla que permita la sesión.

Tiempo generado (time_generated) Hora a la que se generó el log en el plano de datos.

IP de origen (src) Dirección IP de origen de la sesión original.

IP de destino (dst) Dirección IP de destino de la sesión original.

NAT IP origen (natsrc) Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior.

Informes y logs 197


Análisis de la descripción de campos en logs Informes y logs

Nombre de campo Descripción

NAT IP destino (natdst) Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino posterior.

Nombre de regla (rule) Nombre de la regla con la que ha coincidido la sesión.

Usuario de origen (srcuser) Nombre del usuario que inició la sesión.

Usuario de destino (dstuser) Nombre del usuario para el que iba destinada la sesión.

Aplicación (app) Aplicación asociada a la sesión.

Sistema virtual (vsys) Sistema virtual asociado a la sesión.

Zona de origen (from) Zona de origen de la sesión.

Zona de destino (to) Zona de destino de la sesión.

Interfaz de entrada (inbound_if) Interfaz de origen de la sesión.

Interfaz de salida (outbound_if) Interfaz de destino de la sesión.

Perfil de reenvío de logs (logset) Perfil de reenvío de logs aplicado a la sesión.

ID de sesión (sessionid) Identificador numérico interno aplicado a cada sesión.

Número de repeticiones (repeatcnt) Número de sesiones con el mismo IP de origen, IP de destino, Aplicación y
Subtipo observados en 5 segundos. Utilizado únicamente para ICMP.

Puerto de origen (sport) Puerto de origen utilizado por la sesión.

Puerto de destino (dport) Puerto de destino utilizado por la sesión.

NAT puerto origen (natsport) NAT de puerto de origen posterior.

NAT puerto destino (natdport) NAT de puerto de destino posterior.

198 Informes y logs


Informes y logs Análisis de la descripción de campos en logs

Nombre de campo Descripción

Marcas (flags) Campo de 32 bits que proporciona información detallada sobre la sesión; este
campo puede descodificarse añadiendo los valores con Y y con el valor
registrado:
• 0x80000000: la sesión tiene una captura de paquetes (PCAP)
• 0x02000000: sesión IPv6.
• 0x01000000: la sesión SSL se ha descifrado (proxy SSL).
• 0x00800000: la sesión se ha denegado a través del filtrado de URL.
• 0x00400000: la sesión ha realizado una traducción NAT (NAT).
• 0x00200000: la información de usuario de la sesión se ha capturado mediante
el portal cautivo (Portal cautivo).
• 0x00080000: el valor X-Forwarded-For de un proxy está en el campo Usuario
de origen.
• 0x00040000: el log corresponde a una transacción en una sesión de proxy
HTTP (Transacción proxy).
• 0x00008000: la sesión es un acceso a la página de contenedor (Página de
contenedor).
• 0x00002000: la sesión tiene una coincidencia temporal en una regla para la
gestión de las dependencias de las aplicaciones implícitas. Disponible en
PAN-OS 5.0.0 y posterior.
• 0x00000800: se utilizó el retorno simétrico para reenviar tráfico para esta
sesión.

Protocolo (proto) Protocolo IP asociado a la sesión.

Acción (action) Acción realizada para la sesión; los valores son Permitir o Denegar:
• Permitir: la política permitió la sesión.
• Denegar: la política denegó la sesión.

Bytes (bytes) Número total de bytes (transmitidos y recibidos) de la sesión.

Bytes enviados (bytes_sent) Número de bytes en la dirección cliente a servidor de la sesión.


Disponible en todos los modelos excepto la serie PA-4000.

Bytes recibidos (bytes_received) Número de bytes en la dirección servidor a cliente de la sesión.


Disponible en todos los modelos excepto la serie PA-4000.

Paquetes (packets) Número total de paquetes (transmitidos y recibidos) de la sesión.

Fecha de inicio (start) Hora de inicio de sesión.

Tiempo transcurrido (elapsed) Tiempo transcurrido en la sesión.

Categoría (category) Categoría de URL asociada a la sesión (si es aplicable).

Número de secuencia (seqno) Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada
tipo de log tiene un espacio de número exclusivo.

Marcas de acción (actionflags) Campo de bits que indica si el log se ha reenviado a Panorama.

Informes y logs 199


Análisis de la descripción de campos en logs Informes y logs

Nombre de campo Descripción

Ubicación de origen (srcloc) País de origen o región interna para direcciones privadas; la longitud máxima es
de 32 bytes.

Ubicación de destino (dstloc) País de destino o región interna para direcciones privadas. La longitud máxima es
de 32 bytes.

Paquetes enviados (pkts_sent) Número de paquetes de cliente a servidor de la sesión.


Disponible en todos los modelos excepto la serie PA-4000.

Paquetes recibidos (pkts_received) Número de paquetes de servidor a cliente de la sesión.


Disponible en todos los modelos excepto la serie PA-4000.

Logs de amenaza

Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicación, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvío de logs, FUTURE_USE, ID de sesión, Número de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Acción, Varios, ID de amenaza,
Categoría, Gravedad, Dirección, Número de secuencia, Marcas de acción, Ubicación de origen, Ubicación de
destino, FUTURE_USE, Tipo de contenido, ID de captura de paquetes*, Resumen de archivo*, Nube*

Nombre de campo Descripción

Fecha de registro (receive_time) Hora a la que se recibió el log en el plano de gestión.

Número de serie (serial) Número de serie del dispositivo que generó el log.

Tipo (type) Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y
Coincidencias HIP.

Subtipo (subtype) Subtipo del log de amenaza; los valores son URL, Virus, Spyware, Vulnerabilidades,
Archivo, Analizar, Inundación, Datos y WildFire:
• URL: log de filtrado de datos
• Virus: detección de virus
• Spyware: detección de spyware
• Vulnerabilidades: detección de exploits de vulnerabilidades
• Archivo: log de tipo de archivo
• Analizar: exploración detectada mediante un perfil de protección de zona
• Inundación: inundación detectada mediante un perfil de protección de zona
• Datos: patrón de datos detectado desde un perfil de protección de zona
• WildFire: log de WildFire

200 Informes y logs


Informes y logs Análisis de la descripción de campos en logs

Nombre de campo Descripción

Tiempo generado Hora a la que se generó el log en el plano de datos.


(time_generated)

IP de origen (src) Dirección IP de origen de la sesión original.

IP de destino (dst) Dirección IP de destino de la sesión original.

NAT IP origen (natsrc) Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior.

NAT IP destino (natdst) Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino posterior.

Nombre de regla (rule) Nombre de la regla con la que ha coincidido la sesión.

Usuario de origen (srcuser) Nombre del usuario que inició la sesión.

Usuario de destino (dstuser) Nombre del usuario para el que iba destinada la sesión.

Aplicación (app) Aplicación asociada a la sesión.

Sistema virtual (vsys) Sistema virtual asociado a la sesión.

Zona de origen (from) Zona de origen de la sesión.

Zona de destino (to) Zona de destino de la sesión.

Interfaz de entrada Interfaz de origen de la sesión.


(inbound_if)

Interfaz de salida Interfaz de destino de la sesión.


(outbound_if)

Perfil de reenvío de logs Perfil de reenvío de logs aplicado a la sesión.


(logset)

ID de sesión (sessionid) Identificador numérico interno aplicado a cada sesión.

Número de repeticiones Número de sesiones con el mismo IP de origen, IP de destino, Aplicación y Subtipo
(repeatcnt) observados en 5 segundos. Utilizado únicamente para ICMP.

Puerto de origen (sport) Puerto de origen utilizado por la sesión.

Puerto de destino (dport) Puerto de destino utilizado por la sesión.

NAT puerto origen (natsport) NAT de puerto de origen posterior.

NAT puerto destino (natdport) NAT de puerto de destino posterior.

Informes y logs 201


Análisis de la descripción de campos en logs Informes y logs

Nombre de campo Descripción

Marcas (flags) Campo de 32 bits que proporciona información detallada sobre la sesión; este campo
puede descodificarse añadiendo los valores con Y y con el valor registrado:
• 0x80000000: la sesión tiene una captura de paquetes (PCAP)
• 0x02000000: sesión IPv6.
• 0x01000000: la sesión SSL se ha descifrado (proxy SSL).
• 0x00800000: la sesión se ha denegado a través del filtrado de URL.
• 0x00400000: la sesión ha realizado una traducción NAT (NAT).
• 0x00200000: la información de usuario de la sesión se ha capturado mediante el
portal cautivo (Portal cautivo).
• 0x00080000: el valor X-Forwarded-For de un proxy está en el campo Usuario de
origen.
• 0x00040000: el log corresponde a una transacción en una sesión de proxy HTTP
(Transacción proxy).
• 0x00008000: la sesión es un acceso a la página de contenedor (Página de
contenedor).
• 0x00002000: la sesión tiene una coincidencia temporal en una regla para la gestión
de las dependencias de las aplicaciones implícitas. Disponible en PAN-OS 5.0.0 y
posterior.
• 0x00000800: se utilizó el retorno simétrico para reenviar tráfico para esta sesión.

Protocolo (proto) Protocolo IP asociado a la sesión.

Acción (action) Acción realizada para la sesión; los valores son Alerta, Permitir, Denegar, Colocar,
Colocar todos los paquetes, Restablecer cliente, Restablecer servidor, Restablecer
ambos y Bloquear URL.
• Alerta: amenaza o URL detectada pero no bloqueada.
• Permitir: alerta de detección de inundación.
• Denegar: mecanismo de detección de inundación activado y denegación de tráfico
basándose en la configuración.
• Colocar: amenaza detectada y se descartó la sesión asociada.
• Colocar todos los paquetes: amenaza detectada y la sesión permanece, pero se
colocan todos los paquetes.
• Restablecer cliente: amenaza detectada y se envía un TCP RST al cliente.
• Restablecer servidor: amenaza detectada y se envía un TCP RST al servidor.
• Restablecer ambos: amenaza detectada y se envía un TCP RST tanto al cliente como
al servidor.
• Bloquear URL: la solicitud de URL se bloqueó porque coincidía con una categoría
de URL que se había establecido como bloqueada.

202 Informes y logs


Informes y logs Análisis de la descripción de campos en logs

Nombre de campo Descripción

Varios (misc) Campo de longitud variable con un máximo de 1.023 caracteres.


El URI real cuando el subtipo es URL.
Nombre de archivo o tipo de archivo cuando el subtipo es Archivo.
Nombre de archivo cuando el subtipo es Virus.
Nombre de archivo cuando el subtipo es WildFire.

ID de amenaza (threatid) Identificador de Palo Alto Networks para la amenaza. Es una cadena de descripción
seguida de un identificador numérico de 64 bits entre paréntesis para algunos subtipos:
• 8000 - 8099: detección de exploración
• 8500 - 8599: detección de inundación
• 9999: log de filtrado de URL
• 10000 - 19999: detección de llamada a casa de spyware
• 20000 - 29999: detección de descarga de spyware
• 30000 - 44999: detección de exploits de vulnerabilidades
• 52000 - 52999: detección de tipo de archivo
• 60000 - 69999: detección de filtrado de datos
• 100000 - 2999999: detección de virus
• 3000000 - 3999999: distribución de firmas de WildFire
• 4000000 - 4999999: firmas de Botnet basadas en DNS

Categoría (category) Para el subtipo URL, es la categoría de URL; para el subtipo WildFire, es el veredicto
del archivo y es “Malo” o “Bueno”; para otros subtipos, el valor es “Cualquiera”.

Gravedad (severity) Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio, Alto y
Crítico.

Dirección (direction) Indica la dirección del ataque: cliente a servidor o servidor a cliente.
• 0: la dirección de la amenaza es cliente a servidor.
• 1: la dirección de la amenaza es servidor a cliente.

Número de secuencia (seqno) Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de
log tiene un espacio de número exclusivo.

Marcas de acción (actionflags) Campo de bits que indica si el log se ha reenviado a Panorama.

Ubicación de origen (srcloc) País de origen o región interna para direcciones privadas. La longitud máxima es de
32 bytes.

Ubicación de destino (dstloc) País de destino o región interna para direcciones privadas. La longitud máxima es de
32 bytes.

Tipo de contenido (contenttype) Únicamente es aplicable cuando el subtipo es URL.


Tipo de contenido de los datos de respuesta HTTP. La longitud máxima es de 32 bytes.

Informes y logs 203


Análisis de la descripción de campos en logs Informes y logs

Nombre de campo Descripción

Novedad en v6.0: ID de captura ID de captura de paquetes es un elemento integral no firmado de 64 bits que indica un
de paquetes (pcap_id) ID para correlacionar archivos de captura de paquetes de amenaza con capturas de
paquetes ampliadas tomadas como parte de dicho flujo. Todos los logs de amenaza
contendrán un pcap_id cuyo valor es 0 (ninguna captura de paquetes asociada) o un ID
que haga referencia al archivo de captura de paquetes ampliado.

Novedad en v6.0: Resumen de Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
archivo (filedigest) La cadena filedigest muestra el hash binario del archivo enviado para ser analizado por
el servicio WildFire.

Novedad en v6.0: Nube (cloud) Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
La cadena cloud muestra el FQDN del dispositivo WildFire (privado) o la nube de
WildFire (pública) desde donde se cargó el archivo para su análisis.

Logs de coincidencias HIP

Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE,


FUTURE_USE, Usuario de origen, Sistema virtual, Nombre de la máquina, SO*, Dirección de origen, HIP,
Número de repeticiones, Tipo HIP, FUTURE_USE, FUTURE_USE, Número de secuencia, Marcas de acción

Nombre de campo Descripción

Fecha de registro Hora a la que se recibió el log en el plano de gestión.


(receive_time)

Número de serie (serial) Número de serie del dispositivo que generó el log.

Tipo (type) Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias
HIP.

Subtipo (subtype) Subtipo del log de coincidencias HIP; no utilizado.

Usuario de origen (srcuser) Nombre del usuario que inició la sesión.

Sistema virtual (vsys) Sistema virtual asociado al log de coincidencias HIP.

Nombre de la máquina Nombre de la máquina del usuario.


(machinename)

Novedad en v6.0: SO Sistema operativo instalado en la máquina o el dispositivo del usuario (o en el sistema
cliente).

Dirección de origen (src) Dirección IP del usuario de origen.

HIP (matchname) Nombre del perfil u objeto HIP.

Número de repeticiones Número de veces que ha coincidido el perfil HIP.


(repeatcnt)

Tipo HIP (matchtype) Especifica si el campo HIP representa un objeto HIP o un perfil HIP.

204 Informes y logs


Informes y logs Análisis de la descripción de campos en logs

Nombre de campo Descripción

Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de
(seqno) log tiene un espacio de número exclusivo.

Marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama.


(actionflags)

Logs de configuración

Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE,


FUTURE_USE, Host, Sistema virtual, Comando, Administrador, Cliente, Resultado, Ruta de configuración,
Número de secuencia, Marcas de acción

Nombre de campo Descripción

Fecha de registro Hora a la que se recibió el log en el plano de gestión.


(receive_time)

Número de serie (serial) Número de serie del dispositivo que generó el log.

Tipo (type) Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias
HIP.

Subtipo (subtype) Subtipo del log de configuración; no utilizado.

Host (host) Nombre de host o dirección IP de la máquina cliente.

Sistema virtual (vsys) Sistema virtual asociado al log de configuración.

Comando (cmd) Comando ejecutado por el administrador; los valores son Añadir, Duplicar, Compilar,
Eliminar, Editar, Mover, Renombrar, Establecer y Validar.

Administrador (admin) Nombre de usuario del administrador que realiza la configuración.

Cliente (client) Cliente utilizado por el administrador; los valores son Web y CLI.

Resultado (result) Resultado de la acción de configuración; los valores son Enviada, Correctamente, Fallo
y No autorizado.

Ruta de configuración Ruta del comando de configuración emitido; puede tener una longitud de hasta
(path) 512 bytes.

Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de
(seqno) log tiene un espacio de número exclusivo.

Marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama.


(actionflags)

Informes y logs 205


Análisis de la descripción de campos en logs Informes y logs

Logs de sistema

Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE,


FUTURE_USE, Sistema virtual, ID de evento, Objeto, FUTURE_USE, FUTURE_USE, Módulo, Gravedad,
Descripción, Número de secuencia, Marcas de acción

Nombre de campo Descripción

Fecha de registro Hora a la que se recibió el log en el plano de gestión.


(receive_time)

Número de serie (serial) Número de serie del dispositivo que generó el log.

Tipo (type) Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y
Coincidencias HIP.

Subtipo (subtype) Subtipo del log de sistema; hace referencia al demonio de sistema que genera el log; los
valores son Criptográfico, DHCP, Proxy DNS, Denegación de servicio, General,
GlobalProtect, HA, Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, User-ID, Filtrado de URL y VPN.

Sistema virtual (vsys) Sistema virtual asociado al log de configuración.

ID de evento (eventid) Cadena que muestra el nombre del evento.

Objeto (object) Nombre del objeto asociado al evento del sistema.

Módulo (module) Este campo únicamente es válido cuando el valor del campo Subtipo es General.
Proporciona información adicional acerca del subsistema que genera el log; los valores
son General, Gestión, Autenticación, HA, Actualizar y Bastidor.

Gravedad (severity) Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y Crítico.

Descripción (opaque) Descripción detallada del evento, hasta un máximo de 512 bytes.

Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de
(seqno) log tiene un espacio de número exclusivo.

Marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama.


(actionflags)

Gravedad de Syslog

La gravedad de Syslog se establece basándose en el tipo de log y el contenido.

Tipo/gravedad de log Gravedad de Syslog

Tráfico Información

Configurar Información

Amenaza/Sistema: Informativo Información

206 Informes y logs


Informes y logs Análisis de la descripción de campos en logs

Tipo/gravedad de log Gravedad de Syslog

Amenaza/Sistema: Bajo Aviso

Amenaza/Sistema: Medio Advertencia

Amenaza/Sistema: Alto Error

Amenaza/Sistema: Crítico Crítico

Formato de logs/eventos personalizados

Para facilitar la integración con sistemas de análisis de logs externos, el cortafuegos le permite personalizar el
formato de logs; también le permite añadir pares de atributos personalizados Clave: Valor. El formato de los
mensajes personalizados puede configurarse bajo Dispositivo > Perfiles de servidor > Syslog > Perfil de servidor
Syslog > Formato de log personalizado.

Para lograr un formato de log que cumpla con el formato de eventos comunes (CEF) de ArcSight, consulte CEF
Configuration Guide (en inglés).

Secuencias de escape

Cualquier campo que contenga una coma o comillas dobles aparecerá entre comillas dobles. Además, si aparecen
comillas dobles dentro de un campo, se definirán como carácter de escape anteponiéndoles otras comillas
dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de amenaza siempre
aparecerá entre comillas dobles.

Informes y logs 207


Análisis de la descripción de campos en logs Informes y logs

208 Informes y logs


User-ID
La identificación de usuarios (User-ID) es una función de cortafuegos de próxima generación de Palo Alto
Networks que le permite crear políticas y realizar informes basándose en usuarios y grupos en lugar de
direcciones IP individuales. Las siguientes secciones describen la función User-ID de Palo Alto Networks y
ofrecen instrucciones sobre cómo configurar el acceso basado en usuarios y grupos:
 Descripción general de User-ID
 Asignación de usuarios a grupos
 Asignación de direcciones IP a usuarios
 Habilitación de política basada en usuarios y grupos
 Verificación de la configuración de User-ID

User-ID 209
Descripción general de User-ID User-ID

Descripción general de User-ID


User-ID integra sin problemas los cortafuegos de Palo Alto Networks con una gama de ofertas de servicios de
directorio y terminal empresariales, lo que le permite vincular políticas de seguridad y actividad de aplicaciones
a usuarios y grupos y no solo direcciones IP. Además, con User-ID habilitado, el centro de comando de
aplicación (ACC), Appscope, los informes y los logs incluyen nombres de usuarios además de direcciones IP de
usuarios.
El cortafuegos de próxima generación de Palo Alto Networks admite la supervisión de los siguientes servicios
empresariales:

 Microsoft Active Directory

 LDAP

 eDirectory Novell
 Citrix Metaframe Presentation Server o XenApp

 Microsoft Terminal Services


Para poder crear políticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos los usuarios
disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus
políticas. Obtiene esta información de asignación de grupos conectándose directamente a su servidor de
directorio LDAP. Consulte Acerca de la asignación de grupos para obtener más información.
Para poder aplicar las políticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones
IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para
obtener estas asignaciones de direcciones IP a nombres de usuarios. Por ejemplo, utiliza agentes para supervisar
logs de servidor en busca de eventos de inicio de sesión y/o sondear clientes, así como escuchar mensajes de
Syslog de servicios de autenticación. Para identificar asignaciones de direcciones IP que no se asignaron
mediante uno de los mecanismos de agente, puede configurar el cortafuegos para que redirija las solicitudes
HTTP a un inicio de sesión de portal cautivo. Puede personalizar los mecanismos que utiliza para la asignación
de usuarios para que se adapten a su entorno, e incluso puede utilizar diferentes mecanismos en sitios distintos.
Consulte Acerca de la asignación de usuarios para obtener más información.

Acerca de la asignación de grupos

Para definir las políticas de seguridad basándose en usuarios o grupos, el cortafuegos debe recuperar la lista de
grupos y la correspondiente lista de miembros de su servidor de directorio. Para habilitar esta función, debe
crear un perfil de servidor LDAP que indique al cortafuegos cómo conectarse al servidor y autenticarlo, así
como el modo de buscar en el directorio la información de usuarios y grupos. Tras conectarse al servidor LDAP
y configurar la función de asignación de grupos para la identificación de usuarios, podrá seleccionar usuarios o
grupos al definir sus políticas de seguridad. El cortafuegos admite una variedad de servidores de directorio
LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server.

210 User-ID
User-ID Descripción general de User-ID

A continuación podrá definir políticas basándose en los miembros de grupos en lugar de en usuarios
individuales para una administración simplificada. Por ejemplo, la siguiente política de seguridad permite el
acceso a aplicaciones internas específicas basándose en los miembros de grupos:

Acerca de la asignación de usuarios

Contar con los nombres de los usuarios y grupos es únicamente una pieza del puzzle. El cortafuegos también
necesita saber qué direcciones IP asignar a qué usuarios de modo que las políticas de seguridad puedan aplicarse
correctamente. La Ilustración: Asignación de usuario muestra los diferentes métodos que se utilizan para
identificar usuarios y grupos en su red y presenta el modo en que la asignación de usuarios y la asignación de
grupos trabajan en conjunto para habilitar la visibilidad y la aplicación de la seguridad basada en usuarios y
grupos.
Para obtener información detallada sobre cómo configurar los diferentes mecanismos para la asignación de
usuarios, consulte Asignación de direcciones IP a usuarios.

User-ID 211
Descripción general de User-ID User-ID

Ilustración: Asignación de usuario


Joe
‡‡‡‡‡‡‡‡

Portal GlobalProtect
Sondeo cautivo
de clientes Agente de
Controlador servicios Aerohive AP
de dominios de terminal
eDirectory Blue Coat
AUTENTICACIÓN DE USUARIOS
Juniper UAC

RECEPTOR DE SYSLOG

EVENTO DE AUTENTICACIÓN

Directorios Servicios Servicios de


de terminal autenticación

Dispositivos de Joe
11.11.11.11 API XML
12.12.12.12

Directorios
Funciones/grupos de Joe
Administradores de TI
Empleados de la sede
Active Directory
LDAP

INFORMAR Y APLICAR POLÍTICA

Los temas siguientes describen los diferentes métodos de asignación de usuarios:


 Supervisión de servidor
 Sondeo de cliente
 Asignación de puertos
 Syslog
 Portal cautivo
 GlobalProtect
 API XML de User-ID

Supervisión de servidor

Con la supervisión de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute en
un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el cortafuegos)
supervisa los logs de eventos de seguridad en busca de Microsoft Exchange Servers especificados, controladores
de dominio o servidores Novell eDirectory en busca de eventos de inicio de sesión. Por ejemplo, en un entorno
AD, puede configurar el agente de User-ID para que supervise los logs de seguridad en busca de renovaciones
o concesiones de tickets de Kerberos, acceso al servidor Exchange (si está configurado) y conexiones de servicio
de impresión y archivo. Recuerde que para que estos eventos se registren en el log de seguridad, el dominio AD

212 User-ID
User-ID Descripción general de User-ID

debe configurarse para registrar eventos de inicio de sesión de cuenta correctos. Además, dado que los usuarios
pueden iniciar sesión en cualquiera de los servidores del dominio, debe configurar la supervisión de servidor
para todos los servidores con el fin de capturar todos los eventos de inicio de sesión de usuarios.
Dado que la supervisión de servidor requiere muy pocos gastos y dado que la mayoría de los usuarios por lo
general puede asignarse con este método, se recomienda como el método de asignación de usuarios básico para
la mayoría de implementaciones de User-ID. Consulte Configuración de la asignación de usuarios mediante el
agente de User-ID de Windows o Configuración de la asignación de usuarios mediante el agente de User-ID
integrado en PAN-OS para obtener información detallada.

Sondeo de cliente

En un entorno de Microsoft Windows, puede configurar el agente de User-ID para sondear los sistemas cliente
mediante Windows Management Instrumentation (WMI). El agente de User-ID basado en Windows también
puede realizar un sondeo de NetBIOS (no compatible con el agente de User-ID integrado en PAN-OS). El
sondeo es de especial utilidad en entornos con una alta rotación de direcciones IP, debido a que los cambios se
reflejarán en el cortafuegos más rápido, permitiendo una aplicación más precisa de las políticas basadas en
usuarios. Sin embargo, si la correlación entre direcciones IP y usuarios es bastante estática, probablemente no
necesite habilitar el sondeo de cliente. Ya que el sondeo puede generar una gran cantidad de tráfico de red
(basándose en el número total de direcciones IP asignadas), el agente que vaya a iniciar los sondeos debería estar
situado lo más cerca posible de los clientes finales.
Si el sondeo está habilitado, el agente sondeará periódicamente cada dirección IP obtenida (cada 20 minutos de
manera predeterminada, pero esto puede configurarse) para verificar que el mismo usuario sigue conectado.
Además, cuando el cortafuegos se encuentre una dirección IP para la que no tenga una asignación de usuarios,
enviará la dirección al agente para un sondeo inmediato.
Consulte Configuración de la asignación de usuarios mediante el agente de User-ID de Windows o
Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS para obtener
información detallada.

Asignación de puertos

En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma dirección IP. En este caso, el proceso de asignación de usuario a dirección IP
requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignación, debe instalar
el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal Windows/Citrix para
que sirva de intermediario en la asignación de puertos de origen a los diversos procesos de usuario. Para los
servidores de terminal que no admiten el agente de servicios de terminal, como los servidores de terminal de
Linux, puede utilizar la API XML para enviar información de asignación de usuarios de eventos de inicio de
sesión y cierre de sesión a User-ID. Consulte Configuración de la asignación de usuarios para usuarios del
servidor de terminal para obtener información detallada sobre la configuración.

User-ID 213
Descripción general de User-ID User-ID

Syslog

En entornos con servicios de red existentes que autentiquen usuarios, tales como controladores inalámbricos,
dispositivos 802.1x, servidores Open Directory de Apple, servidores proxy u otros mecanismos de control de
acceso a la red (NAC), el agente de User-ID del cortafuegos (bien el agente de Windows, bien el agente
integrado en PAN-OS en el cortafuegos) puede escuchar mensajes de Syslog de autenticación de esos servicios.
Los filtros de Syslog, que se proporcionan mediante una actualización de contenido (solamente para agentes de
User-ID integrados) o se configuran manualmente, permiten que el agente de User-ID analice y extraiga
nombres de usuarios y direcciones IP de eventos de Syslog de autenticación generados por el servicio externo,
así como que añada la información a las asignaciones de direcciones IP a nombres de usuarios de User-ID
mantenidas por el cortafuegos. Consulte Configuración de User-ID para recibir asignaciones de usuarios desde
un emisor de Syslog para obtener información detallada sobre la configuración.

Ilustración: Integración de User-ID con Syslog

214 User-ID
User-ID Descripción general de User-ID

Portal cautivo

Si el cortafuegos o el agente de User-ID no puede asignar una dirección IP a un usuario (por ejemplo, si el
usuario no ha iniciado sesión o si está utilizando un sistema operativo como Linux que no es compatible con
sus servidores de dominio), podrá configurar un portal cautivo. Cuando esté configurado, cualquier tráfico web
(HTTP o HTTPS) que coincida con su política de portal cautivo requerirá la autenticación de usuario, ya sea de
manera transparente a través de un desafío NT LAN Manager (NTLM) para el explorador, o de manera activa
redirigiendo al usuario a un formulario de autenticación web para una autenticación con una base de datos de
autenticación RADIUS, LDAP, Kerberos o local o utilizando una autenticación de certificado de cliente.
Consulte Asignación de direcciones IP a nombres de usuario mediante un portal cautivo para obtener
información detallada.

GlobalProtect

En el caso de usuarios móviles o con itinerancia, el cliente GlobalProtect proporciona la información de


asignación de usuarios directamente al cortafuegos. En este caso, cada usuario de GlobalProtect tiene un agente
o una aplicación ejecutándose en el cliente que requiere que el usuario introduzca credenciales de inicio de sesión
para un acceso mediante VPN al cortafuegos. A continuación, esta información de inicio de sesión se añade a
la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicación de políticas
de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse para poder
acceder a la red, la asignación de direcciones IP a nombres de usuarios se conoce de manera explícita. Esta es
la mejor solución en entornos confidenciales en los que deba estar seguro de quién es un usuario para permitirle
el acceso a una aplicación o un servicio. Para obtener más información sobre cómo configurar GlobalProtect,
consulte la Guía del administrador de GlobalProtect.

API XML de User-ID

Para otros tipos de acceso de usuario que no se puedan asignar utilizando ninguno de los métodos de asignación
de usuarios estándar o el portal cautivo (por ejemplo, para añadir asignaciones de usuarios que se conecten desde
una solución de VPN externa o usuarios que se conecten a una red inalámbrica con 802.1x), puede utilizar la
API XML de User-ID para capturar eventos de inicio de sesión y enviarlos al agente de User-ID o directamente
al cortafuegos. Consulte Envío de asignaciones de usuarios a User-ID mediante la API XML para obtener
información detallada.

User-ID 215
Asignación de usuarios a grupos User-ID

Asignación de usuarios a grupos


Utilice el siguiente procedimiento para conectarse a su directorio LDAP y así permitir que el cortafuegos
recupere información de asignación de usuario a grupo:

Prácticas recomendadas para la asignación de grupos en un entorno de Active Directory:


• Si tiene un único dominio, solamente necesita un perfil de servidor LDAP que conecte el cortafuegos
con el controlador de dominio utilizando la mejor conectividad. Puede añadir controladores de dominio
adicionales para la tolerancia a errores.
• Si tiene varios dominios y/o varios bosques, deberá crear un perfil de servidor para conectarse a un
servidor de dominio en cada dominio/bosque. Tome las medidas oportunas para garantizar que los
nombres se usuarios son exclusivos en los distintos bosques.
• Si tiene grupos universales, cree un perfil de servidor para conectarse con el servidor de catálogo global.

Asignación de usuarios a grupos


Paso 1 Cree un perfil de servidor LDAP que especifique cómo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener información de asignación de grupos.
1. Seleccione Dispositivo > Perfiles de
servidor > LDAP.
2. Haga clic en Añadir y, a continuación,
introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al
que se aplica este perfil en el menú
desplegable Ubicación.
4. Haga clic en Añadir para añadir una nueva
entrada de servidor LDAP y, a continuación,
introduzca un nombre de Servidor para
identificar al servidor (de 1 a 31 caracteres) y
el número de Dirección IP y Puerto que
debería utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para
LDAP sobre SSL). Puede añadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que
añada a un perfil deberán ser del mismo tipo. Para la redundancia, debería añadir como mínimo dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aquí dependerá de su implementación:
• Si está utilizando Active Directory, deberá introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deberá crear perfiles de servidor separados.
• Si está utilizando un servidor de catálogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se esté conectando. Los atributos de LDAP correctos de la
configuración de asignación de grupos se cumplimentarán automáticamente según su selección. Sin embargo, si ha
personalizado su esquema, puede que tenga que modificar los ajustes predeterminados.
7. En el campo Base, seleccione el DN que se corresponda con el punto del árbol de LDAP donde desee que el
cortafuegos comience su búsqueda de información de usuarios y grupos.
8. Introduzca las credenciales de autenticación para el enlace con el árbol de LDAP en los campos Enlazar DN,
Enlazar contraseña y Confirmar contraseña de enlace. El valor de Enlazar DN puede tener el formato Nombre
principal del usuario (UPN)
(por ejemplo, administrator@acme.local ) o puede ser un nombre de LDAP completo
(por ejemplo, cn=administrator,cn=users,dc=acme,dc=local ).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a través de una conexión segura, seleccione la
casilla de verificación SSL. Si habilita SSL, asegúrese de que también ha especificado el número de puerto adecuado.
10. Haga clic en Aceptar para guardar el perfil.

216 User-ID
User-ID Asignación de usuarios a grupos

Asignación de usuarios a grupos (Continuación)


Paso 2 Añada el perfil de servidor LDAP a la configuración de asignación de grupos de User-ID.
1. Seleccione Dispositivo > Identificación de
usuarios > Configuración de asignación de
grupo y haga clic en Añadir.
2. Seleccione el Perfil de servidor que creó en el
Paso 1.
3. Asegúrese de que la casilla de verificación
Habilitado está seleccionada.
4. (Opcional) Si desea limitar los grupos que se
muestran en la política de seguridad,
seleccione la pestaña Lista de inclusión de
grupos y, a continuación, examine el árbol de
LDAP para localizar los grupos que desea
poder utilizar en la política. En el caso de cada
grupo que desee incluir, selecciónelo en la lista
Grupos disponibles y haga clic en el icono de
adición para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar
en sus políticas.
5. Haga clic en ACEPTAR para guardar la configuración.
Paso 3 Guarde la configuración. Haga clic en Confirmar.

User-ID 217
Asignación de direcciones IP a usuarios User-ID

Asignación de direcciones IP a usuarios


Las tareas que necesita realizar para asignar direcciones IP a nombres de usuarios dependen del tipo y la
ubicación de los sistemas cliente de su red. Realice todas las tareas siguientes que sean necesarias para habilitar
la asignación de sus sistemas cliente:
 Para asignar usuarios a medida que inicien sesión en sus servidores Exchange, controladores de dominio o
servidores eDirectory o clientes de Windows que puedan sondearse directamente, debe configurar un
agente de User-ID para supervisar los logs de servidor y/o sondear sistemas cliente. Puede instalar el
agente de User-ID de Windows independiente en uno o más servidores miembros en el dominio que
contenga los servidores y clientes que vayan a supervisarse (consulte Configuración de la asignación de
usuarios mediante el agente de User-ID de Windows) o puede configurar el agente de User-ID del
cortafuegos que esté integrado con PAN-OS (Configuración de la asignación de usuarios mediante el
agente de User-ID integrado en PAN-OS). Para obtener orientación sobre qué configuración de agente es
adecuada para su red y el número y las ubicaciones de agentes que son obligatorios, consulte Architecting
User Identification Deployments (en inglés).
 Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server, Citrix Metaframe
Presentation Server o XenApp, consulte Configuración del agente de servidor de terminal de Palo Alto
Networks para la asignación de usuarios para obtener instrucciones sobre cómo instalar y configurar el
agente en un servidor de Windows. Si tiene un sistema multiusuario que no se esté ejecutando en
Windows, puede utilizar la API XML de User-ID para enviar las asignaciones de direcciones IP a nombres
de usuarios directamente al cortafuegos. Consulte Recuperación de asignaciones de usuarios de un
servidor de terminal mediante la API XML de User-ID.
 Para obtener asignaciones de usuarios a partir de servicios de red existentes que autentiquen usuarios, tales
como controladores inalámbricos, dispositivos 802.1x, servidores Open Directory de Apple, servidores
proxy u otros mecanismos de control de acceso a la red (NAC), configure el agente de User-ID (bien el
agente de Windows, bien la función de asignación de usuarios sin agente en el cortafuegos) para que
escuche mensajes de Syslog de autenticación de esos servicios. Consulte Configuración de User-ID para
recibir asignaciones de usuarios desde un emisor de Syslog.
 Si tiene usuarios con sistemas cliente que no hayan iniciado sesión en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesión en el dominio), consulte Asignación de
direcciones IP a nombres de usuario mediante un portal cautivo.
 En el caso de otros clientes que no pueda asignar utilizando los métodos anteriores, puede utilizar la API
XML de User-ID para añadir asignaciones de usuarios directamente al cortafuegos. Consulte Envío de
asignaciones de usuarios a User-ID mediante la API XML.
 Como la política es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las
asignaciones de direcciones IP a nombres de usuarios para aplicar de forma precisa la política de seguridad
según el grupo o usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las
asignaciones de usuarios y las distribuya a los otros cortafuegos. Para obtener más información, consulte
Configuración de un cortafuegos para compartir datos de asignación de usuarios con otros cortafuegos.

218 User-ID
User-ID Asignación de direcciones IP a usuarios

Configuración de la asignación de usuarios mediante el agente de User-ID


de Windows

En la mayoría de los casos, la gran parte de los usuarios de su red tendrán inicios de sesión en sus servicios de
dominio supervisados. Para estos usuarios, el agente de User-ID de Palo Alto Networks supervisa los servidores
en busca de eventos de inicio de sesión y cierre de sesión y realiza la asignación de direcciones IP a usuarios. El
modo en que configure el agente de User-ID dependerá del tamaño de su entorno y la ubicación de sus
servidores de dominio. La práctica recomendada es que ubique sus agentes de User-ID cerca de sus servidores
supervisados (es decir, los servidores supervisados y el agente de User-ID de Windows no deberían estar
separados por un enlace WAN). Esto se debe a que la mayor parte del tráfico para la asignación de usuarios se
produce entre el agente y el servidor supervisado, y únicamente una pequeña cantidad del tráfico (la diferencia
de asignaciones de direcciones IP desde la última actualización) se produce desde el agente al cortafuegos.
Los siguientes temas describen cómo instalar y configurar el agente de User-ID y cómo configurar el
cortafuegos para que recupere información de asignación de usuarios del agente:
 Instalación del agente de User-ID
 Configuración del agente de User-ID para la asignación de usuarios

Instalación del agente de User-ID

El siguiente procedimiento muestra cómo instalar el agente de User-ID en un servidor miembro en el dominio
y configurar la cuenta de servicio con los permisos obligatorios. Si está actualizando, el instalador eliminará
automáticamente la versión anterior; no obstante, es conveniente hacer una copia de seguridad del archivo
config.xml antes de ejecutar el instalador.

Para obtener información sobre los requisitos del sistema para instalar el agente de User-ID
basado en Windows y para obtener información sobre las versiones admitidas del sistema
operativo del servidor, consulte “Operating System (OS) Compatibility User-ID Agent” (en inglés)
en las notas de versión de agente de User-ID, que están disponibles en la página Actualizaciones
de software de Palo Alto Networks.

User-ID 219
Asignación de direcciones IP a usuarios User-ID

Instalación del agente de User-ID de Windows

Paso 1 Decida dónde instalar los agentes de • Debe instalar el agente de User-ID en un sistema que ejecute una
User-ID. de las siguientes versiones del sistema operativo (se admiten las
versiones de 32 bits y de 64 bits):
El agente de User-ID consulta los logs del
controlador de dominio y el servidor • Microsoft Windows XP/Vista/7
Exchange mediante llamadas a • Microsoft Windows Server 2003/2008
procedimiento remoto de Microsoft
(MSRPC), que requieren una • Asegúrese de que el sistema en el que tiene la intención de instalar
transferencia completa de todo el log en el agente de User-ID sea miembro del dominio al que pertenecen
cada consulta. Por lo tanto, siempre los servidores que supervisará.
debería instalar uno o más agentes de • La práctica recomendada es instalar el agente de User-ID cerca de
User-ID en cada ubicación que tenga los servidores que supervisará (hay más tráfico entre el agente de
servidores que tengan que supervisarse. User-ID y los servidores supervisados que entre el agente de
Nota Para obtener información más detallada User-ID y el cortafuegos, de modo que ubicar el agente cerca de
sobre dónde instalar agentes de User-ID, los servidores supervisados optimiza el uso del ancho de banda).
consulte Architecting User Identification • Para garantizar la asignación de usuarios más completa, debe
(User-ID) Deployments (en inglés). supervisar todos los servidores que contengan información de
inicio de sesión de usuarios. Puede que necesite instalar varios
agentes de User-ID para supervisar eficazmente todos sus
recursos.

Paso 2 Descargue el instalador de agente de 1. Vaya a https://support.paloaltonetworks.com y haga clic en


User-ID. Inicio de sesión para iniciar sesión en la asistencia técnica de
Palo Alto Networks.
La práctica recomendada es instalar la
misma versión del agente de User-ID que 2. Seleccione Actualizaciones de software en la sección
la versión de PAN-OS que se esté Gestionar dispositivos.
ejecutando en los cortafuegos. 3. Desplácese hasta la sección Agente de identificación de usuarios
de la pantalla y haga clic en Descargar para descargar la versión
del agente de User-ID que quiera instalar.
4. Guarde el archivo UaInstall-x.x.x-xx.msi en los sistemas
donde tenga la intención de instalar el agente.

Paso 3 Ejecute el instalador como administrador. 1. Para iniciar una línea de comandos como administrador, haga
clic en Iniciar, haga clic con el botón derecho en Línea de