Palo Alto Networks® Guía del administrador de GlobalProtect Versión 6.0 Información de contacto Sede de la empresa: Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/ Acerca de esta guía Esta guía le explica los procesos de configuración y mantenimiento de la infraestructura de GlobalProtect. Para obtener más información, consulte los siguientes recursos: Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el cortafuegos, consulte https://www.paloaltonetworks.com/documentation. Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte https://live.paloaltonetworks.com. Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com. Para leer las notas sobre la última versión, vaya la página de descarga de software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates. Para enviar sus comentarios sobre la documentación, diríjase a: [email protected]. Palo Alto Networks, Inc. www.paloaltonetworks.com © 2014 Palo Alto Networks. Todos los derechos reservados. Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las demás marcas comerciales son propiedad de sus respectivos propietarios. 810-000237-00A ii Contenido Descripción general de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 Acerca de los componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Portal GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Gestor de seguridad móvil de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 ¿Qué clientes son compatibles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Acerca de las licencias de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Configuración de la infraestructura de GlobalProtect. . . . . . . . . . . . . . . . . . . .7 Creación de interfaces y zonas para GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Habilitación de SSL entre componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Acerca de la implementación de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Recomendaciones para certificados de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Implementación de certificados de servidores en los componentes de GlobalProtect . . . . . . . . . . . . . 14 Configuración de la autenticación de usuario en GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Acerca de la autenticación de usuarios de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Configuración de autenticación externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Configuración de la autenticación de certificado de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Configuración de la autenticación en dos fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Habilitación de la asignación de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Configuración de una puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Configuración del acceso al portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Definición de las configuraciones de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Personalización del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda . . . . . . . . . . . . . . . . . 49 Implementación del software cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Implementación del software del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Implementación de la configuración del agente de forma transparente. . . . . . . . . . . . . . . . . . . . . . . . . 55 Descarga e instalación de la aplicación móvil de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Configuración del gestor de seguridad móvil de GlobalProtect . . . . . . . . . . . 61 Recomendaciones de implementación del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Configuración del acceso de gestión al gestor de seguridad móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Registro, licencia y actualización del gestor de seguridad móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Registro del dispositivo GP-100. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Guía del administrador de GlobalProtect iii Activación/recuperación de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Instalación de las actualizaciones de contenido y software de Panorama . . . . . . . . . . . . . . . . . . . . . . . 68 Configuración del gestor de seguridad móvil para la gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 70 Configuración del gestor de seguridad móvil para el registro de dispositivos. . . . . . . . . . . . . . . . . . . . 70 Configuración del gestor de seguridad móvil para la inscripción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Configuración del acceso de puerta de enlace al gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . 80 Definición de políticas de implementación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Acerca de la implementación de la política del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . 83 Recomendaciones sobre las políticas del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Integración del gestor de seguridad móvil con su directorio LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Definición de objetos y perfiles HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Creación de perfiles de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Creación de políticas de implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Verificación de la configuración del gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Configuración del acceso administrativo en el gestor de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . 112 Configuración de la autenticación administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Creación de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Gestión de dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos . . . . . . . . . . . 120 Etiquetar dispositivos manualmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Preetiquetado de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Supervisión de dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Administración de dispositivos remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Interacción con dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reacción ante la pérdida o sustracción de un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eliminación de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 128 129 130 Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles. . . . . . . . . . . . . . . . 131 Uso de información del host en la aplicación de políticas. . . . . . . . . . . . . . 133 Acerca de la información del host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Qué datos recopila el agente? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cómo usa la puerta de enlace la información del host para aplicar las políticas . . . . . . . . . . . . . . . . . ¿Cómo pueden saber los usuarios si sus sistemas cumplen los requisitos? . . . . . . . . . . . . . . . . . . . . . 134 134 136 136 Configuración de la aplicación de políticas basadas en HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Configuraciones rápidas de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . 145 VPN de acceso remoto (Perfil de autenticación) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 VPN de acceso remoto (Perfil del certificado) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 VPN de acceso remoto con autenticación de dos factores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 Configuración de VPN siempre activada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 VPN de acceso remoto con función anterior al inicio de sesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Configuración de varias puertas de enlace de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 GlobalProtect para comprobación de HIP interna y acceso basado en usuario. . . . . . . . . . . . . . . . . . . . . 165 Configuración de puerta de enlace externa e interna combinada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 iv Guía del administrador de GlobalProtect Descripción general de GlobalProtect Ya se trate de comprobar el correo electrónico desde casa o de actualizar documentos de empresa desde el aeropuerto, la mayoría de los empleados de hoy en día trabajan fuera de los límites físicos de la empresa. Este aumento de la movilidad de los trabajadores hace crecer la productividad y la flexibilidad al tiempo que introduce riesgos de seguridad significativos. Cada vez que un usuario abandona las instalaciones de la empresa con su portátil o dispositivo móvil, está sorteando el cortafuegos de la empresa y las políticas asociadas diseñadas para proteger tanto al usuario como la red. GlobalProtect resuelve los retos planteados por los usuarios itinerantes extendiendo las mismas políticas de última generación basadas en cortafuegos que se aplican a todos los usuarios dentro del perímetro físico de la empresa, independientemente de su ubicación. Las siguientes secciones ofrecen información conceptual acerca de la oferta de Palo Alto Networks GlobalProtect mediante la descripción de los componentes de GlobalProtect y las posibles situaciones de implementación: Acerca de los componentes de GlobalProtect ¿Qué clientes son compatibles? Acerca de las licencias de GlobalProtect Guía del administrador de GlobalProtect 1 Acerca de los componentes de GlobalProtect Descripción general de GlobalProtect Acerca de los componentes de GlobalProtect GlobalProtect ofrece una completa infraestructura para la gestión de su fuerza de trabajo itinerante para garantizar a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de donde se encuentren. Esta infraestructura incluye los siguientes componentes: Portal GlobalProtect Puertas de enlace de GlobalProtect Cliente de GlobalProtect Gestor de seguridad móvil de GlobalProtect Portal GlobalProtect El portal GlobalProtect proporciona las funciones de gestión para su infraestructura de GlobalProtect. Todos los sistemas clientes que participan en la red de GlobalProtect reciben información de configuración desde el portal, incluida información sobre las puertas de enlace disponibles, así como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad móvil. Además, el portal controla el comportamiento y la distribución del software del agente de GlobalProtect para los portátiles con Mac y Windows. (En dispositivos móviles, la aplicación GlobalProtect se distribuye a través de la App Store de Apple para los dispositivos iOS o mediante Google Play para dispositivos Android.) Si está usando la función Perfil de información del host (HIP), el portal también define qué información se recopila desde el host, incluyendo cualquier información personalizada que necesite. El portal se configura en una interfaz de cualquier cortafuegos de última generación de Palo Alto Networks. Puertas de enlace de GlobalProtect Las puertas de enlace de GlobalProtect permiten aplicar la seguridad al tráfico de agentes / aplicaciones de GlobalProtect. Asimismo, si la función HIP está habilitada, la puerta de enlace HIP genera un informe a partir de los datos sin procesar del host enviados por los clientes y puede usar dicha información para la aplicación de políticas. Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) o aplicar la seguridad. Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace de GlobalProtect que permite aplicar la política de seguridad para el acceso a recursos internos. Al usarla junto con el ID de usuario o las comprobaciones HIP, una puerta de enlace interna permite ofrecer un método preciso y seguro para identificar y controlar el tráfico por usuario o estado del dispositivo. Las puertas de enlace internas son útiles en entornos confidenciales que requieren acceso autenticado a los recursos críticos. Puede configurar una puerta de enlace interna tanto en el modo de túnel como de no túnel. Las puertas de enlace se configuran en una interfaz de cualquier cortafuegos de última generación de Palo Alto Networks. Puede ejecutar tanto una puerta de enlace y un portal en el mismo cortafuegos como múltiples puertas de enlace distribuidas por toda su empresa. 2 Guía del administrador de GlobalProtect Descripción general de GlobalProtect Acerca de los componentes de GlobalProtect Cliente de GlobalProtect El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a los recursos de su red a través de los portales y las puertas de enlace de GlobalProtect que ha implementado. Hay dos tipos de clientes de GlobalProtect: El agente de GlobalProtect: Se ejecuta en sistemas Windows y Mac OS y se implementa desde el portal de GlobalProtect. El comportamiento del agente (p. ej., qué pestañas pueden ver los usuarios, pueden los usuarios desinstalar el agente o no) se determina en la configuración del cliente que defina en el portal. La aplicación de GlobalProtect: Se ejecuta en dispositivos iOS y Android. Consulte ¿Qué clientes son compatibles? para obtener más información. El siguiente diagrama ilustra el modo en que los portales, puertas de enlace y agentes / aplicaciones de GlobalProtect se coordinan para ofrecer a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de donde se encuentren. Guía del administrador de GlobalProtect 3 Acerca de los componentes de GlobalProtect Descripción general de GlobalProtect Gestor de seguridad móvil de GlobalProtect El gestor de seguridad móvil de GlobalProtect ofrece gestión, visibilidad, e implementación de configuración automatizada para dispositivos móviles (tanto los de la empresa como del empleado) en su red. Dado que el gestor de seguridad móvil forma parte de la solución móvil de GlobalProtect, la puerta de enlace de GlobalProtect puede aprovechar la información de los dispositivos gestionados y usar la información ampliada del host recopilada por el gestor de seguridad móvil para ofrecer a los dispositivos gestionados una aplicación mejorada de las políticas de seguridad. Las puertas de enlace recuperan los perfiles HIP extendidos del gestor de seguridad móvil y usan la información para aplicar políticas de seguridad para los dispositivos que se conectan a su red. Las políticas de implementación que crea en el gestor de seguridad móvil ofrecen aprovisionamiento de cuentas simplificado para que los usuarios de dispositivos móviles puedan acceder a las aplicaciones de la empresa (tales como las configuraciones VPN y correo electrónico). También puede realizar ciertas acciones, tales como bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo si duda de la seguridad del mismo. Para comunicarse con un dispositivo, el gestor de seguridad móvil envía una notificación push mediante OTA. En el caso de dispositivos iOS, envía notificaciones push mediante el servicio Notificaciones Push de Apple (APN) y en el de dispositivos Android las envía mediante Mensajería de Google Cloud (GCM). Cuando un dispositivo recibe una notificación push, la comprueba estableciendo una conexión HTTPS con la interfaz de comprobación del dispositivo en el gestor de seguridad móvil. Cuando un dispositivo se registra en el gestor de seguridad móvil, envía información del host que incluye información adicional además de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una lista de todas las aplicaciones instaladas, la ubicación del dispositivo en el momento del registro (se puede deshabilitar), si el dispositivo tiene un código de acceso establecido o si está modificado o desbloqueado. Además, si el gestor de seguridad móvil tiene una suscripción WildFire, puede detectar si un dispositivo contiene software malintencionado (solo dispositivos Android). Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad móvil, puede crear una política de seguridad muy granular para usuarios de dispositivos móviles en sus puertas de enlace de GlobalProtect. 4 Guía del administrador de GlobalProtect Descripción general de GlobalProtect ¿Qué clientes son compatibles? ¿Qué clientes son compatibles? En la siguiente tabla se resume la compatibilidad con GlobalProtect de los siguientes dispositivos de sobremesa, portátiles y móviles, así como las versiones mínimas de agentes / aplicaciones GlobalProtect y PAN-OS necesarias para la compatibilidad: Versiones de clientes de OS compatibles Versión mínima de agente / aplicación Versión mínima de PAN-OS Apple Mac OS 10.6 1.1 4.1.0 o posterior Apple Mac OS 10.7 1.1 Apple Mac OS 10.8 1.1.6 Apple Mac OS 10.9 1.2 Windows XP (32 bits) 1.0 Windows Vista (32 bits y 64 bits) 1.0 Windows 7 (32 bits y 64 bits) 1.0 Windows 8 (32 bits y 64 bits) 1.2 Windows 8.1 (32 bits y 64 bits) 1.2 Windows Surface Pro 1.2 Apple iOS 6.0 o posterior* App 1.3 4.1.0 o posterior Google Android 4.0.3 o posterior* App 1.3 4.1.6 o posterior Clientes IPsec de X-Auth de terceros: N/D 5.0 o posterior 4.0 o posterior • VPNC en Ubuntu Linux 10.04 y CentOS 6 • Cliente IPsec integrado en iOS • Cliente IPsec integrado en Android * La app 2.0 es necesaria para que un dispositivo pueda ser gestionado por el gestor de seguridad móvil de GlobalProtect y el cortafuegos debe ejecutar PAN-OS 6.0. Guía del administrador de GlobalProtect 5 Acerca de las licencias de GlobalProtect Descripción general de GlobalProtect Acerca de las licencias de GlobalProtect Si tan solo quiere usar GlobalProtect para proporcionar una solución de red privada virtual (VPN), segura o de acceso remoto a través de una única puerta de enlace externa, no necesita licencia de GlobalProtect. Sin embargo, para usar algunas de las funciones más avanzadas, como múltiples puertas de enlace, aplicaciones móviles, gestión de seguridad móvil, comprobaciones de información del host o puertas de enlace internas, puede que necesite adquirir una o más de las siguientes licencias: Licencia de portal: Una licencia perpetua que debe instalarse una única vez en el cortafuegos que ejecute el portal para habilitar la compatibilidad con la puerta de enlace interna, múltiples puertas de enlace (internas o externas) o comprobaciones HIP. Suscripción de puerta de enlace: Una suscripción anual que habilita las comprobaciones de HIP y las actualizaciones de contenido asociadas. Esta licencia debe instalarse en cada cortafuegos que contenga puertas de enlace que realicen comprobaciones HIP. Asimismo, la licencia de puerta de enlace habilita la compatibilidad con aplicaciones móviles de GlobalProtect para iOS y Android. Licencia del gestor de seguridad móvil de GlobalProtect en el dispositivo GP-100: Una licencia perpetua de instalación única para el gestor de seguridad móvil basada en el número de dispositivos móviles que se van a gestionar. Esta licencia solo es necesaria si pretende gestionar más de 500 dispositivos móviles. Hay disponibles licencias perpetuas para 1000, 2000, 5000, 10 000, 25 000, 50 000 o 100 000 dispositivos móviles. Suscripción a WildFire en el gestor de seguridad móvil de GlobalProtect para el dispositivo GP-100: Usada junto con el gestor de seguridad móvil de GlobalProtect para la detección de software malintencionado APK en los dispositivos Android gestionados. Para habilitar el uso de detección de software malintencionado con el gestor de seguridad móvil de GlobalProtect, debe adquirir una suscripción a WildFire que se corresponda con la capacidad de la licencia del gestor de seguridad móvil de GlobalProtect. Función: Requisitos de licencia del cortafuegos Requisitos de licencia del gestor de seguridad móvil Licencia de portal Licencia de capacidad del gestor de seguridad móvil Suscripción de puerta de enlace Suscripción a WildFire Puerta de enlace única externa (Windows y Mac) Una o varias puertas de enlace internas Varias puertas de enlace externas Comprobaciones HIP Aplicación móvil para iOS o Android Gestor de seguridad móvil (requiere aplicación móvil de GlobalProtect para iOS o Android) Detección de software malintencionado APK Android del gestor de seguridad móvil 6 Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Para que GlobalProtect funcione, debe configurar la infraestructura básica que permite que todos los componentes se comuniquen. Básicamente, esto implica configurar las interfaces y zonas que a las que se conectarán los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace. Puesto que los componentes de GlobalProtect se comunican a través de canales seguros, debe adquirir e implementar todos los certificados SSL necesarios de los distintos componentes. Las siguientes secciones le guiarán a través de los pasos básicos para configurar la infraestructura de GlobalProtect: Creación de interfaces y zonas para GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Habilitación de la asignación de grupo Configuración de las puertas de enlace de GlobalProtect Configuración del portal de GlobalProtect Implementación del software cliente de GlobalProtect Guía del administrador de GlobalProtect 7 Creación de interfaces y zonas para GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de interfaces y zonas para GlobalProtect Debe configurar las siguientes interfaces y zonas para la infraestructura de GlobalProtect: Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes de GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma interfaz. El portal debe estar en una zona accesible desde fuera de su red, por ejemplo: no fiable. Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependen de si está configurando una puerta de enlace externa o una puerta de enlace interna, como se indica a continuación: – Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de túnel lógica para que el cliente se conecte con el fin de establecer un túnel VPN. La interfaz de bucle / capa 3 debe encontrarse en una zona externa, como no fiable. La interfaz de túnel puede estar en la misma zona que la interfaz que se conecta a sus recursos internos, por ejemplo, fiable, o bien, para mejorar la seguridad y la visibilidad, puede crear una zona separada, como corp-vpn. Si crea una zona separada para su interfaz de túnel, necesitará crear políticas de seguridad que habiliten el flujo del tráfico entre la zona VPN y la zona fiable. – Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. También puede crear una interfaz de túnel para acceder a sus puertas de enlace internas, pero no es necesario. Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a GlobalProtect a través de diferentes puertos y direcciones en Can GlobalProtect Portal Page be Configured to be Accessed on any Port? (¿Se puede configurar la página del portal de GlobalProtect para acceder desde cualquier dispositivo?) Si desea más información sobre portales y puertas de enlace, consulte Acerca de los componentes de GlobalProtect. Configuración de interfaces y zonas para GlobalProtect Paso 1 Nota Nota Configure una interfaz de capa 3 para cada 1. portal o puerta de enlace que pretenda implementar. Si la puerta de enlace y el portal se encuentran en el mismo cortafuegos, puede 2. usar una sola interfaz para ambos. Se recomienda usar direcciones IP estáticas 3. para el portal y la puerta de enlace. Seleccione Red > Interfaces > Ethernet o Red > Interfaces > Bucle invertido y, a continuación, seleccione la interfaz que quiere configurar para GlobalProtect. En este ejemplo, estamos configurando ethernet1/1 como la interfaz del portal. (Solo Ethernet) Seleccione Capa3 en el menú desplegable Tipo de interfaz. En la pestaña Configurar, seleccione la zona a la que pertenece la interfaz del portal o la puerta de enlace, como se indica a continuación: • Coloque los portales y las puertas de enlace externas en una zona no fiable para acceder mediante hosts desde fuera de su red, como l3-nofiable. • Coloque puertas de enlace internas en una zona interna, como l3-fiable. • Si aún no ha creado la zona, seleccione Nueva zona desde el menú desplegable Zona de seguridad. En el cuadro de diálogo Zona, defina un Nombre para una nueva zona y, a continuación, haga clic en ACEPTAR. 4. En el menú desplegable Enrutador virtual, seleccione predeterminado. 5. Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección 6. 8 IP y la máscara de red para asignarlas a la interfaz, por ejemplo: 208.80.56.100/24. Para guardar la configuración de la interfaz, haga clic en ACEPTAR. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de interfaces y zonas para GlobalProtect Configuración de interfaces y zonas para GlobalProtect (Continuación) Paso 2 Nota Nota En los cortafuegos donde se alojen puertas de enlace de GlobalProtect, configure la interfaz de túnel lógica que finalizará los túneles VPN establecidos por los agentes de GlobalProtect. 1. Seleccione Red > Interfaces > Túnel y haga clic en Añadir. 2. En el campo Nombre de interfaz, especifique un sufijo numérico, como.2. 3. En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad para definir la zona del siguiente modo: No se requieren direcciones IP en la interfaz de túnel a menos que requiera enrutamiento dinámico. Además, asignar una dirección IP a la interfaz de túnel puede resultar útil para solucionar problemas de conexión. • Para usar una zona fiable como punto de finalización del túnel, seleccione la zona del menú desplegable. • (Recomendado) Si quiere crear una zona separada para la finalización del túnel VPN, haga clic en Nueva zona. En el cuadro de diálogo Zona, defina un Nombre para la nueva zona (por ejemplo, vpn-corp), seleccione la casilla de verificación Habilitar identificación de usuarios y, a continuación, haga clic en ACEPTAR. Asegúrese de habilitar ID de usuario en la zona donde finalizan los túneles VPN. 4. En el menú desplegable Enrutador virtual, seleccione predeterminado. 5. (Opcional) Si quiere asignar una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4, haga clic en Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por ejemplo: 10.31.32.1/32. 6. Para guardar la configuración de la interfaz, haga clic en Aceptar. Paso 3 Si ha creado una zona separada para la finalización del túnel de las conexiones VPN, cree una política de seguridad para habilitar el flujo de tráfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de política habilita el tráfico entre la zona corp-vpn y la zona l3-fiable. Paso 4 Guarde la configuración. Nota Si ha habilitado el acceso de gestión a la interfaz donde se aloja el portal, debe añadir :4443 a la URL. Por ejemplo, para acceder a la interfaz web del portal configurado en este ejemplo, debería introducir lo siguiente: Haga clic en Compilar. https://208.80.56.100:4443 O bien, si ha configurado un registro DNS para FQDN, como gp.acme.com, debería introducir: https://gp.acme.com:4443 Guía del administrador de GlobalProtect 9 Habilitación de SSL entre componentes de GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Toda la interacción entre los componentes de GlobalProtect se realiza a través de una conexión SSL. Por lo tanto, debe generar o instalar los certificados necesarios antes de configurar cada componente, de modo que pueda hacer referencia a los certificados adecuados en las configuraciones. En las siguientes secciones se describen los métodos compatibles de implementación de certificados, las descripciones y las directrices de recomendaciones para los diversos certificados de GlobalProtect, además de ofrecer instrucciones para la generación e implementación de los certificados necesarios. Acerca de la implementación de certificados Recomendaciones para certificados de GlobalProtect Implementación de certificados de servidores en los componentes de GlobalProtect Acerca de la implementación de certificados Hay tres métodos básicos para implementar certificados para GlobalProtect: (Recomendado) Combinación de certificados de terceros y certificados autofirmados: Puesto que los clientes finales accederán al portal antes de la configuración de GlobalProtect, el cliente debe confiar en el certificado para establecer una conexión HTTPS. Del mismo modo, si está usando el gestor de seguridad móvil de GlobalProtect, ocurre lo mismo con los dispositivos móviles que acceden al gestor de seguridad móvil para su inscripción. Por lo tanto, el método recomendado consiste en adquirir el certificado de servidor del portal y el certificado de servidor para la interfaz de registro del dispositivo del gestor de seguridad móvil desde un certificado de CA fiable en el que ya confíen la mayoría de clientes finales con el fin de prevenir errores de certificado. Una vez conectado correctamente, el portal puede enviar cualquier otro certificado requerido (por ejemplo, el certificado de CA raíz para la puerta de enlace) al cliente final. Autoridad de certificación empresarial: Si ya cuenta con su propia autoridad de certificación empresarial, puede usar esta CA interna para emitir certificados de cada uno de los componentes de GlobalProtect y, a continuación, importarlos desde los cortafuegos donde se alojan su portal y sus puertas de enlace y desde el gestor de seguridad móvil. En este caso, debe asegurarse de que los dispositivos móviles o sistemas del usuario final confíen en el certificado de CA raíz usado para emitir los certificados para los servicios de GlobalProtect a los que deben conectarse. Certificados autofirmados: Puede generar un certificado de CA autofirmado en el portal y usarlo para emitir certificados de todos los componentes de GlobalProtect. Sin embargo, esta solución es menos segura que otras opciones y, por lo tanto, no se recomienda. Si aun así elige esta opción, los usuarios finales verán un error de certificado la primera vez que se conecten al portal. Para evitar esto, puede implementar manualmente un certificado de CA raíz autofirmado para todos los sistemas de usuarios finales o usar algún tipo de implementación centralizada, como un objeto de directiva de grupo (GPO) de Active Directory. 10 Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Recomendaciones para certificados de GlobalProtect En la siguiente tabla se resumen los certificados SSL que necesitará dependiendo de las funciones que pretenda usar: Tabla: Requisitos de certificados para GlobalProtect Certificado Uso Proceso de emisión / Recomendaciones Certificado de CA Usado para firmar certificados Si pretende usar certificados autofirmados, es recomendable emitidos para los componentes generar un certificado de CA en el portal y, a continuación, usar de GlobalProtect. dicho certificado para emitir los certificados necesarios para GlobalProtect. Certificado de servidor del portal • Se recomienda usar un certificado emitido por una CA Habilita a los agentes / externa conocida. Es la opción más segura y garantiza que los aplicaciones de GlobalProtect clientes finales puedan establecer una relación de confianza para que establezcan una con el portal sin necesidad de que implemente el certificado conexión HTTPS con el portal. de CA raíz. El campo de nombre común (CN) y, si es aplicable, de • Si no usa una CA pública conocida, debería exportar el nombre alternativo del asunto certificado de CA raíz usado para generar el certificado de (SAN) del certificado deben servidor del portal a todos los sistemas cliente que usen coincidir exactamente con la GlobalProtect con el fin de evitar que los usuarios finales dirección IP o con el nombre vean advertencias de certificados durante la conexión inicial de dominio completo (FQDN) al portal. de la interfaz donde está alojado • Si está implementando un portal y una única puerta de enlace el portal. en la misma interfaz / dirección IP para un acceso básico a VPN, debe usar un certificado de servidor único para ambos componentes. Certificado de servidor de la puerta de enlace • Cada puerta de enlace debe tener su propio certificado de Habilita a los agentes / servidor. aplicaciones de GlobalProtect para que establezcan una • Se recomienda generar un certificado de CA en el portal y conexión HTTPS con el portal. usar dicho certificado para generar todos los certificados de El campo de nombre común puertas de enlace. (CN) y, si es aplicable, de • El portal puede distribuir el certificado de CA raíz de la puerta nombre alternativo del asunto de enlace a todos los agentes en la configuración del cliente, (SAN) del certificado deben de modo que no sea necesario que una CA pública emita coincidir exactamente con el todos los certificados de puerta de enlace. FQDN o la dirección IP de la • Si está implementando un portal y una única puerta de enlace interfaz donde pretende en la misma interfaz / dirección IP para un acceso básico a configurar la puerta de enlace. VPN, debe usar un certificado de servidor único para ambos componentes. Se recomienda usar un certificado emitido por una CA pública. Guía del administrador de GlobalProtect 11 Habilitación de SSL entre componentes de GlobalProtect Configuración de la infraestructura de GlobalProtect Certificado Uso Proceso de emisión / Recomendaciones (Opcional) Certificado de cliente Sirve para habilitar la autenticación mutua entre los agentes de GlobalProtect y las puertas de enlace o el portal. • Para simplificar la implementación de certificados de cliente, configure el portal para que implemente el certificado de cliente a los agentes al realizarse correctamente el inicio de sesión. En esta configuración, todos los agentes de GlobalProtect que usen la misma configuración comparten un único certificado de cliente; el objetivo de este certificado es asegurarse de que solo los clientes de su organización tengan permiso para conectarse. Además de habilitar la autenticación mutua al establecer una sesión HTTPS entre el cliente y el portal / puerta de enlace, también puede • Puede usar otros mecanismos para implementar certificados usar certificados de cliente para de clientes exclusivos para cada sistema de cliente que se autenticar a usuarios finales. usarán en la autenticación del usuario final. • Tal vez deba probar su configuración primero sin el certificado de cliente y, a continuación, añadir el certificado del cliente cuando esté seguro de que el resto de ajustes de la configuración son correctos. (Opcional) Certificado de máquina Garantiza que solo se puedan conectar a GlobalProtect los equipos fiables. Además, los certificados de máquina son necesarios para el uso del método de conexión anterior al inicio de sesión, lo que permite el establecimiento de túneles VPN antes de que el usuario inicie sesión. Certificados de servidor • Permite a los dispositivos del gestor de seguridad móviles establecer sesiones móvil HTTPS con el gestor de seguridad móvil para su inscripción o registro. • Permite a las puertas de enlace conectarse al gestor de seguridad móvil para recuperar informes HIP para los dispositivos móviles gestionados. Si pretende usar la función anterior al inicio de sesión, debe utilizar su propia infraestructura PKI para implementar los certificados de máquina en cada sistema de cliente antes de habilitar el acceso a GlobalProtect. Para obtener más información, consulte VPN de acceso remoto con función anterior al inicio de sesión. • Puesto que los dispositivos deben confiar en el gestor de seguridad móvil para inscribirse, se recomienda adquirir un certificado para la interfaz de registro del dispositivo del gestor de seguridad móvil desde una CA fiable y conocida. Si no utiliza una CA fiable para emitir certificados de la interfaz de registro del dispositivo del gestor de seguridad móvil, tendrá que implementar el certificado de CA raíz del gestor de seguridad móvil para dispositivos móviles a través de la configuración del portal (a fin de habilitar el dispositivo para que establezca una conexión SSL con el gestor de seguridad móvil para su inscripción). • Si la interfaz de registro del dispositivo está en una interfaz • El campo de nombre común diferente a la que se conectan las puertas de enlace para la (CN) y, si es aplicable, de recuperación de HIP, necesitará certificados de servidor nombre alternativo del asunto separados para cada interfaz. (SAN) del certificado deben coincidir exactamente con la Si desea información detallada, consulte Configuración del dirección IP o con el nombre gestor de seguridad móvil de GlobalProtect. de dominio completo (FQDN) de la interfaz. 12 Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Certificado Uso Proceso de emisión / Recomendaciones Certificado de gestor de seguridad móvil del servicio Notificaciones Push de Apple (APN) Permite que el gestor de seguridad móvil envíe notificaciones push a los dispositivos iOS gestionados. • Debe generar una solicitud de firma de certificado (CSR) para este certificado en el gestor de seguridad móvil y, a continuación, enviarlo al portal de perfiles de datos de iOS de Apple (requiere inicio de sesión) para la firma. • Apple solo admite CSR firmados mediante SHA 1 Message Digest y claves de 2048 bits. Consulte Configuración del gestor de seguridad móvil para el registro de dispositivos para obtener información detallada sobre cómo realizar esta configuración. Certificados de identidad Habilitan el gestor de seguridad móvil y, opcionalmente, la puerta de enlace para establecer sesiones SSL mutuamente autenticadas con dispositivos móviles. Guía del administrador de GlobalProtect El gestor de seguridad móvil gestiona la implementación de certificados de identidad para los dispositivos que gestiona. Consulte Configuración del gestor de seguridad móvil para la inscripción para obtener información detallada sobre cómo realizar esta configuración. 13 Habilitación de SSL entre componentes de GlobalProtect Configuración de la infraestructura de GlobalProtect Implementación de certificados de servidores en los componentes de GlobalProtect El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los componentes de GlobalProtect: Implementación de certificados de servidores SSL en los componentes de GlobalProtect • Importe un certificado de servidor desde una CA Para importar un certificado y una clave desde una CA pública, asegúrese de que se puede acceder a los archivos de clave y externa conocida. certificado desde su sistema de gestión y de que tiene la frase de Recomendación: contraseña para descifrar la clave privada. A continuación, siga estos Use un certificado de servidor de una CA externa pasos: conocida para el portal de GlobalProtect y el 1. Seleccione Configuración > Gestión de certificados > gestor de seguridad móvil. De este modo puede Certificados > Certificados de dispositivos. asegurarse de que los clientes finales podrán 2. Haga clic en Importar e introduzca un nombre de certificado. establecer una conexión HTTPS sin recibir advertencias de certificado. Nota El campo de nombre común (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado deben coincidir exactamente con el nombre de dominio completo (FQDN) o la dirección IP de la interfaz donde pretende configurar el portal o la interfaz de registro del dispositivo en el gestor de seguridad móvil. Admite coincidencias con comodines. 3. Introduzca la ruta y el nombre en el Archivo de certificado que recibió de la CA o seleccione Examinar para buscar el archivo. 4. Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo. 5. Seleccione la casilla de verificación Importar clave privada. 6. Introduzca la ruta y el nombre en el archivo PKCS#12 en el campo Archivo de clave o seleccione Examinar para encontrarla. 7. Vuelva a introducir la frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave. • Cree el certificado de CA raíz para la emisión de Para usar certificados autofirmados, primero debe crear un certificados autofirmados de los componentes de certificado de CA raíz que servirá para firmar los certificados de componentes de GlobalProtect del siguiente modo: GlobalProtect. 1. Para crear un certificado de CA raíz, seleccione Dispositivo > Recomendación: Cree el certificado de CA raíz en el portal y úselo para emitir certificados de servidor para puertas 2. de enlace y, de manera opcional, clientes. 14 Gestión de certificados > Certificados > Certificados de dispositivos y, a continuación, haga clic en Generar. Introduzca un nombre de certificado, como GlobalProtect_CA. El nombre de certificado no puede puede contener espacios. 3. No seleccione ningún valor en el campo Firmado por (esto es lo que indica que está autofirmado). 4. Seleccione la casilla de verificación Autoridad del certificado y, a continuación, haga clic en Aceptar para generar el certificado. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de SSL entre componentes de GlobalProtect Implementación de certificados de servidores SSL en los componentes de GlobalProtect (Continuación) • Genere un nuevo certificado de servidor autofirmado. Recomendación: Use la CA raíz en el portal para generar certificados de servidor para cada puerta de enlace que pretende implementar y, de manera opcional, para la interfaz de gestión del gestor de seguridad móvil (si esta es la interfaz que usarán las puertas de enlace para recuperar los informes HIP). Nota En los certificados de servidor de la puerta de enlace, los valores en los campos Nombre común (CN) y Nombre alternativo del asunto (SAN) en el certificado deben ser idénticos. De lo contrario, el agente de GlobalProtect detectará la discrepancia al comprobar la cadena de confianza del certificado y no confiará en el certificado. Los certificados autofirmados solo contendrán un campo SAN si añade un atributo de certificado Nombre de host. • Implemente los certificados de servidor autofirmados. 1. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y, a continuación, haga clic en Generar. 2. Introduzca un nombre de certificado. El nombre de certificado no puede puede contener espacios. 3. Introduzca el FQDN (recomendado) o la dirección IP de la interfaz donde pretende configurar la puerta de enlace en el campo Nombre común. 4. En el campo Firmado por, seleccione GlobalProtect_CA, que creó en el paso anterior. 5. En la sección Atributos del certificado, haga clic en Añadir y defina los atributos para identificar de forma exclusiva la puerta de enlace. Tenga en cuenta que si añade un atributo Nombre de host (que cumplimenta el campo SAN del certificado), debe coincidir exactamente con el valor que haya definido en el campo Nombre común. 6. Haga clic en Aceptar para generar el certificado. 7. Compile sus cambios. 1. En el portal, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos, seleccione el certificado de puerta de enlace que quiere implementar y haga clic en Exportar. 2. Seleccione Clave privada cifrada y certificado (PKCS12) en el menú desplegable Formato de archivo. 3. Introduzca dos veces una frase de contraseña para cifrar la clave privada y, a continuación, haga clic en ACEPTAR para descargar el archivo PKCS12 en su ordenador. 4. En la puerta de enlace, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivo y haga clic en Importar. 5. Introduzca un nombre de certificado. 6. Introduzca la ruta y el nombre en el archivo de certificado que acaba de descargar del portal o seleccione Examinar para buscar el archivo. 7. Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo. Recomendaciones: • Exporte los certificados de servidor autofirmados emitidos por la CA raíz al portal e impórtelos desde las puertas de enlace. • Asegúrese de emitir un único certificado de servidor para cada puerta de enlace. • Al usar certificados autofirmados, debe distribuir el certificado de CA raíz a los clientes finales en las configuraciones de clientes del portal. 8. Introduzca la ruta y nombre en el archivo PKCS#12 en el campo Archivo de clave o seleccione Examinar para encontrarla. 9. Vuelva a introducir la frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave. 10. Compilar los cambios en la puerta de enlace. Guía del administrador de GlobalProtect 15 Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect El portal y la puerta de enlace requieren las credenciales autenticación del usuario final antes de que permitir al agente / aplicación de GlobalProtect acceder a los recursos de GlobalProtect. Puesto que el portal y la puerta de enlace le piden que especifique qué mecanismos de autenticación se usarán, debe configurar la autenticación antes de continuar con la configuración del portal y la puerta de enlace. En las siguientes secciones se detallan los mecanismos de autenticación admitidos y el modo de configurarlos: Acerca de la autenticación de usuarios de GlobalProtect Configuración de autenticación externa Configuración de la autenticación de certificado de cliente Configuración de la autenticación en dos fases Acerca de la autenticación de usuarios de GlobalProtect La primera vez que un agente / aplicación de GlobalProtect se conecta al portal, se solicita al usuario que se autentique en el portal para poder descargar la configuración de GlobalProtect, que incluye una lista de puertas de enlace a las que se puede conectar el agente, la ubicación del gestor de seguridad móvil y, de manera opcional, un certificado de cliente para conectarse a las puertas de enlace. Cuando se haya descargado correctamente la configuración y se haya guardado en caché, el agente / aplicación trata de conectarse a una de las puertas de enlace especificadas en la configuración o al gestor de seguridad móvil. Puesto que estos componentes ofrecen acceso a sus recursos y configuraciones de red, también requieren la autenticación del usuario final. El nivel de seguridad requerido en el portal, en el gestor de seguridad móvil y en las puertas de enlace (e incluso de una puerta de enlace a otra) varía en función de la confidencialidad de los recursos que cada uno protege; GlobalProtect ofrece un marco de autenticación flexible que le permite elegir el perfil de autenticación o el perfil de certificado adecuado para cada componente. Las siguientes secciones describen las funciones de autenticación disponibles en el portal y la puerta de enlace. Para obtener información detallada acerca de la configuración de la autenticación, consulte Configuración del gestor de seguridad móvil para la inscripción. 16 Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Métodos de autenticación de GlobalProtect admitidos GlobalProtect es compatible con los siguientes métodos de autenticación: Método de autenticación Descripción Autenticación local Tanto las credenciales de cuenta de usuario como los mecanismos de autenticación se encuentran en el cortafuegos. Este mecanismo de autenticación no es adaptable, ya que requiere una cuenta para cada usuario final de GlobalProtect y, por lo tanto, solo se recomienda para implementaciones muy pequeñas. Para obtener instrucciones sobre cómo crear cuentas de usuarios locales, consulte la guía de inicio de PAN-OS. Autenticación externa Las funciones de autenticación de usuarios se externalizan a un servicio LDAP, Kerberos o RADIUS existente (incluyendo la compatibilidad con mecanismos de autenticación en dos fases basada en token, tales como la autenticación OTP [contraseña de un solo uso]). Para habilitar la autenticación externa, primero debe crear un perfil de servidor que defina la configuración de acceso al servicio de autenticación externa y, a continuación, crear un perfil de autenticación que haga referencia al perfil de servidor. Entonces tendrá que hacer referencia al perfil de autenticación en la configuración del portal, la puerta de enlace o el gestor de seguridad móvil. Puede usar diferentes perfiles de autenticación para cada componente de GlobalProtect. Consulte un ejemplo de configuración en VPN de acceso remoto (Perfil de autenticación). Autenticación de certificación El portal o la puerta de enlace usan un certificado de cliente para obtener el nombre de usuario y de cliente autenticar al usuario antes de permitirle acceder al sistema. Con este tipo de autenticación, debe emitir un certificado de cliente para cada usuario final; los certificados que emita deben contener el nombre de usuario en uno de los campos del certificado, como el campo Nombre de asunto. Si se ha configurado el perfil del certificado en el portal de GlobalProtect, el cliente debe presentar un certificado para conectarse. Esto significa que los certificados deben implantarse previamente en clientes finales antes de su conexión inicial al portal. Además, el perfil del certificado especifica el campo del certificado del que obtener el nombre de usuario. Si el perfil del certificado especifica Asunto en Campo nombre de usuario, el certificado presentado por el cliente debe contener un nombre común para poder conectarse. Si el perfil del certificado especifica un Asunto alternativo con un Correo electrónico o Nombre principal como Campo de nombre de usuario, el certificado presentado por el cliente debe contener los campos correspondientes, que se usarán como nombre de usuario cuando el agente de GlobalProtect se autentique en el portal o la puerta de enlace. GlobalProtect también es compatible con una tarjeta de acceso común (CAC) y autenticación con tarjetas inteligentes, que se basan en un perfil del certificado. En este caso, el perfil del certificado debe contener el certificado de CA raíz que emitió el certificado en la tarjeta inteligente/CAC. Si usa la autenticación de certificado de cliente, no debería configurar un certificado de cliente en la configuración del portal, ya que lo proporcionará el sistema del cliente cuando se conecte el usuario final. En VPN de acceso remoto (Perfil del certificado) puede ver un ejemplo de cómo configurar una autenticación de certificado de cliente. Guía del administrador de GlobalProtect 17 Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Método de autenticación Descripción Autenticación en dos fases Puede habilitar la autenticación en dos fases configurando tanto un perfil de certificado como un perfil de autenticación y añadir ambos a la configuración de portal o puerta de enlace. Tenga en cuenta que con la autenticación en dos fases, el cliente deberá autenticarse correctamente en ambos mecanismos para poder acceder al sistema. Además, si el perfil de certificado especifica un Campo nombre de usuario desde el que obtener el nombre de usuario del certificado, el nombre de usuario se usará automáticamente para la autenticación en el servicio de autenticación externo especificado en el perfil de autenticación. Por ejemplo, si en el perfil del certificado Campo nombre de usuario se ha definido como Asunto, el valor en el campo de nombre común del certificado se usará por defecto como el nombre de usuario cuando el usuario intente autenticarse en el servidor de autenticación. Si no quiere obligar a los usuarios a autenticarse con un nombre de usuario desde el certificado, asegúrese de que el perfil del certificado se ha establecido en Ninguno para Campo nombre de usuario. Consulte un ejemplo de configuración en VPN de acceso remoto con autenticación de dos factores. ¿Cómo sabe el agente qué credenciales proporcionar al portal y la puerta de enlace? Por defecto, el agente de GlobalProtect intenta usar las mismas credenciales de inicio de sesión para la puerta de enlace y el portal. En el caso más sencillo, si la puerta de enlace y el portal usan el mismo perfil de autenticación o perfil de certificado, el agente se conectará a la puerta de enlace de forma transparente. Sin embargo, si el portal y la puerta de enlace requieren credenciales diferentes (tales como OTP exclusivas), este comportamiento predeterminado provocaría retrasos en la conexión a la puerta de enlace porque esta no avisaría al usuario para que se autenticase hasta que hubiera intentado autenticarse sin éxito mediante las credenciales proporcionadas por el agente. Hay dos opciones para modificar el comportamiento de la autenticación predeterminada del agente en una configuración basada en el cliente: Autenticación de cookies en el portal: El agente usa cookies cifradas para la autenticación en el portal al actualizar una configuración que se ha almacenado previamente en caché (se solicitará la autenticación del usuario siempre que se trate de la configuración inicial o al expirar una cookie). De este modo se simplifica el proceso de autenticación para usuarios finales, puesto que ya no tendrán que iniciar sesión sucesivamente tanto en el portal como en la puerta de enlace o introducir varias OTP para autenticarse en ambas. Deshabilitación del reenvío de credenciales a algunas o todas las puertas de enlace: El agente no intentará usar sus credenciales del portal para iniciar sesión en la puerta de enlace, lo que permite a la puerta de enlace solicitar inmediatamente su propio conjunto de credenciales. Esta opción acelera el proceso de autenticación cuando el portal y la puerta de enlace requieren credenciales distintas (ya se trate de OTP distintas o credenciales de inicio de sesión completamente diferentes). También puede optar por usar usar una contraseña diferente solo para puertas de enlace manuales. Con esta opción, el agente reenviará credenciales a puertas de enlace automáticas pero no a las manuales, lo que le permite tener la misma seguridad en sus portales y en las puertas de enlace automáticas, y al mismo tiempo solicitar una OTP como segundo factor o una contraseña diferente para acceder a esas puertas de enlace, que permiten acceder a los recursos más importantes de su empresa. 18 Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Configuración de autenticación externa En el siguiente flujo de trabajo se describe el modo de configurar el portal o la puerta de enlace para la autenticación de usuarios mediante un servicio de autenticación existente. GlobalProtect admite la autenticación externa mediante LDAP, Kerberos o RADIUS. GlobalProtect también es compatible con la autenticación local. Para usar este método de autenticación, cree una base de datos de usuarios locales que contenga los usuarios y grupos a los que quiere permitir el acceso a la VPN (Dispositivo > Base de datos de usuario local) y haga una referencia en el perfil de autenticación. Configuración de la autenticación de usuarios externa Paso 1 Cree un perfil de servidor. El perfil de servidor indica al cortafuegos cómo conectar con un servicio de autenticación externo y acceder a las credenciales de autenticación de los usuarios. Nota 1. 2. 3. 4. Si está usando LDAP para conectarse a Active Directory (AD), debe crear un perfil de servidor LDAP diferente para cada dominio de AD. 5. Seleccione Dispositivo > Perfiles de servidor y seleccione el tipo de perfil (LDAP, Kerberos o RADIUS). Haga clic en Añadir e introduzca un Nombre para el perfil, como Aut-Usuarios-GP (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se esté conectando. Haga clic en Añadir en la sección Servidores e introduzca la información requerida para el servicio de autenticación, incluido el Nombre, Dirección IP (o FQDN) y Puerto del servidor. (Solo RADIUS y LDAP) Especifique la configuración para habilitar la autenticación del cortafuegos en el servicio de autenticación del siguiente modo: • RADIUS: Introduzca el Secreto compartido al añadir la entrada del servidor. • LDAP: Introduzca el valor de Enlazar DN y Enlazar contraseña. 6. (Solo LDAP y Kerberos) Especifique dónde buscar a los usuarios en el servicio del directorio: • LDAP: DN de Base especifica el punto en el árbol del LDAP donde empezar a buscar usuarios y grupos. Este campo debería cumplimentarse automáticamente al introducir el puerto y la dirección del servidor. De no ser así, compruebe la ruta del servicio al servidor LDAP. • Kerberos: Introduzca el nombre del Dominio de Kerberos. 7. 8. Paso 2 Cree un perfil de autenticación. 1. El perfil de autenticación especifica qué perfil de servidor se usa para la autenticación 2. de usuarios. Puede adjuntar un perfil de autenticación a una configuración de portal 3. o puerta de enlace. 4. 5. Paso 3 Guarde la configuración. Guía del administrador de GlobalProtect Especifique el nombre del Dominio (sin puntos, por ejemplo acme, no acme.com). Este valor se añadirá al nombre de usuario en la dirección IP para las asignaciones de usuarios a los ID de usuario. Haga clic en Aceptar para guardar el perfil de servidor. Seleccione Dispositivo > Perfil de autenticación y haga clic en Añadir un nuevo perfil. Introduzca un Nombre para el perfil y, a continuación, seleccione el tipo de Autenticación (LDAP, Kerberos o RADIUS). Seleccione el Perfil de servidor que creó en el Paso 1. (LDAP AD) Introduzca sAMAccountName como el Atributo de inicio de sesión. Haga clic en ACEPTAR. Haga clic en Compilar. 19 Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de certificado de cliente Con la autenticación de certificado del cliente, el agente / aplicación debe presentar un certificado de cliente para conectarse al portal o puerta de enlace de GlobalProtect. Configuración de la autenticación de certificado de cliente Paso 1 Emita certificados de cliente para máquinas/usuarios de GlobalProtect. El método de emisión de certificados de cliente depende del modo en que esté usando la autenticación de clientes: • Para autenticar usuarios individuales: Debe emitir un certificado de cliente exclusivo para cada usuario de GlobalProtect e implementarlos en los sistemas del cliente antes de habilitar GlobalProtect. • Para validar que el sistema del cliente pertenece a su organización: Use su propia infraestructura de clave pública (PKI) para emitir y distribuir certificados de máquina a cada sistema de cliente (recomendado) o genere un certificado de máquina autofirmado para su exportación. Es un requisito anterior al inicio de sesión. Esta opción requiere que configure además un perfil de autenticación para autenticar al usuario. Consulte Autenticación en dos fases. • Para validar que un usuario pertenece a su organización: En este caso, puede usar un único certificado de cliente para todos los agentes, o bien generar certificados separados para implementarlos con una configuración de cliente en particular. Use el procedimiento de este paso para emitir certificados de cliente autofirmados para tal fin. 20 Para emitir certificados exclusivos para clientes o máquinas individuales, use su CA de empresa o una CA pública. Sin embargo, si quiere usar certificados de cliente para validar que el usuario pertenece a su organización, genere un certificado de cliente autofirmado como se especifica a continuación: 1. Cree el certificado de CA raíz para la emisión de certificados autofirmados de los componentes de GlobalProtect. 2. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y, a continuación, haga clic en Generar. 3. Introduzca un nombre de certificado. El nombre de certificado no puede puede contener espacios. 4. En el campo Nombre común, introduzca un nombre para identificar este certificado como certificado de agente; por ejemplo, Clientes_Windows_GP. Dado que este mismo certificado se implementará a todos los agentes usando la misma configuración, no es necesario identificar de forma exclusiva usuarios finales o sistemas específicos. 5. (Opcional) En la sección Atributos del certificado, haga clic en Añadir y defina los atributos que identifican a los clientes de Global Protect como pertenecientes a su organización si forma parte de sus requisitos de seguridad. 6. En el campo Firmado por, seleccione su CA raíz. 7. Haga clic en Aceptar para generar el certificado. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Configuración de la autenticación de certificado de cliente (Continuación) Paso 2 Instale certificados en el almacén de certificados personales de los sistemas cliente. Si está usando certificados de usuario o certificados de máquina exclusivos, cada certificado debe instalarse en el almacén de certificados personales del sistema cliente antes de la primera conexión al portal / puerta de enlace. Instale certificados de máquina en el almacén de certificados del equipo local en Windows y en el llavero del sistema de Mac OS. Instale certificados de usuario en el almacén de certificados del usuario actual en Windows y en el llavero personal de Mac OS. Guía del administrador de GlobalProtect Por ejemplo, para instalar un certificado en un sistema Windows usando Microsoft Management Console: 1. Desde la línea de comandos, introduzca mmc para iniciar la consola. 2. Seleccione Archivo > Agregar o quitar complemento. 3. Seleccione Certificados, haga clic en Agregar y, a continuación, seleccione una de las siguientes opciones, dependiendo del certificado que esté importando: • Cuenta de equipo: Seleccione esta opción si está importando un certificado de máquina. • Mi cuenta de usuario: Seleccione esta opción si está importando un certificado de usuario. 4. Expanda Certificados y seleccione Personal. A continuación, en la columna Acciones seleccione Personal > Acciones adicionales > Todas las tareas > Importar y siga los pasos del Asistente para importación de certificados para importar el archivo PKCS que ha obtenido de la CA. 5. Desplácese hasta el archivo de certificado .p12 para importar (seleccione Intercambio de información personal como el tipo de archivo que busca) e introduzca la contraseña que usó para cifrar la clave privada. Seleccione Personal como el almacén de certificados. 21 Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de certificado de cliente (Continuación) (Continuación del Paso 2) 6. Compruebe que se ha añadido el certificado al almacén de certificados personales: Paso 3 1. Descargue el certificado de CA raíz usado para emitir los certificados de clientes (formato Base64). 2. Importe el certificado de CA raíz desde la CA que generó los certificados de cliente al cortafuegos: Importe el certificado de CA raíz usado para emitir los certificados de clientes desde el cortafuegos. Este paso solo es necesario si los certificados de clientes fueron emitidos por una CA externa, como una CA pública o una CA PKI de empresa. Si usa certificados autofirmados, el portal / puerta de enlace ya confía en la CA raíz. a. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y haga clic en Importar. b. Introduzca un Nombre de certificado que identifique al certificado como su certificado de CA de cliente. c. Desplácese hasta el archivo del certificado que descargó de la CA. d. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y, a continuación, haga clic en Aceptar. e. Seleccione el certificado que acaba de importar en la pestaña Certificados de dispositivos para abrirlo. f. Seleccione CA raíz de confianza y, a continuación, haga clic en Aceptar. 1. Paso 4 Cree un perfil de certificado de cliente. Nota Si está configurando el portal o puerta de enlace con autenticación en dos fases, se usará como nombre de usuario el nombre 2. de usuario del certificado de cliente cuando se autentique al usuario en su servicio de autenticación externo. De este 3. modo se garantiza que el usuario que se está registrando es en realidad el usuario para el que se emitió el certificado. Paso 5 22 Guarde la configuración. Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil del certificado, haga clic en Añadir e introduzca un Nombre de perfil. Seleccione un valor para el Campo de nombre de usuario para especificar qué campo en el certificado contendrá la información de identidad del usuario. En el campo Certificados de CA, haga clic en Añadir, seleccione el certificado de CA raíz de confianza que importó en el Paso 3 y, a continuación, haga clic en ACEPTAR. Haga clic en Confirmar. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Configuración de la autenticación en dos fases Si necesita una autenticación sólida para proteger sus recursos más importantes o para cumplir con requisitos normativos, como PCI, SDX o HIPAA, configure GlobalProtect para usar un servicio de autenticación que use un esquema de autenticación en dos fases como contraseñas de un solo uso (OTP), tokens, tarjetas inteligentes o una combinación de autenticación externa y autenticación de certificado de cliente. Un esquema de autenticación en dos fases requiere dos elementos: algo que conozca el usuario final (como un PIN o una contraseña) y algo que el usuario tenga (hardware o de token/OTP, tarjeta inteligente o certificado). Las siguientes secciones ofrecen ejemplos de cómo configurar una autenticación en dos fases en GlobalProtect: Habilitación de la autenticación en dos fases Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP) Habilitación de autenticación en dos fases mediante tarjetas inteligentes Habilitación de la autenticación en dos fases El siguiente flujo de trabajo muestra cómo configurar la autenticación de clientes de GlobalProtect que requiere que el usuario se autentique tanto con un perfil de certificado como con un perfil de autenticación. El usuario debe autenticarse correctamente usando ambos métodos para poder conectarse al portal/puerta de enlace. Si desea información más detallada sobre esta configuración, consulte VPN de acceso remoto con autenticación de dos factores. Guía del administrador de GlobalProtect 23 Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de la autenticación en dos fases Paso 1 1. Seleccione Dispositivo > Perfiles de servidor y seleccione el tipo de perfil (LDAP, Kerberos o RADIUS). 2. Haga clic en Añadir e introduzca un Nombre para el perfil, como Aut-Usuarios-GP. 3. (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se esté conectando. 4. Si está usando LDAP para conectarse a Active Directory (AD), debe crear un perfil de servidor LDAP diferente para cada dominio de AD. 5. Haga clic en Añadir en la sección Servidores e introduzca la información requerida para el servicio de autenticación, incluido el Nombre, Dirección IP (o FQDN) y Puerto del servidor. Cree un perfil de servidor. El perfil de servidor indica al cortafuegos cómo conectar con un servicio de autenticación externo y acceder a las credenciales de autenticación de los usuarios. Nota (Solo RADIUS y LDAP) Especifique la configuración para habilitar la autenticación del cortafuegos en el servicio de autenticación del siguiente modo: • RADIUS: Introduzca el Secreto compartido al añadir la entrada del servidor. • LDAP: Introduzca el valor de Enlazar DN y Enlazar contraseña. 6. (Solo LDAP y Kerberos) Especifique dónde buscar a los usuarios en el servicio del directorio: • LDAP: DN de Base especifica el punto en el árbol del LDAP donde empezar a buscar usuarios y grupos. Este campo debería cumplimentarse automáticamente al introducir el puerto y la dirección del servidor. De no ser así, compruebe la ruta del servicio al servidor LDAP. • Kerberos: Introduzca el nombre del Dominio de Kerberos. Paso 2 Cree un perfil de autenticación. El perfil de autenticación especifica qué perfil de servidor se usa para la autenticación de usuarios. Puede adjuntar un perfil de autenticación a una configuración de portal o puerta de enlace. 7. Especifique el nombre del Dominio (sin puntos, por ejemploacme, no acme.com). Este valor se añadirá al nombre de usuario en la dirección IP para las asignaciones de usuarios a los ID de usuario. 8. Haga clic en Aceptar para guardar el perfil de servidor. 1. Seleccione Dispositivo > Perfil de autenticación y haga clic en Añadir un nuevo perfil. 2. Introduzca un Nombre para el perfil y, a continuación, seleccione el tipo de Autenticación (LDAP, Kerberos o RADIUS). 3. Seleccione el Perfil de servidor que creó en el Paso 1. 4. (LDAP AD) Introduzca sAMAccountName como Atributo de inicio de sesión. 5. 24 Haga clic en ACEPTAR. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect (Continuación) Habilitación de la autenticación en dos fases 1. Paso 3 Cree un perfil de certificado de cliente. Nota Si está configurando el portal o puerta de enlace con autenticación en dos fases, si el cliente contiene un campo de nombre de 2. usuario, el valor del nombre de usuario se usará como nombre de usuario cuando se autentique al usuario en su servicio de autenticación externo. De este modo se garantiza que el usuario que se está registrando es en realidad el usuario para el que se emitió el certificado. 3. Paso 4 (Opcional) Emita certificados de cliente 1. para máquinas/usuarios de GlobalProtect. 2. Paso 5 Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil del certificado, haga clic en Añadir e introduzca un Nombre de perfil. Seleccione un valor para el Campo de nombre de usuario: • Si está implementando un certificado de cliente desde el portal, deje este campo definido como Ninguno. • Si está configurando un perfil de certificado para usarlo antes del inicio de sesión, deje este campo definido como Ninguno. • Si está usando el certificado de cliente para la autenticación de usuarios individuales (incluyendo usuarios de tarjetas inteligentes), seleccione el campo del certificado que contendrá la información de identidad del usuario. En el campo Certificados de CA, haga clic en Añadir, seleccione el certificado de CA raíz de confianza que importó en el Paso 3 y, a continuación, haga clic en ACEPTAR. Utilice su PKI empresarial o CA pública para emitir un certificado de cliente único para cada usuario de GlobalProtect. Instale certificados en el almacén de certificados personales de los sistemas cliente. Guarde la configuración de GlobalProtect. Haga clic en Confirmar. Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP) En el cortafuegos, el proceso de configuración del acceso al servicio de autenticación en dos fases es parecido al de configuración de cualquier otro tipo de autenticación: cree un perfil de servidor (normalmente en un servidor RADIUS), añada el perfil de servidor a un perfil de autenticación y, a continuación, haga referencia a ese perfil de autenticación en la configuración del dispositivo que llevará a cabo la autenticación: en este caso, el portal o la puerta de enlace de GlobalProtect. Por defecto, el agente proporcionará las mismas credenciales usadas para el inicio de sesión en el portal y la puerta de enlace. En el caso de la autenticación OTP, este comportamiento hará que la autenticación falle inicialmente en la puerta de enlace y, debido al retraso que esto ocasiona en la solicitud de inicio de sesión al usuario, la OTP del usuario puede caducar. Para evitar esto, el portal permite la modificación de este comportamiento mediante una configuración para cada cliente, ya sea permitiendo al portal la autenticación usando una cookie cifrada o evitando que el agente use con la puerta de enlace las mismas credenciales que usó para el portal. Ambas opciones resuelven el problema habilitando a la puerta de enlace para que pueda solicitar las credenciales apropiadas inmediatamente. Guía del administrador de GlobalProtect 25 Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de la compatibilidad con OTP Paso 1 Configure su servidor RADIUS para que Puede consultar instrucciones específicas en su servidor RADIUS. En la mayoría de los casos, necesitará configurar un agente de interaccione con el cortafuegos. autenticación y una configuración de cliente en el servidor RADIUS Este procedimiento da por hecho que para habilitar la comunicación entre el cortafuegos y el servidor su servicio RADIUS ya está configurado RADIUS. También deberá definir el secreto compartido usado para para OTP o token y que los usuarios ya cifrar las sesiones entre el cortafuegos y el servidor RADIUS. han implementado los dispositivos necesarios (como tokens de hardware). Paso 2 En el cortafuegos que actuará como su puerta de enlace o portal, cree un perfil de servidor RADIUS. 1. Seleccione Dispositivo > Perfiles de servidor > RADIUS, haga clic en Añadir e introduzca un Nombre para el perfil. 2. Introduzca el nombre del Dominio de RADIUS. Recomendación: 3. Para añadir una entrada de servidor RADIUS, haga clic en Añadir en la sección Servidores y, a continuación, introduzca la Cuando cree el perfil de servidor RADIUS, introduzca siempre un nombre de dominio, ya que este valor servirá de dominio predeterminado para la asignación de ID de usuario si los usuarios no proporcionan uno al iniciar sesión. siguiente información: • Un nombre descriptivo para identificar este Servidor RADIUS • La Dirección IP del servidor RADIUS • El Secreto compartido usado para cifrar sesiones entre el cortafuegos y el servidor RADIUS • El número de Puerto desde el que el servidor RADIUS escuchará las solicitudes de autenticación (por defecto, 1812) Paso 3 Cree un perfil de autenticación. 4. Haga clic en Aceptar para guardar el perfil. 1. Seleccione Dispositivo > Perfiles de autenticación, haga clic en Añadir e introduzca un Nombre para el perfil. El nombre del perfil de autenticación no puede contener espacios. Paso 4 Asigne el perfil de autenticación a la puerta de enlace o portal de GlobalProtect. 2. Seleccione RADIUS en el menú desplegable Autenticación. 3. Seleccione el Perfil de servidor que ha creado para acceder a su servidor RADIUS. 4. Haga clic en ACEPTAR para guardar el perfil de autenticación. 1. Seleccione Red > GlobalProtect > Puertas de enlace o Portales y seleccione la configuración (o añada una). 2. En la pestaña General (en la puerta de enlace) o Configuración portal (en el portal), seleccione el Perfil de autenticación que Esta sección solo describe cómo añadir el perfil de autenticación a la puerta de enlace o perfil de configuración. 3. Para obtener información sobre la configuración de estos componentes, consulte Configuración de las puertas de 4. enlace de GlobalProtect y Configuración del portal de GlobalProtect. 26 acaba de crear. Introduzca un Mensaje de autenticación para guiar a los usuarios en cuanto a las credenciales de autenticación que deben usar. Haga clic en ACEPTAR para guardar la configuración. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Habilitación de la compatibilidad con OTP (Continuación) Paso 5 (Opcional) Modifique el comportamiento 1. de autenticación predeterminada en el portal. 2. Esta sección solo describe cómo modificar el comportamiento de autenticación del portal. Si desea información más detallada, consulte Definición de las configuraciones de clientes. 3. Seleccione Red > GlobalProtect > Puertas de enlace o Portales y seleccione la configuración (o añada una). Seleccione la pestaña Configuración clientes y, a continuación, seleccione o añada una configuración de cliente. En la pestaña General, seleccione uno de los siguientes valores del campo Modificador de autenticación: • Autenticación de cookies para actualización de configuración: Permite al portal usar una cookie cifrada para la autenticación de usuarios, de modo que no tengan que introducir múltiples OTP o credenciales. • Contraseña diferente para puerta de enlace externa: Evita que el agente reenvíe a la puerta de enlace las credenciales de usuario que usó para la autenticación en el portal con el fin de evitar fallos de autenticación OTP. 4. Haga clic en ACEPTAR dos veces para guardar la configuración. Paso 6 Guarde la configuración. Haga clic en Confirmar. Paso 7 Verifique la configuración. Desde un sistema cliente que ejecute el agente de GlobalProtect, trate de conectarse a una puerta de enlace o portal en el que haya habilitado la autenticación. Debería ver dos mensajes parecidos a estos: En este paso se da por hecho que ya tiene configurada la puerta de enlace y el portal. El primero le solicitará un PIN (ya sea generado por el usuario o por el Para obtener información sobre la sistema): configuración de estos componentes, consulte Configuración de las puertas de enlace de GlobalProtect y Configuración del portal de GlobalProtect. El segundo le solicitará un token u OTP: Guía del administrador de GlobalProtect 27 Configuración de la autenticación de usuario en GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de autenticación en dos fases mediante tarjetas inteligentes Si quiere habilitar a sus usuarios finales para que se autentiquen usando una tarjeta inteligente o una tarjeta de acceso común (CAC), debe importar desde el portal o la puerta de enlace el certificado de CA raíz que emitió los certificados contenidos en las tarjetas inteligentes / CAC del usuario final. Puede crear un perfil de certificado que incluya esa CA raíz y la aplique a sus configuraciones de portal o puerta de enlace para habilitar el uso de tarjetas inteligentes en el proceso de autenticación. Habilitación de autenticación con tarjetas inteligentes Paso 1 Configure su infraestructura para tarjetas inteligentes Este procedimiento da por hecho que ha facilitado tarjetas inteligentes y lectores de tarjetas inteligentes a sus usuarios finales. Paso 2 Importe el certificado de la CA raíz que emitió los certificados contenidos en las tarjetas inteligentes de los usuarios finales. Puede consultar instrucciones específicas en la documentación del software del proveedor de autenticación de usuarios. En la mayoría de los casos, la configuración de la infraestructura para tarjetas inteligentes requiere la generación de certificados para los usuarios finales y los servidores que participan en el sistema, que en este caso son los portales o puertas de enlace de GlobalProtect. Todos los certificados para usuarios finales y el portal o la puerta de enlace deben haber sido emitidos por la misma CA raíz. Asegúrese de que se puede acceder a los archivos de clave y certificado desde su sistema de gestión y de que tiene la frase de contraseña para descifrar la clave privada. A continuación, siga estos pasos: 1. Seleccione Configuración > Gestión de certificados > Certificados > Certificados de dispositivos. 2. Haga clic en Importar e introduzca un nombre de certificado. 3. Introduzca la ruta y el nombre en el Archivo de certificado que recibió de la CA o seleccione Examinar para buscar el archivo. 4. Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo. 5. Seleccione la casilla de verificación Importar clave privada. 6. Introduzca la ruta y el nombre en el archivo PKCS#12, en el campo Archivo de clave o seleccione Examinar para encontrarla. 7. Paso 3 Cree el perfil de certificado. Nota Consulte la ayuda en línea para obtener detalles de otros campos de perfil de certificado, como si debe usar CRL u OCSP. Vuelva a introducir la frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave. Cree el perfil de certificado en cada portal o puerta de enlace en la que pretenda usar autenticación con tarjetas inteligentes o CAC: 1. Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil del certificado, haga clic en Añadir e introduzca un Nombre de perfil. 2. Asegúrese de definir el Campo de nombre de usuario como Ninguno. 28 3. En el campo Certificados de CA, haga clic en Añadir, seleccione el certificado de CA raíz de confianza que importó en el Paso 2 y, a continuación, haga clic en ACEPTAR. 4. Haga clic en ACEPTAR para guardar el perfil del certificado. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de la autenticación de usuario en GlobalProtect Habilitación de autenticación con tarjetas inteligentes (Continuación) Paso 4 Asigne el perfil del certificado a la puerta de 1. enlace o portal de GlobalProtect. Esta sección solo describe cómo añadir el perfil del certificado a la puerta de enlace 2. o perfil de configuración. Para obtener información sobre la configuración de estos componentes, consulte 3. Configuración de las puertas de enlace de GlobalProtect y Configuración del portal 4. de GlobalProtect. Seleccione Red > GlobalProtect > Puertas de enlace o Portales y seleccione la configuración (o haga clic en Añadir para añadir una). En la pestaña General (en la puerta de enlace) o Configuración portal (en el portal), seleccione el Perfil del certificado que acaba de crear. Introduzca un Mensaje de autenticación para guiar a los usuarios en cuanto a las credenciales de autenticación que deben usar. Haga clic en ACEPTAR para guardar la configuración. Paso 5 Guarde la configuración. Haga clic en Confirmar. Paso 6 Verifique la configuración. Desde un sistema cliente que ejecute el agente de GlobalProtect, trate de conectarse a una puerta de enlace o portal en el que haya configurado la autenticación con tarjetas inteligentes. Cuando se le indique, inserte su tarjeta inteligente y compruebe que puede autenticarse correctamente en GlobalProtect. Guía del administrador de GlobalProtect 29 Habilitación de la asignación de grupo Configuración de la infraestructura de GlobalProtect Habilitación de la asignación de grupo Dado que el agente o la aplicación que se ejecuta en los sistemas de sus usuarios finales requieren la autenticación correcta del usuario antes de tener acceso a GlobalProtect, se conoce la identidad de cada usuario de GlobalProtect. Sin embargo, si quiere tener la capacidad de definir configuraciones de GlobalProtect o políticas de seguridad basadas en la pertenencia a grupos, el cortafuegos debe recuperar la lista de grupos y la correspondiente lista de miembros de su servidor de directorios. Esto recibe el nombre de asignación de grupos. Para habilitar esta función, debe crear un perfil de servidor LDAP que indique al cortafuegos cómo conectarse al servidor de directorios y autenticarlo, así como el modo de buscar en el directorio la información de usuarios y grupos. Cuando el cortafuegos se haya conectado correctamente al servidor LDAP y haya recuperado las asignaciones de grupos, será capaz de seleccionar grupos al definir las configuraciones de clientes y las políticas de seguridad. El cortafuegos admite una variedad de servidores de directorio LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server. Utilice el siguiente procedimiento para conectarse a su directorio LDAP y así permitir que el cortafuegos recupere información de asignación de usuario a grupo: 30 Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Habilitación de la asignación de grupo Asignación de usuarios a grupos Paso 1 Cree un perfil de servidor LDAP que especifique cómo conectarse a los servidores de directorio a los que debería conectarse el cortafuegos para obtener información de asignación de grupos: 1. Seleccione Dispositivo > Perfiles de servidor > LDAP. 2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil. 3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el menú desplegable Ubicación. 4. Haga clic en Añadir para añadir una nueva entrada de servidor LDAP y, a continuación, introduzca un nombre de Servidor para identificar al servidor (de 1 a 31 caracteres) y el número de Dirección IP y Puerto que debería utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para LDAP sobre SSL). Puede añadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que añada a un perfil deberán ser del mismo tipo. Para la redundancia, debería añadir como mínimo dos servidores. 5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que introduzca aquí dependerá de su implementación: • Si está utilizando Active Directory, deberá introducir el nombre de dominio NetBIOS; NO el FQDN (por ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios, deberá crear perfiles de servidor separados para cada dominio. Aunque el nombre de dominio se puede determinar automáticamente, la práctica recomendada es introducir el nombre de dominio siempre que sea posible. • Si está utilizando un servidor de catálogo global, deje este campo en blanco. 6. Seleccione el Tipo de servidor LDAP al que se esté conectando. Los valores de asignación de grupos se cumplimentarán automáticamente según su selección. Sin embargo, si ha personalizado su esquema, puede que tenga que modificar los ajustes predeterminados. 7. En el campo Base, especifique el punto donde desee que el cortafuegos comience su búsqueda de información de usuarios y grupos dentro del árbol de LDAP. 8. Introduzca las credenciales de autenticación para el enlace con el árbol de LDAP en los campos Enlazar DN, Enlazar contraseña y Confirmar contraseña de enlace. El valor de Enlazar DN puede tener el formato Nombre principal del usuario (UPN) (p. ej., [email protected]) o puede ser un nombre de LDAP completo (p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local). 9. Si desea que el cortafuegos se comunique con los servidores LDAP a través de una conexión segura, seleccione la casilla de verificación SSL. Si habilita SSL, asegúrese de que también ha especificado el número de puerto adecuado. Guía del administrador de GlobalProtect 31 Habilitación de la asignación de grupo Configuración de la infraestructura de GlobalProtect Asignación de usuarios a grupos (Continuación) Paso 2 Añada el perfil de servidor LDAP a la configuración de asignación de grupos de User-ID. 1. Seleccione Dispositivo > Identificación de usuarios > Configuración de asignación de grupo y haga clic en Añadir. 2. Introduzca un Nombre para la configuración. 3. Seleccione el Perfil de servidor que creó en el Paso 1. 4. Asegúrese de que la casilla de verificación Habilitado está seleccionada. 5. (Opcional) Si desea limitar los grupos que se muestran en la política de seguridad, seleccione la pestaña Lista de inclusión de grupos y, a continuación, examine el árbol de LDAP para localizar los grupos que desea poder utilizar en la política. En el caso de cada grupo que desee incluir, selecciónelo en la lista Grupos disponibles y haga clic en el icono de adición para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar en sus políticas. 6. Haga clic en ACEPTAR para guardar la configuración. Paso 3 32 Guarde la configuración. Haga clic en Confirmar. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de las puertas de enlace de GlobalProtect Configuración de las puertas de enlace de GlobalProtect Puesto que la configuración de GlobalProtect que el portal entrega a los agentes incluye la lista de puertas de enlace a las que puede conectarse el cliente, es recomendable configurar las puertas de enlace antes de configurar el portal. La puerta de enlace se puede configurar para que ofrezca dos funciones principales: Aplicar políticas de seguridad para los agentes y aplicaciones de GlobalProtect que se conectan e ella. También puede habilitar la recopilación HIP en la puerta de enlace para mejorar la granularidad de la política de seguridad. Para obtener más información sobre la habilitación de comprobaciones HIP, consulte Uso de información del host en la aplicación de políticas. Ofrece acceso a su red interna a través de una red privada virtual (VPN). El acceso VPN se proporciona a través de túnel SSL o IPSec entre el cliente y una interfaz de túnel en el cortafuegos de la puerta de enlace. Tareas previamente necesarias Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes: Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Para las puertas de enlace que requieren conexiones de túnel, debe configurar tanto la interfaz física como la interfaz de túnel virtual. Consulte Creación de interfaces y zonas para GlobalProtect. Configurar los certificados de servidor de puerta de enlace requeridos por el agente de GlobalProtect para establecer una conexión SSL con la puerta de enlace. Consulte Habilitación de SSL entre componentes de GlobalProtect. Definir los perfiles de autenticación o perfiles del certificado que servirán para la autenticación de usuarios de GlobalProtect. Consulte Configuración de la autenticación de usuario en GlobalProtect. Configuración de una puerta de enlace Una vez completadas las tareas previas, configure cada puerta de enlace de GlobalProtect del siguiente modo: Configuración de las puertas de enlace Paso 1 Añada una plantilla. Guía del administrador de GlobalProtect 1. Seleccione Red > GlobalProtect > Puertas de enlace y haga clic en Añadir. 2. En la pestaña General, introduzca un Nombre para la puerta de enlace. El nombre de la puerta de enlace no puede contener espacios y se recomienda que incluya la ubicación u otra información descriptiva que ayude a los usuarios y a otros administradores a identificar la puerta de enlace. 3. (Opcional) Seleccione el sistema virtual al que pertenece esta puerta de enlace en el campo Ubicación. 33 Configuración de las puertas de enlace de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de las puertas de enlace (Continuación) Paso 2 Especifique la información de red que permita a los agentes conectarse a la puerta de enlace. 1. Seleccione la Interfaz que usarán los agentes para acceder a la puerta de enlace. Especifique cómo se autenticarán los usuarios finales en la puerta de enlace. • Para autenticar a los usuarios mediante una base de datos de usuarios local o un servicio de autenticación externo, como LDAP, Kerberos o RADIUS (incluyendo OTP), seleccione el Perfil de autenticación correspondiente. 2. Seleccione la Dirección IP para el servicio web de la puerta de enlace. Si aún no ha creado la interfaz de red para la puerta de enlace, consulte las 3. Seleccione el Certificado de servidor para la puerta de enlace en instrucciones de Creación de interfaces y el menú desplegable. zonas para GlobalProtect. Si aún no ha Nota El campo de nombre común (CN) y, si es aplicable, de creado un certificado de servidor nombre alternativo del asunto (SAN) del certificado deben para la puerta de enlace, consulte coincidir con la dirección IP o con el nombre de dominio Implementación de certificados de completo (FQDN) de la interfaz donde configure la puerta servidores en los componentes de de enlace. GlobalProtect. Paso 3 Si no ha configurado aún los perfiles de autenticación o del certificado, consulte las instrucciones de Configuración de la autenticación de usuario en GlobalProtect. • Para proporcionar ayuda a los usuarios en lo que respecta a las credenciales que deben facilitar, introduzca un Mensaje de autenticación. • Para autenticar a los usuarios basándose en un certificado de cliente o una tarjeta inteligente, seleccione el Perfil del certificado correspondiente. • Para usar la autenticación en dos fases, seleccione tanto el perfil de autenticación como el perfil del certificado. Tenga en cuenta que el usuario debe autenticarse correctamente en los dos métodos para poder acceder. Paso 4 Nota 34 Configure los parámetros del túnel y habilite 1. la tunelización. En el cuadro de diálogo Puerta de enlace de GlobalProtect, seleccione Configuración clientes > Ajustes de túnel. Los parámetros del túnel son necesarios si 2. configura una puerta de enlace externa. Las puertas de enlace internas se configuran de 3. forma optativa. Seleccione la casilla de verificación Modo de túnel para habilitar la tunelización. Seleccione la Interfaz de túnel que definió en el Paso 2 en Creación de interfaces y zonas para GlobalProtect. 4. (Opcional) Seleccione Habilitar compatibilidad con X-Auth si Si quiere forzar el uso del modo de túnel tiene clientes finales que necesitan conectarse a la puerta de enlace SSL-VPN, anule la selección de la casilla de mediante un cliente VPN externo, como un cliente VPNC verificación Habilitar IPSec. Por defecto, ejecutándose en Linux. Si habilita X-Auth, también debe facilitar SSL-VPN solo se usará si el cliente no puede el nombre del Grupo y la Contraseña de grupo si el cliente lo establecer un túnel IPSec. La autenticación requiere. extendida (X-Auth) solo es compatible con túneles IPSec. Nota Pese a que el acceso a X-Auth es compatible con dispositivos iOS y Android, ofrece una funcionalidad limitada de GlobalProtect. En su lugar, use la aplicación de GlobalProtect para un acceso simplificado a todo el conjunto de funciones de seguridad que proporciona GlobalProtect en dispositivos iOS y Android. La aplicación de GlobalProtect para iOS puede encontrarse en el AppStore y la aplicación de GlobalProtect para Android se encuentra en Google Play. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de las puertas de enlace de GlobalProtect Configuración de las puertas de enlace (Continuación) Paso 5 Nota 1. (Solo Modo de túnel) Configure los ajustes de red para asignar el adaptador de red virtual de los clientes cuando un 2. agente establece un túnel con la puerta de enlace. Los ajustes de red no son necesarios en las configuraciones de puerta de enlace interna en modo de no túnel porque, en este caso, los agentes usan los ajustes de red asignados por el adaptador de red físico. En el cuadro de diálogo Puerta de enlace de GlobalProtect, seleccione Configuración clientes > Configuración de red. Especifique los ajustes de la configuración de red para clientes siguiendo uno de estos modos: • Puede asignar manualmente el sufijo y los servidores DNS, así como los servidores WINS completando los campos correspondientes. • Si el cortafuegos tiene una interfaz configurada como cliente DHCP, puede definir el Origen de herencia en esa interfaz y el agente de GlobalProtect recibirá los mismos ajustes que haya recibido el cliente DHCP. 3. Para especificar el Grupo de IP y usarlo para asignar direcciones IP de clientes, haga clic en Añadir y, a continuación, especifique los intervalos de IP que se usarán. Es recomendable usar un intervalo de direcciones IP diferente al asignado a los clientes que están conectados físicamente a su LAN para garantizar el enrutamiento adecuado de retorno a la puerta de enlace. 4. Para definir a qué subredes de destino enrutar a través del túnel, haga clic en Añadir en el área de Acceder a ruta y, a continuación, introduzca las rutas del siguiente modo: • Para enrutar todo el tráfico a través de GlobalProtect (tunelización completa), introduzca 0.0.0.0/0 como la ruta de acceso. A continuación, necesitará usar una política de seguridad para definir a qué zonas puede acceder el cliente (incluyendo las zonas no fiables). La ventaja de la tunelización completa es que le ofrece visibilidad completa del tráfico del cliente y puede garantizar la seguridad de los clientes de acuerdo con su política, incluso aunque no estén conectados físicamente a la red LAN. • Para enrutar solo parte del tráfico (tráfico probablemente destinado a su LAN) a GlobalProtect (tunelización dividida), especifique las subredes de destino que deberán tunelizarse. En este caso, el tráfico que no está destinado a una ruta de acceso específica se enrutará a través del adaptador físico del cliente en lugar de hacerlo a través del adaptador virtual (el túnel). Tenga en cuenta que si especifica acceso a subredes discontinuas, el adaptador virtual se asignará a un enrutador predeterminado de 0.0.0.0/0. Guía del administrador de GlobalProtect 35 Configuración de las puertas de enlace de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración de las puertas de enlace (Continuación) Paso 6 1. (Opcional) Defina los mensajes de notificación que verán los usuarios finales cuando se aplique una regla de seguridad 2. con un perfil de información de host (HIP). En la pestaña Configuración clientes > Notificación HIP, haga clic en Añadir. Seleccione el Perfil HIP al que se aplica este mensaje en el menú desplegable. Este paso solo se aplica si ha creado perfiles 3. de información de host y los ha añadido a sus políticas de seguridad. Para obtener información sobre cómo configurar la función HIP e información más detallada acerca de la creación de mensajes de notificación de HIP, consulte Uso de 4. información del host en la aplicación de políticas. Seleccione Coincidir mensaje o Mensaje no coincidente, en función de si desea mostrar el mensaje cuando se cumpla el perfil HIP correspondiente en la política o no. En algunos casos, puede que quiera crear mensajes tanto para coincidencia como para no coincidencia, dependiendo de los objetos que compare y sus objetivos para la política. 5. Introduzca el texto de su mensaje en el cuadro de texto Plantilla y, a continuación, haga clic en ACEPTAR. 6. Repita estos pasos para cada mensaje que quiera definir. Seleccione la casilla de verificación Habilitar y seleccione si quiere mostrar el mensaje como Mensaje emergente o como Icono en la barra de tareas. Paso 7 Guarde la configuración de puerta de enlace. Paso 8 (Opcional) Configure el acceso al gestor de 1. seguridad móvil 2. Seleccione Red > GlobalProtect > MDM y haga clic en Añadir. Este paso es necesario si está usando el gestor de seguridad móvil de GlobalProtect para gestionar los dispositivos de usuario final y está usando una aplicación de políticas HIP. Esta configuración permite a las puertas de enlace comunicarse con el gestor de seguridad móvil para recuperar informes HIP de los dispositivos móviles gestionados. Si desea información más detallada, consulte Configuración del acceso de puerta de enlace al gestor de seguridad móvil. 3. (Opcional) Seleccione el sistema virtual al que pertenece este gestor de seguridad móvil en el campo Ubicación. 4. Introduzca la dirección IP o FQDN de la interfaz del servidor del gestor de seguridad móvil donde la puerta de enlace se conectará para recuperar informes HIP. 5. (Opcional) Defina el Puerto de conexión en el que el gestor de seguridad móvil escuchará las solicitudes de recuperación HIP. Este valor debe coincidir con el valor definido en el gestor de seguridad móvil. De manera predeterminada, este puerto es 5008, en el que escucha el gestor de seguridad móvil de GlobalProtect. 6. Si el gestor de seguridad móvil requiere que la puerta de enlace presente un certificado para establecer una conexión HTTPS, seleccione el Certificado de cliente que se usará. 7. Si la puerta de enlace no confía en el certificado del gestor de seguridad móvil para la interfaz a la que se conectará, haga clic en Añadir en la sección CA raíz de confianza y seleccione o importe el Certificado de CA raíz que se usó para emitir el certificado del servidor del gestor de seguridad móvil. 8. Haga clic en ACEPTAR para guardar los ajustes del gestor de seguridad móvil. Paso 9 36 Guarde la configuración. Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo de la puerta de enlace de GlobalProtect. Introduzca un nombre para el gestor de seguridad móvil. Compile sus cambios. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Configuración del portal de GlobalProtect El portal GlobalProtect proporciona las funciones de gestión para su infraestructura de GlobalProtect. Todos los sistemas clientes que participan en la red de GlobalProtect reciben información de configuración desde el portal, incluida información sobre las puertas de enlace disponibles, así como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace. Además, el portal controla el comportamiento y la distribución del software del agente de GlobalProtect para los portátiles con Mac y Windows. El portal no distribuye la aplicación de GlobalProtect para su uso en dispositivos móviles. Para obtener la aplicación de GlobalProtect para iOS, los usuarios finales deben descargarla de App Store. Para obtener la aplicación de GlobalProtect para Android, los usuarios finales deben descargarla de Google Play. No obstante, las configuraciones de cliente que se implementan en las aplicaciones móviles de los usuarios controlan las puertas de enlace a las que tienen acceso los dispositivos móviles y si es necesario que el dispositivo móvil se inscriba en el gestor de seguridad móvil de GlobalProtect. Las siguientes secciones describen los procedimientos para configurar el portal: Tareas previamente necesarias Configuración del acceso al portal Definición de las configuraciones de clientes Personalización del agente de GlobalProtect Personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda Tareas previamente necesarias Antes de poder configurar el portal de GlobalProtect, debe haber realizado las tareas siguientes: Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal. Consulte Creación de interfaces y zonas para GlobalProtect. Configurar el certificado del servidor del portal, el certificado del servidor de la puerta de enlace y, opcionalmente, cualquier certificado de cliente que se vaya a implementar a los usuarios finales para habilitar las conexiones mutuas SSL a los servicios de GlobalProtect. Consulte Habilitación de SSL entre componentes de GlobalProtect. Definir los perfiles de autenticación o perfiles del certificado que servirán para la autenticación de usuarios de GlobalProtect. Consulte Configuración de la autenticación de usuario en GlobalProtect. Configurar las puertas de enlace de GlobalProtect Consulte Configuración de las puertas de enlace de GlobalProtect. Guía del administrador de GlobalProtect 37 Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración del acceso al portal Una vez completadas las tareas previas, configure el portal de GlobalProtect del siguiente modo: Configuración del acceso al portal Paso 1 Paso 2 Añada el portal. Especifique la información de red que permita a los agentes conectarse al portal. 1. Seleccione Red > GlobalProtect > Portales y haga clic en Añadir. 2. En la pestaña Configuración portal, introduzca un Nombre para el portal. El nombre del portal no debe contener espacios. 3. (Opcional) Seleccione el sistema virtual al que pertenece este portal en el campo Ubicación. 1. Seleccione la Interfaz que usarán los agentes para acceder al portal. 2. Seleccione la Dirección IP para el servicio web del portal. Si aún no ha creado la interfaz de red para el 3. Seleccione el Certificado de servidor para el portal en el menú portal, consulte las instrucciones de desplegable. Creación de interfaces y zonas para Nota El campo de nombre común (CN) y, si es aplicable, de GlobalProtect. Si aún no ha creado un nombre alternativo del asunto (SAN) del certificado deben certificado de servidor para la puerta de coincidir exactamente con la dirección IP o con el nombre de enlace ni emitido certificados de puerta de dominio completo (FQDN) de la interfaz donde configure el enlace, consulte Implementación de portal. De lo contrario, fallarán las conexiones HTTPS al certificados de servidores en los portal. componentes de GlobalProtect. Paso 3 Especifique cómo se autenticarán los usuarios finales en el portal. Si no ha configurado aún los perfiles de autenticación o del certificado, consulte las instrucciones de Configuración de la autenticación de usuario en GlobalProtect. • Para autenticar a los usuarios mediante una base de datos de usuarios local o un servicio de autenticación externo (incluyendo autenticación OTP), seleccione el Perfil de autenticación correspondiente. • Introduzca un Mensaje de autenticación para guiar a los usuarios en cuanto a las credenciales de autenticación que deben usar. • Para autenticar a los usuarios basándose en un certificado de cliente o una tarjeta inteligente / CAC, seleccione el Perfil del certificado correspondiente. • Para usar la autenticación en dos fases, seleccione tanto el perfil de autenticación como el perfil del certificado. Tenga en cuenta que el usuario debe autenticarse correctamente en los dos métodos para poder acceder. Paso 4 38 Guarde la configuración del portal. 1. Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo de la puerta de enlace de GlobalProtect. 2. Compile sus cambios. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Definición de las configuraciones de clientes Cuando un agente o una aplicación de GlobalProtect se conecta y se autentica correctamente en el portal de GlobalProtect, el portal envía la configuración de cliente de GlobalProtect al agente / aplicación basada en la configuración que haya definido. Si tiene clases de usuarios distintas que necesitan distintas configuraciones, puede crear una configuración cliente distinta para cada uno. El portal utilizará entonces el nombre de usuario/nombre de grupo o el sistema operativo del cliente para determinar qué configuración cliente implementar. Como con la evaluación de reglas de seguridad, el portal busca una coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia, proporciona la configuración correspondiente al agente/aplicación. La configuración puede incluir lo siguiente: Una lista de puertas de enlace a las que se puede conectar el agente o la aplicación, que define además si el usuario puede establecer conexiones manuales con esas puertas de enlace. El certificado de CA raíz requerido para habilitar el agente o la aplicación para establecer una conexión SSL con las puertas de enlace de GlobalProtect o el gestor de seguridad móvil. El certificado de cliente que el agente debería presentar a la puerta de enlace al conectarse. Esto solo es necesario si se requiere autenticación mutua entre el agente y la puerta de enlace. La configuración que usa el agente para determinar si está conectado a la red local y a una red externa. Los ajustes de la configuración del agente, como las visualizaciones del agente que los usuarios pueden ver, si los usuarios pueden guardar sus contraseñas de GlobalProtect, y si se indicará a los usuarios que actualicen el software del agente. Utilice el siguiente procedimiento para crear la configuración del cliente. Guía del administrador de GlobalProtect 39 Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de una configuración de cliente de GlobalProtect Paso 1 Añada el certificado de CA raíz requerido 1. para que el agente o la aplicación establezcan una conexión SSL con las puertas de enlace de GlobalProtect o el gestor de seguridad móvil. Este paso solo es necesario si no está usando certificados emitidos por una CA de confianza en sus 2. puertas de enlace o gestor de seguridad móvil. El portal implementará los certificados de CA que añada aquí a todos los agentes como parte de la configuración 3. del cliente, de modo que puedan establecer una conexión SSL con las puertas de enlace o el gestor de seguridad móvil. Si sigue en el cuadro de diálogo de la puerta de enlace de GlobalProtect, seleccione la pestaña Configuración clientes. Si no, seleccione Red > GlobalProtect > Portales y seleccione la configuración del portal en la que desea agregar una configuración de cliente. A continuación, seleccione la pestaña Configuración clientes. En el campo CA raíz de confianza, haga clic en Añadir y, a continuación, seleccione el certificado de CA que se usó para emitir los certificados de servidor de la puerta de enlace. Se recomienda usar el mismo emisor para todas las puertas de enlace. (Opcional) Si el certificado del servidor de su gestor de seguridad móvil no lo ha emitido una CA de confianza (es decir, no es de confianza para los dispositivos y necesitarán conectarse para inscribirse), haga clic en Añadir en el campo CA raíz de confianza y, a continuación, seleccione el certificado de CA que se usó para emitir el certificado del servidor de gestor de seguridad móvil. Nota Paso 2 Añada una configuración de cliente. Si el certificado de CA raíz usado para emitir los certificados del servidor de su puerta de enlace o gestor de seguridad móvil no está en el portal, puede importarlo ahora. Consulte recomendaciones sobre SSL en Habilitación de SSL entre componentes de GlobalProtect. En la sección Configuración clientes, haga clic en Añadir e introduzca un nombre para la configuración. La configuración de cliente especifica los ajustes de configuración de GlobalProtect Si pretende crear múltiples configuraciones, asegúrese de que el nombre que defina para cada una sea suficientemente descriptivo para que se implementarán a los agentes o aplicaciones que se conecten. Debe definir distinguirlas. al menos una configuración de cliente. Paso 3 40 1. Si no es necesario que el agente de GlobalProtect establezca conexiones de 2. túnel cuando esté en la red interna, habilite la detección del host interno. 3. Seleccione la casilla de verificación Detección de host interno. Introduzca la Dirección IP de un host al que solo se tenga acceso desde la red interna. Introduzca el nombre de host de DNS que se corresponda con las direcciones IP que ha introducido. Los agentes de GlobalProtect intentarán realizar una búsqueda de DNS inversa en las direcciones especificadas; si la búsqueda no funciona, el agente determinará que se encuentra en la red externa e intentará establecer conexiones de túnel con las puertas de enlace externas de su lista. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Creación de una configuración de cliente de GlobalProtect (Continuación) Paso 4 Especifique el modo en que el agente se conectará a GlobalProtect. 1. • a petición: Los usuarios tendrán que iniciar el agente manualmente para conectarse a GlobalProtect. Use este método de conexión solo para puertas de enlace externas. Recomendaciones: • Use la opción a petición solo si está usando GlobalProtect para acceder a puertas de enlace externas a través de una VPN. • No use la opción a petición si pretende ejecutar el agente de GlobalProtect en el modo oculto. Consulte Personalización del agente de GlobalProtect. • Para acelerar sus tiempos de conexión, use la detección de host interno en las configuraciones donde tenga SSO habilitado. Paso 5 Seleccione un Método de conexión: • inicio de sesión de usuario: GlobalProtect se conectará automáticamente en cuanto el usuario inicie sesión en el equipo (o dominio). Cuando se use junto con SSO (solo para usuarios de Windows), el inicio de sesión de GlobalProtect será transparente para el usuario final. • anterior al inicio de sesión: Autentica al usuario final y establece el túnel de VPN en la puerta de enlace de GlobalProtect utilizado un certificado de máquina instalado previamente antes de que el usuario inicie sesión en la máquina. Esta opción requiere que implemente certificados de máquina en cada sistema de usuario final mediante una solución PKI externa. Consulte VPN de acceso remoto con función anterior al inicio de sesión para obtener detalles sobre cómo configurar esta opción. 2. (Configuraciones exclusivas para usuarios de Windows) Seleccione Utilizar registro único para que GlobalProtect pueda usar las credenciales de inicio de sesión de Windows y así poder autenticar automáticamente al usuario cuando inicie sesión en Active Directory. Configure el acceso al gestor de seguridad 1. móvil. Introduzca la dirección IP o FQDN de la interfaz de comprobación de dispositivos del gestor de seguridad móvil. El valor que introduzca aquí deberá coincidir exactamente con el valor del campo CN en el certificado del servidor del gestor de seguridad móvil asociado a la interfaz de comprobación de dispositivos. Este paso es necesario si el gestor de seguridad móvil de GlobalProtect va a gestionar los dispositivos móviles que usan esta configuración. Todos los dispositivos se conectarán inicialmente al portal y, si el 2. gestor de seguridad móvil está configurado en la configuración del cliente del portal correspondiente, se redirigirá el dispositivo a la misma para su inscripción. Para obtener más información, consulte Configuración del gestor de seguridad móvil de GlobalProtect. Guía del administrador de GlobalProtect Especifique el Puerto de inscripción en el que el gestor de seguridad móvil escuchará las solicitudes de inscripción. Este valor debe coincidir con el valor definido en el gestor de seguridad móvil (por defecto, 443). Si desea información más detallada, consulte Configuración del gestor de seguridad móvil para la gestión de dispositivos. 41 Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de una configuración de cliente de GlobalProtect (Continuación) Paso 6 Especifique a qué usuarios desea implementar esta configuración. Hay dos formas de especificar quién recibirá la configuración: por nombre de grupo / usuario o por el sistema operativo en el que se ejecuta el agente. Seleccione la pestaña Usuario/grupo de usuarios y, a continuación, especifique el usuario / grupos de usuarioso los sistemas operativos a los que se aplicará esta configuración: • Para restringir esta configuración a un usuarios grupo específicos, haga clic en Añadir en la sección Usuario/grupo de usuarios de la ventana y después seleccione el usuario o grupo que desea que reciba esta configuración en la lista desplegable. Repita este paso para cada El portal usa la configuración usuario/grupo que desee añadir. Usuario/grupo de usuarios que especifique para determinar qué configuración se • Para restringir la configuración a los usuarios que aún no han iniciado distribuirá a los agentes de GlobalProtect sesión en sus sistemas, seleccione anterior al inicio de sesión en el que se conecten. Por lo tanto, si tiene menú desplegable Usuario/grupo de usuarios. múltiples configuraciones, debe asegurarse de ordenarlas correctamente. En cuanto el • Para distribuir esta configuración a agentes o aplicaciones que se ejecuten en sistemas operativos específicos, haga clic en Añadir en la portal encuentre una coincidencia, sección SO de la ventana y, a continuación, seleccione el sistema distribuirá la configuración. Así, las operativo (Android, iOS, Mac o Windows) a la que se aplicará esta configuraciones más específicas deberán configuración. preceder a las más generales. Consulte en Paso 11 las instrucciones sobre cómo ordenar la lista de configuraciones de cliente. Nota Antes de poder restringir la configuración a grupos específicos, debe asignar a los usuarios a grupos, como se describe en Habilitación de la asignación de grupo. Paso 7 Personalice el comportamiento del agente de GlobalProtect para los usuarios de esta configuración. 42 Seleccione la pestaña Agente y, a continuación, modifique la configuración del agente como desee. Para obtener más información acerca de cada opción, consulte Personalización del agente de GlobalProtect. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Creación de una configuración de cliente de GlobalProtect (Continuación) Paso 8 Especifique las puertas de enlace a las que se podrán conectar los usuarios con esta configuración. 1. En la pestaña Puertas de enlace, haga clic en Añadir en la sección Puertas de enlace internas o Puertas de enlace externas, en función del tipo de puerta de enlace que esté añadiendo. Recomendaciones: 2. Introduzca un Nombre descriptivo para la puerta de enlace. El nombre que introduzca debe coincidir con el nombre que definió al configurar la puerta de enlace y debe ser lo suficientemente descriptivo para que los usuarios conozcan la ubicación de la puerta de enlace a la que están conectados. • Si está añadiendo puertas de enlace tanto internas como externas a la misma configuración, asegúrese de habilitar la detección de host interno. Consulte el 3. Paso 3 en Definición de las configuraciones de clientes para obtener instrucciones. • Asegúrese de no usar a petición como método de conexión si su configuración 4. incluye puertas de enlace internas. Introduzca el FQDN o la dirección IP de la interfaz donde está configurada la puerta de enlace en el campo Dirección. La dirección que especifique debe coincidir exactamente con el nombre común (CN) en el certificado del servidor de la puerta de enlace. (Solo puertas de enlace externas) Consulte la Prioridad de la puerta de enlace haciendo clic en el campo y seleccionando un valor: • Si solo tiene una puerta de enlace externa, puede dejar este valor fijado en El más alto (valor predeterminado). • Si tiene varias puertas de enlace externas, puede modificar los valores de prioridad (desde El más alto hasta Más bajo) para indicar la preferencia para este grupo de usuarios específico al que se aplica la configuración. Por ejemplo, si prefiere que el grupo de usuarios se conecte a una puerta de enlace local, debería configurar la prioridad con un valor más alto que el de las puertas de enlace geográficamente distantes. El valor de prioridad se usa entonces para valorar el algoritmo de selección de la puerta de enlace del agente. • Si no quiere que los agentes establezcan automáticamente conexiones de túnel con la puerta de enlace, seleccione Manual únicamente. Esta configuración es útil en entornos de prueba. 5. Paso 9 (Solo puertas de enlace externas) Seleccione la casilla de verificación Manual si quiere que los usuarios puedan cambiar manualmente la puerta de enlace. • Seleccione Recopilación de datos > Comprobaciones (Opcional) Defina cualquier dato del perfil de información de host (HIP) que personalizadas y, a continuación, defina los datos personalizados quiere que el agente recopile o categorías que quiere recopilar de los hosts que ejecutan esta configuración de HIP que quiere que excluya. cliente. Si desea información más detallada, consulte el Paso 2 de Configuración de la aplicación de políticas basadas en HIP. Siga este paso solamente si pretende usar la función HIP y hay información que no • Seleccione Recopilación de datos > Excluir categorías y, a continuación, haga clic en Añadir para excluir categorías o se puede recopilar mediante los objetos proveedores específicos, aplicaciones o versiones dentro de una HIP estándar o si hay información HIP categoría. Si desea información más detallada, consulte el Paso 3 de que no le interesa recopilar. Consulte Uso Configuración de la aplicación de políticas basadas en HIP. de información del host en la aplicación de políticas para obtener información detallada acerca del uso de la función HIP. Guía del administrador de GlobalProtect 43 Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Creación de una configuración de cliente de GlobalProtect (Continuación) Paso 10 Guarde la configuración del cliente. 1. Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo Configuraciones. 2. Si quiere añadir otra configuración de cliente, repita el proceso desde el Paso 2 hasta el Paso 10. Paso 11 Prepare las configuraciones de cliente para • Para subir una configuración de cliente en la lista de configuraciones, selecciónela y haga clic en Mover hacia arriba. que la configuración correcta se implemente en cada agente. • Para bajar una configuración de cliente en la lista de configuraciones, selecciónela y haga clic en Mover hacia abajo. Cuando se conecta un agente, el portal comparará la información de origen en el paquete con las configuraciones de cliente que haya definido. Como con la evaluación de reglas de seguridad, el portal busca una coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia, proporciona la configuración correspondiente al agente o aplicación. Paso 12 Guarde la configuración del portal. 44 1. Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de diálogo Portal de GlobalProtect. 2. Compile sus cambios. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Personalización del agente de GlobalProtect La configuración del cliente del portal le permite personalizar el modo en que interaccionan los usuarios finales con los agentes de GlobalProtect instalados en sus sistemas o la aplicación de GlobalProtect instalada en sus dispositivos móviles. Puede definir configuraciones de agente diferentes para las distintas configuraciones cliente de GlobalProtect que cree. Puede personalizar: A qué menús y vistas pueden acceder los usuarios. Si lo usuarios pueden o no guardar sus contraseñas en el agente. Si los usuarios pueden deshabilitar el agente (válido solo para el método de conexión de inicio de sesión del usuario). Si desea mostrar una página de bienvenida cuando el inicio de sesión se realice correctamente. También puede crear páginas de bienvenida y páginas de ayuda personalizadas que indiquen a sus usuarios cómo usar GlobalProtect dentro de su entorno. Consulte Personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda. Si las actualizaciones del agente se realizarán automáticamente o si se les pedirá a los usuarios que actualicen. También puede definir la configuración del agente desde el registro de Windows o el archivo plist global de Mac. Para los clientes de Windows, también puede definir la configuración del agente directamente desde el instalador de Windows (MSIEXEC). Los ajustes definidos en las configuraciones del cliente del portal en la interfaz web siempre anulan a los ajustes definidos en el registro de Windows/MSIEXEC o archivo plist de Mac. Si desea información más detallada, consulte Implementación de la configuración del agente de forma transparente. Personalización del agente Paso 1 Vaya a la ficha Agente en la configuración del cliente que desea personalizar. 1. 2. 3. Paso 2 Defina lo que pueden hacer los usuarios finales con esta configuración desde el agente. Guía del administrador de GlobalProtect Seleccione Red > GlobalProtect > Portales y seleccione la configuración del portal para la que desea agrega una configuración de cliente (o haga clic en Añadir para añadir una nueva configuración). Seleccione la pestaña Configuración clientes y seleccione la configuración del cliente que desea modificar (o haga clic en Añadir para añadir una nueva configuración). Seleccione la pestaña Agente. De forma predeterminada, las funciones del agente se habilitan completamente (lo que significa que se seleccionan todas las casillas de verificación). Para quitar funciones, desactive la casilla de verificación correspondiente para alguna o todas las opciones siguientes: 1. Si quiere que los usuarios solo puedan ver información básica de estado desde la aplicación, desactive la casilla de verificación Habilitar vista avanzada. De forma predeterminada, se habilita la vista avanzada, lo que permite a los usuarios finales ver información estadística, de host y de solución de problemas y realizar tareas como cambiar sus contraseñas. 45 Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Personalización del agente (Continuación) Nota Nota La configuración de la ficha Agente también se puede configurar en el cliente final mediante la política de grupo añadiendo ajustes al registro de Windows/archivo plist de Mac. En sistemas Windows, también puede establecerlos usando la utilidad msiexec desde la línea de comandos durante la instalación del agente. Sin embargo, la configuración definida en la interfaz web o CLI anulará a la configuración del registro/archivo plist. Consulte Implementación de la configuración del agente de forma transparente para obtener información detallada. • Si desea ocultar el agente de GlobalProtect en los sistemas de usuario final, desactive la casilla de verificación Mostrar icono GlobalProtect. Cuando está oculto, los usuarios no pueden realizar otras tareas, como cambiar las contraseñas, redescubrir la red, reenviar información de host, ver información de solución de problemas o realizar una conexión a demanda. Sin embargo, los mensajes de notificación HIP, los mensajes de inicio de sesión y los cuadros de diálogo de certificados seguirán mostrándose como necesarios para interactuar con el usuario final. • Desactive la casilla de verificación Permitir al usuario cambiar la dirección del portal para deshabilitar el campo Portal en la ficha Configuración en el agente GlobalProtect. Como el usuario no podrá entonces especificar un portal al que conectarse, debe proporcionar la dirección predeterminada del portal en el registro de Windows: (HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Hay otra opción disponible para especificar Networks\GlobalProtect\PanSetup con la clave Portal) o si el agente debe pedir al usuario final las el archivo plist de Mac (/Library/Preferences/com. credenciales en caso de que la SSO de paloaltonetworks.GlobalProtect.pansetup.plist con la Windows falle: hacerlo mediante el la línea clave Portal en el diccionario PanSetup). Para obtener más de comandos de Windows (MSIEXEC) o el información, consulte Implementación de la configuración del registro de Windows solo. De forma agente de forma transparente. predeterminada, este ajuste del registro • Si no desea que los usuarios guarden sus contraseñas en el agente (can-prompt-user-credential) se (es decir, forzarlos a proporcionar la contraseña, ya sea de forma establece en yes. Para modificar este transparente mediante el cliente o introduciendo una manualmente, comportamiento, debe cambiar el valor en el cada vez que se conecten), desactive la casilla de verificación Permitir registro o, durante la instalación del agente, que el usuario guarde la contraseña. mediante MSIEXEC: msiexec.exe /i • Para evitar que los usuarios realicen un redescubrimiento de red, GlobalProtect.msi desactive la casilla de verificación Activar opción para volver a CANPROMPTUSERCREDENTIAL="no" detectar la red. Para obtener más información, consulte Implementación de la configuración del • Para evitar que los usuarios reenvíen manualmente los datos HIP a la puerta de enlace, desactive la casilla de verificación Activar opción agente de forma transparente. para volver a enviar perfil de host. Esta opción está activada de forma predeterminada y es útil en aquellos casos en los que la política de seguridad basada en HIP evita que los usuarios accedan a los recursos, ya que permite al usuario arreglar los problemas de cumplimiento en el ordenador y, a continuación, reenviar el HIP. • Si no quiere que el agente establezca conexión con el portal en caso de que el certificado del portal no sea válido, desactive la casilla de verificación Permitir que el usuario continúe si el certificado del portal no es válido. Tenga en cuenta que el portal solo proporciona la configuración del agente; no proporciona acceso de red y, por lo tanto, la seguridad del portal es menos crítica que la seguridad a la puerta de enlace. Sin embargo, si ha implementado un certificado de servidor de confianza para el portal, anular la selección de esta opción puede evitar ataques de tipo “Man in the middle” (MITM). 46 Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Personalización del agente (Continuación) Paso 3 Especifique si desea que los usuarios puedan desconectarse de GlobalProtect. • Para evitar que los usuarios en modo de inicio de sesión de usuario se desconecten, seleccione deshabilitado en el menú desplegable Cancelación del agente por el usuario. Esto solo se aplica a configuraciones cliente que tengan el método de conexión • Para permitir que los usuarios se desconecten si proporcionan un código de acceso, seleccione con código de acceso en el menú (en la pestaña General) establecido en desplegable Cancelación del agente por el usuario y, a user-logon. En modo de inicio de sesión continuación, introduzca (y confirme) el código de acceso que de usuario (user-logon), el agente se deben proporcionar los usuarios finales. conecta a GlobalProtect tan pronto como el usuario inicia sesión en el sistema. Este • Para permitir a los usuarios desconectarse si proporcionan un vale, modo suele denominarse a veces “siempre seleccione con vale en el menú desplegable Cancelación del activado”, que es la razón por la cual el agente por el usuario. En este caso, la acción de desconexión usuario debe anular este comportamiento activa el agente para generar un número de solicitud. El usuario para poder desconectarse. final debe comunicar en ese momento el número de solicitud al administrador. Entonces, el administrador hace clic en Generar De forma predeterminada, a los usuarios vale en la página Red > GlobalProtect > Portales e introduce el del modo de inicio de sesión de usuario se número de solicitud desde el usuario final para general el vale. les pedirá que proporcionen un A continuación, el administrador proporciona el vale para el comentario para poder desconectarse usuario final, que lo introduce en el cuadro de diálogo Deshabilitar (Cancelación del agente por el usuario GlobalProtect para permitir la desconexión del agente. establecido en con comentario). Nota Si el icono del agente no aparece, los usuarios no podrán desconectarse. Consulte Paso 2 para obtener más detalles. • Para restringir la duración de la desconexión del usuario, introduzca un valor (en minutos) en el campo Tiempo de espera a la cancelación del agente por el usuario. Un valor de 0 (predeterminado) indica que no hay restricciones sobre la duración que el usuario puede permanecer desconectado. • Para limitar el número de veces que el usuario puede desconectarse, introduzca un valor en el campo Cancelación del agente por el usuario. El valor 0 (predeterminado) indica que la desconexión del usuario no tiene limitación. Guía del administrador de GlobalProtect 47 Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Personalización del agente (Continuación) Paso 4 Especifique cómo se producirán las actualizaciones del agente de GlobalProtect. De forma predeterminada, el campo Actualización de agente se establece para que solicite actualizar al usuario final. Para modificar este comportamiento, seleccione una de las siguientes opciones: Si desea controlar el momento en el que los • Si quiere que las actualizaciones se produzcan sin ninguna interacción con el usuario, seleccione transparente. usuarios pueden actualizarse, por ejemplo, si desea probar una versión con un pequeño • Para impedir las actualizaciones del agente, seleccione grupo de usuarios antes de implementarla en deshabilitar. toda la base de usuarios, puede personalizar el comportamiento de la actualización del • Para permitir a los usuarios finales iniciar las actualizaciones del agente, seleccione manual. En este caso, el usuario seleccionará la agente “por configuración”. En este caso, opción Comprobar versión en el agente para determinar si hay podría crear una configuración que se una nueva versión del agente y, a continuación, actualizar si lo aplique a los usuarios de su grupo de TI solo desea. Observe que esta opción no funcionará si el agente para permitirles actualizar y probar y GlobalProtect está oculto para el usuario. Consulte el Paso 2 para deshabilitar la actualización en el resto obtener más detalles. de configuraciones de usuario/grupo. A continuación, después de haber probado exhaustivamente la nueva versión, podría modificar las configuraciones del agente para el resto de usuarios, con el fin de permitirles actualizar. De forma predeterminada, la única indicación de que el agente se ha conectado correctamente a GlobalProtect es un mensaje de globo que aparece en la bandeja del sistema/barra de menús. También puede optar por mostrar una página de bienvenida en el navegador Una página de bienvenida puede ser útil del cliente cuando el inicio de sesión se realice, de la siguiente forma: para dirigir a los usuarios a los recursos 1. Seleccione la casilla de verificación Mostrar página de internos a los que solo pueden acceder bienvenida. cuando están conectados a GlobalProtect, 2. Seleccione la página de bienvenida para mostrar el menú como su Intranet u otros servidores desplegable. De forma predeterminada, hay una página de internos. bienvenida denominada predeterminada de fábrica. Sin embargo, puede definir una o más páginas de bienvenida personalizadas con información específica para usuarios o para un grupo de usuarios concreto (basada en la configuración de portal que se implemente). Para ver información sobre cómo se crean las páginas personalizadas, consulte Personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda. Paso 5 Especifique si desea mostrar una página de bienvenida cuando el inicio de sesión se realice correctamente. Paso 6 Guarde la configuración del agente. 1. Si ha terminado de crear la configuración del cliente, haga clic en ACEPTAR para cerrar el cuadro de diálogo Configuraciones. De lo contrario, para obtener instrucciones sobre cómo completar la configuración del cliente, vuelva a Definición de las configuraciones de clientes. 48 2. Si ha terminado de configurar el portal, haga clic en ACEPTAR para cerrar el cuadro de diálogo Portal GlobalProtect. 3. Cuando termine la configuración del portal, compile los cambios. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Configuración del portal de GlobalProtect Personalización de las páginas de inicio de sesión de portal, bienvenida y ayuda GlobalProtect proporciona páginas de inicio de sesión, bienvenida y ayuda predeterminadas. Sin embargo, puede crear sus propias páginas de personalización con su marca corporativa, políticas de uso aceptable y enlaces a sus recursos internos de la siguiente forma: Personalización de la página de inicio de sesión de portal Paso 1 Paso 2 Exporte la página de inicio de sesión del portal predeterminada. Edite la página exportada. 1. Seleccione Dispositivo > Páginas de respuesta. 2. Seleccione el enlace Página de inicio de sesión de portal de GlobalProtect. 3. Seleccione la página predefinida Valor predeterminado y haga clic en Exportar. 1. Con el editor de textos de HTML que prefiera, edite la página. 2. Si desea editar la imagen del logotipo que aparece, aloje la nueva imagen del logotipo en un servidor web que sea accesible desde los clientes de GlobalProtect remotos. Por ejemplo, edite la siguiente línea del HTML para indicar la nueva imagen del logotipo: <img src="http://cdn.slidesharecdn.com/ Acme-logo-96x96.jpg?1382722588"/> Paso 3 Paso 4 Importe la nueva página de inicio de sesión. Configure el portal para utilizar la nueva página de inicio de sesión. Guía del administrador de GlobalProtect 3. Guarde la imagen editada con un nuevo nombre de archivo. Asegúrese de que la página conserva su codificación UTF-8. 1. Seleccione Dispositivo > Páginas de respuesta. 2. Seleccione el enlace Página de inicio de sesión de portal de GlobalProtect. 3. Haga clic en Importar y, a continuación, introduzca la ruta y el nombre de archivo en el campo Importar archivo o examine para encontrar el archivo. 4. (Optativo) Seleccione el sistema virtual en el que se utilizará esta página de inicio de sesión desde el menú desplegable Destino o seleccione la opción Compartido para que esté disponible para todos los sistemas virtuales. 5. Haga clic en ACEPTAR para importar el archivo. 1. Seleccione Red > GlobalProtect > Portales y, a continuación, seleccione el portal al que desea agregar la página de inicio de sesión. 2. En la pestaña Configuración de portal, seleccione la nueva página en el menú desplegable de la página de inicio de sesión personalizada. 3. Haga clic en ACEPTAR para guardar la configuración de portal. 4. Compile sus cambios. 49 Configuración del portal de GlobalProtect Configuración de la infraestructura de GlobalProtect Personalización de la página de inicio de sesión de portal (Continuación) Paso 5 Compruebe que aparece la nueva página de inicio de sesión. En un navegador, vaya a la URL de su portal (no añada el número de puerto :4443 al final de la URL o se le redirigirá a la interfaz web para el cortafuegos). Por ejemplo, introduzca https://myportal en lugar de https://myportal:4443. Aparecerá la página de inicio de sesión del portal. 50 Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Implementación del software cliente de GlobalProtect Para poder conectar a GlobalProtect, un host final debe ejecutar el software cliente de GlobalProtect. El método de implementación del software depende del tipo de cliente de la siguiente forma: Hosts de Mac OS y Microsoft Windows hosts: necesitan el software del agente de GlobalProtect, distribuido por el portal de GlobalProtect. Para habilitar el software para su distribución, debe descargar la versión que desea que utilicen los hosts de su red en el cortafuegos que aloja su portal de GlobalProtect y, a continuación, activar el software para su descarga. Para obtener instrucciones sobre cómo descargar y activar el software del agente en el cortafuegos, consulte Implementación del software del agente de GlobalProtect. Dispositivos iOS y Android: necesitan la aplicación de GlobalProtect. Como con otras aplicaciones para dispositivos móviles, el usuario final debe descargar la aplicación de GlobalProtect desde la AppStore de Apple (dispositivos iOS) o desde Google Play (dispositivos Android). Descarga e instalación de la aplicación móvil de GlobalProtect. Si desea más información, consulte ¿Qué clientes son compatibles? Implementación del software del agente de GlobalProtect Hay varias formas de implementar el software del agente de GlobalProtect: Directamente desde el portal: descargue el software del agente en el cortafuegos que aloja el portal y actívelo para que los usuarios finales puedan instalar las actualizaciones cuando se conecten al portal. Esta opción proporciona una flexibilidad que le permitirá controlar el modo y el momento en el que los usuarios finales recibirán actualizaciones basadas en la configuración del cliente definida para cada usuario, grupo o sistema operativo. Sin embargo, si dispone de un gran número de agentes que necesitan actualizaciones, puede que aumente la carga de su portal. Consulte Alojamiento de actualizaciones de agente en el portal para obtener instrucciones. Desde un servidor web: si tiene un gran número de hosts que necesiten actualizar el agente de forma simultánea, considere alojar las actualizaciones del agente en un servidor web para reducir la carga del cortafuegos. Consulte Alojamiento de actualizaciones de agente en un servidor web para obtener instrucciones. De forma transparente desde la línea de comandos: para los clientes de Windows, puede implementar la configuración del agente automáticamente en el Windows Installer (MSIEXEC). Sin embargo, para actualizar a una versión del agente posterior utilizando MSIEXEC, primero debe desinstalar el agente existente. Además, MSIEXEC permite la implementación de la configuración del agente directamente en los sistemas cliente estableciendo valores en el registro de Windows o el archivo plist de Mac. Consulte Implementación de la configuración del agente de forma transparente. Con reglas de políticas de grupo: en entornos Active Directory, el agente de GlobalProtect también se puede distribuir a usuarios finales, utilizando políticas de grupo de directorios activas. Las políticas de grupos de AD permiten la modificación automática de la configuración de ordenadores host de Windows y de software. Consulte el artículo http://support.microsoft.com/kb/816102 para obtener más información sobre cómo utilizar la política de grupo para distribuir automáticamente programas para alojar ordenadores o usuarios. Guía del administrador de GlobalProtect 51 Implementación del software cliente de GlobalProtect Configuración de la infraestructura de GlobalProtect Alojamiento de actualizaciones de agente en el portal La manera más sencilla de implementar el software del agente de GlobalProtect es descargar el paquete de instalación del nuevo agente en el cortafuegos que aloja su portal y, a continuación, activar el software para descargar los agentes que se conectan al portal. Para hacerlo de forma automática, el cortafuegos debe tener una ruta de servicio que le permita acceder a Actualizar servidor de Palo Alto Networks. Si el cortafuegos no tiene acceso a Internet, puede descargar manualmente el paquete de software del agente desde el sitio de asistencia de actualizaciones de software de Palo Alto Networks a través de un ordenador conectado a Internet y cargarlo manualmente en el cortafuegos. Usted define el modo en que las actualizaciones del software del agente se implementan en las configuraciones de cliente que define en el portal: si se producen automáticamente cuando un agente se conecta a un portal, si se indica al usuario que actualice el agente o si el usuario final puede comprobar y descargar de forma manual una nueva versión del agente. Para obtener información acerca de la configuración de cliente, consulte Definición de las configuraciones de clientes. Alojamiento del agente de GlobalProtect en el portal Paso 1 Seleccione Dispositivo > Cliente de GlobalProtect. Inicie la interfaz web en el cortafuegos donde se aloja el portal de GlobalProtect y vaya a la página Cliente de GlobalProtect. Paso 2 Compruebe si hay nuevas imágenes de software del agente. • Si el cortafuegos tiene acceso a Actualizar servidor, haga clic en Comprobar ahora para comprobar si hay actualizaciones recientes. Si el valor de la columna Acción es Descargar, significa que hay una actualización disponible. • Si el cortafuegos no tiene acceso a Actualizar servidor, vaya al sitio de asistencia de actualizaciones de software de Palo Alto Networks y Descargue el archivo en su ordenador. A continuación, regrese al cortafuegos para Cargar manualmente el archivo. Paso 3 Descargue la imagen de software. Nota Si su cortafuegos no tiene acceso a Internet desde el puerto de gestión, puede descargar la actualización del Nota agente desde el sitio de asistencia técnica de Palo Alto Networks (https://support.paloaltonetworks.com). Luego puede Cargar la actualización en su cortafuegos y activarla haciendo clic en Activar desde archivo. 52 Busque la versión del agente que quiere y haga clic en Descargar. Cuando se complete la descarga del agente, el valor en la columna Acción cambia a Activar. Si ha cargado manualmente el software del agente como se describe en el Paso 2, la columna Acción no se actualizará. Vaya al siguiente paso para obtener instrucciones de cómo activar una imagen que se ha cargado de forma manual. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Alojamiento del agente de GlobalProtect en el portal (Continuación) Paso 4 Active la imagen de software del agente para que los usuarios finales puedan descargarla desde el portal. Nota Solo se puede activar una imagen del software del agente a la vez. Si activa una nueva versión, pero tiene algunos agentes que requieren una versión previamente activada, tendrá que activar la versión requerida de nuevo para habilitar la descarga. • Si ha activado la imagen automáticamente desde Actualizar servidor, haga clic en Activar. • Si ha cargado la imagen en el cortafuegos de forma manual, haga clic en Activar desde archivo y, a continuación, seleccione el Archivo de cliente de GlobalProtect que cargó desde el menú desplegable. Haga clic en ACEPTAR para activar la imagen seleccionada. Puede que tenga que actualizar la pantalla para que en la versión se muestre Activado actualmente. Alojamiento de actualizaciones de agente en un servidor web Si tiene un gran número de sistemas cliente en los que necesitará instalar o actualizar el software del agente de GlobalProtect, tal vez deba alojar las imágenes del software del agente de GlobalProtect en un servidor web externo. Así se reducirá la carga en el cortafuegos cuando los usuarios se conecten para descargar el agente. Para usar esta función, el cortafuegos donde se aloja el portal debe utilizar PAN-OS 4.1.7 o una versión posterior. Alojamiento de imágenes de un agente de GlobalProtect en un servidor web Paso 1 Descargue en el cortafuegos la versión Siga los pasos para descargar y activar el software del agente en el del agente de GlobalProtect que pretende cortafuegos, tal y como se describe en Alojamiento del agente de alojar en el servidor web y actívela. GlobalProtect en el portal. Paso 2 Descargue la imagen del agente de GlobalProtect que quiere alojar en su servidor web. Desde un navegador, vaya al sitio de actualizaciones de software de Palo Alto Networks y descargue el archivo en su ordenador. Debería descargar la misma imagen que ha activado en el portal. Paso 3 Publique los archivos en su servidor web. Cargue los archivos de imagen en su servidor web. Paso 4 Redirija a los usuarios finales al servidor web. En el cortafuegos donde se aloja el portal, inicie sesión en la CLI e introduzca los siguientes comandos del modo de operación: > set global-protect redirect on > set global-protect redirect location <ruta> donde <ruta> es la ruta a la carpeta donde se aloja la imagen, por ejemplo https://acme/GP. Paso 5 Compruebe la redirección. 1. Inicie su navegador web y vaya a la siguiente URL: https://<portal address or name> Por ejemplo, https://gp.acme.com. 2. Guía del administrador de GlobalProtect En la página de inicio de sesión del portal, introduzca su nombre y contraseña de usuario y, a continuación, haga clic en Inicio de sesión. Tras iniciar sesión correctamente, el portal debería redirigirle a la descarga. 53 Implementación del software cliente de GlobalProtect Configuración de la infraestructura de GlobalProtect Comprobación de la instalación del agente Utilice el siguiente procedimiento para probar la instalación del agente. Comprobación de la instalación del agente Paso 1 Nota Paso 2 Se recomienda empezar a crear una configuración de cliente limitada a un grupo reducido de usuarios como, por ejemplo, administradores del departamento de TI responsables de la administración del Cuando instale inicialmente el software del agente de GlobalProtect en el sistema cortafuegos: 1. Seleccione Red > GlobalProtect > Portales y seleccione la del cliente, el usuario final debe haber configuración del portal que se debe editar. iniciado la sesión usando una cuenta con privilegios administrativos. Las siguientes 2. Seleccione la pestaña Configuración clientes y elija una actualizaciones de software del agente no configuración existente o haga clic en Añadir para añadir una necesitan privilegios administrativos. nueva configuración que se implementará en usuarios/grupo de prueba. Cree una configuración de cliente para comprobar la instalación del agente. Inicie sesión en el portal GlobalProtect. 3. En la pestaña Usuario/grupo de usuarios, haga clic en Añadir en la sección Usuario/grupo de usuarios y, a continuación, seleccione el usuario o grupo que probará el agente. 4. En la pestaña Agente, asegúrese de que Actualización de agente se establece en símbolo y, a continuación, haga clic en Aceptar para guardar la configuración. 5. (Opcional) Seleccione la configuración de cliente que acaba de crear/modificar y haga clic en Mover hacia arriba para que quede por encima de cualquier configuración más genérica que acabe de crear. 6. Compile los cambios. 1. Inicie su navegador web y vaya a la siguiente URL: https://<portal address or name> Por ejemplo, https://gp.acme.com. 2. En la página de inicio de sesión del portal, introduzca su nombre y contraseña de usuario y, a continuación, haga clic en Inicio de sesión. Paso 3 Descargue el agente. 1. 2. Haga clic en el enlace que corresponda con el sistema operativo que está ejecutando en su ordenador para iniciar la descarga. Cuando se le solicite ejecutar o guardar el software, haga clic en Ejecutar. 3. Cuando se le solicite, haga clic en Ejecutar para iniciar el Asistente de configuración de GlobalProtect. Nota 54 Cuando instale inicialmente el software del agente de GlobalProtect en el sistema del cliente, el usuario final debe haber iniciado la sesión usando una cuenta con privilegios administrativos. Las siguientes actualizaciones de software del agente no necesitan privilegios administrativos. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Comprobación de la instalación del agente (Continuación) Paso 4 Paso 5 Complete la configuración del agente de GlobalProtect. Inicie sesión en GlobalProtect. 1. En el Asistente de configuración de GlobalProtect, haga clic en Siguiente. 2. Haga clic en Siguiente para aceptar la carpeta de instalación predeterminada (C:\Program Files\Palo Alto Networks\GlobalProtect) o en Examinar para seleccionar una nueva ubicación y, a continuación, haga clic en Siguiente dos veces. 3. Después de que la instalación se realice correctamente, haga clic en Cerrar. El agente de GlobalProtect se iniciará automáticamente. Cuando se le solicite, introduzca su nombre de usuario y contraseña y, a continuación, haga clic en Aplicar. Si la autenticación es correcta, el agente se conectará a GlobalProtect. Utilice el agente para acceder a los recursos de la red corporativa, así como a recursos externos, según se define en las políticas de seguridad correspondientes. Para implementar el agente en los usuarios finales, cree configuraciones de cliente para los grupos de usuarios para los que desee habilitar el acceso y establezca correctamente la configuración de Actualización de agente y, a continuación, comunique la dirección del portal. Consulte Definición de las configuraciones de clientes para obtener detalles sobre cómo establecer la configuración del cliente. Implementación de la configuración del agente de forma transparente Como alternativa a la implementación de los ajustes del agente desde la configuración del portal, puede definirlos directamente desde el registro de Windows, archivo plist global de MAC o (solo en clientes de Windows) en el instalador MSIEXEC. La ventaja es que permite la implementación de la configuración del agente de GlobalProtect en los sistemas cliente antes de su primera conexión al portal de GlobalProtect. Los ajustes definidos en la configuración del portal siempre anulan a los ajustes definidos en el registro de Windows o archivo plist de Mac. Esto significa que si define ajustes en el registro o plist, pero la configuración del portal especifica otros ajustes, los ajustes que recibe el agente del portal sobrescribirán los definidos por el cliente. Esto incluye ajustes relacionados con el inicio de sesión como la conexión según demanda, la utilización de SSO o la conexión del cliente en caso de que el certificado del portal no sea válido. Por lo tanto, no debe definir ajustes que estén en conflicto. Además, la configuración del portal se almacena en la caché del sistema del cliente. Esta configuración en caché se utilizará si el agente de GlobalProtect o la máquina se reinician. Las siguientes secciones describen cómo implementar los recopiladores de logs: Establecimiento del nombre del portal Ajustes personalizables del agente Implementación de configuración del agente desde MSIEXEC Implementación de configuración del agente en el registro de Windows o archivo plist de Mac Guía del administrador de GlobalProtect 55 Implementación del software cliente de GlobalProtect Configuración de la infraestructura de GlobalProtect Establecimiento del nombre del portal Si no quiere que el usuario introduzca manualmente la dirección del portal ni siquiera en la primera conexión, puede implementar previamente la dirección del portal mediante el registro de Windows: (HKEY_LOCAL_MACHINE\ SOFTWARE\Palo Alto Networks\GlobalProtect\PanSetup con la clavePortal) o con el archivo plist de Mac (/Library/Preferences/com. paloaltonetworks.GlobalProtect.settings.plist y la clave de configuración Portal en el diccionario PanSetup): Ajustes personalizables del agente Además de implementar previamente la dirección del portal, también puede definir los ajustes de configuración del agente. La Tabla: Ajustes personalizables del agente describe todos los ajustes personalizables del agente. Los ajustes definidos en la configuración del cliente del portal de GlobalProtect siempre anulan a los ajustes definidos en el registro de Windows o archivo plist de Mac. Sin embargo, un ajuste (can-prompt-user-credential) no está disponible en la configuración del cliente del portal y se debe establecer mediante el registro de Windows (aplicable solo a clientes de Windows). Este ajuste se utiliza junto con el inicio de sesión único e indica si se deben pedir o no al usuario las credenciales en caso de que falle la SSO. Tabla: Ajustes personalizables del agente Configuración del cliente de portal Registro de Windows/archivo plist de Mac Parámetro MSIEXEC Valor predeterminado Habilitar vista avanzada enable-advanced-view yes | no ENABLEADVANCEDVIEW=”yes|no” yes Mostrar icono GlobalProtect show-agent-icon yes | no SHOWAGENTICON=”yes|no” yes Permitir al usuario cambiar la dirección del portal can-change-portal yes | no CANCHANGEPORTAL=”yes|no” yes Permitir que el usuario guarde la contraseña can-save-password yes | no CANSAVEPASSWORD=”yes|no” yes Habilitar opción de redescubrimiento de red rediscover-network yes | no REDISCOVERNETWORK=”yes|no” yes 56 Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Configuración del cliente de portal Registro de Windows/archivo plist de Mac Parámetro MSIEXEC Valor predeterminado Activar opción para volver a enviar perfil de host resubmit-host-info yes | no RESUBMITHOSTINFO=”yes|no” yes Permitir que el usuario continúe si el certificado de servidor del portal no es válido can-continue-if-portal-certinvalid yes | no CANCONTINUEIFPORTALCERTINVAL ID=”yes|no” yes Utilizar registro único use-sso yes | no USESSO=”yes|no” yes Intervalo de actualización de configuración (horas) refresh-config-interval <hours> REFRESHCONFIGINTERVAL=”<hour s>” 24 Método de conexión connect-method on-demand | pre-logon | user-logon CONNECTMETHOD=”on-demand | pre-logon | user-logon” user-logon Solo Windows/no en portal can-prompt-user-credential yes | no CANPROMPTUSERCREDENTIAL=”yes | no” yes Implementación de configuración del agente desde MSIEXEC En los clientes de Windows tiene la opción de implementar automáticamente tanto el agente como la configuración desde Windows Installer (MSIEXEC) usando la siguiente sintaxis: msiexec.exe /i GlobalProtect.msi <SETTING>="<value>" Por ejemplo, para evitar que los usuarios se conecten al portal si el certificado no es válido, puede cambiar la configuración de la siguiente forma: msiexec.exe /i GlobalProtect.msi CANCONTINUEIFPORTALCERTINVALID="no" Para obtener una lista de ajustes y de los correspondientes valores predeterminados, consulte Tabla: Ajustes personalizables del agente. Implementación de configuración del agente en el registro de Windows o archivo plist de Mac Puede establecer la configuración personalizada del agente de GlobalProtect en el registro de Windows (HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\) o en el archivo plist global de Mac (/Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plist). Esto permite la implementación de la configuración del agente de GlobalProtect en los sistemas cliente antes de su primera conexión al portal de GlobalProtect. Para ver una lista de comandos y valores, consulte la Tabla: Ajustes personalizables del agente. Guía del administrador de GlobalProtect 57 Implementación del software cliente de GlobalProtect Configuración de la infraestructura de GlobalProtect Descarga e instalación de la aplicación móvil de GlobalProtect La aplicación de GlobalProtect proporciona una forma sencilla de ampliar las políticas de seguridad de empresa a los dispositivos móviles. Como con otros hosts remotos que ejecutan el agente de GlobalProtect, la aplicación móvil proporciona acceso seguro a su red corporativa en el túnel de IPSec o SSL VPN. La aplicación se conectará automáticamente a la puerta de enlace más cercana a la ubicación actual del usuario final. Además, el tráfico hasta y desde el dispositivo móvil quedará sujeto automáticamente a la aplicación de la misma política de seguridad de los otros hosts de la red corporativa. Como el agente de GlobalProtect, la aplicación recoge información sobre la configuración del host, que puede utilizar para aplicar una política de seguridad basada en HIP. Para conseguir una solución de seguridad de dispositivo móvil más completa, también puede utilizar el gestor de seguridad móvil de GlobalProtect. Este servicio permite el aprovisionamiento automatizado de configuraciones de dispositivos móviles, la aplicación del cumplimiento de seguridad de dispositivos y visibilidad y gestión centralizadas sobre los dispositivos móviles que acceden a la red. Además, el gestor de seguridad móvil de GlobalProtect se integra uniformemente con los otros servicios de GlobalProtect de su red, permitiendo el acceso seguro a sus recursos de red desde cualquier ubicación y la aplicación de política granular basada en perfiles HIP. Para obtener más información, consulte Configuración del gestor de seguridad móvil de GlobalProtect. Utilice el siguiente procedimiento para instalar la aplicación móvil de GlobalProtect. Comprobación de la instalación de la aplicación Paso 1 Paso 2 58 Cree una configuración de cliente para Se recomienda empezar a crear una configuración de cliente limitada comprobar la instalación de la aplicación. a un grupo reducido de usuarios como, por ejemplo, administradores del departamento de TI responsables de la administración del cortafuegos: 1. Seleccione Red > GlobalProtect > Portales y seleccione la configuración del portal que se debe editar. Desde el dispositivo móvil, siga las indicaciones para descargar e instalar la aplicación. 2. Seleccione la pestaña Configuración clientes y elija una configuración existente o haga clic en Añadir para añadir una nueva configuración que se implementará en usuarios/grupo de prueba. 3. En la pestaña Usuario/grupo de usuarios, haga clic en Añadir en la sección Usuario/grupo de usuarios y, a continuación, seleccione el usuario o grupo que probará el agente. 4. En la sección de SO, seleccione la aplicación que está probando (iOS o Android). 5. (Opcional) Seleccione la configuración de cliente que acaba de crear/modificar y haga clic en Mover hacia arriba para que quede por encima de cualquier configuración más genérica que acabe de crear. 6. Compile los cambios. • En dispositivos Android, busque la aplicación en Google Play. • En dispositivos iOS, busque la aplicación en App Store. Guía del administrador de GlobalProtect Configuración de la infraestructura de GlobalProtect Implementación del software cliente de GlobalProtect Comprobación de la instalación de la aplicación (Continuación) Paso 3 Inicie la aplicación. Cuando se haya instalado correctamente, el icono de la aplicación de GlobalProtect aparecerá en la pantalla de inicio del dispositivo. Para iniciar la aplicación, toque el icono. Cuando se le solicite habilitar las funciones de VPN de GlobalProtect, toque ACEPTAR. Paso 4 Conecte con el portal. 1. Cuando se le solicite, introduzca el nombre o dirección del portal, el nombre de usuario y la contraseña. El nombre del portal debe ser un nombre de dominio completo (FQDN) y no incluirá https:// al principio. 2. Toque Conectar y compruebe que la aplicación establece correctamente una conexión de VPN a GlobalProtect. Si el gestor de seguridad móvil de GlobalProtect está configurado, la aplicación le pedirá que se inscriba. Consulte Verificación de la configuración del gestor de seguridad móvil para obtener más información comprobar esa configuración. Guía del administrador de GlobalProtect 59 Implementación del software cliente de GlobalProtect 60 Configuración de la infraestructura de GlobalProtect Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Los dispositivos móviles son cada vez más potentes, por lo que los usuarios finales confían más en ellos para realizar sus tareas comerciales. Sin embargo, los mismos dispositivos que acceden a sus redes de la empresa están conectando también a Internet sin protección contra amenazas y vulnerabilidades. El gestor de seguridad móvil de GlobalProtect ofrece los mecanismos para configurar los ajustes de dispositivos y las cuentas y realizar acciones con los dispositivos, como bloquear o borrar los dispositivos móviles robados o que se hayan perdido. El gestor de seguridad móvil también publica el estado del dispositivo en las puertas de enlace de GlobalProtect (en informes HIP) para que pueda crear políticas de acceso granular, por ejemplo permitiéndole denegar el acceso a dispositivos que estén liberados o con el root desbloqueado. Los siguientes temas describen el servicio de gestor de seguridad móvil de GlobalProtect y le muestran los pasos básicos para configurar la gestión de los dispositivos. Recomendaciones de implementación del gestor de seguridad móvil Configuración del acceso de gestión al gestor de seguridad móvil Registro, licencia y actualización del gestor de seguridad móvil Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del acceso de puerta de enlace al gestor de seguridad móvil Definición de políticas de implementación Verificación de la configuración del gestor de seguridad móvil Configuración del acceso administrativo en el gestor de seguridad móvil Guía del administrador de GlobalProtect 61 Recomendaciones de implementación del gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Recomendaciones de implementación del gestor de seguridad móvil El gestor de seguridad móvil de GlobalProtect colabora con el resto de infraestructura de GlobalProtect para garantizar una solución de seguridad móvil completa. Una implementación de gestor de seguridad móvil requiere conectividad entre los siguientes componentes: Actualizaciones de Palo Alto: El gestor de seguridad móvil recupera actualizaciones de firmas de WildFire que le permiten detectar malware en dispositivos gestionados de Android. Por defecto, el gestor de seguridad móvil recupera las actualizaciones de WildFire desde el servidor de actualizaciones de Palo Alto Networks en su interfaz de gestión. Sin embargo, si su red de gestión no proporciona acceso a Internet, podrá modificar la ruta de servicios para el servicio de actualizaciones de Palo Alto para usar la interfaz ethernet1. Puertas de enlace de GlobalProtect: Para activar la política de seguridad basada en HIP para los dispositivos gestionados, las puertas de enlace de GlobalProtect recuperan los informes HIP del dispositivo móvil desde el gestor de seguridad móvil. La mejor implementación es activar el servicio de gestión de puertas de enlace de GlobalProtect en la interfaz ethernet1. Servicios de notificaciones Push: Como el gestor de seguridad móvil no puede conectarse directamente con los dispositivos móviles que gestiona, debe enviar notificaciones de envío a través del servicio de notificaciones Push de Apple (APNs) o los servicios de mensajería en la nube de Google (GCM) siempre que necesite interactuar con un dispositivo, por ejemplo para enviar una solicitud de registro o realizar una acción como el envío de un mensaje o una nueva política. Se recomienda configurar la ruta del servicio de notificaciones Push para que use la interfaz ethernet1. Dispositivos móviles: Los dispositivos móviles se conectan inicialmente desde la red externa para su inscripción y después para registrarse y recibir la política de implementación. Se recomienda usar ethernet1 para la inscripción y registro de dispositivo, pero usar puertos de escucha distintos. Para evitar que el usuario final vea advertencias de certificados, use el puerto 443 (predeterminado) para la inscripción y otro puerto diferente (configurable a 7443 o 8443) para el registro. Advertencia: Como el puerto de registro de dispositivos se envía al dispositivo durante la inscripción, si lo cambia tras la configuración inicial los dispositivos deberán volver a inscribirse con gestor de seguridad móvil. La siguiente ilustración muestra la topología de implementación recomendada para el gestor de seguridad móvil: 62 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de gestión al gestor de seguridad móvil Configuración del acceso de gestión al gestor de seguridad móvil Por defecto, el puerto de gestión (MGT) del dispositivo GP-100 (también llamado el gestor de seguridad móvil) tiene la dirección IP 192.168.1.1 y el nombre de usuario y contraseña admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de configuración del gestor de seguridad móvil. Esta configuración inicial puede realizarse con una conexión física directa con el dispositivo (conexión serie al puerto de consola o conexión RJ-45 a la interfaz de gestión). Durante la configuración inicial asignará los ajustes de red que le permiten conectar con la interfaz web del dispositivo para las tareas de configuración siguientes. Configuración del acceso de red al dispositivo GP-100 Paso 1 Monte en rack el dispositivo GP-100. Consulte la Guía de referencia de hardware del dispositivo GP-100 para obtener instrucciones. Paso 2 Obtenga la configuración de red necesaria • Dirección IP para el puerto MGT para la interfaz de gestión. • Máscara de red • Puerta de enlace predeterminada • Dirección de servidor DNS Paso 3 Conecte su ordenador al dispositivo GP-100. Conéctese al dispositivo de uno de estos modos: • Conecte un cable serie desde su ordenador al puerto de la consola y conecte con el dispositivo usando el software de emulación de terminal (9600-8-N-1). Espere unos minutos a que se complete la secuencia de inicio; cuando el dispositivo esté listo aparecerá el mensaje de inicio de sesión. • Conecte un cable Ethernet RJ-45 a su ordenador y al puerto de gestión del dispositivo. Use un navegador para ir a https://192.168.1.1. Tenga en cuenta que tal vez deba cambiar la dirección IP de su ordenador a una dirección de la red 192.168.1.0/24, como 192.168.1.2, para acceder a esta URL. Paso 4 Cuando se le indique, inicie sesión en el dispositivo. Paso 5 Defina los ajustes y servicios de red para 1. permitirlos en la interfaz de gestión. Guía del administrador de GlobalProtect Inicie sesión usando el nombre de usuario y contraseña predeterminados (admin/admin). El dispositivo comenzará a inicializarse. Seleccione Configuración > Ajustes y, a continuación, haga clic en el icono Editar de la sección Configuración de interfaz de gestión de la pantalla. Introduzca la Dirección IP, Máscara de red y Puerta de enlace predeterminada para activar el acceso a la red en la interfaz de gestión. 2. Asegúrese de que Velocidad se define como negociación automática. 3. Seleccione los servicios de gestión que permitirá en la interfaz. Como mínimo, seleccione HTTPS, SSH y Ping. 4. (Opcional) Para restringir el acceso del gestor de seguridad móvil a direcciones IP específicas, introduzca las Direcciones IP permitidas. 5. Haga clic en ACEPTAR. 63 Configuración del acceso de gestión al gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de red al dispositivo GP-100 (Continuación) Paso 6 Paso 7 Paso 8 Nota Paso 9 Nota (Opcional) Configure los ajustes generales del dispositivo. Configure DNS y, si lo desea, defina el acceso a un servidor NTP. Seleccione Configuración > Ajustes > Gestión y haga clic en el icono Editar de la sección Configuración general de la pantalla. 2. Introduzca un nombre de host para el dispositivo y el nombre de dominio de su red. El nombre de dominio tan solo es una etiqueta, no se usará para unirse al dominio. 3. Introduzca cualquier texto de carácter informativo que desee que aparezca a los administradores al iniciar sesión en el campo Titular de inicio de sesión. 4. Seleccione la Zona horaria y, si no está pensando en usar NTP, introduzca la Fecha y Hora. 5. Haga clic en ACEPTAR. 1. Seleccione Configuración > Ajustes > Servicios y haga clic en el icono Editar de la sección Servicios de la pantalla. 2. Introduzca la dirección IP de su Servidor DNS principal y, de manera opcional, de su Servidor DNS secundario. 3. Para usar el clúster virtual de servidores horarios de Internet, introduzca el nombre de host ntp.pool.org como servidor NTP principal o añada la dirección IP de su servidor NTP principal y, de manera opcional, su servidor NTP secundario. 4. Haga clic en ACEPTAR. Establezca una contraseña segura para la 1. cuenta de administrador. 2. Para obtener instrucciones sobre cómo 3. añadir cuentas administrativas adicionales, consulte Configuración del 4. acceso administrativo en el gestor de seguridad móvil. Seleccione Dispositivo > Administradores. Seleccione la función admin. Introduzca la contraseña predeterminada actual y la nueva contraseña. Haga clic en ACEPTAR para guardar la configuración. Haga clic en Compilar. El dispositivo puede tardar hasta 90 segundos en guardar sus cambios. Al guardar los cambios de configuración, perderá la conexión con la interfaz web, ya que la dirección IP habrá cambiado. Compile los cambios. Paso 10 Conecte el cortafuegos a su red. 64 1. 1. Desconecte el dispositivo de su ordenador. 2. Conecte el puerto de gestión a un puerto de conmutador en su red de gestión usando un cable Ethernet RJ-45. Asegúrese de que el puerto de conmutación que conecta al dispositivo mediante un cable está configurado para negociación automática. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de gestión al gestor de seguridad móvil Configuración del acceso de red al dispositivo GP-100 (Continuación) Paso 11 Abra una sesión de gestión SSH en el dispositivo GP-100. Use un software de emulación de terminal, como PuTTY, para iniciar una sesión SSH en el cortafuegos usando la nueva dirección IP que le ha asignado. 1. Introduzca la dirección IP que ha asignado al puerto de gestión del cliente SSH. 2. Utilice el puerto 22. 3. Introduzca las credenciales de acceso administrativo cuando se le soliciten. Después de iniciar la sesión correctamente, aparece el mensaje de la CLI en modo operativo. Por ejemplo: admin@GP-100> Paso 12 Verifique el acceso a la red para los servicios externos requeridos para la gestión del cortafuegos, como el servidor de actualizaciones de Palo Alto Networks: Compruebe que tiene acceso al y desde el dispositivo mediante la utilidad de ping de la CLI. Asegúrese de que tiene conexión a la puerta de enlace predeterminada, servidor DNS y el servidor de actualización de Palo Alto Networks como se muestra en el siguiente ejemplo: admin@GP-100> ping al host updates.paloaltonetworks.com Haciendo ping a updates.paloaltonetworks.com (67.192.236.252) con 56(84) bytes de datos. 64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=40.5 ms 64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=53.6 ms 64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=79.5 ms Nota Paso 13 Inicie sesión en la interfaz web del gestor 1. de seguridad móvil. Nota Para obtener instrucciones sobre cómo añadir cuentas administrativas adicionales, consulte Configuración del acceso administrativo en el gestor de seguridad móvil. Cuando haya comprobado la conectividad, pulse Ctrl+C para detener los pings. Abra una ventana del navegador y desplácese a la siguiente URL: https://<Direccion_IP> donde <Direción_IP> es la dirección que acaba de asignar a la interfaz de gestión. Nota Si activa una comprobación de dispositivos en la interfaz de gestión, deberá incluir el número de puerto 4443 en la URL para poder acceder a la interfaz web como sigue: https://<Direccion_IP>:4433 2. Guía del administrador de GlobalProtect Inicie sesión con la nueva contraseña que ha asignado a la cuenta de administración. 65 Registro, licencia y actualización del gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Registro, licencia y actualización del gestor de seguridad móvil Antes de poder empezar a usar el gestor de seguridad móvil para gestionar los dispositivos móviles, deberá registrar el dispositivo GP-100 y recuperar las licencias. Si planea gestionar más de 500 dispositivos móviles deberá adquirir una licencia única e indefinida del gestor de seguridad móvil de GlobalProtect según el número de dispositivos móviles que hay que gestionar. Además, el dispositivo incluye 90 días de asistencia gratuita. Sin embargo, cuando ese periodo de 90 días acabe, deberá adquirir una licencia de asistencia para activar el gestor de seguridad móvil para recuperar las actualizaciones de software y las actualizaciones de contenido dinámico. Las siguientes secciones describen los procesos de registro, licencia y actualización: Registro del dispositivo GP-100 Activación/recuperación de licencias Instalación de las actualizaciones de contenido y software de Panorama Registro del dispositivo GP-100 Para gestionar todos los activos adquiridos en Palo Alto Networks, debe crear una cuenta y registrar los números de serie con la cuenta como se indica a continuación. Registro del dispositivo GP-100 Paso 1 Inicie sesión en la interfaz web del gestor Use una conexión segura (https) de un navegador web, inicie sesión de seguridad móvil. con la dirección IP y contraseña asignadas durante la configuración inicial (https://<Dirección IP> o https://<Dirección IP>:4443 si la comprobación de dispositivos está activada en la interfaz). Paso 2 Busque el número de serie y cópielo en el El número de serie del dispositivo GP-100 aparece en el Panel; portapapeles. encuentre el Número de serie en la sección Información general de la pantalla. Paso 3 Vaya al sitio de asistencia de Palo Alto Networks. Seleccione Configuración > Asistencia técnica > Vínculos y haga clic en el vínculo hacia Página de inicio de asistencia. Nota Paso 4 Si su dispositivo no tiene conexión a Internet desde la interfaz de gestión, en una nueva pestaña o ventana del navegador vaya a https://support.paloaltonetworks.com. Registre el dispositivo GP-100. El proceso • Si es el primer dispositivo de Palo Alto Networks que registra y aún no tiene un inicio de sesión, haga clic en Registrar en el lado derecho de de registro dependerá de que tenga o no un inicio de sesión en el sitio de asistencia la página. Para registrarse, debe proporcionar su dirección de correo técnica. electrónico y el número de serie del gestor de seguridad móvil (que puede pegar desde el portapapeles). Cuando se le solicite, establezca un nombre de usuario y una contraseña para acceder a la comunidad de asistencia técnica de Palo Alto Networks. • Si ya dispone de una cuenta de asistencia técnica, inicie sesión y haga clic en Mis dispositivos. Desplácese hasta la sección Registrar dispositivo, en la parte inferior de la pantalla, e introduzca el número de serie del gestor de seguridad móvil (que puede pegar desde el portapapeles), su ciudad y su código postal, y haga clic en Registrar dispositivo. 66 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Registro, licencia y actualización del gestor de seguridad móvil Activación/recuperación de licencias El gestor de seguridad móvil necesita una licencia de asistencia válida que le permita recuperar las actualizaciones de software y las actualizaciones de contenido dinámico. El dispositivo incluye 90 días de asistencia gratuita; sin embargo, debe adquirir una licencia de asistencia para seguir recibiendo actualizaciones tras este periodo introductorio. Si planea gestionar más de 500 dispositivos móviles, necesitará una licencia del gestor de seguridad móvil GlobalProtect. Esta licencia única y perenne permite gestionar hasta 1000, 2000, 5000, 10 000, 25 000, 50 000 o 100 000 dispositivos móviles. Puede adquirir una suscripción a WildFire para el gestor de seguridad móvil para habilitar las actualizaciones dinámicas que contienen firmas de malware creadas como resultado del análisis realizado por la nube de WildFire. Si mantiene al día las actualizaciones de malware, podrá evitar que los dispositivos Android gestionados que contienen aplicaciones infectadas con malware se conecten a sus recursos de red. Debe adquirir una suscripción a WildFire que admita el mismo número de dispositivos que admite su licencia del gestor de seguridad móvil. Por ejemplo, si tiene una licencia perenne del gestor de seguridad móvil para 10 000 dispositivos y desea activar la asistencia para detectar el malware más reciente, deberá adquirir una suscripción a WildFire para 10 000 dispositivos. Para adquirir licencias, póngase en contacto con su ingeniero de sistemas de Palo Alto Networks o distribuidor. Después de obtener una licencia, desplácese hasta Configuración > Licencias para realizar las siguientes tareas dependiendo de cómo recibe las licencias: Recuperar claves de licencia del servidor de licencias: Utilice esta opción si la licencia se ha activado en el portal de asistencia técnica. Activar característica mediante código de autorización: Utilice el código de autorización para activar una licencia que no se ha activado anteriormente en el portal de asistencia técnica. Carga manual de la clave de licencia: Utilice esta opción si la interfaz de gestión del GP-100 no tiene conectividad con el servidor de actualización de Palo Alto Networks. En este caso, en primer lugar debe descargar un archivo de clave de licencia del sitio de asistencia técnica a través de un ordenador conectado a Internet y después cargarlo en el dispositivo. Activación de las licencias Paso 1 Encuentre los códigos de activación del producto/suscripción que ha adquirido. Guía del administrador de GlobalProtect Encuentre el correo electrónico de la asistencia al cliente de Palo Alto Networks que muestra el código de autorización asociado con la licencia que ha adquirido. Si no encuentra este correo electrónico, póngase en contacto con atención al cliente para recibir sus códigos antes de continuar. 67 Registro, licencia y actualización del gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Activación de las licencias (Continuación) Paso 2 Active las licencias. Si el gestor de seguridad móvil va a gestionar más de 500 dispositivos móviles, necesitará una licencia perenne del gestor de seguridad móvil GlobalProtect. Nota 1. Para activar su suscripción de asistencia (obligatoria tras 90 días), seleccione Configuración > Asistencia técnica. 2. Seleccione Activar característica mediante código de autorización. Introduzca el Código de autorización y, a continuación, haga clic en ACEPTAR. 3. Compruebe que la suscripción se haya activado correctamente. Si el puerto de gestión del gestor de seguridad móvil no tiene acceso a Internet, descargue manualmente los archivos de licencia desde el sitio de asistencia técnica y cárguelos en el gestor 4. de seguridad móvil usando la opción Clave de licencia de carga manual. 5. 6. Paso 3 En la pestaña Configuración > Licencias, seleccione Activar característica mediante código de autorización. Cuando se le solicite, introduzca Código de autorización para usar el gestor de seguridad móvil y haga clic en ACEPTAR. Compruebe que la licencia se ha activado correctamente y que indica asistencia técnica para el número correcto de dispositivos. (No es necesario si ha completado el Utilice la opción Recuperar claves de licencia del servidor de paso 2) Recupere las claves de licencia del licencias si ha activado las claves de licencia en el portal de asistencia servidor de licencias. técnica. Seleccione Configuración > Asistencia técnica y seleccione Recuperar claves de licencia del servidor de licencias. Instalación de las actualizaciones de contenido y software de Panorama Use el siguiente procedimiento para descargar las actualizaciones de malware de Android Package (APK) más recientes o actualizar el software del gestor de seguridad móvil. Si mantiene al día las actualizaciones de APK, podrá evitar que los dispositivos Android gestionados que contienen aplicaciones infectadas con malware se conecten con sus recursos de red. Recepción de las actualizaciones de software y contenido Paso 1 Inicie la interfaz web del gestor de seguridad móvil y vaya a la página de actualizaciones dinámicas. 1. Antes de actualizar el software, instale las últimas actualizaciones de contenido 2. admitidas en esta versión. 68 Use una conexión segura (https) de un navegador web, inicie sesión con la dirección IP y contraseña asignadas durante la configuración inicial (https://<Dirección IP> o https://<Dirección IP>:4443 si la comprobación de dispositivos está activada en la interfaz). Seleccione Configuración > Actualizaciones dinámicas. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Registro, licencia y actualización del gestor de seguridad móvil Recepción de las actualizaciones de software y contenido (Continuación) Paso 2 Busque, descargue e instale la última actualización de contenido del gestor de seguridad móvil. 1. 2. Las actualizaciones de contenido del gestor de seguridad móvil incluyen todas 3. las firmas de malware del paquete de aplicaciones Android (APK), incluido el nuevo malware que detecte WildFire. Paso 3 Compruebe las actualizaciones de software. Paso 4 Descargar la actualización. Nota Si el gestor de seguridad móvil no tiene acceso a Internet desde el puerto de gestión, puede descargar la actualización de software desde el sitio de asistencia técnica de Palo Alto Networks. Después podrá cargarla manualmente en el gestor de seguridad móvil. Paso 5 Instale la actualización. Haga clic en Comprobar ahora para comprobar las actualizaciones más recientes. Si el valor de la columna Acción es Descargar significa que hay una actualización disponible. Haga clic en Descargar para obtener la versión deseada. Haga clic en el enlace Instalar de la columna Acción. Cuando se complete la instalación, aparecerá una marca de verificación en la columna Instalado actualmente. 1. Seleccione Configuración > Software. 2. Haga clic en Comprobar ahora para comprobar las actualizaciones más recientes. Si el valor de la columna Acción es Descargar significa que hay una actualización disponible. Encuentre la versión a la que desea actualizar y haga clic en Descargar. Cuando se complete la descarga, el valor en la columna Acción cambia a Instalar. 1. Haga clic en Instalar. 2. Reinicie el dispositivo: • Si se le pide que reinicie, haga clic en Sí. • Si no se le pide que reinicie, seleccione Configuración > Ajustes > Operaciones y haga clic en Reiniciar dispositivo en la sección Operaciones de dispositivo de la pantalla. Guía del administrador de GlobalProtect 69 Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Antes de poder empezar a usar el gestor de seguridad móvil para gestionar los dispositivos móviles, deberá configurar la infraestructura de gestión de dispositivos. Esto incluye la configuración de una interfaz para el registro de dispositivos, la obtención de certificados necesarios para que el gestor de seguridad móvil envíe las notificaciones push a otros dispositivos mediante OTA (Over the Air) y la definición de cómo autenticar usuarios/dispositivos antes de la suscripción y cómo emitir certificados a identidad a cada dispositivo. Configuración del gestor de seguridad móvil para el registro de dispositivos Configuración del gestor de seguridad móvil para la inscripción Configuración del gestor de seguridad móvil para el registro de dispositivos Cada hora (de forma predeterminada), el gestor de seguridad móvil envía un mensaje de notificación a los dispositivos que gestiona solicitando que se registren. Para enviar esos mensajes, llamados notificaciones push, el gestor de seguridad móvil debe conectarse con los dispositivos mediante OTA (over-the-air). Para enviar notificaciones push a dispositivos iOS, el gestor de seguridad móvil debe usar el servicio de notificación Push de Apple (APNs); para los dispositivos Android debe usar el servicio de Mensajería de Google Cloud (GCM). Lo mejor es configurar la interfaz ethernet1 en el gestor de seguridad móvil como interfaz de orientación externa para acceder a la puerta de enlace y el dispositivo móvil. Así, para configurar el gestor de seguridad móvil para el registro de dispositivos debe configurar la interfaz ethernet1 y activarla para el registro de dispositivos. Además, debe configurar el gestor de seguridad móvil para enviar notificaciones de envío mediante APNs/GCM. El siguiente procedimiento detalla cómo configurar esta configuración recomendada: Configuración del gestor de seguridad móvil para el registro de dispositivos 1. Paso 1 Configure la interfaz de registro de dispositivos. Nota Aunque puede usar la interfaz de gestión 2. para registrar dispositivos, si configura una interfaz distinta podrá separar el tráfico de gestión del de datos. Si está 3. usando la interfaz de gestión para el registro de dispositivos, omita el Paso 4. 70 Seleccione Configuración > Red > ethernet1 para abrir el cuadro de diálogo de ajuste Interfaz de red. Defina los ajustes de acceso a la red de la interfaz, incluidas la Dirección IP, Máscara de red y Puerta de enlace predeterminada. Habilite los servicios que desea permitir en esta interfaz seleccionando las casillas de verificación que correspondan. Como mínimo, seleccione Registro de dispositivos móviles. Puede que desee seleccionar también Ping para contribuir a la conectividad de prueba. 4. Para guardar la configuración de la interfaz, haga clic en ACEPTAR. 5. Conecte el puerto ethernet1 (con la etiqueta 1 en el panel frontal del dispositivo) a su red con un cable de Ethernet RJ-45. Asegúrese de que el puerto de conmutación al que conecta la interfaz está configurado para la negociación automática. 6. (Opcional) Añada un registro “A” DNS a su servidor DNS para asociar la dirección IP de esta interfaz con un nombre de host. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 2 (Opcional) Modifique la configuración de 1. registro del dispositivo. Por defecto, el gestor de seguridad móvil está a la espera en el puerto 443 tanto para 2. las solicitudes de inscripción como para las de registro. Se recomienda configurar el puerto de inscripción a 443 y usar un número de puerto distinto para el registro de dispositivos. El proceso de registro de dispositivos requiere un certificado 3. cliente para establecer la sesión SSL, mientras que el de inscripción no. Si ambos servicios se ejecutan en el mismo puerto, el dispositivo móvil mostrará por error mensajes emergentes de certificados 4. durante el proceso de inscripción, lo que puede confundir a los usuarios finales. Paso 3 (Opcional) Si el puerto de gestión del gestor de seguridad móvil no tiene acceso a Internet, configure los enrutadores de servicio para permitir el acceso desde la interfaz de registro de dispositivos a los recursos externos necesarios, como el servicio de notificaciones push de Apple (APNs) y el servicio de Mensajería de Google Cloud (GCM) para el envío de notificaciones push. Guía del administrador de GlobalProtect Seleccione Configuración > Ajustes > Servidor y, a continuación, haga clic en el icono Editar de la sección Configuración de registro de dispositivos. Seleccione el Puerto de registro en el que el gestor de seguridad móvil escuchará las solicitudes de registro de dispositivos. De forma predeterminada, este puerto se configura como 443. Sin embargo, debe cambiar el puerto de registro de dispositivos de 7443 a 8443 y la inscripción para evitar que se pida a los usuarios un certificado de cliente cuando se inscriban. Por defecto, el gestor de seguridad móvil enviará notificaciones push a los dispositivos que gestiona cada 60 minutos para solicitar el registro. Para cambiar este intervalo, introduzca un nuevo Intervalo de notificación de registro del dispositivo (rango: 30 minutos a 1440 minutos). Haga clic en ACEPTAR para guardar la configuración. 1. Seleccione Configuración > Ajustes > Servicios > Configuración de ruta de servicios. 2. Haga clic en el botón de opción Seleccionar. 3. Haga clic en la columna Interfaz que corresponde con el servicio cuya ruta de servicio desee cambiar y seleccione la interfaz ethernet1. 4. Repita estos pasos en cada servicio que desee modificar. Para configurar la interfaz ethernet1 para el registro de dispositivos deberá cambiar la ruta del servicio de Notificaciones push. Si no tiene acceso a Internet desde la interfaz de gestión, deberá cambiar todas las rutas de servicio a esta interfaz. 5. Haga clic en ACEPTAR para guardar la configuración. 71 Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 4 Importe un certificado de servidor para la Para importar un certificado y una clave privada, descargue el certificado y el archivo de clave de la CA y asegúrese de que son interfaz de registro de dispositivos del accesibles desde el sistema de gestión y que tiene la frase de gestor de seguridad móvil. contraseña para descifrar la clave privada. Después complete los El campo de nombre común (CN) y, si es siguientes pasos en el gestor de seguridad móvil: aplicable, de nombre alternativo del 1. Seleccione Configuración > Gestión de certificados > asunto (SAN) del certificado del gestor de Certificados > Certificados de dispositivos. seguridad móvil deben coincidir exactamente con la dirección IP o con el 2. nombre de dominio completo (FQDN) 3. de la interfaz de registro de dispositivos (se admiten certificados de comodín). 4. Aunque puede generar un certificado de servidor autofirmado para la interfaz de 5. registro de dispositivos del gestor de 6. seguridad móvil (Configuración > Gestión de certificados > Certificados > Generar), se recomienda usar un 7. certificado de una CA pública como VeriSign o Go Daddy para garantizar que los dispositivos finales puedan conectarse para inscribirse. Si no usa un certificado 8. en el que confíen los dispositivos, deberá añadir el certificado de CA raíz a la configuración del gestor de seguridad móvil y la configuración correspondiente de clientes del portal para que el portal pueda implementar el certificado en los dispositivos tal y como se describe en Definición de las configuraciones de clientes. Haga clic en Importar e introduzca un nombre de certificado. Introduzca la ruta y el nombre en el Archivo de certificado que recibió de la CA o seleccione Examinar para buscar el archivo. Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo. Seleccione la casilla de verificación Importar clave privada. Introduzca la ruta y el nombre en el archivo PKCS#12 en el campo Archivo de clave o seleccione Examinar para encontrarla. Vuelva a introducir la Frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave. Para configurar el gestor de seguridad móvil para usar este certificado para el registro de dispositivos: a. Seleccione Configuración > Ajustes > Servidor y, a continuación, haga clic en el icono Editar de la sección Configuración de servidor SSL. b. Seleccione el certificado que acaba de importar desde la lista desplegable Certificado de servidor MDM. c. (Opcional) Si el certificado no lo emitió una CA conocida, seleccione el certificado de CA raíz del remitente en el cuadro desplegable Autoridad de certificado u opte por Importar ahora. d. Haga clic en ACEPTAR para guardar la configuración. 72 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 5 Obtenga un certificado para el servicio de 1. notificaciones push de Apple (APNs). El certificado de APNs es necesario para que el gestor de seguridad móvil pueda enviar notificaciones push a los dispositivos iOS que gestiona. Para obtener el certificado debe crear una solicitud de firma de certificado (CSR) en el gestor de seguridad móvil, enviarla al servidor de firmas de Palo Alto Networks para que lo firme y enviarla a Apple. Recomendación: Para crear la CSR, seleccione Configuración > Gestión de certificados > Certificados y haga clic en Generar. 2. Introduzca un nombre de certificado y un nombre común que identifique su organización. 3. En el campo Número de bits, seleccione 2048. 4. En el campo Firmado por, seleccione Autoridad externa (CSR). 5. En Resumen, seleccione sha1 y haga clic en Generar. 6. Seleccione la CSR en la lista de certificados y haga clic en Exportar. 7. En el cuadro de diálogo Exportar CSR, seleccione Firmar CSR para el Servicio de notificaciones Push de Apple en la lista desplegable Formato de archivo y haga clic en ACEPTAR. El gestor de seguridad móvil enviará automáticamente la CSR al servidor de firma de Palo Alto Networks, lo que devolverá una CSR (.csr) firmada que deberá guardar en su disco local. 8. Abra una nueva ventana de navegador y desplácese al portal de certificados push de Apple en la siguiente URL: https://identity.apple.com/pushcert 9. Cree un ID de Apple compartido para su organización para asegurarse de que tenga siempre acceso a sus certificados. 10. Inicie sesión con su ID de Apple y contraseña y haga clic en Crear un certificado. Si este es su primer inicio de sesión, debe Aceptar las Condiciones de uso antes de crear un certificado. Haga clic en Seleccionar archivo para buscar la ubicación de la CSR que ha generado y después haga clic en Cargar. Cuando el certificado se haya generado con éxito aparecerá una confirmación. 11. Haga clic en Descargar para guardar el certificado en su equipo local. 12. En el gestor de seguridad móvil, seleccione Configuración > Gestión de certificados > Certificados > Certificados de dispositivo y haga clic en Importar. 13. En el campo Nombre de certificado, introduzca el mismo nombre que usó al crear la CSR. 14. En el campo Archivo de certificado, escriba la ruta y el nombre al certificado (.pem) que descargó de Apple o seleccione Examinar para buscar el archivo. 15. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y, a continuación, haga clic en ACEPTAR. La entrada de la CSR en la lista de certificados cambia a un certificado con la Autoridad de certificación de integración de la aplicación Apple del remitente y el Estado válido. Guía del administrador de GlobalProtect 73 Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 6 Obtenga una clave e ID de remitente del 1. servicio de Mensajería de Google Cloud (GCM). La clave GCM e ID de remitente son obligatorios para que el gestor de seguridad móvil pueda enviar notificaciones push a los dispositivos Android que gestiona. Abra una nueva ventana de navegador y desplácese a la consola API de Google en la siguiente URL: https://cloud.google.com/console 2. Haga clic en CREAR PROYECTO. Aparecerá la página Nuevo proyecto. 3. Introduzca un Nombre de proyecto y un ID de proyecto y haga clic en Crear. Si este es su primer proyecto, debe Aceptar las Condiciones de uso antes de crear el proyecto. 4. Seleccione APIs y autorización en el menú desplegable de la parte izquierda de la página. 5. En la página de las API, desplácese hasta Mensajería de Google Cloud para Android y cambie el ajuste a Activado. 6. Seleccione Credenciales en el menú de API y autenticación de la izquierda. 7. En la sección Acceso a la API pública de la página, haga clic en CREAR NUEVA CLAVE. 8. En el cuadro de diálogo Crear nueva clave, haga clic en Clave de servidor. 9. En el cuadro de texto Aceptar solicitudes desde estas direcciones IP de servidor, introduzca la dirección IP de la interfaz de registro del dispositivo del gestor de seguridad móvil y después haga clic en Crear. La nueva clave de API se mostrará. Esta es la clave que identifica su aplicación de gestor de seguridad móvil. Necesitará esta clave para configurar las notificaciones push del gestor de seguridad móvil. 10. Para obtener su ID de remitente, seleccione Descripción general en el menú de la izquierda de la pantalla. El ID de remitente también se muestra como el Número de proyecto. Necesitará este ID para configurar las notificaciones push del gestor de seguridad móvil. 74 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para el registro de dispositivos (Continuación) Paso 7 Paso 8 Configure los ajustes de notificación push 1. en el gestor de seguridad móvil. Guarde la configuración. Seleccione Configuración > Ajustes > Servidor y, a continuación, haga clic en el icono Editar de la sección Configuración de notificaciones push. 2. Para habilitar las notificaciones push para los dispositivos iOS, seleccione el Certificado de APNs iOS que generó en el Paso 5. 3. Para habilitar las notificaciones push de GCM, seleccione la casilla de verificación Mensajería de Google Cloud y después escriba la Clave de API GCM para Android y el ID del remitente GCM para Android que consiguió en el Paso 6 4. Haga clic en ACEPTAR para guardar la configuración. Haga clic en Compilar. Configuración del gestor de seguridad móvil para la inscripción Para que el gestor de seguridad móvil pueda gestionar un dispositivo móvil, este debe estar inscrito en el servicio. La inscripción se compone de dos fases: Autenticación: Para poder inscribir un dispositivo móvil, el usuario del mismo debe autenticarse en el gestor de seguridad móvil para que pueda determinar la identidad del usuario y garantizar que forma parte de la organización. El gestor de seguridad móvil admite los mismos métodos de autenticación que se admiten en los otros componentes de GlobalProtect: autenticación local, autenticación externa en un servicio LDAP, Kerberos o RADIUS externo (incluida la asistencia de una autenticación OTP de dos factores). Si desea información detallada sobre estos métodos consulte Acerca de la autenticación de usuarios de GlobalProtect. Generación de certificados de identidad: Cuando haya autenticado con éxito al usuario final, el gestor de seguridad móvil emitirá un certificado de identidad para el dispositivo. Para permitir que el gestor de seguridad móvil emita certificados de identidad, genere un certificado de CA autofirmado que podrá usar para la firma. Además, si tiene un servidor de protocolo de inscripción de certificados simple (SCEP) de empresa como el servidor Microsoft SCEP, puede el gestor de seguridad móvil para usar el servidor SCEP para que emita certificados para los dispositivos iOS. Tras la inscripción, el gestor de seguridad móvil usará el certificado de identidad para autenticar el dispositivo móvil cuando se registre. Siga el procedimiento que se indica a continuación para configurar la infraestructura de inscripción en el gestor de seguridad móvil: Guía del administrador de GlobalProtect 75 Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la inscripción Paso 1 1. Cree un perfil de autenticación para autenticar los usuarios de dispositivos de autenticación cuando se conecten al gestor de seguridad móvil para la inscripción. Se recomienda usar el mismo servicio de autenticación que se usa para autenticar a los usuarios finales para acceder a los recursos de la empresa, como el correo electrónico o la red Wi-Fi. Esto permite al gestor de seguridad móvil capturar las credenciales para usarlas en los perfiles de configuración que implementa en los servicios. Por ejemplo, el gestor de seguridad móvil puede implementar 2. automáticamente configuraciones que incluyan las credenciales necesarias para acceder a los recursos de la empresa, como el correo electrónico y el Wi-Fi, del dispositivo. Paso 2 76 Configure el gestor de seguridad móvil 1. para usar este perfil de autenticación para la inscripción de de dispositivos. Configure el gestor de seguridad móvil para conectarse al servicio de autenticación que tiene intención de utilizar para que pueda acceder a las credenciales de autenticación. • Si tiene la intención de autenticar mediante LDAP, Kerberos o RADIUS, deberá crear un perfil de servidor que indique al gestor de seguridad móvil cómo conectarse al servidor y acceder a las credenciales de autenticación de sus usuarios. Seleccione Configuración > Perfiles de servidor y añada un nuevo perfil para el servicio específico al que accederá. • Si tiene la intención de utilizar una autenticación de base de datos local, primero deberá crear la base de datos local. Seleccione Configuración > Base de datos de usuario > Usuarios locales y añada los usuarios que deben autenticarse. Cree un perfil de autenticación que haga referencia al perfil de servidor o base de datos de usuario local que acaba de crear. Seleccione Configuración > Perfil de autenticación y añada un nuevo perfil. El nombre del perfil de autenticación no puede contener espacios. Seleccione Configuración > Ajustes > Servidor y, a continuación, haga clic en el icono Editar de la sección Configuración de autenticación. 2. Seleccione el Perfil de autenticación en la lista desplegable. 3. (Opcional) Si desea que el gestor de seguridad móvil guarde la contraseña que introduce el usuario del dispositivo móvil durante la autenticación, asegúrese de que la casilla Guardar contraseña de usuario en servidor esté seleccionada. Si opta por guardar la contraseña, el gestor de seguridad móvil podrá configurar automáticamente las credenciales de usuario en los ajustes de configuración que envía al dispositivo. Por ejemplo, puede usar las credenciales guardadas (el nombre de usuario siempre se guardan en el servidor) para que configure automáticamente el perfil de correo electrónico que se envía al dispositivo, de modo que el usuario final no tenga que definirlas manualmente. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para la inscripción (Continuación) Paso 3 Nota Defina qué certificado raíz de CA debe usar el gestor de seguridad móvil para emitir certificados de identidad a los dispositivos Android y, si no usa SCEP, a dispositivos iOS. Si está usando una CA de Aunque el gestor de seguridad móvil puede emitir certificados de identidad a empresa, importe el certificado CA raíz y la clave privada asociada (Configuración > Gestión de certificados > Certificados > todos los dispositivos móviles Importar ). De lo contrario, genere un certificado de CA raíz autenticados, puede optar por aprovechar autofirmado: un servidor SCEP existente para emitir 1. Para crear un certificado de CA raíz autofirmado, seleccione certificados de identidad para sus Dispositivo > Gestión de certificados > Certificados > dispositivos iOS como se describe en el Certificados de dispositivos y, a continuación, haga clic en siguiente paso. Los dispositivos Android Generar. no pueden usar SCEP y por ello debe configure el gestor de seguridad móvil 2. Introduzca un nombre de certificado, como CA_movilidad. para emitir certificados de entidad para El nombre de certificado no puede puede contener espacios. todos los dispositivos Android. 3. No seleccione ningún valor en el campo Firmado por (esto es Configure el gestor de seguridad móvil para emitir certificados de identidad. lo que indica que está autofirmado). Paso 4 Nota (Opcional) Configure el gestor de seguridad móvil para que se integre con un servidor SCEP de empresa existente para emitir certificados de identidad a dispositivos iOS. 4. Seleccione la casilla de verificación Autoridad del certificado y, a continuación, haga clic en Aceptar para generar el certificado. El gestor de seguridad móvil usará automáticamente este certificado de forma para emitir certificados de identidad a los dispositivos durante la inscripción. 1. Configure el gestor de seguridad móvil para acceder al servidor SCEP y definir las propiedades de certificado que se deben usar al emitir certificados de identidad como se describen en Definición de una configuración SCEP. 2. Habilite SCEP en el gestor de seguridad móvil: La ventaja del SCEP es que la clave privada nunca sale del dispositivo móvil. a. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de SCEP. Si planea usar el SCEP para emitir certificados de identidad, asegúrese de que los dispositivos iOS que se inscribirán tienen los certificados raíz de CA adecuados para establecer una conexión con su servidor SCEP. b. Seleccione la casilla de verificación SCEP para activarlo. c. Seleccione la configuración de SCEP que creó en la lista desplegable Inscripción. d. (Opcional) Si desea que el gestor de seguridad móvil verifique el certificado cliente que el servidor SCEP emitió al dispositivo antes de completar el proceso de inscripción, debe importar el certificado de CA raíz del servidor SCEP y crear un Perfil de certificado correspondiente. e. Haga clic en ACEPTAR para guardar la configuración. Guía del administrador de GlobalProtect 77 Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la inscripción (Continuación) Paso 5 Paso 6 Configure la configuración de inscripción. 1. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de inscripción. 2. Introduzca el nombre de host de la interfaz de registro del dispositivo (FQDN o dirección IP; debe coincidir con el contenido del campo de nombre común del certificado del gestor de seguridad móvil asociado con la interfaz de registro del dispositivo). 3. (Opcional) Seleccione el Puerto de inscripción en el que el gestor de seguridad móvil escuchará las solicitudes de inscripción. Está definido por defecto en 443, y se recomienda que lo deje con este valor y use un número de puerto distinto para el puerto de registro de dispositivos. 4. Introduzca el identificador de organización y, opcionalmente, un nombre de organización que se mostrará en los perfiles de configuración que el gestor de seguridad móvil envía a los dispositivos. 5. (Opcional) Introduzca un Mensaje de consentimiento que informa a los usuarios de que se están inscribiendo en su servicio de gestión de dispositivos. Tenga en cuenta que este mensaje no se mostrará a dispositivos que ejecuten iOS 5.1. 6. Seleccione el certificado de CA que el gestor de seguridad móvil debe usar para emitir los certificados desde el menú desplegable Autoridad de certificación y, si lo desea, modifique el valor de Vencimiento del certificado de identidad (por defecto 365 días; en un rango de 60 a 3650 días). 7. Haga clic en ACEPTAR para guardar la configuración. Para obligar a los usuarios de dispositivos móviles a que se vuelvan a (Opcional) Obligue a los usuarios del dispositivo a que se vuelvan a inscribir al inscribir cuando caduque el certificado: caducar el certificado de identidad. 1. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de renovación de Por defecto, no se requiere a los usuarios inscripción. de dispositivos móviles que se vuelvan a inscribir cuando caduca el certificado de 2. Seleccione la casilla de verificación Exigir reinscripción. identidad; el gestor de seguridad móvil 3. (Opcional) Personalice el Mensaje de renovación que aparecerá volverá a emitir certificados de identidad y en los dispositivos móviles para alertar a los usuarios finales de volverá a inscribir los dispositivos. que necesitan cancelar la inscripción y volver a activarla antes de que el certificado expire para poder continuar con el servicio de gestión de dispositivos del gestor de seguridad móvil. Cuando se envía el mensaje al dispositivo, la variable {DAYS} se sustituye por el número real de días que quedan para que caduque el certificado. 4. Paso 7 78 Guarde la configuración. Haga clic en ACEPTAR para guardar los ajustes de renovación. Haga clic en Compilar. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del gestor de seguridad móvil para la gestión de dispositivos Configuración del gestor de seguridad móvil para la inscripción (Continuación) Paso 8 Realice los siguientes pasos en el cortafuegos que aloja su portal de Configure el portal GlobalProtect para redirigir los dispositivos móviles al gestor GlobalProtect: de seguridad móvil para su inscripción. 1. Seleccione Red > GlobalProtect > Portales y seleccione la configuración de portal que desea modificar. Si desea información más detallada, consulte Configuración del portal de GlobalProtect. Guía del administrador de GlobalProtect 2. Seleccione la pestaña Configuración clientes y seleccione la configuración de clientes para habilitar la gestión de seguridad móvil. 3. En la pestaña General, escriba la dirección IP o FQDN de la interfaz de comprobación del dispositivo en el gestor de seguridad móvil GlobalProtect MDM. 4. (Opcional) Defina el Puerto de inscripción de GlobalProtect MDM en el que el gestor de seguridad móvil escuchará las solicitudes de inscripción. Este valor debe coincidir con el valor definido en el gestor de seguridad móvil. 5. Haga clic en Aceptar dos veces para guardar la configuración del portal. 6. Compile los cambios. 79 Configuración del acceso de puerta de enlace al gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de puerta de enlace al gestor de seguridad móvil Si está usando la aplicación de políticas HIP en sus cortafuegos, puede configurar las puertas de enlace de GlobalProtect para recuperar los informes HIP para los dispositivos móviles gestionados por el gestor de seguridad móvil. Para habilitar la puerta de enlace para que recupere los informes HIP del gestor de seguridad móvil deberá activar una interfaz de acceso a la puerta de enlace y después configurar las puertas de enlace para conectarlas como se indica a continuación: Habilitación del acceso de puerta de enlace al gestor de seguridad móvil Paso 1 Decida qué interfaz del gestor de seguridad • (Recomendado) Para usar la interfaz ethernet1 para acceder a la puerta de enlace, seleccione Configuración > Red > ethernet1. Seleccione móvil se debe usar para recuperar el HIP y habilitar el servicio de puerta de enlace en la la casilla de verificación Habilitar identificación de usuarios y, a interfaz. continuación, haga clic en ACEPTAR. • Para usar la interfaz de gestión para acceder a la puerta de enlace, Aunque puede configurar las puertas de seleccione Configuración > Ajustes > Gestión y, a continuación, enlace para que se conecten con la interfaz haga clic en el icono Editar de la sección Configuración de de gestión o ethernet1, se recomienda usar interfaz de gestión de la pantalla. Seleccione la casilla de verificación la interfaz ethernet1 para asegurarse de que Puertas de enlace de GlobalProtect y, a continuación, haga clic en sus puertas de enlace remotas tienen acceso ACEPTAR. al dispositivo. Nota Paso 2 (Opcional) Importe un certificado de servidor de la interfaz de gestión del gestor de seguridad móvil para habilitar las puertas de enlace de GlobalProtect para que se conecten con esta interfaz. Este certificado solo es necesario si las puertas de enlace van a conectarse con la interfaz de gestión en lugar de con la de ethernet1 para recuperar el HIP. El campo de nombre común (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del certificado del gestor de seguridad móvil deben coincidir exactamente con la dirección IP o con el nombre de dominio completo (FQDN) de la interfaz (se admiten certificados de comodín). Se recomienda usar el mismo certificado de CA que se usa para emitir certificados autofirmados a los demás componentes de GlobalProtect. Consulte Implementación de certificados de servidores en los componentes de GlobalProtect si desea información detallada sobre el flujo de trabajo recomendado. Cuando haya generado un certificado de servidor para el gestor de seguridad móvil, impórtelo como se indica: 1. Seleccione Configuración > Gestión de certificados Certificados > Certificados de dispositivos y haga clic en Importar. 2. Introduzca un nombre de certificado. 3. Introduzca la ruta y el nombre en Archivo de certificado o seleccione Examinar para buscar el archivo. 4. Seleccione Clave privada cifrada y certificado (PKCS12) como Formato de archivo. 5. Introduzca la ruta y nombre en el archivo PKCS#12 en el campo Archivo de clave o seleccione Examinar para encontrarla. 6. 80 Si esta interfaz no se ha configurado aún, debe suministrar los ajustes de red (dirección IP, máscara de red y puerta de enlace predeterminada) y conectar físicamente el puerto Ethernet a su red. Consulte Configuración del gestor de seguridad móvil para el registro de dispositivos para obtener información detallada. Vuelva a introducir la Frase de contraseña que se usó para cifrar la clave privada y después haga clic en ACEPTAR para importar el certificado y la clave. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso de puerta de enlace al gestor de seguridad móvil Habilitación del acceso de puerta de enlace al gestor de seguridad móvil (Continuación) Paso 3 Paso 4 Especifique qué certificado de servidor debe 1. usar el gestor de seguridad móvil para permitir que la puerta de enlace establezca una conexión HTTPS para recuperar el 2. HIP. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de la puerta de enlace de GlobalProtect. 3. Seleccione el certificado que acaba de importar desde la lista desplegable Certificado de servidor MDM y haga clic en Aceptar. (Opcional) Cree un perfil de certificado en el gestor de seguridad móvil para permitir que las puertas de enlace establezcan una conexión SSL mutua con el gestor de seguridad móvil para recuperar el informe HIP. Seleccione la casilla de verificación Recuperación del informe HIP para habilitar el acceso de la puerta de enlace al gestor de seguridad móvil. Para permitir una autenticación mutua entre la puerta de enlace y el gestor de seguridad móvil, cree un certificado cliente para la puerta de enlace e importe la CA raíz que emitió el certificado de cliente al gestor de seguridad móvil. Siga el procedimiento siguiente para importar el certificado de cliente en el gestor de seguridad móvil y definir un perfil de certificado: 1. Descargue el certificado de CA que se usó para generar los certificados de puerta de enlace (en el flujo de trabajo recomendado, el certificado de CA se encuentra en el portal). a. Seleccione Configuración > Gestión de certificados > Certificados > Certificados de dispositivos. b. Seleccione el certificado de CA y haga clic en Exportar. c. Seleccione Certificado codificado en Base64 (PEM) en la lista desplegable Formato de archivo y haga clic en ACEPTAR para descargar el certificado. (No necesita exportar la clave privada.) 2. En el gestor de seguridad móvil, importe el certificado seleccionando Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivo, haciendo clic en Importar y desplazándose hasta el certificado que acaba de descargar. Haga clic en ACEPTAR para importar el certificado. 3. Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil de certificados, haga clic en Añadir e introduzca un Nombre para identificar de forma exclusiva el perfil, por ejemplo puertasEnlaceGP. 4. En el campo Certificados de CA, haga clic en Añadir, seleccione el certificado de CA que acaba de importar y, a continuación, haga clic en ACEPTAR. 5. Haga clic en ACEPTAR para guardar el perfil. 6. Configure el gestor de seguridad móvil para usar este perfil de certificado para establecer una conexión HTTPS con las puertas de enlace: a. Seleccione Configuración > Ajustes > Servidor y haga clic en el icono Editar en la sección Configuración de la puerta de enlace de GlobalProtect. b. Seleccione el perfil de certificado que acaba de crear en la lista desplegable Perfil de certificado. c. Haga clic en ACEPTAR para guardar la configuración. 7. Guía del administrador de GlobalProtect Compile los cambios en el gestor de seguridad móvil. 81 Configuración del acceso de puerta de enlace al gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Habilitación del acceso de puerta de enlace al gestor de seguridad móvil (Continuación) Paso 5 82 Configure las puertas de enlace para que accedan al gestor de seguridad móvil. En cada cortafuegos que aloje una puerta de enlace de GlobalProtect realice lo siguiente: 1. Seleccione Red> GlobalProtect > MDM y haga clic en Añadir para añadir el gestor de seguridad móvil. 2. Escriba un Nombre para el gestor de seguridad móvil y especifique el sistema virtual al que pertenece en el campo Ubicación (si procede). 3. Introduzca la dirección IP o FQDN del Servidor de la interfaz en el gestor de seguridad móvil donde la puerta de enlace se conectará para recuperar informes HIP. El valor debe coincidir con el campo CN (y, si corresponde, con el SAN) del certificado del gestor de seguridad móvil asociado con la interfaz. 4. (Opcional) Si desea usar la autenticación mutua entre la puerta de enlace y el gestor de seguridad móvil, seleccione el Certificado de cliente que presentará la puerta de enlace cuando establezca una conexión con el gestor de seguridad móvil. 5. En el campo CA raíz de confianza, haga clic en Añadir y seleccione el certificado de CA raíz que se usó para emitir el certificado del gestor de seguridad móvil para la interfaz a la que se conectará la puerta de enlace para recuperar los informes HIP. 6. Haga clic en ACEPTAR o guarde los ajustes y después Compile los cambios. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Definición de políticas de implementación Cuando un dispositivo móvil se inscribe correctamente con el gestor de seguridad móvil de GlobalProtect, se registra con el gestor para enviar sus datos de host a intervalos regulares (por defecto, cada hora). El gestor de seguridad móvil usa las reglas de política de implementación que defina para determinar qué perfiles de configuración enviar al dispositivo. Esto le permite tener un control granular de los perfiles de configuración que se implementan (si los hay) en el dispositivo o se eliminan de él. Por ejemplo, puede crear distintas configuraciones para distintos grupos de usuarios que tengan diferentes necesidades de acceso. También puede crear reglas de políticas que solo permitan que las configuraciones se envíen a dispositivos que cumplan con los estándares de seguridad. Las siguientes secciones ofrecen información sobre cómo planificar su estrategia de gestión de seguridad móvil e instrucciones para configurar sus políticas y perfiles: Acerca de la implementación de la política del gestor de seguridad móvil Recomendaciones sobre las políticas del gestor de seguridad móvil Integración del gestor de seguridad móvil con su directorio LDAP Definición de objetos y perfiles HIP Creación de perfiles de configuración Creación de políticas de implementación Acerca de la implementación de la política del gestor de seguridad móvil Cuando un dispositivo móvil se inscribe correctamente con el gestor de seguridad móvil de GlobalProtect, se registra con el gestor a intervalos regulares. El proceso de registro consta de cuatro pasos: Autenticación: Para conectar con el gestor de seguridad móvil para registrarse, el dispositivo móvil presenta el certificado de identidad que se emitió durante la inscripción. Si ha habilitado el acceso a su servidor de LDAP, el gestor de seguridad móvil puede usar el nombre de usuario autenticado para determinar una comparación de política en función de una pertenencia a grupo o usuario. Consulte Integración del gestor de seguridad móvil con su directorio LDAP. Recopilación de datos de dispositivo: El dispositivo móvil proporciona datos HIP que el gestor de seguridad móvil procesa para crear un informe HIP completo para el dispositivo. El informe HIP proporciona información de identificación sobre el estado del dispositivo (como si se ha liberado o tiene el root desbloqueado, si tiene habilitado el cifrado o si se ha definido un código de acceso) y una lista de todas las aplicaciones instaladas en el dispositivo. En el caso de los dispositivos Android, el gestor de seguridad móvil calcula un hash para cada aplicación y usa estos datos para determinar si se sabe que alguna de las aplicaciones instaladas tenga malware en función de las actualizaciones de contenido de APK más recientes. Si desea más información sobre la recopilación de datos HIP, consulte Recopilación de datos de dispositivos. Implementación de políticas: Cada regla de política del gestor de seguridad móvil se compone de dos partes, criterios de coincidencia y configuraciones. Cuando un dispositivo se registra, el gestor de seguridad móvil compara la información de usuario asociada con el dispositivo y los datos HIP recopilados con el dispositivo con los criterios de coincidencia. Cuando encuentra la primera regla coincidente, envía las configuraciones correspondientes al dispositivo. Guía del administrador de GlobalProtect 83 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect – Criterios de coincidencia: El gestor de seguridad móvil usa el nombre de usuario del usuario del dispositivo y la coincidencia HIP para determinar una coincidencia de políticas. El uso del nombre de usuario le permite implementar políticas en función de la pertenencia de grupos. Consulte Acerca de la comparación de usuarios y grupos. Use la coincidencia de HIP para enviar políticas de implementación en función del cumplimiento de la seguridad del dispositivo y mediante otras características de identificación del dispositivo, como la versión de SO, etiqueta o modelo de dispositivo. Consulte Acerca de la evaluación HIP. – Configuraciones: Contiene los ajustes de configuración, certificados, perfiles de aprovisionamiento (solo iOS) y restricciones de dispositivo para realizar los envíos a los dispositivos que coincidan con la regla de política correspondiente. Como los sistemas operativos iOS y Android admiten distintos ajustes y usan diferentes sintaxis, deberá crear configuraciones diferentes para enviarlas a cada SO; puede adjuntar tanto una configuración para iOS como una para Android en la misma regla de política y el gestor de seguridad móvil enviará automáticamente la configuración correcta al dispositivo. Si desea información detallada sobre cómo crear configuraciones, consulte Creación de perfiles de configuración. Notificación de incumplimiento: En algunos casos, un dispositivo puede no cumplir ninguna de las reglas de política que ha definido. Por ejemplo, si ha creado un perfil HIP que solo coincide con dispositivos que cumplan los estándares de seguridad (es decir, que estén cifrados y no estén liberados ni tengan el root desbloqueado) y lo adjunta a sus reglas de políticas de implementación. En este caso, las configuraciones solo se envían a los dispositivos que coincidan con el perfil HIP. Puede definir un mensaje de notificación HIP para enviarlo a los dispositivos que no coinciden con el perfil para explicar por qué no reciben ninguna configuración. Si desea información más detallada, consulte Acerca de la notificación HIP. Recopilación de datos de dispositivos El gestor de seguridad móvil recopila la siguiente información (según corresponda) desde un dispositivo móvil cada vez que se registra: Categoría Datos recopilados Información de host Información sobre el propio dispositivo, incluyendo el SO y versión del SO, la versión de la aplicación GlobalProtect, el nombre y modelo del dispositivo e información identificativa incluyendo el número de teléfono, el número de identificación internacional de equipos móviles (IMEI) y el número de serie. Además, si ha asignado etiquetas al dispositivo, esta información también se comunica. Configuración Información sobre el estado de seguridad del dispositivo, como si está liberado/tiene la raíz desbloqueada, si está cifrado y si el usuario ha definido un código de acceso en el dispositivo. Aplicaciones Incluye una lista de todos los paquetes de aplicaciones instalados en el dispositivo, si contiene aplicaciones conocidas por portar malware (solo dispositivos Android) y, opcionalmente, la ubicación GPS del dispositivo. Ubicación GPS Incluye la ubicación GPS del dispositivo, en caso de que tenga habilitados los servicios de ubicación. Sin embargo, por motivos de privacidad puede configurar el gestor de seguridad móvil para excluir esta información de los datos recopilados. 84 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Acerca de la comparación de usuarios y grupos Para poder definir las políticas de implementación de dispositivos móviles en función de un usuario o grupo, el gestor de seguridad móvil debe recuperar la lista de grupos y la lista de miembros correspondiente en su servidor de directorios. Para habilitar esta función, debe crear un perfil de servidor LDAP que indique al gestor de seguridad móvil cómo conectarse al servidor y autenticarlo, así como el modo de buscar en el directorio la información de usuarios y grupos. Cuando el gestor de seguridad móvil esté totalmente integrado en el servidor de directorios, deberá poder seleccionar los usuarios o grupos cuando defina las políticas de implementación de dispositivos móviles. El gestor de seguridad móvil admite una variedad de servidores de directorios LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server. Consulte Integración del gestor de seguridad móvil con su directorio LDAP si desea instrucciones sobre la configuración de la comparación de grupos y usuarios. Acerca de la evaluación HIP Cree objetos y perfiles HIP en el gestor de seguridad móvil para definir qué atributos de dispositivos desea supervisar y usar para la implementación de políticas: Objetos HIP: Proporcionan los criterios de evaluación con los que filtrar la información de host que desea usar para aplicar las políticas. Por ejemplo, si desea identificar los dispositivos que tienen vulnerabilidades, puede crear objetos HIP para cada estado de dispositivo que considera una vulnerabilidad. Por ejemplo, puede crear un objeto HIP para los dispositivos que están liberados/tienen la raíz desbloqueada, otro para los dispositivos que no están cifrados y un tercero para los dispositivos que contienen malware. Perfiles HIP: Una colección de objetos HIP que se evalúan juntos mediante una lógica booleana que evalúa los datos HIP con el perfil HIP resultante y determina si coinciden o no. Por ejemplo, si solo desea implementar perfiles de configuración en dispositivos que no tengan una vulnerabilidad, puede crear un perfil HIP para adjuntarlo a su política y que solo coincida con dispositivos que no estén liberados, no tengan la raíz desbloqueada, estén cifrados y no contengan malware. Para obtener instrucciones sobre cómo configurar las evaluaciones HIP, consulte Definición de objetos y perfiles HIP. Acerca de la notificación HIP Por defecto, a los usuarios finales no se les informa de las decisiones sobre políticas derivadas de aplicar una política de seguridad tipo HIP. Sin embargo, puede habilitar esta funcionalidad definiendo que se muestren mensajes de notificación HIP cuando un perfil HIP concreto coincida o no. La decisión de cuándo mostrar un mensaje (es decir, si aparece cuando el dispositivo coincide con un perfil HIP de la política o cuando no coincide), depende en gran medida de su política y de lo que el usuario entiende por coincidencia (o no coincidencia) de HIP. Es decir, si se produce la coincidencia ¿se enviarán los perfiles de configuración correspondientes al dispositivo? ¿O el dispositivo no recibirá el perfil de configuración hasta que cumpla los requisitos? Guía del administrador de GlobalProtect 85 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Por ejemplo, imagínese estas situaciones: Crea un perfil HIP que evalúa si la versión de SO del dispositivo es mayor o igual a un número de versión específico. En este caso, puede que quiera crear un mensaje de notificación HIP para dispositivos que no coincidan con el perfil HIP, en el que indica a los usuarios del dispositivo que deben actualizar el SO del dispositivo para poder recibir los perfiles de configuración de la empresa. Crea un perfil HIP que evalúa si la versión de SO del dispositivo es inferior a un número de versión específico. En este caso, en su lugar puede crear el mensaje para dispositivos que sí coincidan con este perfil. Las políticas del gestor de seguridad móvil que implemente le permiten asegurarse de que los dispositivos que accedan a su red cumplan con sus políticas de seguridad y uso aceptable, le proporcionan un mecanismo de envío y simplifican la implementación de los ajustes de configuración, certificados y perfiles de aprovisionamiento necesarios para acceder a sus recursos de la empresa. La forma en la que elija gestionar y configurar los dispositivos móviles dependerá de los requisitos específicos de su compañía y la sensibilidad de los recursos a los que las configuraciones ofrecen acceso. Si desea información sobre cómo configurar los mensajes de notificación HIP, consulte Definición de objetos y perfiles HIP. Recomendaciones sobre las políticas del gestor de seguridad móvil Antes de definir los perfiles de configuración, los perfiles de aprovisionamiento y las restricciones de dispositivo para enviarlos a los dispositivos gestionados, considere las siguientes recomendaciones: 86 Cree una regla de política predeterminada que busque vulnerabilidades de dispositivos. Dada su utilidad, los dispositivos móviles (incluso los que son propiedad de la empresa) se usan con numerosos fines, más allá de los comerciales, lo que puede exponerlos a vulnerabilidades y robos. Del mismo modo que se asegura de que los ordenadores y portátiles que acceden a su red se mantienen y aseguran adecuadamente, debe asegurarse de que los dispositivos móviles que acceden a los sistemas de la empresa están libres de vulnerabilidades conocidas. Use perfiles HIP que comprueben si un dispositivo cumple los requisitos que defina para asegurarse de que los perfiles de configuración que dan acceso a los recursos de la empresa solo se envían tras valorar si el dispositivo tiene o no vulnerabilidades conocidas, está liberado/tiene la raíz desbloqueada o contiene aplicaciones que se saben que son portadoras de malware. La mejor forma de hacerlo es crear una regla de política predeterminada que identifique los dispositivos que contienen una vulnerabilidad mediante una evaluación HIP. Para los dispositivos que cumplan esa regla, la política podría o bien enviar un perfil vacío (es decir, no adjuntar ningún perfil) o bien enviar un perfil que solo contengan un requisito de contraseña (en caso de que el dispositivo vulnerable contenga datos de la empresa o tenga acceso a sistemas de la empresa). En este caso también debería crear una notificación de coincidencia HIP para informar a sus usuarios del motivo por el que no reciben sus ajustes de cuenta. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Exija código de acceso y cifrado de datos complejos. Los dispositivos móviles son, por naturaleza, fáciles de perder y de robar. Si un dispositivo sin código de acceso cae en las manos equivocadas cualquier sistema empresarial al que se tenga acceso desde el dispositivo estará en peligro. Por ello, siempre exigirá un código de acceso en los dispositivos que gestione. Además, como los dispositivos Android no cifran automáticamente los datos al definir un código de acceso, como sí hacen los dispositivos iOS, deberá exigir siempre que los dispositivos Android gestionados tengan habilitado el cifrado de datos. Aunque hay varias formas de imponer estos requisitos, la más sencilla es incluir los requisitos de código de acceso y cifrado en cada perfil de configuración que envíe. Si incluye los requisitos para el dispositivo en los perfiles de configuración que permiten acceder a sus recursos de la empresa (como el correo electrónico, la VPN o la red Wi-Fi), obligará al usuario del dispositivo móvil a definir un código de acceso que cumpla sus requisitos y a habilitar el cifrado de datos antes de instalar el perfil, lo que evitará que los usuarios finales accedan a la cuenta correspondiente hasta que el dispositivo cumpla lo estipulado. Envíe un perfil de configuración de VPN de GlobalProtect VPN para simplificar la implementación. Para simplificar la implementación de los ajustes del agente GlobalProtect en los dispositivos iOS que gestiona, cree un perfil de configuración iOS y configure los ajustes de VPN de modo que el dispositivo pueda conectar automáticamente con su VPN de GlobalProtect cuando implemente la política correspondiente. Cree perfiles de configuración distintos para acceder a las distintas cuentas. Aunque puede crear perfiles de seguridad que envíen ajustes a múltiples cuentas, puede simplificar la administración y mejorar la capacidad de uso creando perfiles de configuración diferentes para cada servicio. Esto permite a los usuarios eliminar perfiles de cuentas que no necesitan o quieren. Del mismo modo, cuando un usuario necesita un cambio de servicio concreto, basta con cambiar los ajustes de implementación de políticas para que el perfil se elimine automáticamente de los dispositivos de usuario o se agreguen a ellos como corresponda. Además, si segrega las configuraciones de cuenta en archivos separados, podrá crear más fácilmente políticas adaptadas a las necesidades de acceso de sus grupos de usuarios. Use los perfiles de aprovisionamiento iOS para simplificar la implementación de aplicaciones empresariales. Los perfiles de aprovisionamiento ofrecen un método cómodo y automatizado para distribuir aplicaciones de empresa desarrolladas internamente a los dispositivos iOS gestionados de su red. Aunque el gestor de seguridad móvil simplifica la implementación de perfiles de aprovisionamiento en un gran número de dispositivos móviles, hay algunos factores de seguridad que se deben tener en cuenta. Cuando revoque el acceso a una aplicación habilitada a través de un perfil de aprovisionamiento, la aplicación seguirá ejecutándose en el dispositivo hasta que lo apague, aunque la política del gestor de seguridad móvil elimine el perfil. Además, como los perfiles de aprovisionamiento están sincronizados con iTunes, el perfil puede reinstalarse la siguiente vez que el usuario final sincronice el dispositivo con iTunes. Considere las siguientes recomendaciones: Guía del administrador de GlobalProtect 87 Definición de políticas de implementación 88 Configuración del gestor de seguridad móvil de GlobalProtect – Exija una autenticación para usar la aplicación. Esto impide el acceso a aquellos usuarios que no están autorizados a usar la aplicación pero tienen instalado el perfil de aprovisionamiento en sus dispositivos. – Para asegurar que no realicen copias de seguridad de los datos de aplicaciones de la empresa en iCloud o iTunes, donde podrían estar al alcance de usuarios no autorizados, asegúrese de que las aplicaciones que desarrolle internamente usen a carpeta Caches de la aplicación para almacenar los datos, ya que esta carpeta se excluye de la copia de seguridad. – Cuando elimine los privilegios de acceso a la aplicación de un usuario, no confíe únicamente en la eliminación del perfil de aprovisionamiento de la política del gestor de seguridad móvil, debe desactivar también la cuenta del usuario en sus servidores internos. – Asegúrese de tener la capacidad de borrar los datos de aplicaciones locales en el dispositivo móvil cuando se elimina el acceso a la aplicación. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Integración del gestor de seguridad móvil con su directorio LDAP Utilice el siguiente procedimiento para conectarse a su directorio LDAP y así habilitar que el gestor de seguridad móvil recupere información de usuario y grupo: Integración con el servidor de directorios Paso 1 Cree un perfil de servidor LDAP que especifique cómo conectarse a los servidores de directorio que desee que utilice el cortafuegos para obtener información de asignación de grupos. 1. Seleccione Configuración > Perfiles de servidor > LDAP. 2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil. 3. Haga clic en Añadir para añadir una nueva entrada de servidor LDAP y, a continuación, introduzca un nombre de Servidor para identificar al servidor (de 1 a 31 caracteres) y el número de Dirección IP y Puerto que debería utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para LDAP sobre SSL). Puede añadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que añada a un perfil deberán ser del mismo tipo. Para la redundancia, debería añadir como mínimo dos servidores. 4. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que introduzca aquí dependerá de su implementación: • Si está utilizando Active Directory, deberá introducir el nombre de dominio NetBIOS; NO el FQDN (por ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios, deberá crear perfiles de servidor separados. Aunque el nombre de dominio se puede determinar automáticamente, la práctica recomendada es introducir el nombre de dominio siempre que sea posible. • Si está utilizando un servidor de catálogo global, deje este campo en blanco. 5. Seleccione el Tipo de servidor LDAP al que se esté conectando. Los valores de asignación de grupos se cumplimentarán automáticamente según su selección. Sin embargo, si ha personalizado su esquema, puede que tenga que modificar los ajustes predeterminados. 6. En el campo Base, especifique el punto donde desee que el gestor de seguridad móvil comience su búsqueda de información de usuarios y grupos dentro del árbol de LDAP. 7. Introduzca las credenciales de autenticación para el enlace con el árbol de LDAP en los campos Enlazar DN, Enlazar contraseña y Confirmar contraseña de enlace. El valor de Enlazar DN puede tener el formato Nombre principal del usuario (UPN) (p. ej., [email protected]) o puede ser un nombre de LDAP completo (p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local). 8. Si desea que el gestor de seguridad móvil se comunique con los servidores LDAP a través de una conexión segura, seleccione la casilla de verificación SSL. Si habilita SSL, asegúrese de que también ha especificado el número de puerto adecuado. Guía del administrador de GlobalProtect 89 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Integración con el servidor de directorios (Continuación) Paso 2 Añada el perfil de servidor LDAP a la configuración de integración de directorios. 1. Seleccione Configuración > Base de datos de usuario > Integración de directorios y haga clic en Añadir. 2. Seleccione el Perfil de servidor que creó en el Paso 1. 3. Asegúrese de que la casilla de verificación Habilitado está seleccionada. 4. (Opcional) Si desea limitar los grupos que se muestran en la política de seguridad, seleccione la pestaña Lista de inclusión de grupos y, a continuación, examine el árbol de LDAP para localizar los grupos que desea poder utilizar en la política. En el caso de cada grupo que desee incluir, selecciónelo en la lista Grupos disponibles y haga clic en el icono de adición para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar en sus políticas. 5. Haga clic en ACEPTAR para guardar la configuración. Paso 3 Guarde la configuración. Haga clic en Compilar. Definición de objetos y perfiles HIP El uso de perfiles HIP en la política de gestor de seguridad móvil permite la implementación de configuraciones y asegura que los dispositivos móviles cumplen con los requisitos de seguridad de la empresa para recibir los perfiles de configuración que permite el acceso a sus recursos de la empresa. Por ejemplo, antes de enviar las configuraciones que permiten el acceso a sus sistemas de la empresa, puede que desee asegurarse de que los datos del dispositivo se han cifrado y los dispositivos no están liberados ni tienen la raíz desbloqueada. Para ello, debe crear un perfil HIP que evalúe los dispositivos que cumplen estos criterios y adjuntarlos a las reglas de políticas de implementación. 90 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de objetos y perfiles HIP Paso 1 Cree objetos HIP para filtrar los datos de 1. los que informa el dispositivo. Seleccione Políticas > Información de host > Objetos HIP y haga clic en Añadir. Nota 2. La función de pestaña le permite crear etiquetas personalizadas para los dispositivos que desee gestionar para 3. agruparlos fácilmente. Por ejemplo, puede crear etiquetas para distinguir dispositivos personales de dispositivos de la empresa. A continuación, puede crear objetos HIP que coincidan con etiquetas específicas, lo cual ofrece posibilidades infinitas de agrupar los dispositivos gestionados para la implementación de la configuración. Si desea más información sobre la creación de etiquetas, consulte Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos. En la pestaña General, introduzca un Nombre y, si lo desea, una Descripción para el objeto. Nota Si desea obtener información detallada sobre un campo de objeto HIP específico, consulte la ayuda en línea. Nota La coincidencia HIP se produce cuando el dispositivo tiene instalada alguna de las aplicaciones de la lista. Defina los criterios de evaluación del objeto HIP como se indica: • Para evaluar las características de identificación del dispositivo móvil, como SO, versión de aplicación GlobalProtect o número de teléfono seleccione la casilla de verificación Información de host y defina los valores que desea evaluar. En cada elemento que desea evaluar, seleccione un operador en la lista desplegable que indique si el valor especificado Es, No es o Contiene el valor que ha introducido o seleccionado. Por ejemplo, si usa este objeto para crear un perfil para usarlo en políticas que se implementarán en los dispositivos iOS, seleccione Es e iOS en las listas desplegables del campo SO. • Para evaluar el estado del dispositivo, por ejemplo si está liberado/tiene la raíz desbloqueada o tiene un código de acceso, seleccione la pestaña Ajustes y seleccione Sí o No para determinar cómo comparar el ajuste. Por ejemplo, si desea que el objeto evalúe dispositivos que no tienen un código de acceso definido, seleccione No en el campo Código de acceso. • Para evaluar según las aplicaciones específicas instaladas en el dispositivo, seleccione Aplicaciones > Incluir y haga clic en Añadir para especificar uno o más paquetes de aplicaciones que evaluar. La lista de aplicaciones que defina puede ser una lista negra o una lista segura, en función de cómo configure el perfil HIP para que evalúe el objeto. Por ejemplo, para crear una lista negra de aplicaciones debe añadir una lista de aplicaciones aquí y después configurar el perfil HIP en que No coincida con el objeto. • (Solo dispositivos Android) Para evaluar si el dispositivo tiene o no instaladas aplicaciones infectadas con malware, seleccione Aplicaciones > Criterios y seleccione un valor en la lista desplegable Tiene malware. También, para permitir aplicaciones específicas que según WildFire contienen malware, seleccione Sí, haga clic en Añadir y especifique los paquetes de aplicaciones que desea que no se consideren malware. Guía del administrador de GlobalProtect 4. Haga clic en ACEPTAR para guardar el objeto HIP. 5. Repita estos pasos para crear los objetos HIP adicionales que necesite. 91 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de objetos y perfiles HIP (Continuación) Paso 2 Cree los perfiles HIP que tiene pensado usar en sus políticas. 1. 2. Cuando crea sus perfiles HIP, puede combinar objetos HIP que haya creado previamente (así como otros perfiles HIP) 3. usando lógica booleana como la que se usa cuando un flujo de tráfico se evalúa 4. con respecto al perfil HIP resultante con el que tendrá, o no, coincidencia. Si coincide, la regla de política correspondiente se aplicará; si no coincide, el flujo se evaluará con respecto a la siguiente regla, como con cualquier otro criterio de coincidencia de política. Paso 3 Paso 4 92 Introduzca un Nombre descriptivo para el perfil y, opcionalmente, una Descripción. Haga clic en Añadir criterios de coincidencia para abrir el generador de objetos/perfiles HIP. Seleccione el primer objeto o perfil HIP que desea utilizar como criterio de búsqueda y, a continuación, haga clic en Añadir para moverlo sobre el cuadro de texto Coincidencia en el cuadro de diálogo Perfil HIP. Tenga en cuenta que, si desea que el perfil HIP evalúe el objeto como una coincidencia solo cuando el criterio del objeto no sea verdadero para un flujo, seleccione la casilla de verificación NO antes de añadir el objeto. 5. Continúe añadiendo criterios de coincidencia como corresponda para el perfil que está creando, seleccionando el botón de opción del operador booleano apropiado (Y u O) cada vez que añada un elemento (y, de nuevo, use la casilla de verificación NO cuando corresponda). 6. Si está creando una expresión booleana compleja, debe añadir manualmente el paréntesis en los lugares adecuados del cuadro de texto Coincidencia para asegurarse de que el perfil HIP se evalúa usando la lógica que desea. 7. Cuando termine de añadir criterios de evaluación haga clic en ACEPTAR para guardar el perfil. 8. Repita estos pasos para crear cada perfil HIP adicional que necesite. (Opcional) Por motivos de privacidad, la 1. ubicación GPS del dispositivo móvil no se incluye en los datos de HIP de los que la aplicación informa por defecto. Sin 2. embargo, puede habilitar la ubicación GPS si necesita esta información para la implementación de políticas. Compruebe que los objetos HIP y los perfiles HIP que ha creado coinciden con los dispositivos gestionados según lo esperado. Seleccione Políticas > Información de host > Perfiles HIP y haga clic en Añadir. Seleccione Políticas > Información de host > Recopilación de datos y haga clic en el icono Editar en la sección Recopilación de datos. Seleccione la casilla de verificación Habilitar identificación de usuarios y, a continuación, haga clic en ACEPTAR. Seleccione Supervisar > Logs > Coincidencias HIP. Este log muestra todas las coincidencias que el gestor de seguridad móvil ha identificado cuando evaluó los datos de dispositivo de los que informó la aplicación y los comparó con los objetos HIP y los perfiles HIP. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de objetos y perfiles HIP (Continuación) Paso 5 1. Defina los mensajes de notificación que verán los usuarios finales cuando se aplique una regla de política con un perfil HIP. 2. La decisión de cuándo mostrar un mensaje (es decir, si aparece cuando la configuración 3. del usuario coincide con un perfil HIP en la política o cuando no coincide), depende en gran medida de su política y de lo que el usuario entiende por coincidencia (o no coincidencia) de HIP. Es decir, ¿significa la coincidencia que se concede total acceso a 4. los recursos de su red? ¿O significa que tiene acceso limitado debido a un problema de incumplimiento? 5. Por ejemplo, suponga que crea un perfil HIP para dispositivos cuyos datos no están 6. cifrados como exige la política de la empresa. En este caso, puede crear un 7. mensaje de notificación HIP para usuarios que coinciden con el perfil HIP y les indica que deben habilitar el cifrado de disco para poder recibir los perfiles de configuración que les dan acceso a los recursos de la empresa. Por el contrario, si su perfil HIP coincide con los dispositivos que sí tengan el cifrado habilitado, puede crear el mensaje para aquellos usuarios que no se ajusten al perfil. Paso 6 Guarde la configuración HIP. Seleccione Políticas > Información de host > Notificaciones y haga clic en Añadir. Seleccione el Perfil HIP al que se aplica este mensaje en el menú desplegable. Seleccione Coincidir mensaje o Mensaje no coincidente, en función de si desea mostrar el mensaje cuando se cumpla el perfil HIP correspondiente en la política o no. En algunos casos, puede que quiera crear mensajes tanto para coincidencia como para no coincidencia, dependiendo de los objetos que compare y sus objetivos para la política. (Solo mensajes de coincidencia) Seleccione la casilla de verificación Incluir lista de aplicaciones para indicar qué aplicaciones activaron la coincidencia de HIP en el mensaje de notificación. Seleccione la casilla de verificación Habilitar e introduzca el texto de su mensaje en el cuadro de texto Plantilla. Haga clic en ACEPTAR para guardar el mensaje de notificación HIP. Repita este procedimiento para cada mensaje que quiera definir. Haga clic en Compilar. Creación de perfiles de configuración Los perfiles de configuración del gestor de seguridad móvil proporcionan un mecanismo simplificado para enviar configuraciones y restricciones a grupos de dispositivos gestionados. Como los perfiles de configuración que define se envían a dispositivos móviles en función de las coincidencias de políticas, puede definir configuraciones muy específicas o muy amplias y después implementarlas a usuarios y grupos específicos en función del estado del dispositivo y su cumplimiento de los requisitos de seguridad de la empresa. Además puede usar los perfiles de seguridad para imponer restricciones se seguridad, como forzar el uso de un código de acceso o restringir las funcionalidades del dispositivo (como el uso de la cámara). Iconos de clips web: Si planea implementar clips web para proporcionar accesos directos a sitios web o aplicaciones basadas en la web, deberá importar los iconos de clip web asociados antes de crear las políticas de configuración que correspondan. Consulte Importación de iconos de clip web. Guía del administrador de GlobalProtect 93 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Perfiles: Contienen los ajustes de configuración, restricciones y clips web que se enviarán a los dispositivos gestionados durante el registro. Deberá crear perfiles de configuración distintos para los dispositivos iOS y Android, ya que estos sistemas operativos tienen diferentes funcionalidades. Si desea detalles de creación de los perfiles, consulte Creación de un perfil de configuración Android y Creación de un perfil de configuración iOS. También puede usar el perfil de configuración iOS para automatizar el proceso de configuración de los dispositivos móviles para conectar con la VPN de GlobalProtect. Consulte Definición de una configuración VPN de GlobalProtect si desea instrucciones específicas sobre esta configuración. Perfiles de aprovisionamiento iOS. Es necesario implementar un perfil de aprovisionamiento para que los usuarios de iOS puedan iniciar aplicaciones empresariales desarrolladas a nivel interno. Puede crear configuraciones que le permitan implementar perfiles de aprovisionamiento en dispositivos tal y como se describe en Importación de un perfil de aprovisionamiento iOS. Configuraciones SCEP. Son configuraciones que permiten a los dispositivos iOS usar el protocolo de inscripción de certificados simple (SCEP) para obtener certificados de una CA con SCEP, como el servidor SCEP de Microsoft. El SCEP puede usarse para emitir los certificados de identidad que requiere el gestor de seguridad móvil o bien para emitir certificados para otros servicios necesarios en el dispositivo. Para obtener más información, consulte Definición de una configuración SCEP. Después de crear los perfiles de configuración que necesite para los dispositivos que gestione el gestor de seguridad móvil, deberá crear las políticas de implementación que garanticen que las configuraciones se envían a los dispositivos adecuados. Consulte Creación de políticas de implementación para obtener información detallada. Importación de iconos de clip web Los clips web proporcionan accesos directos a sitios web o aplicaciones basadas en la web. Cuando un usuario toca un icono de clip web, automáticamente abre la URL asociada. El gestor de seguridad móvil pueden implementar automáticamente clips web a los dispositivos gestionados para proporcionar accesos directos que ofrezcan a los usuarios un acceso rápido a los sistemas internos, como las bases de datos de seguimiento de errores internos, la Intranet o los sistemas de RR. HH. Si planea incluir clips web en las configuraciones que implemente, puede que quiera crear iconos asociados para mostrarlos en la pantalla de inicio. Debe importar los iconos de clip web en el gestor de seguridad móvil como se indica a continuación antes de crear los perfiles de configuración que incluyen los clips web. Si no asocia un icono con un clip web, se mostrará un cuadrado blanco en su lugar. 94 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de iconos de clips web Paso 1 Cree los archivos de imágenes que desee usar como iconos de clip web. Nota Los iconos que cree para usarlos con sus clips web deben cumplir criterios específicos de nombre e imagen para que el SO los muestre adecuadamente. Si desea recomendaciones sobre cómo crear iconos para dispositivos Android, consulte el siguiente documento en el sitio de desarrolladores de Android: Directrices para el diseño de iconos (en inglés). Si desea recomendaciones sobre cómo crear iconos para dispositivos iOS, consulte el siguiente documento en el sitio de desarrolladores de iOS: Directrices para la creación de imágenes e iconos personalizados (en inglés). Directrices para iconos Android Utilice archivos PNG de 32 bits con un canal alfa para la transparencia. Use diferentes dimensiones para cada densidad de pantalla, tal y como se indica: • Densidad baja 36x36 px • Densidad media 48x48 px • Densidad alta 72x72 px • Densidad superalta 96x96 px Nota Si la imagen es mayor de 96 px, se ajusta automáticamente a 96x96 px en el dispositivo. Directrices para iconos iOS Use archivos PNG no entrelazados. Si desea que iOS añada sus efectos estándar (esquinas redondeadas, sombra paralela y brillo reflectante), asegúrese de que la imagen tiene esquinas en 90 y no tiene ningún brillo o satinado. Cree diferentes imágenes con distintas dimensiones para cada plataforma iOS como se indica a continuación: • Para iPhone y iPod touch: 57x57 px (114x114 px para una alta resolución) • Para iPad: 72x72 px (144x144 px para una alta resolución) Paso 2 Paso 3 Importe cada icono de clip web en el gestor 1. de seguridad móvil. Guarde sus cambios. Guía del administrador de GlobalProtect Seleccione Políticas > Configuración > Iconos de clip web y haga clic en Añadir. 2. Introduzca un Nombre y una Descripción del icono. 3. Seleccione Examinar y vaya hasta la ubicación del icono de clip web y haga clic en Abrir. El nombre de archivo y ruta aparecerán en el campo Archivo. 4. Haga clic en ACEPTAR. Haga clic en Compilar. 95 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de un perfil de configuración iOS El perfil de configuración iOS contiene los ajustes de configuración, certificados, clips web y restricciones para enviarlos a un grupo específico de dispositivos iOS. Si tiene grupos de usuarios de dispositivos iOS que necesitan acceso a diferentes servicios o distintos niveles de restricciones, deberá crear un perfil de configuración de iOS distinto para cada uno. Creación de un perfil de configuración iOS Paso 1 Añada un perfil de configuración. 1. Seleccione Políticas > Configuración > iOS y haga clic en Añadir. Paso 2 Paso 3 Paso 4 Introduzca la información de identificación para la configuración. (Opcional) Defina cómo puede modificarse el perfil. Especifique los requisitos de código de acceso de los dispositivos. Si especifica requisitos de código de acceso, los usuarios de los dispositivos deberán respetar los ajustes de código de acceso que defina. 96 1. En la pestaña General, escriba un Nombre para mostrar para la configuración en la interfaz web del gestor de seguridad móvil. 2. Introduzca un Nombre para mostrar para que aparezca en la pantalla de detalles/perfiles en el dispositivo móvil, así como en el informe HIP del dispositivo. 3. Introduzca un identificador para la configuración en formato de estilo DNS inverso. Por ejemplo, si este perfil va a usarse para enviar una configuración base de iOS a los dispositivos, puede asignar a la configuración un nombre parecido a com.acme.perfiliOS. 4. (Opcional) Introduzca también una Descripción para que se muestre en la pantalla Detalles del dispositivo móvil. 1. Por defecto, el usuario puede eliminar un perfil de configuración del dispositivo. Para evitar que los usuarios eliminen esta configuración, seleccione Nunca en la lista desplegable El usuario puede eliminar el perfil. Para exigir una contraseña para la eliminación seleccione Con autorización y defina la Contraseña de autorización. 2. (iOS 6.0 y posteriores) Por defecto el perfil no se eliminará automáticamente. Sin embargo, puede seleccionar un valor de la lista desplegable Eliminar perfil automáticamente para eliminar el perfil automáticamente tras un número de días específicos o en una fecha concreta. 1. Si desea obligar a los usuarios de dispositivos que reciben esta configuración a usar un código de acceso en el dispositivo, seleccione la pestaña Código de acceso y seleccione la casilla de verificación Código de acceso para habilitar la restricción. Con solo habilitar este campo obligará a usar un código de acceso de un mínimo de 4 caracteres sin imponer requisitos adicionales. 2. (Opcional) Especifique requisitos adicionales de código de acceso que desee aplicar, como la longitud o la complejidad, la frecuencia con la que el usuario debe cambiar el código de acceso o si debe forzar el dispositivo a bloquearse automáticamente tras un número especificado de minutos. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de un perfil de configuración iOS (Continuación) Paso 5 Paso 6 Defina las restricciones sobre lo que el usuario puede hacer con el dispositivo. Proporciones los ajustes de configuración que permiten el acceso del dispositivo a uno o más de los siguientes servicios: • Wi-Fi • VPN (GlobalProtect) • Correo electrónico • Exchange Active Sync • LDAP 1. Seleccione la pestaña Restricciones y después la casilla de verificación Restricciones para permitir que la configuración controle de lo que el usuario puede hacer con el dispositivo móvil. 2. Seleccione o cancele la selección de las casillas de verificación en las pestañas Funcionalidad del dispositivo, Aplicaciones, iCloud, Seguridad y privacidad y Valoración del contenido para definir las restricciones de dispositivos que desee. Por ejemplo, si no desea que los usuarios usen la cámara, cancele la selección de la casilla de verificación Permitir uso de la cámara. Para habilitar los ajustes de configuración para un tipo de recurso específico: 1. Seleccione la pestaña y la casilla de verificación correspondiente para habilitar la configuración. Por ejemplo, para habilitar una configuración Wi-Fi, debe seleccione la pestaña Wi-Fi y después la casilla de verificación Wi-Fi. 2. Haga clic en Añadir para abrir la ventana de configuración. 3. Cumplimente los campos como sea necesario para permitir que los dispositivos móviles accedan al servicio (los campos con el fondo amarillo son obligatorios). Consulte la ayuda en línea si desea información sobre qué introducir en un campo específico. Repita este paso para cada servicio para el que dese enviar los ajustes en este perfil de configuración. Puede incluso definir 4. múltiples configuraciones para el mismo tipo de servicio, por ejemplo si desea enviar ajustes de envío para unirse a múltiples redes Wi-Fi. Si desea instrucciones específicas sobre cómo crear una configuración VPN de GlobalProtect, consulte Definición de 5. una configuración VPN de GlobalProtect. En las configuraciones que requieran un Nombre de usuario, la configuración usará por defecto el nombre de usuario del usuario final que se proporcionó cuando se autenticó en el gestor de seguridad móvil durante la inscripción (Usar guardado). Para especificar un nombre de usuario diferente, seleccione Fijo e introduzca un nombre de usuario en el cuadro de texto. En las configuraciones que requieran una Contraseña, la configuración usará una contraseña que el usuario define en el dispositivo móvil (Definida en el dispositivo) por defecto. Para usar la contraseña que el usuario final proporcionó al autenticarse en el gestor de seguridad móvil durante la inscripción (Usar guardada). O para especificar una contraseña diferente, seleccione Fija e introduzca una contraseña en el cuadro de texto. Nota Guía del administrador de GlobalProtect En las configuraciones Wi-Fi hay un ajuste de contraseña adicional, Definir por cada conexión, que requiere que el usuario del dispositivo introduzca la contraseña al volverse a unir a la red. 97 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de un perfil de configuración iOS (Continuación) Paso 7 Cree accesos directos a los sitios web o las 1. aplicaciones basadas en web (llamados 2. clips web) para mostrarlos en la pantalla Inicio del dispositivo. 3. Los clips web son útiles para ofrecer acceso rápido a los sitios web a los que sus 4. usuarios móviles necesitan acceder, como 5. su Intranet o el sistema de seguimiento de errores internos. Antes de crear una 6. configuración que incluya un clip web, debe importar el icono asociado para mostrarlo en la pantalla del dispositivo. Consulte las instrucciones de Importación de iconos de clip web. Nota Paso 8 Paso 9 A causa de un error conocido de iOS, la modificación o eliminación de un clip web de una configuración provocará un artefacto en la pantalla de inicio del dispositivo hasta que se reinicie la siguiente vez. 98 Introduzca un Nombre para el clip web que se usará con el gestor de seguridad móvil. Introduzca una Etiqueta para que el clip web se muestre en la pantalla de inicio. Escriba la URL que se cargará cuando el usuario toque el clip web. Seleccione un Icono que haya importado previamente o haga clic en Icono en el menú desplegable para importar uno nuevo. Para evitar que los usuarios eliminen el clip web de la pantalla Inicio, borre la casilla de verificación Eliminable. 7. Si desea evitar que iOS añada efectos estándar al icono (esquinas redondeadas, sombra paralela y brillo reflectante), seleccione la casilla de verificación Precompuesto. 8. Si desea que la página web se muestre en pantalla completa en lugar de iniciar Safari para que muestre el contenido, seleccione Pantalla completa. 9. Haga clic en ACEPTAR para guardar el clip web. 1. Añada certificados para enviarlos a los dispositivos móviles. Pueden ser 2. certificados que generó en el gestor de seguridad móvil o certificados que 3. importó de una CA distinta. Puede enviar cualquier certificado que el dispositivo vaya a necesitar para conectar con sus aplicaciones y servicios internos. 1. Defina un nombre de punto de acceso (APN) para que el dispositivo móvil lo use para presentarlo al operador para 2. identificar el tipo de conexión de red que suministrar. Paso 10 Guarde el perfil de configuración. Seleccione la pestaña Clips web y haga clic en Añadir. Seleccione la pestaña Certificados y haga clic en Añadir. Seleccione un certificado existente en la lista o elija Importar un certificado generado por una CA diferente. Si el certificado contiene una clave privado, también debe introducir la Contraseña que se usará para descifrar la clave. Seleccione la pestaña APN y después la casilla de verificación APN para habilitar el servicio en los dispositivos gestionados. Introduzca el Nombre de punto de acceso para la red de datos de paquete (PDN) u otro servicio, como un servidor de protocolo de aplicaciones inalámbricas o (WAP) o servicio de mensajería multimedia (MMS) para permitir que los dispositivos móviles se comuniquen con él. 1. Haga clic en ACEPTAR para guardar los ajustes de configuración que ha definido y cerrar el cuadro de diálogo Configuración iOS. 2. Compile sus cambios. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Definición de una configuración VPN de GlobalProtect Aunque el gestor de seguridad móvil de GlobalProtect le permite enviar ajustes de configuración que ofrecen acceso a sus recursos empresariales y ofrece un mecanismo para imponer restricciones a los dispositivos, no asegura la conexión entre el dispositivo móvil y los servicios con los que conecta. Para habilitar que el cliente establezca conexiones de túnel seguras, debe activar la compatibilidad VPN en el dispositivo. Para una configuración simplificada de VPN de GlobalProtect en los dispositivos iOS, puede enviar los ajustes de configuración VPN de GlobalProtect al dispositivo en el perfil de configuración tal y como se describe en el siguiente procedimiento. Si desea información general sobre configuración, consulte Creación de un perfil de configuración iOS. Creación de una configuración VPN de GlobalProtect Paso 1 Paso 2 Seleccione o añada un perfil de configuración iOS al que añadir los ajustes de configuración VPN de GlobalProtect. Seleccione Políticas > Configuración > iOS y haga clic en Añadir o seleccione una configuración existente a la que añadir los ajustes VPN. Defina los ajustes de conexión VPN de GlobalProtect. 1. Seleccione la pestaña VPN y haga clic en Añadir para abrir el cuadro de diálogo VPN. 2. Introduzca un Nombre para identificar esta configuración en el gestor de seguridad móvil. 3. Introduzca un Nombre de conexión para mostrarlo en el dispositivo. 4. Introduzca la dirección IP o FQDN del portal de GlobalProtect en el campo Servidor. El valor que introduzca debe coincidir con el campo CN del certificado del servidor del portal. 5. Asegúrese de que Tipo de conexión se define como Palo Alto Networks GlobalProtect. Guía del administrador de GlobalProtect Si se trata de un nuevo perfil de configuración, introduzca información de identificación del perfil y defina otros ajustes y restricciones de configuración como corresponda. Consulte Creación de un perfil de configuración iOS para obtener información detallada. 99 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de una configuración VPN de GlobalProtect (Continuación) Paso 3 100 Especifique cómo cumplimentar los 1. ajustes de nombre de usuario y contraseña de cuenta VPN. Especifique dónde obtener el nombre de usuario VPN seleccionando un valor en la lista desplegable Cuenta. Por defecto, la configuración VPN de GlobalProtect se define como Usar guardado, lo que le permite usar el nombre de usuario que el usuario del dispositivo proporcionó durante la inscripción. También puede especificar un nombre de usuario Fijo para todos los dispositivos que usen esta configuración o bien permitir al usuario del dispositivo definir el nombre de usuario de la cuenta seleccionando Definido en el dispositivo. 2. Por defecto, se usará la Contraseña VPN que el usuario del dispositivo tenga Definida en el dispositivo. Sin embargo, si desea usar la contraseña que suministró el usuario del dispositivo cuando se autenticó durante la inscripción, seleccione Usar guardada, o defina una contraseña Fija para que la usen todos los dispositivos que tengan esta configuración. 3. (Opcional) Por defecto, cuando una política del gestor de seguridad móvil se envía a un dispositivo móvil, todos los perfiles que envió el gestor de seguridad móvil que no se adjuntan a la regla de política coincidente se eliminan automáticamente del dispositivo. Sin embargo, el gestor de seguridad móvil no elimina los perfiles VPN enviados al dispositivo por el portal GlobalProtect, lo que permite al usuario cambiar de perfil. Para permitir que el gestor de seguridad móvil elimine los perfiles VPN de GlobalProtect, cancele la selección de la casilla de verificación Habilitar perfil de portal. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de una configuración VPN de GlobalProtect (Continuación) Paso 4 Nota • Para usar el certificado de identidad enviado al dispositivo (Opcional) Especifique un certificado de móvil durante la inscripción: cliente para que los dispositivos móviles lo usen para autenticarse en las puertas de a. Seleccione Ninguno en el campo Credencial. enlace de GlobalProtect durante el • Para usar los certificados de cliente emitidos por el servidor establecimiento del túnel VPN. Si en su de su SCEP de la empresa: lugar desea enviar un certificado de cliente a los dispositivos desde la configuración de a. Seleccione SCEP en el campo Credencial. cliente del portal, o si no está usando una b. Definición de una configuración SCEP. autenticación de certificado en sus puertas de enlace, puede omitir este paso. • Para usar un certificado de cliente emitido por el gestor de seguridad móvil: Esta función es útil para evitar que los dispositivos que no gestiona el gestor de a. seguridad móvil se conecten a la VPN de GlobalProtect. Sin embargo, si rechaza las conexiones de dispositivos no gestionados perderá visibilidad de ese tráfico. Para controlar el tráfico de dispositivos móviles no gestionados, se recomienda crear un perfil HIP que evalúe si el dispositivo está b. gestionado y adjuntarlo a sus políticas de seguridad. Consulte Uso de información del host en la aplicación de políticas si Nota desea más información sobre la creación de políticas de seguridad HIP. Paso 5 4. (Opcional) Especifique qué tráfico de dispositivo enviar a través de VPN. Por defecto, la aplicación GlobalProtect tuneliza todo el tráfico como se especifica en su configuración de cliente del portal correspondiente. Sin embargo, puede sobrescribir la configuración del túnel del portal definiendo el ajuste de VPN bajo demanda en la configuración del gestor de seguridad móvil. Importe un certificado de cliente para enviarlo a los dispositivos móviles y al gestor de seguridad móvil o generar un certificado autofirmado en el gestor de seguridad móvil. Esta opción es similar a la de implementar certificados de cliente desde el portal GlobalProtect. En esta configuración especifica un único certificado de cliente para que lo usen todos los dispositivos móviles que empleen este perfil de configuración iOS. Seleccione Certificado y después el certificado de cliente que desea usar en la lista desplegable. Si especifica una Credencial en esta configuración, asegúrese de que la configuración de cliente que el portal implementará en los dispositivos móviles correspondientes no contiene también un certificado de cliente, de lo contrario el certificado de configuración del portal sobrescribirá el certificado especificado aquí. Para sobrescribir los ajustes definidos en la configuración del portal, seleccione la casilla de verificación VPN bajo demanda y después haga clic en Añadir para definir las excepciones como se indica: • Introduzca una dirección IP, nombre de host, nombre de dominio o subred en el campo Dominio para especificar un destino de tunelización. • Seleccione la Acción correspondiente para especificar cuándo tunelizar el tráfico al Dominio especificado (siempre, nunca o a petición para permitir que el usuario final invoque manualmente la VPN). • Repita este paso para cada destino de túnel que desee sobrescribir. Paso 6 Guarde el perfil de configuración. Guía del administrador de GlobalProtect 5. Haga clic en ACEPTAR para guardar la configuración. 1. Haga clic en ACEPTAR para guardar los ajustes de configuración VPN. 2. Haga clic en ACEPTAR para guardar el perfil de configuración iOS. 3. Compile sus cambios. 101 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de una configuración VPN de GlobalProtect (Continuación) Paso 7 Configure las puertas de enlace para usar Complete los siguientes pasos en cada puerta de enlace: cuando el certificado cliente especificado 1. Importe las puertas de enlace el certificado CA raíz que se usó habilite los dispositivos móviles con esta para emitir los certificados de dispositivos móviles (el emisor del configuración para establecer las certificado de identidad, la CA del servidor SCEP o el conexiones HTTPS. certificado de CA autofirmado del gestor de seguridad móvil en función del tipo de de certificado cliente que esté usando). 2. Añada el certificado de CA al perfil de certificado que se usó en la configuración de la puerta de enlace. Creación de un perfil de configuración Android El perfil de configuración iOS contiene los ajustes de configuración, certificados, clips web y restricciones para enviarlos a un grupo específico de dispositivos iOS. Si tiene grupos de usuarios de dispositivos iOS que necesitan acceso a diferentes servicios o distintos niveles de restricciones, deberá crear un perfil de configuración de iOS distinto para cada uno. Creación de un perfil de configuración Android Paso 1 Añada un perfil de configuración. 1. Seleccione Políticas > Configuración > Android y haga clic en Añadir. Paso 2 Paso 3 Introduzca la información de identificación para la configuración. Especifique los requisitos de código de acceso de los dispositivos. Si especifica requisitos de código de acceso, los usuarios de los dispositivos deberán respetar los ajustes de código de acceso que defina. 102 1. En la pestaña General, escriba un Nombre para mostrar para la configuración en la interfaz web del gestor de seguridad móvil. 2. Introduzca un Nombre para mostrar para que aparezca en la pantalla de detalles/perfiles en el dispositivo móvil, así como en el informe HIP del dispositivo. 3. Introduzca un Identificador para la configuración en formato de estilo DNS inverso. Por ejemplo, si este perfil va a usarse para enviar una configuración base de iOS a los dispositivos, puede asignar a la configuración un nombre parecido a com.acme.perfilAndroid. 4. (Opcional) Introduzca también una Descripción para que se muestre en la pantalla Detalles del dispositivo móvil. 1. Si desea obligar a los usuarios de dispositivos que reciben esta configuración a usar un código de acceso en el dispositivo, seleccione la pestaña Código de acceso y seleccione la casilla de verificación Código de acceso para habilitar la restricción. Con solo habilitar este campo obligará a usar un código de acceso de un mínimo de 4 caracteres sin imponer requisitos adicionales. 2. (Opcional) Especifique requisitos adicionales de código de acceso que desee aplicar, como la longitud o si forzar al dispositivo a bloquearse automáticamente tras un número especificado de minutos. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de un perfil de configuración Android (Continuación) Paso 4 Defina las restricciones sobre lo que el usuario puede hacer con el dispositivo. 1. Seleccione la pestaña Restricciones y después la casilla de verificación Restricciones para permitir que la configuración controle lo que el usuario puede hacer con el dispositivo móvil. 2. Modifique los ajustes de restricción predeterminada como desee: • Por ejemplo, si no desea que los usuarios usen la cámara, cancele la selección de la casilla de verificación Permitir uso de la cámara. • Si desea asegurarse de que los datos de los dispositivos móviles están cifrados, seleccione la casilla de verificación Exigir cifrado de los datos almacenados. Paso 5 Proporcione los ajustes de configuración 1. que permiten el acceso del dispositivo a 2. una o más redes Wi-Fi. Si desea información detallada sobre cada campo, consulte la ayuda en línea. 3. Seleccione la pestaña Wi-Fi y haga clic en Añadir. En la pestaña Configuración, introduzca un Nombre para identificar esta configuración Wi-Fi en el gestor de seguridad móvil. Escriba el Identificador de red (SSID) de la red inalámbrica. El SSID es el nombre de difusión de la red Wi-Fi; suele ser un nombre fácil de recordar que permite a los usuarios identificar las redes a las que se conectan. Si no va a difundir su SSID, seleccione la casilla de verificación Red oculta. 4. Por defecto, los dispositivos que reciben esta configuración se unen automáticamente a la red cuando el dispositivo está en el rango, para cambiar esto cancele la selección de la casilla de verificación Unirse automáticamente. 5. En la pestaña Seguridad seleccione el Tipo de seguridad en uso en la red inalámbrica. En función del tipo de seguridad que seleccione, se mostrarán campos adicionales donde podrá indicar los ajustes necesarios para conectarse como la contraseña, el protocolo o el certificado a usar. 6. Para los tipos de seguridad que requieran credenciales de usuario final (tipos de seguridad de empresa), seleccione lo siguiente: • Nombre de usuario: La configuración usará por defecto el nombre de usuario del usuario final que se proporcionó cuando se autenticó en el gestor de seguridad móvil durante la inscripción (Usar guardado). Para especificar un nombre de usuario diferente, seleccione Fijo e introduzca un nombre de usuario en el cuadro de texto. • Contraseña: La configuración usará una contraseña que el usuario define en el dispositivo móvil (Definida en el dispositivo) por defecto. Para usar la contraseña que el usuario final proporcionó al autenticarse en el gestor de seguridad móvil durante la inscripción (Usar guardada). O para especificar una contraseña diferente, seleccione Fija e introduzca una contraseña en el cuadro de texto. 7. Guía del administrador de GlobalProtect Haga clic en ACEPTAR para guardar la configuración. 103 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de un perfil de configuración Android (Continuación) Paso 6 Cree accesos directos a los sitios web o las 1. aplicaciones basadas en web (llamados clips 2. web) para mostrarlos en la pantalla Inicio del dispositivo. 3. Los clips web son útiles para ofrecer acceso rápido a los sitios web a los que sus usuarios 4. móviles necesitan acceder, como su Intranet 5. o el sistema de seguimiento de errores internos. Antes de crear una configuración que incluya un clip web, debe importar el 6. Seleccione la pestaña Clips web y haga clic en Añadir. Introduzca un Nombre para el clip web que se usará con el gestor de seguridad móvil. Introduzca una Etiqueta para que el clip web se muestre en la pantalla de inicio. Escriba la URL que se cargará cuando el usuario toque el clip web. Seleccione un Icono que haya importado previamente o haga clic en Icono en el menú desplegable para importar uno nuevo. Haga clic en ACEPTAR para guardar el clip web. icono asociado para mostrarlo en la pantalla del dispositivo. Consulte las instrucciones de Importación de iconos de clip web. Paso 7 Guarde el perfil de configuración. 1. Haga clic en ACEPTAR para guardar los ajustes de configuración que ha definido y cerrar el cuadro de diálogo Configuración de Android. 2. Compile sus cambios. Importación de un perfil de aprovisionamiento iOS Para evitar la propagación de aplicaciones potencialmente dañinas, iOS solo permite a los usuarios instalar aplicaciones de recursos aprobados mediante App Store. Para permitir que los usuarios instalen aplicaciones desarrolladas internamente en sus dispositivos iOS, debe obtener un perfil de aprovisionamiento en el programa Programa empresarial de desarrolladores de iOS (iDEP). Después podrá implementar el perfil de aprovisionamiento a los dispositivos finales autorizados para permitirles instalar la aplicación. Para simplificar el proceso de distribución de perfiles de implementación, importe los perfiles en el gestor de seguridad móvil e impleméntelo en los dispositivos gestionados a través de la política. Aunque el gestor de seguridad móvil simplifica la implementación de perfiles de aprovisionamiento en un gran número de dispositivos móviles, hay algunos factores de seguridad que se deben tener en cuenta. Cuando revoque el acceso a una aplicación habilitada a través de un perfil de aprovisionamiento, la aplicaciones seguirá ejecutándose en el dispositivo hasta que lo apague, aunque la política del gestor de seguridad móvil elimine el perfil. Además, como los perfiles de aprovisionamiento están sincronizados con iTunes, el perfil puede reinstalarse la siguiente vez que el usuario final sincronice el dispositivo con iTunes. Siga el procedimiento siguiente para importar un perfil de aprovisionamiento iOS en el gestor de seguridad móvil: Importación de un perfil de aprovisionamiento iOS Paso 1 104 Obtenga los archivos de aprovisionamiento que necesita para habilitar los usuarios de dispositivos para instalar sus aplicaciones iOS desarrolladas internamente. Si desea más información sobre cómo crear perfiles de aprovisionamiento e implementar aplicaciones desarrolladas a nivel interno, vaya a la siguiente URL: http://www.apple.com/business/accelerator/deploy/ Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Importación de un perfil de aprovisionamiento iOS (Continuación) Paso 2 Paso 3 Cuando haya firmado su perfil de aprovisionamiento, impórtelo al gestor de seguridad móvil. Guarde sus cambios. 1. Seleccione Políticas > Configuración > Perfiles de aprovisionamiento iOS y haga clic en Añadir. 2. Introduzca un Nombre para el perfil. 3. Seleccione Examinar y vaya hasta la ubicación del perfil de aprovisionamiento y haga clic en Abrir. El nombre de archivo y ruta aparecen en el campo Archivo. 4. Haga clic en ACEPTAR. Haga clic en Compilar. Definición de una configuración SCEP El protocolo de inscripción de certificados simple (SCEP) ofrece un mecanismo para emitir certificados a un gran número de dispositivos iOS. En el gestor de seguridad móvil, puede habilitar SCEP para identificar los certificados de identidad a los dispositivos durante el proceso de inscripción. También puede usar el protocolo SCEP para obtener los certificados necesarios para otras configuraciones. Use el siguiente procedimiento para crear una configuración SCEP, ya sea para usarla en la inscripción de gestor de seguridad móvil o con otras configuraciones iOS. Definición de una configuración SCEP Paso 1 Paso 2 1. Configure el gestor de seguridad móvil para que se integre con un servidor SCEP de empresa existente para emitir 2. certificados de identidad a dispositivos iOS. Seleccione Políticas > Configuración > SCEP y haga clic en Añadir. Introduzca un Nombre para identificar la CA, como CA_inscripción. Este nombre distingue esta instancia de SCEP de otras instancias que puede usar en los perfiles de configuración. Seleccione una de las siguientes opciones de Desafío SCEP: Especifique el tipo de desafío que se va a usar. El desafío es una contraseña de un solo • Ninguna: El servidor SCEP emite el certificado sin una OTP. uso (OTP) que comparten el gestor de • Fija: El gestor de seguridad móvil proporcionará una OTP estática seguridad móvil y el servidor SCEP. El que se usa para todos los dispositivos móviles. Obtenga la OTP desde gestor de seguridad móvil incluye la OTP en el servidor SCEP e introdúzcala en el cuadro de texto. También la configuración SCEP que envía al deberá definir el valor del registro UseSinglePassword del servidor dispositivo móvil y el dispositivo lo usa para SCEP para forzarle a usar una contraseña única para todas las autenticarse en el servidor SCEP. inscripciones de certificados de cliente. • Dinámica: El gestor de seguridad móvil obtiene una OTP única del servidor SCEP para cada dispositivo móvil durante la inscripción usando un intercambio desafío-respuesta NTLM entre los dos servidores. Si selecciona esta opción deberá configurar la Ruta del servidor donde el gestor de seguridad móvil puede conectarse con el servidor SCEP e introducir las credenciales que deberá usar para iniciar sesión. Además, puede seleccionar la casilla de verificación SSL para exigir una conexión HTTPS para la solicitud de desafío. Si habilita el SSL, deberá seleccionar el Certificado de CA raíz del servidor SCEP. También puede habilitar la autenticación SSL mutua entre el servidor SCEP y el gestor de seguridad móvil seleccionando un Certificado de cliente. Guía del administrador de GlobalProtect 105 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Definición de una configuración SCEP (Continuación) Paso 3 Especifique cómo conectar con el servidor 1. SCEP. Especifique la URL de servidor que el dispositivo móvil debe usar para llegar al servidor SCEP. Por ejemplo, http://<nombrehost>/certsrv/mscep_admin/mscep.dll 2. Paso 4 Especifique los atributos de los certificados 1. que se deben generar. Introduzca una cadena (hasta 255 caracteres de longitud) para identificar el servidor SCEP en el campo Nombre CA-IDENT. Escriba un nombre de Asunto para los certificados generados por el servidor SCEP. El nombre de asunto debe ser un nombre distinguido en el formato <atributo>=<valor> y debe incluir la clave de nombre común (CN). Hay dos formas de especificar el CN: • (Recomendada) CN basado en token. Introduzca uno de los tokens admitidos $USERNAME o $UDID en lugar de la parte de CN del nombre de asunto. Cuando el gestor de seguridad móvil envíe los ajustes de SCEP al dispositivo, la parte de CN del nombre de asunto se sustituirá por el UDID del dispositivo o nombre de usuario real del propietario del certificado. Este método garantiza que cada certificado que genere el servidor SCEP es único para el usuario o dispositivo específico. Por ejemplo, O=acme,CN=$USERNAME. • CN estático: El nombre común que especifique no se usará como asunto para todos los certificados que emita el servidor SCEP. Por ejemplo, O=acme,CN=$USERNAME. 2. (Opcional) Defina las extensiones de certificado que desee incluir en los certificados: • Tipo de nombre alternativo del asunto: Si planifica suministrar un nombre alternativo del asunto (SAN), especifique el formato del SAN seleccionando uno de los siguientes valores: rfc822Name, dnsName, o uniformResourceIdentifier. • Valor de nombre alternativo del asunto: El valor SAN que se desea incluir en el certificado, en el formato especificado anteriormente. • Nombre principal NT: Objeto de usuario para el dispositivo que se puede usar para igualar el certificado de usuario con una cuenta. Paso 5 106 Guarde el perfil SCEP. 3. Defina el Tamaño de clave para que coincida con el tamaño de clave definido en la plantilla de certificado del servidor SCEP. 4. (Opcional) Si el dispositivo móvil va a obtener su certificado a través de HTTP, introduzca la Huella digital (SHA1 o MD5) del certificado de CA del dispositivo que se usará para autenticar el servidor SCEP. La Huella digital debe coincidir con el valor de Huella digital del servidor SCEP. 1. Haga clic en ACEPTAR para guardar los ajustes de configuración que ha definido y cerrar el cuadro de diálogo Configuración iOS. 2. Compile sus cambios. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Definición de políticas de implementación Creación de políticas de implementación Cuando un dispositivo se ha inscrito y registrado con éxito, el gestor de seguridad móvil usa el nombre de usuario del usuario del dispositivo o los datos HIP de los que se ha información para crear una política de implementación. Creación de políticas de implementación Paso 1 Paso 2 Nota Cree una nueva regla de política. Especifique a qué usuarios de dispositivos móviles desea implementar esta configuración. Hay dos formas de especificar qué dispositivos gestionados recibirán la configuración: por nombre de usuario/grupo o por coincidencia HIP. 1. Seleccione Políticas > Políticas y haga clic en Añadir 2. Escriba un Nombre descriptivo para identificar la regla de política. Seleccione la pestaña Usuarios/Perfiles HIP y especifique cómo determinar una coincidencia de configuración para esta regla de política: • Para implementar esta configuración en un usuario o grupo específicos, haga clic en Añadir en la sección Usuario de la ventana y después seleccione el usuario o grupo que desea que reciba esta configuración en la lista desplegable. Repita este paso para cada usuario/grupo que desee añadir. El gestor de seguridad móvil usa los ajustes de Usuarios/Perfiles HIP que especifique • Para implementar esta configuración en dispositivos que coincidan para determinar qué configuración con un perfil HIP específico, haga clic en Añadir en la sección implementar en un dispositivo en el registro. Perfiles HIP de la ventana y después seleccione un perfil HIP. Así, si tiene múltiples configuraciones, Nota Es recomendable probar sus políticas de implementación deberá asegurarse de ordenarlas antes de enviarlas a toda la base de usuarios móviles. correctamente. En cuanto el gestor de Considere crear al principio una configuración que se seguridad móvil encuentre una coincidencia aplique solo a los usuarios de su grupo de TI para que distribuirá la configuración. Así, las puedan inscribirse en el gestor de seguridad móvil y probar configuraciones más específicas deberán las políticas de implementación. Cuando haya probado preceder a las más generales. Consulte en detenidamente la configuración, podría modificar la Paso 4 las instrucciones sobre cómo política de implementación para enviar las ordenar la lista de reglas. implementaciones a los usuarios móviles. Antes de poder crear reglas de políticas para implementar las configuraciones en usuarios o grupos especificados, deberá configurar el gestor de seguridad móvil para acceder a su directorio de usuario como se describe en Integración del gestor de seguridad móvil con su directorio LDAP. Guía del administrador de GlobalProtect 107 Definición de políticas de implementación Configuración del gestor de seguridad móvil de GlobalProtect Creación de políticas de implementación (Continuación) Paso 3 1. Especifique los perfiles de configuración que se deben implementar en los dispositivos que coincidan con los criterios de perfil de usuario/HIP definidos. Adjunte los perfiles de configuración en la regla de política. Si su regla está diseñada para coincidir con dispositivos iOS y Android, debe adjuntar perfiles de configuración distintos de la siguiente forma: • Para añadir un perfil de configuración de iOS o un perfil de aprovisionamiento de iOS, haga clic en Añadir en la sección iOS y, a continuación, seleccione el perfil que debe añadir. Repita este paso con cada perfil de iOS que se deba implementar en los dispositivos que coincidan con esta regla. • Para añadir un perfil de configuración de Android, haga clic en Añadir en la sección Android y, a continuación, seleccione el perfil para añadir a la regla. Repita este paso con cada perfil de configuración que se deba implementar en los dispositivos que coincidan con esta regla. Paso 4 Prepare las reglas de política de implementación para que la configuración correcta se implemente en todos los dispositivos al realizar el registro. 2. Haga clic en ACEPTAR para guardar la regla de política. 3. Repita del Paso 1 al Paso 3 con cada regla de política que necesite. • Para subir una regla de política de implementación en la lista de reglas, selecciónela y haga clic en Mover hacia arriba. • Para bajar una regla de política de implementación en la lista de reglas, selecciónela y haga clic en Mover hacia abajo. Cuando un dispositivo se registra, el gestor de seguridad móvil comparará el nombre de usuario y los datos HIP que el dispositivo ha proporcionado con las políticas que ha definido. Como con la evaluación de la regla de seguridad en el cortafuegos, el gestor de seguridad móvil busca una coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia, aplica las configuraciones correspondientes en el dispositivo. Paso 5 108 Guarde las reglas de política de implementación. Compile sus cambios. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Verificación de la configuración del gestor de seguridad móvil Verificación de la configuración del gestor de seguridad móvil Una vez terminada la configuración del gestor de seguridad móvil (configurar la interfaz de registro del dispositivo, habilitar la inscripción y definir la configuración y los perfiles de implementación) y la configuración del portal de GlobalProtect con la URL para la interfaz de registro del dispositivo, debe comprobar que puede inscribir correctamente un dispositivo y que el perfil del gestor de seguridad móvil se ha instalado y aplicado correctamente. Compruebe la configuración del gestor de seguridad móvil Paso 1 Paso 2 Configure las políticas de implementación que se enviarán a los usuarios de prueba. Descargue e instale la aplicación de GlobalProtect y acceda al portal de GlobalProtect. Se recomienda empezar a implementar las políticas en un grupo reducido de usuarios, como por ejemplo los administradores del departamento de TI responsables de la administración del gestor de seguridad móvil: 1. Seleccione Políticas > Políticas y seleccione la política de implementación que se debe editar. 2. En la pestaña Usuarios/Perfiles HIP, haga clic en Añadir en la sección Usuario/grupo de usuarios y, a continuación, seleccione el usuario o grupo que probará la política. 3. (Opcional) Seleccione la regla de política de implementación que acaba de crear/modificar y haga clic en Mover hacia arriba para que quede por encima de cualquier regla más genérica que acabe de crear. 4. Compile los cambios. 1. Descargue la aplicación. • En dispositivos Android, descargue la aplicación en Google Play. • En dispositivos iOS, descargue la aplicación de App Store. 2. Toque el icono de GlobalProtect en la pantalla Inicio para iniciar la aplicación. 3. Toque ACEPTAR para habilitar las funciones de VPN en el dispositivo. 4. En la pantalla Configuración de GlobalProtect, introduzca el nombre o dirección del portal, nombre de usuario y contraseña y, a continuación, toque Conectar. El nombre del portal introducido debe ser un nombre de dominio completo (FQDN) y no incluirá https:// al principio. Si el gestor de seguridad móvil se ha configurado en el portal, el dispositivo se redirigirá automáticamente a la pantalla de inscripción después de que se autentique con éxito en el portal. Nota Guía del administrador de GlobalProtect Para completar el proceso de inscripción el dispositivo móvil debe contar con conexión a Internet. 109 Verificación de la configuración del gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Compruebe la configuración del gestor de seguridad móvil (Continuación) Paso 3 Paso 4 Inscriba el dispositivo móvil en el gestor 1. de seguridad móvil de GlobalProtect. Compruebe que los perfiles de configuración que esperaba se han aplicado en el dispositivo. Cuando se le solicite inscribirse en la gestión de dispositivos móviles de GlobalProtect, toque Inscripción. 2. Cuando se le solicite recibir notificaciones push desde GlobalProtect, toque ACEPTAR. 3. Si el certificado de la interfaz de comprobación de dispositivos no lo emitió una CA de confianza, debe instalar el certificado de CA para continuar con la inscripción. Si tiene un código de acceso en el dispositivo, debe introducirlo para poder instalar el certificado. 4. En la pantalla Instalar perfil, toque Instalar para instalar el perfil y, a continuación, toque Instalar ahora para confirmar que la inscripción cambiará la configuración del iPad. Si tiene un código de acceso en el dispositivo, debe introducirlo para poder instalar el perfil. En la pantalla de advertencia, toque Instalar para continuar. 5. Cuando el perfil se haya instalado correctamente, toque Listo. Si está recopilando información de ubicación de GPS, la aplicación le pedirá que permita a GlobalProtect utilizar su ubicación actual. Por ejemplo: • Si ha aplicado el requisito del código de acceso en el dispositivo, se le pedirá que establezca una nueva contraseña en 60 minutos. Toque Continuar para cambiar/establecer el código de acceso. Introduzca el código de acceso actual, escriba el nuevo código de acceso cuando se le solicite y, a continuación, toque Guardar. El cuadro de diálogo debe mostrar cualquier requisito que deba cumplir el nuevo código de acceso. • Si ha aplicado la configuración Exchange Active Sync en el dispositivo, compruebe que puede conectar al servidor Exchange y enviar y recibir correo electrónico. • Si ha aplicado una configuración VPN de GlobalProtect, compruebe que el dispositivo puede establecer una conexión VPN. • Pruebe cualquier clip web que haya aplicado en el dispositivo y compruebe que puede conectarse a las URL asociadas. • Si ha aplicado restricciones en el dispositivo, compruebe que no puede realizar las acciones restringidas. 110 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Verificación de la configuración del gestor de seguridad móvil Compruebe la configuración del gestor de seguridad móvil (Continuación) Paso 5 Paso 6 En el gestor de seguridad móvil, compruebe que las notificaciones push funcionan. Envíe las políticas al resto de su base de usuarios. Guía del administrador de GlobalProtect 1. Seleccione Dispositivos y busque y seleccione su dispositivo en la lista. 2. Haga clic en Mensaje e introduzca el texto que se debe enviar al dispositivo en Cuerpo del mensaje y, a continuación, haga clic en ACEPTAR. 3. Compruebe que recibe el mensaje en el dispositivo. Después de verificar que las políticas y configuración de su gestor de seguridad móvil funcionan como se esperaba, actualice las políticas para implementar el resto de su base de usuarios. 111 Configuración del acceso administrativo en el gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso administrativo en el gestor de seguridad móvil De forma predeterminada, el gestor de seguridad móvil de GlobalProtect viene preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona acceso completo de lectura-escritura (también conocido como acceso de superusuario) al dispositivo. Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las funciones de administración o informes del dispositivo. Esto evita la configuración no autorizada (o modificación) y permite el registro de acciones de cada uno de los administradores. El acceso administrativo se configura en dos pasos: Configuración de la autenticación administrativa Creación de una cuenta administrativa Configuración de la autenticación administrativa Hay tres formas de autenticar a usuarios administrativos: Cuenta de administrador local con autenticación local: tanto las credenciales de la cuenta de administrador como los mecanismos de autenticación son locales para el dispositivo. Puede añadir un nivel de protección adicional a la cuenta del administrador local creando un perfil de contraseña que defina un período de validez para las contraseñas y estableciendo ajustes de complejidad de la contraseña para todo el dispositivo. Con este tipo de cuenta no necesita realizar ninguna tarea de configuración para poder crear la cuenta administrativa. Continúe a Creación de una cuenta administrativa. Cuenta de administrador local con autenticación externa: las cuentas de administrador se gestionan en el cortafuegos local, pero las funciones de autenticación se derivan a un servicio LDAP, Kerberos o RADIUS existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticación que defina el modo de acceso al servicio de autenticación externa y después crear una cuenta para cada administrador que haga referencia al perfil. Consulte Creación de un perfil de autenticación para obtener instrucciones sobre cómo configurar el acceso a servicios de autenticación externos. Cuenta de administrador local con autenticación basada en certificado: con esta opción, puede crear las cuentas de administrador en el dispositivo, pero la autenticación se basa en certificados SSH (para acceso a CLI) o certificados de cliente/tarjetas de acceso común (para la interfaz web). Consulte Activación de la autenticación basada en certificado para la interfaz web o Activación de la autenticación basada en certificado de SSH para la interfaz de la línea de comandos para ver las instrucciones. Creación de un perfil de autenticación Un perfil de autenticación especifica el servicio de autenticación que valida las credenciales del administrador y define cómo acceder a dicho servicio. Debe crear un perfil de servidor en primer lugar para que el gestor de seguridad móvil pueda acceder a un servidor de autenticación RADIUS, Kerberos o LDAP. 112 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso administrativo en el gestor de seguridad móvil Creación de un perfil de autenticación Paso 1 Paso 2 Paso 3 Cree un perfil de servidor que defina cómo conectar con el servidor de autenticación. Cree un perfil de autenticación. Compile los cambios. 1. Seleccione Configuración > Perfiles de servidor y, a continuación, seleccione el tipo de servicio de autenticación al que conectarse (LDAP, RADIUS o Kerberos). 2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil. 3. Seleccione la casilla de verificación Únicamente uso de administrador, si corresponde. 4. Haga clic en Añadir para añadir una nueva entrada de servidor e introduzca la información necesaria para conectarse al servicio. Para obtener detalles sobre los valores de campo necesarios para cada tipo de servicio, consulte la ayuda en línea. 5. Haga clic en ACEPTAR para guardar el perfil de servidor. 1. Seleccione Configuración > Perfil de autenticación y, a continuación, haga clic en Añadir. 2. Introduzca un nombre de usuario para identificar un perfil de autenticación. 3. En el menú desplegable Autenticación, seleccione el tipo de autenticación que utilizará. 4. Seleccione el Perfil de servidor que creó en el Paso 1. Haga clic en Compilar. Activación de la autenticación basada en certificado para la interfaz web Una alternativa más segura al uso de contraseña para autenticar a un usuario administrativo es activar la autenticación basada en certificado para asegurar el acceso al gestor de seguridad móvil. Con la autenticación basada en certificado se intercambia y verifica una firma, en lugar de una contraseña. Utilice las siguientes instrucciones para activar la autenticación basada en certificado. Activación de la autenticación basada en certificado Paso 1 Genere un certificado de CA en el gestor de Para generar un certificado de CA en el gestor de seguridad móvil: seguridad móvil. 1. Inicie sesión en la interfaz web del gestor de seguridad móvil. Nota Si desea utilizar certificados de un tercero de 2. confianza o CA de empresa, debe importar el certificado de CA al gestor de seguridad 3. móvil para que confíe en los certificados de cliente que genera. Guía del administrador de GlobalProtect Seleccione Configuración > Gestión de certificados > Certificados y haga clic en Generar. Introduzca un nombre de certificado y añada la dirección IP o FQDN que necesita que aparezca en el certificado del campo Nombre común. Opcionalmente, puede cambiar los ajustes criptográficos y definir las opciones de certificados como el país, la organización, el estado, etc. 4. Asegúrese de dejar en blanco la opción Firmado por y seleccionar la opción Autoridad del certificado. 5. Haga clic en Generar para crear el certificado usando los detalles especificados anteriormente. 113 Configuración del acceso administrativo en el gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Activación de la autenticación basada en certificado (Continuación) Paso 2 Cree el perfil del certificado que se utilizará 1. para asegurar el acceso a la interfaz web. 2. Seleccione Configuración > Gestión de certificados > Perfil del certificado y haga clic en Añadir. Introduzca un nombre para el perfil del certificado y en Campo de nombre de usuario seleccione Asunto. 3. Paso 3 Paso 4 Configure el gestor de seguridad móvil para 1. que utilice el perfil de certificado del cliente para la autenticación administrativa. Seleccione Añadir en la sección de certificados de CA y, en el menú desplegable Certificado de CA, seleccione el certificado de CA creado en el Paso 1. En la pestaña Configuración > Configuración, haga clic en el icono Editar de la sección Configuración de autenticación de la pantalla. 2. En el campo Perfil del certificado, seleccione el perfil del certificado del cliente creado en el Paso 2. 3. Haga clic en ACEPTAR para guardar los cambios. Cree o modifique una cuenta de 1. administrador para activar el certificado del cliente en la cuenta. 2. 3. Seleccione Configuración > Administradores y, a continuación, haga clic en Añadir. Introduzca un nombre de inicio de sesión para el administrador; el nombre distingue entre mayúsculas y minúsculas. Seleccione Utilizar únicamente el certificado de autenticación de cliente (web) para activar el uso del certificado para la autenticación. 114 4. Seleccione la función que se asignará a este administrador. Puede seleccionar una de las funciones dinámicas predefinidas o seleccionar una función personalizada y adjuntar un perfil de autenticación que especifique los privilegios de acceso para este administrador. 5. (Opcional) Para funciones personalizadas, seleccione los grupos de dispositivos, las plantillas y el contexto del dispositivo que el usuario administrativo puede modificar. 6. Haga clic en ACEPTAR para guardar los ajustes de la cuenta. Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso administrativo en el gestor de seguridad móvil Activación de la autenticación basada en certificado (Continuación) Paso 5 Cree y exporte el certificado del cliente que 1. se utilizará para autenticar un administrador. Utilice el certificado de CA para generar un certificado de cliente para cada uno de los usuarios administrativos. a. Seleccione Configuración > Gestión de certificados > Certificados y haga clic en Generar. b. En el campo Nombre común, introduzca el nombre del administrador para el que está generando el certificado. La sintaxis del nombre debe coincidir con el formato usado por el mecanismo de autenticación local o externo. c. En el campo Firmado por, seleccione el mismo certificado de CA creado en el Paso 1. d. Haga clic en Generar para crear el certificado usando los detalles especificados anteriormente. 2. Exporte el certificado del cliente que acaba de generar. a. Seleccione el certificado que acaba de crear y haga clic en Exportar. b. Para cifrar la clave privada, seleccione PKCS12 como formato de archivo. c. Introduzca una frase de contraseña para cifrar la clave privada y confirmar la entrada. d. Haga clic en ACEPTAR para exportar el certificado. Paso 6 Guarde sus cambios de configuración. Haga clic en Compilar. Se cerrará su sesión de la interfaz web. Paso 7 Paso 8 Importe el certificado del cliente del administrador en el navegador web del cliente que el administrador utilizará para acceder a la interfaz web del gestor de seguridad móvil. Por ejemplo, en Firefox: 1. Seleccione el menú Herramientas > Opciones > Avanzado. 2. Haga clic en el botón Ver certificados. 3. Seleccione la pestaña Sus certificados y haga clic en Importar. Acceda a la ubicación en la que ha guardado el certificado del cliente. 4. Cuando se le solicite, introduzca la frase de contraseña para descifrar la clave privada. Inicie sesión en la interfaz web del gestor de 1. seguridad móvil. Acceda a la dirección IP o nombre de host del gestor de seguridad móvil. 2. Cuando se le solicite, seleccione el certificado cliente que ha importado en el Paso 7. Aparecerá una advertencia de certificación. 3. Añada el certificado a la lista de excepciones e inicie sesión en la interfaz web del gestor de seguridad móvil. Guía del administrador de GlobalProtect 115 Configuración del acceso administrativo en el gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Activación de la autenticación basada en certificado de SSH para la interfaz de la línea de comandos Para habilitar la autenticación basada en certificados de SSH, complete el siguiente flujo de trabajo para cada usuario administrativo: Habilitación de la autenticación de SSH (basada en clave pública) Paso 1 Utilice una herramienta de generación de claves de SSH para crear un par de claves asimétricas en la máquina cliente. Los formatos de clave admitidos son: IETF SECSH y Open SSH; los algoritmos admitidos son: DSA (1024 bits) y RSA (768-4096 bits). Paso 2 Cree una cuenta para el administrador y permita la autenticación basada en certificado. Para saber los comandos necesarios para generar el par de claves, consulte la documentación del producto para el cliente de SSH. La clave pública y la privada son dos archivos diferentes; guárdelos ambos en una ubicación a la que el gestor de seguridad móvil pueda acceder. Para una mayor seguridad, introduzca una frase de contraseña para cifrar la clave privada. Se le solicitará este código de acceso cuando inicie sesión en el gestor de seguridad móvil. 1. Seleccione Configuración > Administradores y, a continuación, haga clic en Añadir. 2. Introduzca un nombre y contraseña para el administrador. Tendrá que configurar una contraseña. Asegúrese de introducir una contraseña fuerte o compleja y guárdela en un lugar seguro; solo se le pedirá en caso de que los certificados estén dañados o que se produzca un fallo del sistema. 3. (Opcional) Seleccione un Perfil de autenticación. 4. Habilite Utilizar autenticación de clave pública (SSH). 5. Haga clic en Importar clave y acceda a la clave pública que guardó en el Paso 1 para importarla. 6. Seleccione la función que se asignará a este administrador. Puede seleccionar una de las funciones dinámicas predefinidas o un perfil basado en función personalizado. 7. Haga clic en ACEPTAR para guardar la cuenta. Paso 3 Compile los cambios. Haga clic en Compilar. Paso 4 Compruebe que el cliente SSH utiliza su clave privada para autenticar la clave pública presentada por el gestor de seguridad móvil. 1. Configure el cliente SSH para utilizar la clave privada para autenticar en el gestor de seguridad móvil. 2. Vuelva a iniciar sesión en la CLI del gestor de seguridad móvil. 116 Guía del administrador de GlobalProtect Configuración del gestor de seguridad móvil de GlobalProtect Configuración del acceso administrativo en el gestor de seguridad móvil Creación de una cuenta administrativa Cuando haya definido los mecanismos de autenticación de los usuarios administrativos deberá crear una cuenta para cada administrador. Cuando cree una cuenta deberá definir cómo autenticar al usuario. Además, deberá especificar un rol para el administrador. Una función define el tipo de acceso al sistema que tiene el administrador asociado. Se pueden asignar dos tipos de funciones: Funciones dinámicas: Funciones integradas que proporcionan acceso como superusuario, superusuario (de solo lectura) o administrador de dispositivos al gestor de seguridad móvil. Con las funciones dinámicas solo tendrá que preocuparse de actualizar las definiciones de función, ya que se añaden nuevas características cuando las funciones se actualizan automáticamente. Perfiles de función de administrador: Le permiten crear sus propias definiciones de función para ofrecer un control de acceso más granular a las diversas áreas funcionales de la interfaz web, CLI o API XML. Por ejemplo, podría crear un perfil de función de administrador para su personal de operaciones que proporcione acceso a las áreas de configuración de red y dispositivo de la interfaz web y un perfil separado para los administradores de seguridad que proporcione acceso a la definición de política de seguridad, logs e informes. Tenga en cuenta que con los perfiles de función de administrador deberá actualizar los perfiles para asignar privilegios de forma explícita para nuevos componentes/características que se añadan al producto. El siguiente ejemplo muestra el modo de crear una cuenta de administrador local con autenticación local: Creación de una cuenta administrativa Paso 1 Si pretende usar perfiles de funciones de Complete los siguientes pasos para cada función que desee crear: administrador en lugar de funciones 1. Seleccione Configuración > Funciones de administrador y, a dinámicas, cree los perfiles que definan continuación, haga clic en Añadir. qué tipo de acceso, de haberlo, se dará a 2. En las pestañas UI Web o API XML, establezca los niveles de las diferentes secciones de la interfaz acceso (Habilitar ,Solo lectura , Deshabilitar ) para cada web, CLI y API XML para cada área funcional de la interfaz haciendo clic en el icono para administrador asignado a la función. cambiar al ajuste deseado. Se recomienda restringir la acción de borrado de dispositivo a solo uno o dos administradores muy familiarizados con el gestor de seguridad móvil para garantizar que los dispositivos de usuarios finales no se borran por accidente. Guía del administrador de GlobalProtect 3. En la pestaña Línea de comandos, especifique el tipo de acceso que permitirá a la CLI: superuser, superreader, deviceadmin, devicereader o Ninguno para deshabilitar por completo el acceso a la CLI. 4. Introduzca un nombre para el perfil y haga clic en ACEPTAR para guardarlo. 117 Configuración del acceso administrativo en el gestor de seguridad móvil Configuración del gestor de seguridad móvil de GlobalProtect Creación de una cuenta administrativa (Continuación) Paso 2 (Opcional) Establezca requisitos para contraseñas definidas por usuarios locales. • Crear perfiles de contraseña: Defina la frecuencia con que los administradores deberán cambiar sus contraseñas. Puede crear varios perfiles de contraseña y aplicarlos a las cuentas de administrador según sea necesario para imponer la seguridad deseada. Para crear un perfil de contraseña, seleccione Configuración > Perfiles de la contraseña y haga clic en Añadir. • Configurar ajustes de complejidad mínima de la contraseña: Defina reglas que rijan la complejidad de la contraseña, lo que obligará a los administradores a crear contraseñas más difíciles de adivinar o evitar. A diferencia de los perfiles de contraseña, que se pueden aplicar a cuentas individuales, estas reglas son para todo el dispositivo y se aplican a todas las contraseñas. Para configurar los ajustes, seleccione Configuración > Ajustes > Gestión y, a continuación, haga clic en el icono Editar de la sección Complejidad de contraseña mínima. Paso 3 Cree una cuenta para cada administrador. 1. Seleccione Configuración > Administradores y, a continuación, haga clic en Añadir. 2. Introduzca un nombre para el administrador. 3. Especifique cómo autenticar el administrador: • Para usar la autenticación local, introduzca una Contraseña y después repítala en el campo Confirmar contraseña. • Para usar la autenticación externa seleccione un Perfil de autenticación. • Para usar la autenticación basada en certificados/clave, seleccione la casilla de verificación Utilizar únicamente el certificado de autenticación de cliente (web) para acceder a la interfaz web y seleccione Utilizar autenticación de clave pública (SSH) para acceder a la CLI. También deberá introducir un valor en Contraseña, que solo será obligatorio en caso de que los certificados se dañen o se produzca un fallo del sistema. Paso 4 118 Compile los cambios. 4. Seleccione la función que se asignará a este administrador. Puede seleccionar una de las funciones dinámicas predefinidas o un perfil basado en función personalizado si ha creado uno en Paso 1. 5. (Opcional) Seleccione un perfil de contraseña. 6. Haga clic en ACEPTAR para guardar la cuenta. Haga clic en Compilar. Guía del administrador de GlobalProtect Gestión de dispositivos móviles Una vez inscritos los usuarios de dispositivos móviles en el gestor de seguridad móvil de GlobalProtect, puede supervisar los dispositivos y garantizar que su mantenimiento se realiza conforme a sus normas para proteger los recursos de su empresa y sus normas de integridad de datos. Aunque el el gestor de seguridad móvil de GlobalProtect simplifica la administración de los dispositivos móviles y le permite implementar automáticamente los ajustes de su configuración de cuenta de empresa a los dispositivos que cumplen las normas, también puede usar el gestor de seguridad móvil para resolver las infracciones de seguridad interaccionando con el dispositivo afectado. De este modo se logra proteger tanto la información de la empresa con la información personal del usuario final. Por ejemplo, si un usuario final pierde su dispositivo, puede enviar una solicitud al dispositivo mediante OTA (over-the-air) para que emita una alarma que le facilite la búsqueda al usuario. O bien, si el usuario final informa de la pérdida o sustracción del dispositivo, puede bloquearlo de forma remota a través del gestor de seguridad móvil o incluso borrar toda o parte de la información del dispositivo. Además de las funciones de aprovisionamiento de cuentas y gestión remota del dispositivo que ofrece el gestor de seguridad móvil, al integrarlo con su infraestructura VPN de GlobalProtect ya existente, puede alojar la información que el dispositivo remite al gestor de seguridad móvil para aplicar las políticas de seguridad de acceso a aplicaciones a través de la puerta de enlace de GlobalProtect y usar las herramientas de supervisión integradas en el cortafuegos de próxima generación de Palo Alto para supervisar el tráfico del dispositivo móvil y el uso de aplicaciones. En este capítulo se describe cómo gestionar los dispositivos móviles desde el gestor de seguridad móvil y cómo integrar la información obtenida por el gestor de seguridad móvil en su infraestructura de seguridad existente. Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Supervisión de dispositivos móviles Administración de dispositivos remotos Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles Guía del administrador de GlobalProtect 119 Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Gestión de dispositivos móviles Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Una etiqueta es una marca de texto que puede asignar a un dispositivo móvil gestionado para simplificar la administración de dispositivos habilitando su agrupación. Las etiquetas que defina servirán para identificar un grupo de dispositivos al que se aplicarán las mismas políticas, interaccionar con OTA (p. ej., para enviar una nueva política o un mensaje). Después de asignar una etiqueta a un dispositivo, esta se incluye en el perfil de información del host (HIP) para el dispositivo. Dado que el perfil HIP también se comparte con la puerta de enlace de GlobalProtect, puede crear perfiles HIP en la puerta de enlace que le permitan aplicar la política de seguridad basada en el valor de la etiqueta. Puesto que puede crear las etiquetas manualmente, le proporcionan un mecanismo flexible para lograr cualquier tipo de aprovisionamiento de dispositivos o aplicaciones de seguridad que le puedan hacer falta. Por ejemplo, puede crear etiquetas para distinguir dispositivos personales de dispositivos de la empresa. A continuación, puede crear objetos HIP que coincidan con etiquetas específicas, lo cual ofrece posibilidades infinitas de agrupar los dispositivos gestionados para la implementación de la configuración. O bien, si quiere tener la capacidad de aprobar dispositivos antes de aplicarles la política, puede asignar una etiqueta a los dispositivos aprobados y, a continuación, crear un perfil HIP para enviar la política solo a los dispositivos con la etiqueta de aprobación. Hay dos formas diferentes de asignar etiquetas a dispositivos móviles: Etiquetar dispositivos manualmente Preetiquetado de dispositivos Etiquetar dispositivos manualmente Para etiquetar dispositivos manualmente, puede crear las etiquetas en el gestor de seguridad móvil y luego asignarlas a los dispositivos tras la inscripción, como se describe en el siguiente flujo de trabajo: Creación de etiquetas y asignación a los dispositivos gestionados Paso 1 120 Defina las etiquetas que necesita para supervisar dispositivos, enviar políticas de implementación o aplicar políticas de seguridad en la puerta de enlace de GlobalProtect. 1. Seleccione Configuración > Etiquetas y, a continuación, haga clic en Añadir. 2. Introduzca un Nombre descriptivo para la etiqueta. El nombre introducido será el que hará coincidir cuando cree objetos / perfiles HIP para implementaciones o políticas de seguridad. 3. (Opcional) Introduzca un comentario (hasta 63 caracteres alfanuméricos, incluidos los caracteres especiales) que describa el uso previsto para esta etiqueta. 4. Haga clic en ACEPTAR para guardar la etiqueta. Guía del administrador de GlobalProtect Gestión de dispositivos móviles Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Creación de etiquetas y asignación a los dispositivos gestionados (Continuación) Paso 2 Nota Asigne las etiquetas a los dispositivos móviles gestionados. 1. 2. También puede usar este procedimiento para eliminar etiquetas de los dispositivos; para ello, seleccione las etiquetas que quiere eliminar y haga clic en Anular etiqueta. 3. 4. Vaya a la pestaña Dispositivos. Seleccione los dispositivos a los que quiere asignar la etiqueta haciendo clic en la fila que corresponde a la entrada del dispositivo. Para simplificar el proceso, puede ordenar los dispositivos por cualquiera de los encabezados de columna o usar uno de los filtros predefinidos en el panel izquierdo. Haga clic en . Asocie las etiquetas con los dispositivos seleccionados de una de las siguientes formas: • Haga clic en Añadir para mostrar la lista de etiquetas que ha creado y poder hacer clic en una, o bien haga clic en Nueva etiqueta para definir una nueva etiqueta en el momento. • Para navegar por la lista de etiquetas que ha creado, haga clic en Examinar y, a continuación, busque las etiquetas que quiere asociar a los dispositivos seleccionados haciendo clic en para añadir cada etiqueta a la lista de etiquetas asociadas con los dispositivos seleccionados. Repita este paso con cada etiqueta para que cada una se asocie con el dispositivo seleccionado. 5. Paso 3 Guarde la configuración. Haga clic en Etiqueta para guardar las asociaciones de etiquetas. Haga clic en Confirmar. Preetiquetado de dispositivos Para simplificar las políticas de administración de dispositivos proporcionados por la empresa, puede preetiquetar los dispositivos de empresa compilando una lista de números de serie para los dispositivos con formato de archivo de valores separados por comas (CSV) y, a continuación, importándola desde el gestor de seguridad móvil. Por defecto, a los dispositivos importados se les asigna la etiqueta “Importado”. Tiene la opción de añadir una segunda columna a su archivo CSV/XLS para el nombre de etiqueta si quiere especificar cualquier etiqueta adicional con el fin de asignarla a dispositivos importados; por ejemplo, si tiene diferentes niveles de acceso para diferentes grupos de usuarios que reciben dispositivos de empresa. No tiene que asignar la misma etiqueta a todos los dispositivos importados. Guía del administrador de GlobalProtect 121 Agrupación de dispositivos por etiqueta para simplificar la administración de dispositivos Gestión de dispositivos móviles Importación de un grupo de dispositivos Paso 1 Cree el archivo CSV en dos columnas sin añadir encabezados de Cree un archivo CSV o una hoja de cálculo de Microsoft Excel que contenga columnas del siguiente modo y, a continuación, guárdelo en su ordenador local o en un recurso de red compartido: la lista de números de serie de dispositivos en la primera columna y, si lo desea, una lista de etiquetas para asignarlas a los dispositivos en la segunda columna. Paso 2 Importe la lista de dispositivos. Paso 3 122 1. Vaya a la pestaña Dispositivos y haga clic en 2. Introduzca la ruta y el nombre del archivo CSV o XLS que ha creado, o bien, use Examinar para encontrarlo. 3. Haga clic en ACEPTAR para importar la lista de dispositivos y asocie la etiqueta Importados con los dispositivos, junto con otras etiquetas que definiera para cada dispositivo dentro del archivo. . En la pestaña Dispositivos, haga clic en Ver importados. Verifique que el dispositivo que acaba de importar aparece en la lista. Tenga en cuenta que los números de serie para los que no especificó un valor En cuanto el dispositivo se inscribe en la de etiqueta reciben solo la etiqueta importados, mientras que los lista importada, las etiquetas que asoció al números de serie para los que especificó uno o más valores de número de serie se asignarán etiquetas contienen esas etiquetas, además de la etiqueta importados: automáticamente al dispositivo. Verifique que la importación del dispositivo se realizó correctamente. Guía del administrador de GlobalProtect Gestión de dispositivos móviles Supervisión de dispositivos móviles Supervisión de dispositivos móviles Uno de los problemas de permitir el acceso de dispositivos móviles a sus recursos de empresa es la falta de visibilidad del estado de los dispositivos y la información de identificación necesaria para localizarlos, que suponen una amenaza para su red y sus aplicaciones. Supervisión de dispositivos móviles • Use el Panel para ver información de los dispositivos gestionados de un vistazo. La pestaña Panel ofrece una serie de widgets que muestran información acerca del estado del gestor de seguridad móvil, así como información acerca de los dispositivos móviles que gestiona. Puede definir qué widgets se muestran y la ubicación de cada uno en la pantalla. El panel le permite supervisar la información de los dispositivos móviles en las siguientes categorías. • Tendencias de dispositivo: Muestra recuentos rápidos durante la última semana de dispositivos inscritos y desapuntados, dispositivos que no se registraron y el número diario total de dispositivos en mantenimiento. Puede hacer clic en cada gráfico para ver estadísticas actualizadas minuto a minuto. • Resumen de dispositivo: Muestra gráficos circulares que le permiten ver la distribución por modelo de los dispositivos gestionados, modelo Android, modelo iOS y sistema operativo. • Cumplimiento de dispositivo: Le permite ver un recuento rápido de los dispositivos que pueden suponer una amenaza, tales como dispositivos infectados con software malintencionado, dispositivos que no tienen un código de acceso establecido o que están modificados o desbloqueados. Haga clic en un widget para ver una lista de estadísticas detallada de los dispositivos que no cumplen los requisitos Guía del administrador de GlobalProtect 123 Supervisión de dispositivos móviles Gestión de dispositivos móviles Supervisión de dispositivos móviles (Continuación) • Use la pestaña Dispositivos para ver estadísticas de dispositivos detalladas acerca de los dispositivos gestionados (o gestionados previamente). La pestaña Dispositivos muestra información acerca de los dispositivos que gestiona actualmente el gestor de seguridad móvil y los dispositivos móviles que ha gestionado en el pasado. Consejos: • Seleccione un filtro predefinido de la lista Filtros. • Introduzca a mano un filtro en el cuadro de texto del filtro. Por ejemplo, para ver todos los dispositivos Nexus, debería introducir (model contains 'Nexus') y hacer clic en el botón Aplicar filtro . • Modifique las columnas que se muestran pasando el puntero del ratón por encima del nombre de una columna y haciendo clic en el icono de flecha hacia abajo . • Para realizar una acción en un dispositivo o grupo de dispositivos, seleccione los dispositivos y haga clic en el botón de acción en la parte inferior de la máquina. Para obtener más información, consulte Administración de dispositivos remotos. 124 Guía del administrador de GlobalProtect Gestión de dispositivos móviles Supervisión de dispositivos móviles Supervisión de dispositivos móviles (Continuación) • Supervise los logs MDM para obtener información sobre las actividades de los dispositivos, como registros, mensajes en la nube y difusión de informes o puerta de enlace HIP. El log MDM también le avisará de eventos de gravedad, como que un dispositivo informe de un estado modificado o desbloqueado. Asimismo, el log MDM ofrece información de los usuarios de dispositivos que se desconectan manualmente de la VPN de GlobalProtect. Desde la interfaz web del gestor de seguridad móvil, seleccione Supervisar > Logs > MDM. Haga clic en el icono de detalles de log para ver el informe HIP del dispositivo completo asociado con la entrada de log. El informe HIP recopilado por el gestor de seguridad móvil es una versión extendida del informe HIP, que incorpora información detallada, incluyendo información de identificación del dispositivo, como el número de serie, el número de teléfono (si se aplica) y el IMEI, información del estado del dispositivo y una lista de todas las aplicaciones instaladas en el dispositivo, que incluye una lista de las aplicaciones consideradas portadoras de software malintencionado. Guía del administrador de GlobalProtect 125 Supervisión de dispositivos móviles Gestión de dispositivos móviles Supervisión de dispositivos móviles (Continuación) • Supervise los logs de coincidencias HIP en el gestor de seguridad móvil. Desde la interfaz web del gestor de seguridad móvil, seleccione Supervisar > Logs > Coincidencias HIP. Haga clic en un encabezamiento de columna para elegir las columnas que quiere ver. • Supervise los logs de coincidencias HIP en la puerta de enlace de GlobalProtect. En la puerta de enlace, se genera un log de coincidencia HIP cada vez que la puerta de enlace recibe un informe HIP de un cliente de GlobalProtect que cumple los criterios de un objeto HIP o perfil HIP definido en la puerta de enlace. En la puerta de enlace, se usan los perfiles HIP en la aplicación de políticas de seguridad para el tráfico iniciado por el cliente. O bien, supervise los logs de coincidencias HIP en Panorama para obtener una vista global de los datos de coincidencia HIP en todas las puertas de enlace de GlobalProtect gestionadas. Desde la interfaz web en el cortafuegos que aloja la puerta de enlace de GlobalProtect, seleccione Supervisar > Logs > Coincidencias HIP. 126 Guía del administrador de GlobalProtect Gestión de dispositivos móviles Supervisión de dispositivos móviles Supervisión de dispositivos móviles (Continuación) Seleccione Supervisar > Informes. Para ver los informes, haga clic en los nombres de informes en la parte derecha de la página ( El gestor de seguridad móvil proporciona diversos Informes de aplicación, Informes de dispositivo e Informes de resumen en PDF). informes de las estadísticas de 50 dispositivos principales, bien del día anterior, bien de un día seleccionado de la semana anterior. De forma predeterminada, aparecen todos los informes del día de calendario anterior. Para ver informes de cualquiera de los días anteriores, seleccione una fecha de creación de informe en el calendario de la parte inferior de la página. Los informes aparecen en secciones. Puede visualizar la información en cada informe del período de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar a CSV. Para abrir la información de log en formato PDF, haga clic en Exportar a PDF. Los archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte superior de la ventana para imprimir o guardar el archivo. • Examine los informes integrados o cree informes personalizados. • Supervise el ACC en el cortafuegos que aloja la puerta de enlace de GlobalProtect. O bien, supervise el ACC en Panorama para obtener una vista global de los datos de coincidencia HIP en todas las puertas de enlace de GlobalProtect gestionadas. Guía del administrador de GlobalProtect Desde la interfaz web del cortafuegos que aloja la puerta de enlace de GlobalProtect, seleccione ACC y consulte la sección Coincidencias HIP. 127 Administración de dispositivos remotos Gestión de dispositivos móviles Administración de dispositivos remotos Una de las funciones más potentes del gestor de seguridad móvil de GlobalProtect es la capacidad de administrar dispositivos gestionados (en cualquier lugar del mundo) enviando notificaciones push mediante OTA (over-the-air). Para dispositivos iOS, el gestor de seguridad móvil envía mensajes a través del servicio Notificaciones Push de Apple (APN). Para dispositivos Android, el gestor de seguridad móvil envía mensajes a través de Mensajería de Google Cloud (GCM). De este modo, puede reaccionar rápidamente si duda de la seguridad de un dispositivo o si un empleado abandona su organización y quiere asegurarse de que se ha deshabilitado el acceso al sistema de su empresa. También sirve para enviar un mensaje específico a un grupo de usuarios de dispositivos móviles. Interacción con dispositivos Reacción ante la pérdida o sustracción de un dispositivo Eliminación de dispositivos Interacción con dispositivos Siempre que quiera interactuar con un dispositivo móvil, seleccione el dispositivo móvil o grupo de dispositivos de la pestaña Dispositivos y, a continuación, haga clic en uno de los botones de la parte inferior de la página, como se describe a continuación: Realización de una acción en un dispositivo remoto Paso 1 Seleccione los dispositivos con los que quiere interaccionar. 1. Seleccione la pestaña Dispositivos. 2. Seleccione los dispositivos con los que interaccionar de uno de estos modos: • Seleccione un filtro predefinido de la lista Filtros. Puede seleccionar varios filtros para mostrar una vista personalizada de los dispositivos móviles inscritos en el gestor de seguridad móvil. • Introduzca a mano un filtro en el cuadro de texto del filtro. Por ejemplo, para ver todos los dispositivos Nexus que ejecutan Android 4.1.2, debería introducir (model contains 'Nexus') y (os-version eq '4.1.2') y, a continuación, hacer clic en el botón Aplicar filtro . También puede añadir filtros al cuadro de texto haciendo clic en un campo en una de las entradas de dispositivos. Por ejemplo, al hacer clic en una entrada de Android en la columna OS, se añadirá automáticamente el filtro (os eq 'android'). • Para crear un filtro mediante la interfaz de usuario, haga clic en el botón Añadir filtro , cree el filtro añadiendo pares de valores de atributos, separados por operadores, y haga clic en para aplicar el filtro. 128 Guía del administrador de GlobalProtect Gestión de dispositivos móviles Administración de dispositivos remotos Realización de una acción en un dispositivo remoto (Continuación) Paso 2 Seleccione una acción. Haga clic en uno de los botones de la parte inferior de la pantalla para realizar la acción correspondiente en los dispositivos seleccionados. Por ejemplo: • Para enviar un mensaje a los usuarios finales propietarios de los dispositivos seleccionados, haga clic en , introduzca el Cuerpo del mensaje y, a continuación, haga clic en ACEPTAR. • Para solicitar el registro de un dispositivo, por ejemplo en una lista filtrada de dispositivos que no se han registrado el día anterior (last-checkin-time leq '2013/09/09'), seleccione los dispositivos y, a continuación, haga clic en para enviar una notificación push a los dispositivos que lo soliciten el registro con el gestor de seguridad móvil. • Para desbloquear un dispositivo móvil de forma remota (por ejemplo, si el usuario final ha olvidado el código de acceso), seleccione el dispositivo y haga clic en . El dispositivo se desbloqueará y se le pedirá al usuario que defina un nuevo código de acceso. Reacción ante la pérdida o sustracción de un dispositivo Si un usuario final informa de la pérdida o sustracción de un dispositivo gestionado, debe reaccionar inmediatamente para proteger los datos del dispositivo. Seleccione el dispositivo en la pestaña Dispositivos y, a continuación, lleve a cabo una de las siguientes acciones en función de la situación: Protección de un dispositivo perdido o sustraído • Bloquee el dispositivo. Tan pronto como un usuario le informe de la pérdida o sustracción de un dispositivo, debe bloquear el mismo para garantizar que los datos que contiene no acaben en manos de quien no deben. Seleccione el dispositivo y haga clic en para bloquear el dispositivo inmediatamente. Para acceder a las aplicaciones y a los datos del dispositivo, el usuario del mismo debe volver a introducir el código de acceso. • Trate de localizar el dispositivo. Seleccione el dispositivo y haga clic en alarma. para que emita una • Elimine el acceso a sistemas de la empresa. Este Si cree que un dispositivo puede haber acabado en las manos procedimiento se denomina borrado selectivo. equivocadas, puede realizar un “borrado selectivo del dispositivo” creando una política de implementación que devuelva un perfil vacío al dispositivo y, a continuación, hacer clic en . Cuando la nueva política “vacía” se envíe al dispositivo, se borrarán todos los perfiles con acceso habilitado a sus sistemas corporativos, incluyendo cualquier dato asociado a esas aplicaciones. Consulte las recomendaciones e instrucciones para la creación de perfiles en Definición de políticas de implementación. Guía del administrador de GlobalProtect 129 Administración de dispositivos remotos Gestión de dispositivos móviles Protección de un dispositivo perdido o sustraído (Continuación) • Borre todos los datos del dispositivo. Este procedimiento se denomina borrado porque elimina todos los datos del dispositivo, no solo el acceso a los sistemas de la empresa. Para proteger tanto los datos de la empresa en el dispositivo como los datos personales del usuario, el usuario final puede solicitarle que borre todos los datos del dispositivo. Para ello, seleccione el dispositivo y haga clic en . Eliminación de dispositivos Aunque los usuarios finales pueden desapuntarse manualmente de la aplicación del gestor de seguridad móvil de GlobalProtect, como administrador también puede desapuntar dispositivos mediante OTA. Esta opción es útil cuando un empleado ha abandonado la empresa sin desapuntar su dispositivo personal del gestor de seguridad móvil. Para desapuntar dispositivos, seleccione los dispositivos que quiere eliminar en la pestaña Dispositivos y siga una de las dos opciones siguientes: Eliminación de dispositivos desde gestión • Desapuntar dispositivos. Para eliminar un dispositivo del gestor de seguridad móvil de GlobalProtect sin borrar su entrada en el gestor, seleccione el dispositivo y haga clic en . Es una buena opción si el usuario final sigue trabajando en su empresa, pero el dispositivo va a dejar de estar gestionado permanente o temporalmente. Al dejar la entrada del dispositivo en el gestor, podrá seguir viendo la información del dispositivo, incluyendo el historial de logs de coincidencia HIP, informes y estadísticas del dispositivo. • Eliminar dispositivos. Para eliminar un dispositivo móvil de la gestión y eliminar su entrada en el gestor de seguridad móvil, seleccione el dispositivo y haga clic en . Es una buena opción si quiere limpiar la base de datos y eliminar entradas de usuarios que ya no pertenecen a la empresa o eliminar los dispositivos que han sido reemplazados. No obstante, tenga en cuenta que esta acción eliminará el dispositivo de la base de datos de forma permanente. Asimismo, si el dispositivo está inscrito en el momento de realizar la eliminación, el dispositivo se desapuntará y después el registro se eliminará de la base de datos del gestor de seguridad móvil. 130 Guía del administrador de GlobalProtect Gestión de dispositivos móviles Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles Las políticas de implementación que crea en el gestor de seguridad móvil ofrecen aprovisionamiento de cuentas simplificado para que los usuarios de dispositivos móviles puedan acceder a las aplicaciones de la empresa. Aunque tiene un control granular de la asignación de políticas a los usuarios, que controlan a qué aplicaciones tienen acceso (basadas en usuario/grupo o cumplimiento del dispositivo), el gestor de seguridad móvil no proporciona aplicación de tráfico del tráfico de dispositivos móviles. Mientras que la puerta de enlace de GlobalProtect ya cuenta con la capacidad de aplicar políticas de seguridad para usuarios de la aplicación de GlobalProtect, la oferta de información de coincidencias HIP para dispositivos móviles es un tanto limitada. Sin embargo, dado que el gestor de seguridad móvil recopila de forma exhaustiva datos HIP de los dispositivos que gestiona (aprovechando los datos HIP que recopila el gestor de seguridad móvil), puede crear políticas de seguridad granulares en sus puertas de enlace de GlobalProtect que le permitan tener en cuenta el cumplimiento del dispositivo y las etiquetas del gestor de seguridad móvil. Por ejemplo, podría crear una política de seguridad en la puerta de enlace que permita a los dispositivos móviles con la etiqueta “dispositivo de la empresa” acceder sin restricciones a su red y proporcionar una segunda política de seguridad a los dispositivos móviles con la etiqueta “dispositivo personal” para acceder solamente a Internet. Creación de políticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect Paso 1 Configure las puertas de enlace de GlobalProtect para recuperar informes HIP desde el gestor de seguridad móvil. Nota Aunque el valor de Puerto de conexión se puede configurar en la puerta de enlace, el gestor de seguridad móvil requiere que defina el valor a 5008. La opción para configurar este valor se proporciona para habilitar la integración con soluciones MDM de terceros. Guía del administrador de GlobalProtect Consulte las instrucciones detalladas de Configuración del acceso de puerta de enlace al gestor de seguridad móvil. 131 Creación de políticas de seguridad para aplicación de tráfico de dispositivos móviles Gestión de dispositivos móviles Creación de políticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect Paso 2 Consulte las instrucciones detalladas de Agrupación de dispositivos (Opcional) En el gestor de seguridad móvil, defina las etiquetas que quiere usar por etiqueta para simplificar la administración de dispositivos. para la aplicación de la política de seguridad en la puerta de enlace y asígnelas a los dispositivos móviles gestionados. Paso 3 En las puertas de enlace de GlobalProtect, cree los objetos HIP y perfiles HIP que necesitará para la aplicación de políticas de tráfico de dispositivos móviles. Paso 4 Adjunte el perfil HIP a la política de seguridad y, a continuación, Compile los cambios en la puerta de enlace. 132 Consulte las instrucciones detalladas de Configuración de la aplicación de políticas basadas en HIP. Guía del administrador de GlobalProtect Uso de información del host en la aplicación de políticas Aunque puede que la seguridad del límite de su red corporativa sea muy estricta, en realidad la seguridad de su red se reduce a la seguridad los dispositivos que acceden a la misma. La fuerza de trabajo de hoy en día es cada vez más móvil, lo que a veces requiere acceso a recursos de la empresa desde distintos lugares (aeropuertos, cafeterías, hoteles, etc.) y desde diversos dispositivos (tanto de la empresa como del empleado). A consecuencia de ello, lógicamente debe extender la seguridad de su red a los terminales para garantizar una aplicación de la seguridad de forma exhaustiva y constante. La función Perfil de información del host (HIP) de GlobalProtect le permite recopilar información acerca del estado de seguridad de sus hosts de extremo (p. ej., si tienen instalados los parches de seguridad más recientes y las definiciones de antivirus; si tienen habilitado el cifrado de disco; si el dispositivo está desbloqueado o modificado (solo dispositivos móviles), o si funciona con un software específico que es obligatorio en su organización, incluidas las aplicaciones personalizas) para poder fundamentar la decisión de si se permite o deniega el acceso a un host específico basándose en el cumplimiento de las políticas de host que defina. Este capítulo presenta información acerca del uso de la información del host en la aplicación de las políticas. Incluye las siguientes secciones: Acerca de la información del host Configuración de la aplicación de políticas basadas en HIP Guía del administrador de GlobalProtect 133 Acerca de la información del host Uso de información del host en la aplicación de políticas Acerca de la información del host Una de las tareas del agente de GlobalProtect consiste en recopilar información acerca del host en el que se ejecuta. A continuación, el agente envía la información del host a la puerta de enlace de GlobalProtect tras una conexión correcta. La puerta de enlace compara esta información sin procesar enviada por el agente con cualquiera de los objetos HIP y perfiles HIP que ha definido. Si encuentra una coincidencia, genera una entrada en el log de coincidencias HIP. Asimismo, si encuentra una coincidencia con un perfil HIP en una política de reglas, aplica la correspondiente política de seguridad. El uso de los perfiles de información del host para la aplicación de políticas posibilita una seguridad granular que garantiza que los hosts remotos que acceden a sus recursos críticos posean un mantenimiento adecuado y conforme a sus normas de seguridad antes de que se les permita acceder a los recursos de su red. Por ejemplo, antes de permitir el acceso a los sistemas de datos más importantes, tal vez quiera asegurarse de que los hosts que acceden a los mismos tienen habilitado el cifrado en sus unidades de disco duro. Puede aplicar esta política creando una regla de seguridad que solo permita acceder a la aplicación si el sistema cliente tiene habilitado el cifrado. Además, en el caso de clientes que no cumplan esta regla, puede crear un mensaje de notificación que alerte a los usuarios del motivo por el cual se les deniega el acceso y los redirija al recurso compartido de archivos, donde podrán acceder al programa de instalación del software de cifrado que les falta (evidentemente, para permitir al usuario acceder a dicho recurso compartido, debería crear la correspondiente regla de seguridad que permita acceder al recurso compartido a los hosts que coincidan con un perfil HIP concreto). ¿Qué datos recopila el agente? Por defecto, el agente de GlobalProtect recopila datos específicos del proveedor relativos a los paquetes de seguridad del usuario final que se ejecutan en el ordenador (según la compilación del programa de asociación global OPSWAT) y remite estos datos a la puerta de enlace de GlobalProtect para que se usen en la aplicación de la política. Puesto que el software de seguridad debe evolucionar continuamente para garantizar la protección del usuario final, las licencias de portal y puerta de enlace de GlobalProtect también le permiten recibir actualizaciones dinámicas del archivo de datos de GlobalProtect con los parches y las versiones de software más recientes disponibles para cada paquete. Mientras el agente recopila una gran cantidad de datos acerca del host en el que se está ejecutando, puede que exija a sus usuarios finales que ejecuten software adicional para conectarse a su red o acceder a determinados recursos. En este caso, puede definir comprobaciones personalizadas que indiquen al agente que recopile información específica del registro (en clientes Windows), información lista de preferencias (plist, en clientes Mac OS) o que recopile información acerca de si se ejecutan en el host los servicios específicos. El agente recopila datos acerca de las siguientes categorías de información de forma predeterminada para ayudarle a identificar el estado de seguridad del host. 134 Guía del administrador de GlobalProtect Uso de información del host en la aplicación de políticas Acerca de la información del host Tabla: Categorías de recopilación de datos Categoría Datos recopilados General Información acerca del propio host, incluido el nombre del host, el dominio de inicio de sesión, el sistema operativo, la versión del cliente y, para sistemas Windows, el dominio al que pertenece el equipo. Dispositivos móviles Información de identificación acerca del dispositivo móvil, incluyendo el nombre de host, el sistema operativo y la versión del cliente. Administración de parches Información acerca de cualquier software de administración de parches habilitado o instalado en el host e información de cualquier parche que falte. Cortafuegos Información acerca de cualquier cortafuegos del cliente instalado o habilitado en el host. Antivirus Información acerca del software antivirus habilitado o instalado en el host, de si está habilitada o no la protección en tiempo real, la versión de definición de virus, la hora del último análisis, el proveedor y el nombre del producto. Antispyware Información acerca del software antispyware habilitado o instalado en el host, de si está habilitada o no la protección en tiempo real, la versión de definición de virus, la hora del último análisis, el proveedor y el nombre del producto. Copia de seguridad de disco Información de si está instalado el software de copia de seguridad del disco, la hora de la última copia de seguridad y el proveedor y el nombre de producto del software. Cifrado de disco Información acerca de si está instalado el software de cifrado del disco, las unidades o rutas configuradas para el cifrado y el proveedor y el nombre de producto del software. Prevención de pérdida de datos Información acerca de si está instalado o no el software de prevención de pérdida de datos (DLP) para evitar que la información corporativa confidencial salga de la red o se almacene en un dispositivo potencialmente inseguro. Esta información solo se obtiene de clientes de Windows. Dispositivos móviles Información de identificación del dispositivo móvil, como el número de modelo, el número de teléfono, el número de serie y el número IMEI (Identidad Internacional de Equipo Móvil). Asimismo, el agente recopila información acerca de los ajustes específicos en el dispositivo, como si se ha definido o no un código de acceso, si se ha desbloqueado el dispositivo e incluso si contiene aplicaciones de las que se sabe que contienen software malintencionado (solo dispositivos Android) y, opcionalmente, la localización GPS del dispositivo. Tenga en cuenta que para dispositivos iOS, algunos de los datos son recopilados por la aplicación GlobalProtect.y otros son remitidos directamente por el sistema operativo. También puede excluir la recopilación de ciertas categorías de información en determinados hosts (para evitar ciclos de CPU y mejorar el tiempo de respuestas del cliente). Para ello, cree una configuración en el portal donde se excluyan las categorías que no le interesen. Por ejemplo, si no tiene pensado crear una política basada en que los sitemas del cliente ejecuten o no software de copia de seguridad, puede excluir esta categoría y el agente no recopilará información acerca de copias de seguridad. Guía del administrador de GlobalProtect 135 Acerca de la información del host Uso de información del host en la aplicación de políticas Cómo usa la puerta de enlace la información del host para aplicar las políticas Mientras el agente obtiene información acerca de la información que debe recopilar de la configuración del cliente descargada desde el portal, puede definir qué atributos le interesa supervisar o usar para la aplicación de la política mediante la creación de objetos HIP y perfiles HIP en la puerta o puertas de enlace. Objetos HIP: Proporcionan los criterios de coincidencia que filtran la información de host que está interesado en utilizar para aplicar la política a partir de los datos sin formato de los que ha informado el agente. Por ejemplo, aunque los datos de host sin formato pueden incluir información sobre varios paquetes antivirus instalados en el cliente, puede que solo esté interesado en una aplicación concreta que necesite en su organización. En este caso, crearía un objeto HIP que coincida con la aplicación específica que está interesado en aplicar. La mejor forma de determinar qué objetos HIP necesita es determinar cómo utilizará la información de host que recopila para aplicar la política. Tenga en cuenta que los objetos HIP son solo los ladrillos que le permiten crear los perfiles HIP que se utilizan en sus políticas de seguridad. Por lo tanto, puede que desee mantener la sencillez de sus objetos, de forma que solo coincidan con un elemento, como la presencia de un tipo concreto de software necesario, la pertenencia a un dominio específico o la presencia de un SO cliente determinado. De este modo, tendrá la flexibilidad de crear una política aumentada HIP muy granular (y muy potente). Perfiles HIP: Una colección de objetos HIP que deben evaluarse en conjunto, para supervisión o para la aplicación de políticas de seguridad. Cuando crea sus perfiles HIP, puede combinar objetos HIP que haya creado previamente (así como otros perfiles HIP) usando lógica booleana como la que se usa cuando un flujo de tráfico se evalúa con respecto al perfil HIP resultante con el que tendrá, o no, coincidencia. Si coincide, la regla de política correspondiente se aplicará; si no coincide, el flujo se evaluará con respecto a la siguiente regla, como con cualquier otro criterio de coincidencia de política. A diferencia de un log de tráfico, que solo crea una entrada de log si hay una coincidencia de política, el log de coincidencias HIP genera una entrada siempre que los datos sin procesar enviados por un agente coincidan con un objeto HIP o un perfil HIP que haya definido. Por este motivo, el log de coincidencias HIP es un buen recurso para supervisar el estado de los hosts en su red a lo largo del tiempo, antes de adjuntar sus perfiles HIP a políticas de seguridad, para ayudarle a determinar exactamente qué políticas cree que necesitan aplicarse. ¿Cómo pueden saber los usuarios si sus sistemas cumplen los requisitos? Por defecto, los usuarios finales no reciben información acerca de decisiones de políticas tomadas como consecuencia de la aplicación de una regla de seguridad HIP. Sin embargo, puede habilitar esta funcionalidad definiendo que se muestren mensajes de notificación HIP cuando un perfil HIP concreto coincida o no. La decisión de cuándo mostrar un mensaje (es decir, si aparece cuando la configuración del usuario coincide con un perfil HIP en la política o cuando no coincide), depende en gran medida de su política y de lo que el usuario entiende por coincidencia (o no coincidencia) de HIP. Es decir, ¿significa la coincidencia que se concede total acceso a los recursos de su red? ¿O significa que tiene acceso limitado debido a un problema de incumplimiento? Por ejemplo, imagínese estas situaciones: Crea un perfil HIP que coincide si el antivirus requerido por la empresa y los paquetes de software antispyware no están instalados. En este caso, tal vez quiera crear un mensaje de notificación HIP para los usuarios que coincidan con el perfil HIP que les avise de que necesitan instalar el software (y, de manera opcional, les proporcione un enlace al recurso compartido de archivos, donde podrán acceder al instalador del software correspondiente). Crea un perfil HIP que coincide si esas mismas aplicaciones están instaladas, y quizás quiera crear el mensaje para usuarios que no coincidan con el perfil y dirigirlos a la ubicación del paquete de instalación. 136 Guía del administrador de GlobalProtect Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP Configuración de la aplicación de políticas basadas en HIP Para habilitar el uso de la información del host en la aplicación de políticas, debe seguir estos pasos: Habilitación de la comprobación de HIP Paso 1 Verifique que las comprobaciones HIP tienen la licencia adecuada. Para usar la función HIP, debe haber comprado e instalado una licencia del portal de GlobalProtect en el cortafuegos donde está configurado su portal y una licencia de suscripción a la puerta de enlace de GlobalProtect en cada puerta de enlace que vaya a realizar comprobaciones de HIP. Para verificar el estado de sus licencias en cada portal y puerta de enlace, seleccione Dispositivo > Licencias. Póngase en contacto con su ingeniero de ventas o distribuidor de Palo Alto Networks si no tiene todas las licencias necesarias. Si desea más información sobre licencias, consulte Acerca de las licencias de GlobalProtect. Guía del administrador de GlobalProtect 137 Configuración de la aplicación de políticas basadas en HIP Uso de información del host en la aplicación de políticas Habilitación de la comprobación de HIP (Continuación) Paso 2 Nota (Opcional) Defina cualquier información de host personalizada que desee que recopile el agente. Por ejemplo, si tiene aplicaciones necesarias que no estén incluidas en la lista de productos o de proveedores para crear objetos HIP, puede crear una comprobación personalizada que le permita determinar si se ha instalado esa aplicación (tiene un registro o clave plist que corresponde) o se está ejecutando (tiene un proceso en ejecución que corresponde). 1. En el cortafuegos donde se aloja su portal de GlobalProtect, seleccione Red > GlobalProtect > Portales. 2. Seleccione su configuración para abrir el cuadro de diálogo del portal de GlobalProtect. 3. En la pestaña Configuración clientes, seleccione la configuración del cliente que quiere añadir a una comprobación HIP personalizada o haga clic en Añadir para crear una nueva configuración de cliente. 4. Seleccione Recopilación de datos > Comprobaciones personalizadas y, a continuación, defina los datos que quiere recopilar de los hosts que ejecutan esta configuración de cliente del siguiente modo: Tanto el Paso 2 como el Paso 3 dan por hecho que ya ha creado una configuración de portal. Si aún no ha configurado su portal, consulte las instrucciones en Configuración del portal de GlobalProtect. • Para recopilar información acerca de los procesos en ejecución: Seleccione la pestaña apropiada (Windows o Mac) y, a continuación, haga clic en Añadir en la sección Lista de procesos. Introduzca el nombre del proceso del que quiere que el agente recopile información. • Para recopilar información acerca de claves de registro específicas: En la pestaña Windows, haga clic en Añadir en la sección Clave de registro. Introduzca la Clave de registro para la que recopilará datos. También tiene la posibilidad de hacer clic en Añadir para restringir la recopilación de datos a uno o varios valores de registro específicos. Haga clic en ACEPTAR para guardar la configuración. • Para recopilar información acerca de listas de propiedades específicas: En la pestaña Mac, haga clic en Añadir en la sección Plist. Introduzca la Plist para la que recopilará datos. También tiene la posibilidad de hacer clic en Añadir para restringir la recopilación de datos a valores de Clave específicos. Haga clic en ACEPTAR para guardar la configuración. 138 5. Si se trata de una nueva configuración de cliente, complete el resto de la configuración según sus necesidades. Para obtener instrucciones, consulte Definición de las configuraciones de clientes. 6. Haga clic en ACEPTAR para guardar la configuración de cliente. 7. Compile sus cambios. Guía del administrador de GlobalProtect Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP Habilitación de la comprobación de HIP (Continuación) Paso 3 (Opcional) Excluya categorías de la colección. 1. En el cortafuegos donde se aloja su portal de GlobalProtect, seleccione Red > GlobalProtect > Portales. 2. Seleccione su configuración para abrir el cuadro de diálogo del portal de GlobalProtect. 3. En la pestaña Configuración clientes, seleccione la configuración del cliente de la que quiere excluir categorías o haga clic en Añadir para crear una nueva configuración de cliente. 4. Seleccione Recopilación de datos > Excluir categorías y, a continuación, haga clic en Añadir. Aparecerá el cuadro de diálogo Editar categoría de exclusión. 5. Seleccione la Categoría que quiere excluir de la lista desplegable. 6. (Opcional) Si quiere excluir de la recopilación a proveedores o productos específicos dentro de la categoría seleccionada en lugar de excluir toda la categoría, haga clic en Añadir. A continuación, puede seleccionar el proveedor que quiere excluir del menú desplegable en el cuadro de diálogo Editar proveedor y, si lo desea, hacer clic en Añadir para excluir productos concretos de dicho proveedor. Cuando haya terminado de definir a dicho proveedor, haga clic en ACEPTAR. Puede añadir a varios proveedores y productos a la lista de exclusión. 7. Repita el paso 5 y el paso 6 para cada categoría que quiera excluir. 8. Si se trata de una nueva configuración de cliente, complete el resto de la configuración según sus necesidades. Para obtener más información sobre la definición de configuraciones de cliente, consulte Definición de las configuraciones de clientes. 9. Haga clic en ACEPTAR para guardar la configuración de cliente. 10. Compile sus cambios. Guía del administrador de GlobalProtect 139 Configuración de la aplicación de políticas basadas en HIP Uso de información del host en la aplicación de políticas Habilitación de la comprobación de HIP (Continuación) Paso 4 Cree objetos HIP para filtrar los datos del 1. host sin procesar recopilados por los agentes. La mejor forma de determinar qué objetos HIP necesita es determinar cómo 2. utilizará la información de host que 3. recopila para aplicar la política. Tenga en cuenta que los objetos HIP son solo los ladrillos que le permiten crear los perfiles HIP que se utilizan en sus políticas de seguridad. Por lo tanto, puede que desee mantener la sencillez de sus objetos, de forma que solo coincidan con un elemento, como la presencia de un tipo concreto de software necesario, la pertenencia a un dominio específico o la presencia de un SO cliente determinado. De este modo, tendrá la flexibilidad de crear una política aumentada HIP muy granular (y muy potente). Nota En la puerta de enlace (o en Panorama si tiene pensado compartir los objetos HIP con varias puertas de enlace), seleccione Objetos > GlobalProtect > Objetos HIP y haga clic en Añadir. En la pestaña General, introduzca un Nombre para el objeto. Seleccione la pestaña que corresponde a la categoría de información del host que le interesa comparar y seleccione la casilla de verificación para habilitar la comparación del objeto con esta categoría. Por ejemplo, para crear un objeto que busque información acerca de software Antivirus, seleccione la pestaña Antivirus y, a continuación, seleccione la casilla de verificación Antivirus para habilitar los campos correspondientes. Complete los campos para definir los criterios de correspondencia que desea. Por ejemplo, la siguiente captura de pantalla muestra cómo crear un objeto que coincidirá si está instalada la aplicación Symantec Norton AntiVirus 2004 Professional, si Real Time Protection está habilitada y si se han actualizado las definiciones de virus en los 5 últimos días. Para obtener información detallada sobre un campo o categoría HIP específicos, consulte la ayuda en línea. Repita este paso para cada categoría que quiera comparar con este objeto. Para obtener más información, consulte Tabla: Categorías de recopilación de datos. 140 4. Haga clic en ACEPTAR para guardar el objeto HIP. 5. Repita estos pasos para crear cada objeto HIP adicional que necesite. 6. Compile sus cambios. Guía del administrador de GlobalProtect Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP Habilitación de la comprobación de HIP (Continuación) Paso 5 Cree los perfiles HIP que tiene pensado usar 1. en sus políticas. Cuando crea sus perfiles HIP, puede 2. combinar objetos HIP que haya creado previamente (así como otros perfiles HIP) usando lógica booleana como la que se usa 3. cuando un flujo de tráfico se evalúa con respecto al perfil HIP resultante con el que 4. tendrá, o no, coincidencia. Si coincide, la regla de política correspondiente se aplicará; si no coincide, el flujo se evaluará con respecto a la siguiente regla, como con cualquier otro criterio de coincidencia de política. En la puerta de enlace (o en Panorama si tiene pensado compartir los perfiles HIP con varias puertas de enlace), seleccione Objetos > GlobalProtect > Perfiles HIP y haga clic en Añadir. Introduzca un Nombre descriptivo para el perfil y, opcionalmente, una Descripción. Haga clic en Añadir criterios de coincidencia para abrir el generador de objetos/perfiles HIP. Seleccione el primer objeto o perfil HIP que desea utilizar como criterio de búsqueda y, a continuación, haga clic en Añadir para moverlo sobre el cuadro de texto Coincidencia en el cuadro de diálogo Perfil HIP. Tenga en cuenta que, si desea que el perfil HIP evalúe el objeto como una coincidencia solo cuando el criterio del objeto no sea verdadero para un flujo, seleccione la casilla de verificación NO antes de añadir el objeto. 5. Continúe añadiendo criterios de coincidencia como corresponda para el perfil que está creando, seleccionando el botón de opción del operador booleano apropiado (Y u O) cada vez que añada un elemento (y, de nuevo, use la casilla de verificación NO cuando corresponda). 6. Si está creando una expresión booleana compleja, debe añadir manualmente el paréntesis en los lugares adecuados del cuadro de texto Coincidencia para asegurarse de que el perfil HIP se evalúa usando la lógica que desea. Por ejemplo, el siguiente perfil HIP buscará coincidencias con el tráfico desde un host que tenga cifrado de disco FileVault (en sistemas de SO Mac) o TrueCrypt (en sistemas Windows), que pertenezca al dominio requerido y que también tenga instalado un cliente antivirus de Symantec: 7. Cuando termine de añadir criterios de coincidencia, haga clic en ACEPTAR para guardar el perfil. Guía del administrador de GlobalProtect 8. Repita estos pasos para crear cada perfil HIP adicional que necesite. 9. Compile sus cambios. 141 Configuración de la aplicación de políticas basadas en HIP Uso de información del host en la aplicación de políticas Habilitación de la comprobación de HIP (Continuación) Paso 6 Nota Paso 7 Paso 8 En las puertas de enlace a las que se conectan sus usuarios de GlobalProtect, seleccione Supervisar > Logs > Coincidencias HIP. Este log muestra todas las coincidencias que ha identificado la puerta de enlace durante la evaluación de los datos de HIP sin procesar Puede supervisar objetos y perfiles HIP para suministrados por los agentes en comparación con los objetos HIP y los perfiles HIP. A diferencia de otros logs, una coincidencia HIP no supervisar el estado de seguridad y la requiere una coincidencia de política de seguridad para ser registrada. actividad de los extremos de su host. Al supervisar la información del host durante un tiempo, podrá entender mejor dónde se encuentran sus problemas de seguridad y conformidad y usar esta información como orientación para crear una política útil. Compruebe que los objetos HIP y los perfiles HIP que ha creado coinciden con el tráfico de su cliente GlobalProtect según lo esperado. 1. Habilite User-ID (ID de usuario) en las zonas de origen que contengan los usuarios 2. de GlobalProtect que enviarán solicitudes que requieran controles de acceso basados 3. en HIP. Debe habilitar User-ID incluso aunque no piense usar la función de identificación de usuarios, ya que de lo contrario el cortafuegos no generará ninguna entrada de coincidencia HIP. Cree las reglas de seguridad HIP en sus puertas de enlace. Haga clic en el Nombre de la zona en la que desee habilitar User-ID para abrir el cuadro de diálogo Zona. Seleccione la casilla de verificación Habilitar identificación de usuarios y, a continuación, haga clic en ACEPTAR. Añada los perfiles HIP a sus reglas de seguridad: 1. Seleccione Políticas > Seguridad y seleccione la regla a la que quiere añadir un perfil HIP. Es recomendable que cree sus reglas de seguridad y que pruebe que coinciden con 2. los flujos esperados basándose en los criterios de origen y destino según lo 3. esperado antes de añadir sus perfiles de HIP. Esto le permitirá determinar mejor la ubicación adecuada de las reglas HIP dentro 4. de la política. 5. 142 Seleccione Red > Zonas. En la pestaña Origen, asegúrese de que la Zona de origen es una zona para la que ha habilitado User-ID Paso 7. En la pestaña Usuario, haga clic en Añadir en la sección Perfiles HIP y seleccione los perfiles HIP que quiere añadir a la regla (puede añadir hasta 63 perfiles HIP a una regla). Haga clic en ACEPTAR para guardar la regla. Compile sus cambios. Guía del administrador de GlobalProtect Uso de información del host en la aplicación de políticas Configuración de la aplicación de políticas basadas en HIP Habilitación de la comprobación de HIP (Continuación) Paso 9 1. Defina los mensajes de notificación que verán los usuarios finales cuando se aplique una regla de seguridad con un perfil HIP. La decisión de cuándo mostrar un mensaje (es decir, si aparece cuando la configuración del usuario coincide con un perfil HIP en la política o cuando no coincide), depende en gran medida de su política y de lo que el usuario entiende por coincidencia (o no coincidencia) de HIP. Es decir, ¿significa la coincidencia que se concede total acceso a los recursos de su red? ¿O significa que tiene acceso limitado debido a un problema de incumplimiento? 2. Seleccione su configuración de puerta de enlace previamente definida para abrir el cuadro de diálogo de la puerta de enlace de GlobalProtect. 3. Seleccione Configuración clientes > Notificación HIP y, a continuación, haga clic en Añadir. 4. Seleccione el Perfil HIP al que se aplica este mensaje en el menú desplegable. 5. Seleccione Coincidir mensaje o Mensaje no coincidente, dependiendo de si quiere que se muestre el mensaje cuando el perfil HIP correspondiente coincide con la política o cuando no coincide. En algunos casos, puede que quiera crear mensajes tanto para coincidencia como para no coincidencia, dependiendo de los objetos que compare y sus objetivos para la política. Para el mensaje de coincidencia, también puede habilitar la opción que permite Por ejemplo, suponga que crea un perfil HIP que coincide si el antivirus requerido por la empresa y los paquetes de software antispyware no están instalados. En este caso, puede que quiera crear un mensaje de notificación HIP para los usuarios que 6. coincidan con el perfil HIP que les indique que necesitan instalar el software. Por el contrario, si su perfil HIP coincidía si esas 7. mismas aplicaciones estaban instaladas, puede que quiera crear el mensaje para aquellos usuarios que no coinciden con el perfil. Guía del administrador de GlobalProtect En el cortafuegos donde se alojan sus puertas de enlace de GlobalProtect, seleccione Red > GlobalProtect > Puertas de enlace. incluir la lista de aplicaciones con coincidencia en el mensaje e indicar qué aplicaciones activan la coincidencia HIP. Seleccione la casilla de verificación Habilitar y seleccione si quiere mostrar el mensaje como Mensaje emergente o como Icono en la barra de tareas. Introduzca el texto de su mensaje en el cuadro de texto Plantilla y, a continuación, haga clic en ACEPTAR. El cuadro de texto permite una visualización del aspecto real del texto y una del código HTML, entre las que puede alternar usando el icono Mostrar código fuente . La barra de herramientas ofrece asimismo muchas opciones para dar formato al texto y crear hiperenlaces a documentos externos, por ejemplo, para enlazar a los usuarios directamente a la URL de descarga de un programa de software requerido. 8. Repita este procedimiento para cada mensaje que quiera definir. 9. Compile sus cambios. 143 Configuración de la aplicación de políticas basadas en HIP Uso de información del host en la aplicación de políticas Habilitación de la comprobación de HIP (Continuación) Paso 10 Compruebe que sus perfiles HIP funcionan Puede supervisar qué tráfico cumple la política HIP usando el log de según lo esperado. tráfico del siguiente modo: 1. Desde la puerta de enlace, seleccione Supervisar > Logs > Tráfico. 2. 144 Filtre el log para mostrar solo el tráfico que coincida con la regla que tiene adjunto el perfil HIP que le interesa supervisar. Por ejemplo, para buscar tráfico que coincida con una regla de seguridad con el nombre “Apps iOS” debería introducir ( rule eq 'Apps iOS' ) en el cuadro de texto de filtro del siguiente modo: Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect En la siguiente sección se proporcionan instrucciones detalladas para configurar algunas implementaciones globales de GlobalProtect: VPN de acceso remoto (Perfil de autenticación) VPN de acceso remoto (Perfil del certificado) VPN de acceso remoto con autenticación de dos factores Configuración de VPN siempre activada VPN de acceso remoto con función anterior al inicio de sesión Configuración de varias puertas de enlace de GlobalProtect GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuración de puerta de enlace externa e interna combinada Guía del administrador de GlobalProtect 145 VPN de acceso remoto (Perfil de autenticación) Configuraciones rápidas de GlobalProtect VPN de acceso remoto (Perfil de autenticación) En la Ilustración: VPN de GlobalProtect para acceso remoto, el portal y la puerta de enlace de GlobalProtect se configuran en Ethernet1/2, la interfaz física donde se conectan los clientes de GlobalProtect. Después de que los clientes se conecten y se autentiquen correctamente en el portal y en la puerta de enlace, el agente establece un túnel VPN desde su adaptador virtual, al que se le ha asignado una dirección en el grupo de direcciones IP asociado con la configuración tunnel.2 de la puerta de enlace 10.31.32.3-10.31.32.118 en este ejemplo. Como los túneles VPN de GlobalProtect terminan con una zona corp-vpn independiente, tendrá visibilidad sobre el tráfico VPN, así como la capacidad de adaptar la política de seguridad para usuarios remotos. Ilustración: VPN de GlobalProtect para acceso remoto Configuración rápida: Acceso remoto de VPN proporciona los pasos de configuración para este ejemplo. Configuración rápida: Acceso remoto de VPN Paso 1 Creación de interfaces y zonas para GlobalProtect. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas. • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz Ethernet de capa 3 con la dirección IP 199.21.7.42 y asígnela a la zona l3-nofiable y al enrutador virtual predeterminado. • Cree un registro “A” DNS que asigne la dirección IP 199.21.7.42 a gp.acme.com. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2 a una nueva zona denominada corp-vpn. Asígnela al enrutador virtual predeterminado. • Habilite la identificación de usuario en la zona corp-vpn. Paso 2 146 Cree una política de seguridad (Políticas > Seguridad) para habilitar el flujo de tráfico entre la zona corp-vpn y la zona l3-fiable y permitir el acceso a sus recursos internos. Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect VPN de acceso remoto (Perfil de autenticación) Configuración rápida: Acceso remoto de VPN (Continuación) Paso 3 Paso 4 Paso 5 Obtenga un certificado de servidor para la interfaz que aloja el portal y la puerta de enlace de GlobalProtect con uno de los siguientes métodos: • (Recomendado) Importe un certificado de servidor desde una CA externa conocida. • Genere un nuevo certificado de servidor autofirmado. Seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: • Obtenga un certificado de servidor. Como el portal y la puerta de enlace se encuentran en la misma interfaz, se puede utilizar el mismo certificado de servidor para ambos componentes. • El CN del certificado debe coincidir con el FQDN, gp.acme.com. • Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado, utilice un certificado de servidor desde una CA pública. Cree un perfil de servidor. Cree el perfil de servidor para conectarse al servidor LDAP: El perfil de servidor enseña al cortafuegos cómo conectarse al servicio de autenticación. Los métodos de autenticación locales, RADIUS, Kerberos y LDAP son compatibles. En este ejemplo se muestra un perfil de autenticación LDAP para autenticar a los usuarios con respecto a Active Directory. Dispositivo > Perfiles de servidor > LDAP Cree un perfil de autenticación. Instale el perfil del servidor a un perfil de autenticación: Dispositivo > Perfil de autenticación. Paso 6 Configuración de una puerta de enlace. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: Interfaz: ethernet1/2 Dirección IP: 199.21.7.42 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy Perfil de autenticación: Corp-LDAP Interfaz de túnel: tunnel.2 Grupo de IP: 10.31.32.3 - 10.31.32.118 Guía del administrador de GlobalProtect 147 VPN de acceso remoto (Perfil de autenticación) Configuraciones rápidas de GlobalProtect Configuración rápida: Acceso remoto de VPN (Continuación) Paso 7 Configuración del portal de GlobalProtect. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Configuración del acceso al portal. En este ejemplo se utilizan los siguientes ajustes: Interfaz: ethernet1/2 Dirección IP: 199.21.7.42 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy Perfil de autenticación: Corp-LDAP 2. Creación de una configuración de cliente de GlobalProtect usando los siguientes ajustes: Método de conexión: según demanda Dirección de puerta de enlace externa: gp.acme.com Paso 8 Paso 9 Implementación del software del agente de GlobalProtect. (Optativo) Permita el uso de la aplicación móvil de GlobalProtect. Seleccione Dispositivo > Cliente de GlobalProtect. En este ejemplo, utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal. Adquiera e instale una suscripción a la puerta de enlace de GlobalProtect (Dispositivo > Licencias) para permitir el uso de la aplicación. Paso 10 Guarde la configuración de GlobalProtect. Haga clic en Compilar. 148 Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect VPN de acceso remoto (Perfil del certificado) VPN de acceso remoto (Perfil del certificado) Cuando se autentican usuarios con autenticación de certificado, el cliente debe presentar un certificado de cliente único que identifique al usuario final para poder conectar a GlobalProtect. Cuando se utiliza como único método de autenticación, el certificado que presenta el cliente debe contener el nombre de usuario en uno de los campos de certificado; normalmente, el nombre de usuario corresponde al nombre común (CN) del campo Asunto del certificado. Cuando la autenticación es correcta, el agente de GlobalProtect establece un túnel de VPN con la puerta de enlace y se le asigna una dirección IP desde el grupo de IP en la configuración de túnel de la puerta de enlace. Para habilitar la aplicación de políticas basadas en el usuario en sesiones de la zona corp-vpn, el nombre de usuario del certificado se asigna a la dirección IP asignada por la puerta de enlace. Si se necesita un nombre de dominio para la aplicación de políticas, el valor de dominio especificado en el perfil de certificado se adjunta al nombre de usuario. Ilustración: Configuración de autenticación del certificado de cliente de GlobalProtect Esta configuración rápida utiliza la misma topología que la Ilustración: VPN de GlobalProtect para acceso remoto. La única diferencia de configuración es que, en lugar de autenticar a los usuarios con respecto a un servidor de autenticación, esta configuración utiliza solo la autenticación del certificado de cliente. Configuración rápida: Acceso remoto de VPN con autenticación de certificado de cliente Paso 1 Creación de interfaces y zonas para GlobalProtect. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas. • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP 199.21.7.42 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado. • Cree un registro “A” DNS que asigne la dirección IP 199.21.7.42 a gp.acme.com. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2. A continuación, añádala a la nueva zona denominada corp-vpn. Asígnela al enrutador virtual predeterminado. • Habilite la identificación de usuario en la zona corp-vpn. Guía del administrador de GlobalProtect 149 VPN de acceso remoto (Perfil del certificado) Configuraciones rápidas de GlobalProtect Configuración rápida: Acceso remoto de VPN con autenticación de certificado de cliente (Continuación) Paso 2 Cree una política de seguridad (Políticas > Seguridad) para habilitar el flujo de tráfico entre la zona corp-vpn y la zona l3-fiable y permitir el acceso a sus recursos internos. Paso 3 Obtenga un certificado de servidor para la interfaz que aloja el portal y la puerta de enlace de GlobalProtect con uno de los siguientes métodos: • (Recomendado) Importe un certificado de servidor desde una CA externa conocida. • Genere un nuevo certificado de servidor autofirmado. Seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: Emita certificados de cliente para máquinas/usuarios de GlobalProtect. 1. Utilice su PKI empresarial o CA pública para emitir un certificado de cliente único para cada usuario de GlobalProtect. 2. Instale certificados en el almacén de certificados personales de los sistemas cliente. 1. Seleccione Dispositivo > Gestión de certificados > Perfil del certificado, haga clic en Añadir e introduzca un perfil Nombre Paso 4 Paso 5 Cree un perfil de certificado de cliente. • Obtenga un certificado de servidor. Como el portal y la puerta de enlace se encuentran en la misma interfaz, se puede utilizar el mismo certificado de servidor para ambos componentes. • El CN del certificado debe coincidir con el FQDN, gp.acme.com. • Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado, utilice un certificado de servidor desde una CA pública. como GP-client-cert. 2. Seleccione Asunto en el menú desplegable Campo de nombre de usuario. 3. Paso 6 Configuración de una puerta de enlace. Consulte el diagrama de topología que se muestra en la Ilustración: VPN de GlobalProtect para acceso remoto. Haga clic en Añadir en la sección Certificados de CA, seleccione el certificado de CA que emitieron los certificados de cliente y haga clic en ACEPTAR dos veces. Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Interfaz: ethernet1/2 Dirección IP: 199.21.7.42 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy Perfil del certificado GP-client-cert Interfaz de túnel: tunnel.2 Grupo de IP: 10.31.32.3 - 10.31.32.118 150 Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect VPN de acceso remoto (Perfil del certificado) Configuración rápida: Acceso remoto de VPN con autenticación de certificado de cliente (Continuación) Paso 7 Configuración del portal de GlobalProtect. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Configuración del acceso al portal: Interfaz: ethernet1/2 Dirección IP: 199.21.7.42 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy Perfil del certificado GP-client-cert 2. Creación de una configuración de cliente de GlobalProtect: Método de conexión: según demanda Dirección de puerta de enlace externa: gp.acme.com Paso 8 Paso 9 Implementación del software del agente de GlobalProtect. (Optativo) Permita el uso de la aplicación móvil de GlobalProtect. Seleccione Dispositivo > Cliente de GlobalProtect. En este ejemplo, utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal. Adquiera e instale una suscripción a la puerta de enlace de GlobalProtect (Dispositivo > Licencias) para permitir el uso de la aplicación. Paso 10 Guarde la configuración de GlobalProtect. Haga clic en Compilar. Guía del administrador de GlobalProtect 151 VPN de acceso remoto con autenticación de dos factores Configuraciones rápidas de GlobalProtect VPN de acceso remoto con autenticación de dos factores Cuando configura un portal o puerta de enlace de GlobalProtect con un perfil de autenticación y un perfil de certificado (denominada autenticación de dos factores), se le pedirá al usuario final que autentique correctamente en ambos antes de que se le permita el acceso. En cuanto a la autenticación de portales, esto significa que los certificados deben implantarse previamente en clientes finales antes de su conexión inicial al portal. Además, los certificados presentados por los clientes deben coincidir con lo definido en el perfil del certificado. Si el perfil del certificado no especifica ningún campo de nombre de usuario (es decir, Campo de nombre de usuario está definido como Ninguno), el certificado de cliente no necesitará contar con un nombre de usuario. En este caso, el cliente debe proporcionar el nombre de usuario cuando autentique con este perfil de autenticación. Si el perfil del certificado especifica un campo de nombre de usuario, el certificado que presenta el cliente debe contener un nombre de usuario en el campo correspondiente. Por ejemplo, si el perfil del certificado especifica que el campo del nombre de usuario es el asunto, el certificado presentado por el cliente debe contener un valor en el campo de nombre común o la autenticación fallará. Además, cuando se necesite el campo del nombre de usuario, el valor del campo de nombre de usuario del certificado se cumplimentará automáticamente con el nombre de usuario cuando el usuario trate de introducir la autenticación en el perfil de autenticación. Si no quiere obligar a los usuarios a autenticar con un nombre de usuario del certificado, no especifique ningún campo de nombre de usuario en el perfil del certificado. Esta configuración rápida utiliza la misma topología que la Ilustración: VPN de GlobalProtect para acceso remoto. Sin embargo, en esta configuración, los clientes deben autenticar con un perfil de certificado y un perfil de autenticación. Para obtener más detalles sobre un tipo específico de autenticación de dos factores, consulte los siguientes temas: Habilitación de la autenticación en dos fases Habilitación de la autenticación en dos fases mediante contraseñas de un solo uso (OTP) Habilitación de autenticación en dos fases mediante tarjetas inteligentes 152 Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect VPN de acceso remoto con autenticación de dos factores Configuración rápida: Acceso remoto de VPN con autenticación de dos factores Paso 1 Creación de interfaces y zonas para GlobalProtect. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas. • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP 199.21.7.42 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado. • Cree un registro “A” DNS que asigne la dirección IP 199.21.7.42 a gp.acme.com. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2. A continuación, añádala a la nueva zona denominada corp-vpn. Asígnela al enrutador virtual predeterminado. • Habilite la identificación de usuario en la zona corp-vpn. Paso 2 Cree una política de seguridad (Políticas > Seguridad) para habilitar el flujo de tráfico entre la zona corp-vpn y la zona l3-fiable y permitir el acceso a sus recursos internos. Paso 3 Obtenga un certificado de servidor para la interfaz que aloja el portal y la puerta de enlace de GlobalProtect con uno de los siguientes métodos: • (Recomendado) Importe un certificado de servidor desde una CA externa conocida. • Genere un nuevo certificado de servidor autofirmado. Seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: Emita certificados de cliente para máquinas/usuarios de GlobalProtect. 1. Utilice su PKI empresarial o CA pública para emitir un certificado de cliente único para cada usuario de GlobalProtect. 2. Instale certificados en el almacén de certificados personales de los sistemas cliente. Paso 4 Guía del administrador de GlobalProtect • Obtenga un certificado de servidor. Como el portal y la puerta de enlace se encuentran en la misma interfaz, se puede utilizar el mismo certificado de servidor para ambos componentes. • El CN del certificado debe coincidir con el FQDN, gp.acme.com. • Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado, utilice un certificado de servidor desde una CA pública. 153 VPN de acceso remoto con autenticación de dos factores Configuraciones rápidas de GlobalProtect Configuración rápida: Acceso remoto de VPN con autenticación de dos factores (Continuación) Paso 5 Cree un perfil de certificado de cliente. 1. Seleccione Dispositivo > Gestión de certificados > Perfil del certificado, haga clic en Añadir e introduzca un perfil Nombre como GP-client-cert. 2. Especifique dónde obtener el nombre de usuario que se utilizará para autenticar al usuario final: • De usuario: si quiere que el usuario final proporcione un nombre de usuario cuando se autentique en el servicio especificado en el perfil de autenticación, seleccione Ninguno como Campo de nombre de usuario. • De certificado: si desea extraer el nombre de usuario del certificado, seleccione Asunto como Campo de nombre de usuario. Si utiliza esta opción, el CN contenido en el certificado cumplimentará automáticamente el campo de nombre de usuario cuando al usuario se le solicite iniciar sesión en el portal/puerta de enlace. Al usuario se le pedirá que inicie sesión usando ese nombre de usuario. 3. Paso 6 Paso 7 Haga clic en Añadir en la sección Certificados de CA, seleccione el certificado de CA que emitieron los certificados de cliente y haga clic en ACEPTAR dos veces. Cree un perfil de servidor. Cree el perfil de servidor para conectarse al servidor LDAP: El perfil de servidor enseña al cortafuegos cómo conectarse al servicio de autenticación. Los métodos de autenticación locales, RADIUS, Kerberos y LDAP son compatibles. En este ejemplo se muestra un perfil de autenticación LDAP para autenticar a los usuarios con respecto a Active Directory. Dispositivo > Perfiles de servidor > LDAP Cree un perfil de autenticación. Instale el perfil del servidor a un perfil de autenticación: Dispositivo > Perfil de autenticación. 154 Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect VPN de acceso remoto con autenticación de dos factores Configuración rápida: Acceso remoto de VPN con autenticación de dos factores (Continuación) Paso 8 Configuración de una puerta de enlace. Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Consulte el diagrama de topología que se Interfaz: ethernet1/2 muestra en la Ilustración: VPN de GlobalProtect para acceso remoto. Dirección IP: 199.21.7.42 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy Perfil del certificado: GP-client-cert Perfil de autenticación: Corp-LDAP Interfaz de túnel: tunnel.2 Grupo de IP: 10.31.32.3 - 10.31.32.118 Paso 9 Configuración del portal de GlobalProtect. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Configuración del acceso al portal: Interfaz: ethernet1/2 Dirección IP: 199.21.7.42 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy Perfil del certificado: GP-client-cert Perfil de autenticación: Corp-LDAP 2. Creación de una configuración de cliente de GlobalProtect: Método de conexión: según demanda Dirección de puerta de enlace externa: gp.acme.com Paso 10 Implementación del software del agente de GlobalProtect. Seleccione Dispositivo > Cliente de GlobalProtect. En este ejemplo, utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal. Paso 11 (Optativo) Permita el uso de la aplicación Adquiera e instale una suscripción a la puerta de enlace de móvil de GlobalProtect. GlobalProtect (Dispositivo > Licencias) para permitir el uso de la aplicación. Paso 12 Guarde la configuración de GlobalProtect. Guía del administrador de GlobalProtect Haga clic en Compilar. 155 Configuración de VPN siempre activada Configuraciones rápidas de GlobalProtect Configuración de VPN siempre activada En una configuración de GlobalProtect “siempre activada”, el agente se conecta al portal de GlobalProtect al iniciar sesión el usuario para enviar información de usuario y de host y recibir la configuración de cliente. Establece automáticamente el túnel de VPN a la puerta de enlace especificada en la configuración del cliente distribuida por el portal sin la intervención del usuario final como se muestra en la siguiente ilustración. Para cambiar a cualquier configuración de VPN de acceso remoto anterior en una configuración “siempre activada”, solo tiene que cambiar el método de conexión: VPN de acceso remoto (Perfil de autenticación) VPN de acceso remoto (Perfil del certificado) VPN de acceso remoto con autenticación de dos factores Cambio a una configuración “siempre activada” Paso 1 Seleccione Red > GlobalProtect > Portales y seleccione la configuración de portal para abrirla. Paso 2 Seleccione la pestaña Configuración clientes y, a continuación, seleccione la configuración de cliente que desea modificar. Paso 3 Seleccione Inicio de sesión de usuario como método de conexión. Repita esto para cada una de las configuraciones del cliente. Paso 4 Haga clic en ACEPTAR dos veces para guardar la configuración de cliente y la de portal y, a continuación, compile el cambio. 156 Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect VPN de acceso remoto con función anterior al inicio de sesión VPN de acceso remoto con función anterior al inicio de sesión El método de conexión anterior al inicio de sesión de GlobalProtect es una función que permite a GlobalProtect autenticar al agente y establecer el túnel de VPN en la puerta de enlace de GlobalProtect usando un certificado de máquina preinstalado antes de que el usuario haya iniciado sesión. Como el túnel ya está establecido, las secuencias de comandos de dominio se pueden ejecutar cuando el usuario inicia sesión, en lugar de usar credenciales en caché. Antes de que el usuario inicie sesión, no hay ningún nombre de usuario asociado con el tráfico. Por lo tanto, para permitir que el sistema de cliente acceda a los recursos de la zona fiable, debe crear políticas de seguridad que coincidan con el usuario con modo anterior al inicio de sesión. Estas políticas solo deben permitir el acceso a servicios básicos necesarios para iniciar el sistema, como DHCP, DNS, Active Directory, antivirus o servicios de actualización del sistema operativo. A continuación, después de que el usuario inicie sesión en el sistema y realice la autenticación, el túnel de VPN cambia su nombre para incluir el nombre de usuario, de forma que esa política basada ese grupo y usuario se pueda aplicar. Con el modo anterior al inicio de sesión, cuando un agente se conecta al portal por primera vez, el usuario final debe autenticar (mediante el perfil de autenticación o un perfil de certificado configurado para validar un certificado de cliente que contiene un nombre de usuario). Una vez que la autenticación finaliza con éxito, el portal aplica la configuración del cliente al agente junto con una cookie que se utilizará para la autenticación de portal con el objetivo de recibir una actualización de configuración. Entonces, cuando un sistema de cliente trata de conectar en modo anterior al inicio de sesión, utilizará la cookie para autenticarse en el portal y recibir su configuración de cliente anterior al inicio de sesión. En ese momento, se conectará a la puerta de enlace especificada en la configuración y autenticará usando su certificado de máquina (según se especifica en un perfil de certificado configurado en la puerta de enlace) y establecerá el túnel de VPN. Cuando posteriormente el usuario final inicia sesión en la máquina, si el inicio de sesión único (SSO) está habilitado en la configuración del cliente de inicio de sesión de usuario, se informará inmediatamente sobre el nombre de usuario a la puerta de enlace, de forma que el túnel pueda cambiar el nombre y se pueda aplicar la política basada en usuario y en grupo. Guía del administrador de GlobalProtect 157 VPN de acceso remoto con función anterior al inicio de sesión Configuraciones rápidas de GlobalProtect Este ejemplo utiliza la topología de GlobalProtect que se muestra en Ilustración: VPN de GlobalProtect para acceso remoto. Configuración rápida: VPN de acceso remoto con inicio de sesión anterior Paso 1 Creación de interfaces y zonas para GlobalProtect. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas. • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP 199.21.7.42 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado. • Cree un registro “A” DNS que asigne la dirección IP 199.21.7.42 a gp.acme.com. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2. A continuación, añádala a la nueva zona denominada corp-vpn. Asígnela al enrutador virtual predeterminado. • Habilite la identificación de usuario en la zona corp-vpn. Paso 2 Cree las siguientes reglas de política de seguridad (Políticas > Seguridad): • En primer lugar, cree una regla que permita el acceso del usuario anterior al inicio de sesión a los servicios básicos necesarios para que aparezca el ordenador, como servicios de autenticación, DNS, DHCP y actualizaciones de Microsoft. • En segundo lugar, cree una regla que permita el acceso entre la zona corp-vpn y la zona l3-fiable a cualquier usuario conocido, después de que el usuario inicie sesión con éxito. Paso 3 Obtenga un certificado de servidor para la interfaz que aloja el portal y la puerta de enlace de GlobalProtect con uno de los siguientes métodos: • (Recomendado) Importe un certificado de servidor desde una CA externa conocida. • Genere un nuevo certificado de servidor autofirmado. Paso 4 • Obtenga un certificado de servidor. Como el portal y la puerta de enlace se encuentran en la misma interfaz, se puede utilizar el mismo certificado de servidor para ambos componentes. • El CN del certificado debe coincidir con el FQDN, gp.acme.com. • Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado, utilice un certificado de servidor desde una CA pública. 1. Genere un certificado de máquina para cualquier sistema cliente que se conecte a GlobalProtect e impórtelos al almacén de 2. certificados personales de cada máquina. Aunque podría generar certificados autofirmados para cada sistema cliente, recomendamos utilizar su propia infraestructura de clave pública (PKI) para emitir y distribuir certificados para sus clientes. 158 Seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: Emita certificados de cliente para máquinas/usuarios de GlobalProtect. Instale certificados en el almacén de certificados personales de los sistemas cliente. (Almacén del equipo local en Windows o llavero del sistema en SO Mac) Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect VPN de acceso remoto con función anterior al inicio de sesión Configuración rápida: VPN de acceso remoto con inicio de sesión anterior (Continuación) Paso 5 Nota Importe el certificado de CA raíz de confianza desde la CA que generó los certificados de máquina al portal y las puertas de enlace. 1. Descargue el certificado de CA en el formato Base64. 2. Importe el certificado en todos los cortafuegos que alojan un portal o puerta de enlace de la siguiente forma: a. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y haga clic en Importar. No necesita importar la clave privada. b. Introduzca un Nombre de certificado que identifique al certificado como su certificado de CA de cliente. c. Desplácese hasta el archivo del certificado que descargó de la CA. d. Seleccione Certificado codificado en Base64 (PEM) como Formato de archivo y, a continuación, haga clic en Aceptar. e. Seleccione el certificado que acaba de importar en la pestaña Certificados de dispositivos para abrirlo. f. Seleccione CA raíz de confianza y, a continuación, haga clic en Aceptar. Paso 6 Paso 7 1. En todos los cortafuegos que alojan una puerta de enlace de GlobalProtect, cree un perfil de certificado para identificar qué certificado de CA utilizar para validar los certificados de máquina cliente. 2. Seleccione Dispositivo > Certificados > Gestión de certificados > Perfil de certificados, haga clic en Añadir e introduzca un nombre para identificar de forma exclusiva el perfil, por ejemplo De forma optativa, si planea utilizar la 3. autenticación de certificados del cliente para autenticar a los usuarios cuando inician sesión en el sistema, asegúrese de que en el 4. perfil del certificado se hace referencia al certificado de CA que emite los certificados de cliente, además de al certificado de CA que emitió los certificados de máquina, en el 5. caso de que sean distintos. En el campo Certificados de CA, haga clic en Añadir, seleccione el certificado de CA raíz de confianza que importó en el Paso 5 y, a continuación, haga clic en ACEPTAR. Configuración de una puerta de enlace. Consulte el diagrama de topología que se muestra en la Ilustración: VPN de GlobalProtect para acceso remoto. Aunque debe crear un perfil de certificado para el modo de acceso anterior al inicio de sesión a la puerta de enlace, puede utilizar la autenticación de certificado del cliente o la autenticación basada en perfil para aquellos usuarios que han iniciado sesión. En este ejemplo, se usa el mismo perfil de LDAP que el usado para autenticar a usuarios en el portal. Guía del administrador de GlobalProtect PreLogonCert. Establezca el Campo nombre de usuario en Ninguno. (Optativo) Si quiere utilizar la autenticación de certificado de cliente para autenticar a los usuarios al iniciar sesión, añada el certificado de CA que emitió los certificados del cliente si es distinto al que emitió los certificados de máquina. Haga clic en Aceptar para guardar el perfil. Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Interfaz: ethernet1/2 Dirección IP: 199.21.7.42 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy Perfil del certificado: PreLogonCert Perfil de autenticación: Corp-LDAP Interfaz de túnel: tunnel.2 Grupo de IP: 10.31.32.3 - 10.31.32.118 Confirmar la configuración de la puerta de enlace. 159 VPN de acceso remoto con función anterior al inicio de sesión Configuraciones rápidas de GlobalProtect Configuración rápida: VPN de acceso remoto con inicio de sesión anterior (Continuación) Paso 8 Configuración del portal de GlobalProtect. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Configuración del acceso al portal: Para esta configuración, cree dos configuraciones cliente: una que se aplicará al agente cuando el usuario no haya iniciado sesión (método de conexión anterior al inicio de sesión) y otro que se aplicará cuando el usuario haya iniciado sesión (método de conexión de inicio de sesión de usuario). Puede que desee limitar el acceso 2. de la puerta de enlace a una única puerta de enlace a los usuarios con el modo anterior al inicio de sesión, pero proporcionar acceso a varias puertas de enlace a los usuarios que ya hayan iniciado sesión. Nota Se recomienda habilitar el inicio de sesión único en la segunda configuración cliente para garantizar que se indica inmediatamente el nombre de usuario correcto a la puerta de enlace cuando el usuario inicia sesión en la máquina. Si el inicio de sesión único no está habilitado, se utilizará el nombre de usuario guardado en el panel de configuración del agente de GlobalProtect. 160 Guarde la configuración de GlobalProtect. Dirección IP: 199.21.7.42 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy Perfil del certificado: Ninguno Perfil de autenticación: Corp-LDAP Creación de una configuración de cliente de GlobalProtect para usuarios del modo anterior al inicio de sesión y usuarios que ya han iniciado sesión: Configuración del primer cliente: Método de conexión: modo anterior al inicio de sesión Dirección de puerta de enlace externa: gp.acme.com Usuario/grupo de usuarios: modo anterior al inicio de sesión Configuración del segundo cliente: Utilizar registro único: habilitado Método de conexión: modo anterior al inicio de sesión Dirección de puerta de enlace externa: gp.acme.com Usuario/grupo de usuarios: cualquiera Modificador de autenticación: Autenticación de cookies para actualización de configuración 3. Paso 9 Interfaz: ethernet1/2 Asegúrese de que la configuración del cliente en modo anterior al inicio de sesión está la primera en la lista de configuraciones. Si no es así, selecciónela y haga clic en Mover hacia arriba. Haga clic en Compilar. Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect Configuración de varias puertas de enlace de GlobalProtect Configuración de varias puertas de enlace de GlobalProtect En la Ilustración: Topología de puerta varias puertas de enlace de GlobalProtect se ha añadido una segunda puerta de enlace a la configuración. En todas las configuraciones anteriores de ejemplo se admiten varias puertas de enlace. Las instrucciones adicionales explican la instalación de una licencia de portal de GlobalProtect para permitir el uso de varias puertas de enlace y la configuración del segundo cortafuegos como puerta de enlace de GlobalProtect. Además, cuando se establecen las configuraciones cliente que se van a implementar en el portal, puede decidir si desea acceder a todas las puertas de enlace o especificar diferentes puertas de enlace para diferentes configuraciones. Si una configuración cliente contiene más de una puerta de enlace, el agente tratará de conectar a todas las puertas de enlace indicadas en su configuración cliente. El agente utilizará la prioridad y el tiempo de respuesta para determinar a qué puerta de enlace conectarse. Ilustración: Topología de puerta varias puertas de enlace de GlobalProtect Guía del administrador de GlobalProtect 161 Configuración de varias puertas de enlace de GlobalProtect Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de varias puertas de enlace de GlobalProtect Paso 1 Nota Creación de interfaces y zonas para GlobalProtect. En el cortafuegos que aloja el portal/puerta de enlace (puerta de enlace 1): En esta configuración, debe configurar las • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP interfaces de cada cortafuegos que alberga 198.51.100.42 y asígnela a la zona de seguridad l3-nofiable y el una puerta de enlace. enrutador virtual predeterminado. Utilice el enrutador virtual predeterminado para que todas las configuraciones de la • Cree un registro “A” DNS que asigne la dirección IP 198.51.100.42 a gp1.acme.com. interfaz eviten tener que crear el enrutamiento entre zonas. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2. A continuación, añádala a la nueva zona denominada corp-vpn. Asígnela al enrutador virtual predeterminado. • Habilite la identificación de usuario en la zona corp-vpn. En el cortafuegos que aloja la segunda puerta de enlace (puerta de enlace 2): • Seleccione Red > Interfaces > Ethernet y configure ethernet1/5 como interfaz de Ethernet de capa 3 con la dirección IP 192.0.2.4 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado. • Cree un registro “A” DNS que asigne la dirección IP 192.0.2.4 a gp2.acme.com. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2. A continuación, añádala a la nueva zona denominada corp-vpn. Asígnela al enrutador virtual predeterminado. • Habilite la identificación de usuario en la zona corp-vpn. Paso 2 Nota Paso 3 162 Adquiera e instale una licencia de portal GlobalProtect en el cortafuegos que aloja el portal. Esta licencia es necesaria para permitir una configuración de varias puertas de enlace. Después de adquirir la licencia de portal y de recibir su código de activación, instale la licencia en el cortafuegos que aloja el portal de la siguiente forma: 1. Seleccione Dispositivo > Licencias. 2. También necesitará una suscripción de puerta de enlace de GlobalProtect en todas 3. las puertas de enlace si tiene usuarios que utilizarán la aplicación GlobalProtect en sus 4. dispositivos móviles o si planea utilizar la política de seguridad HIP. Seleccione Activar característica mediante código de autorización. Cuando se le indique, introduzca el Código de autorización y haga clic en Aceptar. Compruebe que la licencia se haya activado correctamente. En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect, cree una política de seguridad (Políticas > Seguridad) que habilite el flujo del tráfico entre la zona corp-vpn y la zona l3-fiable para permitir el acceso a sus recursos internos. Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect Configuración de varias puertas de enlace de GlobalProtect Configuración rápida: Configuración de varias puertas de enlace de GlobalProtect (Continuación) Paso 4 Paso 5 Obtenga certificados de servidor para las interfaces que alojan el portal de GlobalProtect y para cada una de las puertas de enlace de GlobalProtect siguiendo estas recomendaciones: • (En el cortafuegos que aloja el portal o portal/puerta de enlace) Importe un certificado de servidor desde una CA externa conocida. • (En un cortafuegos que solo aloja una puerta de enlace) Genere un nuevo certificado de servidor autofirmado. En todos los cortafuegos que alojan un portal/puerta de enlace o puerta de enlace, seleccione Dispositivo > Gestión de certificados > Certificados para gestionar certificados de la siguiente forma: • Obtenga un certificado de servidor para el portal/puerta de enlace 1: Como el portal y la puerta de enlace se encuentran en la misma interfaz, debe utilizar el mismo certificado de servidor. El CN del certificado debe coincidir con el FQDN, gp1.acme.com. Para permitir a los clientes conectarse con el portal sin que reciban errores de certificado, utilice un certificado de servidor desde una CA pública. • Obtenga un certificado de servidor para la interfaz que aloja la puerta de enlace 2: Como esta interfaz aloja una puerta de enlace, solo puede utilizar un certificado autofirmado. El CN del certificado debe coincidir con el FQDN, gp2.acme.com. Defina cómo autenticará a los usuarios en el Puede utilizar cualquier combinación de perfiles de certificado o perfiles portal y las puertas de enlace. de autenticación como sea necesario para garantizar la seguridad del portal y las puertas de enlace. Los portales y las puertas de enlace individuales también pueden utilizar distintos esquemas de autenticación. Consulte las siguientes secciones para obtener instrucciones detalladas: • Configuración de autenticación externa (perfil de autenticación) • Configuración de la autenticación de certificado de cliente (perfil del certificado) • Configuración de la autenticación en dos fases (basada en token u OTP) Necesitará hacer referencia al perfil del certificado o perfiles de autenticación que ha definido en las configuraciones de puerta de enlace y portal. Paso 6 Configure las puertas de enlace. En este ejemplo se muestra la configuración para gp1 y gp2 que aparece en la Ilustración: Topología de puerta varias puertas de enlace de GlobalProtect. Consulte Configuración de una puerta de enlace para ver instrucciones detalladas sobre cómo crear configuraciones de puerta de enlace. En el cortafuegos que aloja gp1, configure los ajustes En el cortafuegos que aloja gp2, configure los ajustes de la puerta de de la siguiente: enlace de la siguiente forma: Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Seleccione Red > GlobalProtect > Puertas de enlace y añada la siguiente configuración: Interfaz: ethernet1/2 Interfaz: ethernet1/2 Dirección IP: 198.51.100.42 Dirección IP: 192.0.2.4 Certificado de servidor: GP1-server-cert.pem emitido Certificado de servidor: certificado autofirmado, GP2-server-cert.pem por Go Daddy Interfaz de túnel: tunnel.1 Interfaz de túnel: tunnel.2 Grupo de IP: 10.31.33.3 - 10.31.33.118 Grupo de IP: 10.31.32.3 - 10.31.32.118 Guía del administrador de GlobalProtect 163 Configuración de varias puertas de enlace de GlobalProtect Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de varias puertas de enlace de GlobalProtect (Continuación) Paso 7 Configuración del portal de GlobalProtect. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Configuración del acceso al portal: Interfaz: ethernet1/2 Dirección IP: 198.51.100.42 Certificado de servidor: GP1-server-cert.pem emitido por Go Daddy 2. Creación de una configuración de cliente de GlobalProtect: El número de configuraciones cliente que crea depende de sus requisitos de acceso específicos, incluido si necesita la aplicación de una política basada en usuario/grupo o HIP. Paso 8 Paso 9 164 Implementación del software del agente de GlobalProtect. Seleccione Dispositivo > Cliente de GlobalProtect. En este ejemplo, utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal. Guarde la configuración de GlobalProtect. Haga clic en Confirmar en el cortafuegos que aloja el portal y las puertas de enlace. Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect GlobalProtect para comprobación de HIP interna y acceso basado en usuario GlobalProtect para comprobación de HIP interna y acceso basado en usuario Junto con el ID de usuario o las comprobaciones HIP, se puede utilizar una puerta de enlace interna para ofrecer un método preciso y seguro con el que identificar y controlar el tráfico por usuario o estado del dispositivo, sustituyendo otros servicios de control de acceso para redes (NAC). Las puertas de enlace internas son útiles en entornos confidenciales que requieren acceso autenticado a los recursos críticos. En una configuración que solo tenga puertas de enlace internas, todos los clientes deben configurarse con inicio de sesión de usuario; el modo según demanda no es compatible. Además, se recomienda que configure todas las configuraciones cliente que se deben utilizar para el inicio de sesión único (SSO). De igual forma, como los hosts internos no necesitan establecer una conexión de túnel con la puerta de enlace, se utiliza la dirección IP del adaptador de red físico del sistema cliente. En esta configuración rápida, se utilizan las puertas de enlace internas para aplicar políticas basadas en grupos que permitan el acceso de los usuarios del grupo técnico a las bases de datos de errores y control de origen interno y el acceso de los usuarios del grupo de finanzas a las aplicaciones CRM. Todos los usuarios autenticados tienen acceso a recursos Web internos. Además, los perfiles HIP configurados en la puerta de enlace comprueban todos los hosts para garantizar el cumplimiento con los requisitos de mantenimiento internos (si están instalados los parches de seguridad y las definiciones de antivirus más recientes, si está habilitado el cifrado de disco o si está instalado el software necesario). Ilustración: Configuración de puerta de enlace interna de GlobalProtect Guía del administrador de GlobalProtect 165 GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect En todos los cortafuegos que alojan un portal/puerta de enlace: 1. Seleccione un puerto Ethernet para alojar el portal/puerta de enlace y, a continuación, configure una interfaz de capa 3 con En esta configuración, debe configurar las una dirección IP en la zona de seguridad l3-fiable. (Red > interfaces de cada cortafuegos que aloje Interfaces > Ethernet). un portal o puerta de enlace. Como esta 2. Activar identificación de usuarios en la zona l3-fiable. configuración solo utiliza puertas de enlace internas, debe configurar el portal y las puertas de enlace en interfaces de la red interna. Paso 1 Creación de interfaces y zonas para GlobalProtect. Nota Utilice el enrutador virtual predeterminado para que todas las configuraciones de la interfaz eviten tener que crear el enrutamiento entre zonas. Paso 2 Adquiera e instale una licencia de portal de GlobalProtect en el cortafuegos que aloja las suscripciones de portal y de puerta de enlace en cada cortafuegos que aloje una puerta de enlace interna. Esto es necesario para habilitar una configuración de puerta de enlace interna y habilitar las comprobaciones HIP. Después de adquirir la licencia de portal y de recibir su código de activación, instale la licencia en el cortafuegos que aloja el portal de la siguiente forma: 1. Seleccione Dispositivo > Licencias. 2. Seleccione Activar característica mediante código de autorización. 3. Cuando se le indique, introduzca el Código de autorización y haga clic en Aceptar. 4. Compruebe que la licencia se haya activado correctamente. Póngase en contacto con su ingeniero de ventas o distribuidor de Palo Alto Networks si no tiene todas las licencias necesarias. Si desea más información sobre licencias, consulte Acerca de las licencias de GlobalProtect. Paso 3 Obtenga certificados de servidor para el portal GlobalProtect y todas las puertas de enlace de GlobalProtect. El flujo de trabajo recomendado es el siguiente: 1. En el cortafuegos que aloja el portal: Para conectarse al portal por primera vez, los clientes finales deben confiar en el certificado de CA raíz utilizado para emitir el certificado de servidor del portal. Puede utilizar un certificado autofirmado en el portal e implementar el certificado de CA raíz en los clientes finales antes de 2. la primera conexión de portal u obtener un certificado de servidor para el portal desde una CA de confianza. a. Importe un certificado de servidor desde una CA externa conocida. b. Cree el certificado de CA raíz para la emisión de certificados autofirmados de los componentes de GlobalProtect. c. Genere un nuevo certificado de servidor autofirmado. Repita este paso para cada puerta de enlace. En todos los cortafuegos que alojan una puerta de enlace interna: a. Implemente los certificados de servidor autofirmados. Puede utilizar certificados autofirmados en las puertas de enlace. 166 Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect (Continuación) Paso 4 Defina cómo autenticará a los usuarios en Puede utilizar cualquier combinación de perfiles de certificado o el portal y las puertas de enlace. perfiles de autenticación como sea necesario para garantizar la seguridad del portal y las puertas de enlace. Los portales y las puertas de enlace individuales también pueden utilizar distintos esquemas de autenticación. Consulte las siguientes secciones para obtener instrucciones detalladas: • Configuración de autenticación externa (perfil de autenticación) • Configuración de la autenticación de certificado de cliente (perfil del certificado) • Configuración de la autenticación en dos fases (basada en token u OTP) Necesitará hacer referencia al perfil del certificado o perfiles de autenticación que ha definido en las configuraciones de puerta de enlace y portal. Paso 5 Cree los perfiles HIP que necesitará para 1. aplicar la política de seguridad en el acceso a la puerta de enlace. Consulte Uso de información del host en la aplicación de políticas para obtener más información sobre las evaluaciones HIP. 2. Cree objetos HIP para filtrar los datos del host sin procesar recopilados por los agentes. Por ejemplo, si está interesado en evitar a los usuarios que no tengan actualizados los parches necesarios, puede que quiera crear un objeto HIP con el que evaluar si está instalado el software de gestión de parches y que todos los parches con una gravedad determinada están actualizados. Cree los perfiles HIP que tiene pensado usar en sus políticas. Por ejemplo, si quiere asegurarse de que solo los usuarios de Windows con parches actualizados puedan acceder a sus aplicaciones internas, puede que desee adjuntar el siguiente perfil HIP que coincidirá con los hosts a los que NO les falte ningún parche: Guía del administrador de GlobalProtect 167 GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect (Continuación) Paso 6 Configure las puertas de enlace internas. Seleccione Red > GlobalProtect > Puertas de enlace y agregue la siguiente configuración: • Interfaz • Dirección IP • Certificado de servidor • Perfil de autenticación o Perfil de configuración Observe que no es necesario configurar los ajustes de la configuración cliente en las configuraciones de la puerta de enlace (a no ser que desee establecer las notificaciones HIP) porque las conexiones de túnel no son necesarias. Consulte Configuración de una puerta de enlace para ver instrucciones detalladas sobre cómo crear configuraciones de puerta de enlace. Paso 7 Configuración del portal de GlobalProtect. Nota Aunque todas las configuraciones anteriores pueden utilizar un método de conexión de inicio de sesión de usuario o según demanda, la configuración de la puerta de enlace interna siempre debe estar activada y, por lo tanto, necesita un método de conexión de inicio de sesión 2. de usuario. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Configuración del acceso al portal: Interfaz: ethernet1/2 Dirección IP: 10.31.34.13 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy con CN=gp.acme.com Creación de una configuración de cliente de GlobalProtect: Utilizar registro único: habilitado Método de conexión: inicio de sesión de usuario Dirección de puerta de enlace interna: california.acme.com, newyork.acme.com Usuario/grupo de usuarios: cualquiera 3. Paso 8 168 Implementación del software del agente de GlobalProtect. Compile la configuración del portal. Seleccione Dispositivo > Cliente de GlobalProtect. En este ejemplo, utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal. Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect GlobalProtect para comprobación de HIP interna y acceso basado en usuario Configuración rápida: Configuración de puerta de enlace interna de GlobalProtect (Continuación) Paso 9 Cree las reglas de seguridad HIP o Agregue las siguientes reglas de seguridad para este ejemplo: basadas en grupo/usuario en sus puertas 1. Seleccione Políticas > Seguridad y haga clic en Añadir. de enlace. 2. En la pestaña Origen, establezca la zona de origen en l3-fiable. 3. En la pestaña Usuario, añada el perfil HIP y el usuario/grupo que se debe evaluar. • Haga clic en Añadir en la sección Perfiles HIP y seleccione el perfil HIP MissingPatch. • Haga clic en Añadir en la sección Usuario de origen y seleccione el grupo (Finanzas o Técnico según la regla que esté creando). Guía del administrador de GlobalProtect 4. Haga clic en ACEPTAR para guardar la regla. 5. Confirmar la configuración de la puerta de enlace. 169 Configuración de puerta de enlace externa e interna combinada Configuraciones rápidas de GlobalProtect Configuración de puerta de enlace externa e interna combinada En una configuración de puerta de enlace interna y externa combinada, configure puertas de enlace independientes para el acceso de VPN y para el acceso a sus recursos internos confidenciales. Con esta configuración, los agentes realizan la detección de host interno para determinar si se encuentran en una red interna o externa. Si el agente determina que la red es externa, tratará de conectar a las puertas de enlace externas que se indican en su configuración cliente y establecerá una conexión de VPN (túnel) con la puerta de enlace con la prioridad más alta y el menor tiempo de respuesta. Como las políticas de seguridad se definen de forma independiente en cada puerta de enlace, dispondrá de un control granular sobre los recursos a los que tendrán acceso los usuarios externos e internos. Además, también tendrá un control granular sobre a qué puertas de enlace tendrán acceso los usuarios configurando el portal para implementar las distintas configuraciones cliente según la pertenencia a un grupo/usuario o la coincidencia del perfil HIP. En este ejemplo, los portales y las tres puertas de enlace (una externa y dos internas) se implementan en cortafuegos distintos. La puerta de enlace externa en gpvpn.acme.com proporciona acceso de VPN remoto a la red corporativa mientras las puertas de enlace internas proporcionan acceso granular a recursos especializados del centro de datos según la pertenencia a un grupo u otro. Además, las comprobaciones HIP se utilizan para garantizar que los hosts que tienen acceso al centro de datos tienen los parches de seguridad actualizados. Ilustración: Implementación de GlobalProtect con puertas de enlace internas y externas 170 Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect Configuración de puerta de enlace externa e interna combinada Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect Paso 1 Nota Creación de interfaces y zonas para GlobalProtect. En el cortafuegos que aloja la puerta de enlace del portal (gp.acme.com): En esta configuración, debe configurar las • Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 como interfaz de Ethernet de capa 3 con la dirección IP interfaces en el cortafuegos que aloja un 198.51.100.42 y asígnela a la zona de seguridad l3-nofiable y el portal y en todos los cortafuegos que enrutador virtual predeterminado. alojan una puerta de enlace. Utilice el enrutador virtual predeterminado • Cree un registro “A” DNS que asigne la dirección IP 198.51.100.42 en gp.acme.com. para que todas las configuraciones de la interfaz eviten tener que crear el • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.2. enrutamiento entre zonas. A continuación, añádala a la nueva zona denominada corp-vpn. Asígnela al enrutador virtual predeterminado. • Habilite la identificación de usuario en la zona corp-vpn. En el cortafuegos que aloja la puerta de enlace externa (gpvpn.acme.com): • Seleccione Red > Interfaces > Ethernet y configure ethernet1/5 como interfaz de Ethernet de capa 3 con la dirección IP 192.0.2.4 y asígnela a la zona de seguridad l3-nofiable y el enrutador virtual predeterminado. • Cree un registro “A” DNS que asigne la dirección IP 192.0.2.4 en gpvpn.acme.com. • Seleccione Red > Interfaces > Túnel y añada la interfaz tunnel.3. A continuación, añádala a la nueva zona denominada corp-vpn. Asígnela al enrutador virtual predeterminado. • Habilite la identificación de usuario en la zona corp-vpn. En el cortafuegos que aloja las puertas de enlace internas (california.acme.com y newyork.acme.com): • Seleccione Red > Interfaces > Ethernet y configure la interfaz de Ethernet de capa 3 con direcciones IP en la red interna y asígnelas a la zona de seguridad l3-fiable y al enrutador virtual predeterminado. • Cree un registro “A” DNS que asigne las direcciones IP internas california.acme.com y newyork.acme.com. • Habilite la identificación de usuarios en la zona l3-fiable. Guía del administrador de GlobalProtect 171 Configuración de puerta de enlace externa e interna combinada Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect Paso 2 Adquiera e instale una licencia de portal de GlobalProtect en el cortafuegos que aloja las suscripciones de portal y de puerta de enlace en cada cortafuegos que aloje una puerta de enlace (interna y externa). Después de adquirir la licencia del portal y las suscripciones de la puerta de enlace y recibir su código de activación, instale la licencia en el cortafuegos que aloja el portal e instale las suscripciones de la puerta de enlace en los cortafuegos que alojan sus puertas de enlace de la siguiente forma: 1. Seleccione Dispositivo > Licencias. 2. Seleccione Activar característica mediante código de autorización. 3. Cuando se le indique, introduzca el Código de autorización y haga clic en Aceptar. 4. Compruebe que la licencia y las suscripciones se hayan activado correctamente. Póngase en contacto con su ingeniero de ventas o distribuidor de Palo Alto Networks si no tiene todas las licencias necesarias. Si desea más información sobre licencias, consulte Acerca de las licencias de GlobalProtect. Paso 3 Obtenga certificados de servidor para el portal GlobalProtect y todas las puertas de enlace de GlobalProtect. El flujo de trabajo recomendado es el siguiente: 1. En el cortafuegos que aloja el portal: a. Importe un certificado de servidor desde una CA externa conocida. Para conectarse al portal por primera vez, los clientes finales deben confiar en el certificado de CA raíz utilizado para emitir el certificado de servidor del portal. b. Cree el certificado de CA raíz para la emisión de certificados autofirmados de los componentes de GlobalProtect. Puede utilizar certificados autofirmados en las puertas de enlace e implementar el 2. certificado de CA raíz para los agentes en la configuración cliente. Se recomienda generar todos los certificados del cortafuegos que aloja el portal e implementarlos en las puertas de enlace. Paso 4 c. Genere un nuevo certificado de servidor autofirmado. Repita este paso para cada puerta de enlace. En todos los cortafuegos que alojan una puerta de enlace: a. Implemente los certificados de servidor autofirmados. Defina cómo autenticará a los usuarios en el Puede utilizar cualquier combinación de perfiles de certificado o perfiles portal y las puertas de enlace. de autenticación como sea necesario para garantizar la seguridad del portal y las puertas de enlace. Los portales y las puertas de enlace individuales también pueden utilizar distintos esquemas de autenticación. Consulte las siguientes secciones para obtener instrucciones detalladas: • Configuración de autenticación externa (perfil de autenticación) • Configuración de la autenticación de certificado de cliente (perfil del certificado) • Configuración de la autenticación en dos fases (basada en token u OTP) Necesitará hacer referencia al perfil del certificado o perfiles de autenticación que ha definido en las configuraciones de puerta de enlace y portal. 172 Guía del administrador de GlobalProtect Configuraciones rápidas de GlobalProtect Configuración de puerta de enlace externa e interna combinada Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect Paso 5 Cree los perfiles HIP que necesitará para 1. aplicar la política de seguridad en el acceso a la puerta de enlace. Consulte Uso de información del host en la aplicación de políticas para obtener más información sobre las evaluaciones HIP. 2. Cree objetos HIP para filtrar los datos del host sin procesar recopilados por los agentes. Por ejemplo, si está interesado en avisar a usuarios no actualizados sobre los parches que necesitan, puede que quiera crear un objeto HIP con el que coincidir si el software de gestión de parches está instalado y que todos los parches con una gravedad determinada estén actualizados. Cree los perfiles HIP que tiene pensado usar en sus políticas. Por ejemplo, si quiere asegurarse de que solo los usuarios de Windows con parches actualizados puedan acceder a sus aplicaciones internas, puede que desee adjuntar el siguiente perfil HIP que coincidirá con los hosts a los que NO les falte ningún parche: Paso 6 Configure las puertas de enlace internas. Seleccione Red > GlobalProtect > Puertas de enlace y agregue la siguiente configuración: • Interfaz • Dirección IP • Certificado de servidor • Perfil de autenticación o Perfil de configuración Observe que no es necesario configurar los ajustes de la configuración cliente en las configuraciones de la puerta de enlace (a no ser que desee establecer las notificaciones HIP) porque las conexiones de túnel no son necesarias. Consulte Configuración de una puerta de enlace para ver instrucciones detalladas sobre cómo crear configuraciones de puerta de enlace. Guía del administrador de GlobalProtect 173 Configuración de puerta de enlace externa e interna combinada Configuraciones rápidas de GlobalProtect Configuración rápida: Configuración de puerta de enlace externa e interna combinada de GlobalProtect Paso 7 Configuración del portal de GlobalProtect. Seleccione Red > GlobalProtect > Portales y añada la siguiente configuración: 1. Configuración del acceso al portal: Aunque este ejemplo muestra cómo crear una configuración cliente única que se implementará para todos los agentes, puede elegir crear configuraciones separadas para distintos usos y, a continuación, implementarlas según el nombre del grupo/usuario o el sistema operativo en el 2. que se ejecuta el agente/aplicación (Android, iOS, Mac o Windows). Interfaz: ethernet1/2 Dirección IP: 10.31.34.13 Certificado de servidor: GP-server-cert.pem emitido por Go Daddy con CN=gp.acme.com Creación de una configuración de cliente de GlobalProtect: Detección de host interno: habilitada Utilizar registro único: habilitado Método de conexión: inicio de sesión de usuario Dirección de puerta de enlace: gpvpn.acme.com Dirección de puerta de enlace interna: california.acme.com, newyork.acme.com Usuario/grupo de usuarios: cualquiera 3. Paso 8 Paso 9 Implementación del software del agente de GlobalProtect. Seleccione Dispositivo > Cliente de GlobalProtect. En este ejemplo, utilice el procedimiento para Alojamiento de actualizaciones de agente en el portal. En aquellos cortafuegos que alojan una puerta de enlace de GlobalProtect externa, cree una política de seguridad (Políticas > Seguridad) que habilite el flujo del tráfico entre la zona corp-vpn y la zona l3-fiable. Además, para permitir le acceso granular a sus recursos de centro de datos internos, cree políticas HIP y basadas en usuario/grupo. Para obtener visibilidad, cree reglas que permitan a todos los usuarios un acceso de navegación Web a la zona l3-nofiable usando perfiles de seguridad predeterminados que le protejan de amenazas conocidas. Paso 10 Guarde la configuración de GlobalProtect. 174 Compile la configuración del portal. Haga clic en Compilar en el portal y en todas las puertas de enlace. Guía del administrador de GlobalProtect