PAN-OS_AdminGuide_61-Spanish.pdf - [PDF Document]

Sign in Register

Hide

PAN-OS_AdminGuide_61-Spanish.pdf

Category: Documents

DownloadReport copyright

Share:

Copy

Description

Palo Alto Networks Gua del administrador de PAN-OS Versin 6.1 Informacin de contacto Sede de la empresa: Palo Alto Networks 4401 Great America Parkway Santa Clara,

Related documentsView more

Transcripts

Palo Alto Networks

Gua del administrador de PAN-OSVersin 6.1

Informacin de contactoSede de la empresa:

Palo Alto Networks

4401 Great America Parkway

Santa Clara, CA 95054

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta gua

En esta gua se explican los procesos de configuracin y mantenimiento de su cortafuegos de prxima generacin de Palo Alto Networks. Para obtener ms informacin, consulte los siguientes recursos:

Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el cortafuegos, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.www.paloaltonetworks.com 2014 Palo Alto Networks. Todos los derechos reservados. Palo Alto Networks y PAN-OS son marcas comerciales registradas de Palo Alto Networks, Inc.

Fecha de revisin: marzo 13, 2015ii

Contenido

Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1Integracin del cortafuegos en su red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Determinacin de la estrategia de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Realizacin de la configuracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Establecimiento de acceso a la red para servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Registro del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Activacin de la licencia y suscripciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Gestin de la actualizacin de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Instalacin de actualizaciones de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Creacin del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Implementaciones de interfaz bsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Acerca de la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Planificacin de la implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Configuracin de polticas de seguridad bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Habilitacin de funciones de prevencin de amenazas bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Habilitacin de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Exploracin del trfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Prcticas recomendadas para completar la implementacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 44

Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Uso de la interfaz de lnea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Gestin de los administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks. . . . . . . . . . . . . . . . . 107Puertos usados para funciones de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Puertos usados para HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Puertos usados para Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Puertos usados para User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

Restablecimiento del cortafuegos a los ajustes predeterminados de fbrica . . . . . . . . . . . . . . . . . . . . . . . . 112

Gestin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113Claves y certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Gua del administrador de PAN-OS i

Revocacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Lista de revocacin de certificados (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Protocolo de estado de certificado en lnea (OCSP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Implementacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Configuracin de la verificacin del estado de revocacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . 119

Configuracin de un OCSP Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Configuracin de la verificacin del estado de revocacin de certificados utilizados para la autenticacin de usuarios/dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Configuracin de la verificacin de estado de certificados usados para la descifrado de SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Configuracin de la clave maestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Obtencin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

Creacin de un certificado de CA raz autofirmado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Generacin de un certificado en un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Importacin de un certificado y una clave privada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Obtencin de un certificado desde una CA externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Configuracin de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Configuracin del tamao de clave para los certificados de servidor proxy SSL de reenvo . . . . . . . . . . . 133Revocacin y renovacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Revocacin de un certificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Renovacin de un certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Claves seguras con un mdulo de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Configuracin de la conectividad con un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136Cifrado de una clave maestra con HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142Almacenamiento de claves privadas en un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Gestin de la implementacin del HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Descripcin general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148Conceptos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

Modos de HA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Activadores de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Directrices de configuracin para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160Definicin de las condiciones de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Verificacin de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

Recursos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170ii Gua del administrador de PAN-OS

Uso del centro de comando de aplicacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Nivel de riesgo de ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172Grficos de ACC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Pginas de detalles de ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Uso de ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185Supervisin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

Supervisin de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188Supervisin de datos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189Supervisin del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193Visualizacin de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

Reenvo de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195Definicin de destinos de logs remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Habilitacin del reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Perfiles de reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

Supervisin del Firewall mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Supervisin del cortafuegos mediante NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209Plantillas de NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Identificacin de interfaces de cortafuegos en sistemas de supervisin externos . . . . . . . . . . . . . . . . . . . . 213Gestin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

Acerca de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216Visualizacin de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217Deshabilitacin de informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Generacin de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Generacin de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225Gestin de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Generacin de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Gestin de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Programacin de informes para entrega de correos electrnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

Descripcin de los campos de Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

User-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245Descripcin general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Conceptos de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

Asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Asignacin de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

Habilitacin de User-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253Asignacin de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254Asignacin de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Gua del administrador de PAN-OS iii

Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows . . . . . . . . . 257

Configuracin de la asignacin de usuarios mediante el agente de User-ID integrado en PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266Configuracin de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog . . . . . . 269Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo . . . . . . . . . . . . . . . . 279Configuracin de la asignacin de usuarios para usuarios del servidor de terminal . . . . . . . . . . . . . . 285Envo de asignaciones de usuarios a User-ID mediante la API XML. . . . . . . . . . . . . . . . . . . . . . . . . 294

Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295Habilitacin de poltica basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Verificacin de la configuracin de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300

App-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303Descripcin general de App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304Gestin de aplicaciones personalizadas o desconocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305Prcticas recomendadas para utilizar App-ID en polticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307Aplicaciones con compatibilidad implcita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308Puertas de enlace de nivel de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 312

Prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313Configuracin de polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314

Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades. . . . . . . . . . . . . . . . . . 315Configuracin de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317Configuracin de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

Prevencin de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323Firmas y desencadenadores de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324Personalizacin de la accin y las condiciones de activacin para una firma de fuerza bruta . . . . . . 327

Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 . . . . . . . . . . . . . . . . . . . . 330Habilitacin de la recopilacin de DNS pasivo para mejorar la inteligencia contra amenazas . . . . . . . . . 333Uso de consultas de DNS para identificar hosts infectados en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334

Sinkholing de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335Configuracin de sinkholing de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336Identificacin de hosts infectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340

Infraestructura de Content Delivery Network para actualizaciones dinmicas . . . . . . . . . . . . . . . . . . . . . 342Recursos de prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

Descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345Descripcin general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346Conceptos de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

Polticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348Proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Inspeccin de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353iv Gua del administrador de PAN-OS

Excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354

Reflejo del puerto de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

Configuracin del proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356Configuracin de la inspeccin de entrada SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361Configuracin del Proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363Configuracin de excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364

Exclusin del trfico del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364Exclusin de un servidor del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Permisos para que los usuarios excluyan el descifrado SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366Configuracin del reflejo del puerto de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368Desactivacin temporal del descifrado SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371

Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .373Descripcin general del filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374

Proveedores de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374Interaccin entre App-ID y categoras de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

Conceptos del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376Categoras de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377Perfil de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378Acciones del perfil de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379Listas de bloqueadas y permitidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380Forzaje de bsquedas seguras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381Pginas contenedoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383Logs de encabezado HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Pginas de respuesta de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385Categora de URL como criterio de coincidencia de poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

Flujo de trabajo de categorizacin de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389Componentes de categorizacin de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389Flujo de trabajo de categorizacin de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

Habilitacin de un proveedor de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392Habilitacin de PAN-DB URL Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393Habilitacin del filtrado de URL de BrightCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395

Determinacin de los requisitos de la poltica de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397Supervisin de la actividad web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

Interpretacin de los logs de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400Uso del ACC para supervisar la actividad web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401Visualizacin de informes de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402Visualizacin del informe de actividad del usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403Configuracin de informes de filtrado de URL personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405

Configuracin de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406Personalizacin de las pginas de respuesta de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409Configuracin de la cancelacin de administrador de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411Habilitacin del forzaje de bsquedas seguras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414

Bloqueo de resultados de bsqueda sin la configuracin de bsqueda segura estricta . . . . . . . . . . . . 414Habilitacin del forzaje de bsquedas seguras transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418Gua del administrador de PAN-OS v

Ejemplos de casos de uso del filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422

Caso de uso: control de acceso web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423Caso de uso: uso de categoras de URL en la poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427

Solucin de problemas del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429Problemas en la activacin de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429Problemas de conectividad con la nube de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430URL clasificadas como no resueltas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431Categorizacin incorrecta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432Base de datos de URL vencida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435Descripcin general de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436Conceptos de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438

QoS para aplicaciones y usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438Perfil de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439Clases de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440Poltica de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441Interfaz de salida de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442Trfico de texto claro y de tnel de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

Configuracin de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444Configuracin de QoS para un sistema virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449Ejemplos de casos de uso de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

Caso de uso: QoS para un nico usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457QoS para aplicaciones de voz y vdeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460

VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464Descripcin general de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466Interfaz de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466Supervisin de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467Intercambio de claves por red (IKE) para VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467

Configuracin de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471Configuracin de una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471Definicin de perfiles criptogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473Configuracin de un tnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476Configuracin de la supervisin de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479Prueba de conectividad VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481Interpretacin de mensajes de error de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482

Configuraciones rpidas de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483VPN de sitio a sitio con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483VPN de sitio a sitio con OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488VPN de sitio a sitio con rutas estticas y enrutamiento dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494

VPN a gran escala (LSVPN). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501vi Gua del administrador de PAN-OS

Descripcin general de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502

Creacin de interfaces y zonas para la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503Habilitacin de SSL entre componentes de LSVPN de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505

Acerca de la implementacin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505Implementacin de certificados de servidor en los componentes de LSVPN de GlobalProtect . . . . 505

Configuracin del portal para autenticar satlites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509Configuracin de puertas de enlace de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511

Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511Configuracin de la puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511

Configuracin del portal de GlobalProtect para LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516Configuracin del portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517Definicin de las configuraciones de satlites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518

Preparacin del dispositivo satlite para unirse a la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522Verificacin de la configuracin de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525Configuraciones rpidas de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526Configuracin bsica de LSVPN con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527Configuracin avanzada de LSVPN con enrutamiento dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530

Redes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .535Implementaciones de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536

Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540

Enrutadores virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541Rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547

Conceptos de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547Configuracin de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550Configuracin de OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555Configuracin del reinicio correcto de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558Confirmacin del funcionamiento de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559

BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563Configuracin de sesin y tiempos de espera de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568

Sesiones de capa de transporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569UDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572Configuracin de los tiempos de espera de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572Definicin de la configuracin de sesin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575

DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577Descripcin general de DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577Mensajes DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578Gua del administrador de PAN-OS vii

Direccin DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579

Opciones de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580Restricciones a la implementacin en Palo Alto Networks del DHCP. . . . . . . . . . . . . . . . . . . . . . . . 581Configure una interfaz como servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582Configure una interfaz como cliente DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585Configure una interfaz como agente de rel DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587Supervisin y resolucin de problemas de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587

NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589Objetivo del NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589Reglas NAT y polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589NAT de origen y destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590Capacidades de regla NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591Sobresuscripcin de NAT de IP dinmica y puerto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592Estadsticas de memoria NAT de plano de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593Configuracin de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594

LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602Ajustes LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602Configuracin de LACP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605

Poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609Tipos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611

Componentes de una regla de poltica de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612Prcticas recomendadas de polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615

Objetos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617

Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622Perfiles de bloqueo de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623Perfil de proteccin contra ataques por denegacin de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624Perfiles de proteccin de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625Grupo de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626

Enumeracin de reglas dentro de una base de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630Use etiquetas para distinguir objetos visualmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632Trucos y consejos para buscar objetos en poltica de seguridad.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 634

Bsqueda de reglas de polticas de seguridad para perfiles de seguridad. . . . . . . . . . . . . . . . . . . . . . . 634Bsqueda de reglas desactivadas en la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638Bsqueda de los detalles de reenvo de logs en la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . 638Bsqueda de Detalles de log en poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639Bsqueda de reglas programadas en la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640

Uso de una lista de bloques dinmicos en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641Visualizacin del lmite de direcciones IP para su modelo de cortafuegos . . . . . . . . . . . . . . . . . . . . . 641Directrices de formato para listas de bloque dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642Forzaje de polticas con una Lista de bloque dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642Consulta de la lista de direcciones IP en la lista de bloque dinmico . . . . . . . . . . . . . . . . . . . . . . . . . 644viii Gua del administrador de PAN-OS

Recuperacin de una lista de bloque dinmico del servidor web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644

Registro de direcciones IP y etiquetas dinmicamente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645Supervisin de cambios en el entorno virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646

Habilitacin de supervisin de VM para el registro de cambios en la red virtual . . . . . . . . . . . . . . . . 647Atributos supervisados en los entornos AWS y VMware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650Uso de grupos de direcciones dinmicas en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651

Comandos de la CLI para etiquetas y direcciones IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654Registro de direcciones IP de clientes para solicitudes HTTP/HTTPS con proxy . . . . . . . . . . . . . . . . . . 656

Log de valores de X-Forwarded-For del log de trfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656Log de valores de X-Forwarded-For del log de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657

Reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658PBF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659Creacin de una regla de reenvo basada en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662Caso de uso: PBF para acceso saliente con ISP duales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664

Sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .673Descripcin de los sistemas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674

Componentes y segmentacin de los sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674Beneficios de los sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675Uso de casos para sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675Compatibilidad con plataformas y licencias de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676Restricciones de los sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676Funciones de administrador para sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676Objetos compartidos para sistemas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676

Comunicacin entre sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677Trfico entre VSYS que debe abandonar el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678Trfico entre VSYS que permanece en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678La comunicacin entre VSYS usa dos sesiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681

Puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682Zonas externas y puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682Consideraciones de red para una puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683

Configuracin de sistemas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684Configuracin de la comunicacin entre sistemas virtuales dentro del cortafuegos . . . . . . . . . . . . . . . . . . 687Configuracin de una puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688Funcionalidad de sistema virtual con otras funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689Gua del administrador de PAN-OS ix

x Gua del administrador de PAN-OS

Primeros pasos

Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos de prxima generacin de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red y configurar polticas de seguridad bsicas y funciones de prevencin de amenazas.

Despus de realizar los pasos de configuracin bsicos necesarios para integrar el cortafuegos en su red, puede utilizar el resto de los temas de esta gua como ayuda para implementar las completas funciones de la plataforma de seguridad empresarial segn sea necesario para cubrir sus necesidades de seguridad de red. Integracin del cortafuegos en su red de gestin Creacin del permetro de seguridad Habilitacin de funciones de prevencin de amenazas bsicas Prcticas recomendadas para completar la implementacin del cortafuegosPrimeros pasos 1

Integracin del cortafuegos en su red de gestin Primeros pasosIntegracin del cortafuegos en su red de gestinTodos los cortafuegos de Palo Alto Networks incluyen un puerto de gestin externo (MGT) que puede usar para llevar a cabo las funciones de administracin del cortafuegos. Al usar el puerto de gestin, est separando las funciones de gestin del cortafuegos de las funciones de procesamiento de datos, de modo que protege el acceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas las tareas de configuracin inicial desde el puerto de gestin, incluso aunque pretenda usar un puerto interno para gestionar su dispositivo ms adelante.

Algunas tareas de gestin, como la recuperacin de licencias, la actualizacin de amenazas y las firmas de las aplicaciones en el cortafuegos requieren acceso a Internet. Si no desea activar el acceso externo a su puerto de gestin, deber establecer un puerto de datos para permitir el acceso a los servicios externos requeridos o plantearse cargar manualmente actualizaciones de forma regular.

Los siguientes temas describen cmo realizar los pasos de la configuracin inicial necesarios para integrar un nuevo cortafuegos en la red de gestin e implementarlo con una configuracin de seguridad bsica. Determinacin de la estrategia de gestin Realizacin de la configuracin inicial Establecimiento de acceso a la red para servicios externos Registro del cortafuegos Activacin de la licencia y suscripciones Gestin de la actualizacin de contenidos Instalacin de actualizaciones de software

Los siguientes temas describen cmo integrar un nico cortafuegos de prxima generacin de Palo Alto Networks en su red. Sin embargo, para obtener redundancia, debera implementar dos cortafuegos en una configuracin de Alta disponibilidad. 2 Primeros pasos

Primeros pasos Integracin del cortafuegos en su red de gestin Determinacin de la estrategia de gestin

El cortafuegos Palo Alto Networks se puede configurar y administrar localmente o de forma central usando Panorama, el sistema de administracin de seguridad centralizado de Palo Alto Networks. Si tiene seis o ms cortafuegos implementados en su red, use Panorama para obtener estas ventajas:

Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargas de contenido dinmico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionar eficazmente la configuracin especfica de los dispositivos en un dispositivo e introducir las polticas compartidas en todos los dispositivos o grupos de dispositivos.

Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el trfico de su red. El Centro de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificar informes de todos los cortafuegos que le permiten realizar anlisis, investigaciones e informes de forma central sobre el trfico de red, los incidentes de seguridad y las modificaciones administrativas.

Los procedimientos de este documento describen cmo gestionar el cortafuegos usando la interfaz web local. Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccin Realizacin de la configuracin inicial de esta gua, verifique que el cortafuegos puede establecer una conexin con Panorama. A partir de aqu, puede usar Panorama para configurar su cortafuegos de forma centralizada.Primeros pasos 3

Integracin del cortafuegos en su red de gestin Primeros pasosRealizacin de la configuracin inicial

De forma predeterminada, la direccin IP del cortafuegos es 192.168.1.1 y el nombre de usuario/contrasea es admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de configuracin del cortafuegos. Debe realizar estas tareas de configuracin inicial desde la interfaz de gestin (MGT), aunque no pretenda usar esta interfaz para la gestin de su cortafuegos, o usar una conexin de serie directa al puerto de la consola del dispositivo.

Configuracin del acceso de red al cortafuegos

Paso 1 Obtenga la informacin necesaria de su administrador de red.

Direccin IP para el puerto MGT Mscara de red

Puerta de enlace predeterminada Direccin de servidor DNS

Paso 2 Conecte su ordenador al cortafuegos. Puede conectarse al cortafuegos de uno de estos modos: Conecte un cable serie desde su ordenador al puerto de la consola

y conecte con el cortafuegos usando el software de emulacin de terminal (9600-8-N-1). Espere unos minutos hasta que se complete la secuencia de arranque; cuando el dispositivo est listo, el mensaje cambiar al nombre del cortafuegos, por ejemplo PA-500 login.

Conecte un cable Ethernet RJ-45 desde su ordenador hasta el puerto de gestin del cortafuegos. Use un navegador para ir a https://192.168.1.1. Tenga en cuenta que tal vez deba cambiar la direccin IP de su ordenador a una direccin de la red 192.168.1.0, como 192.168.1.2, para acceder a esta URL.

Paso 3 Cuando se le indique, inicie sesin en el cortafuegos.

Debe iniciar sesin usando el nombre de usuario y contrasea predeterminados (admin/admin). El cortafuegos comenzar a inicializarse.

Paso 4 Configure la interfaz de gestin. 1. Seleccione Dispositivo > Configuracin > Gestin y, a continuacin, edite la Configuracin de interfaz de gestin.

2. Introduzca la direccin IP, mscara de red y puerta de enlace predeterminada.

3. Fije la velocidad en negociacin automtica.4. Seleccione los servicios de gestin que permitir en la interfaz.

Asegrese de que ni Telnet ni HTTP estn seleccionados, ya que estos servicios usan texto sin formato y no son tan seguros como los otros servicios.

5. Haga clic en ACEPTAR.4 Primeros pasos

Primeros pasos Integracin del cortafuegos en su red de gestin Paso 5 (Opcional) Configure los ajustes generales del cortafuegos.

1. Seleccione Dispositivo > Configuracin > Gestin y edite la Configuracin general.

2. Introduzca un nombre de host para el cortafuegos y el nombre de dominio de su red. El nombre de dominio tan solo es una etiqueta, no se usar para unirse al dominio.

3. Introduzca la Latitud y Longitud para permitir la colocacin precisa del cortafuegos en el mapamundi.

4. Haga clic en ACEPTAR.

Paso 6 Configure los ajustes de DNS, hora y fecha.

Debe configurar manualmente al menos un servidor DNS en el cortafuegos o no podr resolver los nombres de host; no usar configuraciones del servidor DNS de otra fuente, como un ISP.

1. Seleccione Dispositivo > Configuracin > Servicios y edite los Servicios.

2. En la pestaa Servicios, introduzca la direccin IP del servidor DNS principal y, de manera opcional, del servidor DNS secundario.

3. Para usar el clster virtual de los servidores horarios en Internet, introduzca el nombre de host pool.ntp.org como el servidor NTP principal o aada la direccin IP de su servidor NTP principal y, de manera opcional, un servidor NTP secundario.

4. Para autenticar las actualizaciones horarias desde un servidor NTP, seleccione la pestaa NTP, introduzca la direccin del servidor NTP y seleccione Tipo de autenticacin que usar el cortafuegos.

5. Haga clic en Aceptar para guardar la configuracin.

Paso 7 Establezca una contrasea segura para la cuenta de administrador.

1. Seleccione Dispositivo > Administradores.2. Seleccione la funcin admin.3. Introduzca la contrasea predeterminada actual y la nueva

contrasea.4. Haga clic en Aceptar para guardar la configuracin.

Paso 8 Compile los cambios.

Al guardar los cambios de configuracin, perder la conexin con la interfaz web, ya que la direccin IP habr cambiado.

Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios.

Paso 9 Conecte el cortafuegos a su red. 1. Desconecte el cortafuegos de su ordenador.2. Conecte el puerto de gestin a un puerto de conmutador en su

red de gestin usando un cable Ethernet RJ-45. Asegrese de que el puerto de conmutacin que conecta al cortafuegos mediante un cable est configurado para negociacin automtica.

Paso 10 Abra una sesin de gestin SSH en el cortafuegos.

Usando un software de emulacin de terminal, como PuTTY, inicie una sesin SSH en el cortafuegos usando la nueva direccin IP que le ha asignado.

Configuracin del acceso de red al cortafuegos (Continuacin)Primeros pasos 5

Integracin del cortafuegos en su red de gestin Primeros pasosPaso 11 Verifique el acceso a la red para los servicios externos requeridos para la gestin del cortafuegos, como el servidor de actualizaciones de Palo Alto Networks, de uno de estos modos: Si no desea permitir que una red

externa acceda a la interfaz de gestin, tendr que configurar un puerto de datos para recuperar las actualizaciones de servicio requeridas. Vaya a Establecimiento de acceso a la red para servicios externos.

Si planea permitir el acceso de la red externa a la interfaz MGT, compruebe que tiene conectividad y proceda a Registro del cortafuegos y Activacin de la licencia y suscripciones

Si ha conectado el puerto de gestin con un cable para tener acceso desde una red externa, compruebe que tiene acceso al cortafuegos y desde el mismo usando la utilidad ping de la CLI. Asegrese de que tiene conexin a la puerta de enlace predeterminada, servidor DNS y el servidor de actualizacin de Palo Alto Networks como se muestra en el siguiente ejemplo:admin@PA-200> ping host updates.paloaltonetworks.comHaciendo ping a updates.paloaltonetworks.com (67.192.236.252) con 56(84) bytes de datos.64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=40.5 ms64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=53.6 ms64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=79.5 ms

Cuando haya comprobado la conectividad, pulse Ctrl+C para detener los pings.

Configuracin del acceso de red al cortafuegos (Continuacin)6 Primeros pasos

Primeros pasos Integracin del cortafuegos en su red de gestin Establecimiento de acceso a la red para servicios externos

De manera predeterminada, el cortafuegos usa la interfaz de gestin para acceder a servicios remotos, como servidores DNS, actualizaciones de contenido y recuperacin de licencias. Si no quiere activar el acceso de una red externa a su red de gestin, debe establecer un puerto de datos para ofrecer acceso a aquellos servicios externos requeridos.

Para esta tarea debe estar familiarizado con zonas, polticas e interfaces de cortafuegos. Si desea ms informacin sobre estos temas, consulte Creacin del permetro de seguridad.

Establecimiento de un puerto de datos para acceder a servicios externos

Paso 1 Decida el puerto que desea usar para acceder a servicios externos y conctelo al puerto del conmutador o al puerto del enrutador.

La interfaz que use necesitar una direccin IP esttica.

Paso 2 Inicie sesin en la interfaz web. Si usa una conexin segura (https) desde su navegador web, inicie sesin usando la nueva direccin IP y contrasea que asign durante la configuracin inicial (https://). Ver un advertencia de certificacin; es normal. Vaya a la pgina web.

Paso 3 (Opcional) El cortafuegos viene preconfigurado con una interfaz de cable virtual predeterminada entre los puertos Ethernet 1/1 y Ethernet 1/2 (y sus correspondientes zonas y polticas de seguridad predeterminadas). Si no pretende usar esta configuracin de cable virtual, debe eliminar manualmente la configuracin para evitar que interfiera con otras configuraciones de interfaz que defina.

Debe eliminar la configuracin en el siguiente orden:1. Para eliminar la poltica de seguridad predeterminada, seleccione

Polticas > Seguridad, seleccione la regla y haga clic en Eliminar.

2. A continuacin, elimine el cable virtual predeterminado seleccionando Red > Cables virtuales, seleccionando el cable virtual y haciendo clic en Eliminar.

3. Para eliminar las zonas fiables y no fiables predeterminadas, seleccione Red > Zonas, seleccione cada zona y haga clic en Eliminar.

4. Por ltimo, elimine las configuraciones de interfaz seleccionando Red > Interfaces y, a continuacin, seleccione cada interfaz (ethernet1/1 y ethernet1/2) y haga clic en Eliminar.

5. Confirme los cambios.Primeros pasos 7

Integracin del cortafuegos en su red de gestin Primeros pasosPaso 4 Configure la interfaz. 1. Seleccione Red > Interfaces y seleccione la interfaz que corresponde al puerto en el que conect el cable en el paso 1.

2. Seleccione el Tipo de interfaz. Aunque su decisin aqu depende de la topologa de su red, este ejemplo muestra los pasos para Capa3.

3. En la pestaa Configurar, ample el men desplegable Zona de seguridad y seleccione Nueva zona.

4. En el cuadro de dilogo Zona, defina un Nombre para una nueva zona, por ejemplo L3-fiable, y haga clic en Aceptar.

5. Seleccione la pestaa IPv4, seleccione el botn de opcin Esttico, haga clic en Aadir en la seccin IP e introduzca la direccin IP y la mscara de red para asignarlas a la interfaz, por ejemplo, 192.168.1.254/24.

6. Seleccione Avanzada > Otra informacin, ample el men desplegable Perfil de gestin y seleccione Nuevo perfil de gestin.

7. Introduzca un Nombre para el perfil, como permitir_ping, y seleccione a continuacin los servicios que desea permitir en la interfaz. Estos servicios ofrecen acceso a la gestin del dispositivo, as que seleccione solo los servicios que correspondan a actividades de gestin que desee permitir en esta interfaz. Por ejemplo, si desea utilizar la interfaz de gestin para las tareas de configuracin del dispositivo a travs de la interfaz web o CLI, no debera activar HTTP, HTTPS, SSH o Telnet para poder evitar el acceso no autorizado a travs de esta interfaz. Para permitir el acceso a los servicios externos, probablemente solo tenga que activar Ping y despus hacer clic en Aceptar.

8. Para guardar la configuracin de la interfaz, haga clic en Aceptar.

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)8 Primeros pasos

Primeros pasos Integracin del cortafuegos en su red de gestin Paso 5 Dado que el cortafuegos usa la interfaz de gestin de manera predeterminada para acceder a los servicios externos que necesita, debe cambiar la interfaz que usa el cortafuegos para enviar estas solicitudes editando las rutas de servicios.

1. Seleccione Dispositivo > Configuracin > Servicios > Configuracin de ruta de servicios.

A fin de activar sus licencias y obtener el contenido y las actualizaciones de software ms recientes, deber cambiar la ruta de servicio para DNS, actualizaciones de Palo Alto, actualizaciones de URL y WildFire.

2. Haga clic en el botn de opcin Personalizar y seleccione una de estas opciones: Para un servicio predefinido, seleccione IPv4 o IPv6 y haga

clic en el enlace al servicio para el que quiere modificar la Interfaz de origen y seleccione la interfaz que acaba de configurar.

Si se configura ms de una direccin IP para la interfaz seleccionada, el men desplegable Direccin de origen le permite seleccionar una direccin IP.

Para crear una ruta de servicio para un destino personalizado, seleccione Destino y haga clic en Aadir. Introduzca un nombre de destino y seleccione una interfaz de origen. Si se configura ms de una direccin IP para la interfaz seleccionada, el men desplegable Direccin de origen le permite seleccionar una direccin IP.

3. Haga clic en ACEPTAR para guardar esta configuracin.4. Repita los pasos del 2 al 3 indicados anteriormente para cada

ruta de servicio que quiera modificar. 5. Confirme los cambios.

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)Primeros pasos 9

Integracin del cortafuegos en su red de gestin Primeros pasosPaso 6 Configure una interfaz externa y una zona asociada y, a continuacin, cree las reglas de polticas de seguridad NAT para permitir que el cortafuegos enve solicitudes de servicio desde la zona interna a la externa.

1. Seleccione Red > Interfaces y, a continuacin, seleccione su interfaz de orientacin externa. Seleccione Capa3 como el Tipo de interfaz, aada la direccin IP (en la pestaa IPv4 o IPv6) y cree la Zona de seguridad asociada (en la pestaa Configuracin), tal como l3-nofiable. No necesita configurar servicios de gestin en esta interfaz.

2. Para configurar una regla de seguridad que permita el trfico desde su red interna al servidor de actualizaciones de Palo Alto Networks y los servidores DNS externos, seleccione Polticas > Seguridad y haga clic en Aadir. Para realizar la configuracin inicial, puede crear una regla simple que permita todo el trfico de l3-fiable a l3-nofiable del siguiente modo:

3. Si usa una direccin IP privada en la interfaz interna, necesitar crear una regla NAT de origen para traducir la direccin a una direccin enrutable pblicamente. Seleccione Polticas > NAT y, a continuacin, haga clic en Aadir. Como mnimo deber definir un nombre para la regla (pestaa General), especificar una zona de origen y destino, l3-fiable a l3-nofiable en este caso (pestaa Paquete original), y definir la configuracin de traduccin de direccin de origen (pestaa Paquete traducido); a continuacin debe hacer clic en Aceptar.

4. Compile sus cambios.

Paso 7 Compruebe que tiene conectividad desde el puerto de datos a los servicios externos, incluida la puerta de enlace predeterminada, el servidor DNS y el servidor de actualizacin de Palo Alto Networks.

Tras verificar que tiene la conectividad de red necesaria, debe realizar el Registro del cortafuegos y la Activacin de la licencia y suscripciones.

Inicie la CLI y use la utilidad ping para comprobar que tiene conectividad. Tenga en cuenta que los pings predeterminados se envan desde la interfaz MGT, por lo que en este caso deber especificar la interfaz de origen para las solicitudes de ping del siguiente modo:admin@PA-200> origen de ping 192.168.1.254 host updates.paloaltonetworks.comHacer ping a updates.paloaltonetworks.com (67.192.236.252) desde 192.168.1.254 : 56(84) bytes de datos.64 bytes desde 67.192.236.252: icmp_seq=1 ttl=242 tiempo=56.7 ms64 bytes desde 67.192.236.252: icmp_seq=2 ttl=242 tiempo=47.7 ms64 bytes desde 67.192.236.252: icmp_seq=3 ttl=242 tiempo=47.6 ms^C

Cuando haya comprobado la conectividad, pulse Ctrl+C para detener los pings.

Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)10 Primeros pasos

Primeros pasos Integracin del cortafuegos en su red de gestin Registro del cortafuegos

Registro del cortafuegos

Paso 1 Inicie sesin en la interfaz web. Si usa una conexin segura (https) desde su navegador web, inicie sesin usando la nueva direccin IP y contrasea que asign durante la configuracin inicial (https://). Ver un advertencia de certificacin; es normal. Vaya a la pgina web.

Paso 2 Busque el nmero de serie y cpielo en el portapapeles.

En el Panel, busque su nmero de serie en la seccin Informacin general de la pantalla.

Paso 3 Vaya al sitio de asistencia de Palo Alto Networks.

En una ventana o pestaa nueva del navegador, vaya a https://support.paloaltonetworks.com.

Paso 4 Registre el dispositivo. El modo de registrarse depender de que tenga o no un inicio de sesin en el sitio de asistencia tcnica.

Si es el primer dispositivo de Palo Alto Networks que registra y an no tiene un inicio de sesin, haga clic en Registrar en el lado derecho de la pgina. Para registrarlo, debe aportar su nmero de pedido de venta o ID de cliente, as como el nmero de serie de su cortafuegos (que puede pegar desde el portapapeles) o el cdigo de autorizacin recibido con su pedido. Tambin se le pedir que establezca un nombre de usuario y una contrasea para acceder a la comunidad de asistencia tcnica de Palo Alto Networks.

Si ya dispone de una cuenta de asistencia tcnica, inicie sesin y haga clic en Mis dispositivos. Desplcese hasta la seccin Registrar dispositivo, en la parte inferior de la pantalla, e introduzca el nmero de serie de su cortafuegos (que puede pegar desde el portapapeles), su ciudad y su cdigo postal, y haga clic en Registrar dispositivo.Primeros pasos 11

Integracin del cortafuegos en su red de gestin Primeros pasosActivacin de la licencia y suscripciones

Antes de que pueda empezar a usar su cortafuegos para proteger el trfico de su red, deber activar las licencias de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:

Prevencin de amenazas: Proporciona proteccin antivirus, antispyware y contra vulnerabilidades.

Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del trfico descifrado desde un cortafuegos y enviarlo a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de paquetes sin formato (como NetWitness o Solera) para su archivado y anlisis.

Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir e instalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso a contenido web.

Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con mltiples sistemas virtuales en los cortafuegos de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtuales si desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por los cortafuegos de las series PA-4000, PA-5000 y PA-7050 (el nmero bsico vara segn la plataforma). Las series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.

WildFire: Aunque la licencia de prevencin de amenazas incluye asistencia bsica con WildFire, el servicio de suscripcin a WildFire ofrece servicios mejorados para organizaciones que requieren cobertura inmediata de las amenazas, habilitando actualizaciones de WildFire en fracciones de hora, reenvo de tipos de archivos avanzados (APK, PDF, Microsoft Office y Java Applet), adems de la capacidad para cargar archivos usando la API WildFire. Tambin se requiere una suscripcin a WildFire si sus cortafuegos van a reenviar archivos a un dispositivo WF-500 WildFire privado.

GlobalProtect: Ofrece soluciones de movilidad o capacidades VPN de a gran escala. De forma predeterminada, puede implementar una nica puerta de enlace y portal GlobalProtect (sin comprobaciones de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia de portal (licencia permanente y nica). Si desea utilizar comprobaciones de host, tambin necesitar licencias de puertas de enlace (suscripcin) para cada puerta de enlace.

Activacin de licencias

Paso 1 Encuentre los cdigos de activacin de las licencias que ha adquirido.

Al comprar las suscripciones debi recibir un mensaje de correo electrnico del servicio de atencin al cliente de Palo Alto Networks con los cdigos de activacin asociados a cada suscripcin. Si no encuentra este mensaje, pngase en contacto con atencin al cliente para recibir sus cdigos de activacin antes de continuar.

Paso 2 Inicie la interfaz web y vaya a la pgina de licencias.

Seleccione Dispositivo > Licencias.12 Primeros pasos

Primeros pasos Integracin del cortafuegos en su red de gestin Paso 3 Active todas las licencias que ha adquirido.

Una vez adquiridas sus licencias o suscripciones, actvelas siguiendo uno de estos mtodos: Recuperacin de claves de licencia desde el servidor de

licencias: Use esta opcin si ha activado su licencia en el portal de asistencia tcnica.

Activacin de la funcin usando un cdigo de autorizacin: Use esta opcin para habilitar las suscripciones adquiridas con un cdigo de autorizacin para licencias que no han sido previamente activadas en el portal de asistencia tcnica. Cuando se le indique, introduzca el Cdigo de autorizacin y haga clic en Aceptar.

Carga manual de la clave de licencia: Use esta opcin si su dispositivo no tiene conectividad con el sitio de asistencia tcnica de Palo Alto Networks. En este caso, debe descargar un archivo de clave de licencia del sitio de asistencia tcnica a travs de un ordenador conectado a Internet y despus cargarlo en el dispositivo.

Paso 4 Comprobar que la licencia se ha activado correctamente

En la pgina Dispositivo > Licencias, compruebe que la licencia se haya activado correctamente. Por ejemplo, tras activar la licencia de WildFire, debera ver que la licencia es vlida:

Activacin de licencias (Continuacin)Primeros pasos 13

Integracin del cortafuegos en su red de gestin Primeros pasosGestin de la actualizacin de contenidos

Para estar por delante del panorama cambiante de amenazas y aplicaciones, Palo Alto Networks mantiene una infraestructura de Content Delivery Network (CDN, Red de entrega de contenidos) para entregar actualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos dispositivos acceden a los recursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones y de ID de contenidos. De forma predeterminada, los dispositivos utilizan el puerto de gestin para acceder a la infraestructura de CDN para realizar actualizaciones de aplicaciones, de amenazas y de firma de antivirus, actualizaciones y bsquedas en BrightCloud y en base de datos PAN-DB, as como acceso a la nube de WildFire de Palo Alto Networks. Para garantizar una proteccin constante contra las amenazas ms recientes (incluidas aquellas que an no se han descubierto), debe asegurarse de mantener actualizados sus dispositivos con las actualizaciones ms recientes de Palo Alto Networks.

Estn disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:

Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio en la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estas actualizaciones. Se publican nuevas firmas de antivirus todos los das.

Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no requiere suscripciones adicionales, pero s un contrato de asistencia/mantenimiento en vigor. Todas las semanas se publican nuevas actualizaciones de aplicaciones.

Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta actualizacin est disponible si cuenta con una suscripcin de prevencin de amenazas (y la obtiene en lugar de la actualizacin de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.

Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir y evaluar los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect. Debe tener una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas actualizaciones. Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtect funcione.

Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones. Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen sincronizados con los servidores de forma automtica.

WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de 24 a 48 horas para que las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.

Aunque puede descargar e instalar manualmente las actualizaciones de contenido en cualquier momento, se recomienda Programar cada actualizacin. Las actualizaciones programadas se realizan de manera automtica.

Si su cortafuegos no tiene acceso a Internet desde el puerto de gestin, puede descargar las actualizaciones de contenido desde el portal de asistencia de Palo Alto Networks y cargarlas en su cortafuegos. Si su cortafuegos est implementado detrs de cortafuegos o servidores proxy existentes, el acceso a estos recursos externos puede restringirse empleando listas de control de acceso que permiten que el cortafuegos acceda nicamente a un nombre de host o una direccin IP. En tales casos, para permitir el acceso a la CDN, establezca la direccin del servidor de actualizaciones para usar el nombre de host staticupdates.paloaltonetworks.com o la direccin IP 199.167.52.15.14 Primeros pasos

Primeros pasos Integracin del cortafuegos en su red de gestin Descarga de las bases de datos ms recientes

Paso 1 Verifique que el cortafuegos apunta a la infraestructura de CDN.

Seleccione Dispositivo > Configuracin > Servicios. Como prctica recomendada, establezca el Servidor de

actualizaciones para que acceda a updates.paloaltonetworks.com. De esta forma el cortafuegos podr recibir actualizaciones de contenidos desde el servidor que est ms cercano en la infraestructura de CDN.

(Opcional) Si el cortafuegos ha restringido el acceso a Internet, establezca la direccin del servidor de actualizaciones para usar el nombre de host staticupdates.paloaltonetworks.com o la direccin IP 199.167.52.15.

Para obtener seguridad adicional, seleccione Verificar identidad del servidor de actualizacin. El cortafuegos verificar que el servidor desde el que se descarga el software o el paquete de contenidos cuenta con un certificado SSL firmado por una autoridad fiable.

Paso 2 Inicie la interfaz web y vaya a la pgina Actualizaciones dinmicas.

Seleccione Dispositivo > Actualizaciones dinmicas.

Paso 3 Compruebe las actualizaciones ms recientes.

Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda de la ventana) para comprobar las actualizaciones ms recientes. El enlace de la columna Accin indica si una actualizacin est disponible: Descargar: Indica que hay disponible un nuevo archivo de

actualizacin. Haga clic en el enlace para iniciar la descarga directamente en el cortafuegos. Tras descargarlo correctamente, el enlace en la columna Accin cambia de Descargar a Instalar.

No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicaciones y amenazas.

Actualizar: Indica que hay una nueva versin de la base de datos de BrightCloud disponible. Haga clic en el enlace para iniciar la descarga e instalacin de la base de datos. La actualizacin de la base de datos se inicia en segundo plano; al completarse aparece una marca de verificacin en la columna Instalado actualmente. Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no ver ningn enlace de actualizacin porque la base de datos de PAN-DB se sincroniza automticamente con el servidor.

Para comprobar el estado de una accin, haga clic en Tareas (en la esquina inferior derecha de la ventana).

Revertir: Indica que la versin de software correspondiente se ha descargado anteriormente. Puede decidir revertir a la versin instalada anteriormente de la actualizacin.Primeros pasos 15

Integracin del cortafuegos en su red de gestin Primeros pasosPaso 4 Instale las actualizaciones.

La instalacin puede tardar hasta 20 minutos en un dispositivo PA-200, PA-500 o PA-2000, y hasta dos minutos en los cortafuegos de las series PA-3000, PA-4000, PA-5000, PA-7050 o VM-Series.

Haga clic en el enlace Instalar de la columna Accin. Cuando se complete la instalacin, aparecer una marca de verificacin en la columna Instalado actualmente.

Paso 5 Programar cada actualizacin

Repita este paso en cada actualizacin que desee programar.

Escalone las programaciones de actualizaciones, dado que el cortafuegos no puede descargar ms de una actualizacin a la vez. Si ha programado la descarga de varias actualizaciones al mismo tiempo, solo la primera se realizar correctamente.

1. Establezca la programacin de cada tipo de actualizacin haciendo clic en el enlace Ninguna.

2. Especifique la frecuencia con que quiere que se produzcan las actualizaciones seleccionando un valor del men desplegable Periodicidad. Los valores disponibles varan en funcin del tipo de contenido (las actualizaciones de WildFire estn disponibles cada 15 minutos, cada 30 minutos o cada hora, mientras que para otros tipos de contenidos pueden programarse actualizaciones diarias o semanales).

3. Especifique la hora (o los minutos que pasan de una hora en el caso de