GlobalProtect Administrator`s Guide

Anuncio
Palo Alto Networks®
Guía del administrador de GlobalProtect
Versión 6.0
Información de contacto
Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta guía
Esta guía le explica los procesos de configuración y mantenimiento de la infraestructura de GlobalProtect. Para obtener
más información, consulte los siguientes recursos:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la última versión, vaya la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentación, diríjase a: [email protected].
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las demás marcas comerciales son
propiedad de sus respectivos propietarios.
810-000237-00A
ii
Contenido
Descripción general de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Acerca de los componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Portal GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Gestor de seguridad móvil de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
¿Qué clientes son compatibles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Acerca de las licencias de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Configuración de la infraestructura de GlobalProtect. . . . . . . . . . . . . . . . . . . .7
Creación de interfaces y zonas para GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Habilitación de SSL entre componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Acerca de la implementación de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Recomendaciones para certificados de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Implementación de certificados de servidores en los componentes de GlobalProtect . . . . . . . . . . . . . 14
Configuración de la autenticación de usuario en GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Acerca de la autenticación de usuarios de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Configuración de autenticación externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Configuración de la autenticación de certificado de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Configuración de la autenticación en dos fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Habilitación de la asignación de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Configuración de una puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuración del acceso al portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Definición de las configuraciones de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Personalización del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda . . . . . . . . . . . . . . . . . 49
Implementación del software cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Implementación del software del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Implementación de la configuración del agente de forma transparente. . . . . . . . . . . . . . . . . . . . . . . . . 55
Descarga e instalación de la aplicación móvil de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Configuración del gestor de seguridad móvil de GlobalProtect . . . . . . . . . . . 61
Recomendaciones de implementación del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuración del acceso de gestión al gestor de seguridad móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Registro, licencia y actualización del gestor de seguridad móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Registro del dispositivo GP-100. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Guía del administrador de GlobalProtect
iii
Activación/recuperación de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Instalación de las actualizaciones de contenido y software de Panorama . . . . . . . . . . . . . . . . . . . . . . . 68
Configuración del gestor de seguridad móvil para la gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuración del gestor de seguridad móvil para el registro de dispositivos. . . . . . . . . . . . . . . . . . . . 70
Configuración del gestor de seguridad móvil para la inscripción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Configuración del acceso de puerta de enlace al gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . 80
Definición de políticas de implementación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Acerca de la implementación de la política del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . 83
Recomendaciones sobre las políticas del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Integración del gestor de seguridad móvil con su directorio LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Definición de objetos y perfiles HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Creación de perfiles de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Creación de políticas de implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Verificación de la configuración del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Configuración del acceso administrativo en el gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . 112
Configuración de la autenticación administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Creación de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Gestión de dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos . . . . . . . . . . . 120
Etiquetar dispositivos manualmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Preetiquetado de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Supervisión de dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Administración de dispositivos remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interacción con dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reacción ante la pérdida o sustracción de un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminación de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
128
129
130
Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles. . . . . . . . . . . . . . . . 131
Uso de información del host en la aplicación de políticas. . . . . . . . . . . . . . 133
Acerca de la información del host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
¿Qué datos recopila el agente? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cómo usa la puerta de enlace la información del host para aplicar las políticas . . . . . . . . . . . . . . . . .
¿Cómo pueden saber los usuarios si sus sistemas cumplen los requisitos? . . . . . . . . . . . . . . . . . . . . .
134
134
136
136
Configuración de la aplicación de políticas basadas en HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Configuraciones rápidas de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . 145
VPN de acceso remoto (Perfil de autenticación) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
VPN de acceso remoto (Perfil del certificado) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
VPN de acceso remoto con autenticación de dos factores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Configuración de VPN siempre activada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
VPN de acceso remoto con función anterior al inicio de sesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Configuración de varias puertas de enlace de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
GlobalProtect para comprobación de HIP interna y acceso basado en usuario. . . . . . . . . . . . . . . . . . . . . 165
Configuración de puerta de enlace externa e interna combinada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
iv
Guía del administrador de GlobalProtect
Descripción general de GlobalProtect
Ya se trate de comprobar el correo electrónico desde casa o de actualizar documentos de empresa desde el
aeropuerto, la mayoría de los empleados de hoy en día trabajan fuera de los límites físicos de la empresa. Este
aumento de la movilidad de los trabajadores hace crecer la productividad y la flexibilidad al tiempo que introduce
riesgos de seguridad significativos. Cada vez que un usuario abandona las instalaciones de la empresa con su
portátil o dispositivo móvil, está sorteando el cortafuegos de la empresa y las políticas asociadas diseñadas para
proteger tanto al usuario como la red. GlobalProtect resuelve los retos planteados por los usuarios itinerantes
extendiendo las mismas políticas de última generación basadas en cortafuegos que se aplican a todos los
usuarios dentro del perímetro físico de la empresa, independientemente de su ubicación.
Las siguientes secciones ofrecen información conceptual acerca de la oferta de Palo Alto Networks
GlobalProtect mediante la descripción de los componentes de GlobalProtect y las posibles situaciones de
implementación:

Acerca de los componentes de GlobalProtect

¿Qué clientes son compatibles?

Acerca de las licencias de GlobalProtect
Guía del administrador de GlobalProtect
1
Acerca de los componentes de GlobalProtect
Descripción general de GlobalProtect
Acerca de los componentes de GlobalProtect
GlobalProtect ofrece una completa infraestructura para la gestión de su fuerza de trabajo itinerante para
garantizar a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de donde
se encuentren. Esta infraestructura incluye los siguientes componentes:

Portal GlobalProtect

Puertas de enlace de GlobalProtect

Cliente de GlobalProtect

Gestor de seguridad móvil de GlobalProtect
Portal GlobalProtect
El portal GlobalProtect proporciona las funciones de gestión para su infraestructura de GlobalProtect. Todos
los sistemas clientes que participan en la red de GlobalProtect reciben información de configuración desde el
portal, incluida información sobre las puertas de enlace disponibles, así como certificados cliente que pueden
ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad móvil.
Además, el portal controla el comportamiento y la distribución del software del agente de GlobalProtect para
los portátiles con Mac y Windows. (En dispositivos móviles, la aplicación GlobalProtect se distribuye a través
de la App Store de Apple para los dispositivos iOS o mediante Google Play para dispositivos Android.) Si está
usando la función Perfil de información del host (HIP), el portal también define qué información se recopila
desde el host, incluyendo cualquier información personalizada que necesite. El portal se configura en una
interfaz de cualquier cortafuegos de última generación de Palo Alto Networks.
Puertas de enlace de GlobalProtect
Las puertas de enlace de GlobalProtect permiten aplicar la seguridad al tráfico de agentes / aplicaciones de
GlobalProtect. Asimismo, si la función HIP está habilitada, la puerta de enlace HIP genera un informe a partir
de los datos sin procesar del host enviados por los clientes y puede usar dicha información para la aplicación de
políticas.

Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) o
aplicar la seguridad.

Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace de
GlobalProtect que permite aplicar la política de seguridad para el acceso a recursos internos. Al usarla junto
con el ID de usuario o las comprobaciones HIP, una puerta de enlace interna permite ofrecer un método
preciso y seguro para identificar y controlar el tráfico por usuario o estado del dispositivo. Las puertas de
enlace internas son útiles en entornos confidenciales que requieren acceso autenticado a los recursos críticos.
Puede configurar una puerta de enlace interna tanto en el modo de túnel como de no túnel.
Las puertas de enlace se configuran en una interfaz de cualquier cortafuegos de última generación de Palo
Alto Networks. Puede ejecutar tanto una puerta de enlace y un portal en el mismo cortafuegos como
múltiples puertas de enlace distribuidas por toda su empresa.
2
Guía del administrador de GlobalProtect
Descripción general de GlobalProtect
Acerca de los componentes de GlobalProtect
Cliente de GlobalProtect
El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a los
recursos de su red a través de los portales y las puertas de enlace de GlobalProtect que ha implementado.
Hay dos tipos de clientes de GlobalProtect:

El agente de GlobalProtect: Se ejecuta en sistemas Windows y Mac OS y se implementa desde el portal
de GlobalProtect. El comportamiento del agente (p. ej., qué pestañas pueden ver los usuarios, pueden los
usuarios desinstalar el agente o no) se determina en la configuración del cliente que defina en el portal.

La aplicación de GlobalProtect: Se ejecuta en dispositivos iOS y Android.
Consulte ¿Qué clientes son compatibles? para obtener más información.
El siguiente diagrama ilustra el modo en que los portales, puertas de enlace y agentes / aplicaciones de
GlobalProtect se coordinan para ofrecer a todos sus usuarios un acceso seguro, independientemente de los
dispositivos que usen o de donde se encuentren.
Guía del administrador de GlobalProtect
3
Acerca de los componentes de GlobalProtect
Descripción general de GlobalProtect
Gestor de seguridad móvil de GlobalProtect
El gestor de seguridad móvil de GlobalProtect ofrece gestión, visibilidad, e implementación de configuración
automatizada para dispositivos móviles (tanto los de la empresa como del empleado) en su red. Dado que el gestor de
seguridad móvil forma parte de la solución móvil de GlobalProtect, la puerta de enlace de GlobalProtect puede
aprovechar la información de los dispositivos gestionados y usar la información ampliada del host recopilada por el
gestor de seguridad móvil para ofrecer a los dispositivos gestionados una aplicación mejorada de las políticas de
seguridad. Las puertas de enlace recuperan los perfiles HIP extendidos del gestor de seguridad móvil y usan la
información para aplicar políticas de seguridad para los dispositivos que se conectan a su red.

Las políticas de implementación que crea en el gestor de seguridad móvil ofrecen aprovisionamiento de cuentas
simplificado para que los usuarios de dispositivos móviles puedan acceder a las aplicaciones de la empresa (tales
como las configuraciones VPN y correo electrónico). También puede realizar ciertas acciones, tales como
bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo si duda de la
seguridad del mismo.

Para comunicarse con un dispositivo, el gestor de seguridad móvil envía una notificación push mediante OTA.
En el caso de dispositivos iOS, envía notificaciones push mediante el servicio Notificaciones Push de Apple
(APN) y en el de dispositivos Android las envía mediante Mensajería de Google Cloud (GCM). Cuando un
dispositivo recibe una notificación push, la comprueba estableciendo una conexión HTTPS con la interfaz de
comprobación del dispositivo en el gestor de seguridad móvil.

Cuando un dispositivo se registra en el gestor de seguridad móvil, envía información del host que incluye
información adicional además de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una lista de
todas las aplicaciones instaladas, la ubicación del dispositivo en el momento del registro (se puede deshabilitar), si
el dispositivo tiene un código de acceso establecido o si está modificado o desbloqueado. Además, si el gestor de
seguridad móvil tiene una suscripción WildFire, puede detectar si un dispositivo contiene software
malintencionado (solo dispositivos Android).

Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad móvil, puede crear una política de
seguridad muy granular para usuarios de dispositivos móviles en sus puertas de enlace de GlobalProtect.
4
Guía del administrador de GlobalProtect
Descripción general de GlobalProtect
¿Qué clientes son compatibles?
¿Qué clientes son compatibles?
En la siguiente tabla se resume la compatibilidad con GlobalProtect de los siguientes dispositivos de sobremesa,
portátiles y móviles, así como las versiones mínimas de agentes / aplicaciones GlobalProtect y PAN-OS
necesarias para la compatibilidad:
Versiones de clientes de OS compatibles
Versión mínima de
agente / aplicación
Versión mínima de PAN-OS
Apple Mac OS 10.6
1.1
4.1.0 o posterior
Apple Mac OS 10.7
1.1
Apple Mac OS 10.8
1.1.6
Apple Mac OS 10.9
1.2
Windows XP (32 bits)
1.0
Windows Vista (32 bits y 64 bits)
1.0
Windows 7 (32 bits y 64 bits)
1.0
Windows 8 (32 bits y 64 bits)
1.2
Windows 8.1 (32 bits y 64 bits)
1.2
Windows Surface Pro
1.2
Apple iOS 6.0 o posterior*
App 1.3
4.1.0 o posterior
Google Android 4.0.3 o posterior*
App 1.3
4.1.6 o posterior
Clientes IPsec de X-Auth de terceros:
N/D
5.0 o posterior
4.0 o posterior
• VPNC en Ubuntu Linux 10.04 y CentOS 6
• Cliente IPsec integrado en iOS
• Cliente IPsec integrado en Android
* La app 2.0 es necesaria para que un dispositivo pueda ser gestionado por el gestor de seguridad móvil de GlobalProtect
y el cortafuegos debe ejecutar PAN-OS 6.0.
Guía del administrador de GlobalProtect
5
Acerca de las licencias de GlobalProtect
Descripción general de GlobalProtect
Acerca de las licencias de GlobalProtect
Si tan solo quiere usar GlobalProtect para proporcionar una solución de red privada virtual (VPN), segura o de
acceso remoto a través de una única puerta de enlace externa, no necesita licencia de GlobalProtect. Sin
embargo, para usar algunas de las funciones más avanzadas, como múltiples puertas de enlace, aplicaciones
móviles, gestión de seguridad móvil, comprobaciones de información del host o puertas de enlace internas,
puede que necesite adquirir una o más de las siguientes licencias:

Licencia de portal: Una licencia perpetua que debe instalarse una única vez en el cortafuegos que ejecute
el portal para habilitar la compatibilidad con la puerta de enlace interna, múltiples puertas de enlace (internas
o externas) o comprobaciones HIP.

Suscripción de puerta de enlace: Una suscripción anual que habilita las comprobaciones de HIP y las
actualizaciones de contenido asociadas. Esta licencia debe instalarse en cada cortafuegos que contenga
puertas de enlace que realicen comprobaciones HIP. Asimismo, la licencia de puerta de enlace habilita la
compatibilidad con aplicaciones móviles de GlobalProtect para iOS y Android.

Licencia del gestor de seguridad móvil de GlobalProtect en el dispositivo GP-100: Una licencia
perpetua de instalación única para el gestor de seguridad móvil basada en el número de dispositivos móviles
que se van a gestionar. Esta licencia solo es necesaria si pretende gestionar más de 500 dispositivos móviles.
Hay disponibles licencias perpetuas para 1000, 2000, 5000, 10 000, 25 000, 50 000 o 100 000 dispositivos
móviles.

Suscripción a WildFire en el gestor de seguridad móvil de GlobalProtect para el dispositivo GP-100:
Usada junto con el gestor de seguridad móvil de GlobalProtect para la detección de software malintencionado
APK en los dispositivos Android gestionados. Para habilitar el uso de detección de software malintencionado con
el gestor de seguridad móvil de GlobalProtect, debe adquirir una suscripción a WildFire que se corresponda con
la capacidad de la licencia del gestor de seguridad móvil de GlobalProtect.
Función:
Requisitos de licencia del
cortafuegos
Requisitos de licencia del gestor
de seguridad móvil
Licencia de
portal
Licencia de
capacidad del
gestor de
seguridad móvil
Suscripción de
puerta de enlace
Suscripción a
WildFire
Puerta de enlace única externa
(Windows y Mac)
Una o varias puertas de enlace internas
Varias puertas de enlace externas
Comprobaciones HIP
Aplicación móvil para iOS o Android
Gestor de seguridad móvil (requiere aplicación
móvil de GlobalProtect para iOS o Android)
Detección de software malintencionado APK
Android del gestor de seguridad móvil
6
Guía del administrador de GlobalProtect
Configuración de la infraestructura de
GlobalProtect
Para que GlobalProtect funcione, debe configurar la infraestructura básica que permite que todos los
componentes se comuniquen. Básicamente, esto implica configurar las interfaces y zonas que a las que se
conectarán los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace. Puesto que los
componentes de GlobalProtect se comunican a través de canales seguros, debe adquirir e implementar todos
los certificados SSL necesarios de los distintos componentes. Las siguientes secciones le guiarán a través de los
pasos básicos para configurar la infraestructura de GlobalProtect:

Creación de interfaces y zonas para GlobalProtect

Habilitación de SSL entre componentes de GlobalProtect

Configuración de la autenticación de usuario en GlobalProtect

Habilitación de la asignación de grupo

Configuración de las puertas de enlace de GlobalProtect

Configuración del portal de GlobalProtect

Implementación del software cliente de GlobalProtect
Guía del administrador de GlobalProtect
7
Creación de interfaces y zonas para GlobalProtect
Configuración de la infraestructura de GlobalProtect
Creación de interfaces y zonas para GlobalProtect
Debe configurar las siguientes interfaces y zonas para la infraestructura de GlobalProtect:

Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde fuera de su red, por ejemplo: no fiable.

Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependen de si
está configurando una puerta de enlace externa o una puerta de enlace interna, como se indica a continuación:
– Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de túnel lógica para
que el cliente se conecte con el fin de establecer un túnel VPN. La interfaz de bucle / capa 3 debe encontrarse
en una zona externa, como no fiable. La interfaz de túnel puede estar en la misma zona que la interfaz que se
conecta a sus recursos internos, por ejemplo, fiable, o bien, para mejorar la seguridad y la visibilidad, puede
crear una zona separada, como corp-vpn. Si crea una zona separada para su interfaz de túnel, necesitará crear
políticas de seguridad que habiliten el flujo del tráfico entre la zona VPN y la zona fiable.
–
Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. También puede
crear una interfaz de túnel para acceder a sus puertas de enlace internas, pero no es necesario.
Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a GlobalProtect
a través de diferentes puertos y direcciones en Can GlobalProtect Portal Page be Configured to be
Accessed on any Port? (¿Se puede configurar la página del portal de GlobalProtect para acceder desde
cualquier dispositivo?)
Si desea más información sobre portales y puertas de enlace, consulte Acerca de los componentes de GlobalProtect.
Configuración de interfaces y zonas para GlobalProtect
Paso 1
Nota
Nota
Configure una interfaz de capa 3 para cada 1.
portal o puerta de enlace que pretenda
implementar.
Si la puerta de enlace y el portal se
encuentran en el mismo cortafuegos, puede 2.
usar una sola interfaz para ambos.
Se recomienda usar direcciones IP estáticas 3.
para el portal y la puerta de enlace.
Seleccione Red > Interfaces > Ethernet o Red > Interfaces >
Bucle invertido y, a continuación, seleccione la interfaz que quiere
configurar para GlobalProtect. En este ejemplo, estamos
configurando ethernet1/1 como la interfaz del portal.
(Solo Ethernet) Seleccione Capa3 en el menú desplegable Tipo de
interfaz.
En la pestaña Configurar, seleccione la zona a la que pertenece la
interfaz del portal o la puerta de enlace, como se indica a
continuación:
• Coloque los portales y las puertas de enlace externas en una zona
no fiable para acceder mediante hosts desde fuera de su red,
como l3-nofiable.
• Coloque puertas de enlace internas en una zona interna, como
l3-fiable.
• Si aún no ha creado la zona, seleccione Nueva zona desde el
menú desplegable Zona de seguridad. En el cuadro de diálogo
Zona, defina un Nombre para una nueva zona y, a continuación,
haga clic en ACEPTAR.
4.
En el menú desplegable Enrutador virtual, seleccione
predeterminado.
5.
Para asignar una dirección IP a la interfaz, seleccione la pestaña
IPv4, haga clic en Añadir en la sección IP e introduzca la dirección
6.
8
IP y la máscara de red para asignarlas a la interfaz, por ejemplo:
208.80.56.100/24.
Para guardar la configuración de la interfaz, haga clic en ACEPTAR.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Creación de interfaces y zonas para GlobalProtect
Configuración de interfaces y zonas para GlobalProtect (Continuación)
Paso 2
Nota
Nota
En los cortafuegos donde se alojen
puertas de enlace de GlobalProtect,
configure la interfaz de túnel lógica que
finalizará los túneles VPN establecidos
por los agentes de GlobalProtect.
1.
Seleccione Red > Interfaces > Túnel y haga clic en Añadir.
2.
En el campo Nombre de interfaz, especifique un sufijo
numérico, como.2.
3.
En la pestaña Configurar, amplíe el menú desplegable Zona de
seguridad para definir la zona del siguiente modo:
No se requieren direcciones IP en la
interfaz de túnel a menos que requiera
enrutamiento dinámico. Además, asignar
una dirección IP a la interfaz de túnel
puede resultar útil para solucionar
problemas de conexión.
• Para usar una zona fiable como punto de finalización del
túnel, seleccione la zona del menú desplegable.
• (Recomendado) Si quiere crear una zona separada para la
finalización del túnel VPN, haga clic en Nueva zona. En el
cuadro de diálogo Zona, defina un Nombre para la nueva
zona (por ejemplo, vpn-corp), seleccione la casilla de
verificación Habilitar identificación de usuarios y, a
continuación, haga clic en ACEPTAR.
Asegúrese de habilitar ID de usuario en la
zona donde finalizan los túneles VPN.
4.
En el menú desplegable Enrutador virtual, seleccione
predeterminado.
5.
(Opcional) Si quiere asignar una dirección IP a la interfaz de
túnel, seleccione la pestaña IPv4, haga clic en Añadir en la
sección IP e introduzca la dirección IP y la máscara de red
para asignarlas a la interfaz, por ejemplo: 10.31.32.1/32.
6.
Para guardar la configuración de la interfaz, haga clic en
Aceptar.
Paso 3
Si ha creado una zona separada para la finalización del túnel de las conexiones VPN, cree una política de
seguridad para habilitar el flujo de tráfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de
política habilita el tráfico entre la zona corp-vpn y la zona l3-fiable.
Paso 4
Guarde la configuración.
Nota
Si ha habilitado el acceso de gestión a
la interfaz donde se aloja el portal, debe
añadir :4443 a la URL. Por ejemplo,
para acceder a la interfaz web del portal
configurado en este ejemplo, debería
introducir lo siguiente:
Haga clic en Compilar.
https://208.80.56.100:4443
O bien, si ha configurado un registro
DNS para FQDN, como gp.acme.com,
debería introducir:
https://gp.acme.com:4443
Guía del administrador de GlobalProtect
9
Habilitación de SSL entre componentes de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Habilitación de SSL entre componentes de GlobalProtect
Toda la interacción entre los componentes de GlobalProtect se realiza a través de una conexión SSL. Por lo
tanto, debe generar o instalar los certificados necesarios antes de configurar cada componente, de modo que
pueda hacer referencia a los certificados adecuados en las configuraciones. En las siguientes secciones se
describen los métodos compatibles de implementación de certificados, las descripciones y las directrices de
recomendaciones para los diversos certificados de GlobalProtect, además de ofrecer instrucciones para la
generación e implementación de los certificados necesarios.

Acerca de la implementación de certificados

Recomendaciones para certificados de GlobalProtect

Implementación de certificados de servidores en los componentes de GlobalProtect
Acerca de la implementación de certificados
Hay tres métodos básicos para implementar certificados para GlobalProtect:

(Recomendado) Combinación de certificados de terceros y certificados autofirmados: Puesto que los
clientes finales accederán al portal antes de la configuración de GlobalProtect, el cliente debe confiar en el
certificado para establecer una conexión HTTPS. Del mismo modo, si está usando el gestor de seguridad
móvil de GlobalProtect, ocurre lo mismo con los dispositivos móviles que acceden al gestor de seguridad
móvil para su inscripción. Por lo tanto, el método recomendado consiste en adquirir el certificado de
servidor del portal y el certificado de servidor para la interfaz de registro del dispositivo del gestor de
seguridad móvil desde un certificado de CA fiable en el que ya confíen la mayoría de clientes finales con el
fin de prevenir errores de certificado. Una vez conectado correctamente, el portal puede enviar cualquier
otro certificado requerido (por ejemplo, el certificado de CA raíz para la puerta de enlace) al cliente final.

Autoridad de certificación empresarial: Si ya cuenta con su propia autoridad de certificación empresarial,
puede usar esta CA interna para emitir certificados de cada uno de los componentes de GlobalProtect y, a
continuación, importarlos desde los cortafuegos donde se alojan su portal y sus puertas de enlace y desde el
gestor de seguridad móvil. En este caso, debe asegurarse de que los dispositivos móviles o sistemas del
usuario final confíen en el certificado de CA raíz usado para emitir los certificados para los servicios de
GlobalProtect a los que deben conectarse.

Certificados autofirmados: Puede generar un certificado de CA autofirmado en el portal y usarlo para
emitir certificados de todos los componentes de GlobalProtect. Sin embargo, esta solución es menos segura
que otras opciones y, por lo tanto, no se recomienda. Si aun así elige esta opción, los usuarios finales verán
un error de certificado la primera vez que se conecten al portal. Para evitar esto, puede implementar
manualmente un certificado de CA raíz autofirmado para todos los sistemas de usuarios finales o usar algún
tipo de implementación centralizada, como un objeto de directiva de grupo (GPO) de Active Directory.
10
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Habilitación de SSL entre componentes de GlobalProtect
Recomendaciones para certificados de GlobalProtect
En la siguiente tabla se resumen los certificados SSL que necesitará dependiendo de las funciones que pretenda usar:
Tabla: Requisitos de certificados para GlobalProtect
Certificado
Uso
Proceso de emisión / Recomendaciones
Certificado de CA
Usado para firmar certificados Si pretende usar certificados autofirmados, es recomendable
emitidos para los componentes generar un certificado de CA en el portal y, a continuación, usar
de GlobalProtect.
dicho certificado para emitir los certificados necesarios para
GlobalProtect.
Certificado de servidor
del portal
• Se recomienda usar un certificado emitido por una CA
Habilita a los agentes /
externa conocida. Es la opción más segura y garantiza que los
aplicaciones de GlobalProtect
clientes finales puedan establecer una relación de confianza
para que establezcan una
con el portal sin necesidad de que implemente el certificado
conexión HTTPS con el portal.
de
CA raíz.
El campo de nombre común
(CN) y, si es aplicable, de
• Si no usa una CA pública conocida, debería exportar el
nombre alternativo del asunto
certificado de CA raíz usado para generar el certificado de
(SAN) del certificado deben
servidor del portal a todos los sistemas cliente que usen
coincidir exactamente con la
GlobalProtect con el fin de evitar que los usuarios finales
dirección IP o con el nombre
vean advertencias de certificados durante la conexión inicial
de dominio completo (FQDN)
al portal.
de la interfaz donde está alojado
• Si está implementando un portal y una única puerta de enlace
el portal.
en la misma interfaz / dirección IP para un acceso básico a
VPN, debe usar un certificado de servidor único para ambos
componentes.
Certificado de servidor
de la puerta de enlace
• Cada puerta de enlace debe tener su propio certificado de
Habilita a los agentes /
servidor.
aplicaciones de GlobalProtect
para que establezcan una
• Se recomienda generar un certificado de CA en el portal y
conexión HTTPS con el portal.
usar dicho certificado para generar todos los certificados de
El campo de nombre común
puertas de enlace.
(CN) y, si es aplicable, de
• El portal puede distribuir el certificado de CA raíz de la puerta
nombre alternativo del asunto
de enlace a todos los agentes en la configuración del cliente,
(SAN) del certificado deben
de modo que no sea necesario que una CA pública emita
coincidir exactamente con el
todos los certificados de puerta de enlace.
FQDN o la dirección IP de la
• Si está implementando un portal y una única puerta de enlace
interfaz donde pretende
en la misma interfaz / dirección IP para un acceso básico a
configurar la puerta de enlace.
VPN, debe usar un certificado de servidor único para ambos
componentes. Se recomienda usar un certificado emitido por
una CA pública.
Guía del administrador de GlobalProtect
11
Habilitación de SSL entre componentes de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Certificado
Uso
Proceso de emisión / Recomendaciones
(Opcional) Certificado
de cliente
Sirve para habilitar la
autenticación mutua entre los
agentes de GlobalProtect y las
puertas de enlace o el portal.
• Para simplificar la implementación de certificados de cliente,
configure el portal para que implemente el certificado de
cliente a los agentes al realizarse correctamente el inicio de
sesión. En esta configuración, todos los agentes de
GlobalProtect que usen la misma configuración comparten
un único certificado de cliente; el objetivo de este certificado
es asegurarse de que solo los clientes de su organización
tengan permiso para conectarse.
Además de habilitar la
autenticación mutua al
establecer una sesión HTTPS
entre el cliente y el portal /
puerta de enlace, también puede • Puede usar otros mecanismos para implementar certificados
usar certificados de cliente para
de clientes exclusivos para cada sistema de cliente que se
autenticar a usuarios finales.
usarán en la autenticación del usuario final.
• Tal vez deba probar su configuración primero sin el
certificado de cliente y, a continuación, añadir el certificado
del cliente cuando esté seguro de que el resto de ajustes de la
configuración son correctos.
(Opcional) Certificado
de máquina
Garantiza que solo se puedan
conectar a GlobalProtect los
equipos fiables. Además, los
certificados de máquina son
necesarios para el uso del
método de conexión anterior al
inicio de sesión, lo que permite
el establecimiento de túneles
VPN antes de que el usuario
inicie sesión.
Certificados de servidor • Permite a los dispositivos
del gestor de seguridad
móviles establecer sesiones
móvil
HTTPS con el gestor de
seguridad móvil para su
inscripción o registro.
• Permite a las puertas de
enlace conectarse al gestor
de seguridad móvil para
recuperar informes HIP
para los dispositivos
móviles gestionados.
Si pretende usar la función anterior al inicio de sesión, debe
utilizar su propia infraestructura PKI para implementar los
certificados de máquina en cada sistema de cliente antes de
habilitar el acceso a GlobalProtect. Para obtener más
información, consulte VPN de acceso remoto con función
anterior al inicio de sesión.
• Puesto que los dispositivos deben confiar en el gestor de
seguridad móvil para inscribirse, se recomienda adquirir un
certificado para la interfaz de registro del dispositivo del
gestor de seguridad móvil desde una CA fiable y conocida.
Si no utiliza una CA fiable para emitir certificados de la
interfaz de registro del dispositivo del gestor de seguridad
móvil, tendrá que implementar el certificado de CA raíz del
gestor de seguridad móvil para dispositivos móviles a través
de la configuración del portal (a fin de habilitar el dispositivo
para que establezca una conexión SSL con el gestor de
seguridad móvil para su inscripción).
• Si la interfaz de registro del dispositivo está en una interfaz
• El campo de nombre común
diferente a la que se conectan las puertas de enlace para la
(CN) y, si es aplicable, de
recuperación de HIP, necesitará certificados de servidor
nombre alternativo del asunto
separados para cada interfaz.
(SAN) del certificado deben
coincidir exactamente con la Si desea información detallada, consulte Configuración del
dirección IP o con el nombre gestor de seguridad móvil de GlobalProtect.
de dominio completo
(FQDN) de la interfaz.
12
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Habilitación de SSL entre componentes de GlobalProtect
Certificado
Uso
Proceso de emisión / Recomendaciones
Certificado de gestor
de seguridad móvil del
servicio Notificaciones
Push de Apple (APN)
Permite que el gestor de
seguridad móvil envíe
notificaciones push a los
dispositivos iOS gestionados.
• Debe generar una solicitud de firma de certificado (CSR)
para este certificado en el gestor de seguridad móvil y, a
continuación, enviarlo al portal de perfiles de datos de iOS de Apple
(requiere inicio de sesión) para la firma.
• Apple solo admite CSR firmados mediante SHA 1 Message
Digest y claves de 2048 bits.
Consulte Configuración del gestor de seguridad móvil para el
registro de dispositivos para obtener información detallada
sobre cómo realizar esta configuración.
Certificados de
identidad
Habilitan el gestor de seguridad
móvil y, opcionalmente, la
puerta de enlace para establecer
sesiones SSL mutuamente
autenticadas con dispositivos
móviles.
Guía del administrador de GlobalProtect
El gestor de seguridad móvil gestiona la implementación de
certificados de identidad para los dispositivos que gestiona.
Consulte Configuración del gestor de seguridad móvil para la
inscripción para obtener información detallada sobre cómo
realizar esta configuración.
13
Habilitación de SSL entre componentes de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Implementación de certificados de servidores en los componentes de
GlobalProtect
El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los
componentes de GlobalProtect:
Implementación de certificados de servidores SSL en los componentes de GlobalProtect
• Importe un certificado de servidor desde una CA Para importar un certificado y una clave desde una CA pública,
asegúrese de que se puede acceder a los archivos de clave y
externa conocida.
certificado desde su sistema de gestión y de que tiene la frase de
Recomendación:
contraseña para descifrar la clave privada. A continuación, siga estos
Use un certificado de servidor de una CA externa
pasos:
conocida para el portal de GlobalProtect y el
1. Seleccione Configuración > Gestión de certificados >
gestor de seguridad móvil. De este modo puede
Certificados > Certificados de dispositivos.
asegurarse de que los clientes finales podrán
2. Haga clic en Importar e introduzca un nombre de certificado.
establecer una conexión HTTPS sin recibir
advertencias de certificado.
Nota
El campo de nombre común (CN) y, si
es aplicable, de nombre alternativo del
asunto (SAN) del certificado deben
coincidir exactamente con el nombre
de dominio completo (FQDN) o la
dirección IP de la interfaz donde
pretende configurar el portal o la
interfaz de registro del dispositivo en
el gestor de seguridad móvil. Admite
coincidencias con comodines.
3.
Introduzca la ruta y el nombre en el Archivo de certificado que
recibió de la CA o seleccione Examinar para buscar el archivo.
4.
Seleccione Clave privada cifrada y certificado (PKCS12) como
Formato de archivo.
5.
Seleccione la casilla de verificación Importar clave privada.
6.
Introduzca la ruta y el nombre en el archivo PKCS#12
en el campo Archivo de clave o seleccione Examinar para
encontrarla.
7.
Vuelva a introducir la frase de contraseña que se usó para
cifrar la clave privada y después haga clic en ACEPTAR para
importar el certificado y la clave.
• Cree el certificado de CA raíz para la emisión de Para usar certificados autofirmados, primero debe crear un
certificados autofirmados de los componentes de certificado de CA raíz que servirá para firmar los certificados
de componentes de GlobalProtect del siguiente modo:
GlobalProtect.
1. Para crear un certificado de CA raíz, seleccione Dispositivo >
Recomendación:
Cree el certificado de CA raíz en el portal y úselo
para emitir certificados de servidor para puertas
2.
de enlace y, de manera opcional, clientes.
14
Gestión de certificados > Certificados > Certificados de
dispositivos y, a continuación, haga clic en Generar.
Introduzca un nombre de certificado, como GlobalProtect_CA.
El nombre de certificado no puede puede contener espacios.
3.
No seleccione ningún valor en el campo Firmado por (esto es
lo que indica que está autofirmado).
4.
Seleccione la casilla de verificación Autoridad del certificado y,
a continuación, haga clic en Aceptar para generar el certificado.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Habilitación de SSL entre componentes de GlobalProtect
Implementación de certificados de servidores SSL en los componentes de GlobalProtect (Continuación)
• Genere un nuevo certificado de servidor
autofirmado.
Recomendación:
Use la CA raíz en el portal para generar
certificados de servidor para cada puerta de
enlace que pretende implementar y, de manera
opcional, para la interfaz de gestión del gestor
de seguridad móvil (si esta es la interfaz que
usarán las puertas de enlace para recuperar los
informes HIP).
Nota
En los certificados de servidor de la puerta
de enlace, los valores en los campos
Nombre común (CN) y Nombre
alternativo del asunto (SAN) en el
certificado deben ser idénticos. De lo
contrario, el agente de GlobalProtect
detectará la discrepancia al comprobar la
cadena de confianza del certificado y no
confiará en el certificado. Los certificados
autofirmados solo contendrán un campo
SAN si añade un atributo de certificado
Nombre de host.
• Implemente los certificados de servidor
autofirmados.
1.
Seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos y, a continuación,
haga clic en Generar.
2.
Introduzca un nombre de certificado. El nombre de certificado
no puede puede contener espacios.
3.
Introduzca el FQDN (recomendado) o la dirección IP de la interfaz
donde pretende configurar la puerta de enlace en el campo
Nombre común.
4.
En el campo Firmado por, seleccione GlobalProtect_CA, que creó
en el paso anterior.
5.
En la sección Atributos del certificado, haga clic en Añadir y defina
los atributos para identificar de forma exclusiva la puerta de enlace.
Tenga en cuenta que si añade un atributo Nombre de host (que
cumplimenta el campo SAN del certificado), debe coincidir
exactamente con el valor que haya definido en el campo Nombre
común.
6.
Haga clic en Aceptar para generar el certificado.
7.
Compile sus cambios.
1.
En el portal, seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos, seleccione el
certificado de puerta de enlace que quiere implementar y haga clic
en Exportar.
2.
Seleccione Clave privada cifrada y certificado (PKCS12) en el
menú desplegable Formato de archivo.
3.
Introduzca dos veces una frase de contraseña para cifrar la clave
privada y, a continuación, haga clic en ACEPTAR para descargar el
archivo PKCS12 en su ordenador.
4.
En la puerta de enlace, seleccione Dispositivo > Gestión de
certificados > Certificados > Certificados de dispositivo y haga
clic en Importar.
5.
Introduzca un nombre de certificado.
6.
Introduzca la ruta y el nombre en el archivo de certificado que
acaba de descargar del portal o seleccione Examinar para buscar el
archivo.
7.
Seleccione Clave privada cifrada y certificado (PKCS12) como
Formato de archivo.
Recomendaciones:
• Exporte los certificados de servidor
autofirmados emitidos por la CA raíz al
portal e impórtelos desde las puertas de
enlace.
• Asegúrese de emitir un único certificado de
servidor para cada puerta de enlace.
• Al usar certificados autofirmados, debe
distribuir el certificado de CA raíz a los
clientes finales en las configuraciones de
clientes del portal.
8.
Introduzca la ruta y nombre en el archivo PKCS#12 en el campo
Archivo de clave o seleccione Examinar para encontrarla.
9.
Vuelva a introducir la frase de contraseña que se usó para cifrar
la clave privada y después haga clic en ACEPTAR para importar el
certificado y la clave.
10. Compilar los cambios en la puerta de enlace.
Guía del administrador de GlobalProtect
15
Configuración de la autenticación de usuario en GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de usuario en
GlobalProtect
El portal y la puerta de enlace requieren las credenciales autenticación del usuario final antes de que permitir al
agente / aplicación de GlobalProtect acceder a los recursos de GlobalProtect. Puesto que el portal y la puerta
de enlace le piden que especifique qué mecanismos de autenticación se usarán, debe configurar la autenticación
antes de continuar con la configuración del portal y la puerta de enlace. En las siguientes secciones se detallan
los mecanismos de autenticación admitidos y el modo de configurarlos:

Acerca de la autenticación de usuarios de GlobalProtect

Configuración de autenticación externa

Configuración de la autenticación de certificado de cliente

Configuración de la autenticación en dos fases
Acerca de la autenticación de usuarios de GlobalProtect
La primera vez que un agente / aplicación de GlobalProtect se conecta al portal, se solicita al usuario que se
autentique en el portal para poder descargar la configuración de GlobalProtect, que incluye una lista de puertas
de enlace a las que se puede conectar el agente, la ubicación del gestor de seguridad móvil y, de manera opcional,
un certificado de cliente para conectarse a las puertas de enlace. Cuando se haya descargado correctamente la
configuración y se haya guardado en caché, el agente / aplicación trata de conectarse a una de las puertas de
enlace especificadas en la configuración o al gestor de seguridad móvil. Puesto que estos componentes ofrecen
acceso a sus recursos y configuraciones de red, también requieren la autenticación del usuario final.
El nivel de seguridad requerido en el portal, en el gestor de seguridad móvil y en las puertas de enlace (e incluso
de una puerta de enlace a otra) varía en función de la confidencialidad de los recursos que cada uno protege;
GlobalProtect ofrece un marco de autenticación flexible que le permite elegir el perfil de autenticación o el perfil
de certificado adecuado para cada componente.
Las siguientes secciones describen las funciones de autenticación disponibles en el portal y la
puerta de enlace. Para obtener información detallada acerca de la configuración de la
autenticación, consulte Configuración del gestor de seguridad móvil para la inscripción.
16
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de usuario en GlobalProtect
Métodos de autenticación de GlobalProtect admitidos
GlobalProtect es compatible con los siguientes métodos de autenticación:
Método de autenticación Descripción
Autenticación local
Tanto las credenciales de cuenta de usuario como los mecanismos de autenticación se
encuentran en el cortafuegos. Este mecanismo de autenticación no es adaptable, ya que
requiere una cuenta para cada usuario final de GlobalProtect y, por lo tanto, solo se
recomienda para implementaciones muy pequeñas. Para obtener instrucciones sobre cómo
crear cuentas de usuarios locales, consulte la guía de inicio de PAN-OS.
Autenticación externa
Las funciones de autenticación de usuarios se externalizan a un servicio LDAP, Kerberos o
RADIUS existente (incluyendo la compatibilidad con mecanismos de autenticación en dos fases
basada en token, tales como la autenticación OTP [contraseña de un solo uso]). Para habilitar la
autenticación externa, primero debe crear un perfil de servidor que defina la configuración de
acceso al servicio de autenticación externa y, a continuación, crear un perfil de autenticación que
haga referencia al perfil de servidor. Entonces tendrá que hacer referencia al perfil de autenticación
en la configuración del portal, la puerta de enlace o el gestor de seguridad móvil. Puede usar
diferentes perfiles de autenticación para cada componente de GlobalProtect. Consulte un ejemplo
de configuración en VPN de acceso remoto (Perfil de autenticación).
Autenticación de certificación El portal o la puerta de enlace usan un certificado de cliente para obtener el nombre de usuario y
de cliente
autenticar al usuario antes de permitirle acceder al sistema. Con este tipo de autenticación, debe
emitir un certificado de cliente para cada usuario final; los certificados que emita deben contener
el nombre de usuario en uno de los campos del certificado, como el campo Nombre de asunto.
Si se ha configurado el perfil del certificado en el portal de GlobalProtect, el cliente debe presentar
un certificado para conectarse. Esto significa que los certificados deben implantarse previamente
en clientes finales antes de su conexión inicial al portal.
Además, el perfil del certificado especifica el campo del certificado del que obtener el nombre de
usuario. Si el perfil del certificado especifica Asunto en Campo nombre de usuario, el certificado
presentado por el cliente debe contener un nombre común para poder conectarse. Si el perfil del
certificado especifica un Asunto alternativo con un Correo electrónico o Nombre principal como
Campo de nombre de usuario, el certificado presentado por el cliente debe contener los campos
correspondientes, que se usarán como nombre de usuario cuando el agente de GlobalProtect se
autentique en el portal o la puerta de enlace.
GlobalProtect también es compatible con una tarjeta de acceso común (CAC) y autenticación con
tarjetas inteligentes, que se basan en un perfil del certificado. En este caso, el perfil del certificado
debe contener el certificado de CA raíz que emitió el certificado en la tarjeta inteligente/CAC.
Si usa la autenticación de certificado de cliente, no debería configurar un certificado de cliente en
la configuración del portal, ya que lo proporcionará el sistema del cliente cuando se conecte el
usuario final. En VPN de acceso remoto (Perfil del certificado) puede ver un ejemplo de cómo
configurar una autenticación de certificado de cliente.
Guía del administrador de GlobalProtect
17
Configuración de la autenticación de usuario en GlobalProtect
Configuración de la infraestructura de GlobalProtect
Método de autenticación Descripción
Autenticación en dos fases
Puede habilitar la autenticación en dos fases configurando tanto un perfil de certificado como un
perfil de autenticación y añadir ambos a la configuración de portal o puerta de enlace. Tenga en
cuenta que con la autenticación en dos fases, el cliente deberá autenticarse correctamente en
ambos mecanismos para poder acceder al sistema.
Además, si el perfil de certificado especifica un Campo nombre de usuario desde el que obtener
el nombre de usuario del certificado, el nombre de usuario se usará automáticamente para la
autenticación en el servicio de autenticación externo especificado en el perfil de autenticación. Por
ejemplo, si en el perfil del certificado Campo nombre de usuario se ha definido como Asunto, el
valor en el campo de nombre común del certificado se usará por defecto como el nombre de
usuario cuando el usuario intente autenticarse en el servidor de autenticación. Si no quiere obligar
a los usuarios a autenticarse con un nombre de usuario desde el certificado, asegúrese de que el
perfil del certificado se ha establecido en Ninguno para Campo nombre de usuario. Consulte un
ejemplo de configuración en VPN de acceso remoto con autenticación de dos factores.
¿Cómo sabe el agente qué credenciales proporcionar al portal y la puerta de enlace?
Por defecto, el agente de GlobalProtect intenta usar las mismas credenciales de inicio de sesión para la puerta de enlace
y el portal. En el caso más sencillo, si la puerta de enlace y el portal usan el mismo perfil de autenticación o perfil de
certificado, el agente se conectará a la puerta de enlace de forma transparente. Sin embargo, si el portal y la puerta de
enlace requieren credenciales diferentes (tales como OTP exclusivas), este comportamiento predeterminado
provocaría retrasos en la conexión a la puerta de enlace porque esta no avisaría al usuario para que se autenticase hasta
que hubiera intentado autenticarse sin éxito mediante las credenciales proporcionadas por el agente.
Hay dos opciones para modificar el comportamiento de la autenticación predeterminada del agente en una
configuración basada en el cliente:

Autenticación de cookies en el portal: El agente usa cookies cifradas para la autenticación en el portal al
actualizar una configuración que se ha almacenado previamente en caché (se solicitará la autenticación del usuario
siempre que se trate de la configuración inicial o al expirar una cookie). De este modo se simplifica el proceso de
autenticación para usuarios finales, puesto que ya no tendrán que iniciar sesión sucesivamente tanto en el portal
como en la puerta de enlace o introducir varias OTP para autenticarse en ambas.

Deshabilitación del reenvío de credenciales a algunas o todas las puertas de enlace: El agente no
intentará usar sus credenciales del portal para iniciar sesión en la puerta de enlace, lo que permite a la puerta de
enlace solicitar inmediatamente su propio conjunto de credenciales. Esta opción acelera el proceso de
autenticación cuando el portal y la puerta de enlace requieren credenciales distintas (ya se trate de OTP distintas o
credenciales de inicio de sesión completamente diferentes). También puede optar por usar usar una contraseña
diferente solo para puertas de enlace manuales. Con esta opción, el agente reenviará credenciales a puertas de
enlace automáticas pero no a las manuales, lo que le permite tener la misma seguridad en sus portales y en las
puertas de enlace automáticas, y al mismo tiempo solicitar una OTP como segundo factor o una contraseña
diferente para acceder a esas puertas de enlace, que permiten acceder a los recursos más importantes de su
empresa.
18
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de usuario en GlobalProtect
Configuración de autenticación externa
En el siguiente flujo de trabajo se describe el modo de configurar el portal o la puerta de enlace para la autenticación
de usuarios mediante un servicio de autenticación existente. GlobalProtect admite la autenticación externa mediante
LDAP, Kerberos o RADIUS.
GlobalProtect también es compatible con la autenticación local. Para usar este método de
autenticación, cree una base de datos de usuarios locales que contenga los usuarios y grupos a
los que quiere permitir el acceso a la VPN (Dispositivo > Base de datos de usuario local) y
haga una referencia en el perfil de autenticación.
Configuración de la autenticación de usuarios externa
Paso 1
Cree un perfil de servidor.
El perfil de servidor indica al cortafuegos
cómo conectar con un servicio de
autenticación externo y acceder a las
credenciales de autenticación de los
usuarios.
Nota
1.
2.
3.
4.
Si está usando LDAP para conectarse a
Active Directory (AD), debe crear un perfil
de servidor LDAP diferente para cada
dominio de AD.
5.
Seleccione Dispositivo > Perfiles de servidor y seleccione el tipo
de perfil (LDAP, Kerberos o RADIUS).
Haga clic en Añadir e introduzca un Nombre para el perfil, como
Aut-Usuarios-GP
(Solo LDAP) Seleccione el Tipo de servidor LDAP al que se esté
conectando.
Haga clic en Añadir en la sección Servidores e introduzca la
información requerida para el servicio de autenticación, incluido el
Nombre, Dirección IP (o FQDN) y Puerto del servidor.
(Solo RADIUS y LDAP) Especifique la configuración para
habilitar la autenticación del cortafuegos en el servicio de
autenticación del siguiente modo:
• RADIUS: Introduzca el Secreto compartido al añadir la entrada
del servidor.
• LDAP: Introduzca el valor de Enlazar DN y Enlazar
contraseña.
6.
(Solo LDAP y Kerberos) Especifique dónde buscar a los usuarios
en el servicio del directorio:
• LDAP: DN de Base especifica el punto en el árbol del LDAP
donde empezar a buscar usuarios y grupos. Este campo debería
cumplimentarse automáticamente al introducir el puerto y la
dirección del servidor. De no ser así, compruebe la ruta del
servicio al servidor LDAP.
• Kerberos: Introduzca el nombre del Dominio de Kerberos.
7.
8.
Paso 2
Cree un perfil de autenticación.
1.
El perfil de autenticación especifica qué
perfil de servidor se usa para la autenticación 2.
de usuarios. Puede adjuntar un perfil de
autenticación a una configuración de portal 3.
o puerta de enlace.
4.
5.
Paso 3
Guarde la configuración.
Guía del administrador de GlobalProtect
Especifique el nombre del Dominio (sin puntos, por ejemplo acme,
no acme.com). Este valor se añadirá al nombre de usuario en la
dirección IP para las asignaciones de usuarios a los ID de usuario.
Haga clic en Aceptar para guardar el perfil de servidor.
Seleccione Dispositivo > Perfil de autenticación y haga clic en
Añadir un nuevo perfil.
Introduzca un Nombre para el perfil y, a continuación, seleccione
el tipo de Autenticación (LDAP, Kerberos o RADIUS).
Seleccione el Perfil de servidor que creó en el Paso 1.
(LDAP AD) Introduzca sAMAccountName como el Atributo de
inicio de sesión.
Haga clic en ACEPTAR.
Haga clic en Compilar.
19
Configuración de la autenticación de usuario en GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de certificado de cliente
Con la autenticación de certificado del cliente, el agente / aplicación debe presentar un certificado de cliente
para conectarse al portal o puerta de enlace de GlobalProtect.
Configuración de la autenticación de certificado de cliente
Paso 1
Emita certificados de cliente para
máquinas/usuarios de GlobalProtect.
El método de emisión de certificados de
cliente depende del modo en que esté
usando la autenticación de clientes:
• Para autenticar usuarios
individuales: Debe emitir un
certificado de cliente exclusivo para
cada usuario de GlobalProtect e
implementarlos en los sistemas del
cliente antes de habilitar
GlobalProtect.
• Para validar que el sistema del
cliente pertenece a su organización:
Use su propia infraestructura de clave
pública (PKI) para emitir y distribuir
certificados de máquina a cada sistema
de cliente (recomendado) o genere un
certificado de máquina autofirmado
para su exportación. Es un requisito
anterior al inicio de sesión. Esta opción
requiere que configure además un
perfil de autenticación para autenticar
al usuario. Consulte Autenticación en
dos fases.
• Para validar que un usuario
pertenece a su organización: En este
caso, puede usar un único certificado
de cliente para todos los agentes, o bien
generar certificados separados para
implementarlos con una configuración
de cliente en particular. Use el
procedimiento de este paso para emitir
certificados de cliente autofirmados
para tal fin.
20
Para emitir certificados exclusivos para clientes o máquinas
individuales, use su CA de empresa o una CA pública. Sin embargo,
si quiere usar certificados de cliente para validar que el usuario
pertenece a su organización, genere un certificado de cliente
autofirmado como se especifica a continuación:
1. Cree el certificado de CA raíz para la emisión de certificados
autofirmados de los componentes de GlobalProtect.
2.
Seleccione Dispositivo > Gestión de certificados > Certificados >
Certificados de dispositivos y, a continuación, haga clic en
Generar.
3.
Introduzca un nombre de certificado. El nombre de certificado
no puede puede contener espacios.
4.
En el campo Nombre común, introduzca un nombre para
identificar este certificado como certificado de agente; por
ejemplo, Clientes_Windows_GP. Dado que este mismo certificado
se implementará a todos los agentes usando la misma
configuración, no es necesario identificar de forma exclusiva
usuarios finales o sistemas específicos.
5.
(Opcional) En la sección Atributos del certificado, haga clic en
Añadir y defina los atributos que identifican a los clientes de
Global Protect como pertenecientes a su organización si forma
parte de sus requisitos de seguridad.
6.
En el campo Firmado por, seleccione su CA raíz.
7.
Haga clic en Aceptar para generar el certificado.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de usuario en GlobalProtect
Configuración de la autenticación de certificado de cliente (Continuación)
Paso 2
Instale certificados en el almacén de
certificados personales de los sistemas
cliente.
Si está usando certificados de usuario o
certificados de máquina exclusivos, cada
certificado debe instalarse en el almacén
de certificados personales del sistema
cliente antes de la primera conexión al
portal / puerta de enlace. Instale
certificados de máquina en el almacén de
certificados del equipo local en Windows
y en el llavero del sistema de Mac OS.
Instale certificados de usuario en el almacén
de certificados del usuario actual en
Windows y en el llavero personal de
Mac OS.
Guía del administrador de GlobalProtect
Por ejemplo, para instalar un certificado en un sistema Windows usando
Microsoft Management Console:
1. Desde la línea de comandos, introduzca mmc para iniciar la consola.
2. Seleccione Archivo > Agregar o quitar complemento.
3. Seleccione Certificados, haga clic en Agregar y, a continuación,
seleccione una de las siguientes opciones, dependiendo del
certificado que esté importando:
• Cuenta de equipo: Seleccione esta opción si está importando
un certificado de máquina.
• Mi cuenta de usuario: Seleccione esta opción si está
importando un certificado de usuario.
4.
Expanda Certificados y seleccione Personal. A continuación,
en la columna Acciones seleccione Personal > Acciones
adicionales > Todas las tareas > Importar y siga los pasos del
Asistente para importación de certificados para importar el archivo
PKCS que ha obtenido de la CA.
5.
Desplácese hasta el archivo de certificado .p12 para importar
(seleccione Intercambio de información personal como el tipo
de archivo que busca) e introduzca la contraseña que usó para
cifrar la clave privada. Seleccione Personal como el almacén de
certificados.
21
Configuración de la autenticación de usuario en GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de certificado de cliente (Continuación)
(Continuación del Paso 2)
6.
Compruebe que se ha añadido el certificado al almacén de
certificados personales:
Paso 3
1.
Descargue el certificado de CA raíz usado para emitir los
certificados de clientes (formato Base64).
2.
Importe el certificado de CA raíz desde la CA que generó los
certificados de cliente al cortafuegos:
Importe el certificado de CA raíz usado
para emitir los certificados de clientes
desde el cortafuegos.
Este paso solo es necesario si los
certificados de clientes fueron emitidos
por una CA externa, como una CA
pública o una CA PKI de empresa.
Si usa certificados autofirmados, el
portal / puerta de enlace ya confía en
la CA raíz.
a. Seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos y haga clic en
Importar.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Desplácese hasta el archivo del certificado que descargó
de la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuación, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaña
Certificados de dispositivos para abrirlo.
f. Seleccione CA raíz de confianza y, a continuación, haga clic
en Aceptar.
1.
Paso 4
Cree un perfil de certificado de cliente.
Nota
Si está configurando el portal o puerta de
enlace con autenticación en dos fases, se
usará como nombre de usuario el nombre 2.
de usuario del certificado de cliente
cuando se autentique al usuario en su
servicio de autenticación externo. De este 3.
modo se garantiza que el usuario que se
está registrando es en realidad el usuario
para el que se emitió el certificado.
Paso 5
22
Guarde la configuración.
Seleccione Dispositivo > Certificados > Gestión de
certificados > Perfil del certificado, haga clic en Añadir e
introduzca un Nombre de perfil.
Seleccione un valor para el Campo de nombre de usuario para
especificar qué campo en el certificado contendrá la
información de identidad del usuario.
En el campo Certificados de CA, haga clic en Añadir, seleccione
el certificado de CA raíz de confianza que importó en el Paso 3
y, a continuación, haga clic en ACEPTAR.
Haga clic en Confirmar.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de usuario en GlobalProtect
Configuración de la autenticación en dos fases
Si necesita una autenticación sólida para proteger sus recursos más importantes o para cumplir con requisitos
normativos, como PCI, SDX o HIPAA, configure GlobalProtect para usar un servicio de autenticación que use
un esquema de autenticación en dos fases como contraseñas de un solo uso (OTP), tokens, tarjetas inteligentes
o una combinación de autenticación externa y autenticación de certificado de cliente. Un esquema de
autenticación en dos fases requiere dos elementos: algo que conozca el usuario final (como un PIN o una
contraseña) y algo que el usuario tenga (hardware o de token/OTP, tarjeta inteligente o certificado).
Las siguientes secciones ofrecen ejemplos de cómo configurar una autenticación en dos fases en GlobalProtect:

Habilitación de la autenticación en dos fases

Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP)

Habilitación de autenticación en dos fases mediante tarjetas inteligentes
Habilitación de la autenticación en dos fases
El siguiente flujo de trabajo muestra cómo configurar la autenticación de clientes de GlobalProtect que requiere
que el usuario se autentique tanto con un perfil de certificado como con un perfil de autenticación. El usuario
debe autenticarse correctamente usando ambos métodos para poder conectarse al portal/puerta de enlace. Si
desea información más detallada sobre esta configuración, consulte VPN de acceso remoto con autenticación
de dos factores.
Guía del administrador de GlobalProtect
23
Configuración de la autenticación de usuario en GlobalProtect
Configuración de la infraestructura de GlobalProtect
Habilitación de la autenticación en dos fases
Paso 1
1.
Seleccione Dispositivo > Perfiles de servidor y seleccione el
tipo de perfil (LDAP, Kerberos o RADIUS).
2.
Haga clic en Añadir e introduzca un Nombre para el perfil,
como Aut-Usuarios-GP.
3.
(Solo LDAP) Seleccione el Tipo de servidor LDAP al que se
esté conectando.
4.
Si está usando LDAP para conectarse a
Active Directory (AD), debe crear un perfil
de servidor LDAP diferente para cada
dominio de AD.
5.
Haga clic en Añadir en la sección Servidores e introduzca la
información requerida para el servicio de autenticación,
incluido el Nombre, Dirección IP (o FQDN) y Puerto del
servidor.
Cree un perfil de servidor.
El perfil de servidor indica al cortafuegos
cómo conectar con un servicio de
autenticación externo y acceder a las
credenciales de autenticación de los
usuarios.
Nota
(Solo RADIUS y LDAP) Especifique la configuración para
habilitar la autenticación del cortafuegos en el servicio de
autenticación del siguiente modo:
• RADIUS: Introduzca el Secreto compartido al añadir la
entrada del servidor.
• LDAP: Introduzca el valor de Enlazar DN y Enlazar
contraseña.
6.
(Solo LDAP y Kerberos) Especifique dónde buscar a los
usuarios en el servicio del directorio:
• LDAP: DN de Base especifica el punto en el árbol del
LDAP donde empezar a buscar usuarios y grupos. Este
campo debería cumplimentarse automáticamente al
introducir el puerto y la dirección del servidor. De no ser
así, compruebe la ruta del servicio al servidor LDAP.
• Kerberos: Introduzca el nombre del Dominio de Kerberos.
Paso 2
Cree un perfil de autenticación.
El perfil de autenticación especifica
qué perfil de servidor se usa para la
autenticación de usuarios. Puede
adjuntar un perfil de autenticación a
una configuración de portal o puerta
de enlace.
7.
Especifique el nombre del Dominio (sin puntos, por
ejemploacme, no acme.com). Este valor se añadirá al nombre
de usuario en la dirección IP para las asignaciones de usuarios
a los ID de usuario.
8.
Haga clic en Aceptar para guardar el perfil de servidor.
1.
Seleccione Dispositivo > Perfil de autenticación y haga clic
en Añadir un nuevo perfil.
2.
Introduzca un Nombre para el perfil y, a continuación,
seleccione el tipo de Autenticación (LDAP, Kerberos o
RADIUS).
3.
Seleccione el Perfil de servidor que creó en el Paso 1.
4.
(LDAP AD) Introduzca sAMAccountName como Atributo
de inicio de sesión.
5.
24
Haga clic en ACEPTAR.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de usuario en GlobalProtect
(Continuación) Habilitación de la autenticación en dos fases
1.
Paso 3
Cree un perfil de certificado de cliente.
Nota
Si está configurando el portal o puerta de
enlace con autenticación en dos fases, si el
cliente contiene un campo de nombre de 2.
usuario, el valor del nombre de usuario se
usará como nombre de usuario cuando se
autentique al usuario en su servicio de
autenticación externo. De este modo se
garantiza que el usuario que se está
registrando es en realidad el usuario para el
que se emitió el certificado.
3.
Paso 4
(Opcional) Emita certificados de cliente
1.
para máquinas/usuarios de GlobalProtect.
2.
Paso 5
Seleccione Dispositivo > Certificados > Gestión de
certificados > Perfil del certificado, haga clic en Añadir e
introduzca un Nombre de perfil.
Seleccione un valor para el Campo de nombre de usuario:
• Si está implementando un certificado de cliente desde el
portal, deje este campo definido como Ninguno.
• Si está configurando un perfil de certificado para usarlo
antes del inicio de sesión, deje este campo definido como
Ninguno.
• Si está usando el certificado de cliente para la autenticación
de usuarios individuales (incluyendo usuarios de tarjetas
inteligentes), seleccione el campo del certificado que
contendrá la información de identidad del usuario.
En el campo Certificados de CA, haga clic en Añadir,
seleccione el certificado de CA raíz de confianza que importó
en el Paso 3 y, a continuación, haga clic en ACEPTAR.
Utilice su PKI empresarial o CA pública para emitir un
certificado de cliente único para cada usuario de
GlobalProtect.
Instale certificados en el almacén de certificados personales de
los sistemas cliente.
Guarde la configuración de GlobalProtect. Haga clic en Confirmar.
Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP)
En el cortafuegos, el proceso de configuración del acceso al servicio de autenticación en dos fases es parecido
al de configuración de cualquier otro tipo de autenticación: cree un perfil de servidor (normalmente en un
servidor RADIUS), añada el perfil de servidor a un perfil de autenticación y, a continuación, haga referencia a
ese perfil de autenticación en la configuración del dispositivo que llevará a cabo la autenticación: en este caso,
el portal o la puerta de enlace de GlobalProtect.
Por defecto, el agente proporcionará las mismas credenciales usadas para el inicio de sesión en el portal y la
puerta de enlace. En el caso de la autenticación OTP, este comportamiento hará que la autenticación falle
inicialmente en la puerta de enlace y, debido al retraso que esto ocasiona en la solicitud de inicio de sesión al
usuario, la OTP del usuario puede caducar. Para evitar esto, el portal permite la modificación de este
comportamiento mediante una configuración para cada cliente, ya sea permitiendo al portal la autenticación
usando una cookie cifrada o evitando que el agente use con la puerta de enlace las mismas credenciales que usó
para el portal. Ambas opciones resuelven el problema habilitando a la puerta de enlace para que pueda solicitar
las credenciales apropiadas inmediatamente.
Guía del administrador de GlobalProtect
25
Configuración de la autenticación de usuario en GlobalProtect
Configuración de la infraestructura de GlobalProtect
Habilitación de la compatibilidad con OTP
Paso 1
Configure su servidor RADIUS para que Puede consultar instrucciones específicas en su servidor RADIUS.
En la mayoría de los casos, necesitará configurar un agente de
interaccione con el cortafuegos.
autenticación y una configuración de cliente en el servidor RADIUS
Este procedimiento da por hecho que
para habilitar la comunicación entre el cortafuegos y el servidor
su servicio RADIUS ya está configurado
RADIUS. También deberá definir el secreto compartido usado para
para OTP o token y que los usuarios ya
cifrar las sesiones entre el cortafuegos y el servidor RADIUS.
han implementado los dispositivos
necesarios (como tokens de hardware).
Paso 2
En el cortafuegos que actuará como su
puerta de enlace o portal, cree un perfil
de servidor RADIUS.
1.
Seleccione Dispositivo > Perfiles de servidor > RADIUS, haga
clic en Añadir e introduzca un Nombre para el perfil.
2.
Introduzca el nombre del Dominio de RADIUS.
Recomendación:
3.
Para añadir una entrada de servidor RADIUS, haga clic en
Añadir en la sección Servidores y, a continuación, introduzca la
Cuando cree el perfil de servidor
RADIUS, introduzca siempre un nombre
de dominio, ya que este valor servirá de
dominio predeterminado para la
asignación de ID de usuario si los usuarios
no proporcionan uno al iniciar sesión.
siguiente información:
• Un nombre descriptivo para identificar este Servidor
RADIUS
• La Dirección IP del servidor RADIUS
• El Secreto compartido usado para cifrar sesiones entre el
cortafuegos y el servidor RADIUS
• El número de Puerto desde el que el servidor RADIUS
escuchará las solicitudes de autenticación (por defecto, 1812)
Paso 3
Cree un perfil de autenticación.
4.
Haga clic en Aceptar para guardar el perfil.
1.
Seleccione Dispositivo > Perfiles de autenticación, haga clic en
Añadir e introduzca un Nombre para el perfil. El nombre del
perfil de autenticación no puede contener espacios.
Paso 4
Asigne el perfil de autenticación
a la puerta de enlace o portal de
GlobalProtect.
2.
Seleccione RADIUS en el menú desplegable Autenticación.
3.
Seleccione el Perfil de servidor que ha creado para acceder a su
servidor RADIUS.
4.
Haga clic en ACEPTAR para guardar el perfil de autenticación.
1.
Seleccione Red > GlobalProtect > Puertas de enlace o
Portales y seleccione la configuración (o añada una).
2.
En la pestaña General (en la puerta de enlace) o Configuración
portal (en el portal), seleccione el Perfil de autenticación que
Esta sección solo describe cómo
añadir el perfil de autenticación a la
puerta de enlace o perfil de configuración. 3.
Para obtener información sobre la
configuración de estos componentes,
consulte Configuración de las puertas de 4.
enlace de GlobalProtect y Configuración
del portal de GlobalProtect.
26
acaba de crear.
Introduzca un Mensaje de autenticación para guiar a los
usuarios en cuanto a las credenciales de autenticación que
deben usar.
Haga clic en ACEPTAR para guardar la configuración.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de usuario en GlobalProtect
Habilitación de la compatibilidad con OTP (Continuación)
Paso 5
(Opcional) Modifique el comportamiento 1.
de autenticación predeterminada en el
portal.
2.
Esta sección solo describe cómo
modificar el comportamiento de
autenticación del portal. Si desea
información más detallada, consulte
Definición de las configuraciones de
clientes.
3.
Seleccione Red > GlobalProtect > Puertas de enlace o
Portales y seleccione la configuración (o añada una).
Seleccione la pestaña Configuración clientes y, a continuación,
seleccione o añada una configuración de cliente.
En la pestaña General, seleccione uno de los siguientes valores
del campo Modificador de autenticación:
• Autenticación de cookies para actualización de
configuración: Permite al portal usar una cookie cifrada para
la autenticación de usuarios, de modo que no tengan que
introducir múltiples OTP o credenciales.
• Contraseña diferente para puerta de enlace externa:
Evita que el agente reenvíe a la puerta de enlace las
credenciales de usuario que usó para la autenticación en el
portal con el fin de evitar fallos de autenticación OTP.
4.
Haga clic en ACEPTAR dos veces para guardar la configuración.
Paso 6
Guarde la configuración.
Haga clic en Confirmar.
Paso 7
Verifique la configuración.
Desde un sistema cliente que ejecute el agente de GlobalProtect, trate de
conectarse a una puerta de enlace o portal en el que haya habilitado la
autenticación. Debería ver dos mensajes parecidos a estos:
En este paso se da por hecho que ya tiene
configurada la puerta de enlace y el portal.
El primero le solicitará un PIN (ya sea generado por el usuario o por el
Para obtener información sobre la
sistema):
configuración de estos componentes,
consulte Configuración de las puertas de
enlace de GlobalProtect y Configuración
del portal de GlobalProtect.
El segundo le solicitará un token u OTP:
Guía del administrador de GlobalProtect
27
Configuración de la autenticación de usuario en GlobalProtect
Configuración de la infraestructura de GlobalProtect
Habilitación de autenticación en dos fases mediante tarjetas inteligentes
Si quiere habilitar a sus usuarios finales para que se autentiquen usando una tarjeta inteligente o una tarjeta de
acceso común (CAC), debe importar desde el portal o la puerta de enlace el certificado de CA raíz que emitió
los certificados contenidos en las tarjetas inteligentes / CAC del usuario final. Puede crear un perfil de
certificado que incluya esa CA raíz y la aplique a sus configuraciones de portal o puerta de enlace para habilitar
el uso de tarjetas inteligentes en el proceso de autenticación.
Habilitación de autenticación con tarjetas inteligentes
Paso 1
Configure su infraestructura para tarjetas
inteligentes
Este procedimiento da por hecho que ha
facilitado tarjetas inteligentes y lectores de
tarjetas inteligentes a sus usuarios finales.
Paso 2
Importe el certificado de la CA raíz que
emitió los certificados contenidos en las
tarjetas inteligentes de los usuarios finales.
Puede consultar instrucciones específicas en la documentación del
software del proveedor de autenticación de usuarios. En la mayoría de
los casos, la configuración de la infraestructura para tarjetas inteligentes
requiere la generación de certificados para los usuarios finales y los
servidores que participan en el sistema, que en este caso son los portales
o puertas de enlace de GlobalProtect. Todos los certificados para
usuarios finales y el portal o la puerta de enlace deben haber sido
emitidos por la misma CA raíz.
Asegúrese de que se puede acceder a los archivos de clave y certificado
desde su sistema de gestión y de que tiene la frase de contraseña para
descifrar la clave privada. A continuación, siga estos pasos:
1. Seleccione Configuración > Gestión de certificados >
Certificados > Certificados de dispositivos.
2.
Haga clic en Importar e introduzca un nombre de certificado.
3.
Introduzca la ruta y el nombre en el Archivo de certificado que
recibió de la CA o seleccione Examinar para buscar el archivo.
4.
Seleccione Clave privada cifrada y certificado (PKCS12) como
Formato de archivo.
5.
Seleccione la casilla de verificación Importar clave privada.
6.
Introduzca la ruta y el nombre en el archivo PKCS#12, en el campo
Archivo de clave o seleccione Examinar para encontrarla.
7.
Paso 3
Cree el perfil de certificado.
Nota
Consulte la ayuda en línea para obtener
detalles de otros campos de perfil de
certificado, como si debe usar CRL
u OCSP.
Vuelva a introducir la frase de contraseña que se usó para cifrar
la clave privada y después haga clic en ACEPTAR para importar el
certificado y la clave.
Cree el perfil de certificado en cada portal o puerta de enlace en la que
pretenda usar autenticación con tarjetas inteligentes o CAC:
1. Seleccione Dispositivo > Certificados > Gestión de
certificados > Perfil del certificado, haga clic en Añadir e
introduzca un Nombre de perfil.
2.
Asegúrese de definir el Campo de nombre de usuario como
Ninguno.
28
3.
En el campo Certificados de CA, haga clic en Añadir, seleccione
el certificado de CA raíz de confianza que importó en el Paso 2 y,
a continuación, haga clic en ACEPTAR.
4.
Haga clic en ACEPTAR para guardar el perfil del certificado.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de la autenticación de usuario en GlobalProtect
Habilitación de autenticación con tarjetas inteligentes (Continuación)
Paso 4
Asigne el perfil del certificado a la puerta de 1.
enlace o portal de GlobalProtect.
Esta sección solo describe cómo añadir el
perfil del certificado a la puerta de enlace 2.
o perfil de configuración. Para obtener
información sobre la configuración
de estos componentes, consulte
3.
Configuración de las puertas de enlace de
GlobalProtect y Configuración del portal 4.
de GlobalProtect.
Seleccione Red > GlobalProtect > Puertas de enlace o
Portales y seleccione la configuración (o haga clic en Añadir
para añadir una).
En la pestaña General (en la puerta de enlace) o Configuración
portal (en el portal), seleccione el Perfil del certificado que
acaba de crear.
Introduzca un Mensaje de autenticación para guiar a los usuarios
en cuanto a las credenciales de autenticación que deben usar.
Haga clic en ACEPTAR para guardar la configuración.
Paso 5
Guarde la configuración.
Haga clic en Confirmar.
Paso 6
Verifique la configuración.
Desde un sistema cliente que ejecute el agente de GlobalProtect, trate de
conectarse a una puerta de enlace o portal en el que haya configurado la
autenticación con tarjetas inteligentes. Cuando se le indique, inserte su
tarjeta inteligente y compruebe que puede autenticarse correctamente en
GlobalProtect.
Guía del administrador de GlobalProtect
29
Habilitación de la asignación de grupo
Configuración de la infraestructura de GlobalProtect
Habilitación de la asignación de grupo
Dado que el agente o la aplicación que se ejecuta en los sistemas de sus usuarios finales requieren la autenticación
correcta del usuario antes de tener acceso a GlobalProtect, se conoce la identidad de cada usuario de GlobalProtect.
Sin embargo, si quiere tener la capacidad de definir configuraciones de GlobalProtect o políticas de seguridad basadas
en la pertenencia a grupos, el cortafuegos debe recuperar la lista de grupos y la correspondiente lista de miembros de
su servidor de directorios. Esto recibe el nombre de asignación de grupos.
Para habilitar esta función, debe crear un perfil de servidor LDAP que indique al cortafuegos cómo conectarse al
servidor de directorios y autenticarlo, así como el modo de buscar en el directorio la información de usuarios y grupos.
Cuando el cortafuegos se haya conectado correctamente al servidor LDAP y haya recuperado las asignaciones de
grupos, será capaz de seleccionar grupos al definir las configuraciones de clientes y las políticas de seguridad. El
cortafuegos admite una variedad de servidores de directorio LDAP, incluidos Microsoft Active Directory (AD),
Novell eDirectory y Sun ONE Directory Server.
Utilice el siguiente procedimiento para conectarse a su directorio LDAP y así permitir que el cortafuegos recupere
información de asignación de usuario a grupo:
30
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Habilitación de la asignación de grupo
Asignación de usuarios a grupos
Paso 1
Cree un perfil de servidor LDAP que especifique cómo conectarse a los servidores de directorio a los que
debería conectarse el cortafuegos para obtener información de asignación de grupos:
1. Seleccione Dispositivo > Perfiles de servidor > LDAP.
2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el menú desplegable Ubicación.
4. Haga clic en Añadir para añadir una nueva entrada de servidor LDAP y, a continuación, introduzca un
nombre de Servidor para identificar al servidor (de 1 a 31 caracteres) y el número de Dirección IP y Puerto
que debería utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP;
636 para LDAP sobre SSL). Puede añadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los
servidores que añada a un perfil deberán ser del mismo tipo. Para la redundancia, debería añadir como mínimo
dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor
que introduzca aquí dependerá de su implementación:
• Si está utilizando Active Directory, deberá introducir el nombre de dominio NetBIOS; NO el FQDN
(por ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios
dominios, deberá crear perfiles de servidor separados para cada dominio. Aunque el nombre de dominio
se puede determinar automáticamente, la práctica recomendada es introducir el nombre de dominio
siempre que sea posible.
• Si está utilizando un servidor de catálogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se esté conectando. Los valores de asignación de grupos se
cumplimentarán automáticamente según su selección. Sin embargo, si ha personalizado su esquema, puede
que tenga que modificar los ajustes predeterminados.
7. En el campo Base, especifique el punto donde desee que el cortafuegos comience su búsqueda de
información de usuarios y grupos dentro del árbol de LDAP.
8. Introduzca las credenciales de autenticación para el enlace con el árbol de LDAP en los campos Enlazar DN,
Enlazar contraseña y Confirmar contraseña de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., [email protected]) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a través de una conexión segura,
seleccione la casilla de verificación SSL. Si habilita SSL, asegúrese de que también ha especificado el número
de puerto adecuado.
Guía del administrador de GlobalProtect
31
Habilitación de la asignación de grupo
Configuración de la infraestructura de GlobalProtect
Asignación de usuarios a grupos (Continuación)
Paso 2
Añada el perfil de servidor LDAP a la configuración de asignación de grupos de User-ID.
1. Seleccione Dispositivo > Identificación de
usuarios > Configuración de asignación de
grupo y haga clic en Añadir.
2. Introduzca un Nombre para la configuración.
3. Seleccione el Perfil de servidor que creó en el
Paso 1.
4. Asegúrese de que la casilla de verificación
Habilitado está seleccionada.
5. (Opcional) Si desea limitar los grupos que se
muestran en la política de seguridad,
seleccione la pestaña Lista de inclusión de
grupos y, a continuación, examine el árbol de
LDAP para localizar los grupos que desea
poder utilizar en la política. En el caso de cada
grupo que desee incluir, selecciónelo en la lista
Grupos disponibles y haga clic en el icono de adición para moverlo a la lista Grupos incluidos. Repita este
paso para cada grupo que desee poder utilizar en sus políticas.
6. Haga clic en ACEPTAR para guardar la configuración.
Paso 3
32
Guarde la configuración.
Haga clic en Confirmar.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de las puertas de enlace de GlobalProtect
Configuración de las puertas de enlace de GlobalProtect
Puesto que la configuración de GlobalProtect que el portal entrega a los agentes incluye la lista de puertas de
enlace a las que puede conectarse el cliente, es recomendable configurar las puertas de enlace antes de configurar
el portal.
La puerta de enlace se puede configurar para que ofrezca dos funciones principales:

Aplicar políticas de seguridad para los agentes y aplicaciones de GlobalProtect que se conectan e ella.
También puede habilitar la recopilación HIP en la puerta de enlace para mejorar la granularidad de la política
de seguridad. Para obtener más información sobre la habilitación de comprobaciones HIP, consulte Uso de
información del host en la aplicación de políticas.

Ofrece acceso a su red interna a través de una red privada virtual (VPN). El acceso VPN se proporciona a
través de túnel SSL o IPSec entre el cliente y una interfaz de túnel en el cortafuegos de la puerta de enlace.
Tareas previamente necesarias
Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes:

Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Para las
puertas de enlace que requieren conexiones de túnel, debe configurar tanto la interfaz física como la
interfaz de túnel virtual. Consulte Creación de interfaces y zonas para GlobalProtect.

Configurar los certificados de servidor de puerta de enlace requeridos por el agente de GlobalProtect para
establecer una conexión SSL con la puerta de enlace. Consulte Habilitación de SSL entre componentes de
GlobalProtect.

Definir los perfiles de autenticación o perfiles del certificado que servirán para la autenticación de usuarios
de GlobalProtect. Consulte Configuración de la autenticación de usuario en GlobalProtect.
Configuración de una puerta de enlace
Una vez completadas las tareas previas, configure cada puerta de enlace de GlobalProtect del siguiente modo:
Configuración de las puertas de enlace
Paso 1
Añada una plantilla.
Guía del administrador de GlobalProtect
1.
Seleccione Red > GlobalProtect > Puertas de enlace y haga clic
en Añadir.
2.
En la pestaña General, introduzca un Nombre para la puerta de
enlace. El nombre de la puerta de enlace no puede contener
espacios y se recomienda que incluya la ubicación u otra
información descriptiva que ayude a los usuarios y a otros
administradores a identificar la puerta de enlace.
3.
(Opcional) Seleccione el sistema virtual al que pertenece esta
puerta de enlace en el campo Ubicación.
33
Configuración de las puertas de enlace de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de las puertas de enlace (Continuación)
Paso 2
Especifique la información de red que
permita a los agentes conectarse a la
puerta de enlace.
1.
Seleccione la Interfaz que usarán los agentes para acceder a la
puerta de enlace.
Especifique cómo se autenticarán los
usuarios finales en la puerta de enlace.
• Para autenticar a los usuarios mediante una base de datos de
usuarios local o un servicio de autenticación externo, como LDAP,
Kerberos o RADIUS (incluyendo OTP), seleccione el Perfil de
autenticación correspondiente.
2. Seleccione la Dirección IP para el servicio web de la puerta de
enlace.
Si aún no ha creado la interfaz de red
para la puerta de enlace, consulte las
3. Seleccione el Certificado de servidor para la puerta de enlace en
instrucciones de Creación de interfaces y
el menú desplegable.
zonas para GlobalProtect. Si aún no ha
Nota El campo de nombre común (CN) y, si es aplicable, de
creado un certificado de servidor
nombre alternativo del asunto (SAN) del certificado deben
para la puerta de enlace, consulte
coincidir con la dirección IP o con el nombre de dominio
Implementación de certificados de
completo (FQDN) de la interfaz donde configure la puerta
servidores en los componentes de
de enlace.
GlobalProtect.
Paso 3
Si no ha configurado aún los perfiles
de autenticación o del certificado,
consulte las instrucciones de
Configuración de la autenticación de
usuario en GlobalProtect.
• Para proporcionar ayuda a los usuarios en lo que respecta a las
credenciales que deben facilitar, introduzca un Mensaje de
autenticación.
• Para autenticar a los usuarios basándose en un certificado de
cliente o una tarjeta inteligente, seleccione el Perfil del certificado
correspondiente.
• Para usar la autenticación en dos fases, seleccione tanto el perfil de
autenticación como el perfil del certificado. Tenga en cuenta que el
usuario debe autenticarse correctamente en los dos métodos para
poder acceder.
Paso 4
Nota
34
Configure los parámetros del túnel y habilite 1.
la tunelización.
En el cuadro de diálogo Puerta de enlace de GlobalProtect,
seleccione Configuración clientes > Ajustes de túnel.
Los parámetros del túnel son necesarios si 2.
configura una puerta de enlace externa. Las
puertas de enlace internas se configuran de 3.
forma optativa.
Seleccione la casilla de verificación Modo de túnel para habilitar la
tunelización.
Seleccione la Interfaz de túnel que definió en el Paso 2 en
Creación de interfaces y zonas para GlobalProtect.
4. (Opcional) Seleccione Habilitar compatibilidad con X-Auth si
Si quiere forzar el uso del modo de túnel
tiene clientes finales que necesitan conectarse a la puerta de enlace
SSL-VPN, anule la selección de la casilla de
mediante un cliente VPN externo, como un cliente VPNC
verificación Habilitar IPSec. Por defecto,
ejecutándose en Linux. Si habilita X-Auth, también debe facilitar
SSL-VPN solo se usará si el cliente no puede
el nombre del Grupo y la Contraseña de grupo si el cliente lo
establecer un túnel IPSec. La autenticación
requiere.
extendida (X-Auth) solo es compatible con
túneles IPSec.
Nota Pese a que el acceso a X-Auth es compatible con dispositivos
iOS y Android, ofrece una funcionalidad limitada de
GlobalProtect. En su lugar, use la aplicación de GlobalProtect
para un acceso simplificado a todo el conjunto de funciones de
seguridad que proporciona GlobalProtect en dispositivos iOS
y Android. La aplicación de GlobalProtect para iOS puede
encontrarse en el AppStore y la aplicación de GlobalProtect
para Android se encuentra en Google Play.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de las puertas de enlace de GlobalProtect
Configuración de las puertas de enlace (Continuación)
Paso 5
Nota
1.
(Solo Modo de túnel) Configure los
ajustes de red para asignar el adaptador de
red virtual de los clientes cuando un
2.
agente establece un túnel con la puerta de
enlace.
Los ajustes de red no son necesarios en las
configuraciones de puerta de enlace
interna en modo de no túnel porque, en
este caso, los agentes usan los ajustes de
red asignados por el adaptador de red
físico.
En el cuadro de diálogo Puerta de enlace de GlobalProtect,
seleccione Configuración clientes > Configuración de red.
Especifique los ajustes de la configuración de red para clientes
siguiendo uno de estos modos:
• Puede asignar manualmente el sufijo y los servidores DNS,
así como los servidores WINS completando los campos
correspondientes.
• Si el cortafuegos tiene una interfaz configurada como cliente
DHCP, puede definir el Origen de herencia en esa interfaz y
el agente de GlobalProtect recibirá los mismos ajustes que
haya recibido el cliente DHCP.
3.
Para especificar el Grupo de IP y usarlo para asignar direcciones
IP de clientes, haga clic en Añadir y, a continuación, especifique
los intervalos de IP que se usarán. Es recomendable usar un
intervalo de direcciones IP diferente al asignado a los clientes
que están conectados físicamente a su LAN para garantizar el
enrutamiento adecuado de retorno a la puerta de enlace.
4.
Para definir a qué subredes de destino enrutar a través del túnel,
haga clic en Añadir en el área de Acceder a ruta y, a
continuación, introduzca las rutas del siguiente modo:
• Para enrutar todo el tráfico a través de GlobalProtect
(tunelización completa), introduzca 0.0.0.0/0 como la ruta de
acceso. A continuación, necesitará usar una política de
seguridad para definir a qué zonas puede acceder el cliente
(incluyendo las zonas no fiables). La ventaja de la
tunelización completa es que le ofrece visibilidad completa
del tráfico del cliente y puede garantizar la seguridad de los
clientes de acuerdo con su política, incluso aunque no estén
conectados físicamente a la red LAN.
• Para enrutar solo parte del tráfico (tráfico probablemente
destinado a su LAN) a GlobalProtect (tunelización dividida),
especifique las subredes de destino que deberán tunelizarse.
En este caso, el tráfico que no está destinado a una ruta de
acceso específica se enrutará a través del adaptador físico del
cliente en lugar de hacerlo a través del adaptador virtual (el
túnel). Tenga en cuenta que si especifica acceso a subredes
discontinuas, el adaptador virtual se asignará a un enrutador
predeterminado de 0.0.0.0/0.
Guía del administrador de GlobalProtect
35
Configuración de las puertas de enlace de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración de las puertas de enlace (Continuación)
Paso 6
1.
(Opcional) Defina los mensajes de
notificación que verán los usuarios finales
cuando se aplique una regla de seguridad
2.
con un perfil de información de host (HIP).
En la pestaña Configuración clientes > Notificación HIP, haga
clic en Añadir.
Seleccione el Perfil HIP al que se aplica este mensaje en el menú
desplegable.
Este paso solo se aplica si ha creado perfiles 3.
de información de host y los ha añadido a
sus políticas de seguridad. Para obtener
información sobre cómo configurar la
función HIP e información más detallada
acerca de la creación de mensajes de
notificación de HIP, consulte Uso de
4.
información del host en la aplicación de
políticas.
Seleccione Coincidir mensaje o Mensaje no coincidente, en
función de si desea mostrar el mensaje cuando se cumpla el perfil
HIP correspondiente en la política o no. En algunos casos, puede
que quiera crear mensajes tanto para coincidencia como para no
coincidencia, dependiendo de los objetos que compare y sus
objetivos para la política.
5.
Introduzca el texto de su mensaje en el cuadro de texto Plantilla y,
a continuación, haga clic en ACEPTAR.
6.
Repita estos pasos para cada mensaje que quiera definir.
Seleccione la casilla de verificación Habilitar y seleccione si quiere
mostrar el mensaje como Mensaje emergente o como Icono en
la barra de tareas.
Paso 7
Guarde la configuración de puerta de
enlace.
Paso 8
(Opcional) Configure el acceso al gestor de 1.
seguridad móvil
2.
Seleccione Red > GlobalProtect > MDM y haga clic en Añadir.
Este paso es necesario si está usando el
gestor de seguridad móvil de GlobalProtect
para gestionar los dispositivos de usuario
final y está usando una aplicación de
políticas HIP. Esta configuración permite a
las puertas de enlace comunicarse con el
gestor de seguridad móvil para recuperar
informes HIP de los dispositivos móviles
gestionados. Si desea información más
detallada, consulte Configuración del
acceso de puerta de enlace al gestor de
seguridad móvil.
3.
(Opcional) Seleccione el sistema virtual al que pertenece este gestor
de seguridad móvil en el campo Ubicación.
4.
Introduzca la dirección IP o FQDN de la interfaz del servidor del
gestor de seguridad móvil donde la puerta de enlace se conectará
para recuperar informes HIP.
5.
(Opcional) Defina el Puerto de conexión en el que el gestor de
seguridad móvil escuchará las solicitudes de recuperación HIP. Este
valor debe coincidir con el valor definido en el gestor de seguridad
móvil. De manera predeterminada, este puerto es 5008, en el que
escucha el gestor de seguridad móvil de GlobalProtect.
6.
Si el gestor de seguridad móvil requiere que la puerta de enlace
presente un certificado para establecer una conexión HTTPS,
seleccione el Certificado de cliente que se usará.
7.
Si la puerta de enlace no confía en el certificado del gestor de
seguridad móvil para la interfaz a la que se conectará, haga clic en
Añadir en la sección CA raíz de confianza y seleccione o importe
el Certificado de CA raíz que se usó para emitir el certificado del
servidor del gestor de seguridad móvil.
8.
Haga clic en ACEPTAR para guardar los ajustes del gestor de
seguridad móvil.
Paso 9
36
Guarde la configuración.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de
diálogo de la puerta de enlace de GlobalProtect.
Introduzca un nombre para el gestor de seguridad móvil.
Compile sus cambios.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración del portal de GlobalProtect
Configuración del portal de GlobalProtect
El portal GlobalProtect proporciona las funciones de gestión para su infraestructura de GlobalProtect. Todos
los sistemas clientes que participan en la red de GlobalProtect reciben información de configuración desde el
portal, incluida información sobre las puertas de enlace disponibles, así como certificados cliente que pueden
ser necesarios para conectarse a las puertas de enlace. Además, el portal controla el comportamiento y la
distribución del software del agente de GlobalProtect para los portátiles con Mac y Windows.
El portal no distribuye la aplicación de GlobalProtect para su uso en dispositivos móviles.
Para obtener la aplicación de GlobalProtect para iOS, los usuarios finales deben descargarla de
App Store. Para obtener la aplicación de GlobalProtect para Android, los usuarios finales deben
descargarla de Google Play. No obstante, las configuraciones de cliente que se implementan en
las aplicaciones móviles de los usuarios controlan las puertas de enlace a las que tienen acceso
los dispositivos móviles y si es necesario que el dispositivo móvil se inscriba en el gestor de
seguridad móvil de GlobalProtect.
Las siguientes secciones describen los procedimientos para configurar el portal:

Tareas previamente necesarias

Configuración del acceso al portal

Definición de las configuraciones de clientes

Personalización del agente de GlobalProtect

Personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda
Tareas previamente necesarias
Antes de poder configurar el portal de GlobalProtect, debe haber realizado las tareas siguientes:

Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creación de interfaces y zonas para GlobalProtect.

Configurar el certificado del servidor del portal, el certificado del servidor de la puerta de enlace y,
opcionalmente, cualquier certificado de cliente que se vaya a implementar a los usuarios finales para
habilitar las conexiones mutuas SSL a los servicios de GlobalProtect. Consulte Habilitación de SSL entre
componentes de GlobalProtect.

Definir los perfiles de autenticación o perfiles del certificado que servirán para la autenticación de usuarios
de GlobalProtect. Consulte Configuración de la autenticación de usuario en GlobalProtect.

Configurar las puertas de enlace de GlobalProtect Consulte Configuración de las puertas de enlace de
GlobalProtect.
Guía del administrador de GlobalProtect
37
Configuración del portal de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración del acceso al portal
Una vez completadas las tareas previas, configure el portal de GlobalProtect del siguiente modo:
Configuración del acceso al portal
Paso 1
Paso 2
Añada el portal.
Especifique la información de red que
permita a los agentes conectarse al portal.
1.
Seleccione Red > GlobalProtect > Portales y haga clic en Añadir.
2.
En la pestaña Configuración portal, introduzca un Nombre para
el portal. El nombre del portal no debe contener espacios.
3.
(Opcional) Seleccione el sistema virtual al que pertenece este portal
en el campo Ubicación.
1.
Seleccione la Interfaz que usarán los agentes para acceder al portal.
2.
Seleccione la Dirección IP para el servicio web del portal.
Si aún no ha creado la interfaz de red para el 3. Seleccione el Certificado de servidor para el portal en el menú
portal, consulte las instrucciones de
desplegable.
Creación de interfaces y zonas para
Nota El campo de nombre común (CN) y, si es aplicable, de
GlobalProtect. Si aún no ha creado un
nombre alternativo del asunto (SAN) del certificado deben
certificado de servidor para la puerta de
coincidir exactamente con la dirección IP o con el nombre de
enlace ni emitido certificados de puerta de
dominio completo (FQDN) de la interfaz donde configure el
enlace, consulte Implementación de
portal. De lo contrario, fallarán las conexiones HTTPS al
certificados de servidores en los
portal.
componentes de GlobalProtect.
Paso 3
Especifique cómo se autenticarán los
usuarios finales en el portal.
Si no ha configurado aún los perfiles de
autenticación o del certificado, consulte las
instrucciones de Configuración de la
autenticación de usuario en
GlobalProtect.
• Para autenticar a los usuarios mediante una base de datos de usuarios
local o un servicio de autenticación externo (incluyendo autenticación
OTP), seleccione el Perfil de autenticación correspondiente.
• Introduzca un Mensaje de autenticación para guiar a los usuarios en
cuanto a las credenciales de autenticación que deben usar.
• Para autenticar a los usuarios basándose en un certificado de cliente o
una tarjeta inteligente / CAC, seleccione el Perfil del certificado
correspondiente.
• Para usar la autenticación en dos fases, seleccione tanto el perfil de
autenticación como el perfil del certificado. Tenga en cuenta que el
usuario debe autenticarse correctamente en los dos métodos para
poder acceder.
Paso 4
38
Guarde la configuración del portal.
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro
de diálogo de la puerta de enlace de GlobalProtect.
2.
Compile sus cambios.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración del portal de GlobalProtect
Definición de las configuraciones de clientes
Cuando un agente o una aplicación de GlobalProtect se conecta y se autentica correctamente en el portal de
GlobalProtect, el portal envía la configuración de cliente de GlobalProtect al agente / aplicación basada en la
configuración que haya definido. Si tiene clases de usuarios distintas que necesitan distintas configuraciones,
puede crear una configuración cliente distinta para cada uno. El portal utilizará entonces el nombre de
usuario/nombre de grupo o el sistema operativo del cliente para determinar qué configuración cliente
implementar. Como con la evaluación de reglas de seguridad, el portal busca una coincidencia empezando por
la parte superior de la lista. Cuando encuentra una coincidencia, proporciona la configuración correspondiente
al agente/aplicación.
La configuración puede incluir lo siguiente:

Una lista de puertas de enlace a las que se puede conectar el agente o la aplicación, que define además si el
usuario puede establecer conexiones manuales con esas puertas de enlace.

El certificado de CA raíz requerido para habilitar el agente o la aplicación para establecer una conexión SSL
con las puertas de enlace de GlobalProtect o el gestor de seguridad móvil.

El certificado de cliente que el agente debería presentar a la puerta de enlace al conectarse. Esto solo es
necesario si se requiere autenticación mutua entre el agente y la puerta de enlace.

La configuración que usa el agente para determinar si está conectado a la red local y a una red externa.

Los ajustes de la configuración del agente, como las visualizaciones del agente que los usuarios pueden ver,
si los usuarios pueden guardar sus contraseñas de GlobalProtect, y si se indicará a los usuarios que actualicen
el software del agente.
Utilice el siguiente procedimiento para crear la configuración del cliente.
Guía del administrador de GlobalProtect
39
Configuración del portal de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Creación de una configuración de cliente de GlobalProtect
Paso 1
Añada el certificado de CA raíz requerido 1.
para que el agente o la aplicación
establezcan una conexión SSL con las
puertas de enlace de GlobalProtect o el
gestor de seguridad móvil. Este paso solo
es necesario si no está usando certificados
emitidos por una CA de confianza en sus 2.
puertas de enlace o gestor de seguridad
móvil. El portal implementará los
certificados de CA que añada aquí a todos
los agentes como parte de la configuración
3.
del cliente, de modo que puedan establecer
una conexión SSL con las puertas de enlace
o el gestor de seguridad móvil.
Si sigue en el cuadro de diálogo de la puerta de enlace de
GlobalProtect, seleccione la pestaña Configuración clientes.
Si no, seleccione Red > GlobalProtect > Portales y seleccione la
configuración del portal en la que desea agregar una configuración
de cliente. A continuación, seleccione la pestaña Configuración
clientes.
En el campo CA raíz de confianza, haga clic en Añadir y, a
continuación, seleccione el certificado de CA que se usó para emitir
los certificados de servidor de la puerta de enlace. Se recomienda
usar el mismo emisor para todas las puertas de enlace.
(Opcional) Si el certificado del servidor de su gestor de seguridad
móvil no lo ha emitido una CA de confianza (es decir, no es de
confianza para los dispositivos y necesitarán conectarse para
inscribirse), haga clic en Añadir en el campo CA raíz de confianza
y, a continuación, seleccione el certificado de CA que se usó para
emitir el certificado del servidor de gestor de seguridad móvil.
Nota
Paso 2
Añada una configuración de cliente.
Si el certificado de CA raíz usado para emitir los certificados
del servidor de su puerta de enlace o gestor de seguridad móvil
no está en el portal, puede importarlo ahora. Consulte
recomendaciones sobre SSL en Habilitación de SSL entre
componentes de GlobalProtect.
En la sección Configuración clientes, haga clic en Añadir e introduzca
un nombre para la configuración.
La configuración de cliente especifica los
ajustes de configuración de GlobalProtect Si pretende crear múltiples configuraciones, asegúrese de que el nombre
que defina para cada una sea suficientemente descriptivo para
que se implementarán a los agentes o
aplicaciones que se conecten. Debe definir distinguirlas.
al menos una configuración de cliente.
Paso 3
40
1.
Si no es necesario que el agente de
GlobalProtect establezca conexiones de
2.
túnel cuando esté en la red interna, habilite
la detección del host interno.
3.
Seleccione la casilla de verificación Detección de host interno.
Introduzca la Dirección IP de un host al que solo se tenga acceso
desde la red interna.
Introduzca el nombre de host de DNS que se corresponda con las
direcciones IP que ha introducido. Los agentes de GlobalProtect
intentarán realizar una búsqueda de DNS inversa en las direcciones
especificadas; si la búsqueda no funciona, el agente determinará que
se encuentra en la red externa e intentará establecer conexiones de
túnel con las puertas de enlace externas de su lista.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración del portal de GlobalProtect
Creación de una configuración de cliente de GlobalProtect (Continuación)
Paso 4
Especifique el modo en que el agente se
conectará a GlobalProtect.
1.
• a petición: Los usuarios tendrán que iniciar el agente
manualmente para conectarse a GlobalProtect. Use este
método de conexión solo para puertas de enlace externas.
Recomendaciones:
• Use la opción a petición solo si está
usando GlobalProtect para acceder a
puertas de enlace externas a través de
una VPN.
• No use la opción a petición si pretende
ejecutar el agente de GlobalProtect en el
modo oculto. Consulte Personalización
del agente de GlobalProtect.
• Para acelerar sus tiempos de conexión,
use la detección de host interno en las
configuraciones donde tenga SSO
habilitado.
Paso 5
Seleccione un Método de conexión:
• inicio de sesión de usuario: GlobalProtect se conectará
automáticamente en cuanto el usuario inicie sesión en el
equipo (o dominio). Cuando se use junto con SSO (solo para
usuarios de Windows), el inicio de sesión de GlobalProtect
será transparente para el usuario final.
• anterior al inicio de sesión: Autentica al usuario final y
establece el túnel de VPN en la puerta de enlace de
GlobalProtect utilizado un certificado de máquina instalado
previamente antes de que el usuario inicie sesión en la
máquina. Esta opción requiere que implemente certificados
de máquina en cada sistema de usuario final mediante una
solución PKI externa. Consulte VPN de acceso remoto con
función anterior al inicio de sesión para obtener detalles
sobre cómo configurar esta opción.
2.
(Configuraciones exclusivas para usuarios de Windows)
Seleccione Utilizar registro único para que GlobalProtect
pueda usar las credenciales de inicio de sesión de Windows y así
poder autenticar automáticamente al usuario cuando inicie
sesión en Active Directory.
Configure el acceso al gestor de seguridad 1.
móvil.
Introduzca la dirección IP o FQDN de la interfaz de
comprobación de dispositivos del gestor de seguridad móvil.
El valor que introduzca aquí deberá coincidir exactamente con
el valor del campo CN en el certificado del servidor del gestor
de seguridad móvil asociado a la interfaz de comprobación de
dispositivos.
Este paso es necesario si el gestor de
seguridad móvil de GlobalProtect va a
gestionar los dispositivos móviles que usan
esta configuración. Todos los dispositivos
se conectarán inicialmente al portal y, si el 2.
gestor de seguridad móvil está configurado
en la configuración del cliente del portal
correspondiente, se redirigirá el dispositivo
a la misma para su inscripción. Para
obtener más información, consulte
Configuración del gestor de seguridad
móvil de GlobalProtect.
Guía del administrador de GlobalProtect
Especifique el Puerto de inscripción en el que el gestor de
seguridad móvil escuchará las solicitudes de inscripción. Este
valor debe coincidir con el valor definido en el gestor de
seguridad móvil (por defecto, 443). Si desea información más
detallada, consulte Configuración del gestor de seguridad móvil
para la gestión de dispositivos.
41
Configuración del portal de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Creación de una configuración de cliente de GlobalProtect (Continuación)
Paso 6
Especifique a qué usuarios desea
implementar esta configuración. Hay dos
formas de especificar quién recibirá la
configuración: por nombre de grupo /
usuario o por el sistema operativo en el
que se ejecuta el agente.
Seleccione la pestaña Usuario/grupo de usuarios y, a continuación,
especifique el usuario / grupos de usuarioso los sistemas operativos a los
que se aplicará esta configuración:
• Para restringir esta configuración a un usuarios grupo específicos,
haga clic en Añadir en la sección Usuario/grupo de usuarios de la
ventana y después seleccione el usuario o grupo que desea que reciba
esta configuración en la lista desplegable. Repita este paso para cada
El portal usa la configuración
usuario/grupo que desee añadir.
Usuario/grupo de usuarios que especifique
para determinar qué configuración se
• Para restringir la configuración a los usuarios que aún no han iniciado
distribuirá a los agentes de GlobalProtect
sesión en sus sistemas, seleccione anterior al inicio de sesión en el
que se conecten. Por lo tanto, si tiene
menú desplegable Usuario/grupo de usuarios.
múltiples configuraciones, debe asegurarse
de ordenarlas correctamente. En cuanto el • Para distribuir esta configuración a agentes o aplicaciones que se
ejecuten en sistemas operativos específicos, haga clic en Añadir en la
portal encuentre una coincidencia,
sección SO de la ventana y, a continuación, seleccione el sistema
distribuirá la configuración. Así, las
operativo (Android, iOS, Mac o Windows) a la que se aplicará esta
configuraciones más específicas deberán
configuración.
preceder a las más generales. Consulte en
Paso 11 las instrucciones sobre cómo
ordenar la lista de configuraciones de
cliente.
Nota
Antes de poder restringir la configuración a
grupos específicos, debe asignar a los
usuarios a grupos, como se describe en
Habilitación de la asignación de grupo.
Paso 7
Personalice el comportamiento del agente
de GlobalProtect para los usuarios de esta
configuración.
42
Seleccione la pestaña Agente y, a continuación, modifique la
configuración del agente como desee. Para obtener más información
acerca de cada opción, consulte Personalización del agente de
GlobalProtect.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración del portal de GlobalProtect
Creación de una configuración de cliente de GlobalProtect (Continuación)
Paso 8
Especifique las puertas de enlace a las que
se podrán conectar los usuarios con esta
configuración.
1.
En la pestaña Puertas de enlace, haga clic en Añadir en la sección
Puertas de enlace internas o Puertas de enlace externas, en función
del tipo de puerta de enlace que esté añadiendo.
Recomendaciones:
2.
Introduzca un Nombre descriptivo para la puerta de enlace.
El nombre que introduzca debe coincidir con el nombre que
definió al configurar la puerta de enlace y debe ser lo
suficientemente descriptivo para que los usuarios conozcan la
ubicación de la puerta de enlace a la que están conectados.
• Si está añadiendo puertas de enlace tanto
internas como externas a la misma
configuración, asegúrese de habilitar la
detección de host interno. Consulte el
3.
Paso 3 en Definición de las
configuraciones de clientes para
obtener instrucciones.
• Asegúrese de no usar a petición como
método de conexión si su configuración
4.
incluye puertas de enlace internas.
Introduzca el FQDN o la dirección IP de la interfaz donde está
configurada la puerta de enlace en el campo Dirección. La
dirección que especifique debe coincidir exactamente con el
nombre común (CN) en el certificado del servidor de la puerta
de enlace.
(Solo puertas de enlace externas) Consulte la Prioridad de la puerta
de enlace haciendo clic en el campo y seleccionando un valor:
• Si solo tiene una puerta de enlace externa, puede dejar este valor
fijado en El más alto (valor predeterminado).
• Si tiene varias puertas de enlace externas, puede modificar los
valores de prioridad (desde El más alto hasta Más bajo) para
indicar la preferencia para este grupo de usuarios específico al
que se aplica la configuración. Por ejemplo, si prefiere que el
grupo de usuarios se conecte a una puerta de enlace local, debería
configurar la prioridad con un valor más alto que el de las puertas
de enlace geográficamente distantes. El valor de prioridad se usa
entonces para valorar el algoritmo de selección de la puerta de
enlace del agente.
• Si no quiere que los agentes establezcan automáticamente
conexiones de túnel con la puerta de enlace, seleccione Manual
únicamente. Esta configuración es útil en entornos de prueba.
5.
Paso 9
(Solo puertas de enlace externas) Seleccione la casilla de verificación
Manual si quiere que los usuarios puedan cambiar manualmente la
puerta de enlace.
• Seleccione Recopilación de datos > Comprobaciones
(Opcional) Defina cualquier dato del
perfil de información de host (HIP) que
personalizadas y, a continuación, defina los datos personalizados
quiere que el agente recopile o categorías
que quiere recopilar de los hosts que ejecutan esta configuración de
HIP que quiere que excluya.
cliente. Si desea información más detallada, consulte el Paso 2 de
Configuración de la aplicación de políticas basadas en HIP.
Siga este paso solamente si pretende usar
la función HIP y hay información que no • Seleccione Recopilación de datos > Excluir categorías y, a
continuación, haga clic en Añadir para excluir categorías o
se puede recopilar mediante los objetos
proveedores específicos, aplicaciones o versiones dentro de una
HIP estándar o si hay información HIP
categoría. Si desea información más detallada, consulte el Paso 3 de
que no le interesa recopilar. Consulte Uso
Configuración de la aplicación de políticas basadas en HIP.
de información del host en la aplicación
de políticas para obtener información
detallada acerca del uso de la función
HIP.
Guía del administrador de GlobalProtect
43
Configuración del portal de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Creación de una configuración de cliente de GlobalProtect (Continuación)
Paso 10 Guarde la configuración del cliente.
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro
de diálogo Configuraciones.
2.
Si quiere añadir otra configuración de cliente, repita el proceso
desde el Paso 2 hasta el Paso 10.
Paso 11 Prepare las configuraciones de cliente para • Para subir una configuración de cliente en la lista de configuraciones,
selecciónela y haga clic en Mover hacia arriba.
que la configuración correcta se implemente
en cada agente.
• Para bajar una configuración de cliente en la lista de configuraciones,
selecciónela y haga clic en Mover hacia abajo.
Cuando se conecta un agente, el portal
comparará la información de origen en el
paquete con las configuraciones de cliente
que haya definido. Como con la evaluación
de reglas de seguridad, el portal busca una
coincidencia empezando por la parte
superior de la lista. Cuando encuentra una
coincidencia, proporciona la configuración
correspondiente al agente o aplicación.
Paso 12 Guarde la configuración del portal.
44
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro
de diálogo Portal de GlobalProtect.
2.
Compile sus cambios.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración del portal de GlobalProtect
Personalización del agente de GlobalProtect
La configuración del cliente del portal le permite personalizar el modo en que interaccionan los usuarios finales con
los agentes de GlobalProtect instalados en sus sistemas o la aplicación de GlobalProtect instalada en sus dispositivos
móviles. Puede definir configuraciones de agente diferentes para las distintas configuraciones cliente de GlobalProtect
que cree. Puede personalizar:

A qué menús y vistas pueden acceder los usuarios.

Si lo usuarios pueden o no guardar sus contraseñas en el agente.

Si los usuarios pueden deshabilitar el agente (válido solo para el método de conexión de inicio de sesión del
usuario).

Si desea mostrar una página de bienvenida cuando el inicio de sesión se realice correctamente. También puede
crear páginas de bienvenida y páginas de ayuda personalizadas que indiquen a sus usuarios cómo usar
GlobalProtect dentro de su entorno. Consulte Personalización de las páginas de inicio de sesión de portal,
bienvenida y ayuda.

Si las actualizaciones del agente se realizarán automáticamente o si se les pedirá a los usuarios que actualicen.
También puede definir la configuración del agente desde el registro de Windows o el archivo plist
global de Mac. Para los clientes de Windows, también puede definir la configuración del agente
directamente desde el instalador de Windows (MSIEXEC). Los ajustes definidos en las
configuraciones del cliente del portal en la interfaz web siempre anulan a los ajustes definidos en
el registro de Windows/MSIEXEC o archivo plist de Mac. Si desea información más detallada,
consulte Implementación de la configuración del agente de forma transparente.
Personalización del agente
Paso 1
Vaya a la ficha Agente en la
configuración del cliente que desea
personalizar.
1.
2.
3.
Paso 2
Defina lo que pueden hacer los usuarios
finales con esta configuración desde el
agente.
Guía del administrador de GlobalProtect
Seleccione Red > GlobalProtect > Portales y seleccione
la configuración del portal para la que desea agrega una
configuración de cliente (o haga clic en Añadir para añadir
una nueva configuración).
Seleccione la pestaña Configuración clientes y seleccione la
configuración del cliente que desea modificar (o haga clic en
Añadir para añadir una nueva configuración).
Seleccione la pestaña Agente.
De forma predeterminada, las funciones del agente se habilitan
completamente (lo que significa que se seleccionan todas las casillas de
verificación). Para quitar funciones, desactive la casilla de verificación
correspondiente para alguna o todas las opciones siguientes:
1. Si quiere que los usuarios solo puedan ver información básica de
estado desde la aplicación, desactive la casilla de verificación
Habilitar vista avanzada. De forma predeterminada, se habilita la
vista avanzada, lo que permite a los usuarios finales ver información
estadística, de host y de solución de problemas y realizar tareas
como cambiar sus contraseñas.
45
Configuración del portal de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Personalización del agente (Continuación)
Nota
Nota
La configuración de la ficha Agente
también se puede configurar en el
cliente final mediante la política de
grupo añadiendo ajustes al registro de
Windows/archivo plist de Mac. En
sistemas Windows, también puede
establecerlos usando la utilidad msiexec
desde la línea de comandos durante la
instalación del agente. Sin embargo, la
configuración definida en la interfaz
web o CLI anulará a la configuración
del registro/archivo plist. Consulte
Implementación de la configuración del
agente de forma transparente para
obtener información detallada.
• Si desea ocultar el agente de GlobalProtect en los sistemas de
usuario final, desactive la casilla de verificación Mostrar icono
GlobalProtect. Cuando está oculto, los usuarios no pueden
realizar otras tareas, como cambiar las contraseñas, redescubrir la
red, reenviar información de host, ver información de solución de
problemas o realizar una conexión a demanda. Sin embargo, los
mensajes de notificación HIP, los mensajes de inicio de sesión y los
cuadros de diálogo de certificados seguirán mostrándose como
necesarios para interactuar con el usuario final.
• Desactive la casilla de verificación Permitir al usuario cambiar la
dirección del portal para deshabilitar el campo Portal en la ficha
Configuración en el agente GlobalProtect. Como el usuario no podrá
entonces especificar un portal al que conectarse, debe proporcionar la
dirección predeterminada del portal en el registro de Windows:
(HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
Hay otra opción disponible para especificar
Networks\GlobalProtect\PanSetup con la clave Portal) o
si el agente debe pedir al usuario final las
el archivo plist de Mac (/Library/Preferences/com.
credenciales en caso de que la SSO de
paloaltonetworks.GlobalProtect.pansetup.plist con la
Windows falle: hacerlo mediante el la línea
clave Portal en el diccionario PanSetup). Para obtener más
de comandos de Windows (MSIEXEC) o el
información, consulte Implementación de la configuración del
registro de Windows solo. De forma
agente de forma transparente.
predeterminada, este ajuste del registro
• Si no desea que los usuarios guarden sus contraseñas en el agente
(can-prompt-user-credential) se
(es decir, forzarlos a proporcionar la contraseña, ya sea de forma
establece en yes. Para modificar este
transparente mediante el cliente o introduciendo una manualmente,
comportamiento, debe cambiar el valor en el
cada vez que se conecten), desactive la casilla de verificación Permitir
registro o, durante la instalación del agente,
que el usuario guarde la contraseña.
mediante MSIEXEC: msiexec.exe /i
• Para evitar que los usuarios realicen un redescubrimiento de red,
GlobalProtect.msi
desactive la casilla de verificación Activar opción para volver a
CANPROMPTUSERCREDENTIAL="no"
detectar la red.
Para obtener más información, consulte
Implementación de la configuración del • Para evitar que los usuarios reenvíen manualmente los datos HIP a la
puerta de enlace, desactive la casilla de verificación Activar opción
agente de forma transparente.
para volver a enviar perfil de host. Esta opción está activada de
forma predeterminada y es útil en aquellos casos en los que la política
de seguridad basada en HIP evita que los usuarios accedan a los
recursos, ya que permite al usuario arreglar los problemas de
cumplimiento en el ordenador y, a continuación, reenviar el HIP.
• Si no quiere que el agente establezca conexión con el portal en caso de
que el certificado del portal no sea válido, desactive la casilla de
verificación Permitir que el usuario continúe si el certificado del
portal no es válido. Tenga en cuenta que el portal solo proporciona
la configuración del agente; no proporciona acceso de red y, por lo
tanto, la seguridad del portal es menos crítica que la seguridad a la
puerta de enlace. Sin embargo, si ha implementado un certificado de
servidor de confianza para el portal, anular la selección de esta opción
puede evitar ataques de tipo “Man in the middle” (MITM).
46
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración del portal de GlobalProtect
Personalización del agente (Continuación)
Paso 3
Especifique si desea que los usuarios
puedan desconectarse de GlobalProtect.
• Para evitar que los usuarios en modo de inicio de sesión de usuario
se desconecten, seleccione deshabilitado en el menú desplegable
Cancelación del agente por el usuario.
Esto solo se aplica a configuraciones
cliente que tengan el método de conexión • Para permitir que los usuarios se desconecten si proporcionan un
código de acceso, seleccione con código de acceso en el menú
(en la pestaña General) establecido en
desplegable Cancelación del agente por el usuario y, a
user-logon. En modo de inicio de sesión
continuación, introduzca (y confirme) el código de acceso que
de usuario (user-logon), el agente se
deben proporcionar los usuarios finales.
conecta a GlobalProtect tan pronto como
el usuario inicia sesión en el sistema. Este • Para permitir a los usuarios desconectarse si proporcionan un vale,
modo suele denominarse a veces “siempre
seleccione con vale en el menú desplegable Cancelación del
activado”, que es la razón por la cual el
agente por el usuario. En este caso, la acción de desconexión
usuario debe anular este comportamiento
activa el agente para generar un número de solicitud. El usuario
para poder desconectarse.
final debe comunicar en ese momento el número de solicitud al
administrador. Entonces, el administrador hace clic en Generar
De forma predeterminada, a los usuarios
vale en la página Red > GlobalProtect > Portales e introduce el
del modo de inicio de sesión de usuario se
número de solicitud desde el usuario final para general el vale.
les pedirá que proporcionen un
A continuación, el administrador proporciona el vale para el
comentario para poder desconectarse
usuario final, que lo introduce en el cuadro de diálogo Deshabilitar
(Cancelación del agente por el usuario
GlobalProtect para permitir la desconexión del agente.
establecido en con comentario).
Nota
Si el icono del agente no aparece, los
usuarios no podrán desconectarse.
Consulte Paso 2 para obtener más
detalles.
• Para restringir la duración de la desconexión del usuario,
introduzca un valor (en minutos) en el campo Tiempo de espera
a la cancelación del agente por el usuario. Un valor de 0
(predeterminado) indica que no hay restricciones sobre la duración
que el usuario puede permanecer desconectado.
• Para limitar el número de veces que el usuario puede
desconectarse, introduzca un valor en el campo Cancelación del
agente por el usuario. El valor 0 (predeterminado) indica que la
desconexión del usuario no tiene limitación.
Guía del administrador de GlobalProtect
47
Configuración del portal de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Personalización del agente (Continuación)
Paso 4
Especifique cómo se producirán las
actualizaciones del agente de
GlobalProtect.
De forma predeterminada, el campo Actualización de agente se
establece para que solicite actualizar al usuario final. Para modificar
este comportamiento, seleccione una de las siguientes opciones:
Si desea controlar el momento en el que los • Si quiere que las actualizaciones se produzcan sin ninguna
interacción con el usuario, seleccione transparente.
usuarios pueden actualizarse, por ejemplo, si
desea probar una versión con un pequeño • Para impedir las actualizaciones del agente, seleccione
grupo de usuarios antes de implementarla en
deshabilitar.
toda la base de usuarios, puede personalizar
el comportamiento de la actualización del • Para permitir a los usuarios finales iniciar las actualizaciones del
agente, seleccione manual. En este caso, el usuario seleccionará la
agente “por configuración”. En este caso,
opción
Comprobar versión en el agente para determinar si hay
podría crear una configuración que se
una
nueva
versión del agente y, a continuación, actualizar si lo
aplique a los usuarios de su grupo de TI solo
desea.
Observe
que esta opción no funcionará si el agente
para permitirles actualizar y probar y
GlobalProtect
está
oculto para el usuario. Consulte el Paso 2 para
deshabilitar la actualización en el resto
obtener
más
detalles.
de configuraciones de usuario/grupo.
A continuación, después de haber probado
exhaustivamente la nueva versión, podría
modificar las configuraciones del agente
para el resto de usuarios, con el fin de
permitirles actualizar.
De forma predeterminada, la única indicación de que el agente se ha
conectado correctamente a GlobalProtect es un mensaje de globo
que aparece en la bandeja del sistema/barra de menús. También
puede optar por mostrar una página de bienvenida en el navegador
Una página de bienvenida puede ser útil
del cliente cuando el inicio de sesión se realice, de la siguiente forma:
para dirigir a los usuarios a los recursos
1. Seleccione la casilla de verificación Mostrar página de
internos a los que solo pueden acceder
bienvenida.
cuando están conectados a GlobalProtect,
2. Seleccione la página de bienvenida para mostrar el menú
como su Intranet u otros servidores
desplegable. De forma predeterminada, hay una página de
internos.
bienvenida denominada predeterminada de fábrica. Sin
embargo, puede definir una o más páginas de bienvenida
personalizadas con información específica para usuarios o para
un grupo de usuarios concreto (basada en la configuración de
portal que se implemente). Para ver información sobre cómo se
crean las páginas personalizadas, consulte Personalización de las
páginas de inicio de sesión de portal, bienvenida y ayuda.
Paso 5
Especifique si desea mostrar una página
de bienvenida cuando el inicio de sesión
se realice correctamente.
Paso 6
Guarde la configuración del agente.
1.
Si ha terminado de crear la configuración del cliente, haga clic en
ACEPTAR para cerrar el cuadro de diálogo Configuraciones.
De lo contrario, para obtener instrucciones sobre cómo
completar la configuración del cliente, vuelva a Definición de las
configuraciones de clientes.
48
2.
Si ha terminado de configurar el portal, haga clic en ACEPTAR
para cerrar el cuadro de diálogo Portal GlobalProtect.
3.
Cuando termine la configuración del portal, compile los
cambios.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Configuración del portal de GlobalProtect
Personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda
GlobalProtect proporciona páginas de inicio de sesión, bienvenida y ayuda predeterminadas. Sin embargo,
puede crear sus propias páginas de personalización con su marca corporativa, políticas de uso aceptable y
enlaces a sus recursos internos de la siguiente forma:
Personalización de la página de inicio de sesión de portal
Paso 1
Paso 2
Exporte la página de inicio de sesión del
portal predeterminada.
Edite la página exportada.
1.
Seleccione Dispositivo > Páginas de respuesta.
2.
Seleccione el enlace Página de inicio de sesión de portal de
GlobalProtect.
3.
Seleccione la página predefinida Valor predeterminado y haga
clic en Exportar.
1.
Con el editor de textos de HTML que prefiera, edite la página.
2.
Si desea editar la imagen del logotipo que aparece, aloje la nueva
imagen del logotipo en un servidor web que sea accesible desde
los clientes de GlobalProtect remotos. Por ejemplo, edite la
siguiente línea del HTML para indicar la nueva imagen del
logotipo:
<img src="http://cdn.slidesharecdn.com/
Acme-logo-96x96.jpg?1382722588"/>
Paso 3
Paso 4
Importe la nueva página de inicio de
sesión.
Configure el portal para utilizar la nueva
página de inicio de sesión.
Guía del administrador de GlobalProtect
3.
Guarde la imagen editada con un nuevo nombre de archivo.
Asegúrese de que la página conserva su codificación UTF-8.
1.
Seleccione Dispositivo > Páginas de respuesta.
2.
Seleccione el enlace Página de inicio de sesión de portal de
GlobalProtect.
3.
Haga clic en Importar y, a continuación, introduzca la ruta y el
nombre de archivo en el campo Importar archivo o examine
para encontrar el archivo.
4.
(Optativo) Seleccione el sistema virtual en el que se utilizará esta
página de inicio de sesión desde el menú desplegable Destino o
seleccione la opción Compartido para que esté disponible para
todos los sistemas virtuales.
5.
Haga clic en ACEPTAR para importar el archivo.
1.
Seleccione Red > GlobalProtect > Portales y, a continuación,
seleccione el portal al que desea agregar la página de inicio de
sesión.
2.
En la pestaña Configuración de portal, seleccione la nueva
página en el menú desplegable de la página de inicio de sesión
personalizada.
3.
Haga clic en ACEPTAR para guardar la configuración de portal.
4.
Compile sus cambios.
49
Configuración del portal de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Personalización de la página de inicio de sesión de portal (Continuación)
Paso 5
Compruebe que aparece la nueva página
de inicio de sesión.
En un navegador, vaya a la URL de su portal (no añada el
número de puerto :4443 al final de la URL o se le redirigirá a
la interfaz web para el cortafuegos). Por ejemplo, introduzca
https://myportal en lugar de https://myportal:4443.
Aparecerá la página de inicio de sesión del portal.
50
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Implementación del software cliente de GlobalProtect
Implementación del software cliente de GlobalProtect
Para poder conectar a GlobalProtect, un host final debe ejecutar el software cliente de GlobalProtect. El método
de implementación del software depende del tipo de cliente de la siguiente forma:

Hosts de Mac OS y Microsoft Windows hosts: necesitan el software del agente de GlobalProtect,
distribuido por el portal de GlobalProtect. Para habilitar el software para su distribución, debe descargar la
versión que desea que utilicen los hosts de su red en el cortafuegos que aloja su portal de GlobalProtect y, a
continuación, activar el software para su descarga. Para obtener instrucciones sobre cómo descargar y activar
el software del agente en el cortafuegos, consulte Implementación del software del agente de GlobalProtect.

Dispositivos iOS y Android: necesitan la aplicación de GlobalProtect. Como con otras aplicaciones para
dispositivos móviles, el usuario final debe descargar la aplicación de GlobalProtect desde la AppStore de
Apple (dispositivos iOS) o desde Google Play (dispositivos Android). Descarga e instalación de la aplicación
móvil de GlobalProtect.
Si desea más información, consulte ¿Qué clientes son compatibles?
Implementación del software del agente de GlobalProtect
Hay varias formas de implementar el software del agente de GlobalProtect:

Directamente desde el portal: descargue el software del agente en el cortafuegos que aloja el portal y
actívelo para que los usuarios finales puedan instalar las actualizaciones cuando se conecten al portal. Esta
opción proporciona una flexibilidad que le permitirá controlar el modo y el momento en el que los usuarios
finales recibirán actualizaciones basadas en la configuración del cliente definida para cada usuario, grupo o
sistema operativo. Sin embargo, si dispone de un gran número de agentes que necesitan actualizaciones,
puede que aumente la carga de su portal. Consulte Alojamiento de actualizaciones de agente en el portal para
obtener instrucciones.

Desde un servidor web: si tiene un gran número de hosts que necesiten actualizar el agente de forma
simultánea, considere alojar las actualizaciones del agente en un servidor web para reducir la carga del
cortafuegos. Consulte Alojamiento de actualizaciones de agente en un servidor web para obtener
instrucciones.

De forma transparente desde la línea de comandos: para los clientes de Windows, puede implementar
la configuración del agente automáticamente en el Windows Installer (MSIEXEC). Sin embargo, para
actualizar a una versión del agente posterior utilizando MSIEXEC, primero debe desinstalar el agente
existente. Además, MSIEXEC permite la implementación de la configuración del agente directamente en los
sistemas cliente estableciendo valores en el registro de Windows o el archivo plist de Mac. Consulte
Implementación de la configuración del agente de forma transparente.

Con reglas de políticas de grupo: en entornos Active Directory, el agente de GlobalProtect también se
puede distribuir a usuarios finales, utilizando políticas de grupo de directorios activas. Las políticas de grupos
de AD permiten la modificación automática de la configuración de ordenadores host de Windows y de
software. Consulte el artículo http://support.microsoft.com/kb/816102 para obtener más información
sobre cómo utilizar la política de grupo para distribuir automáticamente programas para alojar ordenadores
o usuarios.
Guía del administrador de GlobalProtect
51
Implementación del software cliente de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Alojamiento de actualizaciones de agente en el portal
La manera más sencilla de implementar el software del agente de GlobalProtect es descargar el paquete de
instalación del nuevo agente en el cortafuegos que aloja su portal y, a continuación, activar el software para
descargar los agentes que se conectan al portal. Para hacerlo de forma automática, el cortafuegos debe tener una
ruta de servicio que le permita acceder a Actualizar servidor de Palo Alto Networks. Si el cortafuegos no tiene
acceso a Internet, puede descargar manualmente el paquete de software del agente desde el sitio de asistencia
de actualizaciones de software de Palo Alto Networks a través de un ordenador conectado a Internet y cargarlo
manualmente en el cortafuegos.
Usted define el modo en que las actualizaciones del software del agente se implementan en las configuraciones
de cliente que define en el portal: si se producen automáticamente cuando un agente se conecta a un portal, si
se indica al usuario que actualice el agente o si el usuario final puede comprobar y descargar de forma manual
una nueva versión del agente. Para obtener información acerca de la configuración de cliente, consulte
Definición de las configuraciones de clientes.
Alojamiento del agente de GlobalProtect en el portal
Paso 1
Seleccione Dispositivo > Cliente de GlobalProtect.
Inicie la interfaz web en el cortafuegos
donde se aloja el portal de GlobalProtect
y vaya a la página Cliente de
GlobalProtect.
Paso 2
Compruebe si hay nuevas imágenes de
software del agente.
• Si el cortafuegos tiene acceso a Actualizar servidor, haga clic en
Comprobar ahora para comprobar si hay actualizaciones recientes. Si
el valor de la columna Acción es Descargar, significa que hay una
actualización disponible.
• Si el cortafuegos no tiene acceso a Actualizar servidor, vaya al sitio de
asistencia de actualizaciones de software de Palo Alto Networks y
Descargue el archivo en su ordenador. A continuación, regrese al
cortafuegos para Cargar manualmente el archivo.
Paso 3
Descargue la imagen de software.
Nota
Si su cortafuegos no tiene acceso a
Internet desde el puerto de gestión,
puede descargar la actualización del
Nota
agente desde el sitio de asistencia técnica
de Palo Alto Networks
(https://support.paloaltonetworks.com).
Luego puede Cargar la actualización en
su cortafuegos y activarla haciendo clic en
Activar desde archivo.
52
Busque la versión del agente que quiere y haga clic en Descargar.
Cuando se complete la descarga del agente, el valor en la columna
Acción cambia a Activar.
Si ha cargado manualmente el software del agente como se
describe en el Paso 2, la columna Acción no se actualizará.
Vaya al siguiente paso para obtener instrucciones de cómo
activar una imagen que se ha cargado de forma manual.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Implementación del software cliente de GlobalProtect
Alojamiento del agente de GlobalProtect en el portal (Continuación)
Paso 4
Active la imagen de software del agente
para que los usuarios finales puedan
descargarla desde el portal.
Nota
Solo se puede activar una imagen del
software del agente a la vez. Si activa una
nueva versión, pero tiene algunos agentes
que requieren una versión previamente
activada, tendrá que activar la versión
requerida de nuevo para habilitar la
descarga.
• Si ha activado la imagen automáticamente desde Actualizar
servidor, haga clic en Activar.
• Si ha cargado la imagen en el cortafuegos de forma manual, haga
clic en Activar desde archivo y, a continuación, seleccione el
Archivo de cliente de GlobalProtect que cargó desde el menú
desplegable. Haga clic en ACEPTAR para activar la imagen
seleccionada. Puede que tenga que actualizar la pantalla para que en
la versión se muestre Activado actualmente.
Alojamiento de actualizaciones de agente en un servidor web
Si tiene un gran número de sistemas cliente en los que necesitará instalar o actualizar el software del agente de
GlobalProtect, tal vez deba alojar las imágenes del software del agente de GlobalProtect en un servidor web
externo. Así se reducirá la carga en el cortafuegos cuando los usuarios se conecten para descargar el agente. Para
usar esta función, el cortafuegos donde se aloja el portal debe utilizar PAN-OS 4.1.7 o una versión posterior.
Alojamiento de imágenes de un agente de GlobalProtect en un servidor web
Paso 1
Descargue en el cortafuegos la versión
Siga los pasos para descargar y activar el software del agente en el
del agente de GlobalProtect que pretende cortafuegos, tal y como se describe en Alojamiento del agente de
alojar en el servidor web y actívela.
GlobalProtect en el portal.
Paso 2
Descargue la imagen del agente de
GlobalProtect que quiere alojar en su
servidor web.
Desde un navegador, vaya al sitio de actualizaciones de software de
Palo Alto Networks y descargue el archivo en su ordenador.
Debería descargar la misma imagen que
ha activado en el portal.
Paso 3
Publique los archivos en su servidor web. Cargue los archivos de imagen en su servidor web.
Paso 4
Redirija a los usuarios finales al servidor
web.
En el cortafuegos donde se aloja el portal, inicie sesión en la CLI e
introduzca los siguientes comandos del modo de operación:
> set global-protect redirect on
> set global-protect redirect location <ruta>
donde <ruta> es la ruta a la carpeta donde se aloja la imagen, por
ejemplo https://acme/GP.
Paso 5
Compruebe la redirección.
1.
Inicie su navegador web y vaya a la siguiente URL:
https://<portal address or name>
Por ejemplo, https://gp.acme.com.
2.
Guía del administrador de GlobalProtect
En la página de inicio de sesión del portal, introduzca su
nombre y contraseña de usuario y, a continuación, haga clic en
Inicio de sesión. Tras iniciar sesión correctamente, el portal
debería redirigirle a la descarga.
53
Implementación del software cliente de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Comprobación de la instalación del agente
Utilice el siguiente procedimiento para probar la instalación del agente.
Comprobación de la instalación del agente
Paso 1
Nota
Paso 2
Se recomienda empezar a crear una configuración de cliente limitada
a un grupo reducido de usuarios como, por ejemplo, administradores
del departamento de TI responsables de la administración del
Cuando instale inicialmente el software
del agente de GlobalProtect en el sistema cortafuegos:
1. Seleccione Red > GlobalProtect > Portales y seleccione la
del cliente, el usuario final debe haber
configuración del portal que se debe editar.
iniciado la sesión usando una cuenta con
privilegios administrativos. Las siguientes 2. Seleccione la pestaña Configuración clientes y elija una
actualizaciones de software del agente no
configuración existente o haga clic en Añadir para añadir una
necesitan privilegios administrativos.
nueva configuración que se implementará en usuarios/grupo de
prueba.
Cree una configuración de cliente para
comprobar la instalación del agente.
Inicie sesión en el portal GlobalProtect.
3.
En la pestaña Usuario/grupo de usuarios, haga clic en Añadir
en la sección Usuario/grupo de usuarios y, a continuación,
seleccione el usuario o grupo que probará el agente.
4.
En la pestaña Agente, asegúrese de que Actualización de
agente se establece en símbolo y, a continuación, haga clic en
Aceptar para guardar la configuración.
5.
(Opcional) Seleccione la configuración de cliente que acaba de
crear/modificar y haga clic en Mover hacia arriba para que
quede por encima de cualquier configuración más genérica que
acabe de crear.
6.
Compile los cambios.
1.
Inicie su navegador web y vaya a la siguiente URL:
https://<portal address or name>
Por ejemplo, https://gp.acme.com.
2.
En la página de inicio de sesión del portal, introduzca su
nombre y contraseña de usuario y, a continuación, haga clic
en Inicio de sesión.
Paso 3
Descargue el agente.
1.
2.
Haga clic en el enlace que corresponda con el sistema operativo
que está ejecutando en su ordenador para iniciar la descarga.
Cuando se le solicite ejecutar o guardar el software, haga clic en
Ejecutar.
3.
Cuando se le solicite, haga clic en Ejecutar para iniciar el
Asistente de configuración de GlobalProtect.
Nota
54
Cuando instale inicialmente el software del agente de
GlobalProtect en el sistema del cliente, el usuario final debe
haber iniciado la sesión usando una cuenta con privilegios
administrativos. Las siguientes actualizaciones de software
del agente no necesitan privilegios administrativos.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Implementación del software cliente de GlobalProtect
Comprobación de la instalación del agente (Continuación)
Paso 4
Paso 5
Complete la configuración del agente de
GlobalProtect.
Inicie sesión en GlobalProtect.
1.
En el Asistente de configuración de GlobalProtect, haga
clic en Siguiente.
2.
Haga clic en Siguiente para aceptar la carpeta de
instalación predeterminada
(C:\Program Files\Palo Alto Networks\GlobalProtect)
o en Examinar para seleccionar una nueva ubicación y, a
continuación, haga clic en Siguiente dos veces.
3.
Después de que la instalación se realice correctamente, haga clic
en Cerrar. El agente de GlobalProtect se iniciará
automáticamente.
Cuando se le solicite, introduzca su nombre de usuario y
contraseña y, a continuación, haga clic en Aplicar. Si la
autenticación es correcta, el agente se conectará a GlobalProtect.
Utilice el agente para acceder a los recursos de la red corporativa, así
como a recursos externos, según se define en las políticas de
seguridad correspondientes.
Para implementar el agente en los usuarios finales, cree
configuraciones de cliente para los grupos de usuarios para los
que desee habilitar el acceso y establezca correctamente la
configuración de Actualización de agente y, a continuación,
comunique la dirección del portal. Consulte Definición de las
configuraciones de clientes para obtener detalles sobre cómo
establecer la configuración del cliente.
Implementación de la configuración del agente de forma transparente
Como alternativa a la implementación de los ajustes del agente desde la configuración del portal, puede
definirlos directamente desde el registro de Windows, archivo plist global de MAC o (solo en clientes de
Windows) en el instalador MSIEXEC. La ventaja es que permite la implementación de la configuración del
agente de GlobalProtect en los sistemas cliente antes de su primera conexión al portal de GlobalProtect.
Los ajustes definidos en la configuración del portal siempre anulan a los ajustes definidos en el
registro de Windows o archivo plist de Mac. Esto significa que si define ajustes en el registro o
plist, pero la configuración del portal especifica otros ajustes, los ajustes que recibe el agente del
portal sobrescribirán los definidos por el cliente. Esto incluye ajustes relacionados con el inicio
de sesión como la conexión según demanda, la utilización de SSO o la conexión del cliente en
caso de que el certificado del portal no sea válido. Por lo tanto, no debe definir ajustes que estén
en conflicto. Además, la configuración del portal se almacena en la caché del sistema del cliente.
Esta configuración en caché se utilizará si el agente de GlobalProtect o la máquina se reinician.
Las siguientes secciones describen cómo implementar los recopiladores de logs:

Establecimiento del nombre del portal

Ajustes personalizables del agente

Implementación de configuración del agente desde MSIEXEC

Implementación de configuración del agente en el registro de Windows o archivo plist de Mac
Guía del administrador de GlobalProtect
55
Implementación del software cliente de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Establecimiento del nombre del portal
Si no quiere que el usuario introduzca manualmente la dirección del portal ni siquiera en la primera conexión, puede
implementar previamente la dirección del portal mediante el registro de Windows: (HKEY_LOCAL_MACHINE\
SOFTWARE\Palo Alto Networks\GlobalProtect\PanSetup con la clavePortal) o con el archivo plist de Mac
(/Library/Preferences/com. paloaltonetworks.GlobalProtect.settings.plist y la clave de configuración
Portal en el diccionario PanSetup):
Ajustes personalizables del agente
Además de implementar previamente la dirección del portal, también puede definir los ajustes de configuración del
agente. La Tabla: Ajustes personalizables del agente describe todos los ajustes personalizables del agente. Los ajustes
definidos en la configuración del cliente del portal de GlobalProtect siempre anulan a los ajustes definidos en el
registro de Windows o archivo plist de Mac. Sin embargo, un ajuste (can-prompt-user-credential) no está
disponible en la configuración del cliente del portal y se debe establecer mediante el registro de Windows (aplicable
solo a clientes de Windows). Este ajuste se utiliza junto con el inicio de sesión único e indica si se deben pedir o no al
usuario las credenciales en caso de que falle la SSO.
Tabla: Ajustes personalizables del agente
Configuración del cliente de
portal
Registro de Windows/archivo
plist de Mac
Parámetro MSIEXEC
Valor
predeterminado
Habilitar vista avanzada
enable-advanced-view yes | no
ENABLEADVANCEDVIEW=”yes|no”
yes
Mostrar icono GlobalProtect
show-agent-icon yes | no
SHOWAGENTICON=”yes|no”
yes
Permitir al usuario cambiar la
dirección del portal
can-change-portal yes | no
CANCHANGEPORTAL=”yes|no”
yes
Permitir que el usuario guarde
la contraseña
can-save-password yes | no
CANSAVEPASSWORD=”yes|no”
yes
Habilitar opción de
redescubrimiento de red
rediscover-network yes | no
REDISCOVERNETWORK=”yes|no”
yes
56
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Implementación del software cliente de GlobalProtect
Configuración del cliente de
portal
Registro de Windows/archivo
plist de Mac
Parámetro MSIEXEC
Valor
predeterminado
Activar opción para volver a
enviar perfil de host
resubmit-host-info yes | no
RESUBMITHOSTINFO=”yes|no”
yes
Permitir que el usuario
continúe si el certificado de
servidor del portal no es válido
can-continue-if-portal-certinvalid yes | no
CANCONTINUEIFPORTALCERTINVAL
ID=”yes|no”
yes
Utilizar registro único
use-sso yes | no
USESSO=”yes|no”
yes
Intervalo de actualización de
configuración (horas)
refresh-config-interval <hours> REFRESHCONFIGINTERVAL=”<hour
s>”
24
Método de conexión
connect-method on-demand |
pre-logon | user-logon
CONNECTMETHOD=”on-demand |
pre-logon | user-logon”
user-logon
Solo Windows/no en portal
can-prompt-user-credential yes
| no
CANPROMPTUSERCREDENTIAL=”yes
| no”
yes
Implementación de configuración del agente desde MSIEXEC
En los clientes de Windows tiene la opción de implementar automáticamente tanto el agente como la
configuración desde Windows Installer (MSIEXEC) usando la siguiente sintaxis:
msiexec.exe /i GlobalProtect.msi <SETTING>="<value>"
Por ejemplo, para evitar que los usuarios se conecten al portal si el certificado no es válido, puede cambiar la
configuración de la siguiente forma:
msiexec.exe /i GlobalProtect.msi CANCONTINUEIFPORTALCERTINVALID="no"
Para obtener una lista de ajustes y de los correspondientes valores predeterminados, consulte Tabla: Ajustes
personalizables del agente.
Implementación de configuración del agente en el registro de Windows o archivo plist de Mac
Puede establecer la configuración personalizada del agente de GlobalProtect en el registro de Windows
(HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\) o en el archivo plist global de
Mac (/Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plist). Esto permite la
implementación de la configuración del agente de GlobalProtect en los sistemas cliente antes de su primera
conexión al portal de GlobalProtect. Para ver una lista de comandos y valores, consulte la Tabla: Ajustes
personalizables del agente.
Guía del administrador de GlobalProtect
57
Implementación del software cliente de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Descarga e instalación de la aplicación móvil de GlobalProtect
La aplicación de GlobalProtect proporciona una forma sencilla de ampliar las políticas de seguridad de empresa a los
dispositivos móviles. Como con otros hosts remotos que ejecutan el agente de GlobalProtect, la aplicación móvil
proporciona acceso seguro a su red corporativa en el túnel de IPSec o SSL VPN. La aplicación se conectará
automáticamente a la puerta de enlace más cercana a la ubicación actual del usuario final. Además, el tráfico hasta y
desde el dispositivo móvil quedará sujeto automáticamente a la aplicación de la misma política de seguridad de los
otros hosts de la red corporativa. Como el agente de GlobalProtect, la aplicación recoge información sobre la
configuración del host, que puede utilizar para aplicar una política de seguridad basada en HIP.
Para conseguir una solución de seguridad de dispositivo móvil más completa, también puede utilizar el gestor de
seguridad móvil de GlobalProtect. Este servicio permite el aprovisionamiento automatizado de configuraciones de
dispositivos móviles, la aplicación del cumplimiento de seguridad de dispositivos y visibilidad y gestión centralizadas
sobre los dispositivos móviles que acceden a la red. Además, el gestor de seguridad móvil de GlobalProtect se integra
uniformemente con los otros servicios de GlobalProtect de su red, permitiendo el acceso seguro a sus recursos de red
desde cualquier ubicación y la aplicación de política granular basada en perfiles HIP. Para obtener más información,
consulte Configuración del gestor de seguridad móvil de GlobalProtect.
Utilice el siguiente procedimiento para instalar la aplicación móvil de GlobalProtect.
Comprobación de la instalación de la aplicación
Paso 1
Paso 2
58
Cree una configuración de cliente para
Se recomienda empezar a crear una configuración de cliente limitada
comprobar la instalación de la aplicación. a un grupo reducido de usuarios como, por ejemplo, administradores
del departamento de TI responsables de la administración del
cortafuegos:
1. Seleccione Red > GlobalProtect > Portales y seleccione la
configuración del portal que se debe editar.
Desde el dispositivo móvil, siga las
indicaciones para descargar e instalar
la aplicación.
2.
Seleccione la pestaña Configuración clientes y elija una
configuración existente o haga clic en Añadir para añadir una
nueva configuración que se implementará en usuarios/grupo
de prueba.
3.
En la pestaña Usuario/grupo de usuarios, haga clic en Añadir
en la sección Usuario/grupo de usuarios y, a continuación,
seleccione el usuario o grupo que probará el agente.
4.
En la sección de SO, seleccione la aplicación que está probando
(iOS o Android).
5.
(Opcional) Seleccione la configuración de cliente que acaba
de crear/modificar y haga clic en Mover hacia arriba para
que quede por encima de cualquier configuración más genérica
que acabe de crear.
6.
Compile los cambios.
• En dispositivos Android, busque la aplicación en Google Play.
• En dispositivos iOS, busque la aplicación en App Store.
Guía del administrador de GlobalProtect
Configuración de la infraestructura de GlobalProtect
Implementación del software cliente de GlobalProtect
Comprobación de la instalación de la aplicación (Continuación)
Paso 3
Inicie la aplicación.
Cuando se haya instalado correctamente, el icono de la aplicación de
GlobalProtect aparecerá en la pantalla de inicio del dispositivo. Para
iniciar la aplicación, toque el icono. Cuando se le solicite habilitar las
funciones de VPN de GlobalProtect, toque ACEPTAR.
Paso 4
Conecte con el portal.
1.
Cuando se le solicite, introduzca el nombre o dirección del
portal, el nombre de usuario y la contraseña. El nombre del
portal debe ser un nombre de dominio completo (FQDN) y no
incluirá https:// al principio.
2.
Toque Conectar y compruebe que la aplicación establece
correctamente una conexión de VPN a GlobalProtect.
Si el gestor de seguridad móvil de GlobalProtect está
configurado, la aplicación le pedirá que se inscriba. Consulte
Verificación de la configuración del gestor de seguridad móvil
para obtener más información comprobar esa configuración.
Guía del administrador de GlobalProtect
59
Implementación del software cliente de GlobalProtect
60
Configuración de la infraestructura de GlobalProtect
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Los dispositivos móviles son cada vez más potentes, por lo que los usuarios finales confían más en ellos para
realizar sus tareas comerciales. Sin embargo, los mismos dispositivos que acceden a sus redes de la empresa están
conectando también a Internet sin protección contra amenazas y vulnerabilidades. El gestor de seguridad móvil
de GlobalProtect ofrece los mecanismos para configurar los ajustes de dispositivos y las cuentas y realizar
acciones con los dispositivos, como bloquear o borrar los dispositivos móviles robados o que se hayan perdido.
El gestor de seguridad móvil también publica el estado del dispositivo en las puertas de enlace de GlobalProtect
(en informes HIP) para que pueda crear políticas de acceso granular, por ejemplo permitiéndole denegar el
acceso a dispositivos que estén liberados o con el root desbloqueado.
Los siguientes temas describen el servicio de gestor de seguridad móvil de GlobalProtect y le muestran los pasos
básicos para configurar la gestión de los dispositivos.

Recomendaciones de implementación del gestor de seguridad móvil

Configuración del acceso de gestión al gestor de seguridad móvil

Registro, licencia y actualización del gestor de seguridad móvil

Configuración del gestor de seguridad móvil para la gestión de dispositivos

Configuración del acceso de puerta de enlace al gestor de seguridad móvil

Definición de políticas de implementación

Verificación de la configuración del gestor de seguridad móvil

Configuración del acceso administrativo en el gestor de seguridad móvil
Guía del administrador de GlobalProtect
61
Recomendaciones de implementación del gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Recomendaciones de implementación del gestor de
seguridad móvil
El gestor de seguridad móvil de GlobalProtect colabora con el resto de infraestructura de GlobalProtect para
garantizar una solución de seguridad móvil completa. Una implementación de gestor de seguridad móvil requiere
conectividad entre los siguientes componentes:

Actualizaciones de Palo Alto: El gestor de seguridad móvil recupera actualizaciones de firmas de WildFire que
le permiten detectar malware en dispositivos gestionados de Android. Por defecto, el gestor de seguridad móvil
recupera las actualizaciones de WildFire desde el servidor de actualizaciones de Palo Alto Networks en su interfaz
de gestión. Sin embargo, si su red de gestión no proporciona acceso a Internet, podrá modificar la ruta de servicios
para el servicio de actualizaciones de Palo Alto para usar la interfaz ethernet1.

Puertas de enlace de GlobalProtect: Para activar la política de seguridad basada en HIP para los dispositivos
gestionados, las puertas de enlace de GlobalProtect recuperan los informes HIP del dispositivo móvil desde el
gestor de seguridad móvil. La mejor implementación es activar el servicio de gestión de puertas de enlace de
GlobalProtect en la interfaz ethernet1.

Servicios de notificaciones Push: Como el gestor de seguridad móvil no puede conectarse directamente con
los dispositivos móviles que gestiona, debe enviar notificaciones de envío a través del servicio de notificaciones
Push de Apple (APNs) o los servicios de mensajería en la nube de Google (GCM) siempre que necesite interactuar
con un dispositivo, por ejemplo para enviar una solicitud de registro o realizar una acción como el envío de un
mensaje o una nueva política. Se recomienda configurar la ruta del servicio de notificaciones Push para que use la
interfaz ethernet1.

Dispositivos móviles: Los dispositivos móviles se conectan inicialmente desde la red externa para su inscripción
y después para registrarse y recibir la política de implementación. Se recomienda usar ethernet1 para la inscripción
y registro de dispositivo, pero usar puertos de escucha distintos. Para evitar que el usuario final vea advertencias
de certificados, use el puerto 443 (predeterminado) para la inscripción y otro puerto diferente (configurable a 7443
o 8443) para el registro. Advertencia: Como el puerto de registro de dispositivos se envía al dispositivo durante
la inscripción, si lo cambia tras la configuración inicial los dispositivos deberán volver a inscribirse con gestor de
seguridad móvil.
La siguiente ilustración muestra la topología de implementación recomendada para el gestor de seguridad móvil:
62
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del acceso de gestión al gestor de seguridad móvil
Configuración del acceso de gestión al gestor de
seguridad móvil
Por defecto, el puerto de gestión (MGT) del dispositivo GP-100 (también llamado el gestor de seguridad móvil) tiene
la dirección IP 192.168.1.1 y el nombre de usuario y contraseña admin/admin. Por motivos de seguridad, debe
cambiar estos ajustes antes de continuar con otras tareas de configuración del gestor de seguridad móvil. Esta
configuración inicial puede realizarse con una conexión física directa con el dispositivo (conexión serie al puerto
de consola o conexión RJ-45 a la interfaz de gestión). Durante la configuración inicial asignará los ajustes de red
que le permiten conectar con la interfaz web del dispositivo para las tareas de configuración siguientes.
Configuración del acceso de red al dispositivo GP-100
Paso 1
Monte en rack el dispositivo GP-100.
Consulte la Guía de referencia de hardware del dispositivo GP-100 para
obtener instrucciones.
Paso 2
Obtenga la configuración de red necesaria • Dirección IP para el puerto MGT
para la interfaz de gestión.
• Máscara de red
• Puerta de enlace predeterminada
• Dirección de servidor DNS
Paso 3
Conecte su ordenador al dispositivo
GP-100.
Conéctese al dispositivo de uno de estos modos:
• Conecte un cable serie desde su ordenador al puerto de la consola
y conecte con el dispositivo usando el software de emulación de
terminal (9600-8-N-1). Espere unos minutos a que se complete la
secuencia de inicio; cuando el dispositivo esté listo aparecerá el
mensaje de inicio de sesión.
• Conecte un cable Ethernet RJ-45 a su ordenador y al puerto
de gestión del dispositivo. Use un navegador para ir a
https://192.168.1.1. Tenga en cuenta que tal vez deba cambiar
la dirección IP de su ordenador a una dirección de la red
192.168.1.0/24, como 192.168.1.2, para acceder a esta URL.
Paso 4
Cuando se le indique, inicie sesión en el
dispositivo.
Paso 5
Defina los ajustes y servicios de red para 1.
permitirlos en la interfaz de gestión.
Guía del administrador de GlobalProtect
Inicie sesión usando el nombre de usuario y contraseña
predeterminados (admin/admin). El dispositivo comenzará a
inicializarse.
Seleccione Configuración > Ajustes y, a continuación, haga clic
en el icono Editar
de la sección Configuración de interfaz de
gestión de la pantalla. Introduzca la Dirección IP, Máscara de
red y Puerta de enlace predeterminada para activar el acceso
a la red en la interfaz de gestión.
2.
Asegúrese de que Velocidad se define como negociación
automática.
3.
Seleccione los servicios de gestión que permitirá en la interfaz.
Como mínimo, seleccione HTTPS, SSH y Ping.
4.
(Opcional) Para restringir el acceso del gestor de seguridad
móvil a direcciones IP específicas, introduzca las Direcciones IP
permitidas.
5.
Haga clic en ACEPTAR.
63
Configuración del acceso de gestión al gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del acceso de red al dispositivo GP-100 (Continuación)
Paso 6
Paso 7
Paso 8
Nota
Paso 9
Nota
(Opcional) Configure los ajustes
generales del dispositivo.
Configure DNS y, si lo desea, defina el
acceso a un servidor NTP.
Seleccione Configuración > Ajustes > Gestión y haga clic en el
icono Editar
de la sección Configuración general de la
pantalla.
2.
Introduzca un nombre de host para el dispositivo y el nombre
de dominio de su red. El nombre de dominio tan solo es una
etiqueta, no se usará para unirse al dominio.
3.
Introduzca cualquier texto de carácter informativo que desee
que aparezca a los administradores al iniciar sesión en el campo
Titular de inicio de sesión.
4.
Seleccione la Zona horaria y, si no está pensando en usar NTP,
introduzca la Fecha y Hora.
5.
Haga clic en ACEPTAR.
1.
Seleccione Configuración > Ajustes > Servicios y haga clic en
el icono Editar
de la sección Servicios de la pantalla.
2.
Introduzca la dirección IP de su Servidor DNS principal y, de
manera opcional, de su Servidor DNS secundario.
3.
Para usar el clúster virtual de servidores horarios de Internet,
introduzca el nombre de host ntp.pool.org como servidor
NTP principal o añada la dirección IP de su servidor NTP
principal y, de manera opcional, su servidor NTP secundario.
4.
Haga clic en ACEPTAR.
Establezca una contraseña segura para la 1.
cuenta de administrador.
2.
Para obtener instrucciones sobre cómo 3.
añadir cuentas administrativas
adicionales, consulte Configuración del
4.
acceso administrativo en el gestor de
seguridad móvil.
Seleccione Dispositivo > Administradores.
Seleccione la función admin.
Introduzca la contraseña predeterminada actual y la nueva
contraseña.
Haga clic en ACEPTAR para guardar la configuración.
Haga clic en Compilar. El dispositivo puede tardar hasta 90
segundos
en guardar sus cambios.
Al guardar los cambios de configuración,
perderá la conexión con la interfaz web,
ya que la dirección IP habrá cambiado.
Compile los cambios.
Paso 10 Conecte el cortafuegos a su red.
64
1.
1.
Desconecte el dispositivo de su ordenador.
2.
Conecte el puerto de gestión a un puerto de conmutador en su
red de gestión usando un cable Ethernet RJ-45. Asegúrese de
que el puerto de conmutación que conecta al dispositivo
mediante un cable está configurado para negociación
automática.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del acceso de gestión al gestor de seguridad móvil
Configuración del acceso de red al dispositivo GP-100 (Continuación)
Paso 11 Abra una sesión de gestión SSH en el
dispositivo GP-100.
Use un software de emulación de terminal, como PuTTY, para
iniciar una sesión SSH en el cortafuegos usando la nueva dirección
IP que le ha asignado.
1. Introduzca la dirección IP que ha asignado al puerto de gestión
del cliente SSH.
2.
Utilice el puerto 22.
3.
Introduzca las credenciales de acceso administrativo cuando se
le soliciten. Después de iniciar la sesión correctamente, aparece
el mensaje de la CLI en modo operativo. Por ejemplo:
admin@GP-100>
Paso 12 Verifique el acceso a la red para los
servicios externos requeridos para la
gestión del cortafuegos, como el servidor
de actualizaciones de Palo Alto Networks:
Compruebe que tiene acceso al y desde el dispositivo mediante la
utilidad de ping de la CLI. Asegúrese de que tiene conexión a la
puerta de enlace predeterminada, servidor DNS y el servidor de
actualización de Palo Alto Networks como se muestra en el siguiente
ejemplo:
admin@GP-100> ping al host updates.paloaltonetworks.com
Haciendo ping a updates.paloaltonetworks.com (67.192.236.252) con
56(84) bytes de datos.
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=40.5 ms
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=53.6 ms
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=79.5 ms
Nota
Paso 13 Inicie sesión en la interfaz web del gestor 1.
de seguridad móvil.
Nota
Para obtener instrucciones sobre cómo
añadir cuentas administrativas
adicionales, consulte Configuración del
acceso administrativo en el gestor de
seguridad móvil.
Cuando haya comprobado la conectividad, pulse Ctrl+C
para detener los pings.
Abra una ventana del navegador y desplácese a la siguiente URL:
https://<Direccion_IP>
donde <Direción_IP> es la dirección que acaba de asignar a la
interfaz de gestión.
Nota
Si activa una comprobación de dispositivos en la interfaz de
gestión, deberá incluir el número de puerto 4443 en la URL
para poder acceder a la interfaz web como sigue:
https://<Direccion_IP>:4433
2.
Guía del administrador de GlobalProtect
Inicie sesión con la nueva contraseña que ha asignado a la cuenta
de administración.
65
Registro, licencia y actualización del gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Registro, licencia y actualización del gestor de seguridad móvil
Antes de poder empezar a usar el gestor de seguridad móvil para gestionar los dispositivos móviles, deberá
registrar el dispositivo GP-100 y recuperar las licencias. Si planea gestionar más de 500 dispositivos móviles
deberá adquirir una licencia única e indefinida del gestor de seguridad móvil de GlobalProtect según el número
de dispositivos móviles que hay que gestionar. Además, el dispositivo incluye 90 días de asistencia gratuita. Sin
embargo, cuando ese periodo de 90 días acabe, deberá adquirir una licencia de asistencia para activar el gestor
de seguridad móvil para recuperar las actualizaciones de software y las actualizaciones de contenido dinámico.
Las siguientes secciones describen los procesos de registro, licencia y actualización:

Registro del dispositivo GP-100

Activación/recuperación de licencias

Instalación de las actualizaciones de contenido y software de Panorama
Registro del dispositivo GP-100
Para gestionar todos los activos adquiridos en Palo Alto Networks, debe crear una cuenta y registrar los números
de serie con la cuenta como se indica a continuación.
Registro del dispositivo GP-100
Paso 1
Inicie sesión en la interfaz web del gestor Use una conexión segura (https) de un navegador web, inicie sesión
de seguridad móvil.
con la dirección IP y contraseña asignadas durante la configuración
inicial (https://<Dirección IP> o https://<Dirección IP>:4443 si la
comprobación de dispositivos está activada en la interfaz).
Paso 2
Busque el número de serie y cópielo en el El número de serie del dispositivo GP-100 aparece en el Panel;
portapapeles.
encuentre el Número de serie en la sección Información general de
la pantalla.
Paso 3
Vaya al sitio de asistencia de Palo Alto
Networks.
Seleccione Configuración > Asistencia técnica > Vínculos y haga clic
en el vínculo hacia Página de inicio de asistencia.
Nota
Paso 4
Si su dispositivo no tiene conexión a Internet desde la interfaz
de gestión, en una nueva pestaña o ventana del navegador vaya
a https://support.paloaltonetworks.com.
Registre el dispositivo GP-100. El proceso • Si es el primer dispositivo de Palo Alto Networks que registra y aún no
tiene un inicio de sesión, haga clic en Registrar en el lado derecho de
de registro dependerá de que tenga o no un
inicio de sesión en el sitio de asistencia
la página. Para registrarse, debe proporcionar su dirección de correo
técnica.
electrónico y el número de serie del gestor de seguridad móvil (que
puede pegar desde el portapapeles). Cuando se le solicite, establezca
un nombre de usuario y una contraseña para acceder a la comunidad
de asistencia técnica de Palo Alto Networks.
• Si ya dispone de una cuenta de asistencia técnica, inicie sesión y haga
clic en Mis dispositivos. Desplácese hasta la sección Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el número
de serie del gestor de seguridad móvil (que puede pegar desde el
portapapeles), su ciudad y su código postal, y haga clic en Registrar
dispositivo.
66
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Registro, licencia y actualización del gestor de seguridad móvil
Activación/recuperación de licencias
El gestor de seguridad móvil necesita una licencia de asistencia válida que le permita recuperar las actualizaciones
de software y las actualizaciones de contenido dinámico. El dispositivo incluye 90 días de asistencia gratuita; sin
embargo, debe adquirir una licencia de asistencia para seguir recibiendo actualizaciones tras este periodo
introductorio. Si planea gestionar más de 500 dispositivos móviles, necesitará una licencia del gestor de
seguridad móvil GlobalProtect. Esta licencia única y perenne permite gestionar hasta 1000, 2000, 5000, 10 000,
25 000, 50 000 o 100 000 dispositivos móviles.
Puede adquirir una suscripción a WildFire para el gestor de seguridad móvil para habilitar las actualizaciones
dinámicas que contienen firmas de malware creadas como resultado del análisis realizado por la nube de
WildFire. Si mantiene al día las actualizaciones de malware, podrá evitar que los dispositivos Android
gestionados que contienen aplicaciones infectadas con malware se conecten a sus recursos de red. Debe adquirir
una suscripción a WildFire que admita el mismo número de dispositivos que admite su licencia del gestor de
seguridad móvil. Por ejemplo, si tiene una licencia perenne del gestor de seguridad móvil para 10 000
dispositivos y desea activar la asistencia para detectar el malware más reciente, deberá adquirir una suscripción
a WildFire para 10 000 dispositivos.
Para adquirir licencias, póngase en contacto con su ingeniero de sistemas de Palo Alto Networks o distribuidor.
Después de obtener una licencia, desplácese hasta Configuración > Licencias para realizar las siguientes tareas
dependiendo de cómo recibe las licencias:

Recuperar claves de licencia del servidor de licencias: Utilice esta opción si la licencia se ha activado
en el portal de asistencia técnica.

Activar característica mediante código de autorización: Utilice el código de autorización para activar
una licencia que no se ha activado anteriormente en el portal de asistencia técnica.

Carga manual de la clave de licencia: Utilice esta opción si la interfaz de gestión del GP-100 no tiene
conectividad con el servidor de actualización de Palo Alto Networks. En este caso, en primer lugar debe
descargar un archivo de clave de licencia del sitio de asistencia técnica a través de un ordenador conectado
a Internet y después cargarlo en el dispositivo.
Activación de las licencias
Paso 1
Encuentre los códigos de activación del
producto/suscripción que ha adquirido.
Guía del administrador de GlobalProtect
Encuentre el correo electrónico de la asistencia al cliente de Palo Alto
Networks que muestra el código de autorización asociado con la licencia
que ha adquirido. Si no encuentra este correo electrónico, póngase en
contacto con atención al cliente para recibir sus códigos antes de
continuar.
67
Registro, licencia y actualización del gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Activación de las licencias (Continuación)
Paso 2
Active las licencias.
Si el gestor de seguridad móvil va a
gestionar más de 500 dispositivos
móviles, necesitará una licencia perenne
del gestor de seguridad móvil
GlobalProtect.
Nota
1.
Para activar su suscripción de asistencia (obligatoria tras 90
días), seleccione Configuración > Asistencia técnica.
2.
Seleccione Activar característica mediante código de
autorización. Introduzca el Código de autorización y, a
continuación, haga clic en ACEPTAR.
3.
Compruebe que la suscripción se haya activado correctamente.
Si el puerto de gestión del gestor de
seguridad móvil no tiene acceso a
Internet, descargue manualmente los
archivos de licencia desde el sitio de
asistencia técnica y cárguelos en el gestor
4.
de seguridad móvil usando la opción
Clave de licencia de carga manual.
5.
6.
Paso 3
En la pestaña Configuración > Licencias, seleccione Activar
característica mediante código de autorización.
Cuando se le solicite, introduzca Código de autorización para
usar el gestor de seguridad móvil y haga clic en ACEPTAR.
Compruebe que la licencia se ha activado correctamente y que
indica asistencia técnica para el número correcto de dispositivos.
(No es necesario si ha completado el
Utilice la opción Recuperar claves de licencia del servidor de
paso 2) Recupere las claves de licencia del licencias si ha activado las claves de licencia en el portal de asistencia
servidor de licencias.
técnica.
Seleccione Configuración > Asistencia técnica y seleccione
Recuperar claves de licencia del servidor de licencias.
Instalación de las actualizaciones de contenido y software de Panorama
Use el siguiente procedimiento para descargar las actualizaciones de malware de Android Package (APK) más
recientes o actualizar el software del gestor de seguridad móvil. Si mantiene al día las actualizaciones de APK,
podrá evitar que los dispositivos Android gestionados que contienen aplicaciones infectadas con malware se
conecten con sus recursos de red.
Recepción de las actualizaciones de software y contenido
Paso 1
Inicie la interfaz web del gestor de
seguridad móvil y vaya a la página de
actualizaciones dinámicas.
1.
Antes de actualizar el software, instale las
últimas actualizaciones de contenido
2.
admitidas en esta versión.
68
Use una conexión segura (https) de un navegador web,
inicie sesión con la dirección IP y contraseña asignadas
durante la configuración inicial (https://<Dirección IP> o
https://<Dirección IP>:4443 si la comprobación de
dispositivos está activada en la interfaz).
Seleccione Configuración > Actualizaciones dinámicas.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Registro, licencia y actualización del gestor de seguridad móvil
Recepción de las actualizaciones de software y contenido (Continuación)
Paso 2
Busque, descargue e instale la última
actualización de contenido del gestor de
seguridad móvil.
1.
2.
Las actualizaciones de contenido del
gestor de seguridad móvil incluyen todas 3.
las firmas de malware del paquete de
aplicaciones Android (APK), incluido el
nuevo malware que detecte WildFire.
Paso 3
Compruebe las actualizaciones de
software.
Paso 4
Descargar la actualización.
Nota
Si el gestor de seguridad móvil no tiene
acceso a Internet desde el puerto de
gestión, puede descargar la actualización
de software desde el sitio de asistencia
técnica de Palo Alto Networks. Después
podrá cargarla manualmente en el gestor
de seguridad móvil.
Paso 5
Instale la actualización.
Haga clic en Comprobar ahora para comprobar las
actualizaciones más recientes. Si el valor de la columna Acción
es Descargar significa que hay una actualización disponible.
Haga clic en Descargar para obtener la versión deseada.
Haga clic en el enlace Instalar de la columna Acción. Cuando se
complete la instalación, aparecerá una marca de verificación en
la columna Instalado actualmente.
1.
Seleccione Configuración > Software.
2.
Haga clic en Comprobar ahora para comprobar las
actualizaciones más recientes. Si el valor de la columna Acción
es Descargar significa que hay una actualización disponible.
Encuentre la versión a la que desea actualizar y haga clic en
Descargar. Cuando se complete la descarga, el valor en la columna
Acción cambia a Instalar.
1.
Haga clic en Instalar.
2.
Reinicie el dispositivo:
• Si se le pide que reinicie, haga clic en Sí.
• Si no se le pide que reinicie, seleccione Configuración >
Ajustes > Operaciones y haga clic en Reiniciar dispositivo
en la sección Operaciones de dispositivo de la pantalla.
Guía del administrador de GlobalProtect
69
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para la gestión
de dispositivos
Antes de poder empezar a usar el gestor de seguridad móvil para gestionar los dispositivos móviles, deberá
configurar la infraestructura de gestión de dispositivos. Esto incluye la configuración de una interfaz para el
registro de dispositivos, la obtención de certificados necesarios para que el gestor de seguridad móvil envíe las
notificaciones push a otros dispositivos mediante OTA (Over the Air) y la definición de cómo autenticar
usuarios/dispositivos antes de la suscripción y cómo emitir certificados a identidad a cada dispositivo.

Configuración del gestor de seguridad móvil para el registro de dispositivos

Configuración del gestor de seguridad móvil para la inscripción
Configuración del gestor de seguridad móvil para el registro de dispositivos
Cada hora (de forma predeterminada), el gestor de seguridad móvil envía un mensaje de notificación a los
dispositivos que gestiona solicitando que se registren. Para enviar esos mensajes, llamados notificaciones push, el
gestor de seguridad móvil debe conectarse con los dispositivos mediante OTA (over-the-air). Para enviar
notificaciones push a dispositivos iOS, el gestor de seguridad móvil debe usar el servicio de notificación Push
de Apple (APNs); para los dispositivos Android debe usar el servicio de Mensajería de Google Cloud (GCM).
Lo mejor es configurar la interfaz ethernet1 en el gestor de seguridad móvil como interfaz de orientación externa
para acceder a la puerta de enlace y el dispositivo móvil. Así, para configurar el gestor de seguridad móvil para
el registro de dispositivos debe configurar la interfaz ethernet1 y activarla para el registro de dispositivos.
Además, debe configurar el gestor de seguridad móvil para enviar notificaciones de envío mediante
APNs/GCM. El siguiente procedimiento detalla cómo configurar esta configuración recomendada:
Configuración del gestor de seguridad móvil para el registro de dispositivos
1.
Paso 1
Configure la interfaz de registro de
dispositivos.
Nota
Aunque puede usar la interfaz de gestión 2.
para registrar dispositivos, si configura
una interfaz distinta podrá separar el
tráfico de gestión del de datos. Si está
3.
usando la interfaz de gestión para el
registro de dispositivos, omita el Paso 4.
70
Seleccione Configuración > Red > ethernet1 para abrir el
cuadro de diálogo de ajuste Interfaz de red.
Defina los ajustes de acceso a la red de la interfaz, incluidas la
Dirección IP, Máscara de red y Puerta de enlace
predeterminada.
Habilite los servicios que desea permitir en esta interfaz
seleccionando las casillas de verificación que correspondan.
Como mínimo, seleccione Registro de dispositivos móviles.
Puede que desee seleccionar también Ping para contribuir a la
conectividad de prueba.
4.
Para guardar la configuración de la interfaz, haga clic en
ACEPTAR.
5.
Conecte el puerto ethernet1 (con la etiqueta 1 en el panel frontal
del dispositivo) a su red con un cable de Ethernet RJ-45.
Asegúrese de que el puerto de conmutación al que conecta la
interfaz está configurado para la negociación automática.
6.
(Opcional) Añada un registro “A” DNS a su servidor DNS para
asociar la dirección IP de esta interfaz con un nombre de host.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación)
Paso 2
(Opcional) Modifique la configuración de 1.
registro del dispositivo.
Por defecto, el gestor de seguridad móvil
está a la espera en el puerto 443 tanto para 2.
las solicitudes de inscripción como para
las de registro. Se recomienda configurar
el puerto de inscripción a 443 y usar un
número de puerto distinto para el registro
de dispositivos. El proceso de registro de
dispositivos requiere un certificado
3.
cliente para establecer la sesión SSL,
mientras que el de inscripción no. Si
ambos servicios se ejecutan en el mismo
puerto, el dispositivo móvil mostrará por
error mensajes emergentes de certificados 4.
durante el proceso de inscripción, lo que
puede confundir a los usuarios finales.
Paso 3
(Opcional) Si el puerto de gestión del
gestor de seguridad móvil no tiene acceso
a Internet, configure los enrutadores de
servicio para permitir el acceso desde la
interfaz de registro de dispositivos a los
recursos externos necesarios, como el
servicio de notificaciones push de Apple
(APNs) y el servicio de Mensajería de
Google Cloud (GCM) para el envío de
notificaciones push.
Guía del administrador de GlobalProtect
Seleccione Configuración > Ajustes > Servidor y, a
continuación, haga clic en el icono Editar de la sección
Configuración de registro de dispositivos.
Seleccione el Puerto de registro en el que el gestor de seguridad
móvil escuchará las solicitudes de registro de dispositivos.
De forma predeterminada, este puerto se configura como 443.
Sin embargo, debe cambiar el puerto de registro de dispositivos
de 7443 a 8443 y la inscripción para evitar que se pida a los
usuarios un certificado de cliente cuando se inscriban.
Por defecto, el gestor de seguridad móvil enviará notificaciones
push a los dispositivos que gestiona cada 60 minutos para
solicitar el registro. Para cambiar este intervalo, introduzca un
nuevo Intervalo de notificación de registro del dispositivo
(rango: 30 minutos a 1440 minutos).
Haga clic en ACEPTAR para guardar la configuración.
1.
Seleccione Configuración > Ajustes > Servicios >
Configuración de ruta de servicios.
2.
Haga clic en el botón de opción Seleccionar.
3.
Haga clic en la columna Interfaz que corresponde con el
servicio cuya ruta de servicio desee cambiar y seleccione la
interfaz ethernet1.
4.
Repita estos pasos en cada servicio que desee modificar.
Para configurar la interfaz ethernet1 para el registro de
dispositivos deberá cambiar la ruta del servicio de
Notificaciones push. Si no tiene acceso a Internet desde la
interfaz de gestión, deberá cambiar todas las rutas de servicio a
esta interfaz.
5.
Haga clic en ACEPTAR para guardar la configuración.
71
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación)
Paso 4
Importe un certificado de servidor para la Para importar un certificado y una clave privada, descargue el
certificado y el archivo de clave de la CA y asegúrese de que son
interfaz de registro de dispositivos del
accesibles desde el sistema de gestión y que tiene la frase de
gestor de seguridad móvil.
contraseña para descifrar la clave privada. Después complete los
El campo de nombre común (CN) y, si es
siguientes pasos en el gestor de seguridad móvil:
aplicable, de nombre alternativo del
1. Seleccione Configuración > Gestión de certificados >
asunto (SAN) del certificado del gestor de
Certificados > Certificados de dispositivos.
seguridad móvil deben coincidir
exactamente con la dirección IP o con el 2.
nombre de dominio completo (FQDN) 3.
de la interfaz de registro de dispositivos
(se admiten certificados de comodín).
4.
Aunque puede generar un certificado de
servidor autofirmado para la interfaz de 5.
registro de dispositivos del gestor de
6.
seguridad móvil (Configuración >
Gestión de certificados > Certificados >
Generar), se recomienda usar un
7.
certificado de una CA pública como
VeriSign o Go Daddy para garantizar que
los dispositivos finales puedan conectarse
para inscribirse. Si no usa un certificado 8.
en el que confíen los dispositivos, deberá
añadir el certificado de CA raíz a la
configuración del gestor de seguridad
móvil y la configuración correspondiente
de clientes del portal para que el portal
pueda implementar el certificado en los
dispositivos tal y como se describe en
Definición de las configuraciones de
clientes.
Haga clic en Importar e introduzca un nombre de certificado.
Introduzca la ruta y el nombre en el Archivo de certificado que
recibió de la CA o seleccione Examinar para buscar el archivo.
Seleccione Clave privada cifrada y certificado (PKCS12) como
Formato de archivo.
Seleccione la casilla de verificación Importar clave privada.
Introduzca la ruta y el nombre en el archivo PKCS#12 en el
campo Archivo de clave o seleccione Examinar para
encontrarla.
Vuelva a introducir la Frase de contraseña que se usó para
cifrar la clave privada y después haga clic en ACEPTAR para
importar el certificado y la clave.
Para configurar el gestor de seguridad móvil para usar este
certificado para el registro de dispositivos:
a. Seleccione Configuración > Ajustes > Servidor y, a
continuación, haga clic en el icono Editar de la sección
Configuración de servidor SSL.
b. Seleccione el certificado que acaba de importar desde la lista
desplegable Certificado de servidor MDM.
c. (Opcional) Si el certificado no lo emitió una CA conocida,
seleccione el certificado de CA raíz del remitente en el cuadro
desplegable Autoridad de certificado u opte por Importar
ahora.
d. Haga clic en ACEPTAR para guardar la configuración.
72
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación)
Paso 5
Obtenga un certificado para el servicio de 1.
notificaciones push de Apple (APNs).
El certificado de APNs es necesario para
que el gestor de seguridad móvil pueda
enviar notificaciones push a los
dispositivos iOS que gestiona. Para
obtener el certificado debe crear una
solicitud de firma de certificado (CSR) en
el gestor de seguridad móvil, enviarla al
servidor de firmas de Palo Alto Networks
para que lo firme y enviarla a Apple.
Recomendación:
Para crear la CSR, seleccione Configuración > Gestión de
certificados > Certificados y haga clic en Generar.
2.
Introduzca un nombre de certificado y un nombre común que
identifique su organización.
3.
En el campo Número de bits, seleccione 2048.
4.
En el campo Firmado por, seleccione Autoridad externa
(CSR).
5.
En Resumen, seleccione sha1 y haga clic en Generar.
6.
Seleccione la CSR en la lista de certificados y haga clic en
Exportar.
7.
En el cuadro de diálogo Exportar CSR, seleccione Firmar CSR
para el Servicio de notificaciones Push de Apple en la lista
desplegable Formato de archivo y haga clic en ACEPTAR.
El gestor de seguridad móvil enviará automáticamente la CSR al
servidor de firma de Palo Alto Networks, lo que devolverá una
CSR (.csr) firmada que deberá guardar en su disco local.
8.
Abra una nueva ventana de navegador y desplácese al portal de
certificados push de Apple en la siguiente URL:
https://identity.apple.com/pushcert
9.
Cree un ID de Apple compartido para su
organización para asegurarse de que tenga
siempre acceso a sus certificados.
10.
Inicie sesión con su ID de Apple y contraseña y haga clic en
Crear un certificado. Si este es su primer inicio de sesión, debe
Aceptar las Condiciones de uso antes de crear un certificado.
Haga clic en Seleccionar archivo para buscar la ubicación de la
CSR que ha generado y después haga clic en Cargar. Cuando el
certificado se haya generado con éxito aparecerá una
confirmación.
11. Haga clic en Descargar para guardar el certificado en su
equipo local.
12. En el gestor de seguridad móvil, seleccione Configuración >
Gestión de certificados > Certificados > Certificados de
dispositivo y haga clic en Importar.
13. En el campo Nombre de certificado, introduzca el mismo
nombre que usó al crear la CSR.
14. En el campo Archivo de certificado, escriba la ruta y el nombre
al certificado (.pem) que descargó de Apple o seleccione
Examinar para buscar el archivo.
15. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuación, haga clic en ACEPTAR.
La entrada de la CSR en la lista de certificados cambia a un
certificado con la Autoridad de certificación de integración de
la aplicación Apple del remitente y el Estado válido.
Guía del administrador de GlobalProtect
73
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación)
Paso 6
Obtenga una clave e ID de remitente del 1.
servicio de Mensajería de Google Cloud
(GCM).
La clave GCM e ID de remitente son
obligatorios para que el gestor de
seguridad móvil pueda enviar
notificaciones push a los dispositivos
Android que gestiona.
Abra una nueva ventana de navegador y desplácese a la consola
API de Google en la siguiente URL:
https://cloud.google.com/console
2.
Haga clic en CREAR PROYECTO. Aparecerá la página Nuevo
proyecto.
3.
Introduzca un Nombre de proyecto y un ID de proyecto y haga
clic en Crear. Si este es su primer proyecto, debe Aceptar las
Condiciones de uso antes de crear el proyecto.
4.
Seleccione APIs y autorización en el menú desplegable de la
parte izquierda de la página.
5.
En la página de las API, desplácese hasta Mensajería de Google
Cloud para Android y cambie el ajuste a Activado.
6.
Seleccione Credenciales en el menú de API y autenticación de
la izquierda.
7.
En la sección Acceso a la API pública de la página, haga clic en
CREAR NUEVA CLAVE.
8.
En el cuadro de diálogo Crear nueva clave, haga clic en Clave de
servidor.
9.
En el cuadro de texto Aceptar solicitudes desde estas
direcciones IP de servidor, introduzca la dirección IP de la
interfaz de registro del dispositivo del gestor de seguridad móvil
y después haga clic en Crear. La nueva clave de API se
mostrará. Esta es la clave que identifica su aplicación de gestor
de seguridad móvil. Necesitará esta clave para configurar las
notificaciones push del gestor de seguridad móvil.
10. Para obtener su ID de remitente, seleccione Descripción
general en el menú de la izquierda de la pantalla. El ID de
remitente también se muestra como el Número de proyecto.
Necesitará este ID para configurar las notificaciones push del
gestor de seguridad móvil.
74
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación)
Paso 7
Paso 8
Configure los ajustes de notificación push 1.
en el gestor de seguridad móvil.
Guarde la configuración.
Seleccione Configuración > Ajustes > Servidor y, a
continuación, haga clic en el icono Editar
de la sección
Configuración de notificaciones push.
2.
Para habilitar las notificaciones push para los dispositivos iOS,
seleccione el Certificado de APNs iOS que generó en el Paso 5.
3.
Para habilitar las notificaciones push de GCM, seleccione la
casilla de verificación Mensajería de Google Cloud y después
escriba la Clave de API GCM para Android y el ID del remitente
GCM para Android que consiguió en el Paso 6
4.
Haga clic en ACEPTAR para guardar la configuración.
Haga clic en Compilar.
Configuración del gestor de seguridad móvil para la inscripción
Para que el gestor de seguridad móvil pueda gestionar un dispositivo móvil, este debe estar inscrito en el servicio.
La inscripción se compone de dos fases:

Autenticación: Para poder inscribir un dispositivo móvil, el usuario del mismo debe autenticarse en el gestor de
seguridad móvil para que pueda determinar la identidad del usuario y garantizar que forma parte de la organización.
El gestor de seguridad móvil admite los mismos métodos de autenticación que se admiten en los otros
componentes de GlobalProtect: autenticación local, autenticación externa en un servicio LDAP, Kerberos o
RADIUS externo (incluida la asistencia de una autenticación OTP de dos factores). Si desea información detallada
sobre estos métodos consulte Acerca de la autenticación de usuarios de GlobalProtect.

Generación de certificados de identidad: Cuando haya autenticado con éxito al usuario final, el gestor de
seguridad móvil emitirá un certificado de identidad para el dispositivo. Para permitir que el gestor de seguridad
móvil emita certificados de identidad, genere un certificado de CA autofirmado que podrá usar para la firma.
Además, si tiene un servidor de protocolo de inscripción de certificados simple (SCEP) de empresa como el
servidor Microsoft SCEP, puede el gestor de seguridad móvil para usar el servidor SCEP para que emita
certificados para los dispositivos iOS. Tras la inscripción, el gestor de seguridad móvil usará el certificado de
identidad para autenticar el dispositivo móvil cuando se registre.
Siga el procedimiento que se indica a continuación para configurar la infraestructura de inscripción en el gestor de
seguridad móvil:
Guía del administrador de GlobalProtect
75
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para la inscripción
Paso 1
1.
Cree un perfil de autenticación para
autenticar los usuarios de dispositivos de
autenticación cuando se conecten al
gestor de seguridad móvil para la
inscripción.
Se recomienda usar el mismo servicio de
autenticación que se usa para autenticar a
los usuarios finales para acceder a los
recursos de la empresa, como el correo
electrónico o la red Wi-Fi. Esto permite al
gestor de seguridad móvil capturar las
credenciales para usarlas en los perfiles de
configuración que implementa en los
servicios. Por ejemplo, el gestor de
seguridad móvil puede implementar
2.
automáticamente configuraciones que
incluyan las credenciales necesarias para
acceder a los recursos de la empresa,
como el correo electrónico y el Wi-Fi, del
dispositivo.
Paso 2
76
Configure el gestor de seguridad móvil
1.
para usar este perfil de autenticación para
la inscripción de de dispositivos.
Configure el gestor de seguridad móvil para conectarse al
servicio de autenticación que tiene intención de utilizar para que
pueda acceder a las credenciales de autenticación.
• Si tiene la intención de autenticar mediante LDAP, Kerberos
o RADIUS, deberá crear un perfil de servidor que indique al
gestor de seguridad móvil cómo conectarse al servidor y
acceder a las credenciales de autenticación de sus usuarios.
Seleccione Configuración > Perfiles de servidor y añada un
nuevo perfil para el servicio específico al que accederá.
• Si tiene la intención de utilizar una autenticación de base de
datos local, primero deberá crear la base de datos local.
Seleccione Configuración > Base de datos de usuario >
Usuarios locales y añada los usuarios que deben
autenticarse.
Cree un perfil de autenticación que haga referencia al perfil de
servidor o base de datos de usuario local que acaba de crear.
Seleccione Configuración > Perfil de autenticación y añada un
nuevo perfil. El nombre del perfil de autenticación no puede
contener espacios.
Seleccione Configuración > Ajustes > Servidor y, a
continuación, haga clic en el icono Editar
de la sección
Configuración de autenticación.
2.
Seleccione el Perfil de autenticación en la lista desplegable.
3.
(Opcional) Si desea que el gestor de seguridad móvil guarde la
contraseña que introduce el usuario del dispositivo móvil
durante la autenticación, asegúrese de que la casilla Guardar
contraseña de usuario en servidor esté seleccionada. Si opta
por guardar la contraseña, el gestor de seguridad móvil podrá
configurar automáticamente las credenciales de usuario en los
ajustes de configuración que envía al dispositivo. Por ejemplo,
puede usar las credenciales guardadas (el nombre de usuario
siempre se guardan en el servidor) para que configure
automáticamente el perfil de correo electrónico que se envía al
dispositivo, de modo que el usuario final no tenga que definirlas
manualmente.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad móvil para la inscripción (Continuación)
Paso 3
Nota
Defina qué certificado raíz de CA debe usar el gestor de seguridad
móvil para emitir certificados de identidad a los dispositivos Android
y, si no usa SCEP, a dispositivos iOS. Si está usando una CA de
Aunque el gestor de seguridad móvil
puede emitir certificados de identidad a empresa, importe el certificado CA raíz y la clave privada asociada
(Configuración > Gestión de certificados > Certificados >
todos los dispositivos móviles
Importar
). De lo contrario, genere un certificado de CA raíz
autenticados, puede optar por aprovechar
autofirmado:
un servidor SCEP existente para emitir
1. Para crear un certificado de CA raíz autofirmado, seleccione
certificados de identidad para sus
Dispositivo > Gestión de certificados > Certificados >
dispositivos iOS como se describe en el
Certificados de dispositivos y, a continuación, haga clic en
siguiente paso. Los dispositivos Android
Generar.
no pueden usar SCEP y por ello debe
configure el gestor de seguridad móvil
2. Introduzca un nombre de certificado, como CA_movilidad.
para emitir certificados de entidad para
El nombre de certificado no puede puede contener espacios.
todos los dispositivos Android.
3. No seleccione ningún valor en el campo Firmado por (esto es
Configure el gestor de seguridad móvil
para emitir certificados de identidad.
lo que indica que está autofirmado).
Paso 4
Nota
(Opcional) Configure el gestor de
seguridad móvil para que se integre con
un servidor SCEP de empresa existente
para emitir certificados de identidad a
dispositivos iOS.
4.
Seleccione la casilla de verificación Autoridad del certificado y,
a continuación, haga clic en Aceptar para generar el certificado.
El gestor de seguridad móvil usará automáticamente este
certificado de forma para emitir certificados de identidad a los
dispositivos durante la inscripción.
1.
Configure el gestor de seguridad móvil para acceder al servidor
SCEP y definir las propiedades de certificado que se deben usar
al emitir certificados de identidad como se describen en
Definición de una configuración SCEP.
2.
Habilite SCEP en el gestor de seguridad móvil:
La ventaja del SCEP es que la clave
privada nunca sale del dispositivo móvil.
a. Seleccione Configuración > Ajustes > Servidor y haga clic en
el icono Editar
en la sección Configuración de SCEP.
Si planea usar el SCEP para emitir
certificados de identidad, asegúrese de
que los dispositivos iOS que se inscribirán
tienen los certificados raíz de CA
adecuados para establecer una conexión
con su servidor SCEP.
b. Seleccione la casilla de verificación SCEP para activarlo.
c. Seleccione la configuración de SCEP que creó en la lista
desplegable Inscripción.
d. (Opcional) Si desea que el gestor de seguridad móvil verifique
el certificado cliente que el servidor SCEP emitió al
dispositivo antes de completar el proceso de inscripción,
debe importar el certificado de CA raíz del servidor SCEP y
crear un Perfil de certificado correspondiente.
e. Haga clic en ACEPTAR para guardar la configuración.
Guía del administrador de GlobalProtect
77
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para la inscripción (Continuación)
Paso 5
Paso 6
Configure la configuración de inscripción. 1.
Seleccione Configuración > Ajustes > Servidor y haga clic en el
icono Editar
en la sección Configuración de inscripción.
2.
Introduzca el nombre de host de la interfaz de registro del
dispositivo (FQDN o dirección IP; debe coincidir con el
contenido del campo de nombre común del certificado del
gestor de seguridad móvil asociado con la interfaz de registro del
dispositivo).
3.
(Opcional) Seleccione el Puerto de inscripción en el que el
gestor de seguridad móvil escuchará las solicitudes de
inscripción. Está definido por defecto en 443, y se recomienda
que lo deje con este valor y use un número de puerto distinto
para el puerto de registro de dispositivos.
4.
Introduzca el identificador de organización y, opcionalmente,
un nombre de organización que se mostrará en los perfiles de
configuración que el gestor de seguridad móvil envía a los
dispositivos.
5.
(Opcional) Introduzca un Mensaje de consentimiento que
informa a los usuarios de que se están inscribiendo en su
servicio de gestión de dispositivos. Tenga en cuenta que este
mensaje no se mostrará a dispositivos que ejecuten iOS 5.1.
6.
Seleccione el certificado de CA que el gestor de seguridad móvil
debe usar para emitir los certificados desde el menú desplegable
Autoridad de certificación y, si lo desea, modifique el valor de
Vencimiento del certificado de identidad (por defecto 365
días; en un rango de 60 a 3650 días).
7.
Haga clic en ACEPTAR para guardar la configuración.
Para obligar a los usuarios de dispositivos móviles a que se vuelvan a
(Opcional) Obligue a los usuarios del
dispositivo a que se vuelvan a inscribir al inscribir cuando caduque el certificado:
caducar el certificado de identidad.
1. Seleccione Configuración > Ajustes > Servidor y haga clic en el
icono Editar
en la sección Configuración de renovación de
Por defecto, no se requiere a los usuarios
inscripción.
de dispositivos móviles que se vuelvan a
inscribir cuando caduca el certificado de 2. Seleccione la casilla de verificación Exigir reinscripción.
identidad; el gestor de seguridad móvil
3. (Opcional) Personalice el Mensaje de renovación que aparecerá
volverá a emitir certificados de identidad y
en los dispositivos móviles para alertar a los usuarios finales de
volverá a inscribir los dispositivos.
que necesitan cancelar la inscripción y volver a activarla antes de
que el certificado expire para poder continuar con el servicio de
gestión de dispositivos del gestor de seguridad móvil. Cuando se
envía el mensaje al dispositivo, la variable {DAYS} se sustituye
por el número real de días que quedan para que caduque el
certificado.
4.
Paso 7
78
Guarde la configuración.
Haga clic en ACEPTAR para guardar los ajustes de renovación.
Haga clic en Compilar.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del gestor de seguridad móvil para la gestión de dispositivos
Configuración del gestor de seguridad móvil para la inscripción (Continuación)
Paso 8
Realice los siguientes pasos en el cortafuegos que aloja su portal de
Configure el portal GlobalProtect para
redirigir los dispositivos móviles al gestor GlobalProtect:
de seguridad móvil para su inscripción.
1. Seleccione Red > GlobalProtect > Portales y seleccione la
configuración de portal que desea modificar.
Si desea información más detallada,
consulte Configuración del portal de
GlobalProtect.
Guía del administrador de GlobalProtect
2.
Seleccione la pestaña Configuración clientes y seleccione la
configuración de clientes para habilitar la gestión de seguridad
móvil.
3.
En la pestaña General, escriba la dirección IP o FQDN de la
interfaz de comprobación del dispositivo en el gestor de
seguridad móvil GlobalProtect MDM.
4.
(Opcional) Defina el Puerto de inscripción de GlobalProtect
MDM en el que el gestor de seguridad móvil escuchará las
solicitudes de inscripción. Este valor debe coincidir con el valor
definido en el gestor de seguridad móvil.
5.
Haga clic en Aceptar dos veces para guardar la configuración
del portal.
6.
Compile los cambios.
79
Configuración del acceso de puerta de enlace al gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del acceso de puerta de enlace al gestor de
seguridad móvil
Si está usando la aplicación de políticas HIP en sus cortafuegos, puede configurar las puertas de enlace de
GlobalProtect para recuperar los informes HIP para los dispositivos móviles gestionados por el gestor de
seguridad móvil.
Para habilitar la puerta de enlace para que recupere los informes HIP del gestor de seguridad móvil deberá activar una
interfaz de acceso a la puerta de enlace y después configurar las puertas de enlace para conectarlas como se indica a
continuación:
Habilitación del acceso de puerta de enlace al gestor de seguridad móvil
Paso 1
Decida qué interfaz del gestor de seguridad • (Recomendado) Para usar la interfaz ethernet1 para acceder a la puerta
de enlace, seleccione Configuración > Red > ethernet1. Seleccione
móvil se debe usar para recuperar el HIP y
habilitar el servicio de puerta de enlace en la
la casilla de verificación Habilitar identificación de usuarios y, a
interfaz.
continuación, haga clic en ACEPTAR.
• Para usar la interfaz de gestión para acceder a la puerta de enlace,
Aunque puede configurar las puertas de
seleccione Configuración > Ajustes > Gestión y, a continuación,
enlace para que se conecten con la interfaz
haga clic en el icono Editar
de la sección Configuración de
de gestión o ethernet1, se recomienda usar
interfaz de gestión de la pantalla. Seleccione la casilla de verificación
la interfaz ethernet1 para asegurarse de que
Puertas de enlace de GlobalProtect y, a continuación, haga clic en
sus puertas de enlace remotas tienen acceso
ACEPTAR.
al dispositivo.
Nota
Paso 2
(Opcional) Importe un certificado de
servidor de la interfaz de gestión del gestor
de seguridad móvil para habilitar las puertas
de enlace de GlobalProtect para que se
conecten con esta interfaz. Este certificado
solo es necesario si las puertas de enlace van
a conectarse con la interfaz de gestión en
lugar de con la de ethernet1 para recuperar
el HIP.
El campo de nombre común (CN) y, si es
aplicable, de nombre alternativo del asunto
(SAN) del certificado del gestor de
seguridad móvil deben coincidir
exactamente con la dirección IP o con el
nombre de dominio completo (FQDN) de
la interfaz (se admiten certificados de
comodín).
Se recomienda usar el mismo certificado de CA que se usa para emitir
certificados autofirmados a los demás componentes de GlobalProtect.
Consulte Implementación de certificados de servidores en los
componentes de GlobalProtect si desea información detallada sobre el
flujo de trabajo recomendado.
Cuando haya generado un certificado de servidor para el gestor de
seguridad móvil, impórtelo como se indica:
1. Seleccione Configuración > Gestión de certificados
Certificados > Certificados de dispositivos y haga clic en
Importar.
2.
Introduzca un nombre de certificado.
3.
Introduzca la ruta y el nombre en Archivo de certificado o
seleccione Examinar para buscar el archivo.
4.
Seleccione Clave privada cifrada y certificado (PKCS12) como
Formato de archivo.
5.
Introduzca la ruta y nombre en el archivo PKCS#12 en el campo
Archivo de clave o seleccione Examinar para encontrarla.
6.
80
Si esta interfaz no se ha configurado aún, debe suministrar los
ajustes de red (dirección IP, máscara de red y puerta de enlace
predeterminada) y conectar físicamente el puerto Ethernet a su
red. Consulte Configuración del gestor de seguridad móvil
para el registro de dispositivos para obtener información
detallada.
Vuelva a introducir la Frase de contraseña que se usó para cifrar
la clave privada y después haga clic en ACEPTAR para importar el
certificado y la clave.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del acceso de puerta de enlace al gestor de seguridad móvil
Habilitación del acceso de puerta de enlace al gestor de seguridad móvil (Continuación)
Paso 3
Paso 4
Especifique qué certificado de servidor debe 1.
usar el gestor de seguridad móvil para
permitir que la puerta de enlace establezca
una conexión HTTPS para recuperar el
2.
HIP.
Seleccione Configuración > Ajustes > Servidor y haga clic en el
icono Editar
en la sección Configuración de la puerta de enlace
de GlobalProtect.
3.
Seleccione el certificado que acaba de importar desde la lista
desplegable Certificado de servidor MDM y haga clic en Aceptar.
(Opcional) Cree un perfil de certificado
en el gestor de seguridad móvil para
permitir que las puertas de enlace
establezcan una conexión SSL mutua con
el gestor de seguridad móvil para
recuperar el informe HIP.
Seleccione la casilla de verificación Recuperación del informe
HIP para habilitar el acceso de la puerta de enlace al gestor de
seguridad móvil.
Para permitir una autenticación mutua entre la puerta de enlace y el
gestor de seguridad móvil, cree un certificado cliente para la puerta
de enlace e importe la CA raíz que emitió el certificado de cliente al
gestor de seguridad móvil. Siga el procedimiento siguiente para
importar el certificado de cliente en el gestor de seguridad móvil y
definir un perfil de certificado:
1. Descargue el certificado de CA que se usó para generar los
certificados de puerta de enlace (en el flujo de trabajo
recomendado, el certificado de CA se encuentra en el portal).
a. Seleccione Configuración > Gestión de certificados >
Certificados > Certificados de dispositivos.
b. Seleccione el certificado de CA y haga clic en Exportar.
c. Seleccione Certificado codificado en Base64 (PEM) en la
lista desplegable Formato de archivo y haga clic en
ACEPTAR para descargar el certificado. (No necesita exportar
la clave privada.)
2.
En el gestor de seguridad móvil, importe el certificado
seleccionando Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivo, haciendo clic en
Importar y desplazándose hasta el certificado que acaba de
descargar. Haga clic en ACEPTAR para importar el certificado.
3.
Seleccione Dispositivo > Certificados > Gestión de
certificados > Perfil de certificados, haga clic en Añadir e
introduzca un Nombre para identificar de forma exclusiva el
perfil, por ejemplo puertasEnlaceGP.
4.
En el campo Certificados de CA, haga clic en Añadir, seleccione
el certificado de CA que acaba de importar y, a continuación,
haga clic en ACEPTAR.
5.
Haga clic en ACEPTAR para guardar el perfil.
6.
Configure el gestor de seguridad móvil para usar este perfil de
certificado para establecer una conexión HTTPS con las puertas
de enlace:
a. Seleccione Configuración > Ajustes > Servidor y haga clic en
el icono Editar en la sección Configuración de la puerta de
enlace de GlobalProtect.
b. Seleccione el perfil de certificado que acaba de crear en la lista
desplegable Perfil de certificado.
c. Haga clic en ACEPTAR para guardar la configuración.
7.
Guía del administrador de GlobalProtect
Compile los cambios en el gestor de seguridad móvil.
81
Configuración del acceso de puerta de enlace al gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Habilitación del acceso de puerta de enlace al gestor de seguridad móvil (Continuación)
Paso 5
82
Configure las puertas de enlace para que
accedan al gestor de seguridad móvil.
En cada cortafuegos que aloje una puerta de enlace de GlobalProtect
realice lo siguiente:
1. Seleccione Red> GlobalProtect > MDM y haga clic en Añadir
para añadir el gestor de seguridad móvil.
2.
Escriba un Nombre para el gestor de seguridad móvil y
especifique el sistema virtual al que pertenece en el campo
Ubicación (si procede).
3.
Introduzca la dirección IP o FQDN del Servidor de la interfaz en
el gestor de seguridad móvil donde la puerta de enlace se conectará
para recuperar informes HIP. El valor debe coincidir con el campo
CN (y, si corresponde, con el SAN) del certificado del gestor de
seguridad móvil asociado con la interfaz.
4.
(Opcional) Si desea usar la autenticación mutua entre la puerta de
enlace y el gestor de seguridad móvil, seleccione el Certificado de
cliente que presentará la puerta de enlace cuando establezca una
conexión con el gestor de seguridad móvil.
5.
En el campo CA raíz de confianza, haga clic en Añadir y
seleccione el certificado de CA raíz que se usó para emitir el
certificado del gestor de seguridad móvil para la interfaz a la que se
conectará la puerta de enlace para recuperar los informes HIP.
6.
Haga clic en ACEPTAR o guarde los ajustes y después Compile los
cambios.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Definición de políticas de implementación
Cuando un dispositivo móvil se inscribe correctamente con el gestor de seguridad móvil de GlobalProtect, se
registra con el gestor para enviar sus datos de host a intervalos regulares (por defecto, cada hora). El gestor de
seguridad móvil usa las reglas de política de implementación que defina para determinar qué perfiles de configuración
enviar al dispositivo. Esto le permite tener un control granular de los perfiles de configuración que se
implementan (si los hay) en el dispositivo o se eliminan de él. Por ejemplo, puede crear distintas configuraciones
para distintos grupos de usuarios que tengan diferentes necesidades de acceso. También puede crear reglas de
políticas que solo permitan que las configuraciones se envíen a dispositivos que cumplan con los estándares de
seguridad.
Las siguientes secciones ofrecen información sobre cómo planificar su estrategia de gestión de seguridad móvil
e instrucciones para configurar sus políticas y perfiles:

Acerca de la implementación de la política del gestor de seguridad móvil

Recomendaciones sobre las políticas del gestor de seguridad móvil

Integración del gestor de seguridad móvil con su directorio LDAP

Definición de objetos y perfiles HIP

Creación de perfiles de configuración

Creación de políticas de implementación
Acerca de la implementación de la política del gestor de seguridad móvil
Cuando un dispositivo móvil se inscribe correctamente con el gestor de seguridad móvil de GlobalProtect, se
registra con el gestor a intervalos regulares. El proceso de registro consta de cuatro pasos:

Autenticación: Para conectar con el gestor de seguridad móvil para registrarse, el dispositivo móvil presenta
el certificado de identidad que se emitió durante la inscripción. Si ha habilitado el acceso a su servidor de
LDAP, el gestor de seguridad móvil puede usar el nombre de usuario autenticado para determinar una
comparación de política en función de una pertenencia a grupo o usuario. Consulte Integración del gestor
de seguridad móvil con su directorio LDAP.

Recopilación de datos de dispositivo: El dispositivo móvil proporciona datos HIP que el gestor de
seguridad móvil procesa para crear un informe HIP completo para el dispositivo. El informe HIP
proporciona información de identificación sobre el estado del dispositivo (como si se ha liberado o tiene el
root desbloqueado, si tiene habilitado el cifrado o si se ha definido un código de acceso) y una lista de todas
las aplicaciones instaladas en el dispositivo. En el caso de los dispositivos Android, el gestor de seguridad
móvil calcula un hash para cada aplicación y usa estos datos para determinar si se sabe que alguna de las
aplicaciones instaladas tenga malware en función de las actualizaciones de contenido de APK más recientes.
Si desea más información sobre la recopilación de datos HIP, consulte Recopilación de datos de dispositivos.

Implementación de políticas: Cada regla de política del gestor de seguridad móvil se compone de dos
partes, criterios de coincidencia y configuraciones. Cuando un dispositivo se registra, el gestor de seguridad móvil
compara la información de usuario asociada con el dispositivo y los datos HIP recopilados con el dispositivo
con los criterios de coincidencia. Cuando encuentra la primera regla coincidente, envía las configuraciones
correspondientes al dispositivo.
Guía del administrador de GlobalProtect
83
Definición de políticas de implementación

Configuración del gestor de seguridad
móvil de GlobalProtect
–
Criterios de coincidencia: El gestor de seguridad móvil usa el nombre de usuario del usuario del
dispositivo y la coincidencia HIP para determinar una coincidencia de políticas. El uso del nombre de
usuario le permite implementar políticas en función de la pertenencia de grupos. Consulte Acerca de la
comparación de usuarios y grupos. Use la coincidencia de HIP para enviar políticas de implementación
en función del cumplimiento de la seguridad del dispositivo y mediante otras características de
identificación del dispositivo, como la versión de SO, etiqueta o modelo de dispositivo. Consulte
Acerca de la evaluación HIP.
–
Configuraciones: Contiene los ajustes de configuración, certificados, perfiles de aprovisionamiento
(solo iOS) y restricciones de dispositivo para realizar los envíos a los dispositivos que coincidan con la
regla de política correspondiente. Como los sistemas operativos iOS y Android admiten distintos
ajustes y usan diferentes sintaxis, deberá crear configuraciones diferentes para enviarlas a cada SO;
puede adjuntar tanto una configuración para iOS como una para Android en la misma regla de política
y el gestor de seguridad móvil enviará automáticamente la configuración correcta al dispositivo. Si desea
información detallada sobre cómo crear configuraciones, consulte Creación de perfiles de
configuración.
Notificación de incumplimiento: En algunos casos, un dispositivo puede no cumplir ninguna de las reglas
de política que ha definido. Por ejemplo, si ha creado un perfil HIP que solo coincide con dispositivos que
cumplan los estándares de seguridad (es decir, que estén cifrados y no estén liberados ni tengan el root
desbloqueado) y lo adjunta a sus reglas de políticas de implementación. En este caso, las configuraciones solo
se envían a los dispositivos que coincidan con el perfil HIP. Puede definir un mensaje de notificación HIP
para enviarlo a los dispositivos que no coinciden con el perfil para explicar por qué no reciben ninguna
configuración. Si desea información más detallada, consulte Acerca de la notificación HIP.
Recopilación de datos de dispositivos
El gestor de seguridad móvil recopila la siguiente información (según corresponda) desde un dispositivo móvil
cada vez que se registra:
Categoría
Datos recopilados
Información de host
Información sobre el propio dispositivo, incluyendo el SO y versión del SO, la versión de la
aplicación GlobalProtect, el nombre y modelo del dispositivo e información identificativa
incluyendo el número de teléfono, el número de identificación internacional de equipos
móviles (IMEI) y el número de serie. Además, si ha asignado etiquetas al dispositivo, esta
información también se comunica.
Configuración
Información sobre el estado de seguridad del dispositivo, como si está liberado/tiene la raíz
desbloqueada, si está cifrado y si el usuario ha definido un código de acceso en el dispositivo.
Aplicaciones
Incluye una lista de todos los paquetes de aplicaciones instalados en el dispositivo, si contiene
aplicaciones conocidas por portar malware (solo dispositivos Android) y, opcionalmente, la
ubicación GPS del dispositivo.
Ubicación GPS
Incluye la ubicación GPS del dispositivo, en caso de que tenga habilitados los servicios de
ubicación. Sin embargo, por motivos de privacidad puede configurar el gestor de seguridad
móvil para excluir esta información de los datos recopilados.
84
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Acerca de la comparación de usuarios y grupos
Para poder definir las políticas de implementación de dispositivos móviles en función de un usuario o grupo, el
gestor de seguridad móvil debe recuperar la lista de grupos y la lista de miembros correspondiente en su servidor
de directorios. Para habilitar esta función, debe crear un perfil de servidor LDAP que indique al gestor de
seguridad móvil cómo conectarse al servidor y autenticarlo, así como el modo de buscar en el directorio la
información de usuarios y grupos. Cuando el gestor de seguridad móvil esté totalmente integrado en el servidor
de directorios, deberá poder seleccionar los usuarios o grupos cuando defina las políticas de implementación de
dispositivos móviles. El gestor de seguridad móvil admite una variedad de servidores de directorios LDAP,
incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server. Consulte
Integración del gestor de seguridad móvil con su directorio LDAP si desea instrucciones sobre la configuración
de la comparación de grupos y usuarios.
Acerca de la evaluación HIP
Cree objetos y perfiles HIP en el gestor de seguridad móvil para definir qué atributos de dispositivos desea
supervisar y usar para la implementación de políticas:

Objetos HIP: Proporcionan los criterios de evaluación con los que filtrar la información de host que desea
usar para aplicar las políticas. Por ejemplo, si desea identificar los dispositivos que tienen vulnerabilidades,
puede crear objetos HIP para cada estado de dispositivo que considera una vulnerabilidad. Por ejemplo,
puede crear un objeto HIP para los dispositivos que están liberados/tienen la raíz desbloqueada, otro para
los dispositivos que no están cifrados y un tercero para los dispositivos que contienen malware.

Perfiles HIP: Una colección de objetos HIP que se evalúan juntos mediante una lógica booleana que evalúa
los datos HIP con el perfil HIP resultante y determina si coinciden o no. Por ejemplo, si solo desea
implementar perfiles de configuración en dispositivos que no tengan una vulnerabilidad, puede crear un
perfil HIP para adjuntarlo a su política y que solo coincida con dispositivos que no estén liberados, no tengan
la raíz desbloqueada, estén cifrados y no contengan malware.
Para obtener instrucciones sobre cómo configurar las evaluaciones HIP, consulte Definición de objetos y
perfiles HIP.
Acerca de la notificación HIP
Por defecto, a los usuarios finales no se les informa de las decisiones sobre políticas derivadas de aplicar una
política de seguridad tipo HIP. Sin embargo, puede habilitar esta funcionalidad definiendo que se muestren
mensajes de notificación HIP cuando un perfil HIP concreto coincida o no.
La decisión de cuándo mostrar un mensaje (es decir, si aparece cuando el dispositivo coincide con un perfil HIP
de la política o cuando no coincide), depende en gran medida de su política y de lo que el usuario entiende por
coincidencia (o no coincidencia) de HIP. Es decir, si se produce la coincidencia ¿se enviarán los perfiles de
configuración correspondientes al dispositivo? ¿O el dispositivo no recibirá el perfil de configuración hasta que
cumpla los requisitos?
Guía del administrador de GlobalProtect
85
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Por ejemplo, imagínese estas situaciones:

Crea un perfil HIP que evalúa si la versión de SO del dispositivo es mayor o igual a un número de versión
específico. En este caso, puede que quiera crear un mensaje de notificación HIP para dispositivos que no coincidan
con el perfil HIP, en el que indica a los usuarios del dispositivo que deben actualizar el SO del dispositivo para
poder recibir los perfiles de configuración de la empresa.

Crea un perfil HIP que evalúa si la versión de SO del dispositivo es inferior a un número de versión específico.
En este caso, en su lugar puede crear el mensaje para dispositivos que sí coincidan con este perfil.
Las políticas del gestor de seguridad móvil que implemente le permiten asegurarse de que los dispositivos que accedan
a su red cumplan con sus políticas de seguridad y uso aceptable, le proporcionan un mecanismo de envío y simplifican
la implementación de los ajustes de configuración, certificados y perfiles de aprovisionamiento necesarios para acceder
a sus recursos de la empresa.
La forma en la que elija gestionar y configurar los dispositivos móviles dependerá de los requisitos específicos de su
compañía y la sensibilidad de los recursos a los que las configuraciones ofrecen acceso. Si desea información sobre
cómo configurar los mensajes de notificación HIP, consulte Definición de objetos y perfiles HIP.
Recomendaciones sobre las políticas del gestor de seguridad móvil
Antes de definir los perfiles de configuración, los perfiles de aprovisionamiento y las restricciones de dispositivo
para enviarlos a los dispositivos gestionados, considere las siguientes recomendaciones:

86
Cree una regla de
política
predeterminada
que busque
vulnerabilidades
de dispositivos.
Dada su utilidad, los
dispositivos móviles
(incluso los que son
propiedad de la empresa) se usan con numerosos fines, más allá de los comerciales, lo que puede exponerlos
a vulnerabilidades y robos. Del mismo modo que se asegura de que los ordenadores y portátiles que acceden
a su red se mantienen y aseguran adecuadamente, debe asegurarse de que los dispositivos móviles que
acceden a los sistemas de la empresa están libres de vulnerabilidades conocidas. Use perfiles HIP que
comprueben si un dispositivo cumple los requisitos que defina para asegurarse de que los perfiles de
configuración que dan acceso a los recursos de la empresa solo se envían tras valorar si el dispositivo tiene
o no vulnerabilidades conocidas, está liberado/tiene la raíz desbloqueada o contiene aplicaciones que se
saben que son portadoras de malware. La mejor forma de hacerlo es crear una regla de política
predeterminada que identifique los dispositivos que contienen una vulnerabilidad mediante una evaluación
HIP. Para los dispositivos que cumplan esa regla, la política podría o bien enviar un perfil vacío (es decir, no
adjuntar ningún perfil) o bien enviar un perfil que solo contengan un requisito de contraseña (en caso de que
el dispositivo vulnerable contenga datos de la empresa o tenga acceso a sistemas de la empresa). En este caso
también debería crear una notificación de coincidencia HIP para informar a sus usuarios del motivo por el
que no reciben sus ajustes de cuenta.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect

Definición de políticas de implementación
Exija código de acceso y cifrado de datos complejos.
Los dispositivos móviles son, por naturaleza, fáciles de
perder y de robar. Si un dispositivo sin código de acceso
cae en las manos equivocadas cualquier sistema
empresarial al que se tenga acceso desde el dispositivo
estará en peligro. Por ello, siempre exigirá un código de acceso en los dispositivos que gestione. Además,
como los dispositivos Android no cifran automáticamente los datos al definir un código de acceso, como sí
hacen los dispositivos iOS, deberá exigir siempre que los dispositivos Android gestionados tengan habilitado
el cifrado de datos. Aunque hay varias formas de imponer estos requisitos, la más sencilla es incluir los
requisitos de código de acceso y cifrado en cada perfil de configuración que envíe. Si incluye los requisitos
para el dispositivo en los perfiles de configuración que permiten acceder a sus recursos de la empresa (como
el correo electrónico, la VPN o la red Wi-Fi), obligará al usuario del dispositivo móvil a definir un código de
acceso que cumpla sus requisitos y a habilitar el cifrado de datos antes de instalar el perfil, lo que evitará que
los usuarios finales accedan a la cuenta correspondiente hasta que el dispositivo cumpla lo estipulado.
Envíe un perfil de configuración de VPN de
GlobalProtect VPN para simplificar la implementación.
Para simplificar la implementación de los ajustes del agente
GlobalProtect en los dispositivos iOS que gestiona, cree un
perfil de configuración iOS y configure los ajustes de VPN de
modo que el dispositivo pueda conectar automáticamente con
su VPN de GlobalProtect cuando implemente la política
correspondiente.


Cree perfiles de configuración
distintos para acceder a las distintas
cuentas. Aunque puede crear perfiles
de seguridad que envíen ajustes a
múltiples cuentas, puede simplificar la
administración y mejorar la capacidad de
uso creando perfiles de configuración
diferentes para cada servicio. Esto
permite a los usuarios eliminar perfiles
de cuentas que no necesitan o quieren.
Del mismo modo, cuando un usuario
necesita un cambio de servicio concreto, basta con cambiar los ajustes de implementación de políticas para que
el perfil se elimine automáticamente de los dispositivos de usuario o se agreguen a ellos como corresponda.
Además, si segrega las configuraciones de cuenta en archivos separados, podrá crear más fácilmente políticas
adaptadas a las necesidades de acceso de sus grupos de usuarios.

Use los perfiles de aprovisionamiento iOS para simplificar la implementación de aplicaciones
empresariales. Los perfiles de aprovisionamiento ofrecen un método cómodo y automatizado para distribuir
aplicaciones de empresa desarrolladas internamente a los dispositivos iOS gestionados de su red. Aunque el gestor
de seguridad móvil simplifica la implementación de perfiles de aprovisionamiento en un gran número de
dispositivos móviles, hay algunos factores de seguridad que se deben tener en cuenta. Cuando revoque el acceso
a una aplicación habilitada a través de un perfil de aprovisionamiento, la aplicación seguirá ejecutándose en el
dispositivo hasta que lo apague, aunque la política del gestor de seguridad móvil elimine el perfil. Además, como
los perfiles de aprovisionamiento están sincronizados con iTunes, el perfil puede reinstalarse la siguiente vez que
el usuario final sincronice el dispositivo con iTunes. Considere las siguientes recomendaciones:
Guía del administrador de GlobalProtect
87
Definición de políticas de implementación
88
Configuración del gestor de seguridad
móvil de GlobalProtect
–
Exija una autenticación para usar la aplicación. Esto impide el acceso a aquellos usuarios que no están
autorizados a usar la aplicación pero tienen instalado el perfil de aprovisionamiento en sus dispositivos.
–
Para asegurar que no realicen copias de seguridad de los datos de aplicaciones de la empresa en iCloud o
iTunes, donde podrían estar al alcance de usuarios no autorizados, asegúrese de que las aplicaciones que
desarrolle internamente usen a carpeta Caches de la aplicación para almacenar los datos, ya que esta carpeta
se excluye de la copia de seguridad.
–
Cuando elimine los privilegios de acceso a la aplicación de un usuario, no confíe únicamente en la eliminación
del perfil de aprovisionamiento de la política del gestor de seguridad móvil, debe desactivar también la cuenta
del usuario en sus servidores internos.
–
Asegúrese de tener la capacidad de borrar los datos de aplicaciones locales en el dispositivo móvil cuando se
elimina el acceso a la aplicación.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Integración del gestor de seguridad móvil con su directorio LDAP
Utilice el siguiente procedimiento para conectarse a su directorio LDAP y así habilitar que el gestor de seguridad
móvil recupere información de usuario y grupo:
Integración con el servidor de directorios
Paso 1
Cree un perfil de servidor LDAP que especifique cómo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener información de asignación de grupos.
1. Seleccione Configuración >
Perfiles de servidor > LDAP.
2. Haga clic en Añadir y, a
continuación, introduzca un
Nombre para el perfil.
3. Haga clic en Añadir para añadir
una nueva entrada de servidor
LDAP y, a continuación,
introduzca un nombre de
Servidor para identificar al
servidor (de 1 a 31 caracteres) y
el número de Dirección IP y
Puerto que debería utilizar el
cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para LDAP sobre
SSL). Puede añadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que añada a un
perfil deberán ser del mismo tipo. Para la redundancia, debería añadir como mínimo dos servidores.
4. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aquí dependerá de su implementación:
• Si está utilizando Active Directory, deberá introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deberá crear perfiles de servidor separados. Aunque el nombre de dominio se puede determinar
automáticamente, la práctica recomendada es introducir el nombre de dominio siempre que sea posible.
• Si está utilizando un servidor de catálogo global, deje este campo en blanco.
5. Seleccione el Tipo de servidor LDAP al que se esté conectando. Los valores de asignación de grupos se
cumplimentarán automáticamente según su selección. Sin embargo, si ha personalizado su esquema, puede que
tenga que modificar los ajustes predeterminados.
6. En el campo Base, especifique el punto donde desee que el gestor de seguridad móvil comience su búsqueda de
información de usuarios y grupos dentro del árbol de LDAP.
7. Introduzca las credenciales de autenticación para el enlace con el árbol de LDAP en los campos Enlazar DN,
Enlazar contraseña y Confirmar contraseña de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., [email protected]) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
8. Si desea que el gestor de seguridad móvil se comunique con los servidores LDAP a través de una conexión segura,
seleccione la casilla de verificación SSL. Si habilita SSL, asegúrese de que también ha especificado el número de
puerto adecuado.
Guía del administrador de GlobalProtect
89
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Integración con el servidor de directorios (Continuación)
Paso 2
Añada el perfil de servidor LDAP a la configuración de integración de directorios.
1. Seleccione Configuración > Base de datos de
usuario > Integración de directorios y haga
clic en Añadir.
2. Seleccione el Perfil de servidor que creó en el
Paso 1.
3. Asegúrese de que la casilla de verificación
Habilitado está seleccionada.
4. (Opcional) Si desea limitar los grupos que se
muestran en la política de seguridad,
seleccione la pestaña Lista de inclusión de
grupos y, a continuación, examine el árbol de
LDAP para localizar los grupos que desea
poder utilizar en la política. En el caso de cada
grupo que desee incluir, selecciónelo en la lista
Grupos disponibles y haga clic en el icono de
adición para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar
en sus políticas.
5. Haga clic en ACEPTAR para guardar la configuración.
Paso 3
Guarde la configuración.
Haga clic en Compilar.
Definición de objetos y perfiles HIP
El uso de perfiles HIP en la política de gestor de seguridad móvil permite la implementación de configuraciones
y asegura que los dispositivos móviles cumplen con los requisitos de seguridad de la empresa para recibir los
perfiles de configuración que permite el acceso a sus recursos de la empresa. Por ejemplo, antes de enviar las
configuraciones que permiten el acceso a sus sistemas de la empresa, puede que desee asegurarse de que los
datos del dispositivo se han cifrado y los dispositivos no están liberados ni tienen la raíz desbloqueada. Para ello,
debe crear un perfil HIP que evalúe los dispositivos que cumplen estos criterios y adjuntarlos a las reglas de
políticas de implementación.
90
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Creación de objetos y perfiles HIP
Paso 1
Cree objetos HIP para filtrar los datos de 1.
los que informa el dispositivo.
Seleccione Políticas > Información de host > Objetos HIP y
haga clic en Añadir.
Nota
2.
La función de pestaña le permite crear
etiquetas personalizadas para los
dispositivos que desee gestionar para
3.
agruparlos fácilmente. Por ejemplo,
puede crear etiquetas para distinguir
dispositivos personales de dispositivos de
la empresa. A continuación, puede crear
objetos HIP que coincidan con etiquetas
específicas, lo cual ofrece posibilidades
infinitas de agrupar los dispositivos
gestionados para la implementación de la
configuración. Si desea más información
sobre la creación de etiquetas, consulte
Agrupación de dispositivos por etiqueta
para simplificar la administración de
dispositivos.
En la pestaña General, introduzca un Nombre y, si lo desea, una
Descripción para el objeto.
Nota
Si desea obtener información detallada
sobre un campo de objeto HIP específico,
consulte la ayuda en línea.
Nota
La coincidencia HIP se produce cuando el
dispositivo tiene instalada alguna de las
aplicaciones de la lista.
Defina los criterios de evaluación del objeto HIP como se
indica:
• Para evaluar las características de identificación del
dispositivo móvil, como SO, versión de aplicación
GlobalProtect o número de teléfono seleccione la casilla de
verificación Información de host y defina los valores que
desea evaluar. En cada elemento que desea evaluar,
seleccione un operador en la lista desplegable que indique si
el valor especificado Es, No es o Contiene el valor que ha
introducido o seleccionado. Por ejemplo, si usa este objeto
para crear un perfil para usarlo en políticas que se
implementarán en los dispositivos iOS, seleccione Es e iOS
en las listas desplegables del campo SO.
• Para evaluar el estado del dispositivo, por ejemplo si está
liberado/tiene la raíz desbloqueada o tiene un código de
acceso, seleccione la pestaña Ajustes y seleccione Sí o No
para determinar cómo comparar el ajuste. Por ejemplo, si
desea que el objeto evalúe dispositivos que no tienen un
código de acceso definido, seleccione No en el campo Código
de acceso.
• Para evaluar según las aplicaciones específicas instaladas en el
dispositivo, seleccione Aplicaciones > Incluir y haga clic en
Añadir para especificar uno o más paquetes de aplicaciones
que evaluar. La lista de aplicaciones que defina puede ser una
lista negra o una lista segura, en función de cómo configure
el perfil HIP para que evalúe el objeto. Por ejemplo, para
crear una lista negra de aplicaciones debe añadir una lista de
aplicaciones aquí y después configurar el perfil HIP en que
No coincida con el objeto.
• (Solo dispositivos Android) Para evaluar si el dispositivo
tiene o no instaladas aplicaciones infectadas con malware,
seleccione Aplicaciones > Criterios y seleccione un valor en
la lista desplegable Tiene malware. También, para permitir
aplicaciones específicas que según WildFire contienen
malware, seleccione Sí, haga clic en Añadir y especifique los
paquetes de aplicaciones que desea que no se consideren
malware.
Guía del administrador de GlobalProtect
4.
Haga clic en ACEPTAR para guardar el objeto HIP.
5.
Repita estos pasos para crear los objetos HIP adicionales que
necesite.
91
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Creación de objetos y perfiles HIP (Continuación)
Paso 2
Cree los perfiles HIP que tiene pensado
usar en sus políticas.
1.
2.
Cuando crea sus perfiles HIP, puede
combinar objetos HIP que haya creado
previamente (así como otros perfiles HIP) 3.
usando lógica booleana como la que se
usa cuando un flujo de tráfico se evalúa 4.
con respecto al perfil HIP resultante
con el que tendrá, o no, coincidencia.
Si coincide, la regla de política
correspondiente se aplicará; si no
coincide, el flujo se evaluará con respecto
a la siguiente regla, como con cualquier
otro criterio de coincidencia de política.
Paso 3
Paso 4
92
Introduzca un Nombre descriptivo para el perfil y,
opcionalmente, una Descripción.
Haga clic en Añadir criterios de coincidencia para abrir el
generador de objetos/perfiles HIP.
Seleccione el primer objeto o perfil HIP que desea utilizar como
criterio de búsqueda y, a continuación, haga clic en Añadir
para moverlo sobre el cuadro de texto Coincidencia en el
cuadro de diálogo Perfil HIP. Tenga en cuenta que, si desea que
el perfil HIP evalúe el objeto como una coincidencia solo
cuando el criterio del objeto no sea verdadero para un flujo,
seleccione la casilla de verificación NO antes de añadir el objeto.
5.
Continúe añadiendo criterios de coincidencia como
corresponda para el perfil que está creando, seleccionando el
botón de opción del operador booleano apropiado (Y u O) cada
vez que añada un elemento (y, de nuevo, use la casilla de
verificación NO cuando corresponda).
6.
Si está creando una expresión booleana compleja, debe añadir
manualmente el paréntesis en los lugares adecuados del cuadro
de texto Coincidencia para asegurarse de que el perfil HIP se
evalúa usando la lógica que desea.
7.
Cuando termine de añadir criterios de evaluación haga clic en
ACEPTAR para guardar el perfil.
8.
Repita estos pasos para crear cada perfil HIP adicional que
necesite.
(Opcional) Por motivos de privacidad, la 1.
ubicación GPS del dispositivo móvil no
se incluye en los datos de HIP de los que
la aplicación informa por defecto. Sin
2.
embargo, puede habilitar la ubicación
GPS si necesita esta información para la
implementación de políticas.
Compruebe que los objetos HIP y los
perfiles HIP que ha creado coinciden con
los dispositivos gestionados según lo
esperado.
Seleccione Políticas > Información de host > Perfiles HIP y
haga clic en Añadir.
Seleccione Políticas > Información de host > Recopilación de
datos y haga clic en el icono Editar
en la sección
Recopilación de datos.
Seleccione la casilla de verificación Habilitar identificación de
usuarios y, a continuación, haga clic en ACEPTAR.
Seleccione Supervisar > Logs > Coincidencias HIP. Este log
muestra todas las coincidencias que el gestor de seguridad móvil ha
identificado cuando evaluó los datos de dispositivo de los que
informó la aplicación y los comparó con los objetos HIP y los
perfiles HIP.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Creación de objetos y perfiles HIP (Continuación)
Paso 5
1.
Defina los mensajes de notificación que
verán los usuarios finales cuando se aplique
una regla de política con un perfil HIP.
2.
La decisión de cuándo mostrar un mensaje
(es decir, si aparece cuando la configuración 3.
del usuario coincide con un perfil HIP en la
política o cuando no coincide), depende en
gran medida de su política y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, ¿significa la
coincidencia que se concede total acceso a 4.
los recursos de su red? ¿O significa que tiene
acceso limitado debido a un problema de
incumplimiento?
5.
Por ejemplo, suponga que crea un perfil
HIP para dispositivos cuyos datos no están 6.
cifrados como exige la política de la
empresa. En este caso, puede crear un
7.
mensaje de notificación HIP para usuarios
que coinciden con el perfil HIP y les indica
que deben habilitar el cifrado de disco para
poder recibir los perfiles de configuración
que les dan acceso a los recursos de la
empresa. Por el contrario, si su perfil HIP
coincide con los dispositivos que sí tengan el
cifrado habilitado, puede crear el mensaje
para aquellos usuarios que no se ajusten al
perfil.
Paso 6
Guarde la configuración HIP.
Seleccione Políticas > Información de host > Notificaciones y
haga clic en Añadir.
Seleccione el Perfil HIP al que se aplica este mensaje en el menú
desplegable.
Seleccione Coincidir mensaje o Mensaje no coincidente, en
función de si desea mostrar el mensaje cuando se cumpla el perfil
HIP correspondiente en la política o no. En algunos casos, puede
que quiera crear mensajes tanto para coincidencia como para no
coincidencia, dependiendo de los objetos que compare y sus
objetivos para la política.
(Solo mensajes de coincidencia) Seleccione la casilla de verificación
Incluir lista de aplicaciones para indicar qué aplicaciones
activaron la coincidencia de HIP en el mensaje de notificación.
Seleccione la casilla de verificación Habilitar e introduzca el texto
de su mensaje en el cuadro de texto Plantilla.
Haga clic en ACEPTAR para guardar el mensaje de notificación
HIP.
Repita este procedimiento para cada mensaje que quiera definir.
Haga clic en Compilar.
Creación de perfiles de configuración
Los perfiles de configuración del gestor de seguridad móvil proporcionan un mecanismo simplificado para
enviar configuraciones y restricciones a grupos de dispositivos gestionados. Como los perfiles de configuración
que define se envían a dispositivos móviles en función de las coincidencias de políticas, puede definir
configuraciones muy específicas o muy amplias y después implementarlas a usuarios y grupos específicos en
función del estado del dispositivo y su cumplimiento de los requisitos de seguridad de la empresa.
Además puede usar los perfiles de seguridad para imponer restricciones se seguridad, como forzar el uso de un
código de acceso o restringir las funcionalidades del dispositivo (como el uso de la cámara).

Iconos de clips web: Si planea implementar clips web para proporcionar accesos directos a sitios web o
aplicaciones basadas en la web, deberá importar los iconos de clip web asociados antes de crear las políticas
de configuración que correspondan. Consulte Importación de iconos de clip web.
Guía del administrador de GlobalProtect
93
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect

Perfiles: Contienen los ajustes de configuración, restricciones y clips web que se enviarán a los dispositivos
gestionados durante el registro. Deberá crear perfiles de configuración distintos para los dispositivos iOS y
Android, ya que estos sistemas operativos tienen diferentes funcionalidades. Si desea detalles de creación de
los perfiles, consulte Creación de un perfil de configuración Android y Creación de un perfil de
configuración iOS. También puede usar el perfil de configuración iOS para automatizar el proceso de
configuración de los dispositivos móviles para conectar con la VPN de GlobalProtect. Consulte Definición
de una configuración VPN de GlobalProtect si desea instrucciones específicas sobre esta configuración.

Perfiles de aprovisionamiento iOS. Es necesario implementar un perfil de aprovisionamiento para que los
usuarios de iOS puedan iniciar aplicaciones empresariales desarrolladas a nivel interno. Puede crear
configuraciones que le permitan implementar perfiles de aprovisionamiento en dispositivos tal y como se
describe en Importación de un perfil de aprovisionamiento iOS.

Configuraciones SCEP. Son configuraciones que permiten a los dispositivos iOS usar el protocolo de
inscripción de certificados simple (SCEP) para obtener certificados de una CA con SCEP, como el servidor SCEP
de Microsoft. El SCEP puede usarse para emitir los certificados de identidad que requiere el gestor de seguridad
móvil o bien para emitir certificados para otros servicios necesarios en el dispositivo. Para obtener más
información, consulte Definición de una configuración SCEP.
Después de crear los perfiles de configuración que necesite para los dispositivos que gestione el gestor de seguridad
móvil, deberá crear las políticas de implementación que garanticen que las configuraciones se envían a los dispositivos
adecuados. Consulte Creación de políticas de implementación para obtener información detallada.
Importación de iconos de clip web
Los clips web proporcionan accesos directos a sitios web o aplicaciones basadas en la web. Cuando un usuario toca
un icono de clip web, automáticamente abre la URL asociada. El gestor de seguridad móvil pueden implementar
automáticamente clips web a los dispositivos gestionados para proporcionar accesos directos que ofrezcan a los
usuarios un acceso rápido a los sistemas internos, como las bases de datos de seguimiento de errores internos, la
Intranet o los sistemas de RR. HH. Si planea incluir clips web en las configuraciones que implemente, puede que
quiera crear iconos asociados para mostrarlos en la pantalla de inicio.
Debe importar los iconos de clip web en el gestor de seguridad móvil como se indica a continuación antes de crear
los perfiles de configuración que incluyen los clips web. Si no asocia un icono con un clip web, se mostrará un
cuadrado blanco en su lugar.
94
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Creación de iconos de clips web
Paso 1
Cree los archivos de imágenes que desee
usar como iconos de clip web.
Nota
Los iconos que cree para usarlos con sus
clips web deben cumplir criterios
específicos de nombre e imagen para que el
SO los muestre adecuadamente. Si desea
recomendaciones sobre cómo crear iconos
para dispositivos Android, consulte el
siguiente documento en el sitio de
desarrolladores de Android: Directrices
para el diseño de iconos (en inglés).
Si desea recomendaciones sobre cómo crear
iconos para dispositivos iOS, consulte
el siguiente documento en el sitio de
desarrolladores de iOS: Directrices para la
creación de imágenes e iconos
personalizados (en inglés).
Directrices para iconos Android
Utilice archivos PNG de 32 bits con un canal alfa para la transparencia.
Use diferentes dimensiones para cada densidad de pantalla, tal y como se
indica:
• Densidad baja 36x36 px
• Densidad media 48x48 px
• Densidad alta 72x72 px
• Densidad superalta 96x96 px
Nota
Si la imagen es mayor de 96 px, se ajusta automáticamente a
96x96 px en el dispositivo.
Directrices para iconos iOS
Use archivos PNG no entrelazados. Si desea que iOS añada sus efectos
estándar (esquinas redondeadas, sombra paralela y brillo reflectante),
asegúrese de que la imagen tiene esquinas en 90 y no tiene ningún brillo
o satinado. Cree diferentes imágenes con distintas dimensiones para
cada plataforma iOS como se indica a continuación:
• Para iPhone y iPod touch: 57x57 px (114x114 px para una alta
resolución)
• Para iPad: 72x72 px (144x144 px para una alta resolución)
Paso 2
Paso 3
Importe cada icono de clip web en el gestor 1.
de seguridad móvil.
Guarde sus cambios.
Guía del administrador de GlobalProtect
Seleccione Políticas > Configuración > Iconos de clip web y
haga clic en Añadir.
2.
Introduzca un Nombre y una Descripción del icono.
3.
Seleccione Examinar y vaya hasta la ubicación del icono de clip
web y haga clic en Abrir. El nombre de archivo y ruta aparecerán
en el campo Archivo.
4.
Haga clic en ACEPTAR.
Haga clic en Compilar.
95
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Creación de un perfil de configuración iOS
El perfil de configuración iOS contiene los ajustes de configuración, certificados, clips web y restricciones para
enviarlos a un grupo específico de dispositivos iOS. Si tiene grupos de usuarios de dispositivos iOS que
necesitan acceso a diferentes servicios o distintos niveles de restricciones, deberá crear un perfil de
configuración de iOS distinto para cada uno.
Creación de un perfil de configuración iOS
Paso 1
Añada un perfil de configuración.
1.
Seleccione Políticas > Configuración > iOS y haga clic en
Añadir.
Paso 2
Paso 3
Paso 4
Introduzca la información de
identificación para la configuración.
(Opcional) Defina cómo puede
modificarse el perfil.
Especifique los requisitos de código de
acceso de los dispositivos.
Si especifica requisitos de código de
acceso, los usuarios de los dispositivos
deberán respetar los ajustes de código de
acceso que defina.
96
1.
En la pestaña General, escriba un Nombre para mostrar para la
configuración en la interfaz web del gestor de seguridad móvil.
2.
Introduzca un Nombre para mostrar para que aparezca en la
pantalla de detalles/perfiles en el dispositivo móvil, así como en
el informe HIP del dispositivo.
3.
Introduzca un identificador para la configuración en formato
de estilo DNS inverso. Por ejemplo, si este perfil va a usarse
para enviar una configuración base de iOS a los dispositivos,
puede asignar a la configuración un nombre parecido a
com.acme.perfiliOS.
4.
(Opcional) Introduzca también una Descripción para que se
muestre en la pantalla Detalles del dispositivo móvil.
1.
Por defecto, el usuario puede eliminar un perfil de
configuración del dispositivo. Para evitar que los usuarios
eliminen esta configuración, seleccione Nunca en la lista
desplegable El usuario puede eliminar el perfil. Para exigir una
contraseña para la eliminación seleccione Con autorización y
defina la Contraseña de autorización.
2.
(iOS 6.0 y posteriores) Por defecto el perfil no se eliminará
automáticamente. Sin embargo, puede seleccionar un valor de la
lista desplegable Eliminar perfil automáticamente para
eliminar el perfil automáticamente tras un número de días
específicos o en una fecha concreta.
1.
Si desea obligar a los usuarios de dispositivos que reciben esta
configuración a usar un código de acceso en el dispositivo,
seleccione la pestaña Código de acceso y seleccione la casilla de
verificación Código de acceso para habilitar la restricción. Con
solo habilitar este campo obligará a usar un código de acceso de
un mínimo de 4 caracteres sin imponer requisitos adicionales.
2.
(Opcional) Especifique requisitos adicionales de código de
acceso que desee aplicar, como la longitud o la complejidad, la
frecuencia con la que el usuario debe cambiar el código de
acceso o si debe forzar el dispositivo a bloquearse
automáticamente tras un número especificado de minutos.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Creación de un perfil de configuración iOS (Continuación)
Paso 5
Paso 6
Defina las restricciones sobre lo que el
usuario puede hacer con el dispositivo.
Proporciones los ajustes de configuración
que permiten el acceso del dispositivo a
uno o más de los siguientes servicios:
• Wi-Fi
• VPN (GlobalProtect)
• Correo electrónico
• Exchange Active Sync
• LDAP
1.
Seleccione la pestaña Restricciones y después la casilla de
verificación Restricciones para permitir que la configuración
controle de lo que el usuario puede hacer con el dispositivo
móvil.
2.
Seleccione o cancele la selección de las casillas de verificación en
las pestañas Funcionalidad del dispositivo, Aplicaciones,
iCloud, Seguridad y privacidad y Valoración del contenido
para definir las restricciones de dispositivos que desee. Por
ejemplo, si no desea que los usuarios usen la cámara, cancele la
selección de la casilla de verificación Permitir uso de la
cámara.
Para habilitar los ajustes de configuración para un tipo de recurso
específico:
1. Seleccione la pestaña y la casilla de verificación correspondiente
para habilitar la configuración. Por ejemplo, para habilitar una
configuración Wi-Fi, debe seleccione la pestaña Wi-Fi y después
la casilla de verificación Wi-Fi.
2.
Haga clic en Añadir para abrir la ventana de configuración.
3.
Cumplimente los campos como sea necesario para permitir que
los dispositivos móviles accedan al servicio (los campos con el
fondo amarillo son obligatorios). Consulte la ayuda en línea si
desea información sobre qué introducir en un campo específico.
Repita este paso para cada servicio para el
que dese enviar los ajustes en este perfil de
configuración. Puede incluso definir
4.
múltiples configuraciones para el mismo
tipo de servicio, por ejemplo si desea
enviar ajustes de envío para unirse a
múltiples redes Wi-Fi. Si desea
instrucciones específicas sobre cómo
crear una configuración VPN de
GlobalProtect, consulte Definición de
5.
una configuración VPN de
GlobalProtect.
En las configuraciones que requieran un Nombre de usuario, la
configuración usará por defecto el nombre de usuario del
usuario final que se proporcionó cuando se autenticó en el
gestor de seguridad móvil durante la inscripción (Usar
guardado). Para especificar un nombre de usuario diferente,
seleccione Fijo e introduzca un nombre de usuario en el cuadro
de texto.
En las configuraciones que requieran una Contraseña, la
configuración usará una contraseña que el usuario define en el
dispositivo móvil (Definida en el dispositivo) por defecto. Para
usar la contraseña que el usuario final proporcionó al
autenticarse en el gestor de seguridad móvil durante la
inscripción (Usar guardada). O para especificar una contraseña
diferente, seleccione Fija e introduzca una contraseña en el
cuadro de texto.
Nota
Guía del administrador de GlobalProtect
En las configuraciones Wi-Fi hay un ajuste de contraseña
adicional, Definir por cada conexión, que requiere que el
usuario del dispositivo introduzca la contraseña al volverse
a unir a la red.
97
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Creación de un perfil de configuración iOS (Continuación)
Paso 7
Cree accesos directos a los sitios web o las 1.
aplicaciones basadas en web (llamados
2.
clips web) para mostrarlos en la pantalla
Inicio del dispositivo.
3.
Los clips web son útiles para ofrecer
acceso rápido a los sitios web a los que sus 4.
usuarios móviles necesitan acceder, como
5.
su Intranet o el sistema de seguimiento de
errores internos. Antes de crear una
6.
configuración que incluya un clip web,
debe importar el icono asociado para
mostrarlo en la pantalla del dispositivo.
Consulte las instrucciones de
Importación de iconos de clip web.
Nota
Paso 8
Paso 9
A causa de un error conocido de iOS, la
modificación o eliminación de un clip
web de una configuración provocará un
artefacto en la pantalla de inicio del
dispositivo hasta que se reinicie la
siguiente vez.
98
Introduzca un Nombre para el clip web que se usará con el
gestor de seguridad móvil.
Introduzca una Etiqueta para que el clip web se muestre en la
pantalla de inicio.
Escriba la URL que se cargará cuando el usuario toque el clip web.
Seleccione un Icono que haya importado previamente o haga
clic en Icono en el menú desplegable para importar uno nuevo.
Para evitar que los usuarios eliminen el clip web de la pantalla
Inicio, borre la casilla de verificación Eliminable.
7.
Si desea evitar que iOS añada efectos estándar al icono (esquinas
redondeadas, sombra paralela y brillo reflectante), seleccione la
casilla de verificación Precompuesto.
8.
Si desea que la página web se muestre en pantalla completa en
lugar de iniciar Safari para que muestre el contenido, seleccione
Pantalla completa.
9.
Haga clic en ACEPTAR para guardar el clip web.
1.
Añada certificados para enviarlos a los
dispositivos móviles. Pueden ser
2.
certificados que generó en el gestor de
seguridad móvil o certificados que
3.
importó de una CA distinta. Puede enviar
cualquier certificado que el dispositivo
vaya a necesitar para conectar con sus
aplicaciones y servicios internos.
1.
Defina un nombre de punto de acceso
(APN) para que el dispositivo móvil lo
use para presentarlo al operador para
2.
identificar el tipo de conexión de red que
suministrar.
Paso 10 Guarde el perfil de configuración.
Seleccione la pestaña Clips web y haga clic en Añadir.
Seleccione la pestaña Certificados y haga clic en Añadir.
Seleccione un certificado existente en la lista o elija Importar un
certificado generado por una CA diferente.
Si el certificado contiene una clave privado, también debe
introducir la Contraseña que se usará para descifrar la clave.
Seleccione la pestaña APN y después la casilla de verificación
APN para habilitar el servicio en los dispositivos gestionados.
Introduzca el Nombre de punto de acceso para la red de datos
de paquete (PDN) u otro servicio, como un servidor de
protocolo de aplicaciones inalámbricas o (WAP) o servicio de
mensajería multimedia (MMS) para permitir que los dispositivos
móviles se comuniquen con él.
1.
Haga clic en ACEPTAR para guardar los ajustes de configuración
que ha definido y cerrar el cuadro de diálogo Configuración iOS.
2.
Compile sus cambios.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Definición de una configuración VPN de GlobalProtect
Aunque el gestor de seguridad móvil de GlobalProtect le permite enviar ajustes de configuración que ofrecen
acceso a sus recursos empresariales y ofrece un mecanismo para imponer restricciones a los dispositivos, no
asegura la conexión entre el dispositivo móvil y los servicios con los que conecta. Para habilitar que el cliente
establezca conexiones de túnel seguras, debe activar la compatibilidad VPN en el dispositivo. Para una
configuración simplificada de VPN de GlobalProtect en los dispositivos iOS, puede enviar los ajustes de
configuración VPN de GlobalProtect al dispositivo en el perfil de configuración tal y como se describe en el
siguiente procedimiento. Si desea información general sobre configuración, consulte Creación de un perfil de
configuración iOS.
Creación de una configuración VPN de GlobalProtect
Paso 1
Paso 2
Seleccione o añada un perfil de
configuración iOS al que añadir los
ajustes de configuración VPN de
GlobalProtect.
Seleccione Políticas > Configuración > iOS y haga clic en Añadir o
seleccione una configuración existente a la que añadir los ajustes VPN.
Defina los ajustes de conexión VPN de
GlobalProtect.
1.
Seleccione la pestaña VPN y haga clic en Añadir para abrir el
cuadro de diálogo VPN.
2.
Introduzca un Nombre para identificar esta configuración en el
gestor de seguridad móvil.
3.
Introduzca un Nombre de conexión para mostrarlo en el
dispositivo.
4.
Introduzca la dirección IP o FQDN del portal de GlobalProtect
en el campo Servidor. El valor que introduzca debe coincidir
con el campo CN del certificado del servidor del portal.
5.
Asegúrese de que Tipo de conexión se define como Palo Alto
Networks GlobalProtect.
Guía del administrador de GlobalProtect
Si se trata de un nuevo perfil de configuración, introduzca
información de identificación del perfil y defina otros ajustes y
restricciones de configuración como corresponda. Consulte
Creación de un perfil de configuración iOS para obtener información
detallada.
99
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Creación de una configuración VPN de GlobalProtect (Continuación)
Paso 3
100
Especifique cómo cumplimentar los
1.
ajustes de nombre de usuario y contraseña
de cuenta VPN.
Especifique dónde obtener el nombre de usuario VPN
seleccionando un valor en la lista desplegable Cuenta. Por
defecto, la configuración VPN de GlobalProtect se define como
Usar guardado, lo que le permite usar el nombre de usuario que
el usuario del dispositivo proporcionó durante la inscripción.
También puede especificar un nombre de usuario Fijo para
todos los dispositivos que usen esta configuración o bien
permitir al usuario del dispositivo definir el nombre de usuario
de la cuenta seleccionando Definido en el dispositivo.
2.
Por defecto, se usará la Contraseña VPN que el usuario del
dispositivo tenga Definida en el dispositivo. Sin embargo, si
desea usar la contraseña que suministró el usuario del
dispositivo cuando se autenticó durante la inscripción,
seleccione Usar guardada, o defina una contraseña Fija para
que la usen todos los dispositivos que tengan esta configuración.
3.
(Opcional) Por defecto, cuando una política del gestor de
seguridad móvil se envía a un dispositivo móvil, todos los
perfiles que envió el gestor de seguridad móvil que no se
adjuntan a la regla de política coincidente se eliminan
automáticamente del dispositivo. Sin embargo, el gestor de
seguridad móvil no elimina los perfiles VPN enviados al
dispositivo por el portal GlobalProtect, lo que permite al
usuario cambiar de perfil. Para permitir que el gestor de
seguridad móvil elimine los perfiles VPN de GlobalProtect,
cancele la selección de la casilla de verificación Habilitar perfil
de portal.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Creación de una configuración VPN de GlobalProtect (Continuación)
Paso 4
Nota
• Para usar el certificado de identidad enviado al dispositivo
(Opcional) Especifique un certificado de
móvil durante la inscripción:
cliente para que los dispositivos móviles lo
usen para autenticarse en las puertas de
a. Seleccione Ninguno en el campo Credencial.
enlace de GlobalProtect durante el
• Para usar los certificados de cliente emitidos por el servidor
establecimiento del túnel VPN. Si en su
de su SCEP de la empresa:
lugar desea enviar un certificado de cliente a
los dispositivos desde la configuración de
a. Seleccione SCEP en el campo Credencial.
cliente del portal, o si no está usando una
b. Definición de una configuración SCEP.
autenticación de certificado en sus puertas
de enlace, puede omitir este paso.
• Para usar un certificado de cliente emitido por el gestor de
seguridad móvil:
Esta función es útil para evitar que los
dispositivos que no gestiona el gestor de
a.
seguridad móvil se conecten a la VPN de
GlobalProtect. Sin embargo, si rechaza las
conexiones de dispositivos no gestionados
perderá visibilidad de ese tráfico. Para
controlar el tráfico de dispositivos móviles
no gestionados, se recomienda crear un
perfil HIP que evalúe si el dispositivo está
b.
gestionado y adjuntarlo a sus políticas de
seguridad. Consulte Uso de información
del host en la aplicación de políticas si
Nota
desea más información sobre la creación de
políticas de seguridad HIP.
Paso 5
4.
(Opcional) Especifique qué tráfico de
dispositivo enviar a través de VPN. Por
defecto, la aplicación GlobalProtect
tuneliza todo el tráfico como se especifica
en su configuración de cliente del portal
correspondiente. Sin embargo, puede
sobrescribir la configuración del túnel del
portal definiendo el ajuste de VPN bajo
demanda en la configuración del gestor de
seguridad móvil.
Importe un certificado de cliente para enviarlo a los dispositivos
móviles y al gestor de seguridad móvil o generar un certificado
autofirmado en el gestor de seguridad móvil. Esta opción es
similar a la de implementar certificados de cliente desde el portal
GlobalProtect. En esta configuración especifica un único
certificado de cliente para que lo usen todos los dispositivos
móviles que empleen este perfil de configuración iOS.
Seleccione Certificado y después el certificado de cliente que
desea usar en la lista desplegable.
Si especifica una Credencial en esta configuración, asegúrese
de que la configuración de cliente que el portal implementará en
los dispositivos móviles correspondientes no contiene también
un certificado de cliente, de lo contrario el certificado de
configuración del portal sobrescribirá el certificado
especificado aquí.
Para sobrescribir los ajustes definidos en la configuración del
portal, seleccione la casilla de verificación VPN bajo demanda y
después haga clic en Añadir para definir las excepciones como
se indica:
• Introduzca una dirección IP, nombre de host, nombre de
dominio o subred en el campo Dominio para especificar un
destino de tunelización.
• Seleccione la Acción correspondiente para especificar cuándo
tunelizar el tráfico al Dominio especificado (siempre, nunca
o a petición para permitir que el usuario final invoque
manualmente la VPN).
• Repita este paso para cada destino de túnel que desee
sobrescribir.
Paso 6
Guarde el perfil de configuración.
Guía del administrador de GlobalProtect
5.
Haga clic en ACEPTAR para guardar la configuración.
1.
Haga clic en ACEPTAR para guardar los ajustes de
configuración VPN.
2.
Haga clic en ACEPTAR para guardar el perfil de configuración iOS.
3.
Compile sus cambios.
101
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Creación de una configuración VPN de GlobalProtect (Continuación)
Paso 7
Configure las puertas de enlace para usar Complete los siguientes pasos en cada puerta de enlace:
cuando el certificado cliente especificado 1. Importe las puertas de enlace el certificado CA raíz que se usó
habilite los dispositivos móviles con esta
para emitir los certificados de dispositivos móviles (el emisor del
configuración para establecer las
certificado de identidad, la CA del servidor SCEP o el
conexiones HTTPS.
certificado de CA autofirmado del gestor de seguridad móvil en
función del tipo de de certificado cliente que esté usando).
2.
Añada el certificado de CA al perfil de certificado que se usó en
la configuración de la puerta de enlace.
Creación de un perfil de configuración Android
El perfil de configuración iOS contiene los ajustes de configuración, certificados, clips web y restricciones para
enviarlos a un grupo específico de dispositivos iOS. Si tiene grupos de usuarios de dispositivos iOS que
necesitan acceso a diferentes servicios o distintos niveles de restricciones, deberá crear un perfil de
configuración de iOS distinto para cada uno.
Creación de un perfil de configuración Android
Paso 1
Añada un perfil de configuración.
1.
Seleccione Políticas > Configuración > Android y haga clic en
Añadir.
Paso 2
Paso 3
Introduzca la información de
identificación para la configuración.
Especifique los requisitos de código de
acceso de los dispositivos.
Si especifica requisitos de código de
acceso, los usuarios de los dispositivos
deberán respetar los ajustes de código de
acceso que defina.
102
1.
En la pestaña General, escriba un Nombre para mostrar para la
configuración en la interfaz web del gestor de seguridad móvil.
2.
Introduzca un Nombre para mostrar para que aparezca en la
pantalla de detalles/perfiles en el dispositivo móvil, así como en
el informe HIP del dispositivo.
3.
Introduzca un Identificador para la configuración en formato
de estilo DNS inverso. Por ejemplo, si este perfil va a usarse para
enviar una configuración base de iOS a los dispositivos, puede
asignar a la configuración un nombre parecido a
com.acme.perfilAndroid.
4.
(Opcional) Introduzca también una Descripción para que se
muestre en la pantalla Detalles del dispositivo móvil.
1.
Si desea obligar a los usuarios de dispositivos que reciben esta
configuración a usar un código de acceso en el dispositivo,
seleccione la pestaña Código de acceso y seleccione la casilla de
verificación Código de acceso para habilitar la restricción. Con
solo habilitar este campo obligará a usar un código de acceso de
un mínimo de 4 caracteres sin imponer requisitos adicionales.
2.
(Opcional) Especifique requisitos adicionales de código de
acceso que desee aplicar, como la longitud o si forzar al
dispositivo a bloquearse automáticamente tras un número
especificado de minutos.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Creación de un perfil de configuración Android (Continuación)
Paso 4
Defina las restricciones sobre lo que el
usuario puede hacer con el dispositivo.
1.
Seleccione la pestaña Restricciones y después la casilla de
verificación Restricciones para permitir que la configuración
controle lo que el usuario puede hacer con el dispositivo móvil.
2.
Modifique los ajustes de restricción predeterminada como
desee:
• Por ejemplo, si no desea que los usuarios usen la cámara,
cancele la selección de la casilla de verificación Permitir uso
de la cámara.
• Si desea asegurarse de que los datos de los dispositivos
móviles están cifrados, seleccione la casilla de verificación
Exigir cifrado de los datos almacenados.
Paso 5
Proporcione los ajustes de configuración 1.
que permiten el acceso del dispositivo a 2.
una o más redes Wi-Fi.
Si desea información detallada sobre cada
campo, consulte la ayuda en línea.
3.
Seleccione la pestaña Wi-Fi y haga clic en Añadir.
En la pestaña Configuración, introduzca un Nombre para
identificar esta configuración Wi-Fi en el gestor de seguridad
móvil.
Escriba el Identificador de red (SSID) de la red inalámbrica.
El SSID es el nombre de difusión de la red Wi-Fi; suele ser un
nombre fácil de recordar que permite a los usuarios identificar
las redes a las que se conectan. Si no va a difundir su SSID,
seleccione la casilla de verificación Red oculta.
4.
Por defecto, los dispositivos que reciben esta configuración se
unen automáticamente a la red cuando el dispositivo está en el
rango, para cambiar esto cancele la selección de la casilla de
verificación Unirse automáticamente.
5.
En la pestaña Seguridad seleccione el Tipo de seguridad en uso
en la red inalámbrica. En función del tipo de seguridad que
seleccione, se mostrarán campos adicionales donde podrá
indicar los ajustes necesarios para conectarse como la
contraseña, el protocolo o el certificado a usar.
6.
Para los tipos de seguridad que requieran credenciales de usuario
final (tipos de seguridad de empresa), seleccione lo siguiente:
• Nombre de usuario: La configuración usará por defecto el
nombre de usuario del usuario final que se proporcionó
cuando se autenticó en el gestor de seguridad móvil durante
la inscripción (Usar guardado). Para especificar un nombre
de usuario diferente, seleccione Fijo e introduzca un nombre
de usuario en el cuadro de texto.
• Contraseña: La configuración usará una contraseña que el
usuario define en el dispositivo móvil (Definida en el
dispositivo) por defecto. Para usar la contraseña que el
usuario final proporcionó al autenticarse en el gestor de
seguridad móvil durante la inscripción (Usar guardada).
O para especificar una contraseña diferente, seleccione Fija e
introduzca una contraseña en el cuadro de texto.
7.
Guía del administrador de GlobalProtect
Haga clic en ACEPTAR para guardar la configuración.
103
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Creación de un perfil de configuración Android (Continuación)
Paso 6
Cree accesos directos a los sitios web o las 1.
aplicaciones basadas en web (llamados clips 2.
web) para mostrarlos en la pantalla Inicio
del dispositivo.
3.
Los clips web son útiles para ofrecer acceso
rápido a los sitios web a los que sus usuarios 4.
móviles necesitan acceder, como su Intranet
5.
o el sistema de seguimiento de errores
internos. Antes de crear una configuración
que incluya un clip web, debe importar el 6.
Seleccione la pestaña Clips web y haga clic en Añadir.
Introduzca un Nombre para el clip web que se usará con el gestor
de seguridad móvil.
Introduzca una Etiqueta para que el clip web se muestre en la
pantalla de inicio.
Escriba la URL que se cargará cuando el usuario toque el clip web.
Seleccione un Icono que haya importado previamente o haga clic en
Icono en el menú desplegable para importar uno nuevo.
Haga clic en ACEPTAR para guardar el clip web.
icono asociado para mostrarlo en la pantalla
del dispositivo. Consulte las instrucciones
de Importación de iconos de clip web.
Paso 7
Guarde el perfil de configuración.
1.
Haga clic en ACEPTAR para guardar los ajustes de configuración
que ha definido y cerrar el cuadro de diálogo Configuración de
Android.
2.
Compile sus cambios.
Importación de un perfil de aprovisionamiento iOS
Para evitar la propagación de aplicaciones potencialmente dañinas, iOS solo permite a los usuarios instalar aplicaciones
de recursos aprobados mediante App Store. Para permitir que los usuarios instalen aplicaciones desarrolladas
internamente en sus dispositivos iOS, debe obtener un perfil de aprovisionamiento en el programa Programa
empresarial de desarrolladores de iOS (iDEP). Después podrá implementar el perfil de aprovisionamiento a los
dispositivos finales autorizados para permitirles instalar la aplicación. Para simplificar el proceso de distribución de
perfiles de implementación, importe los perfiles en el gestor de seguridad móvil e impleméntelo en los dispositivos
gestionados a través de la política.
Aunque el gestor de seguridad móvil simplifica la implementación de perfiles de
aprovisionamiento en un gran número de dispositivos móviles, hay algunos factores de
seguridad que se deben tener en cuenta. Cuando revoque el acceso a una aplicación habilitada
a través de un perfil de aprovisionamiento, la aplicaciones seguirá ejecutándose en el dispositivo
hasta que lo apague, aunque la política del gestor de seguridad móvil elimine el perfil. Además,
como los perfiles de aprovisionamiento están sincronizados con iTunes, el perfil puede
reinstalarse la siguiente vez que el usuario final sincronice el dispositivo con iTunes.
Siga el procedimiento siguiente para importar un perfil de aprovisionamiento iOS en el gestor de seguridad móvil:
Importación de un perfil de aprovisionamiento iOS
Paso 1
104
Obtenga los archivos de
aprovisionamiento que necesita para
habilitar los usuarios de dispositivos para
instalar sus aplicaciones iOS
desarrolladas internamente.
Si desea más información sobre cómo crear perfiles de
aprovisionamiento e implementar aplicaciones desarrolladas a nivel
interno, vaya a la siguiente URL:
http://www.apple.com/business/accelerator/deploy/
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Importación de un perfil de aprovisionamiento iOS (Continuación)
Paso 2
Paso 3
Cuando haya firmado su perfil de
aprovisionamiento, impórtelo al gestor de
seguridad móvil.
Guarde sus cambios.
1.
Seleccione Políticas > Configuración > Perfiles de
aprovisionamiento iOS y haga clic en Añadir.
2.
Introduzca un Nombre para el perfil.
3.
Seleccione Examinar y vaya hasta la ubicación del perfil de
aprovisionamiento y haga clic en Abrir. El nombre de archivo y
ruta aparecen en el campo Archivo.
4.
Haga clic en ACEPTAR.
Haga clic en Compilar.
Definición de una configuración SCEP
El protocolo de inscripción de certificados simple (SCEP) ofrece un mecanismo para emitir certificados a un gran
número de dispositivos iOS. En el gestor de seguridad móvil, puede habilitar SCEP para identificar los certificados de
identidad a los dispositivos durante el proceso de inscripción. También puede usar el protocolo SCEP para obtener
los certificados necesarios para otras configuraciones. Use el siguiente procedimiento para crear una configuración
SCEP, ya sea para usarla en la inscripción de gestor de seguridad móvil o con otras configuraciones iOS.
Definición de una configuración SCEP
Paso 1
Paso 2
1.
Configure el gestor de seguridad móvil
para que se integre con un servidor SCEP
de empresa existente para emitir
2.
certificados de identidad a dispositivos
iOS.
Seleccione Políticas > Configuración > SCEP y haga clic en
Añadir.
Introduzca un Nombre para identificar la CA, como
CA_inscripción. Este nombre distingue esta instancia de SCEP de
otras instancias que puede usar en los perfiles de configuración.
Seleccione una de las siguientes opciones de Desafío SCEP:
Especifique el tipo de desafío que se va a
usar. El desafío es una contraseña de un solo • Ninguna: El servidor SCEP emite el certificado sin una OTP.
uso (OTP) que comparten el gestor de
• Fija: El gestor de seguridad móvil proporcionará una OTP estática
seguridad móvil y el servidor SCEP. El
que se usa para todos los dispositivos móviles. Obtenga la OTP desde
gestor de seguridad móvil incluye la OTP en
el servidor SCEP e introdúzcala en el cuadro de texto. También
la configuración SCEP que envía al
deberá definir el valor del registro UseSinglePassword del servidor
dispositivo móvil y el dispositivo lo usa para
SCEP para forzarle a usar una contraseña única para todas las
autenticarse en el servidor SCEP.
inscripciones de certificados de cliente.
• Dinámica: El gestor de seguridad móvil obtiene una OTP única del
servidor SCEP para cada dispositivo móvil durante la inscripción
usando un intercambio desafío-respuesta NTLM entre los dos
servidores. Si selecciona esta opción deberá configurar la Ruta del
servidor donde el gestor de seguridad móvil puede conectarse con el
servidor SCEP e introducir las credenciales que deberá usar para
iniciar sesión. Además, puede seleccionar la casilla de verificación
SSL para exigir una conexión HTTPS para la solicitud de desafío. Si
habilita el SSL, deberá seleccionar el Certificado de CA raíz del
servidor SCEP. También puede habilitar la autenticación SSL mutua
entre el servidor SCEP y el gestor de seguridad móvil seleccionando
un Certificado de cliente.
Guía del administrador de GlobalProtect
105
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de una configuración SCEP (Continuación)
Paso 3
Especifique cómo conectar con el servidor 1.
SCEP.
Especifique la URL de servidor que el dispositivo móvil debe usar
para llegar al servidor SCEP. Por ejemplo,
http://<nombrehost>/certsrv/mscep_admin/mscep.dll
2.
Paso 4
Especifique los atributos de los certificados 1.
que se deben generar.
Introduzca una cadena (hasta 255 caracteres de longitud) para
identificar el servidor SCEP en el campo Nombre CA-IDENT.
Escriba un nombre de Asunto para los certificados generados
por el servidor SCEP. El nombre de asunto debe ser un nombre
distinguido en el formato <atributo>=<valor> y debe incluir
la clave de nombre común (CN). Hay dos formas de especificar
el CN:
• (Recomendada) CN basado en token. Introduzca uno de
los tokens admitidos $USERNAME o $UDID en lugar de la parte de
CN del nombre de asunto. Cuando el gestor de seguridad móvil
envíe los ajustes de SCEP al dispositivo, la parte de CN del
nombre de asunto se sustituirá por el UDID del dispositivo o
nombre de usuario real del propietario del certificado. Este
método garantiza que cada certificado que genere el servidor
SCEP es único para el usuario o dispositivo específico. Por
ejemplo, O=acme,CN=$USERNAME.
• CN estático: El nombre común que especifique no se usará
como asunto para todos los certificados que emita el servidor
SCEP. Por ejemplo, O=acme,CN=$USERNAME.
2.
(Opcional) Defina las extensiones de certificado que desee incluir
en los certificados:
• Tipo de nombre alternativo del asunto: Si planifica
suministrar un nombre alternativo del asunto (SAN), especifique
el formato del SAN seleccionando uno de los siguientes valores:
rfc822Name, dnsName, o uniformResourceIdentifier.
• Valor de nombre alternativo del asunto: El valor SAN que
se desea incluir en el certificado, en el formato especificado
anteriormente.
• Nombre principal NT: Objeto de usuario para el dispositivo
que se puede usar para igualar el certificado de usuario con una
cuenta.
Paso 5
106
Guarde el perfil SCEP.
3.
Defina el Tamaño de clave para que coincida con el tamaño de
clave definido en la plantilla de certificado del servidor SCEP.
4.
(Opcional) Si el dispositivo móvil va a obtener su certificado a
través de HTTP, introduzca la Huella digital (SHA1 o MD5) del
certificado de CA del dispositivo que se usará para autenticar el
servidor SCEP. La Huella digital debe coincidir con el valor de
Huella digital del servidor SCEP.
1.
Haga clic en ACEPTAR para guardar los ajustes de configuración
que ha definido y cerrar el cuadro de diálogo Configuración iOS.
2.
Compile sus cambios.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Definición de políticas de implementación
Creación de políticas de implementación
Cuando un dispositivo se ha inscrito y registrado con éxito, el gestor de seguridad móvil usa el nombre de
usuario del usuario del dispositivo o los datos HIP de los que se ha información para crear una política de
implementación.
Creación de políticas de implementación
Paso 1
Paso 2
Nota
Cree una nueva regla de política.
Especifique a qué usuarios de dispositivos
móviles desea implementar esta
configuración. Hay dos formas de
especificar qué dispositivos gestionados
recibirán la configuración: por nombre de
usuario/grupo o por coincidencia HIP.
1.
Seleccione Políticas > Políticas y haga clic en Añadir
2.
Escriba un Nombre descriptivo para identificar la regla de
política.
Seleccione la pestaña Usuarios/Perfiles HIP y especifique cómo
determinar una coincidencia de configuración para esta regla de política:
• Para implementar esta configuración en un usuario o grupo
específicos, haga clic en Añadir en la sección Usuario de la ventana y
después seleccione el usuario o grupo que desea que reciba esta
configuración en la lista desplegable. Repita este paso para cada
usuario/grupo que desee añadir.
El gestor de seguridad móvil usa los ajustes
de Usuarios/Perfiles HIP que especifique • Para implementar esta configuración en dispositivos que coincidan
para determinar qué configuración
con un perfil HIP específico, haga clic en Añadir en la sección
implementar en un dispositivo en el registro.
Perfiles HIP de la ventana y después seleccione un perfil HIP.
Así, si tiene múltiples configuraciones,
Nota Es recomendable probar sus políticas de implementación
deberá asegurarse de ordenarlas
antes de enviarlas a toda la base de usuarios móviles.
correctamente. En cuanto el gestor de
Considere crear al principio una configuración que se
seguridad móvil encuentre una coincidencia
aplique solo a los usuarios de su grupo de TI para que
distribuirá la configuración. Así, las
puedan inscribirse en el gestor de seguridad móvil y probar
configuraciones más específicas deberán
las políticas de implementación. Cuando haya probado
preceder a las más generales. Consulte en
detenidamente la configuración, podría modificar la
Paso 4 las instrucciones sobre cómo
política de implementación para enviar las
ordenar la lista de reglas.
implementaciones a los usuarios móviles.
Antes de poder crear reglas de políticas para
implementar las configuraciones en
usuarios o grupos especificados, deberá
configurar el gestor de seguridad móvil para
acceder a su directorio de usuario como se
describe en Integración del gestor de
seguridad móvil con su directorio LDAP.
Guía del administrador de GlobalProtect
107
Definición de políticas de implementación
Configuración del gestor de seguridad
móvil de GlobalProtect
Creación de políticas de implementación (Continuación)
Paso 3
1.
Especifique los perfiles de configuración
que se deben implementar en los
dispositivos que coincidan con los criterios
de perfil de usuario/HIP definidos.
Adjunte los perfiles de configuración en la regla de política. Si su
regla está diseñada para coincidir con dispositivos iOS y Android,
debe adjuntar perfiles de configuración distintos de la siguiente
forma:
• Para añadir un perfil de configuración de iOS o un perfil de
aprovisionamiento de iOS, haga clic en Añadir en la sección iOS
y, a continuación, seleccione el perfil que debe añadir. Repita este
paso con cada perfil de iOS que se deba implementar en los
dispositivos que coincidan con esta regla.
• Para añadir un perfil de configuración de Android, haga clic en
Añadir en la sección Android y, a continuación, seleccione el
perfil para añadir a la regla. Repita este paso con cada perfil de
configuración que se deba implementar en los dispositivos que
coincidan con esta regla.
Paso 4
Prepare las reglas de política de
implementación para que la configuración
correcta se implemente en todos los
dispositivos al realizar el registro.
2.
Haga clic en ACEPTAR para guardar la regla de política.
3.
Repita del Paso 1 al Paso 3 con cada regla de política que necesite.
• Para subir una regla de política de implementación en la lista de reglas,
selecciónela y haga clic en Mover hacia arriba.
• Para bajar una regla de política de implementación en la lista de reglas,
selecciónela y haga clic en Mover hacia abajo.
Cuando un dispositivo se registra, el gestor
de seguridad móvil comparará el nombre de
usuario y los datos HIP que el dispositivo ha
proporcionado con las políticas que ha
definido. Como con la evaluación de la regla
de seguridad en el cortafuegos, el gestor de
seguridad móvil busca una coincidencia
empezando por la parte superior de la lista.
Cuando encuentra una coincidencia, aplica
las configuraciones correspondientes en el
dispositivo.
Paso 5
108
Guarde las reglas de política de
implementación.
Compile sus cambios.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Verificación de la configuración del gestor de seguridad móvil
Verificación de la configuración del gestor de seguridad móvil
Una vez terminada la configuración del gestor de seguridad móvil (configurar la interfaz de registro del dispositivo,
habilitar la inscripción y definir la configuración y los perfiles de implementación) y la configuración del portal de
GlobalProtect con la URL para la interfaz de registro del dispositivo, debe comprobar que puede inscribir
correctamente un dispositivo y que el perfil del gestor de seguridad móvil se ha instalado y aplicado correctamente.
Compruebe la configuración del gestor de seguridad móvil
Paso 1
Paso 2
Configure las políticas de implementación
que se enviarán a los usuarios de prueba.
Descargue e instale la aplicación de
GlobalProtect y acceda al portal de
GlobalProtect.
Se recomienda empezar a implementar las políticas en un grupo
reducido de usuarios, como por ejemplo los administradores del
departamento de TI responsables de la administración del gestor de
seguridad móvil:
1. Seleccione Políticas > Políticas y seleccione la política de
implementación que se debe editar.
2.
En la pestaña Usuarios/Perfiles HIP, haga clic en Añadir en la
sección Usuario/grupo de usuarios y, a continuación, seleccione
el usuario o grupo que probará la política.
3.
(Opcional) Seleccione la regla de política de implementación
que acaba de crear/modificar y haga clic en Mover hacia arriba
para que quede por encima de cualquier regla más genérica que
acabe de crear.
4.
Compile los cambios.
1.
Descargue la aplicación.
• En dispositivos Android, descargue la aplicación en
Google Play.
• En dispositivos iOS, descargue la aplicación de App Store.
2.
Toque el icono de GlobalProtect en la pantalla Inicio para iniciar
la aplicación.
3.
Toque ACEPTAR para habilitar las funciones de VPN en el
dispositivo.
4.
En la pantalla Configuración de GlobalProtect, introduzca el
nombre o dirección del portal, nombre de usuario y
contraseña y, a continuación, toque Conectar. El nombre del
portal introducido debe ser un nombre de dominio completo
(FQDN) y no incluirá https:// al principio.
Si el gestor de seguridad móvil se ha configurado en el portal, el
dispositivo se redirigirá automáticamente a la pantalla de
inscripción después de que se autentique con éxito en el portal.
Nota
Guía del administrador de GlobalProtect
Para completar el proceso de inscripción el dispositivo
móvil debe contar con conexión a Internet.
109
Verificación de la configuración del gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Compruebe la configuración del gestor de seguridad móvil (Continuación)
Paso 3
Paso 4
Inscriba el dispositivo móvil en el gestor 1.
de seguridad móvil de GlobalProtect.
Compruebe que los perfiles de
configuración que esperaba se han
aplicado en el dispositivo.
Cuando se le solicite inscribirse en la gestión de dispositivos
móviles de GlobalProtect, toque Inscripción.
2.
Cuando se le solicite recibir notificaciones push desde
GlobalProtect, toque ACEPTAR.
3.
Si el certificado de la interfaz de comprobación de dispositivos
no lo emitió una CA de confianza, debe instalar el certificado
de CA para continuar con la inscripción. Si tiene un código de
acceso en el dispositivo, debe introducirlo para poder instalar el
certificado.
4.
En la pantalla Instalar perfil, toque Instalar para instalar el perfil
y, a continuación, toque Instalar ahora para confirmar que la
inscripción cambiará la configuración del iPad. Si tiene un
código de acceso en el dispositivo, debe introducirlo para poder
instalar el perfil. En la pantalla de advertencia, toque Instalar
para continuar.
5.
Cuando el perfil se haya instalado correctamente, toque Listo.
Si está recopilando información de ubicación de GPS, la
aplicación le pedirá que permita a GlobalProtect utilizar su
ubicación actual.
Por ejemplo:
• Si ha aplicado el requisito del código de acceso en el dispositivo,
se le pedirá que establezca una nueva contraseña en 60 minutos.
Toque Continuar para cambiar/establecer el código de acceso.
Introduzca el código de acceso actual, escriba el nuevo código de
acceso cuando se le solicite y, a continuación, toque Guardar.
El cuadro de diálogo debe mostrar cualquier requisito que deba
cumplir el nuevo código de acceso.
• Si ha aplicado la configuración Exchange Active Sync en el
dispositivo, compruebe que puede conectar al servidor Exchange
y enviar y recibir correo electrónico.
• Si ha aplicado una configuración VPN de GlobalProtect,
compruebe que el dispositivo puede establecer una conexión
VPN.
• Pruebe cualquier clip web que haya aplicado en el dispositivo y
compruebe que puede conectarse a las URL asociadas.
• Si ha aplicado restricciones en el dispositivo, compruebe que no
puede realizar las acciones restringidas.
110
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Verificación de la configuración del gestor de seguridad móvil
Compruebe la configuración del gestor de seguridad móvil (Continuación)
Paso 5
Paso 6
En el gestor de seguridad móvil,
compruebe que las notificaciones push
funcionan.
Envíe las políticas al resto de su base de
usuarios.
Guía del administrador de GlobalProtect
1.
Seleccione Dispositivos y busque y seleccione su dispositivo en
la lista.
2.
Haga clic en Mensaje e introduzca el texto que se debe enviar al
dispositivo en Cuerpo del mensaje y, a continuación, haga clic
en ACEPTAR.
3.
Compruebe que recibe el mensaje en el dispositivo.
Después de verificar que las políticas y configuración de su gestor de
seguridad móvil funcionan como se esperaba, actualice las políticas
para implementar el resto de su base de usuarios.
111
Configuración del acceso administrativo en el gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del acceso administrativo en el gestor de
seguridad móvil
De forma predeterminada, el gestor de seguridad móvil de GlobalProtect viene preconfigurado con una cuenta
administrativa predeterminada (admin), que proporciona acceso completo de lectura-escritura (también
conocido como acceso de superusuario) al dispositivo. Es recomendable que cree una cuenta administrativa
diferente para cada persona que necesite acceder a las funciones de administración o informes del dispositivo.
Esto evita la configuración no autorizada (o modificación) y permite el registro de acciones de cada uno de los
administradores.
El acceso administrativo se configura en dos pasos:

Configuración de la autenticación administrativa

Creación de una cuenta administrativa
Configuración de la autenticación administrativa
Hay tres formas de autenticar a usuarios administrativos:

Cuenta de administrador local con autenticación local: tanto las credenciales de la cuenta de administrador
como los mecanismos de autenticación son locales para el dispositivo. Puede añadir un nivel de protección
adicional a la cuenta del administrador local creando un perfil de contraseña que defina un período de validez para
las contraseñas y estableciendo ajustes de complejidad de la contraseña para todo el dispositivo. Con este tipo de
cuenta no necesita realizar ninguna tarea de configuración para poder crear la cuenta administrativa. Continúe a
Creación de una cuenta administrativa.

Cuenta de administrador local con autenticación externa: las cuentas de administrador se gestionan en el
cortafuegos local, pero las funciones de autenticación se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticación que defina el modo de
acceso al servicio de autenticación externa y después crear una cuenta para cada administrador que haga referencia
al perfil. Consulte Creación de un perfil de autenticación para obtener instrucciones sobre cómo configurar el
acceso a servicios de autenticación externos.

Cuenta de administrador local con autenticación basada en certificado: con esta opción, puede crear
las cuentas de administrador en el dispositivo, pero la autenticación se basa en certificados SSH (para acceso a CLI)
o certificados de cliente/tarjetas de acceso común (para la interfaz web). Consulte Activación de la autenticación
basada en certificado para la interfaz web o Activación de la autenticación basada en certificado de SSH para
la interfaz de la línea de comandos para ver las instrucciones.
Creación de un perfil de autenticación
Un perfil de autenticación especifica el servicio de autenticación que valida las credenciales del administrador y define
cómo acceder a dicho servicio. Debe crear un perfil de servidor en primer lugar para que el gestor de seguridad móvil
pueda acceder a un servidor de autenticación RADIUS, Kerberos o LDAP.
112
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del acceso administrativo en el gestor de seguridad móvil
Creación de un perfil de autenticación
Paso 1
Paso 2
Paso 3
Cree un perfil de servidor que defina
cómo conectar con el servidor de
autenticación.
Cree un perfil de autenticación.
Compile los cambios.
1.
Seleccione Configuración > Perfiles de servidor y, a
continuación, seleccione el tipo de servicio de autenticación al
que conectarse (LDAP, RADIUS o Kerberos).
2.
Haga clic en Añadir y, a continuación, introduzca un Nombre
para el perfil.
3.
Seleccione la casilla de verificación Únicamente uso de
administrador, si corresponde.
4.
Haga clic en Añadir para añadir una nueva entrada de servidor
e introduzca la información necesaria para conectarse al
servicio. Para obtener detalles sobre los valores de campo
necesarios para cada tipo de servicio, consulte la ayuda en línea.
5.
Haga clic en ACEPTAR para guardar el perfil de servidor.
1.
Seleccione Configuración > Perfil de autenticación y, a
continuación, haga clic en Añadir.
2.
Introduzca un nombre de usuario para identificar un perfil de
autenticación.
3.
En el menú desplegable Autenticación, seleccione el tipo de
autenticación que utilizará.
4.
Seleccione el Perfil de servidor que creó en el Paso 1.
Haga clic en Compilar.
Activación de la autenticación basada en certificado para la interfaz web
Una alternativa más segura al uso de contraseña para autenticar a un usuario administrativo es activar la
autenticación basada en certificado para asegurar el acceso al gestor de seguridad móvil. Con la autenticación
basada en certificado se intercambia y verifica una firma, en lugar de una contraseña.
Utilice las siguientes instrucciones para activar la autenticación basada en certificado.
Activación de la autenticación basada en certificado
Paso 1
Genere un certificado de CA en el gestor de Para generar un certificado de CA en el gestor de seguridad móvil:
seguridad móvil.
1. Inicie sesión en la interfaz web del gestor de seguridad móvil.
Nota
Si desea utilizar certificados de un tercero de 2.
confianza o CA de empresa, debe importar
el certificado de CA al gestor de seguridad 3.
móvil para que confíe en los certificados de
cliente que genera.
Guía del administrador de GlobalProtect
Seleccione Configuración > Gestión de certificados >
Certificados y haga clic en Generar.
Introduzca un nombre de certificado y añada la dirección IP o
FQDN que necesita que aparezca en el certificado del campo
Nombre común. Opcionalmente, puede cambiar los ajustes
criptográficos y definir las opciones de certificados como el país, la
organización, el estado, etc.
4.
Asegúrese de dejar en blanco la opción Firmado por y seleccionar
la opción Autoridad del certificado.
5.
Haga clic en Generar para crear el certificado usando los detalles
especificados anteriormente.
113
Configuración del acceso administrativo en el gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Activación de la autenticación basada en certificado (Continuación)
Paso 2
Cree el perfil del certificado que se utilizará 1.
para asegurar el acceso a la interfaz web.
2.
Seleccione Configuración > Gestión de certificados > Perfil del
certificado y haga clic en Añadir.
Introduzca un nombre para el perfil del certificado y en Campo de
nombre de usuario seleccione Asunto.
3.
Paso 3
Paso 4
Configure el gestor de seguridad móvil para 1.
que utilice el perfil de certificado del cliente
para la autenticación administrativa.
Seleccione Añadir en la sección de certificados de CA y, en el menú
desplegable Certificado de CA, seleccione el certificado de CA
creado en el Paso 1.
En la pestaña Configuración > Configuración, haga clic en el
icono Editar de la sección Configuración de autenticación de la
pantalla.
2.
En el campo Perfil del certificado, seleccione el perfil del
certificado del cliente creado en el Paso 2.
3.
Haga clic en ACEPTAR para guardar los cambios.
Cree o modifique una cuenta de
1.
administrador para activar el certificado del
cliente en la cuenta.
2.
3.
Seleccione Configuración > Administradores y, a continuación,
haga clic en Añadir.
Introduzca un nombre de inicio de sesión para el administrador; el
nombre distingue entre mayúsculas y minúsculas.
Seleccione Utilizar únicamente el certificado de autenticación
de cliente (web) para activar el uso del certificado para la
autenticación.
114
4.
Seleccione la función que se asignará a este administrador.
Puede seleccionar una de las funciones dinámicas predefinidas o
seleccionar una función personalizada y adjuntar un perfil de
autenticación que especifique los privilegios de acceso para este
administrador.
5.
(Opcional) Para funciones personalizadas, seleccione los grupos de
dispositivos, las plantillas y el contexto del dispositivo que el usuario
administrativo puede modificar.
6.
Haga clic en ACEPTAR para guardar los ajustes de la cuenta.
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del acceso administrativo en el gestor de seguridad móvil
Activación de la autenticación basada en certificado (Continuación)
Paso 5
Cree y exporte el certificado del cliente que 1.
se utilizará para autenticar un administrador.
Utilice el certificado de CA para generar un certificado de cliente
para cada uno de los usuarios administrativos.
a. Seleccione Configuración > Gestión de certificados >
Certificados y haga clic en Generar.
b. En el campo Nombre común, introduzca el nombre del
administrador para el que está generando el certificado.
La sintaxis del nombre debe coincidir con el formato usado
por el mecanismo de autenticación local o externo.
c. En el campo Firmado por, seleccione el mismo certificado de
CA creado en el Paso 1.
d. Haga clic en Generar para crear el certificado usando los
detalles especificados anteriormente.
2.
Exporte el certificado del cliente que acaba de generar.
a. Seleccione el certificado que acaba de crear y haga clic en
Exportar.
b. Para cifrar la clave privada, seleccione PKCS12 como formato
de archivo.
c. Introduzca una frase de contraseña para cifrar la clave privada y
confirmar la entrada.
d. Haga clic en ACEPTAR para exportar el certificado.
Paso 6
Guarde sus cambios de configuración.
Haga clic en Compilar.
Se cerrará su sesión de la interfaz web.
Paso 7
Paso 8
Importe el certificado del cliente del
administrador en el navegador web del
cliente que el administrador utilizará para
acceder a la interfaz web del gestor de
seguridad móvil.
Por ejemplo, en Firefox:
1. Seleccione el menú Herramientas > Opciones > Avanzado.
2.
Haga clic en el botón Ver certificados.
3.
Seleccione la pestaña Sus certificados y haga clic en Importar.
Acceda a la ubicación en la que ha guardado el certificado del
cliente.
4.
Cuando se le solicite, introduzca la frase de contraseña para
descifrar la clave privada.
Inicie sesión en la interfaz web del gestor de 1.
seguridad móvil.
Acceda a la dirección IP o nombre de host del gestor de seguridad
móvil.
2.
Cuando se le solicite, seleccione el certificado cliente que ha
importado en el Paso 7. Aparecerá una advertencia de certificación.
3.
Añada el certificado a la lista de excepciones e inicie sesión en la
interfaz web del gestor de seguridad móvil.
Guía del administrador de GlobalProtect
115
Configuración del acceso administrativo en el gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Activación de la autenticación basada en certificado de SSH para la interfaz de la línea
de comandos
Para habilitar la autenticación basada en certificados de SSH, complete el siguiente flujo de trabajo para cada
usuario administrativo:
Habilitación de la autenticación de SSH (basada en clave pública)
Paso 1
Utilice una herramienta de generación de
claves de SSH para crear un par de claves
asimétricas en la máquina cliente.
Los formatos de clave admitidos son: IETF
SECSH y Open SSH; los algoritmos
admitidos son: DSA (1024 bits) y RSA
(768-4096 bits).
Paso 2
Cree una cuenta para el administrador y
permita la autenticación basada en
certificado.
Para saber los comandos necesarios para generar el par de claves,
consulte la documentación del producto para el cliente de SSH.
La clave pública y la privada son dos archivos diferentes; guárdelos
ambos en una ubicación a la que el gestor de seguridad móvil pueda
acceder. Para una mayor seguridad, introduzca una frase de contraseña
para cifrar la clave privada. Se le solicitará este código de acceso cuando
inicie sesión en el gestor de seguridad móvil.
1.
Seleccione Configuración > Administradores y, a continuación,
haga clic en Añadir.
2.
Introduzca un nombre y contraseña para el administrador.
Tendrá que configurar una contraseña. Asegúrese de introducir una
contraseña fuerte o compleja y guárdela en un lugar seguro; solo se
le pedirá en caso de que los certificados estén dañados o que se
produzca un fallo del sistema.
3.
(Opcional) Seleccione un Perfil de autenticación.
4.
Habilite Utilizar autenticación de clave pública (SSH).
5.
Haga clic en Importar clave y acceda a la clave pública que guardó
en el Paso 1 para importarla.
6.
Seleccione la función que se asignará a este administrador. Puede
seleccionar una de las funciones dinámicas predefinidas o un perfil
basado en función personalizado.
7.
Haga clic en ACEPTAR para guardar la cuenta.
Paso 3
Compile los cambios.
Haga clic en Compilar.
Paso 4
Compruebe que el cliente SSH utiliza su
clave privada para autenticar la clave
pública presentada por el gestor de
seguridad móvil.
1.
Configure el cliente SSH para utilizar la clave privada para
autenticar en el gestor de seguridad móvil.
2.
Vuelva a iniciar sesión en la CLI del gestor de seguridad móvil.
116
Guía del administrador de GlobalProtect
Configuración del gestor de seguridad
móvil de GlobalProtect
Configuración del acceso administrativo en el gestor de seguridad móvil
Creación de una cuenta administrativa
Cuando haya definido los mecanismos de autenticación de los usuarios administrativos deberá crear una cuenta para
cada administrador. Cuando cree una cuenta deberá definir cómo autenticar al usuario. Además, deberá especificar un
rol para el administrador. Una función define el tipo de acceso al sistema que tiene el administrador asociado. Se pueden
asignar dos tipos de funciones:

Funciones dinámicas: Funciones integradas que proporcionan acceso como superusuario, superusuario (de
solo lectura) o administrador de dispositivos al gestor de seguridad móvil. Con las funciones dinámicas solo tendrá
que preocuparse de actualizar las definiciones de función, ya que se añaden nuevas características cuando las
funciones se actualizan automáticamente.

Perfiles de función de administrador: Le permiten crear sus propias definiciones de función para ofrecer un
control de acceso más granular a las diversas áreas funcionales de la interfaz web, CLI o API XML. Por ejemplo,
podría crear un perfil de función de administrador para su personal de operaciones que proporcione acceso a las
áreas de configuración de red y dispositivo de la interfaz web y un perfil separado para los administradores de
seguridad que proporcione acceso a la definición de política de seguridad, logs e informes. Tenga en cuenta que
con los perfiles de función de administrador deberá actualizar los perfiles para asignar privilegios de forma explícita
para nuevos componentes/características que se añadan al producto.
El siguiente ejemplo muestra el modo de crear una cuenta de administrador local con autenticación local:
Creación de una cuenta administrativa
Paso 1
Si pretende usar perfiles de funciones de Complete los siguientes pasos para cada función que desee crear:
administrador en lugar de funciones
1. Seleccione Configuración > Funciones de administrador y, a
dinámicas, cree los perfiles que definan
continuación, haga clic en Añadir.
qué tipo de acceso, de haberlo, se dará a 2. En las pestañas UI Web o API XML, establezca los niveles de
las diferentes secciones de la interfaz
acceso (Habilitar ,Solo lectura , Deshabilitar ) para cada
web, CLI y API XML para cada
área funcional de la interfaz haciendo clic en el icono para
administrador asignado a la función.
cambiar al ajuste deseado. Se recomienda restringir la acción de
borrado de dispositivo a solo uno o dos administradores muy
familiarizados con el gestor de seguridad móvil para garantizar
que los dispositivos de usuarios finales no se borran por
accidente.
Guía del administrador de GlobalProtect
3.
En la pestaña Línea de comandos, especifique el tipo de acceso
que permitirá a la CLI: superuser, superreader, deviceadmin,
devicereader o Ninguno para deshabilitar por completo el
acceso a la CLI.
4.
Introduzca un nombre para el perfil y haga clic en ACEPTAR
para guardarlo.
117
Configuración del acceso administrativo en el gestor de seguridad móvil
Configuración del gestor de seguridad
móvil de GlobalProtect
Creación de una cuenta administrativa (Continuación)
Paso 2
(Opcional) Establezca requisitos para
contraseñas definidas por usuarios locales.
• Crear perfiles de contraseña: Defina la frecuencia con que los
administradores deberán cambiar sus contraseñas. Puede crear varios
perfiles de contraseña y aplicarlos a las cuentas de administrador según
sea necesario para imponer la seguridad deseada. Para crear un perfil
de contraseña, seleccione Configuración > Perfiles de la
contraseña y haga clic en Añadir.
• Configurar ajustes de complejidad mínima de la contraseña:
Defina reglas que rijan la complejidad de la contraseña, lo que obligará
a los administradores a crear contraseñas más difíciles de adivinar o
evitar. A diferencia de los perfiles de contraseña, que se pueden aplicar
a cuentas individuales, estas reglas son para todo el dispositivo y se
aplican a todas las contraseñas. Para configurar los ajustes, seleccione
Configuración > Ajustes > Gestión y, a continuación, haga clic en el
icono Editar de la sección Complejidad de contraseña mínima.
Paso 3
Cree una cuenta para cada administrador.
1.
Seleccione Configuración > Administradores y, a continuación,
haga clic en Añadir.
2.
Introduzca un nombre para el administrador.
3.
Especifique cómo autenticar el administrador:
• Para usar la autenticación local, introduzca una Contraseña y
después repítala en el campo Confirmar contraseña.
• Para usar la autenticación externa seleccione un Perfil de
autenticación.
• Para usar la autenticación basada en certificados/clave,
seleccione la casilla de verificación Utilizar únicamente el
certificado de autenticación de cliente (web) para acceder a
la interfaz web y seleccione Utilizar autenticación de clave
pública (SSH) para acceder a la CLI. También deberá introducir
un valor en Contraseña, que solo será obligatorio en caso de
que los certificados se dañen o se produzca un fallo del sistema.
Paso 4
118
Compile los cambios.
4.
Seleccione la función que se asignará a este administrador. Puede
seleccionar una de las funciones dinámicas predefinidas o un perfil
basado en función personalizado si ha creado uno en Paso 1.
5.
(Opcional) Seleccione un perfil de contraseña.
6.
Haga clic en ACEPTAR para guardar la cuenta.
Haga clic en Compilar.
Guía del administrador de GlobalProtect
Gestión de dispositivos móviles
Una vez inscritos los usuarios de dispositivos móviles en el gestor de seguridad móvil de GlobalProtect, puede
supervisar los dispositivos y garantizar que su mantenimiento se realiza conforme a sus normas para proteger los
recursos de su empresa y sus normas de integridad de datos. Aunque el el gestor de seguridad móvil de GlobalProtect
simplifica la administración de los dispositivos móviles y le permite implementar automáticamente los ajustes de su
configuración de cuenta de empresa a los dispositivos que cumplen las normas, también puede usar el gestor de
seguridad móvil para resolver las infracciones de seguridad interaccionando con el dispositivo afectado. De este modo
se logra proteger tanto la información de la empresa con la información personal del usuario final. Por ejemplo, si un
usuario final pierde su dispositivo, puede enviar una solicitud al dispositivo mediante OTA (over-the-air) para que
emita una alarma que le facilite la búsqueda al usuario. O bien, si el usuario final informa de la pérdida o sustracción
del dispositivo, puede bloquearlo de forma remota a través del gestor de seguridad móvil o incluso borrar toda o parte
de la información del dispositivo.
Además de las funciones de aprovisionamiento de cuentas y gestión remota del dispositivo que ofrece el gestor de
seguridad móvil, al integrarlo con su infraestructura VPN de GlobalProtect ya existente, puede alojar la información
que el dispositivo remite al gestor de seguridad móvil para aplicar las políticas de seguridad de acceso a aplicaciones a
través de la puerta de enlace de GlobalProtect y usar las herramientas de supervisión integradas en el cortafuegos de
próxima generación de Palo Alto para supervisar el tráfico del dispositivo móvil y el uso de aplicaciones.
En este capítulo se describe cómo gestionar los dispositivos móviles desde el gestor de seguridad móvil y cómo
integrar la información obtenida por el gestor de seguridad móvil en su infraestructura de seguridad existente.

Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos

Supervisión de dispositivos móviles

Administración de dispositivos remotos

Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles
Guía del administrador de GlobalProtect
119
Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos
Gestión de
dispositivos móviles
Agrupación de dispositivos por etiqueta para simplificar la
administración de dispositivos
Una etiqueta es una marca de texto que puede asignar a un dispositivo móvil gestionado para simplificar la
administración de dispositivos habilitando su agrupación. Las etiquetas que defina servirán para identificar un
grupo de dispositivos al que se aplicarán las mismas políticas, interaccionar con OTA (p. ej., para enviar una
nueva política o un mensaje). Después de asignar una etiqueta a un dispositivo, esta se incluye en el perfil de
información del host (HIP) para el dispositivo. Dado que el perfil HIP también se comparte con la puerta de
enlace de GlobalProtect, puede crear perfiles HIP en la puerta de enlace que le permitan aplicar la política de
seguridad basada en el valor de la etiqueta.
Puesto que puede crear las etiquetas manualmente, le proporcionan un mecanismo flexible para lograr cualquier
tipo de aprovisionamiento de dispositivos o aplicaciones de seguridad que le puedan hacer falta. Por ejemplo,
puede crear etiquetas para distinguir dispositivos personales de dispositivos de la empresa. A continuación,
puede crear objetos HIP que coincidan con etiquetas específicas, lo cual ofrece posibilidades infinitas de agrupar
los dispositivos gestionados para la implementación de la configuración.
O bien, si quiere tener la capacidad de aprobar dispositivos antes de aplicarles la política, puede asignar una
etiqueta a los dispositivos aprobados y, a continuación, crear un perfil HIP para enviar la política solo a los
dispositivos con la etiqueta de aprobación.
Hay dos formas diferentes de asignar etiquetas a dispositivos móviles:

Etiquetar dispositivos manualmente

Preetiquetado de dispositivos
Etiquetar dispositivos manualmente
Para etiquetar dispositivos manualmente, puede crear las etiquetas en el gestor de seguridad móvil y luego
asignarlas a los dispositivos tras la inscripción, como se describe en el siguiente flujo de trabajo:
Creación de etiquetas y asignación a los dispositivos gestionados
Paso 1
120
Defina las etiquetas que necesita para
supervisar dispositivos, enviar políticas
de implementación o aplicar políticas de
seguridad en la puerta de enlace de
GlobalProtect.
1.
Seleccione Configuración > Etiquetas y, a continuación, haga
clic en Añadir.
2.
Introduzca un Nombre descriptivo para la etiqueta. El nombre
introducido será el que hará coincidir cuando cree objetos /
perfiles HIP para implementaciones o políticas de seguridad.
3.
(Opcional) Introduzca un comentario (hasta 63 caracteres
alfanuméricos, incluidos los caracteres especiales) que describa
el uso previsto para esta etiqueta.
4.
Haga clic en ACEPTAR para guardar la etiqueta.
Guía del administrador de GlobalProtect
Gestión de
dispositivos móviles
Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos
Creación de etiquetas y asignación a los dispositivos gestionados (Continuación)
Paso 2
Nota
Asigne las etiquetas a los dispositivos
móviles gestionados.
1.
2.
También puede usar este procedimiento
para eliminar etiquetas de los dispositivos;
para ello, seleccione las etiquetas que
quiere eliminar y haga clic en Anular
etiqueta.
3.
4.
Vaya a la pestaña Dispositivos.
Seleccione los dispositivos a los que quiere asignar la etiqueta
haciendo clic en la fila que corresponde a la entrada del
dispositivo. Para simplificar el proceso, puede ordenar los
dispositivos por cualquiera de los encabezados de columna o
usar uno de los filtros predefinidos en el panel izquierdo.
Haga clic en
.
Asocie las etiquetas con los dispositivos seleccionados de una de
las siguientes formas:
• Haga clic en Añadir para mostrar la lista de etiquetas que ha
creado y poder hacer clic en una, o bien haga clic en Nueva
etiqueta para definir una nueva etiqueta en el momento.
• Para navegar por la lista de etiquetas que ha creado, haga clic
en Examinar y, a continuación, busque las etiquetas que
quiere asociar a los dispositivos seleccionados haciendo clic
en
para añadir cada etiqueta a la lista de etiquetas
asociadas con los dispositivos seleccionados. Repita este paso
con cada etiqueta para que cada una se asocie con el
dispositivo seleccionado.
5.
Paso 3
Guarde la configuración.
Haga clic en Etiqueta para guardar las asociaciones de etiquetas.
Haga clic en Confirmar.
Preetiquetado de dispositivos
Para simplificar las políticas de administración de dispositivos proporcionados por la empresa, puede
preetiquetar los dispositivos de empresa compilando una lista de números de serie para los dispositivos con
formato de archivo de valores separados por comas (CSV) y, a continuación, importándola desde el gestor de
seguridad móvil. Por defecto, a los dispositivos importados se les asigna la etiqueta “Importado”. Tiene la
opción de añadir una segunda columna a su archivo CSV/XLS para el nombre de etiqueta si quiere especificar
cualquier etiqueta adicional con el fin de asignarla a dispositivos importados; por ejemplo, si tiene diferentes
niveles de acceso para diferentes grupos de usuarios que reciben dispositivos de empresa. No tiene que asignar
la misma etiqueta a todos los dispositivos importados.
Guía del administrador de GlobalProtect
121
Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos
Gestión de
dispositivos móviles
Importación de un grupo de dispositivos
Paso 1
Cree el archivo CSV en dos columnas sin añadir encabezados de
Cree un archivo CSV o una hoja de
cálculo de Microsoft Excel que contenga columnas del siguiente modo y, a continuación, guárdelo en su
ordenador local o en un recurso de red compartido:
la lista de números de serie de
dispositivos en la primera columna y, si lo
desea, una lista de etiquetas para
asignarlas a los dispositivos en la segunda
columna.
Paso 2
Importe la lista de dispositivos.
Paso 3
122
1.
Vaya a la pestaña Dispositivos y haga clic en
2.
Introduzca la ruta y el nombre del archivo CSV o XLS que ha
creado, o bien, use Examinar para encontrarlo.
3.
Haga clic en ACEPTAR para importar la lista de dispositivos y
asocie la etiqueta Importados con los dispositivos, junto con
otras etiquetas que definiera para cada dispositivo dentro del
archivo.
.
En la pestaña Dispositivos, haga clic en Ver importados. Verifique
que el dispositivo que acaba de importar aparece en la lista. Tenga en
cuenta que los números de serie para los que no especificó un valor
En cuanto el dispositivo se inscribe en la
de etiqueta reciben solo la etiqueta importados, mientras que los
lista importada, las etiquetas que asoció al
números de serie para los que especificó uno o más valores de
número de serie se asignarán
etiquetas contienen esas etiquetas, además de la etiqueta importados:
automáticamente al dispositivo.
Verifique que la importación del
dispositivo se realizó correctamente.
Guía del administrador de GlobalProtect
Gestión de
dispositivos móviles
Supervisión de dispositivos móviles
Supervisión de dispositivos móviles
Uno de los problemas de permitir el acceso de dispositivos móviles a sus recursos de empresa es la falta de
visibilidad del estado de los dispositivos y la información de identificación necesaria para localizarlos, que
suponen una amenaza para su red y sus aplicaciones.
Supervisión de dispositivos móviles
• Use el Panel para ver información de los
dispositivos gestionados de un vistazo.
La pestaña Panel ofrece una serie de widgets que muestran
información acerca del estado del gestor de seguridad móvil, así
como información acerca de los dispositivos móviles que gestiona.
Puede definir qué widgets se muestran y la ubicación de cada uno en
la pantalla. El panel le permite supervisar la información de los
dispositivos móviles en las siguientes categorías.
• Tendencias de dispositivo: Muestra recuentos rápidos durante la
última semana de dispositivos inscritos y desapuntados,
dispositivos que no se registraron y el número diario total de
dispositivos en mantenimiento. Puede hacer clic en cada gráfico
para ver estadísticas actualizadas minuto a minuto.
• Resumen de dispositivo: Muestra gráficos circulares que le
permiten ver la distribución por modelo de los dispositivos
gestionados, modelo Android, modelo iOS y sistema operativo.
• Cumplimiento de dispositivo: Le permite ver un recuento rápido
de los dispositivos que pueden suponer una amenaza, tales como
dispositivos infectados con software malintencionado,
dispositivos que no tienen un código de acceso establecido o que
están modificados o desbloqueados. Haga clic en un widget para
ver una lista de estadísticas detallada de los dispositivos que no
cumplen los requisitos
Guía del administrador de GlobalProtect
123
Supervisión de dispositivos móviles
Gestión de
dispositivos móviles
Supervisión de dispositivos móviles (Continuación)
• Use la pestaña Dispositivos para ver estadísticas
de dispositivos detalladas acerca de los dispositivos
gestionados (o gestionados previamente).
La pestaña Dispositivos muestra información acerca de los
dispositivos que gestiona actualmente el gestor de seguridad móvil y
los dispositivos móviles que ha gestionado en el pasado.
Consejos:
• Seleccione un filtro predefinido de la lista
Filtros.
• Introduzca a mano un filtro en el cuadro
de texto del filtro. Por ejemplo, para ver todos los
dispositivos Nexus, debería introducir (model
contains 'Nexus') y hacer clic en el botón
Aplicar filtro
.
• Modifique las columnas que se muestran
pasando el puntero del ratón por encima del
nombre de una columna y haciendo clic en el
icono de flecha hacia abajo .
• Para realizar una acción en un dispositivo o
grupo de dispositivos, seleccione los dispositivos y
haga clic en el botón de acción en la parte inferior de
la máquina. Para obtener más información, consulte
Administración de dispositivos remotos.
124
Guía del administrador de GlobalProtect
Gestión de
dispositivos móviles
Supervisión de dispositivos móviles
Supervisión de dispositivos móviles (Continuación)
• Supervise los logs MDM para obtener
información sobre las actividades de los
dispositivos, como registros, mensajes en la
nube y difusión de informes o puerta de enlace
HIP. El log MDM también le avisará de eventos
de gravedad, como que un dispositivo informe
de un estado modificado o desbloqueado.
Asimismo, el log MDM ofrece información de
los usuarios de dispositivos que se desconectan
manualmente de la VPN de GlobalProtect.
Desde la interfaz web del gestor de seguridad móvil, seleccione
Supervisar > Logs > MDM.
Haga clic en el icono de detalles de log
para ver el informe HIP
del dispositivo completo asociado con la entrada de log. El informe
HIP recopilado por el gestor de seguridad móvil es una versión
extendida del informe HIP, que incorpora información detallada,
incluyendo información de identificación del dispositivo, como el
número de serie, el número de teléfono (si se aplica) y el IMEI,
información del estado del dispositivo y una lista de todas las
aplicaciones instaladas en el dispositivo, que incluye una lista de las
aplicaciones consideradas portadoras de software malintencionado.
Guía del administrador de GlobalProtect
125
Supervisión de dispositivos móviles
Gestión de
dispositivos móviles
Supervisión de dispositivos móviles (Continuación)
• Supervise los logs de coincidencias HIP en el
gestor de seguridad móvil.
Desde la interfaz web del gestor de seguridad móvil, seleccione
Supervisar > Logs > Coincidencias HIP. Haga clic en un
encabezamiento de columna para elegir las columnas que quiere ver.
• Supervise los logs de coincidencias HIP en la
puerta de enlace de GlobalProtect. En la puerta
de enlace, se genera un log de coincidencia HIP
cada vez que la puerta de enlace recibe un
informe HIP de un cliente de GlobalProtect
que cumple los criterios de un objeto HIP o
perfil HIP definido en la puerta de enlace. En la
puerta de enlace, se usan los perfiles HIP en la
aplicación de políticas de seguridad para el
tráfico iniciado por el cliente. O bien, supervise
los logs de coincidencias HIP en Panorama
para obtener una vista global de los datos de
coincidencia HIP en todas las puertas de enlace
de GlobalProtect gestionadas.
Desde la interfaz web en el cortafuegos que aloja la puerta de
enlace de GlobalProtect, seleccione Supervisar > Logs >
Coincidencias HIP.
126
Guía del administrador de GlobalProtect
Gestión de
dispositivos móviles
Supervisión de dispositivos móviles
Supervisión de dispositivos móviles (Continuación)
Seleccione Supervisar > Informes. Para ver los informes, haga clic
en los nombres de informes en la parte derecha de la página
(
El gestor de seguridad móvil proporciona diversos Informes de aplicación, Informes de dispositivo e Informes de
resumen en PDF).
informes de las estadísticas de 50 dispositivos
principales, bien del día anterior, bien de un día
seleccionado de la semana anterior.
De forma predeterminada, aparecen todos los
informes del día de calendario anterior. Para ver
informes de cualquiera de los días anteriores,
seleccione una fecha de creación de informe en
el calendario de la parte inferior de la página.
Los informes aparecen en secciones. Puede
visualizar la información en cada informe del
período de tiempo seleccionado. Para exportar
el log en formato CSV, haga clic en Exportar a
CSV. Para abrir la información de log en
formato PDF, haga clic en Exportar a PDF.
Los archivos en PDF se abren en una nueva
ventana. Haga clic en los iconos en la parte
superior de la ventana para imprimir o guardar
el archivo.
• Examine los informes integrados o cree
informes personalizados.
• Supervise el ACC en el cortafuegos que aloja la
puerta de enlace de GlobalProtect. O bien,
supervise el ACC en Panorama para obtener
una vista global de los datos de coincidencia
HIP en todas las puertas de enlace de
GlobalProtect gestionadas.
Guía del administrador de GlobalProtect
Desde la interfaz web del cortafuegos que aloja la puerta de enlace de
GlobalProtect, seleccione ACC y consulte la sección Coincidencias
HIP.
127
Administración de dispositivos remotos
Gestión de
dispositivos móviles
Administración de dispositivos remotos
Una de las funciones más potentes del gestor de seguridad móvil de GlobalProtect es la capacidad de administrar
dispositivos gestionados (en cualquier lugar del mundo) enviando notificaciones push mediante OTA
(over-the-air). Para dispositivos iOS, el gestor de seguridad móvil envía mensajes a través del servicio
Notificaciones Push de Apple (APN). Para dispositivos Android, el gestor de seguridad móvil envía mensajes a
través de Mensajería de Google Cloud (GCM). De este modo, puede reaccionar rápidamente si duda de la
seguridad de un dispositivo o si un empleado abandona su organización y quiere asegurarse de que se ha
deshabilitado el acceso al sistema de su empresa. También sirve para enviar un mensaje específico a un grupo
de usuarios de dispositivos móviles.

Interacción con dispositivos

Reacción ante la pérdida o sustracción de un dispositivo

Eliminación de dispositivos
Interacción con dispositivos
Siempre que quiera interactuar con un dispositivo móvil, seleccione el dispositivo móvil o grupo de dispositivos
de la pestaña Dispositivos y, a continuación, haga clic en uno de los botones de la parte inferior de la página,
como se describe a continuación:
Realización de una acción en un dispositivo remoto
Paso 1
Seleccione los dispositivos con los que
quiere interaccionar.
1.
Seleccione la pestaña Dispositivos.
2.
Seleccione los dispositivos con los que interaccionar de uno de
estos modos:
• Seleccione un filtro predefinido de la lista Filtros. Puede
seleccionar varios filtros para mostrar una vista personalizada
de los dispositivos móviles inscritos en el gestor de seguridad
móvil.
• Introduzca a mano un filtro en el cuadro de texto del filtro.
Por ejemplo, para ver todos los dispositivos Nexus que
ejecutan Android 4.1.2, debería introducir (model contains
'Nexus') y (os-version eq '4.1.2') y, a continuación,
hacer clic en el botón Aplicar filtro . También puede
añadir filtros al cuadro de texto haciendo clic en un campo en
una de las entradas de dispositivos. Por ejemplo, al hacer clic
en una entrada de Android en la columna OS, se añadirá
automáticamente el filtro (os eq 'android').
• Para crear un filtro mediante la interfaz de usuario, haga clic
en el botón Añadir filtro , cree el filtro añadiendo pares de
valores de atributos, separados por operadores, y haga clic
en
para aplicar el filtro.
128
Guía del administrador de GlobalProtect
Gestión de
dispositivos móviles
Administración de dispositivos remotos
Realización de una acción en un dispositivo remoto (Continuación)
Paso 2
Seleccione una acción.
Haga clic en uno de los botones de la parte inferior de la pantalla para
realizar la acción correspondiente en los dispositivos seleccionados.
Por ejemplo:
• Para enviar un mensaje a los usuarios finales propietarios de los
dispositivos seleccionados, haga clic en
, introduzca el
Cuerpo del mensaje y, a continuación, haga clic en ACEPTAR.
• Para solicitar el registro de un dispositivo, por ejemplo en una lista
filtrada de dispositivos que no se han registrado el día anterior
(last-checkin-time leq '2013/09/09'), seleccione los
dispositivos y, a continuación, haga clic en
para enviar
una notificación push a los dispositivos que lo soliciten el registro
con el gestor de seguridad móvil.
• Para desbloquear un dispositivo móvil de forma remota (por
ejemplo, si el usuario final ha olvidado el código de acceso),
seleccione el dispositivo y haga clic en
. El dispositivo se
desbloqueará y se le pedirá al usuario que defina un nuevo código
de acceso.
Reacción ante la pérdida o sustracción de un dispositivo
Si un usuario final informa de la pérdida o sustracción de un dispositivo gestionado, debe reaccionar
inmediatamente para proteger los datos del dispositivo. Seleccione el dispositivo en la pestaña Dispositivos y, a
continuación, lleve a cabo una de las siguientes acciones en función de la situación:
Protección de un dispositivo perdido o sustraído
• Bloquee el dispositivo.
Tan pronto como un usuario le informe de la pérdida o sustracción
de un dispositivo, debe bloquear el mismo para garantizar que los
datos que contiene no acaben en manos de quien no deben.
Seleccione el dispositivo y haga clic en
para bloquear el
dispositivo inmediatamente. Para acceder a las aplicaciones y a los
datos del dispositivo, el usuario del mismo debe volver a introducir
el código de acceso.
• Trate de localizar el dispositivo.
Seleccione el dispositivo y haga clic en
alarma.
para que emita una
• Elimine el acceso a sistemas de la empresa. Este Si cree que un dispositivo puede haber acabado en las manos
procedimiento se denomina borrado selectivo.
equivocadas, puede realizar un “borrado selectivo del dispositivo”
creando una política de implementación que devuelva un perfil vacío
al dispositivo y, a continuación, hacer clic en
. Cuando la
nueva política “vacía” se envíe al dispositivo, se borrarán todos los
perfiles con acceso habilitado a sus sistemas corporativos,
incluyendo cualquier dato asociado a esas aplicaciones. Consulte las
recomendaciones e instrucciones para la creación de perfiles en
Definición de políticas de implementación.
Guía del administrador de GlobalProtect
129
Administración de dispositivos remotos
Gestión de
dispositivos móviles
Protección de un dispositivo perdido o sustraído (Continuación)
• Borre todos los datos del dispositivo. Este
procedimiento se denomina borrado porque
elimina todos los datos del dispositivo, no solo el
acceso a los sistemas de la empresa.
Para proteger tanto los datos de la empresa en el dispositivo como
los datos personales del usuario, el usuario final puede solicitarle que
borre todos los datos del dispositivo. Para ello, seleccione el
dispositivo y haga clic en
.
Eliminación de dispositivos
Aunque los usuarios finales pueden desapuntarse manualmente de la aplicación del gestor de seguridad móvil
de GlobalProtect, como administrador también puede desapuntar dispositivos mediante OTA. Esta opción es
útil cuando un empleado ha abandonado la empresa sin desapuntar su dispositivo personal del gestor de
seguridad móvil. Para desapuntar dispositivos, seleccione los dispositivos que quiere eliminar en la pestaña
Dispositivos y siga una de las dos opciones siguientes:
Eliminación de dispositivos desde gestión
• Desapuntar dispositivos.
Para eliminar un dispositivo del gestor de seguridad móvil de
GlobalProtect sin borrar su entrada en el gestor, seleccione el
dispositivo y haga clic en
. Es una buena opción si el usuario
final sigue trabajando en su empresa, pero el dispositivo va a dejar de
estar gestionado permanente o temporalmente. Al dejar la entrada
del dispositivo en el gestor, podrá seguir viendo la información del
dispositivo, incluyendo el historial de logs de coincidencia HIP,
informes y estadísticas del dispositivo.
• Eliminar dispositivos.
Para eliminar un dispositivo móvil de la gestión y eliminar su entrada
en el gestor de seguridad móvil, seleccione el dispositivo y haga clic
en
. Es una buena opción si quiere limpiar la base de datos y
eliminar entradas de usuarios que ya no pertenecen a la empresa o
eliminar los dispositivos que han sido reemplazados. No obstante,
tenga en cuenta que esta acción eliminará el dispositivo de la base de
datos de forma permanente. Asimismo, si el dispositivo está inscrito
en el momento de realizar la eliminación, el dispositivo se
desapuntará y después el registro se eliminará de la base de datos del
gestor de seguridad móvil.
130
Guía del administrador de GlobalProtect
Gestión de
dispositivos móviles
Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles
Creación de políticas de seguridad para aplicación de
tráfico de dispositivos móviles
Las políticas de implementación que crea en el gestor de seguridad móvil ofrecen aprovisionamiento de cuentas
simplificado para que los usuarios de dispositivos móviles puedan acceder a las aplicaciones de la empresa.
Aunque tiene un control granular de la asignación de políticas a los usuarios, que controlan a qué aplicaciones
tienen acceso (basadas en usuario/grupo o cumplimiento del dispositivo), el gestor de seguridad móvil no
proporciona aplicación de tráfico del tráfico de dispositivos móviles. Mientras que la puerta de enlace de
GlobalProtect ya cuenta con la capacidad de aplicar políticas de seguridad para usuarios de la aplicación de
GlobalProtect, la oferta de información de coincidencias HIP para dispositivos móviles es un tanto limitada. Sin
embargo, dado que el gestor de seguridad móvil recopila de forma exhaustiva datos HIP de los dispositivos que
gestiona (aprovechando los datos HIP que recopila el gestor de seguridad móvil), puede crear políticas de
seguridad granulares en sus puertas de enlace de GlobalProtect que le permitan tener en cuenta el cumplimiento
del dispositivo y las etiquetas del gestor de seguridad móvil. Por ejemplo, podría crear una política de seguridad
en la puerta de enlace que permita a los dispositivos móviles con la etiqueta “dispositivo de la empresa” acceder
sin restricciones a su red y proporcionar una segunda política de seguridad a los dispositivos móviles con la
etiqueta “dispositivo personal” para acceder solamente a Internet.
Creación de políticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect
Paso 1
Configure las puertas de enlace de
GlobalProtect para recuperar informes
HIP desde el gestor de seguridad móvil.
Nota
Aunque el valor de Puerto de conexión
se puede configurar en la puerta de enlace,
el gestor de seguridad móvil requiere que
defina el valor a 5008. La opción para
configurar este valor se proporciona para
habilitar la integración con soluciones
MDM de terceros.
Guía del administrador de GlobalProtect
Consulte las instrucciones detalladas de Configuración del acceso de
puerta de enlace al gestor de seguridad móvil.
131
Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles
Gestión de
dispositivos móviles
Creación de políticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect
Paso 2
Consulte las instrucciones detalladas de Agrupación de dispositivos
(Opcional) En el gestor de seguridad
móvil, defina las etiquetas que quiere usar por etiqueta para simplificar la administración de dispositivos.
para la aplicación de la política de
seguridad en la puerta de enlace y
asígnelas a los dispositivos móviles
gestionados.
Paso 3
En las puertas de enlace de
GlobalProtect, cree los objetos HIP y
perfiles HIP que necesitará para la
aplicación de políticas de tráfico de
dispositivos móviles.
Paso 4
Adjunte el perfil HIP a la política de
seguridad y, a continuación, Compile los
cambios en la puerta de enlace.
132
Consulte las instrucciones detalladas de Configuración de la
aplicación de políticas basadas en HIP.
Guía del administrador de GlobalProtect
Uso de información del host en la
aplicación de políticas
Aunque puede que la seguridad del límite de su red corporativa sea muy estricta, en realidad la seguridad de su
red se reduce a la seguridad los dispositivos que acceden a la misma. La fuerza de trabajo de hoy en día es cada
vez más móvil, lo que a veces requiere acceso a recursos de la empresa desde distintos lugares (aeropuertos,
cafeterías, hoteles, etc.) y desde diversos dispositivos (tanto de la empresa como del empleado). A consecuencia
de ello, lógicamente debe extender la seguridad de su red a los terminales para garantizar una aplicación de la
seguridad de forma exhaustiva y constante. La función Perfil de información del host (HIP) de GlobalProtect
le permite recopilar información acerca del estado de seguridad de sus hosts de extremo (p. ej., si tienen
instalados los parches de seguridad más recientes y las definiciones de antivirus; si tienen habilitado el cifrado
de disco; si el dispositivo está desbloqueado o modificado (solo dispositivos móviles), o si funciona con un
software específico que es obligatorio en su organización, incluidas las aplicaciones personalizas) para poder
fundamentar la decisión de si se permite o deniega el acceso a un host específico basándose en el cumplimiento
de las políticas de host que defina.
Este capítulo presenta información acerca del uso de la información del host en la aplicación de las políticas.
Incluye las siguientes secciones:

Acerca de la información del host

Configuración de la aplicación de políticas basadas en HIP
Guía del administrador de GlobalProtect
133
Acerca de la información del host
Uso de información del host en la aplicación de políticas
Acerca de la información del host
Una de las tareas del agente de GlobalProtect consiste en recopilar información acerca del host en el que se
ejecuta. A continuación, el agente envía la información del host a la puerta de enlace de GlobalProtect tras una
conexión correcta. La puerta de enlace compara esta información sin procesar enviada por el agente con
cualquiera de los objetos HIP y perfiles HIP que ha definido. Si encuentra una coincidencia, genera una entrada
en el log de coincidencias HIP. Asimismo, si encuentra una coincidencia con un perfil HIP en una política de
reglas, aplica la correspondiente política de seguridad.
El uso de los perfiles de información del host para la aplicación de políticas posibilita una seguridad granular
que garantiza que los hosts remotos que acceden a sus recursos críticos posean un mantenimiento adecuado y
conforme a sus normas de seguridad antes de que se les permita acceder a los recursos de su red. Por ejemplo,
antes de permitir el acceso a los sistemas de datos más importantes, tal vez quiera asegurarse de que los hosts
que acceden a los mismos tienen habilitado el cifrado en sus unidades de disco duro. Puede aplicar esta política
creando una regla de seguridad que solo permita acceder a la aplicación si el sistema cliente tiene habilitado el
cifrado. Además, en el caso de clientes que no cumplan esta regla, puede crear un mensaje de notificación que
alerte a los usuarios del motivo por el cual se les deniega el acceso y los redirija al recurso compartido de
archivos, donde podrán acceder al programa de instalación del software de cifrado que les falta (evidentemente,
para permitir al usuario acceder a dicho recurso compartido, debería crear la correspondiente regla de seguridad
que permita acceder al recurso compartido a los hosts que coincidan con un perfil HIP concreto).
¿Qué datos recopila el agente?
Por defecto, el agente de GlobalProtect recopila datos específicos del proveedor relativos a los paquetes de
seguridad del usuario final que se ejecutan en el ordenador (según la compilación del programa de asociación
global OPSWAT) y remite estos datos a la puerta de enlace de GlobalProtect para que se usen en la aplicación
de la política.
Puesto que el software de seguridad debe evolucionar continuamente para garantizar la protección del usuario
final, las licencias de portal y puerta de enlace de GlobalProtect también le permiten recibir actualizaciones
dinámicas del archivo de datos de GlobalProtect con los parches y las versiones de software más recientes
disponibles para cada paquete.
Mientras el agente recopila una gran cantidad de datos acerca del host en el que se está ejecutando, puede que
exija a sus usuarios finales que ejecuten software adicional para conectarse a su red o acceder a determinados
recursos. En este caso, puede definir comprobaciones personalizadas que indiquen al agente que recopile
información específica del registro (en clientes Windows), información lista de preferencias (plist, en clientes
Mac OS) o que recopile información acerca de si se ejecutan en el host los servicios específicos.
El agente recopila datos acerca de las siguientes categorías de información de forma predeterminada para
ayudarle a identificar el estado de seguridad del host.
134
Guía del administrador de GlobalProtect
Uso de información del host en la aplicación de políticas
Acerca de la información del host
Tabla: Categorías de recopilación de datos
Categoría
Datos recopilados
General
Información acerca del propio host, incluido el nombre del host, el dominio de
inicio de sesión, el sistema operativo, la versión del cliente y, para sistemas
Windows, el dominio al que pertenece el equipo.
Dispositivos móviles
Información de identificación acerca del dispositivo móvil, incluyendo el nombre
de host, el sistema operativo y la versión del cliente.
Administración de parches
Información acerca de cualquier software de administración de parches habilitado
o instalado en el host e información de cualquier parche que falte.
Cortafuegos
Información acerca de cualquier cortafuegos del cliente instalado o habilitado en el host.
Antivirus
Información acerca del software antivirus habilitado o instalado en el host, de si está
habilitada o no la protección en tiempo real, la versión de definición de virus, la hora
del último análisis, el proveedor y el nombre del producto.
Antispyware
Información acerca del software antispyware habilitado o instalado en el host, de si
está habilitada o no la protección en tiempo real, la versión de definición de virus,
la hora del último análisis, el proveedor y el nombre del producto.
Copia de seguridad de disco
Información de si está instalado el software de copia de seguridad del disco, la hora
de la última copia de seguridad y el proveedor y el nombre de producto del software.
Cifrado de disco
Información acerca de si está instalado el software de cifrado del disco, las unidades
o rutas configuradas para el cifrado y el proveedor y el nombre de producto del
software.
Prevención de pérdida de datos
Información acerca de si está instalado o no el software de prevención de pérdida
de datos (DLP) para evitar que la información corporativa confidencial salga de la
red o se almacene en un dispositivo potencialmente inseguro. Esta información
solo se obtiene de clientes de Windows.
Dispositivos móviles
Información de identificación del dispositivo móvil, como el número de modelo, el
número de teléfono, el número de serie y el número IMEI (Identidad Internacional de
Equipo Móvil). Asimismo, el agente recopila información acerca de los ajustes
específicos en el dispositivo, como si se ha definido o no un código de acceso, si se ha
desbloqueado el dispositivo e incluso si contiene aplicaciones de las que se sabe que
contienen software malintencionado (solo dispositivos Android) y, opcionalmente, la
localización GPS del dispositivo. Tenga en cuenta que para dispositivos iOS, algunos de
los datos son recopilados por la aplicación GlobalProtect.y otros son remitidos
directamente por el sistema operativo.
También puede excluir la recopilación de ciertas categorías de información en determinados hosts (para evitar
ciclos de CPU y mejorar el tiempo de respuestas del cliente). Para ello, cree una configuración en el portal donde
se excluyan las categorías que no le interesen. Por ejemplo, si no tiene pensado crear una política basada en que
los sitemas del cliente ejecuten o no software de copia de seguridad, puede excluir esta categoría y el agente no
recopilará información acerca de copias de seguridad.
Guía del administrador de GlobalProtect
135
Acerca de la información del host
Uso de información del host en la aplicación de políticas
Cómo usa la puerta de enlace la información del host para aplicar las políticas
Mientras el agente obtiene información acerca de la información que debe recopilar de la configuración del cliente
descargada desde el portal, puede definir qué atributos le interesa supervisar o usar para la aplicación de la política
mediante la creación de objetos HIP y perfiles HIP en la puerta o puertas de enlace.

Objetos HIP: Proporcionan los criterios de coincidencia que filtran la información de host que está interesado
en utilizar para aplicar la política a partir de los datos sin formato de los que ha informado el agente. Por ejemplo,
aunque los datos de host sin formato pueden incluir información sobre varios paquetes antivirus instalados en el
cliente, puede que solo esté interesado en una aplicación concreta que necesite en su organización. En este caso,
crearía un objeto HIP que coincida con la aplicación específica que está interesado en aplicar.
La mejor forma de determinar qué objetos HIP necesita es determinar cómo utilizará la información de host que
recopila para aplicar la política. Tenga en cuenta que los objetos HIP son solo los ladrillos que le permiten crear
los perfiles HIP que se utilizan en sus políticas de seguridad. Por lo tanto, puede que desee mantener la sencillez
de sus objetos, de forma que solo coincidan con un elemento, como la presencia de un tipo concreto de software
necesario, la pertenencia a un dominio específico o la presencia de un SO cliente determinado. De este modo,
tendrá la flexibilidad de crear una política aumentada HIP muy granular (y muy potente).

Perfiles HIP: Una colección de objetos HIP que deben evaluarse en conjunto, para supervisión o para la
aplicación de políticas de seguridad. Cuando crea sus perfiles HIP, puede combinar objetos HIP que haya creado
previamente (así como otros perfiles HIP) usando lógica booleana como la que se usa cuando un flujo de tráfico
se evalúa con respecto al perfil HIP resultante con el que tendrá, o no, coincidencia. Si coincide, la regla de política
correspondiente se aplicará; si no coincide, el flujo se evaluará con respecto a la siguiente regla, como con cualquier
otro criterio de coincidencia de política.
A diferencia de un log de tráfico, que solo crea una entrada de log si hay una coincidencia de política, el log de
coincidencias HIP genera una entrada siempre que los datos sin procesar enviados por un agente coincidan con un
objeto HIP o un perfil HIP que haya definido. Por este motivo, el log de coincidencias HIP es un buen recurso para
supervisar el estado de los hosts en su red a lo largo del tiempo, antes de adjuntar sus perfiles HIP a políticas de
seguridad, para ayudarle a determinar exactamente qué políticas cree que necesitan aplicarse.
¿Cómo pueden saber los usuarios si sus sistemas cumplen los requisitos?
Por defecto, los usuarios finales no reciben información acerca de decisiones de políticas tomadas como consecuencia
de la aplicación de una regla de seguridad HIP. Sin embargo, puede habilitar esta funcionalidad definiendo que se
muestren mensajes de notificación HIP cuando un perfil HIP concreto coincida o no.
La decisión de cuándo mostrar un mensaje (es decir, si aparece cuando la configuración del usuario coincide con un
perfil HIP en la política o cuando no coincide), depende en gran medida de su política y de lo que el usuario entiende
por coincidencia (o no coincidencia) de HIP. Es decir, ¿significa la coincidencia que se concede total acceso a los
recursos de su red? ¿O significa que tiene acceso limitado debido a un problema de incumplimiento?
Por ejemplo, imagínese estas situaciones:

Crea un perfil HIP que coincide si el antivirus requerido por la empresa y los paquetes de software antispyware no
están instalados. En este caso, tal vez quiera crear un mensaje de notificación HIP para los usuarios que coincidan
con el perfil HIP que les avise de que necesitan instalar el software (y, de manera opcional, les proporcione un
enlace al recurso compartido de archivos, donde podrán acceder al instalador del software correspondiente).

Crea un perfil HIP que coincide si esas mismas aplicaciones están instaladas, y quizás quiera crear el mensaje para
usuarios que no coincidan con el perfil y dirigirlos a la ubicación del paquete de instalación.
136
Guía del administrador de GlobalProtect
Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP
Configuración de la aplicación de políticas basadas en HIP
Para habilitar el uso de la información del host en la aplicación de políticas, debe seguir estos pasos:
Habilitación de la comprobación de HIP
Paso 1
Verifique que las comprobaciones HIP
tienen la licencia adecuada.
Para usar la función HIP, debe haber comprado e instalado una
licencia del portal de GlobalProtect en el cortafuegos donde está
configurado su portal y una licencia de suscripción a la puerta de
enlace de GlobalProtect en cada puerta de enlace que vaya a realizar
comprobaciones de HIP. Para verificar el estado de sus licencias en
cada portal y puerta de enlace, seleccione Dispositivo > Licencias.
Póngase en contacto con su ingeniero de ventas o distribuidor de
Palo Alto Networks si no tiene todas las licencias necesarias. Si desea
más información sobre licencias, consulte Acerca de las licencias de
GlobalProtect.
Guía del administrador de GlobalProtect
137
Configuración de la aplicación de políticas basadas en HIP
Uso de información del host en la aplicación de políticas
Habilitación de la comprobación de HIP (Continuación)
Paso 2
Nota
(Opcional) Defina cualquier información
de host personalizada que desee que
recopile el agente. Por ejemplo, si tiene
aplicaciones necesarias que no estén
incluidas en la lista de productos o de
proveedores para crear objetos HIP,
puede crear una comprobación
personalizada que le permita determinar si
se ha instalado esa aplicación (tiene un
registro o clave plist que corresponde) o
se está ejecutando (tiene un proceso en
ejecución que corresponde).
1.
En el cortafuegos donde se aloja su portal de GlobalProtect,
seleccione Red > GlobalProtect > Portales.
2.
Seleccione su configuración para abrir el cuadro de diálogo del
portal de GlobalProtect.
3.
En la pestaña Configuración clientes, seleccione la
configuración del cliente que quiere añadir a una comprobación
HIP personalizada o haga clic en Añadir para crear una nueva
configuración de cliente.
4.
Seleccione Recopilación de datos > Comprobaciones
personalizadas y, a continuación, defina los datos que quiere
recopilar de los hosts que ejecutan esta configuración de cliente
del siguiente modo:
Tanto el Paso 2 como el Paso 3 dan por
hecho que ya ha creado una configuración
de portal. Si aún no ha configurado su
portal, consulte las instrucciones en
Configuración del portal de
GlobalProtect.
• Para recopilar información acerca de los procesos en
ejecución: Seleccione la pestaña apropiada (Windows o
Mac) y, a continuación, haga clic en Añadir en la sección Lista
de procesos. Introduzca el nombre del proceso del que quiere
que el agente recopile información.
• Para recopilar información acerca de claves de registro
específicas: En la pestaña Windows, haga clic en Añadir en
la sección Clave de registro. Introduzca la Clave de registro
para la que recopilará datos. También tiene la posibilidad de
hacer clic en Añadir para restringir la recopilación de datos a
uno o varios valores de registro específicos. Haga clic en
ACEPTAR para guardar la configuración.
• Para recopilar información acerca de listas de
propiedades específicas: En la pestaña Mac, haga clic en
Añadir en la sección Plist. Introduzca la Plist para la que
recopilará datos. También tiene la posibilidad de hacer clic en
Añadir para restringir la recopilación de datos a valores de
Clave específicos. Haga clic en ACEPTAR para guardar la
configuración.
138
5.
Si se trata de una nueva configuración de cliente, complete el
resto de la configuración según sus necesidades. Para obtener
instrucciones, consulte Definición de las configuraciones de
clientes.
6.
Haga clic en ACEPTAR para guardar la configuración de cliente.
7.
Compile sus cambios.
Guía del administrador de GlobalProtect
Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP
Habilitación de la comprobación de HIP (Continuación)
Paso 3
(Opcional) Excluya categorías de la
colección.
1.
En el cortafuegos donde se aloja su portal de GlobalProtect,
seleccione Red > GlobalProtect > Portales.
2.
Seleccione su configuración para abrir el cuadro de diálogo del
portal de GlobalProtect.
3.
En la pestaña Configuración clientes, seleccione la
configuración del cliente de la que quiere excluir categorías o
haga clic en Añadir para crear una nueva configuración de
cliente.
4.
Seleccione Recopilación de datos > Excluir categorías y, a
continuación, haga clic en Añadir. Aparecerá el cuadro de
diálogo Editar categoría de exclusión.
5.
Seleccione la Categoría que quiere excluir de la lista desplegable.
6.
(Opcional) Si quiere excluir de la recopilación a proveedores
o productos específicos dentro de la categoría seleccionada en lugar
de excluir toda la categoría, haga clic en Añadir. A continuación,
puede seleccionar el proveedor que quiere excluir del menú
desplegable en el cuadro de diálogo Editar proveedor y, si lo desea,
hacer clic en Añadir para excluir productos concretos de dicho
proveedor. Cuando haya terminado de definir a dicho proveedor,
haga clic en ACEPTAR. Puede añadir a varios proveedores y
productos a la lista de exclusión.
7.
Repita el paso 5 y el paso 6 para cada categoría que quiera
excluir.
8.
Si se trata de una nueva configuración de cliente, complete el
resto de la configuración según sus necesidades. Para obtener
más información sobre la definición de configuraciones de
cliente, consulte Definición de las configuraciones de clientes.
9.
Haga clic en ACEPTAR para guardar la configuración de cliente.
10. Compile sus cambios.
Guía del administrador de GlobalProtect
139
Configuración de la aplicación de políticas basadas en HIP
Uso de información del host en la aplicación de políticas
Habilitación de la comprobación de HIP (Continuación)
Paso 4
Cree objetos HIP para filtrar los datos del 1.
host sin procesar recopilados por los
agentes.
La mejor forma de determinar qué
objetos HIP necesita es determinar cómo 2.
utilizará la información de host que
3.
recopila para aplicar la política. Tenga en
cuenta que los objetos HIP son solo los
ladrillos que le permiten crear los perfiles
HIP que se utilizan en sus políticas de
seguridad. Por lo tanto, puede que desee
mantener la sencillez de sus objetos, de
forma que solo coincidan con un
elemento, como la presencia de un tipo
concreto de software necesario, la
pertenencia a un dominio específico o la
presencia de un SO cliente determinado.
De este modo, tendrá la flexibilidad de
crear una política aumentada HIP muy
granular (y muy potente).
Nota
En la puerta de enlace (o en Panorama si tiene pensado
compartir los objetos HIP con varias puertas de enlace),
seleccione Objetos > GlobalProtect > Objetos HIP y haga clic en
Añadir.
En la pestaña General, introduzca un Nombre para el objeto.
Seleccione la pestaña que corresponde a la categoría de
información del host que le interesa comparar y seleccione la
casilla de verificación para habilitar la comparación del objeto
con esta categoría. Por ejemplo, para crear un objeto que busque
información acerca de software Antivirus, seleccione la pestaña
Antivirus y, a continuación, seleccione la casilla de verificación
Antivirus para habilitar los campos correspondientes. Complete
los campos para definir los criterios de correspondencia que
desea. Por ejemplo, la siguiente captura de pantalla muestra
cómo crear un objeto que coincidirá si está instalada la
aplicación Symantec Norton AntiVirus 2004 Professional, si
Real Time Protection está habilitada y si se han actualizado las
definiciones de virus en los 5 últimos días.
Para obtener información detallada sobre
un campo o categoría HIP específicos,
consulte la ayuda en línea.
Repita este paso para cada categoría que quiera comparar con
este objeto. Para obtener más información, consulte Tabla:
Categorías de recopilación de datos.
140
4.
Haga clic en ACEPTAR para guardar el objeto HIP.
5.
Repita estos pasos para crear cada objeto HIP adicional que
necesite.
6.
Compile sus cambios.
Guía del administrador de GlobalProtect
Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP
Habilitación de la comprobación de HIP (Continuación)
Paso 5
Cree los perfiles HIP que tiene pensado usar 1.
en sus políticas.
Cuando crea sus perfiles HIP, puede
2.
combinar objetos HIP que haya creado
previamente (así como otros perfiles HIP)
usando lógica booleana como la que se usa 3.
cuando un flujo de tráfico se evalúa con
respecto al perfil HIP resultante con el que 4.
tendrá, o no, coincidencia. Si coincide, la
regla de política correspondiente se aplicará;
si no coincide, el flujo se evaluará con
respecto a la siguiente regla, como con
cualquier otro criterio de coincidencia de
política.
En la puerta de enlace (o en Panorama si tiene pensado compartir
los perfiles HIP con varias puertas de enlace), seleccione Objetos >
GlobalProtect > Perfiles HIP y haga clic en Añadir.
Introduzca un Nombre descriptivo para el perfil y, opcionalmente,
una Descripción.
Haga clic en Añadir criterios de coincidencia para abrir el
generador de objetos/perfiles HIP.
Seleccione el primer objeto o perfil HIP que desea utilizar como
criterio de búsqueda y, a continuación, haga clic en Añadir para
moverlo sobre el cuadro de texto Coincidencia en el cuadro de
diálogo Perfil HIP. Tenga en cuenta que, si desea que el perfil HIP
evalúe el objeto como una coincidencia solo cuando el criterio del
objeto no sea verdadero para un flujo, seleccione la casilla de
verificación NO antes de añadir el objeto.
5.
Continúe añadiendo criterios de coincidencia como corresponda
para el perfil que está creando, seleccionando el botón de opción del
operador booleano apropiado (Y u O) cada vez que añada un
elemento (y, de nuevo, use la casilla de verificación NO cuando
corresponda).
6.
Si está creando una expresión booleana compleja, debe añadir
manualmente el paréntesis en los lugares adecuados del cuadro de
texto Coincidencia para asegurarse de que el perfil HIP se evalúa
usando la lógica que desea. Por ejemplo, el siguiente perfil HIP
buscará coincidencias con el tráfico desde un host que tenga cifrado
de disco FileVault (en sistemas de SO Mac) o TrueCrypt (en
sistemas Windows), que pertenezca al dominio requerido y que
también tenga instalado un cliente antivirus de Symantec:
7.
Cuando termine de añadir criterios de coincidencia, haga clic en
ACEPTAR para guardar el perfil.
Guía del administrador de GlobalProtect
8.
Repita estos pasos para crear cada perfil HIP adicional que necesite.
9.
Compile sus cambios.
141
Configuración de la aplicación de políticas basadas en HIP
Uso de información del host en la aplicación de políticas
Habilitación de la comprobación de HIP (Continuación)
Paso 6
Nota
Paso 7
Paso 8
En las puertas de enlace a las que se conectan sus usuarios de
GlobalProtect, seleccione Supervisar > Logs > Coincidencias HIP.
Este log muestra todas las coincidencias que ha identificado la puerta de
enlace durante la evaluación de los datos de HIP sin procesar
Puede supervisar objetos y perfiles HIP para suministrados por los agentes en comparación con los objetos HIP y los
perfiles HIP. A diferencia de otros logs, una coincidencia HIP no
supervisar el estado de seguridad y la
requiere una coincidencia de política de seguridad para ser registrada.
actividad de los extremos de su host. Al
supervisar la información del host durante
un tiempo, podrá entender mejor dónde se
encuentran sus problemas de seguridad y
conformidad y usar esta información como
orientación para crear una política útil.
Compruebe que los objetos HIP y los
perfiles HIP que ha creado coinciden con el
tráfico de su cliente GlobalProtect según lo
esperado.
1.
Habilite User-ID (ID de usuario) en las
zonas de origen que contengan los usuarios 2.
de GlobalProtect que enviarán solicitudes
que requieran controles de acceso basados
3.
en HIP. Debe habilitar User-ID incluso
aunque no piense usar la función de
identificación de usuarios, ya que de lo
contrario el cortafuegos no generará
ninguna entrada de coincidencia HIP.
Cree las reglas de seguridad HIP en sus
puertas de enlace.
Haga clic en el Nombre de la zona en la que desee habilitar User-ID
para abrir el cuadro de diálogo Zona.
Seleccione la casilla de verificación Habilitar identificación de
usuarios y, a continuación, haga clic en ACEPTAR.
Añada los perfiles HIP a sus reglas de seguridad:
1. Seleccione Políticas > Seguridad y seleccione la regla a la que
quiere añadir un perfil HIP.
Es recomendable que cree sus reglas de
seguridad y que pruebe que coinciden con 2.
los flujos esperados basándose en los
criterios de origen y destino según lo
3.
esperado antes de añadir sus perfiles de
HIP. Esto le permitirá determinar mejor la
ubicación adecuada de las reglas HIP dentro 4.
de la política.
5.
142
Seleccione Red > Zonas.
En la pestaña Origen, asegúrese de que la Zona de origen es una
zona para la que ha habilitado User-ID Paso 7.
En la pestaña Usuario, haga clic en Añadir en la sección Perfiles
HIP y seleccione los perfiles HIP que quiere añadir a la regla (puede
añadir hasta 63 perfiles HIP a una regla).
Haga clic en ACEPTAR para guardar la regla.
Compile sus cambios.
Guía del administrador de GlobalProtect
Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP
Habilitación de la comprobación de HIP (Continuación)
Paso 9
1.
Defina los mensajes de notificación que
verán los usuarios finales cuando se aplique
una regla de seguridad con un perfil HIP.
La decisión de cuándo mostrar un mensaje
(es decir, si aparece cuando la configuración
del usuario coincide con un perfil HIP en la
política o cuando no coincide), depende en
gran medida de su política y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, ¿significa la
coincidencia que se concede total acceso a
los recursos de su red? ¿O significa que tiene
acceso limitado debido a un problema de
incumplimiento?
2.
Seleccione su configuración de puerta de enlace previamente
definida para abrir el cuadro de diálogo de la puerta de enlace de
GlobalProtect.
3.
Seleccione Configuración clientes > Notificación HIP y, a
continuación, haga clic en Añadir.
4.
Seleccione el Perfil HIP al que se aplica este mensaje en el menú
desplegable.
5.
Seleccione Coincidir mensaje o Mensaje no coincidente,
dependiendo de si quiere que se muestre el mensaje cuando el perfil
HIP correspondiente coincide con la política o cuando no coincide.
En algunos casos, puede que quiera crear mensajes tanto para
coincidencia como para no coincidencia, dependiendo de los
objetos que compare y sus objetivos para la política. Para el mensaje
de coincidencia, también puede habilitar la opción que permite
Por ejemplo, suponga que crea un perfil
HIP que coincide si el antivirus requerido
por la empresa y los paquetes de software
antispyware no están instalados. En este
caso, puede que quiera crear un mensaje de
notificación HIP para los usuarios que
6.
coincidan con el perfil HIP que les indique
que necesitan instalar el software. Por el
contrario, si su perfil HIP coincidía si esas
7.
mismas aplicaciones estaban instaladas,
puede que quiera crear el mensaje para
aquellos usuarios que no coinciden con el
perfil.
Guía del administrador de GlobalProtect
En el cortafuegos donde se alojan sus puertas de enlace de
GlobalProtect, seleccione Red > GlobalProtect > Puertas de
enlace.
incluir la lista de aplicaciones con coincidencia en el mensaje
e indicar qué aplicaciones activan la coincidencia HIP.
Seleccione la casilla de verificación Habilitar y seleccione si quiere
mostrar el mensaje como Mensaje emergente o como Icono en
la barra de tareas.
Introduzca el texto de su mensaje en el cuadro de texto Plantilla y,
a continuación, haga clic en ACEPTAR. El cuadro de texto permite
una visualización del aspecto real del texto y una del código HTML,
entre las que puede alternar usando el icono Mostrar código
fuente
. La barra de herramientas ofrece asimismo muchas
opciones para dar formato al texto y crear hiperenlaces
a
documentos externos, por ejemplo, para enlazar a los usuarios
directamente a la URL de descarga de un programa de software
requerido.
8.
Repita este procedimiento para cada mensaje que quiera definir.
9.
Compile sus cambios.
143
Configuración de la aplicación de políticas basadas en HIP
Uso de información del host en la aplicación de políticas
Habilitación de la comprobación de HIP (Continuación)
Paso 10 Compruebe que sus perfiles HIP funcionan Puede supervisar qué tráfico cumple la política HIP usando el log de
según lo esperado.
tráfico del siguiente modo:
1. Desde la puerta de enlace, seleccione Supervisar > Logs >
Tráfico.
2.
144
Filtre el log para mostrar solo el tráfico que coincida con la
regla que tiene adjunto el perfil HIP que le interesa supervisar.
Por ejemplo, para buscar tráfico que coincida con una regla
de seguridad con el nombre “Apps iOS” debería introducir
( rule eq 'Apps iOS' ) en el cuadro de texto de filtro del
siguiente modo:
Guía del administrador de GlobalProtect
Configuraciones rápidas de
GlobalProtect
En la siguiente sección se proporcionan instrucciones detalladas para configurar algunas implementaciones
globales de GlobalProtect:

VPN de acceso remoto (Perfil de autenticación)

VPN de acceso remoto (Perfil del certificado)

VPN de acceso remoto con autenticación de dos factores

Configuración de VPN siempre activada

VPN de acceso remoto con función anterior al inicio de sesión

Configuración de varias puertas de enlace de GlobalProtect

GlobalProtect para comprobación de HIP interna y acceso basado en usuario

Configuración de puerta de enlace externa e interna combinada
Guía del administrador de GlobalProtect
145
VPN de acceso remoto (Perfil de autenticación)
Configuraciones rápidas
de GlobalProtect
VPN de acceso remoto (Perfil de autenticación)
En la Ilustración: VPN de GlobalProtect para acceso remoto, el portal y la puerta de enlace de GlobalProtect
se configuran en Ethernet1/2, la interfaz física donde se conectan los clientes de GlobalProtect. Después de
que los clientes se conecten y se autentiquen correctamente en el portal y en la puerta de enlace, el agente
establece un túnel VPN desde su adaptador virtual, al que se le ha asignado una dirección en el grupo de
direcciones IP asociado con la configuración tunnel.2 de la puerta de enlace 10.31.32.3-10.31.32.118 en este
ejemplo. Como los túneles VPN de GlobalProtect terminan con una zona corp-vpn independiente, tendrá
visibilidad sobre el tráfico VPN, así como la capacidad de adaptar la política de seguridad para usuarios remotos.
Ilustración: VPN de GlobalProtect para acceso remoto
Configuración rápida: Acceso remoto de VPN proporciona los pasos de configuración para este ejemplo.
Configuración rápida: Acceso remoto de VPN
Paso 1
Creación de interfaces y zonas para
GlobalProtect.
Nota
Utilice el enrutador virtual predeterminado
para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.
• Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz Ethernet de capa 3 con la dirección IP 199.21.7.42 y
asígnela a la zona l3-nofiable y al enrutador virtual predeterminado.
• Cree un registro “A” DNS que asigne la dirección IP 199.21.7.42 a
gp.acme.com.
• Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2 a
una nueva zona denominada corp-vpn. Asígnela al enrutador virtual
predeterminado.
• Habilite la identificación de usuario en la zona corp-vpn.
Paso 2
146
Cree una política de seguridad (Políticas > Seguridad) para habilitar el flujo de tráfico entre la zona corp-vpn y la
zona l3-fiable y permitir el acceso a sus recursos internos.
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
VPN de acceso remoto (Perfil de autenticación)
Configuración rápida: Acceso remoto de VPN (Continuación)
Paso 3
Paso 4
Paso 5
Obtenga un certificado de servidor para la
interfaz que aloja el portal y la puerta de
enlace de GlobalProtect con uno de los
siguientes métodos:
• (Recomendado) Importe un certificado
de servidor desde una CA externa
conocida.
• Genere un nuevo certificado de
servidor autofirmado.
Seleccione Dispositivo > Gestión de certificados > Certificados para
gestionar certificados de la siguiente forma:
• Obtenga un certificado de servidor. Como el portal y la puerta de
enlace se encuentran en la misma interfaz, se puede utilizar el mismo
certificado de servidor para ambos componentes.
• El CN del certificado debe coincidir con el FQDN, gp.acme.com.
• Para permitir a los clientes conectarse con el portal sin que reciban
errores de certificado, utilice un certificado de servidor desde una CA
pública.
Cree un perfil de servidor.
Cree el perfil de servidor para conectarse al servidor LDAP:
El perfil de servidor enseña al cortafuegos
cómo conectarse al servicio de
autenticación. Los métodos de
autenticación locales, RADIUS, Kerberos
y LDAP son compatibles. En este
ejemplo se muestra un perfil de
autenticación LDAP para autenticar a los
usuarios con respecto a Active Directory.
Dispositivo > Perfiles de servidor > LDAP
Cree un perfil de autenticación.
Instale el perfil del servidor a un perfil de autenticación:
Dispositivo > Perfil de autenticación.
Paso 6
Configuración de una puerta de enlace.
Seleccione Red > GlobalProtect > Portales y añada la siguiente
configuración:
Interfaz: ethernet1/2
Dirección IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil de autenticación: Corp-LDAP
Interfaz de túnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118
Guía del administrador de GlobalProtect
147
VPN de acceso remoto (Perfil de autenticación)
Configuraciones rápidas
de GlobalProtect
Configuración rápida: Acceso remoto de VPN (Continuación)
Paso 7
Configuración del portal de
GlobalProtect.
Seleccione Red > GlobalProtect > Portales y añada la siguiente
configuración:
1. Configuración del acceso al portal. En este ejemplo se utilizan los
siguientes ajustes:
Interfaz: ethernet1/2
Dirección IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil de autenticación: Corp-LDAP
2.
Creación de una configuración de cliente de GlobalProtect
usando los siguientes ajustes:
Método de conexión: según demanda
Dirección de puerta de enlace externa: gp.acme.com
Paso 8
Paso 9
Implementación del software del agente
de GlobalProtect.
(Optativo) Permita el uso de la aplicación
móvil de GlobalProtect.
Seleccione Dispositivo > Cliente de GlobalProtect.
En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.
Adquiera e instale una suscripción a la puerta de enlace de GlobalProtect
(Dispositivo > Licencias) para permitir el uso de la aplicación.
Paso 10 Guarde la configuración de GlobalProtect. Haga clic en Compilar.
148
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
VPN de acceso remoto (Perfil del certificado)
VPN de acceso remoto (Perfil del certificado)
Cuando se autentican usuarios con autenticación de certificado, el cliente debe presentar un certificado de
cliente único que identifique al usuario final para poder conectar a GlobalProtect. Cuando se utiliza como único
método de autenticación, el certificado que presenta el cliente debe contener el nombre de usuario en uno de
los campos de certificado; normalmente, el nombre de usuario corresponde al nombre común (CN) del campo
Asunto del certificado. Cuando la autenticación es correcta, el agente de GlobalProtect establece un túnel de
VPN con la puerta de enlace y se le asigna una dirección IP desde el grupo de IP en la configuración de túnel
de la puerta de enlace. Para habilitar la aplicación de políticas basadas en el usuario en sesiones de la zona
corp-vpn, el nombre de usuario del certificado se asigna a la dirección IP asignada por la puerta de enlace. Si se
necesita un nombre de dominio para la aplicación de políticas, el valor de dominio especificado en el perfil de
certificado se adjunta al nombre de usuario.
Ilustración: Configuración de autenticación del certificado de cliente de GlobalProtect
Esta configuración rápida utiliza la misma topología que la Ilustración: VPN de GlobalProtect para acceso
remoto. La única diferencia de configuración es que, en lugar de autenticar a los usuarios con respecto a un
servidor de autenticación, esta configuración utiliza solo la autenticación del certificado de cliente.
Configuración rápida: Acceso remoto de VPN con autenticación de certificado de cliente
Paso 1
Creación de interfaces y zonas para
GlobalProtect.
Nota
Utilice el enrutador virtual predeterminado
para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.
• Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz de Ethernet de capa 3 con la dirección IP
199.21.7.42 y asígnela a la zona de seguridad l3-nofiable y el
enrutador virtual predeterminado.
• Cree un registro “A” DNS que asigne la dirección IP 199.21.7.42 a
gp.acme.com.
• Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2.
A continuación, añádala a la nueva zona denominada corp-vpn.
Asígnela al enrutador virtual predeterminado.
• Habilite la identificación de usuario en la zona corp-vpn.
Guía del administrador de GlobalProtect
149
VPN de acceso remoto (Perfil del certificado)
Configuraciones rápidas
de GlobalProtect
Configuración rápida: Acceso remoto de VPN con autenticación de certificado de cliente (Continuación)
Paso 2
Cree una política de seguridad (Políticas > Seguridad) para habilitar el flujo de tráfico entre la zona corp-vpn y
la zona l3-fiable y permitir el acceso a sus recursos internos.
Paso 3
Obtenga un certificado de servidor para la
interfaz que aloja el portal y la puerta de
enlace de GlobalProtect con uno de los
siguientes métodos:
• (Recomendado) Importe un certificado
de servidor desde una CA externa
conocida.
• Genere un nuevo certificado de
servidor autofirmado.
Seleccione Dispositivo > Gestión de certificados > Certificados para
gestionar certificados de la siguiente forma:
Emita certificados de cliente para
máquinas/usuarios de GlobalProtect.
1.
Utilice su PKI empresarial o CA pública para emitir un certificado
de cliente único para cada usuario de GlobalProtect.
2.
Instale certificados en el almacén de certificados personales de
los sistemas cliente.
1.
Seleccione Dispositivo > Gestión de certificados > Perfil del
certificado, haga clic en Añadir e introduzca un perfil Nombre
Paso 4
Paso 5
Cree un perfil de certificado de cliente.
• Obtenga un certificado de servidor. Como el portal y la puerta de
enlace se encuentran en la misma interfaz, se puede utilizar el mismo
certificado de servidor para ambos componentes.
• El CN del certificado debe coincidir con el FQDN, gp.acme.com.
• Para permitir a los clientes conectarse con el portal sin que reciban
errores de certificado, utilice un certificado de servidor desde una CA
pública.
como GP-client-cert.
2.
Seleccione Asunto en el menú desplegable Campo de nombre de
usuario.
3.
Paso 6
Configuración de una puerta de enlace.
Consulte el diagrama de topología que se
muestra en la Ilustración: VPN de
GlobalProtect para acceso remoto.
Haga clic en Añadir en la sección Certificados de CA, seleccione el
certificado de CA que emitieron los certificados de cliente y haga
clic en ACEPTAR dos veces.
Seleccione Red > GlobalProtect > Puertas de enlace y añada la
siguiente configuración:
Interfaz: ethernet1/2
Dirección IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil del certificado GP-client-cert
Interfaz de túnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118
150
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
VPN de acceso remoto (Perfil del certificado)
Configuración rápida: Acceso remoto de VPN con autenticación de certificado de cliente (Continuación)
Paso 7
Configuración del portal de
GlobalProtect.
Seleccione Red > GlobalProtect > Portales y añada la siguiente
configuración:
1. Configuración del acceso al portal:
Interfaz: ethernet1/2
Dirección IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil del certificado GP-client-cert
2.
Creación de una configuración de cliente de GlobalProtect:
Método de conexión: según demanda
Dirección de puerta de enlace externa: gp.acme.com
Paso 8
Paso 9
Implementación del software del agente
de GlobalProtect.
(Optativo) Permita el uso de la aplicación
móvil de GlobalProtect.
Seleccione Dispositivo > Cliente de GlobalProtect.
En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.
Adquiera e instale una suscripción a la puerta de enlace de GlobalProtect
(Dispositivo > Licencias) para permitir el uso de la aplicación.
Paso 10 Guarde la configuración de GlobalProtect. Haga clic en Compilar.
Guía del administrador de GlobalProtect
151
VPN de acceso remoto con autenticación de dos factores
Configuraciones rápidas
de GlobalProtect
VPN de acceso remoto con autenticación de dos factores
Cuando configura un portal o puerta de enlace de GlobalProtect con un perfil de autenticación y un perfil de
certificado (denominada autenticación de dos factores), se le pedirá al usuario final que autentique correctamente en ambos
antes de que se le permita el acceso. En cuanto a la autenticación de portales, esto significa que los certificados deben
implantarse previamente en clientes finales antes de su conexión inicial al portal. Además, los certificados presentados
por los clientes deben coincidir con lo definido en el perfil del certificado.

Si el perfil del certificado no especifica ningún campo de nombre de usuario (es decir, Campo de nombre de
usuario está definido como Ninguno), el certificado de cliente no necesitará contar con un nombre de usuario.
En este caso, el cliente debe proporcionar el nombre de usuario cuando autentique con este perfil de autenticación.

Si el perfil del certificado especifica un campo de nombre de usuario, el certificado que presenta el cliente debe
contener un nombre de usuario en el campo correspondiente. Por ejemplo, si el perfil del certificado especifica
que el campo del nombre de usuario es el asunto, el certificado presentado por el cliente debe contener un valor
en el campo de nombre común o la autenticación fallará. Además, cuando se necesite el campo del nombre de
usuario, el valor del campo de nombre de usuario del certificado se cumplimentará automáticamente con el
nombre de usuario cuando el usuario trate de introducir la autenticación en el perfil de autenticación. Si no quiere
obligar a los usuarios a autenticar con un nombre de usuario del certificado, no especifique ningún campo de
nombre de usuario en el perfil del certificado.
Esta configuración rápida utiliza la misma topología que la Ilustración: VPN de GlobalProtect para acceso remoto.
Sin embargo, en esta configuración, los clientes deben autenticar con un perfil de certificado y un perfil de
autenticación. Para obtener más detalles sobre un tipo específico de autenticación de dos factores, consulte los
siguientes temas:

Habilitación de la autenticación en dos fases

Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP)

Habilitación de autenticación en dos fases mediante tarjetas inteligentes
152
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
VPN de acceso remoto con autenticación de dos factores
Configuración rápida: Acceso remoto de VPN con autenticación de dos factores
Paso 1
Creación de interfaces y zonas para
GlobalProtect.
Nota
Utilice el enrutador virtual predeterminado
para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.
• Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz de Ethernet de capa 3 con la dirección IP 199.21.7.42 y
asígnela a la zona de seguridad l3-nofiable y el enrutador virtual
predeterminado.
• Cree un registro “A” DNS que asigne la dirección IP 199.21.7.42 a
gp.acme.com.
• Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2.
A continuación, añádala a la nueva zona denominada corp-vpn. Asígnela
al enrutador virtual predeterminado.
• Habilite la identificación de usuario en la zona corp-vpn.
Paso 2
Cree una política de seguridad (Políticas > Seguridad) para habilitar el flujo de tráfico entre la zona corp-vpn y
la zona l3-fiable y permitir el acceso a sus recursos internos.
Paso 3
Obtenga un certificado de servidor para la
interfaz que aloja el portal y la puerta de
enlace de GlobalProtect con uno de los
siguientes métodos:
• (Recomendado) Importe un certificado
de servidor desde una CA externa
conocida.
• Genere un nuevo certificado de
servidor autofirmado.
Seleccione Dispositivo > Gestión de certificados > Certificados para
gestionar certificados de la siguiente forma:
Emita certificados de cliente para
máquinas/usuarios de GlobalProtect.
1.
Utilice su PKI empresarial o CA pública para emitir un certificado
de cliente único para cada usuario de GlobalProtect.
2.
Instale certificados en el almacén de certificados personales de
los sistemas cliente.
Paso 4
Guía del administrador de GlobalProtect
• Obtenga un certificado de servidor. Como el portal y la puerta de
enlace se encuentran en la misma interfaz, se puede utilizar el mismo
certificado de servidor para ambos componentes.
• El CN del certificado debe coincidir con el FQDN, gp.acme.com.
• Para permitir a los clientes conectarse con el portal sin que reciban
errores de certificado, utilice un certificado de servidor desde una CA
pública.
153
VPN de acceso remoto con autenticación de dos factores
Configuraciones rápidas
de GlobalProtect
Configuración rápida: Acceso remoto de VPN con autenticación de dos factores (Continuación)
Paso 5
Cree un perfil de certificado de cliente.
1.
Seleccione Dispositivo > Gestión de certificados > Perfil del
certificado, haga clic en Añadir e introduzca un perfil Nombre
como GP-client-cert.
2.
Especifique dónde obtener el nombre de usuario que se utilizará
para autenticar al usuario final:
• De usuario: si quiere que el usuario final proporcione un
nombre de usuario cuando se autentique en el servicio
especificado en el perfil de autenticación, seleccione Ninguno
como Campo de nombre de usuario.
• De certificado: si desea extraer el nombre de usuario del
certificado, seleccione Asunto como Campo de nombre de
usuario. Si utiliza esta opción, el CN contenido en el certificado
cumplimentará automáticamente el campo de nombre de
usuario cuando al usuario se le solicite iniciar sesión en el
portal/puerta de enlace. Al usuario se le pedirá que inicie sesión
usando ese nombre de usuario.
3.
Paso 6
Paso 7
Haga clic en Añadir en la sección Certificados de CA, seleccione el
certificado de CA que emitieron los certificados de cliente y haga
clic en ACEPTAR dos veces.
Cree un perfil de servidor.
Cree el perfil de servidor para conectarse al servidor LDAP:
El perfil de servidor enseña al cortafuegos
cómo conectarse al servicio de
autenticación. Los métodos de
autenticación locales, RADIUS, Kerberos y
LDAP son compatibles. En este ejemplo se
muestra un perfil de autenticación LDAP
para autenticar a los usuarios con respecto a
Active Directory.
Dispositivo > Perfiles de servidor > LDAP
Cree un perfil de autenticación.
Instale el perfil del servidor a un perfil de autenticación:
Dispositivo > Perfil de autenticación.
154
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
VPN de acceso remoto con autenticación de dos factores
Configuración rápida: Acceso remoto de VPN con autenticación de dos factores (Continuación)
Paso 8
Configuración de una puerta de enlace.
Seleccione Red > GlobalProtect > Puertas de enlace y añada la
siguiente configuración:
Consulte el diagrama de topología que se
Interfaz: ethernet1/2
muestra en la Ilustración: VPN de
GlobalProtect para acceso remoto.
Dirección IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil del certificado: GP-client-cert
Perfil de autenticación: Corp-LDAP
Interfaz de túnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118
Paso 9
Configuración del portal de
GlobalProtect.
Seleccione Red > GlobalProtect > Portales y añada la siguiente
configuración:
1. Configuración del acceso al portal:
Interfaz: ethernet1/2
Dirección IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por
Go Daddy
Perfil del certificado: GP-client-cert
Perfil de autenticación: Corp-LDAP
2.
Creación de una configuración de cliente de GlobalProtect:
Método de conexión: según demanda
Dirección de puerta de enlace externa: gp.acme.com
Paso 10 Implementación del software del agente
de GlobalProtect.
Seleccione Dispositivo > Cliente de GlobalProtect.
En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.
Paso 11 (Optativo) Permita el uso de la aplicación Adquiera e instale una suscripción a la puerta de enlace de
móvil de GlobalProtect.
GlobalProtect (Dispositivo > Licencias) para permitir el uso de la
aplicación.
Paso 12 Guarde la configuración de
GlobalProtect.
Guía del administrador de GlobalProtect
Haga clic en Compilar.
155
Configuración de VPN siempre activada
Configuraciones rápidas
de GlobalProtect
Configuración de VPN siempre activada
En una configuración de GlobalProtect “siempre activada”, el agente se conecta al portal de GlobalProtect al
iniciar sesión el usuario para enviar información de usuario y de host y recibir la configuración de cliente.
Establece automáticamente el túnel de VPN a la puerta de enlace especificada en la configuración del cliente
distribuida por el portal sin la intervención del usuario final como se muestra en la siguiente ilustración.
Para cambiar a cualquier configuración de VPN de acceso remoto anterior en una configuración “siempre
activada”, solo tiene que cambiar el método de conexión:

VPN de acceso remoto (Perfil de autenticación)

VPN de acceso remoto (Perfil del certificado)

VPN de acceso remoto con autenticación de dos factores
Cambio a una configuración “siempre activada”
Paso 1
Seleccione Red > GlobalProtect > Portales y seleccione la configuración de portal para abrirla.
Paso 2
Seleccione la pestaña Configuración clientes y, a continuación, seleccione la configuración de cliente que desea
modificar.
Paso 3
Seleccione Inicio de sesión de usuario como método de conexión. Repita esto para cada una de las
configuraciones del cliente.
Paso 4
Haga clic en ACEPTAR dos veces para guardar la configuración de cliente y la de portal y, a continuación,
compile el cambio.
156
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
VPN de acceso remoto con función anterior al inicio de sesión
VPN de acceso remoto con función anterior al inicio de sesión
El método de conexión anterior al inicio de sesión de GlobalProtect es una función que permite a GlobalProtect
autenticar al agente y establecer el túnel de VPN en la puerta de enlace de GlobalProtect usando un certificado
de máquina preinstalado antes de que el usuario haya iniciado sesión. Como el túnel ya está establecido, las
secuencias de comandos de dominio se pueden ejecutar cuando el usuario inicia sesión, en lugar de usar
credenciales en caché.
Antes de que el usuario inicie sesión, no hay ningún nombre de usuario asociado con el tráfico. Por lo tanto,
para permitir que el sistema de cliente acceda a los recursos de la zona fiable, debe crear políticas de seguridad
que coincidan con el usuario con modo anterior al inicio de sesión. Estas políticas solo deben permitir el acceso a
servicios básicos necesarios para iniciar el sistema, como DHCP, DNS, Active Directory, antivirus o servicios
de actualización del sistema operativo. A continuación, después de que el usuario inicie sesión en el sistema y
realice la autenticación, el túnel de VPN cambia su nombre para incluir el nombre de usuario, de forma que esa
política basada ese grupo y usuario se pueda aplicar.
Con el modo anterior al inicio de sesión, cuando un agente se conecta al portal por primera vez, el usuario final
debe autenticar (mediante el perfil de autenticación o un perfil de certificado configurado para validar un
certificado de cliente que contiene un nombre de usuario). Una vez que la autenticación finaliza con éxito, el
portal aplica la configuración del cliente al agente junto con una cookie que se utilizará para la autenticación de
portal con el objetivo de recibir una actualización de configuración. Entonces, cuando un sistema de cliente trata
de conectar en modo anterior al inicio de sesión, utilizará la cookie para autenticarse en el portal y recibir su
configuración de cliente anterior al inicio de sesión. En ese momento, se conectará a la puerta de enlace
especificada en la configuración y autenticará usando su certificado de máquina (según se especifica en un perfil
de certificado configurado en la puerta de enlace) y establecerá el túnel de VPN.
Cuando posteriormente el usuario final inicia sesión en la máquina, si el inicio de sesión único (SSO) está
habilitado en la configuración del cliente de inicio de sesión de usuario, se informará inmediatamente sobre el
nombre de usuario a la puerta de enlace, de forma que el túnel pueda cambiar el nombre y se pueda aplicar la
política basada en usuario y en grupo.
Guía del administrador de GlobalProtect
157
VPN de acceso remoto con función anterior al inicio de sesión
Configuraciones rápidas
de GlobalProtect
Este ejemplo utiliza la topología de GlobalProtect que se muestra en Ilustración: VPN de GlobalProtect para
acceso remoto.
Configuración rápida: VPN de acceso remoto con inicio de sesión anterior
Paso 1
Creación de interfaces y zonas para
GlobalProtect.
Nota
Utilice el enrutador virtual predeterminado
para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.
• Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz de Ethernet de capa 3 con la dirección IP
199.21.7.42 y asígnela a la zona de seguridad l3-nofiable y el
enrutador virtual predeterminado.
• Cree un registro “A” DNS que asigne la dirección IP 199.21.7.42 a
gp.acme.com.
• Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2.
A continuación, añádala a la nueva zona denominada corp-vpn.
Asígnela al enrutador virtual predeterminado.
• Habilite la identificación de usuario en la zona corp-vpn.
Paso 2
Cree las siguientes reglas de política de seguridad (Políticas > Seguridad):
• En primer lugar, cree una regla que permita el acceso del usuario anterior al inicio de sesión a los servicios
básicos necesarios para que aparezca el ordenador, como servicios de autenticación, DNS, DHCP y
actualizaciones de Microsoft.
• En segundo lugar, cree una regla que permita el acceso entre la zona corp-vpn y la zona l3-fiable a cualquier
usuario conocido, después de que el usuario inicie sesión con éxito.
Paso 3
Obtenga un certificado de servidor para la
interfaz que aloja el portal y la puerta de
enlace de GlobalProtect con uno de los
siguientes métodos:
• (Recomendado) Importe un
certificado de servidor desde una CA
externa conocida.
• Genere un nuevo certificado de
servidor autofirmado.
Paso 4
• Obtenga un certificado de servidor. Como el portal y la puerta de
enlace se encuentran en la misma interfaz, se puede utilizar el
mismo certificado de servidor para ambos componentes.
• El CN del certificado debe coincidir con el FQDN, gp.acme.com.
• Para permitir a los clientes conectarse con el portal sin que reciban
errores de certificado, utilice un certificado de servidor desde una
CA pública.
1.
Genere un certificado de máquina para
cualquier sistema cliente que se conecte a
GlobalProtect e impórtelos al almacén de 2.
certificados personales de cada máquina.
Aunque podría generar certificados
autofirmados para cada sistema cliente,
recomendamos utilizar su propia
infraestructura de clave pública (PKI)
para emitir y distribuir certificados para
sus clientes.
158
Seleccione Dispositivo > Gestión de certificados > Certificados
para gestionar certificados de la siguiente forma:
Emita certificados de cliente para máquinas/usuarios de
GlobalProtect.
Instale certificados en el almacén de certificados personales de
los sistemas cliente. (Almacén del equipo local en Windows o
llavero del sistema en SO Mac)
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
VPN de acceso remoto con función anterior al inicio de sesión
Configuración rápida: VPN de acceso remoto con inicio de sesión anterior (Continuación)
Paso 5
Nota
Importe el certificado de CA raíz de
confianza desde la CA que generó los
certificados de máquina al portal y las
puertas de enlace.
1.
Descargue el certificado de CA en el formato Base64.
2.
Importe el certificado en todos los cortafuegos que alojan un
portal o puerta de enlace de la siguiente forma:
a. Seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos y haga clic en
Importar.
No necesita importar la clave privada.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Desplácese hasta el archivo del certificado que descargó de
la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuación, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaña
Certificados de dispositivos para abrirlo.
f. Seleccione CA raíz de confianza y, a continuación, haga clic
en Aceptar.
Paso 6
Paso 7
1.
En todos los cortafuegos que alojan una
puerta de enlace de GlobalProtect, cree un
perfil de certificado para identificar qué
certificado de CA utilizar para validar los
certificados de máquina cliente.
2.
Seleccione Dispositivo > Certificados > Gestión de certificados
> Perfil de certificados, haga clic en Añadir e introduzca un
nombre para identificar de forma exclusiva el perfil, por ejemplo
De forma optativa, si planea utilizar la
3.
autenticación de certificados del cliente para
autenticar a los usuarios cuando inician
sesión en el sistema, asegúrese de que en el 4.
perfil del certificado se hace referencia al
certificado de CA que emite los certificados
de cliente, además de al certificado de CA
que emitió los certificados de máquina, en el
5.
caso de que sean distintos.
En el campo Certificados de CA, haga clic en Añadir, seleccione
el certificado de CA raíz de confianza que importó en el Paso 5 y, a
continuación, haga clic en ACEPTAR.
Configuración de una puerta de enlace.
Consulte el diagrama de topología que se
muestra en la Ilustración: VPN de
GlobalProtect para acceso remoto.
Aunque debe crear un perfil de certificado
para el modo de acceso anterior al inicio de
sesión a la puerta de enlace, puede utilizar la
autenticación de certificado del cliente o la
autenticación basada en perfil para aquellos
usuarios que han iniciado sesión. En este
ejemplo, se usa el mismo perfil de LDAP
que el usado para autenticar a usuarios en el
portal.
Guía del administrador de GlobalProtect
PreLogonCert.
Establezca el Campo nombre de usuario en Ninguno.
(Optativo) Si quiere utilizar la autenticación de certificado de cliente
para autenticar a los usuarios al iniciar sesión, añada el certificado de
CA que emitió los certificados del cliente si es distinto al que emitió
los certificados de máquina.
Haga clic en Aceptar para guardar el perfil.
Seleccione Red > GlobalProtect > Puertas de enlace y añada la
siguiente configuración:
Interfaz: ethernet1/2
Dirección IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil del certificado: PreLogonCert
Perfil de autenticación: Corp-LDAP
Interfaz de túnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118
Confirmar la configuración de la puerta de enlace.
159
VPN de acceso remoto con función anterior al inicio de sesión
Configuraciones rápidas
de GlobalProtect
Configuración rápida: VPN de acceso remoto con inicio de sesión anterior (Continuación)
Paso 8
Configuración del portal de
GlobalProtect.
Seleccione Red > GlobalProtect > Portales y añada la siguiente
configuración:
1. Configuración del acceso al portal:
Para esta configuración, cree dos
configuraciones cliente: una que se aplicará
al agente cuando el usuario no haya iniciado
sesión (método de conexión anterior al
inicio de sesión) y otro que se aplicará
cuando el usuario haya iniciado sesión
(método de conexión de inicio de sesión de
usuario). Puede que desee limitar el acceso 2.
de la puerta de enlace a una única puerta de
enlace a los usuarios con el modo anterior al
inicio de sesión, pero proporcionar acceso a
varias puertas de enlace a los usuarios que ya
hayan iniciado sesión.
Nota
Se recomienda habilitar el inicio de
sesión único en la segunda configuración
cliente para garantizar que se indica
inmediatamente el nombre de usuario
correcto a la puerta de enlace cuando el
usuario inicia sesión en la máquina. Si el
inicio de sesión único no está habilitado,
se utilizará el nombre de usuario
guardado en el panel de configuración
del agente de GlobalProtect.
160
Guarde la configuración de
GlobalProtect.
Dirección IP: 199.21.7.42
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
Perfil del certificado: Ninguno
Perfil de autenticación: Corp-LDAP
Creación de una configuración de cliente de GlobalProtect para
usuarios del modo anterior al inicio de sesión y usuarios que ya han
iniciado sesión:
Configuración del primer cliente:
Método de conexión: modo anterior al inicio de sesión
Dirección de puerta de enlace externa: gp.acme.com
Usuario/grupo de usuarios: modo anterior al inicio de sesión
Configuración del segundo cliente:
Utilizar registro único: habilitado
Método de conexión: modo anterior al inicio de sesión
Dirección de puerta de enlace externa: gp.acme.com
Usuario/grupo de usuarios: cualquiera
Modificador de autenticación: Autenticación de cookies para
actualización de configuración
3.
Paso 9
Interfaz: ethernet1/2
Asegúrese de que la configuración del cliente en modo anterior al
inicio de sesión está la primera en la lista de configuraciones. Si no
es así, selecciónela y haga clic en Mover hacia arriba.
Haga clic en Compilar.
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
Configuración de varias puertas de enlace de GlobalProtect
Configuración de varias puertas de enlace de GlobalProtect
En la Ilustración: Topología de puerta varias puertas de enlace de GlobalProtect se ha añadido una segunda
puerta de enlace a la configuración. En todas las configuraciones anteriores de ejemplo se admiten varias puertas
de enlace. Las instrucciones adicionales explican la instalación de una licencia de portal de GlobalProtect para
permitir el uso de varias puertas de enlace y la configuración del segundo cortafuegos como puerta de enlace de
GlobalProtect. Además, cuando se establecen las configuraciones cliente que se van a implementar en el portal,
puede decidir si desea acceder a todas las puertas de enlace o especificar diferentes puertas de enlace para
diferentes configuraciones.
Si una configuración cliente contiene más de una puerta de enlace, el agente tratará de conectar a todas las
puertas de enlace indicadas en su configuración cliente. El agente utilizará la prioridad y el tiempo de respuesta
para determinar a qué puerta de enlace conectarse.
Ilustración: Topología de puerta varias puertas de enlace de GlobalProtect
Guía del administrador de GlobalProtect
161
Configuración de varias puertas de enlace de GlobalProtect
Configuraciones rápidas
de GlobalProtect
Configuración rápida: Configuración de varias puertas de enlace de GlobalProtect
Paso 1
Nota
Creación de interfaces y zonas para
GlobalProtect.
En el cortafuegos que aloja el portal/puerta de enlace (puerta
de enlace 1):
En esta configuración, debe configurar las • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz de Ethernet de capa 3 con la dirección IP
interfaces de cada cortafuegos que alberga
198.51.100.42 y asígnela a la zona de seguridad l3-nofiable y el
una puerta de enlace.
enrutador virtual predeterminado.
Utilice el enrutador virtual predeterminado
para que todas las configuraciones de la • Cree un registro “A” DNS que asigne la dirección IP
198.51.100.42 a gp1.acme.com.
interfaz eviten tener que crear el
enrutamiento entre zonas.
• Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2.
A continuación, añádala a la nueva zona denominada corp-vpn.
Asígnela al enrutador virtual predeterminado.
• Habilite la identificación de usuario en la zona corp-vpn.
En el cortafuegos que aloja la segunda puerta de enlace (puerta
de enlace 2):
• Seleccione Red > Interfaces > Ethernet y configure ethernet1/5
como interfaz de Ethernet de capa 3 con la dirección IP 192.0.2.4
y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual
predeterminado.
• Cree un registro “A” DNS que asigne la dirección IP 192.0.2.4 a
gp2.acme.com.
• Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2.
A continuación, añádala a la nueva zona denominada corp-vpn.
Asígnela al enrutador virtual predeterminado.
• Habilite la identificación de usuario en la zona corp-vpn.
Paso 2
Nota
Paso 3
162
Adquiera e instale una licencia de portal
GlobalProtect en el cortafuegos que aloja el
portal. Esta licencia es necesaria para
permitir una configuración de varias puertas
de enlace.
Después de adquirir la licencia de portal y de recibir su código de
activación, instale la licencia en el cortafuegos que aloja el portal de la
siguiente forma:
1. Seleccione Dispositivo > Licencias.
2.
También necesitará una suscripción de
puerta de enlace de GlobalProtect en todas 3.
las puertas de enlace si tiene usuarios que
utilizarán la aplicación GlobalProtect en sus
4.
dispositivos móviles o si planea utilizar la
política de seguridad HIP.
Seleccione Activar característica mediante código de
autorización.
Cuando se le indique, introduzca el Código de autorización y haga
clic en Aceptar.
Compruebe que la licencia se haya activado correctamente.
En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect, cree una política de seguridad
(Políticas > Seguridad) que habilite el flujo del tráfico entre la zona corp-vpn y la zona l3-fiable para permitir el
acceso a sus recursos internos.
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
Configuración de varias puertas de enlace de GlobalProtect
Configuración rápida: Configuración de varias puertas de enlace de GlobalProtect (Continuación)
Paso 4
Paso 5
Obtenga certificados de servidor para las
interfaces que alojan el portal de
GlobalProtect y para cada una de las puertas
de enlace de GlobalProtect siguiendo estas
recomendaciones:
• (En el cortafuegos que aloja el portal o
portal/puerta de enlace) Importe un
certificado de servidor desde una CA
externa conocida.
• (En un cortafuegos que solo aloja una
puerta de enlace) Genere un nuevo
certificado de servidor autofirmado.
En todos los cortafuegos que alojan un portal/puerta de enlace o puerta
de enlace, seleccione Dispositivo > Gestión de certificados >
Certificados para gestionar certificados de la siguiente forma:
• Obtenga un certificado de servidor para el portal/puerta de enlace 1:
Como el portal y la puerta de enlace se encuentran en la misma
interfaz, debe utilizar el mismo certificado de servidor. El CN del
certificado debe coincidir con el FQDN, gp1.acme.com. Para permitir a
los clientes conectarse con el portal sin que reciban errores de
certificado, utilice un certificado de servidor desde una CA pública.
• Obtenga un certificado de servidor para la interfaz que aloja la puerta
de enlace 2: Como esta interfaz aloja una puerta de enlace, solo puede
utilizar un certificado autofirmado. El CN del certificado debe
coincidir con el FQDN, gp2.acme.com.
Defina cómo autenticará a los usuarios en el Puede utilizar cualquier combinación de perfiles de certificado o perfiles
portal y las puertas de enlace.
de autenticación como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales también pueden utilizar distintos esquemas de
autenticación. Consulte las siguientes secciones para obtener
instrucciones detalladas:
• Configuración de autenticación externa (perfil de autenticación)
• Configuración de la autenticación de certificado de cliente (perfil
del certificado)
• Configuración de la autenticación en dos fases (basada en token
u OTP)
Necesitará hacer referencia al perfil del certificado o perfiles de
autenticación que ha definido en las configuraciones de puerta de enlace
y portal.
Paso 6
Configure las puertas de enlace.
En este ejemplo se muestra la configuración para gp1 y gp2 que aparece en la Ilustración: Topología de puerta
varias puertas de enlace de GlobalProtect. Consulte Configuración de una puerta de enlace para ver instrucciones
detalladas sobre cómo crear configuraciones de puerta de enlace.
En el cortafuegos que aloja gp1, configure los ajustes En el cortafuegos que aloja gp2, configure los ajustes de la puerta de
de la siguiente:
enlace de la siguiente forma:
Seleccione Red > GlobalProtect > Puertas de
enlace y añada la siguiente configuración:
Seleccione Red > GlobalProtect > Puertas de enlace y añada la
siguiente configuración:
Interfaz: ethernet1/2
Interfaz: ethernet1/2
Dirección IP: 198.51.100.42
Dirección IP: 192.0.2.4
Certificado de servidor: GP1-server-cert.pem emitido
Certificado de servidor: certificado autofirmado, GP2-server-cert.pem
por Go Daddy
Interfaz de túnel: tunnel.1
Interfaz de túnel: tunnel.2
Grupo de IP: 10.31.33.3 - 10.31.33.118
Grupo de IP: 10.31.32.3 - 10.31.32.118
Guía del administrador de GlobalProtect
163
Configuración de varias puertas de enlace de GlobalProtect
Configuraciones rápidas
de GlobalProtect
Configuración rápida: Configuración de varias puertas de enlace de GlobalProtect (Continuación)
Paso 7
Configuración del portal de
GlobalProtect.
Seleccione Red > GlobalProtect > Portales y añada la siguiente
configuración:
1. Configuración del acceso al portal:
Interfaz: ethernet1/2
Dirección IP: 198.51.100.42
Certificado de servidor: GP1-server-cert.pem emitido por Go
Daddy
2.
Creación de una configuración de cliente de GlobalProtect:
El número de configuraciones cliente que crea depende de sus
requisitos de acceso específicos, incluido si necesita la aplicación de
una política basada en usuario/grupo o HIP.
Paso 8
Paso 9
164
Implementación del software del agente
de GlobalProtect.
Seleccione Dispositivo > Cliente de GlobalProtect.
En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.
Guarde la configuración de GlobalProtect. Haga clic en Confirmar en el cortafuegos que aloja el portal y las puertas
de enlace.
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
GlobalProtect para comprobación de HIP interna y acceso basado en usuario
GlobalProtect para comprobación de HIP interna y acceso
basado en usuario
Junto con el ID de usuario o las comprobaciones HIP, se puede utilizar una puerta de enlace interna para ofrecer
un método preciso y seguro con el que identificar y controlar el tráfico por usuario o estado del dispositivo,
sustituyendo otros servicios de control de acceso para redes (NAC). Las puertas de enlace internas son útiles en
entornos confidenciales que requieren acceso autenticado a los recursos críticos.
En una configuración que solo tenga puertas de enlace internas, todos los clientes deben configurarse con inicio
de sesión de usuario; el modo según demanda no es compatible. Además, se recomienda que configure todas
las configuraciones cliente que se deben utilizar para el inicio de sesión único (SSO). De igual forma, como los
hosts internos no necesitan establecer una conexión de túnel con la puerta de enlace, se utiliza la dirección IP
del adaptador de red físico del sistema cliente.
En esta configuración rápida, se utilizan las puertas de enlace internas para aplicar políticas basadas en grupos
que permitan el acceso de los usuarios del grupo técnico a las bases de datos de errores y control de origen
interno y el acceso de los usuarios del grupo de finanzas a las aplicaciones CRM. Todos los usuarios autenticados
tienen acceso a recursos Web internos. Además, los perfiles HIP configurados en la puerta de enlace
comprueban todos los hosts para garantizar el cumplimiento con los requisitos de mantenimiento internos (si
están instalados los parches de seguridad y las definiciones de antivirus más recientes, si está habilitado el cifrado
de disco o si está instalado el software necesario).
Ilustración: Configuración de puerta de enlace interna de GlobalProtect
Guía del administrador de GlobalProtect
165
GlobalProtect para comprobación de HIP interna y acceso basado en usuario
Configuraciones rápidas
de GlobalProtect
Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect
En todos los cortafuegos que alojan un portal/puerta de enlace:
1. Seleccione un puerto Ethernet para alojar el portal/puerta de
enlace y, a continuación, configure una interfaz de capa 3 con
En esta configuración, debe configurar las
una dirección IP en la zona de seguridad l3-fiable. (Red >
interfaces de cada cortafuegos que aloje
Interfaces > Ethernet).
un portal o puerta de enlace. Como esta
2. Activar identificación de usuarios en la zona l3-fiable.
configuración solo utiliza puertas de
enlace internas, debe configurar el portal y
las puertas de enlace en interfaces de la
red interna.
Paso 1
Creación de interfaces y zonas para
GlobalProtect.
Nota
Utilice el enrutador virtual predeterminado
para que todas las configuraciones de la
interfaz eviten tener que crear el
enrutamiento entre zonas.
Paso 2
Adquiera e instale una licencia de portal
de GlobalProtect en el cortafuegos que
aloja las suscripciones de portal y de
puerta de enlace en cada cortafuegos que
aloje una puerta de enlace interna. Esto es
necesario para habilitar una configuración
de puerta de enlace interna y habilitar las
comprobaciones HIP.
Después de adquirir la licencia de portal y de recibir su código de
activación, instale la licencia en el cortafuegos que aloja el portal de
la siguiente forma:
1. Seleccione Dispositivo > Licencias.
2.
Seleccione Activar característica mediante código de
autorización.
3.
Cuando se le indique, introduzca el Código de autorización y
haga clic en Aceptar.
4.
Compruebe que la licencia se haya activado correctamente.
Póngase en contacto con su ingeniero de ventas o distribuidor de
Palo Alto Networks si no tiene todas las licencias necesarias. Si desea
más información sobre licencias, consulte Acerca de las licencias de
GlobalProtect.
Paso 3
Obtenga certificados de servidor para el
portal GlobalProtect y todas las puertas
de enlace de GlobalProtect.
El flujo de trabajo recomendado es el siguiente:
1. En el cortafuegos que aloja el portal:
Para conectarse al portal por primera vez,
los clientes finales deben confiar en el
certificado de CA raíz utilizado para
emitir el certificado de servidor del portal.
Puede utilizar un certificado autofirmado
en el portal e implementar el certificado
de CA raíz en los clientes finales antes de 2.
la primera conexión de portal u obtener
un certificado de servidor para el portal
desde una CA de confianza.
a. Importe un certificado de servidor desde una CA externa
conocida.
b. Cree el certificado de CA raíz para la emisión de certificados
autofirmados de los componentes de GlobalProtect.
c. Genere un nuevo certificado de servidor autofirmado.
Repita este paso para cada puerta de enlace.
En todos los cortafuegos que alojan una puerta de enlace
interna:
a. Implemente los certificados de servidor autofirmados.
Puede utilizar certificados autofirmados
en las puertas de enlace.
166
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
GlobalProtect para comprobación de HIP interna y acceso basado en usuario
Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect (Continuación)
Paso 4
Defina cómo autenticará a los usuarios en Puede utilizar cualquier combinación de perfiles de certificado o
el portal y las puertas de enlace.
perfiles de autenticación como sea necesario para garantizar la
seguridad del portal y las puertas de enlace. Los portales y las puertas
de enlace individuales también pueden utilizar distintos esquemas de
autenticación. Consulte las siguientes secciones para obtener
instrucciones detalladas:
• Configuración de autenticación externa (perfil de autenticación)
• Configuración de la autenticación de certificado de cliente
(perfil del certificado)
• Configuración de la autenticación en dos fases (basada en token u
OTP)
Necesitará hacer referencia al perfil del certificado o perfiles de
autenticación que ha definido en las configuraciones de puerta de
enlace y portal.
Paso 5
Cree los perfiles HIP que necesitará para 1.
aplicar la política de seguridad en el acceso
a la puerta de enlace.
Consulte Uso de información del host en
la aplicación de políticas para obtener más
información sobre las evaluaciones HIP.
2.
Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si está interesado en
evitar a los usuarios que no tengan actualizados los parches
necesarios, puede que quiera crear un objeto HIP con el que
evaluar si está instalado el software de gestión de parches y que
todos los parches con una gravedad determinada están
actualizados.
Cree los perfiles HIP que tiene pensado usar en sus políticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente
perfil HIP que coincidirá con los hosts a los que NO les falte
ningún parche:
Guía del administrador de GlobalProtect
167
GlobalProtect para comprobación de HIP interna y acceso basado en usuario
Configuraciones rápidas
de GlobalProtect
Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect (Continuación)
Paso 6
Configure las puertas de enlace internas.
Seleccione Red > GlobalProtect > Puertas de enlace y agregue la
siguiente configuración:
• Interfaz
• Dirección IP
• Certificado de servidor
• Perfil de autenticación o Perfil de configuración
Observe que no es necesario configurar los ajustes de la
configuración cliente en las configuraciones de la puerta de enlace
(a no ser que desee establecer las notificaciones HIP) porque las
conexiones de túnel no son necesarias. Consulte Configuración de
una puerta de enlace para ver instrucciones detalladas sobre cómo
crear configuraciones de puerta de enlace.
Paso 7
Configuración del portal de
GlobalProtect.
Nota
Aunque todas las configuraciones
anteriores pueden utilizar un método de
conexión de inicio de sesión de usuario
o según demanda, la configuración de la
puerta de enlace interna siempre debe
estar activada y, por lo tanto, necesita un
método de conexión de inicio de sesión 2.
de usuario.
Seleccione Red > GlobalProtect > Portales y añada la siguiente
configuración:
1. Configuración del acceso al portal:
Interfaz: ethernet1/2
Dirección IP: 10.31.34.13
Certificado de servidor: GP-server-cert.pem emitido por Go
Daddy con CN=gp.acme.com
Creación de una configuración de cliente de GlobalProtect:
Utilizar registro único: habilitado
Método de conexión:
inicio de sesión de usuario
Dirección de puerta de enlace interna: california.acme.com,
newyork.acme.com
Usuario/grupo de usuarios: cualquiera
3.
Paso 8
168
Implementación del software del agente
de GlobalProtect.
Compile la configuración del portal.
Seleccione Dispositivo > Cliente de GlobalProtect.
En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
GlobalProtect para comprobación de HIP interna y acceso basado en usuario
Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect (Continuación)
Paso 9
Cree las reglas de seguridad HIP o
Agregue las siguientes reglas de seguridad para este ejemplo:
basadas en grupo/usuario en sus puertas 1. Seleccione Políticas > Seguridad y haga clic en Añadir.
de enlace.
2. En la pestaña Origen, establezca la zona de origen en l3-fiable.
3.
En la pestaña Usuario, añada el perfil HIP y el usuario/grupo
que se debe evaluar.
• Haga clic en Añadir en la sección Perfiles HIP y seleccione
el perfil HIP MissingPatch.
• Haga clic en Añadir en la sección Usuario de origen y
seleccione el grupo (Finanzas o Técnico según la regla que esté
creando).
Guía del administrador de GlobalProtect
4.
Haga clic en ACEPTAR para guardar la regla.
5.
Confirmar la configuración de la puerta de enlace.
169
Configuración de puerta de enlace externa e interna combinada
Configuraciones rápidas
de GlobalProtect
Configuración de puerta de enlace externa e interna
combinada
En una configuración de puerta de enlace interna y externa combinada, configure puertas de enlace
independientes para el acceso de VPN y para el acceso a sus recursos internos confidenciales. Con esta
configuración, los agentes realizan la detección de host interno para determinar si se encuentran en una red
interna o externa. Si el agente determina que la red es externa, tratará de conectar a las puertas de enlace externas
que se indican en su configuración cliente y establecerá una conexión de VPN (túnel) con la puerta de enlace
con la prioridad más alta y el menor tiempo de respuesta.
Como las políticas de seguridad se definen de forma independiente en cada puerta de enlace, dispondrá de un
control granular sobre los recursos a los que tendrán acceso los usuarios externos e internos. Además, también
tendrá un control granular sobre a qué puertas de enlace tendrán acceso los usuarios configurando el portal para
implementar las distintas configuraciones cliente según la pertenencia a un grupo/usuario o la coincidencia del
perfil HIP.
En este ejemplo, los portales y las tres puertas de enlace (una externa y dos internas) se implementan en
cortafuegos distintos. La puerta de enlace externa en gpvpn.acme.com proporciona acceso de VPN remoto a la
red corporativa mientras las puertas de enlace internas proporcionan acceso granular a recursos especializados
del centro de datos según la pertenencia a un grupo u otro. Además, las comprobaciones HIP se utilizan para
garantizar que los hosts que tienen acceso al centro de datos tienen los parches de seguridad actualizados.
Ilustración: Implementación de GlobalProtect con puertas de enlace internas y externas
170
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
Configuración de puerta de enlace externa e interna combinada
Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect
Paso 1
Nota
Creación de interfaces y zonas para
GlobalProtect.
En el cortafuegos que aloja la puerta de enlace del portal
(gp.acme.com):
En esta configuración, debe configurar las • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2
como interfaz de Ethernet de capa 3 con la dirección IP
interfaces en el cortafuegos que aloja un
198.51.100.42 y asígnela a la zona de seguridad l3-nofiable y el
portal y en todos los cortafuegos que
enrutador virtual predeterminado.
alojan una puerta de enlace.
Utilice el enrutador virtual predeterminado • Cree un registro “A” DNS que asigne la dirección IP
198.51.100.42 en gp.acme.com.
para que todas las configuraciones de la
interfaz eviten tener que crear el
• Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2.
enrutamiento entre zonas.
A continuación, añádala a la nueva zona denominada corp-vpn.
Asígnela al enrutador virtual predeterminado.
• Habilite la identificación de usuario en la zona corp-vpn.
En el cortafuegos que aloja la puerta de enlace externa
(gpvpn.acme.com):
• Seleccione Red > Interfaces > Ethernet y configure ethernet1/5
como interfaz de Ethernet de capa 3 con la dirección IP 192.0.2.4
y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual
predeterminado.
• Cree un registro “A” DNS que asigne la dirección IP 192.0.2.4 en
gpvpn.acme.com.
• Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.3.
A continuación, añádala a la nueva zona denominada corp-vpn.
Asígnela al enrutador virtual predeterminado.
• Habilite la identificación de usuario en la zona corp-vpn.
En el cortafuegos que aloja las puertas de enlace internas
(california.acme.com y newyork.acme.com):
• Seleccione Red > Interfaces > Ethernet y configure la interfaz de
Ethernet de capa 3 con direcciones IP en la red interna y asígnelas
a la zona de seguridad l3-fiable y al enrutador virtual predeterminado.
• Cree un registro “A” DNS que asigne las direcciones IP internas
california.acme.com y newyork.acme.com.
• Habilite la identificación de usuarios en la zona l3-fiable.
Guía del administrador de GlobalProtect
171
Configuración de puerta de enlace externa e interna combinada
Configuraciones rápidas
de GlobalProtect
Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect
Paso 2
Adquiera e instale una licencia de portal
de GlobalProtect en el cortafuegos que
aloja las suscripciones de portal y de
puerta de enlace en cada cortafuegos que
aloje una puerta de enlace (interna y
externa).
Después de adquirir la licencia del portal y las suscripciones de la
puerta de enlace y recibir su código de activación, instale la licencia
en el cortafuegos que aloja el portal e instale las suscripciones de la
puerta de enlace en los cortafuegos que alojan sus puertas de enlace
de la siguiente forma:
1. Seleccione Dispositivo > Licencias.
2.
Seleccione Activar característica mediante código de
autorización.
3.
Cuando se le indique, introduzca el Código de autorización y
haga clic en Aceptar.
4.
Compruebe que la licencia y las suscripciones se hayan activado
correctamente.
Póngase en contacto con su ingeniero de ventas o distribuidor de
Palo Alto Networks si no tiene todas las licencias necesarias. Si desea
más información sobre licencias, consulte Acerca de las licencias de
GlobalProtect.
Paso 3
Obtenga certificados de servidor para el
portal GlobalProtect y todas las puertas
de enlace de GlobalProtect.
El flujo de trabajo recomendado es el siguiente:
1. En el cortafuegos que aloja el portal:
a. Importe un certificado de servidor desde una CA externa
conocida.
Para conectarse al portal por primera vez,
los clientes finales deben confiar en el
certificado de CA raíz utilizado para
emitir el certificado de servidor del portal.
b. Cree el certificado de CA raíz para la emisión de certificados
autofirmados de los componentes de GlobalProtect.
Puede utilizar certificados autofirmados
en las puertas de enlace e implementar el
2.
certificado de CA raíz para los agentes en
la configuración cliente. Se recomienda
generar todos los certificados del
cortafuegos que aloja el portal e
implementarlos en las puertas de enlace.
Paso 4
c. Genere un nuevo certificado de servidor autofirmado.
Repita este paso para cada puerta de enlace.
En todos los cortafuegos que alojan una puerta de enlace:
a. Implemente los certificados de servidor autofirmados.
Defina cómo autenticará a los usuarios en el Puede utilizar cualquier combinación de perfiles de certificado o perfiles
portal y las puertas de enlace.
de autenticación como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales también pueden utilizar distintos esquemas de
autenticación. Consulte las siguientes secciones para obtener
instrucciones detalladas:
• Configuración de autenticación externa (perfil de autenticación)
• Configuración de la autenticación de certificado de cliente
(perfil del certificado)
• Configuración de la autenticación en dos fases (basada en token
u OTP)
Necesitará hacer referencia al perfil del certificado o perfiles de
autenticación que ha definido en las configuraciones de puerta de enlace
y portal.
172
Guía del administrador de GlobalProtect
Configuraciones rápidas
de GlobalProtect
Configuración de puerta de enlace externa e interna combinada
Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect
Paso 5
Cree los perfiles HIP que necesitará para 1.
aplicar la política de seguridad en el acceso
a la puerta de enlace.
Consulte Uso de información del host en
la aplicación de políticas para obtener más
información sobre las evaluaciones HIP.
2.
Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si está interesado en
avisar a usuarios no actualizados sobre los parches que
necesitan, puede que quiera crear un objeto HIP con el que
coincidir si el software de gestión de parches está instalado y que
todos los parches con una gravedad determinada estén
actualizados.
Cree los perfiles HIP que tiene pensado usar en sus políticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente
perfil HIP que coincidirá con los hosts a los que NO les falte
ningún parche:
Paso 6
Configure las puertas de enlace internas.
Seleccione Red > GlobalProtect > Puertas de enlace y agregue la
siguiente configuración:
• Interfaz
• Dirección IP
• Certificado de servidor
• Perfil de autenticación o Perfil de configuración
Observe que no es necesario configurar los ajustes de la
configuración cliente en las configuraciones de la puerta de enlace
(a no ser que desee establecer las notificaciones HIP) porque las
conexiones de túnel no son necesarias. Consulte Configuración de
una puerta de enlace para ver instrucciones detalladas sobre cómo
crear configuraciones de puerta de enlace.
Guía del administrador de GlobalProtect
173
Configuración de puerta de enlace externa e interna combinada
Configuraciones rápidas
de GlobalProtect
Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect
Paso 7
Configuración del portal de
GlobalProtect.
Seleccione Red > GlobalProtect > Portales y añada la siguiente
configuración:
1. Configuración del acceso al portal:
Aunque este ejemplo muestra cómo crear
una configuración cliente única que se
implementará para todos los agentes, puede
elegir crear configuraciones separadas para
distintos usos y, a continuación,
implementarlas según el nombre del
grupo/usuario o el sistema operativo en el 2.
que se ejecuta el agente/aplicación
(Android, iOS, Mac o Windows).
Interfaz: ethernet1/2
Dirección IP: 10.31.34.13
Certificado de servidor: GP-server-cert.pem emitido por Go Daddy
con CN=gp.acme.com
Creación de una configuración de cliente de GlobalProtect:
Detección de host interno: habilitada
Utilizar registro único: habilitado
Método de conexión: inicio de sesión de usuario
Dirección de puerta de enlace: gpvpn.acme.com
Dirección de puerta de enlace interna: california.acme.com,
newyork.acme.com
Usuario/grupo de usuarios: cualquiera
3.
Paso 8
Paso 9
Implementación del software del agente
de GlobalProtect.
Seleccione Dispositivo > Cliente de GlobalProtect.
En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.
En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect externa, cree una política de seguridad
(Políticas > Seguridad) que habilite el flujo del tráfico entre la zona corp-vpn y la zona l3-fiable. Además, para
permitir le acceso granular a sus recursos de centro de datos internos, cree políticas HIP y basadas en usuario/grupo.
Para obtener visibilidad, cree reglas que permitan a todos los usuarios un acceso de navegación Web a la zona
l3-nofiable usando perfiles de seguridad predeterminados que le protejan de amenazas conocidas.
Paso 10 Guarde la configuración de
GlobalProtect.
174
Compile la configuración del portal.
Haga clic en Compilar en el portal y en todas las puertas de enlace.
Guía del administrador de GlobalProtect
Descargar